Tuyển tập các bài viết về PPP PAP/CHAP: rất hay! [Archive]

ccie11285

21-06-2003, 11:22 AM

Em xin bổ sung một số ý kiến như sau:

Khi cấu hình CHAP:

R1----------------------R2

Mỗi đầu phải có khai báo username và password, username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname"

Quá trình diễn ra xác thực bằng CHAP như sau:

R1:
hostname R1

username R2 password cisco

R2:
hostname R2

username R1 password cisco
username R3 password cisco1

1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa password (ở đây là cisco), nhưng ko gửi password này đi

2. R2 check danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1)

3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa password tương ứng với username đó (ở đây password là cisco)

4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công.

Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa.

Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh:
"ppp chap hostname <username khai bao ben DV2>"

Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"

Correct me if I'm wrong

Thu Trang

PS: Xin lỗi anh Phong nha vì đã mượn tạm account của anh

tkvmai

22-06-2003, 06:40 PM

Mình xin sửa lại một chút về cách kiểm tra username và pass của chap:

R1 quay số vào R2:

1. R2 gửi một message yêu cầu R1 gửi username và password, message do R2 gửi có chứa một số ngẫu nhiên đề làm đầu vào cho thuật toán mã hoá hashing.
2. R1 nhận được msg yêu cầu của R2, nó sẽ sử dụng thuật toán hashing với input là R1's username, password và số ngẫu nhiên vừa nhận được để tính toán ra một giá trị nào đó và gửi đến R2.
3. R2 cũng làm tương tự với 3 đầu vào như trên và so sánh kết quả thu được với giá trị mà R1 gửi.
4. Nếu 2 giá trị giống nhau: Go...

Điểm mình muốn correct trong bài của Thu Trang là cả username và pass đều mã hoá trước khi gửi đi chứ không chỉ pass.

apprentice

25-06-2003, 02:33 PM

tkvmai

25-06-2003, 07:11 PM

Anh chỉ biết nó dùng MD5 hash algorithm. Còn cơ chế hoạt động thế nào thì chắc em phải tìm đọc về MD5, anh cũng không biết chi tiết.

Mikami

25-06-2003, 09:35 PM

Bên box CCNP có 1 topic về MD5 , bạn có thể qua đó coi.

Thân

tranhungphong

26-06-2003, 09:26 AM

PAP và CHAP là gì vậy? nó dùng cho việc gi? :?:

Mikami

26-06-2003, 10:22 PM

PAP : Password Authentication Protocol : 1 giao thức để kiểm tra đăng nhập giữa các thiết bị đầu cuối ( Router - Router , Modem - Router ,.......)

Phương thức hoạt động : 2 way handshake ( bắt tay 2 chiều ) :

send username/password
Client ------------------------------------------> Server

Accept / Reject
<-----------------------------------------

Password gửi dưới dạng Clear Text ----> nên có thể bị nhận diện

CHAP : Challenge Handshake Authentication Protocol : cũng là 1 giao thức kiểm tra đăng nhập , nhưng có tính security cao hơn

Phương thức hoạt động : 3 ways handshake : ( bắt tay 3 chiều )

Challenge
Client <-------------------------------- Server

Respone
------------------------------->

Accept/ Reject
<--------------------------------

Password đuợc encrypt nên có tính bảo mật cao hơn

Bạn có thễ vào mục CẤU HÌNH PAP CHAP để biết thêm

THÂN

enickname

25-07-2003, 10:31 AM

PAP/CHAP như bạn MIKAMI giải thích cũng gần đủ. Tuy nhiên cần phải nói thêm là CHAP mang tính challenge, còn PAP thì không.
Khi config router nếu dùng PAP thì có trường hợp hai bên đều config đúng nhưng mạng vẫn không chạy. Nguyên nhân là vì: PAP chỉ gửi username, password đúng một lần khi interface up. khi đó nếu bên kia config chưa xong thì Line vẫn down. Cách đơn giản để giải quyết là shut cả hai interface rồi no shut cùng một lúc. CHAP không gặp hiện tượng này.

Các bạn có thể đọc thêm thông tin về PAP/CHAP ở semester4 CCNA.

happy study!!!

South

25-07-2003, 12:58 PM

Các bạn Mikami và enickname đã giải thích đầy đủ, mình thêm 1 chút nhé!
So với PAP thì CHAP có độ an toàn cao hơn vì
+ PAP :
- gửi username và password trên mạng và password được gửi là clear-text ( không mã hóa)
- chỉ gửi 1 lần trên để kiểm tra khi thiết lập connection
+ CHAP
- gửi authentication name (mặc định là hostname của router)
- password được hash bằng MD5, password này không thể giải mã lại được.
- authentication name và password đã mã hóa được gửi trên mạng khi thiết lập connection và tiếp tục gửi để kiểm tra sau mỗi 2 phút.

lee

29-08-2003, 03:19 PM

đệ đang đọc về PPP,và cho đệ hỏi trong các option của PPP có compression và authentication ,authentication để bảo mật và đệ cũng có hiểu sơ sơ về PAP và CHAP,nhưng không hiểu lắm về phương thức hoạt động của CHAP:remote device khi muốn truy cập vào local router thì local router sẽ gửi 1 "challenge" request nhưng trong đó gồm những thông tin gì ,và response của remote thì đệ thấy có chứa name của người dùng trên remote vậy là sao?username và password trên bản response là username password để vào local router phải không?cấu hình trên local router ra sao????Help me pleasssseeee

Mikami

29-08-2003, 11:17 PM

Mời bạn coi 2 link này , có đầy đủ những thông tin liên quan đến PPP PAP CHAP

http://www.vnpro.org/forum/viewtopic.php?t=1005
http://www.vnpro.org/forum/viewtopic.php?t=364

thienan

16-10-2003, 11:17 AM

Các anh chị ơi cho em hỏi: PAP và CHAP
Pap và Chap co nhất thiết phải cấu hình trên 2 router nối với nhau kô? Một router dùng authentication có được kô? có trục trặc về vấn đề routing kô? LCP sẽ hoạt động như thế nào?

