配置PPP及其认证
作为目前适用最广泛的广域网协议,PPP具有如下特点。
PPP是面向字符的,在点到点串行链路上使用字符填充技术,既支持同步链路又支持异步链路。
PPP通过LCP(Link Control Protocol,链路控制协议)部件能够有效控制数据链路的建立。
PPP支持认证协议族PAP(Password Authentication Protocol,密码认证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战式握手认证协议),更好地保证了网络的安全性。
PPP支持各种NCP(Network Control Protocol,网络控制协议),可以同时支持多种网络层协议。典型的NCP包括支持IP的IPCP(网际协议控制协议)和支持IPX的IPXCP(网际信息包交换控制协议)等。
作业要求
-
使用eNSP搭建以下拓扑图。
-
登录路由器设置系统主机名,如图分别为R1,R2
-
按拓扑图,设置各个接口的IP地址,测试直连网络的联通性
-
查看串行接口默认封装的链路层协议
[R1]display interface ser 1/0/1 发现接口默认封装PPP协议
[R1]interface s 1/0/1
[R1-Serial1/0/1]link-protocol hdlc
5.串行接口封装PPP协议
如果接口默认封装的不是PPP协议,采用以下命令封装PPP
[R1]interface s 1/0/1
[R1-Serial1/0/1]link-protocol ppp
6.配置PPP PAP认证
R2是主认证方
[R2]aaa
[R2-aaa]local-user huawei password cipher 123
[R2-aaa]local-user huawei service-type ppp
[R2]interface s 1/0/1
[R2-Serial1/0/1]ppp authentication-mode pap
R1是被认证方
[R1]interface s 1/0/1
[R1-Serial1/0/1]ppp pap local-user huawei password cipher 123
7.配置PPP CHAP认证
清除第6步的PAP认证配置
[R1]interface s 1/0/1
[R1-Serial1/0/1]undo ppp pap local-user
[R2]interface s 1/0/1
[R2-Serial1/0/1]undo ppp authentication-mode
[R1]interface s 1/0/1
[R1-Serial1/0/1]ppp chap user huawei
[R1-Serial1/0/1]ppp chap password cipher 123
[R2]interface s 1/0/1
[R2-Serial1/0/1]ppp authen
[R2-Serial1/0/1]ppp authentication-mode chap
PAP认证为两次握手协议,其单向验证过程如下:
CHAP为三次握手协议,其单向验证过程分为两种情况:验证方配置了用户名和验证方没有配置用户名。
验证方配置了用户名的CHAP验证过程如下:
(1) 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方;
(2) 被验证方接到验证方的验证请求后,根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码,如果在用户表找到了与验证方用户名相同的用户,便利用报文ID、此用户的密钥(密码)和MD5算法对该随机报文进行加密,将生成的密文和被验证方自己的用户名发回验证方(Response);
(3) 验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。
验证方没有配置用户名的CHAP验证过程如下:
(1) 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge);
(2) 被验证方接到验证方的验证请求后,利用报文ID、配置的CHAP密码和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response);
(3) 验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。