Rabu, 30 Maret 2016

Frame Relay beserta penerapannya dalam simulasi jaringan



Frame Relay dan Penerapannya

Mengapa kita perlu Frame Relay?

Mari kita ambil contoh sederhana. Misalkan anda bekerja di sebuah perusahaan besar dan perusahaan anda baru saja diperluas untuk dua lokasi baru. Situs utama terhubung ke dua kantor cabang, bernama Branch 1 & Branch 2 dan bos anda ingin dua cabang tersebut dapat berkomunikasi dengan situs utama. Solusi yang paling sederhana adalah untuk menghubungkan mereka langsung (disebut leased line) seperti yang ditunjukkan di bawah ini:



Untuk menghubungkan ke dua cabang tersebut, router situs utama, kantor pusat, membutuhkan dua interface serial yang router dapat memberikan. Tapi apa yang terjadi ketika perusahaan memperluas ke 10 cabang, 50 kantor cabang? Untuk setiap baris point-to-point, Mabes membutuhkan interface serial fisik yang terpisah (dan mungkin terpisah CSU / DSU jika tidak terintegrasi ke dalam kartu WAN). Seperti yang dapat Anda bayangkan, itu akan membutuhkan banyak router dengan banyak antarmuka dan banyak ruang rak untuk router dan CSU / DSUs. Mungkin kita harus menggunakan solusi lain untuk masalah ini? Untungnya, Frame Relay dapat melakukannya.

Dengan menggunakan Frame Relay kita hanya perlu satu interface serial di kantor pusat untuk terhubung ke semua cabang. Hal ini juga berlaku ketika kita memperluas untuk 10 atau 50 cabang. Selain itu, biaya yang jauh lebih rendah daripada menggunakan leased-lines.



Frame Relay adalah protokol WAN kinerja tinggi yang beroperasi pada lapisan link fisik dan data dari model referensi OSI. Ia menawarkan transfer data yang lebih rendah-biaya bila dibandingkan dengan aplikasi point-to-point yang khas, dengan menggunakan koneksi virtual dalam jaringan frame relay dan dengan menggabungkan koneksi tersebut ke koneksi fisik tunggal di setiap lokasi. penyedia frame relay menggunakan switch frame relay untuk rute data pada setiap rangkaian virtual ke tujuan yang tepat.

Mungkin istilah ini dari Frame Relay sulit dipahami sehingga kita akan menjelaskan secara lebih rinci dalam artikel ini.

1 .  DCE & DTE
Konsep pertama di Frame Relay harus memahami tentang DTE & DCE:
+ Data terminal equipment (DTE), yang sebenarnya adalah perangkat pengguna dan logis Bingkai relay end-system
+ Data communication equipment (DCE, juga disebut data peralatan circuit-terminating), yang terdiri dari modem dan packet switch
Secara umum, router dianggap DTE, dan switch Frame Relay adalah DCE. Tujuan dari peralatan DCE adalah untuk menyediakan clocking dan switching layanan dalam jaringan. Dalam contoh kita, kantor pusat, Branch 1 & Branch 2 adalah DTE sementara switch Frame Relay adalah DCEs.

2.      Sirkuit virtual
Koneksi logis melalui jaringan Frame Relay antara dua DTE disebut virtual circuit (VC). Istilah "virtual" di sini berarti bahwa kedua DTE tidak terhubung secara langsung tetapi melalui jaringan. Misalnya, HeadQuarted & Branch 1 (atau Branch 2) dapat berkomunikasi satu sama lain seolah-olah mereka secara langsung terhubung tapi pada kenyataannya mereka terhubung melalui jaringan Frame Relay dengan banyak switch Frame Relay antara mereka.
 



Ada dua jenis VC
+ Switched virtual circuit (SVC): adalah koneksi sementara yang hanya digunakan bila ada transfer data secara sporadis antara perangkat DTE melalui jaringan Frame Relay. SVC diatur secara dinamis bila diperlukan. koneksi SVC membutuhkan call setup dan terminasi untuk setiap koneksi.
+ Sirkuit permanen virtual (PVC): Sebuah VC yang telah ditetapkan. Sebuah PVC bisa disamakan dengan leased line dalam konsep.
Saat ini sebagian besar penyedia layanan menawarkan layanan PVC hanya untuk menghemat biaya tambahan untuk sinyal dan prosedur penagihan.

