同时启用chap和pap两种认证
PPP的CHAP认证和PAP认证
PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种,有单项的,有双向的。
单项chap认证。
(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证,认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ,用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1,用于识别想服务器端单项pap 认证。
(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证,认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码,一般是发送跟自己主机名一样的的用户。
pppd拨号脚本说明文档
linux下PPPD拨号研究pppd脚本简介pppd脚本拨号会涉及到4个脚本,和PPP连接关系密切的有两个脚本是chat和options 两个脚本另外两个是pppd认证的脚本:chap-secrets、pap-secrets。
其中,chap-secrets 和pap-secrets是两种不同的认证方式,chat脚本是用来进行AT呼叫和控制的脚本,而options脚本就影响PPP连接的,指定了连接使用的设备、使用的控制字符传输速率、指定了硬件加速、溢出控制等。
options脚本/dev/ttyUSB0 //指定连接使用的设备115200 //设置连接使用的控制字符传输速率crtscts //告诉ppp使用modem的硬件流量控制connect '/mnt/iRTK/bin/chat -s -v -f /etc/ppp/cc864sr-connect-chat'//指定了要使用的chat脚本的位置debug //加入调试信息nodetachipcp-accept-localipcp-accept-remoteusepeerdns //使用服务器端协商的DNSdefaultroute //使用默认线路user "card" //电信“card”,移动“cmnet”,联通3G“3gnet”chat脚本一个chat脚本都是由字符串对来组成的。
前面的字符串都是期望获取的串,紧跟的是发送的字符串。
TIMEOUT 15 //延时ABORT "DELAYED"//收到字符串“BUSY”、“NO ANSWER”、“RINGING”就退出执行ABORT "BUSY"ABORT "ERROR"ABORT "NO DIALTONE"ABORT "NO CARRIER"TIMEOUT 40'' \rATOK ATS0=0 //禁用自动接听OK ATE1 //打开回显OK ATDT#777 //所需的拨号号码为#777#OK AT+CGDCONT=1,"IP","CMNET"CONNECT ''不同的运行商拨号的中心号码是不同的,以下这个是每个运行商的拨号中心号码:认证脚本一般情况下,PPP连接是需要进行身份认证的。
PPP协议
PPP点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。
PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。
在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即 SLIP。
除了 IP 以外 PPP 还可以携带其它协议,包括 DECnet 和 Novell 的Internet 网包交换(IPX)。
简介PPP:点对点协议(PPP:Point to Point Protocol)点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。
PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。
在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即S LI P。
除了IP 以外 PPP 还可以携带其它协议,包括DECnet 和 Novell 的Internet 网包交换(IPX)。
PPP 主要由以下几部分组成封装:一种封装多协议数据报的方法。
PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。
PPP 封装精心设计,能保持对大多数常用硬件的兼容性,克服了SLIP不足之处的一种多用途、点到点协议,它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。
所以,PPP 不仅仅提供帧定界,而且提供协议标识和位级完整性检查服务。
链路控制协议:一种扩展链路控制协议,用于建立、配置、测试和管理数据链路连接。
网络控制协议:协商该链路上所传输的数据包格式与类型,建立、配置不同的网络层协议;配置:使用链路控制协议的简单和自制机制。
该机制也应用于其它控制协议,例如:网络控制协议(NCP)。
为了建立点对点链路通信,PPP 链路的每一端,必须首先发送LCP 包以便设定和测试数据链路。
在链路建立,LCP 所需的可选功能被选定之后,PPP 必须发送NCP 包以便选择和设定一个或更多的网络层协议。
认证方式pap chap协议解读
1. 前言PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议,CHAP 在RFC1994中定义,是一种挑战响应式协议,双方共享的口令信息不用在通信中传输;PAP 在RFC1334中定义,是一种简单的明文用户名/口令认证方式。
2. PAPPAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。
PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。
