网络互联技术第七章广域网基础电子教案(3)(7页).doc

-第 1 页网络互联技术第七章广域网基础电子教案(3)-第 2 页授课标题：PPPPPP 之之 CHAPCHAP 验证验证学时：理论理论 2 2 节节授课日期：2008-04-232008-04-23教学目的和要求掌握 CHAP 验证过程掌握 CHAP 相关配置命令掌握 CHAP 验证实例配置教学手法采用“案例驱动”教学方法：将围绕某一实践的所有理论知识综合讲解，并在理论基础上完成具体实践的操作。注重理论与实践操作相结合；充分调动学生的积极性，以实现教师与学生的良性互动，一方面提高教师的教学效果，另一方面则提高学生的学习兴趣。并在此基础上培养学生分析问题和解决问题的实际能力。采用多媒体教学手段+PPT 多媒体课件授 课 重点、难点重点：1、CHAP 验证过程2、PPP 之 CHAP 验证实验难点：1、PPP 之 CHAP 验证用户名及密码设置授 课 要 点与 授 课 设计（注明授课 时 间 安排）1、(掌握)CHAP 验证过程2、（理解）CHAP 验证的优点和缺点3、（掌握）CHAP 配置命令详解4、（领会）PPP 之 CHAP 验证实验教学设计教学设计：简介 PPP 之 PAP 验证的不足，从而引入 PPP 之 CHAP 的验证（CHAP的安全之处）；如何让学生理解 CHAP 的验证过程是要次教学的一个难点（因为学生没有学习过 MD5 算法，数字签名）；在了解 PPP 之 CHAP 的验证原理后，开始讲述 CHAP 的配置命令（需要双向配置）；最后通过实践操作演示让学生明白如何进行 PPP 之 CHAP 的配置。作业1、请简述 CHAP 验证过程2、PPP 之 CHAP 验证配置（实战）教学心得通过教学让学生明白 CHAP 验证的原理有些困难，但对于 CHAP 命令的配置没有太大的问题，通过实践例题的操作可以让学生掌握 CHAP 配置的要领（各路由器中设置的用户名必须是对端路由器的名称，两端路由器中相应用户的密码必须完全相同）。一、一、CHAPCHAP 验证过程验证过程CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三-第 3 页次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播。CHAP 验证过程如下：1、验证方主动发起验证请求，向被验证方发送一些随机产生的报文，并同时将本端配置的用户名附带上一起发送给被验证方2、被验证方接到验证方的验证请求后，根据此报文中的用户名在本端的用户表中查找用户口令。如找到用户表中与验证方用户名相同的用户，便利用报文 ID 和此用户的口令以 MD5算法生成应答，随后将应答和自己的用户名送回3、验证方接收到此应答后，利用报文 ID、自己保存的被验证方口令以及随机报文用 MD5算法得出结果，与被验证方应答比较。如果两者相同，则返回 Acknowledge 响应，表示验证通过，如果两者不相同，则返回 Not Acknowledge 相应，表示验证不通过CHAP 验证过程简述过程如下：验证方首先向被验证方发起 chap 验证（发送随机报文）被验证方拿发送过来的消息（随机报文）和本地的密码做 MD5 运算生成应答文件，并将这个应答消息和用户名发送给验证方验证方也拿自己的消息和密码用 MD5 计算一个散列值，再与发送过来的进行比较，如果相同就 OK说明：为完成 CHAP 验证，各路由器必须重新设置其名称各路由器中设置的用户名称应该为对端路由器的名称为保证验证通过，和路由器中用户的密码必须设置一致CHAP 验证的缺点是密码在路由器中只能明文设置；CHAP 对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的 CPU 资源，因此只用在对安全要求很高的场合。CHAP 身份认证的特点是只在网络上传输用户名，而并不传输用户口令，因此它的安全性要比 PAP 高。每次 CHAP 认证使用不同的询问消息，每个消息都是不可能预测的唯一值，这样就可以防范再生攻击。不断询问可以被限制在一次攻击中的时间内，本地路由器可以控制询问的频率和时间。二、二、CHAPCHAP 配置命令详解配置命令详解-第 4 页1、CHAP 认证服务器的配置（1）CHAP 认证服务器的配置分为两个步骤：建立本地口令数据库、要求进行 CHAP 认证。建立本地口令数据库：RouterA（config）#usernameusername routerbrouterb passwordpassword 1234512345提示：此处的 username 应该是对端路由器的名称，即 routerb（2）要求进行 CHAP 认证RouterA（config）#interfaceinterface serialserial 0/00/0RouterA（config-if）#pppppp authenticationauthentication chapchap2、CHAP 认证客户端的配置CHAP 认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。RouterB（config-if）#usernameusername routeraroutera passwordpassword 1234512345提示：此处的 uername 应该是对端路由器的名称，即 routera，而口令应该和CHAP 认证服务器口令数据库中的口令相同。通过以上操作，实现了 路由器 B 到 路由器 A 的单向认证，此时，路由器 A（CHAP 服务端路由器）的 serial 0/0 口将全部“UP”，为了双方能够正常通信，必须实现双向认证，即还必须实现 路由器 A 到 路由器 B 的单向认证，将路由器 B 的 serial 0/0 口工作状态全部变“UP”，此时，路由器 B 是认证服务器，而路由器 A 则是客户端。为实现当前操作，只需要在路由器 B 指定串行接口状态下，使用“RouterB(config-if)#pppppp authenticationauthenticationchapchap”封装 PPP 协议，并指定 PPP 协议的认证方式为 CHAP 即可。