Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Protocolo de autenticación de enlace de desafío PPP

Protocolo de autenticación de enlace de desafío PPP

Para interfaces con encapsulación PPP, puede configurar interfaces para que admitan el protocolo de autenticación de enlace de desafío PPP (CHAP), tal como se define en rfc 1994, protocolo de autenticación de enlace de desafío PPP (CHAP). Cuando habilita CHAP en una interfaz, la interfaz puede autenticar su par y puede autenticarse por su par. De forma predeterminada, el PPP CHAP está deshabilitado. Si chap no está habilitado explícitamente, la interfaz no hace desafíos CHAP y niega todos los desafíos de CHAP entrantes. Para habilitar CHAP, debe crear un perfil de acceso y configurar las interfaces para que usen CHAP.

CHAP permite que cada extremo de un vínculo PPP autentifique a su par, tal como se define en RFC 1994. El autenticador envía a su par un desafío generado aleatoriamente que el par debe cifrar mediante un hash unidirección; el par debe responder con ese resultado cifrado. La clave del hash es un secreto que solo el autenticador conoce y autentica. Cuando se recibe la respuesta, el autenticador compara su resultado calculado con la respuesta del par. Si coinciden, el par se autentica.

Cada extremo del vínculo se identifica a sí mismo con su par mediante la inclusión de su nombre en los paquetes de desafío y respuesta CHAP que envía al par. Este nombre se establece de forma predeterminada en el nombre de host local, o puede establecerlo explícitamente mediante la local-name opción. Cuando un host recibe un desafío chap o un paquete de respuesta CHAP en una interfaz determinada, utiliza la identidad del par para buscar la clave secreta CHAP que se va a usar.

Configuración del protocolo de autenticación de enlace de desafío PPP

Para habilitar CHAP, debe crear un perfil de acceso y configurar las interfaces para que usen PAP.

Definiciones:

  • profile es la asignación entre identificadores pares y claves secretas CHAP. La identidad del par contenida en el desafío o respuesta de CHAP consulta el perfil para la clave secreta que se debe usar.

  • client es la identidad par.

  • chap-secret es la clave secreta asociada con ese par.

  1. Para crear un perfil de acceso, incluya la profile instrucción en el [edit access] nivel de jerarquía:

  2. Para identificar el par y la clave secreta asociada con ese par, incluya la client instrucción en el [edit access profile profile-name] nivel de jerarquía:

Puede configurar varios perfiles CHAP y configurar varios clientes para cada perfil. Para obtener más información sobre cómo configurar el perfil de acceso, consulte Protocolo punto a punto (PPP) y Protocolo de tunelización de capa 2 (L2TP).

Cuando configure una interfaz para que use CHAP, debe asignar un perfil de acceso a la interfaz. Cuando una interfaz recibe desafíos y respuestas CHAP, el perfil de acceso en el paquete se utiliza para buscar el secreto compartido, tal como se define en RFC 1994. Si no se encuentra ningún perfil de acceso coincidente para el desafío de CHAP que recibió la interfaz, se utiliza el secreto CHAP predeterminado configurado opcionalmente. El secreto CHAP predeterminado es útil si el nombre CHAP del par es desconocido o si el nombre DE CHAP cambia durante la negociación del vínculo PPP.

Para configurar la CHAP PPP, en cada interfaz física con encapsulación PPP, realice los siguientes pasos.

  1. Para asignar un perfil de acceso a una interfaz, incluya la access-profile instrucción en el [edit interfaces interface-name ppp-options chap] nivel jerárquico.
    Nota:

    Debe incluir la access-profile instrucción cuando configure el método de autenticación CHAP. Si una interfaz recibe un desafío o respuesta CHAP de un par que no se encuentra en el perfil de acceso aplicado, el vínculo se descarta inmediatamente a menos que se haya configurado un secreto CHAP predeterminado.

  2. El secreto CHAP predeterminado se utiliza cuando no existe un perfil de acceso CHAP coincidente, o si el nombre CHAP cambia durante la negociación del vínculo PPP. Para configurar un secreto CHAP predeterminado para una interfaz, incluya la default-chap-secret instrucción en el [edit interfaces interface-name ppp-options chap] nivel de jerarquía.
  3. Para configurar el nombre que utiliza la interfaz en los paquetes de desafío y respuesta chap, incluya la local-name instrucción en el [edit interfaces interface-name ppp-options chap] nivel de jerarquía:
    Nota:

    • El nombre local es cualquier cadena de 1 a 32 caracteres de longitud, a partir de un carácter alfanumérico o de subrayado, e incluye solo los siguientes caracteres:

    • De forma predeterminada, cuando chap está habilitado en una interfaz, la interfaz utiliza el nombre de host del sistema del enrutador como el nombre enviado en los paquetes de desafío y respuesta chap.

  4. Puede configurar la interfaz para que no desafíe a su par y solo responda cuando se le desafíe. Para configurar la interfaz para que no desafíe a su par, incluya la passive instrucción en el [edit interfaces interface-name ppp-options chap] nivel jerárquico:
    Nota:

    De forma predeterminada, cuando se habilita CHAP en una interfaz, la interfaz siempre desafía a su par y responde a los desafíos de su par.

Visualización del protocolo de autenticación de enlace de desafío PPP configurado

Propósito

Para mostrar la CHAP PPP configurada en los [edit access] niveles de jerarquía y [edit interfaces] .

  • Perfil de acceso:pe-A-ppp-clients

  • datos secretos CHAP predeterminados:"$ABC123"

  • nombre de host para los paquetes de desafío y respuesta chap:"pe-A-so-1/1/1"

  • Interfaz: so-1/1/2

Acción

  • Ejecute el show comando en el nivel de [edit access] jerarquía.

  • Ejecute el show comando en el nivel de [edit interfaces s0-1/1/2] jerarquía.

Significado

La CHAP configurada y sus opciones de conjunto asociadas se muestran como se esperaba.

Ejemplo: Configuración de CHAP PPP

Documentación relacionada