ppp中的認證方式有pap和chap兩種,這兩種認證既可以單獨使用也可以結
合使用。並且既可以進行單向認證也可以進行雙向認證。
pap是兩次握手,認證首先由被認證方發起認證請求,將自己的使用者名稱和密碼以
明文的方式傳送給主認證方。然後,主認證方接受請求,並在自己的本地使用者資料庫裡查詢是否有對應的條目,如果有就接受請求。如果沒有,就拒絕請求。這種認證方式是不安全的,很容易引起密碼的洩露,但是,相對於chap認證方式來說,節省了寶貴的鏈路頻寬。比如說現在的internet撥號認證接入方式就是pap認證。
chap是三次握手,認證首先由主認證方發起認證請求,向被認證方傳送「挑戰」
字串(一些經過摘要演算法加工過的隨機序列)。然後,被認證方接到主認證方的認證請求後,將使用者名稱和密碼(這個密碼是根據「挑戰」字串進行md5加密的密碼)發回給主認證方。最後,主認證方接收到回應「挑戰」字串後,在自己的本地使用者資料庫中查詢是否有對應的條目,並將使用者名稱對應的密碼根據「挑戰」字串進行md5加密,然後將加密的結果和被認證方發來的加密結果進行比較。如果兩者相同,則認為認證通過,如果不同則認為認證失敗 先來講下pap 認證
1、單向認證
r1只做如下配置(驗證服務端)
在配置模式下設定使用者名稱和密碼(使用者名稱和密碼隨意)
r1(config)#username a password 123
在埠模式下進行協議的封裝和認證方式的指定
r1(config-if)#encapsulation ppp r1(config-if)#ppp authentication pap r2只做如下配置(驗證客戶端)
在埠模式下進行協議的封裝和傳送驗證資訊(對方設定的使用者名稱和密碼)
r2(config-if)#encapsulation ppp
r2(config-if)#ppp pap sent-username a password 123
這樣就可以完成pap的單向認證
2、雙向認證
(其實做完上面的步驟仔細一想,如果兩邊既是服務端又是客戶端口,這樣就是雙向認證了,不必看下面的也知道該怎麼配雙向認證了)
r1只做如下配置(既是驗證服務端又是客戶端)
在配置模式下設定使用者名稱和密碼(使用者名稱和密碼隨意)
r1(config)#username a password 123
在埠模式下進行協議的封裝、認證方式的指定和傳送驗證資訊(對方設定的使用者名稱和密碼)
r1(config-if)#encapsulation ppp r1(config-if)#ppp authentication pap
r1(config-if)#ppp pap sent-username b password 456 r2只做如下配置(既是驗證服務端又是客戶端)
在配置模式下設定使用者名稱和密碼(使用者名稱和密碼隨意)
r2(config)#username b password 456
在埠模式下進行協議的封裝、認證方式的指定和傳送驗證資訊(對方設定的使用者名稱和密碼)
r2(config-if)#encapsulation ppp r2(config-if)#ppp authentication pap
r2(config-if)#ppp pap sent-username a password 123
這樣即可完成pap的雙向認證 再來說說chap認證
1、單向認證
r1只做如下配置(驗證服務端)
在配置模式下設定使用者名稱和密碼(使用者名稱和密碼隨意)
r1(config)#username a password 123
在埠模式下進行協議的封裝和認證方式的指定
r1(config-if)#encapsulation ppp r1(config-if)#ppp authentication chap r2只做如下配置(驗證客戶端)
在埠模式下進行協議的封裝和認證時的使用者名稱和密碼指定(記住這裡不傳送使用者名稱和密碼,而是傳送乙個經過加密密碼的乙個字串)
r2(config-if)#encapsulation ppp r2(config-if)#ppp chap hostname a r2(config-if)#ppp chap password 123
這樣就可以完成chap的單向認證
2、雙向認證
(這裡和pap有所有同,請注意)
r1只做如下配置(既是驗證服務端又是客戶端)
在配置模式下設定使用者名稱和密碼(使用者名稱可隨意且可以不同但密碼一定相同,因為最終核對的是同乙個密碼加密後雜湊函式,如果密碼都不同,認證肯定失敗)
r1(config)#username a password 123
在埠模式下進行協議的封裝和認證方式的指定
r1(config-if)#encapsulation ppp r1(config-if)#ppp authentication chap
r1(config-if)#ppp chap hostname b //這裡只需指定使用者名稱就可以,因為密
碼雙方都知道
r2只做如下配置(既是驗證服務端又是客戶端)
在配置模式下設定使用者名稱和密碼(同上)
r2(config)#username b password 123
在埠模式下進行協議的封裝和認證時的使用者名稱和密碼指定(記住這裡不傳送使用者名稱和密碼,而是傳送乙個經過加密密碼的乙個字串,也可以解釋為什麼這裡沒有sent-username命令)
r2(config-if)#encapsulation ppp r2(config-if)#ppp authentication chap r2(config-if)#ppp chap hostname a //同上
這樣即可完成chap的雙向認證
pap認證失敗
6 0171 ppp lcp rx cfgreq 傳送padi,ac mac 00308818d337,請求建立連線 接收pads 傳送padr,maximum receive unit,maximum receive unit ppp lcp tx cfgack 傳送padr 接收padt,ses...
pap認證過程 廣域網PAP配置及認證
一 目的 1 為路由器指定唯一主機名 2 列出認證路由器時所使用的遠端主機名稱和口令 3 wan介面上完成ppp協議的封裝 4 cisco1為服務端,cisco2為客戶端,客戶端主動想服務端發出認證請求,密碼設定為ccna.二 拓撲 三 配置步驟 1 配置cisco1的服務端設定 router co...
關於ppp協議的pap chap交叉認證
實驗名稱 ppp協議的pap chap交叉認證 實驗目的 驗證兩種協議的交叉認證協商 實驗拓撲 主要配置語句 r1上的配置 r1 config in s 1 0 r1 config if ip add 202.106.0.1 255.255.255.0 r1 config if no shutdow...