PPP认证,含pap和chap的双向与单向认证——蘑菇课堂

合集下载

PPP的CHAP认证和PAP认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

PPP的PAP与CHAP深入详解

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

PPP的PAP与CHAP深入详解

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

华为PPP验证PAP和CHAP

华为的考试中100%回出现类似的实验题,只要注意用户名和密码,就没有问题:)1. 配置需求路由器Quidway1和Quidway2之间用接口Serial0互连，要求路由器Quidway1（验证方）以PAP方式验证路由器Quidway2（被验证方）。

2. 配置步骤(1)配置路由器Quidway1（验证方）！在本地数据库中添加一个名为quidway2，验证密码为hello的用户。

Quidway(config)# user quidway2 password 0 hello！配置本端启用PAP验证方式Quidway(config)# interface serial 0Quidway(config-if-serial0)# ppp authentication pap(2) 配置路由器Quidway2（被验证方）！配置本端以用户名为quidway2、密码为hello被对端进行验证。

Quidway(config)# interface serial 0Quidway(config-if-serial0)# ppp pap sent-username quidway2 password 0 hello1.5.2CHAP验证举例1. 配置需求路由器Quidway1（验证方）以CHAP方式验证路由器Quidway2（被验证方）。

2. 配置步骤(1)配置路由器Quidway1（验证方）！在本地数据库中添加一个名为quidway2，验证密码为hello的用户。

Quidway(config)# user quidway2 password 0 hello！设置本端用户名为quidway1Quidway(config)# interface serial 0Quidway(config-if-serial0)# ppp chap host quidway1！配置本端启用CHAP验证方式Quidway(config-if-serial0)# ppp authentication chap(2) 配置路由器Quidway2（被验证方）！在本地数据库中添加一个名为quidway1，验证密码为hello的用户。

chap pap认证原理及配置详细讲解

pap chap认证详细讲解最近都一直在研究ppp协议和两种认证方式，才发现网上提供的好多的都有错误，而且连书本上同样错，讲的都不详细，今天我就将自已的成果分享出来，供大家学习，如果有什么不懂的地方请留言，我会以最快的速度回复，闲话少说，开始吧。

PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是两次握手，认证首先由被认证方发起认证请求，将自己的用户名和密码以明文的方式发送给主认证方。

然后，主认证方接受请求，并在自己的本地用户数据库里查找是否有对应的条目，如果有就接受请求。

如果没有，就拒绝请求。

这种认证方式是不安全的，很容易引起密码的泄露，但是，相对于CHAP认证方式来说，节省了宝贵的链路带宽。

比如说现在的Internet拨号认证接入方式就是PAP认证。

chap是三次握手，认证首先由主认证方发起认证请求，向被认证方发送“挑战”字符串（一些经过摘要算法加工过的随机序列）。

然后，被认证方接到主认证方的认证请求后，将用户名和密码（这个密码是根据“挑战”字符串进行MD5加密的密码）发回给主认证方。

最后，主认证方接收到回应“挑战”字符串后，在自己的本地用户数据库中查找是否有对应的条目，并将用户名对应的密码根据“挑战”字符串进行MD5加密，然后将加密的结果和被认证方发来的加密结果进行比较。

如果两者相同，则认为认证通过，如果不同则认为认证失败先来讲下pap 认证1、单向认证R1只做如下配置（验证服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR2只做如下配置（验证客户端）在端口模式下进行协议的封装和发送验证信息（对方设置的用户名和密码）R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样就可以完成pap的单向认证2、双向认证（其实做完上面的步骤仔细一想，如果两边既是服务端又是客户端口，这样就是双向认证了，不必看下面的也知道该怎么配双向认证了）R1只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR1(config-if)#ppp pap sent-username b password 456R2只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名和密码随意）R2(config)#username b password 456在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样即可完成pap的双向认证再来说说chap认证1、单向认证R1只做如下配置（验证服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2只做如下配置（验证客户端）在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串）R2(config-if)#encapsulation pppR2(config-if)#ppp chap password 123这样就可以完成chap的单向认证2、双向认证(这里和pap有所有同，请注意)R1只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名可随意且可以不同但密码一定相同，因为最终核对的是同一个密码加密后散列函数，如果密码都不同，认证肯定失败）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname b //这里只需指定用户名就可以，因为密码双方都知道R2只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（同上）R2(config)#username b password 123在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串，也可以解释为什么这里没有sent-username命令）R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname a //同上这样即可完成chap的双向认证----------------完----------------------。

认证协议基础专题PPP_PAP_CHAP_MSCHAPv2_RADIUS_MPPE

认证协议介绍一PPP：点对点协议（PPP：Point to Point Protocol）PPP（点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。

这种链路提供全双工操作，并按照顺序传递数据包。

设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。

PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。

在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。

除了IP 以外PPP 还可以携带其它协议，包括DECnet和Novell的Internet 网包交换（IPX）。

（1）PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；（2）PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；（3）PPP具有错误检测以及纠错能力，支持数据压缩；（4）PPP具有身份验证功能。

值（A=FFH，C=03H）；协议域（两个字节）取0021H表示IP分组，取8021H表示网络控制数据，取C021H表示链路控制数据；帧校验域（FCS）也为两个字节，它用于对信息域的校验。

