Tuyển tập các bài viết về PPP PAP/CHAP: rất hay!

[Mikami]

* PAP :
R1------------------R2

+ R1 :
#conf t
#hostname R1
#username R2 password cisco
(lệnh này có ý nghĩa tạo 1 cặp username và password để khi R2 gửi đến thì so sánh để authen)
#int s0
#ip add.........
#encapsulation PPP
#ppp authentication pap ( chọn kiểu authen là pap )
#ppp pap sent-username R1 password cisco
(lệnh này có ý nghĩa là mình gửi cặp username password của chính mình đến router R2 đê authen )
#clock rate.......(nếu là DCE)
#no shut

+R2 :
#conf t
#hostname R2
#username R1 pass cisco
#int s0
#ip add
#encapsulation PPP
#PPP authentication pap
#ppp pap sent-username R2 pass cisco
#no shut

( Cấu hình CHAP mình se post vào các ngày tới )

[quoctrang]

Để mình tiếp chiêu Mikami nhé :
Cấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau như trong cấu hình PAP
+ Cấu hình R1 :
#conf t
#hostname R1
#username R2 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R1
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start

+ cấu hình R2 :
#conf t
#hostname R2
#username R1 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R2
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start

[ccie11285]

Em xin bổ sung một số ý kiến như sau:

Khi cấu hình CHAP:

R1----------------------R2

Mỗi đầu phải có khai báo username và password, username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname"

Quá trình diễn ra xác thực bằng CHAP như sau:

R1:
hostname R1

username R2 password cisco

R2:
hostname R2

username R1 password cisco
username R3 password cisco1

1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa password (ở đây là cisco), nhưng ko gửi password này đi

2. R2 check danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1)

3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa password tương ứng với username đó (ở đây password là cisco)

4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công.

Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa.

Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh:
"ppp chap hostname <username khai bao ben DV2>"

Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"

Correct me if I'm wrong

Thu Trang

PS: Xin lỗi anh Phong nha vì đã mượn tạm account của anh

[tkvmai]

Mình xin sửa lại một chút về cách kiểm tra username và pass của chap:

R1 quay số vào R2:

1. R2 gửi một message yêu cầu R1 gửi username và password, message do R2 gửi có chứa một số ngẫu nhiên đề làm đầu vào cho thuật toán mã hoá hashing.
2. R1 nhận được msg yêu cầu của R2, nó sẽ sử dụng thuật toán hashing với input là R1's username, password và số ngẫu nhiên vừa nhận được để tính toán ra một giá trị nào đó và gửi đến R2.
3. R2 cũng làm tương tự với 3 đầu vào như trên và so sánh kết quả thu được với giá trị mà R1 gửi.
4. Nếu 2 giá trị giống nhau: Go...

Điểm mình muốn correct trong bài của Thu Trang là cả username và pass đều mã hoá trước khi gửi đi chứ không chỉ pass.

[apprentice]

Hi all
các anh đã biết lúc R1 gởi username và password đã được mã hoá , vậy giải thuật dùng để mã hoá này là gì không ? ( đối với router cisco only)
và cách truyền nhận này giống cơ chế bảo mật dùng SSL ( secure socket layer ) không ?
mong trả lời của các anh

[tkvmai]

Anh chỉ biết nó dùng MD5 hash algorithm. Còn cơ chế hoạt động thế nào thì chắc em phải tìm đọc về MD5, anh cũng không biết chi tiết.

[Mikami]

Bên box CCNP có 1 topic về MD5 , bạn có thể qua đó coi.


Thân

[tranhungphong]

PAP và CHAP là gì vậy? nó dùng cho việc gi? :?:

[Mikami]

PAP : Password Authentication Protocol : 1 giao thức để kiểm tra đăng nhập giữa các thiết bị đầu cuối ( Router - Router , Modem - Router ,.......)

Phương thức hoạt động : 2 way handshake ( bắt tay 2 chiều ) :

send username/password
Client ------------------------------------------> Server

Accept / Reject
&lt;-----------------------------------------


Password gửi dưới dạng Clear Text ----> nên có thể bị nhận diện

CHAP : Challenge Handshake Authentication Protocol : cũng là 1 giao thức kiểm tra đăng nhập , nhưng có tính security cao hơn

Phương thức hoạt động : 3 ways handshake : ( bắt tay 3 chiều )

Challenge
Client &lt;-------------------------------- Server

Respone
------------------------------->

Accept/ Reject
&lt;--------------------------------


Password đuợc encrypt nên có tính bảo mật cao hơn

Bạn có thễ vào mục CẤU HÌNH PAP CHAP để biết thêm



THÂN

[enickname]

PAP/CHAP như bạn MIKAMI giải thích cũng gần đủ. Tuy nhiên cần phải nói thêm là CHAP mang tính challenge, còn PAP thì không.
Khi config router nếu dùng PAP thì có trường hợp hai bên đều config đúng nhưng mạng vẫn không chạy. Nguyên nhân là vì: PAP chỉ gửi username, password đúng một lần khi interface up. khi đó nếu bên kia config chưa xong thì Line vẫn down. Cách đơn giản để giải quyết là shut cả hai interface rồi no shut cùng một lúc. CHAP không gặp hiện tượng này.

Các bạn có thể đọc thêm thông tin về PAP/CHAP ở semester4 CCNA.

happy study!!!