26 配置和检验 PAP 身份验证与 CHAP 身份验证
PAP&CHAP
PAP和CHAPPAP是一个简单的基于用户名和密码的认证算法。
CHAP则要求服务器随即生成一个数据即所谓的质询数据发给拨入系统,拨入系统采用此质询数据对密码进行加密后发回认证服务器进行认证。
1.PAP的工作流程1)用户进行拨入,NAS给予回答,告知用户他支持PAP认证;2)用户向NAS发送用户名和密码;3)NAS向Radius服务器发送Access-Request消息,其中包括用户名和密码信息;4)Radius服务器给予回应。
2.CHAP工作流程1)用户向NAS发送用户名;2)NAS向服务器发送Access-Request消息以获取质询数,其中包含用户的用户名;3)服务器用Access-Challenge消息返回质询数给NAS,(这两步可免,直接由NAS给用户发送质询数);4)NAS返回质询数给用户;5)用户用质询数将密码加密后发给NAS;6)NAS将用户加密密码和身份一并发给服务器进行认证,并指出它正使用CHAP算法。
MS-CHAP微软开发的通过交换挑战和握手信息来进行认证的远程访问认证协议。
它是由CHAP派生出来的,和CHAP有些差异,主要针对CHAP易受字典攻击的缺陷。
1998年发布的RFC2433给出了MS-CHAP的详细定义。
MS-CHAP 身份验证方法ISA Server2004 支持Microsoft 质询握手身份验证协议(MS-CHAP),也称作MS-CHAP 版本1。
MS-CHAP 是一种不可逆的、加密密码身份验证协议。
质询握手过程的工作原因如下:1)身份验证程序(即远程访问服务器或Internet 身份验证服务(IAS) 服务器),将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
2)远程访问客户端再发送一个包含用户名、不可逆加密的质询字符串、会话标识符以及密码的响应。
3)身份验证程序检查该响应,如果确定为有效,则用户的凭据通过身份验证。
如果使用MS-CHAP 作为身份验证协议,则可以使用Microsoft 点对点加密(MPPE) 来加密通过PPP 或PPTP 连接发送的数据。
PPP的CHAP认证和PAP认证
PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种,有单项的,有双向的。
单项chap认证。
(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证,认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ,用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1,用于识别想服务器端单项pap 认证。
(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证,认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码,一般是发送跟自己主机名一样的的用户。
PAP和CHAP协议区别
PAP和CHAP协议区别PAP(Password Authentication Protocol)和CHAP(Challenge-Handshake Authentication Protocol)是两种常见的身份验证协议,用于在计算机网络中进行用户认证。
它们之间的区别如下:1.认证方式:-PAP是一种简单的基于密码的认证协议,客户端将明文密码发送给服务器进行验证。
-CHAP则是一种更安全的认证协议,客户端和服务器之间通过一系列的挑战和响应进行认证,密码不会被明文传输。
2.传输方式:-PAP在认证过程中使用明文传输密码,存在安全风险,因为密码可以被中间人截获和篡改。
-CHAP通过使用哈希算法对密码进行加密,在传输过程中不会出现明文密码,安全性更高。
3.握手协议:-PAP只需要一次握手,客户端发送用户名和密码给服务器,服务器进行验证并返回认证结果。
如果失败,客户端可以重试。
- CHAP采用多轮握手协议,服务器首先向客户端发送一个随机数(Challenge),客户端将其与密码进行哈希计算,发送给服务器进行验证。
验证成功后,服务器返回一个成功的响应。
CHAP中的挑战和响应过程可在整个会话期间多次重复,从而提高安全性。
4.安全性:-PAP由于使用明文传输密码,容易受到中间人攻击,因此安全性较低。
-CHAP使用加密哈希函数,不会在网络中传输明文密码,安全性更高。
5.错误处理:-PAP在验证失败时,客户端可以重试,但由于不需要挑战响应过程,服务器无法判断是客户端密码错误还是攻击者的暴力破解,容易受到暴力破解攻击。
-CHAP通过挑战和响应过程,可以防止密码被暴力破解,服务器可以更好地处理验证失败的情况。
总体而言,CHAP相比于PAP具有更高的安全性。
由于CHAP使用哈希算法进行密码加密,并且通过挑战和响应过程进行认证,减少了明文密码的传输,因此对于网络环境中较为敏感的场景更为适用。
而PAP则适用于对安全要求不高的网络环境。
PAP和CHAP协议区别
PAP和CHAP协议区别以及mschap-v1和mschap-v2的区别PAP和CHAP协议区别PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。
PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。
CHAP全称为:Challenge Handshake Authentication Protocol(挑战握手认证协议),主要就是针对PPP的,除了在拨号开始时使用外,还可以在连接建立后的任何时刻使用。
CHAP协议基本过程是认证者先发送一个随机挑战信息给对方,接收方根据此挑战信息和共享的密钥信息,使用单向HASH函数计算出响应值,然后发送给认证者,认证者也进行相同的计算,验证自己的计算结果和接收到的结果是否一致,一致则认证通过,否则认证失败。
这种认证方法的优点即在于密钥信息不需要在通信信道中发送,而且每次认证所交换的信息都不一样,可以很有效地避免监听攻击。
CHAP缺点:密钥必须是明文信息进行保存,而且不能防止中间人攻击。
使用CHAP的安全性除了本地密钥的安全性外,网络上的安全性在于挑战信息的长度、随机性和单向HASH 算法的可靠性。
常用的chap几个chap认证方式(chap,mschap-v1,maschap-v2)的区别:mschap-v1微软版本的CHAP,和CHAP基本上一样。
