Wondershare EdrawMind
Galleria mappe mentale Nozioni di base sulla rete con certificazione Cisco CCNA
- 25
Nozioni di base sulla rete con certificazione Cisco CCNA
Le certificazioni Cisco includono CCNA, CCDA, CCNP, CCDP, CCSP, CCIP, CCVP, CCIE (che sono ulteriormente suddivisi in routing e commutazione; voce; rete di archiviazione; sicurezza; operatori di telecomunicazioni), ecc. con diversi livelli, diversi contenuti e diversi Tra le varie certificazioni, le tre più comunemente utilizzate e molto richieste dalla società sono CCNA, CCNP e CCIE di routing e commutazione. Questo articolo riassume principalmente la conoscenza della consapevolezza della rete Cisco CCNA
Modificato alle 2023-06-25 11:38:03
Nozioni di base sulla rete con certificazione Cisco CCNA
- Consigliato per te
- Profilo
Nozioni di base sulla rete con certificazione Cisco CCNA
concetto di rete
Mappa concettuale
componenti cyber-fisici
Funzione di condivisione delle risorse e suoi vantaggi
Applicazioni utente in rete
E-mail (Outlook POP3 Yahoo, ecc.)
Browser Web (IE Firefox, ecc.)
Messaggistica istantanea (Yahoo IM Microsoft Messenger, ecc.)
Lavoro collaborativo (lavagna, Netmeeting, WebEx, ecc.)
Banca dati (file server)
Impatto delle applicazioni utente sulla rete
applicazione batch
FTP TFTP, aggiornamenti dell'inventario, ecc.
Non è richiesta alcuna interazione diretta uomo-computer
La larghezza di banda è importante, ma non critica
applicazioni interattive
interazione umano-computer
Interrogazione inventario, aggiornamento database
Poiché gli esseri umani attendono una risposta dalla macchina, il tempo di risposta è importante, ma non critico
applicazioni in tempo reale
VoIP e video
interazione tra le persone
La latenza end-to-end è fondamentale
Caratteristiche della rete
valutare
costo
sicurezza
Disponibilità
Scalabilità
affidabilità
Topologia
Topologia di rete
Tipi di topologia fisica
Topologia dell'autobus
Il segnale viene ricevuto da tutti i dispositivi sul bus
topologia ad anello
Il segnale si propaga lungo l'anello.
Singolo punto di guasto.
Topologia a doppio anello
Il segnale viaggia lungo l'anello nella direzione opposta.
Più elastico dell'anello singolo.
topologia a stella
I dati vengono trasmessi attraverso il nodo centrale.
Singolo punto di fallimento, ma non come un anello che colpisce gli altri
Estendi la topologia a stella
Più flessibile della topologia a stella
topologia di connessione parziale
Bilanciamento della tolleranza agli errori e dei costi di rete
topologia completamente unita
Altamente tollerante ai guasti e costoso
Rispetto
Modello OSI a sette strati
Modello TCP/IP VS OSI
Il modello di riferimento OSI definisce le funzioni di rete di ciascun livello.
Lo strato fisico definisce le procedure elettriche, meccaniche, procedurali e funzionali utilizzate per attivare, mantenere e disattivare i collegamenti fisici (linee) tra i sistemi finali.
Il livello di collegamento dati definisce il modo in cui i dati vengono formattati e trasmessi e controlla il modo in cui si accede ai supporti fisici.
(Indirizzo Mac, interruttore)
Il livello di rete fornisce la connettività e la selezione del percorso tra due host, anche se si trovano su reti separate
(Indirizzo IP, router)
Il livello di trasporto frammenta i dati sull'host mittente e riassembla i dati sull'host ricevente.
