Топалов

Стиск заголовка протоколу TCP. Повний опис стиску заголовка TCP подано в документації RFC 1144. На послідовних лініях воно підтримується з використанням інкапсуляції HDLC, РРР і SLIP. Для того, щоб здійснювався стиск заголовка TCP, воно повинне бути включене на обох кінцях з'єднання. При цьому стискуються тільки заголовки TCP, а заголовки UDP стиску не піддаються.

3.2.Протокол з’єднання типу “точка-точка” поверх Ethernet PPPoE

(Point-to-point protocol over Ethernet)

Технологія використання стека PPP в мережі Ethernet на даний момент визначається документом RFC 2516, який був розроблений і випущений в лютому 1999 році. Родоначальниками розробки цього документа були компанії

RedBack Networks, RouterWare, UUNET та інші. Використання цього протоколу надає провайдерам послуг Інтернет нові можливості в організації та обліку доступу користувачів до мережі. Це особливо актуально для тих провайдерів, які планують або вже пропонують своїм користувачам доступ до Інтернет за допомогою мережі Ethernet, наприклад, в сучасних житлових комплексах. Структурна схема організації такого доступу зображено на рис. 3.7

Internet

PPPoE

Абоненти

Рисунок 3.7 – Схема організації доступу за протоколом PPPoE

Заслуговує на особливу увагу той факт, що для налаштування маршрутизатора провайдера, установки комутатора в під'їзді житлової будівлі, мережної

41

карти та в деяких випадках невеликого програмного забезпечення в комп’ютері користувача не потрібний модем, немає необхідності займати єдину телефонну лінію, оскільки провайдер послуг тепер може організовувати доступ і облік трафіка користувачів таким чином, немов би користувач працює по звичайному модемному каналу. Така реалізація стала можливою завдяки технології PPPoE, яка запускає сесію PPP, але не поверх модемного з'єднання, а поверх мережі

Ethernet.

При цьому, підтримуватиметься автентифікація користувачів за допомогою протоколів PAP і CHAP, динамічне виділення IP адрес користувачам, призначення адреси шлюзу, DNS-сервера і так далі.

Технологія PPPoE на даний момент є однією з найдешевших при наданні користувачам доступу до послуг Інтернет у житлових комплексах на базі Ethernet і при використанні технології DSL.

Оскільки, принципом роботи PPPoE є встановлення з'єднання "точкаточка" поверх загального середовища Ethernet, то процес функціонування PPPoE має бути роздільний на дві стадії. У першій стадії два пристрої повинні повідомити один одному свої адреси і встановити початкове з'єднання, а в другій стадії запустити сесію PPP.

1) Стадія встановлення з'єднання.

Стадія встановлення з’єднання між абонентом (комп'ютером користувача) і BRAS сервером ділиться на декілька етапів (рис. 3.8).

PADI

PADO

PADR

PADS (Session ID)

LCP

Рисунок 3.8 – Етапи встановлення з'єднання

На першому етапі клієнт посилає широкомовний запит (адреси призна-

чення – broadcast address) (PADI PPPoE Active Discovery Initiation) на пошук сервера із службою PPPoE. Цей запит отримують всі абоненти мережі, але відповість на нього лише той, у кого є підтримка служби PPPoE. У відповідь пакет

42

від BRAS (PADO PPPoE Active Discovery Offer) посилається у відповідь клієн-

тові, але якщо в мережі є багато пристроїв зі службою PPPoE, то клієнт отримає багато пакетів PADO. У цьому випадку, програмне забезпечення клієнта вибирає необхідний йому концентратор доступу і посилає йому пакет (PADR PPPoE Active Discovery Request) з інформацією про необхідну службу (необхідний клас обслуговування залежить від послуг провайдера) ім'я провайдера і так далі. Після отримання запиту, BRAS готується до PPP сесії і посилає клієнтові па-

кет PADS (PPPoE Active Discovery Session-confirmation). Якщо всі запрошувані клієнтом служби доступні (до складу цього пакету входить унікальний номер сесії, привласнений BRAS), то починається другий етап - стадія встановлення сесії. Якщо потрібні клієнтом послуги не можуть бути надані, клієнт отримує пакет PADS із вказівкою помилки в запиті послуги.