认证后支持MPPE,安全性要较CHAP好一点。
maschap-v2微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。
优点:双向加密、双向认证、安全性高。
VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) .2010-01-10 17:11 624人阅读评论(0) 收藏举报身份认证技术是VPN网络安全的第一道关卡。
PPP的PAP与CHAP深入详解
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。
它解决了SLIP中的问题,并成为正式的因特网标准。
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。
PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了PPP的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。
因此,应用十分广泛。
下面是我查的关于PPP协议认证的一些知识1。
什么情况我们可以用show cdp nei看到自己直边的邻居呢,邻居的发现对我们在排查问题时很有帮助,我们可以通过我们左右的邻居,来判断是那台设备出现问题,只要我们在接口上把物理端口打开,然后DCE端配上时钟就可以发现邻居。
Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居,本地Ser1/0与R2的Ser1/0相连,R2的设备型号为7206VXR,为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。
PAP认证和CHAP认证概述
PAP认证和CHAP认证概述一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议):PAP认证过程非常简单,二次握手机制。
使用明文格式发送用户名和密码。
发起方为被认证方,可以做无限次的尝试(暴力破解)。
只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。
目前在PPPOE拨号环境中用的比较常见。
PAP认证过程:PAP认证过程图首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。
二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议)CHAP认证过程比较复杂,三次握手机制。
使用密文格式发送CHAP认证信息。
由认证方发起CHAP认证,有效避免暴力破解。
在链路建立成功后具有再次认证检测机制。
目前在企业网的远程接入环境中用的比较常见。
CHAP认证过程:CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。
CHAP认证过程图:CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认证通过,如果不一致,则认证不通过。
同时启用chap和pap两种认证
使用的命令为:
R2(config-if)#ppp authentication chap pap或者
R2(config-if)#ppp authentication pap chap
如果同时启用了两种验证协议,则在配置中指定的第一种验证方式在链路协商过程中将被请求。如果另一端设备建议使用第二种验证方法,或者第一种验证方法没有通过,那么两台设备之间就开始尝试第二种验证方法。
ip address1.1.1.2 255.255.255.0
encapsulationppp
通过上面的配置,在没有启用任何认证的情况下,链路是通的。
配置步骤:
1.在两台路由器上进行pap认证:
如果我们进行单项认证的话配置应该如下
R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。
R1(config)#usernameR2passwordgairuhe------------------------建立本地口令数据库
*Aug 23 17:07:24.107: Se1/0 CHAP: O FAILURE id 42 len 25 msg is "Authentication failed"
我们看到chap认证是通过发送一个challenge信息来进行认证。在R2上启用chap认证
R2(config)#int s1/0
此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。
Pap的双向认证:
Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。
R2(config)#username R1 password gairuhe
ppp chap
cisco CHAP验证详解为了保证网络环境的安全性,我们需要在网络环境中设置验证机制,也就是说当某个用户的设备想要和你的设备实现通讯时,必须得经过你的身份验证。
今天我们来看一下广域网协议PPP的身份验证。
PPP的身份验证方式分为两种,一种为PAP验证,PAP验证有一个缺点,就是在验证用户身份时信息以明文传输,这样在验证过程中很有可能第三方会窃取验证信息,因而安全性较差。
一种为CHAP验证,这种身份验证最大优点就是在验证过程中为加密验证,所以在网络中大多都采用的CHAP验证,因为它能够更好的保证网络的安全。
今天我们就来一起开一下CHAP配置和验证过程CHAP验证过程:①、A向B发起PPP连接请求②、B向A声明,要求对A进行CHAP验证③、A向B声明,同意验证④、路由器B把“用户ID,随机数”发给路由器A⑤、路由器A用收到的“用户ID和随机数”与“自己的密码”做散列运算⑥、路由器A把“用户ID、随机数、散列结果”发给B⑦、路由器B用收到的“用户ID、随机数”与“自己的密码”做散列运算,把散列运算结果与“A发过来的散列运算结果”进行比较,结果一样,验证成功;结果不一样,验证失败。
