PPP认证使用ppp chap hostname和 ppp authentication chap callin命令

时间  2020-09-24
标签 ppp 认证 使用 chap hostname authentication callin 命令 繁體版
原文   原文链接

前言

PPP协商包括几个步骤例 如链路控制协议(LCP)协商,认证和网络控制协议(NCP)协商。 若是双方不能对正确的参数达成协议,则链接被终止。 一旦链路创建,双方使用在LCP协商期间决定的认证协议互相 验证。 认证必定是成功的在开始NCP协商以前。
PPP支持二个认证协议:密码 验证协议(PAP)和质询握手验证协议(CHAP)。

使 用的组件

本文的信息根 据如下的软件及硬件版本。
  • Cisco IOS® 软件版本11.2 以上

背景理论

PAP验证介入用户名和口 令在明文横跨链路其中被发送的一只双向握手; 所以,PAP验 证不提供任何防御放音和线路探测。
CHAP认证另外一方面,使用三方握手周期验证远程节点 的身份。在PPP连接创建以后,主机寄发一个"挑战"消息到远 程节点。 远程节点回应带有使用一个单向散列函数计算的值 。主机检查回应其指望的Hash值的本身的计算。若是 值配比,认证被认可; 不然,链接被终止。

配置

在此部分,您介绍用信 息配置在本文描述的功能。
注意: 找到其它信息关于用于本文的命令,使用IOS命 令查找工具

配置单向CHAP验证

当二 个设备正常使用CHAP认证时,每边派出另外一边由挑战者回应和验证 的挑战。 其中每一支持独立地互相验证。若是想要用 不禁呼叫路由器或设备支持认证的非Cisco路由器经营,您必须使用 ppp authentication chap callin命令。当使 用 ppp authentication命令带有 呼入关键字时,接入服务器只将 验证远端设备若是远端设备发起呼叫(例如,若是远端设备"调用在 ")。在这种状况下,认证在仅流入的(收到的)呼叫指定。

配置用户名 与路由器名字不一样

当 遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不一样的管 理控制,网络服务提供商(ISP)时,或者轮循中央路由器,配置是与 主机名不一样的认证用户名是必要的。在此状况,没有提供路 由器的主机名也不是不一样的在不一样的时刻(轮循)。而且,ISP 分配的用户名和口令可能不是远程路由器的主机名。在这样 状况, 用于 ppp chap hostname命令指定为认证将使用的备选用户名。
例如,考虑多个远程设备其中拨号到 一个中心站点的一个状况。使用正常CHAP 认证,是主机名) 在中央路由器必须配置的用户名(每一个远端设备和分享秘密。在此方案,中央路由器的配置能得到较和笨重管理; 然而, 若是远端设备使用是与他们的主机名不一样这的用户名能够避免。 中心站点能够用能使用验证普遍拨入客户端的单个用户名和 分享秘密配置。
[page]

网络图

若是路由器1发起呼叫到路由器2,路由器2会挑战路由器1,但路由 器1不会挑战路由器2。由于 ppp authentication chap callin 命令 在路由器1,配置这发生。 这是一个单向验证的示例。
在此设置, ppp chap hostname alias-r1命令在路由器1配置。路由器1 使用 "alias-r1"做为其主机名为CHAP认证而不是"r1" 。路由器2 拨号映射名字应该匹配路由器1 ppp chap hostname; 不然 ,二条B信道设立,一个为每一个方向。
 

配置

路由器1 
! 
  isdn switch-type basic-5ess 
  ! 
  hostname r1 
  ! 
  username r2 password 0 cisco 
  
 ! -- hostname of other router and shared secret
 
  ! 
  interface BRI0/0 
   ip address 20.1.1.1 255.255.255.0 
   no ip directed-broadcast 
   encapsulation ppp 
   dialer map ip 20.1.1.2 name r2 broadcast 5772222 
   dialer-group 1 
   isdn switch-type basic-5ess 
   ppp authentication chap callin 
  
 ! -- authentication on incoming calls only
 
   ppp chap hostname alias-r1 
  
 ! -- alternate CHAP hostname
 
  ! 
  access-list 101 permit ip any any 
  dialer-list 1 protocol ip list 101 
  !
路由器 2 
!
  isdn switch-type basic-5ess
  ! 
  hostname r2
  ! 
  username alias-r1 password 0 cisco 
  
 ! -- alternate CHAP hostname and shared secret ! -- The username must match the one in the ppp chap hostname command ! -- on the remote router
 
  !
  interface BRI0/0 
   ip address 20.1.1.2 255.255.255.0 
   no ip directed-broadcast
   encapsulation ppp 
   dialer map ip 20.1.1.1 name 
   alias-r1 broadcast 5771111
   
 ! -- dialer map name matches alternate hostname "alias-r1"
 
   dialer-group 1 
   isdn switch-type basic-5ess 
   ppp authentication chap
  ! 
  access-list 101 permit ip any any 
  dialer-list 1 protocol ip list 101 
  !
[page]

配置说明

在此图象之下参见编号 为解释:
 
  1. 在本例中,路由器1发起呼叫。由于路由器1用 ppp authentication chap callin命令 配置,不质询主叫用户名详细资料,是路由器 2。
  2. 当路由器2收到呼叫,它挑战路由 器1 为认证。默认状况下为此认证,路由器的主机名用于识 别本身。若是 配置ppp chap hostname name命令, 路由器在主机名位置使用名字识别本身。 在本例中,挑战被 标记当来自"r2"。
  3. 路由器1在其本地 数据库接受路由器2 挑战而且看起来为用户名"r2"。
  4. 路由器1查找"r2"密码,是"cisco" 。 路由器1使用此密码和挑战从路由器2 MD5 散列函数的输 入参数。Hash值生成。
  5. 路由 器1寄发Hash输出值到路由器2。 这里,由于 ppp chap hostname命令配置 做为"alias-r1",回复被标记如来自"alias-r1"。
  6. 路由器2在其本地数据库收到回复而且寻找 "alias-r1"用户名为密码。
  7. 路由器2 发现密码为"alias-r1"是"cisco"。 路由器2为MD5散列函数 使用密码和挑战及早被派出到路由器1输入参数。散列函数生 成一个Hash值。
  8. 生成的路由器2比较 Hash值而且那个从路由器1接受。
  9. 因 为输入参数(挑战和密码)是相同的,Hash值是一样形成一个成功的 验证。

验证

当前没有验证程 序可用为此配置。

排除故障

此部分提供您能使用排除您的配置故障的信息。
在尝试其中任一以前debug命令,请 参阅 重要信息关于Debug 命令

示例调 试输出

如下示例输出 从 debug ppp authentication命令:

路由器1

r1# ping 20.1.1.2
  Type escape sequence to abort.
  Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:
   *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   *Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222
   *Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
   *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
  
! -- Received a CHAP challenge from other router (r2)
   *Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostname alias-r1
  
! -- Using alternate hostname configured with ppp chap hostname  command
   *Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
  
! -- Sending response from "alias-r1" which is the alternate hostname for r1
   *Mar 1 20:06:27.243: BR0/0:1 CHAP: I SUCCESS id 57 Len 4
  
! -- Received CHAP authentication is successful
   ! -- Note that r1 is not challenging r2
   .!!!!
  Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
  r1#
   *Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
   changed state to up
  r1#
   *Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
    to 5772222 r2

路由器2

r2#
   20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
   20:05:20: BR0/0:1 PPP: Treating connection as a callin
   20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
 
! -- r2 is sending out a challenge
   20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
 
! -- Received a response from alias-r1, which is the alternate hostname on r1
   20:05:21: BR0/0:1 CHAP: O SUCCESS id 57 Len 4
 
! -- Sending out CHAP authentication is successful    20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,     changed state to up    20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-r1
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程