Proiectarea unei retele virtuale private (VPN)

1. Obiective si premize

Lucrarea de fata are ca scop declarat descrierea modului in care trebuie realizata implementarea
unei retele de calculatoare intr-o societate comerciala care are mai multe sedii raspandite
geografic la distanta mare.

Am ales ca fiind necesar un numar de trei locatii initiale si gandirea proiectului in asa fel incat sa
poata fi scalabil pana la un numar oricat de mare in functie de viitoarea extindere economica.

In cursul realizarii planului de design trebuie tinut cont in mod obligatoriu de cateva cerinte
principiale . In general aceste cerinte sunt valabile pentru toate tipurile de retele .

functionalitatea
scalabilitatea
adaptabilitatea
posibilitatile de management
Functionalitatea - in contextul networkingului inseamna ca reteaua trebuie sa mearga, mai
exact utilizatorii sa-si poata indeplini cerintele muncii lor .Reteaua trebuie sa furnizeze atat
conectivitatea utilizator-la-utilizator cat si utilizator-la-aplicatie ( in cazul aplicatiilor care
opereaza pe un server ) la o viteza si siguranta rezonabila.

Scalabilitatea - Reteaua trebuie sa fie pregatita pentru orice viitoare extindere.Iar acesta crestere
in dimensiuni nu trebuie sa afecteze in mare masura designul initial.

Adaptabilitatea - inseamna ca reteaua trebuie implementata cu un ochi atintit spre viitoarele

tehnologii. Aceasta inseamna ca nu trebuie sa includa elemente care ar putea sa impiedice
implentarea noilor tehnologii odata ce acestea devin disponibile. In acest sens trebuie respectate
cat mai in detaliu standardele existente.

In ceea ce priveste crearea posibilitatilor de management exista doua lucruri de mentionat :

posibilitatile de monitorizare si posibilitatea de control a traficului , accesului etc.

In procesul de design in cazul retelei pe care am ales-o se impune de mentionat ca sunt doua
aspecte ale proiectarii si anume LAN-design-ul si WAN-designul.Cele doua aspecte sunt diferite
si la fiecare trebuie tinut cont de parametri diferiti .

Pe de o parte cand vorbim despre LAN-uri ( Local Area Network - retea locala) ne referim la
acele comunitati de calculatoare care se afla intr-o locatie bine precizata , dimensiunea dintre
1
cele mai departate masini fiind de maxim cateva sute de metri .Uzual aceste retele acopera
suprafata unei cladiri sau cel mult un campus. Elementele acestor retele sunt alcatuite din simple
calculatoare (PC-uri cel mai adesea ) ,servere, imprimante etc.Viteza la care se face conexiunea
este mare iar timpul in care este disponibila conexiunea este virtual nelimitata. 

In cazul LAN-urilor exista cateva cerinte critice care trebuie urmarite in cazul implementarii :

* Plasarea serverelor si definirea functiei lor.

* Detectia coliziunilor.

* Segmentarea retelei.

* Definirea domeniilor de broadcast si a celor de bandwidth.

Un al doilea aspect al implementarii este cel legat de realizarea retelei WAN (Wide Area
Network-retea de mare intindere ). Exista deosebiri mare intre cele doua tipuri de retele .

Retelele de mare intindere leaga intre ele masini aflate la mare distanta geografica , punctul
maxim constituindu-l Internetul. In general conexiunile de acest gen sunt realizate pentru a
permite comunicarea intre retele locale. In general in retelele de mare intindere rareori se
intalnesc simple PC-uri, cel mai adesea la “capetele cablurilor “ se afla modemuri, routere sau
switchiuri WAN. Transferul datelor se face la viteze mici, existand posibilitatea cresterii de
banda dar acesta necesitand cheltuieli mari. Din acest motiv trebuie foarte judicios calculat si
ales cel mai bun raport calitate/pret. In genere serviciile WAN sunt cumparate sau inchiriate de la
un furnizor sau provider generic numit ISP.

