La base de données externes se situe dans un serveur quelque part dans un datacenter du FAI. Le DSLAM doit donc transmettre les demandes d’authentification vers ce serveur. Cela implique une communication constante entre le DSLAM et le serveur RADIUS, mais permet une gestion centralisée des utilisateurs et des politiques de sécurité. Cette architecture favorise une meilleure scalabilité, car ajouter de nouveaux utilisateurs ou modifier des politiques peut se faire en un seul endroit et être répercuté sur l’ensemble du réseau. De plus, cela permet d’utiliser des fonctionnalités avancées de RADIUS, comme le support de l’authentification forte, le tracking des sessions utilisateurs, et la facturation basée sur l’utilisation.
PPPoE
PPPoE est une méthode de connexion réseau couramment utilisée pour connecter des dispositifs des utilisateurs à un réseau WAN, typiquement dans des environnements d’accès à Internet basés sur DSL. PPPoE combine les fonctionnalités du PPP, qui fournit une connexion sécurisée et authentifiée entre deux points, avec la capacité de l’Ethernet à supporter plusieurs utilisateurs dans un LAN. Grâce à PPPoE, les FAI peuvent gérer efficacement l’authentification des utilisateurs, l’attribution des adresses IP et le suivi de la session, ce qui est particulièrement utile dans les environnements des DSLAM. La mise en œuvre de PPPoE dans un réseau implique plusieurs étapes clés pour assurer une connexion réussie et sécurisée des clients au réseau du FAI à travers le DSLAM.
Configuration des circuits virtuels
La configuration des circuits virtuels pour PPPoE sur un routeur CISCO implique la création de groupes et de profils. Ces configurations établissent le cadre nécessaire pour que le routeur puisse gérer les sessions PPPoE, définissant comment les connexions entrantes sont authentifiées et traitées.
Les groupes BBA permettent de configurer le routeur pour qu’il agisse comme un point d’agrégation pour les connexions PPPoE. Ils spécifient les politiques et les paramètres pour les sessions PPPoE, y compris les limites de session, les méthodes d’authentification, et d’autres paramètres spécifiques aux sessions PPPoE.
Router(config)# bba-group pppoe global
Router(config-bba)# virtual-template 1Les profils VPDN sont utilisés pour configurer le tunneling et l’authentification des sessions PPPoE. Ils permettent de définir comment les demandes de connexion PPPoE sont redirigées pour l’authentification et comment les sessions sont établies.
Router(config)# vpdn enable
Router(config)# vpdn-group global
Router(config-vpdn)# accept-dialin
Router(config-vpdn-acc-in)# protocol pppoe
Router(config-vpdn-acc-in)# virtual-template 1Le virtual-template est une interface virtuelle configurable sur les routeurs qui sert de modèle pour la création d’interfaces dynamiques. Ces interfaces sont générées automatiquement lors de l’établissement de sessions PPPoE. L’interface template regroupe un ensemble de configurations qui seront appliquées à chaque session individuelle dérivée de ce modèle. Cela inclut des paramètres tels que les configurations IP, les méthodes d’authentification PPP, et les politiques de qualité de service.
Router(config)# interface Virtual-Template 1
Router(config-if)# ip unnumbered [nom_interface_réel]
Router(config-if)# ppp authentication chap
Router(config-if)# peer default ip address pool [nom_du_pool]Activation de PPPoE sur les interfaces réseaux
L’activation de PPPoE sur les interfaces réseau est la dernière étape pour permettre aux dispositifs clients de se connecter au réseau du FAI via PPPoE, en utilisant un DSLAM. Cette procédure est effectuée directement sur les interfaces physiques du routeur qui reçoivent les connexions entrantes des clients. Pour activer PPPoE et associer une interface à un groupe BBA spécifique, les commandes suivantes sont utilisées dans la configuration du routeur CISCO :
Router(config)# interface [nom_interface_réel]
Router(config-if)# pppoe enable group globalAjout des utilisateurs
La gestion des noms d’utilisateurs et des mots de passe pour l’authentification PPPoE peut s’effectuer soit en utilisant une base de données locale sur le routeur (comme nous l’avions vu dans SSH), soit en faisant appel à un serveur RADIUS externe (comme nous l’avions vu dans en dot1x). Chacune de ces méthodes a ses avantages et peut être choisie en fonction des besoins spécifiques de sécurité, de scalabilité et de gestion du réseau. Choisir entre une base de données locale et un serveur RADIUS dépend des exigences spécifiques du réseau en termes de sécurité, de gestion et d’évolutivité. La base de données locale offre simplicité et facilité de configuration pour les petits réseaux, tandis que le serveur RADIUS offre une solution robuste et évolutive pour les réseaux de plus grande envergure.
Dans une base de données locale
La base de données locales se situe directement sur le DSLAM. C’est donc ce routeur qui possède la base de données des utilisateurs raccordés. Cette proximité permet une authentification rapide et réduit la dépendance à des systèmes externes, ce qui peut être avantageux en cas de coupure de la connexion au réseau plus large. Cependant, cela peut aussi signifier que les mises à jour et la maintenance de la base de données doivent être gérées individuellement sur chaque appareil, ce qui peut s’avérer fastidieux et sujet à des erreurs pour les administrateurs réseau.
Router(config)# username [nom_utilisateur] password [mot_de_passe]Dans une base de données radius
Router(config)# aaa new-model
Router(config)# aaa authentication ppp default group radius
Router(config)# aaa authorization network default group radius
Router(config)# radius-server host [ip.ip.ip.ip] key [votre-mot-de-passe]