PPP+PAP明文认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

4.1 广域网协议封装与PPP的PAP认证【项目情境】假设你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，当客户端路由器与ISP进行链路协商时，需要验证身份，以保证链路的安全性。

也是对ISP进行正常的交费与后续合作的重要保证。

要求链路协商时以明文的方式进行传输。

【项目目的】1.掌握广域网链路的多种封装形式。

2.掌握ppp协议的封装与PAP验证配置。

3.掌握PAP配置的测试方法、观察和记录测试结果。

4.了解PAP以明文方式，通过两次握手，完成验证的过程。

【相关设备】路由器两台、V.35线缆一对。

【项目拓扑】【项目任务】1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。

两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。

配置RouterA和RouterB的S0/1口地址。

在RouterA的S0/1口上配置同步时钟为64000。

2.在两个路由器的连接专线上封装广域网协议PPP，并查看端口的显示信息，测试两个路由器之间的联连性。

(封装的广域网协议还有：HDLC、X.25、Frame-relay、ATM，双方封装的协议必须相同，否则不通)3.在两个路由器的连接专线上建立PPP协议的PAP认证，RouterA 为被验证方，RouterB为验证方(即密码验证协议，双方通过两次握手，完成验证过程)，并测试两个路由器之间的联连性(明文方式进行密码验证，通过PPP的LCP层链路建立成功，两个路由器才可互通)。

先通过show running-config来查看配置。

4.在RouterB上启用debug命令验证配置，需要把S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。

6.使用锐捷设备（2、3人一组）完成上面的步骤（端口见如下拓扑图）【实验命令】1.在两个路由器的连接专线上封装广域网协议PPPRouterA(config)#interface serial 0/1RouterA(config-if)#encapsulation pppRouterB(config)#interface serial 0/1RouterB(config-if)#encapsulation ppp2.查看封装端口的显示信息RouterA#show interfaces serial 0/13.在两个路由器的连接专线上建立PPP协议的PAP认证RouterA(config)#interface serial 0/1RouterA(config-if)#ppp pap sent-username RouterA password 0 123RouterB(config)#username RouterA password 0 123RouterB(config)#interface serial 0/1RouterB(config-if)#ppp authentication pap4.在RouterB上启用debug命令RouterB#debug ppp authenticationRouterB#debug ppp negotiation5.把RouterB 的S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。

PPP协议的PAP和CHAP认证实验人：实验名称：PPP协议的PAP和CHAP认证实验目的：掌握PPP协议的PAP和CHAP认证的配置方法实验原理：PAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向）CHAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证）自动协商IP地址：在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！头部压缩：在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程：PAP单向认证：⑴用小凡搭建如图实验环境，如图示：⑵在R1的S0/0上，配置IP，如图示：⑶在R2的S0/0上，配置IP，如图示：⑷此时，即可ping通192.168.1.2 如图示：⑸在R1上，配置PPP协议，如图示：⑹在R2上，配置PPP协议，如图示：⑺此时，又可ping通192.168.1.2 如图示：⑻在R1上，配置PAP认证，如图示：⑼在R2上，配置发送PAP认证信息，如图示：⑽此时，又可以ping通192.168.1.2 如图示：PAP双向认证：⒈在R1上，配置PAP认证，如图示：⒉在R2上，配置发送PAP认证信息，如图示：⒊配置完后，即可ping通192.168.1.2，即单向认证，如图示：⒋在R2上，配置PAP认证，如图示：⒌此时，不能ping 通192.168.1.2 如图示：⒍在R1上，配置发送PAP认证信息，此时，可以又ping通192.168.1.2 如图示：CHAP单向认证：Ⅰ在R1上，配置CHAP认证，如图示：Ⅱ在R2上，配置发送CHAP认证信息，如图示：Ⅲ此时，即可ping通192.168.1.2 ，即CHAP 的单向认证成功！如图示：CHAP双向认证：①在R1上，配置CHAP认证，如图示：②在R2上，配置发送CHAP认证信息，如图示：③在R2上，配置CHAP认证，如图示：④此时，不能ping通192.168.1.2 原因为没有在R1上，配置发送CHAP认证信息，如图示：⑤在R1上，配置发送CHAP认证信息，此时，可以ping通192.168.1.2 ，即配置CHAP双向认证成功！如图示：自动协商IP地址：㈠在原有的实验环境下，去掉R2上的S0/0端口的IP地址，如图示：㈡在R1上的S0/0端口下，配置分配的IP地址为192.168.1.100 如图示：㈢在R2上的S0/0 端口上，配置自动协商IP地址，如图示：㈣此时，在R2上，分配到192.168.1.100的IP地址，即实验成功，如图示：头部压缩：①在R1上，开启头部压缩功能，如图示：②在R2上，开启头部压缩功能，如图示：③此时，ping 192.168.1.100 ，使其有数据通过，用命令即可查看到压缩的情况，（命令show compress）如图示：总结：在实验中，CHAP认证的步骤：处理CHAP挑战数据包（1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器）；当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题；PAP 不支持密码的加密，压缩，link绑定，设定最大传输单元等，CHAP 支持以上内容；PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码；在CHAP中，被验证方不明确定义发送主机名来验证时，默认发送该路由器的主机名；配置PAP双向认证时，用户名和密码都可以不一样，但配置CHAP双向认证时，要保证两台路由器的密码一致；。