若信息域中出现7EH，则转换为（7DH，5EH）两个字符。

当信息域出现7DH时，则转换为（7DH，5DH）。

当信息流中出现ASCII码的控制字符（即小于20H），即在该字符前加入一个7DH字符。

封装：一种封装多协议数据报的方法。

PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。

PPP 封装精心设计，能保持对大多数常用硬件的兼容性，克服了SLIP不足之处的一种多用途、点到点协议，它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。

所以，PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务。

4.2PPP的CHAP认证

4.2PPP的CHAP认证4.2 PPP的CHAP认证【项目情境】假设你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，当客户端路由器与ISP进行链路协商时，需要验证身份，以保证链路的安全性。

要求链路协商时以MD5密文的方式进行传输。

【项目目的】1.掌握ppp协议的封装与CHAP验证配置。

2.掌握CHAP配置的测试方法、观察和记录测试结果。

3.了解CHAP三次握手，完成验证的过程。

【相关设备】路由器两台、V.35线缆一对。

【项目拓扑】【项目任务】1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。

两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。

配置RouterA和RouterB的S0/1口地址。

在RouterA 的S0/1口上配置同步时钟为64000。

2.在两个路由器的连接专线上封装广域网协议PPP，并查看端口的显示信息，测试两个路由器之间的联连性。

3.在两个路由器的连接专线上建立PPP协议的CHAP认证，RouterA 为被验证方，RouterB为验证方(即挑战式握手验证协议，双方通过三次握手，完成验证过程)，并测试两个路由器之间的联连性(以MD5密文方式进行密码传输和验证，通过则PPP的LCP 层链路建立成功，两个路由器才可互通)。

先通过show running-config来查看配置。

4.在RouterB上启用debug命令验证配置，需要把S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。

6.使用锐捷设备（2、3人一组）完成上面的步骤（端口见如下拓扑图）【实验命令】1.在两个路由器的连接专线上建立PPP协议的CHAP认证RouterA(config)#username RouterB password 0 123RouterB(config)#username RouterA password 0 123RouterB(config)#interface serial 0/1RouterB(config-if)#ppp authentication chap2.在RouterB上启用debug命令RouterB#debug ppp authenticationRouterB#debug ppp negotiation3.把RouterB 的S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

ppp认证方式apchap认证

p p p认证方式a p c h a p认证文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

PPP中的pap和chap认证

PPP中的pap和chap认证写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。

实验等级：Aassistant实验拓扑：实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证基本配置：R1：!hostname R1----------------------------------------------------------设置主机名为“R1”!interface Serial1/0ip address 1.1.1.1 255.255.255.0encapsulation ppp-------------------------------------------------设置封装为pppR2：hostname R2!interface Serial1/0ip address 1.1.1.2 255.255.255.0encapsulation ppp通过上面的配置，在没有启用任何认证的情况下，链路是通的。

配置步骤：1.在两台路由器上进行pap认证：如果我们进行单项认证的话配置应该如下R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。

R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下，我们可以看到链路已经down了：R1(config-if)#*Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to downR2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置：R2(config)#int s1/0R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码R2(config-if)#*Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。

PPP协议配置和PAP认证配置

PPP协议配置和PAP认证配置通过对PPP协议的了解，我们也进入到了配置阶段。

那么我们知道，PPP协议:(point to point protocol)点队点协议的前身是SLIP,PPP协议提供了一种在点对点链路上封状多种网络数据报文的标准方法。

现在我们重点讲解一下PPP 协议配置和PAP认证配置的内容。

PPP相对SLIP的协议的优点：1、支持同步、异步串行链路；2、支持多种网络协议；3、支持各种连接参数的协商；4、支持错误检测；5、支持用户认证；6、允许进行数据的压缩。

PPP协议的组成：1、协议封装方式2、LCP3、NCPPPP运行过程：1、链接不可用阶段2、链路建立阶段3、认证阶段4、网络层协议阶段5、链路终止阶段LCP协议协商：MRU 最大数据单元/Magic Number魔术字/人证方式/链路压缩NCP协议协商：IP地址；TCP/IP头压缩认证方式：PAP/CHAPPPP协议的配置：封装PPP：Router(config)#inter serial 2/0Router(config-if)#encapsulation pppDCE端设置时钟频率：Router(config-if)#clock rate 64000接口IP配置：Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdownPAP认证配置：PAP认证配置，主认证端：Router(config-if)#exit Router(config)#username derekpassword 0 123 Router(config)#inter s2/0Router(config-if)#pppauthentication %SYS-5-CONFIG_I: Configured from console by consolePAP认证配置，被认证端：Router(config-if)#ppp pap sent-username derek password 0 123PAP认证配置完成，测试：Router#ping 192.168.10.2 Router#debug ppp packet查看端口：Router#show interfaces s 2/0 Serial2/0 is up, line protocol is up (connected) Hardware is HD64570 Internet address is 192.168.10.2/24 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0(size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0(size/max total/threshold/drops)【责任编辑：佟媛微TEL：（010）68476606】原文：PPP协议配置和PAP认证配置返回网络频道首页。

