PPP协议的PAP和CHAP认证
PPP的CHAP认证和PAP认证
PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种,有单项的,有双向的。
单项chap认证。
(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证,认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ,用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1,用于识别想服务器端单项pap 认证。
(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证,认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码,一般是发送跟自己主机名一样的的用户。
PPP的PAP与CHAP深入详解
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。
它解决了SLIP中的问题,并成为正式的因特网标准。
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。
PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了PPP的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。
因此,应用十分广泛。
下面是我查的关于PPP协议认证的一些知识1。
什么情况我们可以用show cdp nei看到自己直边的邻居呢,邻居的发现对我们在排查问题时很有帮助,我们可以通过我们左右的邻居,来判断是那台设备出现问题,只要我们在接口上把物理端口打开,然后DCE端配上时钟就可以发现邻居。
Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居,本地Ser1/0与R2的Ser1/0相连,R2的设备型号为7206VXR,为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。
PPP的PAP与CHAP深入详解
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。
它解决了SLIP中的问题,并成为正式的因特网标准。
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。
PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了PPP的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。
因此,应用十分广泛。
下面是我查的关于PPP协议认证的一些知识1。
什么情况我们可以用show cdp nei看到自己直边的邻居呢,邻居的发现对我们在排查问题时很有帮助,我们可以通过我们左右的邻居,来判断是那台设备出现问题,只要我们在接口上把物理端口打开,然后DCE端配上时钟就可以发现邻居。
Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居,本地Ser1/0与R2的Ser1/0相连,R2的设备型号为7206VXR,为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。
chap pap认证原理及配置详细讲解
pap chap认证详细讲解最近都一直在研究ppp协议和两种认证方式,才发现网上提供的好多的都有错误,而且连书本上同样错,讲的都不详细,今天我就将自已的成果分享出来,供大家学习,如果有什么不懂的地方请留言,我会以最快的速度回复,闲话少说,开始吧。
PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。
并且既可以进行单向认证也可以进行双向认证。
pap是两次握手,认证首先由被认证方发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方。
然后,主认证方接受请求,并在自己的本地用户数据库里查找是否有对应的条目,如果有就接受请求。
如果没有,就拒绝请求。
这种认证方式是不安全的,很容易引起密码的泄露,但是,相对于CHAP认证方式来说,节省了宝贵的链路带宽。
比如说现在的Internet拨号认证接入方式就是PAP认证。
chap是三次握手,认证首先由主认证方发起认证请求,向被认证方发送“挑战”字符串(一些经过摘要算法加工过的随机序列)。
然后,被认证方接到主认证方的认证请求后,将用户名和密码(这个密码是根据“挑战”字符串进行MD5加密的密码)发回给主认证方。
最后,主认证方接收到回应“挑战”字符串后,在自己的本地用户数据库中查找是否有对应的条目,并将用户名对应的密码根据“挑战”字符串进行MD5加密,然后将加密的结果和被认证方发来的加密结果进行比较。
