PPP认证使用ppp chap hostname和 ppp authentication chap callin命令

www.net130.com     日期:2004-11-26    浏览次数:
出处:cisco网站

前言

PPP协商包括几个步骤例 如链路控制协议(LCP)协商,认证和网络控制协议(NCP)协商。 如果双方不能对正确的参数达成协议,则连接被终止。 一旦链路建立,双方使用在LCP协商期间决定的认证协议互相 验证。 认证一定是成功的在开始NCP协商之前。

PPP支持二个认证协议:密码 验证协议(PAP)和质询握手验证协议(CHAP)。

使 用的组件

本文的信息根 据以下的软件及硬件版本。

  • Cisco IOS® 软件版本11.2 以上

背景理论

PAP验证介入用户名和口 令在明文横跨链路其中被发送的一只双向握手; 因此,PAP验 证不提供任何防护放音和线路探测。

CHAP认证另一方面,使用三方握手周期验证远程节点 的身份。在PPP链接建立之后,主机寄发一个"挑战"消息到远 程节点。 远程节点回应带有使用一个单向散列函数计算的值 。主机检查回应其期望的Hash值的自己的计算。如果 值配比,认证被承认; 否则,连接被终止。

配置

在此部分,您介绍用信 息配置在本文描述的功能。

注意: 找到其它信息关于用于本文的命令,使用IOS命 令查找工具

配置单向CHAP验证

当二 个设备正常使用CHAP认证时,每边派出另一边由挑战者回应和验证 的挑战。 其中每一支持独立地互相验证。如果想要用 不由呼叫路由器或设备支持认证的非Cisco路由器经营,您必须使用 ppp authentication chap callin命令。当使 用 ppp authentication命令带有 呼入关键字时,接入服务器只将 验证远端设备如果远端设备发起呼叫(例如,如果远端设备"调用在 ")。在这种情况下,认证在仅流入的(收到的)呼叫指定。

配置用户名 与路由器名字不同

当 遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不同的管 理控制,网络服务提供商(ISP)时,或者轮循中央路由器,配置是与 主机名不同的认证用户名是必要的。在此情况,没有提供路 由器的主机名也不是不同的在不同的时刻(轮循)。并且,ISP 分配的用户名和口令可能不是远程路由器的主机名。在这样 情况, 用于 ppp chap hostname命令指定为认证将使用的备选用户名。

例如,考虑多个远程设备其中拨号到 一个中心站点的一个情况。使用正常CHAP 认证,是主机名) 在中央路由器必须配置的用户名(每个远端设备和分享秘密。在此方案,中央路由器的配置能获得较和笨重管理; 然而, 如果远端设备使用是与他们的主机名不同这的用户名可以避免。 中心站点可以用能使用验证广泛拨入客户端的单个用户名和 分享秘密配置。

[page]

网络图

如果路由器1发起呼叫到路由器2,路由器2会挑战路由器1,但路由 器1不会挑战路由器2。因为 ppp authentication chap callin 命令 在路由器1,配置这发生。 这是一个单向验证的示例。

在此设置, ppp chap hostname alias-r1命令在路由器1配置。路由器1 使用 "alias-r1"作为其主机名为CHAP认证而不是"r1" 。路由器2 拨号映射名字应该匹配路由器1 ppp chap hostname; 否则 ,二条B信道设立,一个为每个方向。

ppp_callin_hostname.gif

配置

路由器1

! 
  isdn switch-type basic-5ess 
  ! 
  hostname r1 
  ! 
  username r2 password 0 cisco 
  
 ! -- hostname of other router and shared secret
 
  ! 
  interface BRI0/0 
   ip address 20.1.1.1 255.255.255.0 
   no ip directed-broadcast 
   encapsulation ppp 
   dialer map ip 20.1.1.2 name r2 broadcast 5772222 
   dialer-group 1 
   isdn switch-type basic-5ess 
   ppp authentication chap callin 
  
 ! -- authentication on incoming calls only
 
   ppp chap hostname alias-r1 
  
 ! -- alternate CHAP hostname
 
  ! 
  access-list 101 permit ip any any 
  dialer-list 1 protocol ip list 101 
  !

