Ethernet de largo alcance (LRE) y Línea de suscriptor digital (xDSL) : PPPoE/PPPoA (PPP por Ethernet / PPP por ATM)

Arquitectura de línea de base PPPoA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe una arquitectura ADSL (End-to-End Asymmetric Digital Subscriber Line) usando el modo de transferencia PPPoA (Protocol over Asynchronous). Aunque la mayoría de las implementaciones se basan en la arquitectura de Bridging, el PPPoA está ganando gran aceptación y representará un porcentaje mayor de implementaciones de ADSL en el futuro.

Suposición

La arquitectura de línea de base asume la necesidad de proporcionar al suscriptor del acceso a Internet de alta velocidad y del acceso corporativo al final que usa el PPPoA como la estructura básica del núcleo. Discutiremos esta arquitectura basada en los canales virtuales privados (PVC), el método usado lo más a menudo posible en los despliegues actuales. La arquitectura usando los circuitos virtuales conmutados (SVC) será discutida en un informe distinto.

Este documento se basa en los despliegues existentes así como las pruebas integradas de la arquitectura.

Este documento fue escrito con la suposición que el lector es bien informado y familiar con los aspectos del diseño de un Network Access Provider (SIESTA) según lo descrito en el White Paper del RFC1483 Bridging Baseline Architecture.

Resumen de tecnología

El Point-to-Point Protocol (PPP) (RFC 1331) proporciona un método estándar de encapsular los protocolos de capa más altas a través de las conexiones Point-to-Point. Extiende la estructura de paquete del High-Level Data Link Control (HDLC) con un Protocol Identifier de 16 bits que contiene la información sobre el contenido del paquete.

El paquete contiene tres tipos de información:

  • (LCP) del Link Control Protocol – negocia los parámetros, el tamaño de paquetes, o el tipo del link de autenticación

  • El protocolo network control (NCP) – contiene la información sobre los protocolos de capa más altas incluyendo el IP y el IPX, y sus protocolos del control (el IPCP para el IP)

  • Marcos de datos que contienen los datos

La Capa de adaptación 5 (AAL5) (RFC 2364) del PPP over ATM utiliza el AAL5 como el protocolo entramado, que soporta el PVC y SVC. El PPPoA fue implementado sobre todo como parte del ADSL. Confía en el RFC1483, actuando en modo protocolo logical link control-subnetwork access (LLC-SNAP) o VC-MUX. Un dispositivo del Customer Premises Equipment (CPE) encapsula a la sesión PPP basada en este RFC para el transporte a través del loop y del Digital Subscriber Line Access Multiplexer (DSLAM) de ADSL.

Ventajas y desventajas de la arquitectura PPPoA

La arquitectura PPPoA hereda la mayor parte de las ventajas del PPP usadas en el modelo del dial. Algunos de los puntos claves son mencionados abajo.

Ventajas

  • Por la autenticación de la sesión basada en el protocolo password authentication (PAP) o el Challenge Handshake Authentication Protocol (CHAP). Ésta es la ventaja más grande del PPPoA pues la autenticación supera a la brecha en la seguridad en una arquitectura de Bridging.

  • Por la sesión las estadísticas son posibles, que permite que el proveedor de servicio cargue al suscriptor basado el tiempo de la sesión para los diversos servicios ofrecidos. Por la sesión las estadísticas permiten a un proveedor de servicio para ofrecer un nivel de acceso mínimo por un cargo mínimo y después para cargar a los suscriptores para los servicios adicionales utilizados.

  • Conservación de IP Address en el CPE. Esto permite que el proveedor de servicio asigne solamente una dirección IP para un CPE, con el CPE configurado para el Network Address Translation (NAT). Todos los usuarios detrás de un CPE pueden utilizar una sola dirección IP para alcanzar diversos destinos. Los gastos indirectos de administración IP para el Network Access Provider/Network Services Provider (NAP/NSP) para cada usuario individual se reducen mientras que conservan los IP Addresses. Además, el proveedor de servicio puede proporcionar una pequeña subred de los IP Addresses para superar las limitaciones del Port Address Translation (PAT) y del NAT.