9.PPP各种验证

PPP验证1）PAP验证2次握手，密码以明文方式发送。

iii）验证方返回验证结果（通过或拒绝）。

2）CHAP验证3次握手，密码没有明文发送。

i）首先由验证方发送用户名和Challengeii）接着被验证方将用户名和使用Challenge（随机字符串）MD5iii）验证方返回验证结果（通过或拒绝）R1使用PAP验证R2设置R1使用PAP验证对端R2:int s0/0在R1上开启debug ppp authentication查看PPP PAP的验证过程，观察到PAP的2次握手（其中I AUTH-REQ表示R1收到来自R2发来PAP 验证消息，而O AUTH-ACK则是R1回应的PAP验证通过消息）R1#*Mar 1 00:01:17.755: Se0/0 PPP: Sent PAP LOGIN Request*Mar 1 00:01:17.759: Se0/0 PPP: Received LOGIN Response PASS*Mar 1 00:01:17.763: Se0/0 PPP: Sent LCP AUTHOR Request*Mar 1 00:01:17.767: Se0/0 PPP: Sent IPCP AUTHOR Request*Mar 1 00:01:17.771: Se0/0 LCP: Received AAA AUTHOR Response PASSR1#*Mar 1 00:01:18.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to upR1使用CHAP验证R2R1:hostname R1username chap_R2 password chap_passint s0/0encapsulation pppppp authentication chap 设置R1使用CHAP验证对端R2:int s0/0encapsulation pppppp chap hostname chap_R2ppp chap password chap_pass在R1上开启debug ppp authentication 查看PPP CHAP 的验证过程，观察到CHAP 的3次握手（其中O CHALLENGE 表示R1发送出的主机名和随机字符串，而I RESPONSE 则是R2回应的CHAP 验证消息--包括用户名和加密后的密码，O SUCCESS 为R1回应的CHAP 验证成功消息） R1# *Mar 1 00:14:47.887: Se0/0 CHAP: O CHALLENGE id 1 len 23 from "R1"*Mar 1 00:14:47.955: Se0/0 CHAP: I RESPONSE id 1 len 28 from "chap_R2" *Mar 1 00:14:47.959: Se0/0 PPP: Sent CHAP LOGIN Request*Mar 1 00:14:47.963: Se0/0 PPP: Received LOGIN Response PASS *Mar 1 00:14:47.971: Se0/0 PPP: Sent LCP AUTHOR Request*Mar 1 00:14:47.971: Se0/0 PPP: Sent IPCP AUTHOR Request *Mar 1 00:14:47.975: Se0/0 LCP: Received AAA AUTHOR Response PASS*Mar 1 00:14:47.979: Se0/0 IPCP: Received AAA AUTHOR Response PASS *Mar 1 00:14:47.979: Se0/0 CHAP: O SUCCESS id 1 len 4R1使用CHAP 验证R2 R1: hostname R1username chap_R2 password cisco int s0/0 encapsulation ppp ppp authentication chap 设置R1使用CHAP 验证对端 R2:hostname R2 username R1 passwod cisco注1：在CHAP 验证中，如果验证方R1发送的用户名在R2上配置了对应的username ，则R2回应时将使用此username 对应的密码回应；否则使用接口下ppp chap password 命令设置的密码。

什么是PPP？PPP的认证方式又有哪些？

什么是PPP？PPP的认证方式又有哪些？展开全文点到点链路层协议PPP（PPPoE）主要用于在全双工的同异步链路上进行点到点的数据传输，PPP是一款公有标准协议，兼容性好。

PPP协议的特点：1、PPP支持在全双工的同异步链路上进行点到点的数据传输。

2、PPP具有很好的扩展性；PPPoE就是承载在以太网链路上的PPP协议。

3、PPP支持地址信息的自动协商；LCP协议用于各种链路层参数的协商；NCP协议用于各网络层参数的协商，更好地支持了网络层协议（peer neighbor-route）。

4、PPP支持PAP、CHAP认证（可以基于接口的密码认证；也可以基于本地数据库AAA认证，提供认证、授权和审计），更好的保证了网络的安全性。

5、PPP支持将多根链路进行捆绑（Multilink）；支持对所有类型的报文/报头进行压缩；无重传机制，网络开销小，速度快。

PPP协议的组成：协议伞步骤一：链路控制协议LCP；用来建立、拆除和监控PPP数据链路步骤二：认证协议；PAP（密码认证协议）和CHAP（挑战握手认证协议）；用于链路认证，支持单向认证和双向认证。

步骤三：网络层控制协议NCP（协议伞）；用于对不同的网络层协议进行连接建立和参数协商；协议包含了IPV4CP（IPCP）、IPV6CP、IPXCP等。

PPP链路的建立过程：1、Dead阶段也称为物理层不可用阶段。

当通信双方的两端检测到物理线路激活时，就会从Dead阶段迁移至Establish阶段，即链路建立阶段。

2、Establish阶段，PPP链路会进行LCP参数协商。

协商内容包括最大接收单元MRU、认证方式、魔术字（Magic Number）等选项。

LCP参数协商成功后会进入Opened状态，表示底层链路已经建立。

3、多数情况下,链路两端的设备是需要经过认证阶段（Authenticate）后才能够进入到网络层协议协商阶段。

PPP链路在缺省情况下是不要求进行认证的。

PPP及PPP认证

user 766-1
pass pc1
02 id
MD5 hash
hash
766-1
MD5
=?
hash
© 1999, Cisco Systems, Inc.

