目录
主要命令
//设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei
[R3]int s4/0/0
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei
//进入AAA视图
[R3]aaa
//创建认证方案huawei_1,并进入认证方案视图
[R3-aaa]authentication-scheme huawei_1
Info: Create a new authentication scheme.
//配置认证模式为本地认证
[R3-aaa-authen-huawei_1]authentication-mode local
[R3-aaa-authen-huawei_1]q
//创建域huaweiyu,并进入域视图
[R3-aaa]domain huaweiyu
Info: Success to create a new domain.
//配置域的认证方案为huawei_1
[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1
[R3-aaa-domain-huaweiyu]q
//配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei
[R3-aaa]local-user R1@huaweiyu password cipher Huawei
Info: Add a new user.
[R3-aaa]local-user R1@huaweiyu service-type ppp
//配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei
/ * * * * * * * * * * 配置CHAP * * * * * * * * * * * /
//配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei
[R3]aaa
[R3-aaa]local-user R1 password cipher huawei
Info: Add a new user.
[R3-aaa]local-user R1 service-type ppp
//配置CHAP认证的用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp chap user R1
[R1-Serial4/0/0]ppp chap password cipher huawei
原理概述
在网络日益发展的今天,人们对网络安全性的要求越来越高,而PPP协议之所以能成为广域网中应用较为广泛的协议,原因之一就是它能提供验证协议CHAP (Challenge-Handshake Authentication Protocol,挑战式握手验证协议)、PAP (Password AuthenticationProtocol,密码验证协议),更好地保证了网络安全性。
PAP 为两次握手验证 ,口令为明文 ,验证过程 仅在 链路初始建立阶段进行 。当链路建立阶段结束后,用户名和密码将由被验证方重复地在链路上发送给验证方,直到验证通过或者中止连接。PAP不是一种安全的验证协议,因为口令是以明文方式在链路上发送的,并且用户名和口令还会被验证方不停地在链路上反复发送,导致很容易被截获。
CHAP 是三次握手验证协议 ,只在网络上传输用户名,而并不传输用户密码 ,因此安全性要比PAP高。CHAP协议是在链路建立开始就完成的,在链路建立完成后的任何时间都可以进行再次验证。当链路建立阶段完成后,验证方发送一个"challenge"报文给被验证方;被验证方经过一次 Hash算法后,给验证方返回一个值;验证方把自己经过Hash 算法生成的值和被验证方返回的值进行比较。如果两者匹配,那么验证通过,否则验证不通过,连接被终止。
实验目的
掌握配置PPP PAP认证的方法
掌握配置PPP CHAP认证的方法
理解 PPP PAP认证与CHAP认证的区别
实验内容
本实验模拟企业网络环境。R1为分支机构接入端网关设备,PC-1为企业分支机构终端。R2为企业总部接入终端网关设备,PC-2为企业总部终端,R3为企业总部核心路由器。出于安全角度考虑,网络管理员在分支机构访问总部时部署PPP认证,R1是被认证方路由器,R3是认证方路由器,只有认证通过才能建立PPP连接进行正常访问。
实验拓扑
实验编址
|------------|----------------|---------------|---------------|---------------|
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| R1(AR2220) | GE 0/0/0 | 192.168.1.254 | 255.255.255.0 | N/A |
| R1(AR2220) | Serial 4/0/0 | 192.168.13.1 | 255.255.255.0 | N/A |
| R2 | GE 0/0/0 | 192.168.23.2 | 255.255.255.0 | N/A |
| R2 | GE 0/0/1 | 192.168.2.254 | 255.255.255.0 | N/A |
| R3 | GE 0/0/0 | 192.168.23.3 | 255.255.255.0 | N/A |
| R3 | Serial 4/0/0 | 192.168.13.3 | 255.255.255.0 | N/A |
| PC1 | Ethernet 0/0/1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| PC2 | Ethernet 0/0/1 | 192.168.2.1 | 255.255.255.0 | 192.168.2.254 |
实验步骤
1、基本配置
根据实验编址进行相应的基本配置,并使用ping命令检测各直连链路之间的连通性。
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int s4/0/0
[R1-Serial4/0/0]ip add 192.168.13.1 24
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.23.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.23.3 24
[R3-GigabitEthernet0/0/0]int s4/0/0
[R3-Serial4/0/0]ip add 192.168.13.3 24
测试通过,其余直连网段的测试省略。
2、搭建OSPF网络
在每台路由器上配置OSPF协议,并通告相应的网段至区域0;
[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.0.255
[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
配置完成后测试总部与分支终端间的连通性。
可以观察到,通信正常。
3、配置PPP的PAP认证
//设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei
[R3]int s4/0/0
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei
//进入AAA视图
[R3]aaa
//创建认证方案huawei_1,并进入认证方案视图
[R3-aaa]authentication-scheme huawei_1
Info: Create a new authentication scheme.
