Introducción

Este documento proporciona una configuración de ejemplo para la autenticación mediante protocolo de autenticación por desafío mutuo (CHAP)/protocolo de autenticación por contraseña (PAP) sobre un enlace serial IPv6.

Cuando se habilita PAP o CHAP, el router local requiere que el dispositivo remoto demuestre su identidad antes de permitir que el tráfico de datos fluya. La autenticación PAP requiere que el dispositivo remoto envíe un nombre y una contraseña, que se comprueban con una entrada coincidente en la base de datos del nombre de usuario local o en la base de datos del servidor de seguridad remoto. La autenticación CHAP envía un mensaje de desafío al dispositivo remoto. El dispositivo remoto cifra el valor de desafío con un secreto compartido y devuelve el valor cifrado y su nombre al router local en un mensaje de respuesta. El router local intenta hacer coincidir el nombre del dispositivo remoto con un secreto asociado almacenado en el nombre de usuario local o en la base de datos del servidor de seguridad remoto. Utiliza el secreto almacenado para cifrar el desafío original y verificar que los valores cifrados coincidan.

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de realizar esta configuración:

• Comprender el proceso de autenticación PAP/CHAP

• Comprensión de IPv6 básico

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Software Cisco IOS versión 12.4, conjunto de funciones de servicios IP avanzados

• Routers de acceso multiservicio Cisco de la serie 3700

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

En el ejemplo, los routers R1 y R2 se configuran con autenticación PPP. En el router R1, la interfaz S1/0 está habilitada para IPv6 y tiene la dirección IPv6 2011:2706:ABC:::/64 eui-64 mediante la implementación de EUI-64. El identificador único extendido (EUI) permite al host asignarse automáticamente un identificador de interfaz IPv6 único de 64 bits sin necesidad de configuración manual o DHCP. Esto se logra en las interfaces Ethernet haciendo referencia a la dirección MAC de 48 bits, ya única, y reformateando ese valor para que coincida con la especificación EUI-64. De manera similar, la interfaz S1/0 en el router R2 se habilita con 2011:2706:ABC:::/64 eui-64.

Configurar

Los routers R1 y R2 se configuran con autenticación PPP/CHAP básica.

Diagrama de la red

Configuraciones

En este documento, se utilizan estas configuraciones:

• Configuración R1

• Configuración R2

hostname R1
!
aaa new-model
!
aaa authentication ppp default local
!
username R2 password 0 cisco

interface Serial1/0
 no ip address
 encapsulation ppp
 ipv6 address 2011:2706:ABC::/64 eui-64
 ipv6 enable
 no fair-queue
 ppp authentication chap callin
!

interface Serial1/1
 no ip address
 encapsulation ppp
 ipv6 address 2011:2706:ABC::/64 eui-64
 ipv6 enable
 clock rate 64000
 ppp chap hostname R2
 ppp chap password 0 cisco

Verificación

En esta sección encontrará información que puede utilizar para comprobar que su configuración funciona correctamente.

En el router R1, ejecute estos comandos:

1. debug ppp negotiation

   debug ppp negotiation
   
   
   *Jun 27 08:34:56:357: Se1/0 PPP: Outbound cdp packet dropped
   *Jun 27 08:34:56:845: %SYS-5-CONFIG_|: Configured from console by console
   *Jun 27 08:34:58:357: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up
   *Jun 27 08:34:58:357: Se1/0 PPP: Using default call direction
   *Jun 27 08:34:58:357: Se1/0 PPP: Treating connection as a dedicated line
   *Jun 27 08:34:58:357: Se1/0 PPP: Session handle[470002F8] Session id[29]
   *Jun 27 08:34:58:357: Se1/0 PPP: Phase is ESTABLISHING, Active Open
   *Jun 27 08:34:58:357: Se1/0 LCP: O CONFREQ [Closed] id 72 len 15
   *Jun 27 08:34:58:357: Se1/0 LCP:  AuthProto CHAP (0x0305C22305)
   *Jun 27 08:34:58:357: Se1/0 LCP:  MagicNumber 0x35B44C0F (0x050635B44C0F)
   *Jun 27 08:34:58:361: Se1/0 LCP: I CONFREQ {REQsent] id 59 len 10
   *Jun 27 08:34:58:361: Se1/0 LCP:  MagicNumber 0x1FEDF9A2 (0x05061FEDF9A2)
   *Jun 27 08:34:58:361: Se1/0 LCP: O CONFACK {REQsent] id 59 len 10
   *Jun 27 08:34:58:361: Se1/0 LCP:  MagicNumber 0x1FEDF9A2 (0x05061FEDF9A2)
   *Jun 27 08:34:58:365: Se1/0 LCP: I CONFACK {ACKsent] id 72 len 15
   *Jun 27 08:34:58:365: Se1/0 LCP:  AuthProto CHAP (0x0305C22305)
   *Jun 27 08:34:58.365: Se1/0 LCP:    MagicNumber 0x35B44C0F (0x050635B44C0F)
   *Jun 27 08:34:58.365: Se1/0 LCP: State is Open
   *Jun 27 08:34:58.365: Se1/0 PPP: Phase is AUTHENTICATING, by this end
   *Jun 27 08:34:58.365: Se1/0 CHAP: O CHALLENGE id 5 len 23 from "R1"
   *Jun 27 08:34:58.377: Se1/0 CHAP: I RESPONSE id 5 len 23 from "R2"
   *Jun 27 08:34:58.377: Se1/0 PPP: Phase is FORWARDING, Attempting Forward
   *Jun 27 08:34:58.377: Se1/0 PPP: Phase is AUTHENTICATING, Unauthenticated User
   *Jun 27 08:34:58.381: Se1/0 PPP: Phase is FORWARDING, Attempting Forward
   *Jun 27 08:34:58.381: Se1/0 PPP: Phase is AUTHENTICATING, Authenticated User
   *Jun 27 08:34:58.381: Se1/0 CHAP: O SUCCESS id 5 len 4
   *Jun 27 08:34:58.381: Se1/0 PPP: Phase is UP
   *Jun 27 08:34:58.381: Se1/0 CDPCP: O CONFREQ [Closed] id 1 len 4
   *Jun 27 08:34:58.381: Se1/0 IPV6CP: O CONFREQ [Closed] id 1 len 14
   *Jun 27 08:34:58.381: Se1/0 IPV6CP:    Interface-Id 021B:54FF:FEA9:24B0 
       (0x010A021B54FFFEA924B0)
   *Jun 27 08:34:58.381: Se1/0 PPP: Process pending ncp packets
   *Jun 27 08:34:58.389: Se1/0 CDPCP: I CONFREQ [REQsent] id 1 len 4
   *Jun 27 08:34:58.389: Se1/0 CDPCP: O CONFACK [REQsent] id 1 len 4
   *Jun 27 08:34:58.389: Se1/0 IPV6CP: I CONFREQ [REQsent] id 1 len 14
   *Jun 27 08:34:58.389: Se1/0 IPV6CP:    Interface-Id 021F:CAFF:FE04:F918 
       (0x010A021FCAFFFE04F918)
   *Jun 27 08:34:58.389: Se1/0 IPV6CP: O CONFACK [REQsent] id 1 len 14
   *Jun 27 08:34:58.389: Se1/0 IPV6CP:    Interface-Id 021F:CAFF:FE04:F918 
       (0x010A021FCAFFFE04F918)
   *Jun 27 08:34:58.393: Se1/0 CDPCP: I CONFACK [ACKsent] id 1 len 4
   *Jun 27 08:34:58.393: Se1/0 CDPCP: State is Open
   *Jun 27 08:34:58.393: Se1/0 IPV6CP: I CONFACK [ACKsent] id 1 len 14
   *Jun 27 08:34:58.393: Se1/0 IPV6CP:    Interface-Id 021B:54FF:FEA9:24B0 
       (0x010A021B54FFFEA924B0)
   *Jun 27 08:34:58.393: Se1/0 IPV6CP: State is Open
   *Jun 27 08:34:59.381: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0,
       changed state to up
   

2. debug ppp authentication

   *Jun 27 08:37:46.045: Se1/0 PPP: Using default call direction
   *Jun 27 08:37:46.045: Se1/0 PPP: Treating connection as a dedicated line
   *Jun 27 08:37:46.045: Se1/0 PPP: Session handle[C40002F9] Session id[30]
   *Jun 27 08:37:46.045: Se1/0 PPP: Authorization NOT required
   *Jun 27 08:37:46.053: Se1/0 CHAP: O CHALLENGE id 6 len 23 from "R1"
   *Jun 27 08:37:46.065: Se1/0 CHAP: I RESPONSE id 6 len 23 from "R2"
   *Jun 27 08:37:46.065: Se1/0 PPP: Sent CHAP LOGIN Request
   *Jun 27 08:37:46.065: Se1/0 PPP: Received LOGIN Response PASS
   *Jun 27 08:37:46.069: Se1/0 CHAP: O SUCCESS id 6 len 4
   
   

En el router R2, ejecute este comando:

• debug ppp authentication

  debug ppp authentication 
  
  *Feb 28 05:18:39.439: Se1/1 PPP: Using default call direction
  *Feb 28 05:18:39.439: Se1/1 PPP: Treating connection as a dedicated line
  *Feb 28 05:18:39.439: Se1/1 PPP: Session handle[E300000B] Session id[35]
  *Feb 28 05:18:39.439: Se1/1 PPP: Authorization required
  *Feb 28 05:18:39.451: Se1/1 PPP: No authorization without authentication
  *Feb 28 05:18:39.455: Se1/1 CHAP: I CHALLENGE id 7 len 23 from "R1"
  *Feb 28 05:18:39.459: Se1/1 CHAP: Using hostname from interface CHAP
  *Feb 28 05:18:39.459: Se1/1 CHAP: Using password from interface CHAP
  *Feb 28 05:18:39.459: Se1/1 CHAP: O RESPONSE id 7 len 23 from "R2"
  *Feb 28 05:18:39.467: Se1/1 CHAP: I SUCCESS id 7 len 4
  

Información Relacionada

• Página de soporte de IP versión 6
• Implementación de Direccionamiento IPv6 y Conectividad Básica
• Página de Soporte de IP Routing
• Soporte Técnico y Documentación - Cisco Systems