تكوين مصادقة PPP CHAP وفهمها

خيارات التنزيل

  • PDF     (332.9 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (140.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (295.4 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٢ يناير ٢٠٢٣
معرّف المستند:25647

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية التحقق من صحة بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP) لهوية نظير من خلال مصافحة ثلاثية الإتجاه.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • كيفية تمكين PPP على الواجهة من خلال encapsulation ppp erasecat4000_flash:.

    • يعرض الأمر debug ppp negotiation  إخراج الأمر. راجع فهم إخراج تفاوض PPP الخاص بتصحيح الأخطاء للحصول على مزيد من المعلومات.

    • كيفية أستكشاف الأخطاء وإصلاحها عندما لا تكون مرحلة بروتوكول التحكم في الارتباط (LCP) في حالة الفتح. وهذا بسبب، أن مرحلة مصادقة PPP لا تبدأ حتى تكتمل مرحلة LCP وتكون في حالة الفتح. إذا  debug ppp negotiationلا يشير الأمر إلى أن LCP مفتوح، يلزمك أستكشاف أخطاء هذه المشكلة وإصلاحها قبل المتابعة.

    ملاحظة: لا يتناول هذا المستند MS-CHAP (الإصدار 1 أو الإصدار 2).

    المكونات المستخدمة

    لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    الاصطلاحات

    للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.

    معلومات أساسية

    يتحقّق بروتوكول المصادقة بتحدي التصافح (CHAP) (المحدد في RFC 1994) من هوية النظير من خلال مصافحة ثلاثية. فيما يلي الخطوات العامة التي يتم تنفيذها في CHAP:

    1. بعد اكتمال مرحلة LCP (بروتوكول التحكم في الارتباط)، تفاوض CHAP بين كلا الجهازين، يرسل المصدق رسالة تحدي إلى النظير.

    2. يستجيب النظير بقيمة يتم حسابها من خلال وظيفة تجزئة أحادية الإتجاه (ملخص الرسالة 5 (MD5)).

    3. يتحقق المصدق من الاستجابة مقابل حسابه الخاص لقيمة التجزئة المتوقعة. إذا تطابقت القيم، تكون المصادقة ناجحة. وإلا، يتم إنهاء الاتصال.

    تعتمد طريقة المصادقة هذه على "سر" معروف فقط للمصادقة والنظير. لا يتم إرسال السر عبر الارتباط. على الرغم من أن المصادقة تكون في إتجاه واحد فقط، يمكنك التفاوض على CHAP في كلا الاتجاهين، بمساعدة من نفس المجموعة السرية للمصادقة المتبادلة.

    لمزيد من المعلومات حول مزايا وعيوب بروتوكول CHAP، راجع RFC 1994.

    تكوين CHAP

    والإجراء لتكوين CHAP بسيط إلى حد ما. على سبيل المثال، لنفترض أن لديك موجهين، يمين ويسار، متصلين عبر شبكة، كما هو موضح في الشكل 1.

    Two Routers Connected Across a Networkموجهان متصلان عبر الشبكة

    شكل 1 — موجهان متصلان عبر الشبكة

    لتكوين مصادقة CHAP، أكمل الخطوات التالية:

    1. على الواجهة، قم بإصدار الأمر encapsulation ppp.

    2. تمكين إستخدام مصادقة CHAP على كلا الموجهين باستخدام ppp authentication chap  erasecat4000_flash:.

    3. قم بتكوين أسماء المستخدمين وكلمات المرور. للقيام بذلك، قم بإصدار username username password passwordالأمر، حيث اسم المضيف هو اسم المضيف للنظير. تأكد من:

      • كلمات المرور متطابقة في كلا الطرفين.

      • اسم الموجه وكلمة المرور متماثلان تماما، لأنهما حساسان لحالة الأحرف.

    ملاحظة: بشكل افتراضي، يستخدم الموجه اسم المضيف الخاص به لتعريف نفسه للنظير. ومع ذلك، يمكن تغيير اسم مستخدم CHAP هذا من خلال ppp chap hostname erasecat4000_flash:. راجع مصادقة PPP باستخدام أوامر طلب بروتوكول PPP chap ومصادقة بروتوكول PPP للحصول على مزيد من المعلومات.