  • Las siestas/NSP proporcionan el acceso seguro a los gatewayes corporativos sin el manejo de los PVC de punta a punta y usar la encaminamiento de la capa 3 o acodan 2 que remiten/los túneles del protocolo Layer 2 Tunneling Protocol (L2F/L2TP). Por lo tanto, pueden escalar sus modelos comerciales para vender los servicios mayoristas.

  • Resolver problemas a los suscriptores individuales. El NSP puede identificar fácilmente qué suscriptores son con./desc. basados en las sesiones activas de PPP, bastante que resolviendo problemas a los grupos enteros como en el caso de la arquitectura de Bridging.

  • El NSP puede oversubscribe por la marcha lenta que despliega y los tiempos de espera de la sesión usando un servidor del Remote Authentication Dial-In User Service (RADIUS) del estándar de la industria para cada suscriptor.

  • Altamente scalable como podemos terminar mismo a un número alto de sesiones PPP en un router de agrupamiento. El autenticación, autorización y contabilidad se puede dirigir para cada usuario que usa a los servidores RADIUS externos.

  • Uso óptimo de las características en el Service Selection Gateway (SSG).

Desventajas

  • Solamente una sola sesión por el CPE en un virtual channel (VC). Puesto que el nombre de usuario y contraseña se configura en el CPE, todos los usuarios detrás del CPE para ese VC determinado pueden acceder solamente un conjunto de servicios. Los usuarios no pueden seleccionar diversos conjuntos de servicios, aunque usen VCs múltiple y el establecimiento de diversas sesiones PPP en diverso VCs es posible.

  • Complejidad mayor de la configuración del CPE. El personal del mostrador de informaciones en el proveedor de servicio necesita estar más bien informado. Puesto que el nombre de usuario y contraseña se configura en el CPE, el suscriptor o el distribuidor de CPE necesitará realizar los cambios de la configuración. Usando VCs múltiple aumenta la complejidad de la configuración. Esto, sin embargo, se puede superar por una característica de la autoconfiguración que todavía no se libere.

  • El proveedor de servicio necesita mantener una base de datos de los nombres de usuario y contraseña para todos los suscriptores. Si utilizan los túneles o a los servicios de representación, después la autenticación se puede hacer en base del Domain Name y la autenticación de usuario se hace en el gateway corporativo. Esto reduce el tamaño de la base de datos que el proveedor de servicio tiene que mantener.

  • Si un solo IP Address se proporciona al CPE y se implementa el NAT/PAT, ciertas aplicaciones tales como IPTV, que integran la información IP en el payload, no trabajarán. Además, si se utiliza una característica de la subred IP, una dirección IP también tiene que ser reservada para el CPE.

Consideraciones de instrumentación para la arquitectura PPPoA

Los puntos claves a considerar antes de implementar la arquitectura PPPoA incluyen:

  • El número de suscriptores que serán mantenidos actualmente y en el futuro, como esto afecta al número de sesiones PPP requeridas.

  • ¿Si las sesiones PPP se están terminando en el proveedor de servicio? router de agrupamiento s o remitido a otros gatewayes corporativos o Proveedores de servicios de Internet (ISP).

  • ¿Si el proveedor de servicio o el destino final del servicio está proporcionando a la dirección IP al suscriptor? CPE s.

  • Si los IP Addresses proporcionados son pública legal o soldado. ¿El CPE va a hacer el NAT/PAT o el NAT será realizado en el destino de la terminación?

  • Perfiles de los suscriptores finales, de los usuarios residenciales, de los clientes del Small Office Home Office (SOHO), y del telecommuters.

  • En el caso de más de un usuario, si toda la necesidad de usuarios de alcanzar el mismo destino final o servicio, o ellos todos tiene diversos destinos del servicio.