2) Стадія встановлення сесії

Сесія починається з використання пакетів PPP. При встановленні PPP-сесії абонент може бути автентифікований за допомогою протоколу CHAP (Challenge Handshake Authentication Protocol). Після цього BRAS обміняється отриманою інформаціею від абонента з RADIUS сервером і абонентові можна призначити динамічну адресу IP з пулу адрес BRAS, встановити налаштування шлюзу і DNS-сервера. При цьому на BRAS клієнтові відповідно ставиться віртуальний інтерфейс.

Завершення з’єднання PPPoE відбувається за ініціативою клієнта або

BRAS за допомогою посилання пакету PADT (PPPoE Active Discovery

Terminate).

У протоколі PPPoE передбачені деякі додаткові функції, наприклад, такі як захист від DOS атак (Denial of Service). Захист від деяких типів DOS атак реалізований шляхом додавання в пакети PADI спеціального поля AC-Cookie, яке дозволяє BRAS обмежувати кількість одночасних сесій PPPoE на одного клієнта.

Оскільки, протокол PPPoE, цілком заснований на роботі протоколу PPP, опишемо принцип роботи даного протоколу.

Протокол PPP (Point-to-Point Protocol; RFC-2716 -2701, -2688, -2687, - 2686, -2615, -2516, -2509, -2508, -2507, -2484, -2472, -2433, -2420, -2419, -2364, - 2363, -2290, -2284, -2153, -2125, -2097, -2043, -1994, -1993, -1990, -1989, -1979, - 1978, -1977, -1976, -1975, -1974, -1973, -1969, -1968, -1967, -1963, -1962, -1915, - 1877, -1841, -1764, -1763, -1762, -1663, -1662, -1661, -1638, -1619, -1618, -1598, - 1570, -1552, -1378, -1377, -1334, -1332, -1331, і STD-51) призначений для пере-

дачі мультипротокольних дейтограм від одного вузла до іншого. Сам по собі список RFC, поданий вище, вражаючий. Він говорить про те, що даний протокол належить до найбільш важливих і широко використовуваних. Це і зрозуміло: більшість регіональних провайдерів будуються з використанням з'єднань точка-точка.

Протокол містить в собі три складові частини:

– метод інкапсуляції дейтограм при передачі по послідовних комунікаційних каналах;

43

–протокол LCP (Link Control Protocol) для встановлення, конфігурації і тестування інформаційних каналів;

–набір протоколів NCP (Network Control Protocol) для встановлення і конфігурації різних протоколів мережного рівня.

Протокол управління каналом LCP є частиною PPP. Ідеологія NCP реалізована і у протоколі TCP. Кожен кадр PPP починається і завершується прапором 0x7E. За стартовим прапором-октетом слідує байт адреси, яка завжди рівна 0xFF. Формат кадру PPP уявлень на рис. 1.5. Кадр PPP може містити тільки ціле число байт. При інкапсуляції пакетів у PPP використовується біт-

ориєнтований протокол HDLC (High-level Data Link Control).

