实验14.3 PPP之CHAP认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

实训名称：PPP之CHAP认证的配置一、实训原理1、点对点协议(PPP)二、实训目的1、掌握PPP协议与CHAP的基本配置三、实训内容对于同步串行接口，我们采用PPP协议和CHAP认证，安全可靠,chap认证只传输用户名，不传输密码四、实训步骤：1、RA路由器配置2、RB路由器配置3、PC机IP地址拓扑图具体步骤：1、RA路由器EnConfhostname RA //更改本地主机名称username RB password 123 //配置对端的用户名和密码Int f0/0Ip add 172.16.0.1 255.255.255.0No shutInt s0/0/0Ip add 172.16.2.1 255.255.255.252encapsulation ppp //封装PPP协议ppp authentication CHAP //启用chap认证exitip route 172.16.1.0 255.255.255.0 172.16.2.22、RB路由器EnConfhostname RB //更改本地主机名称username RA password 123 //配置对端的用户名和密码Int f0/0Ip add 172.16.1.1 255.255.255.0No shutInt s0/0/0Ip add 172.16.2.2 255.255.255.252clock rate 9600encapsulation ppp //封装PPP协议ppp authentication CHAP //启用chap认证exitip route 172.16.0.0 255.255.255.0 172.16.2.13、给PC机配置IP地址PC0:172.16.0.2/24,172.16.0.1PC1:172.16.1.2/24,172.16.1.1五、实训结果PC0 ping PC1,可以ping通。

PPP 身份验证（CHAP ）的配置【实验名称】PPP 身份验证（CHAP ）的配置【实验目的】掌握CHAP 身份验证的配置方法【实验所模拟的环境】假设某集团公司因业务需要租用了电信运营商的专线，现需要对公司路由器与电信路由器进行链路协商，使用CHAP 方式配置身份验证，实现相互通信。

Router1为集团公司路由器，Router2为电信路由器。

【实现小结】通过CHAP 身份验证方式，协商建立链路，确保专线安全顺畅连通。

【实验拓扑】【实验设备】（1）路由器 2台（2）V.35线缆1条【IP 地址规划】分别在Router1和Router2的串口上设置IP 地址及子网掩码。

Router1 serial 1/2： IP .1Router2 serial 1/2： IP .2【实验步骤】 第一步：对路由器1进行配置Router#config terminal //进入Router1全局配置模式 Router(config)#hostname R1 //将路由器命名为R1 R1(config)#username R2 password 0 psd //建立密码数据库 R1(config)#interface serial 1/2 //配置串口s1/2 R1(config-if)#ip address //设置ip 地址及子网掩码R1(config-if)#encapsulation ppp //将端口的封装类型设置为PPP R1(config-if)#ppp authentication chap //设置CHAP 认证方式 Router2 S1/2 S1/2Router1R1(config-if)#no shutdown //激活端口第二步：对路由器2进行配置Router#config terminal //进入Router2全局配置模式Router(config)#hostname R2//将路由器命名为R2R2(config)#username R1 password 0 psd //建立用户名及密码数据库R2(config)#interface s1/2//配置串口s1/2R2(config-if)#ip address //配置ip地址及子网掩码R2(config-if)#encapsulation ppp //将端口的封装类型设置为PPP R2(config-if)#ppp authentication chap //设置CHAP认证方式R2(config-if)#clock rate 64000//为串口配置时钟频率，DCE端必须配置时钟频率，DTE端无需配置R2(config-if)#no shutdown //激活端口【验证测试】1、配置完成之后，登陆R1,输入“ping 1.1.1.2”，如出现下图所示即表示链路协商通过，配置成功2、在上一节的实验中，我们学会了使用debug命令来获取设备间是如何协商的信息。

p p p认证方式a p c h a p认证文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

PPP中的pap和chap认证写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。

实验等级：Aassistant实验拓扑：实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证基本配置：R1：!hostname R1----------------------------------------------------------设置主机名为“R1”!interface Serial1/0ip address 1.1.1.1 255.255.255.0encapsulation ppp-------------------------------------------------设置封装为pppR2：hostname R2!interface Serial1/0ip address 1.1.1.2 255.255.255.0encapsulation ppp通过上面的配置，在没有启用任何认证的情况下，链路是通的。