Protocollo TCP/UDP
Il livello sessione stabilisce, gestisce e termina le sessioni tra due host comunicanti. duplex
Il livello di presentazione garantisce che le informazioni inviate dal livello applicativo di un sistema possano essere lette dal livello applicativo di un altro sistema.
supporto dell'immagine
Il livello dell'applicazione fornisce servizi di rete per le applicazioni utente, come posta elettronica, trasferimento file ed emulazione terminale.
posta
TCP/IP
TCP/IP è attualmente il protocollo più utilizzato e la sua popolarità deriva dal suo schema di indirizzamento flessibile, dalla disponibilità sulla maggior parte dei sistemi operativi e piattaforme e dal ricco set di strumenti necessari per connettersi a Internet.
Lo stack di protocolli TCP/IP comprende il livello di accesso alla rete, il livello Internet, il livello di trasporto e il livello di applicazione.
Il modello OSI e lo stack di protocolli TCP/IP sono simili nella struttura e nella funzione, inclusa la loro
Livello fisico, livello di collegamento dati, livello di rete e livello di trasporto.
Il modello OSI divide il livello applicativo dello stack di protocolli TCP/IP in tre livelli indipendenti (Livello sessione, livello presentazione e livello applicazione).
Protocollo TCP/IP
Caratteristiche del protocollo Internet (IP)
Funziona a livello di rete di OSI
nessun protocollo di connessione
Ogni pacchetto viene elaborato in modo indipendente
indirizzamento gerarchico
trasmissione del miglior sforzo
Nessuna funzione di recupero dati
Intestazione PDU IP
Formato dell'indirizzo IP: decimale puntato
Intervallo di indirizzi IP
127 (01111111) è un indirizzo di Classe A, riservato per i test di loopback e non può essere assegnato alla rete.
Indirizzo IP privato - LAN
DHCP
DNS
Un'applicazione nello stack di protocolli TCP/IP Un metodo per tradurre nomi leggibili dall'uomo in indirizzi IP
TCP/UDP
Caratteristiche dell'UDP
Funziona al livello di trasporto dei modelli OSI e TCP/IP
Fornisce alle applicazioni l'accesso al livello di rete senza il sovraccarico dei meccanismi di affidabilità
è un protocollo senza connessione
Fornisce un rilevamento limitato degli errori
Fornire una trasmissione ottimale
Nessuna funzione di recupero dati
Inaffidabile, ma efficiente
Intestazione UDP
Caratteristiche del TCP
Funziona al livello di trasporto di TCP/IP
Fornire alle applicazioni l'accesso al livello di rete
protocollo orientato alla connessione
Modalità di lavoro full duplex
rilevamento degli errori
Smistamento dei pacchetti
Riconoscimento della ricezione del pacchetto
Funzione di recupero dati
Affidabile, ma inefficiente perché richiede tre strette di mano
Intestazione TCP
tre strette di mano
Mozzo (HUB)
L'intero Hub è un dominio di collisione perché tutti i pacchetti vengono trasmessi a ogni porta dell'Hub
Lo switch è più efficiente dell'HUB perché solo ciascuna porta è un dominio di collisione e il trasferimento delle informazioni è diretto da porta a porta.
L'hub trasmette qualsiasi pacchetto e la porta dello switch lo consegna da porta a porta. Ma per i dati trasmessi, lo switch trasmetterà comunque a ciascuna porta
Un segmento è una connessione di rete costituita da un singolo cavo di rete. A causa dell'attenuazione del segnale, La portata dei cavi e dei segmenti Ethernet è limitata dalla distanza fisica. Un hub può estendere segmenti di rete; riceve flussi di bit, amplifica segnali elettrici e Trasmette questi bit attraverso la sua porta ad altri dispositivi sulla rete. Se due o più host in un segmento trasmettono dati contemporaneamente, si verificherà un conflitto. Perché l’Hub è un intero vasto dominio di conflitto.
