CHAP三次认证:
前提:LSP协商完成
认证方:认证方发起挑战,向被认证方发送随机数(random)和ID
被认证方:将认证方发送来的ID和random,以及自己的password,也就是{ID+random+password}字符串,以MD5算法进行加密,加密完成之后形成16Byte的摘要信息。然后将此摘要信息和端口上配置的CHAP用户名一起封装在Response报文中发回认证方。
认证方:认证方接收到被认证方发送的Response报文之后,按照其中的用户名在本地查找相应的密码信息,得到密码信息之后,进行一次加密运算,运算方式和被认证方的加密运算方式相同;然后将加密运算得到的摘要信息和Response报文中封装的摘要信息做比较,相同则认证成功,不相同则认证失败。
使用CHAP认证方式时,被认证方的密码是被加密后才进行传输的,这样就极大的提高了安全性。
一、拓扑图
二、配置认证
在R1和R2上配置环回地址loop 0.
R1:
#
interface LoopBack0
ip address 172.16.1.1 255.255.255.255
#
R2:
#
interface LoopBack0
ip address 172.16.2.1 255.255.255.255
#
1)R1认证R2,R1作为认证方,R2作为被认证方。
R1:
interface Serial0/0/0
link-protocol ppp
ppp authentication-mode chap、
ip address 10.1.1.1 255.255.255.252
aaa
local-user r2 password cipher 111
local-user r2 service-type ppp
R2:
interface Serial0/0/0
link-protocol ppp
ppp chap user R2
ppp chap password cipher 111
2)R2认证R1,R2作为认证方,R1作为被认证方。
R2:
interface Serial0/0/0
link-protocol ppp
ppp authentication-mode chap
ip address 10.1.1.2 255.255.255.252
aaa
local-user r1 password cipher 123
local-user r1 service-type ppp
R1:
interface Serial0/0/0
link-protocol ppp
ppp chap user R1
ppp chap password cipher 123
3)配置默认路由
R1:由于由串口连接,故可使用出接口来写默认路由。
ip route-static 172.16.2.1 255.255.255.255 Serial0/0/0
R2:采用了下一跳的方式写默认路由。
ip route-static 172.16.1.1 255.255.255.255 10.1.1.1
三、验证
R1:测试R2的环回地址
R2:测试R1的环回地址