570 một cuộc gọi yêu cầu callback server gọi lại cho nó rồi kết thúc ngay cuộc gọi này. Sau đ ó callback server thực hiện gọị lại cho client dựa trên cấu hình của nó. LCP còn thực hiện những việc sau: • Kiểm soat các giới hạn khác nhau về kích thước gói dữ lieu • Phát hiện lỗi cấu hình • Kết thúc đư ờ ng truyền • Kiểm tra xem đư ờ ng truyền hoạt đ ộ ng tốt hay bị hư hỏng PPP cho phép nhiều giao thức lớp mạng khác nhau hoạt đ ộ ng trên cùng một đư ờ ng truyền. Đ ố i với mỗi giao thức lớp Mạng đư ợ c sử dụng, PPP cung cấp một NCP riêng biệt. Ví dụ : IPCP (IP Control Protocol) sử dụng cho giao thức IP, IPXCP (Novell IPX control Protocol) sử dụng cho IPX. NCP có mã số chuẩn cho biết giao thức lớp mạng nào đ ang đư ợ c đ óng gói trong frame PPP Sau đ ây là các phần trong frame PPP • C ờ : Cho biết bắt đ ầ u kết thúc một frame, phần này bao gồm chuỗi nhị phân 0111110 • Đ ị a ch ỉ : Chứa đ ị a chỉ quảng bá 11111111. PPP không ấ n đ ị nh đ ị a chỉ riêng cho trạm đ ích vì kết nối PPP là kết nối đ i ể m - n ố i - đ i ể m • Đ i ề u khi ể n : Chiều gài 1 byte có giá trị là 00000011,thực hiện dịch vụ truyền thông kết nối, tương tự như LLC (Logical Link Control) loại 1, truyền dữ liệu không theo thứ tự frame • Giao th ứ c:Chi ề u gài 2 bte cho biết giao thức lớp trên nào có dữ liệu đư ợ c đ óng gói trong frame • D ữ li ệ u: Có chiều dài >= 0 byte, chứa toàn bộ dữ liệu của lớp trên. Kết thúc phần dữ liệu là cờ kết thúc và tiếp theo sau là 2 byte của phần FCS. Chiều dài tối đ a mặc đ ị nh của phần dữ liệu là 1500 byte • FCS: Thường dài 2 byte đư ợ c sử dụng đ ể kiểm tra lỗi frame 3.2.2. Thiết lập một phiên kết nối PPP 571 Một phiên kết nối PPP đư ợ c thiết lấp sau 3 giai đ o ạ n: giai đ o ạ n thiết lập kết nối, giai đ o ạ n xác minh và giai đ o ạ n cấu hình giao thức lớp Mạng. Frame LCP đư ợ c sử dụng đ ể thực hiện các công việc trong mỗi giai đ o ạ n. Sau đ ây là các loại frame LCP đư ợ c sử dụng trong phiên kết nối PPP • Frame thiết lập kết nối: đư ợ c sử dụng đ ể thiết lập và cấu hình kết nối • Frame kết thúc kết nối : đư ợ c sử dụng đ ể kết thúc kết nối • Frame duy trì kết nối đư ợ c sử dụng đ ể quản lý và đ i ề u chỉnh đư ờ ng truyền Sau đ ây là 3 giai đ o ạ n thiết lập một phiên kết nối PPP: • Giai đ o ạ n thi ế t l ậ p k ế t n ố i;Trong giai đ o ạ n này mỗi thiết bị PPP gửi đ i frame LCP đ ể cấu hình và kiểm tra kết nối.Trong frame LCP có chứa các thông tin đ ể các thiết bị có thể thoả thuận và thực hiện các cấu hình cho đư ờ ng truyền, ví dụ: đơ n vị truyền tối đ a (MTU – Maximum transmission unit), nén dữ liệu và giao thức xác minh. Nếu không có thông tin gì nằm trong gói LCP thì đư ờ ng truyền sẽ đư ợ c thiết lập theo các thông số mặc đ ị nh. Đư ờ ng truyền phải đư ợ c mở lên và cấu ình xong trước khi có thể truyền các gói dữ liệu lớp Mạng. Quá trình này dược kết thúc khi thông tin xác