PPP 的PAP 认证实验名称：PPP PAP 认证。

实验目的：掌握PPP PAP 认证的过程及配置 。

技术原理：PPP 协议是目前使用最广泛的广域网协议，这是因为它具有以下特性：➢ 能够控制数据链路的建立；➢ 能够对IP 地址进行分配和使用；➢ 允许同时采用多种网络层协议（tcp/ip 、ipx/spx ）；➢ 能够配置和测试数据链路；➢ 能够进行错误检测；➢ 有协商选项，能够对网络层的地址和数据压缩等进行协商。

➢ 具有验证协议CHAP 、PAPPPP 协议结构：➢ NCP(网络控制协议)➢ LCP(连接控制协议)PAP 验证特点：➢ 两次握手协议➢ 明文方式进行验证 PAP 验证过程： 实现功能：在链路协商时保证安全验证。

实验设备：R2600路由器两台，V.35线缆一根。

实验拓朴：Client Server Hostname: RAPassword: star用户名+密码 验证成功验证失败 Username: RApassword :starRB RA实验步骤：1. 基本配置。

Router(config)#hostname raRa(config)#interface serial 1/2Ra(config-if)ip address 1.1.1.1 255.255.255.0Ra(config-if)no shutdownRouter(config)#hostname rbRb(config)#interface serial 1/2Rb(config-if)ip address 1.1.1.2 255.255.255.0Rb(config-if)clock rate 64000Rb(config-if)no shutdownRa#show interface serial 1/2serial 1/2 is DOWN , line protocol is DOWNHardware is PQ2 SCC HDLC CONTROLLER serialInterface address is: 1.1.1.1/24MTU 1500 bytes, BW 2000 KbitEncapsulation protocol is HDLC, loopback not setKeepalive interval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1Queueing strategy: WFQ5 minutes input rate 0 bits/sec, 0 packets/sec5 minutes output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 res lack, 0 no buffer,0 dropped Received 0 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort0 packets output, 0 bytes, 0 underruns,0 dropped0 output errors, 0 collisions, 2 interface resets0 carrier transitionsNo cableDCD=down DSR=down DTR=down RTS=down CTS=downRb#show interface serial 1/2serial 1/2 is DOWN , line protocol is DOWNHardware is PQ2 SCC HDLC CONTROLLER serialInterface address is: 1.1.1.2/24 MTU 1500 bytes, BW 2000 KbitSerial 1/2Serial 1/2 验证端 被验证端RARBEncapsulation protocol is HDLC, loopback not setKeepalive interval is 10 sec , setCarrier delay is 2 secRXload is 1 ,Txload is 1Queueing strategy: WFQ5 minutes input rate 0 bits/sec, 0 packets/sec5 minutes output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 res lack, 0 no buffer,0 droppedReceived 0 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort0 packets output, 0 bytes, 0 underruns,0 dropped0 output errors, 0 collisions, 2 interface resets0 carrier transitionsNo cableDCD=down DSR=down DTR=down RTS=down CTS=down2．配置PPP 、PAP认证。

实验二十三：PPP 之PAP 验证PPP 提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。

如果双方协商达成一致，也可以不使用任何身份认证方法。

CHAP 认证比PAP 认证更安全，因为CHAP 不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为"挑战字符串"。