Pentru designul WAN trebuie tinut cont de urmatorii factori :

* Conexiunea trebuie sa faca fata la cerintele de trafic.

* Asigurarea securitatii specifice .

* Costul detinerii conexiunii.

Imaginea alturata reprezinta o schematizare a proiectului .

2
3
Cele trei locatii ale firmei proceseaza date vitale pentru activitatea economica a societatii si din
aceasta cauza este deosebit de importanta mentinerea comunicarii pe de o parte la un nivel
securizat cat si pe parcursul desfasurarii activitatilor specifice.Sediul principal este la Cluj iar
filialele sunt in Bucuresti si Timisoara.

2. Consideratii teoretice relative la networking si internetworking

Pentru o buna exemplificare a modelului de functionare unei retele fie ea simpla (LAN) sau
complexa (WAN) vom recurge la o scurta descriere a modelul OSI de transmise a datelor.

modelul OSI
In literatura este adesea intalnita denumirea " OSI Reference Model "( modelul de referinta OSI).
OSI a fost emis in 1984 este un model in sapte straturi dezvoltat de ISO( International
Standardization Organization ) pentru descrierea modului in care se pot combina diverse
dispozitive pentru a comunica intre ele. Acest model este conceput ca avand sapte straturi iar
fiecaruia i se asociaza un anumit set de functii. Aceste sapte straturi formeaza o  ierarhie plecand
de la stratul cel mai de sus 7 – application si pana la ultimul din partea de jos a stivei startul 1
physical.

         OSI a fost elaborat pentru a furniza producatorilor de echipamente de comunicatie un set de
standarde , respectarea carora asigurand compatibilitatea si interoperabilitatea intre diverse
tehnologii furnizate de firme diferite.Inainte de a trece mai departe cu descrierea modelului OSI
este necesar sa lamurim cateva aspecte legat de ceea ce numim in general in networking
protocol-ul.

Ca si intre oameni, pentru a putea sa comunice intre ele, calculatoarele trebuie sa vorbeasca
aceeasi limba sau altfel spus sa folosesca acelasi protocol. Asadar un protocol este un set de
reguli pe care fiecare calculator trebuie sa-l respecte pentru a comunica cu un altul.              

Pe langa modul de impartire pe verticala in modelul OSI se mai poate intelege unul pe orizontala
adica fiecare start este subdivizat pe orizontala , in aceste locuri aflandu-se protocoalele. .Ca si
principiu un protocol M dintr-un strat 4 al calculatorului source va comunica in calculatorul
destination cu protocolul M din stratul 4 al masini respective. Spre exemplu TCP de strat 4
comunica cu TCP de strat 4 din calculatorul cu care a stabilit o conexiune.Imaginea de mai jos
cred eu ca evidentiaza cel mai bine modul de comunicare intre protocoale.

4
Care sunt scopurile pentru care a fost propus acest sistem ? Desi astazi sunt si alte sisteme in
functiune cei mai multi distribuitori de echipamente de comunicatie folosesc OSI pentru a educa
utilizatorii in folosirea echipamentelor. Se considera ca OSI este cel mai bun mijloc prin care se
poate face inteles modul in care informatia este trimisa si primita. In modelul OSI sunt sapte
straturi care fiecare au functii diferite in retea , aceasta repartitie purtand numele de stratificare.

5
              Stratul 7 (layer 7- application) este cel mai aproape de utilizator si are rolul de a face
legatura dintre aplicatie si serviciile oferite de retea pentru acea aplicatie .El este mai aparte decat
celelalte straturi in aceea ca nu furnizeza servicii altor straturi .Spre exemplu : o aplicatie ca
editorul de text pe care tocmai scriu acest text foloseste stratul 7 cand ii comand sa salvez pe un
disc care este in retea Daca este sa asociem acest strat cu un cuvant cel mai potrivit ar fi :
browser.

Stratul 6 (layer 6- presentation) are ca scop traducerea informatiilor in formate pe caremasinile

care comunica le pot intelege.Poate fi asociat principial cu sintagma : formatul informatiei.