nhận cấu hình đư ợ c gửi và nhận xong. • Giai đ o ạ n xác minh:(Giai đ o ạ n này không bắt buộc phải có ) Sauk hi đư ờ ng truyền đ ã đư ợ c thiết lập và giao thức xác minh đ ã đư ợ c chọn xong, thiết bị ở hai đ ầ u kết nối thực hiện xác mnh với nhau. Quá trình xác minh đư ợ c thực hiện trước khi chuyển sang giai đ o ạ n cấu hình giao thức lớp Mạng. Trong giai đ o ạ n này LCP cũng thực hiện kiểm tra chất lượng đư ờ ng truyền. • Giai đ o ạ n câu hình giao th ứ c l ớ p mang Trong giai đ o ạ n này các thiết bị PPP gửi gói NCP đ ể chọn lựa và cấu hình cho một hay nhiều giao thức lớp Mạng, ví dụ như giao thức IP. Khi mỗi giao thức lớp Mạng đư ợ c cấu hình xong thì gói dữ liệu của giao thức đ ó có thể đư ợ c truyền đ i trên đư ờ ng truyền. Kết quả của lệnh show interfaces sẽ cho biết trạng thái của LCP và NCP trong c ấu hình PPP Một kết nối PPP sẽ được duy trì cho đến khi: Frame LCP hay LCP đ óng đư ờ ng truyền • Thời gian chờ đ ã hết hạn • Sự can thiệp của người sử dụng 3.2.3 Giao thức xác minh PPP 572 Giai đ o ạ n xác minh của một phiên kết nối PPP là không bắt buộc. Sauk hi đư ờ ng truyền đ ã đư ợ c thiết lập và giao thức xác minh đ ã đư ợ c chọn thì hai thiết bị ở hai đ ầ u kết nối thực hiện xác minh với nhau. Quá trình xác minh đư ợ c thực hiện trước khi giai đ o ạ n cấu hình giao thức lớp Mạng bắt đ ầ u. Khi thực hiện xác minh, bên thiết lập kết nối đư ợ c yêu cầu cung cấp các thông tin đ ể xác minh quyền thiết lập kết nối. Hai router ở hai đ ầ u kêt nối sẽ trao đ ổ i với nhau các thông đ i ệ p xác minh Khi cấu hình quá trình xác minh PPP, người quản trị mạng có thể chọn giao thức PAP (Password Authentication Protocol) hay CHAP (Challenge Handshake Authentication Protocol). Nói chung Chap là giao thức thường đư ợ c đ ề nghị hơn 3.2.4 PAP (Password Authentication Protocol) PAP cung cấp một cơ chế xác minh đơ n giản sử dụng quá trình bắt tay 2 bước. Sauk hi giai đ o ạ n thiết lập kết nối PPP hoàn tất, cặp username/password đư ợ c router ở đ ầ u xa gửi đ i nhiêu lần trên đư ờ ng truyền cho đ ế n khi đ ã đư ợ c xác nhận hoặc kết nối bị xóa. PAP không phải là một giao thức xác minh manh. Password đư ợ c gửi đ i nguyên mẫu trên đư ờ ng truyền. Do đ ó không có gì khó khăn đ ố i với các loại tấn công Playback hoặc repeated trial-and-error. Router đ ầ u xa chỉ đư ợ c kiểm tra một lần khi truy nhập 3.2.5 CHAP (Challenge Handshake Authentication Protocol) Chap đư ợ c sử dụng khi khởi đ ộ ng đư ờ ng truyền và sau đ ó kiểm tra router đ ầ u xa theo đ ị nh kỳ với quá trình bắt tay 3 bước. CHAP đư ợ c thực hiện ở lúc bắt đ ầ u thiết lập kết nối và luôn đư ợ c lặp lai trong suốt quá trình kết nối đư ợ c duy trì. 573 Sau khi giai đ o ạ n thiết lập kết nối PPP hoàn tất, router trung tâm gửi một thông đ i ệ p “thử thách” cho router đ ầ u xa. Router đ ầ u xa sử dụng thông đ i ẹ p này với password của nó