当前位置:首页 >> IT/计算机 >>

神码公司关于路由器CHAP认证的配置命令


双向认证: RouterA 配置: RouterA#config RoeterA_config#username RouterB_CHAP password 0 digital //配置路由器验证数据库中有一个用户名为 RouterB_CHAP,密码为 digital 的用户 RoeterA_config#aaa authentication ppp default local //配置从本地认证 RouterA_config#interface serial 2/0 RouterA_config_s2/0#encapsulation ppp //配置 s2/0 端口的封装类型为 PPP 协议 RouterA_config_s2/0#ppp authentication chap //配置 PPP 协议的验证方式为 CHAP 验证 RouterA_config_s2/0#ppp chap hostname RouterA_CHAP //配置 CHAP 验证时,从此端口发送给对方进行验证的用户名 RouterA_CHAP RouterA_config_s2/0#ppp chap password digital //配置本地 chap 验证的匹配口令为 digital RouterA_config_s2/0#ip address 192.168.2.1 255.255.255.0 //配置此端口的 IP 地址为 192.168.2.1,掩码为 255.255.255.0

RouterB 配置: RouterB#config RoeterB_config#username RouterA_CHAP password digital //配置路由器验证数据库中有一个用户名为 RouterA_CHAP,密码为 digital 的用户 RoeterA_config#aaa authentication ppp default local //配置从本地认证 RouterB_config#interface serial 1/0 RouterA_config_s1/0#encapsulation ppp //配置 s2/0 端口的封装类型为 PPP 协议 RouterB_config_s1/0#ppp authentication chap //配置 PPP 协议的验证方式为 CHAP 验证 RouterB_config_s1/0#ppp chap hostname RouterB_CHAP digital //配置 CHAP 验证时,从此端口发送给对方进行验证的用户名:RouterB_CHAP

RouterA_config_s2/0#ppp chap password digital //配置本地 chap 验证的匹配口令为 digital RouterB_config_s1/0#ip address 192.168.2.2 255.255.255.0 //配置此端口的 IP 地址为 192.168.2.2,掩码为 255.255.255.0 RouterB_config_s1/0#physical-layer speed 64000 //配置此端口的内部时钟速率,因为它是模拟 DCE 设备,因此必须提供时钟频率 单向认证: RouterA 配置: RouterA#config RouterA_config#interface serial 2/0 RouterA_config_s2/0#encapsulation ppp //配置 s2/0 端口的封装类型为 PPP 协议 RouterA_config_s2/0#ppp chap hostname RouterA_CHAP //配置 CHAP 验证时,从此端口发送给对方进行验证的用户名:RouterA_CHAP RouterA_config_s2/0#ppp chap password digital //配置本地 chap 验证的匹配口令为 digital RouterA_config_s2/0#ppp chap password digital RouterA_config_s2/0#ip address 192.168.2.1 255.255.255.0 //配置此端口的 IP 地址为 192.168.2.1,掩码为 255.255.255.0

RouterB 配置: RouterB#config RoeterB_config#username RouterA_CHAP password digital //配置路由器验证数据库中有一个用户名为 RouterA_CHAP,密码为 digital 的用户 RoeterA_config#aaa authentication ppp default local //配置从本地认证 RouterB_config#interface serial 1/0 RouterA_config_s1/0#encapsulation ppp //配置 s2/0 端口的封装类型为 PPP 协议 RouterB_config_s1/0#ppp authentication chap //配置 PPP 协议的验证方式为 CHAP 验证

RouterB_config_s1/0#ip address 192.168.2.2 255.255.255.0 //配置此端口的 IP 地址为 192.168.2.2,掩码为 255.255.255.0 RouterB_config_s1/0#physical-layer speed 64000 //配置此端口的内部时钟速率,因为它是模拟 DCE 设备,因此必须提供时钟频率

不认证: RouterA 配置: RouterA#config RouterA_config#interface serial 2/0 RouterA_config_s2/0#encapsulation ppp //配置 s2/0 端口的封装类型为 PPP 协议 RouterA_config_s2/0#ip address 192.168.2.1 255.255.255.0 //配置此端口的 IP 地址为 192.168.2.1,掩码为 255.255.255.0