配置步骤：1.在两台路由器上进行pap认证：如果我们进行单项认证的话配置应该如下R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。

R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下，我们可以看到链路已经down了：R1(config-if)#*Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to downR2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置：R2(config)#int s1/0R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码R2(config-if)#*Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。

实验14.3PPP之CHAP认证实验14.3 PPP之CHAP认证⼀、实验需求（1）路由器串⼝通过PPP进⾏地址协商获取IP地址；（2）路由器之间改成CHAP认证，以建⽴PPP链路。

⼆、实验拓扑图1 配置CHAP单向认证实验三、实验步骤（1）请根据实验拓扑图，配置各个路由器的主机名（主机名格式：如R1-zhangsan）和接⼝IP地址，R2的接⼝IP采⽤PPP协商获取，请给出R1、R2的配置截图。

与实验14.2配置相同，图略（2）在R2上查看接⼝是否获取到IP地址，并观察接⼝状态，再截图。

与实验14.2配置相同，图略（3）在当前未做认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。

与实验14.2配置相同，图略//能通则正常，反之则不正常。

（4）在R1上配置论证数据库，并在R1的串⼝启⽤chap认证，然后在R2的串⼝配置⽤于验证的⽤户名和需要发送的密码，请给出R1和R2的配置截图。

（5）在R1上对PPP链路进⾏抓包，启动wireshark后，shutdown R1的串⼝，然后执⾏undo shutdown命令启⽤R1的串⼝，再到wireshark上查看抓到的CHAP包，找出并标识出⽤于CHAP认证的⽤户名和密码，最后对包含CHAP认证账号信息的包进⾏截图。

（6）在当前已做CHAP认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。

//能通则说明CHAP认证成功，反之则说明PPP链路认证失败。

说明：本实验是CHAP单向认证，如果要作CHAP双向认证，则每个路由器既作为主认证⽅，⼜作为被认证⽅。

在本实验的基础上对R2配置AAA认证账户，并在串⼝下启⽤CHAP认证；在R1的串⼝下配置⽤于认证的账号信息即可。

实验PPP CHAP认证【实验名称】PPP CHAP认证【实验目的】掌握PPP CHAP认证的过程及配置【背景描述】你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP进行链路协商时要验证身份，配置路由器保证链路建立并考虑其安全性。

【需求分析】在链路协商时保证安全验证。

链路协商时MD5密文的方式传输。

【实验拓扑】图9-3实验拓扑图【预备知识】路由器基本配置知识、PPP CHAP知识【实验设备】路由器（带串口）2台V.35线缆（DTE/DCE）1对【实验原理】PPP协议位于OSI七层模型的数据链路层，PPP协议按照功能划分为两个子层：LCP、NCP。

LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。

NCP主要负责和上层的协议进行协商，为网络层协议提供服务。

PPP的认证功能是指在建立PPP链路的过程中进行密码的验证，验证通过建立连接，验证不通过拆除链路。

CHAP（Challenge Handshake Authentication Protocol，挑战式握手验证协议）是指验证双方通过三次握手完成验证过程，比PAP更安全。

