Một phiên kết nối PPP được thiết lấp sau 3 giai đoạn: giai đoạn thiết lập kết nối, giai đoạn xác minh và giai đoạn cấu hình giao thức lớp Mạng.. Sau đây là các loại frame LCP được sử dụn
Trang 1Một phiên kết nối PPP được thiết lấp sau 3 giai đoạn: giai đoạn thiết lập kết nối, giai đoạn xác minh và giai đoạn cấu hình giao thức lớp Mạng Frame LCP được sử dụng để thực hiện các công việc trong mỗi giai đoạn Sau đây là các loại frame LCP được sử dụng trong phiên kết nối PPP
• Frame thiết lập kết nối: được sử dụng để thiết lập và cấu hình kết nối
• Frame kết thúc kết nối : được sử dụng để kết thúc kết nối
• Frame duy trì kết nối được sử dụng để quản lý và điều chỉnh đường truyền
Sau đây là 3 giai đoạn thiết lập một phiên kết nối PPP:
• Giai đoạn thiết lập kết nối;Trong giai đoạn này mỗi thiết bị PPP gửi đi
frame LCP để cấu hình và kiểm tra kết nối.Trong frame LCP có chứa các thông tin để các thiết bị có thể thoả thuận và thực hiện các cấu hình cho đường truyền, ví dụ: đơn vị truyền tối đa (MTU – Maximum transmission unit), nén dữ liệu và giao thức xác minh Nếu không có thông tin gì nằm trong gói LCP thì đường truyền sẽ được thiết lập theo các thông số mặc định Đường truyền phải được mở lên và cấu ình xong trước khi có thể truyền các gói dữ liệu lớp Mạng Quá trình này dược kết thúc khi thông tin xác nhận cấu hình được gửi và nhận xong
• Giai đoạn xác minh:(Giai đoạn này không bắt buộc phải có ) Sauk hi
đường truyền đã được thiết lập và giao thức xác minh đã được chọn xong, thiết bị ở hai đầu kết nối thực hiện xác mnh với nhau Quá trình xác minh được thực hiện trước khi chuyển sang giai đoạn cấu hình giao thức lớp Mạng Trong giai đoạn này LCP cũng thực hiện kiểm tra chất lượng đường truyền
• Giai đoạn câu hình giao thức lớp mang Trong giai đoạn này các thiết bị
PPP gửi gói NCP để chọn lựa và cấu hình cho một hay nhiều giao thức lớp Mạng, ví dụ như giao thức IP Khi mỗi giao thức lớp Mạng được cấu hình xong thì gói dữ liệu của giao thức đó có thể được truyền đi trên đường truyền Kết quả của lệnh show interfaces sẽ cho biết trạng thái của LCP và NCP trong cấu hình PPP
Frame LCP hay LCP đóng đường truyền
• Thời gian chờ đã hết hạn
• Sự can thiệp của người sử dụng
3.2.3 Giao thức xác minh PPP
Trang 2Giai đoạn xác minh của một phiên kết nối PPP là không bắt buộc Sauk hi đường truyền đã được thiết lập và giao thức xác minh đã được chọn thì hai thiết bị ở hai đầu kết nối thực hiện xác minh với nhau Quá trình xác minh được thực hiện trước khi giai đoạn cấu hình giao thức lớp Mạng bắt đầu
Khi thực hiện xác minh, bên thiết lập kết nối được yêu cầu cung cấp các thông tin
để xác minh quyền thiết lập kết nối Hai router ở hai đầu kêt nối sẽ trao đổi với nhau các thông điệp xác minh
Khi cấu hình quá trình xác minh PPP, người quản trị mạng có thể chọn giao thức PAP (Password Authentication Protocol) hay CHAP (Challenge Handshake Authentication Protocol) Nói chung Chap là giao thức thường được đề nghị hơn
3.2.4 PAP (Password Authentication Protocol)
PAP cung cấp một cơ chế xác minh đơn giản sử dụng quá trình bắt tay 2 bước Sauk hi giai đoạn thiết lập kết nối PPP hoàn tất, cặp username/password được router ở đầu xa gửi đi nhiêu lần trên đường truyền cho đến khi đã được xác nhận hoặc kết nối bị xóa
