PPP認證使用ppp chap hostname和 ppp authentication chap callin命令

前言

PPP協商包括幾個步驟例 如鏈路控制協議(LCP)協商，認證和網絡控制協議(NCP)協商。 若是雙方不能對正確的參數達成協議，則鏈接被終止。 一旦鏈路創建，雙方使用在LCP協商期間決定的認證協議互相 驗證。 認證必定是成功的在開始NCP協商以前。

PPP支持二個認證協議：密碼 驗證協議(PAP)和質詢握手驗證協議(CHAP)。

使 用的組件

本文的信息根 據如下的軟件及硬件版本。

• Cisco IOS® 軟件版本11.2 以上

背景理論

PAP驗證介入用戶名和口 令在明文橫跨鏈路其中被髮送的一隻雙向握手; 所以，PAP驗 證不提供任何防禦放音和線路探測。

CHAP認證另外一方面，使用三方握手週期驗證遠程節點 的身份。在PPP連接創建以後，主機寄發一個"挑戰"消息到遠 程節點。 遠程節點回應帶有使用一個單向散列函數計算的值 。主機檢查迴應其指望的Hash值的本身的計算。若是 值配比，認證被認可; 不然，鏈接被終止。

配置

在此部分，您介紹用信 息配置在本文描述的功能。

注意： 找到其它信息關於用於本文的命令，使用IOS命 令查找工具

配置單向CHAP驗證

當二 個設備正常使用CHAP認證時，每邊派出另外一邊由挑戰者回應和驗證 的挑戰。 其中每一支持獨立地互相驗證。若是想要用 不禁呼叫路由器或設備支持認證的非Cisco路由器經營，您必須使用 ppp authentication chap callin命令。當使 用 ppp authentication命令帶有 呼入關鍵字時，接入服務器只將 驗證遠端設備若是遠端設備發起呼叫(例如，若是遠端設備"調用在 ")。在這種狀況下，認證在僅流入的(收到的)呼叫指定。

配置用戶名 與路由器名字不一樣

當 遙控Cisco路由器接通到Cisco或一個非Cisco的中央路由器不一樣的管 理控制，網絡服務提供商(ISP)時，或者輪循中央路由器，配置是與 主機名不一樣的認證用戶名是必要的。在此狀況，沒有提供路 由器的主機名也不是不一樣的在不一樣的時刻(輪循)。而且，ISP 分配的用戶名和口令可能不是遠程路由器的主機名。在這樣 狀況， 用於 ppp chap hostname命令指定爲認證將使用的備選用戶名。

例如，考慮多個遠程設備其中撥號到 一箇中心站點的一個狀況。使用正常CHAP 認證，是主機名) 在中央路由器必須配置的用戶名(每一個遠端設備和分享祕密。在此方案，中央路由器的配置能得到較和笨重管理; 然而， 若是遠端設備使用是與他們的主機名不一樣這的用戶名能夠避免。 中心站點能夠用能使用驗證普遍撥入客戶端的單個用戶名和 分享祕密配置。

[page]

網絡圖

若是路由器1發起呼叫到路由器2，路由器2會挑戰路由器1，但路由 器1不會挑戰路由器2。由於 ppp authentication chap callin 命令 在路由器1，配置這發生。 這是一個單向驗證的示例。

在此設置， ppp chap hostname alias-r1命令在路由器1配置。路由器1 使用 "alias-r1"做爲其主機名爲CHAP認證而不是"r1" 。路由器2 撥號映射名字應該匹配路由器1 ppp chap hostname; 不然 ，二條B信道設立，一個爲每一個方向。

 

配置

路由器1

! isdn switch-type basic-5ess ! hostname r1 ! username r2 password 0 cisco ! -- hostname of other router and shared secret ! interface BRI0/0 ip address 20.1.1.1 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.2 name r2 broadcast 5772222 dialer-group 1 isdn switch-type basic-5ess ppp authentication chap callin ! -- authentication on incoming calls only ppp chap hostname alias-r1 ! -- alternate CHAP hostname ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 !

路由器 2

! isdn switch-type basic-5ess ! hostname r2 ! username alias-r1 password 0 cisco ! -- alternate CHAP hostname and shared secret ! -- The username must match the one in the ppp chap hostname command ! -- on the remote router ! interface BRI0/0 ip address 20.1.1.2 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer map ip 20.1.1.1 name alias-r1 broadcast 5771111 ! -- dialer map name matches alternate hostname "alias-r1" dialer-group 1 isdn switch-type basic-5ess ppp authentication chap ! access-list 101 permit ip any any dialer-list 1 protocol ip list 101 !

[page]

配置說明

在此圖象之下參見編號 爲解釋：

 

1. 在本例中，路由器1發起呼叫。由於路由器1用 ppp authentication chap callin命令 配置，不質詢主叫用戶名詳細資料，是路由器 2。
2. 當路由器2收到呼叫，它挑戰路由 器1 爲認證。默認狀況下爲此認證，路由器的主機名用於識 別本身。若是 配置ppp chap hostname name命令， 路由器在主機名位置使用名字識別本身。 在本例中，挑戰被 標記當來自"r2"。
3. 路由器1在其本地 數據庫接受路由器2 挑戰而且看起來爲用戶名"r2"。
4. 路由器1查找"r2"密碼，是"cisco" 。 路由器1使用此密碼和挑戰從路由器2 MD5 散列函數的輸 入參數。Hash值生成。
5. 路由 器1寄發Hash輸出值到路由器2。 這裏，由於 ppp chap hostname命令配置 做爲"alias-r1"，回覆被標記如來自"alias-r1"。
6. 路由器2在其本地數據庫收到回覆而且尋找 "alias-r1"用戶名爲密碼。
7. 路由器2 發現密碼爲"alias-r1"是"cisco"。 路由器2爲MD5散列函數 使用密碼和挑戰及早被派出到路由器1輸入參數。散列函數生 成一個Hash值。
8. 生成的路由器2比較 Hash值而且那個從路由器1接受。
9. 因 爲輸入參數(挑戰和密碼)是相同的，Hash值是一樣形成一個成功的 驗證。

驗證

當前沒有驗證程 序可用爲此配置。

排除故障

此部分提供您能使用排除您的配置故障的信息。

在嘗試其中任一以前debug命令，請 參閱 重要信息關於Debug 命令

示例調 試輸出

如下示例輸出 從 debug ppp authentication命令：

路由器1

r1# ping 20.1.1.2
  Type escape sequence to abort.
  Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds:
   *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   *Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222
   *Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout
   *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
  
! -- Received a CHAP challenge from other router (r2)

   *Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostname alias-r1
  
! -- Using alternate hostname configured with ppp chap hostname  command

   *Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
  
! -- Sending response from "alias-r1" which is the alternate hostname for r1

   *Mar 1 20:06:27.243: BR0/0:1 CHAP: I SUCCESS id 57 Len 4
  
! -- Received CHAP authentication is successful
   ! -- Note that r1 is not challenging r2

   .!!!!
  Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms
  r1#
   *Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
   changed state to up
  r1#
   *Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
    to 5772222 r2

路由器2

r2#
   20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
   20:05:20: BR0/0:1 PPP: Treating connection as a callin
   20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
 
! -- r2 is sending out a challenge

   20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
 
! -- Received a response from alias-r1, which is the alternate hostname on r1

   20:05:21: BR0/0:1 CHAP: O SUCCESS id 57 Len 4
 
! -- Sending out CHAP authentication is successful    20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,     changed state to up    20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-r1