由验证方主动发出挑战报文，由被验证方应答。

在整个验证过程中，链路上传递的信息都进行了加密处理。

【实验步骤】第一步：路由器基本配置Router(config)#hostname Router ARouter A(config)#interface serial 4/0Router A(config-if)#ip address 172.16.2.1 255.255.255.0Router A(config-if)#encapsulation pppRouter(config)#hostname Router BRouter B(config)#interface serial 4/0Router B(config-if)#ip address 172.16.2.2 255.255.255.0Router B(config-if)#encapsulation ppp第二步：配置CHAP认证Router A(config)#username RouterB password 0 123Router B(config)#username RouterA password 0123Router B(config)#interface serial 4/0Router B(config-if)#ppp authentication chap第三步：验证CHAP认证Router A#show interfaces serial 4/0Index(dec):1 (hex):1serial 4/0 is UP , line protocol is UPHardware is Infineon DSCC4 PEB20534 H-10 serialInterface address is: 172.16.2.1/24MTU 1500 bytes, BW 2000 KbitEncapsulation protocol is PPP, loopback not setKeepalive interval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1LCP OpenOpen: ipcpQueueing strategy: WFQ11421118 carrier transitionsV35 DCE cableDCD=up DSR=up DTR=up RTS=up CTS=up5 minutes input rate 45 bits/sec, 0 packets/sec5 minutes output rate 44 bits/sec, 0 packets/sec889 packets input, 18810 bytes, 0 no buffer, 28 droppedReceived 68 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort848 packets output, 15203 bytes, 0 underruns , 5 dropped0 output errors, 0 collisions, 28 interface resets使用debug ppp authentication 命令验证配置。

PPP认证实验实验需求：如图路由器R1和R2，R1被认证方，R2为认证方，使用PAP认证与CHAP认证完成PPP实验1、基础配置ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.1 255.255.255.0ipv6 address 2001::1 64R2:ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.2 255.255.255.0ipv6 address 2001::2/642、抓包在s1/0/0端口验证R2的LCP和IPCP、IPV6CPLCP configure request配置请求LCP配置确认3、PAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode papR1配置：[R1]interface s1/0/0[R1-Serial1/0/0]ppp pap local-user zhangsan password cipher Huawei@123抓包验证PAP执行了两次握手能够抓到PAP认证中传递的明文用户名zhangsan和密码Huawei@1234、CHAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode chapinterface Serial1/0/0[R1-Serial1/0/0]ppp chap user zhangsan[R1-Serial1/0/0]ppp chap password cipher Huawei@123抓包验证CHAP执行了三次握手只能够抓到CHAP认证中传递的标识符和挑战值，传递进行哈希值传递了散列数值，根本抓不到密码，CHAP认证相比于PAP认证安全性更高。

PPP 会话建立过程一个完整的ppp 会话建立大体需要以下三步：1、链路建立阶段：在这个阶段，运行PPP 的设备会发送LCP 报文来检测链路的可用情况，如果链路可用则会成功建立链路，否则链路建立失败。

2、验证阶段（可选）：链路成功建立后，根据PPP 帧中的验证选项来决定是否验证。

如果需要验证，则开始PPP 或者CHAP 验证，验证成功后开始网络协商阶段。

3、网络层协商阶段：运行PPP 的双方发送NCP 报文来选择并配置网络层协议，双方会协商彼此使用的网络层协议（例如是IP 或者是IPX ），同时也会选择对应的网络层地址（如IP 地址或IPX 地址）。

如果协商通过则PPP 链路建立成功。

PPP 会话流程PPP 会话流PSTN/ISTN ROUTER-A ROUTER-B 链路的建立和配置协调阶段 可选的验证阶段，选择PAP 或者CHAP 网络层协议配置协商阶段Establish 阶段 Dead 阶段 链路建立失败 Authenticate 阶段 Network 阶段Terminate 阶段LCP Opened验证失败 验证通过或 无验证 关闭 Down详细的PPP会话建立流程如下：1、当物理层不可用时，PPP链路处于Dead阶段，链路必须从这个阶段开始和结束。

2、当物理层可用是进入Establish阶段。

PPP链路在Establish阶段进行LCP协商，协商的内容包括是否采用链路捆绑、使用哪种验证方式、最大传输单元等。

协商成功后LCP进入Opened状态，表示底层链路已经建立。

3、如果配置了验证，则进入Authenticate阶段，开始CHAP或者PPP验证。

4、如果验证失败则进入Terminate阶段，拆除链路，LCP状态转为Down；如果验证成功则进入Network阶段，有NCP协商网络层协议参数，此时LCP状态仍为Opened，而NCP状态从Initial转到Request。