//配置认证模式为本地认证
[R3-aaa-authen-huawei_1]authentication-mode local
[R3-aaa-authen-huawei_1]q
//创建域huaweiyu,并进入域视图
[R3-aaa]domain huaweiyu
Info: Success to create a new domain.
//配置域的认证方案为huawei_1
[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1
[R3-aaa-domain-huaweiyu]q
//配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei
[R3-aaa]local-user R1@huaweiyu password cipher Huawei
Info: Add a new user.
[R3-aaa]local-user R1@huaweiyu service-type ppp
//关闭R1与R3相连接口一段时间后再打开,使R1与R3间的链路重新协商
[R3]int s4/0/0
[R3-Serial4/0/0]shutdown
[R3-Serial4/0/0]undo shutdown
//配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei
现在为了提升分支机构与总部通信时的安全性,在分支网关设备R1与公司核心设备R3上部署PPP的PAP认证。R3作为认证路由器,R1作为被认证路由器。
由于在华为路由器上,广域网串行接口默认链路层协议即为PPP,因此可以直接配置PPP认证。在总部设备R3上使用ppp authentication-mode命令设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei。
//设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei
[R3]int s4/0/0
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei
接下来配置认证路由器R3的本地认证信息。
执行aaa命令,进入AAA视图。
使用authentication-scheme命令创建认证方案huawei_1,并进入认证方案视图。
使用authentication-mode命令配置认证模式为本地认证。
使用domain命令创建域huaweiyu,并进入域视图。
使用authentication-scheme命令配置域的认证方案为huawei_1,注意必须和创建的认证方案一致。
退回到AAA视图,使用local-user命令配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei。
配置完成后,关闭R1与R3相连接口一段时间后再打开,使R1与R3间的链路重新协商,并检查链路状态和连通性。
可以观察到,现在R1与R3间无法正常通信,链路物理状态正常,但是链路层协议状态不正常。这是因为此时PPP链路上的PAP认证未通过,现在仅仅配置了被认证方设备R3,还需要在认证方R1上配置相关PAP认证参数。
在R1上的S 4/0/0接口下,使用ppp pap local-user命令配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码。
//配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei
配置完成后,再次查看链路状态并测试连通性。
可以观察到,现在R1与R3间的链路层协议状态正常,并且可以正常通信。
测试PC-1与PC-2的连通性。
总部与分支间的终端通信正常。
4、配置PPP的CHAP认证
公司网络管理员在日常网络维护中发现,分部公司频繁遭受攻击,PPP认证密码经常被盗用,遂对网络状况进行分析。抓取R1的S 4/0/0数据包进行分析会观察到,在数据包中很容易找到所配置的用户名和密码。"Peer-ID"显示内容为用户名,"Password"显示内容为密码。且很容易找到用户名为R1@huaweiyu,密码为Huawei。由此验证了使用PAP认证时,口令将以明文方式在链路上传送,并且由于完成PPP链路建立后,被认证方会不停地在链路上反复发送用户名和口令,直到身份认证过程结束,所以不能防止攻击。而使用CHAP认证时,口令用 MD5算法加密后在链路上发送,能有效地防止攻击。为了进一步提高链路安全性,网络管理员需要重新部署PPP的CHAP认证。
首先删除原有的PAP认证配置,域名保持不变。删除后,在认证设备R3的S 4/0/0接口下配置PPP的认证方式为CHAP.
配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei。
其余认证方案和域的配置保持不变。
//先删除原有的PAP认证
[R3]int s4/0/0
[R3-Serial4/0/0]undo ppp authentication-mode
[R1]int s4/0/0
[R1-Serial4/0/0]undo ppp pap local-user
//配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei
[R3]aaa
[R3-aaa]local-user R1 password cipher huawei
Info: Add a new user.
[R3-aaa]local-user R1 service-type ppp
配置完成后,关闭R1与R3相连接口一段时间后再打开,使链路重新协商。查看链路状态,并测试连通性
可以观察到,目前Rl与R3间的链路层协议状态不正常,无法正常通信。这是由于此时被认证方R1上还没有配置用户名和密码。
在R1的S 4/0/0接口下配置CHAP认证的用户名和密码。
//配置CHAP认证的用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp chap user R1
[R1-Serial4/0/0]ppp chap password cipher huawei
配置完成,测试R1与R3的连通性。
在R1的S 4/0/0接口下再次抓取数据包查看,
可以观察到,现在数据包内容已经为加密方式发送,无法被攻击者截获认证密码,安全性得到了提升。