Stratul 5 (layer 5 – session ) porneste , administreaza si termina sesiunile de comunicare intre

calculatoare.Este asociat cu termenul de dialog .

Stratul 4 (layer 4 – transport ) segmenteaza si reasambleaza informatia care circula intre

noduri .Granita dintre acest strat si cel de deasupra lui este foarte importanta pentru ca
delimiteaza straturile care se ocupa cu procesarea locala a informatiei ( 7 application,6
presentation si 5 session) si pe cele care au ca functie definirea modului in care trebuie sa circule
datele intre echipamente ( 4 transport , 3 network , 2 data link si 1 phisycal ) .Functiile principale
ale stratului transport ar fi : defineste caracteristicile transportului intre noduri , se asigura ca
datele au ajuns la destinatie , stabileste , mentine si termina circuite virtuale ,detecteaza si
remediaza erorile care au aparut in procesul de transport , controleaza fluxul de date .Daca
trebuie gandit in cateva cuvinte , cele mai bune ar fi : calitatea serviciului si increderea in
serviciu.

Stratul 3 ( layer 3 – network ) poate fi gandit in doua functii : rezolva adresarea intre hosturi si
gaseste cea mai buna cale pe care informatia trebuie sa o parcurga pentru a junge la
destinatie.Aici se desfasoara procesul de routing .

6
Stratul 2 ( layer 2 – data link ) face trecerea informatiei din calculator in mediul prin care este
trimisa informatia ( cablu , fibra optica sau unde radio ). Acest strat mai controleaza fluxul de
date in mediul de transport ofera adresarea fizica ( adresele MAC) , aici se regasesc tehnologiile
care asigura diferite topoligii logice ale retelelor ( Ethernet,IEEE 802.3, IEEE 802.5,FDDI
,Token Ring etc).Ne putem aminti usor de acest strat asociindul cu frame-uri si MAC.

Stratul 1 ( layer 1 – phisycal ) defineste la nivel electric , mecanic , procedural si functional

legatura fizica intre calculatoarele care comunica.Spre exemplu are in grija : nivelele de voltaj
din cablu , tipurile de cablu sau fibra optica , distanta maxima dintre doua capete ale
conductorului etc. Il putem asocia cu termenii semnal si cablu.

Cum circula informatia ? Odata ce a fost creata ( spre exemplu dupa ce am scris un email )
informatia trebuie sa treaca prin toate cele 7 straturi unde va fi procesata pentru trimitere
.Aceasta procesare presupune desfacerea si asamblarea ei in niste pachete de date procesul
purtand numele de incapsulare .Acest proces consta pe langa crearea pachetelor si intr-un
fenomen prin care se adauga la fiecare pachet headere si trailere care definesc un anumit protocol
care va procesa la destinatie acel pachet. Pentru o mai simpla intelegere a fenomenului se poate
lua exemplul cu emailul.Asadar pasii vor fi urmatorii :

1.Construirea datelor .Utilizatorul scrie emailul al carui text si eventual imagine vor fi
procesate in straturile superioare pentru a avea un format care sa poata fi trimis in retea .

2.Segmentare datelor .Se face la stratul 4 in felul acesta se garanteaza ca datele vor ajunge in
siguranta de la o masina la alta.

3.Adaugarea adreselor de retea .Se face la nivelul stratului 3 si se face prin adaugarea unui
header la segmentul stratului 3 rezultand ceea ce numim pachet.Acest header vine cu informatii

7
deosebit de pretioase : adresa logica 3 catre care va fi expediat pachetul , adresa logica sursei .Tot
la cest nivel se decide care va fi urmatoarea masina careia i se va livra pachetul ( next hop ).

4.Adugarea headerului de strat - aici se adauga un header care contine informatii cu privire la
uramatoarea masina care va primi acea informatie .Rezultatul acestei asamblari fiind ceea ce
numim un frame.Trebuie deosebita aceasta adresare de cea de la layer 3 : spre exemplu daca sunt
intr-o retea, reteaua A si trimit informatie in aceesai retea IP-ul destinatiei va fi al masinii catre
care trimit , MAC-ul deasemeni ; pe cand daca trimit intr-o alta retea IP-ul va fi al destinatiei iar
MAC-ul va fi al default gateway-ul din reteaua A in care ma flu eu .

