《銳捷RCNA路由與交換技術(shù)實戰(zhàn)》 課件 項目11 AB園區(qū)基于CHAP認證的安全互聯(lián)部署

項目11AB園區(qū)基于CHAP認證的安全互聯(lián)部署項目描述相關(guān)知識項目規(guī)劃設計項目實施項目驗證項目拓展目錄項目描述項目描述Jan16公司因業(yè)務發(fā)展，建立了分部，租用了專門的線路用于總部與分部的互聯(lián)。為保障通信線路的數(shù)據(jù)安全，需在路由器上配置安全認證。項目拓撲如圖11-1所示。具體要求如下：（1）公司總部路由器R1使用S2/0接口與分部路由器R2互聯(lián)。（2）R1的S2/0接口上使用PPP協(xié)議并啟用CHAP認證，用于分部的安全接入。（3）全網(wǎng)通過OSPF協(xié)議互聯(lián)。（4）測試計算機和路由器的IP與接口信息如拓撲所示。項目描述圖11-1網(wǎng)絡拓撲圖相關(guān)知識11.2.1CHAPCHAP為三次握手協(xié)議，它只在網(wǎng)絡上傳用戶名而不傳口令，因此安全性比PAP高。其驗證過程為：（1）首先驗證方向被驗證方發(fā)送一些隨機的報文，并加上自己的主機名。（2）被驗證方收到驗證方的驗證請求，通過收到的主機名和本端的用戶數(shù)據(jù)庫查找用戶口令字（密鑰），如果找到用戶數(shù)據(jù)庫中和驗證方主機名相同的用戶，便利用接收到的隨機報文、此用戶的密鑰和報文ID用Md5加密算法生成應答，隨后將應答和自己的主機名送回。（3）驗證方收到此應答后，利用對端的用戶名在本端的用戶數(shù)據(jù)庫中查找本方保留的口令字，用本方保留的用戶的口令字（密鑰）、隨機報文和報文ID用Md5加密算法生成結(jié)果，與被驗證方的應答比較，相同則返回Ack，否則返回Nak。其報文交互過程如圖11-2所示。11.2.1CHAP圖11-2PPP認證模式-CHAP11.2.1CHAPCHAP不僅在連接建立階段進行，在以后的數(shù)據(jù)傳輸階段也可以按隨機間隔繼續(xù)進行，但每次驗證方和被驗證方的隨機數(shù)據(jù)都應不同，以防被第三方猜出密鑰。如果驗證方發(fā)現(xiàn)結(jié)果不一致，將立即切斷線路。它的特點是只在網(wǎng)絡上傳輸用戶名，而并不傳輸用戶口令，因此它的安全性要比PAP高。項目規(guī)劃設計項目規(guī)劃設計

串行鏈路默認采用PPP封裝協(xié)議，可以通過CHAP認證使鏈路的建立更安全。CHAP認證是由認證服務器向被認證方提出認證需求，通過用戶名和密碼進行驗證。公司總部路由器R1作為認證方，需在AAA視圖下添加名為Jan16的Local-user用戶，密碼為113456，并將接口S4/0/0設置為CHAP的認證方式；分部路由器R2為被認證方，需在接口上配置CHAP的認證方式，并添加與認證方一致的用戶名和密碼，即可實現(xiàn)鏈路的認證接入。項目規(guī)劃設計配置步驟如下：（1）配置PPP協(xié)議。（2）搭建路由器接口。（3）配置PPP的CHAP認證。（4）搭建OSPF網(wǎng)絡。（5）配置各計算機的IP地址。項目規(guī)劃設計本項目的IP地址規(guī)劃、端口規(guī)劃見表11-1~表11-2