如果两者相同,则认为认证通过,如果不同则认为认证失败先来讲下pap 认证1、单向认证R1只做如下配置(验证服务端)在配置模式下设定用户名和密码(用户名和密码随意)R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR2只做如下配置(验证客户端)在端口模式下进行协议的封装和发送验证信息(对方设置的用户名和密码)R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样就可以完成pap的单向认证2、双向认证(其实做完上面的步骤仔细一想,如果两边既是服务端又是客户端口,这样就是双向认证了,不必看下面的也知道该怎么配双向认证了)R1只做如下配置(既是验证服务端又是客户端)在配置模式下设定用户名和密码(用户名和密码随意)R1(config)#username a password 123在端口模式下进行协议的封装、认证方式的指定和发送验证信息(对方设置的用户名和密码)R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR1(config-if)#ppp pap sent-username b password 456R2只做如下配置(既是验证服务端又是客户端)在配置模式下设定用户名和密码(用户名和密码随意)R2(config)#username b password 456在端口模式下进行协议的封装、认证方式的指定和发送验证信息(对方设置的用户名和密码)R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样即可完成pap的双向认证再来说说chap认证1、单向认证R1只做如下配置(验证服务端)在配置模式下设定用户名和密码(用户名和密码随意)R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2只做如下配置(验证客户端)在端口模式下进行协议的封装和认证时的用户名和密码指定(记住这里不发送用户名和密码,而是发送一个经过加密密码的一个字符串)R2(config-if)#encapsulation pppR2(config-if)#ppp chap password 123这样就可以完成chap的单向认证2、双向认证(这里和pap有所有同,请注意)R1只做如下配置(既是验证服务端又是客户端)在配置模式下设定用户名和密码(用户名可随意且可以不同但密码一定相同,因为最终核对的是同一个密码加密后散列函数,如果密码都不同,认证肯定失败)R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname b //这里只需指定用户名就可以,因为密码双方都知道R2只做如下配置(既是验证服务端又是客户端)在配置模式下设定用户名和密码(同上)R2(config)#username b password 123在端口模式下进行协议的封装和认证时的用户名和密码指定(记住这里不发送用户名和密码,而是发送一个经过加密密码的一个字符串,也可以解释为什么这里没有sent-username命令)R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname a //同上这样即可完成chap的双向认证----------------完----------------------。
PAPCHAP协议
命令debug ppp authentication 的输出
下图表明经过若干次认证要求后,认证服务器最终收到了认证客户端发送过来的正 确的"挑战"回应数据包。此时,双方的链路将成功建立。
பைடு நூலகம்意:
1. 2. PAP和CHAP认证过程中,口令是大小写敏感的。 身份认证也可以双向进行,即互相认证。配置方法同单向认证类似,只不过需 要将通信双方同时配置成为认证服务器和认证客户端。
pap&chap的优缺点
PAP is not a strong authentication method. Passwords are sent over the circuit “in the clear”, and there is no protection from playback or repeated trial and error attacks. The peer is in control of the frequency and timing of the attempts.( 截取自RFC1334)
PAP/CHAP协议
PPP(point-to-point protocol)提供的两种可选的身份认证方法 : 口令鉴别协议PAP(Password Authentication Protocol),是 PPP中的基本认证协议。PAP就是普通的口令认证,要求发起通信的 一方发送身份标识符和口令。 挑战握手认证协议CHAP(Challenge Handshake Authentication Protocol),通过三次握手周期性的校验对端的身 份,在初始链路建立时完成,可以在链路建立之后的任何时候重复 进行。
chap的认证过程
认证协议基础专题PPP_PAP_CHAP_MSCHAPv2_RADIUS_MPPE
认证协议介绍一PPP:点对点协议(PPP:Point to Point Protocol)PPP(点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。
这种链路提供全双工操作,并按照顺序传递数据包。
设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。
PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。
在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即SLIP。
除了IP 以外PPP 还可以携带其它协议,包括DECnet和Novell的Internet 网包交换(IPX)。
(1)PPP具有动态分配IP地址的能力,允许在连接时刻协商IP地址;(2)PPP支持多种网络协议,比如TCP/IP、NetBEUI、NWLINK等;(3)PPP具有错误检测以及纠错能力,支持数据压缩;(4)PPP具有身份验证功能。
值(A=FFH,C=03H);协议域(两个字节)取0021H表示IP分组,取8021H表示网络控制数据,取C021H表示链路控制数据;帧校验域(FCS)也为两个字节,它用于对信息域的校验。