PAP协商选项格式:0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Length | Authentication-Protocol |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+对于PAP,参数为:Type = 3,Length = 4,Authentication-Protocol = 0xc023(PAP)PAP数据包格式:0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier | Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Data ...+-+-+-+-+Code:1字节,表示PAP包的类型1 认证请求2 认证确认3 认证失败Identifier:ID号,1字节,辅助匹配请求和回应Length:2字节,表示整个PAP数据的长度,包括Code, Identifier, Length和Data字段。
PPP的PAP与CHAP深入详解
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。
它解决了SLIP中的问题,并成为正式的因特网标准。
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。
PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。
这些丰富的选项增强了PPP的功能。
同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。
因此,应用十分广泛。
下面是我查的关于PPP协议认证的一些知识1。
什么情况我们可以用show cdp nei看到自己直边的邻居呢,邻居的发现对我们在排查问题时很有帮助,我们可以通过我们左右的邻居,来判断是那台设备出现问题,只要我们在接口上把物理端口打开,然后DCE端配上时钟就可以发现邻居。
Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居,本地Ser1/0与R2的Ser1/0相连,R2的设备型号为7206VXR,为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。
PAP认证和CHAP认证概述
PAP认证和CHAP认证概述一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议):PAP认证过程非常简单,二次握手机制。
使用明文格式发送用户名和密码。
发起方为被认证方,可以做无限次的尝试(暴力破解)。
只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。
目前在PPPOE拨号环境中用的比较常见。
PAP认证过程:PAP认证过程图首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。
二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议)CHAP认证过程比较复杂,三次握手机制。
使用密文格式发送CHAP认证信息。
由认证方发起CHAP认证,有效避免暴力破解。
在链路建立成功后具有再次认证检测机制。
目前在企业网的远程接入环境中用的比较常见。
CHAP认证过程:CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。
CHAP认证过程图:CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认证通过,如果不一致,则认证不通过。
PPP验证
PPP验证一:配置步骤:1:检验每台路由器是否已经分配主机名。
要分配主机名,可在全局配置模式下输入hostname name此名称必须与链路另一端的身份验证路由器所期望的用户名匹配2:在每台路由器上使用username name password password全局配置命令定义期望从远程路由器获得的用户名和口令。
如:username R3 password cisco注意:R3为对端路由器的主机名,cisco为密码,两端的密码必须相同。
3:使用PPP authentication {chap | chap pap | pap chap | pap}接口配置命令配置PPP身份认证。
二:PPP证方式:PAP 和CHAPPAP是双向握手,它为远程节点提供了建立其身份标识的简单方法。
PAP仅在初始链路建立期间执行。
CHAP使用三次握手的CHAP发生在链路建立时,并在其后定期使用三次握手来检验远程节点的标识。
如果配置了PPP authentication chap pap路由器将尝试试使用chap验证所有的传入的PPP会话。
如果远程设备不支持chap,路由器将尝试使用pap验证ppp会话。
如果设备不支持chap也不支持pap,身份验证将失败。
并且ppp会话将关闭。
如果配置了PPP authentication pap chap路由器将尝试试使用pap验证所有的传入的PPP会话。
如果远程设备不支持pap,路由器将尝试使用chap验证ppp会话。
如果设备不支持任何一种协议,身份验证将失败。
并且ppp会话将关闭。
注:如果同时启用了两种方法,链路协商期间会要求使用指定的第一种方法。
如果对方提出要求使用第二种方法或拒绝第一种方法,则会尝试第二种方法。
三:配置实验环境:GNS 注:在模拟器下看不到debug输入设备:cisco c3600路由器两台R2配置:Hostname R2username R3 password ciscointerface Serial0/0ip address 10.1.1.1 255.255.255.0encapsulation pppserial restart-delay 0clock rate 64000 //需要在其中一个配置时钟ppp authentication chapR3配置:Hostname R3username R2 password ciscointerface Serial0/0ip address 10.1.1.2 255.255.255.0encapsulation pppserial restart-delay 0no fair-queueppp authentication chap四:检验身份验证通过debug ppp authentication查看认证协商过程,下面是协议配置错误时的输出(此时还没有配置两个路由器的主机名,也没有添加认证用户名和密码。
PAPCHAP协议
命令debug ppp authentication 的输出
