前言
PPP协商包括几个步骤例 如链路控制协议(LCP)协商,认证和网络控制协议(NCP)协商。 如果双方不能对正确的参数达成协议,则连接被终止。 一旦链路建立,双方使用在LCP协商期间决定的认证协议互相 验证。 认证一定是成功的在开始NCP协商之前。PPP支持二个认证协议:密码 验证协议(PAP)和质询握手验证协议(CHAP)。
使 用的组件
本文的信息根 据以下的软件及硬件版本。
-
Cisco IOS® 软件版本11.2 以上
背景理论
PAP验证介入用户名和口 令在明文横跨链路其中被发送的一只双向握手; 因此,PAP验 证不提供任何防护放音和线路探测。
CHAP认证另一方面,使用三方握手周期验证远程节点 的身份。在PPP链接建立之后,主机寄发一个"挑战"消息到远 程节点。 远程节点回应带有使用一个单向散列函数计算的值 。主机检查回应其期望的Hash值的自己的计算。如果 值配比,认证被承认; 否则,连接被终止。
配置
在此部分,您介绍用信 息配置在本文描述的功能。
注意: 找到其它信息关于用于本文的命令,使用IOS命 令查找工具
配置单向CHAP验证
当二 个设备正常使用CHAP认证时,每边派出另一边由挑战者回应和验证 的挑战。 其中每一支持独立地互相验证。如果想要用 不由呼叫路由器或设备支持认证的非Cisco路由器经营,您必须使用 ppp authentication chap callin命令。当使 用 ppp authentication命令带有 呼入关键字时,接入服务器只将 验证远端设备如果远端设备发起呼叫(例如,如果远端设备"调用在 ")。在这种情况下,认证在仅流入的(收到的)呼叫指定。
配置用户名 与路由器名字不同
当 遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不同的管 理控制,网络服务提供商(ISP)时,或者轮循中央路由器,配置是与 主机名不同的认证用户名是必要的。在此情况,没有提供路 由器的主机名也不是不同的在不同的时刻(轮循)。并且,ISP 分配的用户名和口令可能不是远程路由器的主机名。在这样 情况, 用于 ppp chap hostname命令指定为认证将使用的备选用户名。
例如,考虑多个远程设备其中拨号到 一个中心站点的一个情况。使用正常CHAP 认证,是主机名) 在中央路由器必须配置的用户名(每个远端设备和分享秘密。在此方案,中央路由器的配置能获得较和笨重管理; 然而, 如果远端设备使用是与他们的主机名不同这的用户名可以避免。 中心站点可以用能使用验证广泛拨入客户端的单个用户名和 分享秘密配置。
来自:http://www.qqread.com/network/tech/c362376.html 
更多内容请看Cisco认证体系专题、Linux命令简介、PPP协议专题,或进入讨论组讨论。
相关专题
- Cisco认证体系专题 (3153篇文章)
- Linux命令简介 (9952篇文章)
- PPP协议 (156篇文章)
- 关于RHCE考试的30个主要方向 (0次浏览)
