实验原理
PPP协议之所以成为广域网中较为广泛的协议,原因之以就是提供了CHAP,PAP等校验协议,更好的保证了网络的安全性
PAP为两次握手验证,用户名和秘密由被验证发重复的在链路上发给验证方,直到验证通过或者终止连接,PAP不是一种安全的验证协议,因为口令是以明文的方式发送的.
CHAP属于三次握手,只在链路上传输用户名,不传输密码,因此安全性比PAP高,当链路建立完成后,验证方发一个"challenge"报文,给被验证方,被验证方经过一次hash算法,给验证方返回一个值,验证方把自己经过hash算法的指和被验证方返回的值进行比较,如果两者匹配,那么验证通过,否则验证不通过,连接终止.
实验目的
理解PPP PAP的认证方法
理解CHAP的认证方法
理解PPPPAP认证与CHAP的认证的区别
实验拓扑
实验步骤
1,基本配置,测试联通性
2,搭建ospf网络
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]ne
[R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
这个时候,pc1和pc2是可以通信的
3,配置PPP的PAP认证
R3为认证路由器,R1为被认证路由器
#采用认证方式为PAP,认证域名为huawei
[R3]int s4/0/0
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei
[R3-Serial4/0/0]quit
#执行aaa,进入aaa视图
[R3]aaa
#创建认证方案huawei_1,并进入认证视图
[R3-aaa]authentication-scheme huawei_1
Info: Create a new authentication scheme.
#配置认证模式为本地认证
[R3-aaa-authen-huawei_1]authentication-mode local
[R3-aaa-authen-huawei_1]quit
#创建域为huaweiyu,并进入域视图
[R3-aaa]domain huaweiyu
Info: Success to create a new domain.
#配置域的认证方案为huawei_1,这个要和前面创建的一致
[R3-aaa-domain-huaweiyu]authorization-scheme huawei_1
#退回到aaa视图,配置对端认证的用户名和密码
[R3-aaa-domain-huaweiyu]quit
[R3-aaa]local-user R1@huaweiyu password cipher Huawei
Info: Add a new user.
[R3-aaa]local-user R1@huaweiyu service-type ppp
[R3-aaa]quit
#关闭R3和R1的连接接口,然后重新连接协商,检查链路状态和联通性
[R3]int s4/0/0
[R3-Serial4/0/0]shutdown
[R3-Serial4/0/0]undo shutdown
此时R1和R3 无法通信,需要在R1的相连接口上配置认证
[R1]int s4/0/0.
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei
此时已经up
测试pc1和pc2的联通性
4,配置ppp的chap认证
PPP很容易通过抓包获取用户名和密码.
删除原有的PAP认证,域名保持不变
[R3]int s4/0/0
[R3-Serial4/0/0]undo ppp authentication-mode
[R1]int s4/0/0
[R1-Serial4/0/0]undo ppp pap local-user
删除后,在认证设备R3的s4/0/0的接口下配置ppp的认证方式为CHAP
[R3]int s4/0/0
[R3-Serial4/0/0]undo ppp authentication-mode
[R3-Serial4/0/0]ppp authentication-mode CHAP
[R3-Serial4/0/0]quit
#配置存储在本地,对端认证方式所使用的用户名为R1,密码为huawei,其余的配置保持不变.
[R3]aaa
[R3-aaa]local-user R1 password cipher huawei
Info: Add a new user.
[R3-aaa]local-user R1 service-type ppp
配置完成后,关闭R1和R3的接口一段时间,再打开
[R3]int s4/0/0
[R3-Serial4/0/0]shutdown
[R3-Serial4/0/0]undo shutdown
此时,R1和R3的协议状态不正常,无法通信,因为R1上还没有配置相应的用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp chap user
[R1-Serial4/0/0]ppp chap password cipher huawei
R1和R3可以ping通
pc2和pc1的联通也正常