PPP中的pap和chap认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

PPP协议的PAP和CHAP认证实验人：实验名称：PPP协议的PAP和CHAP认证实验目的：掌握PPP协议的PAP和CHAP认证的配置方法实验原理：PAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向）CHAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证）自动协商IP地址：在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！头部压缩：在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程：PAP单向认证：⑴用小凡搭建如图实验环境，如图示：⑵在R1的S0/0上，配置IP，如图示：⑶在R2的S0/0上，配置IP，如图示：⑷此时，即可ping通192.168.1.2 如图示：⑸在R1上，配置PPP协议，如图示：⑹在R2上，配置PPP协议，如图示：⑺此时，又可ping通192.168.1.2 如图示：⑻在R1上，配置PAP认证，如图示：⑼在R2上，配置发送PAP认证信息，如图示：⑽此时，又可以ping通192.168.1.2 如图示：PAP双向认证：⒈在R1上，配置PAP认证，如图示：⒉在R2上，配置发送PAP认证信息，如图示：⒊配置完后，即可ping通192.168.1.2，即单向认证，如图示：⒋在R2上，配置PAP认证，如图示：⒌此时，不能ping 通192.168.1.2 如图示：⒍在R1上，配置发送PAP认证信息，此时，可以又ping通192.168.1.2 如图示：CHAP单向认证：Ⅰ在R1上，配置CHAP认证，如图示：Ⅱ在R2上，配置发送CHAP认证信息，如图示：Ⅲ此时，即可ping通192.168.1.2 ，即CHAP 的单向认证成功！如图示：CHAP双向认证：①在R1上，配置CHAP认证，如图示：②在R2上，配置发送CHAP认证信息，如图示：③在R2上，配置CHAP认证，如图示：④此时，不能ping通192.168.1.2 原因为没有在R1上，配置发送CHAP认证信息，如图示：⑤在R1上，配置发送CHAP认证信息，此时，可以ping通192.168.1.2 ，即配置CHAP双向认证成功！如图示：自动协商IP地址：㈠在原有的实验环境下，去掉R2上的S0/0端口的IP地址，如图示：㈡在R1上的S0/0端口下，配置分配的IP地址为192.168.1.100 如图示：㈢在R2上的S0/0 端口上，配置自动协商IP地址，如图示：㈣此时，在R2上，分配到192.168.1.100的IP地址，即实验成功，如图示：头部压缩：①在R1上，开启头部压缩功能，如图示：②在R2上，开启头部压缩功能，如图示：③此时，ping 192.168.1.100 ，使其有数据通过，用命令即可查看到压缩的情况，（命令show compress）如图示：总结：在实验中，CHAP认证的步骤：处理CHAP挑战数据包（1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器）；当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题；PAP 不支持密码的加密，压缩，link绑定，设定最大传输单元等，CHAP 支持以上内容；PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码；在CHAP中，被验证方不明确定义发送主机名来验证时，默认发送该路由器的主机名；配置PAP双向认证时，用户名和密码都可以不一样，但配置CHAP双向认证时，要保证两台路由器的密码一致；。

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

PAP认证和CHAP认证概述一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）：PAP认证过程非常简单，二次握手机制。

使用明文格式发送用户名和密码。

发起方为被认证方，可以做无限次的尝试（暴力破解）。

只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。

目前在PPPOE拨号环境中用的比较常见。

PAP认证过程：PAP认证过程图首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。

二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议）CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。

由认证方发起CHAP认证，有效避免暴力破解。

在链路建立成功后具有再次认证检测机制。

目前在企业网的远程接入环境中用的比较常见。

CHAP认证过程：CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。

CHAP认证过程图：CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。

PAP和CHAP协议区别以及mschap-v1和mschap-v2的区别PAP和CHAP协议区别PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。

PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。

CHAP全称为：Challenge Handshake Authentication Protocol(挑战握手认证协议)，主要就是针对PPP的，除了在拨号开始时使用外，还可以在连接建立后的任何时刻使用。

CHAP协议基本过程是认证者先发送一个随机挑战信息给对方，接收方根据此挑战信息和共享的密钥信息，使用单向HASH函数计算出响应值，然后发送给认证者，认证者也进行相同的计算，验证自己的计算结果和接收到的结果是否一致，一致则认证通过，否则认证失败。

