简单配置PPP认证

Posted 2021-12-21 晚风挽着浮云

PPP认证

原理概述：

       在网络日益发展的今天，人们对网络安全性的要求越来越高，而PPP协议之所以能成为广域网中应用较为广泛的协议，原因之一就是它能提供验证协议CHAP(Challenge-Handshake Authentication Protocol),挑战式握手验证协议)、PAP(Password Authentication Protocol,密码验证协议),更好地保证了网络安全性。

       PAP为两次握手验证，口令为明文，验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后，用户名和密码将由验证方重复地在链路上发送给验证方，直到验证通过或者中止连接。PAP不是一种安全的验证协议，因为口令是以明文方式在链路上发送的，并且用户名和口令还会被验证方不停地在链路上反复发送，导致很容易被截获。

       CHAP是三次握手验证协议，只在网络上传输用户名，而并不传输用户密码，因此安全性要比PAP高，CHAP协议是在链路建立开始就完成的，在链路建立完成后的任何时间都可以进行再次验证。当链路建立阶段完成后，验证方发送一个“challenge”报文给被验证方；被验证方经过一次Hash算法后，给验证方返回一个值；验证方把自己经过Hash算法生成的值和被验证方返回的值进行比较。如果两者匹配，那么验证通过，否则验证不通过，连接被终止。

实验目的：

掌握配置PPP PAP认证的方法

掌握配置PPP CHAP认证的方法

理解PPP PAP认证与CHAP认证的区别

我们开始实验：

 

基础配置：

R1:

#

interface Serial2/0/0

 link-protocol ppp

 ip address 10.0.13.1 255.255.255.0

#

interface Serial2/0/1

 link-protocol ppp

#

interface GigabitEthernet0/0/0

 ip address 10.0.1.254 255.255.255.0

#

interface GigabitEthernet0/0/1

#

interface NULL0

#

ospf 1

 area 0.0.0.0

  network 10.0.1.0 0.0.0.255

  network 10.0.13.0 0.0.0.255

R2:

#

interface Serial2/0/0

 link-protocol ppp

 ip address 10.0.23.254 255.255.255.0

#

interface Serial2/0/1

 link-protocol ppp

#

interface GigabitEthernet0/0/0

 ip address 10.0.2.254 255.255.255.0

#

interface GigabitEthernet0/0/1

#

interface NULL0

#

ospf 1

 area 0.0.0.0

  network 10.0.2.0 0.0.0.255

  network 10.0.23.0 0.0.0.255

R3:

#

interface Serial2/0/0

 link-protocol ppp

 ip address 10.0.13.254 255.255.255.0

#

interface Serial2/0/1

 link-protocol ppp

 ip address 10.0.23.1 255.255.255.0

#

interface GigabitEthernet0/0/0

#

interface GigabitEthernet0/0/1

#

interface NULL0

#

ospf 1

 area 0.0.0.0

  network 10.0.13.0 0.0.0.255

  network 10.0.23.0 0.0.0.255

配置完成后，我们查看网络连通性：

 

配置PPP的PAP认证：

      现在为了提升分支机构与总部通信时的安全性，在分支网关设备R1与核心设备R3上部署PPP的PAP认证。R3作为认证路由器，R1作为被认证路由器；

      由于在华为路由器上，广域网串行接口默认链路层协议即为PPP，因此可以直接配置PPP认证。在总部设备R3上使用命令设置本端的PPP协议对对端设备的认证方式为PAP，认证采用的域名为huawei；

R3:

[R3-Serial2/0/0]ppp authentication-mode pap d

[R3-Serial2/0/0]ppp authentication-mode pap domain huawei

[R3-Serial2/0/0]dis  th

[V200R003C00]

#

interface Serial2/0/0

 link-protocol ppp

 ppp authentication-mode pap domain huawei

 ip address 10.0.13.254 255.255.255.0

接下来配置认证路由器R3的本地认证信息；

[R3]aaa

[R3-aaa]au

[R3-aaa]authentication-scheme huawei 1

                                     ^

Error:Too many parameters found at '^' position.

[R3-aaa]au

[R3-aaa]authentication-scheme huawei

Info: Create a new authentication scheme.

[R3-aaa-authen-huawei]au

[R3-aaa-authen-huawei]authentication-mode lo

[R3-aaa-authen-huawei]authentication-mode local

[R3-aaa-authen-huawei]qu

[R3-aaa]do

[R3-aaa]domain hua

[R3-aaa]domain huaweiyu

Info: Success to create a new domain.

[R3-aaa-domain-huaweiyu]au

[R3-aaa-domain-huaweiyu]authorization-scheme huawei_1

Error: The authorization scheme does not exist.

[R3-aaa-domain-huaweiyu]qu

[R3-aaa]lo

[R3-aaa]local-user

                   ^

Error:Incomplete command found at '^' position.

[R3-aaa]local-use

[R3-aaa]local-user R1@huaweiyu pa

[R3-aaa]local-user R1@huaweiyu password ci

[R3-aaa]local-user R1@huaweiyu password cipher huawei

Info: Add a new user.

[R3-aaa]local-user R1@huaweiyu se

[R3-aaa]local-user R1@huaweiyu service-type ppp

配置完成后，关闭R1和R3的相连接口一段时间后再打开，使R1和R3间的链路重新连接协商，并检查链路状态和连通性；

[R3-Serial2/0/0]sh

[R3-Serial2/0/0]un

[R3-Serial2/0/0]undo sh

[R3-Serial2/0/0]undo shutdown

 

      可以观察到，现在R1与R3间无法通信，链路物理状态正常，但是链路层协议状态不正常，这是因为此时PPP链路上的PAP认证未通过，现在仅仅配置了被认证方设备R3，还需要配置相关PAP认证参数;

 

配置完成后，再次查看链路状态并测试连通性；

  

可以观察到，现在R1和R3间链路层协议状态正常，并且可以正常通信。

测试PC1和PC2之间的连通性；

 

配置PPP的CHAP认证

我们先进行网路分析

 

配置PPP的CHAP认证：

首先删除原有的PAP认证配置，域名保持不变；

[R3-Serial2/0/0]undo pp

[R3-Serial2/0/0]undo ppp au

[R3-Serial2/0/0]undo ppp authentication-mode

[R1-Serial2/0/0]undo ppp pa

[R1-Serial2/0/0]undo ppp pap lo

[R1-Serial2/0/0]undo ppp pap local-user

删除后，在认证设备R3上配置PPP认证方式为CHAP；

配置存储在本地，对端认证的方式所使用的用户名为R1，密码为huawei。

[R3-Serial2/0/0]undo pp

[R3-Serial2/0/0]undo ppp au

[R3-Serial2/0/0]undo ppp authentication-mode

[R3-Serial2/0/0]qu

[R3]aa

[R3]aaa

[R3-aaa]lo

[R3-aaa]local-user R1 pa

[R3-aaa]local-user R1 password ci

                                  ^

Error:Incomplete command found at '^' position.

[R3-aaa]local-user R1 password ci

[R3-aaa]local-user R1 password cipher huawei

Info: Add a new user.

[R3-aaa]lo

[R3-aaa]local-user R1 se

[R3-aaa]local-user R1 service-type ppp

配置完成后，查看链路状态信息;

在R1的接口上配置CHAP认证的用户名和密码；

配置完成后，测试其联通性；

实验结束；

写的不好，还望多多包涵；

备注：如有错误，请谅解！

此文章为本人学习笔记，仅供参考！如有重复！！！请联系本人！