Ce document fournit un exemple de configuration pour l'authentification PPP (Point-to-Point Protocol) Challenge Handshake Authentication Protocol (CHAP)/PAP (Password Authentication Protocol) sur une liaison série IPv6.
Lorsque PAP ou CHAP est activé, le routeur local nécessite que le périphérique distant prouve son identité avant d'autoriser le flux du trafic de données. L'authentification PAP nécessite que le périphérique distant envoie un nom et un mot de passe, qui sont vérifiés par rapport à une entrée correspondante dans la base de données de noms d'utilisateur locale ou dans la base de données de serveur de sécurité distante. L’authentification CHAP envoie un message de confirmation au périphérique distant. Le périphérique distant chiffre la valeur de la demande de confirmation avec un secret partagé et retourne la valeur chiffrée et son nom au routeur local dans un message de réponse. Le routeur local tente de faire correspondre le nom du périphérique distant avec un secret associé stocké dans le nom d'utilisateur local ou la base de données du serveur de sécurité distant. Il utilise le secret stocké pour chiffrer le défi initial et vérifier que les valeurs chiffrées correspondent.
Assurez-vous de respecter ces conditions avant de tenter cette configuration :
Comprendre le processus d'authentification PAP/CHAP
Comprendre le protocole IPv6 de base
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Logiciel Cisco IOS Version 12.4, ensemble de fonctionnalités Advanced IP Services
Routeurs d'accès multiservice de la gamme Cisco 3700
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Dans l’exemple, les routeurs R1 et R2 sont configurés avec l’authentification PPP. Dans le routeur R1, l'interface S1/0 est IPv6 activée et possède l'adresse IPv6 2011:2706:ABC::/64 eui-64 en implémentant EUI-64. L'identificateur unique étendu (EUI) permet à l'hôte de s'attribuer automatiquement un identificateur d'interface IPv6 64 bits unique, sans configuration manuelle ni DHCP. Pour ce faire, les interfaces Ethernet référencent l'adresse MAC 48 bits déjà unique et reformatent cette valeur pour qu'elle corresponde à la spécification EUI-64. De même, l'interface S1/0 sur le routeur R2 est activée avec 2011:2706:ABC::/64 eui-64.
Les routeurs R1 et R2 sont configurés avec une authentification PPP/CHAP de base.
Ce document utilise les configurations suivantes :
Configuration de R1 |
---|
hostname R1 ! aaa new-model ! aaa authentication ppp default local ! username R2 password 0 cisco interface Serial1/0 no ip address encapsulation ppp ipv6 address 2011:2706:ABC::/64 eui-64 ipv6 enable no fair-queue ppp authentication chap callin ! |
Configuration de R2 |
---|
interface Serial1/1 no ip address encapsulation ppp ipv6 address 2011:2706:ABC::/64 eui-64 ipv6 enable clock rate 64000 ppp chap hostname R2 ppp chap password 0 cisco |
Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.
Sur le routeur R1, exécutez les commandes suivantes :
debug ppp negotiation *Jun 27 08:34:56:357: Se1/0 PPP: Outbound cdp packet dropped *Jun 27 08:34:56:845: %SYS-5-CONFIG_|: Configured from console by console *Jun 27 08:34:58:357: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up *Jun 27 08:34:58:357: Se1/0 PPP: Using default call direction *Jun 27 08:34:58:357: Se1/0 PPP: Treating connection as a dedicated line *Jun 27 08:34:58:357: Se1/0 PPP: Session handle[470002F8] Session id[29] *Jun 27 08:34:58:357: Se1/0 PPP: Phase is ESTABLISHING, Active Open *Jun 27 08:34:58:357: Se1/0 LCP: O CONFREQ [Closed] id 72 len 15 *Jun 27 08:34:58:357: Se1/0 LCP: AuthProto CHAP (0x0305C22305) *Jun 27 08:34:58:357: Se1/0 LCP: MagicNumber 0x35B44C0F (0x050635B44C0F) *Jun 27 08:34:58:361: Se1/0 LCP: I CONFREQ {REQsent] id 59 len 10 *Jun 27 08:34:58:361: Se1/0 LCP: MagicNumber 0x1FEDF9A2 (0x05061FEDF9A2) *Jun 27 08:34:58:361: Se1/0 LCP: O CONFACK {REQsent] id 59 len 10 *Jun 27 08:34:58:361: Se1/0 LCP: MagicNumber 0x1FEDF9A2 (0x05061FEDF9A2) *Jun 27 08:34:58:365: Se1/0 LCP: I CONFACK {ACKsent] id 72 len 15 *Jun 27 08:34:58:365: Se1/0 LCP: AuthProto CHAP (0x0305C22305) *Jun 27 08:34:58.365: Se1/0 LCP: MagicNumber 0x35B44C0F (0x050635B44C0F) *Jun 27 08:34:58.365: Se1/0 LCP: State is Open *Jun 27 08:34:58.365: Se1/0 PPP: Phase is AUTHENTICATING, by this end *Jun 27 08:34:58.365: Se1/0 CHAP: O CHALLENGE id 5 len 23 from "R1" *Jun 27 08:34:58.377: Se1/0 CHAP: I RESPONSE id 5 len 23 from "R2" *Jun 27 08:34:58.377: Se1/0 PPP: Phase is FORWARDING, Attempting Forward *Jun 27 08:34:58.377: Se1/0 PPP: Phase is AUTHENTICATING, Unauthenticated User *Jun 27 08:34:58.381: Se1/0 PPP: Phase is FORWARDING, Attempting Forward *Jun 27 08:34:58.381: Se1/0 PPP: Phase is AUTHENTICATING, Authenticated User *Jun 27 08:34:58.381: Se1/0 CHAP: O SUCCESS id 5 len 4 *Jun 27 08:34:58.381: Se1/0 PPP: Phase is UP *Jun 27 08:34:58.381: Se1/0 CDPCP: O CONFREQ [Closed] id 1 len 4 *Jun 27 08:34:58.381: Se1/0 IPV6CP: O CONFREQ [Closed] id 1 len 14 *Jun 27 08:34:58.381: Se1/0 IPV6CP: Interface-Id 021B:54FF:FEA9:24B0 (0x010A021B54FFFEA924B0) *Jun 27 08:34:58.381: Se1/0 PPP: Process pending ncp packets *Jun 27 08:34:58.389: Se1/0 CDPCP: I CONFREQ [REQsent] id 1 len 4 *Jun 27 08:34:58.389: Se1/0 CDPCP: O CONFACK [REQsent] id 1 len 4 *Jun 27 08:34:58.389: Se1/0 IPV6CP: I CONFREQ [REQsent] id 1 len 14 *Jun 27 08:34:58.389: Se1/0 IPV6CP: Interface-Id 021F:CAFF:FE04:F918 (0x010A021FCAFFFE04F918) *Jun 27 08:34:58.389: Se1/0 IPV6CP: O CONFACK [REQsent] id 1 len 14 *Jun 27 08:34:58.389: Se1/0 IPV6CP: Interface-Id 021F:CAFF:FE04:F918 (0x010A021FCAFFFE04F918) *Jun 27 08:34:58.393: Se1/0 CDPCP: I CONFACK [ACKsent] id 1 len 4 *Jun 27 08:34:58.393: Se1/0 CDPCP: State is Open *Jun 27 08:34:58.393: Se1/0 IPV6CP: I CONFACK [ACKsent] id 1 len 14 *Jun 27 08:34:58.393: Se1/0 IPV6CP: Interface-Id 021B:54FF:FEA9:24B0 (0x010A021B54FFFEA924B0) *Jun 27 08:34:58.393: Se1/0 IPV6CP: State is Open *Jun 27 08:34:59.381: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up
*Jun 27 08:37:46.045: Se1/0 PPP: Using default call direction *Jun 27 08:37:46.045: Se1/0 PPP: Treating connection as a dedicated line *Jun 27 08:37:46.045: Se1/0 PPP: Session handle[C40002F9] Session id[30] *Jun 27 08:37:46.045: Se1/0 PPP: Authorization NOT required *Jun 27 08:37:46.053: Se1/0 CHAP: O CHALLENGE id 6 len 23 from "R1" *Jun 27 08:37:46.065: Se1/0 CHAP: I RESPONSE id 6 len 23 from "R2" *Jun 27 08:37:46.065: Se1/0 PPP: Sent CHAP LOGIN Request *Jun 27 08:37:46.065: Se1/0 PPP: Received LOGIN Response PASS *Jun 27 08:37:46.069: Se1/0 CHAP: O SUCCESS id 6 len 4
Sur le routeur R2, exécutez la commande suivante :
debug ppp authentication *Feb 28 05:18:39.439: Se1/1 PPP: Using default call direction *Feb 28 05:18:39.439: Se1/1 PPP: Treating connection as a dedicated line *Feb 28 05:18:39.439: Se1/1 PPP: Session handle[E300000B] Session id[35] *Feb 28 05:18:39.439: Se1/1 PPP: Authorization required *Feb 28 05:18:39.451: Se1/1 PPP: No authorization without authentication *Feb 28 05:18:39.455: Se1/1 CHAP: I CHALLENGE id 7 len 23 from "R1" *Feb 28 05:18:39.459: Se1/1 CHAP: Using hostname from interface CHAP *Feb 28 05:18:39.459: Se1/1 CHAP: Using password from interface CHAP *Feb 28 05:18:39.459: Se1/1 CHAP: O RESPONSE id 7 len 23 from "R2" *Feb 28 05:18:39.467: Se1/1 CHAP: I SUCCESS id 7 len 4
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
05-Jul-2011 |
Première publication |