Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Protocolo de autenticação de aperto de mão do PPP Challenge

Protocolo de autenticação de aperto de mão do PPP Challenge

Para interfaces com encapsulamento PPP, você pode configurar interfaces para oferecer suporte ao Protocolo de Autenticação de Aperto de Mão (CHAP) do PPP Challenge, conforme definido no RFC 1994, PPP Challenge Handshake Authentication Protocol (CHAP). Quando você habilita o CHAP em uma interface, a interface pode autenticar seu peer e pode ser autenticada por seu peer. Por padrão, o PPP CHAP é desativado. Se a CHAP não estiver explicitamente habilitada, a interface não faz desafios de CHAP e nega todos os desafios de CHAP recebidos. Para habilitar a CHAP, você deve criar um perfil de acesso e configurar as interfaces para usar o CHAP.

A CHAP permite que cada extremidade de um link PPP autenticasse seus peer, conforme definido no RFC 1994. O autenticador envia a seus pares um desafio gerado aleatoriamente que o peer deve criptografar usando um hash unidiretório; o peer deve então responder com esse resultado criptografado. A chave para o hash é um segredo conhecido apenas pelo autenticador e autenticado. Quando a resposta é recebida, o autenticador compara seu resultado calculado com a resposta do peer. Se combinarem, o peer é autenticado.

Cada extremidade do link se identifica com seus pares, incluindo seu nome no desafio chap e pacotes de resposta que ele envia para o peer. Esse nome é padrão para o nome de host local, ou você pode defini-lo explicitamente usando a opção local-name . Quando um host recebe um desafio chap ou pacote de resposta CHAP em uma interface específica, ele usa a identidade de peer para procurar a chave secreta CHAP para usar.

Configuração do protocolo de autenticação de aperto de mão do PPP Challenge

Para habilitar a CHAP, você deve criar um perfil de acesso e configurar as interfaces para usar o PAP.

Definições:

  • profile é o mapeamento entre identificadores de pares e chaves secretas CHAP. A identidade dos pares contida no desafio ou resposta da CHAP consulta o perfil para que a chave secreta seja usada.

  • client é a identidade dos colegas.

  • chap-secret é a chave secreta associada a esse peer.

  1. Para criar um perfil de acesso, inclua a profile declaração no nível da [edit access] hierarquia:

  2. Para identificar o peer e a chave secreta associada a esse peer, inclua a client declaração no nível de [edit access profile profile-name] hierarquia:

Você pode configurar vários perfis CHAP e configurar vários clientes para cada perfil. Para obter mais informações sobre como configurar o perfil de acesso, consulte o protocolo de ponto a ponto (PPP) e o protocolo de tunelamento de camada 2 (L2TP).

Quando você configura uma interface para usar o CHAP, você deve atribuir um perfil de acesso à interface. Quando uma interface recebe desafios e respostas de CHAP, o perfil de acesso no pacote é usado para procurar o segredo compartilhado, conforme definido no RFC 1994. Se nenhum perfil de acesso correspondente for encontrado para o desafio CHAP que foi recebido pela interface, o segredo CHAP padrão configurado opcionalmente é usado. O segredo CHAP padrão é útil se o nome CHAP do peer for desconhecido ou se o nome CHAP mudar durante a negociação do enlace PPP.

Para configurar o PPP CHAP, em cada interface física com encapsulamento PPP, execute as seguintes etapas.

  1. Para atribuir um perfil de acesso a uma interface, inclua a access-profile declaração no nível de [edit interfaces interface-name ppp-options chap] hierarquia.
    Nota:

    Você deve incluir a access-profile declaração ao configurar o método de autenticação CHAP. Se uma interface receber um desafio ou resposta CHAP de um peer que não esteja no perfil de acesso aplicado, o link será imediatamente descartado a menos que um segredo CHAP padrão tenha sido configurado.

  2. O segredo CHAP padrão é usado quando não existe um perfil de acesso CHAP correspondente ou se o nome CHAP mudar durante a negociação do enlace PPP. Para configurar um segredo CHAP padrão para uma interface, inclua a default-chap-secret declaração no nível de [edit interfaces interface-name ppp-options chap] hierarquia.
  3. Para configurar o nome que a interface usa em pacotes de desafio e resposta da CHAP, inclua a local-name declaração no nível da [edit interfaces interface-name ppp-options chap] hierarquia:
    Nota:

    • O nome local é qualquer string de 1 a 32 caracteres de comprimento, começando por um caractere alfanumérico ou sublinhado, e incluindo apenas os seguintes caracteres:

    • Por padrão, quando o CHAP é habilitado em uma interface, a interface usa o nome de host do sistema do roteador como o nome enviado em pacotes de desafio e resposta CHAP.

  4. Você pode configurar a interface para não desafiar seus pares e só responder quando desafiado. Para configurar a interface para não desafiar seus pares, inclua a passive declaração no nível de [edit interfaces interface-name ppp-options chap] hierarquia:
    Nota:

    Por padrão, quando a CHAP é habilitada em uma interface, a interface sempre desafia seus pares e responde aos desafios de seus pares.

Exibindo o protocolo de autenticação de aperto de mão configurado PPP Challenge

Propósito

Para exibir o PPP CHAP configurado nos [edit access] níveis de hierarquia.[edit interfaces]

  • Perfil de acesso—pe-A-ppp-clients

  • dados secretos padrão da CHAP:"$ABC123"

  • nome de host para os pacotes de desafio e resposta da CHAP:"pe-A-so-1/1/1"

  • Interface — so-1/1/2

Ação

  • Execute o show comando no nível de [edit access] hierarquia.

  • Execute o show comando no nível de [edit interfaces s0-1/1/2] hierarquia.

Significado

O CHAP configurado e suas opções de conjunto associadas são exibidos como esperado.

Exemplo: configuração de PPP CHAP

Documentação relacionada