如何配置公共网络PPP封装CHAP

任务引言

随着信息安全问题越来越多，如何加强通信链路安全成为公共网络的发展方向之一。PAP是路由器安全认证的重要技术，但其仍存在一些安全问题，需要加强安全设置。

学习目标

掌握CHAP验证配置；

理解PAP与CHAP的异同。

知识引入

PPP询问握手认证协议（Challenge Handshake Authentication Protocol，CHAP），通过三次握手周期性地校验对端的身份，可在初始链路建立时完成，在链路建立之后重复进行。

（1）链路建立阶段结束之后，认证者向对端点发送“challenge”消息。

（2）对端点用经过单向哈希函数计算出来的值做应答。

（3）认证者根据它自己计算的哈希值来检查应答，如果值匹配，认证得到承认；否则，连接应该终止。

（4）经过一定的随机间隔，认证者发送一个新的 challenge 给端点，重复步骤（1） ～（3）。

通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

【工作任务】——公共网络PPP封装CHAP配置

1．工作任务背景

电信网络公司在完成深圳与珠海公共网络的PAP认证后，认为需要提高这段链路的认证安全级别，于是决定改用CHAP进行认证。路由器CHAP认证如图4-8-1所示。

图4-8-1　路由器CHAP认证

2．工作任务分析

网络设备信息如表4-8-1所示。

表4-8-1　网络设备信息

若R1与R2路由器通过CHAP认证，则路由器R1能ping通R2。

【任务实现】

1．配置路由器R1

Router>enable

Router#config

Router_Config#hostname R1

R1_config#aaa authentication ppp default local

R1_Config#username szzh15 password 123456

R1_Config#interface s0/1

R1_Config_s0/1#ip address 10.1.1.1 255.255.255.0

R1_Config_s0/1#encapsulation PPP

R1_Config_s0/1#ppp authentication chap

设置发送给对方验证的账号、密码：

R1_Config_s0/1#ppp chap hostname szzh14

R1_Config_s0/1#ppp chap password 123456

R1_Config_s0/1#physical-layer speed 9600

R1_Config_s0/1#no shutdown

R1_Config_s0/1#exit

R1_Config#exit

2．查看R1接口状态

利用命令show interface s0/1查看R1接口状态，如图4-8-2所示。

图4-8-2　R1端口信息

这时端口协议还是down的。

3．配置路由器R2

Router>enable

Router#config

Router_Config#hostname R2

R2_config#aaa authentication ppp default local

R2_Config#username szzh14 password 123456

R2_Config#interface s0/2

R2_Config_s0/2#ip address 10.1.1.2 255.255.255.0(www.xing528.com)

R2_Config_s0/2#encapsulation PPP

R2_Config_s0/2#ppp authentication chap

R2_Config_s0/2#ppp chap hostname szzh15

R2_Config_s0/2#ppp chap password 123456

R2_Config_s0/2#no shutdown

R2_Config_s0/2#exit

R2_Config#exit

4．查看R2接口状态（图4-8-3）

图4-8-3　R2端口信息

5．验证配置

在R1利用ping测试与R2的连通性，如图4-8-4所示。

图4-8-4　路由器连通性

【问题探究】

（1）PAP和CHAP的异同。

（2）CHAP认证流程。

【知识拓展】

1．CHAP单向认证（R1为服务器端，R2为客户端）

R1配置：

R1_config#aaa authentication ppp default local

R1_config#username root password 123456

R1_config#interface s0/1

R1_config-if-s0/1#encapsulation ppp

R1_config-if-s0/1#ppp authentication chap

R2配置：

R1_config#interface s0/2

R1_config-if-s0/2#encapsulation ppp

R2_config-if-s0/2#ppp chap hostname root

R2_config-if-s0/2#ppp chap password 123456

2．CHAP双向认证

R1配置：

R1_config#username R1 password 123456

R1_config#interface s0/1

R1_config-if_s0/1#encapsulation ppp

R1_config-if_s0/1#ppp authentication chap

R1_config-if_s0/1#ppp chap hostname R2

R1_config-if_s0/1#ppp chap password 123456

R2配置：

R2_config#aaa authentication ppp default local

R2_config#username R2 password 123456

R2_config#interface s0/2

R2_config-if-s0/2#encapsulation ppp

R2_config-if-s0/2#ppp authentication chap

R2_config-if-s0/2#ppp chap hostname R1

R2_config-if-s0/2#ppp chap password 123456

【任务拓展】

利用所学路由器PPP封装CHAP配置完成图4-8-5所示R1-R2、R1-R3和R2-R3的认证。网络设备信息如表4-8-2所示。

图4-8-5　RIP动态路由配置

表4-8-2　网络设备信息