认证方式pap chap协议解读

PAP和CHAPPAP是一个简单的基于用户名和密码的认证算法。

CHAP则要求服务器随即生成一个数据即所谓的质询数据发给拨入系统，拨入系统采用此质询数据对密码进行加密后发回认证服务器进行认证。

1．PAP的工作流程1)用户进行拨入，NAS给予回答，告知用户他支持PAP认证；2)用户向NAS发送用户名和密码；3)NAS向Radius服务器发送Access-Request消息，其中包括用户名和密码信息；4)Radius服务器给予回应。

2．CHAP工作流程1)用户向NAS发送用户名；2)NAS向服务器发送Access-Request消息以获取质询数，其中包含用户的用户名；3)服务器用Access-Challenge消息返回质询数给NAS，（这两步可免，直接由NAS给用户发送质询数）；4)NAS返回质询数给用户；5)用户用质询数将密码加密后发给NAS；6)NAS将用户加密密码和身份一并发给服务器进行认证，并指出它正使用CHAP算法。

MS-CHAP微软开发的通过交换挑战和握手信息来进行认证的远程访问认证协议。

它是由CHAP派生出来的，和CHAP有些差异，主要针对CHAP易受字典攻击的缺陷。

1998年发布的RFC2433给出了MS-CHAP的详细定义。

MS-CHAP 身份验证方法ISA Server2004 支持Microsoft 质询握手身份验证协议(MS-CHAP)，也称作MS-CHAP 版本1。

MS-CHAP 是一种不可逆的、加密密码身份验证协议。

质询握手过程的工作原因如下：1)身份验证程序（即远程访问服务器或Internet 身份验证服务(IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。

2)远程访问客户端再发送一个包含用户名、不可逆加密的质询字符串、会话标识符以及密码的响应。

3)身份验证程序检查该响应，如果确定为有效，则用户的凭据通过身份验证。

如果使用MS-CHAP 作为身份验证协议，则可以使用Microsoft 点对点加密(MPPE) 来加密通过PPP 或PPTP 连接发送的数据。

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

PAP和CHAP协议区别PAP（Password Authentication Protocol）和CHAP（Challenge-Handshake Authentication Protocol）是两种常见的身份验证协议，用于在计算机网络中进行用户认证。

它们之间的区别如下：1.认证方式：-PAP是一种简单的基于密码的认证协议，客户端将明文密码发送给服务器进行验证。

-CHAP则是一种更安全的认证协议，客户端和服务器之间通过一系列的挑战和响应进行认证，密码不会被明文传输。

2.传输方式：-PAP在认证过程中使用明文传输密码，存在安全风险，因为密码可以被中间人截获和篡改。

-CHAP通过使用哈希算法对密码进行加密，在传输过程中不会出现明文密码，安全性更高。

3.握手协议：-PAP只需要一次握手，客户端发送用户名和密码给服务器，服务器进行验证并返回认证结果。

如果失败，客户端可以重试。

- CHAP采用多轮握手协议，服务器首先向客户端发送一个随机数（Challenge），客户端将其与密码进行哈希计算，发送给服务器进行验证。

验证成功后，服务器返回一个成功的响应。

CHAP中的挑战和响应过程可在整个会话期间多次重复，从而提高安全性。

4.安全性：-PAP由于使用明文传输密码，容易受到中间人攻击，因此安全性较低。

-CHAP使用加密哈希函数，不会在网络中传输明文密码，安全性更高。

5.错误处理：-PAP在验证失败时，客户端可以重试，但由于不需要挑战响应过程，服务器无法判断是客户端密码错误还是攻击者的暴力破解，容易受到暴力破解攻击。

-CHAP通过挑战和响应过程，可以防止密码被暴力破解，服务器可以更好地处理验证失败的情况。

总体而言，CHAP相比于PAP具有更高的安全性。

由于CHAP使用哈希算法进行密码加密，并且通过挑战和响应过程进行认证，减少了明文密码的传输，因此对于网络环境中较为敏感的场景更为适用。

而PAP则适用于对安全要求不高的网络环境。

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

CHAPCHAP全称是PPP（点对点协议）询问握手认证协议（Challenge Handshake Authentication Protocol）。

该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。

通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

目录简述询问握手认证协议（CHAP）通过三次握手周期性的校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。

