歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

在路由器內作安全認證

  隨著越來越多的小型機構使用廣域網連接各分支機構。由於專線(普通租用線和DDN)在價格、靈活性等方面的缺陷,所以可采用各類交換網絡,如電話撥號、ISDN等。 不過撥號接入方式存在安全問題。在因特網上普遍采用的撥號訪問服務器中,一般采用各類口令認證來解決。通常使用的有PAP和CHAP。 安全認證機制 PAP認證主要的工作原理是當A機欲通過PPP協議連接B機,而B機設置了PAP認證時,當A機撥通B後,將自己的名字與口令一起發給B機,B從自己的用戶數據庫中查到該口令與名字相符後,A和B可繼續進行IP地址協商,否則B將切斷線路。 PAP協議僅在連接建立階段進行,在數據傳輸階段不進行PAP認證。 CHAP認證主要原理是當A機欲通過PPP協議連接B機,而B機設置了CHAP認證,則當A機撥通B後,由B機將一段隨機數據和自身的名字發給A,A根據此名字查到口令,用它對收到的隨機數據通過MD5算法進行加密,得到16字節的加密結果,然後A將該結果和B自身的名字一起發送給B。B收到該報後,首先查到A的口令,同樣用此口令對以前發送的隨機數據,通過MD5算法進行加密並將自己算出的加密結果與從A中收到的加密結果相比較,如果一致,A與B可繼續進行協商,否則B將切斷線路。 CHAP協議不僅僅在連接建立階段進行,在之後的數據傳輸階段,也將在隨機的間隔周期裡進行,如果發現結果不一致,B也將切斷線路。 由於安全級別高與連接速度成反比,因特網的很多接入都采用PAP協議認證。一般來說,進入撥號訪問服務器後,遠程訪問者還要通過主機口令的檢查,故安全不會成問題,而國內遠程訪問的接入速率較低,用PAP可提高一些效率。 路由器內部認證 使用專用路由器時,一般采用其他的服務器做安全認證服務器,所以安裝、使用、維護都較麻煩。如果僅有幾個用戶使用,或在專用軟件中共同使用一個撥號口令,那就更不值得了。在這種情況下可采用路由器內部認證的方式,以Cisco路由器為例,配置如下: hostname 2509 (路由器的名稱) ! enable passWord cisco (路由器GLOBAL狀態口令) ! username cisco password 0 cisco (遠程用戶名稱、口令) ! interface Ethernet0 ip address 202.100.99.5 255.255.255.0 no shut ! interface Group-Async1 ip unnumbered Ethernet0 encapsulation ppp async dynamic routing async mode interactive (此模式可在終端方式和PPP方式切換) peer default ip address pool default ppp authentication pap group-range 1 8 ! ip local pool default 202.100.99.2 202.100.99.254 ip classless ! line con 0 line 1 8 autoselect ppp login local (本機認證方式) modem InOut autocommand ppp transport input all stopbits 1 speed 115200 flowcontrol hardware line vty 0 4 password cisco login ! end 此配置可以作為一個內部通信用的撥號訪問服務器的配置,它也是標准的Intranet配置,可以用各種撥號軟件如Windows 95的撥號網絡功能,連接內部的WWW等服務器。




Copyright © Linux教程網 All Rights Reserved