MoonLight

16-10-2003, 03:33 PM

Chào thienan
Vấn đề là bạn có muốc thực hiện quá trình authentication trên 2 router nối với nhau không? nếu muốn thực hiện quá trình authentication thì nhất thiết phải cấu hình trên cả 2 interface cua 2 router nối với nhau.
Quá trình authentication xảy ra ở cả 2 router nối với nhau, Ví dụ RouterA và RouterB nhận thực lân nhau thì quá trình xảy ra nhau sau: RouterA gởi username và passworsd của RouterB đến RouterB, RouterB sẽ kiểm tra username và password này có đúng của mình không. Và Ngược lài RouterB cũng gởi Username và password của routerA đến RouterA. Khi cả RouterA và RouterB authentication hoàn thành thì mới hoạt động được. Nên theo tôi thi phải authentication cho cả 2 router. Nếu authentication cho 1 router thi Ping sẽ không thấy nhau.
Bạn có thể xem thêm sách về CCNA về phần WAN để hiểu thêm.

1'hpSky

16-10-2003, 06:03 PM

Đây là câu hỏi cũ trong diễn đàn, thienan xem link này nhé.

http://www.vnpro.org/forum/viewtopic.php?t=364

Thân

it_email

12-11-2003, 12:45 PM

Authentication trong CHAP:
-Source gửi usename của nó tới destination(ko có password)
-Destination gửi lại một message gọi là challenger với các thông tin sau:
+Router ID:01 cho challenger message,02 cho challenger reply,03 cho PPP connnection,04 cho việc deny kết nối PPP.
+ID:là một sequence number dùng phân biệt cho các qúa trình authentication khác nhau.
+Random number: giá trị ngẫu nhiên trong MD5 .
+Router name: tên của destination để source tìm đúng password (lưu trong hash value)được sử dụng trong authentication.
-Source gửi lại password và hash value cho destination.
-Nếu destination kiểm tra mọi thứ đều đúng nó sẽ accept,ngược lại sẽ deny.
It_email hiểu vậy ko biết có sai sót gì ko?Mọi người giúp mình với.

12-11-2003, 01:17 PM

Chào bạn, xem chi tiết cách hoạt động CHAP trong box CCNALabPro tập 2:

http://vnpro.org/forum/viewtopic.php?p=13135#13135

:D

TageOniR

25-11-2003, 06:18 AM

Chào các bạn ,cho mình hỏi cái này về CHAP một tí xíu :
- Mình nghĩ thế này, giả sử mình muốn CHAP giữa router A và router B ( B đóng vai trò như remote router ) Sau khi thiết lập kết nối bằng cách gửi LCP , router A gửi một challenge qua cho Router B.
+ Ở chế đô mặc định , router A sẽ lấy hostname làm challenge , khi đó router B sẽ lấy giá trị hostname ( tức là challenge luôn ) của router A làm giá trị username . Lúc này thì giống hệt như PAP , việc gửi challenge mình thấy đâu có còn tác dụng nhiều nữa .
Trong trường hợp tổng quát :
+ Khi nhận challenge từ router A , tại sao router B lại dò trong bảng username của nó để tìm password( Sách VNLab Pro Vol II , step 3 trong phần CHAP). Mình nghĩ khi gửi challenge qua cho router B , nó không mang hàm ý chứng nhận , nó chỉ là 1 cái khóa cung cấp cho router B để mã hóa.Trên router B ,mình có thể định nghĩa các thông số trong việc tạo ra HashCode là hostname và password bằng 2 lệnh này mà :
ppp chap hostname hostname ppp chap password password
( router A lúc đó cũng phải định nghĩa usernamehostnamepassword password )
Mình nghĩ router B không cần có user name database để tra challenge của router A trước lúc A gửi qua ?Làm sao mình định nghĩa được tập các giá trị challenge trên router A Nếu như thế , câu lệnh username username password password trên router B sẽ không còn ý nghĩa ?

+ Router B dùng challenge để mã hóa username và password hay là dùng password để mã hóa sự kết hợp challenge với username .
- Trong cuốn ICND ( p.380 ) , mình đọc thấy câu này :
“ …CHAP is used at startup of a link ,and periodically , to
verify the identity of the remote node using a 3-way handshake “
Như vậy có phải CHAP sẽ được chứng nhận lại sau một khoảng thời gian là bao nhiêu do ta định nghĩa không ? và nếu đựoc thì làm sao định nghĩa thời gian sẽ refresh lại CHAP ?Nếu có refresh lại thì có ngắt kết nối tạm thời không ( chẳng hạn đang gửi nhận dữ liệu giữa 2 router )?
Mong được hiểu kỹ về vấn đề này , cám ơn các bạn rất nhiều !

dvhaison

25-11-2003, 07:47 AM

- Hi! chào bạn TageOniR. Hình như bạn chỉ đọc mới đọc lý thuyết mà chưa có làm thực hành về phần này phải không?
- Nếu bạn đọc lý thuyết thôi thì sẽ rất là khó hiểu. Hồi đó khi học về lý thuyết mình cũng không hiểu rõ về pap và chap, có khi còn lẫn lộn giữa 2 cái. Bạn nên làm thực hành về phần này, trong lúc làm bạn "debug" nó, bạn sẽ hiểu về nó thôi. Cách chứng thực(Authenticaiton) của Pap và chap khác nhau hoàn toàn mà. Bye!

minhtit

25-11-2003, 04:24 PM

I. Trước hết điểm qua lại CHAP
Giả sử có R1 (Remote) và R-C (Center).
- TạI R1 ta có "username R-C password xyz"
- TạI R-C có "username R1 password xyz".