設備接口IP地址網(wǎng)關(guān)R1G0/0192.168.10.254/24-R1S2/010.10.10.1/24-R2G0/0192.168.20.254/24-R2S2/010.10.10.2/24-PC1-192.168.10.1/24192.168.10.254PC2-192.168.20.1/24192.168.20.254表11-1IP地址規(guī)劃項目規(guī)劃設計本端設備本端接口對端設備對端接口R1G0/0PC1-R1S2/0R2S2/0R2G0/0PC2-R2S2/0R1S2/0表11-2端口規(guī)劃項目實施任務11-1配置PPP協(xié)議任務描述根據(jù)項目規(guī)劃設計在路由器R1、R2上配置PPP協(xié)議。任務實施在Serial接口模式下，可以使用【encapsulation{fr|dhlc|lapb|ppp|sdlc|x25}】命令指定接口的鏈路層協(xié)議類型，若指定鏈路層協(xié)議類型為ppp，認證端可以使用【pppauthentication{pap|chap}】為ppp協(xié)議配置認證方式為PAP或CHAP。任務11-1配置PPP協(xié)議R1的PPP協(xié)議配置命令如下。R2的PPP協(xié)議配置命令如下。Ruijie>enable//進入特權(quán)模式Ruijie#config//進入全局模式Ruijie(config)#hostnameR1//將路由器名稱修改為R1R1(config)#interfaceserial2/0//進入s2/0接口R1(config-if-Serial2/0)#encapsulationPPP//配置接口封裝鏈路層協(xié)議為PPPRuijie>enableRuijie#configRuijie(config)#hostnameR2R2(config)#interfaceserial2/0R2(config-if-Serial2/0)#encapsulationPPP任務11-1配置PPP協(xié)議任務驗證（1）在R1檢查鏈路狀態(tài)和連通性，配置命令如下。R1(config-if-Serial2/0)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisDOWNHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:noipaddressMTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacknotsetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenQueueingstrategy:FIFO任務11-1配置PPP協(xié)議Outputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DTEcableDCD=upDSR=upDTR=upRTS=upCTS=up5minutesinputrate24bits/sec,0packets/sec5minutesoutputrate24bits/sec,0packets/sec89packetsinput,1860bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort105packetsoutput,2102bytes,0underruns,0dropped0outputerrors,0collisions,3interfaceresets任務11-1配置PPP協(xié)議（2）在R2檢查鏈路狀態(tài)和連通性，配置命令如下。R2(config-if-Serial2/0)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisDOWNHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:noipaddressMTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacksetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpen任務11-1配置PPP協(xié)議可以看到，現(xiàn)在R1和R2間無法正常通信，鏈路物理狀態(tài)正常，但是鏈路層協(xié)議狀態(tài)不正常。這是因為此時PPP鏈路上的IP地址未進行配置。Queueingstrategy:FIFOOutputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DCEcableDCD=downDSR=upDTR=upRTS=upCTS=up5minutesinputrate25bits/sec,0packets/sec5minutesoutputrate25bits/sec,0packets/sec126packetsinput,2448bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort100packetsoutput,2196bytes,0underruns,0dropped0outputerrors,0collisions,3interfaceresets任務11-2配置路由器接口任務描述根據(jù)項目規(guī)劃設計的IP地址規(guī)劃表配置路由器的IP地址。任務實施（1）對路由器R1進行配置，配置命令如下。R1(config)#interfaceGigabitEthernet0/0//進入G0/0接口R1(config-if-GigabitEthernet0/0)#ipaddress192.168.10.254255.255.255.0//配置IP地址為192.168.10.254，子網(wǎng)掩碼24位R1(config-if-GigabitEthernet0/0)#exitR1(config)#interfaceserial2/0R1(config-if-Serial2/0)#ipadd10.10.10.1255.255.255.0R1(config-if-Serial2/0)#exit任務11-2配置路由器接口（2）對路由器R2進行配置，配置命令如下。R2(config)#interfaceGigabitEthernet0/0R2(config-if-GigabitEthernet0/0)#Ipaddress192.168.20.254255.255.255.0R2(config-if-GigabitEthernet0/0)#exitR2(config)#interfaceserial2/0R2(config-if-Serial2/0)#Ipaddress10.10.10.2255.255.255.0任務11-2配置路由器接口任務驗證在路由器R1上使用【showipinterfacebrief】命令查看鏈路狀態(tài)，配置命令如下。R1(config-if-Serial2/0)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)