PAP không phải là một giao thức xác minh manh Password được gửi đi nguyên mẫu trên đường truyền Do đó không có gì khó khăn đối với các loại tấn công Playback hoặc repeated trial-and-error Router đầu xa chỉ được kiểm tra một lần khi truy nhập
3.2.5 CHAP (Challenge Handshake Authentication Protocol)
Chap được sử dụng khi khởi động đường truyền và sau đó kiểm tra router đầu xa theo định kỳ với quá trình bắt tay 3 bước CHAP được thực hiện ở lúc bắt đầu thiết lập kết nối và luôn được lặp lai trong suốt quá trình kết nối được duy trì
Trang 3Sau khi giai đoạn thiết lập kết nối PPP hoàn tất, router trung tâm gửi một thông điệp “thử thách” cho router đầu xa Router đầu xa sử dụng thông điẹp này với password của nó thông qua thuật toán MD5 (Message Digest ) tạo ra một thông điệp trả lời Router đầu xa gửi thông điệp trả lời này cho router trung tâm Router trung tâm sử dụng thông điệp trả lời để tính toan ra một giá trị Nếu giá trị này đúng với thông điệp “thử thách” ban đầu thì thông tin xác minh được xác nhận nếu khong thì kết nối sẽ bị xoá ngay
Chap chống được kiểu tấn công Playback vì giá trị của thông điệp “thử thách” là ngẫu nhiên hoàn toàn khác nhau giữa mỗi lần gửi và không thể đoán được Do đó giá trị của thông điệp trả lời cũng ngẫu nhiên và riêng biệt Việc xác minh được thực hiện lặp đi lặp lại để giời hạn thời gian tìm ra mật mã của các đợt tấn công đơn lẻ
3.2.6 Quá trình thực hiện xác minh PPP
Sauk hi nhập lệnh encapsulation ppp thi bạn có thể thêm cấu hình cho quá trình xác minh PAP hoặc Chap Nếu không cấu hình quá trình xác minh thì phiên kết nối PPP được bắt đầu ngay Nếu bạn có cấu hình cho quá trình xác minh thì sẽ diễn ra như sau:
• Xác định giao thức xác minh
• Kiểm tra cơ sở dữ liệu để tìm cặp username/password tương ứng
Trang 4• Nếu tín hiệu trả lời từ cơ sở dữ liệu là đúng thì phiên kết nối PPP được bắt đầu nếu không thì sẽ bị xoá ngay
Trang 53.3 Cấu hình PPP
3.3.1 Giới thiệu cấu hình PPP
Cấu hình PPP bao gồm các thông tin về : phương pháp xác minh, nén dữ liệu phát hiện lỗi có ghép kênh hay không
Các thành
phần cấu hinh
PPP
Chức năng Giao
thức
Lệnh cấu hình
Trang 6Quá trình xác
minh
Quá trình xác minh yêu cầu bên thiết lập kết nối cung cấp thông tin để xác minh quyền thực hiện kết nối Hai router
ở hai bên đầu kết nối trao đổi thông điệp xác minh Có hai giao thức thực hiện xác minh
là PAP và CHAP
PAP CHAP
Ppp Authentication Pap
Ppp Authentication Chap
Nén dữ liệu Nén dữ liệu giúp tăng thông
lượng đường truyền PPP bằng cách giảm lượng dữ liệu được truyền đi trên đường truyền Frame sẽ được giải nén ở đầu nhận Hai giao thức nén dữ liệu chạy trên router Cisco là Stacker và Preditor
Stacker Predictor
Compress stac Compress Predictor
Phát hiện lỗi Cơ chế phát hiện lỗi của PPP
thực hiện quá trình kiểm tra điều kiện đường truyền Chỉ
số Quality Magic giúp xác định vòng lặp và độ tin cập của đường truyền
Multilink Phiên bản Cisco IOS 11.1 trở
đi có hỗ trợ giao thức ghép kênh MP (Multilink protocol) Giao thức này cho phép chia
sẻ tải trên các cổng của router đang sử dụng PPP MP cắt gói dữ liệu thành nhiều phân đoạn có đánh số thứ tự và truyền trên các kênh song song Các kênh PPP này hoạt
Trang 7động như một kênh logic, giúp tăng thông lượng và giảm thời gian trễ giữa hai router
3.3.2 Cấu hình PPP