路由器 2

!
  isdn switch-type basic-5ess
  ! 
  hostname r2
  ! 
  username alias-r1 password 0 cisco 
  
 ! -- alternate CHAP hostname and shared secret
  ! -- The username must match the one in the ppp chap hostname command
  ! -- on the remote router
 
  !
  interface BRI0/0 
   ip address 20.1.1.2 255.255.255.0 
   no ip directed-broadcast
   encapsulation ppp 
   dialer map ip 20.1.1.1 name 
   alias-r1 broadcast 5771111
   
 ! -- dialer map name matches alternate hostname "alias-r1"
 
   dialer-group 1 
   isdn switch-type basic-5ess 
   ppp authentication chap
  ! 
  access-list 101 permit ip any any 
  dialer-list 1 protocol ip list 101 
  !

[page]

配置说明

在此图象之下参见编号 为解释:

ppp_callin_hostname2.gif

  1. 在本例中,路由器1发起呼叫。因为路由器1用 ppp authentication chap callin命令 配置,不质询主叫用户名详细资料,是路由器 2。

  2. 当路由器2收到呼叫,它挑战路由 器1 为认证。默认情况下为此认证,路由器的主机名用于识 别自己。如果 配置ppp chap hostname name命令, 路由器在主机名位置使用名字识别自己。 在本例中,挑战被 标记当来自"r2"。

  3. 路由器1在其本地 数据库接受路由器2 挑战并且看起来为用户名"r2"。

  4. 路由器1查找"r2"密码,是"cisco" 。 路由器1使用此密码和挑战从路由器2 MD5 散列函数的输 入参数。Hash值生成。

  5. 路由 器1寄发Hash输出值到路由器2。 这里,因为 ppp chap hostname命令配置 作为"alias-r1",回复被标记如来自"alias-r1"。

  6. 路由器2在其本地数据库收到回复并且寻找 "alias-r1"用户名为密码。

  7. 路由器2 发现密码为"alias-r1"是"cisco"。 路由器2为MD5散列函数 使用密码和挑战及早被派出到路由器1输入参数。散列函数生 成一个Hash值。

  8. 生成的路由器2比较 Hash值并且那个从路由器1接受。

  9. 因 为输入参数(挑战和密码)是相同的,Hash值是同样造成一个成功的 验证。

验证

当前没有验证程 序可用为此配置。

排除故障

此部分提供您能使用排除您的配置故障的信息。

在尝试其中任一之前debug命令,请 参阅 重要信息关于Debug 命令

示例调 试输出

以下示例输出 从 debug ppp authentication命令:

路由器1

r1#ping 20.1.1.2
  Type escape sequence to abort.
  Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:
   *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   *Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222
   *Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
   *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
  
! -- Received a CHAP challenge from other router (r2)

   *Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostname alias-r1
  
! -- Using alternate hostname configured with ppp chap hostname  command

   *Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
  
! -- Sending response from "alias-r1" which is the alternate hostname for r1

   *Mar 1 20:06:27.243: BR0/0:1 CHAP: I SUCCESS id 57 Len 4
  
! -- Received CHAP authentication is successful
   ! -- Note that r1 is not challenging r2


   .!!!!
  Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
  r1#
   *Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
   changed state to up
  r1#
   *Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
    to 5772222 r2

路由器2

r2#
   20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
   20:05:20: BR0/0:1 PPP: Treating connection as a callin
   20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
 
! -- r2 is sending out a challenge

   20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
 
! -- Received a response from alias-r1, which is the alternate hostname on r1

   20:05:21: BR0/0:1 CHAP: O SUCCESS id 57 Len 4
 
! -- Sending out CHAP authentication is successful

   20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
    changed state to up
   20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-r1

相关新闻
无相关正文