PPP 인증(Authentication) 방식

네트워크 구성

 

-   ACS_SVR(10.1.250.5 / Window Server)에서 Radius인증을 설정한다.

-   HQ_CE 라우터와 Branch1 라우터를 PPP로 인증 하려고 한다.

 

PPP 란?

 

-   PPP와 HDLC는 WAN 구간의 L2 프로토콜의 Point-toPoint 연결 방식이다.

-   Cisco 라우터의 경우 Serial Interface를 사용할 때 관리자가 별도로 설정하지 않는다면 L2 프로토콜로 HDLC를 사용한다.

-   Cisco 라우터가 다른 벤더 라우터와 Point-to-Point 연결을 구성하는 경우 Cisco HDLC가 타 벤더 라우터에서 지원되지 않기 때문에 PPP 방식을 사용해야 한다.

 

PPP 인증(Authentication)

 

-   PPP 인증은 다양한 목적으로 사용된다. (과거의 ADSL의 사용자 인증, PPPoE 등)

 

1) PAP(Password Authentication Protocol)

 

-   Plain Text(평문)을 사용하여 인증한다.

-   인증 절차가 2-Way-Handshake로 동작한다.

 

2) CHAP(Challenge Handshackes Authentication Protocol)

 

-   Hash(MD5) 방식을 사용하여 인증한다.

-  인증 절차가 3-Way-Handshake로 동작한다.

 

-   PPP는 L2 프로토콜이기 때문에 PPP 인증이 실패하는 경우 Line 프로토콜 상태가 Down이 되기 때문에 해당 회선으로는 통신이 불가능하다.

 

-   그 외에도 Multi-Link, 압축/암호화, Callback 기능을 제공한다.

 

3) Radius 인증 서버와 연동

 

 

PAP(Password Authentication Protocol) 구성

 

1. HQ_CE, Branch1 라우터 PPP설정

 

<HQ_CE> conf t int s 1/1  encapsulation ppp !

 

HQ_CE PPP 설정 확인

 

<Branch1> conf t int s 1/0  encapsulation ppp !

 

 

Branch PPP 설정 확인

 

-   Client(Win7_B)에서 PPP설정이 완료되어 외부로 통신이 가능한 것을 확인할 수 있다.

 

 

2. PAP인증 설정

 

<HQ_CE> username Branch password cisco123 int s 1/1  shut  ppp authentication pap   no shut !

 

-   Branch 라우터도 동일한 PAP인증 방식을 사용해야 통신이 가능하다.

 

Interface  확인

Packet 확인

<Branch> conf t int s 1/0  shut  ppp pap sent-username Branch password cisco123  no sh !

 

 

 

CHAP(Challenge Handshackes Authentication Protocol) 구성

 

전송 방식(3-Way-handshake)

 

1.   HQ_CE 라우터가 Branch 라우터에게 Challenge 값을 보낸다.

2.  Challenge 값을 받은 Branch 라우터는 MD5 해쉬값을 HQ_CE 라우터에게 보낸다.

3.  두 라우터 값이 일치하면 인증이 성공된다.

 

<HQ_CE> conf t  int s 1/1  shut  no ppp authentication pap  ppp authentication chap  no sh !

 

-    HQ_CE Router에서 Challenge 값을 전달하는 것을 확인할 수 있다.

 

 

<Branch1> conf t int s 1/0  shut  no ppp pap sent-username Branch password cisco123  ppp chap hostname Branch   ppp chap password cisco123  no sh !

 

-   3-Way-handshack가 정상적으로 이루어진 것을 확인할 수 있다.

 

 

-   인증이 완료되어 정상적으로 통신이 가능하다.

 

 

 Radius 인증 서버와 연동 구성

 

1. CHAP 인증방식 삭제

 

<HQ_CE> conf t int s 1/1  shut  no ppp authentication chap  no sh !   <Branch1> conf t int s 1/0  shut  no ppp chap hostname Branch  no ppp chap password cisco123  no sh !

 

2.HQ_CE, Branch1 라우터 초기화

 

<HQ_CE> conf t default int s 1/1 int s 1/1  shut  encapsulation ppp  ip add 10.1.100.25 255.255.255.252  no sh !

 

<Branch1> conf t default int s 1/0 int s 1/0  shut  encapsulation ppp  ip add 10.1.100.26 255.255.255.252  no sh !

 

3. Radius 설정

 

-   do sh running-config를 통해 aaa Model이 잘 설정 되었는지 확인한다.

 

 

 

<HQ_CE> conf t aaa new-model radius-server host 10.1.250.5 key cisco123 ip radius source-interface loopback 0 ! aaa authentication ppp PPP_AUTH group radius int s 1/1  shut ppp authentication chap  ppp authentication chap PPP_AUTH  no sh !

 

<Branch1>   int s 1/0   shut   ppp chap hostname Branch1   ppp chap password cisco123   no shut  !

 

4. Radius 설정 확인

 

 

-   ACS 서버와 연결된 곳에서 Radius 패킷을 확인 한다.

 

-   Request, Accept 패킷이 정상적으로 이동한것을 확인할 수있다.

 

 

-   HQ_CE Router와 Branch 라우터 사이의 패킷을 확인 한다.

 

-   3-Way-Handshake를 통해 CHAP가 잘 설정된것을 확인할 수 있다.