Quá trình diễn ra như sau:

1 – R1 quay tớI R-C, kết nốI được thực hiện
2 – R-C gửi challenge (random sequence; random number; R-C) tớI R1
3 – R1 kiểm tra và tìm được password cần thiết là xyz, sau đó dùng (random sequence; random number, xyz) để tính ra một giá trị ABC nào đó
4 – R1 gửi response về R-C (random sequence, ABC, R1). R-C kiểm tra và tìm được password xyz, sau đó dùng (random sequence; random number, xyz) để tính ra một giá trị A’B’C’ nào đó. Nếu ABC=A’B’C’ thì trả lời R1 là OK.

Quá trình trên thì chắc ai cũng rõ rồi, và nó khác hẳn PAP. Một điều cần chú ý là cả hai router đều phải tính "hashed value" dựa trên tham số (luôn thay đổi) do bên kia cung cấp và cấu hình của chính nó.

II. Vậy lệnh “ppp chap hostname” dùng để làm gì?
- Giả sử có nhiều Remote router
- Giả sử bây giờ Center có thêm Router mới (cấu hình access pool chẳng hạn), vậy ta sẽ phải làm gì. Chú ý vào bước 3 ở trên, ta thấy rằng nếu có bao nhiêu router tại Center, ta phảI có bấy nhiêu lệnh “username password” ở các remote router (thì mớI tìm được password chứ”. Vấn đề lớn: ai nói cho biết lúc nào có thêm router mới mà làm + mất công gõ lệnh

“ppp chap hostname UUU” diễn giải nôm là: (trên interface này) gửI “UUU” trong gói challenge thay vì gửi hostname của mình đến các remote router. Việc này giải quyết được vấn đề đã nêu: chỉ sử dụng một hostname ảo “UUU” làm đại diện (alias) duy nhất cho các router (trong pool) tại trung tâm ==> không phải config “username password” tại các remote router.

Tất nhiên là “ppp chap hostname UUU” sẽ phải được config trên tất cả các router trung tâm (nằm trong pool). Và may mắn là chúng ít hơn rất nhiều so với số lượng remote router.

Như vậy ý nghĩa của lệnh này khác cách hiểu của TageOniR đấy.

III. Theo như sách viết thì đúng là CHAP sẽ tự động "refresh" 2 phút / lần và sẽ không ảnh hưởng đến qúa trình khác nếu CHAP vẫn OK. Cái này bật debug lên thì chắc là thấy được ngay. Tuy nhiên mình không biết lệnh nào có thể thay đổi giá trị default. Ai biết thì post lên nhé.

TageOniR

25-11-2003, 10:03 PM

Như vậy là khi config ppp chap hostname hostname rồi thì nó đại diện cho tất cả các router ở trung tâm và không cần ( hay bắt buộc ) config username và password . OK . Nhưng vần đề chính là làm sao mình quản lý được challenge ?Nó gồm bao nhiêu bit , phát sinh từ đâu ? Trong khi làm lab , mình config ppp chap hostname hostname ở remote router.
Mình nghĩ nếu remote cũng có tập các challenge thì nó cầ gì phải là 3-way handshake ?Nó tính HashCode rồi gửi qua cho centre router để check lại là đủ rồi ?Mình không nghĩ CHAP và PAP giống nhau , chỉ muốn hiểu thật kỹ là vì sao CHAP xuất hiện và làm tốt hơn PAP những gì mà PAP không thể , và nó có thật sự tốt ?Ưu điểm , khuyết điểm .
Cám ơn các bạn rất nhiều !

TageOniR

26-11-2003, 12:42 AM

I. Trước hết điểm qua lại CHAP
II. Vậy lệnh “ppp chap hostname” dùng để làm gì?
- Giả sử có nhiều Remote router
- Giả sử bây giờ Center có thêm Router mới (cấu hình access pool chẳng hạn), vậy ta sẽ phải làm gì. Chú ý vào bước 3 ở trên, ta thấy rằng nếu có bao nhiêu router tại Center, ta phảI có bấy nhiêu lệnh “username password” ở các remote router (thì mớI tìm được password chứ

Chào anh ,
Cho em hỏi một xíu ,khi R-C gửi challenge đến cho Remote Router , vì sao nó phải check trong username database để tìm thấy password trong khi mình có thể định nghĩa password trên Remote router bằng câu lệnh :
ppp chap password password
Em cứ băn khoăn , challenge là một message dùng để cung cấp thêm cho Remote Router để mã hóa và hoàn toàn được quản lý bởi R-C chứ , R-C có thể gửi bất kỳ một challenge nào đến cho Remote Router.
Tóm lại , thế này phải không
- Trên R-C có username và password ( cho username đó )database kèm theo. Thứ hai là challenge database. Hết !
- Trên Remote Router có Hostname( dùng alias và phải match với username trên R-C ) và password database. Hết !
Mong được clear vấn đề này ,
Chào anh.

minhtit

26-11-2003, 09:55 AM

Hi,

[[“…Trong khi làm lab , mình config ppp chap hostname hostname ở remote router…”]]: tất nhiên, ở chỗ nào cũng được hết, đâu có vấn đề gì. Thay vì để gửi hostname “thực” thì gửi hostname “giả” cũng được mà. Chỉ có điều nếu gắn vào với scenario như mình đã nói ở bài trước thì lệnh này sẽ giúp giảm rất nhiều công sức

[[“…làm sao mình quản lý được challenge ?Nó gồm bao nhiêu bit , phát sinh từ đâu…”]]
Có một nguyên tắc là bên nào muốn authenticate bên kia thì bên đó sẽ gửi challenge. Độ dài của gói được quyết định bởi nhiều yếu tố (random number, kết quả của giải thuật tính toán…). Quản lý challenge chỉ là quản lý xem mình đã gửi id sequence và rundom number nào.