3.      DLCI
Meskipun gambar di atas menunjukkan dua VC dari kantor pusat tetapi apakah Anda ingat bahwa kantor pusat hanya memiliki satu interface serial? Jadi bagaimana bisa tahu mana cabang itu harus mengirimkan frame ke?
Frame-relay menggunakan data-link connection identifiers (DLCIs) untuk membangun sirkuit logis. Pengidentifikasi memiliki arti lokal saja, yang berarti bahwa nilai-nilai mereka unik per router, tetapi tidak harus di router lainnya. Sebagai contoh, hanya ada satu DLCI dari 23 mewakili untuk sambungan dari HeadQuarter ke Branch 1 dan hanya satu DLCI dari 51 dari HeadQuarter ke Branch 2. Branch 1 dapat menggunakan DLCI yang sama dari 23 untuk mewakili koneksi dari itu ke markas. Tentu saja dapat menggunakan DLCI lain juga karena DLCIs yang signifikan hanya lokal.


Dengan menyertakan nomor DLCI di header Frame Relay, kantor pusat dapat berkomunikasi dengan baik Cabang 1 dan Cabang 2 atas sirkuit fisik yang sama.
Nilai DLCI biasanya ditugaskan oleh penyedia layanan Frame Relay (misalnya, perusahaan telepon). Dalam Frame Relay, DLCI adalah bidang 10-bit.

Sebelum DLCI dapat digunakan untuk rute lalu lintas, itu harus dikaitkan dengan alamat IP dari router terpencil. Misalnya, bahwa:
+ HeadQuarte’s IP address is 9.9.9.9
+ Branch 1 IP address is 1.1.1.1
+ Branch 2 IP address is 2.2.2.2




Maka HeadQuarter perlu memetakan Branch 1 alamat IP untuk DLCI 23 & peta Cabang alamat 2 IP untuk DLCI 51. Setelah itu dapat merangkum data di dalam bingkai Frame Relay dengan nomor DLCI yang sesuai dan mengirim ke tujuan. Pemetaan DLCIs ke Layer 3 alamat dapat ditangani secara manual atau secara dinamis.

* Manual (statis): administrator statis dapat menetapkan DLCI ke alamat IP remote dengan pernyataan berikut:

Router(config-if)#frame-relay map protocol dlci [broadcast]

Misalnya HeadQuarter dapat menetapkan DLCIs dari 23 & 51 untuk Branch 1 & Branch 2 dengan perintah ini:

HeadQuarter(config-if)#frame-relay map ip 1.1.1.1 23 broadcast
HeadQuarter(config-if)#frame-relay map ip 2.2.2.2 51 broadcast

Kita harus menggunakan "broadcast" kata kunci di sini karena secara default split-horizon akan mencegah routing update dari yang dikirim kembali pada interface yang sama itu diterima. Misalnya, jika Branch 1 mengirimkan update ke HeadQuarte maka HeadQuarte tidak dapat mengirim pembaruan yang ke Branch 2 karena mereka diterima dan dikirim pada antarmuka yang sama. Dengan menggunakan "broadcast" kata kunci, kita mengatakan kantor pusat untuk mengirimkan salinan dari setiap siaran atau paket multicast diterima pada antarmuka yang ke virtual circuit yang ditentukan oleh nilai DLCI dalam "peta frame-relay" pernyataan. Bahkan paket disalin akan dikirim melalui unicast (tidak disiarkan) jadi kadang-kadang disebut "pseudo-broadcast".

Catatan: "frame-relay interface-dlci " perintah dapat digunakan untuk statis menetapkan (mengikat) sejumlah DLCI ke antarmuka fisik.

Catatan: Pada kenyataannya, kita perlu menjalankan protokol routing (seperti OSPF, EIGRP atau RIP ...) untuk membuat jaringan yang berbeda melihat satu sama lain

* Dinamis: router dapat mengirim Inverse ARP Request ke ujung lain dari PVC untuk alamat Layer 3-nya. Singkatnya, Inverse ARP akan mencoba untuk belajar alamat perangkat tetangga IP dan secara otomatis membuat tabel peta dinamis. Secara default, interface fisik memiliki Inverse ARP diaktifkan.

