المقدمة
يوضح هذا المستند كيفية التحقق من صحة بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP) لهوية نظير من خلال مصافحة ثلاثية الإتجاه.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
-
كيفية تمكين PPP على الواجهة من خلال encapsulation ppp
erasecat4000_flash:.
-
يعرض الأمر debug ppp negotiation
إخراج الأمر. راجع فهم إخراج تفاوض PPP الخاص بتصحيح الأخطاء للحصول على مزيد من المعلومات.
-
كيفية أستكشاف الأخطاء وإصلاحها عندما لا تكون مرحلة بروتوكول التحكم في الارتباط (LCP) في حالة الفتح. وهذا بسبب، أن مرحلة مصادقة PPP لا تبدأ حتى تكتمل مرحلة LCP وتكون في حالة الفتح. إذا debug ppp negotiation
لا يشير الأمر إلى أن LCP مفتوح، يلزمك أستكشاف أخطاء هذه المشكلة وإصلاحها قبل المتابعة.
ملاحظة: لا يتناول هذا المستند MS-CHAP (الإصدار 1 أو الإصدار 2).
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.
معلومات أساسية
يتحقّق بروتوكول المصادقة بتحدي التصافح (CHAP) (المحدد في RFC 1994) من هوية النظير من خلال مصافحة ثلاثية. فيما يلي الخطوات العامة التي يتم تنفيذها في CHAP:
-
بعد اكتمال مرحلة LCP (بروتوكول التحكم في الارتباط)، تفاوض CHAP بين كلا الجهازين، يرسل المصدق رسالة تحدي إلى النظير.
-
يستجيب النظير بقيمة يتم حسابها من خلال وظيفة تجزئة أحادية الإتجاه (ملخص الرسالة 5 (MD5)).
-
يتحقق المصدق من الاستجابة مقابل حسابه الخاص لقيمة التجزئة المتوقعة. إذا تطابقت القيم، تكون المصادقة ناجحة. وإلا، يتم إنهاء الاتصال.
تعتمد طريقة المصادقة هذه على "سر" معروف فقط للمصادقة والنظير. لا يتم إرسال السر عبر الارتباط. على الرغم من أن المصادقة تكون في إتجاه واحد فقط، يمكنك التفاوض على CHAP في كلا الاتجاهين، بمساعدة من نفس المجموعة السرية للمصادقة المتبادلة.
لمزيد من المعلومات حول مزايا وعيوب بروتوكول CHAP، راجع RFC 1994.
تكوين CHAP
والإجراء لتكوين CHAP بسيط إلى حد ما. على سبيل المثال، لنفترض أن لديك موجهين، يمين ويسار، متصلين عبر شبكة، كما هو موضح في الشكل 1.
موجهان متصلان عبر الشبكة
شكل 1 — موجهان متصلان عبر الشبكة
لتكوين مصادقة CHAP، أكمل الخطوات التالية:
-
على الواجهة، قم بإصدار الأمر encapsulation ppp.
-
تمكين إستخدام مصادقة CHAP على كلا الموجهين باستخدام ppp authentication chap
erasecat4000_flash:.
-
قم بتكوين أسماء المستخدمين وكلمات المرور. للقيام بذلك، قم بإصدار username username password password
الأمر، حيث اسم المضيف هو اسم المضيف للنظير. تأكد من:
ملاحظة: بشكل افتراضي، يستخدم الموجه اسم المضيف الخاص به لتعريف نفسه للنظير. ومع ذلك، يمكن تغيير اسم مستخدم CHAP هذا من خلال ppp chap hostname
erasecat4000_flash:. راجع مصادقة PPP باستخدام أوامر طلب بروتوكول PPP chap ومصادقة بروتوكول PPP للحصول على مزيد من المعلومات.
