Bài lab này trình bày cách cấu hình PAP, trên ISDN
Cũng trở lại vấn đề PAP trong box CCNA Lab vol.1, yêu cầu ở đây chỉ chứng thực PAP 1 chiều unidirectional, Với kiểu xác thực unidirectional, chỉ có phía nhận cuộc gọi tiến hành xác thực phía gọi vào mà không cần quá trình xác thực ngược lại:

http://www.vnpro.org/forum/download.php?id=218

Yêu cầu:
Thực hiện chứng thực PAP unidirectional trên ISDN:
- Client chỉ PAP authenticate cho các cuộc gọi đến, không xác thực outgoing calls.
- Server có local database: Username và Password để xác nhận phía gọi đến.

Theo cách giải quyết của bài trong cuốn CCNALab2 là tại client có thêm từ khoá ppp direct callin, nhưng mình không hiểu lắm về lab này. Các bạn có thể giải thích rõ?

Tại Client thực hiện cấu hình thông thường, tuy nhiên chỉ lưu ý lúc bật authentication có thêm tham số như sau:


ppp authentication pap callin


- Chỉ dùng PAP Authentication cho các cuộc gọi đến.
- trong đó với từ khóa callin, PPP họat động ở chế độ unidirectional oneway.


Xem chỉ dẫn thêm ở mục này:
http://www.vnpro.org/forum/viewtopic.php?t=153

nuoctra:
-------------------------------------------------------------------------------
Còn nếu nói trong môi trường thực tế, đặc biệt là ở Việt Nam ta, cấu hình ppp authentication chap chủ yếu được dùng trong môi trường Enterprise thôi, ví dụ như DDR, Dial-up backup cho LL or FR. Còn authentication pap thì chủ yếu dành cho router làm remote access server.

Còn nếu kết nối vào ISP, thì thông thường là chỉ dùng PAP thôi, hoặc chap một chiều (ISP router sẽ challenge remote router for chap authenticate với mình, vì lúc này user sẽ được chứng thực bởi Radius server) và ngược lại remote access server sẽ không được đòi hỏi ISP router chứng thực với mình, vì ISP router phục vụ cho PUBLIC mà, đâu chỉ cuûa riêng ai.

Do vậy, nếu như bạn muốn cấu hình một router kết nối với ISP router, trước hết bạn phải biết ISP router đang dùng phương thức authentication nào? bằng cách turn on "debug ppp auth" thì bạn sẽ biết ngay. Lúc đó mình chỉ cần gơui user để chứng thực theo PAP or CHAP thôi, tuyệt đối không được bắt ISP router chứng thực với mình, ok! nhưng trong trường hợp router của mình cũng support cho các site khác dial-up vào thì sao? lúc đó thì mình phải turn on "ppp auth chap callin"
-------------------------------------------------------------------------------


:D

Đối với CHAP, hoạt động theo kiểu 3 way- Habdshaking.

Phương pháp này an toàn hơn PAP. Server mà được truy cập vào gửi 1 challenge message đến remote client sau khi liên kết PPP được thiết lập . Remote client sẽ trả lời giá trị mà đã được tính toán bằng hàm "băm" one-way hash (mặc định là MD5). Router được truy cập kiểm tra câu trả lời đó nếu đúng thì việc authentication hoàn thành, ngược lại thì sẽ ngắt kết nối.

Cũng xét lại mô hình như trên:

PPP - CHAP (http://vnpro.org/forum/download.php?id=218)


Các bước sau sẽ diển ra khi R1 khởi tạo cuộc gọi:

1. Router 1 khởi tạo cuộc gọi.

2. Router 2 nhận cuộc gọi và gửi challenges bắt đầu quá trình xác thực. Ở chế độ mặc định router sẽ lấy hostname làm challenges, tuy nhiên khi được cấu hình ppp chap hostname name, router sẽ dùng tên thay thế (name) cho quá trình xác thực.

3. Router 1 nhận challenges từ Router 2 xác nhận username "r2" trong local Username Database

4. Router 1 tìm thấy password cisco tương ứng với username "r2" và sử dụng password này cùng với challenges do Router 2 gửi tới để tính ra Hash Code theo giải thụat MD5.

5. Router 1 gửi hash Code đến Router 2. Trong trường hợp này cả 2 Router đều sử dụng "alias-r1" trong quá trình tạo và so sánh Hash Code

6. Router 2 nhận Hash Code đồng thời tìm kiếm password tương ứng trong local username database.

7. Sau khi tìm được password cisco tương ứng với username "alias-r1", Router 2 sử dụng password và challenge đã gửi cho Router 1 để tính Hash Code.

8. Router 2 so sánh kết quả với HashCode nhận được từ Router 1

9. Nếu các thông số username và password đồng nhất, các HashCode sẽ giống nhau và quá trình xác thực hòan tất

Các quá trình trên tóm tắt lại theo sơ đồ sau:

http://vnpro.org/forum/download.php?id=248


Trở lại, cách cấu hình CHAP, điểm lưu ý gởi username và password thay thế bằng các lệnh:
ppp chap hostname name
ppp chap password password




:D