Kami akan mengambil contoh bagaimana Inverse ARP bekerja dengan topologi di atas. Pada awalnya, semua router tidak dikonfigurasi dengan pemetaan statis dan HeadQuarter tidak belajar alamat IP dari Branch 1 & 2 belum. Hanya memiliki 2 nilai DLCI pada s0 / 0 antarmuka (23 & 51). Sekarang perlu untuk mencari tahu siapa yang melekat pada DLCIs ini sehingga ia mengirimkan Inverse ARP Request di s0 / 0 interface. Perhatikan bahwa router akan mengirimkan Inverse ARP Meminta keluar pada setiap DLCI terkait dengan antarmuka.


 


Dalam Permintaan Inverse ARP, HeadQuarter juga termasuk IP 9.9.9.9. Ketika Branch 1 & 2 menerima permintaan ini, mereka mengirim kembali Inverse ARP Balas dengan alamat IP mereka sendiri.



Sekarang semua router memiliki sepasang DLCI & IP address dari router di ujung lain sehingga data dapat diteruskan ke tujuan yang tepat.
Dalam contoh ini Anda dapat melihat bahwa setiap router memiliki DLCI pertama (Layer 2) dan perlu mengetahui alamat IP (Layer 3). Proses ini kebalikan dari proses ARP (ARP diterjemahkan Layer 3 alamat ke Layer 2 alamat) sehingga disebut Inverse ARP.
Setelah proses Inverse ARP selesai, kita bisa menggunakan " show frame-relay map " untuk memeriksa. Kata "dinamis" menunjukkan pemetaan itu dipelajari melalui Inverse ARP (output di bawah ini tidak berhubungan dengan topologi di atas):





Secara default, router mengirimkan pesan Inverse ARP pada semua DLCI yang aktif setiap 60 detik.
Hal lain yang harus Anda perhatikan adalah ketika Anda menyediakan peta statis (melalui perintah " frame-relay map "), Inverse ARP secara otomatis dinonaktifkan untuk protokol tertentu pada DLCI ditentukan.
Pada bagian terakhir kita akan terutama belajar tentang LMI, yang merupakan protokol signaling dari Frame Relay

4.      LMI
Local Management Interface (LMI) adalah protokol standar signaling digunakan antara router Anda (DTE) dan saklar Frame Relay pertama. The LMI bertanggung jawab untuk mengelola koneksi dan mempertahankan status PVC Anda.





LMI termasuk:
+ Mekanisme keepalive, yang memverifikasi bahwa data yang mengalir
+ Mekanisme multicast, yang menyediakan server jaringan (router) dengan DLCI lokal.
+ Mekanisme status, yang menyediakan PVC status pada DLCIs diketahui saklar

Dalam contoh kita, ketika kantor pusat dikonfigurasi dengan Frame Relay, ia akan mengirimkan LMI pesan Status Kirim ke DCE. Respon dari DCE mungkin pesan Hello kecil atau laporan status penuh tentang PVC digunakan berisi rincian semua VC dikonfigurasi (DLCI 23 & 51). Secara default, pesan LMI dikirim setiap 10 detik.

Empat kemungkinan status PVC adalah sebagai berikut:
+ Active state: Menunjukkan bahwa sambungan aktif dan router dapat bertukar data.
+ Inactive state: Menunjukkan bahwa koneksi lokal ke Frame Relay switch bekerja, tapi koneksi remote router ke switch Frame Relay tidak bekerja.
+ Deleted state: Menunjukkan bahwa tidak ada LMI yang diterima dari Frame Relay switch, atau bahwa tidak ada layanan antara router pelanggan dan Frame Relay switch.
+ Static state: Manajemen Antarmuka lokal (LMI) mekanisme pada antarmuka dinonaktifkan (dengan menggunakan perintah " no keepalive "). Status ini jarang terlihat sehingga diabaikan dalam beberapa buku.

