了解和配置PPPCHAP认证.PDFVIP

了解和配置 PPP CHAP 认证 目录 简介 先决条件 要求 使用的组件 规则 配置 CHAP 单向和双向验证 CHAP 配置命令和选项 交易示例 呼叫 挑战 答复 验证 CHAP 结果 CHAP 故障排除 相关信息 简介 质询握手身份验证协议 (CHAP)（已在 RFC 1994 中定义）通过三向握手来验证对等体的身份。 以 下是在 CHAP 中执行的一般步骤： 1. 在完成 LCP（链路控制协议）阶段并在两个设备之间协商 CHAP 之后，身份验证程序向对等 体发送一条质询消息。 2. 对等体使用通过单向散列函数（消息摘要算法 5 (MD5)）计算的值进行响应。 3. 身份验证程序根据自己计算出的预期散列值检查响应。如果两个值匹配，则身份验证成功；否 则，将终止连接。 此认证方法取决于只有证明人和对等体知道的“秘密”。该密钥不会通过链路发送。虽然身份验证只 是单向身份验证，您仍可以借助为相互身份验证设置的相同密钥来双向协商 CHAP。 有关 CHAP 的优缺点的详细信息，请参阅 RFC 1994 。 先决条件 要求 本文档的读者应掌握以下这些主题的相关知识： 如何通过 encapsulation ppp 命令在接口启用 PPP。 debug ppp negotiation 命令输出。有关详细信息，请参阅 了解 debug ppp negotiation 输出。 能力排除故障，当链路控制协议(LCP)相位不在打开状态。这是因为，在 LCP 阶段已完成并处 于打开状态之前，不会开始 PPP 身份验证阶段。如果 debug ppp negotiation 命令未表明 LCP 处于打开状态，您需要先对此问题进行故障排除，然后才能继续。 注意： 本文档不讨论 MS-CHAP（版本 1 或版本 2）。有关 MS-CHAP 的详细信息，请参阅 MS- CHAP 技术支持和 MSCHAP 版本 2 文档。 使用的组件 本文档不限于特定的软件和硬件版本。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 CHAP 配置 CHAP 的过程非常简单。例如，假定您有左右两个通过网络连接的路由器，如图 1 所示。 图1 â 在间网络的两路由器连接 要配置 CHAP 身份验证，请完成以下步骤： 1. 在接口上发出 encapsulation ppp 命令。 2. 使用 ppp authentication chap 命令在两个路由器上启用 CHAP 身份验证。 3. 配置用户名和口令。要执行此操作，请发出 username username password password 命令 ，其中 username 是对等体的主机名。请确保：两端上的口令相同。由于路由器名称和口令区 分大小写，因此请确保它们完全相同。注意： 默认情况下，路由器使用其主机名向对等体标 识其身份。然而，可以通过 ppp chap hostname 命令更改此 CHAP 用户名。有关详细信息 ，请参阅使用 ppp chap hostname 和 ppp authentication chap callin 命令执行 PPP 身份验证 。 单向和双向验证 CHAP 被定义为单向身份验证方法。然而，您可以在两个方向上使用 CHAP 以创建双向身份验证。 因此，通过双向 CHAP，每一端都可以发起单独的三次握手。 在 Cisco CHAP 实施中，默认情况下，被叫方必须认证主叫方（除非认证被完全地关闭了）。所以 ，被叫方发起的单向身份验证是可能的最低身份验证。然而，主叫方也可以验证被叫方的身份，从 而导致双向身份验证。 当您连接到非 Cisco 设备时，通常需要进行单向身份验证。 对于单向身份验证，请在主叫路由器上配置 ppp authentication chap callin 命令。 表 1 显示了应在何时配置 callin 选项。 表1 â 什么时候配置呼入选项 认证类型 客户端（主叫） NAS（被叫） 单向 ppp authentication ppp authentication chap callin chap ppp authentication ppp authentication 双向 chap