下面我们开始配置CHAP验证,试验环境如上图一、搭建基本环境配置A路由器A(config)#int lo0 启用一个回环端口Lo0,代表A路由器内部网络A(config-if)#ip address 192.168.10.1 255.255.255.0A(config-if)#exitA(config)#int s1/0 配置广域网端口s1/1A(config-if)#ip address 202.110.100.1 255.255.255.0A(config-if)#encap ppp 封装广域网协议为PPPA(config-if)#clock rate 64000 A、B路由器由A路由器的S1/1提供时钟频率A(config-if)#no shut 激活广域网端口A(config-if)#exitA(config)#router rip 配置路由协议RIP第二个人版本A(config-router)#version 2A(config-router)#net 192.168.10.0A(config-router)#net 202.110.100.0配置B路由器B(config)#int s1/0 配置B路由器S1/0端口B(config-if)#ip address 202.110.100.2 255.255.255.0B(config-if)#encap ppp 封装广域网协议PPPB(config-if)#no shut 激活S1/0端口B(config-if)#exitB(config)#router rip 配置RIP协议的第二个版本B(config-router)#ver 2B(config-router)#net 202.110.100.0在配置完基本的框架后此时A、B路由器就可以相互通讯了,我们可是使用show ip route 命令分别查看一下A、B路由器的路由表为了能够更好的看出下面的试验效果,我们还要看一下端口的状态,使用show interface 端口号查看端口状态。
pap与chap
它的特点是只在网络上传输用户名,而并不传输用户口令,因此它的安全性要比
PAP 高。
CHAP 验证为三次握手验证,口令为密文(密钥),CHAP 验证过程如下:
?? 验证方向被验证方发送一些随机产生的报文,并同时将本端的主机名附带上
CHAP 验证为三次握手验证,口令为密文(密钥),CHAP 验证过程如下:
?? 验证方向被验证方发送一些随机产生的报文,并同时将本端的主机名附带上
一起发送给被验证方;
?? 被验证方接到对端对本端的验证请求(Challenge)时,便根据此报文中验
证方的主机名和本端的用户表查找用户口令字,如找到用户表中与验证方主机名
获,便有可能对网络安全造成极大的威胁。因此,它适用于对网络安全要求相对
较低的环境。
CHAP 验证为三次握手验证,口令为密文(密钥),CHAP 验证过程如下:
?? 验证方向被验证方发送一些随机产生的报文,并同时将本端的主机名附带上
一起发送给被验证方;
?? 被验证方接到对端对本端的验证请求(Challenge)时,便根据此报文中验
PAP 验证为两次握手验证,口令为明文,PAP 验证的过程如下:
被验证方发送用户名和口令到验证方;
验证方根据用户配置查看是否有此用户以及口令是否正确,然后返回不同的响应
(Acknowledge or Not Acknowledge)。
如正确则会给对端发送ACK 报文,通告对端已被允许进入下一阶段协商;否则
发送NAK 报文,通告对端验证失败。此时,并不会直接将链路关闭。只有当验
证不通过次数达到一定值(缺省为4)时,才会关闭链路,来防止因误传、网络
路由器配置——PAP与CHAP认证
路由器配置——PAP与CHAP认证⼀、实验⽬的:掌握PAP与CHAP认证配置⼆、拓扑图:三、具体步骤配置:(1)R1路由器配置:Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1 --修改路由器名为R1R1(config)#interface l0 --进⼊回环端⼝R1(config-if)#ip address 192.168.1.254 255.255.255.0 --配置ip地址R1(config-if)#no shutdown --激活端⼝R1(config-if)#exit --返回上⼀级R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#ip address 192.168.12.1 255.255.255.0 --为端⼝配置ip地址R1(config-if)#clock rate 64000 --设置时钟同步速率R1(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exit --返回上⼀级R1(config)#route rip --开启rip服务R1(config-router)#version 2 --版本2R1(config-router)#no auto-summary --关闭路由⾃动汇总R1(config-router)#network 192.168.1.0 --添加直连⽹段到ripR1(config-router)#network 192.168.12.0R1(config-router)#exit --返回上⼀级R1(config)#username abc1 password 456 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#encapsulation ppp --封装端⼝为pppR1(config-if)#ppp authentication pap --在R1上,配置PAP 验证R1(config-if)#ppp pap sent-username abc password 123 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR1#%SYS-5-CONFIG_I: Configured from console by console%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up(2)R2路由器配置:Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2 --修改路由器名为R2R2(config)#interface l0 --进⼊回环端⼝R2(config-if)#ip address 192.168.2.254 255.255.255.0 --配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#exit --返回上⼀级R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#ip address 192.168.12.