5.Convertirea frame-ului intr-o secventa de biti ( 0 si 1).Asa circula informatia in mediul de

propagare .Aici se mai afla si un ceas care permite celor doua masini care comunica sa se poata
sincroniza.

despre TCP/IP
Desi modelul OSI este universal recunoscut , din punct de vedere istoric si tehnic vorbind in ceea
ce priveste internetul standardul aplicat este TCP/IP adica Transmission Control Protocol /
Internet Protocol. Modelul de referinta TCP/IP si stiva sa de protocoale fac comunicarea posibila
intre doua calculatoare care se afla in orice colt al lumii la viteze care cresc pe zi ce trece .
TCP/IP a luat nastere in laboratoarele armatei americane in speranta de a crea un mod de
comunicare posibil in orice conditii de lupta .Datorita fiabilitatii sale a fost mai tarziu preluat de
dezvolatatorii de UNIX si adus la un nivel care sa permita comunicarea in Internet astazi fiind
cea mai raspandita limba in care « vorbesc computerele » oriunde in lume. TCP/IP este un model
in patru straturi : application ,transport ,internet si network access ( sau mai simplu network ).

8
Intre cele doua modele exista similaritati. Stratul application include si straturile session si
presentation ale modelului OSI .Stratul transport al modelului TCP/IP are in grija calitatea
serviciului de comunicare , siguranta liniei de transport , controlul fluxului si detectia si corectia
erorilor.

La nivelul stratului transport se afla si protocolul TCP care este un protocol orientat pe
conexiune. Aceasta inseamna ca doua computere pot comunica asigurandu-se ca aud exact ceea
ce interlocutorul spune si anuntand periodic acel interlocutor ca a inteles exact. Aceasta este
tehnica   acknowledgement-urilor .Totodata TCP permite si comunicarea rapida, adaptata la
posibilitatile retelei prin folosirea window-ingului .

Stratul internet este cel care face adresarea logica in stiva TCP/IP .Pe scurt care sunt cele doua
lucruri pe care le face: odata gaseste care este cea mai buna cale pe care trebuie sa o urmeze un
packet pentru a ajunge la destinatie iar cea de a doua consta in switvhingul acelui pachet , aceasta
fiind posibilitatea de a trimite pachetul printr-o alta interfata decat aceea de primire .Acesta este
locul unde actioneaza routerul in internet . 

9
Stratul network access este acela unde rezida ambele tehnologii LAN si WAN. Asadar aici se
gasesc toate lucrurile mentionate la nivelele 1 si 2 ale modelului OSI.

Retelele WAN ( Wide Area Network – retele de mare intindere ) sunt acelea care in genere
interconecteaza retele LAN aflate la mare distanta geografica. Retelele WAN opereaza la nivelul
straturilor 1 si 2 ale modelului OSI si au urmatoarele caracteristici : 
 

1. Opereaza pe distante mult mai mari decat LANurile de aceea cel mai adesea folosesc
serviciile oferite de un ISP ( internet service provider – furnizor de servicii
internet).Aceste servicii fie sunt cumparate fie inchiriate .
2. Folosesc legaturile seriale in general acestea ofera o largime de banda mult mai mica
decat cea oferita de retelele LAN , costul acestei bande fiind de asemenea mult mai mare
in cazul retelelor de mare intindere.
3. Retelele de mare intindere folosesc o gama de echipamente special adaptate pentru
cerintele acestora : routere ( interfetele seriale ) , switchuri WAN , modemuri , comm
servere.

Routerele sunt aceleasi folosite si in conexiunile LAN cu deosebirea ca in acest caz sunt folosite
interfetele seriale care de obicei se conecteaza la un modem care transforma ( moduleaza sau
demoduleaza ) tipul de semnal ( electric/cablu de cupru sau optic/fibra optica ) pe care il
transporta furnizorul de servicii internet. Switchul WAN este diferit ca si functie de cel LAN si
este aflat de asemenea in dotarea furnizorului de servicii internet. In principiu asigura transferul
informatiei in interriorul retelei providerului dar are functii mult mai complexe. 

