PPPoE com Autenticação CHAP

1.1      Funcinamento CHAP

O Challenge Handshake Authentication Protocol (CHAP) é um protocolo de autenticação de desafio de resposta documentado na RFC 1994. Ele usa o protocolo de criptografia MD5 de um só sentido para responder a um desafio de resposta hash emitido pelo servidor de acesso remoto.

O protocolo CHAP é uma melhoria em cima dos protocolos PAP e SPAP pois a senha nunca é enviada em cima da primeira mensagem, e sim usada para criar uma string hash de desafio em um só sentido. O servidor sabe a senha do cliente e duplica a operação para comparar o resultado das respostas do cliente.

O CHAP é um protocolo de troca de mensagens que usa três mensagens:

·         Servidor de acesso remoto envia uma mensagem de desafio CHAP que contém uma chave de sessão e um string hash de desafio arbitrário;

·         Cliente de acesso remoto devolve uma mensagem de resposta CHAP que contém o nome de usuário em texto simples, uma string hash de desafio, a chave de sessão e a senha do cliente usando o algoritmo Message Digest 5 (MD5) de um só sentido;

·         Servidor de acesso remoto duplica a string hash e compara com a string hash da resposta CHAP. Se as strings hashes são as mesmas, o servidor manda de volta uma mensagem de sucesso CHAP. Se as strings hashes são diferentes, uma mensagem de fracasso CHAP é enviada.

1.1.1      Configuração do PPPoE com Autenticação CHAP no PE

A configuração do PE é feita seguindo o padrão de configuração. Habilita-se o VPDN com “vpdn enable”, cria-se um grupo de configuração de VPDN onde é adicionado o comando que permite receber conexão “accept-dialin”, o protocolo PPPoE e o template virtual. Uma interface “virtual-template ” é criada onde é configurado o endereço IP.

As configurações de CHAP é na criação de um usuário no modo global “username password ” e o comando de uso do CHAP na interface “virtual-template” igual como é usado no PAP.

1.1.2      Configuração do PPPoE com Autenticação CHAP no Cliente

No cliente PPPoE configura-se uma conexão padrão criando a interface “Dialer ” com as configurações de endereçamento IP, encapsulamento PPP e o dialer pool. Dentro desta interface “Dialer ” adiciona-se o comando de envio de usuário e o comando de envio de senha com o uso do PPP CHAP. O pool e o PPPoE group é então configurado na interface FastEthernet que faz conexão com o roteador do servidor.

2        Cenário

2.1      Objetivo

Configurar o links PPPoE entre um roteador central PE e o roteador remoto CE usando autenticação PAP.

Um roteadore de cliente (CE) é conectado via Ethernet ao roteador do provedor de serviço (PE).

Pedem-se as configurações:

·  Deve-se usar VPDN;

·  O CE se conecta ao PE usando PPPoE;

·  A rede usada é a 10.10.10.0/24, sendo 10.10.10.1 o IP do PE;

·  Deve existir conectividade entre os dois CEs;

·  Os endereços IPs são fixos;

·  Deve-se usar autenticação CHAP: username: R1 e password CISCO.

2.2      Topologia

2.3      IOS utilizados

·   PE – c3725-adventerprisek9-mz.123-4.t4.bin

·   CE – c3725-adventerprisek9-mz.123-4.t4.bin

2.4      Descrição do Cenário

Um roteador configurado como cliente (CE) é conectado via Ethernet ao roteador do provedor de serviço PPPoE (PE). Na conexão é configurado um usuário e senha para estabelecimento do link PPPoE.

Neste cenário é avaliado o uso do protocolo PAP para autenticação de usuário no PPPoE.

Sugerem-se as seguintes atividades:

·   Teste de conectividade (PING) entre todos os roteadores;

·   Alteração de senha.

2.5      Comandos Importantes de Verificação

CE#show pppoe session

     1 client session

Uniq ID  PPPoE  RemMAC          Port                    VT  VA         State

           SID  LocMAC                                      VA-st

    N/A    566  3333.0000.0000  Fa0/0                  Di1  Vi2        N/A 

                1111.0000.0000                              UP        

3        Configuração

3.1      PE – Lado do Provedor

! username R1 password 0 CISCO ! vpdn enable ! vpdn-group PPPoE  accept-dialin   protocol pppoe   virtual-template 100 ! interface FastEthernet0/0  pppoe enable ! interface Virtual-Template100  ip address 10.10.10.2 255.255.255.0  ppp authentication chap !

3.2      CE – Lado do Cliente

! interface FastEthernet0/0  pppoe enable group global  pppoe-client dial-pool-number 1 ! interface Dialer1  ip address 10.10.10.1 255.255.255.0  encapsulation ppp  dialer pool 1  ppp chap hostname R1  ppp chap password 0 CISCO !