Architecture de référence PPPoE pour l'UAC Cisco 6400

Options de téléchargement

  • PDF     (449.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (143.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (191.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:1 juin 2005
ID du document:12915

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit une architecture de ligne d'abonné numérique à débit asymétrique (ADSL) qui utilise de bout en bout le protocole point-à-point sur Ethernet (PPPoE).

Dans l'environnement actuel des technologies d'accès, il est souhaitable de connecter plusieurs hôtes sur un site distant via le même périphérique d'accès sur site du client. Il est également essentiel de fournir une fonctionnalité de contrôle d'accès et de facturation similaire aux services commutés qui utilisent le protocole point à point (PPP). Dans de nombreuses technologies d'accès, la méthode la plus rentable pour relier plusieurs hôtes au périphérique d'accès du site du client est l'Ethernet. En outre, il est souhaitable de maintenir le coût de ce dispositif aussi bas que possible et le besoin de configuration moindre ou nul.

Lorsque les clients déploient l'ADSL, ils doivent prendre en charge l'authentification et l'autorisation de type PPP sur une vaste base installée d'équipements de passerelle client (CPE). PPPoE permet de connecter un réseau d'hôtes via un simple périphérique d'accès par pontage à un concentrateur d'accès distant ou à un concentrateur d'agrégation. Avec ce modèle, chaque hôte utilise sa propre pile PPP. Par conséquent, il présente à l'utilisateur une interface utilisateur familière. Vous pouvez accéder au contrôle, à la facturation et au type de service par utilisateur et non par site.

Hypothèse

L'architecture de référence suppose que ces éléments sont fournis :

  • Accès Internet haut débit et accès de l'entreprise à l'abonné final qui utilise PPPoE.

  • La technologie ATM en tant que technologie de réseau fédérateur, mise en oeuvre par le concentrateur d'accès universel Cisco 6400 (UAC).

Cette restriction d'implémentation de conception peut limiter l'utilisation de cette architecture sur d'autres plates-formes, mais PPPoE évolue constamment. Lisez les dernières notes de version des produits associés afin de tirer parti des nouvelles fonctionnalités et des mises à jour.

Ce document est basé sur les déploiements actuels ainsi que sur les tests internes qui utilisent le Cisco 6400 UAC. Ce document est une suite du document PPPoA Baseline Architecture et y fait souvent référence. Nous supposons que vous avez lu le livre blanc sur l'architecture de référence PPPoA et que vous comprenez les principes fondamentaux de PPP, et que vous avez lu les notes de version de la dernière version logicielle.

Présentation technologique

Comme indiqué dans la RFC 2516, PPPoE comporte deux étapes distinctes : une étape de découverte et une étape de session PPP. Lorsqu'un hôte lance une session PPPoE, il doit d'abord effectuer une détection afin d'identifier quel serveur peut répondre à la demande du client. Deuxièmement, il doit identifier l'adresse MAC Ethernet de l'homologue et établir un ID de session PPPoE. Bien que PPP définisse une relation d'homologue à homologue, la découverte est par nature une relation client-serveur.

Dans le processus de détection, un hôte (le client) détecte un ou plusieurs concentrateurs d’accès (les serveurs) et en sélectionne un. Une fois la détection terminée, l’hôte et le concentrateur d’accès sélectionné disposent des informations nécessaires pour établir leur connexion point à point sur Ethernet. Une fois qu’une session PPP est établie, l’hôte et le concentrateur d’accès doivent allouer les ressources pour une interface virtuelle PPP (ce qui n’est probablement pas le cas pour toutes les mises en oeuvre). Pour plus d'informations sur la spécification PPPoE, reportez-vous à la RFC 2516.

Avantages et inconvénients de l'architecture PPPoE

L'architecture PPPoE hérite de la plupart des avantages du protocole PPP utilisé dans le modèle d'accès commuté et dans l'architecture PPPoA. Ces sections répertorient certains des principaux avantages et inconvénients de PPPoE et expliquent en quoi ils diffèrent de PPPoA.

Avantages

Voici quelques-uns des principaux avantages de PPPoE et leurs différences par rapport à PPPoA :

  • Authentification par session basée sur le protocole d'authentification de mot de passe (PAP) ou le protocole d'authentification à échanges confirmés (CHAP). Il s'agit du plus grand avantage de PPPoE, car l'authentification permet de combler les failles de sécurité dans une architecture de pontage.

  • La comptabilité par session est possible, ce qui permet au fournisseur de services de facturer l'abonné en fonction du temps de session pour divers services offerts. Le fournisseur de services peut également exiger des frais d'accès minimes.

  • Vous pouvez utiliser PPPoE sur les installations CPE actuelles qui ne peuvent pas être mises à niveau vers PPP ou qui n'ont pas la capacité d'exécuter PPPoA, ce qui étend la session PPP sur le réseau local Ethernet ponté au PC.

  • PPPoE préserve la session point à point utilisée par les fournisseurs d'accès Internet (FAI) dans le modèle de numérotation actuel. PPPoE est le seul protocole capable d'exécuter une liaison point à point sur Ethernet sans nécessiter de pile IP intermédiaire.

  • Le fournisseur d'accès réseau (NAP) ou le fournisseur de services réseau (NSP) peut fournir un accès sécurisé à une passerelle d'entreprise sans la gestion de circuits virtuels permanents (PVC) de bout en bout et sans l'utilisation de tunnels de routage de couche 3 et/ou de protocole de tunnellisation de couche 2 (L2TP). Le modèle commercial de la vente de services en gros et de réseaux privés virtuels (VPN) est ainsi évolutif.

  • Le protocole PPPoE permet à un hôte (PC) d'accéder à plusieurs destinations à la fois. Vous pouvez avoir plusieurs sessions PPPoE par circuit virtuel permanent.

  • Le NSP peut se surabonner en déployant des délais d'inactivité et de session à l'aide d'un serveur RADIUS (Remote Authentication Dial-In User Service) standard pour chaque abonné.

  • Vous pouvez utiliser le protocole PPP avec la fonctionnalité SSG (Service Selection Gateway).

Inconvénients

Voici quelques inconvénients clés du protocole PPPoE et leurs différences par rapport au protocole PPPoA :

  • Vous devez installer le logiciel client PPPoE sur tous les hôtes (PC) qui se connectent au segment Ethernet. Cela signifie que le fournisseur d’accès doit gérer l’équipement d’abonné et le logiciel client sur le PC.

  • Comme la mise en oeuvre PPPoE utilise le pontage RFC 1483, elle est susceptible de subir des tempêtes de diffusion et d'éventuelles attaques par déni de service.

Considérations de mise en oeuvre pour l'architecture PPPoE

Voici quelques points clés à prendre en compte avant de mettre en oeuvre ce type d'architecture.

  • Nombre d'abonnés pris en charge. Le nombre de serveurs PPPoE requis dépend du nombre de sessions.

  • Indique si les sessions PPP se terminent au niveau du routeur d'agrégation du fournisseur de services ou si elles sont transmises à d'autres passerelles d'entreprise ou à des FAI.

  • Indique si le fournisseur de services ou la destination finale du service fournit l'adresse IP.

  • Dans le cas de plusieurs utilisateurs, si tous les utilisateurs doivent atteindre la même destination finale ou le même service, ou s'ils ont tous des destinations de service différentes. Les abonnés finaux ont-ils besoin d'un accès simultané à plusieurs destinations ?

  • Le logiciel client PPPoE utilisé par le fournisseur d'accès et si le logiciel a été testé, le système d'exploitation utilisé par l'hôte et si ce système d'exploitation peut prendre une décision de routage intelligente.

  • Comment le fournisseur de services facture les abonnés en fonction d'un taux forfaitaire, de l'utilisation par session ou des services utilisés.

  • Déploiement et fourniture d’équipements d’abonné, de multiplexeurs DSL et de points de présence d’agrégation (POP).

  • Le modèle commercial du PAN. Le modèle inclut-il également la vente de services de gros tels que l'accès sécurisé pour les entreprises et des services à valeur ajoutée tels que la voix et la vidéo ? Les NAP et les NSP sont-ils la même entité ?

  • Le modèle commercial de l'entreprise. Est-elle comparable à une entreprise de services locaux indépendante (ESLT), à une entreprise de services locaux concurrente (ESLC) ou à un FSI ?

  • Types d'applications que le NSP offre à l'abonné final.

  • Volume anticipé en amont et en aval du flux de données. Tenez compte du débit NRP, de l'ingénierie du trafic et de tout problème de QoS.

Ce document explique comment l'architecture PPPoE s'adapte et s'adapte à différents modèles commerciaux pour les fournisseurs de services et comment les fournisseurs peuvent bénéficier de l'aide de cette architecture.

Architecture réseau

pppoe_arch1.gif

Considérations de conception pour l'architecture PPPoE

Cette section traite des problèmes spécifiques à l'architecture PPPoE.

Avant le déploiement d'une architecture, il est essentiel de comprendre le modèle commercial du fournisseur de services et les services qu'il propose. Vous devez connaître le logiciel client qui est utilisé sur le PC. Le logiciel le plus répandu provient du logiciel Routerware. Le logiciel client étant installé sur un PC, le technicien du fournisseur de services doit avoir une bonne connaissance de ce PC et de son système d’exploitation.

Comme indiqué dans la RFC 2516, l'option MRU (Maximum Receive Unit) ne doit pas négocier une taille supérieure à 1 492. Ethernet a une taille de charge utile maximale de 1 500 octets. L'en-tête PPPoE est de 6 octets et l'ID de protocole PPP est de 2 octets, de sorte que l'unité de transmission maximale PPP (MTU) ne doit pas être supérieure à 1492. Ceci est réalisé avec la configuration de l'IP MTU 1492 pour les interfaces de modèle virtuel PPPoE.

Par défaut, aucune interface d'accès virtuelle n'est préclonée lorsqu'un groupe VPDN PPPoE est configuré. Les utilisateurs peuvent modifier le nombre maximal d'interfaces d'accès virtuelles préclonées en exécutant la commande globale virtual-template <number> pre-clone <number>.