tecnologia LAN commutata
ponte
Funziona sul secondo livello del modello OSI
Isolare i domini in conflitto, non isolare i domini di trasmissione
meno porti
L'inoltro è lento
interruttore
Funziona sul secondo livello del modello OSI
Inoltra, filtra o trasmette frame di dati
più porti
Avanzamento veloce
Commutatore LAN
Maggiore densità di porte
Buffer del frame di dati più grande
Supporta diverse velocità di porta
Scambio interno veloce
Modalità di scambio:
Tagliare attraverso
Veloce, nessun controllo
Store-and-forward
rallentare, archiviare, controllare
Inoltro senza frammenti (senza frammenti)
Un tipo di inoltro diretto
Invia solo quando vengono raggiunti 64 byte
caratteristica
Avviso
1
, allo switch non interessa l'indirizzo IP, ma solo l'indirizzo MAC
2
La cache ARP nello switch è una mappatura delle porte sugli indirizzi MAC e non ha nulla a che fare con gli indirizzi IP.
3
La tabella della cache ARP nello switch registra continuamente la porta di origine e il MAC di origine leggendo la porta di origine e il MAC di origine durante l'inoltro dei pacchetti di dati, invece di eseguire query tramite la trasmissione ARP.
Scambio di frame di dati
router
Rispetto
VLAN
VLAN = Dominio di trasmissione = Rete logica (Sottorete
Le trasmissioni non attraverseranno le VLAN
Metodi di configurazione del dispositivo Cisco
Supporta più metodi di configurazione. Porta di rete, porta di controllo, composizione remota AUX
La configurazione diventa effettiva nella memoria del dispositivo.
Funzionalità dell'interfaccia utente Cisco IOS
L'interfaccia della riga di comando (CLI) viene utilizzata per immettere i comandi. Le operazioni variano a seconda dei dispositivi. L'utente inserisce o incolla il file Posta il comando. Sono presenti diversi prompt in diverse modalità di comando. Il tasto Invio consente al dispositivo di analizzare ed eseguire il comando Fare. Le due modalità EXEC principali sono la modalità utente (modalità utente) e modalità privilegiata (privileged modalità).
mostra i comandi running-config e mostra startupconfig
albero di copertura
STP
Metodo di selezione del root bridge
Confronta l'ID del bridge (prima quello più piccolo)
Confronta gli indirizzi MAC (prima quelli più piccoli)
Come selezionare BLK
Dai la priorità al blocco dei collegamenti con larghezza di banda ridotta
Se la larghezza di banda è la stessa, quella con un numero di porta più alto verrà chiusa.
Comandi di configurazione
Modifica la priorità per impostare il root bridge
SW2(config)#spanning-tree vlan 1 priorità? <0-61440> priorità del bridge con incrementi di 4096
SW2(config)#spanning-tree vlan 1 priorità 4096
Visualizza le priorità dello spanning tree
SW2(config)#mostra lo spanning-tree VLAN0001 Protocollo abilitato allo spanning tree ieee Priorità ID radice 32769 Indirizzo aabb.cc00.0600 Costo 100 Porta 2 (Ethernet0/1) Hello Time 2 sec Età massima 20 sec Ritardo in avanti 15 sec Priorità ID bridge 32769 (priorità 32768 sys-id-ext 1) Indirizzo aabb.cc00.0700 Hello Time 2 sec Età massima 20 sec Ritardo in avanti 15 sec Tempo di invecchiamento 15 secondi Interfaccia Ruolo Sts Costo Prio.Nbr Tipo ------------------ ---- --- --------- -------- ------- - ------------------------ Et0/1 Radice LRN 100 128,2 Shr Et0/2 Altn BLK 100 128,3 Shr Et0/3 Desg FWD 100 128,4 Shr Et1/0 Desg FWD 100 128,5 Shr Et1/1 Desg FWD 100 128,6 Shr Et1/2 Desg FWD 100 128,7 Shr Et1/3 Desg FWD 100 128,8 Shr Et2/0 Desg FWD 100 128,9 Shr Et2/1 Desg FWD 100 128,10 Shr Et2/2 Desg FWD 100 128,11 Shr Et2/3 Desg FWD 100 128,12 Shr Et3/0 Desg FWD 100 128,13 Shr Et3/1 Desg FWD 100 128,14 Shr Et3/2 Desg FWD 100 128,15 Shr Et3/3 Desg FWD 100 128,16 Shr
