Está en la página 1de 40

2 Protocolo Punto a

Punto - PPP
CCNA Exploration 4.0
Accediendo a la WAN
Karol Dalila Reyes Díaz
kreyes@unab.edu.co
Conceptos de PPP
Arquitectura en Capas
Estructura de la trama
Establecimiento de Sesión
LCP / NCP
PPP Arquitectura en Capas

 Link Control Protocol (LCP)


 Controlar las opciones en el enlace WAN.
 Establece, configura y prueba la conexión de capa 2.

 Network Control Protocol (NCP)


 Usado para configurar los diferentes protocolos de capa de red.
Estructura de la trama PPP

Flag Address Control Protocol Data FCS

Código Identificador Longitud Datos


PPP
Establecimiento de Sesiones
1. Establecimiento del enlace (LCP)
2. Autenticación – Opcional (LCP)
3. Determinación de la calidad del enlace –
Opcional (LCP)
4. Configuración de Protocolo de capa de red
(NCP)
5. Terminación del enlace (LCP)
Fase de Establecimiento del
Enlace
 Cada dispositivo PPP envía tramas LCP para configurar y probar
el enlace.

 Las tramas LCP contienen un campo de configuración que


permite a los dispositivos negociar el uso de las opciones
especiales como: MTU, compresión de datos y autenticación.

 Si una opción de configuración no se incluye, se asume el valor


por defecto.

 Antes de intercambiar paquetes, LCP debe abrir la conexión y


negociar la configuración de los parámetros.

 Esta fase termina cuando ambos extremos reciben una trama de


confirmación (ACK).
Fase de Autenticación
(Opcional)

 Si se ha configurado autenticación ocurre una vez establecido


el enlace.
 La autenticación, se realiza antes de la fase de protocolo de
capa de red.
 Como parte de esta fase, también se puede hacer una
prueba de la calidad del enlace.
 El enlace es probado para determinar si la calidad del enlace es
lo suficientemente buena para brindarle el servicio a los
protocolos de capa de red.
LCP

LCP es usada para acordar automáticamente las


opciones de formato de encapsulamiento
Fase de Protocolo de Capa de
red
 En esta fase los dispositivos PPP envían paquetes
NCP para seleccionar y configurar uno o más
protocolos de capa de red, tal como IP.
 Una vez configurados cada uno de los protocolos
de capa de red, los paquetes de cada protocolo
pueden ser enviados sobre el enlace.
 Si LCP cierra el enlace, informa los protocolos de
capa de red tal que ellos puedan tomar la acción
apropiada.
Autenticación en PPP
Password Authentication Protocol -
PAP
Challenge Authentication Protocol -
CHAP
Protocolo de Autenticación por
password (PAP)

 PAP  saludo de dos vías.


 El nodo remoto envía repetidamente nombre de
usuario/Clave hasta que la autenticación es aceptada o se
termina la conexión.
 PAP NO es un protocolo de autenticación Fuerte.
 Las claves se envían en texto claro
 No hay protección contra reintentos o ataques de terceros repetidos.
Protocolo de autenticación con
desafío (CHAP)

 CHAP  Saludo de 3 vías.


 Una vez establecido el enlace, el router local envía un Desafío
 El nodo remoto responde con un valor calculado usando un función
hash de una vía
 Esta respuesta se basa en el desafío y la clave.
 El router local revisa la respuesta, si los valores son iguales, la
autenticación es aceptada, de lo contario se termina la conexión .
Operación CHAP
LCP establece y negocia el
enlace

 La solicitud de conexión llega a HQ.


 LCP negocia CHAP y MD5.
 Se requiere un desafío CHAP desde HQ para el
router que está haciendo la llamada.
Desafío CHAP

 Se construye un paquete desafío CHAP así:


 01 = Tipo de mensaje desafío CHAP.
 ID = Número secuencial que identifica el desafío.
 random = Un número razonablemente aleatorio generado por el router.
 HQ = nombre de autenticación del desafío.
 El paquete desafío se envía al router que llama.
 Se mantiene una lista de los desafíos enviados.
Recibo del desafío

 En el generador hash ingresan:


 El ID del paquete
 El valor aleatorio
 La clave correspondiete al nombre HQ
 Se envía el resultado en la respuesta CHAP.
Respuesta CHAP

 El paquete de respuesta se ensambla con los siguientes


componentes:
 02  Tipo de mensaje respuesta CHAP.
 ID  Copiado desde el paquete desafío.
 hash  Salida del generador hash MD5 (Información hashed del
paquete desafío).
 SantaCruz  nombre de autentciación de los dispositivos.
 El paquete de respuesta se envía al router que envío el desafío.
Recepción de la respuesta