Kita dapat menggunakan " show frame-relay lmi " untuk menampilkan statistik LMI dari Frame Relay pada interface memungkinkan router. Output menunjukkan jenis LMI digunakan oleh antarmuka Frame Relay dan counter untuk urutan pertukaran Status LMI, termasuk kesalahan seperti LMI timeout.





router Cisco mendukung tiga berikut jenis LMI:
* Cisco: LMI Jenis de ned bersama oleh Cisco, StrataCom, Northern Telecom (Nortel), dan Digital Equipment Corporation
* ANSI: ANSI T1.617 Annex D
* Q.933A: ITU-T Q.933 Annex A

Perhatikan bahwa tiga jenis LMI tidak kompatibel satu sama lain sehingga jenis LMI harus sesuai antara penyedia Frame Relay switch dan pelanggan perangkat DTE.
Dari Cisco IOS Rilis 11,2, router mencoba untuk secara otomatis mendeteksi jenis LMI yang digunakan oleh switch penyedia.

Catatan: LMI diperlukan untuk Inverse ARP berfungsi karena perlu tahu bahwa PVC adalah sebelum mengirimkan Inverse ARP Request.

Sekarang Anda belajar sebagian Frame Relay disebutkan dalam CCNA, beberapa karakteristik Frame Relay yang lain Anda harus tahu yang disebutkan di bawah.

Karakteristik Frame Relay lainnya
+ Frame Relay tidak menyediakan mekanisme pemulihan kesalahan. Hanya menyediakan deteksi kesalahan CRC.
+ Tidak seperti LAN, Anda tidak dapat mengirim data link layer disiarkan melalui Frame Relay. Oleh karena itu, jaringan Frame Relay disebut nonbroadcast multiaccess (NBMA) jaringan.
+ Tergantung pada bandwidth yang dibutuhkan untuk setiap koneksi virtual, pelanggan dapat memesan rangkaian dengan jumlah yang dijamin bandwidth. Jumlah ini adalah Informasi Committed Rate (CIR). CIR mendefinisikan berapa banyak bandwidth pelanggan adalah "dijamin" selama operasi jaringan normal. Setiap data yang dikirimkan di atas tingkat yang dibeli ini (CIR) yang tersedia untuk membuang oleh jaringan jika jaringan tidak memiliki bandwidth yang tersedia.
+ Jika saklar Frame relay mulai mengalami kemacetan, ia akan mengirimkan situs hulu (ke sumber) Backward explicit congestion notification (BECN) dan situs hilir (ke tujuan) Forward explicit congestion notification (FECN).





+ Ada dua jenis enkapsulasi Frame Relay: Cisco encapsulation dan IETF Frame Relay encapsulation, yang dalam kesesuaian dengan RFC 1490 dan RFC 2427. Sering digunakan untuk menghubungkan dua router Cisco sedangkan yang kedua digunakan untuk menghubungkan router Cisco ke router non-Cisco.
+ Frame Relay tidak mendefinisikan cara data ditransmisikan dalam jaringan penyedia layanan setelah lalu lintas mencapai saklar penyedia. Jadi penyedia dapat menggunakan Frame Relay, ATM atau PPP ... dalam jaringan mereka.

Layer 2 Encapsulation Protokol 

Selain Frame Relay ada Protokol Layer 2 Encapsulation lain yang dapat Anda menerapkan gantinya:

High-Level Data Link Control (HDLC): Jenis default enkapsulasi untuk router Cisco pada point-to-point link dedicated dan koneksi circuit-switched. HDLC adalah Cisco proprietary protokol.
Point-to-Point Protocol (PPP): Menyediakan koneksi antar perangkat lebih beberapa jenis interface fisik, seperti asynchronous serial, Internet Kecepatan Tinggi Serial Interface (HSS1), ISDN, dan sinkron. PPP bekerja dengan banyak protokol lapisan jaringan, termasuk IP dan IPX. PPP dapat menggunakan Password Authentication Protocol (PAP) atau Challenge Handshake Authentication Protocol (CHAP) untuk otentikasi.
X.25/Link Access Procedure, Balanced (LAPB): Mendefinisikan hubungan antara DTE dan DCE untuk akses remote terminal. LAPB adalah sebuah protokol lapisan data link ditentukan oleh X.25.
Asynchronous Transfer Mode (ATM): Standar internasional untuk cell relay menggunakan fixed-length (53-byte) sel untuk beberapa jenis layanan. sel tetap-panjang memungkinkan perangkat keras pengolahan, yang sangat mengurangi angkutan penundaan. ATM mengambil keuntungan dari media transmisi kecepatan tinggi seperti E3, T3, dan Synchronous Optical Network (SONET).

