路由器内的安全认证

huangjun6920

随着越来越多的小型机构使用广域网连接各分支机构。由于专线（普通租用线和DDN）在价格、灵活性等
方面的缺陷，所以可采用各类交换网络，如电话拨号、ISDN 等。
不过拨号接入方式存在安全问题。在因特网上普遍采用的拨号访问服务器中，一般采用各类口令认证来解
决。通常使用的有PAP 和CHAP。
安全认证机制
PAP 认证主要的工作原理是当A 机欲通过PPP 协议连接B 机，而B 机设置了PAP 认证时，当A 机拨通B 后，
将自己的名字与口令一起发给B 机，B 从自己的用户数据库中查到该口令与名字相符后，A 和B 可继续进行
IP 地址协商，否则B 将切断线路。
PAP 协议仅在连接建立阶段进行，在数据传输阶段不进行PAP 认证。
CHAP 认证主要原理是当A 机欲通过PPP 协议连接B 机，而B 机设置了CHAP 认证，则当A 机拨通B 后，由B
机将一段随机数据和自身的名字发给A，A 根据此名字查到口令，用它对收到的随机数据通过MD5 算法进行
加密，得到16 字节的加密结果，然后A 将该结果和B 自身的名字一起发送给B。B 收到该报后，首先查到
A 的口令，同样用此口令对以前发送的随机数据，通过MD5 算法进行加密并将自己算出的加密结果与从A
中收到的加密结果相比较，如果一致，A 与B 可继续进行协商，否则B 将切断线路。
CHAP 协议不仅仅在连接建立阶段进行，在之后的数据传输阶段，也将在随机的间隔周期里进行，如果发现
结果不一致，B 也将切断线路。
由于安全级别高与连接速度成反比，因特网的很多接入都采用PAP 协议认证。一般来说，进入拨号访问服
务器后，远程访问者还要通过主机口令的检查，故安全不会成问题，而国内远程访问的接入速率较低，用
PAP 可提高一些效率。
更多资源请关注鸿鹄论坛：http://bbs.hh010.com
路由器内部认证
使用专用路由器时，一般采用其他的服务器做安全认证服务器，所以安装、使用、维护都较麻烦。如果仅
有几个用户使用，或在专用软件中共同使用一个拨号口令，那就更不值得了。在这种情况下可采用路由器
内部认证的方式，以Cisco 路由器为例，配置如下：
hostname 2509 （路由器的名称）
!
enable password cisco （路由器GLOBAL 状态口令）
!
username cisco password 0 cisco （远程用户名称、口令）
!
interface Ethernet0
ip address 202.100.99.5 255.255.255.0
no shut
!
interface Group－Async1
ip unnumbered Ethernet0
encapsulation ppp
async dynamic routing
async mode interactive （此模式可在终端方式和PPP 方式切换）
peer default ip address pool default
ppp authentication pap
group－range 1 8
!
ip local pool default 202.100.99.2 202.100.99.254
更多资源请关注鸿鹄论坛：http://bbs.hh010.com
ip classless
!
line con 0
line 1 8
autoselect ppp
login local （本机认证方式）
modem InOut
autocommand ppp
transport input all
stopbits 1
speed 115200
flowcontrol hardware
line vty 0 4
password cisco
login
!
end
此配置可以作为一个内部通信用的拨号访问服务器的配置，它也是标准的Intranet 配置，可以用各种拨号
软件如Windows 95 的拨号网络功能，连接内部的WWW 等服务器。

                               
登录/注册后可看大图

该贴已经同步到 huangjun6920的微博

chenzhongkuan

15904512900

学习了