PPP Challenge ハンドシェイク認証プロトコル
PPP Challenge ハンドシェイク認証プロトコル
PPP カプセル化を使用するインターフェイスでは、RFC 1994、PPP Challenge ハンドシェイク認証プロトコル(CHAP)で定義されているとおり、PPP チャレンジ ハンドシェイク認証プロトコル(CHAP)をサポートするようにインターフェイスを設定できます。インターフェイスでCHAPを有効にすると、インターフェイスはピアを認証し、そのピアによって認証できます。デフォルトでは、PPP CHAP は無効になっています。CHAP が明示的に有効でない場合、インターフェイスは CHAP の課題を発生させず、受信するすべての CHAP チャレンジを拒否します。CHAP を有効にするには、アクセス プロファイルを作成し、CHAP を使用するようにインターフェイスを設定する必要があります。
CHAP では、RFC 1994 で定義されているとおり、PPP リンクの両端でピアを認証できます。オーセンティケータは、ピアが一方向 ハッシュを使用して暗号化する必要があるランダムに生成された課題をピアに送信します。その後、ピアは暗号化された結果で応答する必要があります。ハッシュの鍵は、オーセンティケータにのみ知られ、認証された秘密です。応答を受信すると、オーセンティケータは、その計算結果をピアの応答と比較します。一致する場合、ピアは認証されます。
リンクの各終端は、その名前を CHAP チャレンジおよびピアに送信する応答パケットに含めて、自身をピアに識別します。この名前はデフォルトでローカル ホスト名に設定されるか、オプションを使用して local-name 明示的に設定できます。ホストは、特定のインターフェイスでCHAPチャレンジまたはCHAP応答パケットを受信すると、ピアIDを使用して使用するCHAP秘密鍵を調べます。
PPP チャレンジ ハンドシェイク認証プロトコルの設定
CHAP を有効にするには、アクセス プロファイルを作成し、PAP を使用するようにインターフェイスを設定する必要があります。
定義:
profileは、ピア識別子と CHAP 秘密鍵の間のマッピングです。CHAP チャレンジまたは応答に含まれるピアの ID は、プロファイルに対して使用する秘密鍵を照会します。clientはピア ID です。chap-secretは、そのピアに関連付けられた秘密鍵です。
アクセス プロファイルを作成するには、階層レベルで
profileステートメントを[edit access]含めます。[edit access] user@host# set profile profile-name {ピアと、そのピアに関連付けられている秘密キーを識別するには、階層レベルで
clientステートメントを[edit access profile profile-name]含めます。[edit access profile profile-name] user@host# set client client-name chap-secret chap-secret
複数の CHAP プロファイルを設定し、各プロファイルに対して複数のクライアントを設定できます。アクセス プロファイルを設定する方法の詳細については、 PPP(Point-to-Point Protocol) と レイヤー 2 トンネリング プロトコル(L2TP)を参照してください。
CHAP を使用するようにインターフェイスを設定する場合は、インターフェイスにアクセス プロファイルを割り当てる必要があります。インターフェイスがCHAPの課題と応答を受け取ると、RFC 1994で定義されているように、パケット内のアクセスプロファイルを使用して共有秘密を調べます。インターフェイスによって受信された CHAP チャレンジに対して一致するアクセス プロファイルが見つからない場合は、オプションで設定されたデフォルトの CHAP シークレットが使用されます。デフォルトの CHAP シークレットは、ピアの CHAP 名が不明な場合、または CHAP 名が PPP リンク ネゴシエーション中に変更された場合に役立ちます。
PPP CHAP を設定するには、PPP カプセル化を使用する各物理インターフェイスで、次の手順を実行します。
設定済み PPP チャレンジ ハンドシェイク認証プロトコルの表示
目的
設定されたPPP CHAPを [edit access] 階層レベルと [edit interfaces] 階層レベルで表示するには、
アクセス プロファイル:
pe-A-ppp-clientsデフォルトのCHAPシークレットデータ:
"$ABC123"CHAPチャレンジおよびレスポンスパケットのホスト名—
"pe-A-so-1/1/1"インターフェイス—so-1/1/2
アクション
show階層レベルでコマンドを[edit access]実行します。profile pe-A-ppp-clients; client cpe-1 chap-secret "$ABC123"; # SECRET-DATA [edit interfaces so-1/2/0] encapsulation ppp; ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name "pe-A-so-1/1/1"; } }show階層レベルでコマンドを[edit interfaces s0-1/1/2]実行します。ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name “pe-A-so-1/1/2"; } }
意味
構成された CHAP とそれに関連付けられたセット オプションは、期待どおりに表示されます。
例:PPP CHAP の設定
[edit]
access {
profile pe-A-ppp-clients {
client cpe-1 chap-secret "$ABC123";
# SECRET-DATA
client cpe-2 chap-secret "$ABC123";
# SECRET-DATA
}
}
interfaces {
so-1/1/1 {
encapsulation ppp;
ppp-options {
chap {
access-profile pe-A-ppp-clients;
local-name "pe-A-so-1/1/1";
}
}
}
so-1/1/2 {
encapsulation ppp;
ppp-options {
chap {
passive;
access-profile pe-A-ppp-clients;
local-name "pe-A-so-1/1/2";
}
}
}
}