Lab 6-2: Challenge Handshake Authentication Protocol (CHAP) Sơ đồ nguyên lý Sơ đồ kết nối Mô tả ->Khi cấu hình CHAP: R1 R2 Mỗi đầu của kết nối phải có khai báo username và password. Username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname" Quá trình diễn ra xác thực bằng CHAP như sau: R1: hostname R1 username R2 password cisco R2: hostname R2 username R1 password cisco username R3 password cisco1 1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa tổ hợp username và password (ở đây là cisco), nhưng ko gửi password này đi 2. R2 kiểm tra danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1) 3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa username và password tương ứng với username đó (ở đây password là cisco) 4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công. Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa. Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh: "ppp chap hostname " Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao: "ppp authentication chap callin" Cấu hình Router 1 ! isdn switch-type basic-ni ! interface BRI0/0 ip address 20.1.1.1 255.255.255.0 no ip directed-broadcast isdn switch-type basic-ni encapsulation ppp dialer map ip 20.1.1.2 name r2 broadcast 5772222 dialer-group 1 isdn switch-type basic-5ess ppp authentication chap callin ! – chỉ thực hiện xác thực với cuộc gọi tới ppp chap hostname alias-r1 ! – thay thế CHAP hostname ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ! line con 0 transport input none line aux 0 line vty 0 4 no login ! end Router 2 ! isdn switch-type basic-ni1 ! hostname r2 ! username alias-r1 password cisco ! –- thay thế CHAP hostname ! username phải giống trăn remote router bằng lệnh ppp chap hostname ! ! interface BRI0/0 ip address 20.1.1.2 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.1 name alias-r1 broadcast 5771111 dialer-group 1 isdn switch-type basic-ni1 ppp authentication chap ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ! line con 0 transport input none line aux 0 line vty 0 4 no login ! end Kiểm tra Kết quả dùng lệnh Debug theo quá trình xác thực Router 1 r1# debug ppp authentication r1#ping 20.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds: *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up *Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222 *Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2" ! – nhận CHAP challenge từ router (r2) *Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostnam hostname thay thế cho hostname *Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1" ! – Trả lời Sending response từ "alias-r1" hostname. .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms r1# *Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up r1# *Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222 r2 Router 2 r2# debug ppp authentication 20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up 20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 20:05:20: BR0/0:1 PPP: Treating connection as a callin 20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2" ! – r2 gửi challenge 20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1" ! – nhận trả lời từ alias-r1, hostname thay thế tănh cơng 20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up 20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias- r1 ->trong PPP magic number được dùng để phát hiện xem đường truyền có bị loop hay không. Mỗi router có một số magic number riêng được phát lên đường truyền, nếu nó nhận được chính magic number của nó thì có nghĩa là đường truyền bị loop. PPP được định nghĩa trong RFC 1661. Nếu cần nghiên cứu chi tiết hơn thì có thể tham khảo ở: http://www.faqs.org/rfcs/rfc1661.html . Lab 6-2: Challenge Handshake Authentication Protocol (CHAP) Sơ đồ nguyên lý Sơ đồ kết nối Mô tả ->Khi cấu hình CHAP:. basic-5ess ppp authentication chap callin ! – chỉ thực hiện xác thực với cuộc gọi tới ppp chap hostname alias-r1 ! – thay thế CHAP hostname ! access-list 101 permit ip any any dialer-list 1 protocol. broadcast 5771111 dialer-group 1 isdn switch-type basic-ni1 ppp authentication chap ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ! line con 0 transport input none line