Sau đây là ví dụ cho cấu hình đóng gói PPP trên cổng Serial (pp)
• Router # configure terminal
• Router (config) # interface serial 0/0
• Router (config –if)#encapsulation ppp
Chúng ta cũng có thể cấu hình phần mềm nén dữ liệu trên cổng Serial đang sử dụng đóng gói PPP Nén dữ liệu được thực hiện bằng phần mềm Chúng ta không nên sử dụng nén dữ liệu lần nữa khi bản than phần lớn dữ liệu được truyền đi trên cổng này đã được nén rồi
• Router (config)#interface serial 0/0
• Router (config – if )#encapsulation ppp
• Router (config – if)# compress (predictor stac)
Chúng ta nhập lệnh sau để có thể theo dõi mức đọ rớt gói dữ liệu trên đường truyền
và tránh bị vòng lặp:
• Router (config)#interface serial 0/0
• Router (config – if )#encapsulation ppp
• Router (config – if )#ppp quality p ercentage
Ch úng ta s ử d ụng c ác l ệnh sau đ ể cho ph ép th ực hi ện chia t ải tr ên nhi ều đ ư ờng k ết n ối:
• Router (config)#interface serial 0/0
• Router (config – if )#encapsulation pp
• Rot er (c onfig – if) # ppp multilink
3.3.3 Cấu hình quá trình xác minh PPP
Bước 1 Trên mỗi router khai báo username và password của router kết
nối vào nó
Trang 8Router (config)# username name password secret Name là tên của router kết nối vào router đang cấu hình
Bước 2 Vào chế độ câú hình của cổng tương ứng
Bước 3 Cấu hình đóng gói PPP cho cổng:
Router (config – if) # encapsulation ppp Bước 4 Cấu hình quá trình xác minh PPP
Bước 5 Nếu bạn khai báo cả CHAP và PAP thì tên nào được đặt trước
sẽ được sử dụng trước Nếu router đầu bên kia yêu cầu sử dụng phương thức thứ hai hoặc đơn giản là từ chối phương thức thứ nhất thì phương thức thứ hai sẽ được áp dụng
Bước 6 Bắt đầu từ phiên bản Cisso IOS 11.1 trở đi bạn phải khởi động
PAP trên cổng cần thiết mặc định là PAP không chạy trên router
Hình 3.3 3.a là tóm tắt quá trình cấu hình PAP trên hai router kết nối với nhau Cặp username/password trên mỗi router phải phù hợp với hostname và password được khai báo trên router kia
Trang 9PAP là phương thức xác minh đơn giản sử dụng hai bước bắt tay và được thực hiện khi thiết lập kết nối Quá trình xác minh PAP thực hiện và đường truyền được thiết lập
CHAP thực hiện kiểm tra router kết nối ở đầu xa sử dụng ba bước bắt tay và được lặp lại theo định kì Quá trình này được thực hiện xong lần đầu tiên Đường truyền được thiết lập và luôn được lặp lại trong suốt quá trình kết nối
Trang 103.3.4 Kiểm tra cấu hình PPP trên cổng Serial
Chúng ta sử dụng lệnh show interfaces serial để kiểm tra cấu hình đóng gói HDLC hoặc PPP trên cổng Serial Nếu cổng được cấu hinh đóng gói HDLC thì trong kết quả hiển thị có dòng “Encapsulation HDLC” Ví dụ như trên hình 3.3.4 chúng ta thấy dòng “Encapsulation PPP” như vậy là cổng serial 0/0 đã được cấu hình đóng gói PPP Sauk hi đã cấu hình PPP, chúng ta có thể kiểm tra trạng thái của LCP (Link Control Protocol ) và NCP (Network Control Protocol) cũng bằng lệnh Show interfaces serial
Trang 113.3.5 Xử lý sự cố trên cổng Serial
lệnh debug ppp authentication hiển thị các hoạt động xảy ra của qúa trình xác minh Ví dụ như trên hình 3.3 5.a là kết quả cho thấy quá trình hoạt động của CHAP trên router Left Router Left và router Right được cấu hình thực hiện xác minh hai chiều, do đó hai router này thực hiện xác minh lẫn nhau
