PPP Implementation

Opsi Konfigurasi PPP

Di bagian sebelumnya, opsi LCP yang dapat dikonfigurasi diperkenalkan untuk memenuhi persyaratan koneksi WAN yang spesifik. PPP dapat mencakup beberapa opsi LCP:

  • Otentikasi – router Peer bertukar pesan otentikasi. Dua pilihan otentikasi adalah Password Authentication Protocol (PAP) dan Challenge Handshake Authentication Protocol (CHAP).
  • Kompresi – Meningkatkan throughput efektif pada koneksi PPP dengan mengurangi jumlah bit yang harus melakukan perjalanan di seluruh tautan. Protokol mendekompresi frame di tujuannya. Dua protokol kompresi yang tersedia di router Cisco adalah Stacker dan Predictor. Klik di sini untuk mempelajari lebih lanjut tentang Stacker dan Predictor.
  • Deteksi kesalahan – Mengidentifikasi kondisi gangguan. Opsi Kualitas dan Nomor Ajaib membantu memastikan tautan data bebas lingkaran yang andal. Bidang Nomor Ajaib membantu mendeteksi tautan yang berada dalam kondisi terbalik. Sampai Opsi Konfigurasi Magic-Number telah berhasil dinegosiasikan, Magic-Number harus ditransmisikan sebagai nol. Nomor ajaib dihasilkan secara acak di setiap ujung sambungan.
  • PPP Callback – PPP callback digunakan untuk meningkatkan keamanan. Dengan opsi LCP ini, router Cisco dapat bertindak sebagai klien panggilan balik atau server panggilan balik. Klien membuat panggilan awal, meminta agar server memanggilnya kembali, dan mengakhiri panggilan awalnya. Router panggilan balik menjawab panggilan awal dan membuat panggilan kembali ke klien berdasarkan pada pernyataan konfigurasinya.
  • Multilink – Alternatif ini menyediakan load balancing melalui antarmuka router yang digunakan PPP. Multilink PPP, juga disebut sebagai MP, MPPP, MLP, atau Multilink, menyediakan metode untuk menyebarkan lalu lintas di beberapa link WAN fisik sambil menyediakan fragmentasi paket dan reassembly, sekuensing yang tepat, interoperabilitas multivendor, dan load balancing pada lalu lintas masuk dan keluar.

Perintah Konfigurasi Dasar PPP

Untuk mengatur PPP sebagai metode enkapsulasi yang digunakan oleh interface serial, gunakan perintah konfigurasi interface ppp enkapsulasi. Perintah tidak memiliki argumen. Ingat bahwa jika PPP tidak dikonfigurasi pada router Cisco, enkapsulasi default untuk interface serial adalah HDLC.

PPP Compression Commands

Kompresi perangkat lunak point-to-point pada interface serial dapat dikonfigurasi setelah enkapsulasi PPP diaktifkan. Karena opsi ini memanggil proses kompresi perangkat lunak, ini dapat mempengaruhi kinerja sistem. Jika lalu lintas sudah terdiri dari file terkompresi, seperti .zip, .tar, atau .mpeg, jangan gunakan opsi ini. Angka tersebut menunjukkan sintaks perintah untuk perintah kompres.

 

 

Perintah Pemantauan Kualitas Link PPP

Perintah persentase kualitas ppp memastikan bahwa tautan memenuhi persyaratan kualitas yang ditetapkan; jika tidak, tautan akan ditutup. Persentase dihitung untuk kedua arah masuk dan keluar. Kualitas keluar dihitung dengan membandingkan jumlah total paket dan byte yang dikirim, ke jumlah total paket dan byte yang diterima oleh node tujuan. Kualitas yang masuk dihitung dengan membandingkan jumlah total paket dan byte yang diterima dengan jumlah total paket dan byte yang dikirim oleh node tujuan. Jika persentase kualitas tautan tidak dipertahankan dan ambang yang dikonfigurasi, tautan dianggap berkualitas buruk dan dihapus. LQM menerapkan jeda waktu agar tautan tidak naik-turun.

Perintah PPP Multilink

MPPP memungkinkan paket-paket difragmentasi dan mengirimkan fragmen ini secara bersamaan melalui beberapa tautan point-to-point ke alamat remote yang sama. Beberapa tautan fisik muncul sebagai respons terhadap ambang batas yang ditetapkan pengguna. MPPP dapat mengukur beban hanya pada lalu lintas masuk, atau pada lalu lintas keluar saja, tetapi tidak pada beban gabungan dari lalu lintas masuk dan keluar.