مصادقة أحادية الإتجاه وثنائية الإتجاه
يتم تعريف CHAP كطريقة مصادقة أحادية الإتجاه. ومع ذلك، فإنك تستخدم CHAP في كلا الاتجاهين لإنشاء مصادقة ثنائية الإتجاه. لذلك، مع بروتوكول CHAP ثنائي الإتجاه، يبدأ كل جانب بمصافحة منفصلة ثلاثية الإتجاه.
في تنفيذ Cisco CHAP، وبشكل افتراضي، يجب أن يصادق الطرف المستدعي الطرف المتصل (ما لم يتم إيقاف تشغيل المصادقة بالكامل). وبالتالي، فإن المصادقة الأحادية الإتجاه التي يستهلها الطرف المسمى هي الحد الأدنى الممكن من المصادقة. ومع ذلك، يمكن لطرف الاتصال أيضا التحقق من هوية الطرف المستدعي، وينتج عن ذلك مصادقة ثنائية الإتجاه.
غالبا ما تكون المصادقة أحادية الإتجاه مطلوبة عند الاتصال بأجهزة غير تابعة ل Cisco.
بالنسبة للمصادقة أحادية الإتجاه، قم بتكوين ppp authentication chap callin
الأمر على موجه الاتصال.
يوضح الجدول 1 متى يمكن تكوين خيار الاستدعاء.
الجدول 1: متى يمكن تكوين خيار الاستدعاء
نوع المصادقة |
العميل (الاتصال) |
NAS (مستدعى) |
إتجاه واحد (أحادي الإتجاه) |
إستدعاء بروتوكول PPP للمصادقة |
بروتوكول PPP لمصادقة الفصل |
ثنائي الإتجاه (ثنائي الإتجاه) |
بروتوكول PPP لمصادقة الفصل |
بروتوكول PPP لمصادقة الفصل |
راجع مصادقة PPP باستخدام أوامر طلب بروتوكول PPP chap ومصادقة بروتوكول PPP للحصول على مزيد من المعلومات.
أوامر وخيارات تكوين CHAP
يسرد الجدول 2 أوامر CHAP وخياراتها:
الجدول 2: أوامر CHAP وخياراتها
|
الوصف |
مصادقة PPP {chap | ms-chap | ms-chap-v2 | نبع |PAP} [callin] |
يتيح هذا الأمر المصادقة المحلية لنظير PPP البعيد باستخدام البروتوكول المحدد. |
اسم مستخدم اسم المضيف PPP chap |
يحدد هذا الأمر اسم مضيف CHAP خاص بالواجهة. ارجع إلى مصادقة PPP باستخدام أوامر بروتوكول PPP CHAP Hostname و PPP Authentication CHAP للحصول على مزيد من المعلومات. |
كلمة مرور PPP CHAP |
يحدد هذا الأمر كلمة مرور CHAP خاصة بالواجهة. |
PPP DirectCallin | وسيلة شرح | متفان |
تقوم هذه القيادة بفرض إتجاه اتصال. أستخدم هذا الأمر عندما يتم الخلط بين موجه وما إذا كانت المكالمة واردة أو صادرة (على سبيل المثال، عند الاتصال من الخلف أو الاتصال بخطوط مستأجرة ووحدة خدمة القناة أو وحدة خدمة البيانات (CSU/DSU) أو مهايئ ISDN الطرفي (TA) يتم تكوينه للطلب). |
رفض بروتوكول الاتصال من نقطة إلى نقطة (PPP) [callin] |
يقوم هذا الأمر بتعطيل المصادقة عن بعد بواسطة نظير (تمكين الافتراضي). باستخدام هذا الأمر، يتم تعطيل مصادقة CHAP لجميع المكالمات، مما يعني رفض جميع محاولات النظير لإجبار المستخدم على المصادقة باستخدام تعليمات CHAP. يحدد خيار الاستدعاء أن الموجه يرفض الرد على تحديات مصادقة CHAP التي يتم استقبالها من النظير، ولكنه لا يزال يتطلب من النظير الرد على أي تحديات CHAP التي يرسلها الموجه. |
