După ce pasul LCP (Link Control Protocol) este terminat și conexiunea ambelor dispozitive este negociată prin protocolul CHAP, autentificatorul trimite un mesaj de apel CHAP către coleg.
Un nod peer-to-peer trimite un răspuns cu o valoare calculată utilizând un hashing cu un singur punct (MD5 (Message Digest 5)).
Autentificatorul verifică răspunsul pe baza calculului valorii estimate a hash-ului. Dacă valorile se potrivesc, autentificarea este considerată de succes. În caz contrar, conexiunea este deconectată.
Această metodă de autentificare depinde de "secretul", cunoscut doar de instrumentul de autentificare și de nodul de tip peer. Misteriul nu este trimis peste canal. Deși autentificarea este doar una, negocierea CHAP poate fi efectuată în ambele direcții cu ajutorul unui secret stabilit pentru autentificare reciprocă.
Cititorii acestui document ar trebui să aibă cunoștințe despre următoarele subiecte:
Activați PPP în interfață utilizând comanda ppp de încapsulare.
Abilitatea de a depana atunci când pasul LCP (Link Control Protocol) nu este în stare deschisă. Acest lucru se datorează faptului că pasul de autentificare PPP nu începe până când stadiul LCP nu este complet și nu este în stare deschisă. Dacă comanda de negociere la debug ppp nu indică faptul că LCP este deschis, trebuie să rezolvați această problemă înainte de a continua.
Notă: Acest document nu menționează protocolul MS-CHAP (versiunea 1 sau 2). Pentru mai multe informații despre MS-CHAP, consultați documentele MS-CHAP Support și MSCHAP Version 2.
Acest document nu are o obligație rigidă la variantele specifice ale software-ului și ale hardware-ului.
Procedura de configurare a CHAP este destul de simplă. De exemplu, să presupunem că aveți două routere, conectate la stânga și la dreapta printr-o rețea, așa cum se arată în Figura 1.
Figura 1 G Două rotoare legate prin rețea
Pentru a configura autentificarea CHAP, urmați acești pași:
Executați comanda ppp de încapsulare în interfață.
Activați utilizarea autentificării CHAP pe ambele routere utilizând comanda ppp autentificare chap.
Configurați numele de utilizator și parolele. Pentru a face acest lucru, executați parola de parolă username username. unde numele de utilizator este numele gazdei gazdei. Verificați următoarele:
Parolele la ambele capete sunt aceleași.
Parola și numele routerului sunt complet identice, deoarece țin cont de registrul de caractere.
Notă: În mod prestabilit, router-ul utilizează propriul nume de gazdă pentru a se autentifica la un coleg. Cu toate acestea, puteți schimba numele de utilizator CHAP cu numele de comandă ppp. Consultați autentificarea PPP Utilizând comenzile ppp chap hostname și ppp authentication chap callin pentru mai multe informații.
CHAP este definită ca o metodă de autentificare cu sens unic. Cu toate acestea, protocolul CHAP este utilizat în ambele direcții pentru a crea autentificare în două sensuri. Prin urmare, dacă se utilizează CHAP bidirecțional, unitatea de comunicații cu trei căi este inițiată de fiecare parte separat.
Într-o implementare Cisco a protocolului CHAP, partea apelată trebuie să confirme în mod prestabilit identitatea părții care a sunat (dacă autentificarea nu este complet dezactivată). Prin urmare, autentificarea într-o direcție inițiată de partea apelată este autentificarea minimă posibilă. Cu toate acestea, partea apelantă poate verifica identitatea părții chemate și aceasta va duce la autentificarea în ambele sensuri.
Necesitatea autentificării unilaterale apare adesea atunci când se conectează la dispozitive de la alte companii decât Cisco.
Pentru autentificarea într-o direcție, configurați comanda callin ppp authentication chap pe router-ul apelant.
Tabelul 1 arată când se configurează parametrul de apel.
Tabelul 1: Când să personalizați parametrul apelurilor
Tip de autentificare
Client (apelant)
Articole similare
Trimiteți-le prietenilor: