一张图测试你是用左脑还是右脑
2008-09-11 15:42
330 查看
[align=left] CHAP认证过程[/align]
[align=left] [/align]
[align=left] [/align]
[align=left]同PAP一样,CHAP认证可以在一方进行,即由一方认证另一方身份,也可以进行双向身份认证。这时,要求被认证的双方都要通过对方的认证程序,否则,无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。[/align]
[align=left] 当双方都封装了PPP协议且要求进行CHAP身份认证,同时它们之间的链路在物理层已激活后,认证服务器会不停地发送身份认证要求直到身份认证成功。和PAP不同的是,这时认证服务器发送的是"挑战"字符串。[/align]
![](http://img1.51cto.com/attachment/200909/200909021251897916406.jpg)
[align=left] [/align]
[align=left] [/align]
[align=left]当认证客户端(被认证一端)路由器RouterB发送了对"挑战"字符串的回应数据包后,认证服务器会按照摘要算法(MD5)验证对方的身份。如果正确,则身份认证成功,通信双方的链路最终成功建立。[/align]
[align=left] 如果被认证一端路由器RouterB发送了错误的"挑战"回应数据包,认证服务器将继续不断地发送身份认证要求直到收到正确的回应数据包为止。[/align]
[align=left] [/align]
[align=left] [/align]
[align=left] [/align]
[align=left] CHAP认证服务器的配置[/align]
[align=left] [/align]
[align=left] [/align]
[align=left]CHAP认证服务器的配置分为两个步骤:建立本地口令数据库、要求进行CHAP认证。[/align]
[align=left] 建立本地口令数据库[/align]
[align=left] 通过全局模式下的命令username username password password来为本地口令数据库添加记录。这里请注意,此处的username应该是对端路由器的名称,即routerb.如下所示:[/align]
[align=left] RouterA(config)#username routerb password samepass[/align]
[align=left] 要求进行CHAP认证[/align]
[align=left] 这需要在相应接口配置模式下使用命令ppp authentication chap来完成。如下所示:[/align]
[align=left] RouterA(config)#interface serial 0/0[/align]
[align=left] RouterA(config-if)#ppp authentication chap[/align]
[align=left] 3.2.3 CHAP认证客户端的配置[/align]
[align=left] CHAP认证客户端的配置只需要一个步骤(命令),即建立本地口令数据库。请注意,此处的username应该是对端路由器的名称,即routera,而口令应该和CHAP认证服务器口令数据库中的口令相同。[/align]
[align=left] RouterB(config-if)#username routera password samepass[/align]
[align=left] 3.2.4 CHAP的诊断[/align]
[align=left] 对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。如图5所示,它表明认证客户端发送的"挑战"回应数据包没有通过认证服务器的认证。[/align]
[align=left] [/align]
![](http://img1.51cto.com/attachment/200909/200909021251898059078.jpg)
[align=left] [/align]
[align=left]表明经过若干次认证要求后,认证服务器最终收到了认证客户端发送过来的正确的"挑战"回应数据包。此时,双方的链路将成功建立。[/align]
[align=left] [/align]
[align=left] [/align]
![](http://img1.51cto.com/attachment/200909/200909021251898168328.jpg)
[align=left]1、CHAP认证过程中,口令是大小写敏感的。[/align]
[align=left] 2、身份认证也可以双向进行,即互相认证。配置方法同单向认证类似,只不过需要将通信双方同时配置成为认证服务器和认证客户端。[/align]
[align=left] 3、口令数据库也可以存储在路由器以外的AAA或TACACS+服务器上。限于篇幅,此处不再赘述。[/align]
[align=left] 通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败,再采用CHAP身份认证方法。[/align]
[align=left] RouterA(config-if)#ppp authentication pap chap[/align]
[align=left] 如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。[/align]
[align=left] RouterA(config-if)#ppp authentication chap pap[/align]
[align=left] [/align]
[align=left] [/align]本文出自 “卖血上网的博客” 博客,谢绝转载!