同时，身份认证可以随时进行，包括在双方正常通信过程中。

一、实验内容1、PPP 协议封装2、PPP 之pap 验证二、实验目的1、掌握PPP 协议的封装2、掌握pap 验证的配置三、网络拓朴某公司两地的Cisco 路由器用DDN 线路连接起来，为了安全起见，要在路由器配置PPP 封装，并采用合适的验证，使得两地的网络能够安全通信。

需要为网络中所有路由器重新命名，并且路由器名称不能重复。

在当前实验中，路由器A 的名称为：RouterA；路由器B 的名称为：RouterB。

在路由器A（“RouterA”）中设置用户名及密码。

（路由器B 会向路由器A 发送用户名及密码以请求获得路由器A 的验证。

路由器A 会将接收的用户名及密码与自身创建的用户名及密码进行比对，如果用户名及密码均正确，则会“UP”路由器A 指定的串行接口。

在路由器B（“RouterB”）中设置用户名及密码。

（路由器A 会向路由器B 发送用户名及密码以请求获得路由器B 的验证。

路由器B 会将接收的用户名及密码与自身创建的用户名及密码进行比对，如果用户名及密码均正确，则会“UP”路由器B 指定的串行接口。

四、实验设备1、两台思科Cisco 3620 路由器（带一个以太网接口和一个同步Serial 串口）2、两台安装有windows 98/xp/2000 操作系统的主机3、若干交叉网线4、思科（Cisco）专用控制端口连接电缆5、思科（Cisco）串口背对背通信电缆五、实验过程（需要将相关命令写入实验报告）1、将路由器、主机根据如上图示进行连接2、设置主机的IP 地址、子网掩码和默认网关3、配置RouterA 的以太网接口Router# configure terminalRouter(config)# hostname RouterARouterA(config)# interface Ethernet 0/0RouterA(config-if)# ip address 192.168.1.1 255.255.255.0RouterA(config-if)# no shutdownRouterA(config-if)# exit4、配置RouterB 的以太网接口Router# configure terminalRouter(config)# hostname RouterBRouterA(config)# interface Ethernet 0/0RouterA(config-if)# ip address 192.168.3.1 255.255.255.0RouterA(config-if)# no shutdownRouterA(config-if)# exit5、配置RouterA 的同步串行接口RouterA# configure terminalRouterA(config)# interface serial 0/0RouterA(config-if)# ip address 192.168.2.1 255.255.255.0RouterA(config-if)# no shutdownRouterA(config-if)# exit6、配置RouterB 的同步串行接口RouterB# configure terminalRouterB(config)# interface serial 0/0RouterB(config-if)# ip address 192.168.2.2 255.255.255.0RouterB(config-if)# no shutdownRouterB(config-if)# exit7、DCE 设备端（RouterA）PPP 封装之PAP 验证设置（关键配置）RouterA# configure terminalRouterA(config)# username bbb password 222//为路由器RouterB设置用户名和密码（用户名为bbb,密码为“222”）RouterA(config)# interface serial 0/0RouterA(config-if)# encapsulation ppp //路由器RouterA启动PPP协议RouterA(config-if)# ppp authentication pap//配置PAP认证RouterA(config-if)# ppp pap sent-username aaa password 111 ////在路由器RouterA上，设置在路由器RouterB上登录的用户名和密码（用户名为aaa,密码为“111”）RouterA(config-if)# clock rate 64000RouterA(config-if)# exit8、DTE 设备端（RouterB）PPP 封装之PAP 验证设置（关键配置）RouterB# configure terminalRouterB(config)# username aaa password 111 //为路由器RouterA设置用户名和密码（用户名为aaa,密码为“111”）RouterB(config)# interface serial 0/0RouterB(config-if)# encapsulation ppp //路由器RouterA启动PPP协议RouterB(config-if)# ppp authentication pap//配置PAP认证RouterB(config-if)# ppp pap sent-username bbb password 222 //在路由器RouterB上，设置在路由器RouterA上登录的用户名和密码（用户名为bbb,密码为“222”）RouterB(config-if)# exit9、查看各路由器接口状态（所有接口必须全部UP，且配置的协议也已经UP）RouterA# show protocolsRouterB# show protocols10、配置RouterA 的RIP 简单路由协议RouterA# configure terminalRouterA(config)# router ripRouterA(config-router)# network 192.168.1.0RouterA(config-router)# network 192.168.2.0RouterA(config-router)# exit11、配置RouterB 的RIP 简单路由协议RouterB# configure terminalRouterB(config)# router ripRouterB(config-router)# network 192.168.2.0RouterB(config-router)# network 192.168.3.0RouterB(config-router)# exit六、思考问题1、pap 验证与chap 验证有何区别？2、在采用pap 验证时，用户名与密码的设置有何要求？七、实验报告要求：按学院实验报告要求完成实验报告的书写。

