Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

PPP Challenge ハンドシェイク認証プロトコル

PPP Challenge ハンドシェイク認証プロトコル

PPP カプセル化を使用するインターフェイスでは、RFC 1994、PPP Challenge ハンドシェイク認証プロトコル(CHAP)で定義されているとおり、PPP チャレンジ ハンドシェイク認証プロトコル(CHAP)をサポートするようにインターフェイスを設定できます。インターフェイスでCHAPを有効にすると、インターフェイスはピアを認証し、そのピアによって認証できます。デフォルトでは、PPP CHAP は無効になっています。CHAP が明示的に有効でない場合、インターフェイスは CHAP の課題を発生させず、受信するすべての CHAP チャレンジを拒否します。CHAP を有効にするには、アクセス プロファイルを作成し、CHAP を使用するようにインターフェイスを設定する必要があります。

CHAP では、RFC 1994 で定義されているとおり、PPP リンクの両端でピアを認証できます。オーセンティケータは、ピアが一方向 ハッシュを使用して暗号化する必要があるランダムに生成された課題をピアに送信します。その後、ピアは暗号化された結果で応答する必要があります。ハッシュの鍵は、オーセンティケータにのみ知られ、認証された秘密です。応答を受信すると、オーセンティケータは、その計算結果をピアの応答と比較します。一致する場合、ピアは認証されます。

リンクの各終端は、その名前を CHAP チャレンジおよびピアに送信する応答パケットに含めて、自身をピアに識別します。この名前はデフォルトでローカル ホスト名に設定されるか、オプションを使用して local-name 明示的に設定できます。ホストは、特定のインターフェイスでCHAPチャレンジまたはCHAP応答パケットを受信すると、ピアIDを使用して使用するCHAP秘密鍵を調べます。

PPP チャレンジ ハンドシェイク認証プロトコルの設定

CHAP を有効にするには、アクセス プロファイルを作成し、PAP を使用するようにインターフェイスを設定する必要があります。

定義:

  • profile は、ピア識別子と CHAP 秘密鍵の間のマッピングです。CHAP チャレンジまたは応答に含まれるピアの ID は、プロファイルに対して使用する秘密鍵を照会します。

  • client はピア ID です。

  • chap-secret は、そのピアに関連付けられた秘密鍵です。

  1. アクセス プロファイルを作成するには、階層レベルで profile ステートメントを [edit access] 含めます。

  2. ピアと、そのピアに関連付けられている秘密キーを識別するには、階層レベルで client ステートメントを [edit access profile profile-name] 含めます。

複数の CHAP プロファイルを設定し、各プロファイルに対して複数のクライアントを設定できます。アクセス プロファイルを設定する方法の詳細については、 PPP(Point-to-Point Protocol)レイヤー 2 トンネリング プロトコル(L2TP)を参照してください。

CHAP を使用するようにインターフェイスを設定する場合は、インターフェイスにアクセス プロファイルを割り当てる必要があります。インターフェイスがCHAPの課題と応答を受け取ると、RFC 1994で定義されているように、パケット内のアクセスプロファイルを使用して共有秘密を調べます。インターフェイスによって受信された CHAP チャレンジに対して一致するアクセス プロファイルが見つからない場合は、オプションで設定されたデフォルトの CHAP シークレットが使用されます。デフォルトの CHAP シークレットは、ピアの CHAP 名が不明な場合、または CHAP 名が PPP リンク ネゴシエーション中に変更された場合に役立ちます。

PPP CHAP を設定するには、PPP カプセル化を使用する各物理インターフェイスで、次の手順を実行します。

  1. インターフェイスにアクセス プロファイルを割り当てるには、ステートメントを access-profile 階層レベルに [edit interfaces interface-name ppp-options chap] 含めます。
    メモ:

    CHAP 認証方法を access-profile 設定するときは、ステートメントを含める必要があります。インターフェイスが、適用されたアクセス プロファイルに含まれていないピアから CHAP チャレンジまたは応答を受信した場合、デフォルトの CHAP シークレットが設定されていない限り、リンクはすぐにドロップされます。

  2. デフォルトの CHAP シークレットは、一致する CHAP アクセス プロファイルが存在しない場合、または CHAP 名が PPP リンク ネゴシエーション中に変更された場合に使用されます。インターフェイスのデフォルトCHAPシークレットを設定するには、階層レベルで default-chap-secret ステートメントを [edit interfaces interface-name ppp-options chap] 含めます。
  3. インターフェイスがCHAPチャレンジおよびレスポンスパケットで使用する名前を設定するには、階層レベルに local-name ステートメントを [edit interfaces interface-name ppp-options chap] 含めます。
    メモ:

    • ローカル名は、長さが 1~32 文字の任意のストリングで、英数字またはアンダースコア文字で始まり、以下の文字のみを含みます。

    • デフォルトでは、インターフェイスでCHAPが有効になっている場合、インターフェイスは、CHAPチャレンジおよび応答パケットで送信される名前としてルーターのシステムホスト名を使用します。

  4. インターフェイスを設定して、ピアに挑戦しないように設定し、チャレンジされたときにのみ応答できます。ピアに挑戦しないようにインターフェイスを設定するには、階層レベルに passive ステートメントを [edit interfaces interface-name ppp-options chap] 含めます。
    メモ:

    デフォルトでは、インターフェイスでCHAPが有効になっている場合、インターフェイスは常にピアに挑戦し、ピアからの課題に対応します。

設定済み PPP チャレンジ ハンドシェイク認証プロトコルの表示

目的

設定されたPPP CHAPを [edit access] 階層レベルと [edit interfaces] 階層レベルで表示するには、

  • アクセス プロファイル:pe-A-ppp-clients

  • デフォルトのCHAPシークレットデータ:"$ABC123"

  • CHAPチャレンジおよびレスポンスパケットのホスト名—"pe-A-so-1/1/1"

  • インターフェイス—so-1/1/2

アクション

  • show階層レベルでコマンドを[edit access]実行します。

  • show階層レベルでコマンドを[edit interfaces s0-1/1/2]実行します。

意味

構成された CHAP とそれに関連付けられたセット オプションは、期待どおりに表示されます。

例:PPP CHAP の設定

関連ドキュメント