Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Authentication problem.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Authentication problem.

    Chao cac ban,

    Minh rat la moi voi BCSI nen gặp nhiểu vấn để cẩn các bạn chi giáo dùm. Mình dùng Dynamips software để học tập nhưng gặp problem và mong các bạn giúp đở.

    Còn đây la yeu cầu cua authentication

    -Config the serial link between R4 and R5 using ppp encapsulation
    -Config the R4 request R5 to authenticate via ppp
    -R5 should respond with the username TestR5 and the clear-text password CISCO
    -Config R5 to request R4 to authenticate via PPP
    -R4 should reply with the username TestR4 and the MD5 hash value that represent the password CISCO

    File .net của dynamips

    ************************
    [cuteo]

    [[7200]]
    image = C:\Program Files\Dynamips\images\C7200-JK.bin
    idlepc = 0x60750bf0
    ram = 96
    confreg = 0x2142
    npe = npe-200
    mmap = True
    [[Router R4]]
    autostart = False
    console = 2004
    slot1 = PA-8T
    S1/0 = FR 4
    S1/1 = R5 S1/1

    [[Router R5]]
    autostart = False
    console = 2005
    slot1 = PA-8T
    S1/0 = FR 5
    [[FRSW FR ]]
    4:405 = 5:504
    ************************
    Minh đã config Frame relay và chạy tốt. Nhung khi config cái authentication thì lại có vấn đề.

    **********************************************
    Cái error message nó cứ nhảy liên tục trong R5
    R5#
    *Dec 28 10:06:29.333: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1, changed state to up
    R5#
    *Dec 28 10:06:32.033: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1, changed state to down
    R5#
    *Dec 28 10:06:34.441: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1, changed state to up
    R5#
    *Dec 28 10:06:44.889: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1, changed state to down
    ************************************************** ****
    Và ở phía dưới là kết qua mình debug
    ( mình ko hieu cai debug nay, ba.n nao co the giai thich cho minh duoc ko)
    ################################################## ###
    R5(config-if)#
    *Dec 28 10:03:14.121: Se1/1 PPP: Authorization required
    *Dec 28 10:03:14.201: Se1/1 PAP: Using hostname from interface PAP
    *Dec 28 10:03:14.201: Se1/1 PAP: Using password from interface PAP
    *Dec 28 10:03:14.205: Se1/1 PAP: O AUTH-REQ id 232 len 18 from "TestR5"
    *Dec 28 10:03:14.205: Se1/1 CHAP: O CHALLENGE id 232 len 23 from "R5"
    *Dec 28 10:03:14.305: Se1/1 PAP: I AUTH-ACK id 232 len 5
    R5(config-if)#
    *Dec 28 10:03:16.561: Se1/1 PPP: Authorization required
    *Dec 28 10:03:16.917: Se1/1 PAP: Using hostname from interface PAP
    *Dec 28 10:03:16.921: Se1/1 PAP: Using password from interface PAP
    *Dec 28 10:03:16.921: Se1/1 PAP: O AUTH-REQ id 233 len 18 from "TestR5"
    *Dec 28 10:03:16.925: Se1/1 CHAP: O CHALLENGE id 233 len 23 from "R5"
    *Dec 28 10:03:17.121: Se1/1 PAP: I AUTH-ACK id 233 len 5
    R5(config-if)#
    *Dec 28 10:03:19.161: Se1/1 PPP: Authorization required
    *Dec 28 10:03:19.261: Se1/1 PAP: Using hostname from interface PAP
    *Dec 28 10:03:19.261: Se1/1 PAP: Using password from interface PAP
    *Dec 28 10:03:19.265: Se1/1 PAP: O AUTH-REQ id 234 len 18 from "TestR5"
    *Dec 28 10:03:19.265: Se1/1 CHAP: O CHALLENGE id 234 len 23 from "R5"
    *Dec 28 10:03:19.365: Se1/1 PAP: I AUTH-ACK id 234 len 5
    R5(config-if)#
    *Dec 28 10:03:19.445: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1, changed state to down
    R5(config-if)#
    *Dec 28 10:03:21.801: Se1/1 PPP: Authorization required
    *Dec 28 10:03:22.185: Se1/1 PAP: Using hostname from interface PAP
    *Dec 28 10:03:22.185: Se1/1 PAP: Using password from interface PAP
    *Dec 28 10:03:22.189: Se1/1 PAP: O AUTH-REQ id 235 len 18 from "TestR5"
    *Dec 28 10:03:22.189: Se1/1 CHAP: O CHALLENGE id 235 len 23 from "R5"
    *Dec 28 10:03:22.353: Se1/1 PAP: I AUTH-ACK id 235 len 5
    R5(config-if)#
    *Dec 28 10:03:24.705: Se1/1 PPP: Authorization required
    *Dec 28 10:03:24.893: Se1/1 PAP: Using hostname from interface PAP
    *Dec 28 10:03:24.893: Se1/1 PAP: Using password from interface PAP
    *Dec 28 10:03:24.897: Se1/1 PAP: O AUTH-REQ id 236 len 18 from "TestR5"
    *Dec 28 10:03:24.897: Se1/1 CHAP: O CHALLENGE id 236 len 23 from "R5"
    *Dec 28 10:03:25.101: Se1/1 PAP: I AUTH-ACK id 236 len 5
    ################################################## ##