配置PPP单向PAP认证协议案例PPP协议是数据链路层常用的协议，学习计算机网络的初学者，可以通过配置PPP协议练习使用路由器的配置命令，学会在不同的命令模式之间切换，不断提高自己的网络操作技能。

本案例的练习的知识内容包括：1、学习思科路由器常用命令及命令模式的切换；2、学习如何PacketTracer模拟器中如何配置简单的PPP协议网络；3、学会测试配置PPP协议以后网络的运行情况，学习PPP协议的认证过程。

首先，我们复习一下以前学习的内容，出于对网络安全的考虑，各个厂家的路由器的命令模式一般有5种：第一种为用户模式：开机上电后路由器首先进入的是用户模式，提示符一般是“router>”的提示；第二种为特权模式：要从用户模式到特权模式，输入enable提示符表现为“router#”；第三种为全局模式：从特权模式切换到全局配置模式，需要在“router#”后面，输入conft （备注：该命令的全称为configterminal）；此时命令行的提示符表现为“router（config）#”；第四种为端口模式：从全局配置模式切换到接口模式，需要在“router（config）#”下，输入需要配置的接口：intfacef0/1（注：f表示fastEthernet）,提示符表现为“router（config-if）#”第五种为其他模式：包括从特权模式进入VLAN、从全局模式进入路由配置和线路访问接口等等，从全局模式到路由配置模式，输入：routerrip(表示配置rip协议)，命令提示符为“router(config-router)#”如果从当前的模式退回，多次输入：exit，可以逐层退回到用户模式。

也可以输入：end，可以从权限高的级别退回到特权模式，end命令的使用可以方便我们运行ping命令 show命令的使用。

下图就是各个命令模式切换的示意图。

学习PPP-PAP认证协议的配置：PPP支持两种授权协议:PAP和CHAP.(PAP , Password Authentication Protocol)密码协议通过两次握手，一种建立点到点链路的简单方法。

认证协议介绍一PPP：点对点协议（PPP：Point to Point Protocol）PPP（点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。

这种链路提供全双工操作，并按照顺序传递数据包。

设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。

PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。

在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。

除了IP 以外PPP 还可以携带其它协议，包括DECnet和Novell的Internet 网包交换（IPX）。

（1）PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；（2）PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；（3）PPP具有错误检测以及纠错能力，支持数据压缩；（4）PPP具有身份验证功能。

值（A=FFH，C=03H）；协议域（两个字节）取0021H表示IP分组，取8021H表示网络控制数据，取C021H表示链路控制数据；帧校验域（FCS）也为两个字节，它用于对信息域的校验。

若信息域中出现7EH，则转换为（7DH，5EH）两个字符。

当信息域出现7DH时，则转换为（7DH，5DH）。

当信息流中出现ASCII码的控制字符（即小于20H），即在该字符前加入一个7DH字符。

封装：一种封装多协议数据报的方法。

PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。

PPP 封装精心设计，能保持对大多数常用硬件的兼容性，克服了SLIP不足之处的一种多用途、点到点协议，它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。

所以，PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务。

pap的特点与验证过程PAP（Password Authentication Protocol），即密码认证协议，是一种广泛应用于计算机网络中的用户认证协议。

它的主要特点包括简单性、易实现、易扩展以及不安全性，在验证过程中涉及到三个主要的角色：客户端、认证服务器和用户数据库。

下面将对PAP的特点和验证过程进行详细介绍。

一、PAP的特点：1.简单性：PAP是一种相对简单的用户认证协议，它的实现较为容易。

它通过明文传输用户名和密码的方式进行认证，不需要复杂的算法和密钥管理。

2.易实现：PAP协议只需实现简单的用户名和密码的传输，相对而言，实现PAP协议的客户端和服务端程序较为容易。

3.易扩展：PAP协议可以较为容易地扩展到其他协议中。

在PPP协议中，PAP是最基本的认证协议之一，同时还可以与其他认证协议结合使用，如CHAP（Challenge Handshake Authentication Protocol）。