 Se usan el ID, el valor aleatorio original y la clave


correspondiente al nombre recibido para ingresarlas en el
generador hash MD5.
 El valor hash recibido en el paquete de respuesta se compara
al valor hash MD5 calculado. La autenticación CHAP sucede
si los valores son iguales.
Envío de mensajes exitosos o
fallidos
 Si la autenticación es
satisfactoria, se construye un
paquete CHAP exitoso:
 03  Tipo de mensaje exitoso
CHAP.
 ID  Copiado desde el
paquete de respuesta.
 “Welcome in”

 Si la autenticación falla, un
paquete de falla CHAP se
construye con los siguientes
componentes:
 04  Tipo de mensaje falla
CHAP.
 ID  Copiado del paquete de
respuesta.
 “Authentication failure”
Configurando PPP

 Habilita el encapsulamiento PPP en la


interfaz serial 0/0

Router#configure terminal
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
Configurando PPP

DTE 172.25.3.0/24 DCE


.2/S0 Serial .1/S0
interface Serial0
ip address 172.25.3.2 255.255.255.0
encapsulation ppp
interface Serial0
ip address 172.25.3.1 255.255.255.0
encapsulation ppp
Verificando PPP

LCP
NCP
Configurando PAP

Rtr(config)# username XXX password YYY


 Ingresa la pareja Usuario/Password que permitirá acceder (base
de datos de usuarios).

Router(config-if)#ppp authentication pap


 Permite activar más de un tipo de autenticación {pap | chap}
 Si ambos métodos están habilitados, entonces el primer método
especificado se solicitará durante la negociación del enlace.
 Si el par sugiere usar el segundo método o simplemente rechaza
el primero, entonces se intentará con el segundo.

Rtr(config-if)# ppp pap sent-username XXX password YYY


 Ènvía el Usuario/Clave para que el equipo que recibe verifique
en su base de datos.
 Por seguridad No debe ser el password enable-secret
Configurando PAP
Unidireccional

DTE 172.25.3.0/24 DCE


.2/S0 Serial .1/S0
hostname SantaCruz

interface Serial0
ip address 172.25.3.2 255.255.255.0
encapsulation ppp
ppp pap sent-username SantaCruz
password SantaCruzpass
hostname HQ
username SantaCruz password
SantaCruzpass

interface Serial0
ip address 172.25.3.1 255.255.255.0
encapsulation ppp
ppp authentication pap
Configurando PAP en el otro
sentido

DTE 172.25.3.0/24 DCE


.2/S0 Serial .1/S0
hostname HQ

interface Serial0
ip address 172.25.3.1 255.255.255.0
encapsulation ppp
ppp pap sent-username HQ
password HQpass
hostname SantaCruz
username HQ password HQpass

interface Serial0
ip address 172.25.3.2 255.255.255.0
encapsulation ppp
ppp authentication pap
Configurando PAP
Bidireccional

DTE 172.25.3.0/24 DCE


.2/S0 Serial .1/S0
hostname SantaCruz
username HQ password HQpass hostname HQ
username SantaCruz password
interface Serial0 SantaCruzpass
ip address 172.25.3.2 255.255.255.0
encapsulation ppp interface Serial0
ppp authentication pap ip address 172.25.3.1 255.255.255.0
ppp pap sent-username SantaCruz encapsulation ppp
password SantaCruzpass ppp authentication pap
ppp pap sent-username HQ
password HQpass
Para tener en cuenta

 En PAP: sent-username y password deben


ser iguales al username y password
remoto.
 En PAP los nombres de host (hostname) no
están involucrados.
 Tanto en PAP como en CHAP los
Passwords son sensibles a las mayúsculas,
pero los nombres de usuario no.
Configurando CHAP

DTE 172.25.3.0/24 DCE


.2/S0 Serial .1/S0
hostname SantaCruz
username HQ password boardwalk

interface Serial0
ip address 172.25.3.2 255.255.255.0
encapsulation ppp
ppp authentication chap hostname HQ
ppp chap hostname OTRO* username SantaCruz password boardwalk
*OPCIONAL
interface Serial0
ip address 172.25.3.1 255.255.255.0
encapsulation ppp
ppp authentication chap
ppp chap hostname Cualquiera*
*OPCIONAL
Para tener en cuenta

 En CHAP se usan los nombres de host a


menos que se agregue el comando: ppp
chap hostname
 El nombre de host debe ser igual al
username enviado por el host remoto (no
sensible a las mayúsculas).
 Los Passwords son sensibles a mayúsculas
y deben ser iguales entre routers.
PPP Multienlace