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#ip address 192.168.24.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#clock rate 64000 --设置时钟同步速率R2(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config-if)#exit --返回上⼀级R2(config)#route rip --开启rip协议R2(config-router)#version 2 --版本2R2(config-router)#no auto-summary --关闭路由⾃动汇总R2(config-router)#network 192.168.2.0 --添加直连⽹段到ripR2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.24.0R2(config-router)#exit --返回上⼀级R2(config)#username abc password 123 --在R2上为R1设置⽤户名和密码R2(config)#username R3 password cisco --在R2上为R3设置⽤户名和密码(注意两端密码要相同)R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为PPP协议R2(config-if)#ppp authentication pap --配置PAP验证R2(config-if)#ppp pap sent-username abc1 password 456 --在R2上为R1设置⽤户名和密码R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为ppp协议R2(config-if)#ppp authentication chap --配置chap验证R2(config-if)#end --返回特权模式R2#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%SYS-5-CONFIG_I: Configured from console by console%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2#%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up(3)R3路由器配置:Router>enable --进特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R3 --修改路由器名为R3R3(config)#interface l0 --进⼊回环端⼝R3(config-if)#ip address 192.168.3.254 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#interface S0/0/0 --进⼊端⼝R3(config-if)#ip address 192.168.24.1 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#route rip --开启rip协议R3(config-router)#version 2 --版本2R3(config-router)#no auto-summary --关闭路由⾃动汇总R3(config-router)#network 192.168.3.0 --添加直连⽹段到ripR3(config-router)#network 192.168.24.0R3(config-router)#exit --返回上⼀级R3(config)#username R2 password cisco --在R3上为R2设置⽤户名和密码R3(config)#interface s0/0/0 --进⼊端⼝R3(config-if)#encapsulation ppp --封装端⼝为ppp协议R3(config-if)#ppp authentication chap --配置chap验证R3(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R3#%SYS-5-CONFIG_I: Configured from console by console四、验证测试:1、测试是否开启ppp认证(1)R1:(2)R2:(3)R3:2、查看R1的S0/0/0端⼝信息如图,红⾊标记处表⽰是PPP认证3、测试全⽹是否互通:(1)R1与R2(2)R2与R3(3)R3与R1结果:全⽹互通成功。
华为 pap与chap配置
华为pap和chap的配置。
2010-04-19 23:01:13标签:华为chap papPAP 验证举例1. 组网需求如图1-2所示,路由器Quidway1 和Quidway2 之间用接口Serial3/0/0 互连,要求路由器Quidway1 用PAP方式验证路由器Quidway2。
3. 配置步骤(1) 配置路由器Quidway1:[Quidway]aaa[Quidway-aaa]local-user quidway2 password simple quidway[Quidway-aaa] quit[Quidway] interface serial 3/0/0[Quidway-Serial3/0/0] ip address 10.110.0.1 255.0.0.0[Quidway-Serial3/0/0] ppp authentication-mode pap(2) 配置路由器Quidway2:[Quidway] interface serial 3/0/0[Quidway-Serial3/0/0] ip address 10.110.0.2 255.0.0.0[Quidway-Serial3/0/0] ppp pap local-user quidway2 password simple quidway CHAP 验证举例1. 组网需求在图1-2中,要求路由器Quidway1 用CHAP方式验证路由器Quidway2。