  • ¿El proveedor de servicio está proporcionando servicios de valor agregado como la Voz o el vídeo? ¿El proveedor de servicio requiere a todos los suscriptores a primero va a una red determinada antes de alcanzar un destino final? ¿Cuando los suscriptores utilizan el SSG, van a utilizar los servicios del passthrough, el PPP Terminated Aggregation (PTA), un dispositivo de mediación, o el proxy?

  • Cómo el proveedor de servicio carga en cuenta a los suscriptores — basados en una tarifa fija, por el uso de sesión, o los servicios utilizados.

  • Despliegue y abastecimiento de CPE, DSLAM y puntos del total de presencia (estallidos).

  • El modelo comercial para la SIESTA. ¿El modelo también incluye la venta de los servicios mayoristas como el asegurar acceso corporativo y los servicios de valor agregado como la Voz y el vídeo? ¿Son las siestas y los NSP la misma entidad?

  • El modelo comercial de la compañía. ¿Es comparable a una portadora de intercambio local independiente (ILEC), a un operador de centrales locales en condiciones de competencia (CLEC) o a un ISP?

  • Los tipos de aplicaciones el NSP ofrecerán al final al suscriptor.

  • El volumen de flujo de datos ascendente y descendente anticipado.

Teniendo estas puntas presente, discutiremos cómo la arquitectura PPPoA cabrá y escalará a diversos modelos comerciales para los proveedores de servicio y cómo los proveedores pueden beneficiarse usando esta arquitectura.

Arquitectura de red PPPoA típica

El diagrama siguiente muestra una Arquitectura de red PPPoA típica. Los clientes que usan CPEs conectan con la red de proveedor de servicio con un Cisco DSLAM, que conecta con el Cisco 6400 un aggregator usando la atmósfera.

/image/gif/paws/12914/pppoa_arch_1.gif

Consideraciones de diseño para la arquitectura PPPoA

¿En la sección "Consideraciones de implementación" de este documento, las arquitecturas PPPoA se pueden desplegar usando diversos escenarios dependiendo del proveedor de servicio? modelo comercial s. En esta sección, discutiremos las diversas posibilidades y consideraciones que los proveedores de servicio deben tener presente antes de desplegar una solución.

¿Antes de desplegar una arquitectura PPPoA y una solución determinada para esta arquitectura, es esencial entender el proveedor de servicio? modelo comercial s. Considere los servicios que el proveedor de servicio ofrecerá. ¿El proveedor de servicio ofrecerá un servicio como el acceso a Internet de alta velocidad a sus suscriptores finales o venderá los servicios mayoristas a diversos ISP y proporcionará los servicios de valor agregado a esos suscriptores? ¿El proveedor de servicio ofrecerá todos?

¿En el caso del acceso a Internet de alta velocidad en un entorno donde están lo mismo el NSP y la SIESTA, el suscriptor? las sesiones PPP s deben ser terminadas en el router de agrupamiento desplegado. En este escenario, los proveedores de servicio necesitan considerar cuántas sesiones PPP pueden ser terminadas en un dispositivo de agrupamiento del único router, cómo los usuarios van a ser autenticados, cómo van a realizar las estadísticas, y la trayectoria a Internet una vez que terminan a las sesiones del usuario. Dependiendo del número de sesiones PPP y de suscriptores, el router de agrupamiento podría ser un Cisco 6400 o un Cisco 7200. ¿Hoy? el Cisco 6400 s con 7 procesadores de la ruta de nodo (NRP) puede terminar a hasta 14,000 sesiones PPP. El Cisco 7200 se limita a 2,000 sesiones PPP. Estos números cambiarán con las nuevas versiones. Marque por favor los Release Note y los documentos del producto para la cantidad exacta de sesiones que cada router de agrupamiento puede soportar.

La autenticación de usuario y las estadísticas en estos escenario se maneja mejor usando un servidor de RADIUS del estándar de la industria, que puede autenticar a un usuario basado en el nombre de usuario o el identificador de ruta virtual/identificador de canal virtual (VPI/VCI) que es utilizado.