这种认证方法的优点即在于密钥信息不需要在通信信道中发送，而且每次认证所交换的信息都不一样，可以很有效地避免监听攻击。

CHAP缺点：密钥必须是明文信息进行保存，而且不能防止中间人攻击。

使用CHAP的安全性除了本地密钥的安全性外，网络上的安全性在于挑战信息的长度、随机性和单向HASH 算法的可靠性。

常用的chap几个chap认证方式（chap,mschap-v1,maschap-v2）的区别：mschap-v1微软版本的CHAP，和CHAP基本上一样。

认证后支持MPPE，安全性要较CHAP好一点。

maschap-v2微软版本的CHAP第二版，它提供了双向身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。

如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法，那么客户端和服务器端都要证明其身份，如果所连接的服务器不提供对自己身份的验证，则连接将被断开。

优点：双向加密、双向认证、安全性高。

VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) .2010-01-10 17:11 624人阅读评论(0) 收藏举报身份认证技术是VPN网络安全的第一道关卡。

pap chap认证详细讲解最近都一直在研究ppp协议和两种认证方式，才发现网上提供的好多的都有错误，而且连书本上同样错，讲的都不详细，今天我就将自已的成果分享出来，供大家学习，如果有什么不懂的地方请留言，我会以最快的速度回复，闲话少说，开始吧。

PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是两次握手，认证首先由被认证方发起认证请求，将自己的用户名和密码以明文的方式发送给主认证方。

然后，主认证方接受请求，并在自己的本地用户数据库里查找是否有对应的条目，如果有就接受请求。

如果没有，就拒绝请求。

这种认证方式是不安全的，很容易引起密码的泄露，但是，相对于CHAP认证方式来说，节省了宝贵的链路带宽。

比如说现在的Internet拨号认证接入方式就是PAP认证。

chap是三次握手，认证首先由主认证方发起认证请求，向被认证方发送“挑战”字符串（一些经过摘要算法加工过的随机序列）。

然后，被认证方接到主认证方的认证请求后，将用户名和密码（这个密码是根据“挑战”字符串进行MD5加密的密码）发回给主认证方。

最后，主认证方接收到回应“挑战”字符串后，在自己的本地用户数据库中查找是否有对应的条目，并将用户名对应的密码根据“挑战”字符串进行MD5加密，然后将加密的结果和被认证方发来的加密结果进行比较。

如果两者相同，则认为认证通过，如果不同则认为认证失败先来讲下pap 认证1、单向认证R1只做如下配置（验证服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR2只做如下配置（验证客户端）在端口模式下进行协议的封装和发送验证信息（对方设置的用户名和密码）R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样就可以完成pap的单向认证2、双向认证（其实做完上面的步骤仔细一想，如果两边既是服务端又是客户端口，这样就是双向认证了，不必看下面的也知道该怎么配双向认证了）R1只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR1(config-if)#ppp pap sent-username b password 456R2只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名和密码随意）R2(config)#username b password 456在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样即可完成pap的双向认证再来说说chap认证1、单向认证R1只做如下配置（验证服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2只做如下配置（验证客户端）在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串）R2(config-if)#encapsulation pppR2(config-if)#ppp chap password 123这样就可以完成chap的单向认证2、双向认证(这里和pap有所有同，请注意)R1只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名可随意且可以不同但密码一定相同，因为最终核对的是同一个密码加密后散列函数，如果密码都不同，认证肯定失败）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname b //这里只需指定用户名就可以，因为密码双方都知道R2只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（同上）R2(config)#username b password 123在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串，也可以解释为什么这里没有sent-username命令）R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname a //同上这样即可完成chap的双向认证----------------完----------------------。

认证协议介绍一PPP：点对点协议（PPP：Point to Point Protocol）PPP（点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。

这种链路提供全双工操作，并按照顺序传递数据包。

设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。

PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。

在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。

除了IP 以外PPP 还可以携带其它协议，包括DECnet和Novell的Internet 网包交换（IPX）。

（1）PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；（2）PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；（3）PPP具有错误检测以及纠错能力，支持数据压缩；（4）PPP具有身份验证功能。

值（A=FFH，C=03H）；协议域（两个字节）取0021H表示IP分组，取8021H表示网络控制数据，取C021H表示链路控制数据；帧校验域（FCS）也为两个字节，它用于对信息域的校验。

