iseries Táoli elérés szolgáltatások: PPP kapcsolatok
iseries Táoli elérés szolgáltatások: PPP kapcsolatok
Szerzői jog IBM Corporation 1998, 2001. Minden jog fenntarta
Tartalom Rész 1. Táoli elérés szolgáltatások: PPP kapcsolatok.............. 1 Fejezet 1. Újdonságok a V5R1 kiadásban....................... 3 Fejezet 2. A témakör kinyomtatása.......................... 5 Fejezet 3. PPP forgatókönyek........................... 7 A táoli kliensek kapcsolódása az iseries szererhez.................... 7 Az irodai LAN kapcsolódása az Internethez modem segítségéel............... 9 A állalati és a táoli hálózatok összekapcsolása modemmel................. 11 Fejezet 4. A PPP terezése............................ 15 Mi a PPP?................................... 15 Szofter- és harderköetelmények.......................... 15 Kapcsolati profilok................................ 16 A RADIUS áttekintése............................... 17 IP címzési tudnialók............................... 17 Rendszer hitelesítés............................... 19 CHAP.................................... 20 PAP.................................... 20 EAP.................................... 20 RADIUS................................... 21 Érényesítési lista............................... 21 Összeköttetési alternatíák............................. 21 Analóg telefononal............................... 22 Digitális szolgáltatások és DDS.......................... 23 Kapcsolt-56................................. 23 ISDN.................................... 23 T1/E1 és törtt1................................ 24 Kerettoábbító................................ 25 Összeköttetési berendezés............................. 25 Modemek.................................. 25 CSU/DSU.................................. 26 ISDN terminál adapterek............................. 26 ISDN terminál adapter ajánlások......................... 26 ISDN terminál adapter korlátozások........................ 27 Sászélességgel kapcsolatos szempontok - onalösszeonás................ 27 L2TP (alagút) támogatás a PPP kapcsolatokhoz..................... 28 Önkéntes alagút................................ 28 Kényszerű alagút - bejöő híás.......................... 28 Kényszerű alagút -táoli tárcsázás......................... 28 L2TP több állomásos kapcsolat.......................... 29 Csoport irányelek támogatás............................ 29 IP csomag szűrés................................ 29 Fejezet 5. A PPP konfigurálása........................... 31 Kapcsolati profil létrehozása............................ 31 Protokoll típusa: PPP agy SLIP.......................... 32 Mód kiálasztások............................... 32 Kapcsolt onal............................... 32 Bérelt onal................................ 33 L2TP (irtuális onal)............................. 33 Kétrétegű alagútkezelési protokoll (L2TP)..................... 34 Szerzői jog IBM 1998, 2001 iii
Az összeköttetés beállítása............................ 35 Egyetlen onal............................... 35 Vonalkészlet................................ 35 Többkapcsolatos profil támogatás........................ 36 Táoli IP címkészletek............................ 37 ISDN................................... 37 Modem beállítása PPP-hez............................. 38 Új modem konfigurálása............................. 38 A modem parancsláncok beállítása......................... 38 Példa - ISDN terminál adapterek beállítása...................... 39 A modem és a onalleírás társítása......................... 40 Táoli PC konfigurálása.............................. 40 AT&T globális hálózaton keresztüli Internet hozzáférés konfigurálása.............. 40 Kapcsolati arázsló................................ 41 Csoport hozzáférési stratégia konfigurálása....................... 42 IP csomagszűrő szabályok alkalmazása a PPP kapcsolatra................. 43 RADIUS és DHCP szolgáltatások engedélyezése kapcsolati profilok számára.......... 44 Fejezet 6. A PPP kezelése............................. 45 PPP kapcsolati profilok tulajdonságainak beállítása.................... 45 PPP teékenység figyelés............................. 47 Fejezet 7. PPP hibakeresés............................ 49 Fejezet 8. Toábbi PPP információk......................... 51 i iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Rész 1. Táoli elérés szolgáltatások: PPP kapcsolatok A Pont-pont protokoll (PPP) soros onalon keresztüli adatátitel céljára szolgáló Internet szabány. A legszélesebb körben elterjedt összeköttetési forma az Internet szolgáltatók (ISP) között. A PPP lehetőé teszi az egyedi számítógépek számára a hálózat elérését, amely réén hozzáférhetőé álik az Internet. Az iseries szerer a táoli hálózat (WAN) összeköthetőség részeként magában foglalja a TCP/IP PPP támogatást. Adatokat cserélhet két helyszín között azáltal, hogy a PPP segítségéelatáoli számítógépet összekapcsolja az iseries szererrel. A PPP segítségéel az iseries szererhez kapcsolódó táoli rendszerek hozzáférhetnek azokhoz az erőforrásokhoz agy más számítógépekhez, amelyek ugyanahhoz a hálózathoz tartoznak, mint a saját szerere. A PPP segítségéel elérheti az Internetet is, ha úgy konfigurálja az iseries szerert. A Műeletek naigátor Internet összeköttetési arázslója égigezeti az iseries szerer Internethez történő csatlakoztatásának folyamatán. Újdonságok a V5R1 kiadásban ismerteti a táoli elérési szolgáltatások legfrissebb újdonságait. Atémakör nyomtatása lehetőé teszi az itt leírtak PDF áltozatának letöltését agy kinyomtatását. A táoli elérés szolgáltatások: PPP kapcsolatok alapjai Az itt található témakörök gyorsan megismertetik az olasóal az iseries 400 szereren rendelkezésre álló táoli elérés szolgáltatást. Az alábbi témakörök segítséget nyújtanak a saját PPP környezet megterezésében. A PPP forgatókönyek különböző megalósítású PPP összeköttetésekre mutatnak példákat. Minden egyes példa utasításokat és mintaértékeket tartalmaz az adott PPP kapcsolat konfigurálásához. A PPP terezése tájékoztatást nyújt a PPP alapeleiről, és az iseries 400 szerer PPP összeköttetésekre onatkozó köetelményeiről. A táoli elérés szolgáltatások: PPP kapcsolatok használata Ezek a témakörök segédkezhetnek a PPP összeköttetések iseries 400 szereren történő konfigurálásában és irányításában. A PPP konfigurálása köronalazza a PPP kapcsolatok konfigurálásának alapető lépéseit. A PPP kezelése olyan információkkal szolgál, amelyet a PPP kapcsolatok kezelésének útmutatójaként használhat. A PPP hibakeresése ismerteti a PPP összeköttetés alapető hibáit, és rámutat a tárgyhoz tartozó hibakeresési információkra. A PPP kapcsolatokról egyéb információkat is talál itt. Ez az oldal hiatkozásokat tartalmaz hasznos és kapcsolódó iseries szerer információk elérésére. Szerzői jog IBM 1998, 2001 1
