广域网协议PPP→CHAP验证详解

二、配置PPP的CHAP验证

配置验证需要两步完成

①、配置验证所需的用户名和密码

(config)#username 用户名 password 密码

注：用户名为对方设备使用hostname设置的设备名。密码两端设备应配置相同

②、启用CHAP验证，在广域网端口上启用CHAP

(config-if)#ppp authentication chap

下面我们开始在A路由器上配置CHAP

Aconfig)#username B password 123 对方设备的hostname为B，密码我们设置为123

A(config)#int s1/0 进入广域网端口

A(config-if)#ppp authentication chap 启用CHAP验证

当在A路由器上设置完CHAP验证时A、B路由器同时提示S1/0端口协议为down状态，这是因为A路由器配置了CHAP验证，而路由器B没有通过身份验证所导致的结果

我们还可以查看一下端口状态，下面显示A、B路由器广域网端口协议均为down状态

现在我们在查看一下路由表，此时A、B路由器路由表中已经没有了对方的路由，因为A和B没有经过身份验证 要想A。B可以实现通讯，必须两个设备CHAP验证成功，下面我们来配置B路由器上的验证信息

B(config)username A password 123 对方的hostname 为A，密码为123

B(config)#int s1/0 进入广域网端口

B(config-if)#ppp authentication chap 启用CHAP验证

在完成上面的配置后，两台设备均为自动提示广域网端口协议为UP状态

查看路由表，此时两台路由器均会收到对方路由，证明CHAP验证成功，此时A、B路由器便可以相互通讯了我们可以在B路由器上ping一下A路由器的内部网络假如想更好的理解CHAP，我们可以debug ppp authentication命令进行调试，我们可以通过此命令看到两台路由器的验证过程

首先我们关闭B路由器上广域网S1/0，然后在A路由器上输入debug ppp authentication，然后在打开B路由器的S1/0端口，此时A路由器出现如下信息(CHAP验证过程)

小结：

在配置完成后，我们可以使用shwo run 查看配置文件，当我们仔细查看配置文件时不禁恍然大悟——A、B路由器通过CHAP验证的用户名和密码均为明文.

很显然，这样是不安全的，当某些图谋不轨之人窃取到配置文件后后果就不言而喻了。为了解决这个办法，我们可以使用一个命令是配置文件由明文变为密文，我们分别在两台路由器上进行以下操作

A(config)#service password-encryption

B(config)#service password-encryption

注：此命令不可逆

下面我们在查看以下两台路由器的配置：此时显示的均为加密后的密码