华为路由器 PPP+CHAP/PAP 双认证完整配置实操

一、实验背景
在广域网串口链路部署中，PPP 是最常用的二层链路协议，支持 PAP 明文认证与 CHAP 密文认证两种安全机制。本次在华为 AR 系列路由器上完成串口 PPP 链路配置，同时配置 PAP+CHAP 双向认证，并配套基础系统管理、本地用户、防火墙域等基础配置，适合网工入门实验。
设备：华为 AR2200 路由器（R2），串口 Serial0/0/0 作为广域网互联接口。
二、完整配置命令解析
1. 基础系统配置
shell
# 进入系统视图
system-view
# 设备命名为R2
sysname R2
# 插入2SA串口板卡
board add 0/1 2SA
# NMP代理（设备网管引擎标识）
nmp-agent local-engineid 800007DB0300000000000000
nmp-agent
# 设置时区为东八区（北京时间）
clock timezone China-Standard-Time minus 08:00:00
# 加载门户网页文件
portal local-server load portalpage.zip
# 关闭非法MAC告警
undo drop illegal-mac alarm
# 设置CPU告警阈值：使用率80%告警，降到75%解除告警
set cpu-usage threshold 80 restore 75
2. AAA 认证与本地管理员账号配置
shell
# AAA视图
aaa
# 调用默认认证、授权、计费方案
authentication-scheme default
authorization-scheme default
accounting-scheme default
# 两个域：默认域 + default_admin管理域
domain default
domain default_admin

# 创建本地管理员账号admin
local-user admin password cipher $$$K8m.Nt84DZ}e$<0`8bmE3Uw)$$$
# 账号服务类型为HTTP，用于WEB网管登录
local-user admin service-type http
3. 防火墙安全域配置
shell
# 防火墙本地域优先级
firewall zone Local
priority 15
4. 串口 PPP 链路 + CHAP+PAP 认证（核心配置）
shell
# 进入串口Serial0/0/0接口
interface Serial0/0/0
# 封装PPP链路层协议
link-protocol ppp

# 1. CHAP密文认证配置
ppp chap user huawei
ppp chap password cipher $$$1zl"O2PwmBvg>YFn@[]F,$n;$$$

# 2. PAP明文认证配置
ppp pap local-user huawei password cipher $$$<"GD6l,(=Sve9[B6}ku',")($$$

# 配置接口IP地址
ip address 10.1.1.2 255.255.255.252
其余备用串口初始化：
shell
interface Serial0/0/1
link-protocol ppp

# 千兆业务接口初始化
interface GigabitEthernet0/0/0
interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/2

# 环回空接口
interface NULL0
5. 控制台与远程 VTY 线路管理
shell
# Console口配置：密码认证
user-interface con 0
authentication-mode password

# 远程Telnet线路VTY 0~4、16~20
user-interface vty 0 4
user-interface vty 16 20
三、关键知识点讲解
PPP 两种认证区别
PAP：账号密码明文在链路上传输，安全性弱；
CHAP：只传递哈希密文，不会传输明文密码，广域网优先使用 CHAP。
本实验同时配置双向 PAP+CHAP，设备会优先协商 CHAP 认证。
密码带cipher关键字：表示密文存储，配置文件中不会显示明文密码，符合设备安全规范。
网段说明：10.1.1.2/30，掩码 255.255.255.252，整个子网只有 2 个可用 IP，专门用于点到点串口互联，无多余广播地址。
管理账号：admin仅开放 HTTP 服务，仅用于 WEB 页面登录，不开放 Telnet/SSH，缩小权限面。
四、验证排错命令
shell
# 查看接口PPP协商状态
display ppp interface Serial 0/0/0

# 查看CHAP/PAP协商报文
debugging ppp chap
debugging ppp pap

# 查看接口IP与协议UP状态
display ip interface brief

# 查看本地AAA用户信息
display local-user
常见故障：
链路协议 Down：两端 PPP 账号、密码不一致；
PAP 协商失败：用户名 / 密码大小写不匹配；
CHAP 不通：两端 chap user 名称必须严格对应。
五、实验总结
串口点到点链路优先封装 PPP 协议，比 HDLC 支持身份认证；
生产环境尽量只用 CHAP 密文认证，关闭 PAP 明文认证提升安全；
设备基础加固：配置 CPU 告警、关闭无用告警、严格限制 VTY 线路与账号服务类型；
/30 掩码是串口点对点链路的最优子网规划，节约 IP 地址。