Afin de protéger le routeur contre les attaques par déni de service, PPPoE (par défaut) permet d'obtenir une seule session à partir d'une adresse MAC sur un circuit virtuel. Les utilisateurs peuvent émettre les commandes pppoe session-limit per-mac et pppoe session-limit per-vc afin de modifier les valeurs par défaut.

Le processus de comptabilisation, d'autorisation et d'authentification est le même que celui de PPPoA. La seule différence est qu'actuellement, l'authentification basée sur VPI/VCI, qui est disponible pour PPPoA et non disponible pour PPPoE, peut utiliser les architectures L2TP et SSG pour les services de gros.

Points clés de l'architecture PPPoE

CPE

Le CPE est configuré pour le pontage RFC 1483 pur. Chaque CPE ne consomme qu'une paire VPI/VCI et toutes les sessions PPPoE initiées par les hôtes derrière ce CPE sont transférées dans ce seul VC.

Gestion IP

pppoe_arch2.gif

L'allocation d'adresses IP pour l'hôte individuel qui exécute le client PPPoE est basée sur le même principe de PPP en mode de numérotation-négociation IPCP. L'origine de l'adresse IP dépend du type de service que l'abonné achète et de l'endroit où les sessions PPP se terminent. PPPoE utilise la fonctionnalité d'accès réseau à distance de Microsoft Windows et l'adresse IP attribuée est reflétée dans l'adaptateur PPP.

L'attribution de l'adresse IP peut provenir du concentrateur d'accès qui termine les sessions PPPoE ou, dans le cas de L2TP, des passerelles d'accueil. L'adresse IP est attribuée à chaque session PPPoE.

Le CPE ne peut pas effectuer la traduction d'adresses réseau/le protocole de configuration d'hôte dynamique (NAT/DHCP), car il est ponté et aucune adresse IP ne lui est attribuée.

Comment la destination du service est atteinte

Voici les moyens d'atteindre la destination du service :

  • Fin des sessions PPP chez le fournisseur de services

  • Tunnellisation L2TP

  • Avec l'utilisation de SSG

Les explications détaillées de ces architectures sont traitées dans des documents distincts.

Description opérationnelle de PPPoE

Cette version du logiciel client PPPoE prend en charge les étapes de détection et de session décrites dans la RFC 2516. La phase de découverte comporte quatre étapes. Une fois l'opération terminée, les deux homologues connaissent l'ID de session PPPoE et l'adresse Ethernet de l'homologue, qui définissent ensemble de manière unique la session PPPoE. Voici les étapes à suivre :

  1. L’hôte diffuse un paquet d’initiation.

    L'hôte envoie le paquet PPPoE Active Discovery Initiation (PADI) avec l'adresse de destination définie sur l'adresse de diffusion. Le PADI se compose d'une balise qui indique le type de service qu'il demande.

  2. Un ou plusieurs concentrateurs d'accès envoient des paquets d'offre.

    Lorsque le concentrateur d'accès ou le routeur reçoit un PADI qu'il peut servir, il envoie un paquet d'offre de découverte active (PADO) PPPoE. L’adresse de destination est l’adresse de monodiffusion de l’hôte qui a envoyé le PADI. Si le concentrateur d'accès ne peut pas servir le PADI, il ne doit pas répondre avec un PADO. Comme le PADI a été diffusé, l'hôte peut recevoir plusieurs PADO.

    pppoe_arch3.gif

  3. L’hôte envoie un paquet de requête de session de monodiffusion.

    L’hôte examine les paquets PADO qu’il reçoit et en choisit un. Le choix est basé sur les services offerts par chaque concentrateur d'accès. L’hôte envoie ensuite un paquet PADR au concentrateur d’accès de son choix. Le champ destination_addr est défini sur l'adresse Ethernet de monodiffusion du concentrateur d'accès ou du routeur qui envoie le PADO.

  4. Le concentrateur d'accès sélectionné envoie un paquet de confirmation.

    Lorsque le concentrateur d’accès reçoit un paquet PADR, il se prépare à démarrer une session PPP. Il génère un ID de session unique pour la session PPPoE et répond à l'hôte avec un paquet de confirmation de session de découverte active PPPoE. Le champ destination_addr est l'adresse Ethernet de monodiffusion de l'hôte qui envoie le PADR.

Une fois la session PPPoE lancée, les données PPP sont envoyées comme dans toute autre encapsulation PPP. Tous les paquets Ethernet sont en monodiffusion.

Un paquet PPPoE active discovery termination (PADT) peut être envoyé par l'hôte ou le concentrateur d'accès à tout moment après l'établissement d'une session afin d'indiquer qu'une session PPPoE a été interrompue.

Pour une explication plus détaillée, reportez-vous à la RFC 2516.

Conclusion

Pour l'ADSL, le protocole PPPoE gagne en popularité et arrive juste après le protocole PPPoA.

Références

  • RFC 2516 - Méthode de transmission PPP sur Ethernet (PPPoE)

  • RFC 1483 - Encapsulation multiprotocole sur la couche 5 d'adaptation ATM

  • RFC 2364 - Point à point sur AAL5

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
10-Dec-2001
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco