PPP认证使用ppp chap hostname和 ppp authentication chap callin命令

前言

PPP协商包括几个步骤例 如链路控制协议(LCP)协商，认证和网络控制协议(NCP)协商。 如果双方不能对正确的参数达成协议，则连接被终止。 一旦链路建立，双方使用在LCP协商期间决定的认证协议互相 验证。 认证一定是成功的在开始NCP协商之前。

PPP支持二个认证协议：密码 验证协议(PAP)和质询握手验证协议(CHAP)。

使 用的组件

本文的信息根 据以下的软件及硬件版本。

• Cisco IOS® 软件版本11.2 以上

背景理论

PAP验证介入用户名和口 令在明文横跨链路其中被发送的一只双向握手; 因此，PAP验 证不提供任何防护放音和线路探测。

CHAP认证另一方面，使用三方握手周期验证远程节点 的身份。在PPP链接建立之后，主机寄发一个"挑战"消息到远 程节点。 远程节点回应带有使用一个单向散列函数计算的值 。主机检查回应其期望的Hash值的自己的计算。如果 值配比，认证被承认; 否则，连接被终止。

配置

在此部分，您介绍用信 息配置在本文描述的功能。

注意： 找到其它信息关于用于本文的命令，使用IOS命 令查找工具

配置单向CHAP验证

当二 个设备正常使用CHAP认证时，每边派出另一边由挑战者回应和验证 的挑战。 其中每一支持独立地互相验证。如果想要用 不由呼叫路由器或设备支持认证的非Cisco路由器经营，您必须使用 ppp authentication chap callin命令。当使 用 ppp authentication命令带有 呼入关键字时，接入服务器只将 验证远端设备如果远端设备发起呼叫(例如，如果远端设备"调用在 ")。在这种情况下，认证在仅流入的(收到的)呼叫指定。

配置用户名 与路由器名字不同

当 遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不同的管 理控制，网络服务提供商(ISP)时，或者轮循中央路由器，配置是与 主机名不同的认证用户名是必要的。在此情况，没有提供路 由器的主机名也不是不同的在不同的时刻(轮循)。并且，ISP 分配的用户名和口令可能不是远程路由器的主机名。在这样 情况， 用于 ppp chap hostname命令指定为认证将使用的备选用户名。

例如，考虑多个远程设备其中拨号到 一个中心站点的一个情况。使用正常CHAP 认证，是主机名) 在中央路由器必须配置的用户名(每个远端设备和分享秘密。在此方案，中央路由器的配置能获得较和笨重管理; 然而， 如果远端设备使用是与他们的主机名不同这的用户名可以避免。 中心站点可以用能使用验证广泛拨入客户端的单个用户名和 分享秘密配置。

[page]

网络图

如果路由器1发起呼叫到路由器2，路由器2会挑战路由器1，但路由 器1不会挑战路由器2。因为 ppp authentication chap callin 命令 在路由器1，配置这发生。 这是一个单向验证的示例。

在此设置， ppp chap hostname alias-r1命令在路由器1配置。路由器1 使用 "alias-r1"作为其主机名为CHAP认证而不是"r1" 。路由器2 拨号映射名字应该匹配路由器1 ppp chap hostname; 否则 ，二条B信道设立，一个为每个方向。

 

配置

路由器1

! isdn switch-type basic-5ess ! hostname r1 ! username r2 password 0 cisco ! -- hostname of other router and shared secret ! interface BRI0/0 ip address 20.1.1.1 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.2 name r2 broadcast 5772222 dialer-group 1 isdn switch-type basic-5ess ppp authentication chap callin ! -- authentication on incoming calls only ppp chap hostname alias-r1 ! -- alternate CHAP hostname ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 !

路由器 2

! isdn switch-type basic-5ess ! hostname r2 ! username alias-r1 password 0 cisco ! -- alternate CHAP hostname and shared secret ! -- The username must match the one in the ppp chap hostname command ! -- on the remote router ! interface BRI0/0 ip address 20.1.1.2 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.1 name alias-r1 broadcast 5771111 ! -- dialer map name matches alternate hostname "alias-r1" dialer-group 1 isdn switch-type basic-5ess ppp authentication chap ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 !

[page]

配置说明

在此图象之下参见编号 为解释：

 

1. 在本例中，路由器1发起呼叫。因为路由器1用 ppp authentication chap callin命令 配置，不质询主叫用户名详细资料，是路由器 2。
2. 当路由器2收到呼叫，它挑战路由 器1 为认证。默认情况下为此认证，路由器的主机名用于识 别自己。如果 配置ppp chap hostname name命令， 路由器在主机名位置使用名字识别自己。 在本例中，挑战被 标记当来自"r2"。
3. 路由器1在其本地 数据库接受路由器2 挑战并且看起来为用户名"r2"。
4. 路由器1查找"r2"密码，是"cisco" 。 路由器1使用此密码和挑战从路由器2 MD5 散列函数的输 入参数。Hash值生成。
5. 路由 器1寄发Hash输出值到路由器2。 这里，因为 ppp chap hostname命令配置 作为"alias-r1"，回复被标记如来自"alias-r1"。
6. 路由器2在其本地数据库收到回复并且寻找 "alias-r1"用户名为密码。
7. 路由器2 发现密码为"alias-r1"是"cisco"。 路由器2为MD5散列函数 使用密码和挑战及早被派出到路由器1输入参数。散列函数生 成一个Hash值。
8. 生成的路由器2比较 Hash值并且那个从路由器1接受。
9. 因 为输入参数(挑战和密码)是相同的，Hash值是同样造成一个成功的 验证。

验证

当前没有验证程 序可用为此配置。

排除故障

此部分提供您能使用排除您的配置故障的信息。

在尝试其中任一之前debug命令，请 参阅 重要信息关于Debug 命令

示例调 试输出

以下示例输出 从 debug ppp authentication命令：

路由器1

r1# ping 20.1.1.2
  Type escape sequence to abort.
  Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:
   *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   *Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222
   *Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
   *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
  
! -- Received a CHAP challenge from other router (r2)

   *Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostname alias-r1
  
! -- Using alternate hostname configured with ppp chap hostname  command

   *Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
  
! -- Sending response from "alias-r1" which is the alternate hostname for r1

   *Mar 1 20:06:27.243: BR0/0:1 CHAP: I SUCCESS id 57 Len 4
  
! -- Received CHAP authentication is successful
   ! -- Note that r1 is not challenging r2

   .!!!!
  Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
  r1#
   *Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
   changed state to up
  r1#
   *Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
    to 5772222 r2

路由器2

r2#
   20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
   20:05:20: BR0/0:1 PPP: Treating connection as a callin
   20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
 
! -- r2 is sending out a challenge

   20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
 
! -- Received a response from alias-r1, which is the alternate hostname on r1

   20:05:21: BR0/0:1 CHAP: O SUCCESS id 57 Len 4
 
! -- Sending out CHAP authentication is successful

   20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
    changed state to up
   20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-r1

本文出自 51CTO.COM技术博客