Para el acceso a Internet de alta velocidad, los NSP cargan en cuenta generalmente a los clientes a la tarifa fija. La mayoría de los despliegues actuales se están implementando esta manera. Cuando el NSP y la SIESTA son la misma entidad, cargan en cuenta a los clientes a una velocidad fija para el acceso y a otra velocidad fija para el acceso a internet. Este modelo cambia cuando el proveedor de servicio comienza a ofrecer los servicios de valor agregado. Los proveedores de servicio pueden cargar al cliente basado en el tipo de servicio y se utiliza la duración el servicio. Los clientes conectan con Internet a través del router de agrupamiento que usa los Routing Protocol como el Open Shortest Path First (OSPF) o el Enhanced Interior Gateway Routing Protocol (EIGRP) a un router de borde que podría ser Border Gateway Protocol (BGP) corriente.

Otra opción que el proveedor de servicio tiene para proporcionar al acceso a Internet de alta velocidad es remitir a las sesiones de PPP entrantes de los suscriptores a un ISP separado usando el Tunelización L2TP/L2F. Cuando se utiliza el hacer un túnel del l2x, la Consideración especial debe ser dada para cómo el destino del túnel puede ser alcanzado. Las opciones disponibles están a funcionan con algunos Routing Protocol o proporcionan las Static rutas en el router de agrupamiento. Las limitaciones al usar los túneles L2TP o L2F son: (1) el número de túneles y el número de sesiones que se pueden soportar en esos túneles; y (2) el uso de los Routing Protocol incompatibles con el otro vendedor ISP, que puede requerir usando las Static rutas.

Si el proveedor de servicio ofrece los servicios para diversos ISP o el suscriptor de los gatewayes corporativos al final, pueden necesitar implementar las características SSG en el router de agrupamiento. Esto permite que el suscriptor seleccione diversos destinos del servicio usando selección de servicio basado en la Web. El proveedor de servicio puede o las sesiones PPP delanteras de los suscriptores a sus destinos seleccionados combinando todas las sesiones destinados al ISP en un solo PVC para el transporte, o si el proveedor de servicio ofrece los niveles del servicio múltiple, más de un PVC se podría establecer a través de la base.

En un modelo de servicio al por mayor, el proveedor de servicio puede no utilizar las características SSG. En este modelo, el proveedor de servicio extiende a todas las sesiones PPP a los gatewayes de inicio. Los gatewayes de inicio proporcionan al suscriptor de los IP Addresses al final y autentican al usuario final.

Una consideración importante en ninguno de estos escenarios es cómo el proveedor de servicio puede ofrecer un diverso Calidad de Servicio (QoS) para diversos servicios y cómo calculan la asignación de ancho de banda. Actualmente, la manera la mayoría de los proveedores de servicio despliega las ofertas diverso QoS de esta arquitectura en diversos PVC. Pueden tener PVC separados en la base para los clientes residenciales y comerciales. Usando diversos PVC permite que los proveedores de servicio especifiquen diverso QoS para diversos servicios. Esta manera, QoS podía estar en los PVC separados o en la capa 3.

La aplicación de QoS en la capa 3 requiere al proveedor de servicio conocer el destino final, que podría ser factor limitativo. Pero, si está utilizado conjuntamente con la capa 2 QoS (aplicándola en diverso VCs), puede ser útil para el proveedor de servicio. La limitación con este modelo es que está reparada y el proveedor de servicio necesita provision para QoS por adelantado. QoS no consigue aplicado dinámicamente en la selección de servicio. Actualmente, no hay opción para que un usuario seleccione diversos anchos de banda para diversos servicios con un tecleo del ratón; sin embargo, se ha invertido gran esfuerzo de ingeniería para desarrollar esta característica.

