项目三任务四 应用PPP协议CHAP认证实现广域网链路安全.pptxVIP

任务四PPP协议CHAP认证任务描述小王是某公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，当客户端路由器与ISP进行链路协商时，需要验证身份，考虑对方使用PPP协议的CHAP认证，小王也必须在公司的出口路由器上启用CHAP认证以保证链路的建立。知识链接1．PPP的CHAP验证方式挑战握手验证协议（CHAP）是一种加密的安全验证方式，主验证方NAS向被验证的远程用户发送一个询问报文（Challenge）。远程用户必须根据询问报文，在本地数据库中查找NAS的主机名、口令密钥，使用MD5单向哈希算法生成加密的询问报文，然后与用户主机名一起回送到NAS，其中用户名以非哈希方式发送。NAS收到应答后在本端查找用户主机名和口令密钥，使用MD5单向哈希算法对保存的随机生成的询问报文进行加密，然后与被验证方的应答进行比较，根据比较结果决定是通过还是拒绝链接。

验证失败ClientRAUsername:RBPassword:123ServerRBUsername:RAPassword:123RA+加密后的密文验证成功RB+挑战报文任务四PPP协议CHAP认证2．PPP的CHAP认证配置1）配置PPPCHAP被验证方步骤1：定义封装类型为PPP。RouterA(config-if)#encapsulationppp 步骤2：指定在服务器端用于执行认证的用户名和密码。RouterA(config)#usernamehostnamepasswordpassword

任务四PPP协议CHAP认证2）配置PPPCHAP验证方步骤1：创建用户数据库记录。RouterB(config)#usernamehostnamepasswordpassword步骤2：封装PPP，并设定PPP的验证方式为CHAP。RouterB(config-if)#encapsulationpppRouterBconfig-if)#pppauthenticationchap3．CHAP认证与PAP认证的比较PAP认证两次握手，CHAP三次握手认证；PAP认证是单向的，CHAP认证是双向的；PAP认证时被认证端发送明文口令和用户名给主认证端，CHAP认证时被认证端不发送口令给主认证端；PAP认证时被认证端配置的用户名和密码必须与主认证端配置的用户名和密码相同，CHAP认证时被认证端配置主认证端的用户名和密码，主认证端配置被认证端的用户名和密码；CHAP认证比PAP认证的安全性要高。

任务实施1．任务拓扑图及要求说明此任务拓扑如图所示，在图中路由器使用V.35线缆一对，通过Serial口连接到路由器，对路由器进行PPPCHAP配置并验证。2．实施步骤1）在路由器RA上配置路由器的名称、接口IP地址和时钟RA(config)#interfaceserial2/0RA(config-if)#clockrate64000 RA(config-if)#ipaddress172.16.2.1255.255.255.0 Serial2/0RARB任务四PPP协议CHAP认证

2）在路由器RA上配置CHAP认证（验证端）RA(config)##usernameRBpassword123RA(config)#interfaceserial2/0RA(config-if)#encapsulationppp RA(config-if)#pppauthenticationchap 3）在路由器RB上配置路由器的名称、接口IP地址Router(config)#hostnameRBRB(config)#interfaceserial2/0RB(config-if)#ipaddress172.16.2.2255.255.255.0 RB(config-if)#noshutdown4）在路由器RB上配置CHAP认证（被验证端）RB(config)#usernameRApassword123RB(config)#interfaceserial2/0RB(config-if)#encapsulationppp RB(config-if)#pppauthenticationchap 任务四PPP协议CHAP认证

5）验证CHAP认证在路由器特权模式利用命令showinterfacesserial2/0来验证。使用Ping命令测试测试两台路由器间的连通性。3．注意事项1）两台路由器之间通过串口相连，则必须在DCE端配置时钟频率；2）封装广域网协议时，要