PPP jest protokołem warstwy łącza danych modelu OSI, stosowanym do realizacji połączeń punkt-punkt. Działa on w ramach wielowarstwowej architektury (p. rys.), której najważniejszym składnikiem jest protokół LCP, oferujący zestaw dodatkowych usług: negocjowania warunków połączenia (w tym rozmiar ramki), sposobu uwierzytelniania i wykrywania błędów transmisji. Format ramki PPP bazuje na protokole ISO HDLC (nie jest on zgodny z implementacją HDLC firmy Cisco). Podstawowe opcje dostępne w ramach protokołu PPP to:

• Negocjowanie warunków połączenia (rozmiar ramki, kompresja danych, sposób uwierzytelniania, stosowanie połączenia multilink oraz opcji oddzwaniania callback).
• Uwierzytelnianie węzła dzwoniącego - w dalszej części artykułu omówimy dwie metody uwierzytelniania: PAP i CHAP.
• Kompresja danych za pomocą trzech różnych algorytmów (Predictor - dane skompresowane nie podlegają ponownej kompresji, Stacker - oparty na algorytmie LZ oraz MPPC - stosowany do obsługi połączeń z oprogramowaniem klienckim Microsoftu). Kompresję włącza się komendą konfiguracyjną interfejsu compress. Dodatkowo można ustawić kompresję nagłówka TCP poleceniem ip tcp header-compression.
• Wykrywanie błędów transmisji oraz zapobieganie powstawaniu pętli.
• Obsługa połączeń typu multilink pozwala połączyć kilka fizycznych interfejsów w jedno połączenie logiczne, dzięki czemu uzyskuje się równoważenie obciążenia i zwiększenie przepustowości. Podział ruchu PPP na fragmenty przesyłane równoległymi połączeniami opisany jest w dokumencie RFC 1717. W dalszej części artykułu przedstawimy praktyczną konfigurację dwu kanałów B interfejsu ISDN BRI w połączeniu typu multilink.
• Oddzwanianie (callback) - router po przeprowadzeniu uwierzytelniania oddzwania do węzła inicjującego połączenie. Pozwala to lepiej zarządzać bezpieczeństwem oraz kosztami połączenia.

Najwyższa warstwa architektury PPP to grupa protokołów NCP (Network Control Protocol) odpowiedzialnych za obsługę poszczególnych protokołów warstwy sieciowej. Na przykład do przenoszenia protokołu IP służyć będzie komponent IPCP (Internet Protocol Control Protocol). Faza uzgodnienia protokołów sieciowych, które będą przenoszone w połączeniu PPP, realizowana jest po etapie negocjowania opcji połączenia (protokół LCP) i przeprowadzeniu uwierzytelniania.

Uwierzytelnianie w protokole PPP

Dostępne są dwie metody uwierzytelniania przy podłączaniu zdalnym: PAP oraz CHAP. Wyobraźmy sobie układ pary routerów, w której router C2600 dzwoni do routera C2600BIS z wykorzystaniem interfejsów ISDN - patrz rysunek.

Stosując metodę PAP, router C2600 przesyła do routera C2600BIS parę informacji: nazwę użytkownika (nazwę hosta) oraz hasło.

Router C2600BIS, posługując się na przykład lokalną bazą danych kont użytkowników, przeprowadza proces uwierzytelniania i akceptuje zdalne żądanie bądź je odrzuca. Wadą metody PAP jest przesyłanie hasła jawnym tekstem, co umożliwia przechwycenie ramek sieciowych i podsłuchanie hasła przez niepowołane osoby.

Poniżej prezentujemy fragment konfiguracji routera C2600 dla interfejsu ISDN BRI 0/0, dotyczący protokołu PPP i metody CHAP. Poleceniem encapsulation ppp włączamy w ramach interfejsu hermetyzację PPP. Komenda ppp authentication PAP włącza wymagany sposób uwierzytelniania, natomiast poleceniem ppp pap sent-username zdefiniowano nazwę użytkownika oraz hasło przesyłane do routera C2600BIS. Pokazana w przykładzie komenda username tworzy w lokalnej bazie danych konto użytkownika potrzebne w sytuacji, gdy router C2600BIS dzwoni do routera C2600. Podobny zestaw poleceń konfiguracyjnych należy wykonać również na routerze C2600BIS:

C2600(config)# hostname C2600

C2600(config)#username C2600BIS password haslo

C2600(config)#interface BRI 0/0

C2600(config-if)#encapsulation ppp

C2600(config-if)#ppp authentication PAP

C2600(config-if)#ppp pap sent-username C2600 password haslo

Proces uwierzytelniania w metodzie CHAP jest bardziej złożony. Metoda jest też bezpieczniejsza - hasło nigdy nie jest przesyłane w sieci jawnym tekstem, a więc nie można go łatwo podsłuchać. Metoda CHAP opiera się na mechanizmie Challenge-Response i algorytmie MD5. Załóżmy, że router C2600 dzwoni do routera C2600BIS. Po wynegocjowaniu opcji połączenia w protokole LCP, router C2600BIS przesyła do routera C2600 niepowtarzalny łańcuch znaków - challenge. W pakiecie tym umieszczana jest również nazwa hosta C2600BIS. Router C2600 w lokalnej bazie danych odszukuje konto użytkownika z nazwą C2600BIS, a hasło tego konta wraz z otrzymanym łańcuchem challenge służy do wygenerowania 128-bitowego łańcucha hash, będącego wynikiem działania generatora opartego na algorytmie MD5.