Konfigurasi MPPP membutuhkan dua langkah, seperti yang ditunjukkan pada gambar.

Langkah 1. Buat bundel multilink.

  • Perintah nomor multilink antarmuka menciptakan antarmuka multilink.
  • Dalam mode konfigurasi antarmuka, alamat IP ditetapkan ke antarmuka multilink. Dalam contoh ini, alamat IPv4 dan IPv6 dikonfigurasi pada router R3 dan R4.
  • Antarmuka diaktifkan untuk multilink PPP.
  • Antarmuka diberikan nomor grup multilink.

Langkah 2. Tentukan antarmuka ke bundel multilink.

  • Setiap antarmuka yang merupakan bagian dari grup multilink:
  • Apakah diaktifkan untuk enkapsulasi PPP.
  • Apakah diaktifkan untuk multilink PPP.
  • Diikat ke bundel multilink menggunakan nomor grup multilink PPP yang dikonfigurasi pada Langkah 1.

Untuk menonaktifkan PPP multilink, gunakan perintah no ppp multilink pada setiap antarmuka yang dibundel. Sebagai contoh:

  • R3(config)# interface s0/0/0
  • R3(config-if)# no ppp multilink
  • R3(config-if)# interface s0/0/1
  • R3(config-if)# no ppp multilink

Memverifikasi Konfigurasi PPP

Gunakan perintah berikut :

  • R1#show interfaces serial 0/0/0
  • R1#show interface
  • R1#show ppp multilink

Protokol Otentikasi PPP

PPP mendefinisikan LCP yang memungkinkan negosiasi protokol otentikasi untuk mengautentikasi rekannya sebelum mengizinkan protokol lapisan jaringan untuk mengirim melalui tautan. RFC 1334, PPP Authentication Protocols, mendefinisikan dua protokol untuk otentikasi, PAP dan CHAP, seperti yang ditunjukkan pada gambar.

PAP adalah proses dua arah yang sangat mendasar. Tidak ada enkripsi. Nama pengguna dan kata sandi dikirim dalam bentuk plaintext. Jika diterima, koneksi diperbolehkan. CHAP lebih aman daripada PAP. Ini melibatkan pertukaran tiga arah dari rahasia bersama.

Fase otentikasi dari sesi PPP adalah opsional. Jika digunakan, rekan dikonfirmasi setelah LCP menetapkan tautan dan memilih protokol otentikasi. Otentikasi terjadi sebelum fase konfigurasi protokol lapisan jaringan dimulai.

Opsi otentikasi mengharuskan sisi panggilan dari tautan memasukkan informasi otentikasi. Ini membantu memastikan bahwa pengguna memiliki izin dari administrator jaringan untuk melakukan panggilan. Router rekan bertukar pesan otentikasi.

Protokol Otentikasi Sandi (PAP)

PAP menyediakan metode sederhana untuk simpul jarak jauh untuk menetapkan identitasnya menggunakan jabat tangan dua arah. PAP tidak interaktif. Ketika perintah pap pap otentikasi digunakan, nama pengguna dan kata sandi dikirim sebagai satu paket data LCP seperti yang ditunjukkan pada Gambar 1, daripada satu perangkat PPP mengirim permintaan login dan menunggu respons seperti pada beberapa mekanisme otentikasi.

Proses PAP

  • Setelah PPP menyelesaikan fase pembentukan tautan, simpul jarak jauh berulang kali mengirim pasangan nama-kata sandi di seluruh tautan sampai nodus penerima menyatakannya atau mengakhiri koneksi.
  • Di node penerima, username-password diperiksa oleh perangkat yang menjalankan PPP. Perangkat ini memungkinkan atau menolak koneksi. Menerima atau menolak pesan dikembalikan ke pemohon, seperti yang ditunjukkan pada Gambar 2.
  • PAP bukanlah protokol otentikasi yang kuat. Menggunakan PAP, kata sandi dikirim melintasi tautan dalam plaintext dan tidak ada perlindungan dari pemutaran atau serangan uji coba berulang yang berulang. Node jauh mengendalikan frekuensi dan waktu upaya login.