1. 链路建立阶段结束之后，认证者向对端点发送“challenge”消息。

2. 对端点用经过单向哈希函数计算出来的值做应答。

3. 认证者根据它自己计算的哈希值来检查应答，如果值匹配，认证得到承认；否则，连接应该终止。

4. 经过一定的随机间隔，认证者发送一个新的 challenge 给端点，重复步骤 1 到 3 。

通过递增改变的标识符和可变的询问值，CHAP 防止了来自端点的重放攻击，使用重复校验可以限制暴露于单个攻击的时间。

认证者控制验证频度和时间。

特性该认证方法依赖于只有认证者和对端共享的密钥，密钥不是通过该链路发送的。

虽然该认证是单向的，但是在两个方向都进行 CHAP 协商，同一密钥可以很容易的实现相互认证。

由于CHAP 可以用在许多不同的系统认证中，因此可以用NAME 字段作为索引，以便在一张大型密钥表中查找正确的密钥，这样也可以在一个系统中支持多个 NAME/ 密钥对，并可以在会话中随时改变密钥。

CHAP 要求密钥以明文形式存在，无法使用通常的不可回复加密口令数据库。

CHAP 在大型网络中不适用，因为每个可能的密钥由链路的两端共同维护。

协议结构CHAP 帧格式CHAP 的配置选项格式如下：8 16 32 40 bitType Length Authentication-Protocol AlgorithmType ― 3Length ― 5Authentication-Protocol ― 对于CHAP，为 C223（Hex）。

PAP认证和CHAP认证概述一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）：PAP认证过程非常简单，二次握手机制。

使用明文格式发送用户名和密码。

发起方为被认证方，可以做无限次的尝试（暴力破解）。

只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。

目前在PPPOE拨号环境中用的比较常见。

PAP认证过程：PAP认证过程图首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。

二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议）CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。

由认证方发起CHAP认证，有效避免暴力破解。

在链路建立成功后具有再次认证检测机制。

目前在企业网的远程接入环境中用的比较常见。

CHAP认证过程：CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。

CHAP认证过程图：CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。

CHAP协议简介CHAP（Challenge-Handshake Authentication Protocol）协议是一种用于网络认证的协议，它提供了一种安全的身份验证机制。

CHAP协议通过挑战-握手的方式进行身份验证，以确保通信双方的身份合法和数据传输的安全性。

工作原理CHAP协议通常在网络连接建立的时候进行身份验证。

在认证过程中，服务器会发送一个挑战给客户端，客户端需要根据挑战生成一个响应。

服务器会根据事先共享的密钥和预定的加密算法验证客户端生成的响应是否正确。

如果验证通过，则身份认证成功，双方可以开始进行数据传输；如果验证失败，则连接将被终止。

CHAP协议的优势1.安全性高：CHAP协议使用了挑战-握手的方式进行身份验证，相比于简单的明文密码传输，更加安全可靠。

因为挑战是随机生成的，每次认证的挑战都不相同，避免了密码被截获后的重放攻击。

2.防止密码猜测：由于CHAP协议的挑战是随机生成的，攻击者无法通过简单的猜测来获取正确的密码。

3.抵御中间人攻击：CHAP协议通过预共享密钥进行身份验证，双方事先共享的密钥是通过安全的方式交换的，因此可以防止中间人攻击。

4.容易实施：CHAP协议的实现相对简单，并且广泛应用于各种网络设备和协议中。

CHAP协议的缺点1.传输效率低：CHAP协议在每次认证过程中都需要传输挑战和响应，这增加了网络传输的负担，降低了传输效率。

2.需要事先共享密钥：CHAP协议要求认证双方事先共享密钥，在实际应用中，密钥的管理和分发可能会带来一定的麻烦。

3.无法抵御重放攻击：虽然CHAP协议通过挑战-握手的方式防止密码的简单重放攻击，但仍然无法完全抵御高级攻击者使用更复杂手段进行的重放攻击。

CHAP协议的应用场景1.远程访问服务：CHAP协议可以用于远程访问服务，如远程登录服务器、远程桌面等，在认证用户身份时提供更高的安全性。

2.虚拟专用网（VPN）：CHAP协议常被用于VPN的身份验证，确保远程用户的合法性和传输数据的安全性。

福建工程学院国脉信息学院实验指导书实验一抓PPP(PAP/CHAP)包及协议分析基础一、实验目的1、掌握抓包软件Wireshark的应用2、掌握交换机路由器仿真环境中抓包工具的应用3、掌握抓PPP包并能进行分析4、理解PAP、CHAP协议原理二、实验环境Internet协议分析仿真实验平台（Dynamips、SecureCRT等）三、实验任务1、Wireshark在Windows中的安装与应用2、Dynamips的安装与应用2、路由器串口间的PPP包并进行分析3、通过抓获的数据包分析PAP、CHAP协议的原理四、实验步骤1、Wireshark在Windows中的安装与应用打开wireshark-win32-1..4.9中文版，进行安装。