Status

ProtocolSerial2/0

10.10.10.1/24

noaddress

up

downSerial3/0

noaddress

noaddress

down

downGigabitEthernet0/0

192.168.10.254/24

noaddress

up

upGigabitEthernet0/1

noaddress

noaddress

down

downVLAN1

noaddress

noaddress

up

down任務11-2配置路由器接口在路由器R2上使用【showipinterfacebrief】命令查看鏈路狀態(tài)，配置命令如下?？梢钥吹?，S2/0接口的Status和Protocol均為up，表示R1與R2間的鏈路層協(xié)議狀態(tài)正常。R2(config-if-Serial2/0)#showipinterfacebriefInterface

IP-Address(Pri)

IP-Address(Sec)StatusProtocolSerial2/0

10.10.10.2/24

noaddress

up

upGigabitEthernet0/0

192.168.20.254/24

noaddress

up

upGigabitEthernet0/1

noaddress

noaddress

down

downVLAN1

noaddress

noaddress

up

down任務11-3搭建PPP的CHAP驗證任務描述根據(jù)項目規(guī)劃設計在路由器R1、R2上配置CHAP認證。任務實施在Serial接口模式下，若指定鏈路層協(xié)議類型為ppp，認證端配置使用【pppauthentication{PAP|CHAP}】認證方式為chap，則被認證端需要使用【pppchaphostnamename】命令和【pppchappasswordpassword】命令配置認證的用戶名及密碼。任務11-3搭建PPP的CHAP驗證R1認證端配置命令如下。R2作為被認證端，在S2/0接口下配置以PPP方式驗證時本地使用的CHAP用戶名和密碼。配置命令如下。R1(config)#interfaceserial2/0R1(config-if-Serial2/0)#pppauthenticationchap//認證端配置認證方式為CHAPR1(config-if-Serial2/0)#exitR1(config)#usernameJan16password113456//創(chuàng)建用戶名和密碼R2(config)#interfaceserial2/0R2(config-if-Serial2/0)#pppchaphostnameJan16//配置CHAP驗證的用戶名為Jan16R2(config-if-Serial2/0)#pppchappassword113456//配置CHAP認證的密文口令任務11-3搭建PPP的CHAP驗證任務驗證在R1上使用【showinterfaceserial2/0】命令查看接口認證信息，配置命令如下。R1(config)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisUPHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:10.10.10.1/24MTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacknotsetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenOpen:ipcpQueueingstrategy:FIFO任務11-3搭建PPP的CHAP驗證可以看到，Serial2/0isUP,lineprotocolisUP以及EncapsulationprotocolisPPP,loopbackset，表示PPP協(xié)商成功。Outputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DTEcableDCD=upDSR=upDTR=upRTS=upCTS=up5minutesinputrate80bits/sec,0packets/sec5minutesoutputrate77bits/sec,0packets/sec1175packetsinput,34652bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort1310packetsoutput,37984bytes,0underruns,1dropped0outputerrors,0collisions,47interfaceresets任務11-3搭建PPP的CHAP驗證在R2上使用【showinterfaceserial2/0】命令查看接口認證信息，配置命令如下。R2(config)#showinterfaceserial2/0Index(dec):2(hex):2Serial2/0isUP,lineprotocolisUPHardwareisSIC-1HSHDLCCONTROLLERSerialInterfaceaddressis:10.10.10.2/24MTU1500bytes,BW2000KbitEncapsulationprotocolisPPP,loopbacksetKeepaliveintervalis10sec,retries10.Carrierdelayis2secRxloadis1/255,Txloadis1/255LCPOpenOpen:ipcpQueueingstrategy:FIFO任務11-3搭建PPP的CHAP驗證可以看到，Serial2/0isUP,lineprotocolisUP以及EncapsulationprotocolisPPP,loopbackset，表示PPP協(xié)商成功。Outputqueue0/40,0drops;Inputqueue0/75,0drops0carriertransitionsV35DCEcableDCD=downDSR=upDTR=upRTS=upCTS=up5minutesinputrate88bits/sec,0packets/sec5minutesoutputrate85bits/sec,0packets/sec1331packetsinput,39096bytes,0nobuffer,0droppedReceived0broadcasts,0runts,0giants0inputerrors,0CRC,0frame,0overrun,0abort1196packetsoutput,35764bytes,0underruns,0dropped0outputerrors,0collisions,8interfaceresetsR2(config)#exit任務11-4搭建OSPF網(wǎng)絡任務描述根據(jù)項目規(guī)劃設計在各臺路由器上配置OSPF協(xié)議。任務實施（1）在R1上配置OSPF路由，配置命令如下。R1(config)#routerospf1//創(chuàng)建進程號為1的OSPF進程R1(config-router)#network192.168.10.00.0.0.255area0//宣告網(wǎng)段192.168.10.0/24R1(config-router)#network10.10.10.00.0.0.255area0R1(config-router)#exitR1(config)#interfaceserial2/0R1(config-if-Serial2/0)#ipospfnetworkpoint-to-pointR1(config-if-Serial2/0)#exit任務11-4搭建OSPF網(wǎng)絡（2）在R2上配置OSPF路由，配置命令如下。R2(config)#routerospf1R2(config-router)#network192.168.20.00.0.0.255area0R2(config-router)#network10.10.10.00.0.0.255area0R2(config-router)#R2(config)#interfaceserial2/0R2(config-if-Serial2/0)#ipospfnetworkpoint-to-pointR2(config-if-Serial2/0)#exit任務11-4搭建OSPF網(wǎng)絡任務驗證（1）在R1上使用【showipospfneighbor】命令查看OSPF的配置，配置命令如下?？梢钥吹?，R1在S2/0（10.10.10.1）接口上與R2建立鄰居。R1(config)#showipospfneighborOSPFprocess1,1Neighbors,1isFull:NeighborID