4.不安全性：PAP协议在验证过程中使用明文传输密码信息，存在安全隐患。

一旦被中间人窃听到用户名和密码，就有可能被黑客获取，造成用户信息的泄露风险。

二、PAP的验证过程：PAP的验证过程通常涉及到三个主要的角色：客户端、认证服务器和用户数据库。

下面按照步骤来详细介绍PAP的验证过程。

1.连接建立：客户端通过拨号或其他方式与认证服务器建立连接。

2.用户身份验证请求：客户端向认证服务器发送用户身份验证请求。

这个请求通常包含一个身份标识，即用户名。

3.服务器响应：认证服务器接收到客户端的验证请求后，会在用户数据库中查找对应的用户名，并返回相应的密码。

4.客户端验证：客户端接收到认证服务器返回的密码信息后，将用户输入的密码与服务器返回的密码进行比较。

如果密码匹配，则认证成功，否则认证失败。

5.认证结果通知：客户端会将认证结果通知给认证服务器，如果认证成功，可以继续进行后续的网络访问；如果认证失败，则可能需要重新验证或中断连接。

PPP协议配置和PAP认证配置通过对PPP协议的了解，我们也进入到了配置阶段。

那么我们知道，PPP协议:(point to point protocol)点队点协议的前身是SLIP,PPP协议提供了一种在点对点链路上封状多种网络数据报文的标准方法。

现在我们重点讲解一下PPP 协议配置和PAP认证配置的内容。

PPP相对SLIP的协议的优点：1、支持同步、异步串行链路；2、支持多种网络协议；3、支持各种连接参数的协商；4、支持错误检测；5、支持用户认证；6、允许进行数据的压缩。

PPP协议的组成：1、协议封装方式2、LCP3、NCPPPP运行过程：1、链接不可用阶段2、链路建立阶段3、认证阶段4、网络层协议阶段5、链路终止阶段LCP协议协商：MRU 最大数据单元/Magic Number魔术字/人证方式/链路压缩NCP协议协商：IP地址；TCP/IP头压缩认证方式：PAP/CHAPPPP协议的配置：封装PPP：Router(config)#inter serial 2/0Router(config-if)#encapsulation pppDCE端设置时钟频率：Router(config-if)#clock rate 64000接口IP配置：Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdownPAP认证配置：PAP认证配置，主认证端：Router(config-if)#exit Router(config)#username derekpassword 0 123 Router(config)#inter s2/0Router(config-if)#pppauthentication %SYS-5-CONFIG_I: Configured from console by consolePAP认证配置，被认证端：Router(config-if)#ppp pap sent-username derek password 0 123PAP认证配置完成，测试：Router#ping 192.168.10.2 Router#debug ppp packet查看端口：Router#show interfaces s 2/0 Serial2/0 is up, line protocol is up (connected) Hardware is HD64570 Internet address is 192.168.10.2/24 MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0(size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0(size/max total/threshold/drops)【责任编辑：佟媛微TEL：（010）68476606】原文：PPP协议配置和PAP认证配置返回网络频道首页。

PPP认证一、PPP协议的概念PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议，用户使用拨号电话线接入Internet时，一般都是使用PPP 协议，ppp通过pap 和chap来实现认证授权功能，也就是说ppp支持认证功能。

二、PPP认证方式1、PPP认证包括：chap和pap两种方式：PAP（Password Authentication Protocol，口令认证协议）: PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。

CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议）:CHAP是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比PAP高。

2、具体的认证过程如下：Pap认证是通过发送用户名和密码进行匹配，我们就必须使用sent-username ** password **这条命令，进行用户名和密码的文传输。

chap的认证过程（单向认证，R2 为服务器端，R1 为客户端）⑴R2 首先发一个挑战包给R1，包的内容包括：01（标识符，表示挑战分组）+ID（序列号）+随机数+自己的用户名（R2）⑵R1 接收到这个包后，将挑战包的用户名（R2），随机数，ID 和本地数据库的密码gairuhe 进行计算，得出MD5 的值，然后发送给R2⑶这个回应的分组包括：02（回应标识符）+ID（和R2 的一样）+hash（MD5的计算值）+自己的用户名（R1）⑷R2 收到后，通过ID 找到它发送的挑战包，然后把ID，随机数，以及密码（通过本地数据库查找R1 对应的密码）进行计算，得出MD5 的值⑸然后验证三、PPP认证的配置1、pap认证的配置⑴pap单向认证R1为认证的服务器端，需要建立本地口令数据库，并且开始pap 认证。