[[“…Mình nghĩ nếu remote cũng có tập các challenge thì nó cầ gì phải là 3-way handshake ?Nó tính HashCode rồi gửi qua cho centre router để check lại là đủ rồI…”]]
Mỗi lần challenge được gửi sẽ có cặp “id sequence / rundom number” khác nhau. Nếu bạn hiểu là có một pool các challenge sẵn có rồi chỉ việc gửi gía trị tính toán sang bên kia thôi thì không đúng (như vậy thì sẽ chẳng khác gì PAP cả, lúc nào cũng gửi giá trị giống nhau).

[[…khi R-C gửi challenge đến cho Remote Router , vì sao nó phải check trong username database để tìm thấy password…]
Nó sẽ check để tìm password khi nhận được gói response trả về từ remote router ==> vì nó cũng phải tính hashed code để so sánh.
Lệnh “ppp chap password password” thường được dùng để “nếu tớ không tìm thấy cậu trong bảng username thì tớ lấy quách cái password này dùng tạm”. Có nghĩa là nó vẫn tìm trong bảng username/password trước, nếu không thấy mới dùng đến giá trị này.

TageOniR

27-11-2003, 05:32 PM

Hey anh,
Xong rối nhưng vẫn còn thắc mắc là làm sao Set thời gian mà Router sẽ bắt tay lại . Mình phải quản lý được mấy cái khoàng này chứ .
Chào anh ,

minhtit

27-11-2003, 05:54 PM

[[..."III. Theo như sách viết thì đúng là CHAP sẽ tự động "refresh" 2 phút / lần và sẽ không ảnh hưởng đến qúa trình khác nếu CHAP vẫn OK. Cái này bật debug lên thì chắc là thấy được ngay. Tuy nhiên mình không biết lệnh nào có thể thay đổi giá trị default. Ai biết thì post lên nhé."...]]

Cái này mình cũng đang muốn biết đây. Ai chỉ giùm hộ cái.

dauquan

28-11-2003, 04:07 PM

không phải là source gởi user của nó cho destination mà, nó chỉ gởi đến một yêu cầu kết nối đến DES thôi>>
không có gởi lại pw, chỉ gởi hash thôi

inka

28-11-2003, 11:51 PM

Mô hình thực hiện Chap trên hai router R1 va R2 cấu hinh như sau
R1: R2:
Hostname R1 Hostname R2
Username R2 passworld cisco Username R1 passworld cisco
Encapsulation ppp chap Encapsulation ppp chap

* Lưu Ý: passworld thì giống nhau nhưng username của router R1 không nhất thiết phải là hostname cua R2, mặc định router sẽ dùng hostname để gửi nhưng nếu đặt username khác ví dụ tại R1 dat username là abc thì lúc đó R1 phải cấu hình thêm lệnh PPP Chap hostname abc và bên R2 phải khai username là abc

Sau đây là các bước thực hiện authentication

1. R1 thực hiện cuộc gọi vào R2 với yêu cầu chứng thực
2. LCP đuoc mở và bắt đầu thực hiện CHAP và MD5
3. Một CHAP challenge sẽ đượ R2 gửi đến cho R1
• Challenge gồm các thành phần được sắp xếp theo thứ tự như sau
1: số thứ tự của challenge, đầu tiên sẽ là O1
2: Một số ID để định nghia chanllenge (nó cho biết R2 đang noi chuyện với router nào ở đây là R1 trong truong hop có nhiều Authentication xảy ra trên R2)
3: một số ngẫu nhiên Randoom number
4: hostname cua R2

• ID và randoom number sẽ đươc R2 copy ra một bản để giữ lại

4. khi chanllenge den R1. R1 sẽ tra trong Local username and passworld database để tìm xem hostname ma R1 gửi tới trùng với username nào đã được thiết lập, trong trường hợp này là R2 từ đó biết đuoc passworld là cisco
5. R1 se lay passworld cisco cùng với ID va randoom number đưa vào thuật toán MD5 để hash, sau khi hash hoàn tất R1 gửi một Challenge gọi la MD5 hash Chap Challenge tới cho R2
• challenge này bao gồm các fied sau:
o một số thứ tự, bây giờ là 02
o một số ID giống y ID mà R2 gửi tới
o giá trị hash vừa tạo xong
o hostname cua R1
khi MD5 Hash Chap challenge này tới R2 thì R2 sẽ tra trong bảng Local Username and passworld Database de xem hostname R1 trùng với username nào đa được thiết lập và tìm ra được passworld tương ứng, ở đây là cisco