[align=left] [/align]
[align=left] [/align]
[align=left]同PAP一样,CHAP认证可以在一方进行,即由一方认证另一方身份,也可以进行双向身份认证。这时,要求被认证的双方都要通过对方的认证程序,否则,无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。[/align]
[align=left] 当双方都封装了PPP协议且要求进行CHAP身份认证,同时它们之间的链路在物理层已激活后,认证服务器会不停地发送身份认证要求直到身份认证成功。和PAP不同的是,这时认证服务器发送的是"挑战"字符串。[/align]
![](http://img1.51cto.com/attachment/200909/200909021251897916406.jpg)
[align=left] [/align]
[align=left] [/align]
[align=left]当认证客户端(被认证一端)路由器RouterB发送了对"挑战"字符串的回应数据包后,认证服务器会按照摘要算法(MD5)验证对方的身份。如果正确,则身份认证成功,通信双方的链路最终成功建立。[/align]
[align=left] 如果被认证一端路由器RouterB发送了错误的"挑战"回应数据包,认证服务器将继续不断地发送身份认证要求直到收到正确的回应数据包为止。[/align]
[align=left] [/align]
[align=left] [/align]
[align=left] [/align]
[align=left] CHAP认证服务器的配置[/align]
[align=left] [/align]
[align=left] [/align]
[align=left]CHAP认证服务器的配置分为两个步骤:建立本地口令数据库、要求进行CHAP认证。[/align]
[align=left] 建立本地口令数据库[/align]
[align=left] 通过全局模式下的命令username username password password来为本地口令数据库添加记录。这里请注意,此处的username应该是对端路由器的名称,即routerb.如下所示:[/align]
[align=left] RouterA(config)#username routerb password samepass[/align]
[align=left] 要求进行CHAP认证[/align]
[align=left] 这需要在相应接口配置模式下使用命令ppp authentication chap来完成。如下所示:[/align]
[align=left] RouterA(config)#interface serial 0/0[/align]
[align=left] RouterA(config-if)#ppp authentication chap[/align]
[align=left] 3.2.3 CHAP认证客户端的配置[/align]
[align=left] CHAP认证客户端的配置只需要一个步骤(命令),即建立本地口令数据库。请注意,此处的username应该是对端路由器的名称,即routera,而口令应该和CHAP认证服务器口令数据库中的口令相同。[/align]
[align=left] RouterB(config-if)#username routera password samepass[/align]
[align=left] 3.2.4 CHAP的诊断[/align]
[align=left] 对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。如图5所示,它表明认证客户端发送的"挑战"回应数据包没有通过认证服务器的认证。[/align]
[align=left] [/align]
![](http://img1.51cto.com/attachment/200909/200909021251898059078.jpg)
[align=left] [/align]
[align=left]表明经过若干次认证要求后,认证服务器最终收到了认证客户端发送过来的正确的"挑战"回应数据包。此时,双方的链路将成功建立。[/align]
[align=left] [/align]
[align=left] [/align]
![](http://img1.51cto.com/attachment/200909/200909021251898168328.jpg)
[align=left]1、CHAP认证过程中,口令是大小写敏感的。[/align]
[align=left] 2、身份认证也可以双向进行,即互相认证。配置方法同单向认证类似,只不过需要将通信双方同时配置成为认证服务器和认证客户端。[/align]
[align=left] 3、口令数据库也可以存储在路由器以外的AAA或TACACS+服务器上。限于篇幅,此处不再赘述。[/align]
[align=left] 通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败,再采用CHAP身份认证方法。[/align]
[align=left] RouterA(config-if)#ppp authentication pap chap[/align]
[align=left] 如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。[/align]
[align=left] RouterA(config-if)#ppp authentication chap pap[/align]
[align=left] [/align]
[align=left] [/align]本文出自 “卖血上网的博客” 博客,谢绝转载!
相关文章推荐
- 一张图测试你是用左脑还是右脑
- 神奇!一张图测试你是用左脑还是右脑! (含控制方法揭秘)
- 测试:一张图看出你用的是右脑还是左脑
- 神奇!一张图测试你是用左脑还是右脑! (含控制方法揭秘)
- 一张图分出你用左脑还是右脑
- 一张图分出你是用左脑还是右脑
- 左右手握拳测试------反映你是左脑使用者,还是右脑使用者
- 一张图分出你是用左脑还是右脑
- 左转还是右转?测试你用的是是左脑还是右脑
- 非常神奇的一张图分出你用左脑还是右脑
- 一张能分出你是左脑还是右脑的经典图片
- 测试一下你是左脑还是右脑使用者
- 一张图分出你是用左脑还是右脑!
- 相当神奇的哦!一张图分出你是用左脑还是右脑!
- 一张图分出你是用左脑还是右脑!
- 测试你使用左脑还是右脑(转载)
- 看图测试你习惯使用左脑,还是右脑?
- 一张图分出你是用左脑还是右脑!
- 一张有趣的图——看看你是左脑人还是右脑人!!
- 你正在用左脑还是右脑思考,请测试下就清楚了。