PPP认证使用ppp chap hostname和 ppp authentication chap callin命令.docVIP

PPP认证使用ppp chap hostname和 ppp authentication chap callin命令前言 PPP协商包括几个步骤例 如链路控制协议(LCP)协商，认证和网络控制协议(NCP)协商。 如果双方不能对正确的参数达成协议，则连接被终止。 一旦链路建立，双方使用在LCP协商期间决定的认证协议互相 验证。 认证一定是成功的在开始NCP协商之前。 PPP支持二个认证协议：密码 验证协议(PAP)和质询握手验证协议(CHAP)。 使 用的组件 本文的信息根 据以下的软件及硬件版本。 Cisco IOS? 软件版本11.2 以上 背景理论 PAP验证介入用户名和口 令在明文横跨链路其中被发送的一只双向握手; 因此，PAP验 证不提供任何防护放音和线路探测。 CHAP认证另一方面，使用三方握手周期验证远程节点 的身份。在PPP链接建立之后，主机寄发一个挑战消息到远 程节点。 远程节点回应带有使用一个单向散列函数计算的值 。主机检查回应其期望的Hash值的自己的计算。如果 值配比，认证被承认; 否则，连接被终止。 配置 在此部分，您介绍用信 息配置在本文描述的功能。 注意：?找到其它信息关于用于本文的命令，使用IOS命 令查找工具 配置单向CHAP验证 当二 个设备正常使用CHAP认证时，每边派出另一边由挑战者回应和验证 的挑战。 其中每一支持独立地互相验证。如果想要用 不由呼叫路由器或设备支持认证的非Cisco路由器经营，您必须使用 ppp authentication chap callin命令。当使 用 ppp authentication命令带有 呼入关键字时，接入服务器只将 验证远端设备如果远端设备发起呼叫(例如，如果远端设备调用在 )。在这种情况下，认证在仅流入的(收到的)呼叫指定。 配置用户名 与路由器名字不同 当 遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不同的管 理控制，网络服务提供商(ISP)时，或者轮循中央路由器，配置是与 主机名不同的认证用户名是必要的。在此情况，没有提供路 由器的主机名也不是不同的在不同的时刻(轮循)。并且，ISP 分配的用户名和口令可能不是远程路由器的主机名。在这样 情况， 用于 ppp chap hostname命令指定为认证将使用的备选用户名。 例如，考虑多个远程设备其中拨号到 一个中心站点的一个情况。使用正常CHAP 认证，是主机名) 在中央路由器必须配置的用户名(每个远端设备和分享秘密。在此方案，中央路由器的配置能获得较和笨重管理; 然而， 如果远端设备使用是与他们的主机名不同这的用户名可以避免。 中心站点可以用能使用验证广泛拨入客户端的单个用户名和 分享秘密配置。 [page] 网络图 如果路由器1发起呼叫到路由器2，路由器2会挑战路由器1，但路由 器1不会挑战路由器2。因为 ppp authentication chap callin 命令 在路由器1，配置这发生。 这是一个单向验证的示例。 在此设置， ppp chap hostname alias-r1命令在路由器1配置。路由器1 使用 alias-r1作为其主机名为CHAP认证而不是r1 。路由器2 拨号映射名字应该匹配路由器1 ppp chap hostname; 否则 ，二条B信道设立，一个为每个方向。 配置 路由器1 ! isdn switch-type basic-5ess ! hostname r1 ! username r2 password 0 cisco ! -- hostname of other router and shared secret ! interface BRI0/0 ip address 20.1.1.1 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.2 name r2 broadcast 5772222 dialer-group 1 isdn switch-type basic-5ess ppp authentication chap callin ! -- authentication on incoming calls only ppp chap hostname alias-r1 ! -- alternate CHAP hostname ! access-list 101 permit ip any any dialer-list