2 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Fejezet 1. Újdonságok a V5R1 kiadásban Toábbfejlesztett, használhatóbb kezelőfelületaműeletek naigátorral AMűeletek naigátorban a PPP összeköttetés táoli elérés szolgáltatásként ismert. Ezt a mappát a Hálózatok alkönytárban találja meg. A Táoli elérés szolgáltatás aköetkező objektumokat tartalmazza: AKezdeményező kapcsolati profilok pont-pont összeköttetések, amelyeket a helyi iseries szerer kezdeményez, és atáoli rendszer fogad. Ennek az objektumnak a segítségéel konfigurálhatja a kifelé menő kapcsolatokat. AFogadó kapcsolati profilok pont-pont összeköttetések, amelyeket a táoli rendszer kezdeményez, és a helyi iseries szerer fogad. Ennek az objektumnak a segítségéel konfigurálhatja a befelé jöő kapcsolatokat. AModemek lehetőé teszik a modemek és tulajdonságaik kezelését. Beállíthatja a modemre agy az Integrált szolgáltatású digitális hálózat (ISDN) terminál adapterére onatkozó paramétereket. ATáoli elérés szolgáltatások mappájához tartozó Szolgáltatások menüelem lehetőé teszi a felhasználónak a RADIUS és a DHCP szolgáltatások konfigurálását, amelyek rendelkezésre állnak az összes új és már megléő kapcsolati profil számára. Ebben a kiadásban már rendelkezésre áll PPP onalösszeonás protokoll és sászélesség kiosztási protokoll támogatás is. A Csoport hozzáférési stratégia csoport irányelek támogatással bőült. Ennek segítségéel meghatározhatja a konfigurációs paramétereket, amelyek a befelé jöő kapcsolatokra onatkoznak, alamint adminisztrálhatja a táoli elérés felhasználóiból álló csoportokra onatkozó irányeleket. A Csoport hozzáférési stratégiák lehetőé teszik a PPP kapcsolódási opciók felhasználói szintű ezérlését a PPP profilszintű lehetőség helyett. Az olyan összeköthetőségi beállításokat is ezérelheti, mint példáulaszűrőid-k és aziptoábbítás. A Csoport hozzáférési stratégiát a Fogadó kapcsolati profilok alatt találja meg. A DHCP WAN kliens támogatást a Fogadó kapcsolati profil konfigurálhatja és használhatja a táoli elérés felhasználóihoz rendelt IP címek kezelésére. A RADIUS támogatást a Fogadó kapcsolati profil konfigurálhatja és használhatja. A RADIUS központosított hitelesítést, elszámolást és IPcímkezelési szolgáltatást nyújt. Az L2TP kapcsolati profilok négy új üzemmóddal bőültek: táoli tárcsázás, táoli híás kérésre, kérésre kezdeményező, alamint több állomásos kezdeményező. Toábbi információért olassa el az online súgót. A PPP hitelesítési támogatás az EAP protokollal bőült. A pillanatnyi támogatás CHAP agy PAP hitelesítési protokollok használatát teszi lehetőé. Unierzális kapcsolati arázslóal bőült a Kezdeményező kapcsolati profilok alatti opciók álasztéka. Az elektronikus ügyfélszolgálatot nyújtó szofter (az IBM rendszerhez történő csatlakozás céljából) által használt profil konfigurálására szolgál. Az ASYNC onaltípusok esetén megadható SLIP protokoll profilok nincsenek támogata ezentúl. A Műeletek naigátorban manuális áttérési lehetőség an az ilyen típusú profilokról PPP onaltípust használó SLIP agy PPP kapcsolati profilokra. A rendszer új harder adapterekkel (2771 IOA és 2772 IOA) bőült. Az IBM globális hálózat telefonos kapcsolati arázslója az AT&T globális hálózat telefonos kapcsolati arázsló elneezést kapta. Végigezeti a felhasználót azokon a lépéseken, amelyek réén létrehozhatja a Kezdeményező kapcsolati profilt a leelezés agy a telefonos hálózati alkalmazás eléréséhez az AT&T globális hálózaton. Az Új IBM telefonos kapcsolati arázsló égigezeti a felhasználót azokon a lépéseken, amelyek réén létrehozhatja a Kezdeményező kapcsolati profilt az Internet szolgáltató (ISP) agy az Intranet elérése céljából. Szerzői jog IBM 1998, 2001 3
Legfrisebb PPP és L2TP információk: A PPP és az L2TP által igényelt legfrissebb ideiglenes program jaításokat (PTF) és konfigurációs információkat az iseries szerer TCP/IP honlapon találja meg. Ez a hiatkozás a legújabb információkat tartalmazza, ami kiegészíti és felülbírálja a Táoli elérés szolgáltatások:ppp kapcsolatok témakör alatt leírtakat. Az alábbiakról kérhet információkat: A PPP kapcsolatok kezelésére szolgáló tippek Műeletek naigátor használata esetén Alapszintű PPP hibakeresési információk 4 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Fejezet 2. A témakör kinyomtatása A dokumentum PDF áltozatát megjelenítheti agy letöltheti megtekintés agy kinyomtatás céljából. A PDF fájlok megtekintéséhez Adobe Acrobat Reader programmal kell rendelkezni. A program az alábbi címről tölthető le: Adobe. A PDF áltozat megtekintéséhez agy letöltéséhez álassza a Táoli elérés szolgáltatások:ppp kapcsolatok témakört (277 KB agy kb. 58 oldal). A PDF fájl mentése a munkaállomáson megjelenítés agy kinyomtatás céljából: 1. Nyissa meg a PDF fájltaböngészőjében (kattintson a fenti hiatkozásra). 2. A böngésző menüjében kattintson a Fájl menüpontra. 3. Kattintson a Mentés másként... menüpontra. 4. Keresse meg azt az alkönytárt, ahoá a PDF fájlt menteni szeretné. 5. Kattintson a Mentés gombra. Szerzői jog IBM 1998, 2001 5
6 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Fejezet 3. PPP forgatókönyek Az alábbi forgatókönyek segítséget nyújtanak a PPP működésének megértésében, alamint saját hálózata PPP környezetének megalósításában. Ezek a forgatókönyek ismertetik az alapető PPP koncepciókat, amelyekből a kezdő és a tapasztalt felhasználók is előnyt koácsolhatnak, mielőtt folytatják a terezési és a konfigurációs feladatokat. A táoli kliensek kapcsolódása az iseries szererhez A táoli felhasználók, mint például a mobil kliensek, gyakran igénylik a állalati hálózat elérését. Az ilyen telefonos kliensek hozzáférést nyerhetnek az iseries szererhez a PPP segítségéel. Az irodai LAN kapcsolódása az Internethez modem segítségéel A rendszergazdák jellemzően egy irodai hálózatot állítanak fel, amely lehetőé teszi az alkalmazottaknak az Internet elérését. Az iseries szerer egy modem segítségéel kapcsolódhat az Internet szolgáltatóhoz (ISP). A LAN-hoz csatlakozó kliensek az átjáróként funkcionáló iseries szerer réén kommunikálhatnak az Internettel. A állalati és a táoli hálózatok összekapcsolása modemmel A modem lehetőé teszi két táoli hely (mint például a központi iroda és a kirendeltség) közötti adatcserét. A PPP képes összekapcsolni két LAN-t azáltal, hogy összeköttetést hoz létre a központi irodában