龙空技术网

「实战」广域网链路保证安全,实现安全认证CHAP,一分钟了解下

ICT认证培训考试中心 47

前言:

此刻兄弟们对“chap双向认证”大概比较讲究,同学们都想要了解一些“chap双向认证”的相关知识。那么小编同时在网上收集了一些对于“chap双向认证””的相关内容,希望同学们能喜欢,姐妹们快快来了解一下吧!

一、目的

1.为路由器指定唯一主机名

2.列出认证路由器时所使用的远端主机名称和口令,密码为ccna.

3.WAN接口上完成PPP协议的封装和CHAP认证的配置

二、拓扑三、步骤

1、配置Cisco1

Router(config)#hostname cisco1

cisco1(config)#username cisco2 password ccna

注:用于验证对端发送过来的用户名和口令,用户名必须是对端的hostname,而口令在两段必须要一样。

cisco1(config)#interface serial 0

cisco1(config-if)#ip address 192.168.12.1 255.255.255.0

cisco1(config-if)#encapsulation ppp

cisco1(config-if)#ppp authentication chap

cisco1(config-if)#no shutdown

注:启用CHAP认证协议。CHAP是双向验证协议。并使用hostname作为用户名去被验证,用本地用户列表来验证对端。

2、配置Cisco2

Router(config)#hostname cisco2

cisco2(config)#interface serial 0

cisco2(config-if)#ip address 192.168.12.2 255.255.255.0

cisco2(config-if)#clock rate 64000

cisco2(config-if)#encapsulation ppp

cisco2(config-if)#ppp authentication chap

ciscor2(config-if)#no shutdown

cisco2(config-if)#exit

注:在对端需要配置相同的,CHAP是双向认证。

00:55:48: %LINK-3-UPDOWN: Interface Serial0, changed state to down

00:55:50: %LINK-3-UPDOWN: Interface Serial0, changed state to up

00:55:58: %LINK-3-UPDOWN: Interface Serial0, changed state to down

00:56:00: %LINK-3-UPDOWN: Interface Serial0, changed state to up

注:由于没有配置用于验证发送过来的本地用户名和列表,导致了不停的报错。

3.设置cisco2上的用户名和密码

cisco2(config)#username cisco1 password ccnp

注:Ciscor2口令ccnp,配置了本地用户列表不再报错。

4.测试连接效果

cisco2#ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

.....-----------------------------口令不一致,无法建立连接。

在cisco1上debug ppp authentication

*Mar 1 00:02:45.251: Se0/0 CHAP: O CHALLENGE id 18 len 28 from "cisco1"

*Mar 1 00:02:45.255: Se0/0 CHAP: I CHALLENGE id 16 len 28 from "cisco2"

*Mar 1 00:02:45.271: Se0/0 CHAP: Using hostname from unknown source

*Mar 1 00:02:45.275: Se0/0 CHAP: Using password from AAA

*Mar 1 00:02:45.275: Se0/0 CHAP: O RESPONSE id 16 len 28 from "cisco1"

*Mar 1 00:02:45.391: Se0/0 CHAP: I RESPONSE id 18 len 28 from "cisco2"

*Mar 1 00:02:45.395: Se0/0 CHAP: I FAILURE id 16 len 25 msg is "Authentication failed"

*Mar 1 00:02:45.407: Se0/0 PPP: Sent CHAP LOGIN Request

5.设置正确的用户名和密码

cisco2(config)#username cisco1 password ccna

注:置和cisco1的本地用户列表相同的口令。

6.测试连接效果

cisco2#ping 192.168.12.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:

!!!!!

7.在cisco2上使用debug ppp authentication 查看chap的认证过程

cisco2#debug ppp authentication

cisco2#conf t

cisco2(config)#interface serial 0

cisco2(config-if)#shutdown

cisco2(config-if)#no shutdown

*Dec 1 21:09:44.943: %LINK-3-UPDOWN: Interface Serial0, changed state to up

*Dec 1 21:09:44.951: Se0 PPP: Authorization required

*Dec 1 21:09:45.527: Se0 PPP: Sent CHAP LOGIN Request

*Dec 1 21:09:45.531: Se0 CHAP: Using hostname from unknown source

*Dec 1 21:09:45.531: Se0 CHAP: Using password from AAA

*Dec 1 21:09:45.531: Se0 CHAP: O RESPONSE id 215 len 23 from "cisco2"

*Dec 1 21:09:45.779: Se0 CDPCP: Received AAA AUTHOR Response PASS

*Dec 1 21:09:46.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up

在验证都通过的情况下将任何一边的口令随便设置一个不要和ccna一样,然后ping对端会出现什么情况,为什么会出现这种现象,怎么解决?

cisco1(config)#no username cisco2

cisco1(config)#username cisco2 password ccnp

cisco1(config)#end

注:口令为ccnp不和ccna一样。

cisco1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

!!!!!------------------------------两边的口令不一样也可以ping通。

Success rate is 100 percent (5/5), round-trip min/avg/max = 48/144/244 ms

问题分析:开始的时候两边的口令不一样无法验证通过,当验证通过后,再将口令改为不一致。同样可以ping通。

因为当验证通过后会一直保存已经建立好的连接。解决的方法是将接口关闭后然后再启动。

以下是华为数通路由交换方向完整技术分享,欢迎对华为网络技术感兴趣的小伙伴们订阅。【可在专栏中进行查看订阅】

华为新版HCIA数通路由交换

华为新版HCIP数通路由交换

华为新版HCIE数通路由交换

标签: #chap双向认证 #chap双向认证作用