La instalación de CPE, la Administración, y el aprovisionamiento podrían ser muy desafiadores en esta arquitectura, como el CPE necesita ser configurado para los nombres de usuario y contraseña. Como solución simple, algunos de los proveedores de servicio están utilizando el mismo nombre de usuario y la contraseña para todo el CPEs. Esto presenta un riesgo de seguridad significativo. Además, si el CPE necesita abrir simultáneamente diversas sesiones, la necesidad adicional de VCs de ser aprovisionado en el CPE, la SIESTA y el NSP. Cisco DSLAM y dispositivos de agrupamiento tiene la capacidad de simplificar la configuración de CPE y el aprovisionamiento. Las herramientas de administración del atraviese están también disponibles para de punta a punta abastecimiento PVC. La disposición en el NSP para tan muchos suscriptores que usan los PVC es factor limitativo puesto que todos los PVC diferentes deben ser manejados. Además, no hay método simple del aprovisionamiento 2000 PVC en un solo NRP haciendo clic un ratón o ingresando pocos movimientos de la clave.

Tenemos hoy diversas aplicaciones de administración para diversos componentes de esta arquitectura, tales como Viewrunner para el DSLAM y SCM para el Cisco 6400 allí no somos ninguna plataforma de administración que provision todos los componentes. Esto es una limitación bien reconocida y se está invirtiendo gran esfuerzo para tener una aplicación sola, de la administración integral para provision el CPE, el DSLAM y el Cisco 6400. Además, tenemos actualmente una solución para implementar el PPPoA con el SVC, que facilitará grandemente el despliegue. El PPPoA con SVC también permitirá que los usuarios finales seleccionen el destino y el QoS dinámicamente.

Otro punto importante a tener presente para las implementaciones de ADSL grandes usando esta arquitectura es la comunicación del router de agrupamiento al servidor de RADIUS. Si la tarjeta del NRP falla cuando terminan a varios miles de sesiones PPP en un dispositivo de agrupamiento, todas esas sesiones PPP deben ser restablecidas. Esto significa que todos los suscriptores deben ser autenticados y sus registros de contabilidad parados y ser recomenzados una vez que se establece la conexión. Cuando tan muchos suscriptores intentan conseguir autenticados al mismo tiempo, el tubo al servidor de RADIUS puede ser un embotellamiento. Algunos suscriptores pueden no poder ser autenticado y esto puede crear los problemas para el proveedor de servicio.

Es muy importante tener un link al servidor de RADIUS con el suficiente ancho de banda para acomodar a todos los suscriptores al mismo tiempo. Además, el servidor de RADIUS debe ser bastante potente conceder los permisos a todos los suscriptores. En el caso de miles de suscriptores, una opción para cargar el equilibrio entre los servidores de RADIUS disponibles debe ser considerada. Esta característica está disponible en el software del ½ del ¿Â de Cisco IOSïÂ.

Como consideración final, el router de agrupamiento debe realizarse suficientemente para acomodar a muchas sesiones PPP. Aplique los mismos principios de la ingeniería de tráfico usados por otras implementaciones. Previamente, el usuario tuvo que configurar los PVC en las subinterfaces punto a punto. El PPPoA permite hoy que los usuarios configuren los PVC múltiples en las subinterfaces de multipunto así como el Punto a punto. Cada conexión PPPoA requiere no más dos bloques del descriptor de la interfaz (IDBs), uno para la interfaz de acceso virtual y uno para la subinterfaz ATM. Esta mejora aumenta al número máximo de sesiones PPPoA que se ejecutan en un router.

Las sesiones PPPoA del número máximo soportadas en una plataforma dependen de los recursos de sistema disponible tales como memoria y velocidad CPU. Cada sesión PPPoA toma una interfaz de acceso virtual. Cada interfaz de acceso virtual consiste en un bloque del descriptor de la interfaz de hardware y un par del Interface Descriptor Block del software (hwidb/swidb). Cada hwidb toma sobre 4.5K. Cada swidb toma sobre 2.5K. Junto, las interfaces de acceso virtual requieren 7.5K. 2000 interfaces de acceso virtual requieren 2000 * 7.5K o el 15M. Para funcionar con 2000 sesiones, un router necesita un 15M adicional. Debido al aumento en el límite de sesión, el router necesita soportar más IDBs. Este soporte afecta el rendimiento debido a más ciclos de la CPU para funcionar con más casos de la máquina de estado PPP.