RouterB 配置: RouterB#config RouterB_config#interface serial 1/0 RouterA_config_s1/0#encapsulation ppp //配置 s2/0 端口的封装类型为 PPP 协议 RouterB_config_s1/0#ip address 192.168.2.2 255.255.255.0 //配置此端口的 IP 地址为 192.168.2.2,掩码为 255.255.255.0 RouterB_config_s1/0#physical-layer speed 64000 //配置此端口的内部时钟速率,因为它是模拟 DCE 设备,因此必须提供时钟频率 网上另一篇关于 PAP/CHAP 的文章 PPP 中的 pap 和 chap 认证 写在前面:今天看了 victoryan 兄弟的 chap 认证实验,想起来以前帮忙同学解决了一个关于 pap 和 chap 认证的问题,现在就把 ppp 中的 pap 和 chap 认证做一个总结。

实验等级:Aassistant

实验拓扑:

实验说明:PPP 中的认证方式有 pap 和 chap 两种,这两种认证既可以单独使用也可以结合 使用。并且既可以进行单向认证也可以进行双向认证。

pap 是通过验证远端的用户名和密码是否匹配来进行验证 chap 则是发送一个挑战包, 然后远端通过自己的数据库的用户名和密码利用 md5 进行计算后返还一个数值, 然后在发送方验证这个数值是否和自己计算出来的数值是否一致 进行验证

基本配置:

R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为 ppp

R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp

通过上面的配置,在没有启用任何认证的情况下,链路是通的。

配置步骤:

1.

在两台路由器上进行 pap 认证: 如果我们进行单项认证的话配置应该如下 R1 为认证的服务器端,需要建立本地口令数据库,并且开始 pap 认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库 R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行 PAP 认证 在这样的配置下,我们可以看到链路已经 down 了: R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down

R2 为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库 此时我们在 R2 上加上如下的配置:

R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up

此时链路已经起来,我们仅在 R1 上做了认证,而在 R2 上没有进行认证。这就是 pap 的单 向认证。

Pap 的双向认证:

Pap 的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。 在上面实验的基 础上,我们只要将 R2 配置成服务器端,将 R1 配置成客户端即可。

R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)#

*Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down

R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up

2.在上面实验的基础上,将 R1 改为 chap 认证,而 R2 不变。 打开 debug ppp authentication 信息。在 R1 上进行如下的改变

R1(config-if)#no ppp authentication pap R1(config-if)#no ppp pap sent-username R1 password gairuhe R1(config-if)#ppp authentication chap

我们发现,链路状态并没有改变,而且也没有任何的 debug 信息产生。这就是说明了在链路 已经建立起来后,是无需进行再次的认证的。

我们把 R1 的是 s1/0 口 shut down 后在 no shut down,看看情况 R1(config-if)#shut R1(config-if)#no shut R1# *Aug 23 17:00:19.663: Se1/0 PPP: Authorization required

此时发现链路已经断开,并且要求需要 PPP 的认证

3.在两台路由器上进行 chap 认证 首先将 R2 的 pap 认证关闭 R2(config-if)#no ppp authen pap R2(config-if)#no ppp pap sent-username R2 password gairuhe 我们通过 debug 信息看到 R1#

*Aug 23 17:07:24.031: Se1/0 PPP: Authorization required *Aug 23 17:07:24.063: Se1/0 CHAP: O CHALLENGE id 42 len 23 from "R1" *Aug 23 17:07:24.095: Se1/0 CHAP: I RESPONSE id 42 len 23 from "R2" *Aug 23 17:07:24.099: Se1/0 PPP: Sent CHAP LOGIN Request *Aug 23 17:07:24.103: Se1/0 PPP: Received LOGIN Response FAIL *Aug 23 17:07:24.107: Se1/0 CHAP: O FAILURE id 42 len 25 msg is "Authentication failed"

