1、项目六 构建广域网络模块6.3 CHAP验证配置模块6.3 CHAP验证配置内容简介内容简介o 介绍介绍CHAP验证特性、工作过程的相关知验证特性、工作过程的相关知识及配置技能。识及配置技能。o 介绍创建验收方、被验证方用户名称及密介绍创建验收方、被验证方用户名称及密码等命令。码等命令。23知识目标、技能点知识目标、技能点o 能够描述能够描述CHAP验证过程;验证过程;o 能够独立配置能够独立配置CHAP验证功能。验证功能。模块6.3 CHAP验证配置46.3.1 问题提出问题提出 你是公司的网络管理员,公司为了满足你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入不断增长的
2、业务需求,申请了专线接入,你的客户端路由器与,你的客户端路由器与ISP进行链路协商进行链路协商时采用时采用CHAP验证身份,配置路由器保验证身份,配置路由器保证链路建立,并考虑其安全性。证链路建立,并考虑其安全性。模块6.3 CHAP验证配置6.3.2 相关知识相关知识1CHAP验证概述验证概述 挑战握手验证协议(挑战握手验证协议(Challenge Hand Authentication Protocol,CHAP)使用三次交换信息方式,为远)使用三次交换信息方式,为远程节点提供比较安全的验证方法。程节点提供比较安全的验证方法。5模块6.3 CHAP验证配置6 CHAP验证比验证比PAP验证
3、更为安全,不只验证更为安全,不只是在建立链路初期时需要验证,在链路是在建立链路初期时需要验证,在链路建立后也需要多次验证,而且,建立后也需要多次验证,而且,CHAP的验证过程也更为复杂,密码以密文方的验证过程也更为复杂,密码以密文方式发送。式发送。配置配置CHAP验证需要在验证方和被验证验证需要在验证方和被验证方分别配置用户名和密码,用户名为对方分别配置用户名和密码,用户名为对方路由器的名称,密码相同。方路由器的名称,密码相同。模块6.3 CHAP验证配置72CHAP验证过程验证过程(1)被验证方向验证方发送用户名作为连)被验证方向验证方发送用户名作为连接请求报文,之后,验证方向被验证方发送接
4、请求报文,之后,验证方向被验证方发送挑战报文挑战报文。(2)被验证方收到挑战报文后,)被验证方收到挑战报文后,进行相应进行相应计算,返回响应报文。计算,返回响应报文。(3)验证方收到响应报文后)验证方收到响应报文后,决定通过或,决定通过或拒绝。上述过程称为拒绝。上述过程称为“三次握手三次握手”。模块6.3 CHAP验证配置8模块6.3 CHAP验证配置93配置配置CHAP验证验证(1)被验证方配置)被验证方配置模块6.3 CHAP验证配置为验证方主机名创建用户数据库记录时,两端密码要保持一致。例例1:被验收方:被验收方client路由器与验证方路由器与验证方server路由器采用路由器采用ch
5、ap验证,验证密码验证,验证密码为为abc123,且明文方式,被验证方配置,且明文方式,被验证方配置代码如下:代码如下:Ruijie(config)#hostname clientclient(config)#username server password 0 abc123client(config)#10模块6.3 CHAP验证配置11(2)验证方配置)验证方配置第第1步:创建用户数据库记录步:创建用户数据库记录模块6.3 CHAP验证配置提示:两端密码要保持一致。12例例1:被验收方:被验收方client路由器与验证方路由器与验证方server路由器采用路由器采用chap验证,验证密码验
6、证,验证密码为为abc123,且明文方式,验证方配置代,且明文方式,验证方配置代码如下:码如下:ruijie(config)#hostname severserver(config)#username client password 0 abc123server(config)#模块6.3 CHAP验证配置13第第2步:启动步:启动CHAP验证验证模块6.3 CHAP验证配置使用no ppp authentication命令式取消关联,恢复默认配置。14例例2:在如:在如下下图所示网络中,路由器图所示网络中,路由器server与路由器与路由器client通过通过Serial端口连接,并配端口连
7、接,并配置置CHAP验证。验证方验证。验证方server端口端口serial2/0的的IP地址为地址为2.1.1.1/24;被验;被验证方证方clinet端口端口serial2/0的的IP地址为地址为2.1.1.2/24。双方。双方chap验证密码为验证密码为abc123。模块6.3 CHAP验证配置15模块6.3 CHAP验证配置验证方 server配置代码如下:ruijie(config)#hostname server server(config)#username clinet password 0 abc123 server(config)#interface serial 2/0
8、server(config-if)#encapsulation pppserver(config-if)#ip address 2.1.1.1 255.255.255.0 server(config-if)#no shutdownserver(config-if)#ppp authentication chap 16模块6.3 CHAP验证配置17模块6.3 CHAP验证配置被验证方clinet的配置代码如下:ruijie(config)#hostname clinet clinet(config)#username server password 0 abc123 clinet(config)#interface serial 2/0 clinet(config-if)#encapsulation ppp clinet(config-if)#ip address 2.1.1.2 255.255.255.0 18结束模块6.3 CHAP验证配置