R1(config)#username R2 password Ruijie---------------建立本地口令数据库R1(config)#int s2/0R1(config-if)#encapsulation ppp-------------------------------------设置封装为ppp R1(config-if)#ppp authentication pap---------------------------要求进行PAP 认证R2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库R2(config)#int s1/0R2(config-if)encapsulation ppp--------------------------------------设置封装为ppp R2(config-if)#ppp pap sent-username R2 password Ruijie------发送用户名和密码注：仅在R1上做认证，而R2上没有进行认证，这就是pap的单向认证⑵pap双向认证Pap 的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。

什么是PPP？PPP的认证方式又有哪些？展开全文点到点链路层协议PPP（PPPoE）主要用于在全双工的同异步链路上进行点到点的数据传输，PPP是一款公有标准协议，兼容性好。

PPP协议的特点：1、PPP支持在全双工的同异步链路上进行点到点的数据传输。

2、PPP具有很好的扩展性；PPPoE就是承载在以太网链路上的PPP协议。

3、PPP支持地址信息的自动协商；LCP协议用于各种链路层参数的协商；NCP协议用于各网络层参数的协商，更好地支持了网络层协议（peer neighbor-route）。

4、PPP支持PAP、CHAP认证（可以基于接口的密码认证；也可以基于本地数据库AAA认证，提供认证、授权和审计），更好的保证了网络的安全性。

5、PPP支持将多根链路进行捆绑（Multilink）；支持对所有类型的报文/报头进行压缩；无重传机制，网络开销小，速度快。

PPP协议的组成：协议伞步骤一：链路控制协议LCP；用来建立、拆除和监控PPP数据链路步骤二：认证协议；PAP（密码认证协议）和CHAP（挑战握手认证协议）；用于链路认证，支持单向认证和双向认证。

步骤三：网络层控制协议NCP（协议伞）；用于对不同的网络层协议进行连接建立和参数协商；协议包含了IPV4CP（IPCP）、IPV6CP、IPXCP等。

PPP链路的建立过程：1、Dead阶段也称为物理层不可用阶段。

当通信双方的两端检测到物理线路激活时，就会从Dead阶段迁移至Establish阶段，即链路建立阶段。

2、Establish阶段，PPP链路会进行LCP参数协商。

协商内容包括最大接收单元MRU、认证方式、魔术字（Magic Number）等选项。

LCP参数协商成功后会进入Opened状态，表示底层链路已经建立。

3、多数情况下,链路两端的设备是需要经过认证阶段（Authenticate）后才能够进入到网络层协议协商阶段。

PPP链路在缺省情况下是不要求进行认证的。

实验 2 PPP之PAP认证一、实验需求（1）路由器串口通过PPP进行地址协商获取IP地址；（2）路由器之间配置PAP认证，以建立PPP链路；二、实验拓扑图1 配置PAP单向认证实验三、实验步骤（1）请根据实验拓扑图，配置各个路由器的主机名（主机名格式：如R1-zhangsan）和接口IP地址，R2的接口IP采用PPP协商获取，请给出R1、R2的配置截图。

在R1上配置完全IP,还要配置给远端的IP （remote address 12.1.1.2 // 为远程分配一个IP地址）（2）在R2上查看接口是否获取到IP地址，并观察接口状态，再截图。

（3）在当前未做认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。

//能通则正常，反之则不正常。

（4）在R1上配置论证数据库，并在R1的串口启用pap认证，然后在R2的串口配置发送的用户名和密码，请给出R1和R2的配置截图。

（5）在R1上对PPP链路进行抓包，启动wireshark后，shutdown R1的串口，然后执行undo shutdown命令启用R1的串口，再到wireshark上查看抓到的PAP包，找出并标识出用于PAP认证的用户名和密码，最后对包含PAP认证账号信息的包进行截图。

（6）在当前已做PAP认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。

//能通则说明PAP认证成功，反之则说明PPP链路认证失败。

说明：本实验是PAP单向认证，如果要作PAP双向认证，则每个路由器既作为主认证方，又作为被认证方，在本实验的基础上对R2配置AAA 认证账户，并在串口下启用PAP认证；在R1的串口下发送与R2上认证账户对应的账号信息即可。

