广域网技术
图4-11
①Challenge:主验证方主动发起验证请求,主验证方向被验证方发送一个随机产生的数值,同时将本端的用户名一起发送给被验证方。
②Response:被验证方收到主验证方的验证请求后,检查本地密码。若本地接口上配置了默认的CHAP密码,则被验证方选用此密码;如果没有配置默认的CHAP密码,则被验证方据此报文中主验证方的用户名在本端的用户表中查找该用户对应的密码,并选用找到的密码。随后,被验证方利用MD5算法对报文ID、密码和随机数形成一个摘要,并将此摘要和自己的用户名发送回主验证方。
③Acknowledge or Not Acknowledge:主验证方用MD5算法对报文ID 、本地保存的被验证方密码和原随机数生成一个摘要,并与收到的摘要值进行比较。若相同,则向被验证方发送Acknowledge消息声明通过验证;否则,验证不通过,向被验证方发送Not Acknowledge。
CHAP单向验证是指一端作为主验证方,另一端作为被验证方。双向验证是单向验证的简单叠加,即每一端都是既作为主验证方又作为被验证方。
(3)PAP与CHAP比较
PAP通过两次握手完成验证,而CHAP需要通过三次握手完成。
PAP验证由被验证方首先发起验证请求,而CHAP验证则由主验证方率先发起验证请求。
PAP密码以明文方式在链路上发送,并且当PPP链路建立后,被验证方会在链路上反复发送用户名与密码,直至验证过程结束,故不能防攻击;而CHAP只在网络上传输用户名,并不传输密码,因此安全性比PAP高。
PAP与CHAP均支持双向验证,但由于CHAP安全性优于PAP,故CHAP应用更加广泛。
3 配置PPP
(1)PPP基本配置
首先在路由器接口上封装PPP协议(默认情况下,路由器串口链路层协议为PPP)。需注意的是,通信双方的接口都要使用PPP,否则无法进行通信。
其次,设置验证类型,即选择PAP验证还是CHAP验证。
最后设置用户名、密码、服务类型等。
(2)配置PPP PAP验证
PAP验证双方分为主验证方和被验证方,所以需要在主验证方路由器与被验证方路由器上分别配置。
在主验证方路由器中,首先设置本地验证对端方式为PAP(端口视图下);其次,将对端用户名和密码加入本地用户列表并设置用户服务类型。
在被验证方路由器中,配置PPP PAP的用户名及密码(端口视图下)。
(3)配置PPP CHAP验证
CHAP验证同样分主验证方和被验证方,主验证方首先发起验证。