HCIA路由交换技术实战（微课版） 课件 项目12CHAP

项目12CHAPCHAP验证CHAP为三次握手协议，它只在网络上传用户名而不传口令，因此安全性比PAP高。其验证过程为：①首先验证方向被验证方发送一些随机的报文，并加上自己的主机名；②被验证方收到验证方的验证请求，通过收到的主机名和本端的用户数据库查找用户口令字（密钥），如果找到用户数据库中和验证方主机名相同的用户，便利用接收到的随机报文、此用户的密钥和报文ID用Md5加密算法生成应答，随后将应答和自己的主机名送回；③验证方收到此应答后，利用对端的用户名在本端的用户数据库中查找本方保留的口令字，用本方保留的用户的口令字（密钥）、随机报文和报文ID用Md5加密算法生成结果，与被验证方的应答比较，相同则返回Ack，否则返回Nak。其报文交互过程如图所示。CHAP验证Challenge主机名+随机报文认证方被认证方用户数据库用户数据库Response主机名+加密后的随机报文Success/Failure认证成功/失败CHAP认证的配置案例CHAP认证的配置（1）案例背景与要求：根据下图所示的网络拓扑要求，完成两台路由器的CHAP认证通信配置，认证的用户名为“jan16”，密码为“huawei”，采用加密方式密文方式。认证方

被认证方10.10.10.1/24R110.10.10.2/24R2PPP/CHAP认证串行链路S0/0/1S0/0/1CHAP认证的配置（2）案例配置思路①配置路由器R1和R2的接口IP；②在路由器R1上配置认证的账号和密码，并制定该账号和密码用于PPP的CHAP认证；③在路由器R2上启用PPP，并设置CHAP认证的账号和密码。CHAP认证的配置（3）案例配置过程①路由器R1的配置。//在路由器R1上配置CHAP认证的账号和密码[R1]aaa[R1-aaa]local-userjan16passwordcipherhuawei//在路由器R1指定该密码应用于PPP认证[R1-aaa]local-userjan16service-typeppp//配置路由器R1的S0/0/1接口的IP[R1]interfaceSerial0/0/1[R1-Serial0/0/1]ipaddress10.10.10.124//在S0/0/1接口启用ppp，并指定认证方式为CHAP[R1-Serial0/0/1]link-protocolppp[R1-Serial0/0/1]pppauthentication-modechapCHAP认证的配置（3）案例配置过程②路由器R2的配置。//在路由器R2上配置S0/0/1接口的IP[R2]interfaceSerial0/0/1[R2-Serial0/0/1]ipaddress10.10.10.224//在接口S0/0/1启用PPP，并指定CHAP认证的账号和密码[R2-Serial0/0/1]link-protocolppp[R2-Serial0/0/1]pppchapuserjan16[R2-Serial0/0/1]pppchappasswordcipherhuaweiCHAP认证的配置（4）案例验证使用命令【DebuggingPPPCHAPall】在路由器R2上查看CHAP认证的详细信息。<R2>debuggingpppchapallAug26201905:15:54.230.1+00:00RTBPPP/7/debug2:PPPStateChange:Serial0/0/1CHAP:Initial-->ListenChallengeAug20201905:15:54.230.7+00:00R2PPP/7/debug2:PPPStateChange:Serial0/0/1CHAP:ListenChallenge-->SendResponseAug20201905:15:54.250.3+00:0