Wynik działania algorytmu MD5 wraz z nazwą routera C2600 odsyłany jest do routera C2600BIS jako pakiet response. Na podstawie hasła konta C2600 i wysłanego wcześniej pakietu challenge router C2600BIS wylicza algorytmem MD5 128-bitowy łańcuch i porównuje go z wartością otrzymaną w pakiecie response. Jeżeli obie wartości są identyczne, proces uwierzytelniania kończy się pomyślnie, w przeciwnym wypadku połączenie jest zrywane.

Na rysunku poniżej prezentujemy działanie i fragment konfiguracji metody CHAP dla routerów C2600 i C2600BIS.

W ramach konfiguracji interfejsu włączyć można obie metody uwierzytelniania PPP. Jeśli na przykład na routerze C2600BIS wykonano by polecenie ppp authentication chap pap, to router w fazie negocjowania warunków połączenia żądałby od klientów używania w pierwszej kolejności metody CHAP. Protokół PAP stosowany będzie dla tych klientów, którzy nie obsługują metody CHAP.

Przebieg procesu uwierzytelniania można obserwować za pomocą polecenia debug ppp authentication.

Technologia ISDN

ISDN gwarantuje cyfrową transmisję na całej trasie między klientem dzwoniącym a węzłem końcowym. Przy zwykłych połączeniach analogowych przekaz cyfrowy uzyskujemy na odcinku między komputerem klienckim a modemem oraz w "chmurce" usługodawcy; niestety, na odcinku między modemem dostępowym a usługodawcą komunikacja jest analogowa. W sieci ISDN komunikacja między dwoma węzłami na całej trasie jest cyfrowa. Z punktu widzenia końcowego użytkownika, wykorzystującego dodzwaniane połączenia ISDN, zwrócić należy uwagę na następujące elementy:

• zintegrowany dostęp do wielu usług (przekaz danych, głosu, wideo); możliwość uruchamiania aplikacji wymagających zdalnego dostępu do sieci firmowej, Internetu oraz zasobów WWW;
• znacznie szybszy przekaz danych z wykorzystaniem kanałów B (64 Kb/s każdy) w porównaniu z komunikacją poprzez modemy analogowe (zwykle od 28 do 56 Kb/s);
• znacznie szybszy proces ustanawiania połączenia z wykorzystaniem wydzielonego kanału D, procedura zestawienia połączenia (call setup) realizowana jest poniżej jednej sekundy;
• połączenia dodzwaniane ISDN są rozwiązaniem tańszym niż linie dzierżawione.

Międzynarodowa unia telekomunikacyjna ITU-T definiuje obecnie dwa typy interfejsu dostępowego do sieci ISDN, określającego fizyczne połączenie między klientem końcowym a usługodawcą. Są to interfejsy BRI (Basic Rate Interface) oraz PRI (Primary Rate Interface). Interfejs BRI, oznaczany czasami jako 2B+D, ma dwa kanały B (B1 oraz B2) o przepustowości 64 Kb/s każdy oraz jeden kanał D (Delta) o przepustowości 16 Kb/s. Kanały B wykorzystywane są do cyfrowej obsługi głosu oraz do szybkiej transmisji danych w komunikacji opartej na przełączaniu obwodów (circuit-switched). Dane przesyłane są zwykle w postaci ramek protokołów PPP czy HDLC. Kanał D wykorzystywany jest przede wszystkim do celów sygnalizacyjnych, w tym obsługi procedury ustanawiania i zrywania połączenia. Ruch w kanale D realizowany jest z wykorzystaniem specjalizowanego protokołu warstwy drugiej LAPD.

Interfejs PRI zapewnia w krajach Ameryki Północnej oraz w Japonii 23 kanały B po 64 Kb/s oraz jeden kanał D (64 Kb/s), dając prędkość zgodną ze standardem T1 (1,544 Mb/s). W Europie interfejs PRI ma 30 kanałów B (po 64 Kb/s) oraz jeden kanał D (64 Kb/s), zapewniając prędkość E1 (2,048 Mb/s). Szacując łączną przepustowość interfejsów BRI oraz PRI, należy dodatkowo uwzględnić kanał synchronizacyjny, np. w Europie interfejs PRI zapewnia 32 kanały po 64 Kb/s (30 kanałów B, jeden kanał D i jeden kanał synchronizacyjny). W dalszej części artykułu zajmiemy się konfigurowaniem połączeń poprzez interfejs BRI. Poniższy rysunek przedstawia warstwową architekturę protokołów tworzących technologię ISDN w odniesieniu do modelu siecio-wego OSI. Warto zwrócić uwagę na różne protokoły wykorzystywane na poszczególnych warstwach, niezależnie dla kanałów B i kanału D.

Na rysunku widać, że kanały B nie bazują na własnych, specjalizowanych protokołach warstwy drugiej i trzeciej. Zamiast nich do przenoszenia pakietów warstwy sieciowej (np. IP) wykorzystuje się jeden ze standardowych protokołów warstwy łącza danych sieci WAN. Pracę warstwy sieciowej w kanale D definiuje standard Q.931, określający komunikację między terminalem końcowym a lokalnym przełącznikiem ISDN. Warstwę drugą w kanale D opisuje protokół LAPD (standard Q.921), który odpowiedzialny jest między innymi za adresowanie sprzętowe w ramach kilku (do 8) urządzeń podłączonych do wspólnej magistrali oraz rozróżnianie i obsługę różnych typów ramek. Kanały B oraz kanał D współdzielą warstwę fizyczną, która pracuje zgodnie z jednym ze standardów: I.430 dla interfejsu BRI z magistralą S/T, I.431 dla interfejsu PRI, ANSI T1.601 dla interfejsu BRI i magistrali U w Ameryce Północnej. Warstwa fizyczna multipleksuje ruch z poszczególnych kanałów ISDN, tworząc ciągły strumień, w którym każdy bit pełni specyficzną funkcję. Proces ten nazywamy ramkowaniem (framing). Proces ustanawiania połączenia poprzez interfejs BRI składa się z następujących etapów:

1. Inicjowanie połączenia. Wywoływany numer wysyłany jest kanałem D do lokalnego przełącznika ISDN. Za realizację funkcji kontrolnych połączenia odpowiedzialny jest kanał D (ustanowienie, sygnalizacja i zerwanie połączenia).
2. Lokalny przełącznik, korzystając z protokołów sygnalizacyjnych SS7 (Signaling System 7), wyznacza ścieżkę i przekazuje wywoływany numer do końcowego przełącznika ISDN.
3. Zdalny przełącznik ISDN wywołuje urządzenie docelowe poprzez kanał D.
4. Po otrzymaniu odpowiedzi od urządzenia końcowego, ustanawiane jest połączenie jednego kanału B w trybie jeden-do-jeden (end-to-end). Kanał odpowiedzialny jest za obsługę konwersacji lub transmisji danych. Można dodatkowo uaktywnić drugi kanał B i wykorzystywać obydwa jednocześnie.

Technologia ISDN definiuje szereg urządzeń oraz standardów komunikacyjnych realizowanych w formie interfejsów między poszczególnymi komponentami (standardy ITU-T E.163, E.164, I.100, I.400, Q.921, Q.931). W dalszej części artykułu skupimy się na tych jej składnikach, które dotyczą różnych sposobów podłączania routera Cisco do sieci ISDN z wykorzystaniem interfejsu BRI. Typowe rozwiązania przedstawia rysunek.

Oto znaczenie poszczególnych elementów pokazanych na rysunku:

• TE1 (Terminal Equipment 1) - urządzenie zgodne z siecią ISDN, w tym wypadku router z interfejsem do sieci ISDN. Urządzenie TE1 łączy się z siecią ISDN dostawcy poprzez urządzenie NT1.
• NT1 (Network Termination Type 1) - dokonuje konwersji sygnału BRI do postaci wykorzystywanej na cyfrowych liniach ISDN. Urządzenie NT1 łączy lokalnego klienta (router) z przełącznikiem ISDN dostawcy poprzez tzw. pętlę lokalną (local loop).
• S/T (System/Terminal reference point) - czterożyłowy interfejs między urządzeniem TE1 i NT1, pracujący zgodnie ze standardem ITU I.430. Do magistrali S/T podłączyć można kilka urządzeń, które rozróżniane są przez identyfikator TEI (Terminal Endpoint Identifier) nadawany dynamicznie przez przełącznik ISDN. Jeżeli router wyposażony jest w port ISDN BRI S/T (np. karta WIC 1B S/T), oznacza to, że interfejs ISDN ma wbudowane urządzenie TE1, a komunikacja z siecią ISDN dostawcy musi być realizowana przez urządzenie NT1.
• U (User reference point) - definiuje dwużyłowy interfejs między urządzeniem NT1 a "chmurką" ISDN. Jeżeli router ma port ISDN BRI U, oznacza to, że interfejs ISDN ma wbudowane urządzenia TE1 i NT1.

Routing na żądanie

DDR (Dial-on-Demand Routing) to mechanizm pozwalający na dynamiczne zestawianie dodzwanianego połączenia między routerami Cisco, wykorzystywanego następnie do przesłania pakietów danych bądź aktualizacji routingu. Dzięki zastosowaniu routingu DDR nie jest konieczne utrzymywanie stałego łącza między zdalnym oddziałem a centralą firmy. Połączenie zestawiane jest tylko po to, aby przesłać wymagane dane; następnie jest zrywane, co pozwala zmniejszyć koszty komunikacji. Routing DDR znalazł zastosowanie przede wszystkim tam, gdzie zdalne oddziały i ich pracownicy sporadycznie potrzebują dostępu do sieci firmowej, a poprzez zestawione połączenie przesyła się niewielkie ilości danych. Połączenia dodzwaniane z wykorzystaniem mechanizmu DDR realizuje się zwykle poprzez publiczną sieć telefoniczną (PSTN) lub z wykorzystaniem technologii ISDN. Rysunek poniżej przedstawia typową topologię, w której dwa routery komunikują się z wykorzystaniem routingu DDR poprzez sieć ISDN.

Wyobraźmy sobie sytuację, w której klient przed routerem C2600 (212.1.1.10) chce wysłać dane do klienta za routerem C2600BIS (215.1.1.10). Router C2600 po otrzymaniu pakietu od swojego klienta odszukuje w tabeli routingu trasę do sieci docelowej 215.1.1.0 oraz wybiera interfejs, przez który pakiet należy wysłać. Jeśli jest to interfejs BRI 0/0, dla którego włączono routing DDR, sprawdza się, czy pakiet należy do tzw. ruchu "oczekiwanego" (definiowanego przez administratora), który jest uprawniony do wywołania procedury ustanawiającej połączenie. Jeżeli pakiet spełnia ten warunek, odszukuje się instrukcję wiążącą (polecenie dialer map) adres ip następnego routera na trasie (199.1.1.2) z numerem, pod który należy zadzwonić. Jeśli interfejs BRI 0/0 jest akurat aktywny, znaczy to, że połączenie było ustanowione wcześniej, a więc zeruje się tylko zegar czasu bezczynności (idle); w przeciwnym wypadku rozpoczyna się procedura ustanowienia połączenia (call setup). Po zestawieniu łącza między routerami C2600 i C2600BIS przesyłane są zarówno pakiety ruchu oczekiwanego, jak i nieoczekiwanego (ruch nieoczekiwany nie może zestawić połączenia). Po zakończeniu transmisji i upływie skonfigurowanego czasu bezczynności połączenie jest zrywane. Działanie routingu DDR przedstawia schemat obok.

Wykorzystując omawiany wcześniej przykład, skonfigurujmy w pełni routing DDR na routerze C2600 (odpowiednie polecenia będą konieczne również na routerze C2600BIS). Zaczniemy od nauczenia routera C2600 trasy do sieci 215.1.1.0 za routerem C2600BIS. W zasadzie nie należy uruchamiać routingu dynamicznego między routerami C2600 i C2600BIS - z powodu regularnych aktualizacji protokoły routingu dynamicznego zestawiałyby połączenie ISDN. Lepszym rozwiązaniem będzie wpisanie na routerze trasy statycznej wiodącej do sieci 215.1.1.0 przez router 199.1.1.2:

C2600(config)#ip route 215.1.1.1.0

  255.255.255.0 199.1.1.2

Ten sam efekt uzyskamy dzięki poleceniu:

C2600(config)#ip route 215.1.1.0

  255.255.255.0 BRI 0/0

Zamiast definiowania tras do konkretnych sieci docelowych można określić na routerze C2600 adres domyślnego routera (brama ostatniej szansy), do którego wysyłane będą wszystkie pakiety z nieznanymi adresami docelowymi:

C2600(config)#ip route 0.0.0.0 0.0.0.0 199.1.1.2

Następnym etapem konfiguracji routera C2600 będzie określenie ruchu oczekiwanego, który może wywołać procedurę ustanowienia połączenia. Realizuje się to za pomocą globalnego polecenia konfiguracyjnego dialer-list numer protocol nazwa_protokolu [permit | deny | list numer_listy]. Parametr numer wykorzystany będzie potem do przypisania tak zdefiniowanego filtru do wybranego interfejsu (może przyjmować wartość od 1 do 10). Jako dozwolony protokół (parametr nazwa_protokołu) wskazać można między innymi: IP, IPX, AppleTalk, Decnet. Opcjonalny parametr list numer_listy pozwala zastosować listę dostępu w procesie klasyfikowania ruchu. Oczywiście wykorzystywane listy dostępu muszą zostać utworzone (omawialiśmy to w nrze 19/01). W poniższym przykładzie każdy pakiet IP jest uprawniony do wywołania połączenia z routerem C2600BIS (nie jest wykorzystywana lista dostępu):

C2600(config)#dialer-list 5 protocol IP permit

Następny przykład pokazuje wykorzystanie rozszerzonej listy dostępu o numerze 103, dzięki której każdy ruch IP z wyjątkiem usługi Telnet (port 23) oraz usługi WWW (port 80) będzie mógł inicjować połączenie:

C2600(config)#access-list 103 deny tcp any any eq 23

C2600(config)#access-list 103 deny tcp any any eq 80

C2600(config)#access-list 103 permit ip any any

C2600(config)#dialer-list 5 protocol IP list 103

Zanim przejdziemy do konfiguracji konkretnego interfejsu BRI, musimy określić wymagane parametry globalne. Aby poprawnie działał proces uwierzytelniania metodą CHAP w protokole PPP, należy utworzyć konto użytkownika dla routera C2600BIS:

C2600(config)#username C2600BIS password haslo

Bardzo ważne jest również określenie właściwego typu przełącznika ISDN wykorzystywanego przez dostawcę. Od tego zależy na przykład procedura ustanawiania połączenia (call setup). Typy przełączników wykorzystywane w różnych częściach świata przedstawia tabela.

Dla routera C2600 włączymy typ przełącznika ISDN wykorzystywany w Europie:

C2600(config)#isdn switch-type basic-net3

Konfigurację interfejsu BRI 0/0 na routerze C2600 zaczynamy od włączenia typu hermetyzacji PPP oraz metody uwierzytelniania CHAP. Przypisujemy adres IP:

C2600(config)#interface BRI 0/0

C2600(config-if)#encapsulation ppp

C2600(config-if)#ppp authentication CHAP

C2600(config-if)#ip address 199.1.1.1 255.255.255.0

Następnie przypisujemy do interfejsu zdefiniowaną wcześniej (poleceniem dialer-list) listę wyznaczającą ruch oczekiwany:

C2600(config-if)#dialer-group 5

Decydującym poleceniem konfiguracji interfejsu BRI 0/0 jest komenda dialer map. Dzięki niej adres IP zdalnego routera (w naszym przykładzie C2600BIS) wiąże się z numerem, na który należy zadzwonić, kierując ruch na ten adres. W poleceniu wskazuje się dodatkowo nazwę routera zdalnego oraz opcjonalnie włącza obsługę komunikacji rozgłoszeniowej (opcja broadcast):

C2600(config-if)#dialer map ip 199.1.1.2 name C2600BIS 60

Można również zmienić domyślny czas rozłączania w razie braku ruchu na połączeniu (domyślnie wynosi on 120 sekund):

C2600(config-if)#dialer idle-timeout 180

Oto pełna konfiguracja routera C2600 dla routingu DDR:

hostname C2600

username C2600BIS password 0 haslo

isdn switch-type basic-net3

!

interface BRI0/0

ip address 199.1.1.1 255.255.255.0

encapsulation ppp

dialer idle-timeout 180

dialer map ip 199.1.1.2 name C2600BIS 60

dialer-group 5

isdn switch-type basic-net3

ppp authentication chap

!

ip route 215.1.1.0 255.255.255.0 199.1.1.2

dialer-list 5 protocol ip permit

Aby aktywować połączenie dodzwaniane, możemy na przykład wykonać polecenie ping 215.1.1.1 (bądź ping 199.1.1.2). Aktualny status połączenia ISDN wyświetlić można poleceniem show isdn status. Zwróćmy uwagę na wykorzystywany typ przełącznika (basic-net3), stan połączenia (active) dla wszystkich trzech warstw oraz wykorzystywany domyślnie kanał B1. Parametr TEI pokazywany na warstwie drugiej (Q.921) to adres fizyczny urządzenia przypisywany dynamicznie przez przełącznik:

C2600#show isdn status

Global ISDN Switchtype = basic-net3

ISDN BRI0/0 interface

    dsl 0, interface ISDN Switchtype = basic-net3

  Layer 1 Status:

    ACTIVE

  Layer 2 Status:

    TEI = 68, Ces = 1, SAPI = 0, State = MULTIPLE_FRAME_ESTABLISHED

  Layer 3 Status:

    1 Active Layer 3 Call(s)

    CCB:callid=801C, sapi=0, ces=1, B-chan=1, calltype=DATA

  Active dsl 0 CCBs = 1

  The Free Channel Mask: 0x80000002

  Total Allocated ISDN CCBs = 1

Aktywne połączenia ISDN można zweryfikować poleceniem show isdn active. Wyświetlane są m.in.: wywoływany numer, nazwa routera zdalnego oraz czas połączenia. Wszystkie połączenia aktywne oraz historię nieaktywnych można zobaczyć po wykonaniu komendy show isdn history.

Obserwowanie procesu ustanawiania i zrywania połączenia oraz wykrywanie ewentualnych błędów możliwe jest za pomocą komendy debug. Poniżej prezentujemy komunikaty opisujące proces ustanawiania połączenia, z których początkowe dwa są efektem wykonania polecenia debug dialer (komenda ping z adresem 215.1.1.1 spowodowała wywołanie numeru 60). Końcowe komunikaty pochodzą z procesu zrywania połączenia, co spowodowane zostało upływem dozwolonego czasu bezczynności (idle):

C2600#deb dialer

Dial on demand events debugging is on

C2600#ping 215.1.1.1

03:12:29: BR0/0 DDR: Dialing cause ip (s=199.1.1.1, d=215.1.1.1)

03:12:29: BR0/0 DDR: Attempting to dial 60

03:12:141733920767: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up

03:12:32: BR0/0:1 DDR: dialer protocol up

03:12:33: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,

  changed state to up

03:12:38: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 60 C2600BIS

03:15:33: BR0/0:1 DDR: idle timeout

03:15:33: BR0/0:1 DDR: disconnecting call

03:15:33: %ISDN-6-DISCONNECT: Interface BRI0/0:1 disconnected

  from 60 C2600BIS, call lasted 180 seconds

03:15:141733920772: %LINK-3-UPDOWN: Interface BRI0/0:1,

  changed state to down

03:15:143907432876: BR0/0:1 DDR: disconnecting call

03:15:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,

  changed state to down

Szczegółowy zestaw komunikatów dotyczących komunikacji z przełącznikiem ISDN w warstwie drugiej oraz ustanawiania i zrywania połączenia w warstwie trzeciej (Q.931) uzyskać można po uaktywnieniu poleceń debug isdn q921 i debug isdn q931.

Zapasowe połączenie ISDN

Omówiliśmy już działanie routingu na żądanie (DDR), w którym interfejsy BRI wykorzystywane były do dynamicznego, okresowego zestawiania połączeń przeznaczonych do obsługi niedużego ruchu. Połączenie ISDN było w tym przypadku jedyną drogą komunikacji między routerami obsługującymi odległe oddziały firmy. Teraz zajmiemy się innymi zastosowaniami interfejsów ISDN BRI. Na poniższym rysunku routery łączące dwa oddziały firmy, oprócz bezpośredniego, dzierżawionego łącza poprzez sieć WAN (np. Frame Relay), mają możliwość zestawiania dodzwanianego połączenia ISDN.

W tym przykładzie połączenie dodzwaniane poprzez interfejsy BRI może pełnić rolę łącza zapasowego względem stałych obwodów PVC zestawionych przy użyciu sieci Frame Relay. Podstawowym powodem jest zapewnienie łączności między dwoma oddziałami firmy w przypadku uszkodzenia linii podstawowej. Jeśli nie ma pakietów podtrzymujących połączenie keepalive lub wykryto brak nośnej (carrier detect) na linii podstawowej, aktywowany jest interfejs zapasowy. W sytuacji przeciążenia linii podstawowej powyżej zdefiniowanego progu uruchomienie interfejsu zapasowego pozwala zwiększyć efektywną przepustowość dzięki jednoczesnemu wykorzystaniu połączeń: podstawowego i zapasowego. Bazując na powyższym rysunku, określimy interfejs BRI 0/0 na routerze C2600 jako zapasowy dla interfejsu Serial 0/0. W tym celu w konfiguracji interfejsu Serial 0/0 wykonujemy polecenie:

C2600(config-if)#backup interface BRI 0/0

Dodatkowo za pomocą komendy backup delay określamy czas opóźnienia między uszkodzeniem łącza podstawowego a uruchomieniem interfejsu zapasowego oraz czas opóźnienia między ponownym włączeniem linii podstawowej a dezaktywacją interfejsu zapasowego. Obydwa czasy wyrażane są w sekundach; zastosowanie wartości never zabezpiecza interfejs drugorzędny przed aktywacją lub dezaktywacją. W poniższym przykładzie interfejs zapasowy uaktywniany jest po 60 sekundach od upadku linii podstawowej (Serial 0/0) i nigdy nie jest dezaktywowany. Zastosowanie opcji never jako czasu dezaktywacji zalecane jest tylko wówczas, gdy zapasowe połączenie dodzwaniane nie jest zbyt kosztowne:

C2600(config-if)#backup delay 60 never

Przeanalizujmy następujący przykład. Na interfejsach szeregowych Serial 0/0 routerów C2600 i C2600BIS skonfigurowano protokół Frame Relay. Interfejsy te pełnią rolę linii podstawowej. Interfejsy BRI 0/0 skonfigurowano jako drugorzędne (dla Serial 0/0) - patrz rys. Następnie na obydwu routerach włączono protokół routingu dynamicznego RIP dla wszystkich sieci lokalnych (dla routera C2600 są to sieci 212.1.1.0, 198.1.1.0 i 199.1.1.0) i dodatkowo do tabeli routingu wpisano statyczną trasę do sieci lokalnej sąsiada z parametrem dystansu administratorskiego równym 150 (większy niż 120 protokołu RIP), wiodącą przez interfejs BRI 0/0:

C2600(config)#ip route 215.1.1.0 255.255.255.0 199.1.1.2 150

W efekcie przy normalnej pracy interfejsu Serial 0/0 w tabeli routingu routera C2600 pojawi się dynamicznie sieć 215.1.1.0 (C2600BIS), zgłaszana protokołem RIP przez interfejs szeregowy.

C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:02, Serial0/0

C 198.1.1.0/24 is directly connected, Serial0/0

Zauważmy, że trasa statyczna związana z interfejsem BRI 0/0 nie pojawia się w tabeli. Również sieć lokalna 199.1.1.0 interfejsu BRI 0/0 nie występuje w tabeli routingu. Wynika to z tego, że po określeniu interfejsu jako zapasowego jest on automatycznie blokowany i ustawiany w tryb oczekiwania standby. Dopóki działa interfejs podstawowy, drugorzędny nie może być wykorzystany. Status pracy interfejsu BRI 0/0 wyświetlić można poleceniem show interfaces BRI 0/0.

Po wyłączeniu interfejsu podstawowego (np. poleceniem no clock rate w konfiguracji Serial 0/0) i po upływie zadeklarowanego czasu opóźnienia (60 sekund), uaktywniony zostanie interfejs BRI 0/0, a razem z nim w tabeli routingu pojawi się trasa statyczna prowadząca do sieci lokalnej sąsiada:

C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

C 199.1.1.0/24 is directly connected, BRI0/0

S 215.1.1.0/24 [150/0] via 199.1.1.2

Mimo że wszystkie sieci i interfejsy zostały zadeklarowane w protokole RIP, w tabeli routingu nie pojawiają się żadne zgłoszenia dynamiczne uzyskane przez interfejs BRI 0/0. Aktualizacje protokołu RIP nie mogą być rozgłaszane przez interfejs BRI 0/0, dopóki w poleceniu dialer map nie zastosujemy opcji broadcast:

C2600(config-if) #dialer map ip 199.1.1.2 name C2600BIS 60 broadcast

Należy pamiętać, że uaktywnienie interfejsu drugorzędnego nie jest równoznaczne z automatycznym ustanowieniem połączenia dodzwanianego, o czym przekonać można się po sprawdzeniu stanu pracy kanałów BRI B1 i B2:

C2600#show interfaces BRI0/0:1

BRI0/0:1 is down, line protocol is down

Dopiero wygenerowanie ruchu związanego np. z siecią 215.1.1.0 umożliwi fizyczne nawiązanie połączenia przez interfejs BRI 0/0. Warto zauważyć, że po ponownym uruchomieniu interfejsu podstawowego, po określonym czasie opóźnienia interfejs zapasowy i związane z nim trasy routingu zostaną wyłączone. W naszym przykładzie zastosowaliśmy jednak w poleceniu backup delay opcję never, co w praktyce oznacza, że interfejs drugorzędny nie zostanie wyłączony i w tabeli routingu pojawią się trasy związane zarówno z linią podstawową, jak i zapasową (protokół RIP wypiera trasę statyczną do sieci 215.1.1.0):

C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

C 199.1.1.0/24 is directly connected, BRI0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:23, Serial0/0

C 198.1.1.0/24 is directly connected, Serial0/0

Ponowne włączenie trybu oczekiwania standby dla interfejsu zapasowego BRI 0/0 realizuje się ręcznie sekwencją poleceń shutdown i no shutdown.

Innym sposobem zastosowania interfejsu drugorzędnego jest uruchamianie go w razie nadmiernego ruchu na linii podstawowej. Okresowe przeciążanie interfejsu podstawowego skutkuje aktywacją interfejsu zapasowego i w efekcie transmisja danych realizowana będzie przez obydwa łącza. Konfigurujemy ten mechanizm poleceniem konfiguracyjnym interfejsu backup load [próg_aktywacji | never] [próg_dezaktywacji | never].