    Và đây la configuration cua R4, R5

    R5 configuation

    username TestR4 password 0 CISCO
    !
    interface Serial1/0
    ip address 141.1.54.5 255.255.255.0
    encapsulation frame-relay
    serial restart-delay 0
    frame-relay map ip 141.1.54.4 504 broadcast
    no frame-relay inverse-arp

    interface Serial1/1
    ip address 141.1.45.5 255.255.255.0
    encapsulation ppp
    serial restart-delay 0
    clock rate 64000
    ppp authentication chap
    ppp pap sent-username TestR5 password 0 CISCO

    R4 configuration

    username TestR5 password 0 CISCO
    !
    interface Serial1/0
    ip address 141.1.54.4 255.255.255.0
    encapsulation frame-relay
    serial restart-delay 0
    frame-relay map ip 141.1.54.5 405 broadcast
    no frame-relay inverse-arp
    !
    interface Serial1/1
    ip address 141.1.45.4 255.255.255.0
    encapsulation ppp
    serial restart-delay 0
    ppp authentication pap

    Mình có 2 câu hỏi muốn hỏi các bạn
    1) Có phải do mình config authentication tren 2 router R4, R5 khác nhau ( PAP va CHAP ) nên mới xảy ra như vậy đúng ko? Va khi minh config 2 con router nay theo cung mot kieu authentication (PAP hoac CHAP) thi ko thay gi ca nhưng nếu minh debug nó bang lệnh debug ppp authenticate thi hình như nó van chưa hoạt động.
    Error debug tren 2 router la giong nhau
    R5#
    *Dec 28 18:23:09.047: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:11.047: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:13.063: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:15.063: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:18.199: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:20.167: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:22.231: Se1/1 PPP: Authorization required
    R5#
    *Dec 28 18:23:24.231: Se1/1 PPP: Authorization required

    Ko biet mình làm sai khúc nào. Mong các bạn chi giáo.

    2) Cau hoi thu 2 nay co the rat la bờm nhưng mình muốn biết có khi nào 2 đầu config authenticate khác nhau mà vẫn chạy khong ?

    Xin cảm ơn.

    TN
    Last edited by dn_ageof; 28-12-2006, 02:34 PM.

  • #2
    2 đầu config authenticate khác nhau thì khong the chạy duoc.
    Trần Nhân Hòa
    CMND #0146257668

    Comment


    • #3
      Các bạn có nghĩ rang với yeu cầu trên cua bài thi mình ko the tiến hành duoc boi vi 2 dau là 2 dạng authenticate khác nhau ???