Kamis, 24 Maret 2016

Authentication ppp dan contoh penerapannya


Point-to-point Protocol (PPP) adalah sebuah Protocol Layer Data Link yang dapat digunakan baik dengan media serial asynchronous (dial-up) maupun serial synchronous (ISDN). PPP menggunakan LCP (Link Control Protocol) untuk membuat dan mempertahankan koneksi data-link.
Tujuan Dasar dari PPP adalah mengangkut packet layer 3 melalui sebuah link point-to-point layer data link. gambar dibawah menunjukan protocol stack PPP yang dibandingkan dengan model referensi OSI.



        PPP Mengandung empat komponen Utama :
  • EIA/TIA-232-C, V.24, V.25, V.35, dan ISDN sebuah standar internasional layer Physical untuk komunikasi serial.
  • HDLC sebuah metode untuk melakukan enkapsulasi datagram melalui link serial.
  • LCP sebuah metode melakukan pembuatan, mengkonfigurasi, mempertahankan dan mengakhiri koneksi titik-ke-titik.
  • NCP Sebuah metode untuk membuat dan melakukan konfigurasi protocol –protocol layer network yang berbeda. NCP dirancang untuk mengizinkan penggunaan protocol-protocol layer network secara serentak. beberapa contoh protocol tersebut adalah IPCP (internet protocol control protocol)  dan IPXCP (internetwork packet Exchange Control Protocol).
Penting untuk memahami bahwa stack protocol PPP dispesifikasikan di layer physical dan data link saja. NCP digunakan untuk memungkinkan komunikasi dari berbagai protocol layer Network dengan cara melakukan enkapsulasi pada protocol tersebut melalui sebuah data link PPP.

Link Control Protocol (NCP) menawarkan berbagai pilihan enkapsulasi PPP, termasuk diantaranya adalah :
  • Auntentikasi pilihan ini memberitahukan pihak yang memulai koneksi untuk mengirimkan informasi yang bisa mengidentifikasi dirinya. ada dua metode yang digunakan, yaitu PAP dan CHAP.
  • Compression pilihan ini digunakan untuk meningkatkan throughput dari koneksi PPP dengan cara melakukan kompresi data yang akan dikirim sebelum transmisi dilakukan. PPP melakukan dekompresi Frame data pada sisi penerima.
  • Error Detection PPP menggunakan pilihan quality dan magic number  untuk mengjamin link yang dapat diandalkan (reliable) dan loop-free.
  • Multilink mulai dari IOS versi 11.1 multilink didukung pada link PPP yang menggunakan router  cisco. pilihan ini memungkinkan beberapa alur fisikal terpisah untuk kelihatan seperti alur logika pada layer 3. sebagai contoh, dua koneksi T1 (masing-masing 1,5 Mbps) yang menjalankan PPP multilink akan kelihatan seperti sebuah alur tunggal 3 Mbps pada routeing protocol layer 3.
  • PPP Callback PPP dapat dikonfigurasi untuk melakukan call back. PPP callback dapat menjadi sesuatu yang mengguntungkan karena anda melacak penggunaan koneksi berdasarkan pada tagian akses, untuk catatan akuntansi, atau alasan-alasan lain. dengan mengaktifkan callback, router yang memanggil atau mengawali koneksi (beritindak sebagai server) dan melakukan autentikasi seperti telah dijelaskan dibagian sebelumnya. kedua router harus di konfigurasi dengan fungsi callback. setelah autentikasi selesai, router di sisi remote akan memutuskan koneksi dan lalu akan melakukan koneksi kembali ke router pemanggil.