thông qua thuật toán MD5 (Message Digest ) tạo ra một thông đ i ệ p trả lời. Router đ ầ u xa gửi thông đ i ệ p trả lời này cho router trung tâm. Router trung tâm sử dụng thông đ i ệ p trả lời đ ể tính toan ra một giá trị. Nếu giá trị này đ úng với thông đ i ệ p “thử thách” ban đ ầ u thì thông tin xác minh đư ợ c xác nhận nếu khong thì kết nối sẽ bị xoá ngay Chap chống đư ợ c kiểu tấn công Playback vì giá trị của thông đ i ệ p “thử thách” là ngẫu nhiên hoàn toàn khác nhau giữa mỗi lần gửi và không thể đ oán đư ợ c. Do đ ó giá trị của thông đ i ệ p trả lời cũng ngẫu nhiên và riêng biệt. Việc xác minh đư ợ c thực hiện lặp đ i lặp lại đ ể giời hạn thời gian tìm ra mật mã của các đ ợ t tấn công đơ n lẻ 3.2.6 Quá trình thực hiện xác minh PPP Sauk hi nhập lệnh encapsulation ppp thi bạn có thể thêm cấu hình cho quá trình xác minh PAP hoặc Chap. Nếu không cấu hình quá trình xác minh thì phiên kết nối PPP đư ợ c bắt đ ầ u ngay . Nếu bạn có cấu hình cho quá trình xác minh thì sẽ diễn ra như sau: • Xác đ ị nh giao thức xác minh • Kiểm tra cơ sở dữ liệu đ ể tìm cặp username/password tương ứ ng 574 • Nếu tín hiệu trả lời từ cơ sở dữ liệu là đ úng thì phiên kết nối PPP đư ợ c bắt đ ầ u nếu không thì sẽ bị xoá ngay 575 3.3 Cấu hình PPP 3.3.1 Giới thiệu cấu hình PPP Cấu hình PPP bao gồm các thông tin về : phương pháp xác minh, nén dữ liệu phát hiện lỗi có ghép kênh hay không Các thành Chức năng phần cấu hinh PPP Giao thức Lệnh cấu hình 576 Quá trình xác Quá trình xác minh yêu cầu PAP minh bên thiết lập kết nối cung cấp CHAP thông tin đ ể xác minh quyền thực hiện kết nối . Hai router ở hai bên đ ầ u kết nối trao đ ổ i thông đ i ệ p xác minh. Có hai giao thức thực hiện xác minh là PAP và CHAP Nén d ữ liệu Ppp Authentication Pap Ppp Authentication Chap Nén d ữ liệu giúp tăng thông Stacker Compress stac lượng đư ờ ng truyền PPP Predictor Compress bằng cách giảm lượng dữ liệu đư ợ c truyền đ i trên đư ờ ng Predictor truyền. Frame sẽ đư ợ c giải nén ở đ ầ u nhận. Hai giao thức nén dữ liệu chạy trên router Cisco là Stacker và Preditor Cơ chế phát hiện lỗi của PPP thực hiện quá trình kiểm tra đ i ề u kiện đư ờ ng truyền. Chỉ số Quality Magic giúp xác đ ị nh vòng lặp và đ ộ tin cập của đư ờ ng truyền Phiên bản Cisco IOS 11.1 trở MP đ i có hỗ trợ giao thức ghép kênh MP (Multilink protocol) Giao thức này cho phép chia sẻ tải trên các cổng của router đ ang sử dụng PPP. MP cắt gói dữ liệu thành nhiều phân đ o ạ n có đ ánh số thứ tự và truyền trên các kênh song song. Các kênh PPP này hoạt Ppp multilink Phát hiện lỗi Multilink 577 đ ộ ng như một kênh logic, giúp tăng thông lượng và giảm thời gian trễ giữa hai router 3.3.2 Cấu hình PPP Sau đ ây là ví dụ cho cấu hình đ óng gói PPP trên cổng Serial (pp) • Router # configure terminal • Router (config) # interface serial 0/0 • Router (config –if)#encapsulation ppp