Urmatoarele imagini schematizeaza operatiunile care se desfasoara in retelele WAN si tipurile de

echipamente folosite. 

10
Exista o multitudine de tehnologii WAN care difera prin largimea benzii pe care o distribuie ,
mediul folosit la propagarea datelor , pretul sau , gradul de incredere in serviciul folosit .

11
Urmatorele imagini indica cateva dintre protocoalele si standardele folosite in retelele WAN. Am
incercat sa precizez si tipurile de echipamente folosite in realizarea proiectului de VPN ulterior
intentia fiind sa nu mai revin cu explicatii teoretice ci doar cu specificatiile proiectului in sine . 
 

. 

12
In ceea ce priveste protocoalele folosite intre routere m-am oprit asupra PPP pentru ca este pe
deplin standardizat si in plus ofera posibilitati forte bune de autentificare ( folosind CHAPul ). 

VPNul
In ceea ce urmeaza am sa prezint in general termenul de VPN si cam ce implica acesta si cateva
tehnologii de VPN care se pot implementa.

In primul rand trebuie spus ce inseamna o retea privata. Asta am s-o fac printr-un exemplu : daca
ar trebui sa-si faca o retea privata firma mea ar trebui sa sa traga cabluri si stalpi intre toate cele
trei sedii ale sale , sa cumpere echipamente foarte scumpe , sa angajeze oameni care sa instaleze
iar mai apoi sa mentina toata aceasta infrastructura .Asadar cheltuielile ar atinge un prag
exorbitant pentru o firma care are ca obiect de activitate vanzarile de textile spre exemplu .Deci
situatia ar trebui altfel gandita. 
Alternativa ar fi sa inchirieze banda de la un provider de internet si sa-si lege cele trei locatii
punandu-le adrese de IP reale .Vorbim aici despre partajarea unei conexiuni .Aici insa apar
probleme de securitate .S-ar simti multi provocati fie sa sparga sistemul sau macar sa-l blocheze
periodioc (prin flooding spre exemplu) .Asadar ar trebui inasprita foarte mult securitatea , fapt
care in primul rand costa iar in al doilea ar impune asemenea restrictii incat ar fi imposibil ca
firma sa-si mai desfasoare activitatea economica. 
Partea buna este ca mai exista o alternativa si aceasta este de departe cea mai viabila : crearea
unei retele care sa fie virtual privata .Asadar este un hibrid : aduce securitatea retelei integral
private si se apropie ca si cost de cea obtinuta prin partajarea de banda la internet. 
Asadar un VPN este o retea care conecteaza in mod securizat diferite locatii folosind
infrastructura deja partajata a retelei internet. VPN mentine aceeasi securitate , prioritate a
traficului , posibilitatile de management si incredere ca si o retea privata. 
VPN este cea mai eficienta alternativa in ceea ce priveste costurile de implementare si mentinere
pentru firmele private. 
VPN-ul in plus ofera o multitudine de posibilitati de conectare : 
 

1.   Realizarea de intranet intre diferite locatii aflate la distanta.

2.   Conectarea utilizatorilor mobili .
3.   Realizarea unor legaturi extranet cu partenerii de afaceri.

La ora actula exista trei posibilitati de realiza un VPN : 

 Access VPN – permite conectarea individuala ( utilizatori mobili ) sa a unor birouri la

sediul central al unei firme , aceasta realizandu-se in cele mai sigure conditii.
 Intranet VPN – permite conectarea diferitelor sedii ale unei firme folosind legaturi
dedicate .Diferenta fata de Access VPN consta in faptul ca se folosesc legaturi dedicate
cu rata de transfer garantata fapt care permite asigurarea unei foarte bune calitati a
transmisiei pe langa securitate si banda mai larga.
 Extranet VPN – este folosit pentru a lega diferiti clienti sau parteneri de afaceri la sediul
central al unei firme folosind linii dedicate , conexiuni partajate , securitate maxima.