5、NCP协商支持IPCP协商，IPCP协商主要包括双方的IP地址。

实验二十三：PPP协议中的CHAP和PAP验证一、理论基础1. PPP协议PPP协议是在SLIP（Serial Line IP串行线IP协议）的基础上发展起来的。

由于SLIP 协议只支持异步传输方式、无协商过程（尤其不能协商如双方IP地址等网络层属性）等缺陷，在以后的发展过程中，逐步被PPP协议所代替。

人们创建了PPP协议以解决远程互连网的连接问题。

另外，需要采用PPP协议来解决动态分配IP地址以及多协议使用的问题。

PPP 可以在同步和异步电路中提供路由器到路由器以及主机到网络的连接。

PPP是目前使用最普遍、最流行的WAN协议，是一种标准的串行线路封装方式，这种协议在连接建立期间可以检查链路的质量。

2、PPP协议的特点（1）动态分配IP地址（例如拨号上网时）（2）支持多种网络层协议（3）误码检测（4）多链路绑定（Multilink）（5）数据的压缩（6）链路配置以及链路质量测试（7）回叫（Callback）（8）网络能力的协商选项，如：网络层地址协商和数据压缩协商等PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP和CHAP）等。

其中，链路控制协议LCP（Link Control Protocol）：用来协商链路的一些参数，负责创建并维护链路。

网络层控制协议NCP（Network Control Protocol）：用来协商网络层协议的参数。

3、PPP建立一个点到点连接的四个阶段（1）链路的建立和配置协商（2）链路质量确定（3）网络层协议配置协商（4）链路拆除4、 PPP的验证方式PAP验证PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。

PAP验证的过程如下：被验证方主动发起验证请求，将本端的用户名和口令发送到验证方；验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。

网络系统集成课程实践实验报告实验名称PPP的PAP和CHAP认证实验日期：2015年04月15日一、实验目的：掌握PPP PAP认证和PPP CHAP认证的过程及配置。

二、实验内容（1）在路由器上配置PPP PAP认证；（2）在路由器上配置PPP CHAP认证。

三、实验要求（1）写出在路由器上配置PPP PAP认证的过程；（2）写出在路由器上配置PPP CHAP认证的过程四、实验设备（1）路由器Router-2811两台；（2）DCE串口线五、实验步骤（一）PPP PAP认证（本实验要求配置路由器R1和路由器R2双向PAP验证）实验网络拓补结构设计1、配置路由器R1R1>enableR1#conf tEnter configuration commands, one per line. End with CNTL/Z.R1(config)#username R2 password cisco //以对方的主机名作为用户名，密码和对方路由器一致，在验证方配置被验证方用户名密码R1(config)#int loop0R1(config-if)#ip address 1.1.1.1 255.255.255.0R1(config-if)#int s 0/3/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp //接口下封装数据链路层PPP协议R1(config-if)#ppp authentication pap //PPP启用PAP认证方式R1(config-if)#ppp pap sent-username R1 password cisco//PAP认证的用户名、密码R1(config-if)#no shutdownR1(config-if)#2、配置路由器R23、配置完成Router1和Router2后，在Router1上进行测试Serial0/3/0 PAP: O AUTH-REQ id 17 len 15Serial0/3/0 PAP: Phase is FORWARDING, Attempting ForwardSerial0/3/0 PAP: I AUTH-REQ id 17 len 15Serial0/3/0 PAP: Authenticating peerSerial0/3/0 PAP: Phase is FORWARDING, Attempting ForwardSerial0/3/0 Using hostname from interface PAPSerial0/3/0 Using password from interface PAPSerial0/3/0 PAP: O AUTH-REQ id 17 len 15Serial0/3/0 PAP: Phase is FORWARDING, Attempting Forward%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up 4、查看网络拓补图从图上可以看出，路由器之间已经联通5、当R1和R2密码不一致时，再次进行测试当发出no shutdown命令时，出现了死循环，用Ctrl+c强制退出并用end结束。

