Konfigurationsbeispiel für PPP-CHAP/PAP-Authentifizierung über eine IPv6-serielle Verbindung

Download-Optionen

  • PDF     (128.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (94.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (92.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. Juli 2011
Dokument-ID:113073

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält eine Beispielkonfiguration für die Point-to-Point Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP)/Password Authentication Protocol (PAP)-Authentifizierung über eine IPv6 Serial Link.

Wenn entweder PAP oder CHAP aktiviert ist, muss der lokale Router die Identität des Remote-Geräts überprüfen, bevor der Datenverkehr fließen darf. Für die PAP-Authentifizierung muss das Remote-Gerät einen Namen und ein Kennwort senden, der mit einem entsprechenden Eintrag in der lokalen Benutzernamendatenbank oder in der Remote-Sicherheitsserver-Datenbank abgeglichen wird. Die CHAP-Authentifizierung sendet eine Prüfmeldung an das Remote-Gerät. Das Remote-Gerät verschlüsselt den Challenge-Wert mit einem gemeinsamen geheimen Schlüssel und gibt den verschlüsselten Wert und dessen Namen in einer Antwortnachricht an den lokalen Router zurück. Der lokale Router versucht, dem Namen des Remote-Geräts einen zugeordneten geheimen Schlüssel zuzuordnen, der in der Datenbank des lokalen Benutzernamens oder des Remote-Sicherheitsservers gespeichert ist. Er verwendet den gespeicherten geheimen Schlüssel, um die ursprüngliche Herausforderung zu verschlüsseln und zu überprüfen, ob die verschlüsselten Werte übereinstimmen.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:

  • Verständnis des PAP/CHAP-Authentifizierungsprozesses

  • Grundlegendes zu IPv6

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:

  • Cisco IOS Software Release 12.4, Advanced IP Services Feature-Set

  • Cisco Multiservice Access Router der Serie 3700

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Hintergrundinformationen

Im Beispiel sind die Router R1 und R2 mit einer PPP-Authentifizierung konfiguriert. Im Router R1 ist die Schnittstelle S1/0 IPv6-fähig und hat die IPv6-Adresse 2011:2706:ABC::/64 eui-64 durch Implementierung von EUI-64. Mithilfe von Extended Unique Identifier (EUI) kann der Host automatisch eine eindeutige 64-Bit-IPv6-Schnittstellenkennung zuweisen, ohne dass eine manuelle Konfiguration oder DHCP erforderlich ist. Dies wird an Ethernet-Schnittstellen erreicht, indem die bereits eindeutige 48-Bit-MAC-Adresse referenziert und dieser Wert entsprechend der EUI-64-Spezifikation neu formatiert wird. Ebenso ist die S1/0-Schnittstelle auf Router R2 mit 2011:2706:ABC::/64 eui-64 aktiviert.

Konfigurieren

Die Router R1 und R2 sind mit einer grundlegenden PPP/CHAP-Authentifizierung konfiguriert.

Netzwerkdiagramm

ppp-chap-ipv6-01.gif

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

R1-Konfiguration 
hostname R1
!
aaa new-model
!
aaa authentication ppp default local
!
username R2 password 0 cisco

interface Serial1/0
 no ip address
 encapsulation ppp
 ipv6 address 2011:2706:ABC::/64 eui-64
 ipv6 enable
 no fair-queue
 ppp authentication chap callin
!

R2-Konfiguration 
interface Serial1/1
 no ip address
 encapsulation ppp
 ipv6 address 2011:2706:ABC::/64 eui-64
 ipv6 enable
 clock rate 64000
 ppp chap hostname R2
 ppp chap password 0 cisco

Überprüfen

Dieser Abschnitt enthält Informationen, mit denen Sie bestätigen können, dass Ihre Konfiguration ordnungsgemäß funktioniert.

Führen Sie auf Router R1 die folgenden Befehle aus:

  1. Debug-ppp-Aushandlung 

    debug ppp negotiation


*Jun 27 08:34:56:357: Se1/0 PPP: Outbound cdp packet dropped
*Jun 27 08:34:56:845: %SYS-5-CONFIG_|: Configured from console by console
*Jun 27 08:34:58:357: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up
*Jun 27 08:34:58:357: Se1/0 PPP: Using default call direction
*Jun 27 08:34:58:357: Se1/0 PPP: Treating connection as a dedicated line
*Jun 27 08:34:58:357: Se1/0 PPP: Session handle[470002F8] Session id[29]
*Jun 27 08:34:58:357: Se1/0 PPP: Phase is ESTABLISHING, Active Open
*Jun 27 08:34:58:357: Se1/0 LCP: O CONFREQ [Closed] id 72 len 15
*Jun 27 08:34:58:357: Se1/0 LCP:  AuthProto CHAP (0x0305C22305)
*Jun 27 08:34:58:357: Se1/0 LCP:  MagicNumber 0x35B44C0F (0x050635B44C0F)
*Jun 27 08:34:58:361: Se1/0 LCP: I CONFREQ {REQsent] id 59 len 10
*Jun 27 08:34:58:361: Se1/0 LCP:  MagicNumber 0x1FEDF9A2 (0x05061FEDF9A2)
*Jun 27 08:34:58:361: Se1/0 LCP: O CONFACK {REQsent] id 59 len 10
*Jun 27 08:34:58:361: Se1/0 LCP:  MagicNumber 0x1FEDF9A2 (0x05061FEDF9A2)
*Jun 27 08:34:58:365: Se1/0 LCP: I CONFACK {ACKsent] id 72 len 15
*Jun 27 08:34:58:365: Se1/0 LCP:  AuthProto CHAP (0x0305C22305)
*Jun 27 08:34:58.365: Se1/0 LCP:    MagicNumber 0x35B44C0F (0x050635B44C0F)
*Jun 27 08:34:58.365: Se1/0 LCP: State is Open
*Jun 27 08:34:58.365: Se1/0 PPP: Phase is AUTHENTICATING, by this end
*Jun 27 08:34:58.365: Se1/0 CHAP: O CHALLENGE id 5 len 23 from "R1"
*Jun 27 08:34:58.377: Se1/0 CHAP: I RESPONSE id 5 len 23 from "R2"
*Jun 27 08:34:58.377: Se1/0 PPP: Phase is FORWARDING, Attempting Forward
*Jun 27 08:34:58.377: Se1/0 PPP: Phase is AUTHENTICATING, Unauthenticated User
*Jun 27 08:34:58.381: Se1/0 PPP: Phase is FORWARDING, Attempting Forward
*Jun 27 08:34:58.381: Se1/0 PPP: Phase is AUTHENTICATING, Authenticated User
*Jun 27 08:34:58.381: Se1/0 CHAP: O SUCCESS id 5 len 4
*Jun 27 08:34:58.381: Se1/0 PPP: Phase is UP
*Jun 27 08:34:58.381: Se1/0 CDPCP: O CONFREQ [Closed] id 1 len 4
*Jun 27 08:34:58.381: Se1/0 IPV6CP: O CONFREQ [Closed] id 1 len 14
*Jun 27 08:34:58.381: Se1/0 IPV6CP:    Interface-Id 021B:54FF:FEA9:24B0 
    (0x010A021B54FFFEA924B0)
*Jun 27 08:34:58.381: Se1/0 PPP: Process pending ncp packets
*Jun 27 08:34:58.389: Se1/0 CDPCP: I CONFREQ [REQsent] id 1 len 4
*Jun 27 08:34:58.389: Se1/0 CDPCP: O CONFACK [REQsent] id 1 len 4
*Jun 27 08:34:58.389: Se1/0 IPV6CP: I CONFREQ [REQsent] id 1 len 14
*Jun 27 08:34:58.389: Se1/0 IPV6CP:    Interface-Id 021F:CAFF:FE04:F918 
    (0x010A021FCAFFFE04F918)
*Jun 27 08:34:58.389: Se1/0 IPV6CP: O CONFACK [REQsent] id 1 len 14
*Jun 27 08:34:58.389: Se1/0 IPV6CP:    Interface-Id 021F:CAFF:FE04:F918 
    (0x010A021FCAFFFE04F918)
*Jun 27 08:34:58.393: Se1/0 CDPCP: I CONFACK [ACKsent] id 1 len 4
*Jun 27 08:34:58.393: Se1/0 CDPCP: State is Open
*Jun 27 08:34:58.393: Se1/0 IPV6CP: I CONFACK [ACKsent] id 1 len 14
*Jun 27 08:34:58.393: Se1/0 IPV6CP:    Interface-Id 021B:54FF:FEA9:24B0 
    (0x010A021B54FFFEA924B0)
*Jun 27 08:34:58.393: Se1/0 IPV6CP: State is Open
*Jun 27 08:34:59.381: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0,
    changed state to up

  2. Debug-ppp-Authentifizierung 

    *Jun 27 08:37:46.045: Se1/0 PPP: Using default call direction
*Jun 27 08:37:46.045: Se1/0 PPP: Treating connection as a dedicated line
*Jun 27 08:37:46.045: Se1/0 PPP: Session handle[C40002F9] Session id[30]
*Jun 27 08:37:46.045: Se1/0 PPP: Authorization NOT required
*Jun 27 08:37:46.053: Se1/0 CHAP: O CHALLENGE id 6 len 23 from "R1"
*Jun 27 08:37:46.065: Se1/0 CHAP: I RESPONSE id 6 len 23 from "R2"
*Jun 27 08:37:46.065: Se1/0 PPP: Sent CHAP LOGIN Request
*Jun 27 08:37:46.065: Se1/0 PPP: Received LOGIN Response PASS
*Jun 27 08:37:46.069: Se1/0 CHAP: O SUCCESS id 6 len 4

Führen Sie auf Router R2 den folgenden Befehl aus:

  • Debug-ppp-Authentifizierung 

    debug ppp authentication 

*Feb 28 05:18:39.439: Se1/1 PPP: Using default call direction
*Feb 28 05:18:39.439: Se1/1 PPP: Treating connection as a dedicated line
*Feb 28 05:18:39.439: Se1/1 PPP: Session handle[E300000B] Session id[35]
*Feb 28 05:18:39.439: Se1/1 PPP: Authorization required
*Feb 28 05:18:39.451: Se1/1 PPP: No authorization without authentication
*Feb 28 05:18:39.455: Se1/1 CHAP: I CHALLENGE id 7 len 23 from "R1"
*Feb 28 05:18:39.459: Se1/1 CHAP: Using hostname from interface CHAP
*Feb 28 05:18:39.459: Se1/1 CHAP: Using password from interface CHAP
*Feb 28 05:18:39.459: Se1/1 CHAP: O RESPONSE id 7 len 23 from "R2"
*Feb 28 05:18:39.467: Se1/1 CHAP: I SUCCESS id 7 len 4

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
05-Jul-2011
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.