3、在 DCE 设备路由器指定串行接口工作模式下，发布时钟同步命令“clock rate64000”4、实现 CHAP 认证时 路由器 A 的完全代码（假设路由器 A 是 DCE 设备）Router(config)#hostnamehostname RouterARouterARouterA(config)#usernameusername RouterBRouterB passwordpassword 1234512345RouterA(config)#interfaceinterface serialserial 0/00/0RouterA(config-if)#encapsulationencapsulation ppppppRouterA(config-if)#pppppp authenticationauthentication chapchapRouterA(config-if)#clockclock raterate 64000640005、实现 CHAP 认证时，路由器 B 的完全代码Router(config)#hostnamehostname RouterBRouterBRouterB(config)#usernameusername RouterARouterApasswordpassword 1234512345RouterB(config)#interfaceinterface serialserial 0/00/0RouterB(config-if)#encapsulationencapsulation ppppppRouterB(config-if)#pppppp authenticationauthentication chapchap6、配置要点：在进行上述配置之前，需要配置各路由器的串行接口 IP 地址并激活串行接口必须重新设置各路由器名称-第 5 页在本地口令数据库中设置的用户名是对方路由器的名称双方口令数据库中所设置的用户名的密码必须完全一致三、三、PPPPPP 之之 CHAPCHAP 验证实验（本实验假设验证实验（本实验假设 RouterARouterA 为为 DCEDCE 设备）设备）在使用 pap 双向验证时，路由器需要不断在网络中以明文方式发送用户名及密码，因此其安全性能差，不能防范再生攻击和重复的尝试攻击。而在采用 chap 验证时，路由器不会在网络中以明文方式发送用户名及密码信息，而是采用 MD5 加密方式发送用户名及密码相关信息，因此，其安全性能强。默认情况下，CHAP 使用本地路由器的名称为建立 PPP 连接时的识别符，因此，必须为网络中所有路由器重新命名，并且路由器名称不能重复。在当前实验中，路由器 A的名称为：RouterA；路由器 B 的名称为：RouterB。在各路由器中设置用户名及密码。注意，用户名必须是对方路由器的名称（该用户名将会自动发送到对方路由器中），而且各路由器中用户的密码必须相同。1、网络拓朴结构图2、PC1 主机配置Ipconfig/ip192.168.1.2255.255.255.0IPconfig/dg192.168.1.13、PC2 主机配置Ipconfig/ip192.168.3.2255.255.255.0IPconfig/dg192.168.3.14、配置 RouterA 的以太网接口Router#configure terminalRouter(config)#hostname RouterARouterA(config)#interface Ethernet 0/0RouterA(config-if)#ip address 192.168.1.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exit5、配置 RouterB 的以太网接口Router#configure terminalRouter(config)#hostname RouterBRouterA(config)#interface Ethernet 0/0-第 6 页RouterA(config-if)#ip address 192.168.3.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exit6、配置 RouterA 的同步串行接口RouterA#configure terminalRouterA(config)#interface serial 0/0RouterA(config-if)#ip address 192.168.2.1 255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exit7、配置 RouterB 的同步串行接口RouterB#configure terminalRouterB(config)#interface serial 0/0RouterB(config-if)#ip address 192.168.2.2 255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#exit8、DCE 设备端（RouterA）PPP 封装之 CHAP 验证设置（关键配置）RouterA#configure terminalRouterA(config)#username RouterB password 12345RouterA(config)#interface serial 0/0RouterA(config-if)#encapsulation pppRouterA(config-if)#ppp authentication chapRouterA(config-if)#clock rate 64000RouterA(config-if)#exit9、DTE 设备端（RouterB）PPP 封装之 PAP 验证设置（关键配置）RouterB#configure terminalRouterB(config)#username RouterA password 12345RouterB(config)#interface serial 0/0RouterB(config-if)#encapsulation pppRouterB(config-if)#ppp authentication chapRouterB(config-if)#exit10、查看各路由器接口状态（所有接口必须全部 UP，且配置的协议也已经 UP）RouterA#show protocolsRouterB#show protocols11、配置 RouterA 的 RIP 简单路由协议RouterA#configure terminalRouterA(config)#router ripRouterA(config-router)#network 192.168.1.0RouterA(config-router)#network 192.168.2.0RouterA(config-router)#exit12、配置 RouterB 的 RIP 简单路由协议RouterB#configure terminalRouterB(config)#router ripRouterB(config-router)#network 192.168.2.0RouterB(config-router)#network 192.168.3.0-第 7 页RouterB(config-router)#exit