مصادقة PPP باستخدام أوامر إستدعاء بروتوكول PPP chap hostname و مصادقة PPP

المقدمة

يتضمن تفاوض PPP عدة خطوات مثل تفاوض بروتوكول التحكم في الارتباط (LCP) والمصادقة ومفاوضات بروتوكول التحكم في الشبكة (NCP). إذا تعذر على الجانبين الموافقة على المعلمات الصحيحة، يتم إنهاء الاتصال. بمجرد إنشاء الارتباط، يقوم الجانبان بمصادقة بعضهما البعض باستخدام بروتوكول المصادقة الذي تم تحديده أثناء تفاوض LCP. يجب أن تكون المصادقة ناجحة قبل بدء تفاوض NCP.

يدعم PPP بروتوكولي مصادقة: بروتوكول مصادقة كلمة المرور (PAP) وبروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP).

المتطلبات الأساسية

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

المتطلبات

لا توجد متطلبات أساسية خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية أدناه.

• برنامج IOS® الإصدار 11.2 أو إصدار أحدث من Cisco

النظرية الأساسية

تتضمن مصادقة PAP مصافحة ثنائية الإتجاه حيث يتم إرسال اسم المستخدم وكلمة المرور عبر الارتباط في نص واضح، وبالتالي، لا توفر مصادقة PAP أي حماية ضد التشغيل والتدقيق في الخط.

من ناحية أخرى، تتحقق مصادقة CHAP بشكل دوري من هوية العقدة البعيدة باستخدام مصافحة ثلاثية. بعد إنشاء إرتباط PPP، يرسل المضيف رسالة "تحدي" إلى العقدة البعيدة. تستجيب العقدة البعيدة بقيمة تم حسابها باستخدام وظيفة تجزئة أحادية الإتجاه. يتحقق المضيف من الاستجابة مقابل حسابه الخاص لقيمة التجزئة المتوقعة. إذا كانت القيم متطابقة، يتم الاعتراف بالمصادقة؛ وإلا، يتم إنهاء الاتصال.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث أوامر IOS

تكوين مصادقة CHAP أحادية الإتجاه

عندما يستخدم جهازان عادة مصادقة CHAP، يرسل كل جانب تحديا يستجيب له الجانب الآخر ويصادق عليه المنافس. فكل جانب يصادق الآخر بشكل مستقل. إذا كنت ترغب في العمل باستخدام موجهات غير تابعة لشركة Cisco لا تدعم المصادقة بواسطة موجه الاتصال أو الجهاز، فيجب عليك إستخدام الأمر ppp authentication chap. عند إستخدام الأمر مصادقة PPP باستخدام الكلمة الأساسية call، سيقوم خادم Access بمصادقة الجهاز البعيد فقط إذا كان الجهاز البعيد قد بدأ الاستدعاء (على سبيل المثال، إذا كان الجهاز البعيد "أستدعي"). في هذه الحالة، يتم تحديد المصادقة على المكالمات الواردة (المستلمة) فقط.

تكوين اسم مستخدم مختلف عن اسم الموجه

عند اتصال موجه Cisco البعيد إما بموجه Cisco أو بموجه مركزي غير Cisco خاص بتحكم إداري مختلف، أو بموفر خدمة الإنترنت (ISP)، أو بموجه من الموجهات المركزية، فمن الضروري تكوين اسم مستخدم المصادقة الذي يختلف عن اسم المضيف. في هذه الحالة، لا يتم توفير اسم المضيف للموجه أو أنه مختلف في أوقات مختلفة (دوراني). كما قد لا يكون اسم المستخدم وكلمة المرور اللذان يتم تخصيصهما من قبل ISP هو اسم المضيف للموجه البعيد. في مثل هذه الحالة، يتم إستخدام الأمر ppp chap hostname لتحديد اسم مستخدم بديل سيتم إستخدامه للمصادقة.

على سبيل المثال، ضع في اعتبارك حالة تتصل فيها أجهزة بعيدة متعددة بموقع مركزي. باستخدام مصادقة CHAP العادية، يجب تكوين اسم المستخدم (والذي سيكون اسم المضيف) لكل جهاز بعيد وسر مشترك على الموجه المركزي. في هذا السيناريو، يمكن أن يصبح تكوين الموجه المركزي طويل ومرهقا لإدارته، ومع ذلك، إذا كانت الأجهزة البعيدة تستخدم اسم مستخدم مختلف عن اسم المضيف الخاص بها، فيمكن تجنب ذلك. يمكن تكوين الموقع المركزي باستخدام اسم مستخدم واحد وسر مشترك يمكن إستخدامه لمصادقة العديد من عملاء الاتصال.

الرسم التخطيطي للشبكة

إذا قام الموجه 1 بتهيئة مكالمة بالموجه 2، فسيواجه الموجه 2 تحديا للموجه 1، ولكن الموجه 1 لن يتحدى الموجه 2. يحدث هذا لأن الأمر ppp authentication chap callin تم تكوينه على الموجه 1. هذا مثال على مصادقة أحادية الإتجاه.

في هذا الإعداد، يتم تكوين الأمر ppp chap hostname name alias-r1 على الموجه 1. يستخدم الموجه 1 "alias-r1" كاسم المضيف لمصادقة CHAP بدلا من "r1". يجب أن يتطابق اسم خريطة المتصل الخاص بالموجه 2 مع اسم المضيف لبروتوكول PPP الخاص بالموجه 1؛ وإلا، يتم إنشاء قناتين B، واحدة لكل إتجاه.

