• 当前位置:首页>>Linux系统教程>>Linux系统管理>>在路由器内作安全认证
  • 在路由器内作安全认证
  •    随着越来越多的小型机构使用广域网连接各分支机构。由于专线(普通租用线和DDN)在价格、灵活性等方面的缺陷,所以可采用各类交换网络,如电话拨号、ISDN等。

    不过拨号接入方式存在安全问题。在因特网上普遍采用的拨号访问服务器中,一般采用各类口令认证来解决。通常使用的有PAP和CHAP。


    安全认证机制


    PAP认证主要的工作原理是当A机欲通过PPP协议连接B机,而B机设置了PAP认证时,当A机拨通B后,将自己的名字与口令一起发给B机,B从自己的用户数据库中查到该口令与名字相符后,A和B可继续进行IP地址协商,否则B将切断线路。

    PAP协议仅在连接建立阶段进行,在数据传输阶段不进行PAP认证。

    CHAP认证主要原理是当A机欲通过PPP协议连接B机,而B机设置了CHAP认证,则当A机拨通B后,由B机将一段随机数据和自身的名字发给A,A根据此名字查到口令,用它对收到的随机数据通过MD5算法进行加密,得到16字节的加密结果,然后A将该结果和B自身的名字一起发送给B。B收到该报后,首先查到A的口令,同样用此口令对以前发送的随机数据,通过MD5算法进行加密并将自己算出的加密结果与从A中收到的加密结果相比较,如果一致,A与B可继续进行协商,否则B将切断线路。

    CHAP协议不仅仅在连接建立阶段进行,在之后的数据传输阶段,也将在随机的间隔周期里进行,如果发现结果不一致,B也将切断线路。

    由于安全级别高与连接速度成反比,因特网的很多接入都采用PAP协议认证。一般来说,进入拨号访问服务器后,远程访问者还要通过主机口令的检查,故安全不会成问题,而国内远程访问的接入速率较低,用PAP可提高一些效率。


    路由器内部认证


    使用专用路由器时,一般采用其他的服务器做安全认证服务器,所以安装、使用、维护都较麻烦。如果仅有几个用户使用,或在专用软件中共同使用一个拨号口令,那就更不值得了。在这种情况下可采用路由器内部认证的方式,以Cisco路由器为例,配置如下:

    hostname 2509 (路由器的名称)

    !

    enable password cisco (路由器GLOBAL状态口令)

    !

    username cisco password 0 cisco (远程用户名称、口令)

    !

    interface Ethernet0

    ip address 202.100.99.5 255.255.255.0

    no shut

    !

    interface Group-Async1

    ip unnumbered Ethernet0

    encapsulation ppp

    async dynamic routing

    async mode interactive (此模式可在终端方式和PPP方式切换)

    peer default ip address pool default

    ppp authentication pap

    group-range 1 8

    !

    ip local pool default 202.100.99.2 202.100.99.254

    ip classless

    !

    line con 0

    line 1 8

    autoselect ppp

    login local (本机认证方式)

    modem InOut

    autocommand ppp

    transport input all

    stopbits 1

    speed 115200

    flowcontrol hardware

    line vty 0 4

    password cisco

    login

    !

    end

    此配置可以作为一个内部通信用的拨号访问服务器的配置,它也是标准的Intranet配置,可以用各种拨号软件如Windows 95的拨号网络功能,连接内部的WWW等服务器。  
  • 上一篇:Apusic负载均衡器
    下一篇:Linux主机用作网关