若信息域中出现7EH,则转换为(7DH,5EH)两个字符。
当信息域出现7DH时,则转换为(7DH,5DH)。
当信息流中出现ASCII码的控制字符(即小于20H),即在该字符前加入一个7DH字符。
封装:一种封装多协议数据报的方法。
PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。
PPP 封装精心设计,能保持对大多数常用硬件的兼容性,克服了SLIP不足之处的一种多用途、点到点协议,它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。
所以,PPP不仅仅提供帧定界,而且提供协议标识和位级完整性检查服务。
ppp认证方式apchap认证
p p p认证方式a p c h a p认证文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式(pap、chap认证)一、实验拓扑二、实验要求:1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址,并且从地址池中分配,4、pc1最终能ping铜pc2三、实验步骤:1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2(config-if)#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商,并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名,密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。
PPP中的pap和chap认证
PPP中的pap和chap认证写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。
实验等级:Aassistant实验拓扑:实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。
并且既可以进行单向认证也可以进行双向认证。
pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证基本配置:R1:!hostname R1----------------------------------------------------------设置主机名为“R1”!interface Serial1/0ip address 1.1.1.1 255.255.255.0encapsulation ppp-------------------------------------------------设置封装为pppR2:hostname R2!interface Serial1/0ip address 1.1.1.2 255.255.255.0encapsulation ppp通过上面的配置,在没有启用任何认证的情况下,链路是通的。
配置步骤:1.在两台路由器上进行pap认证:如果我们进行单项认证的话配置应该如下R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。
R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下,我们可以看到链路已经down了:R1(config-if)#*Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to downR2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置:R2(config)#int s1/0R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码R2(config-if)#*Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。
任务5.1 CHAP和PAP认证
Ø广域网概述ØPPP基本概念ØPPP报文格式ØPPP协商阶段ØPPP链路建立过程ØPPP链路认证ØPPP认证配置流程ØPPP认证协议配置命令•广域网通常覆盖很大的地理范围,提供远距离数据通信的网络。
PPP(Point-to-PointProtocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。
•PPP因支持多种网络层协议,无重传机制、支持多种验证方式等特点得到了广泛应用。
•本次任务介绍PPP协议的工作原理及CHAP、PAP认证配置方法。
•广域网通常使用因特网服务提供商提供的设备作为信息传输平台,对网络通信的要求较高。
•常见的广域网通信协议包括点到点协议(PPP)、高级数据链路控制协议(HDLC)等。
•不同的链路可以使用不同的数据链路层协议,每种数据链路层协议都定义了相应的数据链路层封装的帧格式,数据包经过不同的链路,就要封装成对应的帧。
广域网协议对应OSI的三层模型ØPPP是TCP/IP网络中最重要的点到点数据链路层协议,主要用于在全双工的同/异步链路上进行点到点的数据传输。
ØPPP主要由三类协议族组成:•链路控制协议族LCP(Link Control Protocol),主要用来建立、拆除和监控PPP数据链路。
•网络层控制协议族NCP(Network Control Protocol),用来协商在该数据链路上所传输的数据包的格式与类型。
•扩展协议族CHAP(Challenge-Handshake Authentication Protocol)和PAP(Password Authentication Protocol),主要用于网络安全方面的验证。