التكوينات

! 
 isdn switch-type basic-5ess 
 ! 
 hostname r1 
 ! 
 username r2 password 0 cisco 
 
! -- Hostname of other router and shared secret

 ! 
 interface BRI0/0 
  ip address 20.1.1.1 255.255.255.0 
  no ip directed-broadcast 
  encapsulation ppp 
  dialer map ip 20.1.1.2 name r2 broadcast 5772222 
  dialer-group 1 
  isdn switch-type basic-5ess 
  ppp authentication chap callin 
 
! -- Authentication on incoming calls only

  ppp chap hostname alias-r1 
 
! -- Alternate CHAP hostname

 ! 
 access-list 101 permit ip any any 
 dialer-list 1 protocol ip list 101 
 !

!
 isdn switch-type basic-5ess
 ! 
 hostname r2
 ! 
 username alias-r1 password 0 cisco 
 
! -- Alternate CHAP hostname and shared secret. ! -- The username must match the one in the ppp chap hostname ! -- command on the remote router.

 !
 interface BRI0/0 
  ip address 20.1.1.2 255.255.255.0 
  no ip directed-broadcast
  encapsulation ppp 
  dialer map ip 20.1.1.1 name 
  alias-r1 broadcast 5771111
  
! -- Dialer map name matches alternate hostname "alias-r1".

  dialer-group 1 
  isdn switch-type basic-5ess 
  ppp authentication chap
 ! 
 access-list 101 permit ip any any 
 dialer-list 1 protocol ip list 101 
 !

شرح التكوين

يرجى الرجوع إلى الأرقام الواردة أدناه للحصول على توضيحات:

1. في هذا المثال، يقوم الموجه 1 ببدء المكالمة. بما أن الموجه 1 تم تكوينه باستخدام الأمر ppp authentication chap، فإنه لا يتحدى الطرف المتصل، وهو الموجه 2.

2. عندما يستقبل الموجه 2 المكالمة، فإنه يتحدى الموجه 1 للمصادقة. وبشكل افتراضي لهذه المصادقة، يتم إستخدام اسم المضيف للموجه لتعريف نفسه. إذا تم تكوين الأمر ppp chap hostname name ، فإن الموجه يستخدم الاسم بدلا من اسم المضيف لتعريف نفسه. في هذا المثال، تتم الإشارة إلى هذا التحدي على أنه يأتي من "R2."

3. يستقبل الموجه 1 تحدي الموجه 2 ويبحث في قاعدة بياناته المحلية عن اسم المستخدم "r2".

4. يجد الموجه 1 كلمة المرور "r2"، أي يكون "cisco." يستخدم الموجه 1 كلمة المرور هذه والتحدي من الموجه 2 كمعلمات إدخال لدالة تجزئة MD5. يتم إنشاء قيمة التجزئة.

5. يرسل الموجه 1 قيمة إخراج التجزئة إلى الموجه 2. هنا، نظرا لتكوين الأمر ppp chap hostname على أنه "alias-r1"، فيعنون بالرد على أنه قادم من "alias-r1."

6. يستلم الموجه 2 الرد ويبحث عن اسم مستخدم "alias-r1" في قاعدة البيانات المحلية الخاصة به لكلمة المرور.

7. يعثر الموجه 2 على أن كلمة المرور ل "alias-r1" هي "cisco." يستخدم الموجه 2 كلمة المرور والتحدي الذي تم إرساله سابقا إلى الموجه 1 كمعلمات إدخال لدالة تجزئة MD5. تقوم وظيفة التجزئة بإنشاء قيمة تجزئة.

8. يقوم الموجه 2 بمقارنة قيمة التجزئة التي قام بتوليدها والتي يستلمها من الموجه 1.

9. بما أن معلمات الإدخال (التحدي وكلمة المرور) متطابقة، فإن قيمة التجزئة هي نفسها مما يؤدي إلى مصادقة ناجحة.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

قبل محاولة تنفيذ أي من أوامر تصحيح الأخطاء، يرجى الاطلاع على المعلومات المهمة في أوامر تصحيح الأخطاء

إخراج تصحيح الأخطاء للعينة

فيما يلي نموذج إخراج من أمر مصادقة PPP debug:

الموجه 1

r1#ping 20.1.1.2

 Type escape sequence to abort. 
 Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds: 

  *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
  *Mar 1 20:06:27.183: %ISDN-6-CONNECT: 
  Interface BRI0/0:1 is now connected to 5772222
  *Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
  *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2" 
  
! -- Received a CHAP challenge from other router (r2)

  *Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostname alias-r1
  
! -- Using alternate hostname configured with ! -- ppp chap hostname command

  *Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
  
! -- Sending response from "alias-r1" ! -- which is the alternate hostname for r1

  *Mar 1 20:06:27.243: BR0/0:1 CHAP: I SUCCESS id 57 Len 4
  
! -- Received CHAP authentication is successful ! -- Note that r1 is not challenging r2

  .!!!! 
 Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
 r1# 
  *Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
  changed state to up

 r1# 
  *Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
   to 5772222 r2

الموجه 2

r2#

  20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
  20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
  20:05:20: BR0/0:1 PPP: Treating connection as a callin
  20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
 
! -- r2 is sending out a challenge

  20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
 
! -- Received a response from alias-r1, ! -- which is the alternate hostname on r1

  20:05:21: BR0/0:1 CHAP: O SUCCESS id 57 Len 4 
 
! -- Sending out CHAP authentication is successful

  20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
   changed state to up
  20:05:26: %ISDN-6-CONNECT: 
  Interface BRI0/0:1 is now connected to 5771111 alias-r1

معلومات ذات صلة

• أوامر PPP للشبكات واسعة النطاق
• فهم مصادقة PPP و PPP
• معلومات تصحيح أخطاء ISDN

محفوظات المراجعة