Рисунок 3.9 – Формат кадру PPP

Поле адреси завжди містить байт 0xff. Це указує на те, що всі станції повинні прийняти цей кадр і виключає необхідність виділення якихось спеціальних адрес. Байт управління завжди дорівнює 0x03, що указує на ненумерований тип кадру. За замовчуванням кадри PPP передаються в режимі без встановлення з'єднання. Якщо потрібна надійна доставка, використовується версія, описана в RFC-1663. Двохоктетне поле протоколу схоже за функціями з полем тип в кадрі Ethernet і визначає те, як слід інтерпретувати інформаційне поле. Значення 0x0021 цього поля говорити про те, що подалі інформаційне поле містить в собі IP-дейтограму. Поле CRC (Cyclic Redundancy Check) є циклічною контрольною сумою, призначеною для виявлення помилок при транспортуванні PPP-кадра. Застосування прапорів-обмежувачів кадру (0x7E) створює певні проблеми, ці байти не можуть бути присутніми в інформаційному полі. У синхронному режимі ця проблема вирішується на апаратному рівні. При роботі в асинхронному режимі для цього використовується спеціальний ESC-символ, рівний 0x7D. Коли цей esc-символ зустрічається в інформаційному полі, шостий біт в наступному за ним байті інвертується. Так байт 0x7E буде перетворений в послідовність 0x7D, 0x5E, а байт 0x7D - в два байти 0x7D, 0x5D. Всі символи з кодами менше 0x20 також перетворяться в ESC-послідовність. Наприклад, 0x07 буде перетворений в 0x7D, 0x27. Це необхідно робити, оскільки символи, які управляють, можуть надати непередбачувані дії на режим роботи драйверів або модемів, використовуваних в каналі.

44

Значення код поля протоколу від 0xxx до 3xxx ідентифікують протоколи мережного рівня, а значення в інтервалі 8xxx-Bxxx говорять про те, що протокол відповідає NCP. Коди з діапазону 4xxx-7xxx використовуються для протоколів з низьким рівнем трафіка, а коди від Сxxx до Exxx відповідають протоколам, що управляють (наприклад, LCP).

Протокол PPP при встановленні з'єднання передбачає процедуру автентифікації, яка є опційною. Після переходу на мережний рівень викликається NCP-протокол, який виконує необхідну конфігурацію каналу.

За ініціативою клієнта система може спробувати встановити з'єднання. У разі успіху система переходить у фазу автентифікації. Якщо ж і фаза автентифікації завершується благополучно, система виконує підключення до мережі (IP, IPX, Appletalk і так далі), налаштування мережного рівня проводиться в рамках протоколу NCP. У решті всіх випадків відбувається повернення в початковий стан. Процедура закриття з'єднання здійснюється протоколом LCP.

У полі даних PPP-пакета може бути вкладений один LCP-пакет, в цьому випадку в полі протокол має бути записаний код 0xC021 (Link Control Protocol). LCP-протокол служить для встановлення з'єднання шляхом обміну конфігураційними пакетами. Після закінчення цього обміну система переходить у фазу автентифікації (рис. 3.10). Формат LCP-пакета показаний на рис. 3.10.

Рисунок 3.10 – Формат заголовка LCP-пакета

Слідом за заголовком слідує поле даних. Поле код (1 октет) ідентифікує модифікацію LCP-пакета. Якщо отриманий пакет з невідомим полем код, посилається пакет-відгук «відхилення коду». Поле ідентифікатор (1 октет) служить для знаходження відповідності між запитами і відгуками. Якщо отриманий пакет з неправильним ідентифікатором, він просто знищується. Двохоктетне поле довжина визначає розмір LCP-пакета, включаючи розмір заголовка. Октети прийнятого пакета за межами, заданими полем довжини, ігноруються.

Як приклад, можна розглянути процедуру підключення ПК до сервера. Після того, як маршрутизатор відповість на виклик абонента і встановить фізичне з'єднання, ПК посилає послідовність LCP-пакетів, вкладених в поля даних одного або декількох PPP-кадрів. Це дозволяє вибрати необхідні параметри PPP. Після закінчення цієї процедури посилається послідовність NCP-пакетів, які конфігурують мережний рівень. Ймовірно, ПК захоче працювати із стеком протоколів TCP/IP і з цієї причини потребує IP-адресу. Привласнення IP-адреси здійснюється також в рамках NCP-протоколу. Завершення сесії і звільнення IPадреси виконується також через NCP-протокол. Розірвавши з'єднання здійснює протокол LCP.

45

За полем довжина можуть слідувати поля опцій. Опції визначаються все відразу на фазі конфігурації каналу. Опис опції містить однооктетні субполя типу і довжини, за якими слідує поле даних. Значення субполя типу подані нижче в таблиці 3.1.