下图表明经过若干次认证要求后,认证服务器最终收到了认证客户端发送过来的正 确的"挑战"回应数据包。此时,双方的链路将成功建立。
பைடு நூலகம்意:
1. 2. PAP和CHAP认证过程中,口令是大小写敏感的。 身份认证也可以双向进行,即互相认证。配置方法同单向认证类似,只不过需 要将通信双方同时配置成为认证服务器和认证客户端。
pap&chap的优缺点
PAP is not a strong authentication method. Passwords are sent over the circuit “in the clear”, and there is no protection from playback or repeated trial and error attacks. The peer is in control of the frequency and timing of the attempts.( 截取自RFC1334)
PAP/CHAP协议
PPP(point-to-point protocol)提供的两种可选的身份认证方法 : 口令鉴别协议PAP(Password Authentication Protocol),是 PPP中的基本认证协议。PAP就是普通的口令认证,要求发起通信的 一方发送身份标识符和口令。 挑战握手认证协议CHAP(Challenge Handshake Authentication Protocol),通过三次握手周期性的校验对端的身 份,在初始链路建立时完成,可以在链路建立之后的任何时候重复 进行。
chap的认证过程
路由器配置——PAP与CHAP认证
路由器配置——PAP与CHAP认证⼀、实验⽬的:掌握PAP与CHAP认证配置⼆、拓扑图:三、具体步骤配置:(1)R1路由器配置:Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1 --修改路由器名为R1R1(config)#interface l0 --进⼊回环端⼝R1(config-if)#ip address 192.168.1.254 255.255.255.0 --配置ip地址R1(config-if)#no shutdown --激活端⼝R1(config-if)#exit --返回上⼀级R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#ip address 192.168.12.1 255.255.255.0 --为端⼝配置ip地址R1(config-if)#clock rate 64000 --设置时钟同步速率R1(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exit --返回上⼀级R1(config)#route rip --开启rip服务R1(config-router)#version 2 --版本2R1(config-router)#no auto-summary --关闭路由⾃动汇总R1(config-router)#network 192.168.1.0 --添加直连⽹段到ripR1(config-router)#network 192.168.12.0R1(config-router)#exit --返回上⼀级R1(config)#username abc1 password 456 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#encapsulation ppp --封装端⼝为pppR1(config-if)#ppp authentication pap --在R1上,配置PAP 验证R1(config-if)#ppp pap sent-username abc password 123 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR1#%SYS-5-CONFIG_I: Configured from console by console%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up(2)R2路由器配置:Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2 --修改路由器名为R2R2(config)#interface l0 --进⼊回环端⼝R2(config-if)#ip address 192.168.2.254 255.255.255.0 --配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#exit --返回上⼀级R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#ip address 192.168.12.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#ip address 192.168.24.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#clock rate 64000 --设置时钟同步速率R2(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config-if)#exit --返回上⼀级R2(config)#route rip --开启rip协议R2(config-router)#version 2 --版本2R2(config-router)#no auto-summary --关闭路由⾃动汇总R2(config-router)#network 192.168.2.0 --添加直连⽹段到ripR2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.24.0R2(config-router)#exit --返回上⼀级R2(config)#username abc password 123 --在R2上为R1设置⽤户名和密码R2(config)#username R3 password cisco --在R2上为R3设置⽤户名和密码(注意两端密码要相同)R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为PPP协议R2(config-if)#ppp authentication