R2 sẽ lấy số ID va Randoom number đã giữ lại lúc truoc rồi cộng với passworld cisco để đưa vào MD5 hash. Sau đó no so sánh hai cái hash này, nếu thấy giống nhau thì R2 sẽ gửi một Challenge có số thứ tư là 03 + ID + “Wellcome to R2” toi R1 để báo việc chứng thực đã hoàn tất
•neu challenge này có số thứ tự là 04 thì có nghĩa việc chúng thực đã sai tức là hai gia trị hash không giống nhau.

mình biết đã có nhiều bài viết vể CHAP rồi Nhưng minh viết tiếp để bannào tự học có thể hiểu chi tiết hơn vể cách hoạt động của va nhu moi nguoi: CORRECT ME IF ME WRONG

it_email

30-11-2003, 01:45 PM

uhm!
Mình đã xem chi tiết các bước của Chap rồi.source gửi yêu cầu kết nối hash để destination so sánh.

sinhvienngheo

01-12-2003, 01:49 PM

anh minhtit và tageorIR:

Đặc tính của PPP là theo sessions. Pha LCP được thiết lập ok thì sẽ chuyển qua NCP. LCP chỉ đi qua một lần cho mỗi session.

Vấn đề timers trong PPP nếu có, được giải quyết dùng để thay đổi thời gian active của một kết nối PPP. Có hai cách thực hiện:

Dùng dialer idle-timeout
Dùng ppp idle-timeout.

Cú pháp để thay đổi cho ppp idle timeout là

ppp timeout idle (template)

To set PPP idle timeout parameters on a virtual template interface, use the ppp timeout idle command in interface configuration mode. To reset the time value, use the no form of this command.

ppp timeout idle time
no ppp timeout idle time

Hy vọng là những thông tin trên giúp ích cho hai anh.

Chúc hai anh thành công,

minhtit

01-12-2003, 02:21 PM

Cảm ơn svn nhiều,

Nhưng mình đang muốn hỏi về timer cuả CHAP. Những lệnh svn đề cập đến là cho NCP rồi. Mình đọc cái này ở Cisco Press: "...CHAP also repeats a challenge every two minutes for the duration of the connection. If the authentication fails at any time, the connection is terminated....". Không liên quan gì đến "idle timeout" cả.

Check lại hộ nhé.

inka

01-12-2003, 06:20 PM

[[“…Mình nghĩ nếu remote cũng có tập các challenge thì nó cầ gì phải là 3-way handshake ?Nó tính HashCode rồi gửi qua cho centre router để check lại là đủ rồI…”]]
[[...Mỗi lần challenge được gửi sẽ có cặp “id sequence / rundom number” khác nhau. Nếu bạn hiểu là có một pool các challenge sẵn có rồi chỉ việc gửi gía trị tính toán sang bên kia thôi thì không đúng (như vậy thì sẽ chẳng khác gì PAP cả, lúc nào cũng gửi giá trị giống nhau)....]]

Mình xin mạn phép có một đính chính với bạn minhtit nhu sau:
thứ nhất: ID number trong challenge là không thay đổi vì nó cho biết đây là phiên chứng thực giữa hai router nào
thứ hai: (trong trường hợp R1 quay số tới R2) thì ban đầu R2 gửi challenge trong đó có Randoom number và đồng thời sẽ giữ lại một bản copy của số randoom number và ID number tại R2 để đưa vào hash chứ nó không nhận từ R1 số Randoom number nào) do đó hai giá trị ID và Randoom number là hoàn toàn giống nhau không khác nhau
Mình đã có một bài viết khá chi tiết về CHAP co tua dề la " CHAP CHI TIET NE CAC CAU" http://www.vnpro.org/forum/viewtopic.php?t=2712
cac ban co the tham khao

TageOniR

01-12-2003, 08:06 PM

Chào bạn inka ,
Bạn inka hiểu nhầm ý của anh minhtit rồi , ý anh ấy nói là các phiên chứng thực khác nhau thì có số Random khác nhau và ID khác nhau.

Cái số ID Sequence /random number này có bao nhiều bit vậy . Nếu giá trị này chỉ hữu hạn ( ít thôi , khoảng vài trăm ) thì sau một thời gian sẽ trùng lại . Như thế có điều gì xảy ra không ?Mình nghĩ phải có khác nhau giữa các phien chứng thực để lỡ khi có sự cố xảy ra , mình có thể biết được xảy ra trong phiên nào ( số ID/random nào ) để fix và truy ra ai giả mạo hay cái gì đó .
Mình sẽ đọc thêm về cái timeout của bạn sinhvienngheo đưa ra . Cái thời gian 2 phút đề cập ở đây là thời gian sẽ refresh lại toàn bộ quá trình chứng thực giữa 2 router , gồm cả LCP , authentication , NCP luôn !
Thân mến chào các bạn !

inka

01-12-2003, 08:52 PM

bao nhiêu bít thì mình cũng không rõ lắm nhưng theo thiển ý của tại hạ thì chắc không đến nỗi nào vì việc chứng thực này thường xảy ra giữa kết nối PPP mà một router thì cũng đâu có nối trực tiếp cả trăm cái đâu hihi

emThuy

12-08-2004, 10:35 AM

Mình chỉ thấy mọi người nói về PAP và CHAP cùng loại cho cả hai đầu link. Hãy thử nói về trường hợp sau nhé:

RT1 (CHAP server) -------PAP----> RT2 (PAP server)

Và

RT1 (CHAP server) <------CHAP----- RT2 (PAP server)

Hãy thử xem trường hợp trên có gì giống và khác với những gì mọi người bàn luân.

SP: Câu trả lời hồi sau sẽ biết....