配置PPP验证时CISCO路由器CHAP认证配置-电脑资料本文详细的向大家描述了如何配置PPP验证和CHAP认证的配置，同时给出了配置的命令行，大家可以通过实例去了解一下配置过程，。

在配置PPP验证时有PAP和CHAP的选择，其中PAP为明文传送用户名和口令，不安全。

而CHAP则采用哈希值进行验证，口令不会在网上传送，所以安全性比较高。

CHAP认证也是CCNA课程PPP教学时所需掌握的基本配置，其配置如下：拓扑： RA DTE--------DCE RB--------------------------------------RA#conf tRA(config)#username RB password helloRA(config)#int s0RA(config-if)#encap pppRA(config-if)#ppp au chapRA(config-if)#end-------------------------------Router(config)#host RBRB(config)#username RA password helloRB(config)#int s0RB(config-if)#encap pppRB(config-if)#ppp auth chap%LINK-3-UPDOWN: Interface Serial0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to up------------------------------------------------------RA#sh int s0Serial0 is up, line protocol is up -------第一层二层UPHardware is HD64570Internet address is 1.1.1.1/30MTU 1500 bytes, BW 1544 Kbit, DLY 1000 usec, rely 255/255, load 1/255Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open -----------打开Open: IPCP, CDPCP -----------打开Last input 00:00:00, output 00:00:00, output hang neverLast clearing of show interface counters neverQueueing strategy: fifo。

任务10 CHAP认证一、【技术原理】CHAP全称是PPP（点对点协议）询问握手认证协议（Challenge Handshake Authentication Protocol）。

该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。

通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

二、【任务描述】1、为路由器指定唯一主机名2、列出认证路由器时所使用的远端主机名称和口令，密码为CCNA.3、WAN接口上完成PPP协议的封装和CHAP认证的配置三、【任务实现】1、规划拓扑结构2、配置过程：1）配置R1Router(config)#hostname R1R1(config)#username R2 password ccna注：用于验证对端发送过来的用户名和口令，用户名必须是对端的hostname，而口令在两段必须要一样。

R1(config)#interface serial 0R1(config-if)#ip address 192.168.12.1 255.255.255.0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#no shutdown注：启用CHAP认证协议。

CHAP是双向验证协议。

并使用hostname作为用户名去被验证，用本地用户列表来验证对端。

2）配置R2Router(config)#hostname R2R2(config)#interface serial 0R2(config-if)#ip address 192.168.12.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapRr2(config-if)#no shutdownR2(config-if)#exit注：在对端需要配置相同的，CHAP是双向认证。

PPP协议的PAP和CHAP认证PPP（Point-to-Point Protocol）是一种常见的用于串行链路上的数据通信的协议，主要用于建立和管理点对点连接。

PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。

PPP协议支持多种认证方式，其中最常见的是PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol）认证。

1. PAP认证（Password Authentication Protocol）：PAP是一种最简单的认证协议，其主要思想是使用明文密码对用户进行认证。

在PAP认证中，PPP服务器首先向对端发送一个认证请求报文，要求对端提供用户名和密码。

接收到认证请求的对端回复一个应答报文，携带用户名和密码。

PPP服务器收到应答报文后，会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比，如果一致，则认证成功，通信将继续进行；如果不一致，则认证失败，连接将被断开。

PAP认证的优点是简单易实现，适用于低要求的场景。

然而，PAP认证的缺点也显而易见：-PAP认证对用户名和密码的传输没有加密保护，存在明文传输的风险-PAP认证仅进行一次握手即可认证通过，对于未进行身份确认的对端，可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题，容易受到网络窃听和篡改的威胁2. CHAP认证（Challenge Handshake Authentication Protocol）：CHAP认证是一种基于挑战响应的强大认证协议，其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。

