Cấu hình và kiểm tra PPP

Một phần của tài liệu GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt (Trang 86 - 183)

Để bật tính năng đóng gói PPP bằng xác thực PAP hay CHAP trên cổng giao

diện, hoàn thành các bước sau:

 Bất tính năng đóng gói PPP như giao thức lớp 2 trên giao diện cổng.

(Tùy chọn) Bật tính năng xác thực PPP theo các bước sau:

Bước 1: Cấu hình tên host cho router.

Bước 2: Cấu hình tên và mật khẩu để xác thực PPP đồng cấp.

Bước 3: Chọn phương thức xác thực cho liên kết PPP: PAP hoặc CHAP.

Để bật tính năng đóng gói PPP, dùng lệnh encapsulation ppp trên giao diện

cổng.

Để cấu hình xác thực PPP, giao diện cổng phải cấu hình đóng gói với PPP. Các bước sau dùng bật tính năng xác thực PAP hoặc CHAP.

Bước 1: Đặt tên cho host trên mỗi router bằng lệnh hostname name. Tên này phải phù hợp với username mong chờ của router xác thực ở đầu cuối.

Bước 2: Trên mỗi router, định nghĩa tên và mật khẩu trùng khớp với thiết bị đầu

Bước 3: Cấu hình xác thực PPP với lệnh PPP authentication {pap | chap pap | pap chap | chap} trên giao diện cổng.

Nếu cấu hình PPP authentication chap trên giao diện cổng, tất cả các luồng PPP đi vào giao diện cổng sẽ được chứng thực với CHAP. Ngược lại, Nếu cấu

hình PPP authentication pap trên giao diện cổng, tất cả các luồng PPP đi vào giao diện cổng sẽ được chứng thực với PAP.

Nếu cấu hình PPP authentication chap pap trên giao diện cổng, tất cả các

luồng PPP đi vào giao diện cổng sẽ được chứng thực với CHAP. Nếu thiết bị

cuối không hỗ trợ CHAP, router sẽ cố gắng dùng PAP. Nếu thiết bị đầu cuối

không hỗ trợ cả PAP lẫn CHAP, xác thực sẽ thất bại, và luồng PPP sẽ bị từ

chối.

Ghi chú: Nếu bật cả hai tính năng, PAP và CHAP, phướng thức xác thực đầu

tiên sẽ được sử dụng trong suốt các phiên thương lượng. Nếu thiết bị cuối dùng

phương thức xác thực thứ hai hai từ chối phương thức đầu, phương thức xác thứ

thứ hai sẽ được dùng.

Ví dụ: Cấu hình PPP và CHAP.

Trong ví dụ này, bắt tay hai bước sẽ được thực hiện. Tên của router thứ nhất

phải trùng với router còn lại. Mật khẩu cũng tương khớp.

Ví dụ cấu hình PPP và CHAP.

Nhận thấy rằng đóng gói PPP đã cấu hình và LCP đã xây dựng một kết nối

(LCP Open).

Bởi vì phương thức bắt tay hai bước đã được cấu hình, do đó router này sẽ xác thực đầu kia, dùng lệnh debug ppp authentication để thấy được các tiến trình

đang xảy ra.

Để xác định nơi mà sẽ thực thi xác thực một bước hay hai bước bắt tay, nhìn vào cảnh báo, và ở đây router đang thực hiện xác thực dưới dạng bắt tay hai bước.

Tiến trình bắt tay hai bước diễn ra:

Để xác định nơi router sẽ thực hiện xác thực CHAP hay PAP, xem ở cảnh báo

sau:

Với xác thực bằng CHAP:

Với xác thực bằng PAP:

Tổng kết các điểm chính đã thảo luận:

 PPP là giao thức lớp 2 phổ biến cho kết nối WAN. Hai thành phần của PPP là:

thương lượng kết nối LCP và đóng gói luồng dữ liệu bằng NCP.

 Có thể cấu hình PPP bằng PAP hoặc CHAP. PAP gởi mọi thứ dưới dạng văn

bản trong khi CHAP dùng thuật toán băm MD5.

 Lệnh show interface để kiểm tra đóng gói PPP và lệnh debug ppp negotiationđể xác định bắt tay LCP.

IV. Xử lý sự cố trong xác thực PPP:

1. Giải quyết các vần đề ở lớp 2:

Khi cả hai cổng giao diện đều up nhưng có ít nhất một line protocol của router

có dấu hiệu Down hoặc chuyển đổi liên tục giữa up và down (dấu hiệu flapping)

chứng tỏ là những sự cố có liên quan đến lớp 2.

 Vấn đề thứ hai là không thiết lập keepalive (keepalive failure).

Đặc tính keepalive giúp router nhận ra khi một cổng router down, hoặc chuyển đổi một đường đi mới.