2. 配置步骤在配置本地被对端以CHAP 方式验证时,作为Client 端在接口下与CHAP 相关的配置有:ppp chap user usernameppp chap password { cipher | simple } password方法1:作为认证端(Quidway1)的接口底下没有配置ppp chap user username (1) 配置路由器Quidway1:[Quidway]aaa[Quidway-aaa] local-user quidway1 password simple hello [Quidway-aaa] quit[Quidway] interface serial 3/0/0[Quidway-Serial3/0/0] ip address 10.110.0.1 255.0.0.0 [Quidway-Serial3/0/0] link-protocol ppp[Quidway-Serial3/0/0] ppp authentication-mode chap(2) 配置路由器Quidway2:[Quidway] interface serial 3/0/0[Quidway-Serial3/0/0] ip address 10.110.0.2 255.0.0.0 [Quidway-Serial3/0/0] link-protocol ppp[Quidway-Serial3/0/0] ppp chap user quidway1[Quidway-Serial3/0/0] ppp chap password simple hello方法2:作为认证端(Quidway1)的接口底下配置了ppp chap user username,例如quidway2。
Pap和Chap区别
回到正题,PAP跟CHAP的作用都是来验证用户的帐号及密码,所以配置的时候就要有帐号及密码。
PAP会把明文送出来做验证,所以不安全。CHAP则是双方都把随机乱数+密码 透过 杂凑函数 来运算,所以网路上只会监看到杂凑函数的种类及随机乱数,不会看到密码,安全性很高。
3.A收到了此响应信息后,发现发送者的名字是B,于是在自己的数据库中寻找B对应的密码,发现是111,然后 A再从自己的缓存中找到最开始发送的ID号和随机数,然后将此3者进行HASH运算,得出一个MD5数值。最后 将自己运算得出的MD5数值与B发送过来的MD5数值进行对比,一致则表明验证通过,否则拒绝通方B
Username TOM
Password 123
链路建立好了,然后A 在接口上面启用PAP验证。
1.B发送验证信息给A,其中包括用户名和密码,均为明文信息
2.A在自己的数据库中寻找B发送过来的用户名和密码信息是否匹配,匹配则验证通过,不匹配则拒绝通 过验证。
CHAP
验证方A 被验证方B
Username B Username A
Password 111 Password 111
两者在自己的本地数据库中存放着对方的设备名,密码一定要一样。
链路建立好了,然后A在接口上面启用CHAP验证。
1.A发送挑战信息给B,要求挑战B、
(挑战数据包里面含有ID号,随机产生的一个数字,还有发送者的名字)
2.B收到了挑战信息后,从里面获取到了几个有关的信息,ID号,随机数,发送者的名字为A。B会在自己的数 据库中寻找设备A对应的密码,发现密码是111,然后B将此密码,连同ID号和随机数进行HASH运算,得出一 个MD5数值。之后B向A发送一个响应信息,里面包含ID号,随机数,MD5值,发送者为B。此处的ID号和随机 数均为A最开始发送给B的挑战信息中的。
路由使用PAP、CHAP验证1
Router_config_s1/0#encapsulation ppp
Router_config_s1/0#ppp authentiation chap forA_chap
Router_config_s1/0#ppp chap hostname RouterB_chap
Router_config_s2/0#ip address 192.168.2.1 255.255.255.0
Router_config_s2/0#encapsulation ppp
Router_config_s2/0#ppp authentiation chap forB_chap
Router_config_s2/0#ppp chap hostname RouterA_chap
Router_config_s2/0#ppp authentiation pap forB_pap
Router_config_s2/0#ppp pap sent-sent-username RouterA_pap password digitalchinaA
Router配置如下:
Router_config#username RouterA_pap password 0 digitalchinaA
Router_config#aaa authentication ppp forB_pap local
Router_config#interface serial 2/0
Router_config_s2/0#ip address 192.168.2.1 255.255.255.0
PPP认证 PAP实验与CHAP实验
PPP认证实验实验需求:如图路由器R1和R2,R1被认证方,R2为认证方,使用PAP认证与CHAP认证完成PPP实验1、基础配置ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.1 255.255.255.0ipv6 address 2001::1 64R2:ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.2 255.255.255.0ipv6 address 2001::2/642、抓包在s1/0/0端口验证R2的LCP和IPCP、IPV6CPLCP configure request配置请求LCP配置确认3、PAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode papR1配置:[R1]interface s1/0/0[R1-Serial1/0/0]ppp pap local-user zhangsan password cipher Huawei@123抓包验证PAP执行了两次握手能够抓到PAP认证中传递的明文用户名zhangsan和密码Huawei@1234、CHAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode chapinterface Serial1/0/0[R1-Serial1/0/0]ppp chap user zhangsan[R1-Serial1/0/0]ppp chap password cipher Huawei@123抓包验证CHAP执行了三次握手只能够抓到CHAP认证中传递的标识符和挑战值,传递进行哈希值传递了散列数值,根本抓不到密码,CHAP认证相比于PAP认证安全性更高。