若信息域中出现7EH，则转换为（7DH，5EH）两个字符。

当信息域出现7DH时，则转换为（7DH，5DH）。

当信息流中出现ASCII码的控制字符（即小于20H），即在该字符前加入一个7DH字符。

封装：一种封装多协议数据报的方法。

PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。

PPP 封装精心设计，能保持对大多数常用硬件的兼容性，克服了SLIP不足之处的一种多用途、点到点协议，它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。

所以，PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务。

cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip address 192.168.2.1 255.255.255.0R1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaa 192.168.2.2 192.168.2.10R2(config)#interface s1/0R2(config-if)#ip address negotiated查看 s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is 192.168.2.2/32 如果获取不到地址将接shutdown 然后再 no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#network 192.168.2.0R1(config-router)#network 192.168.1.0查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - m obile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter arN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-Iia - IS-IS inter area, * - candidate default, U - per-user so - ODR, P - periodic downloaded stati c routeGateway of last resort is not setC 192.168.1.0/24 is directly connected, FastEthernet0/0192.168.2.0/24 is variably subnetted, 2 subnets, 2 m asksC 192.168.2.2/32 is directly connected, Serial1/0C 192.168.2.0/24 is directly connected, Serial1/0R 192.168.3.0/24 [120/1] via 192.168.2.2, 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#network 192.168.2.0R2(config-router)#network 192.168.3.0R2(config-router)#exit查看路由表R2#show ip routeCodes: C - connected, S - static, R - RIP, M - m obile, B - BGD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded stati c routeGateway of last resort is not set192.168.2.0/32 is subnetted, 2 subnetsC 192.168.2.2 is directly connected, Serial1/0C 192.168.2.1 is directly connected, Serial1/0C 192.168.3.0/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-usernam e abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug ppp authenticationPPP authentication debugging is on 验证chap过程7、show run查看验证8、测试结果pc1 ping通pc2。

PPP中的pap和chap认证写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。

实验等级：Aassistant实验拓扑：实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证基本配置：R1：!hostname R1----------------------------------------------------------设置主机名为“R1”!interface Serial1/0ip address 1.1.1.1 255.255.255.0encapsulation ppp-------------------------------------------------设置封装为pppR2：hostname R2!interface Serial1/0ip address 1.1.1.2 255.255.255.0encapsulation ppp通过上面的配置，在没有启用任何认证的情况下，链路是通的。

配置步骤：1.在两台路由器上进行pap认证：如果我们进行单项认证的话配置应该如下R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。

R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下，我们可以看到链路已经down了：R1(config-if)#*Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to downR2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置：R2(config)#int s1/0R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码R2(config-if)#*Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。

PPP认证实验实验需求：如图路由器R1和R2，R1被认证方，R2为认证方，使用PAP认证与CHAP认证完成PPP实验1、基础配置ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.1 255.255.255.0ipv6 address 2001::1 64R2:ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.2 255.255.255.0ipv6 address 2001::2/642、抓包在s1/0/0端口验证R2的LCP和IPCP、IPV6CPLCP configure request配置请求LCP配置确认3、PAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode papR1配置：[R1]interface s1/0/0[R1-Serial1/0/0]ppp pap local-user zhangsan password cipher Huawei@123抓包验证PAP执行了两次握手能够抓到PAP认证中传递的明文用户名zhangsan和密码Huawei@1234、CHAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode chapinterface Serial1/0/0[R1-Serial1/0/0]ppp chap user zhangsan[R1-Serial1/0/0]ppp chap password cipher Huawei@123抓包验证CHAP执行了三次握手只能够抓到CHAP认证中传递的标识符和挑战值，传递进行哈希值传递了散列数值，根本抓不到密码，CHAP认证相比于PAP认证安全性更高。

实验二十三：PPP协议中的CHAP和PAP验证一、理论基础1. PPP协议PPP协议是在SLIP（Serial Line IP串行线IP协议）的基础上发展起来的。

由于SLIP 协议只支持异步传输方式、无协商过程（尤其不能协商如双方IP地址等网络层属性）等缺陷，在以后的发展过程中，逐步被PPP协议所代替。

人们创建了PPP协议以解决远程互连网的连接问题。

另外，需要采用PPP协议来解决动态分配IP地址以及多协议使用的问题。

PPP 可以在同步和异步电路中提供路由器到路由器以及主机到网络的连接。

PPP是目前使用最普遍、最流行的WAN协议，是一种标准的串行线路封装方式，这种协议在连接建立期间可以检查链路的质量。

2、PPP协议的特点（1）动态分配IP地址（例如拨号上网时）（2）支持多种网络层协议（3）误码检测（4）多链路绑定（Multilink）（5）数据的压缩（6）链路配置以及链路质量测试（7）回叫（Callback）（8）网络能力的协商选项，如：网络层地址协商和数据压缩协商等PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP和CHAP）等。