pap --配置PAP验证R2(config-if)#ppp pap sent-username abc1 password 456 --在R2上为R1设置⽤户名和密码R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为ppp协议R2(config-if)#ppp authentication chap --配置chap验证R2(config-if)#end --返回特权模式R2#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%SYS-5-CONFIG_I: Configured from console by console%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2#%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up(3)R3路由器配置:Router>enable --进特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R3 --修改路由器名为R3R3(config)#interface l0 --进⼊回环端⼝R3(config-if)#ip address 192.168.3.254 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#interface S0/0/0 --进⼊端⼝R3(config-if)#ip address 192.168.24.1 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#route rip --开启rip协议R3(config-router)#version 2 --版本2R3(config-router)#no auto-summary --关闭路由⾃动汇总R3(config-router)#network 192.168.3.0 --添加直连⽹段到ripR3(config-router)#network 192.168.24.0R3(config-router)#exit --返回上⼀级R3(config)#username R2 password cisco --在R3上为R2设置⽤户名和密码R3(config)#interface s0/0/0 --进⼊端⼝R3(config-if)#encapsulation ppp --封装端⼝为ppp协议R3(config-if)#ppp authentication chap --配置chap验证R3(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R3#%SYS-5-CONFIG_I: Configured from console by console四、验证测试:1、测试是否开启ppp认证(1)R1:(2)R2:(3)R3:2、查看R1的S0/0/0端⼝信息如图,红⾊标记处表⽰是PPP认证3、测试全⽹是否互通:(1)R1与R2(2)R2与R3(3)R3与R1结果:全⽹互通成功。
计算机网络技术专业毕业论文
基于 802.1X 的高校校园网 AAA 认证设计与实现
目录
引 言 .................................................................. 1 第一章 高校校园网的现状 ................................ ..ቤተ መጻሕፍቲ ባይዱ................. 2
关键词:校园网;802.1x;radius服务器;AAA认证
ii
XXXXXXX 学院计算机网络专业毕业设计
Abstract
Alo ng with the computer network techno logy rapid deve lopme nt, and become an important pillar of the infor mation techno logy. The ca mpus network has become a trend of the deve lopme nt trend of the times, also can make our country educatio n mana ge ment to the inte lligent develop ment. But faced with groups of the particular ity and comp lexity o f the ca mpus network in Colle ges and universities, which makes campus network access authe nticatio n and mana ge ment aspects are fac ing greater d iffic ulties. On the analys is of the camp us network manage me nt and secur ity of authentication, such as fac ing a ser ies of proble ms, as compared with the existing var ious methods of a uthe nticatio n, elaborated 802.1x in ca mpus network access authe ntication has uniq ue advanta ges. Thro ugh verification, used is based on the 802.1x AAA authenticatio n mode design o f campus network in co lleges, in the imp le mentation of true, safe and credib le network access and a ccounting mode has ma ny advanta ges, but also reso lve the ca mpus network in the network access authenticatio n and secur ity, mainte nance and a series o f proble ms encountered. On the co llege campus network access, certification, mana ge ment and ma intenance of a good reference. Key words : campus network;. 802.1X; Radius server;AAA authe ntication
