Vous êtes sur la page 1sur 33

Protocole PPP*

*Point-to-Point Protocol
Sommaire

1) Étude du protocole

1) Établissement d’une session

1) Authentification / configuration
 Procédure de configuration du protocole PAP
 Procédure de configuration du protocole CHAP
Étude du protocole

 Protocole d’encapsulation WAN le plus répandu

 Successeur de SLIP

 Caractéristiques :
 Connexions entre routeurs et hôtes
 Gestion des circuits synchrones et asynchrones
 Contrôle de la configuration des liaisons
 Configuration des liaisons
 Vérification de la qualité des liaisons
Caractéristiques

 Multiplexage des protocoles réseau


 Paquets de protocoles différents sur la même liaison

 Détection des erreurs

 Négociation d’options
 Attribution dynamique des adresses de couche 3
 Compression
 Authentification
 Qualité de la liaison (Link Quality Monitor)
Parties distinctes

Autres
IP IPX protocoles
Couche
réseau
IPCP IPXCP BCP
Protocoles NCP
PPP
Couche liaison
Protocole LCP
de données
Liaison synchrone ou Couche
asynchrone physique
Parties distinctes

 Un mode d’encapsulation
 Trame PPP = Trame HDLC générique modifiée
 Un seul type de trame PPP, quelque soit le paquet
encapsulé

 Le protocole LCP
 Link Control Protocol

 Une famille de protocoles NCP


 Network Control Protocol
Protocole LCP

 Établissement et contrôle d’une session


 Trame LCP d’établissement de liaison
 Trame LCP de fermeture de liaison
 Trame LCP de maintenance de liaison
Protocoles NCP

 Gestion des protocoles de couche 3


 IPCP (Internet Protocol Control Protocol)
 IPXCP (Internetworking Packet eXchange Control Protocol)
 BCP (Bridge Control Protocol)

 Beaucoup d’autres NCP, chacun étant prévu pour


fonctionner avec un protocole de couche 3
spécifique
Trame PPP

Drapeau Adresse Contrôle Protocole Données FCS


(Taille (2 ou 4
(1 octet) (1 octet) (1 octet) (2 octets)
variable) octets)

 Drapeau
 Indicateur de début ou de fin de trame
 Valeur = 01111110

 Adresse
 Adresse de broadcast standard (11111111), car PPP
n’attribue pas d’adresse de couche 2
Trame PPP

 Contrôle
 Service non orienté connexion (Comme LLC)
 Valeur = 00000011

 Protocole
 Identification du protocole de couche 3 encapsulé

 Données
 Soit zéro, soit le paquet (Max 1500 octets)

 FCS
 Séquence de contrôle de trame pour vérification
d’erreurs
Établissement d’une session

 4 phases d’une session PPP :


 Établissement de la liaison
 Détermination de la qualité de la liaison
 Configuration du ou des protocoles de couche 3
 Fermeture de la liaison

 Trames LCP responsables de ces 4 phases


Phase 1 - Établissement

 Émission de trames LCP par l’origine pour établir


et configurer la liaison

 Négociation des options (Explicites ou implicites) :


 MTU
 Compression
 Authentification
 Qualité de la liaison

 Fin de phase :
 Émission/réception d’une trame LCP ACK
Phase 2 - Qualité

 Phase optionnelle :
 Option qualité de la liaison
 Option authentification

 Vérification d’une qualité suffisante pour activer


les protocoles de couche 3

 Une fois la liaison établie, lancement du processus


d’authentification
Phase 3 – Configuration NCP

 Phase de transmission des données

 Activation et fermeture à tout moment des


protocoles de couche 3 via le NCP associé

 Émission des paquets une fois le protocole de


couche 3 configuré par son NCP
Phase 4 - Fermeture

 Il y a 3 cas :
 Via des trames LCP ou NCP spécifiques

 A cause d’un événement extérieur


 Délai d’attente
 Perte de signaux

 Par demande d’un utilisateur


État des protocoles LCP & NCP

 Commande show interfaces


Authentification / configuration

 Modes d’authentification
 Protocole PAP
 Protocole CHAP
 Commandes
Modes d’authentification

 Plusieurs modes d’authentification :


 Aucune authentification
 Protocole PAP
 Protocole CHAP
Protocole PAP

Routeur Authentification Routeur acceptant


s’authentifiant l’authentification
PAP

Lab_A ppp pap sent-username Lab_B

Nom d’hôte : Nom d’utilisateur :


Lab_A Acceptation ou refus Lab_B
Mot de passe : Mot de passe :
password_pap password_pap
Protocole PAP

 Échange en 2 étapes :
 Envoie des informations d’authentification
 Acceptation ou refus du pair

 Méthode d’authentification simple :


