Wide area networks (Phần 2)
PPP (Point-to-Point Protocol)
PPP (Point-to-Point Protocol) là giao thức mà chúng ta có thể tìm hiểu được nhiều thứ hơn về nó. Hãy nhớ lại về mô hình OSI!!! Như đã đề cập ở phần trước, khi làm việc với công nghệ mạng WAN, chúng ta sẽ chỉ làm việc physical layer và data link layer. Chúng ta nói về physical layer, đó chính là việc sử dụng serial cables. Bây giờ, chúng ta sẽ tìm hiểu về data link layer.
- NCP: Network Control Protocol
- LCP: Link Control Protocol
And you thought the OSI-model finally made sense heh? 😉
LCP là thành phần sẽ đảm bảo nhiệm vụ thiết lập các liên kết với physical layer – tầng vật lý. Nếu bạn cấu hình authentication (xác thực) cho PPP thì LCP cũng sẽ là thành phần đảm nhiệm nhiệm vụ này. Sau khi việc thiết lập các liên kết hoàn thành, PPP sẽ dùng tiếp thành phần NCP.
- LCP: Thiếp lập liên kết ở physical layer.
- Optional – tùy chọn: Authentication – Xác thực hai đầu
- NCP: đảm bảo việc sử truyền dữ liệu bằng IP hay bất cứ một giao thức nào khác thông qua kết nối sử dụng PPP.
- PAP (Password Authentication Protocol): Với phương thức xác thực này, Router vẫn gửi các cói tin dưới dạng plaintext (không mã hóa)!!!. Router sẽ gửi username và password trên đường truyền sử dụng PPP và router ở phía bên kia chỉ có nhiệm vụ kiểm tra username và password này.
- CHAP (Challenge Authentication Protocol): Thay vì chỉ gửi password dưới dạng plaintext. Các router chạy PPP sẽ gửi một “challenge”, là một password đã được băm (hash). Điều này cho ta một cơ chế bảo mật tốt hơn.
PAP
Hãy cùng xem một ví dụ để hiểu cách PAP hoạt động:
- Ở phía tay trái mô hình ta có một router gọi là KingKong
- PPP sẽ bắt đầu thiết lập một kết nối giữa 2 đầu router sử dụng LCP
- Nếu sử dụng cấu hình xác thực (authentication) trên hai router, hai router sẽ chứng thực lẫn nhau:
- Router KingKong sẽ gửi hostname và password dưới dạng plaintext sang phía router đối diện
- Router đầu đối diện sẽ kiểm tra thông tin được cấu hình để chấp nhận (accept) hay từ chối (deny) thông tin nhận được (credentials)
- Tương tự với chiều ngược lại.
CHAP
- Ở phía trái mô hình, ta có router KingKong, và phía tay phải là router Skull
- PPP sẽ bắt đầu thiết lập một kết nối giữa 2 đầu router sử dụng LCP
- Router KingKong sẽ thử gửi một thông tin xác thực tới router Skull sử dụng CHAP
Hãy cùng nhau tìm hiểu cách mà router Skull sẽ kiểm tra thộng tin xác thực mà router KingKong đã gửi. Bạn có thể thấy router KingKong gửi một “challenge” sang cho router Skull.
Thay vì việc gửi password dưới dạng plaintext router Skull đã gửi password đã được băm (hash) sang router KingKong. Chính điều này đã tăng mức độ bảo mật.
Nếu kiểm tra thấy rằng mã băm (hash) chính xác thì router KingKong sẽ xác thực thành công với router Skull. Lúc này, đường liên kết sử dụng PPP bắt đầu hoạt động.
Hãy luôn nhớ rằng, việc xác thực sử dụng PPP chỉ kiểm tra duy nhất thông tin về username và password, nó không thực hiện việc mã hóa các frame trên đường truyền. Tất cả các lưu lượng trên liên kết sử dụng PPP đều ở dạng cleartext (không mã hóa); nếu bạn muốn mã hóa thông tin trên đường truyền, bạn có thể sử dụng VPN.