Hoạt động keepalive theo mặc định, router sẽ gởi thông tin về keppalive đến đầu kia mỗi 10 giây. Nếu một router không nhận bất kì thông tin keepalive nào từ router còn lại trong khoảng thời gian mặc định, router sẽ làm down cổng giao

diện do nghĩ rằng cổng giao diện này không hoạt động.

Trong thực tế, luôn bật tính năng keepalive. Tuy nhiên, lỗi gây nên do đã tắt chế độ keepalive trên một đầu của cổng giao diện.

Trong ví dụ sau, Router1 sẽ dùng lệnh no keepalive trên cổng giao diện để tắt

chế độ keepalive. Router2 vẫn tiếp tục gởi thông tin keepalive và mong chờ

nhận một giá trị phản hồi. Sau một khoảng thời gian trôi qua, Router 2 không

nhận được bất kì thông tin keepalive từ router1, nó sẽ chuyển tình trạng của

cổng sang “up và down”. Sau đó Router2 tiếp tục chuyển trạng thái cổng sang

UP và gởi thông tin keepalive, nhưng vẫn không nhận được phản hồi từ

Router1, và tiếp tực trở về trạng thái “up và down”. Trang thái up và down diễn

ra liên tục (flapping). Trong khi đó, Router1 không quan tâm về giá trị

keepalive nên cổng giao diện vẫn ở trang thái “up và up”.

 Vấn đề thứ ba chính là xác thực không chính xác khi dùng PAP hay CHAP. Kiểm tra thông tin từ dòng cảnh báo với debug ppp authentication

CHAP trao đổi ba thông tin cảnh báo khi tiến hành xác thực. Ba dòng sáng dưới đây chỉ ra tiến trình xác thực của R1 với R2; ban đầu R1 gởi một thông tin thử thách (challenge), Sau đó nó nhận được thông tin phản hồi từ R2, và thông tin cuối cùng là quá trình xác thực hoàn tất.

Khi quá trình xác thực CHAP không chính xác, cảnh báo từ debug sẽ gởi hai

thông tin

Tổng kết về các sự cố trong lớp 2 khi thực thi PPP:

Dấu hiệu

Line

Dấu hiệu protocol Lý do gây sự cố

UP Down cả hai đầu giao

diện, hoặc Down tại một đầu, chuyển đổi liên tục

giữa up và down

Không phù hợp giao

thức xác thực

UP Down một đầu, Up tại đầu còn lại

Keepalive đã tắt

UP Down cả hai cổng giao

diện

Thông tin xác thực về tên và mật khẩu chưa phù

2. Giải quyết các vấn đề ở lớp 3:

Có hai trường hợp xảy ra:

Một là: giao diện cổng vẫn ở trạng thái “up và up” nhưng ping không được do

lỗi cấu hình ở lớp 3. Hai là: ping vẫn hoạt động, nhưng các giao thức routing

không thể trao đổi qua lại giữa các thiết bị.

Với HDLC, trong trường hợp cả hai giao diện cổng vẫn ở trạng thái “up và up”. Tuy nhiên, nếu địa chỉ IP được cấu hình trên cổng Serial của hai router khác

nhau về subnet, lệnh ping sẽ không hoạt động, bởi vì router không trùng khớp các đường route với nhau.

Ví dụ: địa chỉ IP trên cổng Serial của R1 la 192.168.2.1 và của R2 đổi lại thành 192.168.3.2 (thay vì 192.168.2.2), và vẫn dùng subnet /24. Khi đó hai router kết

nối với hai subnet khác nhau. Lệnh ping không thể thành công.

Giải pháp cho sự cố trên đường HDLC đơn giản. Khi thấy cả hai giao diện cổng đều ở trạng thái “up và up” mà lệnh ping không thành công là do địa chỉ subnet

trên hai cổng không phù hợp với nhau.

Với đường PPP là một trường hợp khác, cấu hình không tương thích về địa chỉ

IP và subnet, cả hai giao diện cổng ở trạng thái “up và up”, nhưng lệnh ping vẫn

thực thi thành công. Khi router dùng kiểu đóng gói PPP để quảng bá địa chỉ

cổng Serial đến router đằng xa, với một tiếp đầu ngữ /32 (/32 prefix), là một lộ

trình để đến chính nó. Vì thế, cả hai router sẽ có ột lộ trình để đưa gói tin đến đầu kia, ngay cả khi hai router cấu hình không tương thích về địa chỉ IP.

Ví dụ: nếu địa chỉ IP của R2 là 192.168.4.2/24, trong khi của R1 là

192.168.2.1/24, hai địa chỉ khác nhau về subnet, nhưng lệnh ping vẫn thành công bởi vì quảng bá PPP với một host route /32.

