这两种验证机制共同的特点就是简单 , 比较适合于在低速率链路中应用 。但简单的协议通常都有其他方面的不足 , 最突出的便是安全性较差 。一方面 , 口令验证协议的用户名/口令以明文传送 , 很轻易被窃取;另一方面 , 假如一次验证没有通过 , PAP并不能阻止对端不断地发送验证信息 , 因此轻易遭到强制攻击 。
挑战握手协议的优点在于密钥不在网络中传送 , 不会被窃听 。由于使用三次握手的方法 , 发起连接的一方假如没有收到“挑战信息”就不能进行验证 , 因此在某种程度上挑战握手协议不轻易被强制攻击 。但是 , CHAP中的密钥必须以明文形式存在 , 不答应被加密 , 安全性无法得到保障 。密钥的保管和分发也是CHAP的一个难点 , 在大型网络中通常需要专门的服务器来治理密钥 。
PPP的配置
PPP协议在很多领域中都有广泛的应用 , 典型的是远程Internet的连接 , 其中使用较多的是路由器与路由器互联(如图3所示) 。
图3 路由器与路由器的互联
两个路由器之间有两条链路 , 分别运行PPP协议 , 其中一条链路使用CHAP认证 , 另一条采用PAP认证 。
1.路由器PPP封装配置
在端口模式下:
A(config-if)# encapsulation ppp //在路由器A的S0、S1端口分别启动PPP协议 。
B(config-if)# encapsulation ppp //在路由器B的S0、S1端口分别启动PPP协议 。
2.配置PPP认证使用的用户名和密码
A(config)#username B passWord cisco //为路由器B设置一个用户名和口令 。
B(config)#username A password cisco //为路由器A设置一个用户名和口令 。
3. 配置PAP认证
在路由器A、B的S1端口上:
A(config-if)#ppp authentication pap
B(config-if)#ppp authentication pap
需要说明的是 , 在Cisco IOS 11.1或更高的版本中 , 假如路由器发送(或响应)PAP消息(或请求) , 则必须在指定接口上使用PAP协议 。
单向认证:比如A向B发出认证请求 , 那么只在A上配置即可 , B不用额外配置 。
A(config-if)#ppp pap sent-username B password cisco
双向认证:A和B双方要互相认证 , 那么A、B都要配置 。
A(config-if)#ppp pap sent-username B password cisco
B(config-if)#ppp pap sent-username A password cisco
4. 配置CHAP认证
在路由器A、B的S0端口上:
A(config-if)#ppp authentication chap
B(config-if)#ppp authentication chap
推荐阅读
- 小结 配置OSPF协议
- 1 配置和查看 OSPF协议
- 2 配置和查看 OSPF协议
- OSPF协议概述
- IPX 协议概述
- 监测和调试 OSPF协议
- 小结 配置RIP和IGRP协议
- 小结 配置EIGRP协议
- 1 EIGRP协议的基本配置
- 2 EIGRP协议的基本配置