任务9:PAP认证
任务9 PAP认证一、【技术原理】密码认证协议(PAP),是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上的。
完成链路建立阶段之后,对等结点持续重复发送 ID/ 密码给验证者,直至认证得到响应或连接终止。
二、【任务描述】1、为路由器指定唯一主机名。
2、列出认证路由器时所使用的远端主机名称和口令。
3、WAN接口上完成PPP协议的封装。
4、R1为服务端,R2为客户端,客户端主动想服务端发出认证请求,密码设置为CCNA。
三、【任务实现】1、规划拓扑结构2、配置过程:1)配置R1的服务段设置Router(config)#hostname R1注:配置唯一主机名。
R1(config)#username R password ccna注:列出本地用户名和口令列表。
R1(config)#interface serial 0R1(config-if)#ip address 192.168.12.1 255.255.255.0R1(config-if)#encapsulation ppp注:启动PPP封装协议。
默认情况下是HDLC进行封装。
R1(config-if)#ppp authentication papR1(config-if)#no shutdown注:设置成服务器端并启用了PAP身份验证协议。
2)配置Jinace2的客户端配置Router(config)#hostname R2R2(config)#interface serial 0R2(config-if)#ip address 192.168.12.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#encapsulation pppR2(config-if)#no shutdown问题分析:这时如果不设置被验证方所要放送的用户名和列表,将会不停的报错显示如下:00:13:02: %LINK-3-UPDOWN: Interface Serial0, changed state to up00:13:10: %LINK-3-UPDOWN: Interface Serial0, changed state to down00:13:20: %LINK-3-UPDOWN: Interface Serial0, changed state to up00:13:27: %LINK-3-UPDOWN: Interface Serial0, changed state to down3)client端发送用户名和密码R2(config-if)#ppp pap sent-username adsf password asdf注:设置被验证方发送的用户名。
PPP认证,含pap和chap的双向与单向认证——蘑菇课堂
消息摘要算法MD5 MD5的典型应用是对一段Message(字节串)产生 fingerprint(指纹),以防止被“篡改”。 例如:将一段话写在一个叫 readme.txt文件中, 并对这个readme.txt产生一个MD5的值并记录在 案,然后你可以传播这个文件给别人,别人如果 修改了文件中的任何内容,你对这个文件重新计 算MD5时就会发现(两个MD5值不相同)。如果再 有一个第三方的认证机构,用MD5还可以防止文 件作者的“抵赖”,这就是所谓的数字签名应用。
完成CHAP 本地路由器根据自己计算的预期哈希值来检查响 应。如果这两个值相同,则发起方节点会确认该 身份验证。否则,它会立即终止连接。
完成CHAP CHAP 通过使用唯一且不可预测的可变询问消息 值提供回送攻击防护功能。因为询问消息唯一而 且随机变化,所以得到的哈希值也是随机的唯一 值。反复发送询问信息限制了暴露在任何单次攻 击下的时间。本地路由器或第三方身份验证服务 器控制着发送询问信息的频率和时机。
PPP LCP 自动配置链路两端的接口,包括: 处理对数据包大小的不同限制 检测常见的配置错误 切断链路 确定链路何时运行正常或者何时发生故障 一旦建立了链路,PPP 还会采用 LCP 自动批准封 装格式(身份验证、压缩、错误检测)。
PPP 会话的三个阶段
第 1 阶段:链路建立和配置协商 — 在 PPP 交换任何网络 层数据报(例如 IP)之前,LCP 必须先打开链接并协商配 置选项。当接收路由器向启动连接的路由器发送配置确认 帧时,此阶段结束。 第 2 阶段:链路质量确认(可选) — LCP 测试链路以确定 链路质量是否足以启用这些网络层协议。LCP 可将网络层 协议信息的传输延迟到此阶段结束之前。 第 3 阶段:网络层协议配置协商 — 在 LCP 完成链路质量 确认阶段之后,适当的 NCP 可以独立配置网络层协议,还 可以随时启动或关闭这些协议。如果 LCP 关闭链路,它会 通知网络层协议以便协议采取相应的措施。
华为:PPP验证
PPP 协议简介1. PPP 协议PPP(Point-to-Point Proto col)协议是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户验证,而且易于扩充、支持同/异步线路,因而获得广泛应用。
PPP 定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP 和CHAP)等。
其中:链路控制协议LCP(Link Control Protocol):用来协商链路的一些参数,负责创建并维护链路。
网络层控制协议NCP(Network Control Protocol):用来协商网络层协议的参数。
2. PPP 的验证方式(1) PAP 验证PAP(Password Authentication Protocol,口令鉴定协议)是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。
PAP 验证的过程如下:被验证方主动发起验证请求,将本端的用户名和口令发送到验证方;验证方接到被验证方的验证请求后,检查此用户名是否存在以及口令是否正确。
