為了保證網(wǎng)絡(luò)環(huán)境的安全性，我們需要在網(wǎng)絡(luò)環(huán)境中設(shè)置驗證機制，也就是說當(dāng)某個用戶的設(shè)備想要和你的設(shè)備實現(xiàn)通訊時，必須得經(jīng)過你的身份驗證。今天我們來看一下廣域網(wǎng)協(xié)議PPP身份驗證。PPP身份驗證方式分為兩種，一種為PAP驗證，PAP驗證有一個缺點，就是在驗證用戶身份時信息以明文傳輸，這樣在驗證過程中很有可能第三方會竊取驗證信息，因而安全性較差。一種為CHAP驗證，這種身份驗證***優(yōu)點就是在驗證過程   中為加密驗證，所以在網(wǎng)絡(luò)中大多都采用的CHAP驗證，因為它能夠更好的保證網(wǎng)絡(luò)的安全。今天我們就來一起開一下CHAP配置和驗證過程

CHAP驗證過程：

①、A向B發(fā)起PPP連接請求

②、B向A聲明，要求對A進行CHAP驗證

③、A向B聲明，同意驗證

④、路由器B把“用戶ID，隨機數(shù)”發(fā)給路由器A

⑤、路由器A用收到的“用戶ID和隨機數(shù)”與“自己的密碼”做散列運算

⑥、路由器A把“用戶ID、隨機數(shù)、散列結(jié)果(注意：此時并沒有發(fā)送密碼，密碼包括在散列中)”發(fā)給B

⑦、路由器B用收到的“用戶ID、隨機數(shù)”與“自己的密碼”做散列運算，把散列運算結(jié)果與“A發(fā)過來的散列運算結(jié)果”進行比較，結(jié)果一樣，驗證成功；結(jié)果不一樣，驗證失敗。

下面我們開始配置CHAP驗證，試驗環(huán)境如上圖

搭建基本環(huán)境

配置A路由器

A(config)#int lo0 啟用一個回環(huán)端口Lo0，代表A路由器內(nèi)部網(wǎng)絡(luò)  
A(config-if)#ip address 192.168.10.1 255.255.255.0  
A(config-if)#exit  
A(config)#int s1/0 配置廣域網(wǎng)端口s1/1  
A(config-if)#ip address 202.110.100.1 255.255.255.0  
A(config-if)#encap ppp 封裝廣域網(wǎng)協(xié)議為PPP  
A(config-if)#clock rate 64000 A、B路由器由A路由器的S1/1提供時鐘頻率  
A(config-if)#no shut 激活廣域網(wǎng)端口  
A(config-if)#exit  
A(config)#router rip 配置路由協(xié)議RIP第二個人版本  
A(config-router)#version 2  
A(config-router)#net 192.168.10.0  
 
A(config-router)#net 202.110.100.0  

配置B路由器

B(config)#int s1/0 配置B路由器S1/0端口  
B(config-if)#ip address 202.110.100.2 255.255.255.0  
B(config-if)#encap ppp 封裝廣域網(wǎng)協(xié)議PPP  
B(config-if)#no shut 激活S1/0端口  
B(config-if)#exit  
B(config)#router rip 配置RIP協(xié)議的第二個版本  
B(config-router)#ver 2  
B(config-router)#net 202.110.100.0 

在配置完基本的框架后此時A、B路由器就可以相互通訊了，我們可是使用show ip route 命令分別查看一下A、B路由器的路由表

為了能夠更好的看出下面的試驗效果，我們還要看一下端口的狀態(tài)，使用show interface 端口號 查看端口狀態(tài)。我們看到A、B路由器的S1/0端口和端口上的協(xié)議均處于UP狀態(tài)，代表一切正常