Username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname" Quá trình diễn ra xá
Trang 1Lab 6-2: Challenge Handshake Authentication Protocol (CHAP)
Sơ đồ nguyên lý
Sơ đồ kết nối
Mô tả
->Khi cấu hình CHAP:
R1 -R2
Mỗi đầu của kết nối phải có khai báo username và password Username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname"
Quá trình diễn ra xác thực bằng CHAP như sau:
R1:
hostname R1
username R2 password cisco
R2:
hostname R2
username R1 password cisco
username R3 password cisco1
1 R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa tổ hợp username và password (ở đây là cisco), nhưng ko gửi password này đi
2 R2 kiểm tra danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1)
3 Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa username và password tương ứng với username đó (ở đây password là cisco)
Trang 24 Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công
Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa
Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau Theo ví dụ ở trên khi xác thực thì R1
sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco" Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này Khi đó nếu ĐV 1 muốn quay số sang
ĐV 2 thì phải có lệnh:
"ppp chap hostname "
Còn trong trường hợp người ta chỉ muốn xác thực một chiều VD như khi thuê bao quay
số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"
Cấu hình
Router 1
!
isdn switch-type basic-ni
!
interface BRI0/0
ip address 20.1.1.1 255.255.255.0
no ip directed-broadcast
isdn switch-type basic-ni
encapsulation ppp
dialer map ip 20.1.1.2 name r2 broadcast 5772222
dialer-group 1
isdn switch-type basic-5ess
ppp authentication chap callin
! – chỉ thực hiện xác thực với cuộc gọi tới
ppp chap hostname alias-r1
! – thay thế CHAP hostname
!
access-list 101 permit ip any any
dialer-list 1 protocol ip list 101
Trang 3line con 0
transport input none
line aux 0
line vty 0 4
no login
!
end
Router 2
!
isdn switch-type basic-ni1
!
hostname r2
!
username alias-r1 password cisco
! –- thay thế CHAP hostname
! username phải giống trăn remote router bằng lệnh ppp chap hostname
!
!
interface BRI0/0
ip address 20.1.1.2 255.255.255.0
no ip directed-broadcast
encapsulation ppp
dialer map ip 20.1.1.1 name alias-r1 broadcast 5771111
dialer-group 1
isdn switch-type basic-ni1
ppp authentication chap
!
access-list 101 permit ip any any
dialer-list 1 protocol ip list 101
!
line con 0
transport input none
line aux 0
line vty 0 4
no login
!
end
Kiểm tra
Kết quả dùng lệnh Debug theo quá trình xác thực
Router 1
r1# debug ppp authentication
Trang 4r1#ping 20.1.1.2
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:
*Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
*Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222
*Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
*Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
! – nhận CHAP challenge từ router (r2)
*Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostnam hostname thay thế cho hostname
*Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
! – Trả lời Sending response từ "alias-r1" hostname
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
r1#
*Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface
BRI0/0:1, changed state to up
r1#
*Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
to 5772222 r2
Router 2
r2# debug ppp authentication
20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 20:05:20: BR0/0:1 PPP: Treating connection as a callin
20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
! – r2 gửi challenge
20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
! – nhận trả lời từ alias-r1, hostname thay thế tănh cơng
20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
changed state to up
20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-r1
Trang 5->trong PPP magic number được dùng để phát hiện xem đường truyền có bị loop hay không Mỗi router có một số magic number riêng được phát lên đường truyền, nếu nó nhận được chính magic number của nó thì có nghĩa là đường truyền bị loop PPP được định nghĩa trong RFC 1661 Nếu cần nghiên cứu chi tiết hơn thì có thể tham khảo ở: http://www.faqs.org/rfcs/rfc1661.html