VoThanhDuy

12-08-2004, 11:47 AM

chào em,

Nếu trong cấu hình xác thực của PPP, một bên dùng CHAP, một bên dùng PAP, đơn giản là LCP không thể bắt tay được với nhau. Kết quả là PPP session không thể được thiết lâp.

Hay là em muốn đề cập đến xác thực một chiều? (option callin?)

cám ơn,

emThuy

14-08-2004, 01:21 PM

Dạ đúng đấy anh Duy ạ. Chỉ có thể là xác thực một chiều thôi chứ làm sao mà lại hai chiều đươc. Với anh thì bài toán này là đơn sờ giản nhưng với những ai mới đọc PPP thì đọc song chắc nghọ ra nhiều điều đấy.
Nó cũng cho thấy là mặc kệ thằng "client" mày thíc dùng cái gì cũng được, miễn là mày đủ quyền truy nhâp.
Cũng xin hỏi thêm là đã bác nào dùng lệnh này chưa:
ppp authentication pap chap
ppp authentication chap pap

changchancuucodon

15-08-2004, 12:46 AM

lệnh ppp authentication pap chap có ý nghĩa là

hãy thử xác thực bằng pap trước, nếu không xác thực được, hãy chuyển sang dùng chap.

emThuy

15-08-2004, 12:17 PM

changchancuucodon ơi, nếu anh có bộ LAB, hãy làm lệnh trên nhé, nhớ Debug và gửi lên topic này để mọi người cùng thấy nhé.

31-07-2005, 10:20 AM

@quoctrang:
bác cho em hỏi, trong cái guide bác p0st e thấy có lệnh
ppp chap password cisco -> trong IOS của cisco có lệnh này k0?? em tìm g00gle nhưng không thấy??

Vấn đề chốt lại là password ở các router phải giống nhau, vì các packet 2 bên gửi thì hashing number ở đây đều là md5(password).
Em có thử cái vụ này trên netsimv6 nhưng k0 đúng password, interrface (status và protocol) vẫn UP ??? trong bài lab guide của nó cũng viết là sai password vẫn work??
Không hiểu có phải là lỗi hay là em nhầm? Mong các bác chỉ giáo

trung tam kn

31-07-2005, 05:33 PM

tôi nghĩ rằng phần mềm SIM đã sai trong trường hợp này.

Ngoài ra, mời các anh thảo luận tiếp vấn đề do "nm" đưa ra: khi nào thì dùng lệnh
#ppp chap password xxxxx

Lệnh ppp chap hostname thì tôi hiểu rồi. lệnh này sẽ chỉ ra hostname nào sẽ được dùng trong quá trình xác thực. Vậy còn lệnh ppp chap password?

shmilt24

12-11-2005, 09:14 PM

LCP và NCP là gì vậy ?. Nó có chức năng như thế nào?. Mình vẫn chưa hiểu rõ. Các bạn có thể giải thích giúp mình?

ciscau

17-11-2005, 12:20 PM

Theo minh ppp chap password co nghia la minh dung password khac voi password default ma Router dung

vietteen

18-11-2005, 08:15 PM

Bac nao co gia lap ve Recover pass cua router o ?

kissssss

15-05-2006, 04:09 PM

Kissssss tôi vừa setup một line backup giữa chi nhánh và trung tâm thông qua dialup, interface dialup này sẽ quan sát interface leaseline, nếu interface leaseline down (vì lý do đứt cáp, isp sửa chữa thiết bị...) thì dialup line backup sẽ auto connect, sau đó nếu leaseline up trở lại thì dialup line sẽ auto disconnect. Dialup line này dùng chap. Mọi thử nghiệm về khả năng auto đều cho kết quả mong muốn, chiều kết nối là từ chi nhánh về trung tâm, chi nhánh không có IT, Kissssss phải test trên trung tâm.

Tuy nhiên.....một tháng sau........chi nhánh fax về trung tâm một danh sách mười mấy trang giấy thông báo cước phí quay số liên tỉnh (toi mạng Kissssss rồi). Các cuộc quay số đều cách nhau từ 2,5 đến 3,5 phút, theo quan sát modem trên trung tâm thì có vẻ như các cuộc quay số đều kết thúc rất nhanh, vì modem trên trung tâm không reo (nếu có quay số tới) mà hóa đơn của bưu điện có vấn đề??? Kết luận, có lẽ cấu hình mà Kissssss đưa ra còn thiếu lệnh gì đó??? suy diễn: dialup line không kiểm tra status của liease line trước khi nó connect tới trung tâm, chỉ khi nó connect rồi mới test status của lease line...do đó mới...toi Kissssss.

Xin các tiền bối chỉ giáo.

tina

09-07-2006, 10:35 AM

khi 1 router o mode callin,nghia la no la nha cung cap ,con 1 router la khach hang thi viec xac thuc co phai la o ca 2 chieu khong hay chi la tu nha cung cap ?

tina

09-07-2006, 10:40 AM

các huynh có thể giúp muội phân biệt giữa các lọai mạng
broadcast multiaccess
nonbroadcast multiaccess
nonbroadcast multipoint

dangquangminh

09-07-2006, 11:00 PM

LCP và NCP là gì vậy ?. Nó có chức năng như thế nào?. Mình vẫn chưa hiểu rõ. Các bạn có thể giải thích giúp mình?

Giao thức kiểm soát đường truyền LCP (PPP Link Control Protocol)

Chuẩn PPP có thể chia ra thành hai nhóm lớn, một nhóm bao gồm các đặc điểm không liên quan đến bất kỳ giao thức lớp 3 nào và một nhóm gồm các đặc điểm liên quan đến giao thức lớp 3. Giao thức LCP kiểm soát các đặc điểm độc lập với bất kỳ giao thức lớp 3 nào. Đối với từng giao thức lớp 3 mà PPP hỗ trợ, PPP sẽ định nghĩa giao thức kiểm soát mạng Network Control Protocol (NCP).

