Після завершення етапу виконання протоколу LCP (Link Control Protocol) і узгодження з'єднання обох пристроїв по протоколу CHAP засобом перевірки автентичності посилається на спеціальний робочий вузол повідомлення CHAP-виклику.
Однорангові вузлом надсилається відповідь із значенням, розрахованим за допомогою однонаправленої хешування (MD5 (Message Digest 5)).
Аутентифікатор перевіряє відповідь на основі свого розрахунку очікуваного значення хешу. Якщо значення збігаються, перевірка справжності вважається успішною. В іншому випадку відбувається роз'єднання підключення.
Цей метод перевірки автентичності залежить від "таємниці", відомої тільки засобу перевірки автентичності і ad hoc вузлу. Таємниця не надсилається по каналу. Хоча перевірка справжності є лише односторонньої, узгодження по протоколу CHAP можна виконати в обох напрямках за допомогою однієї таємниці, встановленої для взаємної перевірки автентичності.
Читачі цього документа повинні мати знання з наступних тем:
Включення протоколу PPP в інтерфейсі за допомогою команди encapsulation ppp.
Можливість усунення неполадок, коли етап протоколу LCP (Link Control Protocol) не перебуває у відкритому стані. Це пов'язано з тим, що етап перевірки автентичності PPP не почалась, поки етап LCP не завершений і не знаходиться у відкритому стані. Якщо команда debug ppp negotiation не вказує, що LCP відкритий, необхідно усунути цю проблему, перш ніж продовжити роботу.
Примітка: У цьому документі не йдеться про протокол MS-CHAP (редакція 1 або 2). Для отримання додаткової інформації про MSCHAP зверніться до Підтримці MSCHAP і документам Версії 2 MSCHAP.
Цей документ не має жорсткої прив'язки до яких-небудь конкретних версій програмного забезпечення і устаткування.
Процедура настройки CHAP досить проста. Наприклад, припустімо, що у вас є два маршрутизатора, ліві і праві, пов'язані через мережу, як показано на малюнку 1.
Малюнок 1 Г ???? Два маршрутизатора, пов'язані Через Мережа
Щоб налаштувати перевірку автентичності по протоколу CHAP, виконайте наступні дії:
Виконайте в інтерфейсі команду encapsulation ppp.
Увімкніть на обох маршрутизаторах використання перевірки автентичності по протоколу CHAP за допомогою команди ppp authentication chap.
Налаштуйте імена користувачів і паролі. Для цього виконайте команду password password username username. де ім'я користувача є ім'ям хоста вузла. Переконайтеся в наступному:
Паролі на обох кінцях однакові.
Пароль і ім'я маршрутизатора повністю однакові, так як в них враховується регістр знаків.
Примітка: За замовчуванням для аутентифікації Однорангової вузлу маршрутизатор використовує власне ім'я хоста. Однак CHAP-ім'я користувача можна змінити за допомогою команди ppp chap hostname. Див. Перевірку достовірності PPP Використання Команд ppp chap hostname і ppp authentication chap callin для отримання додаткової інформації.
CHAP визначається як метод односторонньої перевірки автентичності. Однак протокол CHAP використовується в обох напрямках для створення двосторонньої перевірки автентичності. Отже, при використанні двостороннього протоколу CHAP триетапне встановлення зв'язку ініціюється кожною стороною окремо.
У реалізації компанією Cisco протоколу CHAP викликається сторона повинна за замовчуванням перевірити справжність зухвалої сторони (якщо перевірка справжності не виключена повністю). Отже, одностороння перевірка справжності, що ініціюється спричиненої стороною, є мінімально можливою перевіркою достовірності. Однак викликає сторона також може перевірити ідентичність викликається сторони, і це призведе до двосторонньої перевірки автентичності.
Необхідність в однобічній перевірці автентичності часто виникає при підключенні до пристроїв інших компаній, відмінних від Cisco.
Для односторонньої перевірки автентичності налаштуйте на яскравому маршрутизаторе команду ppp authentication chap callin.
Таблиця 1 показує, коли налаштувати параметр виклику.
Таблиця 1 Г ????, Коли Налаштувати Параметр виклику
Тип перевірки автентичності
Клієнт (що викликає сторона)