Таблиця 3.1 – Інформаційне поле протоколу РРР

Існує три класи LCP-пакетів:

1.Пакети конфігурації каналу, які використовуються при формуванні вір-

туального каналу (Configure-Request, Configure-ACK, Configure-Nak і ConfigureReject).

2.Пакети закриття каналу (Terminate-Request і Terminate-ACK).

3.Пакети підтримка, які служать для управління і відладки (Code-Reject, Protocol, Reject, Echo-Request, Echo-Reply і Discard-Request).

Аналогом LCP є протокол IPCP (IP Control Protocol). У полі код протоколу в цьому випадку записується 8021 (RFC-1332). Формат пакета IPCP показаний на рис. 3.11.

Рисунок 3.11 – Формат пакета IPCP

Поле тип містить 2, в полі довжина заноситься число байт в пакеті ( 4). У полі протокол стискування IP заноситься код алгоритму стискування (0х02D – у разі алгоритму Ван Джекобсона). Поле дані може містити нуль або більш за октети. Конфігураційний запит може зажадати присилання (привласнення) IP-адреси. Для вирішення цього завдання передбачена опція IPCP-пакета, де поле тип=3, довжина=6, а подальші 4 байти виділено для IP-адреси, куди відправник повинен його записати. Якщо туди записані нулі, це говорить про те, що відправник запитує свою IP-адресу.

46

Для випадку запиту Discard-Request між полями довжина і дані поміщається 4-байтове поле Magic-Number (магічне число).

Протокол PPP багатоликий, він здатний підтримувати і багатоканальні з'єднання (RFC-1990). Це буває корисно при роботі через ISDN, X.25, Frame Relay або при необхідності розширити пропускну спроможність за рахунок підключення декількох паралельних каналів (MP – MultiLink Protocol).

При цьому однією з проблем є розподіл пакетів за каналами і подальше їх впорядкування приймаючою стороною. Особливої обережності в цьому випадку слід дотримуватися при використанні заповнювачів. У цьому режимі по віртуальному каналу MultiLink забороняється посилати конфігураційні LCP-

пакети Configure-Request, -Reject, -ACK, -Nak, Terminate-Request або -ACK.

Приймаюча сторона у разі їх виявлення повинна їх ігнорувати. Застосування інших LCP-пакетів допускається (наприклад, Code-Reject, Protocol-Reject, EchoRequest, Echo-Reply і Discard-Request). Формат MP пакета поданий на рис. 3.12.

Рисунок 3.12 – Формат MP пакета

Поля PID – ідентифікатор протоколу. Субполе B (Beginning) – біт фрагмента =1 для першого фрагмента PPP і =0 для всіх подальших фрагментів. Субполе E (Ending) – біт фрагмента =1 для останнього фрагмента PPP і =0 для всіх інших фрагментів. Поле номер порядковий має довжину 24 біта. Існує модифікація пакета з скороченим кодом (12 бітний) номера порядкового. При цьому до цього поля відходять 4 нульові біта після BE00. Вибір довжини цього поля здійснюється протоколом LCP. Значення поля збільшується на 1 при посилці чергового фрагмента. Для вищерозміщених рівнів сукупність спільно використовуваних каналів виглядає як один віртуальний канал.

При передачі пакетів каналом Multilink інкапсуляція проводиться згідно наступних правил, які задаються вручну:

–ніякого асинхронного управління кодуванням символів;

–заборона використання магічних чисел;

–заборонене моніторіювання якості каналу;

–стиснення полів адреси, протоколу й управління;

47

–ніяких складених кадрів;

–заборона заповнення з самоописом (Self-Describing-Padding).

Після встановлення з'єднання цикли РРР транспортуються всередині циклів Ethernet разом із спеціальним службовим заголовком (а shim header), який забезпечує мультиплексування сеансів зв'язку.

Важливо також відзначити, що протокол PPPoE не залежить від типу технології доступу. Хоча вище згадувалися лише технології доступу типу xDSL, спосіб PPPoE з таким же успіхом застосований до таких методів доступу, як кабельні модеми, системи безпровідного доступу й комбіновані мідно-оптичні системи типу FTTC («Оптичне волокно до шафи») і ін.