انتظار بروتوكول PPP |
يحدد هذا الأمر أنه يجب على المتصل المصادقة أولا (تمكين الإعداد الافتراضي). يحدد هذا الأمر أن الموجه لا يقوم بالمصادقة على نظير يطلب مصادقة CHAP حتى بعد أن يقوم النظير بمصادقة نفسه على الموجه. |
قيمة PPP max-bad-auth |
يحدد هذا الأمر العدد المسموح به من عمليات إعادة محاولة المصادقة (القيمة الافتراضية هي 0). يقوم هذا الأمر بتكوين واجهة من نقطة إلى نقطة لا لإعادة ضبط نفسها مباشرة بعد فشل المصادقة، ولكن بدلا من ذلك للسماح بعدد محدد من عمليات إعادة محاولة المصادقة. |
أسماء فواصل PPP |
يسمح هذا الأمر المخفي بأسماء المضيف المختلفة لتحدي CHAP والاستجابة (يتم تعطيل القيمة الافتراضية). |
تجاهل PPP chap |
يتجاهل هذا الأمر الخفي تحديات CHAP باستخدام الاسم المحلي (يتم تمكين القيمة الافتراضية). |
مثال تفاعلي
تعرض المخططات الواردة في هذا القسم سلسلة الأحداث التي تحدث أثناء مصادقة CHAP بين موجهين. هذه لا تمثل الرسائل الفعلية التي ظهرت في debug ppp negotiation
إخراج الأمر. لمزيد من المعلومات، راجع فهم إخراج تفاوض PPP الخاص بتصحيح الأخطاء.
مكالمة
الدعوة تأتي
شكل 2 — تم الاتصال
الشكل 2 يعرض الخطوات التالية:
-
تصل المكالمة إلى 3640-1. تم تكوين الواجهة الواردة باستخدام ppp authentication chap
erasecat4000_flash:.
-
يتفاوض بروتوكول LCP مع بروتوكول CHAP و MD5. للحصول على مزيد من المعلومات حول كيفية تحديد ذلك، ارجع إلى فهم إخراج تفاوض PPP الخاص بتصحيح الأخطاء.
-
يجب إجراء تحدي CHAP من 3640-1 إلى موجه الاتصال في هذه المكالمة.
تحدي
تم إنشاء حزمة CHAP Challenge
شكل 3 — تم إنشاء حزمة تحدي CHAP
الشكل 3 يوضح هذه الخطوات في مصادقة CHAP بين الموجهين:
-
يتم إنشاء حزمة تحديات CHAP باستخدام الخصائص التالية:
-
01 = معرف نوع حزمة التحدي.
-
المعرف = الرقم التسلسلي الذي يحدد التحدي.
-
عشوائي = رقم عشوائي معقول تم إنشاؤه بواسطة الموجه.
-
3640-1 = اسم مصادقة المنافس.
-
يتم الاحتفاظ بالمعرف والقيم العشوائية على الموجه المسمى.
-
يتم إرسال حزمة التحدي إلى موجه الاتصال. ويجري الاحتفاظ بقائمة بالتحديات المعلقة.
إستجابة
الاستلام ومعالجة MD5 لحزمة التحدي من النظير
الشكل 4 — الاستلام ومعالجة MD5 لحزمة التحدي من النظير
الشكل 4 يوضح كيفية تلقي حزمة التحدي من النظير، ومعالجتها (MD5). يعالج الموجه حزمة تحديات CHAP الواردة بهذه الطريقة:
-
يتم إدخال قيمة المعرف في مولد تجزئة MD5.
-
يتم إدخال القيمة العشوائية في مولد تجزئة MD5.
-
يتم إستخدام الاسم 3640-1 للبحث عن كلمة المرور. يبحث الموجه عن إدخال يطابق اسم المستخدم في التحدي. في هذا المثال، تبحث عن:
username 3640-1 password pc1
4. يتم إدخال كلمة المرور في مولد تجزئة MD5.