我们看到 chap 认证是通过发送一个 challenge 信息来进行认证。在 R2 上启用 chap 认证

R2(config)#int s1/0 R2(config-if)#ppp authentication chap R2(config)# *Aug 23 17:11:41.839: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up 这个时候链路就已经通了。

4.两种认证同时启用 使用的命令为: R2(config-if)#ppp authentication chap pap R2(config-if)#ppp authentication pap chap 如果同时启用了两种验证协议, 则在配置中指定的第一种验证方式在链路协商过程中将被 请求。如果另一端设备建议使用第二种验证方法,或者第一种验证方法没有通过,那么两台 设备之间就开始尝试第二种验证方法。 这两个认证同时启用是只需要一种认证通过即可建立起链路通信。 或者

总结: pap 是通过发送用户名和密码进行匹配,我们就必须使用 sent-username ** password **这 条命令,并且这个用户名和密码可以通过抓包软件抓到,是明文传输的

chap 的认证过程(单向认证,R2 为服务器端,R1 为客户端) R2 首先发一个挑战包给 R1,包的内容包括:01(标识符,表示挑战分组)+ID(序列号) +随机数+自己的用户名(R2) R1 接收到这个包后,将挑战包的用户名(R2),随机数,ID 和本地数据库的密码 gairuhe

进行计算,得出 MD5 的值,然后发送给 R2 这个回应的分组包括:02(回应标识符)+ID(和 R2 的一样)+hash(MD5 的计算值)+自 己的用户名(R1) R2 收到后,通过 ID 找到它发送的挑战包,然后把 ID,随机数,以及密码(通过本地数据 库查找 R1 对应的密码)进行计算,得出 MD5 的值 然后验证

因此 chap 的安全性高于 pap 华为 PAP/CHAP 的配置步骤 ============= 华为的考试中 100%回出现类似的实验题,只要注意用户名和密码,就没有问题:) 1. 配置需求 路由器 Quidway1 和 Quidway2 之间用接口 Serial0 互连,要求路由器 Quidway1(验证方) 以 PAP 方式验证路由器 Quidway2(被验证方)。 2. 配置步骤 (1) 配置路由器 Quidway1(验证方) !在本地数据库中添加一个名 为 quidway2,验证密码为 hello 的用户。 Quidway(config)# user quidway2 password 0 hello !配置本端启用 PAP 验证方式 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp authentication pap (2) 配置路由器 Quidway2(被验证方) !配置本端以用户名为 quidway2、密码为 hello 被对端进行验证。 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp pap sent-username quidway2 password 0 hello 1.5.2 CHAP 验证举例 1. 配置需求 路由器 Quidway1(验证方)以 CHAP 方式验证路由器 Quidway2(被验证方)。

2. 配置步骤 (1) 配置路由器 Quidway1(验证方) !在本地数据库中添加一个名为 quidway2,验证密码为 hello 的用户。 Quidway(config)# user quidway2 password 0 hello !设置本端用户名为 quidway1

Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp chap host quidway1 !配置本端启用 CHAP 验证方式 Quidway(config-if-serial0)# ppp authentication chap (2) 配置路由器 Quidway2(被验证方) !在本地数据库中添加一个名为 quidway1,验证密码为 hello 的用户。 Quidway(config)# user quidway1 password 0 hello !设置本端用户名为 quidway2 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp chap host quidway2