ØPPP协议相对与其它链路层协议有如下优点:•PPP既支持同步链路又支持异步链路,而X.25、帧中继等数据链路层协议仅支持同步链路,SLIP仅支持异步链路。
实验二十三:PPP协议中的CHAP和PAP验证
实验二十三:PPP协议中的CHAP和PAP验证一、理论基础1. PPP协议PPP协议是在SLIP(Serial Line IP串行线IP协议)的基础上发展起来的。
由于SLIP 协议只支持异步传输方式、无协商过程(尤其不能协商如双方IP地址等网络层属性)等缺陷,在以后的发展过程中,逐步被PPP协议所代替。
人们创建了PPP协议以解决远程互连网的连接问题。
另外,需要采用PPP协议来解决动态分配IP地址以及多协议使用的问题。
PPP 可以在同步和异步电路中提供路由器到路由器以及主机到网络的连接。
PPP是目前使用最普遍、最流行的WAN协议,是一种标准的串行线路封装方式,这种协议在连接建立期间可以检查链路的质量。
2、PPP协议的特点(1)动态分配IP地址(例如拨号上网时)(2)支持多种网络层协议(3)误码检测(4)多链路绑定(Multilink)(5)数据的压缩(6)链路配置以及链路质量测试(7)回叫(Callback)(8)网络能力的协商选项,如:网络层地址协商和数据压缩协商等PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)等。
其中,链路控制协议LCP(Link Control Protocol):用来协商链路的一些参数,负责创建并维护链路。
网络层控制协议NCP(Network Control Protocol):用来协商网络层协议的参数。
3、PPP建立一个点到点连接的四个阶段(1)链路的建立和配置协商(2)链路质量确定(3)网络层协议配置协商(4)链路拆除4、 PPP的验证方式PAP验证PAP(Password Authentication Protocol,口令鉴定协议)是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。
PAP验证的过程如下:被验证方主动发起验证请求,将本端的用户名和口令发送到验证方;验证方接到被验证方的验证请求后,检查此用户名是否存在以及口令是否正确。
PPP的PAP与CHAP深入详解
点到点协议(,)是(,因特网工程任务组)推出的点到点类型线路的数据链路层协议。
它解决了中的问题,并成为正式的因特网标准。
协议在、和中进行了描述。
支持在各种物理类型的点到点串行线路上传输上层协议报文。
有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。
因此,应用十分广泛。
下面是我查的关于协议认证的一些知识。
什么情况我们可以用看到自己直边的邻居呢,邻居的发现对我们在排查问题时很有帮助,我们可以通过我们左右的邻居,来判断是那台设备出现问题,只要我们在接口上把物理端口打开,然后端配上时钟就可以发现邻居。
(): – , – , –– , – , – , –Capability Platform Port在上图中为我们的邻居,本地与的相连,的设备型号为,为., . .()()()* : : 由于的原因使的邻居断开* : :* : : ,* : : ,()()* : :* : : ,* : :* : : ,()()* : :* : ** *** : :。
协议的封装()., , :!!!!! 在默认封装的情况下能通,封装为(),()., , :!!!! 只要封装了协议,而没有添加认证的情况也能通(),().关于认证原理提供了两种可选的身份认证方法:口令验证协议(,)和质询握手协议(,)。
如果双方协商达成一致,也可以不使用任何身份认证方法。
认证比认证更安全,因为不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为”挑战字符串“.如图所示。
同时,身份认证可以随时进行,包括在双方正常通信过程中。
因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
图对端系统要求很高,因为需要多次进行身份质询、响应。
这需要耗费较多的资源,因此只用在对安全要求很高的场合。
PPP协议的PAP和CHAP认证
PPP协议的PAP和CHAP认证PPP(Point-to-Point Protocol)是一种常见的用于串行链路上的数据通信的协议,主要用于建立和管理点对点连接。
PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。
PPP协议支持多种认证方式,其中最常见的是PAP(Password Authentication Protocol)和CHAP(Challenge Handshake Authentication Protocol)认证。
1. PAP认证(Password Authentication Protocol):PAP是一种最简单的认证协议,其主要思想是使用明文密码对用户进行认证。
在PAP认证中,PPP服务器首先向对端发送一个认证请求报文,要求对端提供用户名和密码。
接收到认证请求的对端回复一个应答报文,携带用户名和密码。
PPP服务器收到应答报文后,会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比,如果一致,则认证成功,通信将继续进行;如果不一致,则认证失败,连接将被断开。
PAP认证的优点是简单易实现,适用于低要求的场景。
然而,PAP认证的缺点也显而易见:-PAP认证对用户名和密码的传输没有加密保护,存在明文传输的风险-PAP认证仅进行一次握手即可认证通过,对于未进行身份确认的对端,可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题,容易受到网络窃听和篡改的威胁2. CHAP认证(Challenge Handshake Authentication Protocol):CHAP认证是一种基于挑战响应的强大认证协议,其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。
