table des mati eres -...

Travaux Pratiques - Licence Reseaux et Telecommunications

Une chaıne operateur qui exploite l’ADSL (Asymmetric digital subscriber line).

Table des matieres

1 Introduction 11.1 Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Presentation sommaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Ressources materielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21.4 Travail redactionnel demande . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.5 Fonctionnement de la chaıne operateur . . . . . . . . . . . . . . . . . . . . . . . 3

2 Configuration materielle 42.1 La CPE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Le DSLAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.3 Le BAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2.3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3.2 Communications avec la CPE . . . . . . . . . . . . . . . . . . . . . . . . 72.3.3 Communications avec le LNS . . . . . . . . . . . . . . . . . . . . . . . . 72.3.4 Parametrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.4 Le LNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.4.1 Fin de la session PPP dans le tunnel L2TP . . . . . . . . . . . . . . . . 92.4.2 Attribution des adresses IP . . . . . . . . . . . . . . . . . . . . . . . . . 9

Materiels

Vous disposez pour ce TP de :— 2 routeurs Cisco 2600 qui serviront de LNS et de BAS,— 1 routeur adsl Cisco 800 qui servira de CPE,— 1 dslam DrayTek et ses cables,— 1 commutateur Cisco 2950.

1 Introduction

1.1 Objectifs

Durant ce TP, vous allez mettre en place une chaıne operateur. L’objectif est de comprendrel’architecture qui permet de transporter les donnees d’un abonne ADSL jusqu’a son fournisseurd’acces (note FAI ou ISP en anglais). Ces donnees passent par differents peripheriques qu’ilfaudra parametrer et sont transportees via differents protocoles. On pourra citer : PPP, PAP,CHAP, PPPoE, L2TP, IP . . .

Chaque groupe d’etudiants participant aux travaux pratiques devra considerer qu’il assurele parametrage de l’ensemble des peripheriques. Vous devrez suivre une procedure de validationet de recette fonctionnelle apres chaque phase de configuration.

1


1.2 Presentation sommaire

L’architecture que vous allez mettre en place peut sembler confuse et rapiecee. Ces deuxaspects sont en grande partie dus aux raisons suivantes :

— plusieurs FAI se partagent le marche des connexions ADSL,— tous ces FAI ne possedent pas necessairement leur propre DSLAM et peuvent faire appel

a des transporteurs,— des autorites de regulation obligent les operateurs historiques a louer une partie de leurs

services aux nouveaux fournisseurs afin de leur permettre l’acces au marche,— lors de la mise en place de cette technologie, leurs initiateurs ont ete efficaces et prag-

matiques : ils se sont appuyes sur des protocoles existants.Neanmoins, la solution obtenue est tres satisfaisante puisque, premierement, des millions

d’abonnes se connectent a Internet via cette technologie et, secondement, elle permet d’utiliserle reseau cuivre en place depuis plusieurs decennies. Elle a enfin un dernier avantage : elle estmodulaire et ne necessite pratiquement aucune modification sur les equipements une fois miseen place. Les identifiants des utilisateurs devront seulement etre renseignes dans les bases dedonnees et sur l’equipement de l’abonnes en cas de changement de fournisseurs.

D’un bout a l’autre de la chaıne se trouvent un routeur chez l’abonne (nomme CPE pourCustomer Premise Equipment) et un routeur chez le fournisseur d’acces faisant l’interface versl’internet. Ce dernier routeur est classiquement appele le LNS (L2TP Network Server). Entre cesextremites, il y a (au moins) deux peripheriques importants : un DSLAM et un BAS. Le DLSAM(Digital Subscriber Line Access Multiplexer) concentre les lignes des abonnes et transmet lesflux de donnees dans des VLAN. Le BAS (Broadband Access Server) appartient generalementau transporteur (ou au FAI en cas de degroupage). Son role est d’aiguiller les donnees vers lebon LNS en fonction des identifiants associes a la connexion.

