网络互联技术第七章广域网基础电子教案(3).doc

江西工业职业技术学院电子与信息工程分院网络互联技术课程电子教案授课标题：PPP之CHAP验证 学时：理论2节授课日期：2008-04-23教学目的和要求l 掌握CHAP验证过程l 掌握CHAP相关配置命令l 掌握CHAP验证实例配置教学手法l 采用“案例驱动”教学方法：将围绕某一实践的所有理论知识综合讲解，并在理论基础上完成具体实践的操作。l 注重理论与实践操作相结合；充分调动学生的积极性，以实现教师与学生的良性互动，一方面提高教师的教学效果，另一方面则提高学生的学习兴趣。并在此基础上培养学生分析问题和解决问题的实际能力。l 采用多媒体教学手段+PPT多媒体课件授 课 重点、难点重点：1、CHAP验证过程 2、PPP之CHAP验证实验难点：1、PPP之CHAP验证用户名及密码设置 授课要点与授课设计（注明授课时间安排）1、(掌握)CHAP验证过程2、（理解）CHAP验证的优点和缺点3、（掌握）CHAP配置命令详解4、（领会）PPP之CHAP验证实验 教学设计：简介PPP之PAP验证的不足，从而引入PPP之CHAP的验证（CHAP的安全之处）；如何让学生理解CHAP的验证过程是要次教学的一个难点（因为学生没有学习过MD5算法，数字签名）；在了解PPP之CHAP的验证原理后，开始讲述CHAP的配置命令（需要双向配置）；最后通过实践操作演示让学生明白如何进行PPP之CHAP的配置。作业1、请简述CHAP验证过程2、PPP之CHAP验证配置（实战）教学心得通过教学让学生明白CHAP验证的原理有些困难，但对于CHAP命令的配置没有太大的问题，通过实践例题的操作可以让学生掌握CHAP配置的要领（各路由器中设置的用户名必须是对端路由器的名称，两端路由器中相应用户的密码必须完全相同）。一、CHAP验证过程CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播。CHAP验证过程如下： 1、验证方主动发起验证请求，向被验证方发送一些随机产生的报文，并同时将本端配置的用户名附带上一起发送给被验证方2、被验证方接到验证方的验证请求后，根据此报文中的用户名在本端的用户表中查找用户口令。如找到用户表中与验证方用户名相同的用户，便利用报文ID和此用户的口令以MD5算法生成应答，随后将应答和自己的用户名送回3、验证方接收到此应答后，利用报文ID、自己保存的被验证方口令以及随机报文用MD5算法得出结果，与被验证方应答比较。如果两者相同，则返回Acknowledge响应，表示验证通过，如果两者不相同，则返回Not Acknowledge相应，表示验证不通过CHAP验证过程简述过程如下：l 验证方首先向被验证方发起chap验证（发送随机报文）l 被验证方拿发送过来的消息（随机报文）和本地的密码做MD5运算生成应答文件，并将这个应答消息和用户名发送给验证方l 验证方也拿自己的消息和密码用MD5计算一个散列值，再与发送过来的进行比较，如果相同就OK说明：l 为完成CHAP验证，各路由器必须重新设置其名称l 各路由器中设置的用户名称应该为对端路由器的名称l 为保证验证通过，和路由器中用户的密码必须设置一致CHAP验证的缺点是密码在路由器中只能明文设置；CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。CHAP身份认证的特点是只在网络上传输用户名，而并不传输用户口令，因此它的安全性要比PAP高。每次CHAP认证使用不同的询问消息，每个消息都是不可能预测的唯一值，这样就可以防范再生攻击。不断询问可以被限制在一次攻击中的时间内，本地路由器可以控制询问的频率和时间。二、CHAP配置命令详解1、CHAP认证服务器的配置（1）CHAP认证服务器的配置分为两个步骤：建立本地口令数据库、要求进行CHAP认证。l 建立本地口令数据库： RouterA（config）# username routerb password 12345 l 提示：此处的 username 应该是对端路由器的名称，即 routerb （2）要求进行CHAP认证l RouterA（config）# interface serial 0/0 l RouterA（config-if）# ppp authentication chap 2、CHAP认证客户端的配置CHAP认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。l RouterB（config-if）# username routera password 12345 l 提示：此处的 uername 应该是对端路由器的名称，即 routera，而口令应该和CHAP认证服务器口令数据库中的口令相同。 通过以上操作，实现了 路由器B 到 路由器A 的单向认证，此时，路由器A（CHAP服务端路由器）的 serial 0/0 口将全部 “UP”，为了双方能够正常通信，必须实现双向认证，即还必须实现 路由器A 到 路由器B 的单向认证，将路由器B的 serial 0/0 口工作状态全部变 “UP”，此时，路由器B是认证服务器，而路由器A则是客户端。为实现当前操作，只需要在路由器B指定串行接口状态下，使用“RouterB(config-if)# ppp authentication chap”封装PPP协议，并指定 PPP 协议的认证方式为 CHAP 即可。 3、在 DCE 设备路由器指定串行接口工作模式下，发布时钟同步命令“clock rate 64000”4、实现 CHAP 认证时 路由器A的完全代码（假设路由器A是DCE设备）l Router(config)# hostname RouterA l RouterA(config)# username RouterB password 12345 l RouterA(config)# interface serial 0/0 l RouterA(config-if)# encapsulation ppp l RouterA(config-if)# ppp authentication chap l RouterA(config-if)# clock rate 64000 5、实现 CHAP 认证时，路由器B的完全代码l Router(config)# hostname RouterB l RouterB(config)# username RouterA password 12345 l RouterB(config)# interface serial 0/0 l RouterB(config-if)# encapsulation ppp l RouterB(config-if)# ppp authentication chap 6、配置要点：l 在进行上述配置之前，需要配置各路由器的串行接口IP地址并激活串行接口 l 必须重新设置各路由器名称 l 在本地口令数据库中设置的用户名是对方路由器的名称 l 双方口令数据库中所设置的用户名的密码必须完全一致 三、PPP之CHAP验证实验（本实验假设RouterA为DCE设备）l 在使用 pap 双向验证时，路由器需要不断在网络中以明文方式发送用户名及密码，因此其安全性能差，不能防范再生攻击和重复的尝试攻击。而在采用 chap 验证时，路由器不会在网络中以明文方式发送用户名及密码信息，而是采用 MD5 加密方式发送用户名及密码相关信息，因此，其安全性能强。 l 默认情况下，CHAP 使用本地路由器的名称为建立PPP连接时的识别符，因此，必须为网络中所有路由器重新命名，并且路由器名称不能重复。在当前实验中，路由器A的名称为：RouterA；路由器B的名称为：RouterB 。l 在各路由器中设置用户名及密码。注意，用户名必须是对方路由器的名称（该用户名将会自动发送到对方路由器中），而且各路由器中用户的密码必须相同。1、网络拓朴结构图2、PC1主机配置l Ipconfig /ip 192.168.1.2 255.255.255.0l IPconfig /dg 192.168.1.13、PC2主机配置l Ipconfig /ip 192.168.3.2 255.255.255.0l IPconfig /dg 192.168.3.14、配置RouterA的以太网接口l Router# configure terminall Router(config)# hostname RouterAl RouterA(config)# interface Ethernet 0/0l RouterA(config-if)# ip address 192.168.1.1 255.255.255.0l RouterA(config-if)# no shutdownl RouterA(config-if)# exit5、配置RouterB的以太网接口l Router# configure terminall Router(config)# hostname RouterBl RouterA(config)# interface Ethernet 0/0l RouterA(config-if)# ip address 192.168.3.1 255.255.255.0l RouterA(config-if)# no shutdownl RouterA(config-if)# exit6、配置RouterA的同步串行接口l RouterA# configure terminall RouterA(config)# interface serial 0/0l RouterA(config-if)# ip address 192.168.2.1 255.255.255.0l RouterA(config-if)# no shutdownl RouterA(config-if)# exit7、配置RouterB的同步串行接口l RouterB# configure terminall RouterB(config)# interface serial 0/0l RouterB(config-if)# ip address 192.168.2.2 255.255.255.0l RouterB(config-if)# no shutdownl RouterB(config-if)# exit8、DCE设备端（RouterA）PPP封装之CHAP验证设置（关键配置）l RouterA# configure terminal l RouterA(config)# username RouterB password 12345 l RouterA(config)# interface serial 0/0 l RouterA(config-if)# encapsulation ppp l RouterA(config-if)# ppp authentication chap l RouterA(config-if)# clock rate 64000 l RouterA(config-if)# exit9、DTE设备端（RouterB）PPP封装之PAP验证设置（关键配置）l RouterB# configure terminall RouterB(config)# username RouterA password 12345 l RouterB(config)# interface serial 0/0 l RouterB(config-if)# encapsulation ppp l RouterB(config-if)# ppp authentication chap l RouterB(config-if)# exit10、查看各路由器接口状态（所有接口必须全部UP，且配置的协议也已经UP）l RouterA# show protocolsl RouterB# show protocols11、配置RouterA的RIP简单路由协议l RouterA# configure terminall RouterA(config)# router ripl RouterA(config-router)# network 192.168.1.0l RouterA(config-router)# netw