Ghi chú: một route với tiếp đầu ngữ /32, đại diện cho một host đơn, được gọi là

Mặc dù có thể thực thi ping để kiểm tra kết nối hai đầu, nhưng các giao thức

routing vẫn không thể quảng bá các lộ trình bởi vì không liên kết được IP

subnet của đầu còn lại. Vì thế, khi giải quyết sự cố ở lớp mạng. Giả sử rằng

trạng thái cổng vẫn up/up, lệnh ping vẫn thực thi thành công nhưng các giao

thức routing vẫn không thể trao đổi qua lại được do hai router không cùng subnet,

Tổng kết về sự cố ở lớp 3:

Đỉa chỉ IP ở cổng giao diện khác

subnet

HDLC PPP Lệnh ping thành công không? Không Có Các giao thức routing có thể trao đổi

không?

PART 5: Gii thiu v công ngh Frame Relay

Ngày nay, công nghệ thông tin có những bước tiến nhảy vọt đặc biệt là chế tạo và sử dụng cáp quang vào mạng truyền dẫn tạo nên chất lượng thông tin rất cao. Sử dụng thủ tục hỏi đáp X25 để truyền đưa số liệu trên mạng cáp quang, câu trả

lời hầu như lúc nào cũng nhận tốt nhận đủ. Vấn đềđặt ra ởđây là có cần dùng thủ tục hỏi và đáp mất rất nhiều thời gian của X25 để truyền đưa số liệu trên mạng cáp quang hay không? Và thế là công nghệFrame Relay ra đời. Frame relay có thể chuyển nhận các khung lớn tới 4096 byte trong khi đó gói tiêu

chuẩn của X25 khuyến cáo là 128 byte, không cần thời gian cho việc hỏi đáp,

phát hiện lỗi và sữa lỗi ở lớp 3 nên Frame relay có khảnăng chuyển tải nhanh

hơn hàng chục lần so với X25 ở cùng tốc độ. Frame relay rất thích hợp cho truyền số liệu tốc độ cao và cho kết nối Lan-Lan và cảcho âm thanh, nhưng điều kiện tiên quyết để sử dụng công nghệ Frame relay là chất lượng mạng truyền dẫn phải cao.

Frame Relay là một bộ tiêu chuẩn của WAN tạo ra một dịch vụ WAN hiệu quả hơn so với các liên kết điểm-điểm, trong khi vẫn cho phép các cặp của các

router để gửi dữ liệu trực tiếp với nhau. Với kênh thuê riêng, mỗi dòng đòi hỏi một giao diện nối tiếp trên mỗi router và một mạch vật lý riêng biệt được xây dựng bởi công ty viễn thông. Frame Relay hỗ trợ khảnăng gửi dữ liệu đến nhiều router từ xa qua một mạch WAN vật lý đơn lẻ. Ví dụ, một công ty với một site trung tâm và mười site từ xa sẽđòi hỏi mười kênh thuê riêng để giao tiếp với site chính và mười giao diện cổng nối tiếp trên site của router trung tâm. Với Frame Relay, các sie chính có thể có một đường thuê riêng kết nối nó với dịch vụ Frame Relay, và một giao diện cổng duy nhất nối tiếp trên các bộđịnh tuyến tại site trung tâm, và vẫn có thể giao tiếp với nhau của mười router từ xa tại chỗ.

Hình 5-1: Mạng Frame Relay.

Cơ sở để tạo được mạng Frame Relay là các thiết bị truy nhập mạng FRAD (Frame Relay Access Device), các thếit bị mạng FRND (Frame Relay Network

Device), đường nối tiếp giữa các thiết bị và mạng trực Frame Realy.

Thiết bị FRAD có thể là một LAN Bridge, LAN router… Thiết bị FRND có thể

là các tổng đài chuyển mạch khung (frame) hay tổng đài chuyển mạch tế bào (Cell relay – chuyển tải tổng hợp các tế bào của các dịch vụ khác nhau như âm

thanh, truyền liệu số, videp… mỗi tếbào độdài 53 byte, đây là phương thức của công nghệ ATM). Đường kết nối giữa các thiết bị là giao diện chung của FRAD và FRND, giao thức người dùng và mạng hay gọi là F.R UNI (Frame Relay User Network Interface). Mạng trục Frame Relay cũng tương tự như các mạng viễn thông khác có nhiều tổng đài kết nối với nhau trên mạng truyền dẫn, theo thủ tục riêng của mình. Trong OSI 7 lớp, lớp 3 – lớp mạng, Frame relay không dùng thủ tục gì cả (transparent) .

