频道栏目
首页 > 网络 > 路由器 > 正文

ppp认证方式pap和chap原理介绍及配置(Cisco路由器)

2019-11-13 16:02:34         来源:a_paye 的BLOG  
收藏   我要投稿


一、预备知识:

1、PPP定义:

  点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。该协议不是专有协议,可以互联不同厂商设备。

  支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等。

2、PPP认证方式: www.qf0731.com  

2.1、PAP认证:

PAP:密码口令验证协议,全称:Password Authentication Protocol。PAP是两次握手认证协议,在链路首次初始化时,被认证端首先发起认证请求,向认证端发送用户名和密码信息进行身份认证。密码口令以明文发送,所以安全性较低。PAP支持单项和双向认证,认证流程图和单、双向认证示意图如下:

认证流程图:

单双向认证示意图: www.qf0731.com  

 

2.2、CHAP认证:

CHAP:挑战握手认证协议,全称:Challenge Handshake Authentication Protocol。CHAP通过三次握手验证被认证端的身份,在初始链路建立时完成,为了提高安全性,在链路建立之后周期性进行验证。CHAP比PAP更安全,因为CHAP不在线路上发送明文,而是发送经过MD5过的随机数序列。CHAP支持单向和双向认证。CHAP认证示意图如下:
  www.qf0731.com  

三、配置

3.1、配置环境:

1、模拟环境:Cisco Packet Tracer 5.3

2、模拟路由器:Cisco Router-PT

3、连接串行端口:R_A——>s2/0;R_B——>s3/0

3.2、PAP认证:

3.2.1、PAP单向认证:

1、R_A配置信息:

hostname R_A

interface Serial2/0

 ip address 192.168.1.1 255.255.255.0

 encapsulation ppp

 ppp pap sent-username R_A password 0 123

 clock rate 64000

R_A(config-if)#ip address 192.168.1.1 255.255.255.0

R_A(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial2/0, changed state to up

2、R_B配置信息: www.qf0731.com  

Router>en

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#hostname R_B

R_B(config)#username R_A password 0 123

R_B(config)#interface s3/0

R_B(config-if)#encapsulation ppp

R_B(config-if)#ppp authentication pap

R_B(config-if)#ip address 192.168.1.2 255.255.255.0

R_B(config-if)#no shutdown

3、验证:

在路由器R_A上:

R_A#debug ppp authentication 

PPP authentication debugging is on

Serial2/0 Using hostname from interface PAP

Serial2/0 Using password from interface PAP

Serial2/0 PAP: O AUTH-REQ id 17 len 15

Serial2/0 PAP: Phase is FORWARDING, Attempting Forward

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

在路由器R_B上: www.qf0731.com  

R_B#ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/6 ms

3.2.2、PAP双向认证:

(双向认证配置是在单向认证配置的基础上操作的)

1、在R_A上增加用户信息、认证方式:

R_A#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R_A(config)#username R_B password 0 123

R_A(config)#interface s2/0

R_A(config-if)#ppp authentication pap

2、在R_B上增加发送认证信息:

R_B#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R_B(config)#inter s3/0

R_B(config-if)#ppp pap sent-username R_B password 0 123

3、验证:

R_A#ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/6/16 ms

3.3、CHAP认证:

3.3.1、CHAP单向认证:

1、R_A(被认证端)配置信息:

hostname R_A

username R_B password 0 123

interface Serial2/0

ip address 192.168.1.1 255.255.255.0

encapsulation ppp

clock rate 64000

2、R_B(认证端)配置信息:

hostname R_B

username R_A password 0 123

interface Serial3/0

ip address 192.168.1.2 255.255.255.0

encapsulation ppp

ppp authentication chap

3.3.2、CHAP双向认证:

1、在R_A路由器上作如下配置:

R_A#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

R_A(config)#inter s2/0

R_A(config-if)#ppp authentication chap

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

2、验证:

R_A(config-if)#do ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/9/35 ms
 

四、主意事项: www.qf0731.com  

1、用户名、密码信息与主机名的对应关系;

2、认证端、被认证端之间的信息对应关系;

3、认证信息大小写敏感;

4、修改配置后,若未生效,尝试重启端口;

5、常用排错命令:

show running configuration

show interface sx/x/x

debug ppp authentication

6、验证信息可放置在第三方服务器上——AAA或TACACS+服务器。
 

相关TAG标签 路由器 原理 方式
上一篇:Cisco路由器重要存储设备Flash和NVRAM
下一篇:双网段电脑通过单路由器互相访问
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 全峰安全联盟--致力于做实用的IT技术学习网站