1、· 詳解廣域網(wǎng)協(xié)議PPPCHAP驗證 上·   2011-04-13 15:58  佚名  網(wǎng)絡(luò)轉(zhuǎn)載  我要評論(0)為了保證網(wǎng)絡(luò)環(huán)境的安全性，我們需要在網(wǎng)絡(luò)環(huán)境中設(shè)置驗證機制，也就是說當某個用戶的設(shè)備想要和你的設(shè)備實現(xiàn)通訊時，必須得經(jīng)過你的身份驗證。今天我們來看一下廣域網(wǎng)協(xié)議PPP的身份驗證。PPP的身份驗證方式分為兩種，一種為PAP驗證，PAP驗證有一個缺點，就是在驗證用戶身份時信息以明文傳輸，這樣在驗證過程中很有可能第三方會竊取驗證信息，因而安全性較差。一種為CHAP驗證，這種身份驗證最大優(yōu)點就是在驗證過程中為加密驗證

2、，所以在網(wǎng)絡(luò)中大多都采用的CHAP驗證，因為它能夠更好的保證網(wǎng)絡(luò)的安全。今天我們就來一起開一下CHAP配置和驗證過程CHAP驗證過程：  、A向B發(fā)起PPP連接請求、B向A聲明，要求對A進行CHAP驗證、A向B聲明，同意驗證、路由器B把“用戶ID，隨機數(shù)”發(fā)給路由器A、路由器A用收到的“用戶ID和隨機數(shù)”與“自己的密碼”做散列運算、路由器A把“用戶ID、隨機數(shù)、散列結(jié)果”發(fā)給B、路由器B用收到的“用戶ID、隨機數(shù)”與“自己的密碼”做散列運算，把散列運算結(jié)果與“A發(fā)過來的散列運算結(jié)果”進行比較，結(jié)果一樣，驗證成功；結(jié)果不一樣，驗證失敗。下面我們開始配置CHAP驗證，試驗環(huán)境如

3、上圖搭建基本環(huán)境配置A路由器  1. A(config)#int lo0 啟用一個回環(huán)端口Lo0，代表A路由器內(nèi)部網(wǎng)絡(luò)  2. A(config-if)#ip address 192.168.10.1 255.255.255.0  3. A(config-if)#exit  4. A(config)#int s1/0 配置廣域網(wǎng)端口s1/1  5. A(config-if)#ip address 202.110.100.1 255.255.255

4、.0  6. A(config-if)#encap ppp 封裝廣域網(wǎng)協(xié)議為PPP  7. A(config-if)#clock rate 64000 A、B路由器由A路由器的S1/1提供時鐘頻率  8. A(config-if)#no shut 激活廣域網(wǎng)端口  9. A(config-if)#exit  10. A(config)#router rip 配置路由協(xié)議RIP第二個人版本  11. A(config-router)#version

5、 2  12. A(config-router)#net 192.168.10.0  13. A(config-router)#net 202.110.100.0 配置B路由器  14. B(config)#int s1/0 配置B路由器S1/0端口  15. B(config-if)#ip address 202.110.100.2 255.255.255.0  16. B(config-if)#encap ppp 封裝廣域網(wǎng)協(xié)議PP

6、P  17. B(config-if)#no shut 激活S1/0端口  18. B(config-if)#exit  19. B(config)#router rip 配置RIP協(xié)議的第二個版本  20. B(config-router)#ver 2  21. B(config-router)#net 202.110.100.0 在配置完基本的框架后此時A、B路由器就可以相互通訊了，我們可是使用show ip route 命令分別查看一下A、B路由器的路由表 為

7、了能夠更好的看出下面的試驗效果，我們還要看一下端口的狀態(tài)，使用show interface 端口號 查看端口狀態(tài)。我們看到A、B路由器的S1/0端口和端口上的協(xié)議均處于UP狀態(tài)，代表一切正常PPPCHAP驗證的更多內(nèi)容：· 詳解廣域網(wǎng)協(xié)議PPPCHAP驗證 中·   2011-04-13  佚名  網(wǎng)絡(luò)轉(zhuǎn)載  我要評論(0)為了保證網(wǎng)絡(luò)環(huán)境的安全性，我們需要在網(wǎng)絡(luò)環(huán)境中設(shè)置驗證機制，也就是說當某個用戶的設(shè)備想要和你的設(shè)備實現(xiàn)通訊時，必須得經(jīng)過你的身份驗證。今天我們來看一下廣域網(wǎng)協(xié)議PPP的身份驗證。配置PPP的CHAP驗證配

8、置驗證需要兩步完成 、配置驗證所需的用戶名和密碼（config）#username 用戶名 password 密碼注：用戶名為對方設(shè)備使用hostname設(shè)置的設(shè)備名。密碼兩端設(shè)備應(yīng)配置相同 、啟用CHAP驗證，在廣域網(wǎng)端口上啟用CHAP (config-if)#ppp authentication chap下面我們開始在A路由器上配置CHAP1. Aconfig)#username B password 123 對方設(shè)備的hostname為B，密碼我們設(shè)置為123  2. A(config)#int s1/0 進入廣域網(wǎng)端

9、口  3. A(config-if)#ppp authentication chap 啟用CHAP驗證 當在A路由器上設(shè)置完CHAP驗證時A、B路由器同時提示S1/0端口協(xié)議為down狀態(tài)，這是因為A路由器配置了CHAP驗證，而路由器B沒有通過身份驗證所導(dǎo)致的結(jié)果      我們還可以查看一下端口狀態(tài)，下面顯示A、B路由器廣域網(wǎng)端口協(xié)議均為down狀態(tài)現(xiàn)在我們在查看一下路由表，此時A、B路由器路由表中已經(jīng)沒有了對方的路由，因為A和B沒有經(jīng)過身份驗證現(xiàn)在我們在查看一下路由表，此時A、B路

10、由器路由表中已經(jīng)沒有了對方的路由，因為A和B沒有經(jīng)過身份驗證  要想A。B可以實現(xiàn)通訊，必須兩個設(shè)備CHAP驗證成功，下面我們來配置B路由器上的驗證信息  4. B(config)username A password 123 對方的hostname 為A，密碼為123  5. B(config)#int s1/0 進入廣域網(wǎng)端口  6. B(config-if)#ppp authentication chap 啟用CHAP驗證 在完成

11、上面的配置后，兩臺設(shè)備均為自動提示廣域網(wǎng)端口協(xié)議為UP狀態(tài)查看路由表，此時兩臺路由器均會收到對方路由，證明CHAP驗證成功，此時A、B路由器便可以相互通訊了我們可以在B路由器上ping一下A路由器的內(nèi)部網(wǎng)絡(luò)假如想更好的理解CHAP，我們可以debug ppp authentication命令進行調(diào)試，我們可以通過此命令看到兩臺路由器的驗證過程首先我們關(guān)閉B路由器上廣域網(wǎng)S1/0，然后在A路由器上輸入debug ppp authentication，然后在打開B路由器的S1/0端口，此時A路由器出現(xiàn)如下信息（CHAP驗證過程） PPPCHAP驗證的更多內(nèi)容：PPPCHAP驗證總結(jié)在配置完成后，我們可以使用shwo run 查看配置文件，當我們仔細查看配置文件時不禁恍然大悟A、B路由器通過CHAP驗證的用戶名和密碼均為明文，如下圖很顯然，這樣是不安全的，當某些圖謀不軌之人竊取到配