Figure 1 – Presentation sommaire d’une chaıne operateur

1.3 Ressources materielles

Vous disposez pour toute cette seance des peripheriques suivants :— un routeur Cisco 837 qui fera office de CPE, i.e. de modem-router. Ce modem router

est appele aussi box.— un DSLAM VigorAccess A24M et de deux borniers. Un DSLAM est un multiplexeur qui

permet d’assurer sur les lignes telephoniques un service de type DSL (VDSL, ADSL 2+,

2


SDSL, . . .). Le premier bornier permet de brancher les lignes cruivre des abonnes alorsque le second est eventuellement relie a un operateur de telephonie standard,

— un routeur Cisco 2600 qui fera office de BAS. Classiquement, il s’appuie sur un proxyRadius pour savoir vers quel LNS il doit aiguiller le trafic. Durant ce TP, nous allonseffectuer l’authentification en local,

— un routeur Cisco 2600 qui fera office de LNS.— un ordinateur permettant de configurer les peripheriques reseaux, de simuler la machine

de l’abonne,— des commutateurs permettant de relier les materiels du reseau du transporteur entre

eux.L’idee principale est de monter une connexion point a point depuis la CPE de l’abonne jus-

qu’au LNS du fournisseur d’acces. Les protocoles et peripheriques qui permettent de creer cetteliaison PPP forment ce qu’on appelle la chaıne operateur.

Le TP se decompose en plusieurs etapes qui vont permettre a un abonne d’acceder a internet.On montre comment cette connexion point a point est monte de proche en proche tout enutilisant plusieurs supports. Nous allons identifier un abonne, l’autoriser a se connecter et luiattribuer une adresse de couche 3 en n’utilisant principalement que les protocoles de couches2. Certaines choses peuvent paraıtre deroutantes : il arrivera que ces informations de couche 2soient transportees par des protocoles de couches 3.

1.4 Travail redactionnel demande

Lors de chaque etape, vous fournirez les configurations des equipements qui ont necessite uneou des modifications. Vous commenterez et expliquerez chaque ligne ajoutee ou modifiee per-mettant ainsi d’evaluer vos connaissances et votre capacite a comprendre une chaıne operateur.

Pour que les commentaires et les explications soient pertinents, vous devrez utiliser lescommandes de diagnostique liees aux protocoles installes ou modifiees afin de montrer que lesobjectifs ont ete atteints.

1.5 Fonctionnement de la chaıne operateur

Avant de commencer le TP, on rappelle ici les etapes qui sont celles que l’on retrouveclassiquement afin d’etablir cette liaison :

1. La CPE envoie une requete en broadcast (c’est-a-dire a tout le monde) pour savoir si unBAS est present et peut repondre a sa requete.

2. Le DSLAM fait transiter les flux de la CPE de l’abonne vers le BAS.

3. Le BAS receptionne la requete de la CPE et lui repond en acceptant sa requete. On ditque la session PPPoE est montee. La session PPPoE est la session de l’abonne qui a etenegociee entre la CPE et le BAS.

4. Le BAS contacte le proxy Radius pour savoir quel LNS contacter. Le BAS fait suivre lenom de domaine auquel fait partie l’abonne au proxy Radius.

5. Le proxy Radius envoie la reponse au BAS avec soit une acceptation soit un rejet de laconnexion. S’il s’agit d’un echec, le BAS en informe la CPE et la session PPPoE est alorsdetruite. S’il s’agit d’une acceptation, le proxy Radius envoie en meme temps au BAS

3


une serie d’informations que l’on appelle “AVPAIRS” et qui permettent au BAS de savoirquel LNS contacter.

6. le BAS etablit un tunnel entre lui-meme et le LNS : il s’agit d’un tunnel L2TP.

7. Le LNS contacte le serveur Radius pour savoir s’il peut accepter la creation du tunnelL2TP. Le serveur Radius analyse sa base de donnees pour savoir si le BAS est bien “unesource fiable”. Dans l’affirmative, le LNS accepte la creation du tunnel L2TP.

8. Le BAS fait alors transiter la session PPP de l’abonne dans le tunnel L2TP. Il prolonge lasessions PPP dans le tunnel L2TP.

9. Avant d’accepter la session de l’abonne, le LNS contacte le serveur Radius pour savoirsi l’abonne est authentifie.

10. Si le serveur Radius repond positivement, le LNS aboutit bien la session PPP de l’abonne.

11. Finalement, le LNS envoie enfin une adresse IP a la CPE et lui fournit un acces a Internet.C’est le debut de l’acces a internet pour l’abonne.