MST
Passaggi di configurazione
MST: uno spanning tree per istanza
1. Istanza di configurazione
2. Configurare il numero di versione MST
3. Configurare il nome MST in modo che sia coerente
Configura la priorità VLANx dell'istanza
Comandi di configurazione
SW1
SW1(config)#modalità spanning-tree mst SW1(config)#spanning-tree configurazione mst SW1(config-mst)#istanza 1 vlan 1,3,5 SW1(config-mst)#istanza 2 vlan 2,4,6 SW1(config-mst)#revisione 1 SW1(config-mst)#nome MST-1 SW1(config-mst)#uscita SW1(config)#spanning-tree mst 1 root primario SW1(config)#spanning-tree mst 2 root secondario
SW1
SW2(config)#modalità spanning-tree mst SW2(config)#spanning-tree configurazione mst SW2(config-mst)#istanza 1 vlan 1,12,3 SW2(config-mst)#istanza 2 vlan 2,4,6 SW2(config-mst)#revisione 1 SW2(config-mst)#nome MST-1 SW2(config)#spanning-tree mst 2 root primario SW2(config)#spanning-tree mst 1 root secondario
Visualizza le informazioni sulla configurazione MST
SW2(config-mst)#mostra corrente Configurazione MST attuale Nome[MST-1] Revisione 2 Istanze configurate 3 Vlan di istanza mappati -------------------------------------------------- -------------------------------- 0 11,13-4094 1 1,3,5,7,9,12 22,4,6,8,10 -------------------------------------------------- -----------------------
PVST e PVST sono compatibili, ma PVST e MST non lo sono (MST si basa sullo spanning tree dell'istanza e PVST si basa sullo spanning tree della VLAN, quindi non è possibile averli entrambi.
Visualizza comando
Comando di visualizzazione dell'albero esteso
mostra lo spanning-tree
Sicurezza dello spanning tree (protezione BPDU)
Guardia BPDU
L'interfaccia di accesso filtra le BPDU e verrà filtrata finché le regole verranno violate.
IOU1(config)#int e0/0 Accesso in modalità IOU1(config-if)#switchport IOU1(config-if)#spanning-tree bpduguard abilitato
Filtro BPDU
L'interfaccia di accesso filtra le BPDU. Le BPDU ricevute vengono filtrate per impostazione predefinita, ma lo stato dell'interfaccia non viene influenzato.
IOU1(config)#int e0/0 Accesso in modalità IOU1(config-if)#switchport IOU1(config-if)#spanning-tree bpdufilter abilita
guardia delle radici
La protezione del root bridge viene eseguita sul trunk di tutti gli switch della LAN.
IOU1(config)#int e0/0 IOU1(config-if)#radice di guardia dello spanning-tree
tecnologia di aggregazione dei collegamenti
Passaggi di configurazione
Chiudere le porte che devono essere aggregate
Seleziona protocollo di aggregazione (accensione manuale/lacp automatico)
porto aperto
(Livello 3) Chiudere la porta Livello 2
(Livello 3) Configura l'indirizzo IP
Comandi di configurazione di livello 2
SW2(config)#int ha eseguito e0/0-1 SW2(config-if-range)#spegnimento Modalità SW2(config-if-range)#canale-gruppo 1 attivata SW2(config-if-range)#nessun arresto
Comandi di configurazione di livello 3
SW2(config)#int è stato eseguito e0/0-2 SW2(config-if-range)#spegnimento Modalità SW2(config-if-range)#canale-gruppo 1 attivata Creazione di un'interfaccia port-channel Port-channel 1 SW2(config-if-range)#nessun arresto SW2(config-if-range)#exit SW2(config)#int porta-canale 1 SW2(config-if)#nessuna porta switch SW2(config-if)#indirizzo IP 192.168.1.1 255.255.255.0 SW2(config-if)#exit
Risoluzione dei problemi dell'interruttore
Utilizzare il pensiero a più livelli per la risoluzione dei problemi
Gli switch funzionano sul secondo livello del modello OSI.
