eNSP学习——PPP的认证

目录

主要命令

原理概述

实验目的

实验内容

实验拓扑

实验编址

实验步骤

1、基本配置

2、搭建OSPF网络

3、配置PPP的PAP认证

4、配置PPP的CHAP认证


主要命令

//设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei
[R3]int s4/0/0	
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei//进入AAA视图
[R3]aaa//创建认证方案huawei_1,并进入认证方案视图
[R3-aaa]authentication-scheme huawei_1
Info: Create a new authentication scheme.//配置认证模式为本地认证
[R3-aaa-authen-huawei_1]authentication-mode local 
[R3-aaa-authen-huawei_1]q//创建域huaweiyu,并进入域视图
[R3-aaa]domain huaweiyu
Info: Success to create a new domain.//配置域的认证方案为huawei_1
[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1
[R3-aaa-domain-huaweiyu]q//配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei	
[R3-aaa]local-user R1@huaweiyu password cipher Huawei
Info: Add a new user.
[R3-aaa]local-user R1@huaweiyu service-type ppp//配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei/ * * * * * * * * * * 配置CHAP * * * * * * * * * * * ///配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei
[R3]aaa
[R3-aaa]local-user R1 password cipher huawei
Info: Add a new user.
[R3-aaa]local-user R1 service-type ppp//配置CHAP认证的用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp chap user R1
[R1-Serial4/0/0]ppp chap password cipher huawei

原理概述

        在网络日益发展的今天,人们对网络安全性的要求越来越高,而PPP协议之所以能成为广域网中应用较为广泛的协议,原因之一就是它能提供验证协议CHAP (Challenge-Handshake Authentication Protocol,挑战式握手验证协议)、PAP (Password AuthenticationProtocol,密码验证协议),更好地保证了网络安全性

        PAP两次握手验证,口令为明文验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后,用户名和密码将由被验证方重复地在链路上发送给验证方,直到验证通过或者中止连接。PAP不是一种安全的验证协议,因为口令是以明文方式在链路上发送的,并且用户名和口令还会被验证方不停地在链路上反复发送,导致很容易被截获。

        CHAP三次握手验证协议只在网络上传输用户名,而并不传输用户密码,因此安全性要比PAP高。CHAP协议是在链路建立开始就完成的,在链路建立完成后的任何时间都可以进行再次验证。当链路建立阶段完成后,验证方发送一个“challenge”报文给被验证方;被验证方经过一次 Hash算法后,给验证方返回一个值;验证方把自己经过Hash 算法生成的值和被验证方返回的值进行比较。如果两者匹配,那么验证通过,否则验证不通过,连接被终止。

实验目的

掌握配置PPP PAP认证的方法

掌握配置PPP CHAP认证的方法

理解 PPP PAP认证与CHAP认证的区别

实验内容

        本实验模拟企业网络环境。R1为分支机构接入端网关设备,PC-1为企业分支机构终端。R2为企业总部接入终端网关设备,PC-2为企业总部终端,R3为企业总部核心路由器。出于安全角度考虑,网络管理员在分支机构访问总部时部署PPP认证,R1是被认证方路由器,R3是认证方路由器,只有认证通过才能建立PPP连接进行正常访问。

实验拓扑

实验编址

设备

接口

IP地址

子网掩码

默认网关

R1(AR2220)

GE 0/0/0

192.168.1.254

255.255.255.0

N/A

Serial 4/0/0

192.168.13.1

255.255.255.0

N/A

R2

GE 0/0/0

192.168.23.2

255.255.255.0

N/A

GE 0/0/1

192.168.2.254

255.255.255.0

N/A

R3

GE 0/0/0

192.168.23.3

255.255.255.0

N/A

Serial 4/0/0

192.168.13.3

255.255.255.0

N/A

PC1

Ethernet 0/0/1

192.168.1.1

255.255.255.0

192.168.1.254

PC2

Ethernet 0/0/1

192.168.2.1

255.255.255.0

192.168.2.254

实验步骤

1、基本配置

        根据实验编址进行相应的基本配置,并使用ping命令检测各直连链路之间的连通性。

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int s4/0/0
[R1-Serial4/0/0]ip add 192.168.13.1 24[R2]int g0/0/0 
[R2-GigabitEthernet0/0/0]ip add 192.168.23.2 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 192.168.2.254 24[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 192.168.23.3 24
[R3-GigabitEthernet0/0/0]int s4/0/0
[R3-Serial4/0/0]ip add 192.168.13.3 24