Meskipun demikian, ada kalanya menggunakan PAP dapat dibenarkan. Meskipun kekurangannya, PAP dapat digunakan di lingkungan berikut:

  • Basis aplikasi klien terinstal besar yang tidak mendukung CHAP
  • Ketidaksesuaian antara implementasi vendor CHAP yang berbeda
  • Situasi di mana kata sandi plaintext harus tersedia untuk mensimulasikan login di host jarak jauh

 

 

Challenge Handshake Authentication Protocol (CHAP)

Setelah otentikasi didirikan dengan PAP, itu tidak mengotentikasi ulang. Ini membuat jaringan rentan terhadap serangan. Tidak seperti PAP, yang hanya mengotentikasi sekali, CHAP melakukan tantangan periodik untuk memastikan bahwa simpul jarak jauh masih memiliki nilai kata sandi yang valid. Nilai kata sandi bervariasi dan berubah secara tidak terduga ketika tautan ada. CHAP menggunakan perintah chap otentikasi ppp.

Proses CHAP

  • Setelah fase pembentukan tautan PPP selesai, router lokal mengirim pesan tantangan ke simpul jarak jauh.
  • Node jauh merespon dengan nilai yang dihitung menggunakan fungsi hash satu arah. Ini biasanya Message Digest 5 (MD5) berdasarkan kata sandi dan pesan tantangan.
  • Router lokal memeriksa respons terhadap perhitungannya sendiri terhadap nilai hash yang diharapkan. Jika nilai cocok, node inisiasi mengakui otentikasi. Jika nilai tidak cocok, node inisiasi segera mengakhiri koneksi.

CHAP memberikan perlindungan terhadap serangan pemutaran dengan menggunakan nilai tantangan variabel yang unik dan tidak dapat diprediksi. Karena tantangannya unik dan acak, nilai hash yang dihasilkan juga unik dan acak. Penggunaan tantangan berulang membatasi waktu paparan terhadap serangan tunggal. Router lokal, atau server otentikasi pihak ketiga, mengendalikan frekuensi dan waktu tantangan.

Perintah Otentikasi PPP

Untuk menentukan urutan di mana protokol CHAP atau PAP diminta pada interfaces, gunakan perintah konfigurasi interface otentikasi ppp.

PAP, CHAP, atau keduanya dapat diaktifkan. Jika kedua metode diaktifkan, metode pertama yang ditentukan diminta selama negosiasi tautan. Jika rekan menyarankan menggunakan metode kedua atau hanya menolak metode pertama, metode kedua harus dicoba. Beberapa perangkat jarak jauh hanya mendukung CHAP dan beberapa PAP saja. Urutan di mana Anda menentukan metode didasarkan pada kekhawatiran Anda tentang kemampuan perangkat jarak jauh untuk menegosiasikan dengan benar metode yang tepat serta kekhawatiran Anda tentang keamanan jalur data.

Mengonfigurasi PPP dengan Otentikasi

Berikut ini memberikan contoh untuk mengkonfigurasi PPP PAP dan otentikasi PPP CHAP.

Mengonfigurasi Otentikasi PAP

Konfigurasi otentikasi PAP dua arah. Kedua router mengotentikasi dan diautentikasi, sehingga otentikasi PAP memerintahkan saling bercermin. Nama pengguna dan kata sandi PAP yang dikirim oleh setiap router harus sesuai dengan yang ditentukan dengan nama pengguna kata sandi perintah kata sandi dari router lain.

 

 

PAP menyediakan metode sederhana untuk simpul jarak jauh untuk menetapkan identitasnya menggunakan jabat tangan dua arah. Ini hanya dilakukan pada pendirian tautan awal. Nama host pada satu router harus sesuai dengan nama pengguna yang dikonfigurasi oleh router lain untuk PPP. Kata sandi juga harus cocok. Tentukan nama pengguna dan parameter kata sandi, gunakan perintah berikut: ppp pap yang dikirim-nama sandi kata sandi nama pengguna.

Gunakan Pemeriksa Sintaks untuk mengonfigurasi otentikasi PAP pada interfaces serial 0/0/1 router R1.

Mengonfigurasi Otentikasi CHAP

CHAP secara berkala memverifikasi identitas simpul jarak jauh menggunakan jabat tangan tiga arah. Nama host pada satu router harus sesuai dengan nama pengguna yang dikonfigurasi oleh router lain. Kata sandi juga harus cocok. Ini terjadi pada pembentukan tautan awal dan dapat diulang kapan saja setelah tautan dibuat.

Gunakan Pemeriksa Sintaks untuk mengonfigurasi otentikasi CHAP pada antarmuka serial 0/0/1 router R1.

Leave a Reply

Your email address will not be published. Required fields are marked *