Puntos clave de la arquitectura PPPoA

Esta sección describe tres puntos claves en la arquitectura PPPoA: el CPE, administración IP, y alcanzar el destino del servicio.

/image/gif/paws/12914/pppoa_arch_2.gif

Debido a la naturaleza de la PALMADITA, ciertas aplicaciones que integran información IP en el payload no pueden trabajar en este escenario. Para solucionar este problema, aplique una subred de los IP Addresses bastante que una sola dirección IP.

En esta arquitectura es más fácil que el NAP/NSP a Telnet en el CPE configurar y resuelva problemas puesto que una dirección IP se asigna al CPE.

¿CPEs puede utilizar diversas opciones dependiendo del suscriptor? perfil s. Por ejemplo, porque un usuario residencial el CPE se puede configurar sin el PAT/DHCP. Para los suscriptores con más de un PC, CPEs se puede configurar para el PAT/DHCP o la misma manera que el de un usuario residencial. Si hay un teléfono del IP conectado con el CPE, el CPE se puede configurar para más de un PVC.

Administración de IP

pppoa_arch_3.gif

En arquitectura PPPoA, asignación de IP Address para la negociación IPCP de las aplicaciones del CPE del suscriptor, el mismo principio de PPP en el modo de marcado. Los IP Addresses se afectan un aparato dependiendo del tipo de servicio las aplicaciones de un suscriptor. Si el suscriptor tiene solamente acceso a internet del NSP, el NSP terminará a esas sesiones PPP del suscriptor y asignará una dirección IP. La dirección IP se afecta un aparato localmente de una agrupación definida, un servidor DHCP, o puede ser aplicada del servidor de RADIUS. También, el ISP pudo haber proporcionado a un conjunto de los IP Address estáticos al suscriptor y puede no asignar los IP Addresses dinámicamente cuando el suscriptor inicia a la sesión PPP. En este escenario, el proveedor de servicio utilizará solamente al servidor de RADIUS para autenticar al usuario.

Si el suscriptor prefiere tener los servicios múltiples disponibles, el NSP puede necesitar implementar el SSG. Los siguientes son posibilidades de asignar los IP Addresses.

  • El SP puede proporcionar una dirección IP al suscriptor a través de su agrupación local o servidor de RADIUS. ¿Después de que el usuario seleccione un servicio, el SSG adelante el usuario? tráfico s a ese destino. Si el SSG está utilizando al modo de representación, el destino final puede proporcionar una dirección IP, que el SSG utilizará como la dirección visible para el NAT.

  • ¿Las sesiones PPP no consiguen terminadas en el proveedor de servicio? router de agrupamiento s. Son tunneled o remitida al destino final o al gateway de inicio, que terminarán eventual a las sesiones PPP. El destino final o el gateway de inicio negocia el IPCP con el suscriptor, de tal modo proporcionando a una dirección IP dinámicamente. Las direcciones estáticas son también posibles mientras el destino final haya afectado un aparato esos IP Addresses y tenga una ruta a ellas.

Antes del Cisco IOS Software Release 12.0.5DC para el Cisco 6400 NRP, no había manera para que el proveedor de servicio proporcione una subred de los IP Addresses al suscriptor. La plataforma y las Cisco 600 Series CPEs del Cisco 6400 permiten que las subredes IP sean configuradas dinámicamente en el CPE durante la negociación PPP. Una dirección IP de esta subred se asigna al CPE y los IP Address restantes se afectan un aparato dinámicamente a las estaciones con el DHCP. Cuando se utiliza esta característica, CPEs no necesita ser configurado para la PALMADITA, que no trabaja con algunas aplicaciones.