CCNA实验-PPP的验证(PAP和CHAP)[
实验拓扑图:相关说明:在链路建立的第2个阶段进行用户验证,最常用的认证协议有口令验证协议PAP和挑战-握手协议CHAP。
口令验证协议PAP是一种简单的明文验证方式,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令;挑战-握手验证协议CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。
初始:配置各路由器的IP地址。
Router(config)#host r1r1(config)#int s1/0r1(config-if)#clock rate 64000r1(config-if)#ip address 10.1.1r1(config-if)#no shRouter(config)#host r2r2(config)#int s1/0r2(config-if)#ip address 10.1.1r2(config-if)#clock rate 64000r2(config-if)#no shI:配置PAP单向身份验证r1(config)#username r2 password 123 /验证方建立数据库r1(config)#int s1/0r1(config-if)#encapsulation ppp /进行PPP封装r1(config-if)#ppp authentication pap /使用PAP实现PPP的验证r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp pap sent-username r2 password 123 /发送验证信息测试结果:r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/9/16 msII:配置PAP双向身份验证r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication papr1(config-if)#ppp pap sent-username r1 password 321 /注意此时发送的password r2(config)#username r1 password 321r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp authentication papr2(config-if)#ppp pap sent-username r2 password 123 /注意此时发送的password 测试结果:r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/16 msIII:配置CHAP单向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication chapr2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)#ppp chap hostname r2r2(config-if)#ppp chap password 123测试结果:r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms IV:配置CHAP双向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)# encapsulation pppr1(config-if)# ppp authentication chapr2(config-if)#username r1 password 123r2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)# ppp authentication chap测试结果:r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms OK,实验完成。
实验三PAP、chap认证
对Rb进行配置
Rb(config)# interface serial 1/3 ( DCE), DTE Rb(config-if)# ip address 172.16.2.2
255.255.255.0 Rb(config-if)# clock rate 64000 (DCE端进行
时钟配置) Rb(config-if)# no shutdown
Rb(config-if)# encapsulation ppp
Rb(config-if)# ppp authentication pap ! ppp 启用pap认证方式
验证测试
注意事项:先关掉电源开关,然后打开,再调 试debug命令。
Ra# debug ppp authentication 观察pap验证 过程
Ra(config)#
Red-Giant(config)# hostname Rb 由器主机名Rb
配置路 配置路
பைடு நூலகம்
对路由器Ra进行的配置
Ra(config)# interface serial 1/3 Ra(config-if)# ip address 172.16.2.1
255.255.255.0 配置接口地址 Ra(config-if)# no shutdown Ra# show int serial 1/3
PPP认证
[实验目的] 掌握 PAP CHAP认证的过程与配置
[背景描述] 你是公司的网络管理员,公司为了满足不断增
长的业务需求,申请了专线接入,你的客户端 路由器与ISP进行链路协商时要验证身份,配 置路由器保证链路建立并考虑其安全性。
[实现功能] 在链路协商时保证安全验证。链路协商时用户
许昌学院·计算机科学与技术学院·网络教研室@2011
PPP协议的PAP和CHAP认证
PPP协议的PAP和CHAP认证PPP(Point-to-Point Protocol)是一种常见的用于串行链路上的数据通信的协议,主要用于建立和管理点对点连接。
PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。