    مصادقة أحادية الإتجاه وثنائية الإتجاه

    يتم تعريف CHAP كطريقة مصادقة أحادية الإتجاه. ومع ذلك، فإنك تستخدم CHAP في كلا الاتجاهين لإنشاء مصادقة ثنائية الإتجاه. لذلك، مع بروتوكول CHAP ثنائي الإتجاه، يبدأ كل جانب بمصافحة منفصلة ثلاثية الإتجاه.

    في تنفيذ Cisco CHAP، وبشكل افتراضي، يجب أن يصادق الطرف المستدعي الطرف المتصل (ما لم يتم إيقاف تشغيل المصادقة بالكامل). وبالتالي، فإن المصادقة الأحادية الإتجاه التي يستهلها الطرف المسمى هي الحد الأدنى الممكن من المصادقة. ومع ذلك، يمكن لطرف الاتصال أيضا التحقق من هوية الطرف المستدعي، وينتج عن ذلك مصادقة ثنائية الإتجاه.

    غالبا ما تكون المصادقة أحادية الإتجاه مطلوبة عند الاتصال بأجهزة غير تابعة ل Cisco.

    بالنسبة للمصادقة أحادية الإتجاه، قم بتكوين ppp authentication chap callinالأمر على موجه الاتصال.

    يوضح الجدول 1 متى يمكن تكوين خيار الاستدعاء.

    الجدول 1: متى يمكن تكوين خيار الاستدعاء

    نوع المصادقة العميل (الاتصال) NAS (مستدعى)
    إتجاه واحد (أحادي الإتجاه) إستدعاء بروتوكول PPP للمصادقة بروتوكول PPP لمصادقة الفصل
    ثنائي الإتجاه (ثنائي الإتجاه) بروتوكول PPP لمصادقة الفصل بروتوكول PPP لمصادقة الفصل

    راجع مصادقة PPP باستخدام أوامر طلب بروتوكول PPP chap ومصادقة بروتوكول PPP للحصول على مزيد من المعلومات.

    أوامر وخيارات تكوين CHAP

    يسرد الجدول 2 أوامر CHAP وخياراتها:

    الجدول 2: أوامر CHAP وخياراتها

    الوصف
    مصادقة PPP {chap | ms-chap | ms-chap-v2 | نبع |PAP} [callin] يتيح هذا الأمر المصادقة المحلية لنظير PPP البعيد باستخدام البروتوكول المحدد.
    اسم مستخدم اسم المضيف PPP chap يحدد هذا الأمر اسم مضيف CHAP خاص بالواجهة. ارجع إلى مصادقة PPP باستخدام أوامر بروتوكول PPP CHAP Hostname و PPP Authentication CHAP للحصول على مزيد من المعلومات.
    كلمة مرور PPP CHAP يحدد هذا الأمر كلمة مرور CHAP خاصة بالواجهة.
    PPP DirectCallin | وسيلة شرح | متفان تقوم هذه القيادة بفرض إتجاه اتصال. أستخدم هذا الأمر عندما يتم الخلط بين موجه وما إذا كانت المكالمة واردة أو صادرة (على سبيل المثال، عند الاتصال من الخلف أو الاتصال بخطوط مستأجرة ووحدة خدمة القناة أو وحدة خدمة البيانات (CSU/DSU) أو مهايئ ISDN الطرفي (TA) يتم تكوينه للطلب).
    رفض بروتوكول الاتصال من نقطة إلى نقطة (PPP) [callin] يقوم هذا الأمر بتعطيل المصادقة عن بعد بواسطة نظير (تمكين الافتراضي). باستخدام هذا الأمر، يتم تعطيل مصادقة CHAP لجميع المكالمات، مما يعني رفض جميع محاولات النظير لإجبار المستخدم على المصادقة باستخدام تعليمات CHAP. يحدد خيار الاستدعاء أن الموجه يرفض الرد على تحديات مصادقة CHAP التي يتم استقبالها من النظير، ولكنه لا يزال يتطلب من النظير الرد على أي تحديات CHAP التي يرسلها الموجه.
    انتظار بروتوكول PPP يحدد هذا الأمر أنه يجب على المتصل المصادقة أولا (تمكين الإعداد الافتراضي). يحدد هذا الأمر أن الموجه لا يقوم بالمصادقة على نظير يطلب مصادقة CHAP حتى بعد أن يقوم النظير بمصادقة نفسه على الموجه.
    قيمة PPP max-bad-auth يحدد هذا الأمر العدد المسموح به من عمليات إعادة محاولة المصادقة (القيمة الافتراضية هي 0). يقوم هذا الأمر بتكوين واجهة من نقطة إلى نقطة لا لإعادة ضبط نفسها مباشرة بعد فشل المصادقة، ولكن بدلا من ذلك للسماح بعدد محدد من عمليات إعادة محاولة المصادقة.
    أسماء فواصل PPP يسمح هذا الأمر المخفي بأسماء المضيف المختلفة لتحدي CHAP والاستجابة (يتم تعطيل القيمة الافتراضية).
    تجاهل PPP chap يتجاهل هذا الأمر الخفي تحديات CHAP باستخدام الاسم المحلي (يتم تمكين القيمة الافتراضية).

    مثال تفاعلي

    تعرض المخططات الواردة في هذا القسم سلسلة الأحداث التي تحدث أثناء مصادقة CHAP بين موجهين. هذه لا تمثل الرسائل الفعلية التي ظهرت في debug ppp negotiationإخراج الأمر. لمزيد من المعلومات، راجع فهم إخراج تفاوض PPP الخاص بتصحيح الأخطاء.

    مكالمة

    The Call Comes Inالدعوة تأتي

    شكل 2 — تم الاتصال

    الشكل 2 يعرض الخطوات التالية:

    1. تصل المكالمة إلى 3640-1. تم تكوين الواجهة الواردة باستخدام  ppp authentication chap   erasecat4000_flash:.

    2. يتفاوض بروتوكول LCP مع بروتوكول CHAP و MD5. للحصول على مزيد من المعلومات حول كيفية تحديد ذلك، ارجع إلى فهم إخراج تفاوض PPP الخاص بتصحيح الأخطاء.

    3. يجب إجراء تحدي CHAP من 3640-1 إلى موجه الاتصال في هذه المكالمة.

    تحدي

    CHAP Challenge Packet is Builtتم إنشاء حزمة CHAP Challenge

    شكل 3 — تم إنشاء حزمة تحدي CHAP

    الشكل 3 يوضح هذه الخطوات في مصادقة CHAP بين الموجهين:

    1. يتم إنشاء حزمة تحديات CHAP باستخدام الخصائص التالية:

      • 01 = معرف نوع حزمة التحدي.

      • المعرف = الرقم التسلسلي الذي يحدد التحدي.

      • عشوائي = رقم عشوائي معقول تم إنشاؤه بواسطة الموجه.

      • 3640-1 = اسم مصادقة المنافس.

    2. يتم الاحتفاظ بالمعرف والقيم العشوائية على الموجه المسمى.

    3. يتم إرسال حزمة التحدي إلى موجه الاتصال. ويجري الاحتفاظ بقائمة بالتحديات المعلقة.

    إستجابة

    Receipt and MD5 Processing of the Challenge Packet from the Peerالاستلام ومعالجة MD5 لحزمة التحدي من النظير

    الشكل 4 — الاستلام ومعالجة MD5 لحزمة التحدي من النظير

    الشكل 4 يوضح كيفية تلقي حزمة التحدي من النظير، ومعالجتها (MD5). يعالج الموجه حزمة تحديات CHAP الواردة بهذه الطريقة:

    1. يتم إدخال قيمة المعرف في مولد تجزئة MD5.

    2. يتم إدخال القيمة العشوائية في مولد تجزئة MD5.

    3. يتم إستخدام الاسم 3640-1 للبحث عن كلمة المرور. يبحث الموجه عن إدخال يطابق اسم المستخدم في التحدي. في هذا المثال، تبحث عن:


    username 3640-1 password pc1

    4. يتم إدخال كلمة المرور في مولد تجزئة MD5.

    والنتيجة هي تحدي MD5-hashed CHAP الذي يتم إرساله مرة أخرى في إستجابة CHAP.