Cómo se llega al destino de servicio

En arquitecturas PPPoA, el destino del servicio se puede alcanzar en las maneras diferentes. Algunos de los métodos lo más comúnmente posible desplegados son:

  • Terminar a las sesiones PPP en el proveedor de servicio

  • Tunelización L2TP

  • Usando el SSG

En los tres métodos hay un conjunto fijo de PVC definido del CPE al DSLAM que se conmuta a un conjunto fijo de PVC en el router de agrupamiento. Los PVC se asocian del DSLAM al router de agrupamiento a través de una nube ATM.

El destino del servicio se puede también alcanzar usando otros métodos tal PPPoA con los SVC, o el Multiprotocol Label Switching/Virtual Private Network. Estos métodos están fuera del alcance de este documento y serán discutidos en los informes distintos.

Terminar el PPP en la agregación

pppoa_arch_4.gif

Terminan a las sesiones PPP iniciadas por el suscriptor en el proveedor de servicio que autentica a los usuarios que usan una base de datos local en el router o a través de los servidores de RADIUS. Después de que autentiquen al usuario, la negociación IPCP ocurre y la dirección IP se asigna al CPE. Después de que la dirección IP se haya asignado, hay un host que la ruta estableció en el CPE y en el router de agrupamiento. Los IP Addresses afectados un aparato al suscriptor, si son legales, se hacen publicidad al router de borde. El router de borde es el gateway a través del cual el suscriptor puede acceder Internet. Si los IP Addresses son privados, el proveedor de servicio los traduce antes de hacerlos publicidad al router de borde.

Tunelización L2TP/L2F

pppoa_arch_5.gif

¿Sesiones PPP, dependiendo del proveedor de servicio o la sociedad, túnel a la punta de terminación por aguas arriba usando el L2TP o L2F en vez de ser terminado en el proveedor de servicio? router de agrupamiento s. Esta punta de terminación autentica el nombre de usuario y asignan el suscriptor una dirección IP vía el DHCP o una agrupación local. Para este escenario hay generalmente un túnel establecido entre el L2TP Access Concentrator/servidor de acceso a la red (LAC/NAS) y el gateway de inicio o el L2TP Network Server (LNS). El LAC autentica a la sesión entrante basada en el Domain Name; el nombre de usuario se autentica en el destino final o el gateway de inicio.

En este modelo, sin embargo, el usuario puede solamente tener acceso al destino final y puede acceder solamente un en un momento del destino. Por ejemplo, si el CPE se configura con un nombre de usuario de rtr@cisco.com, los PC detrás de ese CPE pueden solamente tener acceso al dominio de Cisco. Si quieren conectar con otra red corporativa, necesitan cambiar el nombre de usuario y contraseña en el CPE para reflejar ese Domain Name corporativo. El destino del túnel en este caso se alcanza usando un Routing Protocol, las Static rutas, o hacer IP clásica sobre la atmósfera (si la atmósfera se prefiere como capa 2).

Usando el Service Selection Gateway (SSG)

/image/gif/paws/12914/pppoa_arch_6.gif

La ventaja principal del SSG sobre el Tunelización es que el SSG proporciona la asignación de uno-a-muchos servicios, mientras que el hacer un túnel proporciona solamente el mapeo uno a uno. Esto llega a ser muy útil cuando un acceso de las necesidades de único usuario a los servicios múltiples, o a los usuarios múltiples en una sola ubicación cada acceso de la necesidad a un servicio único. El SSG utiliza selección de servicio basado en la Web el panel (SSD), que consiste en diversos servicios y está disponible para el usuario. El usuario puede acceder un servicio o los servicios múltiples al mismo tiempo. Otra ventaja de usar el SSG es que el proveedor de servicio puede cargar en cuenta al usuario basado en los servicios utilizados y el tiempo de la sesión, y el usuario puede dar vuelta a los servicios por intervalos a través del SSD.

/image/gif/paws/12914/pppoa_arch_7.gif

Autentican a los usuarios mientras que la sesión PPP viene adentro de los suscriptores. Los usuarios son IP Address asignados de la agrupación local o del servidor de RADIUS. Después de que autentiquen a un usuario con éxito, un objeto de la fuente es creado por el código SSG y dan el usuario el acceso a una red predeterminada. La red predeterminada contiene al servidor SSD. ¿Usando un navegador, el usuario abre una sesión al panel, es autenticado por el servidor de AAA, y dependiendo del usuario? el perfil s salvado en el servidor de RADIUS, se ofrece un conjunto de servicios a acceder.

Cada vez que un usuario autenticado selecciona un servicio, el SSG crea un objeto de destino para ese usuario. El objeto de destino contiene la información tal como la dirección destino, el DNS Server Address para ese destino, y la dirección IP de origen asignada del gateway de inicio. ¿Paquetes que vienen adentro del usuario? el lado s se remite al destino basado en la información contenida en el objeto de destino.

El SSG se puede configurar para el servicio de representación, el traspaso transparente, o el PTA. Cuando un suscriptor pide el acceso a un servicio de representación, el NRP-SSG pasará el pedido de acceso al servidor RADIUS remoto. Sobre la recepción del access-accept, el SSG responde al suscriptor con el access-accept. El SSG aparece como cliente al servidor RADIUS remoto.

El traspaso transparente permite que el tráfico del suscriptor del unauthenticated sea ruteado con el SSG en cualquier dirección. Utilice los filtros para controlar el tráfico del traspaso transparente.

El PTA se puede utilizar solamente por los usuarios del PPP-tipo. La autenticación, la autorización y las estadísticas se realiza exactamente como en el tipo de servicio de representación. Un suscriptor abre una sesión a un servicio usando un nombre de usuario de la forma user@service. El SSG adelante que al servidor de RADIUS, que entonces carga el perfil del servicio al SSG. ¿El SSG adelante la petición al servidor RADIUS remoto según lo especificado por el perfil del servicio? atributo del servidor de RADIUS s. Después de que se autentique la petición, una dirección IP se asigna al suscriptor. No se realiza ningún NAT. Todo el tráfico de usuarios se agrega a la red remota. Con el PTA, los usuarios pueden acceder solamente un servicio y no tendrán acceso a la red predeterminada o al SSD.

Descripción del funcionamiento de la arquitectura PPPoA

Cuando el CPE primero se acciona encendido, comienza a enviar los pedidos de configuración LCP al servidor de agrupamiento. El servidor de agrupamiento, con los PVC configurados, también envía el pedido de configuración LCP en una interfaz de acceso virtual (asociada al PVC). Cuando cada uno ve el pedido de configuración del otro, reconocen las peticiones y se abre el estado LCP.

Para la etapa de autenticación, el CPE envía el pedido de autenticación al servidor de agrupamiento. El servidor, dependiendo de su configuración, cualquiera autentica el usuario basado en el Domain Name (si está proveído), o el nombre de usuario usando su base de datos local o servidores de RADIUS. Si la petición del suscriptor está bajo la forma de username@domainname, el servidor de agrupamiento intentará crear un túnel al destino, si uno no está ya allí. Después de que se cree el túnel, el servidor de agrupamiento adelante las peticiones PPP del suscriptor al destino. El destino, a su vez, autentica al usuario y asigna una dirección IP. Si la petición del suscriptor no incluye el Domain Name, la base de datos local autentica al usuario. Si el SSG se configura en el router de agrupamiento, el usuario puede acceder la red predeterminada según lo especificado y puede conseguir una opción para seleccionar diversos servicios.

Conclusión

El PPPoA se está convirtiendo en la mayoría de la arquitectura adecuada para muchos proveedores de servicio porque es altamente scalable, utiliza la funcionalidad SSG, y proporciona la Seguridad. Puesto que el foco de este papel era arquitectura PPPoA, no era posible cubrir las características como el SSG profundizado. Estas características serán cubiertas en los papeles subsiguientes. Las configuraciones de muestra para los diversos escenarios discutidos en este documento también serán presentadas y explicadas en los informes distintos.


Información Relacionada


Document ID: 12914