lab 6-2 challenge handshake authentication protocol (chap)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (49.97 KB, 5 trang )
Lab 6-2: Challenge Handshake Authentication Protocol (CHAP)
Sơ đồ nguyên lý
Sơ đồ kết nối
Mô tả
->Khi cấu hình CHAP:
R1 R2
Mỗi đầu của kết nối phải có khai báo username và password. Username bên R1 phải là
tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên
phải giống nhau, không cần dùng lệnh "ppp chap hostname"
Quá trình diễn ra xác thực bằng CHAP như sau:
R1:
hostname R1
username R2 password cisco
R2:
hostname R2
username R1 password cisco
username R3 password cisco1
1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật
toán hashing để mã hóa tổ hợp username và password (ở đây là cisco), nhưng ko gửi
password này đi
2. R2 kiểm tra danh sách username (nếu cấu hình nhiều username) để tìm ra username
nào giống hostname R1 (ở đây là username R1)
3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa username và
password tương ứng với username đó (ở đây password là cisco)
4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã
hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống
nhau thì xác thực thành công.
Không giống như PAP truyền password clear-text, CHAP không truyền password dạng
clear-text mà password chỉ được truyền sau khi đã mã hóa.
Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong
trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1
sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì
chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương
ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường
hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname
Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc
của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang
ĐV 2 thì phải có lệnh:
"ppp chap hostname "
Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay
số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao
chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"
Cấu hình
Router 1
!
isdn switch-type basic-ni
!
interface BRI0/0
ip address 20.1.1.1 255.255.255.0
no ip directed-broadcast
isdn switch-type basic-ni
encapsulation ppp
dialer map ip 20.1.1.2 name r2 broadcast 5772222
dialer-group 1
isdn switch-type basic-5ess
ppp authentication chap callin
! – chỉ thực hiện xác thực với cuộc gọi tới
ppp chap hostname alias-r1
! – thay thế CHAP hostname
!
access-list 101 permit ip any any
dialer-list 1 protocol ip list 101
!
line con 0
transport input none
line aux 0
line vty 0 4
no login
!
end
Router 2
!
isdn switch-type basic-ni1
!
hostname r2
!
username alias-r1 password cisco
! –- thay thế CHAP hostname
! username phải giống trăn remote router bằng lệnh ppp chap hostname
!
!
interface BRI0/0
ip address 20.1.1.2 255.255.255.0
no ip directed-broadcast
encapsulation ppp
dialer map ip 20.1.1.1 name alias-r1 broadcast 5771111
dialer-group 1
isdn switch-type basic-ni1
ppp authentication chap
!
access-list 101 permit ip any any
dialer-list 1 protocol ip list 101
!
line con 0
transport input none
line aux 0
line vty 0 4
no login
!
end
Kiểm tra
Kết quả dùng lệnh Debug theo quá trình xác thực
Router 1
r1# debug ppp authentication
r1#ping 20.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:
*Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
*Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to
5772222
*Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
*Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
! – nhận CHAP challenge từ router (r2)
*Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostnam hostname thay thế cho
hostname
*Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
! – Trả lời Sending response từ "alias-r1" hostname.
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
r1#
*Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface
BRI0/0:1, changed state to up
r1#
*Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
to 5772222 r2
Router 2
r2# debug ppp authentication
20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
20:05:20: BR0/0:1 PPP: Treating connection as a callin
20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
! – r2 gửi challenge
20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
! – nhận trả lời từ alias-r1, hostname thay thế tănh cơng
20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
changed state to up
20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-
r1
->trong PPP magic number được dùng để phát hiện xem đường truyền có bị loop hay
không. Mỗi router có một số magic number riêng được phát lên đường truyền, nếu nó
nhận được chính magic number của nó thì có nghĩa là đường truyền bị loop. PPP được
định nghĩa trong RFC 1661. Nếu cần nghiên cứu chi tiết hơn thì có thể tham khảo ở:
/>