У методу РрроЕ є ще одна корисна властивість, яка надає кінцевим користувачам право вибору типу мережної послуги. Цю функцію часто називають функцією додаткового вибору послуги. Вона дозволяє кінцевим користувачам змінювати адресат мережі на вимогу й навіть мати безліч сеансів зв'язку з різними мережами зв'язку одночасно з одного приміщення користувача через єдину лінію доступу

Провайдери мережних послуг можуть ефективно перепродувати численні віртуальні з'єднання, кожне зі своїми властивостями, індивідуальному користувачеві або різним користувачам того ж самого сегменту Ethernet. Користувачем може бути, наприклад, надомний працівник, чиї рахунки за послуги зв'язку оплачуються його корпорацією, а вночі користувачем того ж з'єднання може бути той же користувач, що використовує його для індивідуального доступу до Інтернет і, отже, що сам оплачує цю послугу. При цьому доступ до кожної із вказаних послуг природно регламентується власним ідентифікатором.

PPPoE (англ. Point-to-point protocol over Ethernet) – мережний протокол канального рівня передачі кадрів PPP через Ethernet. В основному використовується xDSL-сервісами. Надає додаткові можливості (автентифікація,стиснення даних,шифрування).

На жаль, його MTU нижче, ніж на стандартному Ethernet, що іноді викликає проблеми з погано настроєними міжмережними екранами.

PPPoE – це тунелюючий протокол, який дозволяє набудовувати (або інкапсулірувати) IP, або інші протоколи, які нашаровуються на PPP, через з'єднання Ethernet, але із програмними можливостями PPP з'єднань, і тому використовується для віртуальних «дзвінків» на сусідню Ethernet-Машину й установлює з'єднання точка-точка, що використовується для транспортування IP-пакетів, що працює з можливостями PPP.

Це дозволяє застосовувати традиційне PPP-Орієнтоване ПО для настроювання з'єднання, що використовує не послідовний канал, а пакетноорієнтовану мережу (як Ethernet), щоб організувати класичне з'єднання з логіном, паролем для Інтернет-З'єднань. Також, IP-адреса по іншу сторону з'єднання призначається тільки тоді коли PPPoE з'єднання відкрите, дозволяючи динамічне перевикористання IP адрес.

PPPoE розроблений UUNET, Redback Networks і RouterWare. Протокол,

описаний в RFC 2516.

48

Варто відзначити, що деякі постачальники устаткування (Ciscoі Juniper, наприклад) використовують термін PPPoEoE (PPPoE over Ethernet), що означає PPPoE, що працює прямо через Ethernet або інші IEEE 802.3 мережі, а також PPPoE, що працює через зв'язані в Ethernet (Ethernet bridged over) ATM, для то-

го щоб відрізняти від PPPoEoA (PPPoE over ATM), що працює на ATM virtual circuit за специфікаціею RFC 2684 і SNAP і інкапсулює PPPoE. PPPoEoA – це не те ж саме, що Point-to-Point Protocol over ATM (PPPoA), оскільки він не викори-

стовує SNAP.

Робота PPPoE здійснюється в такий спосіб. Існує Ethernet-Середовище, тобто кілька з'єднаних мережних карт, які адресуються MAC- адресами.Заголовки Ethernet-кадрів містять адреси відправника кадру, адреса одержувача кадру й тип кадру. Одну з карт слухає PPPoE сервер. Клієнт посилає широкомовний Ethernet кадр, на який повинен відповісти PPPoE сервер (адреса відправника кадру – своя MAC-Адреса, адреса одержувача кадру –

FF:FF:FF:FF:FF:FF і тип кадру – PPPoE Active Discovery Initiation). PPPoE сер-

вер посилає клієнтові відповідь (адреса відправника кадру – своя MAC-Адреса, адреса одержувача кадру – МАС-Адреса клієнта й тип кадру – PPPoE Active Discovery Offer). Якщо в мережі трохи PPPoE серверів, то всі вони посилають відповідь. Клієнт вибирає відповідний або придатний сервер і посилає йому запит на з'єднання. Сервер посилає клієнтові підтвердження з унікальним ідентифікатором сесії, всі наступні кадри в сесії будуть мати цей ідентифікатор. Таким чином, між сервером і клієнтом створюється віртуальний канал, що ідентифікується ідентифікатором сесії й MAC-Адресами клієнта й сервера. Потім у цьому каналі піднімається PPP з'єднання, а вже в PPP пакети впаковується IP- IP-трафік.

