在路由器內作安全認證

　　隨著越來越多的小型機構使用廣域網連接各分支機構。由于專線（普通租用線和DDN）在價格、靈活性等方面的缺陷，所以可采用各類交換網絡，如電話撥號、ISDN等。

不過撥號接入方式存在安全問題。在因特網上普遍采用的撥號訪問服務器中，一般采用各類口令認證來解決。通常使用的有PAP和CHAP。

安全認證機制

PAP認證主要的工作原理是當A機欲通過PPP協議連接B機，而B機設置了PAP認證時，當A機撥通B后，將自己的名字與口令一起發給B機，B從自己的用戶數據庫中查到該口令與名字相符后，A和B可繼續進行IP地址協商，否則B將切斷線路。

PAP協議僅在連接建立階段進行，在數據傳輸階段不進行PAP認證。

CHAP認證主要原理是當A機欲通過PPP協議連接B機，而B機設置了CHAP認證，則當A機撥通B后，由B機將一段隨機數據和自身的名字發給A，A根據此名字查到口令，用它對收到的隨機數據通過MD5算法進行加密，得到16字節的加密結果，然后A將該結果和B自身的名字一起發送給B。B收到該報后，首先查到A的口令，同樣用此口令對以前發送的隨機數據，通過MD5算法進行加密并將自己算出的加密結果與從A中收到的加密結果相比較，如果一致，A與B可繼續進行協商，否則B將切斷線路。

CHAP協議不僅僅在連接建立階段進行，在之后的數據傳輸階段，也將在隨機的間隔周期里進行，如果發現結果不一致，B也將切斷線路。

由于安全級別高與連接速度成反比，因特網的很多接入都采用PAP協議認證。一般來說，進入撥號訪問服務器后，遠程訪問者還要通過主機口令的檢查，故安全不會成問題，而國內遠程訪問的接入速率較低，用PAP可提高一些效率。

路由器內部認證

使用專用路由器時，一般采用其他的服務器做安全認證服務器，所以安裝、使用、維護都較麻煩。如果僅有幾個用戶使用，或在專用軟件中共同使用一個撥號口令，那就更不值得了。在這種情況下可采用路由器內部認證的方式，以Cisco路由器為例，配置如下：

hostname 2509 （路由器的名稱）

!

enable password cisco （路由器GLOBAL狀態口令）

!

username cisco password 0 cisco （遠程用戶名稱、口令）

!

interface Ethe.net0

ip address 202.100.99.5 255.255.255.0

no shut

!

interface Group－Async1

ip unnumbered Ethernet0

encapsulation ppp

async dynamic routing

async mode interactive （此模式可在終端方式和PPP方式切換）

peer default ip address pool default

ppp authentication pap

group－range 1 8

!

ip local pool default 202.100.99.2 202.100.99.254

ip classless

!

line con 0

line 1 8

autoselect ppp

login local （本機認證方式）

modem InOut

autocommand ppp

transport input all

stopbits 1

speed 115200

flowcontrol hardware

line vty 0 4

password cisco

login

!

end

此配置可以作為一個內部通信用的撥號訪問服務器的配置，它也是標準的Intranet配置，可以用各種撥號軟件如Windows 95的撥號網絡功能，連接內部的WWW等服務器。

原文轉自：http://www.kjueaiud.com