测试通过,其余直连网段的测试省略。

2、搭建OSPF网络

        在每台路由器上配置OSPF协议,并通告相应的网段至区域0;

[R1]ospf 1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.0.255[R2]ospf 1
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 192.168.13.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255

        配置完成后测试总部与分支终端间的连通性。

可以观察到,通信正常。

3、配置PPP的PAP认证

//设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei
[R3]int s4/0/0	
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei//进入AAA视图
[R3]aaa
//创建认证方案huawei_1,并进入认证方案视图
[R3-aaa]authentication-scheme huawei_1
Info: Create a new authentication scheme.//配置认证模式为本地认证
[R3-aaa-authen-huawei_1]authentication-mode local 
[R3-aaa-authen-huawei_1]q
//创建域huaweiyu,并进入域视图
[R3-aaa]domain huaweiyu
Info: Success to create a new domain.//配置域的认证方案为huawei_1
[R3-aaa-domain-huaweiyu]authentication-scheme huawei_1
[R3-aaa-domain-huaweiyu]q//配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei	
[R3-aaa]local-user R1@huaweiyu password cipher Huawei
Info: Add a new user.
[R3-aaa]local-user R1@huaweiyu service-type ppp//关闭R1与R3相连接口一段时间后再打开,使R1与R3间的链路重新协商
[R3]int s4/0/0
[R3-Serial4/0/0]shutdown
[R3-Serial4/0/0]undo shutdown//配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei

        现在为了提升分支机构与总部通信时的安全性,在分支网关设备R1与公司核心设备R3上部署PPP的PAP认证。R3作为认证路由器,R1作为被认证路由器。

        由于在华为路由器上,广域网串行接口默认链路层协议即为PPP,因此可以直接配置PPP认证。在总部设备R3上使用ppp authentication-mode命令设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei。

//设置本端的PPP协议对对端设备的认证方式为 PAP,认证采用的域名为huawei
[R3]int s4/0/0	
[R3-Serial4/0/0]ppp authentication-mode pap domain huawei

        接下来配置认证路由器R3的本地认证信息。

        执行aaa命令,进入AAA视图。

使用authentication-scheme命令创建认证方案huawei_1,并进入认证方案视图。

使用authentication-mode命令配置认证模式为本地认证。

使用domain命令创建域huaweiyu,并进入域视图。

使用authentication-scheme命令配置域的认证方案为huawei_1,注意必须和创建的认证方案一致。

退回到AAA视图,使用local-user命令配置存储在本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei。

配置完成后,关闭R1与R3相连接口一段时间后再打开,使R1与R3间的链路重新协商,并检查链路状态和连通性。

        可以观察到,现在R1与R3间无法正常通信,链路物理状态正常,但是链路层协议状态不正常。这是因为此时PPP链路上的PAP认证未通过,现在仅仅配置了被认证方设备R3,还需要在认证方R1上配置相关PAP认证参数

        在R1上的S 4/0/0接口下,使用ppp pap local-user命令配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码。

//配置本端被对端以PAP方式验证时本地发送的 PAP用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher Huawei

        配置完成后,再次查看链路状态并测试连通性。

可以观察到,现在R1与R3间的链路层协议状态正常,并且可以正常通信。

测试PC-1与PC-2的连通性。

总部与分支间的终端通信正常。

4、配置PPP的CHAP认证

        公司网络管理员在日常网络维护中发现,分部公司频繁遭受攻击,PPP认证密码经常被盗用,遂对网络状况进行分析。抓取R1的S 4/0/0数据包进行分析会观察到,在数据包中很容易找到所配置的用户名和密码。"Peer-ID”显示内容为用户名,“Password”显示内容为密码。且很容易找到用户名为R1@huaweiyu,密码为Huawei。由此验证了使用PAP认证时,口令将以明文方式在链路上传送,并且由于完成PPP链路建立后,被认证方会不停地在链路上反复发送用户名和口令,直到身份认证过程结束,所以不能防止攻击。而使用CHAP认证时,口令用 MD5算法加密后在链路上发送,能有效地防止攻击。为了进一步提高链路安全性,网络管理员需要重新部署PPP的CHAP认证。

        首先删除原有的PAP认证配置,域名保持不变。

        删除后,在认证设备R3的S 4/0/0接口下配置PPP的认证方式为CHAP.