在CHAP认证中，PPP服务器首先向对端发送一个随机生成的挑战值。

接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法（如MD5）生成一个响应报文，将响应报文发送回服务器。

【实验名称】PPP CHAP认证。

【实验目的】掌握PPP CHAP认证的过程及配置｡【背景描述】你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP进行链路协商时要验证身份，配置路由器保证链路建立并考虑其安全性。

【技术原理】PPP协议位于OSI七层模型的数据链路层，PPP协议按照功能划分为两个子层：LCP、NCP。

LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。

NCP主要负责和上层的协议进行协商，为网络层协议提供服务。

PPP的认证功能是指在建立PPP链路的过程中进行密码的验证，验证通过建立连接，验证不通过拆除链路。

CHAP（Challenge Handshake Authentication Protocol，挑战式握手验证协议）是指验证双方通过三次握手完成验证过程，比PAP更安全。

由验证方主动发出挑战报文，由被验证方应答。

在整个验证过程中，链路上传递的信息都进行了加密处理。

【实现功能】在链路协商时保证安全验证。

链路协商时密码以密文的方式传输，更安全。

【实验设备】R1762（两台）、V.35线缆（1条）【实验拓扑】图 24【实验步骤】步骤1. 基本配置。

Red-Giant(config)#hostname RaRa(config)# interface serial 1/2Ra(config-if)#ip address 1.1.1.1 255.255.255.0Ra(config-if)#no shutdownRed-Giant(config)#hostname RbRb(config)# interface serial 1/2Rb(config-if)#ip address 1.1.1.2 255.255.255.0Rb(config-if)#clock rate 64000Rb(config-if)#no shutdown验证测试： (以Ra为例)Ra#show interface serial 1/2serial 1/2 is UP , line protocol is UPHardware is PQ2 SCC HDLC CONTROLLER serialInterface address is: 1.1.1.1/24MTU 1500 bytes, BW 2000 KbitEncapsulation protocol is HDLC, loopback not setKeepalive interval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1Queueing strategy: WFQ5 minutes input rate 11 bits/sec, 0 packets/sec5 minutes output rate 11 bits/sec, 0 packets/sec33 packets input, 726 bytes, 0 no bufferReceived 33 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort32 packets output, 704 bytes, 0 underruns0 output errors, 0 collisions, 6 interface resets3 carrier transitionsV35 DTE cableDCD=up DSR=up DTR=up RTS=up CTS=up步骤2. 配置PPP CHAP认证｡Ra(config)#username Rb password 0 star! 以对方的主机名作为用户名,密码和对方的路由器一致Ra(config)#interface serial 1/2Ra(config-if)#encapsulation pppRa(config-if)#ppp authentication chap ! PPP启用CHAP方式验证Rb(config)#username Ra password 0 star! 以对方的主机名作为用户名,密码和对方的路由器一致Rb(config)#interface serial 1/2Rb(config-if)# encapsulation ppp验证测试：Ra#debug ppp authentication ! 观察CHAP验证过程%LINK CHANGED: Interface serial 1/2, changed state to down%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to DOWNPPP: ppp_clear_author(), protocol = TYPE_LCP%LINK CHANGED: Interface serial 1/2, changed state to upPPP: serial 1/2 Send CHAP challenge id=29 to remote hostPPP: serial 1/2 authentication event enqueue ,message type = [RECV_CHAP_RESPONSE] PPP: dispose authentication message [RECV_CHAP_RESPONSE]PPP: serial 1/2 CHAP response id=29 ,received from RbPPP: serial 1/2 Send CHAP success id=29 to remotePPP: serial 1/2 remote router passed CHAP authentication.PPP: serial 1/2 lcp authentication OK!PPP: ppp_clear_author(), protocol = TYPE_IPCP%LINE PROTOCOL CHANGE: Interface serial 1/2, changed state to UP【注意事项】1、在DCE端要配置时钟；2、Ra(config)#username Rb password 0 star !username后面的参数是对方的主机名；3、Rb(config)#username Ra password 0 star !username后面的参数是对方的主机名；4、在接口下封装ppp；5、debug ppp authentication 在路由器物理层up，链路尚未建立的情况下打开才有信息输出，本实验的实质是链路层协商建立的安全性，该信息出现在链路协商的过程中。