在CHAP认证中,PPP服务器首先向对端发送一个随机生成的挑战值。
接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法(如MD5)生成一个响应报文,将响应报文发送回服务器。
PPP各种模式优缺点对比
PPP 各种模式优缺点对比PP的全称是Point-to-Point Protocol,是一种广泛用于计算机网络中的数据链路层协议。
PPP协议可以使用多种模式来提供数据链路层服务。
这篇文档主要介绍PPP协议各种模式的优缺点对比。
PPP 各种模式简介PPP 非同步平衡模式PPP非同步平衡模式(PPP asynchronous balance mode)是最简单的PPP模式,常用于将串行口连接到一个网络上。
这种模式必须支持异步串行数据传输。
非同步模式的特点是没有同步信号,并且在传输过程中,数据的同步检测由PPP协议完成,一些底层的硬件能力不需要实现。
PPP 同步平衡模式PPP同步平衡模式(PPP synchronous balance mode)使用同步信号在传输中检测同步。
同步信号有时被安排在其它通道中传输,如在FDDI或SONET网络中传输,而不是在用户数据中。
从物理层角度来说,发射器和接收器必须使用相同的电缆类型,传输距离有限。
PPP PAP/CHAP 模式密码认证协议(PAP)和挑战-回答认证协议(CHAP)是两个常用的用户身份认证协议。
PAP使用明文文本对用户进行认证,而CHAP使用一种更为安全的双向认证机制。
PAP协议只会在PPP连接建立时使用,而CHAP协议则会在整个PPP连接过程中使用。
这也是两者最大的区别。
PPP Multilink 模式最后一个PPP模式是PPP Multilink。
这种模式可以使用多个物理链路进行数据传输,并将它们组合成一个逻辑链路。
Multilink可以将带宽合并为一个连接,从而提高连接速度。
Multilink模式处理的最大问题是序列号的问题。
要想不丢失数据,每个数据包都必须按顺序传输。
如果其中的某个数据包丢失了,所有在这个数据包之后的数据包都要重新传输。
PPP 各种模式优缺点对比下表是各种PPP模式的优缺点对比:模式优点缺点非同步平衡模式简单易于实现,适用于前卫的传输方式只支持异步传输传输速率受限于异步信号同步平衡模式在支持同步信号的通道中可以实现高速传输传输距离有限PAP/CHAP 安全认证安全性高协议必须全程使用Multilink 可以合并带宽序列号问题综上所述,选择PPP的相应模式必须根据具体的网络需求和特征进行考虑与权衡。
PPP协议的认证-PAP、CHAP.
通信技术专业教学资源库 南京信息职业技术学院
《中兴IP数据工程师 ZCNE认证》课程
PPP协议的认证 PAP、CHAP
主讲: 胡峰
目录
01 PPP认证-PAP、CHAP
1. PPP中的认证协议
PAP (password authentication protocol) 二次握手,明文传输用户名和密码 只是在链路刚建立时使用
CHAP(Challenge-Handshake Authentication Protocol) 三次握手,不直接传送用户口令 周期性地验证对方身份
ቤተ መጻሕፍቲ ባይዱ
1. PAP认证
被验证方
用户名+密码
通过 / 拒绝
主验证方
一请求一回应, 两次握手。
明文易被第三方获取,泄露用户名和密码, 安全性较低
1. CHAP认证
被验证方
主验证方 主机名+随机报文 用户名+加密后报文
通过 / 拒绝
挑战报文+请求反 馈,三次握手
三次握手、密文传输,CHAP是比PAP安全的一种认证协议
1. PPP会话阶段信令流程
第一步:challenge报文 第二步:加密报文
第三步:反馈报文
通信技术专业教学资源库 南京信息职业技术学院
谢谢
主讲: 胡峰
PAP和CHAP协议区别
PAP和CHAP协议区别以及mschap-v1和mschap-v2的区别PAP和CHAP协议区别PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。
PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。
CHAP全称为:Challenge Handshake Authentication Protocol(挑战握手认证协议),主要就是针对PPP的,除了在拨号开始时使用外,还可以在连接建立后的任何时刻使用。
CHAP协议基本过程是认证者先发送一个随机挑战信息给对方,接收方根据此挑战信息和共享的密钥信息,使用单向HASH函数计算出响应值,然后发送给认证者,认证者也进行相同的计算,验证自己的计算结果和接收到的结果是否一致,一致则认证通过,否则认证失败。
这种认证方法的优点即在于密钥信息不需要在通信信道中发送,而且每次认证所交换的信息都不一样,可以很有效地避免监听攻击。
CHAP缺点:密钥必须是明文信息进行保存,而且不能防止中间人攻击。
使用CHAP的安全性除了本地密钥的安全性外,网络上的安全性在于挑战信息的长度、随机性和单向HASH 算法的可靠性。
常用的chap几个chap认证方式(chap,mschap-v1,maschap-v2)的区别:mschap-v1微软版本的CHAP,和CHAP基本上一样。
认证后支持MPPE,安全性要较CHAP好一点。
maschap-v2微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。
优点:双向加密、双向认证、安全性高。
VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) .2010-01-10 17:11 624人阅读评论(0) 收藏举报身份认证技术是VPN网络安全的第一道关卡。