Pembuatan Session PPP
ketika koneksi PPP dimulai, link tersebut akan melalui tiga fase penetapan session (sesion establishment) sebagai berikut :
  • fase penetapan link (link-establishment phase) paket LCP dikirim oleh setiap alat PPP untuk melakukan konfigurasi dan tes pada link. paket-paket ini mengandung sebuah field yang disebut Configuration Option yang memungkinkan setiap alat untuk melihat ukuran data, kompresi, dan autentikasinya. jika tidak ditemukan field configuration option, maka konfigurasi default akan digunakan.
  • fase autentikasi  jika diperlukan, baik CHAP maupun PAP dapat digunakan untuk autentikasi link. autentikasi terjadi sebelum informasi protocol layer Network dibaca. juga dimungkinkan terjadinya penentuan kualitas link pada saat bersamaan.
  • fase protocol layer network PPP menggunakan network control protocol (NCP) untuk memungkinkan protokol-protokol layer network yang beragam agar dapat dienkapsulasi dan dikirim melalui sebuah link PPP. setiap protokol layer network (yaitu IP, IPX, Appletalk, yang adalah protokol-protocol yang dapat di-route) menetapkan sebuah layanan dengan NCP.

Metode Autentikasi PPP
ada dua metode autentikasi yang dapat digunakan dengan link PPP :
  • Password authentication Protocol (PAP) : Protokol ini kurang aman (Secure) karena autentikasi dikirim dalam bentuk teks biasa. PAP dilakukan hanya pada awal penetapan link. pada saat link PPP terbentuk, node disisi remote akan mengirimkan informasi berupa username dan password kepada router yang mengawali koneksi, sampai autentikasinya diakui  (acknowledged).
  • Challenge Handshake Authentication Protocol (CHAP) : protocol ini digunakan pada startup awal dari link dan pada saat checkup periodik pada saat link untuk memastikan bahwa router masih berkomunikasi dengan host yang sama. setelah PPP selesai melakukan fase awal penetapan link, router lokal akan mengirimkan sebuah paket yang disebut challenge request ke alat di sisi remote. alat disisi remote akan mengirimkan sebuah nilai yang dihitung dengan menggunakan sebuah fungsi (matematika) yang disebut one-way bernama MD5. router disisi lokal akan mengcek nilai hash ini untuk memastikan kecocokannya. jika nilainya tidak cocok, link akan segera diakhiri.

Mengkonfigurasi PPP pada Router Cisco
melakukan konfigurasi enkapsulasi PPP pada sebuah interface adalah sebuah prosses yang cukup jelas. untuk melakukan konfigurasi ikuti perintah router berikut :

Router> ena
Router# conf t
Router (config) # int s2/0
Router (config-if) # encapsulation ppp
Router (config-if) # ^Z

tentu saja, enkapsulasi PPP harus diaktifkan pada kedua interface yang terhubung ke sambungan serial, dan ada beberapa konfigurasi tambahan yang tersedia dengan perintah help.

Mengkonfigurasi autentikasi PPP
setelah anda melakukan konfigurasi pada interface serial untuk mendukung enkapsulasi PPP, anda dapat mengkonfigurasi autentikasi menggunakan PPP diantara router-router pertama, set hostname dari router, jika belum. kemudian set username dan password untuk router disisi remote.
berikut contoh nya :

Router#conf t
Router (config) # hostname routerA
Router (config-if) # username routerB password cisco

pada saat menggunakan perintah hostname, ingat bahwa username adalah Hostname dari router disisi remote yang akan berhubungan dengan router anda. juga, password di kedua router harus sama. password adalah bentuk teks biasa, yang dapat anda lihat dengan perintah “show run”. anda dapat melakukan enkripsi password tersebut menggunakan perintah “service password-encryption”. anda harus mempunya sebuah username dan password, yang dikonfigurasi pada setiap sistem di sisi remote yang akan anda hubungkan. Router disisi remote harus juga di konfugurasi.dengan username dan password.
setelah anda menset hostname, username, dan password pilihlah jenis autentikasinya, apakah CHAP atau PAP :

Router# conf t
Router (config) # int s2/0
Router (config-if) # ppp authentication chap pap
Router (config-if) # ^Z

jika kedua metode (CHAP dan PAP) dikonfigurasi pada baris yang sama, seperti pada contoh diatas, maka hanya metode pertama yang akan digunakan selama negoisasi link—metode kedua akan menjadi backup jika metode pertama gagal.