Lo switch fornisce interfacce fisiche.
I problemi con gli switch di solito si manifestano al livello 1 e al livello 2.
Potrebbero esserci problemi di livello 3 coinvolti quando si accede alle funzioni di gestione dello switch.
Cambia i problemi dei media
I problemi con i media solitamente derivano dalle seguenti possibilità:
Il cavo è danneggiato.
Emergono nuove fonti di interferenza elettromagnetica
TEMPESTA
I modelli di traffico cambiano.
Installare nuove apparecchiature.
rumore eccessivo
Passaggi suggeriti:
Utilizzare il comando show Interface per visualizzare lo stato dell'interfaccia Ethernet del dispositivo. Se la lettera di output
Le informazioni che mostrano un gran numero di errori CRC ma poche collisioni indicano un rumore eccessivo.
Controllare il cavo per eventuali danni.
Se si utilizza 100Base-TX, verificare se vengono utilizzati cavi di categoria 5 o di categoria 5e.
conflitto tardivo (
Collisione tardiva
Passaggi suggeriti:
Utilizzare un analizzatore di protocollo per verificare la presenza di conflitti tardivi. È improbabile che si verifichino collisioni tardive in una rete Ethernet adeguatamente progettata.
Le collisioni tardive si verificano spesso quando il cavo Ethernet è troppo lungo o ci sono troppi ripetitori nella rete.
Controlla la distanza tra il primo e l'ultimo host in un segmento.
Problemi duplex (importante)
Modalità fronte-retro:
Impostando un'estremità su full duplex e l'altra su half duplex si verificherà un errore.
Un'estremità è impostata su full duplex e l'altra è impostata sulla negoziazione automatica:
Se la negoziazione automatica fallisce, l'altra estremità funzionerà in modalità half-duplex
risulta in un errore.
Un'estremità è impostata su half-duplex e l'altra su negoziazione automatica:
Se la negoziazione automatica fallisce, l'altra estremità funzionerà in modalità half-duplex.
Entrambe le estremità funzionano in half-duplex, senza errori.
Entrambe le estremità sono impostate per la negoziazione automatica:
Se la negoziazione fallisce, un'estremità funziona in full duplex e l'altra estremità funziona in half duplex. Per esempio:
Un'interfaccia Ethernet 1G funziona in modalità full-duplex per impostazione predefinita, mentre un'interfaccia Ethernet 10/100M funziona in modalità half-duplex per impostazione predefinita.
Se la negoziazione fallisce, entrambe le parti lavorano in modalità half-duplex.
Half-duplex su entrambe le estremità, nessun errore.
Problema di tasso
Modalità tariffa:
Impostando un'estremità su una velocità e l'altra su un'altra velocità si generano errori.
Un'estremità è impostata su una velocità maggiore e l'altra estremità è impostata sulla negoziazione automatica.
Se la negoziazione automatica fallisce, l'estremità configurata per la negoziazione automatica funzionerà alla velocità più bassa supportata.
risulta in un errore.
Entrambe le estremità sono impostate per la negoziazione automatica:
Se la negoziazione automatica fallisce da entrambe le parti, entrambe le estremità lavoreranno alla velocità più bassa che possono supportare.
Nessun errore
firewall
Porta predefinita
Registra il porto
0-1023: Controllato da IANA, riservato a servizi noti
1024-49151: porta registrata elencata da IANA, utilizzata da utenti regolari
Queste porte possono essere utilizzate dai normali processi utente o dai programmi in esecuzione.