Hãy cùng nhau tìm hiểu các mà PPP chạy trên thực tế. Tiếp tục sử dụng mô hình đã thực hiện cho HDLC:
Đầu tiên, cấu hình cho các serial interface sử dụng đóng gói bằng PPP:
Sử dụng câu lệnh encapsulation ppp để cấu hình thay đổi giao thức đóng gói trên serial interface thành PPP (hãy nhớ là HDLC được cấu hình mặc định cho các interface này). Giờ chỉ là cấu hình địa chỉ IP cho các interface này.
Bây giờ, bạn hãy dùng câu lệnh “no shutdown”, và giờ là lúc chúng ta cùng nhau debug quá trình mà LCP thiết lập kết nối:
Câu lệnh debug ppp negotiation sẽ cho phép bạn nhìn thấy cách mà giao thức PPP thiết lập kết nối. Hãy cho phép các interface này hoạt động:
Câu lệnh no shutdown sẽ cho phép các interface này bắt đầu vào trạng thái hoạt động, bạn sẽ nhìn thấy quá trình thiết lập đường link sử dụng PPP bằng cách debug nó:
Đầu tiên, bạn có thể thấy các thông điệp (messages) “LCP” dùng để thiếp lập đường liên kết. Khi mà LCP kết thúc, bạn có thể nhìn thấy các thông điệp “IPCP” và “CDPCP”. Đó là các thông điệp do NCP tạo ra dùng để các router có thể sử dụng để gửi các lưu lượng IP hay CDP trên con đường PPP. CDP (Cisco Discovery Protocol) là giao thức dùng phát hiện ra các thiết bị Cisco khác trên hệ thống mạng.
Giờ hãy kiểm tra lại kết nối giữa hai router:
Ta có thể thấy là liên kết sử dụng PPP đã hoạt động. Hãy tắt debug trước khi ta tiếp tục khảo sát:
Hãy cùng nhau khảo sát quá trình xác thực cho PPP, sử dụng CHAP để xác định:
Đầu tiên, chúng ta sẽ cấu hình username và password. Bạn phải cấu hình username là hostname của router phía bên kia của đường link. Điều đương nhiên là bạn phải cấu hình password giống nhau ở cả hia phía.
Sử dụng câu lệnh ppp authentication chap để kích hoạt việc xác thực sử dụng CHAP. Khi bạn kích hoạt trên cả hai router thì lúc này chúng bắt đầu việc xác thực lẫn nhau.
Bạn có thể kích hoạt việc debug để kiểm tra việc xác thực PPP. Hãy tiếp tục theo dõi:
Việc sử dụng shutdown và no shutdown sẽ giúp chúng thiết lập lại đường link và cả việc xác thực.
Sau đây là kết quả:
Ở phía trên, bạn có thể nhìn thấy “O” đại diện cho các gói tin theo chiều outgoing và “I” đại diện cho các gói tin theo chiều incoming. Các router đều sẽ gửi “challenge”, nhận hồi đáp và sau đó gửi thông điệp thành công (success message) cho nhau. Ở ví dụ trên router nhận “challenge” từ router Skull, gửi hồi đáp và nhận thông điệp thành công.
PPP thường được sử dụng bởi ISP cho các kết nối DSL (DSL connections). Lý do quan trọng nhất tại sao chúng ta sử dụng PPP là vì PPP có cho phép xác thực (CHAP), nó cho phép người sử dụng phải cấu hình xác thực với ISP của mình khi cấu hình kết nối trên DSL modem…
Thực tế thì DSL không tạo cho chúng ta một link – liên kết dạng point to point và cũng không hỗ trợ PPP hay CHAP…
Lược dịch “How to master CCNA”
NGUYỄN VĂN HUY DŨNG