PPP认证
原理概述:
在网络日益发展的今天,人们对网络安全性的要求越来越高,而PPP协议之所以能成为广域网中应用较为广泛的协议,原因之一就是它能提供验证协议CHAP(Challenge-Handshake Authentication Protocol),挑战式握手验证协议)、PAP(Password Authentication Protocol,密码验证协议),更好地保证了网络安全性。
PAP为两次握手验证,口令为明文,验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后,用户名和密码将由验证方重复地在链路上发送给验证方,直到验证通过或者中止连接。PAP不是一种安全的验证协议,因为口令是以明文方式在链路上发送的,并且用户名和口令还会被验证方不停地在链路上反复发送,导致很容易被截获。
CHAP是三次握手验证协议,只在网络上传输用户名,而并不传输用户密码,因此安全性要比PAP高,CHAP协议是在链路建立开始就完成的,在链路建立完成后的任何时间都可以进行再次验证。当链路建立阶段完成后,验证方发送一个“challenge”报文给被验证方;被验证方经过一次Hash算法后,给验证方返回一个值;验证方把自己经过Hash算法生成的值和被验证方返回的值进行比较。如果两者匹配,那么验证通过,否则验证不通过,连接被终止。
实验目的:
掌握配置PPP PAP认证的方法
掌握配置PPP CHAP认证的方法
理解PPP PAP认证与CHAP认证的区别
我们开始实验:
基础配置:
R1:
#
interface Serial2/0/0
link-protocol ppp
ip address 10.0.13.1 255.255.255.0
#
interface Serial2/0/1
link-protocol ppp
#
interface GigabitEthernet0/0/0
ip address 10.0.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 10.0.1.0 0.0.0.255
network 10.0.13.0 0.0.0.255
R2:
#
interface Serial2/0/0
link-protocol ppp
ip address 10.0.23.254 255.255.255.0
#
interface Serial2/0/1
link-protocol ppp
#
interface GigabitEthernet0/0/0
ip address 10.0.2.254 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 10.0.2.0 0.0.0.255
network 10.0.23.0 0.0.0.255
R3:
#
interface Serial2/0/0
link-protocol ppp
ip address 10.0.13.254 255.255.255.0
#
interface Serial2/0/1
link-protocol ppp
ip address 10.0.23.1 255.255.255.0
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 10.0.13.0 0.0.0.255
network 10.0.23.0 0.0.0.255
配置完成后,我们查看网络连通性:
配置PPP的PAP认证:
现在为了提升分支机构与总部通信时的安全性,在分支网关设备R1与核心设备R3上部署PPP的PAP认证。R3作为认证路由器,R1作为被认证路由器;
由于在华为路由器上,广域网串行接口默认链路层协议即为PPP,因此可以直接配置PPP认证。在总部设备R3上使用命令设置本端的PPP协议对对端设备的认证方式为PAP,认证采用的域名为huawei;
R3:
[R3-Serial2/0/0]ppp authentication-mode pap d
[R3-Serial2/0/0]ppp authentication-mode pap domain huawei
[R3-Serial2/0/0]dis th
[V200R003C00]
#
interface Serial2/0/0
link-protocol ppp
ppp authentication-mode pap domain huawei
ip address 10.0.13.254 255.255.255.0
接下来配置认证路由器R3的本地认证信息;
[R3]aaa
[R3-aaa]au
[R3-aaa]authentication-scheme huawei 1
^
Error:Too many parameters found at '^' position.
[R3-aaa]au
[R3-aaa]authentication-scheme huawei
Info: Create a new authentication scheme.
[R3-aaa-authen-huawei]au
[R3-aaa-authen-huawei]authentication-mode lo
[R3-aaa-authen-huawei]authentication-mode local
[R3-aaa-authen-huawei]qu
[R3-aaa]do
[R3-aaa]domain hua
[R3-aaa]domain huaweiyu
Info: Success to create a new domain.
[R3-aaa-domain-huaweiyu]au
[R3-aaa-domain-huaweiyu]authorization-scheme huawei_1
Error: The authorization scheme does not exist.
[R3-aaa-domain-huaweiyu]qu
[R3-aaa]lo
[R3-aaa]local-user
^
Error:Incomplete command found at '^' position.
[R3-aaa]local-use
[R3-aaa]local-user R1@huaweiyu pa
[R3-aaa]local-user R1@huaweiyu password ci
[R3-aaa]local-user R1@huaweiyu password cipher huawei
Info: Add a new user.
[R3-aaa]local-user R1@huaweiyu se
[R3-aaa]local-user R1@huaweiyu service-type ppp
配置完成后,关闭R1和R3的相连接口一段时间后再打开,使R1和R3间的链路重新连接协商,并检查链路状态和连通性;
[R3-Serial2/0/0]sh
[R3-Serial2/0/0]un
[R3-Serial2/0/0]undo sh
[R3-Serial2/0/0]undo shutdown
可以观察到,现在R1与R3间无法通信,链路物理状态正常,但是链路层协议状态不正常,这是因为此时PPP链路上的PAP认证未通过,现在仅仅配置了被认证方设备R3,还需要配置相关PAP认证参数;
配置完成后,再次查看链路状态并测试连通性;
可以观察到,现在R1和R3间链路层协议状态正常,并且可以正常通信。
测试PC1和PC2之间的连通性;
配置PPP的CHAP认证
我们先进行网路分析
配置PPP的CHAP认证:
首先删除原有的PAP认证配置,域名保持不变;
[R3-Serial2/0/0]undo pp
[R3-Serial2/0/0]undo ppp au
[R3-Serial2/0/0]undo ppp authentication-mode
[R1-Serial2/0/0]undo ppp pa
[R1-Serial2/0/0]undo ppp pap lo
[R1-Serial2/0/0]undo ppp pap local-user
删除后,在认证设备R3上配置PPP认证方式为CHAP;
配置存储在本地,对端认证的方式所使用的用户名为R1,密码为huawei。
[R3-Serial2/0/0]undo pp
[R3-Serial2/0/0]undo ppp au
[R3-Serial2/0/0]undo ppp authentication-mode
[R3-Serial2/0/0]qu
[R3]aa
[R3]aaa
[R3-aaa]lo
[R3-aaa]local-user R1 pa
[R3-aaa]local-user R1 password ci
^
Error:Incomplete command found at '^' position.
[R3-aaa]local-user R1 password ci
[R3-aaa]local-user R1 password cipher huawei
Info: Add a new user.
[R3-aaa]lo
[R3-aaa]local-user R1 se
[R3-aaa]local-user R1 service-type ppp
配置完成后,查看链路状态信息;
在R1的接口上配置CHAP认证的用户名和密码;
配置完成后,测试其联通性;
实验结束;
写的不好,还望多多包涵;
备注:如有错误,请谅解!
此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人!