Chúng ta cũng có thể cấu hình phần mềm nén dữ liệu trên cổng Serial đ ang sử dụng đ ón g gói PPP. Nén dữ liệu đư ợ c thực hiện bằng phần mềm. Chúng ta không nên sử dụng nén dữ liệu lần nữa khi bản than phần lớn dữ liệu đư ợ c truyền đ i trên cổng này đ ã đư ợ c nén rồi. • Router (config)#interface serial 0/0 • Router (config – if )#encapsulation ppp • Router (config – if)# compress (predictor stac) Chúng ta nhập lệnh sau đ ể có thể theo dõi mức đ ọ rớt gói dữ liệu trên đư ờ ng truyền và tránh bị vòng lặp: • Router (config)#interface serial 0/0 • Router (config – if )#encapsulation ppp • Router (config – if )#ppp quality p ercentage Ch úng ta s ử d ụ ng c ác l ệ nh sau đ ể cho ph ép th ự c hi ệ n chia t ả i tr ên nhi ề u đ ư ờ ng k ế t n ố i: • Router (config)#interface serial 0/0 • Router (config – if )#encapsulation pp • Rot er (c onfig – if) # ppp multilink 3.3.3 Cấu hình quá trình xác minh PPP Bước Bước 1 Mô tả Trên mỗi router khai báo username và password của router kết nối vào nó 578 Router (config)# username name password secret Name là tên c ủa router kết nối vào router đ ang cấu hình Bước 2 Bước 3 Vào chế đ ộ câú hình của cổng tương ứ ng Cấu hình đ óng gói PPP cho cổng: Router (config – if) # encapsulation ppp Bước 4 Bước 5 Cấu hình quá trình xác minh PPP N ếu bạn khai báo cả CHAP và PAP thì tên nào đư ợ c đ ặ t trước sẽ đư ợ c sử dụng trước. Nếu router đ ầ u bên kia yêu cầu sử dụng phương thức thứ hai hoặc đơ n giản là từ chối phương thức thứ nhất thì phương thức thứ hai sẽ đư ợ c áp dụng. Bắt đ ầ u từ phiên bản Cisso IOS 11.1 trở đ i bạn phải khởi đ ộ ng PAP trên cổng cần thiết mặc đ ị nh là PAP không chạy trên router Bước 6 Hình 3.3 3.a là tóm tắt quá trình cấu hình PAP trên hai router kết nối với nhau. Cặp username/password trên mỗi router phải phù hợp với hostname và password đư ợ c khai báo trên router kia. 579 PAP là phương thức xác minh đơ n giản sử dụng hai bước bắt tay và đư ợ c thực hiện khi thiết lập kết nối. Quá trình xác minh PAP thực hiện và đư ờ ng truyền đư ợ c thiết lập CHAP thực hiện kiểm tra router kết nối ở đ ầ u xa sử dụng ba bước bắt tay và đư ợ c lặp lại theo đ ị nh kì. Quá trình này đư ợ c thực hiện xong lần đ ầ u tiên. Đư ờ ng truyền đư ợ c thiết lập và luôn đư ợ c lặp lại trong suốt quá trình kết nối . 3.3 Cấu hình PPP 3.3.1 Giới thiệu cấu hình PPP Cấu hình PPP bao gồm các thông tin về : phương pháp xác minh, nén dữ liệu phát hiện lỗi có ghép kênh hay không Các thành Chức năng phần cấu. đ ang cấu hình Bước 2 Bước 3 Vào chế đ ộ câú hình của cổng tương ứ ng Cấu hình đ óng gói PPP cho cổng: Router (config – if) # encapsulation ppp Bước 4 Bước 5 Cấu hình quá trình. đơ n lẻ 3.2.6 Quá trình thực hiện xác minh PPP Sauk hi nhập lệnh encapsulation ppp thi bạn có thể thêm cấu hình cho quá trình xác minh PAP hoặc Chap. Nếu không cấu hình quá trình xác minh thì