PADI – PPPoE Active Discovery Initiation.

Якщо користувач хоче підключитися до інтернету по DSL, спочатку його машина повинна виявити концентратор доступу (DSL access concentrator або DSL-AC) на стороні провайдера (point of presence(POP)).Взаємодія через Ethernet можлива тільки через MAC-Адреси. Якщо комп'ютер не знає MACАдреси DSL-AC, він посилає PADI пакет через Ethernet broadcast (MAC: ff:ff:ff:ff:ff:ff) Цей PADI-Пакет містить МАС-адресу його машини, що послала.

Приклад PADI-Пакета:

Frame 1 (44 bytes on wire, 44 bytes captured) Ethernet II, Src: 00:50:da:42:d7:df, Dst: ff:ff:ff:ff:ff:ff PPP-over-Ethernet Discovery

Version: 1 Type 1

Code Active Discovery Initiation (PADI) Session ID: 0000

Payload Length: 24 PPPoE Tags

Tag: Service-Name Tag: Host-Uniq

49

Binary Data: (16 bytes)

Src. (=source) представляє MAC-Адресу машини, що послала PADI. Dst. (=destination) є широкомовною Ethernet-адресою. PADI-пакет може бути отриманий більш ніж одним DSL-AC.

PADO – PPPoE Active Discovery Offer.

Як тільки користувальницька машина відіслала PADI-Пакет, DSL-AC відповідає посилаючи PADO-Пакет, використовуючи MAC-Адреси, що прийшли з PADI.PADO-Пакет містить MAC-адреси DSL-AC, їхні імена (наприклад LEIX11-erx для концентратора T-Com DSL-AC у Лейпцизі) і ім'я сервіса. Якщо ж більше однієї крапки DSL-AC відповіло PADO-Пакетом, користувальницька машина вибирає DSL-AC конкретний POP, використовуючи імена, що прийшли, або імена сервісів.

Приклад PADO-Пакета:

Frame 2 (60 bytes on wire, 60 bytes captured)

Ethernet II, Src: 00:0e:40:7b:f3:8a, Dst: 00:50:da:42:d7:df PPP-over-Ethernet Discovery

Version: 1 Type 1

Code Active Discovery Offer (PADO)

Session ID: 0000 Payload Length: 36 PPPoE Tags

Tag: Service-Name Tag: AC-Name

String Data: IpzbrOOl Tag: Host-Uniq

Binary Data: (16 bytes)

AC-Name – String Data подає лінія AC ім'я, у цьому випадку «Ipzbr001»

(Arcor DSL-AC у Лейпцизі).

Src. подає MAC-Адресу DSL-AC. MAC-

Адреса DSL-AC також ідентифікує виробника DSL-AC (у цьому випадку, Nortel Networks).

PADR розшифровується як PPPoE Active Discovery Request.

Як зазначено вище, користувальницька машина повинна вибрати POP (точку доступу) – це робиться за допомогою PADR-Пакета, що посилає на MAC-Адресу обраного DSL-AC.

PADS – PPPoE Active Discovery Session-confirmation.

PADR-Пакет підтверджується концентратором пересиланням PADSПакета, у ньому ж приходить Session ID. З'єднання з DSL-AC для цієї точки доступу тепер повністю встановлено.

PADT – PPPoE Active Discovery Termination.

Цей пакет обриває з'єднання з POP. Він може бути посланий або з боку користувача, або з боку DSL-AC.

Переваги схеми

50