Dans la suite de ce TP, nous allons mettre en place une chaıne operateur en simplifiantplusieurs aspects. Notre architecture ne comportera ni Proxy Radius, ni serveur Radius. Ondit que l’authentification se realise “en local”.

En ce qui concerne la configuration materielle, nous allons parametrer les equipementsdepuis l’abonne jusqu’au fournisseur. C’est a dire dans l’ordre suivant : CPE, puis DSALM, puisBAS et finalement le LNS en validant chaque etape par une analyse du traffic quand c’est possible.

On pourra s’appuyer sur les informations proposees par http://www.cisco.com/en/US/

docs/ios/12_0t/12_0t1/feature/guide/l2tpT.html.

2 Configuration materielle

2.1 La CPE

La configuration de la CPE est determinante puisque c’est elle qui va initier la demande deconnexion. Pour ce TP, on pourra s’appuyer sur ce qui a ete deja fait lors du TP pare-feu.

Le schema suivant illustre la connexion entre la CPE et le DSLAM :

Les grandes etapes a realiser sont les suivantes :— Changer le nom du routeur,— configurer le serveur DHCP en interne pour les postes negocient automatiquement leurs

adresses IP aupres de la CPE. On prendra un adressage privee standard : 192.168.1.0/24,

4


ip dhcp pool ...

network ...

default-router ...

dns-server ...

— activer le protocole PPPoE pour que la CPE puisse negocier une session PPPoE avec unBAS.

— configurer l’interface Dialer qui correspond a l’interface externe du routeur CPE, c’est-a-dire elle qui permettra l’acces a l’exterieur et par consequent a internet. L’authentifi-cation de l’utilisateur s’effectue donc sur cette interface.interface ATM 0

no ip address

no shutdown

no atm ilmi-keepalive

dsl operating-mode auto

interface ATM 0.1 point-to-point

no snmp trap link-status

pvc ..

pppoe-client dial-pool-number ...

interface Dialer 0

mtu ...

ip address ...

encapsulation ppp

dialer pool 1

dialer-group 1

ppp authentification ...

ppp pap ...

— parametrer une route par defaut vers l’interface externe.

2.2 Le DSLAM

Le DSLAM VigorAccess A24M peut servir de maıtre a 6 esclaves maximum (A24E). CesDLSAM esclaves se connecte grace aux 6 ports GigaBit alors que la connexion vers le WANvia la fibre. Il est neanmois possible d’utiliser un des ports GigaBit pour le WAN.

Un version de la documentation du DLSAM est disponible. Vous pouvez passer quelquesinstants a la consulter. Il serait interessant dans le compte rendu de TP d’expliciter chaqueterme apparaisant sur la plaquette disponible a l’adresse :

Le support utilise entre la CPE et le DLSAM est ATM avec des VP/VC, il faudra donc quele CPE et le DLSAM soient parametres pour utiliser le meme VP/VC. On pourra par exempleutiliser le couple classiquement utilise : 8/35.

Du fait de son architecture interne, le DSLAM possede deux interfaces de lignes de commande :une, dite de management qui permet de modifier les parametres generaux, l’autre, specifique aumanagement des lignes DSL. Pour acceder a l’interface du sous module dsl, on pourra taperdsl -c (noter la commande pour quitter ce mode).

Les grandes etapes a realiser sont les suivantes :— Activez le port G6 pour qu’il soit allume et qu’il serve de connexion vers le BAS,

5


— configurez le serveur NTP pour que le DSLAM soit a l’heure, on pourra utiliser la com-mande ntp avec l’option -t et penser l’activer avec ntp on

— verifiez que tous les ports par defaut sont dans le VLAN 1 et que le VP/VC par defautdu port sur lequel est connectee la ligne ADSL de l’abonne est bien 8/35.

— si le temps le permet, on pourra mettre en place une IP sur l’interface Managementpermettant de configurer partiellement le DSLAM.

