II. Xác thực PPP
3. Giao thức điều khiển liên kết
Giao thức điều khiển liên kết (Link Control Protocol LCP) thực hiện chức năng điều khiển cùng một công việc mà bất kể giao thức lớp 3 nào được sử dụng. Các Link Control Protocol (LCP) của PPP được sử dụng để thương lượng và thiết lập các tùy chọn kiểm soát vào liên kết dữ liệu WAN. PPP cung cấp nhiều dịch vụ. Các dịch vụ này tùy chọn trong LCP và chủ yếu được sử dụng để thương lượng và kiểm tra các khung để thực hiện các điều khiển dạng điểm-
điểm mà một quản trị viên chỉđịnh cho kết nối. LCP cung cấp 4 đặc tính cơ bản sau:
3.1 Phát hiện liên kết lặp:
Phát hiện lổi và phát hiện liên kết lặp là hai đặc tính quan trọng của PPP. Phát
hiện liên kết lặp cho phép sự hội tụ nhanh hơn khi một liên kết bị rớt bởi vì vòng lặp. Router không thể gởi bất kì bit nào đến nơi khác khi có vòng lặp đang
LCP thông báo liên kết lạp nhanh chóng bằng một tính năng gọi là “magic numbers”. Khi dùng PPP, router gởi thông báo PPP LCP thay vì thông tin keepalive của Cisco đi qua liên kết; những thông tin này bao gồm một magic
number, khác nhau trên mỗi router. Nếu một đường bị lặp, router nhận một
thông tin LCP với chính số magic number của nó thay vì lấy một thông tin với
một số khác. Khi router nhận chính số magic của nó, router sẽ biết rằng khung này đã được gởi trở lại do có sự cố vòng lặp, vì thế router làm down cổng giao
diện với một sự hội tụ nhanh.
3.2 Tăng cường khả năng phát hiện sự cố:
Tương tự như nhiều giao thức liên kết dữ liệu khác, PPP dùng một vùng FCS
trong PPP trailer để xác định nếu một khung cá thể gặp sự cố. Nếu một khung gặp sự cố, nó được loại bỏ. Tuy nhiên, PPP có thể kiểm tra tần số số khung
nhận bị lỗi để có thể làm down cổng giao diện nếu quá trình frame bị lỗi xuất
hiện.
PPP LCP xem xét tỷ lện sự cố trên một liên kết bằng một tính năng gọi là chức năng phát hiện chất lượng của liên kết (Link Quality Monitoring LQM). LCP ở
tại mỗi liên kết gởi một thông tin so sánh số gói tin đúng nhận được và số dữ
liệu byte. Router gởi gói tin so sánh số này khung lỗi với số khung và byte nhận được, và tính toán tỷ lệ phần trăm gói tin bị mất. Router có thể làm down liên kết sau khi tỷ lệ lổi vượt quá sự mong đợi.
LQM hữu dụng khi có một liên kết dự phòng trong hệ thống mạng. Bằng cách
từ bỏ liên kết có nhiều lỗi xảy ra, ta có thể chuyển gói tin bằng cách dùng một đường dự phòng có ít sự cố.
3.3 PPP multilink:
Khi tồn tại nhiều liên kết PPP giữa hai router, được coi như là các liên kết song
song, router phải xác định cách thức sử dụng các liên kết này. Với đường
HDLC, và với đường PPP dùng một phương thức đơn giản, router phải dùng một kỹ thuật cân bằng tải ở lớp 3. Nghĩa là router có nhiều đường đi cho cùng một điểm đến như ví dụ trong hình sau:
Hình 4-3: Cân bằng tải không dùng tính năng Multilink PPP.
Trong ví dụ, ta có 2 gói tin, một lớn và một gói tin nhỏ. Dùng lập luận lớp 3,
router có thể chọn để gởi một gói tin trên một liên kết, và gói tin tiếp theo trên
đường còn lại. Tuy nhiên, bởi vì gói tin có dung lượng khác nhau, router không
thể cân bằng tải luồng dữ liệu bằng nhau trên mỗi liên kết. Trong trường hợp
này, khi hầu hết gói tin được gởi tới một vài điểm đích, số lượng gói tin được
gởi trên mỗi liên kết không thể cân bằng tải, dẫn đến tràn một liên kết và liên kết còn lại nhàn rỗi.
Cơ chế Multilink PPP cân bằng tải luồng dữ liệu bằng nhau trên các liên kết
trong khi cho phép lớp 3 trên mỗi router đối xử các liên kết song song như là
một liên kết duy nhất. Khi đóng gói một gói tin, PPP cắt nhỏ gói tin thành các khung nhỏ hơn, gởi một mảnh cắt trên mỗi liên kết.
3.4 Xác thực PPP:
PPP có thể mang các gói tin từ một số giao thức lớp mạng bằng cách sử dụng
giao thức kiểm soát mạng (Network Control Protocol - NCP). Các NCPs bao gồm các chức năng có chứa mã tiêu chuẩn để cho biết loại giao thức lớp mang
mà được đóng gói trong khung PPP.
Ba giai đoạn của phiên PPP được mô tả trong danh sách sau đây:
1. Giai đoạn xây dựng liên kết:
Trong giai đoạn này, mỗi thiết bị PPP sẽ gửi các gói LCP để cấu hình và kiểm
tra các liên kết dữ liệu. LCP gói chứa một trường tùy chọn cấu hình cho phép các thiết bị để đàm phán việc sử dụng các tùy chọn, như tối đa nhận được số đơn vị, việc nén của một số lĩnh vực PPP, và liên kết các giao thức xác thực.
Nếu một tùy chọn cấu hình không bao gồm trong một gói LCP, giá trị mặcđịnh
cho rằng tùy chọn cấu hình được giả định. 2. Giai đoạn xác thực (tùy chọn)
Sau khi liên kết được thành lập và các giao thức xác thực đã được quyết định,
các peer đi qua giai đoạn xác thực. Chứng thực, nếu được sử dụng, diễn ra trước khi các lớp giao thức mạng đượcbắt đầu.
PPP hỗ trợ hai giao thức xác thực: PAP và CHAP. Cả hai giao thức được thảo
luận trong RFC 1334.
3. Giai đoạn thương lượng giao thức lớp mạng:
Trong giai đoạn này, các thiết bị PPP gửi gói NCP để lựa chọn và cấu hình một hoặc nhiều giao thức lớp mạng, chẳng hạn như IP. Sau khi mỗi lựa chọn giao thức lớp mạng được cấu hình, datagrams từ mỗi giao thức lớp mạng có thểđược gửi qua liên kết.
PAP là một giao thức bắt tay hai bước (two-way handshake), cung cấp một
phương phápđơn giản cho một nút điều khiển từ xa để thiết lập nhận dạng. PAP
được thực hiện chỉ khi thành lập liên kết ban đầu.
Sau khi giai đoạn liên kết PPP thành lập hoàn tất, các nút điều khiển từ xa nhiều lần gửi một cặp tên người dùng và mật khẩu đểđịnh tuyến cho đến khi xác thực
được công nhận hoặc kết nối được chấm dứt. Hình 4-5 cho thấy một ví dụ của một chứng thực PAP.
Hình 4-5: Chứng thực PAP.
PAP không phải là một giao thức xác thực mạnh. Mật khẩu được gửi qua các liên kết dưới dạng văn bản gốc, có thể được sử dụng tốt trong môi trường có sử
dụng mật khẩu dạng token có khả năng thay đổi mật khẩu mỗi lần xác thực,
nhưng không an toàn trong hầu hết môi trường.
CHAP, trong đó sử dụng phương thức bắt tay ba bước (three-way handshake), xảy ra ở lần khởi động của một liên kết và định kỳsau đóđể xác minh danh tính của các nút điều khiển từ xa bằng cách sử dụng một phương thức bắt tay ba
bước.
Sau khi giai đoạn liên kết PPP thành lập hoàn tất, các bộđịnh tuyến nội bộ gửi một thông điệp thách thức đến với các nút điều khiển từ xa. Các nút điều khiển từ xa phản hồi với một giá trịđược tính bằng cách sử dụng một hàm băm một chiều, thông thường văn bản được mã hóa dạng MD5, dựa trên mật khẩu và văn
bản. Các bộđịnh tuyến nội bộ kiểm tra các phản ứng bằng tính toán riêng để trả
về giá trịbămmong đợi. Nếu các giá trị phù hợp, xác thực được thừa nhận. Nếu không, kết nối được chấm dứt ngay lập tức. Hình 4-6 cung cấp một ví dụ về xác thực CHAP.
Hình 4-6: Chứng thực CHAP.
CHAP cung cấp phương pháp chống lại tấn công bằng cách sử dụng một giá trị
thách thức (challenge) là duy nhất và không thể đoán trước. Bởi vì thách thức là duy nhất và ngẫu nhiên, giá trị băm cũng sẽ là duy nhất và ngẫu nhiên. Các bộ định tuyến nội bộ hoặc một máy chủ chứng thực của bên thứ ba để kiểm soát tần số và thời gian trong những challenge.