PPP协议支持多种认证方式,其中最常见的是PAP(Password Authentication Protocol)和CHAP(Challenge Handshake Authentication Protocol)认证。
1. PAP认证(Password Authentication Protocol):PAP是一种最简单的认证协议,其主要思想是使用明文密码对用户进行认证。
在PAP认证中,PPP服务器首先向对端发送一个认证请求报文,要求对端提供用户名和密码。
接收到认证请求的对端回复一个应答报文,携带用户名和密码。
PPP服务器收到应答报文后,会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比,如果一致,则认证成功,通信将继续进行;如果不一致,则认证失败,连接将被断开。
PAP认证的优点是简单易实现,适用于低要求的场景。
然而,PAP认证的缺点也显而易见:-PAP认证对用户名和密码的传输没有加密保护,存在明文传输的风险-PAP认证仅进行一次握手即可认证通过,对于未进行身份确认的对端,可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题,容易受到网络窃听和篡改的威胁2. CHAP认证(Challenge Handshake Authentication Protocol):CHAP认证是一种基于挑战响应的强大认证协议,其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。
在CHAP认证中,PPP服务器首先向对端发送一个随机生成的挑战值。
接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法(如MD5)生成一个响应报文,将响应报文发送回服务器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验26配置和检验PAP 身份验证与CHAP 身份验证目标:●使用PAP 和CHAP 配置PPP 身份验证。
●使用show 和debug 命令检验连通性。
背景/准备工作参照拓扑图,搭建一个类似的网络。
本实验可使用具有一个串行接口的任何路由器。
例如,可以使用800、1600、1700、1800、2500、2600 或2800 系列路由器或其任意组合。
本实验的说明信息同样适用于其它路由器;但命令语法可能会有所差异。
根据路由器的型号,接口标识可能也不同。
例如,有些路由器上的Serial0 可能是Serial0/0 或Serial0/0/0,而Ethernet0 可能是FastEthernet0/0。
本实验的说明信息同样适用于使用Serial 0/0/0 接口表示方法的路由器。
如果使用不同的路由器,请相应使用串行接口的正确表示方法。
本实验需要以下资源:●具有串行连接的两台路由器●两台基于Windows 的计算机,每台都装有终端仿真程序●至少一根RJ-45 转DB-9 连接器控制台电缆,用于配置路由器●一根两段式(DTE/DCE) 串行电缆步骤 1:连接设备按照拓扑图所示,使用串行电缆连接Router 1 和Router 2 两台路由器的Serial 0/0/0 接口。
步骤 2:在 Router 1 上执行基本配置a. 将PC 连接到该路由器的控制台端口,使用终端仿真程序执行配置。
b. 在Router 1 上,按照地址表中的规定配置主机名和IP 地址,保存配置。
步骤 3:在 Router 2 上执行基本配置在Router 2 上,按照地址表中的规定配置主机名和IP 地址,保存配置。
步骤 4:在 R1 和 R2 上配置 PPP 封装在两台路由器的接口Serial 0/0 配置模式提示符后输入encapsulation ppp,将封装类型更改为PPP。
R1(config-if)#encapsulation pppR2(config-if)#encapsulation ppp步骤 5:在 R1 和 R2 上检验 PPP 封装在R1 和R2 上输入命令show interfaces serial 0/0/0,检验PPP 封装。
R1#show interfaces serial 0/0/0R2#show interfaces serial 0/0/0R1 是否使用PPP 封装?______是____R2 是否使用PPP 封装?_____是_____步骤 6:检验串行连接是否工作正常从R1 Ping R2,检查两台路由器之间是否存在连接。
R1#ping 192.168.15.2R2#ping 192.168.15.1从R1 是否能ping 通R2 路由器的串行接口?_____能_____从R2 是否能ping 通R1 路由器的串行接口?____能______如果上述任意一个问题的答案为否定,则检查路由器的配置纠正错误。
重新执行ping 操作直到全部成功。
步骤 7:在 R1 上使用 PAP 配置 PPP 身份验证a. 在R1 路由器上配置用户名和口令。
用户名必须与另一台路由器的主机名相同。
口令和用户名都区分大小写。
在路由器上定义远程路由器预期使用使用的用户名和口令。
在Cisco 路由器上,两台路由器的加密口令必须相同。
R1(config)#username R2 password ciscoR1(config)#interface serial 0/0/0R1(config-if)#ppp authentication papb. Cisco IOS 的11.1 版或更高版本中默认禁用PAP,因此必须在接口上启用PAP。
在Serial 0/0/0 接口配置模式提示符后,启用该接口上的PAP。
R1(config-if)#ppp pap sent-username R1 password cisco步骤 8:检验串行连接是否工作正常Ping R2 的串行接口,检验串行连接是否工作正常。
是否会成功?___否______原因是什么?_______因为R2上还没有配PAP,所以无法通过验证并连通___________。
步骤 9:在 R2 上使用 PAP 配置 PPP 身份验证a. 在R2 路由器上配置用户名和口令。
用户名和口令必须与另一台路由器的主机名和口令相同。
口令和用户名都区分大小写。
在路由器上定义远程路由器预期使用使用的用户名和口令。
在Cisco 路由器上,两台路由器的加密口令必须相同。
