Để mình tiếp chiêu Mikami nhé :
Cấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau như trong cấu hình PAP
+ Cấu hình R1 :
#conf t
#hostname R1
#username R2 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R1
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start

+ cấu hình R2 :
#conf t
#hostname R2
#username R1 password cisco
#int s0
#ip add < ip address & subnet mask >
#encapsulation ppp
#ppp authentication chap
#ppp chap hostname R2
#ppp chap password cisco
#clockrate 64000
#no shut
Ctrl+z
#copy run start

Re: Cấu hình PAP và CHAP

Em xin bổ sung một số ý kiến như sau:

Khi cấu hình CHAP:

R1----------------------R2

Mỗi đầu phải có khai báo username và password, username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname"

Quá trình diễn ra xác thực bằng CHAP như sau:

R1:
hostname R1

username R2 password cisco

R2:
hostname R2

username R1 password cisco
username R3 password cisco1

1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa password (ở đây là cisco), nhưng ko gửi password này đi

2. R2 check danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1)

3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa password tương ứng với username đó (ở đây password là cisco)

4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công.

Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa.

Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh:
"ppp chap hostname <username khai bao ben DV2>"

Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao:
"ppp authentication chap callin"

Correct me if I'm wrong

Thu Trang

PS: Xin lỗi anh Phong nha vì đã mượn tạm account của anh

Mình xin sửa lại một chút về cách kiểm tra username và pass của chap:

R1 quay số vào R2:

1. R2 gửi một message yêu cầu R1 gửi username và password, message do R2 gửi có chứa một số ngẫu nhiên đề làm đầu vào cho thuật toán mã hoá hashing.
2. R1 nhận được msg yêu cầu của R2, nó sẽ sử dụng thuật toán hashing với input là R1's username, password và số ngẫu nhiên vừa nhận được để tính toán ra một giá trị nào đó và gửi đến R2.
3. R2 cũng làm tương tự với 3 đầu vào như trên và so sánh kết quả thu được với giá trị mà R1 gửi.
4. Nếu 2 giá trị giống nhau: Go...

Điểm mình muốn correct trong bài của Thu Trang là cả username và pass đều mã hoá trước khi gửi đi chứ không chỉ pass.

Hi all
các anh đã biết lúc R1 gởi username và password đã được mã hoá , vậy giải thuật dùng để mã hoá này là gì không ? ( đối với router cisco only)
và cách truyền nhận này giống cơ chế bảo mật dùng SSL ( secure socket layer ) không ?
mong trả lời của các anh

Anh chỉ biết nó dùng MD5 hash algorithm. Còn cơ chế hoạt động thế nào thì chắc em phải tìm đọc về MD5, anh cũng không biết chi tiết.

Bên box CCNP có 1 topic về MD5 , bạn có thể qua đó coi.


Thân

Tuyển tập các bài viết về PPP PAP/CHAP: rất hay!

PAP và CHAP là gì vậy? nó dùng cho việc gi? :?:

PAP : Password Authentication Protocol : 1 giao thức để kiểm tra đăng nhập giữa các thiết bị đầu cuối ( Router - Router , Modem - Router ,.......)

Phương thức hoạt động : 2 way handshake ( bắt tay 2 chiều ) :

send username/password
Client ------------------------------------------> Server

Accept / Reject
&lt;-----------------------------------------


Password gửi dưới dạng Clear Text ----> nên có thể bị nhận diện

CHAP : Challenge Handshake Authentication Protocol : cũng là 1 giao thức kiểm tra đăng nhập , nhưng có tính security cao hơn

Phương thức hoạt động : 3 ways handshake : ( bắt tay 3 chiều )

Challenge
Client &lt;-------------------------------- Server

Respone
------------------------------->

Accept/ Reject
&lt;--------------------------------


Password đuợc encrypt nên có tính bảo mật cao hơn

Bạn có thễ vào mục CẤU HÌNH PAP CHAP để biết thêm



THÂN

PAP/CHAP như bạn MIKAMI giải thích cũng gần đủ. Tuy nhiên cần phải nói thêm là CHAP mang tính challenge, còn PAP thì không.
Khi config router nếu dùng PAP thì có trường hợp hai bên đều config đúng nhưng mạng vẫn không chạy. Nguyên nhân là vì: PAP chỉ gửi username, password đúng một lần khi interface up. khi đó nếu bên kia config chưa xong thì Line vẫn down. Cách đơn giản để giải quyết là shut cả hai interface rồi no shut cùng một lúc. CHAP không gặp hiện tượng này.

Các bạn có thể đọc thêm thông tin về PAP/CHAP ở semester4 CCNA.

happy study!!!

Re: hoi ve khai niem co ban PAP/CHAP

Các bạn Mikami và enickname đã giải thích đầy đủ, mình thêm 1 chút nhé!
So với PAP thì CHAP có độ an toàn cao hơn vì
+ PAP :
- gửi username và password trên mạng và password được gửi là clear-text ( không mã hóa)
- chỉ gửi 1 lần trên để kiểm tra khi thiết lập connection
+ CHAP
- gửi authentication name (mặc định là hostname của router)
- password được hash bằng MD5, password này không thể giải mã lại được.
- authentication name và password đã mã hóa được gửi trên mạng khi thiết lập connection và tiếp tục gửi để kiểm tra sau mỗi 2 phút.

PPP authentication

đệ đang đọc về PPP,và cho đệ hỏi trong các option của PPP có compression và authentication ,authentication để bảo mật và đệ cũng có hiểu sơ sơ về PAP và CHAP,nhưng không hiểu lắm về phương thức hoạt động của CHAP:remote device khi muốn truy cập vào local router thì local router sẽ gửi 1 "challenge" request nhưng trong đó gồm những thông tin gì ,và response của remote thì đệ thấy có chứa name của người dùng trên remote vậy là sao?username và password trên bản response là username password để vào local router phải không?cấu hình trên local router ra sao????Help me pleasssseeee

Mời bạn coi 2 link này , có đầy đủ những thông tin liên quan đến PPP PAP CHAP

PPP PAP và CHAP

Các anh chị ơi cho em hỏi: PAP và CHAP
Pap và Chap co nhất thiết phải cấu hình trên 2 router nối với nhau kô? Một router dùng authentication có được kô? có trục trặc về vấn đề routing kô? LCP sẽ hoạt động như thế nào?

Chào thienan
Vấn đề là bạn có muốc thực hiện quá trình authentication trên 2 router nối với nhau không? nếu muốn thực hiện quá trình authentication thì nhất thiết phải cấu hình trên cả 2 interface cua 2 router nối với nhau.
Quá trình authentication xảy ra ở cả 2 router nối với nhau, Ví dụ RouterA và RouterB nhận thực lân nhau thì quá trình xảy ra nhau sau: RouterA gởi username và passworsd của RouterB đến RouterB, RouterB sẽ kiểm tra username và password này có đúng của mình không. Và Ngược lài RouterB cũng gởi Username và password của routerA đến RouterA. Khi cả RouterA và RouterB authentication hoàn thành thì mới hoạt động được. Nên theo tôi thi phải authentication cho cả 2 router. Nếu authentication cho 1 router thi Ping sẽ không thấy nhau.
Bạn có thể xem thêm sách về CCNA về phần WAN để hiểu thêm.