49152-65535: Porte dinamiche e/o dedicate.
Gli hacker preferiscono la porta 445
Firewall (chiave)
Architettura del firewall
UTM
WAF
Application Firewall (WAF) e gateway del servizio anti-negazione
Il firewall per applicazioni Web è progettato specificamente per implementare una serie di policy di sicurezza per HTTP/HTTPS.
Un prodotto che fornisce protezione per le applicazioni web.
Il firewall dell'applicazione WEB si trova nel front-end della server farm del portale.
Rafforzare le capacità di protezione della sicurezza del portale attraverso anti-scanning, anti-injection, anti-cross-site scripting, anti-backdoor attack e altre strategie di sicurezza per ridurre al minimo la possibilità che il sito web venga invaso da hacker
Il gateway di attacco del servizio anti-denial è in grado di rilevare tempestivamente vari tipi di traffico di attacco nel traffico in background.
Intercetta rapidamente il traffico d'attacco in base al tipo di attacco per garantire il passaggio del traffico normale.
NGFW
Gartner ha definito per la prima volta NGFW nel 2009:
Deve avere funzionalità firewall standard,
Come la traduzione degli indirizzi di rete, l'ispezione stateful, VPN e le funzioni richieste dalle grandi aziende come IPS, AV,
Gestione del comportamento e altre funzioni PAN è l'originale adottante di NGFW e introduce i concetti di App, Utente e Ccontent.
4 regole per i firewall
• Regola silenziosa • Regole silenziose, non registrare registri spazzatura e registri non importanti e ridurre la quantità di registri •Regola della furtività • Regole invisibili che impediscono ai sistemi non autorizzati di accedere al software firewall •Regola di pulizia • Le regole di pulizia, che registrano le violazioni delle regole precedenti, sono l'ultima regola fondamentale • Nega regola • Regole negative, che non consentono agli amministratori di impostare regole generali nel firewall e di limitarle rigorosamente Controllare a quali sistemi è possibile accedere e come
ACL
Applicazione ACL
Consentire (Permit) o negare (Deny) i pacchetti che fluiscono attraverso il router.
Consentire o negare l'accesso al router tramite linee vty.
Senza ACL, i pacchetti possono essere trasmessi a qualsiasi parte della rete
Principio ACL
Configurazione dell'ACL
Parole chiave
192.168.1.1 0.0.0.0, che può essere abbreviato utilizzando l'indirizzo IP con la parola chiave davanti (host 192.168.1.1)
0.0.0.0 255.255.255.255 Ignora tutti i bit dell'indirizzo e utilizza la parola chiave any per abbreviare l'espressione
nell'interfaccia
l'interfaccia in uscita
ALC standard (1-99)
Consenti il passaggio di un singolo segmento di rete
R2(config)#access-list 1 permesso 192.168.1.0 0.0.0.255 R2(config)#int e0/0 R2(config-if)#ip gruppo di accesso 1 uscita
Nega host specifici
config)#elenco-accessi 1 nega 192.168.1.2 0.0.0.0
config)#access-list 1 permesso 0.0.0.0 255.255.255.255
Consenti tutti gli host tranne 192.168.1.2 (nascosto nega tutto)
config)#int e0/0
config-if)#ip gruppo di accesso 1 out
Nega segmenti di rete specifici
config)#elenco-accessi 1 nega 192.168.1.0 0.0.0.255
config)#access-list 1 consenti qualsiasi
config)#int e0/0
config-if)#ip gruppo di accesso 1 out
Controlla l'accesso VTY
config)#access-list 1 permesso 192.168.1.0 0.0.0.255
config)#linea vty 0 4
config-vty)#access-class 1 in
Istanza ACL denominata
config)#ip access-list nome standard-acl
config-std-nacl)#deny host 192.168.1.1