13
 1.Access VPNul

Sunt doua tipuri pentr acest tip de VPN dupa cum urmeaza : 

Conexiune initiata de client .Clientii care vor sa se conecteze la siteul firmei trebuie sa aiba
instalat un client de VPN acesta asigurandu-le incripatare datelor intre computerul lor si sediul
ISPului .Mai departe conexiunea cu sediul firmei se face de asemenea in mod criptat , in
concluzie intregul circuit al informatiei se face in mod criptat. Trebuie precizat ca in in cazul
acestui tip de VPN sunt folositi o multitudine de clienti de VPN .Un exemplu este Cisco Secure
VPN dar spre exemplu si Windows NT sau 2000 au integrat clienti de VPN. Un alt fapt este
folosirea unui NAS ( Network Access Server ) acesta find un server de access care face logarea
si stabilirea tunelului cripatat in ambele directii pentru fluxul de date .Urmatoarea imagine
schematizeaza acest tip de Access VPN : 

Access VPN initiat de NAS 1 este ceva mai simpla pentru ca nu implica folosirea unui client de
VPN .Tunelul cripatat se realizeaza intre NAS-ul ISPului si sediul firmei la care se vrea
logarea .Intre client si NAS securitatea se bazeaza pe siguranta liniilor telefonice (fapt care
uneori poate fi un dezavanta ). 
 
 

14
 2.Intranet VPN

Permite realizarea unei retele interne complet sigura pentru o firma. Permite realizarea unor
medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot sa atinga rate
de transfer foarte bune (E1) limita fiind determinata de suma pe care firma respectiva este
dispusa sa o investeasca in infrastructura sa informationala . 

Arhitectura aceasta utilizeaza doua routere la cele doua capete ale conexiunii , intre acestea se
realizeaza un tunel criptat. In acest caz nu mai este necesara folosirea unui client de VPN ci
folosirea IPSec.IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care asigura
autentificarea, confidentialitatea si integritatea transferului de date intre o pereche de
echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care
necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi
vor permite logarea reciproca . 
Schematic conexiunea arata cam asa : 

15
 3.Extranet VPN

Acest tip de VPN seamana cu precedentul cu deosebirea ca extinde limitele intranetului

permitand legarea la sediul corporatiei a unor parteneri de afaceri , clienti etc.acest tip permite
accesul unor utilizatori care nu fac parte din structura firmei .Pentru a 
permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele
criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru . 
 
 

16
  

Detaliile implementarii .

Pentru implementarea unui VPN exista un necesar de echipamente software si hardware . Cisco
recomanda urmatoarea gama de routere pentru VPN : 

Seria         transfer maxim date               utilizare

Cisco 800 series. Pana la 128 Kbps ISDN SOHO
Cisco uBr900 series. Pana la T1 SOHO
Cisco 827 DSL SOHO
Cisco 1700 Series. Pana la T1/E1 Small Office
Cisco 2600 Series. Pana la T1/E1 Branch Office
Cisco 3600 Series. n * T1/E1 Large Branch
Cisco 7120. n * T1/E1 Large Branch
Cisco 7100 Series. Pana la DS3 Central Site
Cisco 7200 Series. Pana la DS3 Central Site

In al doilea rand avem nevoie de routere care sa suporte IPSec .Acestea ar fi : 

17
Cisco 1600 series routers
Cisco 800 series routers
Cisco 1740 series routers
Cisco 2500 series routers
Cisco 2600 series routers
Cisco 3600 series routers
Cisco 4000 (Cisco 4000, 4000-M, 4500, 4500-M, 4700, 4700-M) series routers
Cisco 7100 series routers
Cisco 7200 series routers
Cisco 7500 series routers

Cerintele de sistem se grupeaza in doua categorii : in primul rand ar fi vorba despre cerintele
clientului si al doilea rand despre cele pentru server .Cerintele de client sunt software .Un client
pentru a puteafi configurat este necesar sa intruneasca urmatoarele cerinte : 

PC cu procesor Pentium sau echivalent 

OS :
_Microsoft Windows 95
_Microsoft Windows 98
_Microsoft Windows NT 4.0 (Service Pack 3 sau 4 )
_Microsoft Windows 2000
Minimum 32 MB RAM
Disponibil pe hard disk 9 MB
CD-ROM
Protocoale configurate : TCP/IP
Conexiune dial-up ( modem intern sau extern )
Conexiune la retea Ethernet.

