华为路由器 PPP+CHAP/PAP 双认证完整配置实操
一、实验背景在广域网串口链路部署中PPP 是最常用的二层链路协议支持 PAP 明文认证与 CHAP 密文认证两种安全机制。本次在华为 AR 系列路由器上完成串口 PPP 链路配置同时配置 PAPCHAP 双向认证并配套基础系统管理、本地用户、防火墙域等基础配置适合网工入门实验。设备华为 AR2200 路由器R2串口 Serial0/0/0 作为广域网互联接口。二、完整配置命令解析1. 基础系统配置shell# 进入系统视图system-view# 设备命名为R2sysname R2# 插入2SA串口板卡board add 0/1 2SA# NMP代理设备网管引擎标识nmp-agent local-engineid 800007DB0300000000000000nmp-agent# 设置时区为东八区北京时间clock timezone China-Standard-Time minus 08:00:00# 加载门户网页文件portal local-server load portalpage.zip# 关闭非法MAC告警undo drop illegal-mac alarm# 设置CPU告警阈值使用率80%告警降到75%解除告警set cpu-usage threshold 80 restore 752. AAA 认证与本地管理员账号配置shell# AAA视图aaa# 调用默认认证、授权、计费方案authentication-scheme defaultauthorization-scheme defaultaccounting-scheme default# 两个域默认域 default_admin管理域domain defaultdomain default_admin# 创建本地管理员账号adminlocal-user admin password cipher $$$K8m.Nt84DZ}e$08bmE3Uw)$$$# 账号服务类型为HTTP用于WEB网管登录local-user admin service-type http3. 防火墙安全域配置shell# 防火墙本地域优先级firewall zone Localpriority 154. 串口 PPP 链路 CHAPPAP 认证核心配置shell# 进入串口Serial0/0/0接口interface Serial0/0/0# 封装PPP链路层协议link-protocol ppp# 1. CHAP密文认证配置ppp chap user huaweippp chap password cipher $$$1zlO2PwmBvgYFn[]F,$n;$$$# 2. PAP明文认证配置ppp pap local-user huawei password cipher $$$GD6l,(Sve9[B6}ku,)($$$# 配置接口IP地址ip address 10.1.1.2 255.255.255.252其余备用串口初始化shellinterface Serial0/0/1link-protocol ppp# 千兆业务接口初始化interface GigabitEthernet0/0/0interface GigabitEthernet0/0/1interface GigabitEthernet0/0/2# 环回空接口interface NULL05. 控制台与远程 VTY 线路管理shell# Console口配置密码认证user-interface con 0authentication-mode password# 远程Telnet线路VTY 0~4、16~20user-interface vty 0 4user-interface vty 16 20三、关键知识点讲解PPP 两种认证区别PAP账号密码明文在链路上传输安全性弱CHAP只传递哈希密文不会传输明文密码广域网优先使用 CHAP。本实验同时配置双向 PAPCHAP设备会优先协商 CHAP 认证。密码带cipher关键字表示密文存储配置文件中不会显示明文密码符合设备安全规范。网段说明10.1.1.2/30掩码 255.255.255.252整个子网只有 2 个可用 IP专门用于点到点串口互联无多余广播地址。管理账号admin仅开放 HTTP 服务仅用于 WEB 页面登录不开放 Telnet/SSH缩小权限面。四、验证排错命令shell# 查看接口PPP协商状态display ppp interface Serial 0/0/0# 查看CHAP/PAP协商报文debugging ppp chapdebugging ppp pap# 查看接口IP与协议UP状态display ip interface brief# 查看本地AAA用户信息display local-user常见故障链路协议 Down两端 PPP 账号、密码不一致PAP 协商失败用户名 / 密码大小写不匹配CHAP 不通两端 chap user 名称必须严格对应。五、实验总结串口点到点链路优先封装 PPP 协议比 HDLC 支持身份认证生产环境尽量只用 CHAP 密文认证关闭 PAP 明文认证提升安全设备基础加固配置 CPU 告警、关闭无用告警、严格限制 VTY 线路与账号服务类型/30 掩码是串口点对点链路的最优子网规划节约 IP 地址。