相关文章:
神码公司关于路由器CHAP认证的配置命令.doc
神码公司关于路由器CHAP认证的配置命令 - 双向认证: RouterA 配置:
chap验证配置命令.doc
chap验证配置命令 - 实训: 实训:Chap 验证配置 要求:1、使用 RIP 协议使全网通信。 2、路由器间使用 PPP 协议的 chap 验证。 Ra: Router>en Route...
神州数码路由器广域网PPP封装CHAP验证配置.pdf
神州数码路由器广域网PPP封装CHAP验证配置_互联网_IT/计算机_专业资料。神州数码...(1) PAP 认证要求远端设备发送一个名字/口令对, 来检验在本地用户数据库或 ...
神州数码交换机路由器配置命令.doc
神州数码交换机路由器配置命令_IT/计算机_专业资料。... ppp pap user routerB bbb CHAP 协议配置 ? ...指定所要保护的 IP 数据 远程管理设备, 本地验证...
神州数码路由器配置命令.doc
神州数码路由器配置命令端口基本配置 ? interface serial...PAP 认证配置(双向认证) ? DCR-1 配置: ? ... ppp pap user routerB bbb CHAP 协议配置 ? ...
神州数码路由器基础配置命令.pdf
神州数码路由器基础配置命令_IT/计算机_专业资料。...88 -3- 神州数码网络有限公司 第1章 系统管理命令...2.2.10 login authentication 设定线路登录认证参数...
神州数码路由交换配置命令(全).doc
关于神州数码的路由交换的一些总结命令,希望对大家...CHAP 认证 单向认证,密码可以不一致 R2_config#aaa...设置 DHCP 服务器 IP VPN (GRE) int t0 ip add...
H3C路由器常用基本配置命令.doc
H3C 路由器常用基本配置命令 [Quidway]sysnamerouter_...{pap|chap} 设置验证类型 [Quidway]local-user ...神州数码路由器配置相关... 暂无评价 3页 1下载券...
路由器交换机配置教程任务5.2配置PPP CHAP认证.ppt
路由器交换机配置教程任务5.2配置PPP CHAP认证 - 任务5.2 配置PPP CHAP认证 一.CHAP认证原理 ? CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随 ...
路由器广域网PPP封装CHAP验证配置.doc
路由器广域网PPP封装CHAP验证配置 - 路由器广域网 PPP 封装 CHAP 验证配置 一、实验目的 1. 2. 掌握 CHAP 验证配置 理解验证过程 二、应用环境 基于安全的...
路由器广域网PPP封装CHAP验证配置.doc
路由器广域网PPP封装CHAP验证配置 - 路由器广域网 PPP 封装 CHAP 验证配置 一、实验目的 1. 2. 掌握 CHAP 验证配置 理解验证过程 二、应用环境 基于安全的...
华为路由器常用基本配置命令.doc
H3C 路由器常用基本配置命令 [Quidway]sysname router...{pap|chap} 设置验证类型 [Quidway]local-user ...
华为pap与chap配置.doc
组网需求 在图 1-2 中,要求路由器 Quidway1 用 CHAP 方式验证路由器 Quidway2。 2. 配置步骤 在配置本地被端以 CHAP 方式验证时,作为 Client 端在接口下...
华为路由器配置命令表.doc
--- 路由器命令 ~~~ [Quidway]display version [Quidway]display current-configuration...设置: [Quidway-s0]link-protocol ppp PPP 验证: 主验方:pap|chap [Qu...
锐捷路由器配置命令大全.txt
(config)# enable secret star 或者:enable password star 设置路由器的特权模式...(三次握手),所以验证方要配置命令:Rb(config-if)# ppp authentication chap。...
锐捷路由器配置命令.doc
锐捷路由器配置命令_计算机硬件及网络_IT/计算机_...)# ppp authentication chapPPP 启用 CHAP 方式验证...使用百度前必读 | 文库协议 | 广告服务 | 企业...
CHAP 认证.doc
命令为对方配置用户名和密码,需要注 意的是双方的密码要相同: R1(config)#...②路由器的两端串口采用PPP 封装,并采用配置CHAP 验证: R1(config)#int s0/0...
H3C路由器配置命令.doc
H3C路由器配置命令_电脑基础知识_IT/计算机_专业资料...PPP 验证配置: 主验方:pap|chap [Quidway]local-...
PPP-CHAP原理与配置.doc
CHAP 认证 这需要在相应接口配置模式下使用命令 ppp...请注意,此处的 username 应该是对端路由器的名称,...神马路由器ppp的chap配置... 2页 1下载券 15...
神州数码04-广域网协议配置.pdf
神州数码04-广域网协议配置_IT/计算机_专业资料。神州数码网络设备配置手册 ...本公司路由器软件在 PPP 协议中的支持 CHAP 认证协议和 PAP 认证协议。关于...