任务引言
随着信息安全问题越来越多,如何加强通信链路安全成为公共网络的发展方向之一。PAP是路由器安全认证的重要技术,但其仍存在一些安全问题,需要加强安全设置。
学习目标
掌握CHAP验证配置;
理解PAP与CHAP的异同。
知识引入
PPP询问握手认证协议(Challenge Handshake Authentication Protocol,CHAP),通过三次握手周期性地校验对端的身份,可在初始链路建立时完成,在链路建立之后重复进行。
(1)链路建立阶段结束之后,认证者向对端点发送“challenge”消息。
(2)对端点用经过单向哈希函数计算出来的值做应答。
(3)认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止。
(4)经过一定的随机间隔,认证者发送一个新的 challenge 给端点,重复步骤(1) ~(3)。
通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
【工作任务】——公共网络PPP封装CHAP配置
1.工作任务背景
电信网络公司在完成深圳与珠海公共网络的PAP认证后,认为需要提高这段链路的认证安全级别,于是决定改用CHAP进行认证。路由器CHAP认证如图4-8-1所示。
图4-8-1 路由器CHAP认证
2.工作任务分析
网络设备信息如表4-8-1所示。
表4-8-1 网络设备信息
若R1与R2路由器通过CHAP认证,则路由器R1能ping通R2。
【任务实现】
1.配置路由器R1
Router>enable
Router#config
Router_Config#hostname R1
R1_config#aaa authentication ppp default local
R1_Config#username szzh15 password 123456
R1_Config#interface s0/1
R1_Config_s0/1#ip address 10.1.1.1 255.255.255.0
R1_Config_s0/1#encapsulation PPP
R1_Config_s0/1#ppp authentication chap
设置发送给对方验证的账号、密码:
R1_Config_s0/1#ppp chap hostname szzh14
R1_Config_s0/1#ppp chap password 123456
R1_Config_s0/1#physical-layer speed 9600
R1_Config_s0/1#no shutdown
R1_Config_s0/1#exit
R1_Config#exit
2.查看R1接口状态
利用命令show interface s0/1查看R1接口状态,如图4-8-2所示。
图4-8-2 R1端口信息
这时端口协议还是down的。
3.配置路由器R2
Router>enable
Router#config
Router_Config#hostname R2
R2_config#aaa authentication ppp default local
R2_Config#username szzh14 password 123456
R2_Config#interface s0/2
R2_Config_s0/2#ip address 10.1.1.2 255.255.255.0(www.xing528.com)
R2_Config_s0/2#encapsulation PPP
R2_Config_s0/2#ppp authentication chap
R2_Config_s0/2#ppp chap hostname szzh15
R2_Config_s0/2#ppp chap password 123456
R2_Config_s0/2#no shutdown
R2_Config_s0/2#exit
R2_Config#exit
4.查看R2接口状态(图4-8-3)
图4-8-3 R2端口信息
5.验证配置
在R1利用ping测试与R2的连通性,如图4-8-4所示。
图4-8-4 路由器连通性
【问题探究】
(1)PAP和CHAP的异同。
(2)CHAP认证流程。
【知识拓展】
1.CHAP单向认证(R1为服务器端,R2为客户端)
R1配置:
R1_config#aaa authentication ppp default local
R1_config#username root password 123456
R1_config#interface s0/1
R1_config-if-s0/1#encapsulation ppp
R1_config-if-s0/1#ppp authentication chap
R2配置:
R1_config#interface s0/2
R1_config-if-s0/2#encapsulation ppp
R2_config-if-s0/2#ppp chap hostname root
R2_config-if-s0/2#ppp chap password 123456
2.CHAP双向认证
R1配置:
R1_config#username R1 password 123456
R1_config#interface s0/1
R1_config-if_s0/1#encapsulation ppp
R1_config-if_s0/1#ppp authentication chap
R1_config-if_s0/1#ppp chap hostname R2
R1_config-if_s0/1#ppp chap password 123456
R2配置:
R2_config#aaa authentication ppp default local
R2_config#username R2 password 123456
R2_config#interface s0/2
R2_config-if-s0/2#encapsulation ppp
R2_config-if-s0/2#ppp authentication chap
R2_config-if-s0/2#ppp chap hostname R1
R2_config-if-s0/2#ppp chap password 123456
【任务拓展】
利用所学路由器PPP封装CHAP配置完成图4-8-5所示R1-R2、R1-R3和R2-R3的认证。网络设备信息如表4-8-2所示。
图4-8-5 RIP动态路由配置
表4-8-2 网络设备信息
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。