        配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei。

        其余认证方案和域的配置保持不变。

//先删除原有的PAP认证
[R3]int s4/0/0
[R3-Serial4/0/0]undo ppp authentication-mode [R1]int s4/0/0
[R1-Serial4/0/0]undo ppp pap local-user //配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei
[R3]aaa
[R3-aaa]local-user R1 password cipher huawei
Info: Add a new user.
[R3-aaa]local-user R1 service-type ppp

        配置完成后,关闭R1与R3相连接口一段时间后再打开,使链路重新协商。查看链路状态,并测试连通性

        可以观察到,目前Rl与R3间的链路层协议状态不正常,无法正常通信。这是由于此时被认证方R1上还没有配置用户名和密码。

        在R1的S 4/0/0接口下配置CHAP认证的用户名和密码。

//配置CHAP认证的用户名和密码
[R1]int s4/0/0
[R1-Serial4/0/0]ppp chap user R1
[R1-Serial4/0/0]ppp chap password cipher huawei

        配置完成,测试R1与R3的连通性。

        在R1的S 4/0/0接口下再次抓取数据包查看,

        可以观察到,现在数据包内容已经为加密方式发送,无法被攻击者截获认证密码,安全性得到了提升。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/26828.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Android 14 系统启动流程 之 启动init进程、启动Zygote进程

Android 14 系统启动流程 之 启动init进程、启动Zygote进程 废话不多说,先上图,不清楚的可以在评论区留言。

【论文阅读】-- 时态合并树状图:时态标量数据的基于拓扑的静态可视化

时态合并树状图:时态标量数据的基于拓扑的静态可视化 摘要1 引言2 相关工作及背景介绍2.1 增广合并树2.2 (增强)合并树的可视化与跟踪2.3 特征跟踪2.4 数据线性化 3 时间合并树状图3.1 映射单个时间步长: R d → R R^d \rightarrow R Rd→R3.2 映射所有时…

python:faces swap

# encoding: utf-8 # 版权所有 2024 涂聚文有限公司 # 许可信息查看:pip install boost # 描述:pip install boost # pip install dlib # pip install cmake3.25.2 # pip install dlib19.24.2 如果安装不上,按此法 # Author : geovindu,G…

实用软件下载:MathType最新安装包及详细安装教程

MathType是强大的数学公式编辑器,与常见的文字处理软件和演示程序配合使用,能够在各种文档中加入复杂的数学公式和符号,可用在编辑数学试卷、书籍、报刊、论文、幻灯演示等方面,是编辑数学资料的得力工具。MathType与常见文字处理…

【乐吾乐2D可视化组态编辑器】条件变化,触发告警动画

条件触发告警动画 乐吾乐2D可视化组态编辑器地址:https://2d.le5le.com/ 如图所示,左侧文本图元数值一直在变化,当数值大于等于50的时候,右侧矩形图元执行告警动画,当数值小于50的时候,右侧图元恢复正常。…

Java--数组小结

1.其长度是确定的。数组一旦被创建,它的大小就是不可以改变的。 2.其元素必须是相同类型,不允许出现混合类型 3.数组中的元素可以是任何数据类型,包括基本类型和引用类型 4.数组变量属于引用类型,数组也可以看成是对象&#xf…

Aspose将doc,ppt转成pdf

1.需要引入的jar包 链接: https://pan.baidu.com/s/1t3wqq7KrHi50K9KX3-Eb9A?pwd=u4se 提取码: u4se <dependency><groupId>com.aspose</groupId><artifactId>aspose-words-jdk16</artifactId><version>15.8.0</version><sco…

【Spring EL<二>✈️✈️ 】SL 表达式结合 AOP 注解实现鉴权

目录 &#x1f37b;前言 &#x1f378;一、鉴权&#xff08;Authorization&#xff09; &#x1f37a;二、功能实现 2.1 环境准备 2.2 代码实现 2.3 测试接口 &#x1f379;三、测试功能 3.1 传递 admin 请求 ​ 3.2 传递普通 user 请求 &#x1f37b;四、章末 &a…

Arduino 项目:太阳能跟踪器

在本文中&#xff0c;您将逐步学习如何使用 光敏电阻和舵机制作双轴太阳能跟踪器 Arduino 项目。在这个项目中&#xff0c;我们将使用一些光敏传感器来跟踪阳光&#xff0c;并将利用舵机将太阳能电池板引导到可提高其效率的区域。 此项目所需的组件 序号部件名称描述数量备注…