Severerul trebuie sa respecte cateva cerinte hard si soft : 

Trebuie sa fie unul dintre routerele mentionate mai sus sa permita folosirea IPSec si sa
aiba ca sistem de operare minimum IOS 12.04 .Este recomandat de asemenea ca routerul
sa fie ales in concordanta cu necesitatile de trafic ale companiei .

In continuare am sa prezint schematizat cateva date importante legat de modul in care VPN este
incriptat si cum se face stabilirea conexiunii .In primul rand despre modul in care se face
autentificarea . In ceea ce urmeaza vom folosi ca protocol de strat 2 in cazul legaturilor seriale
intre routere protocolul PPP pentru ca este pe deplin standardizat si ofera o buna modalitate de
autentificare .Mai exact aceasta autentificare se produce la stabilirea conexiunii intre cele 
doua capete ale circuitului si are ca rezultat accesul sau nu al celui care a cerut conectarea
.Protocolul PPP are doua modalitati de autentificare : PAP si CHAP . 
PAPul este mai putin folosit in ultima vreme deoarece nu este foarte sigur , trimitand parolele in
„ clear text” sistemul putand pierde astfel informatie pretiosa daca se insera un sniffer.CHAPul
este cel mai folosit protocol de autentoficare datorita modului sau mai elaborat in care asigura
autentificarea folosind „provocari” (chellenge ) ale serverului de autentificare .Este de asemenea
important si faptul ca autentificarea se face pa parcursul mentinerii circuitului nu numai la startul
acestuia .Procesul de autentificare are loc ca in schita de mai jos. 

18
1.Cand clientul initializeaza conexiunea PPP cu NAS acesta din urma ii trimite un
chellenge catre client.
2.Clientul trimite un raspuns.NASul analizeaza acest raspuns si incepe negocierea cu
routerul gateway al firmei .Dupa ce se stabileste un tunel intre acestia NAS trimite mai
departe informatiile primite de la client .
3.Urmatorul pas este realizat intre gateway si client , gatewayul autentifica clientul si
trimite acestuia insiintarea de acceptare sau nu a conexiunii.

Stabilirea tunelului L2F este tot o chestiune de negociere intre doua noduri dar am considerat ca
depaseste spatiul acestei lucrari si nu am introdus date suplimentare.In continuare este indicat
modul in care se face autentificarea unui utilizator . 
 
 

19
Pe schema de mai sus se pot vedea pasii care sunt urmati pentru ca un utilizator dintr-o filiala sa
poata stabili o conexiune cu reteau din centrul firmei .Au loc urmatoarele etape : 

1. 1.Utilizatorul de la distanta initiaza o conexiune PPP , are loc autentificarea CHAP ,

NAS accepta sesiunea.
2. 2.NAS identifica utilizatorul.
3. 3.NAS initiaza tunelul criptat L2F intre el si siteul principal al firmei ( mai exact
routerul care are rol de gateway ).
4. 4.Routerul firmei autentifica acel utilizator si daca este acceptat atunci aproba
tunelul cu NAS.
5. 5.Routerul gateway confirma acceptare sesiunii si a tunelului L2F.
6. 6.NAS face un fisier de log pe care il inregistreaza.
7. 7.Gatewayul si utilizatorul incep negocierile PPP ( LCP , NCP , se poate acorda o
adresa IP prin DHCP ).
8. 8.Tunelul intre utilizator si firma este realizat pe deplin si se pot schimba in
siguranta datele .

20