II. Tổng quan về Frame Relay:

Frame Relay cung cấp thêm nhiều tính năng mạng và lợi ích hơn so với các liên kết WAN đơn giản điểm-điểm, nhưngđểlàm được điều đó, các giao thức Frame Relay được chi tiết hơn. Ví dụ, các mạng Frame Relay là mạng multiaccess, có nghĩa là nhiều hơn hai thiết bị có thể gắn vào mạng, tương tự như mạng LAN. Không giống như các mạng LAN, bạn không thể gửi dữ liệu broadcast trên lớp liên kết Frame Relay. Vì vậy, Frame Relay được gọi là mạng nonbroadcast multiaccess (NBMA). Ngoài ra, bởi vì Frame Relay là

multiaccess, nó đòi hỏi việc sử dụng một địa chỉxác định mà router từ xa mỗi khung được đề cập.

Hình 5-2 trình bày những cấu trúc liên kết cơ bản về vật lý và liên quan đến thuật ngữ trong một mạng Frame Relay.

Hình 5-2: Các thành phần của mạng Frame Relay.

Hình 5-2 cho thấy các thành phần cơ bản nhất của một mạng Frame Relay. Một kênh thuê riêng được cài đặt giữa các router và một chuyển đổi Frame Relay gần đó, liên kết này được gọi là các liên kết truy cập. Đểđảm bảo rằng các liên kết đang hoạt động, các thiết bị bên ngoài mạng Frame Relay, được gọi là thiết bịđầu cuối dữ liệu (DTE), trao đổi tin nhắn thường xuyên với sự chuyển đổi Frame Relay. Các thông điệp keepalive, cùng với những thông điệp khác, được

định nghĩa bởi các giao thức (LMI) Frame Relay giao diện quản lý. Các bộđịnh tuyến được coi là DTE, và các thiết bị chuyển mạch Frame Relay là truyền thông dữ liệu thiết bị (DCE).

Trong khi đó hình 5-2 cho thấy các kết nối vật lý tại mỗi kết nối với mạng Frame Relay, hình 5-3 cho thấy sự hợp logic, hoặc ảo, kết nối liên kết các điểm

đầu cuối với một mạch ảo (VC).

Hình 5-3: Khái niệm về Frame Relay PVC.

Con đường truyền thông logic giữa mỗi cặp DTEs là một VC. Bộ ba của đường song song trong hình đại diện cho một VC đơn. Thông thường, các nhà cung cấp dịch vụ preconfigures tất cả các chi tiết cần thiết của một VC; VC được xác

định trước được gọi là các mạch ảo thường trực (PVC).

chỉ Frame Relay, nó xác định các VC trên đó các khung nên đi qua. Vì vậy, trong hình 5-3, khi R1 có nhu cầu để chuyển tiếp một gói tin đến R2, R1 đóng

gói lớp 3 gói vào một header và trailer của Frame Relay và sau đó gửi các khung. Các Frame Relay tiêu đề bao gồm các DLCI chính xác để các nhà cung cấp Frame Relay chuyển mạch các khung một cách chính xác về phía R2.

Bảng 4 liệt kê các thành phần thể hiện trong hình 5-2 và 5-3 và một số thuật ngữ

liên quan.

Thuật ngữ Mô tả

Virtual circuit (VC) Một khái niệm logic đại diện cho con đường

mà khung di chuyển giữa DTEs. VC đặc biệt

hữu ích khi so sánh Frame Relay để thuê một mạch vật lý.

Permanent virtaul circuit (PVC)

Một VC được xác định trước. Một PVC có

thể được đánh đồng với một kênh thuê riêng trong khái niệm.

Switched virtual circuit (SVC) Một VC được thiết lập tựđộng khi cần thiết. Một SVC có thểđược tương đương với một kết nối quay số trong khái niệm.

Data terminal equipment (DTE)

DTEs được kết nối với một dịch vụ Frame Relay từ một công ty viễn thông. Nó thường

được đặt tại các site được sử dụng bởi các công ty mua dịch vụ Frame Relay.

Data communications equipment (DCE)

Thiết bị chuyển mạch Frame Relay là các thiết bị DCE. DCEs cũng được biết đến như

là dữ liệu thiết bị đầu cuối mạch. DCEs

thường đặt trong mạng lưới các nhà cung cấp dịch vụ.

Access Link Kênh thuê riêng giửa DTE và DCE.

Access rate (AR) Tốc độ mà tại đó các liên kết nị khóa. Sự lựa chọn này ảnh hưởng đến giá trị của kết nối. Committed Information Rate

(CIR)

Tốc độ bit có thể được gửi qua một VC, theo

hợp đồng kinh doanh giữa khách hàng và nhà cung cấp.

được kết nối.

Một phần của tài liệu GIÁO TRÌNH CCNA - Chương 4: Công nghệ WAN và bảo mật ppt (Trang 86 - 183)

Tải bản đầy đủ (PDF)

(183 trang)