 Émission du couple utilisateur/mot de passe de façon
répétée jusqu’à :
 Confirmation de l’authentification
 Interruption de la connexion
Protocole PAP

 Pas très efficace


 Mots de passe envoyés en clair
 Aucune protection
 Lecture répétée des informations
 Attaques répétées par essais et erreurs

 2 méthodes d’authentification possibles :


 Unidirectionnelle
 Client authentifié sur le serveur de compte

 Bidirectionnelle
 Chaque pair authentifie l’autre
Protocole CHAP

Routeur Routeur acceptant


s’authentifiant Authentification CHAP l’authentification

Confirmation
Lab_A Lab_B
Réponse
Nom d’hôte : Nom d’utilisateur :
Lab_A Lab_B
Mot de passe : Acceptation ou refus Mot de passe :
password_chap password_chap
Protocole CHAP

 Échange en 3 étapes (Après demande) :


 Confirmation
 Réponse (Couple utilisateur/mot de passe)
 Acceptation ou refus

 Méthode d’authentification plus évoluée :


 Vérification régulière de l’identité du nœud distant
 Authentification bidirectionnelle
 Pas d’authentification sans confirmation préalable
 Authentification cryptée via MD5
Protocole CHAP

 Chaque pair contrôle :


 Fréquence des tentatives d’authentification
 Durée de ces tentatives

 Efficacité contre le piratage :


 Valeur de confirmation variable, unique et imprévisible
 Répétition des confirmations pour limiter la durée
d’exposition aux attaques
Commandes

 username {nom} password {mot_de_passe}


 Mode de configuration globale
 Permet de créer un compte d’authentification pour un pair
(Pair authentifiant)
 Le mot de passe doit être identique sur les deux pairs
(Authentification bidirectionnelle)

 encapsulation ppp
 Mode de configuration d’interface
 Spécifie l’encapsulation à utiliser pour l’interface courante
Commandes

 ppp authentication {chap | chap pap | pap


chap | pap} [callin]
 Mode de configuration d’interface
 Appliquer un schéma d’authentification précis pour la
liaison
 Paramètre callin pour une authentification
unidirectionnelle (PAP uniquement)
Commandes

 ppp pap sent-username {nom} password


{mot_de_passe}
 Mode de configuration d’interface
 Émission des informations d’authentification pour PAP
(Pair authentifié)

 ppp chap hostname {nom}


 Mode de configuration d’interface
 Explicite le nom à envoyer au routeur pair pour
l’authentification CHAP (Par défaut,c’est le nom d’hôte)
Commandes

 ppp chap password {mot_de_passe}


 Mode de configuration d’interface
 Explicite le mot de passe à envoyer au routeur pair pour
l’authentification CHAP (Par défaut, c’est le mot de passe
du mode privilégié)

 ppp quality {pourcentage}


 Mode de configuration d’interface
 Permet d’activer et de configurer LQM
 Si la qualité de la liaison tombe en dessous du
pourcentage spécifié, PPP coupera la liaison
Commandes

 Commandes de déboguage :
 debug ppp authentication
 debug ppp negociation
Procédure de configuration du protocole PAP

 Deux procédures de configuration différentes :


 PAP unidirectionnelle
 PAP bidirectionnelle
Protocole PAP - Unidirectionnelle

Pair authentifié Pair authentifiant

Lab_A Lab_B

Lab_A (config-if)# encapsulation ppp


Lab_A (config-if)# ppp authentication pap callin
Lab_A (config-if)# ppp pap sent-username Lab_A password password_pap

Lab_B (config)# username Lab_A password password_pap


Lab_B (config-if)# encapsulation ppp
Lab_B (config-if)# ppp authentication pap
Protocole PAP - Bidirectionnelle

Pair authentifié Pair authentifié


& authentifiant & authentifiant

Lab_A Lab_B

Lab_A (config)# username Lab_B password password_pap


Lab_A (config-if)# encapsulation ppp
Lab_A (config-if)# ppp authentication pap
Lab_A (config-if)# ppp pap sent-username Lab_A password password_pap

Lab_B (config)# username Lab_A password password_pap


Lab_B (config-if)# encapsulation ppp
Lab_B (config-if)# ppp authentication pap
Lab_B (config-if)# ppp pap sent-username Lab_B password password_pap
Procédure de configuration du protocole CHAP

Pair authentifié Pair authentifié


& authentifiant & authentifiant

Lab_A Lab_B

Lab_A (config)# username Lab_B password password_chap


Lab_A (config-if)# encapsulation ppp
Lab_A (config-if)# ppp authentication chap

Lab_B (config)# username Lab_A password password_chap


Lab_B (config-if)# encapsulation ppp
Lab_B (config-if)# ppp authentication chap

Vous aimerez peut-être aussi