ICND—12-27
第六步访问服务器向拔号者发送认证通过/失败的消息
User dials in
766-1 3640-1
如果需要验证，则须通信双方的路由器要交换彼此的验证信息。可以选择使用密码验证协议PAP或询问握手验证协议CHAP；在一般情况下，CHAP是首选协议。
© 1999, Cisco Systems, Inc.

ICND—12-18
选择 PPP 验证协议
Remote Router (SantaCruz)
© 1999, Cisco Systems, Inc.

ICND—12-25
第四步拔号者向访问服务器发送挑战应答
User dials in
766-1 3640-1
user pass 3640-1 pc1
01 id random 3640-1
02 id
MD5 hash
hash

ICND—12-23
第二步向拔号者发送挑战信息
User dials in
766-1 3640-1
01 id random 3640-1
1,建立挑战数据包;随机数,认证名…
2,将序列号保存在访问服务器中; 3,向呼叫方发送挑战数据包;
© 1999, Cisco Systems, Inc.
两种 PPP 验证协议: PAP 和 CHAP
© 1999, Cisco Systems, Inc.

PPPOE中的PAP与CHAP

PPPOE中的PAP与CHAP⼀般情况下，我们讨论PAP和CHAP都是讨论的NAS和⽤户之间的验证⽅式。

当⽤户上⽹时，NAS决定对⽤户采⽤何种验证⽅法。

下⾯分别在本地验证和Radius验证两种情况下介绍⽤户与NAS之间的PAP和CHAP验证⽅式。

1）NAS本地认证PAP 验证（Password Authentication Protocol：密码验证协议）：⽤户以明⽂的形式把⽤户名和密码传递给NAS。

NAS根据⽤户名在NAS端查找本地数据库，如果存在相同的⽤户名和密码表明验证通过，否则表明验证未通过。

CHAP 验证（Challenge Handshake Authentication Protocol：挑战握⼿验证协议）：当⽤户请求上⽹时，服务器产⽣⼀个16字节的随机码（challenge）给⽤户（同时还有⼀个ID号，本地路由器的 host name）。

⽤户端得到这个包后使⽤⾃⼰独⽤的设备或软件对传来的各域进⾏加密，⽣成⼀个Secret Password传给NAS。

NAS根据⽤户名查找⾃⼰本地的数据库，得到和⽤户端进⾏加密所⽤的⼀样的密码，然后根据原来的16字节的随机码进⾏加密，将其结果与Secret Password作⽐较，如果相同表明验证通过，如果不相同表明验证失败。

Secret Password = MD5（Chap ID + Password + challenge）Radius认证2）RADIUS认证如果⽤户配置了RADIUS验证⽽不是本地验证，过程略有不同。

PAP验证：⽤户以明⽂的形式把⽤户名和他的密码传递给NAS，NAS把⽤户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器。

RADIUS服务器对NAS上传的帐号进⾏验证并返回结果来决定是否允许⽤户上⽹。

Secret password =Password XOR MD5（Challenge ＋ Key）(Challenge就是Radius报⽂中的Authenticator)CHAP验证：当⽤户请求上⽹时，NAS产⽣⼀个16字节的随机码给⽤户（同时还有⼀个ID号，本地路由器的 host name）。

PPP认证,含pap和chap的双向与单向认证——蘑菇课堂

完成CHAP 本地路由器根据自己计算的预期哈希值来检查响应。如果这两个值相同，则发起方节点会确认该身份验证。否则，它会立即终止连接。
完成CHAP CHAP 通过使用唯一且不可预测的可变询问消息值提供回送攻击防护功能。因为询问消息唯一而且随机变化，所以得到的哈希值也是随机的唯一值。反复发送询问信息限制了暴露在任何单次攻击下的时间。本地路由器或第三方身份验证服务器控制着发送询问信息的频率和时机。
●路由策略与策略路由实验
●访问列表与Telnet访问控制实验
WAN 封装协议
HDLC 现在是同步 PPP 的基础，许多服务器使用同步 PPP 连接到 WAN（最常见的是连接到 Internet）
PPP PPP 对数据帧进行封装以便在第 2 层物理链路上传输。 PPP 使用串行电缆、电话线、中继 (trunk) 线、手机、专用无线链路或光缆链路建立直接连接。 PPP 具有许多优点，包含 HDLC 中没有的许多功能：链路质量管理功能监视链路的质量。如果检测到过多的错误，PPP 会关闭链路。 PPP 支持 PAP 和 CHAP 身份验证。
PPP身份验证过程
在启用 CHAP 或 PAP 身份验证或同时启用这两种身份验证之后，在允许数据流通过之前，本地路由器要求远程设备先提供身份信息。其实现过程如下： PAP 身份验证要求远程设备发送一个用户名和口令，然后将其与本地用户名数据库或远程用户身份验证数据库中的对应项进行比较。 CHAP 身份验证向远程设备发送询问消息。远程设备必须使用共享密钥加密询问消息值并将加密后的值及其名称作为响应消息返回给本地路由器。本地路由器使用远程设备的名称在本地用户名或远程用户身份验证数据库中查找适当的密钥。它使用查询到的密钥加密原始的询问消息并校验加密后的值与原始值是否匹配。