Pierwszy parametr oznacza brzegowy próg obciążenia, powyżej którego uruchamiany jest interfejs zapasowy. Wyrażany jest on jako procent całego dostępnego pasma dla linii podstawowej. Interfejs zapasowy uaktywniany jest, gdy średnia ważona ruchu na linii podstawowej obliczona z ostatnich pięciu minut przekroczy dozwoloną wartość. Drugi parametr to wartość progowa obciążenia, poniżej której dezaktywowany jest interfejs drugorzędny. Obydwa parametry komendy backup load mogą przyjmować wartość never, co oznaczałoby kolejno brak aktywacji w ogóle oraz brak dezaktywacji łącza zapasowego. W poniższym przykładzie interfejs drugorzędny uruchamiany będzie, gdy ruch na linii podstawowej przekroczy 50 procent dostępnego pasma. Interfejs zapasowy zostanie wyłączony, gdy łączne obciążenie obydwu linii spadnie poniżej 10 procent dostępnego pasma linii podstawowej:

C2600(config-if)#backup load 50 10

Wróćmy jeszcze do omawianego przykładu dwu routerów C2600 i C2600BIS. Załóżmy, że w konfiguracji interfejsów Serial 0/0 wykonano polecenie backup load, a dodatkowo zmodyfikowano komendę dialer map w interfejsach BRI 0/0, tak aby umożliwić przesyłanie komunikacji rozgłoszeniowej (broadcast), czyli działanie protokołu RIP. Po uaktywnieniu interfejsu zapasowego (BRI 0/0) z powodu nadmiernego ruchu na linii podstawowej (Serial 0/0) w tabeli routingu routera C2600 pojawią się dwie równoległe (z jednakową metryką) trasy do sieci 215.1.1.0 - przez interfejs Serial 0/0 i BRI 0/0:

C2600#sh ip route

C 212.1.1.0/24 is directly connected, Ethernet0/0

  199.1.1.0/24 is variably subnetted, 2 subnets, 2 masks

C   199.1.1.2/32 is directly connected, BRI0/0

C   199.1.1.0/24 is directly connected, BRI0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:17, Serial0/0

               [120/1] via 199.1.1.2, 00:00:17, BRI0/0

C 198.1.1.0/24 is directly connected, Serial0/0

Interfejs fizyczny BRI 0/0, skonfigurowany jako zapasowy dla innego interfejsu (np. Serial 0/0), uruchamiany jest w trybie nieaktywnym standby i nie może być wykorzystany do innych celów, np. do realizacji połączeń na żądanie DDR z zupełnie innym routerem zdalnym. Rozwiązaniem tego problemu jest zastosowanie tzw. profili wyboru połączenia (dialer profiles). Jest to dość rozbudowany i złożony mechanizm, skupimy się więc tylko na tych jego elementach, które pozwolą wykorzystać fizyczny interfejs BRI 0/0 jako linię zapasową dla innego interfejsu podstawowego, ale jednocześnie ten sam interfejs BRI 0/0 będzie stosowany w ramach routingu na żądanie DDR. We wcześniejszych przykładach konfigurowaliśmy bezpośrednio interfejs fizyczny (BRI 0/0), co określało zawsze te same warunki połączeń realizowanych przez ten interfejs. Dzięki zastosowaniu profili połączeń można przygotować zestawy unikatowych opcji wykorzystywanych niezależnie do komunikacji z różnymi odległymi węzłami.

Charakterystycznym elementem połączeń profilowych są interfejsy typu dialer, określające warunki połączenia z konkretnym punktem docelowym. Są to interfejsy logiczne, w ramach których określamy m.in.: adres warstwy sieciowej, typ hermetyzacji, sposób uwierzytelniania, sposób ustanawiania połączenia. Interfejsy typu dialer pozwalają więc przenieść część poleceń konfiguracyjnych z poziomu interfejsu fizycznego (np. BRI 0/0) do interfejsu profilowego. Interfejs logiczny dialer powiązany jest z pulą interfejsów fizycznych, z których może korzystać. W praktyce, jeśli router chce zestawić połączenie przez interfejs dialer, wybiera z powiązanej z nim grupy jeden z interfejsów fizycznych. Po zakończeniu wywołania interfejs fizyczny zwracany jest do puli. Jeden interfejs fizyczny może należeć do kilku grup, stąd różne interfejsy dialer powiązane z różnymi pulami mogą w praktyce korzystać z tego samego interfejsu fizycznego. Polecenia konfiguracyjne dotyczące profilowych połączeń dodzwanianych omówimy na przykładzie pokazanym na rysunku.

Router C2600 połączony jest z routerem C2600BIS poprzez sieć Frame Relay, jest to linia podstawowa. Połączenie przez sieć ISDN ma stanowić linię zapasową, jednocześnie chcielibyśmy, aby interfejs BRI 0/0 routera C2600 mógł być wykorzystywany przez routing na żądanie DDR w komunikacji z routerem C2600BISB. W tym celu na routerze C2600 tworzymy dwa interfejsy dialer, odpowiednio Dialer 1 i Dialer 2 (poleceniem konfiguracyjnym interface Dialer numer). Dialer 1 obsługiwać będzie połączenie zapasowe, Dialer 2 routing DDR.W ramach każdego z nich określamy odpowiedni adres IP, hermetyzację PPP oraz typ uwierzytelniania CHAP. Poleceniem dialer pool przypisujemy je odpowiednio do puli interfejsów fizycznych numer 1 i 2. Następnie w każdym interfejsie dialer określamy nazwę zdalnego routera (dialer remote-name) oraz wywołujemy numer do ustanowienia połączenia (dialer string). Poniżej pełna konfiguracja interfejsów Dialer 1 i Dialer 2 (polecenie dialer-group 5, tak jak opisywaliśmy wcześniej, dotyczy ruchu oczekiwanego):

interface Dialer1

 ip address 199.1.1.1 255.255.255.0

 encapsulation ppp

 dialer pool 1

 dialer remote-name C2600BIS

 dialer string 60

 dialer-group 5

 ppp authentication chap

!