config-std-nacl)#permit 192.168.0.0 0.0.255.255
config-std-nacl)#int e0/0
config-if)#ip accesso-nome gruppo-acl out
ACL esteso (100-199)
Nega il traffico FTP da segmenti di rete specifici
config)#elenco-accessi 101 nega tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21
config)#access-list 101 consenti ip qualsiasi qualsiasi (consenti tutti i passaggi tranne quello sopra)
config-std-nacl)#int e0/0
config-if)#ip gruppo di accesso 101 out
NAT e PAT
traduzione dell'indirizzo di rete (NAT, traduzione degli indirizzi di rete)
Un indirizzo IP è locale o globale. L'indirizzo IPv4 locale (locale) è visibile solo sulla rete interna. L'indirizzo IPv4 globale è visibile su reti esterne
traduzione dell'indirizzo del porto (PAT, Traduzione dell'indirizzo del porto)
Tradurre l'indirizzo di origine della rete interna
Configura e controlla il NAT statico
ip nat all'interno dell'origine IP statico locale IP globale
Configurare un indirizzo locale interno e un indirizzo globale interno (all'interno dell'indirizzo globale) relazione di conversione statica.
ip nat dentro
Indica che l'interfaccia è connessa alla rete interna (dentro)
ip nat fuori
Identificare l'interfaccia connessa alla rete esterna (outside)
mostra le traduzioni ip nat
Visualizza la tabella di traduzione NAT
S-NAT
S-NAT (molti-a-uno)
config)#access-list 1 permesso 192.168.1.0 0.0.0.255
config)#ip percorso 0.0.0.0 0.0.0.0 S2/0
config)#ip nat all'interno dell'elenco delle sorgenti 1 sovraccarico dell'interfaccia S2/0
S-NAT (molti-a-molti)
config)#ip nat source list 1 pool x-name
config)#ip pool nat nome-x 172.16.16.1 172.16.16.2 maschera di rete 255.255.255.0
S-NAT (NAT statico)
config)#ip nat all'interno della sorgente ststic 192.168.1.1 172.16.16.1
ip nat fonte interna indirizzo di rete interno statico indirizzo di rete esterno
S-NAT (PAT statico)
config)#ip nat sorgente statico tcp 172.16.16.2 80 int e0/0 80
ip nat origine servizio statico indirizzo di rete esterno numero di porta porta di accesso alla rete interna corrispondente alla rete interna
Protocollo di autenticazione
Protocollo di autenticazione PPP
Panoramica del PPP
PPP utilizza il protocollo LCP per controllare la negoziazione dei parametri di collegamento. Utilizzando il protocollo NCP, PPP può trasportare più protocolli di livello di rete
Processo di creazione della sessione PPP:
1.
Fase di creazione del collegamento (negoziata dal protocollo LCP)
2.
Fase di verifica (facoltativa)
Esistono 2 protocolli di autenticazione PPP: PAP e CHAP
3.
Fase del protocollo del livello di rete (negoziato dal protocollo NCP)
PAP
La password viene inviata via cavo in chiaro Due handshake (ovvero la verifica viene completata tramite 2 messaggi) Impossibile prevenire attacchi di replay
CAP
Ciò che viene inviato sulla linea non è la password effettiva, ma il valore hash Poiché entrambe le parti hanno impostato la stessa password in anticipo, è necessario verificare solo il valore hash Sebbene il nome utente sia diverso, viene verificata solo la password. Handshake a tre (ovvero la verifica si completa tramite 3 messaggi)
Il router centrale sfida i router remoti sotto forma di una chiave di crittografia unica per ogni connessione. Il router remoto utilizza questa chiave per crittografare il nome utente e la password e li invia al router centrale. Dopo averlo ricevuto, il router centrale lo decrittografa e lo verifica utilizzando la chiave emessa per quella connessione.
Rispetto