实验拓扑图：相关说明：在链路建立的第2个阶段进行用户验证，最常用的认证协议有口令验证协议PAP和挑战-握手协议CHAP。

口令验证协议PAP是一种简单的明文验证方式，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令;挑战-握手验证协议CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。

初始：配置各路由器的IP地址。

Router(config)#host r1r1(config)#int s1/0r1(config-if)#clock rate 64000r1(config-if)#ip address 10.1.1r1(config-if)#no shRouter(config)#host r2r2(config)#int s1/0r2(config-if)#ip address 10.1.1r2(config-if)#clock rate 64000r2(config-if)#no shI：配置PAP单向身份验证r1(config)#username r2 password 123 /验证方建立数据库r1(config)#int s1/0r1(config-if)#encapsulation ppp /进行PPP封装r1(config-if)#ppp authentication pap /使用PAP实现PPP的验证r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp pap sent-username r2 password 123 /发送验证信息测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/9/16 msII：配置PAP双向身份验证r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication papr1(config-if)#ppp pap sent-username r1 password 321 /注意此时发送的password r2(config)#username r1 password 321r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp authentication papr2(config-if)#ppp pap sent-username r2 password 123 /注意此时发送的password 测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/16 msIII：配置CHAP单向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication chapr2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)#ppp chap hostname r2r2(config-if)#ppp chap password 123测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms IV：配置CHAP双向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)# encapsulation pppr1(config-if)# ppp authentication chapr2(config-if)#username r1 password 123r2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)# ppp authentication chap测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms OK，实验完成。

PPP 协议简介1. PPP 协议PPP（Point-to-Point Proto col）协议是在点到点链路上承载网络层数据包的一种链路层协议，由于它能够提供用户验证，而且易于扩充、支持同／异步线路，因而获得广泛应用。

PPP 定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP 和CHAP）等。

其中：链路控制协议LCP（Link Control Protocol）：用来协商链路的一些参数，负责创建并维护链路。

网络层控制协议NCP（Network Control Protocol）：用来协商网络层协议的参数。

2. PPP 的验证方式(1) PAP 验证PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。

PAP 验证的过程如下：被验证方主动发起验证请求，将本端的用户名和口令发送到验证方；验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。

如果此用户名存在且口令正确，验证方返回Acknowledge 响应，表示验证通过；如果此用户名不存在或口令错误。

验证方返回NotAcknowledge 响应，表示验证不通过。

(2) CHAP 验证CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播。

CHAP 验证过程如下：验证方主动发起验证请求，向被验证方发送一些随机产生的报文，并同时将本端配置的用户名附带上一起发送给被验证方；被验证方接到验证方的验证请求后，根据此报文中的用户名在本端的用户表中查找用户口令。

如找到用户表中与验证方用户名相同的用户，便利用报文ID 和此用户的口令以MD5 算法生成应答，随后将应答和自己的用户名送回；验证方接收到此应答后，利用报文ID、自己保存的被验证方口令以及随机报文用MD5 算法得出结果，与被验证方应答比较。

PPP协议的PAP和CHAP认证PPP（Point-to-Point Protocol）是一种常见的用于串行链路上的数据通信的协议，主要用于建立和管理点对点连接。

PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。

PPP协议支持多种认证方式，其中最常见的是PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol）认证。

1. PAP认证（Password Authentication Protocol）：PAP是一种最简单的认证协议，其主要思想是使用明文密码对用户进行认证。

在PAP认证中，PPP服务器首先向对端发送一个认证请求报文，要求对端提供用户名和密码。

接收到认证请求的对端回复一个应答报文，携带用户名和密码。

PPP服务器收到应答报文后，会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比，如果一致，则认证成功，通信将继续进行；如果不一致，则认证失败，连接将被断开。

PAP认证的优点是简单易实现，适用于低要求的场景。

然而，PAP认证的缺点也显而易见：-PAP认证对用户名和密码的传输没有加密保护，存在明文传输的风险-PAP认证仅进行一次握手即可认证通过，对于未进行身份确认的对端，可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题，容易受到网络窃听和篡改的威胁2. CHAP认证（Challenge Handshake Authentication Protocol）：CHAP认证是一种基于挑战响应的强大认证协议，其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。

在CHAP认证中，PPP服务器首先向对端发送一个随机生成的挑战值。

接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法（如MD5）生成一个响应报文，将响应报文发送回服务器。