      Comment


      • #4
        Chào bạn
        Bạn cấu hình R5 sử dụng authen là chap còn R4 lại là pap thì 2 router không authen dc. Có 2 phương pháp bạn có thể khắc phục
        1. Bạn xác định authen lại 2 router authen 1 là kiểu pap hoặc chap và không cần sử dụng câu lệnh ppp pap sent-username Rack1R5 password 0 CISCO
        2. Nếu bạn muốn sử dụng câu lệnh ppp pap sent-username Rack1R5 password 0 CISCO thì bạn nên cấu hình với ppp authen chap pap và khai báo thêm username Rack1R5 và pass CISCO
        THKS
        Viet Professional Ltd. Co
        Cisco Authorised Training
        149/1D Ung Van Khiem St - Ward 25 - Binh Thanh Dist - HCMC
        Tel: (08) 5124257 - 5125314 Fax: (08) 5124314
        Mobile: 0918065936
        :) Email: phamtiendung@vnpro.org

        Comment


        • #5
          Voi yêu cầu cua bài lam minh nghi rang ko the thuc hiện duoc và cam on su giup do cua các bạn.
          Ban dung273 nói rang them ppp authentication chap pap. Câu lệnh nay neu minh nho ko lầm thi neu ko authenticate được CHAP truoc thi no' se nhay qua PAP va khi đó thì sẽ trở về dang ppp authenticate pap.
          Mình da test voi cung mot dạng authenticate thi lan nay nó working.

          Cam on

          Comment


          • #6
            Hi dn_ageof

            Bạn cấu hình nội dung thanh ghi trong file 0x2142 (mặc định là 0x2102) trong file .net có thể làm cho các tiến trình chạy không như dự kiến. Tuy nhiên tôi chưa đọc qua yêu cầu của bài tập này nên không rõ là việc không thực hiện được là do file net hay do yêu cầu của đề bài là một yêu cầu không thể...
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment


            • #7
              Originally posted by dangquangminh View Post
              Hi dn_ageof

              Bạn cấu hình nội dung thanh ghi trong file 0x2142 (mặc định là 0x2102) trong file .net có thể làm cho các tiến trình chạy không như dự kiến. Tuy nhiên tôi chưa đọc qua yêu cầu của bài tập này nên không rõ là việc không thực hiện được là do file net hay do yêu cầu của đề bài là một yêu cầu không thể...
              Cam on anh Minh da giup do. Em da thu lại với mặc định là 0x2102 với 2 đầu authenticate khác nhau thi ko the lam việc theo yeu cầu cua bài làm trừ khi la hai dau routers fai có cùng chung 1 kieu authenticate.

              Comment


              • #8
                làm gì có chuyện 2 đầu authentication khác nhau thì ko được? mà nếu ko được thì phải giải thích tại sao???

                Các bác khi học thì nên liên hệ với thực tế một chút, mọi nguyên lý, cơ chế máy móc thường đều dựa từ thực tế mà ra cả thôi! Hãy tìm những ví dụ thực tế tương ứng thì sẽ hiểu hơn. Ví như trường hợp này tớ sẽ lấy ví dụ như sau:
                Bác đến nhà tớ, tớ yêu cầu bác phải trình giấy CMND ra để kiểm tra rồi mới cho vào cổng (PAP). Điều này không có nghĩa là khi tớ qua nhà bác thì tớ cũng phải trình CMND ra, mà tùy thuộc ở bác, đúng không? Nhỡ bác là người yêu văn chương thơ phú... thay vì yêu cầu tớ xuất trình giấy tờ, bác lại ra 1 câu đối & bắt tớ phải đối lại cho được thì mới mở cửa (CHAP), ok chứ? không vấn đề gì cả!

                Vậy trường hợp này xử sao? ta phân tích từng bước hen:
                - R4 yêu cầu các Rờ khác phải PAP xong mới cho "rờ" :D, và trong memory của R4 có chứa username TestR5 password CISCO, do đó khi R5 gởi gói authen cho R4 (lệnh: ppp pap sent-username TestR5 password CISCO) thì được xác thực, vậy pass! Lẽ ra là xong, nhưng anh R5 nhiều chuyện, đòi "khám" anh R4 nữa mới chịu cho bắt tay. Và...
                - R5 gởi thánh đố (CHAP), trong gói thách đố có chứa hostname (mặc định là R5) gởi tới R4, R4 dò trong memory ko thấy thằng R5 đâu nên ko bít đường nào đưa ra password tương ứng để thực hiện MD5 + Hash (R4 chỉ có mỗi dòng username TestR5 password CISCO thôi mà), vậy là "feo" ngay thôi! Giờ tính sao đây? Thì (1) hoặc là add thêm 1 dòng username R5 password CISCO cho thằng R4 hoặc (2) ép thằng R5 gởi challenge với hostname là TestR5 thay vì xài tên mặc định (R5) bằng lệnh ppp chap hostname (interface config mode)
                + Trường hợp 1: R4 tìm thấy R5 trong database, lấy pass tương ứng ra thực hiện hash xong gởi hash value cho R5 kiểm tra, trong gói này cũng có tên hostname của nó (R4), khi gói tới R5 nó lục lọi trong database ra coi có thằng R4 nào ko? Đến đây là bạn tự hiểu là mình phải add thêm dòng username R4 password CISCO cho thằng R5 rồi chứ ;)
                + Trường hợp 2: Sau khi ép R5 gởi challenge với hostname là TestR5 (thay vì R5) rồi thì yên tâm là R4 sẽ trả lời được (vì trong bộ nhớ nó đã có thông tin username TestR5 password CISCO), nhưng khi gởi gói trả lời nó vẫn dùng hostname của nó (là R4) nên buộc bạn cũng phải thêm dòng username R4 password CISCO cho thằng R5, nếu ko muốn add thêm dòng này thì bạn phải ép R4 trả lời với hostname là TestR4 thay vì R4 (cũng bằng lệnh ppp chap hostname trên R4)

                Vậy tóm lại hoặc ta thêm vào database (nghe cho oai chứ thực ra chỉ là add vô running config thôi hèhè... đúng nghĩa là đưa vào bộ nhớ) của mỗi router một dòng username & pasword, nếu đề bài yêu cầu ko được dùng hostname mặc định của mỗi router (R4, R5) để thực hiện chap thì ta dùng phương án 2, không add nữa mà dùng lệnh ppp chap hostname để thay tên mặc định bằng tên username (TestR4, TestR5) (cách này có vẻ hay hơn hihi...)
                Last edited by harmonylove; 01-01-2007, 06:25 PM.

                Comment


                • #9
                  Bầu cho bạn 1 phiếu :cool: .
                  Giải thích quá rõ ràng. Cảm ơn bạn nhiều lắm. Bây giờ mình hiểu ki vấn đề rồi.
                  Hay hay hay.

                  Comment


                  • #10
                    Originally posted by harmonylove View Post
                    làm gì có chuyện 2 đầu authentication khác nhau thì ko được? mà nếu ko được thì phải giải thích tại sao???

                    Các bác khi học thì nên liên hệ với thực tế một chút, mọi nguyên lý, cơ chế máy móc thường đều dựa từ thực tế mà ra cả thôi! Hãy tìm những ví dụ thực tế tương ứng thì sẽ hiểu hơn. Ví như trường hợp này tớ sẽ lấy ví dụ như sau:
                    Bác đến nhà tớ, tớ yêu cầu bác phải trình giấy CMND ra để kiểm tra rồi mới cho vào cổng (PAP). Điều này không có nghĩa là khi tớ qua nhà bác thì tớ cũng phải trình CMND ra, mà tùy thuộc ở bác, đúng không? Nhỡ bác là người yêu văn chương thơ phú... thay vì yêu cầu tớ xuất trình giấy tờ, bác lại ra 1 câu đối & bắt tớ phải đối lại cho được thì mới mở cửa (CHAP), ok chứ? không vấn đề gì cả!

                    Vậy trường hợp này xử sao? ta phân tích từng bước hen:
                    - R4 yêu cầu các Rờ khác phải PAP xong mới cho "rờ" :D, và trong memory của R4 có chứa username TestR5 password CISCO, do đó khi R5 gởi gói authen cho R4 (lệnh: ppp pap sent-username TestR5 password CISCO) thì được xác thực, vậy pass! Lẽ ra là xong, nhưng anh R5 nhiều chuyện, đòi "khám" anh R4 nữa mới chịu cho bắt tay. Và...
                    - R5 gởi thánh đố (CHAP), trong gói thách đố có chứa hostname (mặc định là R5) gởi tới R4, R4 dò trong memory ko thấy thằng R5 đâu nên ko bít đường nào đưa ra password tương ứng để thực hiện MD5 + Hash (R4 chỉ có mỗi dòng username TestR5 password CISCO thôi mà), vậy là "feo" ngay thôi! Giờ tính sao đây? Thì (1) hoặc là add thêm 1 dòng username R5 password CISCO cho thằng R4 hoặc (2) ép thằng R5 gởi challenge với hostname là TestR5 thay vì xài tên mặc định (R5) bằng lệnh ppp chap hostname (interface config mode)
                    + Trường hợp 1: R4 tìm thấy R5 trong database, lấy pass tương ứng ra thực hiện hash xong gởi hash value cho R5 kiểm tra, trong gói này cũng có tên hostname của nó (R4), khi gói tới R5 nó lục lọi trong database ra coi có thằng R4 nào ko? Đến đây là bạn tự hiểu là mình phải add thêm dòng username R4 password CISCO cho thằng R5 rồi chứ ;)
                    + Trường hợp 2: Sau khi ép R5 gởi challenge với hostname là TestR5 (thay vì R5) rồi thì yên tâm là R4 sẽ trả lời được (vì trong bộ nhớ nó đã có thông tin username TestR5 password CISCO), nhưng khi gởi gói trả lời nó vẫn dùng hostname của nó (là R4) nên buộc bạn cũng phải thêm dòng username R4 password CISCO cho thằng R5, nếu ko muốn add thêm dòng này thì bạn phải ép R4 trả lời với hostname là TestR4 thay vì R4 (cũng bằng lệnh ppp chap hostname trên R4)

                    Vậy tóm lại hoặc ta thêm vào database (nghe cho oai chứ thực ra chỉ là add vô running config thôi hèhè... đúng nghĩa là đưa vào bộ nhớ) của mỗi router một dòng username & pasword, nếu đề bài yêu cầu ko được dùng hostname mặc định của mỗi router (R4, R5) để thực hiện chap thì ta dùng phương án 2, không add nữa mà dùng lệnh ppp chap hostname để thay tên mặc định bằng tên username (TestR4, TestR5) (cách này có vẻ hay hơn hihi...)
                    Cảm ơn bạn harmonylove nhé. Một bài trả lời thật hoàn chỉnh.
                    Mình vừa test xong và chạy rất tốt theo đúng như những gì bạn đã giải thích.