点击“next”，进行下一步。

点击“I Agree”,进行下一步。

点击“next”，进行下一步。

点击“Install”,进行安装。

点击“next”，进行下一步。

完成安装，运行程序。

3、Dynamips的安装与应用点击dynamic安装包，进入安装界面。

点击next，进入下一步。

同意安装协议，点击I Agree 进入下一步。

使用默认安装名Dynagen，点击instal选项进行安装。

安装已完成，点击Finish完成安装。

安装完成后可以在桌面上看到以下程序。

4.添加硬件1）打开“控制面板”，双击：添加硬件点击next，进入下一步。

点击next，进入下一步。

选择“添加新的硬件设备”，点击“下一步”。

选择手动安装，点击“下一步”。

选择“网络适配器”进行安装，点击“下一步”点击“完成”，添加硬件成功。

打开本地连接2，先“停用”，再“启用”以记事本方式打开1）.将路由器的运行目录定位：按上图的标记1,2在D:\创建文件夹sikeVlab；在文件夹sikeVlab中创建两个文件夹temp，IOS；在文件夹temp中创建文件夹PPP；2）.把放进文件夹PPP中。

打开Network device list，将“3”部分替代为下面内容。

认证协议介绍一PPP：点对点协议（PPP：Point to Point Protocol）PPP（点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。

这种链路提供全双工操作，并按照顺序传递数据包。

设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。

PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。

在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。

除了IP 以外PPP 还可以携带其它协议，包括DECnet和Novell的Internet 网包交换（IPX）。

（1）PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；（2）PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；（3）PPP具有错误检测以及纠错能力，支持数据压缩；（4）PPP具有身份验证功能。

值（A=FFH，C=03H）；协议域（两个字节）取0021H表示IP分组，取8021H表示网络控制数据，取C021H表示链路控制数据；帧校验域（FCS）也为两个字节，它用于对信息域的校验。

若信息域中出现7EH，则转换为（7DH，5EH）两个字符。

当信息域出现7DH时，则转换为（7DH，5DH）。

当信息流中出现ASCII码的控制字符（即小于20H），即在该字符前加入一个7DH字符。

封装：一种封装多协议数据报的方法。

PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。

PPP 封装精心设计，能保持对大多数常用硬件的兼容性，克服了SLIP不足之处的一种多用途、点到点协议，它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。

所以，PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务。

路由器配置——PAP与CHAP认证⼀、实验⽬的：掌握PAP与CHAP认证配置⼆、拓扑图：三、具体步骤配置：（1）R1路由器配置：Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1 --修改路由器名为R1R1(config)#interface l0 --进⼊回环端⼝R1(config-if)#ip address 192.168.1.254 255.255.255.0 --配置ip地址R1(config-if)#no shutdown --激活端⼝R1(config-if)#exit --返回上⼀级R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#ip address 192.168.12.1 255.255.255.0 --为端⼝配置ip地址R1(config-if)#clock rate 64000 --设置时钟同步速率R1(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exit --返回上⼀级R1(config)#route rip --开启rip服务R1(config-router)#version 2 --版本2R1(config-router)#no auto-summary --关闭路由⾃动汇总R1(config-router)#network 192.168.1.0 --添加直连⽹段到ripR1(config-router)#network 192.168.12.0R1(config-router)#exit --返回上⼀级R1(config)#username abc1 password 456 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#encapsulation ppp --封装端⼝为pppR1(config-if)#ppp authentication pap --在R1上，配置PAP 验证R1(config-if)#ppp pap sent-username abc password 123 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR1#%SYS-5-CONFIG_I: Configured from console by console%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up（2）R2路由器配置：Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2 --修改路由器名为R2R2(config)#interface l0 --进⼊回环端⼝R2(config-if)#ip address 192.168.2.254 255.255.255.0 --配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#exit --返回上⼀级R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#ip address 192.168.12.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#ip address 192.168.24.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#clock rate 64000 --设置时钟同步速率R2(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config-if)#exit --返回上⼀级R2(config)#route rip --开启rip协议R2(config-router)#version 2 --版本2R2(config-router)#no auto-summary --关闭路由⾃动汇总R2(config-router)#network 192.168.2.0 --添加直连⽹段到ripR2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.24.0R2(config-router)#exit --返回上⼀级R2(config)#username abc password 123 --在R2上为R1设置⽤户名和密码R2(config)#username R3 password cisco --在R2上为R3设置⽤户名和密码（注意两端密码要相同）R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为PPP协议R2(config-if)#ppp authentication pap --配置PAP验证R2(config-if)#ppp pap sent-username abc1 password 456 --在R2上为R1设置⽤户名和密码R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为ppp协议R2(config-if)#ppp authentication chap --配置chap验证R2(config-if)#end --返回特权模式R2#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%SYS-5-CONFIG_I: Configured from console by console%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2#%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up（3）R3路由器配置：Router>enable --进特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R3 --修改路由器名为R3R3(config)#interface l0 --进⼊回环端⼝R3(config-if)#ip address 192.168.3.254 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#interface S0/0/0 --进⼊端⼝R3(config-if)#ip address 192.168.24.1 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#route rip --开启rip协议R3(config-router)#version 2 --版本2R3(config-router)#no auto-summary --关闭路由⾃动汇总R3(config-router)#network 192.168.3.0 --添加直连⽹段到ripR3(config-router)#network 192.168.24.0R3(config-router)#exit --返回上⼀级R3(config)#username R2 password cisco --在R3上为R2设置⽤户名和密码R3(config)#interface s0/0/0 --进⼊端⼝R3(config-if)#encapsulation ppp --封装端⼝为ppp协议R3(config-if)#ppp authentication chap --配置chap验证R3(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R3#%SYS-5-CONFIG_I: Configured from console by console四、验证测试：1、测试是否开启ppp认证（1）R1：（2）R2：（3）R3：2、查看R1的S0/0/0端⼝信息如图，红⾊标记处表⽰是PPP认证3、测试全⽹是否互通：（1）R1与R2（2）R2与R3（3）R3与R1结果：全⽹互通成功。

