Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAndrée Alain Modifié depuis plus de 6 années
1
Authentification CHAP PPP Utilisation des commandes ppp chap hostname
et ppp chap authentication callin ccnp_cch ccnp_cch
2
Sommaire • Introduction - Rappel de théorie • Configurer
- Configuration de l'authentification CHAP unidirectionnelle - Configuration d'un nom d'utilisateur différent de celui du routeur - Schéma de réseau - Configurations - Explication des configurations - Résolution de problèmes ccnp_cch
3
Introduction Configurer ccnp_cch
La négociation PPP inclut plusieurs étapes comme la négociation LCP (Link Control Protocol) , l'authentification et la négociation NCP (Network Control Protocol). Si les deux extrémités ne peuvent pas s'authentifier avec les paramètres corrects, la connexion est libérée. Une fois que la liaison est établie, les deux extrémités s'authen- tifient mutuellement avec le protocole choisi durant la négociation LCP. L'authentification doit être réussie avant de passer à la négociation NCP. PPP supporte deux protocoles d'authentification : Password Authentication Protocol (PAP) et Challenge Handshake Authentication Protocol (CHAP). Rappel de théorie L'authentification PAP inclut un échange en deux étapes dans lequel le mot de passe et le nom d'utilisateur sont transmis en clair. Par conséquent l'authentification PAP ne fournit pas de protection contre l'espionnage de liaison et la réutilisation du nom d'utilisateur et du mot de passe. L'authentification CHAP au contraire vérifie périodiquement l'identité du proche en utilisant un échange en trois étapes. Une fois que la liaison PPP est établie, le host transmet un message "challenge" au noeud distant. Le nœud distant répond avec une valeur calculée utilisant une fonction de hachage . Le host test la réponse avec son propre calcul de valeur "hash" attendue. Si les valeurs sont identiques, l'authentification est réussie sinon la connexion est libérée. Configurer Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Configuration de l'authentification CHAP unidirectionnelle Quand deux équipements utilisent normalement l'authentification CHAP, chaque extrémité transmet un message "challenge" auquel l'autre extrémité répond puis est authentifiée par le "Challenger". Chaque extrémité s'identifie avec l'autre extrémité de manière indépendante. Si vous opérez avec des équipements ou routeurs autres que Cisco qui ne supportent pas l'authentification par le routeur ou l'équipement appelant, vous devez utiliser la commande ppp authentication chap callin. Quand vous utilisez la commande ppp authentication avec le mot-clé callin, le serveur d'accès s'authentifiera avec l'équipement distant si l'équipement distant initie l'appel (par exemple , si l'équipe- ment distant "called in"). Dans ce cs l'authentification est spécifiée pour les appels entrants uniquement. ccnp_cch
4
Configuration dun nom d'utilisateur différent de celui du routeur
Quand un routeur Cisco distant se connecte à un routeur central Cisco ou autre placé sous un contrôle administratif différent, un FAI (Fournisseur d'Accès Internet) ou un ensemble de routeurs centraux, il est nécessaire de configurer un nom d'utilisateur pour l'authentification différent de celui du routeur. Dans cette situation, le nom du routeur n'est fourni ou n'est pas toujours le même. De même le nom d'utilisateur et le mot de passe fournis par le FAI ne correspond pas à ceux du routeur distant. Pour ces situations, la commande ppp chap hostname est utilisée pour spécifier un nom d'utilisateur différent du nom du routeur qui sera utilisé pour l'authentification. Par exemple, considérons une situation dans laquelle plusieurs équipements distants appellent vers le site central. Avec une utilisation normale de l'authentification CHAP, le nom d'utilisateur (qui doit être le nom du routeur) et le secret partagé de chacun des équipements distants doivent être configués sur le routeur central. Dans ce scénarion, la configuration du routeur central peut prendre du temps et être compliquée à gérer. Cependant si les équipements distants utilisent un nom d'utuili- sateur différent de celui de leur nom de host, le problème cité auparavant peut être évité. Le site central peut être configuré avec un seul nom d'utilisateu et un secret partagé qui peuvent être utilisés pour authentifier plusieurs client appelants. Schéma de réseau Si le Routeur 1 initie un appel vers le Routeur 2, le Routeur 2 enverra un challenge au Routeur 1 pour qu'il s'authentifie mais le Routeur 1 n'enverra pas de challenge pour authentifier le Routeur 2. Ceci se produit car la commande ppp authentication chap callin a été exécutée sur le Routeur 1. Ceci est un exemple d'authentification unidirectionnelle. Dans cette configuration, la commande ppp chap hostname alias-r1 a été exécutée sur le Routeur 1. Le Routeur 1 utilise "alias-r1" comme nom de host pour l'authen- tification CHAP au lieu de "r1". Le nom de correspondance pour le "dialer map" sur le Routeur 2 doit correspondre au ppp chap hostname du Routeur 1; Autrement deux canaux B seront établis, un pour chaque sens. Routeur 1 Routeur 2 BRI0/0 BRI0/0 RNIS/PPP ccnp_cch