léő iseries szerer és a kirendeltségen léő másik iseries szerer között. PPP és DHCP egyetlen iseries szereren A telefonos kliensek agy a táoli felhasználók hozzáférést nyerhetnek a állalati hálózat iseries szereréhez a PPP segítségéel. Az adott iseries szereren léő DHCP szolgáltatások dinamikusan rendelik hozzá az IP címeket az ilyen kliensekhez. DHCP és PPP profil különböző iseries szereren Biztonsági szempontokból agy a hálózatezetés fizikai elrendezése miatt a legtöbb cég elkülöníti a hálózati szolgáltatásokat és szétosztja őket különböző szererekre. Ez a forgatóköny kezeli a rendszer bonyolultságát nöelő tényt, agyis, hogy a PPP szerer és a DHCP szerer elkülönül egymástól. Az előző forgatókönyhöz hasonlóan ez a beállítás is lehetőé teszi a táoli felhasználóknak a telefonon történő bejelentkezést és a állalati hálózat elérését. PPP és VPN: VPN által édett L2TP alagút A kirendeltség a Layer 2 Tunnel Protocol (L2TP) réén kapcsolódhat a állalati irodai rendszerhez. Az L2TP alagút egy irtuális PPP összeköttetést hoz létre. Valójában az L2TP kiterjeszti a állalati hálózat hatókörét úgy, hogy a kirendeltség a állalati alhálózat részeként jelenjen meg. A VPN édi az L2TP alagúton keresztül menő adatforgalmat. A táoli kliensek kapcsolódása az iseries szererhez Helyzet: A állalati hálózat rendszergazdájaként karban kell tartania az iseries szerert és a hálózati klienseket is. A hibakeresés és a problémák jaítása céljából nem óhajt bemenni a munkahelyére, inkább szeretné, ha lenne arra lehetőség, hogy mindezt táoli helyről - például otthonról - elégezhesse. Miel a állalat nem rendelkezik saját Internet hálózati kapcsolattal, így az iseries szerert a PPP összeköttetés réén tudja felhíni. Toábbá, pillanatnyilag csak egy 7852-400 ECS modeme an, amelyet szeretne felhasználni az összeköttetéshez. Szerzői jog IBM 1998, 2001 7
Ábra: 1. A táoli kliensek kapcsolódása az iseries szererhez Megoldás: A PPP segítségéel, felhasznála a modemet, az iseries szererhez csatlakoztathatja az otthoni PC-jét. Miel az ECS modemet a PPP típusú összeköttetéshez használja, győződjön meg arról, hogy a modem szinkron és aszinkron üzemmódra egyaránt konfigurála an. A fenti illusztráció egy PPP szolgáltatásokkal rendelkező iseries szerert ábrázol, amely két PC-ből álló LAN hálózathoz csatlakozik. A táoli dolgozó feltárcsázza az iseries szerert, hitelesíti magát, és azután a működő hálózat részéé álik (192.168.1.0). Ebben az esetben a legegyszerűbb egy állandó IP cím hozzárendelése a telefonos klienshez. A táoli dolgozó a CHAP-MD5 réén hitelesítheti magát az iseries szererrel. Az iseries nem képes az MS_CHAP használatára, azaz meg kell győződnie arról, hogy a PPP kliensnél CHAP-MD5 an beállíta. Ha azt akarja, hogy táoli dolgozói az előbbiekben foglaltak szerint rendelkezzenek hozzáféréssel a állalati hálózathoz, akkor a TCP/IP eremben és a PPP fogadó profilban is be kell állítani az IP toábbítást. Ha korlátozni kíánja, agy ha biztonságossá tenni azokat a műeleteket, amelyeket a táoli kliens égrehajthat a hálózatban, használjon szűrőket az IP csomagok kezelésére. A fenti szemléltetés csak egy táoli telefonos klienssel rendelkezik, miel az ECS modem csak egy összeköttetést tud kezelni egyidőben. Ha az igények több egyidejű telefonos klienst köetelnek meg, olassa el a terezési részt a harder és a szofter szempontok megismerése céljából. Minta konfiguráció: 1. Konfigurálja a telefonos hálózatot (Dial-up Networking) és hozza létre a telefonos összeköttetéstatáoli PC-n. 2. Konfigurálja a Fogadó kapcsolati profilt az iseries szereren. Feltétlenül adja meg a köetkező információkat: 8 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Protokoll típusa: PPP Összeköttetés típusa: kapcsolt onal Működési mód: álaszoló Összeköttetés beállítása: Akörnyezetétől függően ez lehet egyetlen onal (single line), onalkészlet (line pool) agy ISDN onal. 3. Az új Pont-pont profil Tulajdonságainak Általános oldalán írja be a fogadó profil neét és leírását. 4. Kattintson a Kapcsolat lapra. Válassza ki a megfelelő Vonal neet, agy egy új né begépeléséel, és az Új gombra történő kattintással hozzon létre egy újat. a. Az Általános lapon emeljen ki egy megléő harder erőforrást, és állítsa be az aszinkron kerettípust. b. Kattintson a Modem lapra. A felsorolásból álassza ki az IBM 7852-400 típust (agy az IBM 7852-400 nemzetközi típust az USA-n kíüli alkalmazások többsége számára). c. Kattintson az OK gombra, hogy isszatérjen az Új Pont-Pont Profil Tulajdonságok lapjára. 5. Kattintson a Hitelesítés lapra. a. Válassza ki azt, hogy ez az AS/400 ellenőrizze a táoli rendszer azonosságát. b. Válassza ki a Helyi hitelesítés érényesítési lista alapján opciót, és egye fel az új táoli felhasználót azérényesítési listára. c. Válassza ki a Titkosított jelszó engedélyezését (CHAP-MD5). 6. Kattintson a TCP/IP beállítások lapra. a. Válassza ki a helyi 192.168.1.1 IP címet. b. A táoli cím számára álassza a Rögzített IP címet a 192.168.1.11 címtől kezdődően. c. Válassza ki a megfelelő opciót, hogy a táoli rendszer számára engedélyezett legyen más hálózatok elérése. 7. Kattintson az OK gombra a profil befejezéséhez. Az irodai LAN kapcsolódása az Internethez modem segítségéel Helyzet: A társaság által használt állalati alkalmazás megköeteli, hogy a felhasználók elérjék az Internetet. Miel az alkalmazás nem igényli nagyobb adatmennyiség cseréjét, ezért azt szeretné, ha használni tudná a modemet az iseries szerer és a LAN-hoz csatolt PC kliensek Internethez történő csatlakoztatására.a köetkező szemléltető ábra mutat be példát egy ilyen helyzetre. Fejezet 3. PPP forgatókönyek 9