p p p认证方式a p c h a p认证文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

实验拓扑图：相关说明：在链路建立的第2个阶段进行用户验证，最常用的认证协议有口令验证协议PAP和挑战-握手协议CHAP。

口令验证协议PAP是一种简单的明文验证方式，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令;挑战-握手验证协议CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。

初始：配置各路由器的IP地址。

Router(config)#host r1r1(config)#int s1/0r1(config-if)#clock rate 64000r1(config-if)#ip address 10.1.1r1(config-if)#no shRouter(config)#host r2r2(config)#int s1/0r2(config-if)#ip address 10.1.1r2(config-if)#clock rate 64000r2(config-if)#no shI：配置PAP单向身份验证r1(config)#username r2 password 123 /验证方建立数据库r1(config)#int s1/0r1(config-if)#encapsulation ppp /进行PPP封装r1(config-if)#ppp authentication pap /使用PAP实现PPP的验证r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp pap sent-username r2 password 123 /发送验证信息测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/9/16 msII：配置PAP双向身份验证r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication papr1(config-if)#ppp pap sent-username r1 password 321 /注意此时发送的password r2(config)#username r1 password 321r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp authentication papr2(config-if)#ppp pap sent-username r2 password 123 /注意此时发送的password 测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/16 msIII：配置CHAP单向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication chapr2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)#ppp chap hostname r2r2(config-if)#ppp chap password 123测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms IV：配置CHAP双向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)# encapsulation pppr1(config-if)# ppp authentication chapr2(config-if)#username r1 password 123r2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)# ppp authentication chap测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms OK，实验完成。

PPP协议的PAP和CHAP认证PPP（Point-to-Point Protocol）是一种常见的用于串行链路上的数据通信的协议，主要用于建立和管理点对点连接。

PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。

PPP协议支持多种认证方式，其中最常见的是PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol）认证。

1. PAP认证（Password Authentication Protocol）：PAP是一种最简单的认证协议，其主要思想是使用明文密码对用户进行认证。

在PAP认证中，PPP服务器首先向对端发送一个认证请求报文，要求对端提供用户名和密码。

接收到认证请求的对端回复一个应答报文，携带用户名和密码。

PPP服务器收到应答报文后，会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比，如果一致，则认证成功，通信将继续进行；如果不一致，则认证失败，连接将被断开。

PAP认证的优点是简单易实现，适用于低要求的场景。

然而，PAP认证的缺点也显而易见：-PAP认证对用户名和密码的传输没有加密保护，存在明文传输的风险-PAP认证仅进行一次握手即可认证通过，对于未进行身份确认的对端，可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题，容易受到网络窃听和篡改的威胁2. CHAP认证（Challenge Handshake Authentication Protocol）：CHAP认证是一种基于挑战响应的强大认证协议，其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。

在CHAP认证中，PPP服务器首先向对端发送一个随机生成的挑战值。

接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法（如MD5）生成一个响应报文，将响应报文发送回服务器。