— sauvegarder la configuration.Note : on pourra analyser les trames qui sortent du DLSAM. En principe, a cette etape, le

port G6 emet des diffusions Ethernet (PADI) avec comme adresse MAC celle de la CPE. Quecela signifie-t-il ? Appelez l’enseignant si ce n’est pas le cas.

Voici quelques commandes disponibles dans l’interface de commande proposee par le moduledsl :

get interface stats ifname dsl-*

get interface stats ifname atm-*

get interface stats ifname aal5-*

get interface stats ifname eoa-*

Quelles informations apportent chacune de ces commandes ? Que signifie eoa ?

2.3 Le BAS

2.3.1 Introduction

Apres le DLSAM, la technologie ATM n’est plus utilisee. Les flux venant des VP/VC sonttransmis de l’autre cote par defaut dans le VLAN 1 qui est non tague. La session PPP initieedepuis la CPE est portee par une connexion PPPoE (Point-to-Point Protocol over Ethernet) quiva se prolonger jusqu’au BAS. Une fois cette connexion arrivee jusqu’au BAS, celui-ci va aiguillerla connexion PPP jusqu’au bon LNS.

Le BAS et le LNS sont souvent distants et connectes via IP. L’idee a donc ete d’utiliser leprotocole L2TP pour prolonger la connexion initiee par la CPE jusqu’au LNS. Ceci permet enquelque sorte d’“encapsuler” la connexion PPP dans un protocole de plus haut niveau. Plusprecisement, on cree un tunnel L2TP qui est decoupe en plusieurs canaux qui correspondentchacun a une session PPP donc a une connexion d’un abonne. Le BAS est a l’origine du tunnelL2TP puisque c’est lui qui effectue la requete L2TP aupres du LNS. Il serait interessant ici de seposer la question de la signification de L2TP.

Le BAS est donc en quelque sorte au centre et doit donc faire l’interface entre la CPE etle LNS. Ses deux interfaces sont a parametrer de facon tres differentes. En effet, l’interfaceconnectee au DSLAM, seul des protocoles de couches 2 vont etre employes alors que de l’autrecote, il faudra encapsuler du L2TP dans de l’IP.

2.3.2 Communications avec la CPE

La discussion entre le CPE et le BAS (via le DLSAM) s’appuie sur PPPoE. On verra une foisla configuration correcte faite sur le BAS : une trame PADI, puis une reponse PADO, ensuiteun PADR et finalement un PADS. Une fois la decouverte PPPoE faite, c’est une discussion enPPP, utilisant PAP et LCP, qui commence. PAP va servir pour l’authentication alors que LCPpermettra aux deux extremites de s’echanger des informations sur l’etat du lien.

6


2.3.3 Communications avec le LNS

Dans la terminologie L2TP, le BAS est aussi appele LAC (L2TP Access Concentratord’acces L2TP). Le LAC permet d’orienter les sessions PPP des abonnes vers un ou plusieursLNS via le tunnel L2TP. Ce tunnel est decoupe en plusieurs canaux qui correspondent chacuna une session PPP donc a une connexion d’un abonne. Le LAC (c’est a dire le BAS) est al’origine du tunnel L2TP puisque c’est lui qui effectue la requete L2TP aupres du LNS.

Le LNS, quant a lui, a pour objectif d’authentifier le tunnel (le LAC doit etre autorise a creerun tunnel). Une fois le tunnel cree, le LNS doit terminer la session PPP. Cette authentificationse fait, dans notre cas, via le protocole PAP et c’est le BAS qui transmet les informationsd’identification au LNS. Finalement, le CPE se pense directement connecte au LNS.

Le schema suivant recapitule l’etablissement de la session PPP.

Figure 2 – Schema recapitulatif du fonctionnement de la chaıne operateur (authentificationen local)

2.3.4 Parametrage

Les grandes etapes a realiser sont les suivantes :— Changer le nom du routeur,

hostname ...

— Activer VPDN pour que les protocoles L2TP et PPPoE soient actifs au niveau du BAS.— Configurer le protocole qui identifie l’abonne, on commencera par mettre en place PAP.

(CHAP est une alternative a PAP, quels en sont les avantages/inconvenients ? ) et creerune interface virtuelle modele pour les sessions PPPoE.interface Virtual-Template 1

no ip addess

ppp ...

7


— Creer un groupe PPPoE pour assurer un lien entre la CPE et le BAS sinon le BAS ne prendrapas en compte les demandes de sessions PPPoE.bba-group pppoe ...

virtuale-template 1

ac name ...

— Creer un groupe VPDN avec tous les parametres necessaires a la creation du tunnel L2TP(adresse IP du LNS, mot de passe du tunnel L2TP, . . .).vpdn-group 2

request-dialin

protocol ...

domain ...

initiate-to ...

local name ...

l2tp tunnel ...

— Ajouter les identifiants de l’abonne puisqu’il s’agit pour le moment d’une authentificationen local sur les materiels.username ...

— Activer PPPoE et ne pas configurer d’adresse IP sur l’interface du BAS cote DSLAM puisquePPPoE est de niveau 2.interface FastEthernet

...

pppoe enable group global

2.4 Le LNS

Le LNS, quant a lui, a pour objectif d’authentifier le tunnel. Lorsque le BAS fait une requeteL2TP, le LNS verifie qu’il a bien le bon mot de passe pour creer ce tunnel L2TP. Une fois letunnel L2TP cree, le LNS doit terminer la session PPP que le BAS lui fait parvenir a l’interieur dutunnel. Cette authentification se fait, dans notre cas, via le protocole PAP et c’est evidemmentle BAS qui transmet les informations d’identification du client au LNS.

Finalement, le LNS fournit la connectivite a Internet apres avoir attribuee une adresse IP.

2.4.1 Fin de la session PPP dans le tunnel L2TP

Les grandes etapes a realiser sont les suivantes :— Creer une interface virtuelle nommee virtual-template dans laquelle il faut definir le pool

d’adresses IP pour les interfaces externes (Dialer) des routeurs CPE, ajuster la taille despaquets MTU et choisir un protocole d’authentification PAP

interface Virtual-Template 2

ppp mtu adaptive

ppp authentification pap

Note : Il serait interessant a ce stade de savoir pourquoi on cree des interfaces template.

8


— Activer le protocole VPDN pour que le LNS prennent en compte les protocoles L2TP,— Creer un groupe VPDN portant le meme nom que celui configure sur le BAS. Comme

pour le BAS, il faut entrer les parametres necessaires a ce groupe VPDN.vpdn-group 2

accept-dialin

protocol ...

virtual-template 2

terminate-from ...

local name ...

l2tp tunnel ...

— Ajouter les identifiants des abonnes car il s’agit de l’authentification locale.On pourra utiliser la commande show vpdn sur le BAS et sur le LNS pour illustrer le

resultat de votre travail.

2.4.2 Attribution des adresses IP

A ce stade du TP, vous devez voir une connexion PPP entre la CPE et le LNS. Commevous l’avez sans doute remarque, la requete de configuration IPCP sur PPP initiee depuis laCPE n’a pas abouti. Pour resoudre ce soucis, nous allons dans un premier temps configurerune interface LoopBack 0 pour la continuite de service :

interface Loopback 0

ip address ....

Les adresses IP attribuees aux abonnes font parti d’un pool :

ip local pool ... ... ...

Finalement, il nous faut modifier l’interface modele Virtual-Template 2 pour qu’elle obtiennepar defaut l’adresse de Loopback puis dans un second temps qu’elle obtienne une adresse IPdu pool.

interface Virtual-Template 2

ip unnumbered Loopback 0

...

peer default ip address pool ...

Vous devriez maintenant avoir une adresse IP sur l’interface Dialer de votre CPE. Verifiezet tentez un ping depuis la CPE vers l’interface Loopback du LNS (attention a ce que l’interfacede LoopBack du LNS et celles du pool soit dans le meme reseau, les addresses du pool n’ontevidemment rien a voir avec le reseau BAS-LNS). En scrutant les trames sur la chaıne, commentle LNS a-t-il repondu au requete IPCP initie par la CPE ? Pourquoi ?

Finalement, mettez en place le NAT sur le LNS et sur la CPE pour que les utilisateurs dureseaux prives derriere la CPE puissent acceder a internet (Pensez a mettre une machine dansle reseaux du FAI pour valider vos test).

9

table des mati eres -...

Documents