R2(config)#username R1 password ciscoR2(config)#interface serial 0/0/0R2(config-if)#ppp authentication papb. Cisco IOS 的11.1 版或更高版本中默认禁用PAP,因此必须在接口上启用PAP。
在Serial 0/0/0 接口配置模式提示符后,启用该接口上的PAP。
R2(config-if)#ppp pap sent-username R2 password cisco步骤 10:打开 PPP 调试a. 要实时显示身份验证交换过程,请在特权执行模式提示符后发出命令debug ppp authentication。
R1#debug ppp authentication注意:调试输出在 CPU 处理中享有高优先级,因此可导致系统不可用。
如果是在现用网络中工作,只能在网络流量低时使用debug 命令。
应用PPP 身份验证时,调试功能报告了什么内容?_______PPP authentication debugging is on ________________________________________________________________________________________ __________________________________________________________________________ ____________________________________________________________________________________ _________哪一行显示了传出的身份验证确认?______________________________________________________________________ _________哪一行显示了传入的身份验证请求?______________________________________________________________________ _________b. 从R1 删除调试命令。
R1#undebug all步骤 11:检验串行连接是否工作正常Ping R1 的串行接口,检验串行连接是否工作正常。
是否会成功?___正常___原因是什么?________因为它可以和自己本身进行__________。
步骤 12:从 R1 和 R2 删除 PAP在用于配置PAP 的命令之前发出命令no,从R1 和R2 删除PAP。
R1(config)#interface serial 0/0/0R1(config-if)#no ppp authentication papR1(config-if)#no ppp pap sent-username R1 password ciscoR1(config-if)#exitR1(config)#no username R2 password ciscoR2(config)#interface serial 0/0/0R2(config-if)#no ppp authentication papR2(config-if)#no ppp pap sent-username R2 password ciscoR2(config-i exitf)# R2(config)#no username R1 password cisco步骤 13:在 R1 上使用 CHAP 配置 PPP 身份验证a. 如果CHAP 和PAP 都启用,则在链路协商阶段会请求指定的第一种身份验证方法。
如果对方提出要求使用第二种方法或只要它拒绝第一种方法,则会尝试第二种方法。
b. 保存R1 和R2 上的配置并重新启动两台路由器。
R1#copy running-config startup-configR1#reloadR2#copy running-config startup-configR2#reloadc. 在R1 路由器上配置用户名和口令。
用户名必须与另一台路由器的主机名相同。
口令和用户名都区分大小写。
定义远程路由器预期使用的用户名和口令。
在Cisco 路由器上,两台路由器的加密口令必须相同。
R1(config)#username R2 password cisco R1(config)#interface serial 0/0/0R1(config-if)#ppp authentication chap步骤 14:在 R2 上使用 CHAP 配置 PPP 身份验证a. 在R2 路由器上配置用户名和口令。
两台路由器上的口令必须相同。
用户名必须与另一台路由器的主机名相同。
口令和用户名都区分大小写。
定义远程路由器预期使用的用户名和口令。
R2(config)#username R1 password ciscoR2(config)#interface serial 0/0/0R2(config-if)#ppp authentication chapb. 要实时显示身份验证交换过程,请在特权执行模式提示符后发出命令debug ppp authentication。
R1#debug ppp authenticationR2 上应用CHAP 时,调试功能报告了什么内容?请注意,如果您看不到任何内容,请关闭R2 的serial 0/0/0 接口,然后再重新开启。
______________________________________________________________________ __________________________________________________________________________ ____________________________________________________________________________________ __________________________________________________________________________ ______________使用的是哪种身份验证方法?_____________哪一行指出了传入的身份验证请求?______________________________________________________________________ _________哪一行表明了传出的身份验证确认?______________________________________________________________________ _________c. 从R1 删除调试命令。