Melakukan verifikasi enkapsulasi PPP
sekarang setelah enkapsulasi PPP diaktifkan, mari kita melihat bagaimana cara melakukan verifikasi bahwa konfigurasi PPP sudah aktif dan berjalan (up and running). anda dapat melakukan verifikasi konfigurasi dengan perintah show interface


Penerapan Konfigurasi Menggunakan PAP Authentication

Tugas-tugas dalam Konfigurasi PAP Authentication menunjukkan cara mengatur otentikasi PAP melalui link PPP. Prosedur digunakan sebagai contoh skenario PAP yang diciptakan untuk fiktif "Perusahaan Besar" yang diperkenalkan di contoh-konfigurasi untuk Dial-up PPP.

Perusahaan Besar ingin memungkinkan pengguna untuk bekerja dari rumah. Sistem administrator menginginkan solusi aman untuk garis serial ke server dial-in. UNIX-style login yang menggunakan database sandi NIS menjabat jaringan Big Perusahaan baik di masa lalu. Sistem administrator ingin skema otentikasi UNIX-seperti untuk panggilan yang datang ke jaringan melalui link PPP. Jadi mereka menerapkan skenario berikut yang menggunakan otentikasi PAP.

Contoh Penerapan PAP Authentication Skenario (Bekerja Dari Rumah)



Sistem administrator membuat khusus dial-in DMZ yang terpisah dari sisa jaringan perusahaan oleh router. DMZ jangka berasal dari zona demiliterisasi istilah militer. DMZ adalah jaringan terisolasi yang diatur untuk tujuan keamanan. DMZ biasanya berisi sumber daya yang perusahaan menawarkan kepada publik, seperti server web, server FTP anonim, database, dan server modem. desainer jaringan sering menempatkan DMZ antara firewall dan koneksi internet perusahaan.

Satu-satunya penghuni DMZ yang digambarkan dalam Gambar 30-3 adalah server myserver dial-in dan router. Server dial-in membutuhkan penelepon untuk memberikan mandat PAP (termasuk nama pengguna dan password) saat membuat link. Selanjutnya, server dial-in menggunakan opsi login PAP. Oleh karena itu, nama PAP pengguna penelepon 'dan password harus sesuai persis dengan nama pengguna UNIX dan password yang sudah berada di database password server dial-in ini.
Setelah link PPP didirikan, paket pemanggil akan diteruskan ke router. router meneruskan transmisi ke tujuan pada jaringan perusahaan atau Internet.

Penerapan Konfigurasi Menggunakan CHAP Authentication

Tugas-tugas dalam Konfigurasi CHAP Authentication menunjukkan cara mengatur otentikasi CHAP. Prosedur digunakan sebagai contoh skenario CHAP yang akan dibuat untuk LocalCorp fiktif yang diperkenalkan dalam Contoh-Configuration untuk Leased-Line Link.

LocalCorp menyediakan konektivitas ke Internet melalui leased line ke ISP. Karena itu menghasilkan lalu lintas jaringan yang berat, departemen Dukungan Teknis dalam LocalCorp memerlukan sendiri, jaringan pribadi terisolasi. teknisi lapangan departemen bepergian dan perlu mengakses jaringan Dukungan Teknis dari lokasi terpencil untuk informasi pemecahan masalah. Untuk melindungi informasi sensitif yang disimpan di database jaringan swasta, penelepon jarak jauh harus disahkan sebelum mereka diberikan izin untuk masuk.
Oleh karena itu, sistem administrator menerapkan skenario otentikasi CHAP berikut untuk konfigurasi PPP dial-up.

Contoh penerapan CHAP Authentication Skenario (Memanggil Private Network)



Satu-satunya link dari jaringan departemen Dukungan Teknis ke dunia luar adalah serial line sampai akhir server dial-in untuk link PPP. Sistem administrator mengkonfigurasi komputer laptop masing-masing perwakilan layanan lapangan untuk PPP dengan keamanan CHAP, termasuk rahasia CHAP. Chap-rahasia database pada server dial-in berisi mandat CHAP untuk semua mesin yang diizinkan untuk menelepon ke jaringan Dukungan Teknis.