Ví dụ, giao thức PPP IPCP định nghĩa các đặc điểm PPP cho IP, chẳng hạn như cấp phát địa chỉ động. Ví dụ, khi đường truyền dùng PPP được bật lên lần đầu tiên, router sẽ kiểm tra các chân CTS, DSR và DCD ở lớp vật lý. LCP bắt đầu bắt tay các thông số với đầu bên kia của kết nối.

Một ví dụ khác là LCP sẽ kiểm soát tiến trình bắt tay của các phương thức xác thực, thứ tự bắt tay và sau đó cho phép giao thức xác thực, chẳng hạn như CHAP hoặc PAP. Khi tất cả các bước nêu trên thành công, LCP sẽ được xem như là “up”. Ở thời điểm đó, PPP bắt đầu giao thức lớp 3.

Các đặc điểm chủ chốt của LCP

Giám sát chất lượng đường truyền (LQM)
LCP trao đổi các thông tin thống kê về tỉ lệ phần trăm của frame nhận được mà không bị lỗi. Nếu tỉ lệ phần trăm dưới một giá trị đã cấu hình, đường truyền sẽ bị rớt.

Phát hiện đường truyền bị lặp (Looped link Detection)
Mỗi router tạo ra ngẫu nhiên một số ngẫu nhiên (magic number) và sau đó gửi số này trên đường truyền. Nếu router nhận được chỉ số magic của chính nó, đường truyền đã bị lặp và có thể bị rớt.

Cân bằng tải ở lớp 2
MLP cân bằng lưu lượng bằng cách chia frame ra thành phân mảnh để truyền trên kết nối riêng biệt

Xác thực
Hỗ trợ PAP/CHAP

dangquangminh

12-07-2006, 07:27 AM

Cấu hình LCP/PPP cơ bản

PPP có thể được cấu hình với số dòng lệnh tối thiểu, yêu chỉ cần lệnh encapsulation ppp trên mỗi router ở hai đầu đường truyền. Ví dụ dưới đây mô tả một cấu hình đơn giản với các tùy chọn LQM và xác thực CHAP. Đối với cấu hình này, R3 và R4 kết nối với nhau qua cổng S0/1/0.

Đầu tiên là cấu hình R3. Thông tin người dùng và mật khẩu có thể lưu trong máy chủ AAA. Cấu hình ở đây dùng username/password lưu trong cục bộ. Router kia (R4) gửi tên của nó “R4” với R3 đang được cấu hình bằng tên người dùng và mật khẩu đó.

username R4 password 0 rom838
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Tỉ lệ phần trăm LQM được gán bằng lệnh ppp quality. CHAP đơn giản chỉ cần được bật lên, trong đó router này sẽ dùng tên của router kia trong quá trình xác thực dùng CHAP.

interface Serial0/1/0
ip address 10.1.34.3 255.255.255.0
encapsulation ppp
ppp quality 80
ppp authentication chap

username R3 password 0 rom838
!
interface Serial0/1/
ip address 10.1.34.4 255.255.255.0
encapsulation ppp
ppp quality 70
ppp authetication chap

Kế tiếp trên R3, lệnh show hiển thị cụm từ “LCP Open”, chỉ ra rằng LCP đã hoàn tất quá trình bắt tay. Trên dòng kế tiếp, hai giao thức NCP là CDPCP và IPCP được hiển thị.

R3# show int s0/1/0
Serial0/1/0 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 10.1.34.3/24
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, LCP Open
Open: CDPCP, IPCP, loopback not set
Keepalive set (10 sec)

Kết quả của lệnh debug dưới đây đã được bỏ bớt vài chổ. Sau khi lệnh debug ppp negotiation được thực thi, ta thực hiện lệnh shut/no shut trên cổng của router. Kết quả được phân tích như dưới đây.

Thông điệp đầu tiên chỉ ra một yêu cầu cấu hình, trong đó CHAP là giao thức xác thực và LQM sẽ được dùng. Chỉ số magic number được dùng để chống lặp trên đường truyền.

*Apr 11 14:48:14.795: Se0/1/0 PPP: Phase is ESTABLISHING, Active Open
*Apr 11 14:48:14.795: Se0/1/0 LCP: O CONFREQ [Closed] id 186 len 23
*Apr 11 14:48:14.795: Se0/1/0 LCP: AuthProto CHAP (0x0305C22305)
*Apr 11 14:48:14.795: Se0/1/0 LCP: QualityType 0xC025 period 1000 (0x0408C025000003E8)
*Apr 11 14:48:14.795: Se0/1/0 LCP: MagicNumber 0x13403093 (0x050613403093)
*Apr 11 14:48:14.807: Se0/1/0 LCP: State is Open

Sau khi LCP hoàn tất, tiến trình xác thực sẽ diễn ra kế tiếp. Trong phần dưới đây, thông điệp thách thức challenge được gửi ra bởi cả hai chiều. Ký tự O có nghĩa là thông điệp được gửi theo chiều ra, “I” có nghĩa là thông điệp được gửi theo chiều vào. Sau đó, router sẽ nhận thông điệp trả lời. Cuối cùng thông điệp xác nhận sẽ được gửi (“success”). Chú ý rằng ở trạng thái mặc định, tiến trình xảy ra cả hai chiều.

