路由器配置PPP協議 CHAP驗證 PAP驗證

 

來源 https://www.cnblogs.com/tcheng/p/5967485.html

PAP是兩次握手，明文傳輸用戶密碼進行認證；CHAP是三次握手，傳輸MD5值進行認證。

PAP：

 

CHAP:

 

 

        PPP協議是一種點——點串行通信協議。PPP具有處理錯誤檢測、支持多個協議、允許在連接時刻協商IP地址、允許身份認證等功能，還有其他。PPP提供了3類功能：成幀；鏈路控制協議LCP；網絡控制協議NCP。PPP是面向字符類型的協議。

        PPP協議的驗證分為兩種：一種是PAP，一種是CHAP。相對來說PAP的認證方式安全性沒有CHAP高。PAP在傳輸password是明文的，而CHAP在傳輸過程中不傳輸密碼，取代密碼的是hash（哈希值）。PAP認證是通過兩次握手實現的，而CHAP則是通過3次握手實現的。

 

一、CHAP驗證

給個今天的配置例子：

R1 R2兩台路由器需要互相通信，即兩方都有機會發出請求：

R1(config)#user R1 pas kxm   //為本機設置密碼

R1(config)#user R2 pass kxm //對端密碼 R2 是對端名稱 kxm是對端密碼

R1(config)#int se 0/1/1

R1(config-if)#enc ppp     //對serial 0/1/1 串口使用ppp協議

R1(config-if)#ppp au chap//使用chap驗證

R1(config-if)#no shu

R1(config-if)#ex

 

R2(config)#user R2 pas kxm   //為本機設置密碼

R2(config)#user R1 pass kxm //對端密碼 R3 是對端名稱 kxm是對端密碼

R2(config)#int s 0/1/0

R2(config-if)#enc ppp//對serial 0/1/0 串口使用ppp協議

R2(config-if)#ppp au chap //使用chap驗證

R2(config-if)#no shu

R2(config-if)#ex

配置好即可通信成功，當只配置一條鏈路的其中一邊的路由器時，端口狀態為down。只有當兩邊路由器都配置成功時，端口才為up。

 

以上情況為兩路由器需要互相通信是的情況。當存在服務器端和客戶端時，客戶端將只需要配置本地口令。

如上例改成R1為服務器端，R2為客戶端，即只出現R2向R1發出請求的情況：

R1配置不變。

R2配置如下：

R2(config)#user R2 pas kxm   //為本機設置密碼

 

CHAP的診斷

對於CHAP身份認證中出現的問題也可以利用debug ppp authentication命令進行診斷。

 

2、PAP驗證

DCE設備端（RouterA）PPP封裝之PAP驗證設置（關鍵配置）

RouterA# configure terminal

RouterA(config)# username RouterB password 111

RouterA(config)# interface serial 0/0

RouterA(config-if)# encapsulation ppp

RouterA(config-if)# ppp authentication pap

RouterA(config-if)# ppp pap sent-username routera password 222

RouterA(config-if)# clock rate 64000

RouterA(config-if)# exit

 

DTE設備端（RouterB）PPP封裝之PAP驗證設置（關鍵配置）

RouterB# configure terminal

RouterB(config)# username routera password 222

RouterB(config)# interface serial 0/0

RouterB(config-if)# encapsulation ppp

RouterB(config-if)# ppp authentication pap

RouterB(config-if)# ppp pap sent-username routerb password 111

RouterB(config-if)# exit

 

與CHAP的差異見紅字部分

 

 三、兩種認證方法的配置：

通信認證雙方選擇的認證方法可能不一樣，如一方選擇PAP，另一方選擇CHAP，這時雙方的認證協商將失敗。為了避免身份認證協議過程中出現這樣的失敗，可以配置路由器使用兩種認證方法。當第一種認證協商失敗后，可以選擇嘗試用另一種身份認證方法。如下的命令配置路由器首先采用PAP身份認證方法。假如失敗，再采用CHAP身份認證方法。

　　RouterA（config-if）#ppp authentication pap chap

　　如下的命令則相反，首先使用CHAP認證，協商失敗后采用PAP認證。

　　RouterA（config-if）#ppp authentication chap pap

 

PAP和CHAP的區別：

區別在於認證過程，PAP是簡單認證,明文傳送,客戶端直接發送包含用戶名/口令的認證請求,服務器端處理並回應。而CHAP是加密認證,先由服務器端給客戶端發送一個隨機碼challenge,客戶端根據challenge對口令進行加密,算法是md5(password,challenge,ppp_id).然后把這個結果發送給服務器端.服務器端從數據庫中取出口令password2,同樣進行加密處理。最后比較加密的結果是否相同.如相同,則認證通過,向客戶端發送認可消息

 

PAP和CHAP的意思：

GPRS設置中的PAP鑒權和CHAP鑒權有何區別分類:PAP和CHAP是目前的在PPP中普遍使用的認證協議。PAP是簡單二次握手身份驗證協議,用戶名和密碼明文傳送,安全性低.PAP全稱為：Password Authentication Protocol。CHAP是一種挑戰響應式協議,三次握手身份驗證,口令信息加密傳送,安全性高. CHAP全稱為：Challenge Handshake Authentication Protocol。