PPP认证使用ppp chap hostname和ppp authentication chap callin命令前言PPP协商包括几个步骤例如链路控制协议(LCP)协商，认证和网络控制协议(NCP)协商。

如果双方不能对正确的参数达成协议，则连接被终止。

一旦链路建立，双方使用在LCP协商期间决定的认证协议互相验证。

认证一定是成功的在开始NCP协商之前。

PPP支持二个认证协议：密码验证协议(PAP)和质询握手验证协议(CHAP)。

使用的组件本文的信息根据以下的软件及硬件版本。

Cisco IOS® 软件版本11.2 以上背景理论PAP验证介入用户名和口令在明文横跨链路其中被发送的一只双向握手; 因此，PAP验证不提供任何防护放音和线路探测。

CHAP认证另一方面，使用三方握手周期验证远程节点的身份。

在PPP链接建立之后，主机寄发一个"挑战"消息到远程节点。

远程节点回应带有使用一个单向散列函数计算的值。

主机检查回应其期望的Hash值的自己的计算。

如果值配比，认证被承认; 否则，连接被终止。

配置在此部分，您介绍用信息配置在本文描述的功能。

注意：找到其它信息关于用于本文的命令，使用IOS命令查找工具配置单向CHAP验证当二个设备正常使用CHAP认证时，每边派出另一边由挑战者回应和验证的挑战。

其中每一支持独立地互相验证。

如果想要用不由呼叫路由器或设备支持认证的非Cisco路由器经营，您必须使用 ppp authentication chap callin命令。

当使用 ppp authentication命令带有呼入关键字时，接入服务器只将验证远端设备如果远端设备发起呼叫(例如，如果远端设备"调用在 ")。

在这种情况下，认证在仅流入的(收到的)呼叫指定。

配置用户名与路由器名字不同当遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不同的管理控制，网络服务提供商(ISP)时，或者轮循中央路由器，配置是与主机名不同的认证用户名是必要的。

实验二十四：PPP之CHAP验证CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播，因此，其安全性能强。