其中，链路控制协议LCP（Link Control Protocol）：用来协商链路的一些参数，负责创建并维护链路。

网络层控制协议NCP（Network Control Protocol）：用来协商网络层协议的参数。

3、PPP建立一个点到点连接的四个阶段（1）链路的建立和配置协商（2）链路质量确定（3）网络层协议配置协商（4）链路拆除4、 PPP的验证方式PAP验证PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。

PAP验证的过程如下：被验证方主动发起验证请求，将本端的用户名和口令发送到验证方；验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。

点到点协议（，）是（，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了中的问题，并成为正式的因特网标准。

协议在、和中进行了描述。

支持在各种物理类型的点到点串行线路上传输上层协议报文。

有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于协议认证的一些知识。

什么情况我们可以用看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后端配上时钟就可以发现邻居。

(): – , – , –– , – , – , –Capability Platform Port在上图中为我们的邻居，本地与的相连，的设备型号为，为., . .()()()* : : 由于的原因使的邻居断开* : :* : : ,* : : ,()()* : :* : : ,* : :* : : ,()()* : :* : ** *** : :。

协议的封装()., , :!!!!! 在默认封装的情况下能通，封装为(),()., , :!!!! 只要封装了协议，而没有添加认证的情况也能通(),().关于认证原理提供了两种可选的身份认证方法：口令验证协议（，）和质询握手协议（，）。

如果双方协商达成一致，也可以不使用任何身份认证方法。

认证比认证更安全，因为不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为”挑战字符串“.如图所示。

同时，身份认证可以随时进行，包括在双方正常通信过程中。

因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。

图对端系统要求很高，因为需要多次进行身份质询、响应。

这需要耗费较多的资源，因此只用在对安全要求很高的场合。

实验拓扑图：相关说明：在链路建立的第2个阶段进行用户验证，最常用的认证协议有口令验证协议PAP和挑战-握手协议CHAP。

口令验证协议PAP是一种简单的明文验证方式，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令;挑战-握手验证协议CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。

初始：配置各路由器的IP地址。

Router(config)#host r1r1(config)#int s1/0r1(config-if)#clock rate 64000r1(config-if)#ip address 10.1.1r1(config-if)#no shRouter(config)#host r2r2(config)#int s1/0r2(config-if)#ip address 10.1.1r2(config-if)#clock rate 64000r2(config-if)#no shI：配置PAP单向身份验证r1(config)#username r2 password 123 /验证方建立数据库r1(config)#int s1/0r1(config-if)#encapsulation ppp /进行PPP封装r1(config-if)#ppp authentication pap /使用PAP实现PPP的验证r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp pap sent-username r2 password 123 /发送验证信息测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/9/16 msII：配置PAP双向身份验证r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication papr1(config-if)#ppp pap sent-username r1 password 321 /注意此时发送的password r2(config)#username r1 password 321r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp authentication papr2(config-if)#ppp pap sent-username r2 password 123 /注意此时发送的password 测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/16 msIII：配置CHAP单向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication chapr2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)#ppp chap hostname r2r2(config-if)#ppp chap password 123测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms IV：配置CHAP双向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)# encapsulation pppr1(config-if)# ppp authentication chapr2(config-if)#username r1 password 123r2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)# ppp authentication chap测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms OK，实验完成。

PPP 协议简介1. PPP 协议PPP（Point-to-Point Proto col）协议是在点到点链路上承载网络层数据包的一种链路层协议，由于它能够提供用户验证，而且易于扩充、支持同／异步线路，因而获得广泛应用。

PPP 定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP 和CHAP）等。

其中：链路控制协议LCP（Link Control Protocol）：用来协商链路的一些参数，负责创建并维护链路。

网络层控制协议NCP（Network Control Protocol）：用来协商网络层协议的参数。

2. PPP 的验证方式(1) PAP 验证PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。

PAP 验证的过程如下：被验证方主动发起验证请求，将本端的用户名和口令发送到验证方；验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。

