前言:
此刻兄弟们对“chap双向认证”大概比较讲究,同学们都想要了解一些“chap双向认证”的相关知识。那么小编同时在网上收集了一些对于“chap双向认证””的相关内容,希望同学们能喜欢,姐妹们快快来了解一下吧!一、目的
1.为路由器指定唯一主机名
2.列出认证路由器时所使用的远端主机名称和口令,密码为ccna.
3.WAN接口上完成PPP协议的封装和CHAP认证的配置
二、拓扑三、步骤
1、配置Cisco1
Router(config)#hostname cisco1
cisco1(config)#username cisco2 password ccna
注:用于验证对端发送过来的用户名和口令,用户名必须是对端的hostname,而口令在两段必须要一样。
cisco1(config)#interface serial 0
cisco1(config-if)#ip address 192.168.12.1 255.255.255.0
cisco1(config-if)#encapsulation ppp
cisco1(config-if)#ppp authentication chap
cisco1(config-if)#no shutdown
注:启用CHAP认证协议。CHAP是双向验证协议。并使用hostname作为用户名去被验证,用本地用户列表来验证对端。
2、配置Cisco2
Router(config)#hostname cisco2
cisco2(config)#interface serial 0
cisco2(config-if)#ip address 192.168.12.2 255.255.255.0
cisco2(config-if)#clock rate 64000
cisco2(config-if)#encapsulation ppp
cisco2(config-if)#ppp authentication chap
ciscor2(config-if)#no shutdown
cisco2(config-if)#exit
注:在对端需要配置相同的,CHAP是双向认证。
00:55:48: %LINK-3-UPDOWN: Interface Serial0, changed state to down
00:55:50: %LINK-3-UPDOWN: Interface Serial0, changed state to up
00:55:58: %LINK-3-UPDOWN: Interface Serial0, changed state to down
00:56:00: %LINK-3-UPDOWN: Interface Serial0, changed state to up
注:由于没有配置用于验证发送过来的本地用户名和列表,导致了不停的报错。
3.设置cisco2上的用户名和密码
cisco2(config)#username cisco1 password ccnp
注:Ciscor2口令ccnp,配置了本地用户列表不再报错。
4.测试连接效果
cisco2#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
.....-----------------------------口令不一致,无法建立连接。
在cisco1上debug ppp authentication
*Mar 1 00:02:45.251: Se0/0 CHAP: O CHALLENGE id 18 len 28 from "cisco1"
*Mar 1 00:02:45.255: Se0/0 CHAP: I CHALLENGE id 16 len 28 from "cisco2"
*Mar 1 00:02:45.271: Se0/0 CHAP: Using hostname from unknown source
*Mar 1 00:02:45.275: Se0/0 CHAP: Using password from AAA
*Mar 1 00:02:45.275: Se0/0 CHAP: O RESPONSE id 16 len 28 from "cisco1"
*Mar 1 00:02:45.391: Se0/0 CHAP: I RESPONSE id 18 len 28 from "cisco2"
*Mar 1 00:02:45.395: Se0/0 CHAP: I FAILURE id 16 len 25 msg is "Authentication failed"
*Mar 1 00:02:45.407: Se0/0 PPP: Sent CHAP LOGIN Request
5.设置正确的用户名和密码
cisco2(config)#username cisco1 password ccna
注:置和cisco1的本地用户列表相同的口令。
6.测试连接效果
cisco2#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!!
7.在cisco2上使用debug ppp authentication 查看chap的认证过程
cisco2#debug ppp authentication
cisco2#conf t
cisco2(config)#interface serial 0
cisco2(config-if)#shutdown
cisco2(config-if)#no shutdown
*Dec 1 21:09:44.943: %LINK-3-UPDOWN: Interface Serial0, changed state to up
*Dec 1 21:09:44.951: Se0 PPP: Authorization required
*Dec 1 21:09:45.527: Se0 PPP: Sent CHAP LOGIN Request
*Dec 1 21:09:45.531: Se0 CHAP: Using hostname from unknown source
*Dec 1 21:09:45.531: Se0 CHAP: Using password from AAA
*Dec 1 21:09:45.531: Se0 CHAP: O RESPONSE id 215 len 23 from "cisco2"
*Dec 1 21:09:45.779: Se0 CDPCP: Received AAA AUTHOR Response PASS
*Dec 1 21:09:46.759: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up
在验证都通过的情况下将任何一边的口令随便设置一个不要和ccna一样,然后ping对端会出现什么情况,为什么会出现这种现象,怎么解决?
cisco1(config)#no username cisco2
cisco1(config)#username cisco2 password ccnp
cisco1(config)#end
注:口令为ccnp不和ccna一样。
cisco1#ping 192.168.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!------------------------------两边的口令不一样也可以ping通。
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/144/244 ms
问题分析:开始的时候两边的口令不一样无法验证通过,当验证通过后,再将口令改为不一致。同样可以ping通。
因为当验证通过后会一直保存已经建立好的连接。解决的方法是将接口关闭后然后再启动。
以下是华为数通路由交换方向完整技术分享,欢迎对华为网络技术感兴趣的小伙伴们订阅。【可在专栏中进行查看订阅】
华为新版HCIA数通路由交换
华为新版HCIP数通路由交换
华为新版HCIE数通路由交换
标签: #chap双向认证 #chap双向认证作用