    الاستجابة (تابع)

    CHAP Response Packet Sent to the Authenticator is Builtتم إنشاء حزمة إستجابة CHAP المرسلة إلى المصدق

    الشكل 5 — تم إنشاء حزمة إستجابة CHAP التي تم إرسالها إلى المصدق

    الشكل 5 يوضح كيفية إنشاء حزمة إستجابة CHAP التي تم إرسالها إلى المصدق. يوضح هذا المخطط الخطوات التالية:

    1. يتم تجميع حزمة الاستجابة من المكونات التالية:

      • 02 = معرف نوع حزمة إستجابة CHAP.

      • المعرف = تم نسخه من حزمة الاستبيان.

      • التجزئة = الإخراج من مولد تجزئة MD5 (المعلومات المجمعة من حزمة التحدي).

      • 766-1 = اسم مصادقة هذا الجهاز. يلزم توفر هذا الأمر لكي يقوم النظير بالبحث عن إدخال اسم المستخدم وكلمة المرور المطلوب للتحقق من الهوية (يتم شرح ذلك بمزيد من التفاصيل في قسم التحقق من بروتوكول CHAP).

    2. يتم بعد ذلك إرسال حزمة الاستجابة إلى المنافس.

    التحقق من CHAP

    يقدم هذا القسم تلميحات حول كيفية التحقق من التكوين الخاص بك.

    Challenger Processes the Response Packetيقوم Challenge بمعالجة حزمة الاستجابة

    الشكل 6 — يعالج Challenge حزمة الاستجابة

    الشكل 6 يوضح كيفية معالجة المنافس لحزمة الاستجابة. فيما يلي الخطوات المعنية عند معالجة حزمة إستجابة CHAP (على المصدق):

    1. يتم إستخدام المعرف للعثور على حزمة الاستبيان الأصلية.

    2. يتم إدخال المعرف في مولد تجزئة MD5.

    3. يتم تغذية القيمة العشوائية للتحدي الأصلي في مولد تجزئة MD5.

    4. يتم إستخدام الاسم 766-1 للبحث عن كلمة المرور من أحد هذه المصادر:

      • قاعدة بيانات اسم المستخدم وكلمة المرور المحلية.

      • خادم RADIUS أو TACACS+.

    5. يتم إدخال كلمة المرور في مولد تجزئة MD5.

    6. ثم تتم مقارنة قيمة التجزئة التي يتم تلقيها في حزمة الاستجابة بقيمة تجزئة MD5 التي تم حسابها. تنجح مصادقة CHAP إذا كانت قيم التجزئة المحسوبة والمستلمة متساوية.

    نتيجة

    Success Message is Sent to the Calling Routerيتم إرسال رسالة النجاح إلى موجه الاتصال

    شكل 7 — يتم إرسال رسالة النجاح إلى موجه الاتصال

    الشكل 7 يوضح رسالة النجاح التي تم إرسالها إلى موجه الاتصال. وهذا يتضمن الخطوات التالية:

    1. إذا كانت المصادقة ناجحة، فسيتم إنشاء حزمة نجاح CHAP من المكونات التالية:

      • 03 = نوع رسالة نجاح CHAP.

      • المعرف = تم النسخ من حزمة الاستجابة.

      • "مرحبا بك في" هي ببساطة رسالة نصية توفر تفسيرا يمكن قراءته من قبل المستخدم.

    2. إذا فشلت المصادقة، فسيتم إنشاء حزمة فشل CHAP من المكونات التالية:

      • 04 = نوع رسالة فشل CHAP.

      • المعرف = تم النسخ من حزمة الاستجابة.

      • "فشل المصادقة" أو رسالة نصية أخرى، توفر شرحا يمكن قراءته من قبل المستخدم.

    3. يتم بعد ذلك إرسال حزمة النجاح أو الفشل إلى موجه الاتصال.

    ملاحظة: يوضح هذا المثال المصادقة أحادية الإتجاه. في مصادقة ثنائية الإتجاه، يتم تكرار هذه العملية بالكامل. ومع ذلك، يقوم موجه الاتصال بتهيئة التحدي الأولي.

    أستكشاف أخطاء CHAP وإصلاحها

    راجع أستكشاف أخطاء مصادقة PPP (CHAP أو PAP) وإصلاحها للحصول على معلومات حول كيفية أستكشاف أخطاء هذه المشكلة وإصلاحها.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    12-Jan-2023
    تنسيق تم تحديثه. إستبدال صور .gif بصور .png. تمت إعادة تسميته.
    1.0
    19-Jul-2002
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات