PPP Challenge Handshake Authentication Protocol
PPP Challenge Handshake Authentication Protocol
Für Schnittstellen mit PPP-Kapselung können Sie Schnittstellen so konfigurieren, dass sie das PPP Challenge Handshake Authentication Protocol (CHAP) unterstützen, wie in RFC 1994, PPP Challenge Handshake Authentication Protocol (CHAP) definiert. Wenn Sie CHAP auf einer Schnittstelle aktivieren, kann die Schnittstelle ihren Peer authentifizieren und durch ihren Peer authentifiziert werden. Standardmäßig ist PPP CHAP deaktiviert. Wenn CHAP nicht explizit aktiviert ist, macht die Schnittstelle keine CHAP-Herausforderungen und verweigert alle eingehenden CHAP-Herausforderungen. Um CHAP zu aktivieren, müssen Sie ein Zugriffsprofil erstellen, und Sie müssen die Schnittstellen so konfigurieren, dass sie CHAP verwenden.
Chap ermöglicht jedem Ende eines PPP-Links, seinen Peer zu authentifizieren, wie in RFC 1994 definiert. Der Authentifikator sendet seinem Peer eine zufällig generierte Herausforderung, die der Peer mit einem One-Way-Hash verschlüsseln muss. muss der Peer dann mit diesem verschlüsselten Ergebnis reagieren. Der Schlüssel zum Hash ist ein Geheimnis, das nur dem Authentifikator bekannt und authentifiziert ist. Wenn die Antwort empfangen wird, vergleicht der Authentifikator sein berechnetes Ergebnis mit der Antwort des Peers. Wenn sie übereinstimmen, wird der Peer authentifiziert.
Jedes Ende der Verbindung identifiziert sich mit seinem Peer, indem es seinen Namen in die CHAP-Herausforderung und die Antwortpakete einträgt, die er an den Peer sendet. Dieser Name ist standardmäßig der lokale Hostname, oder Sie können ihn mithilfe der local-name Option explizit festlegen. Wenn ein Host eine CHAP-Herausforderung oder ein CHAP-Antwortpaket auf einer bestimmten Schnittstelle empfängt, verwendet er die Peer-Identität, um den zu verwendenden CHAP-geheimen Schlüssel zu suchen.
Konfigurieren des PPP Challenge Handshake Authentication Protocol
Um CHAP zu aktivieren, müssen Sie ein Zugriffsprofil erstellen und die Schnittstellen für die Verwendung von PAP konfigurieren.
Definitionen:
profileist die Zuordnung zwischen Peer-Bezeichnern und CHAP-geheimen Schlüsseln. Die Identität des Peers, der in der CHAP-Herausforderung oder -Antwort enthalten ist, fragt das Profil nach dem zu verwendende geheime Schlüssel ab.clientist die Peer-Identität.chap-secretist der geheime Schlüssel, der mit diesem Peer verbunden ist.
Um ein Zugriffsprofil zu erstellen, fügen Sie die
profileAnweisung auf[edit access]Hierarchieebene ein:[edit access] user@host# set profile profile-name {Geben Sie die Anweisung auf Hierarchieebene ein, um den
clientPeer und den mit diesem Peer verknüpften geheimen[edit access profile profile-name]Schlüssel zu identifizieren:[edit access profile profile-name] user@host# set client client-name chap-secret chap-secret
Sie können mehrere CHAP-Profile und mehrere Clients für jedes Profil konfigurieren. Weitere Informationen zur Konfiguration des Zugriffsprofils finden Sie unter Point-to-Point Protocol (PPP) und Layer 2 Tunneling Protocol (L2TP).
Wenn Sie eine Schnittstelle für die Verwendung von CHAP konfigurieren, müssen Sie der Schnittstelle ein Zugriffsprofil zuweisen. Wenn eine Schnittstelle CHAP-Herausforderungen und -Antworten empfängt, wird das Zugriffsprofil im Paket verwendet, um den gemeinsam genutzten geheimen Schlüssel zu suchen, wie in RFC 1994 definiert. Wenn für die chap-Herausforderung, die von der Schnittstelle empfangen wurde, kein übereinstimmende Zugriffsprofil gefunden wird, wird der optional konfigurierte Standard-CHAP-Schlüssel verwendet. Der Standard-CHAP-Schlüssel ist nützlich, wenn der CHAP-Name des Peers unbekannt ist oder wenn sich der CHAP-Name während der PPP-Link-Aushandlung ändert.
Führen Sie zum Konfigurieren des PPP-CHAP auf jeder physischen Schnittstelle mit PPP-Kapselung die folgenden Schritte aus.
Anzeigen des Konfigurierten PPP-Challenge-Handshake-Authentifizierungsprotokolls
Zweck
So zeigen Sie den konfigurierten PPP-CHAP auf Hierarchieebene [edit access] an [edit interfaces] .
Zugriffsprofil –
pe-A-ppp-clientsStandardmäßige CHAP-Geheimdaten –
"$ABC123"Hostname für die CHAP-Herausforderung und Antwortpakete –
"pe-A-so-1/1/1"Schnittstelle – so-1/1/2
Aktion
Führen Sie den
showBefehl auf[edit access]Hierarchieebene aus.profile pe-A-ppp-clients; client cpe-1 chap-secret "$ABC123"; # SECRET-DATA [edit interfaces so-1/2/0] encapsulation ppp; ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name "pe-A-so-1/1/1"; } }Führen Sie den
showBefehl auf[edit interfaces s0-1/1/2]Hierarchieebene aus.ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name “pe-A-so-1/1/2"; } }
Bedeutung
Das konfigurierte CHAP und die zugehörigen Set-Optionen werden wie erwartet angezeigt.
Beispiel: Konfigurieren von PPP-CHAP
[edit]
access {
profile pe-A-ppp-clients {
client cpe-1 chap-secret "$ABC123";
# SECRET-DATA
client cpe-2 chap-secret "$ABC123";
# SECRET-DATA
}
}
interfaces {
so-1/1/1 {
encapsulation ppp;
ppp-options {
chap {
access-profile pe-A-ppp-clients;
local-name "pe-A-so-1/1/1";
}
}
}
so-1/1/2 {
encapsulation ppp;
ppp-options {
chap {
passive;
access-profile pe-A-ppp-clients;
local-name "pe-A-so-1/1/2";
}
}
}
}