PPP认证和MPPE

PPP认证和MPPE这里说一下PPP的认证吧，首先是PAP(Password Authentication Protocol)认证。

PAP认证的原理很简单，它直接用自己sent的用户名和密码和对方的数据库进行匹配，如果匹配成功，那么认证成功。

PAP可以使用单向和双向认证，单向配置如下：R1interface Serial1/1ip address 12.1.1.1 255.255.255.0encapsulationpppserial restart-delay 0ppp authentication papusernameccie password 0 ciscoR2interface Serial1/0ip address 12.1.1.2 255.255.255.0encapsulationpppserial restart-delay 0ppp pap sent-username ccie password 0 ciscoR1上认证过程如下：*Mar 1 00:01:52.971: Se1/1 PPP: Using default call direction*Mar 1 00:01:52.979: Se1/1 PPP: Treating connection as a dedicated line*Mar 1 00:01:52.979: Se1/1 PPP: Session handle[1D000004] Session id[5]*Mar 1 00:01:52.983: Se1/1 PPP: Authorization required*Mar 1 00:01:53.075: Se1/1 PAP: I AUTH-REQ id 2 len 15 from "ccie"*Mar 1 00:01:53.079: Se1/1 PAP: Authenticating peer ccie*Mar 1 00:01:53.087: Se1/1 PPP: Sent PAP LOGIN Request*Mar 1 00:01:53.095: Se1/1 PPP: Received LOGIN Response PASS*Mar 1 00:01:53.107: Se1/1 PPP: Sent LCP AUTHOR Request*Mar 1 00:01:53.111: Se1/1 PPP: Sent IPCP AUTHOR Request*Mar 1 00:01:53.123: Se1/1 LCP: Received AAA AUTHOR Response PASS*Mar 1 00:01:53.127: Se1/1 IPCP: Received AAA AUTHOR Response PASS*Mar 1 00:01:53.131: Se1/1 PAP: O AUTH-ACK id 2 len 5*Mar 1 00:01:53.139: Se1/1 PPP: Sent CDPCP AUTHOR Request*Mar 1 00:01:53.151: Se1/1 CDPCP: Received AAA AUTHOR Response PASS*Mar 1 00:01:53.199: Se1/1 PPP: Sent IPCP AUTHOR RequestR2*Mar 1 00:01:43.283: Se1/0 PPP: Authorization required*Mar 1 00:01:43.311: Se1/0 PPP: No authorization without authentication *Mar 1 00:01:43.315: Se1/0 PAP: Using hostname from interface PAP*Mar 1 00:01:43.315: Se1/0 PAP: Using password from interface PAP*Mar 1 00:01:43.319: Se1/0 PAP: O AUTH-REQ id 2 len 15 from "ccie"*Mar 1 00:01:43.351: Se1/0 PAP: I AUTH-ACK id 2 len 5接着看看PAP的双向认证：R1interface Serial1/1ip address 12.1.1.1 255.255.255.0encapsulationpppserial restart-delay 0ppp authentication papppp pap sent-username ccnp password 0 ccnausernameccie password 0 ciscoR2interface Serial1/0ip address 12.1.1.2 255.255.255.0encapsulationpppserial restart-delay 0ppp authentication papppp pap sent-username ccie password 0 ciscousernameccnp password 0 ccna认证过程：R1R1#*Mar 1 00:03:11.311: %SYS-5-CONFIG_I: Configured from console by console*Mar 1 00:03:12.823: %LINK-3-UPDOWN: Interface Serial1/1, changed state to up *Mar 1 00:03:12.835: Se1/1 PPP: Using default call direction*Mar 1 00:03:12.839: Se1/1 PPP: Treating connection as a dedicated line*Mar 1 00:03:12.843: Se1/1 PPP: Session handle[9E000006] Session id[8]*Mar 1 00:03:12.843: Se1/1 PPP: Authorization required*Mar 1 00:03:12.907: Se1/1 PAP: Using hostname from interface PAP*Mar 1 00:03:12.911: Se1/1 PAP: Using password from interface PAP*Mar 1 00:03:12.911: Se1/1 PAP: O AUTH-REQ id 3 len 14 from "ccnp"*Mar 1 00:03:12.943: Se1/1 PAP: I AUTH-REQ id 5 len 15 from "ccie"*Mar 1 00:03:12.947: Se1/1 PAP: Authenticating peer ccie*Mar 1 00:03:12.959: Se1/1 PPP: Sent PAP LOGIN RequestR1#*Mar 1 00:03:12.967: Se1/1 PPP: Received LOGIN Response PASS*Mar 1 00:03:12.975: Se1/1 PPP: Sent LCP AUTHOR Request*Mar 1 00:03:12.979: Se1/1 PPP: Sent IPCP AUTHOR Request*Mar 1 00:03:12.983: Se1/1 PAP: I AUTH-ACK id 3 len 5*Mar 1 00:03:12.995: Se1/1 LCP: Received AAA AUTHOR Response PASS*Mar 1 00:03:12.999: Se1/1 IPCP: Received AAA AUTHOR Response PASS*Mar 1 00:03:13.003: Se1/1 PAP: O AUTH-ACK id 5 len 5*Mar 1 00:03:13.011: Se1/1 PPP: Sent CDPCP AUTHOR Request*Mar 1 00:03:13.023: Se1/1 CDPCP: Received AAA AUTHOR Response PASS*Mar 1 00:03:13.059: Se1/1 PPP: Sent IPCP AUTHOR RequestR2*Mar 1 00:03:01.195: Se1/0 PPP: Using default call direction*Mar 1 00:03:01.199: Se1/0 PPP: Treating connection as a dedicated line*Mar 1 00:03:01.203: Se1/0 PPP: Session handle[EB000003] Session id[6]*Mar 1 00:03:01.203: Se1/0 PPP: Authorization required*Mar 1 00:03:05.227: Se1/0 PAP: Using hostname from interface PAP*Mar 1 00:03:05.231: Se1/0 PAP: Using password from interface PAP*Mar 1 00:03:05.231: Se1/0 PAP: O AUTH-REQ id 5 len 15 from "ccie"*Mar 1 00:03:05.251: Se1/0 PAP: I AUTH-REQ id 3 len 14 from "ccnp"*Mar 1 00:03:05.255: Se1/0 PAP: Authenticating peer ccnp*Mar 1 00:03:05.263: Se1/0 PPP: Sent PAP LOGIN Request*Mar 1 00:03:05.271: Se1/0 PPP: Received LOGIN Response PASS*Mar 1 00:03:05.279: Se1/0 PPP: Sent LCP AUTHOR Request*Mar 1 00:03:05.283: Se1/0 PPP: Sent IPCP AUTHOR Request*Mar 1 00:03:05.295: Se1/0 LCP: Received AAA AUTHOR Response PASS*Mar 1 00:03:05.299: Se1/0 IPCP: Received AAA AUTHOR Response PASS*Mar 1 00:03:05.303: Se1/0 PAP: O AUTH-ACK id 3 len 5*Mar 1 00:03:05.351: Se1/0 PAP: I AUTH-ACK id 5 len 5*Mar 1 00:03:05.359: Se1/0 PPP: Sent CDPCP AUTHOR Request*Mar 1 00:03:05.367: Se1/0 PPP: Sent IPCP AUTHOR Request*Mar 1 00:03:05.383: Se1/0 CDPCP: Received AAA AUTHOR Response PASS接着来看看CHAP认证，CHAP的全称叫挑战握手协议（Challenge HandshakeAuthentication Protocol），由此可以判断CHAP认证需要一个交互的过程。