PPP认证,含pap和chap的双向与单向认证——蘑菇课堂
完成CHAP 本地路由器根据自己计算的预期哈希值来检查响 应。如果这两个值相同,则发起方节点会确认该 身份验证。否则,它会立即终止连接。
完成CHAP CHAP 通过使用唯一且不可预测的可变询问消息 值提供回送攻击防护功能。因为询问消息唯一而 且随机变化,所以得到的哈希值也是随机的唯一 值。反复发送询问信息限制了暴露在任何单次攻 击下的时间。本地路由器或第三方身份验证服务 器控制着发送询问信息的频率和时机。
●路由策略与策略路由实验
●访问列表与Telnet访问控制实验
WAN 封装协议
HDLC 现在是同步 PPP 的基础,许多服务器使用同步 PPP 连接到 WAN(最常见的是连接到 Internet)
PPP PPP 对数据帧进行封装以便在第 2 层物理链路上 传输。 PPP 使用串行电缆、电话线、中继 (trunk) 线、 手机、专用无线链路或光缆链路建立直接连接。 PPP 具有许多优点,包含 HDLC 中没有的许多功 能: 链路质量管理功能监视链路的质量。如果检测 到过多的错误,PPP 会关闭链路。 PPP 支持 PAP 和 CHAP 身份验证。
PPP身份验证过程
在启用 CHAP 或 PAP 身份验证或同时启用这两种身份验证 之后,在允许数据流通过之前,本地路由器要求远程设备 先提供身份信息。其实现过程如下: PAP 身份验证要求远程设备发送一个用户名和口令,然 后将其与本地用户名数据库或远程用户身份验证数据库 中的对应项进行比较。 CHAP 身份验证向远程设备发送询问消息。远程设备必须 使用共享密钥加密询问消息值并将加密后的值及其名称 作为响应消息返回给本地路由器。本地路由器使用远程 设备的名称在本地用户名或远程用户身份验证数据库中 查找适当的密钥。它使用查询到的密钥加密原始的询问 消息并校验加密后的值与原始值是否匹配。
思科课件8、PAP认证、CHAP认证
图8-2-1 PAP配置拓扑图
8.2
PAP配置
通常在实际应用中采用双向认证,即RouterA要认证RouterB,同时RouterB也要认 证RouterA,配置过程如下: (一) 配置RouterA
Router(config)# hostname RouterA !设置RouterA的名字 RouterA(config)# enable secret 54321 !设置RouterA的口令 RouterA(config)# username RouterB password 12345 !设置对端的用户名和口令 RouterA (config)# interface s0/0/0 !进入接口配置模式
图9-19 实训1拓扑结构
图 8-6-1 拓扑图
五、实训步骤
1.在两端路由器上配置IP地址及时钟(实训1已做)。 2.在远程路由器Router1(客户端)上进行PPP封装。 Router1(config)# interface s0/0/0 Router1(config-if)# encapsulation PPP 3.在远程路由器Router1(客户端)上配置在中心路由器Router2(服务端)上 登录的用户名和口令。 Router1(config-if)# PPP pap sent-username Router1 password 123456 4.在中心路由器Router2(服务端)上采用PPP封装。 Router2(config)# interface s0/0/0 Router2(config-if)# encapsulation PPP 5.在中心路由器Router2(服务端)上,配置PAP验证。 Router2(config-if)# PPP authentication pap
关于pap和chap的区别
Ppp中得两个认证协议pap、chap
在认证时不可以同时使用两种协议进行认证,同时写出两种认证是按顺序进行,哪个先写前面就用哪个。
如:ppp authen pap chap
Pap写在前面,所以是pap认证。
我的实验做法:
先写pap认证:
主认证方配置命令:时钟速率配置,username__pass__、ppp封装
被认证方:ppp封装、ppp pap sent_username___pass__
Ping检测:有pap数据包
然后写chap认证:
被认证方:ppp chap hostname__
Ppp chap pass__
Ping 检测:有chap数据包(相当于把chap的覆盖了)
Chap pap一起写入验证
当authen pap chap时:
进行pap认证,不会chap认证
但在被认证方将pap命令no掉之后,就会进行chap认证。
因为pap 是由被认证方先发起的,而chap是由主认证方发起的,pap的no不会影响chap的认证。
当authentic chap pap时:
进行chap认证,不会pap认证
当在被认证方no掉chap命令后,不再会进行pap认证。
因为在被认证方虽然no掉了chap,但是主认证方还是在不停的发起挑战信息,所以pap的报文会被主认证方压制不进行pap认证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PPP协议的PAP和CHAP认证
实验人:
实验名称:PPP协议的PAP和CHAP认证
实验目的:掌握PPP协议的PAP和CHAP认证的配置方法
实验原理:
PAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向)
CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证)
自动协商IP地址:
在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功!