默认情况下，CHAP使用本地路由器的名称为建立PPP连接时的识别符，因此，必须为网络中所有路由器重新命名，并且路由器名称不能重复。

在各路由器中设置用户名及密码时要注意，用户名必须是对方路由器的名称（该用户名将会自动发送到对方路由器中），而且各路由器中用户的密码必须相同。

一、实验内容某公司两地的Cisco路由器用DDN线路连接起来，方了安全，要在路由器配置PPP封装，并采用CHAP验证，使得两地的网络能够安全通信。

二、实验目的1、了解PPP之CHAP的工作过程2、掌握PPP之CHAP的配置三、网络拓朴四、实验设备1、两台Cisco3620路由器（带一个以太网接口和一个同步serial0/0串口）2、两台安装有windows98/xp/2000操作系统的主机3、若干交叉网线与直通网线4、思科（Cisco）专用控制端口连接电缆5、思科（Cisco）串口背对背通信电缆五、实验过程（需要将相关命令写入实验报告）1、将路由器、主机根据如上图示进行连接2、设置主机的IP地址、子网掩码和默认网关3、配置RouterA的以太网接口Router#configure terminalRouter(config)#hostname RouterARouterA(config)#interface Ethernet0/0RouterA(config-if)#ip address192.168.1.1255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exit4、配置RouterB的以太网接口Router#configure terminalRouter(config)#hostname RouterBRouterA(config)#interface Ethernet0/0RouterA(config-if)#ip address192.168.3.1255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exit5、配置RouterA的同步串行接口RouterA#configure terminalRouterA(config)#interface serial0/0RouterA(config-if)#ip address192.168.2.1255.255.255.0RouterA(config-if)#no shutdownRouterA(config-if)#exit6、配置RouterB的同步串行接口RouterB#configure terminalRouterB(config)#interface serial0/0RouterB(config-if)#ip address192.168.2.2255.255.255.0RouterB(config-if)#no shutdownRouterB(config-if)#exit7、DCE设备端（RouterA）PPP封装之CHAP验证设置（关键配置）RouterA#configure terminalRouterA(config)#username RouterB password12345RouterA(config)#interface serial0/0RouterA(config-if)#encapsulation pppRouterA(config-if)#ppp authentication chapRouterA(config-if)#clock rate64000RouterA(config-if)#exit8、DTE设备端（RouterB）PPP封装之CHAP验证设置（关键配置）RouterB#configure terminalRouterB(config)#username RouterA password12345RouterB(config)#interface serial0/0RouterB(config-if)#encapsulation pppRouterB(config-if)#ppp authentication chapRouterB(config-if)#exit9、查看各路由器接口状态（所有接口必须全部UP，且配置的协议也已经UP）RouterA#show protocolsRouterB#showprotocols10、配置RouterA的RIP简单路由协议RouterA#configure terminalRouterA(config)#router ripRouterA(config-router)#network192.168.1.0RouterA(config-router)#network192.168.2.0RouterA(config-router)#exit11、配置RouterB的RIP简单路由协议RouterB#configure terminalRouterB(config)#router ripRouterB(config-router)#network192.168.2.0RouterB(config-router)#network192.168.3.0RouterB(config-router)#exit六、思考问题1、与PAP验证相比，CHAP验证具有哪些优点？2、在配置PPP之CHAP验证时，两端路由器的用户名及密码应如何设置？七、实验报告要求：按学院实验报告要求完成实验报告的书写。

点对点PPP协议CHAP认证实验点对点PPP协议CHAP认证⼀、实验⽬的和要求了解点对点协议（PPP）的⼯作原理掌握PPP协议两种认证⽅式的特点和区别掌握PPP协议的配置以及CHAP认证协议的配置⼆、实验设备模拟软件：Cisco PacketTracer53_setup_no_tutorials设备：路由器2台，串⼝线⼀根三、实验内容在两台路由器上配置PPP协议，采⽤CHAP验证⽅式，在链路协商时保证安全验证。

具体包括CHAP 单向和双向认证。

四、实验拓扑图1 CHAP认证五、背景描述你是公司的⽹络管理员，公司为了满⾜不断增长的业务需求，申请了专线接⼊，你的客户端路由器与ISP进⾏链路协商时要验证⾝份，并要求较⾼的安全性。

六、相关知识1、PPP协议点到点协议（point to point protocol，PPP）是IETF（inteIrnet engineering task force，因特⽹⼯程任务组）推出的点到点类型线路的数据链路层协议。

它解决了slip中的问题，并成为正式的因特⽹标准。

PPP⽀持在各种物理类型的点到点串⾏线路上传输上层协议报⽂。

PPP有很多丰富的可选特性，如⽀持多协议、提供可选的⾝份认证服务、可以以各种⽅式压缩数据、⽀持动态地址协商、⽀持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使⽤。

因此，应⽤⼗分⼴泛。

PPP提供了两种可选的⾝份认证⽅法：⼝令验证协议PAP（password authentication protocol，PAP）和质询握⼿协议（challenge handshake authentication protocol，CHAP）。

如果双⽅协商达成⼀致，也可以不使⽤任何⾝份认证⽅法。

2、CHAP验证原理CHAP是⼀个过程复杂的、安全的⾝份验证协议。

在验证双⽅都会存储着对⽅的主机名，所对应的密码必须⼀致。