PPP协议的认证-PAP、CHAP.

通信技术专业教学资源库南京信息职业技术学院
《中兴IP数据工程师 ZCNE认证》课程
PPP协议的认证 PAP、CHAP
主讲：胡峰
目录
01 PPP认证-PAP、CHAP
1. PPP中的认证协议
PAP (password authentication protocol) 二次握手，明文传输用户名和密码只是在链路刚建立时使用
CHAP(Challenge-Handshake Authentication Protocol) 三次握手，不直接传送用户口令周期性地验证对方身份
ቤተ መጻሕፍቲ ባይዱ
1. PAP认证
被验证方
用户名＋密码
通过 / 拒绝
主验证方
一请求一回应，两次握手。
明文易被第三方获取，泄露用户名和密码，安全性较低
1. CHAP认证
被验证方
主验证方主机名＋随机报文用户名＋加密后报文
通过 / 拒绝
挑战报文+请求反馈，三次握手
三次握手、密文传输，CHAP是比PAP安全的一种认证协议
1. PPP会话阶段信令流程
第一步：challenge报文第二步：加密报文
第三步：反馈报文
通信技术专业教学资源库南京信息职业技术学院
谢谢
主讲：胡峰

单向认证和双向认证流程

单向认证和双向认证流程
单向认证和双向认证都是网络通信中常用的认证方式。

单向认证是指客户端验证服务器身份的过程，而双向认证则需要客户端和服务器相互验证身份。

下面是单向认证和双向认证的流程：
单向认证流程：
1. 客户端向服务器发送连接请求。

2. 服务器发送证书给客户端，证书包含服务器的公钥和相关信息。

3. 客户端使用证书中的公钥对服务器发送的信息进行加密，并将其发送回服务器。

4. 服务器使用私钥对收到的信息进行解密。

5. 服务器向客户端发送一个确认消息，客户端接收到确认消息后，认为服务器已经通过认证，可以开始通信。

双向认证流程：
1. 客户端向服务器发送连接请求。

2. 服务器发送证书给客户端，证书包含服务器的公钥和相关信息。

3. 客户端使用证书中的公钥对服务器发送的信息进行加密，并将加密后的信息发送回服务器。

4. 服务器使用私钥对收到的信息进行解密，并向客户端发送一个包含服务器的证书和公钥的信息。

5. 客户端使用服务器证书中的公钥对服务器发送的信息进行加
密，并将其发送回服务器。

6. 服务器使用私钥对收到的信息进行解密。

7. 服务器向客户端发送一个确认消息，客户端接收到确认消息后，认为服务器已经通过认证，可以开始通信。

以上是单向认证和双向认证的流程，通过这些认证方式可以确保通信安全。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

CHAP认证示例
步骤 2. 路由器 R2 生成一个 ID 和一个随机数并将 ID、随机数连同用户名一起作为CHAP 询问消息数据包发送到 R1。
CHAP认证示例
步骤 3. R1 将使用挑战者 (R2) 的用户名并利用本地数据库交叉引用该用户名来查找相关联的口令。随后，R1 将使用 R2 的用户名、ID、随机数和共享加密口令生成一个唯一的 MD5 哈希数。
身份验证选项会要求链路的呼叫方输入身份验证信息。这就确保了用户的呼叫行为得到了管理员的许可。然后，对等路由器会交换身份验证消息。
启动PAP
PAP 使用双向握手为远程节点提供了一种简单的身份验证方法。 PAP 不支持交互。在使用 [Router B-Serial0/0] ppp authentication-mode pap 命令时，系统将以一个 LCP 数据包的形式发送用户名和口令，而不是由服务器发送登录提示并等候响应。在 PPP 完成链路建立阶段之后，远程节点在该链路上重复发送用户名-口令对，直到发送节点确认该用户名-口令对或终止连接为止。
完成PAP 在接收节点，身份验证服务器将检查用户名和口令，以决定允许或拒绝连接。然后，服务器将向请求方返回接受或拒绝消息。
PAP 身份验证协议
PAP 并非可靠的身份验证协议，仍可用于以下情形：
当系统中安装了大量不支持 CHAP 的客户端应用程序时。当不同供应商实现的 CHAP 互不兼容时。当模拟主机远程登录必须使用纯文本口令时。
PPP
•PPP 的大部分工作都在数据链路层和网络层由 LCP 和 NCP 执行。 •LCP 设置 PPP 连接及其参数，NCP 处理更高层的协议配置，LCP 切断 PPP 连接。
PPP
LCP 是 PPP 中实际工作的部分。LCP 位于物理层的上方，其职责是建立、配置和测试数据链路连接。LCP 建立点对点链路。 LCP 还负责协商和设置 WAN 数据链路上的控制选项，这些选项由 NCP 处理。
发送CHAP 在完成 PPP 链路建立阶段之后，本地路由器将向远程节点发送一条询问消息。
发送CHAP 远程节点将以采用单向哈希函数计算而得的值作出响应，该函数通常是基于口令和询问消息的消息摘要 5 (MD5)。
消息摘要算法MD5 Message Digest Algorithm MD5（中文名为消息摘要算法第五版）为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。该算法的文件号为RFC 1321。 MD5用的是哈希函数,在计算机网络中应用较多的不可逆加密算法有RSA公司发明的MD5算法和由美国国家技术标准研究所建议的安全散列算法SHA。
CHAP认证示例
步骤 4. 接着，路由器 R1 将询问消息 ID、哈希值及其用户名 (R1) 发送到 R2。
CHAP认证示例
步骤 5. R2 使用它最初发送给 R1 的 ID、共享加密口令和随机数生成自己的哈希值。
CHAP认证示例
步骤 6. R2 将自己的哈希值与 R1 发送的哈希值进行比较。如果这两个值相同，R2 将向 R2 发送链路建立响应。
消息摘要算法MD5
理解举例：地球上任何人都有自己独一无二的指纹，这常常成为公安机关鉴别罪犯身份最值得信赖的方法；与之类似， MD5就可以为任何文件（不管其大小、格式、数量）产生一个同样独一无二的“数字指纹”，如果任何人对文件做了任何改动，其MD5值也就是对应的“数字指纹” 都会发生变化。我们可以在下载该软件后，对下载回来的文件用专门的软件（如Windows MD5 Check等）做一次MD5校验，以确保我们获得的文件与该站点提供的文件为同一文件。利用MD5算法来进行文件校验的方案被大量应用到软件下载站、论坛数据库、系统文件安全等方面。
消息摘要算法MD5 MD5的典型应用是对一段Message(字节串)产生 fingerprint(指纹)，以防止被“篡改”。例如：将一段话写在一个叫 readme.txt文件中，并对这个readme.txt产生一个MD5的值并记录在案，然后你可以传播这个文件给别人，别人如果修改了文件中的任何内容，你对这个文件重新计算MD5时就会发现（两个MD5值不相同）。如果再有一个第三方的认证机构，用MD5还可以防止文件作者的“抵赖”，这就是所谓的数字签名应用。
PPP LCP 自动配置链路两端的接口，包括：处理对数据包大小的不同限制检测常见的配置错误切断链路确定链路何时运行正常或者何时发生故障一旦建立了链路，PPP 还会采用 LCP 自动批准封装格式（身份验证、压缩、错误检测）。
PPP 会话的三个阶段
第 1 阶段：链路建立和配置协商 — 在 PPP 交换任何网络层数据报（例如 IP）之前，LCP 必须先打开链接并协商配置选项。当接收路由器向启动连接的路由器发送配置确认帧时，此阶段结束。第 2 阶段：链路质量确认（可选） — LCP 测试链路以确定链路质量是否足以启用这些网络层协议。LCP 可将网络层协议信息的传输延迟到此阶段结束之前。第 3 阶段：网络层协议配置协商 — 在 LCP 完成链路质量确认阶段之后，适当的 NCP 可以独立配置网络层协议，还可以随时启动或关闭这些协议。如果 LCP 关闭链路，它会通知网络层协议以便协议采取相应的措施。
PPP 封装和身份验证过程 PPP 作出的逻辑决策： PAP身份认证
CHAP认证示例
路由器 R1 希望与路由器 R2 之间建立经过身份验证的 PPP CHAP 连接。
步骤 1. R1 首先使用 LCP 与路由器 R2 协商链路连接，在 PPP LCP 协商期间，两个系统同意使用 CHAP 身份验证。
●路由策略与策略路由实验
●访问列表与Telnet访问控制实验
WAN 封装协议
HDLC 现在是同步 PPP 的基础，许多服务器使用同步 PPP 连接到 WAN（最常见的是连接到 Internet）
PPP PPP 对数据帧进行封装以便在第 2 层物理链路上传输。 PPP 使用串行电缆、电话线、中继 (trunk) 线、手机、专用无线链路或光缆链路建立直接连接。 PPP 具有许多优点，包含 HDLC 中没有的许多功能：链路质量管理功能监视链路的质量。如果检测到过多的错误，PPP 会关闭链路。 PPP 支持 PAP 和 CHAP 身份验证。
双向 PAP 身份验证配置示例
双向 CHAP认证
CHAP 使用三次握手定期校验远程节点的身份。一台路由器上的主机名必须与已配置的另一台路由器的用户名一致。两者的口令也必须一致。此校验仅在初次建立链路时执行，在链路建立之后可随时重复执行。
完成CHAP 本地路由器根据自己计算的预期哈希值来检查响应。如果这两个值相同，则发起方节点会确认该身份验证。否则，它会立即终止连接。
完成CHAP CHAP 通过使用唯一且不可预测的可变询问消息值提供回送攻击防护功能。因为询问消息唯一而且随机变化，所以得到的哈希值也是随机的唯一值。反复发送询问信息限制了暴露在任何单次攻击下的时间。本地路由器或第三方身份验证服务器控制着发送询问信息的频率和时机。
PPP身份验证过程可以启用 PAP 或 CHAP，也可以将两者同时启用。如果同时启用，那么链路协商期间请求的将是您指定的第一个方法。如果对方建议使用第二种方法或拒绝了第一种方法，系统将会尝试第二种方法。有些远程设备仅支持 CHAP，有些则仅支持 PAP。指定方法的顺序取决于您是更关心远程设备协商合适方法的能力还是更关心数据线路的安全性。PAP 用户名和口令将以纯文本字符串的格式发送，容易被截获和重用。CHAP 已经消除了大认证与访问控制
目
1 2 3 4
录
1、 PAP和CHAP认证 2、访问控制列表ACL 3、网络地址转换NAT 4、网络攻击安全防范 5、使用SDM配置路由器 6、使用SDM配置路由器 7、操作实例
5
6 7
目
录
教学目标
●解释和配置 PAP 和 CHAP 身份验证。 ●路由策略与策略路由引言 ●路由策略 ●策略路由
PPP 会话的三个阶段
PPP 配置选项:支持各种功能
PAP 身份验证协议
PPP 定义可扩展的 LCP，允许协商身份验证协议以便在允许网络层协议通过该链路传输之前验证对等点的身份。RFC 1334 定义了两种身份验证协议，如图所示。
PAP 身份验证协议
PAP 是非常基本的双向过程。未经任何加密，用户名和口令以纯文本格式发送。如果通过此验证，则允许连接。 CHAP 比 PAP 更安全，它通过三次握手交换共享密钥。 PPP 会话的身份验证阶段是可选的。如果使用了身份验证，就可以在 LCP 建立链路并选择身份验证协议之后验证对等点的身份，此活动将在网络层协议配置阶段开始之前进行。
CHAP身份验证过程
如果身份验证失败，系统会生成一个 CHAP 失败数据包，其结构如下： 04 = CHAP 失败消息类型 id = 从响应数据包中复制而得 “Authentication failure”或类似文本消息，是供用户阅读的说明性信息注意：R1 和 R2 上的共享加密口令必须相同。
PPP身份验证过程
在启用 CHAP 或 PAP 身份验证或同时启用这两种身份验证之后，在允许数据流通过之前，本地路由器要求远程设备先提供身份信息。其实现过程如下： PAP 身份验证要求远程设备发送一个用户名和口令，然后将其与本地用户名数据库或远程用户身份验证数据库中的对应项进行比较。 CHAP 身份验证向远程设备发送询问消息。远程设备必须使用共享密钥加密询问消息值并将加密后的值及其名称作为响应消息返回给本地路由器。本地路由器使用远程设备的名称在本地用户名或远程用户身份验证数据库中查找适当的密钥。它使用查询到的密钥加密原始的询问消息并校验加密后的值与原始值是否匹配。