头部压缩:
在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程:
PAP单向认证:
⑴用小凡搭建如图实验环境,如图示:
⑵在R1的S0/0上,配置IP,如图示:
⑶在R2的S0/0上,配置IP,如图示:
⑷此时,即可ping通192.168.1.2 如图示:
⑸在R1上,配置PPP协议,如图示:
⑹在R2上,配置PPP协议,如图示:
⑺此时,又可ping通192.168.1.2 如图示:
⑻在R1上,配置PAP认证,如图示:
⑼在R2上,配置发送PAP认证信息,如图示:
⑽此时,又可以ping通192.168.1.2 如图示:
PAP双向认证:
⒈在R1上,配置PAP认证,如图示:
⒉在R2上,配置发送PAP认证信息,如图示:
⒊配置完后,即可ping通192.168.1.2,即单向认证,如图示:
⒋在R2上,配置PAP认证,如图示:
⒌此时,不能ping 通192.168.1.2 如图示:
⒍在R1上,配置发送PAP认证信息,此时,可以又ping通192.168.1.2 如图示:
CHAP单向认证:
Ⅰ在R1上,配置CHAP认证,如图示:
Ⅱ在R2上,配置发送CHAP认证信息,如图示:
Ⅲ此时,即可ping通192.168.1.2 ,即CHAP 的单向认证成功!如图示:
CHAP双向认证:
①在R1上,配置CHAP认证,如图示:
②在R2上,配置发送CHAP认证信息,如图示:
③在R2上,配置CHAP认证,如图示:
④此时,不能ping通192.168.1.2 原因为没有在R1上,配置发送CHAP认证信息,如图示:
⑤在R1上,配置发送CHAP认证信息,此时,可以ping通192.168.1.2 ,即配置CHAP双向认证成功!如图示:
自动协商IP地址:
㈠在原有的实验环境下,去掉R2上的S0/0端口的IP地址,如图示:
㈡在R1上的S0/0端口下,配置分配的IP地址为192.168.1.100 如图示:
㈢在R2上的S0/0 端口上,配置自动协商IP地址,如图示:
㈣此时,在R2上,分配到192.168.1.100的IP地址,即实验成功,如图示:
头部压缩:
①在R1上,开启头部压缩功能,如图示:
②在R2上,开启头部压缩功能,如图示:
③此时,ping 192.168.1.100 ,使其有数据通过,用命令即可查看到压缩的情况,(命令show compress)如图示:
总结:
在实验中,CHAP认证的步骤:处理CHAP挑战数据包(1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器);当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题;PAP 不支持密码的加密,压缩,link绑定,设定最大传输单元等,CHAP 支持以上内容;PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码;在CHAP中,被验证方不明确定义发送主机名来验证时,默认发送该路由器的主机名;配置PAP双向认证时,用户名和密码都可以不一样,但配置CHAP双向认证时,要保证两台路由器的密码一致;。