interface Dialer2

 ip address 197.1.1.1 255.255.255.0

 encapsulation ppp

 dialer pool 2

 dialer remote-name C2600BISB

 dialer string 62

 dialer-group 5

 ppp authentication chap

W konfiguracji interfejsu fizycznego należy tylko włączyć typ hermetyzacji oraz sposób uwierzytelniania (jest to niezbędne do właściwego odbierania wywołań) oraz przypisać go do odpowiednich grup interfejsów fizycznych (dialer pool-member):

interface BRI0/0

no ip address

encapsulation ppp

dialer pool-member 1

dialer pool-member 2

isdn switch-type basic-net3

ppp authentication chap

W kolejnym punkcie interfejs Dialer 1 włączamy jako drugorzędny dla interfejsu Serial 0/0:

interface Serial0/0

 backup interface Dialer2

Ponieważ jako interfejs zapasowy podany został Dialer 1, a nie BRI 0/0, ten ostatni nie będzie blokowany w trybie standby i dzięki temu dostępny dla połączeń DDR realizowanych poprzez interfejs Dialer 2. Poniżej przedstawiamy zawartość tabeli routingu przy poprawnej pracy interfejsu Serial 0/0. Na routerach C2600 i C2600BIS uruchomiony jest protokół RIP. Zwróćmy uwagę na sieć związaną z interfejsem Dialer 2 (przy odwołaniu do sieci 197.1.1.0 ustanowione zostanie połączenie DDR z routerem C2600BISB):

C2600#sh ip route

C 197.1.1.0/24 is directly connected, Dialer2

C 212.1.1.0/24 is directly connected, Ethernet0/0

R 215.1.1.0/24 [120/1] via 198.1.1.2, 00:00:07, Serial0/0

C 198.1.1.0/24 is directly connected, Serial0/0

Po awarii interfejsu Serial 0/0 aktywowany jest interfejs zapasowy Dialer 1. Ponieważ w konfiguracji protokołu RIP wykonano polecenie passive-interface Dialer 1, w tabeli routingu pojawia się wpis statyczny:

C2600#sh ip route

C 197.1.1.0/24 is directly connected, Dialer2

C 212.1.1.0/24 is directly connected, Ethernet0/0

C 199.1.1.0/24 is directly connected, Dialer1

S 215.1.1.0/24 [150/0] via 199.1.1.2

Połączenia typu multilink

W połączeniu typu multilink kilka linii fizycznych tworzyć może jedno połączenie logiczne, a dzięki równoważeniu ruchu na kilku równoległych łączach uzyskujemy znacznie większą przepustowość. Mechanizm multilink jest cechą protokołu PPP, a dokładniej opcją negocjowaną w ramach protokołu LCP. Zajmiemy się standardem multilink PPP (w skrócie MP) opublikowanym w dokumencie RFC 1990. Mechanizm ten pozwala dzielić pakiety na fragmenty, które są następnie wysyłane jednocześnie przez kilka równoległych linii punkt-punkt do tego samego adresu zdalnego. Kolejne linie połączenia multilink uruchamiane są na żądanie, zgodnie ze zdefiniowanym progiem obciążenia, przy czym obciążenie może być obliczane dla ruchu wchodzącego, wychodzącego lub badane w obie strony. Praktyczną konfigurację mechanizmu multilink przeprowadzimy dla sytuacji, w której dwa routery C2600 i C2600BIS komunikują się między sobą tylko poprzez sieć ISDN, a opcja multilink polegać będzie na agregacji obydwu kanałów B interfejsu BRI 0/0 - patrz rysunek.

Oprócz omawianych już poleceń konfiguracyjnych, w ramach interfejsu BRI 0/0 należy włączyć opcję multilink komendą ppp multilink. Następnie określamy progową wartość obciążenia, po przekroczeniu której aktywowany jest drugi kanał B (początkowo wykorzystywany jest tylko jeden kanał). Realizuje się to poleceniem dialer load-threshold próg [inbound | outbound | either]. Parametr pierwszy próg może przyjmować wartość od 1 do 255 i określa, ile procent przepustowości pierwszego kanału B musi zostać wykorzystane, zanim uaktywniony będzie kanał drugi. Podawana tu wartość ma znaczenie procentowe, na przykład 128 oznacza 50 procent, a 255 to 100 procent dostępnej przepustowości. Wartość 1 dla parametru próg oznacza, iż drugi kanał będzie uruchamiany od razu. Drugi parametr polecenia dialer load-threshold wybiera kierunek, dla którego sprawdza się obciążenie (either oznacza zarówno ruch wejściowy, jak i wyjściowy). Oto przykładowa konfiguracja interfejsu BRI 0/0 dla routera C2600:

C2600(config-if)#ppp multilink

C2600(config-if)#dialer load-threshold 128 either

Proces ustanawiania połączenia PPP z wykorzystaniem opcji multilink obserwować można za pomocą polecenia debug (debug dialer, debug isdn q931, debug isdn events, debug ppp multilink, debug ppp negotiation). Stan pracy kanałów B1 i B2 interfejsu BRI wykorzystywanych w połączeniu multilink weryfikować można za pomocą poleceń show interfaces, show ppp multilink, show isdn status, show dialer.