Protocole d’authentification de négociation de défi PPP
Protocole d’authentification de négociation de défi PPP
Pour les interfaces avec l’encapsulation PPP, vous pouvez configurer des interfaces pour prendre en charge le protocole CHAP (Handshake Authentication Protocol) ppp Challenge, tel que défini dans le document RFC 1994, PPP Challenge Handshake Authentication Protocol (CHAP). Lorsque vous activez le protocole CHAP sur une interface, l’interface peut authentifier son pair et peut être authentifiée par son pair. Par défaut, le protocole PPP CHAP est désactivé. Si le CHAP n’est pas activé explicitement, l’interface ne pose aucun problème CHAP et nie tous les défis CHAP futurs. Pour activer le protocole CHAP, vous devez créer un profil d’accès et configurer les interfaces pour qu’elles utilisent le protocole CHAP.
Le protocole CHAP permet à chaque fin d’un lien PPP d’authentifier son pair, comme défini dans la directive RFC 1994. L’authentificateur envoie à son pair un défi généré de manière aléatoire que l’pair doit chiffrer à l’aide d’un hachage à sens unique ; l’appairage doit alors répondre à l’aide de ce résultat chiffré. La clé du hachage est un secret connu uniquement de l’authentificateur et authentifié. Lorsque la réponse est reçue, l’authentificateur compare son résultat calculé avec la réponse de l’pair. S’ils correspondent, l’pair est authentifié.
Chaque fin de la liaison s’identifie à son pair en incluant son nom dans le défi CHAP et les paquets de réponse qu’il envoie à l’pair. Ce nom correspond par défaut au nom d’hôte local, ou vous pouvez le définir explicitement à l’aide de l’option local-name
. Lorsqu’un hôte reçoit un défi CHAP ou un paquet de réponse CHAP sur une interface particulière, il utilise l’identité d’appairage pour rechercher la clé secrète CHAP à utiliser.
Configuration du protocole d’authentification de la négociation de défi PPP
Pour activer le protocole CHAP, vous devez créer un profil d’accès et configurer les interfaces pour utiliser PAP.
Définitions:
profile
correspond au mappage entre les identifiants pairs et les clés secrètes CHAP. L’identité de l’pair contenue dans le défi CHAP ou la réponse interroge le profil pour la clé secrète à utiliser.client
est l’identité des pairs.chap-secret
est la clé secrète associée à cet pair.
Pour créer un profil d’accès, incluez l’instruction
profile
au niveau de la[edit access]
hiérarchie :[edit access] user@host# set profile profile-name {
Pour identifier l’pair et la clé secrète associée à cet pair, incluez l’énoncé
client
au niveau de la[edit access profile profile-name]
hiérarchie :[edit access profile profile-name] user@host# set client client-name chap-secret chap-secret
Vous pouvez configurer plusieurs profils CHAP et plusieurs clients pour chaque profil. Pour plus d’informations sur la configuration du profil d’accès, reportez-vous aux protocoles PPP (Point-to-Point Protocol) et L2TP (Layer 2 Tunneling Protocol).
Lorsque vous configurez une interface pour utiliser le protocole CHAP, vous devez lui attribuer un profil d’accès. Lorsqu’une interface reçoit des problèmes et des réponses CHAP, le profil d’accès du paquet est utilisé pour rechercher le secret partagé, tel que défini dans la directive RFC 1994. Si aucun profil d’accès correspondant n’est trouvé pour le défi CHAP reçu par l’interface, le secret CHAP par défaut configuré en option est utilisé. Le secret CHAP par défaut est utile si le nom CHAP de l’pair est inconnu ou si le nom CHAP change lors de la négociation du lien PPP.
Pour configurer le CHAP PPP, sur chaque interface physique avec l’encapsulation PPP, effectuez les étapes suivantes.
Affichage du protocole d’authentification handshake de défi PPP configuré
But
Pour afficher le PPP CHAP configuré aux [edit access]
niveaux et [edit interfaces]
hiérarchie.
Profil d’accès :
pe-A-ppp-clients
données secrètes CHAP par défaut :
"$ABC123"
nom d’hôte des paquets de réponse et de défi CHAP :
"pe-A-so-1/1/1"
Interface : so-1/1/2
Action
Exécutez la
show
commande au niveau de la[edit access]
hiérarchie.profile pe-A-ppp-clients; client cpe-1 chap-secret "$ABC123"; # SECRET-DATA [edit interfaces so-1/2/0] encapsulation ppp; ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name "pe-A-so-1/1/1"; } }
Exécutez la
show
commande au niveau de la[edit interfaces s0-1/1/2]
hiérarchie.ppp-options { chap { access-profile pe-A-ppp-clients; default-chap-secret "$ABC123"; local-name “pe-A-so-1/1/2"; } }
Sens
Le CHAP configuré et les options de jeu associées s’affichent comme prévu.
Exemple : Configuration du protocole PPP CHAP
[edit] access { profile pe-A-ppp-clients { client cpe-1 chap-secret "$ABC123"; # SECRET-DATA client cpe-2 chap-secret "$ABC123"; # SECRET-DATA } } interfaces { so-1/1/1 { encapsulation ppp; ppp-options { chap { access-profile pe-A-ppp-clients; local-name "pe-A-so-1/1/1"; } } } so-1/1/2 { encapsulation ppp; ppp-options { chap { passive; access-profile pe-A-ppp-clients; local-name "pe-A-so-1/1/2"; } } } }