PriStateBFD

StateDeadTime

Address

Interface192.168.20.2541

Full/-

-

00:00:37

10.10.10.2

Serial2/0任務11-4搭建OSPF網(wǎng)絡（2）在R2上使用【showipospfneighbor】命令查看OSPF的配置，配置命令如下。可以看到，R2在S2/0（10.10.10.2）接口上與R1建立鄰居。R2(config)#showipospfneighborOSPFprocess1,1Neighbors,1isFull:NeighborID

PriStateBFD

StateDeadTime

AddressInterface192.168.10.2541

Full/--

00:00:39

10.10.10.1Serial2/0任務11-5配置各計算機的IP地址任務描述根據(jù)項目規(guī)劃設計的IP地址規(guī)劃表為各臺計算機配置IP地址。任務實施PC1的IP地址配置結(jié)果如圖11-7所示，同理完成PC2的IP地址配置如圖11-8所示。任務11-5配置各計算機的IP地址圖11-7PC1IP地址配置圖11-8PC2IP地址配置任務11-5配置各計算機的IP地址任務驗證在PC1上使用【ipconfig】命令查看IP地址，配置命令如下。（2）在其他PC上同樣使用【ipconfig】命令查看IP地址。C:\Users\Administrator>ipconfig//顯示本機IP地址配置的信息本地連接:連接特定的DNS后綴.......:IPv4地址............:192.168.10.1(首選)子網(wǎng)掩碼............:255.255.255.0默認網(wǎng)關(guān).............:192.168.10.254

項目驗證項目驗證使用PC1計算機PingPC2計算機，配置命令如下。結(jié)果顯示PC1通過路由器R1和R2的CHAP鏈路實現(xiàn)與PC2通信。C:\Users\Administrator>ping192.168.20.1正在Ping192.168.20.1具有32字節(jié)的數(shù)據(jù):來自192.168.20.1的回復:字節(jié)=32時間=37msTTL=126來自192.168.20.1的回復:字節(jié)=32時間=37msTTL=126來自192.168.20.1的回復:字節(jié)=32時間=38msTTL=126來自192.168.20.1的回復:字節(jié)=32時間=38msTTL=126192.168.20.1的Ping統(tǒng)計信息: