xin chào các anh ccxx,

Em đã đọc thông tin về các anh trên e-chip. Very cool !

Em có một câu hỏi về cách dùng từ khóa callin và callout trong lệnh

ppp authentication chap callin

và

ppp authentication chap callout.

Xin các anh hướng dẫn em cách dùng các option này.

Hi,
Thông thường, quá trình thực hiện authentication theo nghi thức chap xảy ra theo 2 hướng:
A authentication với B và B Authentication với A.
Đối với từ khoá callin:
local host (A) chỉ yêu cầu remote host (B) authentication khi remote host (B) callin.
Tức là, nếu localhost (A) call trước, nó không đòi remote host (B) authentication với nó (A). Lúc đó, có thể remote host (B)vẫn có thể đòi local host (A) authentication. Nghĩa là quá trình authentication chỉ xãy ra một chiều.
Đối với từ khoá callout: ngược lại

hi anh Phúc,
Em có hai câu hỏi cho anh:

1. trong thực tế có khi nào mình dùng từ khoá callout hay không?

2. trong ví dụ của anh đối với callin, nếu A là người dùng cuối, B là nhà cung cấp dịch vụ. A gọi B. Như vậy thì chỉ cần nhà cung cấp ISP authenticate người dùng cuối. Khi đó, theo anh, từ khóa callin nên đặt ở đâu ? A hay B ?

cám ơn anh,

Hi,
Mình xin trả lợi bạn:
1/ Dùng từ khóa callout trong trường hợp mình muốn biềt chắc là mình call đúng ISP hay không, trong khi mình chấp nhận bất kỳ ai call mình. dạng như authenticate của Web dùng SSL. Thực tế, cả callin và callout, mình nghĩ chẵng ai dùng mà thường authenticate cã 2 phía. Mình nghĩ chẵng ai muốn giảm độ an ninh đi để tăng tốc độ kết nối lên chỉ một tí tẹo thôi. :D
2/ Bên nào muốn không authenticate theo một hướng nào đó thì họ config cấu hình của họ tùy theo mục đích của họ. giữa A và B có tính độc lập với nhau.
Nếu một bên nào đó nói rằng tôi không cần autheticate thì bên kia sẽ OK thôi.
Không biết là bạn hiểu ý mình không? có gì mình trao đổi thêm.

vậy là, từ khóa callin trong trường hợp của em sẽ được đặt bên B?

Hi,
lúc đặt callin bên B thư vậy thì:
- khi A call vào, quá trình authenticate sẽ là 2 chiều và mặt định A cũng đòi hỏi B authenticate.
- Khi B gọi đi, chỉ authenticate một chiều và B không đòi hỏi A authenticate với nó. Trường hợp này hiếm gặp vì nếu B là ISP thì chẵng callout bao giờ.
Nói chung, chúng ta chỉ cần hiểu rõ lệnh và tuỳ theo câu hỏi mà xác định.
Còn trong thực tế thì thường chẵng ai làm như vậy. Thông thường là để authenticate cả 2 hướng.

để hiểu rõ hơn callin, callout option trong ppp authentication chap, các bạn nên thử các option này bằng cách turn on debug "ppp authentication", sau đó bạn sẽ thấy sự khác biệt và hiểu ngay thôi.

Còn nếu nói trong môi trường thực tế, đặc biệt là ở Việt Nam ta, cấu hình ppp authentication chap chủ yếu được dùng trong môi trường Enterprise thôi, ví dụ như DDR, Dial-up backup cho LL or FR. Còn authentication pap thì chủ yếu dành cho router làm remote access server.

Còn nếu kết nối vào ISP, thì thông thường là chỉ dùng PAP thôi, hoặc chap một chiều (ISP router sẽ challenge remote router for chap authenticate với mình, vì lúc này user sẽ được chứng thực bởi Radius server) và ngược lại remote access server sẽ không được đòi hỏi ISP router chứng thực với mình, vì ISP router phục vụ cho PUBLIC mà, đâu chỉ cuûa riêng ai.

Do vậy, nếu như bạn muốn cáau hình một router kết nối vồui ISP router, trưồuc hết bạn phâui biết ISP router đang dùng phương thức authentication nào? bằng cách turn on "debug ppp auth" thì bạn sẽ biết ngay. Lúc đó mình chỉ cần gơui user để chứng thực theo PAP or CHAP thôi, tuyệt đối không được bắt ISP router chứng thực với mình, ok! nhưng trong trường hợp router của mình cũng support cho các site khác dial-up vào thì sao? lúc đó thì mình phải turn on "ppp auth chap callin" :)

Nếu bạn làm thực tế nhiều, sẽ thấy được điều này ngay thôi.
Trong môi trường LAB chủ yếu là để để học và hiểu lý thuyết.

Chúc vui!
nuoctra.

anh nuoctra và anh phuchvt,

Em cám ơn hai anh rất nhiều vì đã giải thích rất hay về các từ khóa callin và callout. các anh làm forumn này rất hấp dẫn.

Em vẫn còn một câu hỏi cuối cùng cho phần này: từ khoá callin có dùng cho PAP hay không? Em nghĩ là không, nhưng khi em làm lab bài này:

http://vnpro.org/forum/viewtopic.php?t=247

thì PAP có từ khóa callin.

xin cám ơn,


cám ơn,

PAP & CHAP thì có các option giống nhau, có nghĩa là pap vẫn có thể cấu hình callin or out, tuỳ theo mục đính sử dụng giống như chap. Khác biệt ở chổ đây là hai kiểu chứng thực khác nhau và có những đặc tính khác nhau. Với PAP thì password sẽ được gởi đi trong lúc chứng thực bằng clear text. Còn CHAP thì được mã hoá cùng với thuật toán MD5, nên password thật sự sẽ không gởi qua đường WAN trong lúc chứng thực, mà chỉ có những hash key được trao đổi, và chính vì thế mà độ an toàn cao hơn pap.

nuoctra.

cám ơn các anh đã chỉ dẫn. Mọi thứ đều rất rõ ràng.