 Se utiliza cuando es necesario agrupar


múltiples enlaces seriales para actuar como
un solo enlace  Agregación de BW.
Configurando PPP Multienlace

hostname SantaCruz hostname HQ


multilink Virtual-Template 1 multilink Virtual-Template 1
interface loopback 0 interface loopback 0
ip address 192.168.1.1 / 30 ip address 192.168.1.2 / 30
interface Virtual-Template1
ip unnumbered loopback0 interface Virtual-Template1
ppp multilink ip unnumbered loopback0
interface Serial0 ppp multilink
no ip address interface Serial0
encapsulation ppp no ip address
ppp multilink encapsulation ppp
interface Serial1 ppp multilink
no ip address interface Serial1
encapsulation ppp no ip address
ppp multilink encapsulation ppp
interface Serial2 ppp multilink
no ip address interface Serial2
encapsulation ppp no ip address
ppp multilink encapsulation ppp
ppp multilink
PPP Multienlace con RDSI

 PPP Multienlace es común con RDSI.


 Antes de MLP, 2 o más canales RDSI B no podían
ser usados en una forma estandarizada asegurando
secuenciamiento. MLP es más efectivo cuando se
usa RDSI.
Balanceo de Carga

 PPP Multienlace ofrece además balanceo de carga sobre las


interfaces del router que usan PPP
 Fragmentación y secuenciamiento de Paquetes, como se
especifica en la RFC 1717,
 Fragmentación de paquetes y Secuenciamiento, como se
específica en RFC 1717, separa la carga para ppp y se envían
fragmentos sobre circuitos paralelos.
 Los tubos PPP multienlace funcionan como un solo enlace
lógico, mejorando el desempeño y reduciendo el retardo entre
routers.
 Antes a MLP, 2 o más Canales RDSI B no podían usarse en
forma estandarizada asegurando secuenciamiento.
Configurando Compresión

 PPP permite la compresión por Software.


 Puede afectar significativamente el desempeño del sistema.
 No se recomienda si la mayoría del tráfico está formado por
archivos comprimidos (mp3, jpg, zip, entre otros)

 Para configurar compresión:

Router(config)#interface serial 0/0


Router(config-if)#encapsulation ppp
Router(config-if)#compress [predictor|stac|mppc]
Más información de
Compresión
 Cisco soporta varios tipos de compresión:
 Predictor Determina si el dato ya está comprimido. Si es
así, solo lo envía, de ninguna forma intentará comprimirlo
si ya está comprimido.
 Stacker  Una compresión basada en el algoritmo de
Lemp Lempel-Ziv (LZ) mira en el dato y envía cada tipo de
dato únicamente una vez con información acerca de dónde
ocurre el tipo dentro de la trama. El receptor usa esta
información para reensamblar la trama
 MPPC  Este protocolo (RFC 2118) permite a los routers
Cisco intercambiar los datos comprimidos con los clientes
Microsoft. MPPC usa un algoritmo de compresión basado
en Lempel-Ziv.
 TCP header compression  Este tipo de compresión es
usada para los encabezados TCP.
Notas importantes en
Compresión
 El mayor % de compresión usualmente se alcanza con archivos
de texto.
 Los archivos ya comprimidos como JPEG o MPEG, son
únicamente comprimidos 1:1 o menos.
 Intentar comprimir datos ya comprimidos puede generar
paquetes de mayor tamaño que los originales.
 La compresión de datos produce degradación del desempeño
porque se hace en software no en hardware.
 La compresión hace uso intensivo de CPU o memoria,
dependiendo el tipo de algoritmo utilizado
 Predictor hace uso más intenso de la memoria y menos de la
CPU,
 Stacker y MPPC utilizan más la CPU y menos la memoria.
Detección de Errores

 Link Quality Monitoring (LQM) está disponible en


todas las interfaces seriales PPP
 LQM monitoreará la calidad del enlace y si la
calidad pasa un porcentaje configurado, el enlace
se bajará automáticamente.
 Los porcentajes son calculados para ambas
direcciones, entrante y saliente.

Router(config)#interface serial 0/0


Router(config-if)#encapsulation ppp
Router(config-if)#ppp quality XX
debug ppp negotiation

 El comando debug ppp negotiation habilita para ver las


transacciones de negociación PPP, identifica el problema o
estado cuando ocurre un error y ayuda a encontrar una
solución.
 Durante la negociación, el enlace pasa por varias fases.
 El resultado final indicará si PPP funcionó o no, y por tanto si
la interfaz está arriba o abajo.

Router#debug ppp negotiation


PPP protocol negotiation debugging is on
BR0:1 LCP: State is Open
PPP: Phase is AUTHENTICATING
BR0:1 IPCP: State is Open
debug ppp negotiation
debug ppp authentication

 El comando debug ppp authentication muestra


la secuencia de intercambio en la autenticación.
 Con autenticación de dos-vías configurada, cada
router autentica al otro.
 Los mensajes aparecen para ambos procesos: el
que autentica y el que es autenticado.