Excel根据身份证号提取信息

概览 本篇文章主要对根据身份证号码提取出生年月日、年龄、性别、退休年龄这三项进行讲解。 一. 提取出生年月日 公式&#xff1a;TEXT(MID(B2,7,8),“0000-00-00”) MID(B2,7,8)&#xff1a;表示从单元格 B2 中的字符串&#xff08;这里是身份证号&#xff09;&#xff0c…

《web应用技术》第十一次作业

1、验证过滤器进行权限验证的原理。 代码展示&#xff1a; Slf4j WebFilter(urlPatterns "/*") public class LoginCheckFilter implements Filter { Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) thro…

未来工作场所:数字化转型的无限可能

探索技术如何重塑我们的工作环境与协作方式 引言 在21世纪的第三个十年&#xff0c;数字化转型已不再仅仅是科技公司的专利&#xff0c;它如同一股不可阻挡的潮流&#xff0c;深刻地渗透到了每一个行业的血脉之中。从灵活的远程办公模式到工作流程的智能化重构&#xff0c;技术…

Java高级技术探索:深入理解JVM内存分区与GC机制

文章目录 引言JVM内存分区概览垃圾回收机制&#xff08;GC&#xff09;GC算法基础常见垃圾回收器ParNew /Serial old 收集器运行示意图 优化实践结语 引言 Java作为一门广泛应用于企业级开发的编程语言&#xff0c;其背后的Java虚拟机&#xff08;JVM&#xff09;扮演着至关重…

html的网页制作代码分享

<!-- prj_8_2.html --> <!DOCTYPE html> <html lang "EN"><head><meta charset"utf-8" /><title>页面布局设计</title><style type "text/css">*{padding: 0px;margin:0px;}#header{back…

Web端在线/离线Stomp服务测试与WebSocket服务测试

Stomp服务测试 支持连接、发送、订阅、接收&#xff0c;可设置请求头、自动重连 低配置云服务器&#xff0c;首次加载速度较慢&#xff0c;请耐心等候 预览页面&#xff1a;http://www.daelui.com/#/tigerlair/saas/preview/lxbho9lkzvgc 演练页面&#xff1a;http://www.da…

11_从注意力机制到序列处理的革命:Transformer原理详解

1.1 简介 Transformer是一种深度学习模型&#xff0c;主要用于处理序列数据&#xff0c;尤其是自然语言处理任务&#xff0c;如机器翻译、文本摘要等。该模型由Vaswani等人在2017年的论文《Attention is All You Need》中首次提出&#xff0c;它的出现极大地推动了自然语言处理…

【推荐算法的评估与调试】离线评估+在线A/B Test

文章目录 1、离线评估1.1、评估排序算法1.1.1、AUC和GAUC1.1.2、NDCG 1.2、评估召回算法1.2.1、Precision&Recall1.2.2、MAP1.2.3、Hit Rate1.2.4、持续评估 2、在线评估2.1、线上&#xff1a;流量划分2.1.1、根据User ID划分流量2.1.2、分层重叠划分流量2.1.3、A/A实验的重…

没那么简单!浅析伦敦金与美元的关系

伦敦金价与美元的关系可以被比喻为跷跷板的两端&#xff0c;它们的价格走势往往呈现出此消彼长的关系&#xff1a;当美元表现强势的时候&#xff0c;伦敦金的价格可能承受到压力&#xff1b;相反&#xff0c;当美元疲软时&#xff0c;黄金往往会成为避险资产&#xff0c;令伦敦…

YOLOv10涨点改进|引入BoTNet结构与CA注意力机制,打造高效轻量级检测器

📚 专栏地址:《YOLOv10算法改进实战》 👉 独家改进,对现有YOLOv10进行二次创新,提升检测精度,适合科研创新度十足,强烈推荐 🌟 统一使用 YOLOv10 代码框架,结合不同模块来构建不同的YOLO目标检测模型。 💥 本博客包含大量的改进方式,降低改进难度,改进点包含【B…

数据结构(一):绪论——数据结构基本概念真题

1&#xff1a;&#xff08;2017暨南大学&#xff09;计算机内部数据处理的基本单元是&#xff08;B&#xff09; A&#xff1a;数据 B&#xff1a;数据元素 C&#xff1a;数据项 D&#xff1a;数据库 解析&#xff1a;计算机内部数据处理的基本单元是数据…