                    *********************************************
                    *Jan 3 07:48:00.363: Se1/1 PPP: Authorization required
                    *Jan 3 07:48:00.531: Se1/1 PAP: Using hostname from interface PAP
                    *Jan 3 07:48:00.535: Se1/1 PAP: Using password from interface PAP
                    *Jan 3 07:48:00.535: Se1/1 PAP: O AUTH-REQ id 102 len 17 from "TestR5"
                    *Jan 3 07:48:00.539: Se1/1 CHAP: O CHALLENGE id 105 len 27 from "TestR5"
                    *Jan 3 07:48:00.727: Se1/1 CHAP: I RESPONSE id 105 len 23 from "R4"
                    *Jan 3 07:48:00.731: Se1/1 PPP: Sent CHAP LOGIN Request
                    *Jan 3 07:48:00.731: Se1/1 PPP: Received LOGIN Response FAIL
                    *Jan 3 07:48:00.731: Se1/1 CHAP: O FAILURE id 105 len 25 msg is "Authentication
                    failed"
                    *Jan 3 07:48:04.747: Se1/1 PPP: Authorization required
                    *Jan 3 07:48:04.895: Se1/1 PAP: Using hostname from interface PAP
                    *Jan 3 07:48:04.899: Se1/1 PAP: Using password from interface PAP
                    *Jan 3 07:48:04.899: Se1/1 PAP: O AUTH-REQ id 103 len 17 from "TestR5"
                    *Jan 3 07:48:04.903: Se1/1 CHAP: O CHALLENGE id 106 len 27 from "TestR5"
                    *Jan 3 07:48:05.171: Se1/1 CHAP: I RESPONSE id 106 len 23 from "R4"
                    *Jan 3 07:48:05.175: Se1/1 PPP: Sent CHAP LOGIN Request
                    *Jan 3 07:48:05.179: Se1/1 PPP: Received LOGIN Response FAIL
                    *Jan 3 07:48:05.183: Se1/1 CHAP: O FAILURE id 106 len 25 msg is "Authentication
                    failed"
                    *Jan 3 07:48:07.339: Se1/1 PPP: Authorization required
                    *Jan 3 07:48:07.527: Se1/1 PAP: Using hostname from interface PAP
                    *Jan 3 07:48:07.531: Se1/1 PAP: Using password from interface PAP
                    *Jan 3 07:48:07.531: Se1/1 PAP: O AUTH-REQ id 104 len 17 from "TestR5"
                    *Jan 3 07:48:07.535: Se1/1 CHAP: O CHALLENGE id 107 len 27 from "TestR5"
                    *Jan 3 07:48:07.695: Se1/1 CHAP: I RESPONSE id 107 len 23 from "R4"
                    *Jan 3 07:48:07.699: Se1/1 PPP: Sent CHAP LOGIN Request
                    *Jan 3 07:48:07.703: Se1/1 PPP: Received LOGIN Response FAIL
                    *Jan 3 07:48:07.707: Se1/1 CHAP: O FAILURE id 107 len 25 msg is "Authentication
                    failed"
                    *Jan 3 07:48:09.835: Se1/1 PPP: Authorization required
                    *Jan 3 07:48:09.939: Se1/1 PAP: Using hostname from interface PAP
                    *Jan 3 07:48:09.939: Se1/1 PAP: Using password from interface PAP
                    *Jan 3 07:48:09.939: Se1/1 PAP: O AUTH-REQ id 105 len 17 from "TestR5"
                    *Jan 3 07:48:09.943: Se1/1 CHAP: O CHALLENGE id 108 len 27 from "TestR5"
                    *Jan 3 07:48:10.039: Se1/1 CHAP: I RESPONSE id 108 len 27 from "TestR4"
                    *Jan 3 07:48:10.043: Se1/1 PPP: Sent CHAP LOGIN Request
                    *Jan 3 07:48:10.051: Se1/1 PPP: Received LOGIN Response PASS
                    *Jan 3 07:48:10.055: Se1/1 PPP: Sent LCP AUTHOR Request
                    *Jan 3 07:48:10.063: Se1/1 PPP: Sent IPCP AUTHOR Request
                    *Jan 3 07:48:10.063: Se1/1 PAP: I AUTH-ACK id 105 len 5
                    *Jan 3 07:48:10.067: Se1/1 LCP: Received AAA AUTHOR Response PASS
                    *Jan 3 07:48:10.071: Se1/1 IPCP: Received AAA AUTHOR Response PASS
                    *Jan 3 07:48:10.075: Se1/1 CHAP: O SUCCESS id 108 len 4
                    *Jan 3 07:48:10.079: Se1/1 PPP: Sent CDPCP AUTHOR Request
                    *Jan 3 07:48:10.083: Se1/1 CDPCP: Received AAA AUTHOR Response PASS
                    *Jan 3 07:48:10.279: Se1/1 PPP: Sent IPCP AUTHOR Request
                    *Jan 3 07:48:10.875: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/1,
                    changed state to up
                    *************************
                    Sau khi thêm vào 2 câu lệnh ppp chap hostname TestRx là kết quả như trên. Tuyệt vời.

                    Again, thank you.

                    Comment

                    Working...
                    X