PPP 과제 핸드셰이크 인증 프로토콜
PPP 과제 핸드셰이크 인증 프로토콜
PPP 캡슐화 인터페이스의 경우 RFC 1994, PPP CHALLENGE CHAP(Handshake Authentication Protocol)에 정의된 PPP 챌린지 CHAP(Handshake Authentication Protocol)를 지원하는 인터페이스를 구성할 수 있습니다. 인터페이스에서 CHAP를 활성화하면 인터페이스가 피어를 인증하고 피어에 의해 인증될 수 있습니다. 기본적으로 PPP CHAP는 비활성화됩니다. CHAP가 명시적으로 활성화되지 않은 경우 인터페이스는 CHAP 이의를 제기하지 않으며 모든 수신 CHAP 도전을 거부합니다. CHAP를 활성화하려면 액세스 프로필을 생성해야 하며, CHAP를 사용할 인터페이스를 구성해야 합니다.
CHAP는 PPP 링크의 각 끝이 RFC 1994에 정의된 피어를 인증할 수 있도록 지원합니다. 인증자는 피어에게 단방향 해시를 사용하여 암호화해야 하는 임의로 생성된 문제를 피어에게 보냅니 다. 피어는 암호화된 결과로 응답해야 합니다. 해시의 열쇠는 인증자 및 인증자에게만 알려진 비밀입니다. 응답이 수신되면 인증자가 계산된 결과를 동료의 응답과 비교합니다. 일치하면 피어가 인증됩니다.
링크의 각 끝은 CHAP 챌린지에 이름을 포함시키고 피어에게 보내는 응답 패킷에 포함함으로써 피어에 대해 스스로를 식별합니다. 이 이름은 로컬 호스트 이름에 기본으로 지정되거나 옵션을 사용하여 local-name 명시적으로 설정할 수 있습니다. 호스트가 특정 인터페이스에서 CHAP 챌린지 또는 CHAP 응답 패킷을 받으면 피어 ID를 사용하여 CHAP 암호 키를 조회하여 사용합니다.
PPP Challenge Handshake 인증 프로토콜 구성
CHAP를 활성화하려면 액세스 프로필을 생성해야 하며 PAP를 사용할 인터페이스를 구성해야 합니다.
정의:
profile피어 식별자와 CHAP 암호 키 간의 매핑입니다. CHAP 챌린지에 포함된 피어의 ID 또는 응답은 사용할 암호 키에 대한 프로필을 쿼리합니다.client피어 아이덴티티입니다.chap-secret바로 그 동료와 연관된비밀 키입니다.
액세스 프로필을 생성하려면 계층 레벨의
[edit access]명령문을 포함합니다profile.[edit access] user@host# set profile profile-name {피어 및 해당 피어와 관련된 암호 키를 식별하려면 계층 수준의 명령문을
[edit access profile profile-name]포함합니다client.[edit access profile profile-name] user@host# set client client-name chap-secret chap-secret
여러 CHAP 프로필을 구성하고 각 프로필에 대해 여러 클라이언트를 구성할 수 있습니다. 액세스 프로파일 구성 방법에 대한 자세한 내용은 PPP(Point-to-Point Protocol) 및 L2TP(Layer 2 Tunneling Protocol)를 참조하십시오.
CHAP를 사용하도록 인터페이스를 구성하면 인터페이스에 액세스 프로필을 할당해야 합니다. 인터페이스가 CHAP 이의와 응답을 수신하면 패킷의 액세스 프로필이 RFC 1994에 정의된 공유 기밀을 조회하는 데 사용됩니다. 인터페이스를 통해 수신된 CHAP 챌린지에 대해 일치하는 액세스 프로파일이 없는 경우, 선택적으로 구성된 기본 CHAP 암호가 사용됩니다. 기본 CHAP 암호는 피어의 CHAP 이름을 알 수 없거나 PPP 링크 협상 중에 CHAP 이름이 변경되는 경우 유용합니다.
PPP CHAP를 구성하려면 PPP 캡슐화가 있는 각 물리적 인터페이스에서 다음 단계를 수행합니다.
구성된 PPP 과제 핸드셰이크 인증 프로토콜 표시
목적
및 [edit interfaces] 계층 수준에서 구성된 PPP CHAP를 [edit access] 표시합니다.
액세스 프로필—
pe-A-ppp-clients기본 CHAP 암호 데이터—
"$ABC123"CHAP 과제 및 응답 패킷을 위한 호스트 이름—
"pe-A-so-1/1/1"인터페이스—so-1/1/2
작업
show계층 수준에서 명령을[edit access]실행합니다.profile pe-A-ppp-clients; client cpe-1 chap-secret "$ABC123"; # SECRET-DATA [edit interfaces so-1/2/0] encapsulation ppp; ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name "pe-A-so-1/1/1"; } }show계층 수준에서 명령을[edit interfaces s0-1/1/2]실행합니다.ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name “pe-A-so-1/1/2"; } }
의미
구성된 CHAP 및 관련 세트 옵션이 예상대로 표시됩니다.
예: PPP CHAP 구성
[edit]
access {
profile pe-A-ppp-clients {
client cpe-1 chap-secret "$ABC123";
# SECRET-DATA
client cpe-2 chap-secret "$ABC123";
# SECRET-DATA
}
}
interfaces {
so-1/1/1 {
encapsulation ppp;
ppp-options {
chap {
access-profile pe-A-ppp-clients;
local-name "pe-A-so-1/1/1";
}
}
}
so-1/1/2 {
encapsulation ppp;
ppp-options {
chap {
passive;
access-profile pe-A-ppp-clients;
local-name "pe-A-so-1/1/2";
}
}
}
}