5
Configurations Routeur 1 Routeur 2 ccnp_cch
! isdn switch-type vn3 ! hostname r1 ! username r2 password 0 cisco ! !Nom de l'autre routeur et mot de passe secret ! interface BRI0/0 ip address no ip directed-broadcast encapsulation ppp dialer map ip name r2 broadcast dialer-group 1 isdn switch-type vn3 ppp authentication chap callin ! !-- authentification sur les appels entrants ! ppp chap hostname alias-r1 ! !-- Nom de host CHAP alternatif ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ! Routeur 2 ! isdn switch-type vn3 ! hostname r1 ! username alias-r1 password 0 cisco ! !-- Nom de l'autre routeur et mot de passe secret doit correspondre au !-- username de la commande ppp chap hostname sur le Router 1 ! interface BRI0/0 ip address no ip directed-broadcast encapsulation ppp dialer map ip name alias-r1 broadcast ! !-- name doit correspondre au username de ppp chap hostname sur le !-- Router 1 ! dialer-group 1 isdn switch-type vn3 ppp authentication chap ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 ccnp_cch
6
ccnp_cch Explication des configurations Routeur 2 (r2) Routeur 1 (r1)
r1 initie l'appel 1 3 challenge username r2 4 2 r1 cherche dans sa base locale username "r2" cisco MD5 challenge hash 6 hash de "alias-r1" 5 7 r2 cherche dans sa base locale username "alias-r1" cisco MD5 challenge hash 8 = Oui Authentification réussie 9 1. Dans cet exemple, le Routeur 1 initie l'appel. Comme le Routeur 1 est configuré avec la commande ppp authentication chap callin, il n'activera pas d'authentifi- cation avec la partie appellante (Routeur 2). 2. Quand le Routeur 2 reçoit l'appel, il transmet un message challenge au Routeur 1 pour l'authentification. Par défaut pour cette authentification, le nom de host du routeur est utilisé pour son identification. Si la commande ppp chap hostname name est utilisée, le routeur utilise le mot-clé name à la place de son nom de host pour s'identifier. Dans cet exemple le message Challenge indique "r2" comme origine. 3. Le Routeur 1 reçoit le challenge du Routeur 2 et regarde dans sa base de données locale si "r2" existe. 4. Le Routeur 1 trouve "r2" avec le mot de passe cisco associé. Le Routeur 1 utilise ce mot de passe et le message Challenge comme valeurs d'entrée de la fonction de hachage MD5. ccnp_cch
7
Résolution de problème
5. Le Routeur 1 transmet la valeur de hash calculée au Routeur 2 dans un message de réponse. Comme la commande ppp chap hostname alias-r1 est utlisée, le message de réponse contient l'identification "alias-r1" pour la source de la réponse. 6. Le Routeur 2 reçoit la réponse et regarde dans sa base de données locale si "alias-r1" existe avec le mot de passe associé. 7. Le Routeur 2 trouve le mot de pass cisco associé à "alias-r1". Le Routeur 2 utilise ce mot de passe et les infomations du message Challenge comme paramètres d'entrée de la fonction de hachage MD5. La fonction de hachage génère la valeur de hash. 8. Le Routeur 2 compare la valeur de hash reçue et la valeur de hash calculée. 9. Si les deux valeurs sont identiques, le Routeur 2 transmet un message d'authenti- fication réussie. Résolution de problème Cette section fournit des informations que vous pouvez utiliser pour la résolution de problèmes. L'exemple suivant concerne la commande debug ppp authentication. Router 1 r1#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: * Mar 20 15:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up * Mar 20 15:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1, is now connected to * Mar 20 15:06:27.187: BRI0/0:1 PPP: Treating connection as a callout * Mar 20 15:06:27.179: BRI0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2" !-- Réception du message Challenge de r2 * Mar 20 15:06:27.223: BRI0/0:1 CHAP: Using alternate hostname alias-r1 !-- Utilisation du nom configuré par la commande ppp chap hostname * Mar 20 15:06:27.223: BRI0/0:1 CHAP: 0 RESPONSE id 57 len 29 from "alias-r1 !-- Envoi de la réponse avec "alias-r1" pour identification * Mar 20 15:06:27.243: BRI0/0:1 CHAP: I SUCCESS id 57 len 4 !-- Réception du message d'authentification réussie .!!!! Succes rate is 80 percent (4/5) round-trip min/avg/max = 36/38/40 ms r1# * Mar 20 15:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up * Mar 20 15:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to r2 ccnp_cch
8
Router 2 * Mar 20 15:05:20.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up * Mar 20 15:05:20.183: %ISDN-6-CONNECT: Interface BRI0/0:1, is now connected to * Mar 20 15:06:20.187: BRI0/0:1 PPP: Treating connection as a callin * Mar 20 15:06:27.179: BRI0/0:1 CHAP: 0 CHALLENGE id 57 len 23 from "r2" !-- Emission du message Challenge de r2 * Mar 20 15:05:20.223: BRI0/0:1 CHAP: I RESPONSE id 57 len 29 from "alias-r1 !-- Réception de la réponse avec "alias-r1" pour identification * Mar 20 15:05:20.243: BRI0/0:1 CHAP: 0 SUCCESS id 57 len 4 !-- Emission du message d'authentification réussie * Mar 20 15:05:33.179: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up * Mar 20 15:05:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to alias-r1 ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.