如果此用户名存在且口令正确，验证方返回Acknowledge 响应，表示验证通过；如果此用户名不存在或口令错误。

验证方返回NotAcknowledge 响应，表示验证不通过。

(2) CHAP 验证CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播。

CHAP 验证过程如下：验证方主动发起验证请求，向被验证方发送一些随机产生的报文，并同时将本端配置的用户名附带上一起发送给被验证方；被验证方接到验证方的验证请求后，根据此报文中的用户名在本端的用户表中查找用户口令。

如找到用户表中与验证方用户名相同的用户，便利用报文ID 和此用户的口令以MD5 算法生成应答，随后将应答和自己的用户名送回；验证方接收到此应答后，利用报文ID、自己保存的被验证方口令以及随机报文用MD5 算法得出结果，与被验证方应答比较。

PPP协议的PAP和CHAP认证PPP（Point-to-Point Protocol）是一种常见的用于串行链路上的数据通信的协议，主要用于建立和管理点对点连接。

PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。

PPP协议支持多种认证方式，其中最常见的是PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol）认证。

1. PAP认证（Password Authentication Protocol）：PAP是一种最简单的认证协议，其主要思想是使用明文密码对用户进行认证。

在PAP认证中，PPP服务器首先向对端发送一个认证请求报文，要求对端提供用户名和密码。

接收到认证请求的对端回复一个应答报文，携带用户名和密码。

PPP服务器收到应答报文后，会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比，如果一致，则认证成功，通信将继续进行；如果不一致，则认证失败，连接将被断开。

PAP认证的优点是简单易实现，适用于低要求的场景。

然而，PAP认证的缺点也显而易见：-PAP认证对用户名和密码的传输没有加密保护，存在明文传输的风险-PAP认证仅进行一次握手即可认证通过，对于未进行身份确认的对端，可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题，容易受到网络窃听和篡改的威胁2. CHAP认证（Challenge Handshake Authentication Protocol）：CHAP认证是一种基于挑战响应的强大认证协议，其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。

在CHAP认证中，PPP服务器首先向对端发送一个随机生成的挑战值。

接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法（如MD5）生成一个响应报文，将响应报文发送回服务器。

PPP 各种模式优缺点对比PP的全称是Point-to-Point Protocol，是一种广泛用于计算机网络中的数据链路层协议。

PPP协议可以使用多种模式来提供数据链路层服务。

这篇文档主要介绍PPP协议各种模式的优缺点对比。

PPP 各种模式简介PPP 非同步平衡模式PPP非同步平衡模式（PPP asynchronous balance mode）是最简单的PPP模式，常用于将串行口连接到一个网络上。

这种模式必须支持异步串行数据传输。

非同步模式的特点是没有同步信号，并且在传输过程中，数据的同步检测由PPP协议完成，一些底层的硬件能力不需要实现。

PPP 同步平衡模式PPP同步平衡模式（PPP synchronous balance mode）使用同步信号在传输中检测同步。

同步信号有时被安排在其它通道中传输，如在FDDI或SONET网络中传输，而不是在用户数据中。

从物理层角度来说，发射器和接收器必须使用相同的电缆类型,传输距离有限。

PPP PAP/CHAP 模式密码认证协议（PAP）和挑战-回答认证协议（CHAP）是两个常用的用户身份认证协议。

PAP使用明文文本对用户进行认证，而CHAP使用一种更为安全的双向认证机制。

PAP协议只会在PPP连接建立时使用，而CHAP协议则会在整个PPP连接过程中使用。

这也是两者最大的区别。

PPP Multilink 模式最后一个PPP模式是PPP Multilink。

这种模式可以使用多个物理链路进行数据传输，并将它们组合成一个逻辑链路。

Multilink可以将带宽合并为一个连接，从而提高连接速度。

Multilink模式处理的最大问题是序列号的问题。

要想不丢失数据，每个数据包都必须按顺序传输。

如果其中的某个数据包丢失了，所有在这个数据包之后的数据包都要重新传输。

PPP 各种模式优缺点对比下表是各种PPP模式的优缺点对比：模式优点缺点非同步平衡模式简单易于实现，适用于前卫的传输方式只支持异步传输传输速率受限于异步信号同步平衡模式在支持同步信号的通道中可以实现高速传输传输距离有限PAP/CHAP 安全认证安全性高协议必须全程使用Multilink 可以合并带宽序列号问题综上所述，选择PPP的相应模式必须根据具体的网络需求和特征进行考虑与权衡。