والنتيجة هي تحدي MD5-hashed CHAP الذي يتم إرساله مرة أخرى في إستجابة CHAP.
الاستجابة (تابع)
تم إنشاء حزمة إستجابة CHAP المرسلة إلى المصدق
الشكل 5 — تم إنشاء حزمة إستجابة CHAP التي تم إرسالها إلى المصدق
الشكل 5 يوضح كيفية إنشاء حزمة إستجابة CHAP التي تم إرسالها إلى المصدق. يوضح هذا المخطط الخطوات التالية:
-
يتم تجميع حزمة الاستجابة من المكونات التالية:
-
02 = معرف نوع حزمة إستجابة CHAP.
-
المعرف = تم نسخه من حزمة الاستبيان.
-
التجزئة = الإخراج من مولد تجزئة MD5 (المعلومات المجمعة من حزمة التحدي).
-
766-1 = اسم مصادقة هذا الجهاز. يلزم توفر هذا الأمر لكي يقوم النظير بالبحث عن إدخال اسم المستخدم وكلمة المرور المطلوب للتحقق من الهوية (يتم شرح ذلك بمزيد من التفاصيل في قسم التحقق من بروتوكول CHAP).
-
يتم بعد ذلك إرسال حزمة الاستجابة إلى المنافس.
التحقق من CHAP
يقدم هذا القسم تلميحات حول كيفية التحقق من التكوين الخاص بك.
يقوم Challenge بمعالجة حزمة الاستجابة
الشكل 6 — يعالج Challenge حزمة الاستجابة
الشكل 6 يوضح كيفية معالجة المنافس لحزمة الاستجابة. فيما يلي الخطوات المعنية عند معالجة حزمة إستجابة CHAP (على المصدق):
-
يتم إستخدام المعرف للعثور على حزمة الاستبيان الأصلية.
-
يتم إدخال المعرف في مولد تجزئة MD5.
-
يتم تغذية القيمة العشوائية للتحدي الأصلي في مولد تجزئة MD5.
-
يتم إستخدام الاسم 766-1 للبحث عن كلمة المرور من أحد هذه المصادر:
-
يتم إدخال كلمة المرور في مولد تجزئة MD5.
-
ثم تتم مقارنة قيمة التجزئة التي يتم تلقيها في حزمة الاستجابة بقيمة تجزئة MD5 التي تم حسابها. تنجح مصادقة CHAP إذا كانت قيم التجزئة المحسوبة والمستلمة متساوية.
نتيجة
يتم إرسال رسالة النجاح إلى موجه الاتصال
شكل 7 — يتم إرسال رسالة النجاح إلى موجه الاتصال
الشكل 7 يوضح رسالة النجاح التي تم إرسالها إلى موجه الاتصال. وهذا يتضمن الخطوات التالية:
-
إذا كانت المصادقة ناجحة، فسيتم إنشاء حزمة نجاح CHAP من المكونات التالية:
-
03 = نوع رسالة نجاح CHAP.
-
المعرف = تم النسخ من حزمة الاستجابة.
-
"مرحبا بك في" هي ببساطة رسالة نصية توفر تفسيرا يمكن قراءته من قبل المستخدم.
-
إذا فشلت المصادقة، فسيتم إنشاء حزمة فشل CHAP من المكونات التالية:
-
يتم بعد ذلك إرسال حزمة النجاح أو الفشل إلى موجه الاتصال.
ملاحظة: يوضح هذا المثال المصادقة أحادية الإتجاه. في مصادقة ثنائية الإتجاه، يتم تكرار هذه العملية بالكامل. ومع ذلك، يقوم موجه الاتصال بتهيئة التحدي الأولي.
أستكشاف أخطاء CHAP وإصلاحها
راجع أستكشاف أخطاء مصادقة PPP (CHAP أو PAP) وإصلاحها للحصول على معلومات حول كيفية أستكشاف أخطاء هذه المشكلة وإصلاحها.
معلومات ذات صلة