Ábra: 2. Az irodai LAN kapcsolódása az Internethez modem segítségéel Megoldás: Az ECS (agy más, azzal kompatíbilis) modem segítségéel összekapcsolhatja az iseries szerert az Internet szolgáltató (ISP) rendszeréel. A szereren létre kell hoznia egy PPP kezdeményező profilt ahhoz, hogy létrehozhassa a PPP kapcsolatot az ISP-el. Amint létrehozta az összeköttetést az iseries és az ISP között, a LAN-hoz csatlakozó PC-k kommunikálni tudnak az Internettel, miközben az iseries átjáróként funkcionál. A kezdeményező profilban a Hide addresses opciónak feltétlenül be kell kapcsola lenni ahhoz, hogy a LAN kliensek, amelyek fenntartott IP címekkel rendelkeznek, kommunikálni tudjanak az Internettel. Most, hogy az iseries és a hálózat kapcsolódik az Internethez, gondolja égig a biztonsági kockázatokat. Működjön együtt a szolgáltatóal (ISP), hogy megismerje biztonsági irányeleit, és számba egye a toábbi feladatokat a szerer és a hálózat édelme érdekében. 10 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Ha az ECS modemet használja a PPP típusú összeköttetéshez, akkor szinkron és aszinkron üzemmódra egyaránt konfigurálja a modemet. Az Internet használattól függően, a sászélesség fontos szemponttá álhat. Az összeköttetés sászélességének nöeléséről többet olashat a terezés és a onalösszeonás fejezetekben. Minta konfiguráció: 1. Konfigurálja a Kezdeményező kapcsolati profilt az iseries szereren. Feltétlenül álassza ki a köetkező információkat: Protokoll típusa: PPP Összeköttetés típusa: kapcsolt onal Működési mód: tárcsázásos Összeköttetés beállítása: Akörnyezetétől függően ez lehet egyetlen onal (single line), onalkészlet (line pool) agy ISDN onal. 2. Az új Pont-pont profil Tulajdonságainak Általános oldalán írja be a kezdeményező profil neét és leírását. 3. Kattintson a Kapcsolat lapra. Válassza ki a megfelelő onal neét, agy egy új né begépeléséel, és az Új gombra történő kattintással hozzon létre egy újat. a. Az új onal tulajdonságainak Általános lapján emeljen ki egy megléő harder erőforrást, és állítsa be az aszinkron kerettípust. b. Kattintson a Modem lapra. A modem neek listájáról álassza ki azt a modemet, amelyet használ. c. Kattintson az OK gombra, hogy isszatérjen az Új Pont-Pont Profil Tulajdonságok lapjára. 4. Kattintson a Hozzáadás gombra, és gépelje be az ISP szerer eléréséhez szükséges telefonszámot. Feltétlenül győződjön meg arról, hogy beírtaaszükséges előhíó (körzet) számokat is. 5. Kattintson a Hitelesítés lapra, álassza ki annak engedélyezését, hogy a táoli rendszer ellenőrizze ennek az AS/400 rendszernek az azonosságát. Válassza ki a hitelesítési protokollt, és írja be a szükséges felhasználói neet és jelszót. 6. Kattintson a TCP/IP beállítások lapra. a. Válassza ki, hogy a táoli rendszer ossza ki mind a helyi, mind a táoli IP címeket. b. Válassza ki a Táoli rendszer felétele alapértelmezett útonalként opciót. c. Ellenőrizze a Címtakarás (Hide addresses) beállítást, hogy a belső IP címek ne juthassanak ki az Internetre. 7. Kattintson a DNS lapra, és írja be az ISP által megadott DNS szerer IP címét. 8. Kattintson az OK gombra a profil befejezéséhez. Ahhoz, hogy a kapcsolati profil segítségéel kapcsolódjon az Internethez, kattintson a jobb egérgombbal a kapcsolati profilra a Műeletek naigátorban, és álassza ki a Start gombot. Az összeköttetés sikeres, ha az állapotjelzés Aktíra áltozik. Frissítsen a képernyő áltozásához. Megjegyzés: Győződjön meg arról, hogy a hálózatban léő egyéb rendszerek esetében is az útonal úgy an definiála, hogy az ezekről a rendszerekről az Internet felé haladó TCP/IP forgalom az iseries szererhez lesz külde. A állalati és a táoli hálózatok összekapcsolása modemmel Helyzet: Tételezzük fel, hogy an egy állalati és egy kirendeltségen üzemelő hálózata két különböző helyszínen. A kirendeltségnek minden nap összeköttetésbe kell lépnie a állalati központtal, hogy megtörténjen az adatbázis információk cseréje az alkalmazások számára. Az adatcsere mértéke nem képez akkora feladatot, hogy fizikai hálózati összeköttetést kellene ásárolnia, ezért a két hálózat szükség szerinti összeköttetését modemek használatáal kíánja megoldani. Fejezet 3. PPP forgatókönyek 11
Ábra: 3. A állalati és a táoli hálózatok összekapcsolása modemmel Megoldás: A PPP képes összekapcsolni két LAN-t azáltal, hogy összeköttetést hoz létre az egyes iseries szererek között a fenti ábra szerint. Ebben az esetben feltételezzük, hogy a táoli kirendeltség 12 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
kezdeményezi a kapcsolat felételét a központi telephellyel. A táoli iseries szereren egy kezdeményező profilt, míg a központi telephely szererén egy fogadó profilt kell létrehozni. Ha a táoli kirendeltség PC-jeinek is el kell érniük a állalati LAN (192.168.1.0) hálózatot, akkor a központi telephely fogadó profiljában be kell kapcsolni az IP toábbítási opciót. A TCP/IP erem IP toábbítási opcióját is be kell kapcsolni. Így engedélyeze an az alapszintű TCP/IP kommunikáció a helyi hálózatok (LAN) között. Meg kell fontolnia a biztonsági tényezőket és a DNS használatát a LAN-ok közötti gazdagépneek felbontása céljából. Minta konfiguráció: 1. Konfigurálja a Kezdeményező kapcsolati profilt a táoli kirendeltség iseries szererén. Feltétlenül álassza ki a köetkező információkat: Protokoll típusa: PPP Összeköttetés típusa: kapcsolt onal Működési mód: tárcsázásos Összeköttetés beállítása:akörnyezetétől függően ez lehet egyetlen onal (single line), onalkészlet (line pool) agy ISDN onal. 2. Az új Pont-pont profil Tulajdonságainak Általános oldalán írja be a kezdeményező profil neét és leírását. 3. Kattintson a Kapcsolat lapra. Válassza ki a megfelelő onal neét, agy egy új né begépeléséel, és az Új gombra történő kattintással hozzon létre egy újat. a. Az új onal tulajdonságainak Általános lapján emeljen ki egy megléő harder erőforrást, és állítsa be az aszinkron kerettípust. b. Kattintson a Modem lapra. A modem neek listájáról álassza ki azt a modemet, amelyet használ. c. Kattintson az OK gombra, hogy isszatérjen az Új Pont-Pont Profil Tulajdonságok lapjára. 4. Kattintson a Hozzáadás gombra, és gépelje be a központi telephely iseries szererének eléréséhez szükséges telefonszámot. Feltétlenül győződjön meg arról, hogy beírtaaszükséges előhíó (körzet) számokat is. 5. Kattintson a Hitelesítés lapra, álassza ki annak engedélyezését, hogy a táoli rendszer ellenőrizze ennek az AS/400 rendszernek az azonosságát. Válassza ki a Titkosított jelszó szükséges (CHAP-MD5) opciót, és írja be a szükséges felhasználói neet és jelszót. 6. Kattintson a TCP/IP beállítások lapra. a. A helyi IP címnek álassza ki a táoli kirendeltség LAN interfészének IP címét (192.168.2.1) a Rögzített IP cím használata kiálasztó keretben. b. Táoli IP címként álassza a táoli rendszer által kiosztott címet adó opciót. c. Az útonalálasztásban álassza a Táoli rendszer felétele alapértelmezett útonalként opciót. d. Kattintson az OK gombra a kezdeményező profil befejezéséhez. 7. Konfigurálja a Fogadó kapcsolati profilt aközponti telephely iseries szererén. Feltétlenül álassza ki a köetkező információkat: Protokoll típusa: PPP Összeköttetés típusa: kapcsolt onal Működési mód: álaszoló Összeköttetés beállítása: Akörnyezetétől függően ez lehet egyetlen onal (single line), onalkészlet (line pool) agy ISDN onal. 8. Az új Pont-pont profil Tulajdonságainak Általános oldalán írja be a fogadó profil neét és leírását. 9. Kattintson a Kapcsolat lapra. Válassza ki a megfelelő onal neét, agy egy új né begépeléséel, és az Új gombra történő kattintással hozzon létre egy újat. a. Az Általános lapon emeljen ki egy megléő harder erőforrást, és állítsa be az aszinkron kerettípust. Fejezet 3. PPP forgatókönyek 13
b. Kattintson a Modem lapra. A modem neek listájáról álassza ki azt a modemet, amelyet használ. c. Kattintson az OK gombra, hogy isszatérjen az Új Pont-Pont Profil Tulajdonságok lapjára. 10. Kattintson a Hitelesítés lapra. a. Jelölje be az opciót, hogy ez az AS/400 ellenőrizze a táoli rendszer azonosságát. b. Vegye fel az új táoli felhasználót azérényesítési listára. c. Ellenőrizze a CHAP-MD5 hitelesítést. 11. Kattintson a TCP/IP beállítások lapra. a. A helyi IP címnek álassza ki a központi telephely interfészének IP címét (192.168.1.1) a kiálasztó keretben. b. Táoli IP címként álassza a Táoli rendszer felhasználói azonosítóján alapuló címet.a Felhasználóné által meghatározott IP címek párbeszédpanel jelenik meg. Kattintson a Hozzáadás gombra. Töltse ki a mezőket, a híó felhasználói neét, IP címét és azalhálózati maszkot. A mi forgatókönyünkben a köetkező értékek a megfelelőek: Híó felhasználóné: Táoli_hely IP cím: 192.168.2.1 Alhálózati maszk: 255.255.255.0 Kattintson az OK gombra, majd mégegyszer az OK gombra, hogy isszatérjen a TCP/IP beállítások lapra. c. Válassza ki az IP toábbítást, amellyel engedélyezi a hálózat más rendszereinek az iseries szerer átjáróként történő használatát. 12. Kattintson az OK gombra a fogadó profil befejezéséhez. 14 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Fejezet 4. A PPP terezése A terezés biztosítja azt, hogy a PPP környezet kialakításának összes fontos szempontját figyelembe eszi, mielőtt alójában égrehajtana bármilyen konfigurálási feladatot. Az alábbi hiatkozások ideillő információkkal szolgálnak, amelyek segíthetik a PPP környezet konfigurálását. Mi a PPP? Szofter- és harderköetelmények Kapcsolati profilok RADIUS áttekintés IP címzési tudnialók Rendszer hitelesítés Összeköttetési alternatíák Összeköttetési berendezés Sászélesség szempontjai L2TP (alagút) támogatás a PPP kapcsolatokhoz Csoport irányelek támogatás IP csomag szűrés Mi a PPP? A számítógépek PPP agy Pont-pont protokollt használnak ahhoz, hogy az Internettel telefononalakon keresztül kommunikáljanak. A PPP kapcsolat akkor létezik, amikor két rendszer fizikailag összeköttetést hoz létre egy telefononalon keresztül. A PPP segítségéel kapcsolódhat az egyik rendszer a másikhoz. Például, a kirendeltség és a központi iroda között létrehozott összeköttetés lehetőé teszi akármelyik irodának, hogy adatokat toábbítson a másiknak a hálózaton keresztül. A PPP egy Internet szabány. A legszélesebb körben elterjedt összeköttetési forma az Internet szolgáltatók (ISP) között. A PPP segítségéel összeköttetést hozhat létre a szolgáltatóal (ISP), aki azután kapcsolódást biztosít az Internethez. A PPP lehetőé teszi az együttműködést a különböző gyártók táoli elérésű szofterei között. Ugyancsak lehetőé teszi több kommunikációs protokoll használatát ugyanazon a fizikai kommunikációs onalon. Aköetkező Request For Comment (RFC) szabányok írják le a PPP protokollt. Az RFC-kről toábbi tájékoztatást a http://www.rfc-editor.org címen találhat. RFC1661 Pont-pont protokoll RFC1662 PPP a HDLC-szerű keretrendszerben RFC1994 PPP CHAP Szofter- és harderköetelmények A PPP környezet megköeteli, hogy két agy több, PPP protokollt támogató számítógépe legyen. Az ilyen számítógépek egyike - az iseries szerer - lehet kezdeményező agy fogadó. Az iseries szerernek a köetkező előzetes köetelményeknek kell megfelelnie ahhoz, hogy a táoli rendszerek el tudják érni. Műeletek naigátor Verzió 4Változat 4 (V4R4) agy újabb, TCP/IP támogatással Akét kapcsolati profil egyike: Kezdeményező kapcsolati profil a kifelé tartó PPP kapcsolatok kezelésére Fogadó kapcsolati profil a befelé jöő PPP kapcsolatok kezelésére Szerzői jog IBM 1998, 2001 15
PC munkaállomás konzol, telepíte a Client Access Express for Windows (95/98/NT/Millenium) által, és engedélyeze a Műeletek naigátor Hálózati támogatása réén. Telepített adapter Aköetkező adapterek egyikét álaszthatja: 2699*: Kétonalas WAN IOA 2720*: PCI WAN/twinaxiális IOA 2721*: PCI kétonalas WAN IOA 2745*: PCI kétonalas WAN IOA (IOA 2721 helyettesítője) 2750: PCI ISDN Alapszolgáltatású csatoló U IOA (2 ezetékes) 2751: PCI ISDN Alapszolgáltatású csatoló S/T IOA (4 ezetékes) 2761: Nyolcportos analóg modem IOA 2771: Kétportos WAN IOA egy V.90 beépített modemmel az 1-es porton, és egy szabányos kommunikációs csatolóal a 2-es porton. A 2771 adapter 2-es portjának használatához egy külső modemre agy egy ISDN terminál adapterre an szükség megfelelő kábelekkel. 2772: Kétportos V.90 beépített modem WAN IOA *Ezekakártyák külső V.24 modemet agy ISDN terminál adaptert igényelnek megfelelő kábelekkel. Az összeköttetés típusától és a onaltól függőenaköetkezők egyike: külső agy belső modem agy csatorna szolgáltatási egység (CSU)/adatszolgáltatási egység (DSU) integrált szolgáltatású digitális hálózat (ISDN) terminál adapter Ha csatlakozni kíán az Internethez, akkor egy Internet szolgáltatónál (ISP) rendelje meg a telefonos Internet kapcsolatot. Az Internet összeköttetéshez az ISP adja meg a szükséges telefonszámokat és tájékoztatást. Kapcsolati profilok A V5R1 a kapcsolati profilok két típusát különbözteti meg. A Kezdeményező kapcsolati profilok pont-pont összeköttetések, amelyeket a helyi iseries szerer kezdeményez, és atáoli rendszer fogad. Ennek az objektumnak a segítségéel konfigurálhatja a kifelé menő kapcsolatokat. A Fogadó kapcsolati profilok pont-pont összeköttetések, amelyeket a táoli rendszer kezdeményez, és a helyi iseries szerer fogad. Ennek az objektumnak a segítségéel konfigurálhatja a befelé jöő kapcsolatokat. A kapcsolati profil adja meg, hogyan dolgozik a PPP kapcsolat. A kapcsolati profilban léő információk az alábbi kérdésekre álaszolnak: Milyen típusú összeköttetési protokollt fog használni? (PPP agy SLIP) Az iseries szerer híóként lép kapcsolatba a többi számítógéppel (kezdeményező)? Az iseries szerer egy másik rendszerről érkező híásra ár (fogadó)? Milyen kommunikációs onalat fog használni az összeköttetés? Hogyan kell az iseries szerernek meghatározni, hogy melyik IP címet használja? Hogyan kell az iseries szerernek hitelesíteni a másik rendszert? Hol kell az iseries szerernek tárolnia a hitelesítési információkat? A kapcsolati profil a köetkező összeköttetési részletek logikai ábrázolása: Vonal és profil típusa Vonalösszeonási beállítások Táoli telefonszámok Hitelesítés TCP/IP beállítások: IP címek és útonalálasztás 16 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Feladatkezelés és az összeköttetés testre szabása Tartományné-szererek Az iseries szerer ezeket a konfigurációs információkat a kapcsolati profilban tárolja. Ezek az információk biztosítják azt a szükséges környezetet az iseries szerer számára, amely réén létrehozható a PPP kapcsolat másik számítógép rendszerrel. A kapcsolati profil a köetkező információkat tartalmazza: A protokoll típusát. A PPP és a SLIP közül álaszthat. Az IBM azt ajánlja, hogy a PPP-t használja amikor csak lehetséges. Amód kiálasztását.azösszeköttetés típusa és aműködésmódja az adott kapcsolati profilra onatkozóan. Az Összeköttetés típusa megadja a onal típusát, amelyre a kapcsolatok támaszkodnak, alamint azt, hogy ezek a kapcsolatok híó agy álaszoló (értelemszerűen kezdeményező agy fogadó) jellegűek. A köetkező összeköttetés típusok közül álaszthat: Kapcsolt onal Bérelt (dedikált) onal L2TP (irtuális onal) A működési módra onatkozó kínálat a kiálasztásra kerülő összeköttetés típusától függ. Az összeköttetés beállítását. Ez megadja az összeköttetés által használt onali szolgáltatás típusát. Ezakínálat az üzemmód típusának kiálasztásától függ. Kapcsolt- és bérelt onal esetén aköetkezők alamelyikét álaszthatja: Egyetlen onal Vonalkészlet ISDN onal L2TP onal esetén a kínálatot a irtuális onal jelenti. A RADIUS áttekintése A Remote Authentication Dial In User Serice (RADIUS) szabányos Internet protokoll, amely központosított hitelesítést, elszámolást és IP kezelési szolgáltatásokat nyújt az osztott telefonos hálózat táoli hozzáférésű felhasználóinak. A RADIUS kliens-szerer modell része a Network Access Serer (NAS), amely a RADIUS szerer klienseként működik. A NAS-ként szereplő iseries szerer elküldi a felhasználóra és az összeköttetésre onatkozó információkat a kijelölt RADIUS szerernek, az RFC2865-ben megadott szabányos RADIUS protokoll segítségéel. A RADIUS szerer fogadja a felhasználók összeköttetési kéréseit, hitelesíti a felhasználókat, majd isszaküldi az összes szükséges konfigurációs információt a NAS-nak olyan módon, hogy a NAS (iseries szerer) biztosítani tudja az engedélyezett szolgáltatásokat a hitelesített telefonos felhasználók számára. A RADIUS elszámolási kérések kezelése hasonlóképpen történik. A táoli felhasználók elszámolási információi elküldhetők a kijelölt RADIUS elszámolási szererhez. A RADIUS Accounting szabányos protokollt az RFC 2866 határozza meg. A RADIUS elszámolási szerer fogadja az elszámolási kéréseket azáltal, hogy naplózza a RADIUS elszámolási kérések információit. IP címzési tudnialók Kezdeményező kapcsolati profilok: Fejezet 4. A PPP terezése 17
A kezdeményező profil számára megadott helyi és táoli IP címeket jellemzően a táoli rendszer osztja ki. Ez lehetőé teszi a táoli rendszer rendszergazdájának, hogy ezérelje a folyamatot az összeköttetés céljára használt IP címeken keresztül. Az Internet szolgáltatók (ISP) felé menő kapcsolatok többsége ilyen módon lesz megada, bár sok ISP képes ajánlani rögzített IP címeket toábbi díjfizetés ellenében. Ha rögzített IP címeket ad meg helyi agy táoli IP címként, akkor meg kell győződnie arról, hogy a táoli rendszer is elfogadja a megadott címeket. Jellemző az a megoldás, hogy helyi IP címként rögzített címet használ, míg a táoli címet a táoli rendszer rendeli hozzá. Az a rendszer, amelyhez kapcsolódik, ugyanilyen módon meghatározható, agyis, amikor összeköttetést hoz létre, a két rendszer kicseréli a címeket egymással, ami a táoli rendszer címének megjegyzési módját is jelenti. Ez nagyon hasznos lehet, amikor egy iroda egy másik irodát hí fel ideiglenes összeköttetés létrehozása céljából. Egy másik szempont az, ha engedélyezni akarja az IP Address Masquerading opciót. Például, ha az iseries szerer egy ISP-n keresztül kapcsolódik az Internethez, akkor ez lehetőé teheti az iseries szererhez kapcsolódó háttér hálózatoknak is az Internet elérését. Valójában az iseries szerer fogja takarni (hide) az ISP által megadott helyi IP címek mögött, a hálózaton léő rendszerek IP címeit, aminek eredményeképpen az összes IP forgalom úgy jelenik meg, mintha az iseries szererről jönne. Toábbi útonalálasztási szempontok is lehetnek a LAN-hoz csatlakozó mindkét rendszer esetén (fontos, hogy az Internet forgalom az iseries szererhez legyen külde) éppen úgy, mint az iseries szerer esetén, ahol engedélyezni kell a táoli rendszer hozzáadása alapértelmezett útonalként jelölőkockát. Fogadó kapcsolati profilok: Az ilyen kapcsolati profiloknál sokkal több IP címzési szempont és opció fordul elő, mint a Kezdeményező kapcsolati profilnál. Az IP címzés konfigurálásának módja teljes egészében attól függ, hogy mit próbál égrehajtani. Egy agy több felhasználó hozhat-e létre összeköttetést egyidejűleg. Acímekahíófelhasználói azonosítója alapján annak-e meghatároza. Megengedi-e a táoli felhasználónak, hogy meghatározza saját IPcímét. Használ-e DHCP agy RADIUS funkciót azipcím meghatározásához. Megengedi-e a táoli felhasználóknak, hogy elérjék a csatlakozó LAN-on léő erőforrásokat. Helyi IP cím Egyetlen Fogadó kapcsolati profil esetén megadhat egy egyedi IP címet, agy használhatja az iseries szereren megléő helyi IP címet is. Ez olyan címmé álik, amely azonosítja az iseries szerert a PPP kapcsolatban. Ha a fogadó profilokban egyidejűleg több kapcsolat támogatása an beállíta, akkor megléő helyi IP címet kell használni, amely a lefelé nyíllal jeleníthető meg. Ha nem állnak rendelkezésre korábban létező helyi IP címek, akkor erre a célra létrehozhat egy Virtuális IP címet is. Táoli IP cím A táoli IP címek hozzárendelésének módjára számos opció áll rendelkezésre. Ha azt a megléő helyi IP címet használja, amellyel az iseries szerer csatlakozik a LAN-hoz, akkor a táoli IP cím (amelyet kiálasztott) segíthet annak meghatározásában, hogy megengedi-e a táoli felhasználónak, hogy az adott LAN részeként jelenjen meg, és megossza-e annak erőforrásait. Ez a táoli IP cím által tehető meg, amely ugyanabba a címtartományba esik, mint a LAN-hoz csatlakozó rendszereké. Ugyanúgy engedélyeznie kell az IP toábbítást a Fogadó kapcsolati profil számára is, mint ahogy engedélyeze an az egész iseries szerer-rendszer számára, hogy az iseries szerer átjáróként tudjon funkcionálni. Az alábbiakban a táoli IP címek hozzárendelési opcióinak felsorolását láthatja: Rögzített IP cím 18 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
Egyedi IP címet ad meg, amelyet megkapnak a táoli felhasználók, amikor telefonon bejelentkeznek. Ez egy gazdagép IP cím csupán (az alhálózati maszk 255.255.255.255), és csak az egyedi Fogadó kapcsolati profilok számára elérhető. Címkészlet Meghatározza a kezdő IP címet és egy tartományt, hogy mennyi toábbi IP cím definiálható. Minden egyes felhasználó, aki kapcsolódik, egy egyedi címet kap a megadott tartományon belül. Ez egy gazdagép IPcím csupán (az alhálózati maszk 255.255.255.255), és csakatöbbszörös Fogadó kapcsolati profilok számára elérhető. RADIUS Táoli IP cím és annak alhálózati maszkja, amelyeket a Radius szerer fog meghatározni. Ez csak akkor áll rendelkezésre, ha a köetkező an megada: Engedélyeze an a Radius támogatás a hitelesítéshez és azipcímzéshez a Remote Access Serer szolgáltatások konfigurációjában. A hitelesítés engedélyeze an a Fogadó kapcsolati profilban, és meg an ada, hogy a hitelesítést táoli módon a Radius égzi. DHCP Atáoli IP címet a DHCP szerer adja meg. Ez csak akkor áll rendelkezésre, ha a DHCP támogatás engedélyeze an a Remote Access Serer szolgáltatások konfigurációjában. Ez egy gazdagép IPcím csupán (az alhálózati maszk 255.255.255.255). Atáoli rendszer felhasználói azonosítója alapján Atáoli IP címetatáoli rendszer számára definiált felhasználói azonosító határozza meg hitelesítéskor. Ez lehetőé teszi a rendszergazdának, hogy különböző táoli IP címeket (és az azokhoz tartozó alhálózati maszkokat) rendeljen a telefonon bejelentkező felhasználóhoz. Ez ugyancsak lehetőé teszi toábbi útonalak megadását is ezekhez a felhasználói azonosítókhoz, ami réén az ismert táoli felhasználóra szabhatja a környezetet. A megfelelő működés érdekében engedélyezni kell erre a funkcióra a hitelesítést. Az alábbiakban a táoli IP címekre onatkozó toábbi opciók felsorolását láthatja: Toábbi IP címek megadásaatáoli rendszer felhasználói azonosítója alapján Ezabeállítás lehetőé teszi a címek meghatározását atáoli rendszer felhasználói azonosítója alapján. Ezabeállítás automatikusan álasztódik ki (és ezt kell használni), ha a táoli IP cím hozzárendelési módszerének a Táoli rendszer felhasználói azonosítója alapján opciót adta meg. Ez a paraméter engedélyeze an a Rögzített IP cím és acímkészlet elneezésű hozzárendelési módszereknél is. Amikor egy táoli felhasználó kapcsolódik az iseries szererhez, egy keresés történik annak meghatározására, hogy az adott felhasználó számára meg an-e ada IP cím. Ha igen, akkor az adott cím, maszk és lehetséges útonalak lesznek használa az összeköttetéshez. Ha a felhasználó címe nincs megada, akkor alapértelmezés szerint a megadott Rögzített IP cím agyaköetkező szabad Címkészletbeli cím lesz hozzárendele. Táoli rendszer meghatározhatja saját IPcímét Ezabeállítás lehetőé teszi a táoli felhasználónak, hogy meghatározza saját IPcímét, ha ezt egyeztette. Ha nem egyeztette le a saját IPcím használatát, akkor a táoli IP címet a megadott táoli IP cím hozzárendelési módszer határozza meg. Ez a paraméter kezdetben le an tilta, és csak gondos megfontolás után engedélyezze. Rendszer hitelesítés A PPP kétféle hitelesítést határoz meg, amellyel az egyenrangú rendszerek azonosíthatják egymást. A helyi rendszer hitelesítés megadja a hitelesítési protokollt, alamint a PPP kapcsolati profilhoz tartozó helyi felhasználó neét és jelszaát. Amikor az összeköttetés létrejön a táoli rendszerrel, és a táoli rendszer kéri a hitelesítést, akkor a hitelesítési feladathoz a helyi rendszer hitelesítéséhez megadott felhasználóné, jelszó és protokoll lesz használa. Fejezet 4. A PPP terezése 19
A táoli rendszer hitelesítés megadja a hitelesítési protokollt és az érényesítési listát, amely a PPP kapcsolati profilhoz tartozó táoli felhasználók neeinek és jelszaainak hitelesítésére szolgál. A rendszer hitelesítés beállításai: Challenge Handshake Authentication Protocol (CHAP) Password Authentication Protocol (PAP) Extensible Authentication Protocol (EAP) Táoli rendszer érényesítési módszerek Remote Authentication Dial In User Serice (RADIUS) Érényesítési lista CHAP A Challenge Handshake Authentication Protocol (CHAP) egy algoritmus (MD-5) segítségéel kiszámít egy olyan értéket, amelyet csak a hitelesítő rendszer és a táoli eszköz ismer. A CHAP réén a felhasználói azonosítók és a jelszók mindig titkosíta annak, ezért ez biztonságosabb protokoll, mint a PAP. Ez a protokoll hatékony édelmet nyújt az újraküldések és a próbálkozás-hiba hozzáférési kísérletek ellen. A CHAP hitelesítésre a kapcsolat során többször is sor kerülhet. A hitelesítő rendszer egy kérést küld a hálózathoz csatlakozni próbáló táoli eszköznek. A táoli eszköz egy olyan értékkel álaszol, amelyet a mindkét eszköz által közösen használt MD-5 algoritmussal számolt ki. A hitelesítő rendszer a álaszt összehasonlítja a saját számításaial. A hitelesítés akkor elfogadható, ha a két érték egyezik, máskülönben a kapcsolat befejeződik. PAP A Password Authentication Protocol (PAP) egy kétutas kézfogással biztosít a partner rendszernek egy elfogadható azonosítási módszert. A kézfogásra az összeköttetés létrehozásakor kerül sor. Az összeköttetés kialakítása után a táoli eszköz elküld egy felhasználói azonosító és jelszó párt a hitelesítő rendszernek. A pár helyességétől függően a hitelesítő rendszer folytatja agy befejezi a kapcsolatot. A PAP hitelesítés sima szöegformátumban igényli a felhasználóné és a jelszó elküldését a táoli rendszernek. A PAP használatakor a felhasználói azonosító és a jelszó titkosítására sohasem kerül sor, amelyeket így könnyebb nyomon köetni és sebezhetőbbek a feltörésekkel szemben. Ezért ahol csak lehet, mindig CHAP hitelesítést használjon. EAP Az Extensible Authentication Protocol (EAP) lehetőé teszi a harmadik féltől eredő hitelesítési modulok és a PPP megalósítások közötti együttműködést. Az EAP kibőíti a PPP funkcióit azáltal, hogy szabányos támogatási mechanizmust nyújt olyan hitelesítési sémákhoz, mint például a jelsor (smart) kártyák, Kerberos, Nyilános kulcs és S/Kulcs. Az EAP álaszol a harmadik féltől származó biztonsági eszközökkel megerősített RAS hitelesítés megnöekedett igényeire. Az EAP édi a biztonsági VPN-ket az olyan támadóktól, akik a könytárt támadják és a jelszót próbálják kitalálni. Az EAP tökéletesíti a PAP és a CHAP hitelesítési módszereket. EAP esetén a hitelesítési információ nem része az információnak, hanem azzal együtt található. Ez lehetőé teszi a táoli szerereknek, hogy egyeztessék a szükséges hitelesítést, mielőtt bármilyen információt ennének agy toábbítanának. Az iseries szerer pillanatnyilag az EAP-nak azt a áltozatát támogatja csak, amely alapetően a CHAP-MD5 áltozattal egyenlő. Mindazonáltal, a táoli hitelesítéshez használja a RADIUS szerert, amely esetleg több, a fentiekben leírt hitelesítési sémát is támogat. 20 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok
RADIUS A Remote Authentication Dial In User Serice (RADIUS) egy nyílt és könnyen beépíthető hitelesítési protokoll. A táoli felhasználók hitelesítési kérései, amelyeket az iseries szerer kezdeményez a központosított RADIUS szerernek történő elküldéssel, agy elfogadásra agy isszautasításra kerülnek. A hitelesített felhasználóra onatkozó összes biztonsági információ egyetlen központi adatbázisban található, ellentétben a szétszórt,a hálózat különböző eszközein található megoldástól. A RADIUS szerer isszaküldi az iseries szerernek azokat a szolgáltatásokat, amelyek használatára jogosult a hitelesített felhasználó, mint például az IP cím. Ha a RADIUS szerer nem érhető el, az iseries szerer egy másik szererhez is toábbíthatja a hitelesítési kéréseket. Ennek réén a ilágméretű állalatok felajánlhatják felhasználóiknak a telefonos szolgáltatásokat olyan egyedi bejelentkezési felhasználói azonosítóal, amely állalatszintű hozzáférést biztosít, függetlenül a használt hozzáférési ponttól. Amikor a RADIUS szerer eszi a hitelesítési kérést, a kérés érényesítésre kerül, majd a RADIUS szerer isszafejti az adatcsomagot a felhasználóné és a jelszó elérése céljából. Az így nyert információt toábbítja a megfelelő, támogatott biztonsági rendszerhez. Ennek UNIX jelszó fájloknak, Kerberos, kereskedelemben elérhető agy egy ásárló által fejlesztett biztonsági rendszernek kell lenni. Érényesítési lista Az érényesítési lista a táoli felhasználók felhasználói azonosítóinak és jelszaainak tárolására használható. Használhatja a már megléő érényesítési listát, agy készíthet egy saját listát a Fogadó kapcsolati profil hitelesítési lapján. Az érényesítési lista bejegyzései ugyancsak megköetelik a felhasználói azonosítóhoz és a jelszóhoz tartozó hitelesítési protokoll típusának megadását. Ez lehet titkosított - CHAP-MD5/EAP agy nem titkosított - PAP. Toábbi információért olassa el az online súgót. Összeköttetési alternatíák A PPP adatgrammokat tud átküldeni soros pont-pont csatolásokon keresztül. A PPP lehetőé teszi több felhasználó berendezéseinek összeköttetését, alamint a pont-pont kommunikáció szabányosításáal több protokoll használatát. A PPP adatcsatolási réteg HDLC-szerű kereteket használ az adatgrammok toábbítására az aszinkron és a szinkron pont-pont telekommunikációs csatolásokon keresztül. Miközben a PPP a csatolástípusok széles tartományát támogatja, a SLIP csak az aszinkron csatolást támogatja. A SLIP általában csak analóg csatolásokhoz használatos. A helyi telefontársaságok hagyományos telekommunikációs szolgáltatásokat ajánlanak a képességek és a költségek nöekő skálájáal. Az ilyen szolgáltatások a telefontársaság megléő hanghálózatát eszik igénybe a felhasználó és a központi telephely között. A PPP csatolás egy fizikai összeköttetést hoz létre a helyi és atáoli gazdagép között. Az összeköttetések dedikált sászélességet biztosítanak. Az adatsebességek és a protokollok álasztéka is bőséges. A PPP csatolás réénaköetkező összeköttetési alternatíákból álaszthat: Analóg telefononal Digitális szolgáltatások és DDS Kapcsolt-56 ISDN T1/E1 és tört T1 Kerettoábbító Fejezet 4. A PPP terezése 21
Az alábbi táblázat a kommunikációs szolgáltatásokat és azok iszonylagos költségeit hasonlítja össze. A költségek nem tükrözik a pillanatnyi árakat. Helyette a szolgáltatások közötti iszonylagos különbségeket mutatják.a bérelt onal költsége általában táolságalapú, míg a kapcsolt onalaké lehet időalapú. Táblázat: 1. A kommunikációs szolgáltatások és iszonylagos költségeik összehasonlítása Megjegyzés: Ezatáblázat csak szemléltetési célokat szolgál. Nem tartalmazza az összes támogatott iseries szerer konfigurációt.aköltségek nem tükrözik a pillanatnyi árakat. Kapcsolt onal Vonal sebesség Szükséges berendezés Szabányos interfész és protokoll típus Becsült hai onalköltség Analóg 33,6 kb/s felfelé, 56 Modem RS232 / Aszinkron 20-150 USD kb/s lefelé Kapcsolt 56 56 kb/s CSU/DSU V.25bis V.35/RS449 szinkron 50-250 USD telefonos ISDN 56/128 kb/s Terminál adapter RS232/V.35 Aszinkron/szinkron 50-250 USD Dedikált onal Vonal sebesség Szükséges berendezés Szabányos interfész és protokoll típus Becsült hai onalköltség Digitális 56kb/s CSU/DSU V.35/RS449 szinkron 50-500 USD szolgáltatások DDS Tört T1 64 kb/s - 1,54 Mb/s CSU/DSU agy T1 V.35/RS449 szinkron 100-2000 USD mux T1 1,54 Mb/s CSU/DSU V.35/RS449 szinkron 350-2000 USD Kerettoábbító 64 kb/s - 1,54 Mb/s CSU/DSU agy T1 mux V.35/RS449 350 USD-től Analóg telefononal Az analóg összeköttetés, amely modemeket használ a bérelt agy a kapcsolt onalakon történő adatátadásra, a pont-pont skála alján helyezkedik el. A bérelt onal teljesidejű összeköttetést jelent két megadott helyszín között, míg a kapcsolt onal a normál telefononalakat jelenti. A leggyorsabb modemek napjainkban 56 Kb/s sebességen működnek adattömörítés nélkül. A normál telefononalakon a jel/zaj iszony ugyan adott, mégis ez a sebesség gyakran elérhetetlen. A modem gyártók a nagyobb bit/másodperces (b/s) sebességet általában adattömörítési (CCITT V.42bis) algoritmus alapján érik el, amelyet modemjeik használnak. Habár a V.42bis esetén elileg meg an a lehetőség arra, hogy az adatméret negyedére zsugorodjon, azonban a tömörítés függ az adatoktól, és a alóságban még az 50%-os arányt is ritkán éri el. A már tömörített agy titkosított adatok még nöekedhetnek is V.42bis alkalmazásakor. Az X2 agy az 56Flex megnöeli a b/s arányt 56k-ra analóg telefononalak esetén. Ez egy hibrid technológia, amely megköeteli, hogy a PPP összeköttetés egyik égpontja digitális legyen, míg az ellenkező ége analóg. Toábbá, az 56 Kb/s csak akkor igaz, amikor az adatokat az összeköttetés digitális égpontjától az analóg égpontja felé mozgatja. Ez a technológia nagyon is kényelmes a szolgáltatóal (ISP) aló összeköttetés céljára, hiszen a szolgáltató helyszínén lesz az összeköttetés digitális égpontja és a harder. Jellemzően, egy V.24 analóg modemhez csatlakozik az RS232 soros interfészen keresztül, aszinkron protokollal, maximum 115,2 Kb/s sebességgel. A V.90 szabány pontot tesz a K56flex/x2 kompatibilitási kérdésre. A V.90 szabány az x2 és a K56flex táborok közötti kompromisszum eredménye a modem iparban. A nyilános kapcsolt telefonhálózatot digitális hálózatnak tekinte, a V.90 technológia képes akár 56 Kb/s sebességre is felgyorsítani az adatok eljutását az Internetről a számítógépre. A V.90 technológia különbözik 22 iseries: Táoli elérés szolgáltatások: PPP kapcsolatok