*Apr 11 14:48:14.807: Se0/1/0 PPP: Phase is AUTHENTICATING, by both
*Apr 11 14:48:14.807: Se0/1/0 CHAP: O CHALLENGE id 85 len 23 from "R3"
*Apr 11 14:48:14.811: Se0/1/0 CHAP: I CHALLENGE id 41 len 23 from "R4"
*Apr 11 14:48:14.811: Se0/1/0 CHAP: Using hostname from unknown source
*Apr 11 14:48:14.811: Se0/1/0 CHAP: Using password from AAA
*Apr 11 14:48:14.811: Se0/1/0 CHAP: O RESPONSE id 41 len 23 from "R3"
*Apr 11 14:48:14.815: Se0/1/0 CHAP: I RESPONSE id 85 len 23 from "R4"
*Apr 11 14:48:14.819: Se0/1/0 CHAP: O SUCCESS id 85 len 4
*Apr 11 14:48:14.823: Se0/1/0 CHAP: I SUCCESS id 41 len 4
*Apr 11 14:48:14.823: Se0/1/0 PPP: Phase is UP

hero_zero

15-10-2007, 10:10 AM

Cho mình hỏi khi nào thì cấu hình PAP cho 2 router kết nối với nhau trong thực tế ?sau khi cấu hình PAP kết nối rồi thì mình phải cấu hình routing cho 2 router route mạng với nhau phải không ạ ?

dangquangminh

15-10-2007, 10:57 PM

Cấu hình PAP nằm ở lớp 2. Khi cấu hình lớp 2 cho đường truyền ok rồi thì bạn mới cấu hình routing (layer 3) được.

trainingit

15-10-2007, 11:33 PM

Hi all
các anh đã biết lúc R1 gởi username và password đã được mã hoá , vậy giải thuật dùng để mã hoá này là gì không ? ( đối với router cisco only)
và cách truyền nhận này giống cơ chế bảo mật dùng SSL ( secure socket layer ) không ?
mong trả lời của các anh

chap là quá trình bắt tay 3 bước, có mã hóa dùng MD5.

MD5 (Message Digest 5) là thuật toán mã hóa thông điệp, mã hóa là gần như một chiều, từ một chuỗi nào đó mã hóa thành 1 chuỗi hash, rất khó để giải mã được theo chiều ngược lại.

thuật toán MD5 thì em thấy khó hiểu, cả về thuật toán và thuật giải, các bác ngó qua chút

http://vi.wikipedia.org/wiki/MD5

:D

Nếu 2 router R1 và R2 xác thực bằng MD5 thì R1 và R2 đều tính ra một giá trị hash nào đó và so sánh 2 giá trị này với nhau, nếu 2 giá trị giống nhau thì kết nối được thiết lập, còn nếu khác nhau thì kết nối bị hủy bỏ.

Quá trình xác thực : giả sử router R1 muốn xác thực vởi router R2 bằng chap, 2 router đã cấu hình sẵn password giống nhau.

R1 gửi một thông điệp thử thách (gọi là challenge) cho R2, R2 sử dụng thông điệp này kết hợp với password đã cấu hình tạo ra thông điệp trả lời bằng thuật toán MD5, sau đó gửi lại thông điệp này (password + message challenge) cho R1, R1 dùng thông điệp nhận được để tìm ra message challenge, nếu giá trị này giống giá trị thông điệp thử thách ban đầu thì quá trình xác minh được chấp nhận (thông điệp thử thách ban đầu giống nhau vì password cấu hình trên 2 router là giống nhau)

thông điệp thử thách (message challenge) là khác nhau và ngẫu nhiên giữa các lần gửi, thông điệp thử thách và trả lời trong quá trình xác thực cũng khác nhau, do đó độ an toàn cao và bảo mật cao, khó có thể đoán được mật khẩu nếu dùng phương thức xác thực bằng CHAP.

:X:X:):)

hoangtung115

25-03-2008, 09:50 AM

làm ơn giúp mình với, minh cấu hình PAP với chương trinh Dynamips nhưng sao nó không chạy. Mình đã dò hết tất cả các lỗi rồi nhưng nó vẫn không chạy là sao.

tranmyphuc

25-03-2008, 10:12 AM

làm ơn giúp mình với, minh cấu hình PAP với chương trinh Dynamips nhưng sao nó không chạy. Mình đã dò hết tất cả các lỗi rồi nhưng nó vẫn không chạy là sao.

Chào!!!
Bạn vui lòng up cấu hình chi tiết + mô hình lên đây được không (file .net cung được)

chúc bạn vui !!!

trainingit

25-03-2008, 10:14 AM

làm ơn giúp mình với, minh cấu hình PAP với chương trinh Dynamips nhưng sao nó không chạy. Mình đã dò hết tất cả các lỗi rồi nhưng nó vẫn không chạy là sao.

- bạn cấu hình lab bằng Boson hay Dynagen, bạn có thể post cái cấu hình lên ko,

- có thể kiểm tra từ layer 1 đến 3, dùng lệnh show interface int-type để kiểm tra Interface đó là up hay down (Serial Physical Interface và Line Protocol)

+ nếu Int và Protocol cùng down : lỗi ở layer 1
+ nếu Int up và Protocol down : lỗi ở layer 2
+ nếu Int và Protocol cùng up : chỉ kiểm tra ở layer 3 (như cấu hình địa chỉ IP và xác thực username, password đã đúng chưa)

Bạn chú ý rằng khi cấu hình xác thực với PAP, CHAP thì username chính là hostname của Router mà router đó kết nối tới, bạn có thể dùng lệnh debug cho ppp để kiểm tra lại quá trình xác thực giữa 2 router.