如果此用户名存在且口令正确,验证方返回Acknowledge 响应,表示验证通过;如果此用户名不存在或口令错误。
验证方返回NotAcknowledge 响应,表示验证不通过。
(2) CHAP 验证CHAP(Challenge Handshake Authentication Protocol,质询握手鉴定协议)是一种三次握手验证协议,它只在网络上传输用户名,而用户口令并不在网络上传播。
CHAP 验证过程如下:验证方主动发起验证请求,向被验证方发送一些随机产生的报文,并同时将本端配置的用户名附带上一起发送给被验证方;被验证方接到验证方的验证请求后,根据此报文中的用户名在本端的用户表中查找用户口令。
如找到用户表中与验证方用户名相同的用户,便利用报文ID 和此用户的口令以MD5 算法生成应答,随后将应答和自己的用户名送回;验证方接收到此应答后,利用报文ID、自己保存的被验证方口令以及随机报文用MD5 算法得出结果,与被验证方应答比较。
ppp pppd chat关系及数据收发流程
ppp/pppd/chat关系及数据收发流程参考:/absurd 李先静<xianjimli at hotmail dot com>一、协议相关介绍PPP(Point-to-Point Protocol点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。
这种链路提供全双工操作,并按照顺序传递数据包。
设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。
链路控制协议LCP(Link Control Protocol);网络控制协议NCP(Network Control Protocol);认证协议:口令验证协议PAP(Password Authentication Protocol)和挑战握手验证协议CHAP (Challenge-Handshake Authentication Protocol)。
LCP协商,协商内容包括除RFC1661中所定义的选项之外,还要考虑PPPOA和PPPOE协议中规定的内容。
LCP协商过后就到了Establish阶段,开始PAP或CHAP认证。
PAP为两次握手认证,口令为明文。
PAP认证过程如下:发送用户名同口令到认证方,认证方查看是否有此用户,口令是否正确,然后发送相应的响应。
CHAP为三次握手认证,口令为密文(密钥)CHAP认证由认证方发送一些随机产生的报文,交给被认证,被认证方用自己的口令字用MD5算法进行加密,传回密文,认证方用自己保存的口令字及随机报文用MD5算法加密,比较二者的密文,根据比较结果返回响应的响应。
认证成功即进行Network阶段协商(NCP),在IP接入中主要是IPCP协商(如IP地址和DNS地址的协商等)。
任何阶段的协商失败都将导致链路的拆除。
协商成功,则链路建立成功,可以开始传输网络层数据报文。
PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)二、应用关系IP协议等网络层TCP/IPPPP协议(PPPD协助) PPP以太网和串口等物理层串口pppd是一个后台服务进程(daemon),是一个用户空间的进程,所以把策略性的内容从内核的PPP协议处理模块移到pppd中是很自然的事了。
PPP协议的PAP和CHAP认证
PPP协议的PAP和CHAP认证PPP(Point-to-Point Protocol)是一种常见的用于串行链路上的数据通信的协议,主要用于建立和管理点对点连接。
PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。
PPP协议支持多种认证方式,其中最常见的是PAP(Password Authentication Protocol)和CHAP(Challenge Handshake Authentication Protocol)认证。
1. PAP认证(Password Authentication Protocol):PAP是一种最简单的认证协议,其主要思想是使用明文密码对用户进行认证。
在PAP认证中,PPP服务器首先向对端发送一个认证请求报文,要求对端提供用户名和密码。
接收到认证请求的对端回复一个应答报文,携带用户名和密码。
PPP服务器收到应答报文后,会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比,如果一致,则认证成功,通信将继续进行;如果不一致,则认证失败,连接将被断开。
PAP认证的优点是简单易实现,适用于低要求的场景。
然而,PAP认证的缺点也显而易见:-PAP认证对用户名和密码的传输没有加密保护,存在明文传输的风险-PAP认证仅进行一次握手即可认证通过,对于未进行身份确认的对端,可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题,容易受到网络窃听和篡改的威胁2. CHAP认证(Challenge Handshake Authentication Protocol):CHAP认证是一种基于挑战响应的强大认证协议,其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。
在CHAP认证中,PPP服务器首先向对端发送一个随机生成的挑战值。
接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法(如MD5)生成一个响应报文,将响应报文发送回服务器。
pppd命令使用详解
======================关于pppd命令使用======================Authentication----------------PPP协议对称地允许两端都可以要求对端认证自己。
这样,两个不同并相互独立的认证交互过程发生,这两个认证交互过程可以使用不同的认证协议。
pppd默认接受对端的认证请求,同时不要求对端认证自己本端,但若没有密语,pppd将拒绝对端认证自己。
pppd将认证时用到的密语保存在密语文件中,对于PAP认证密语文件是/etc/ppp/pap-secrets,对于CHAP、MS-CHAP、MS-CHAPv2和EAP MD5-Challenge认证密语文件是/etc/ppp/chap-secrets,对于EAP SRP-SHA1认证密语文件是/etc/ppp/srp-secrets。
这些密语文件格式相同,内容会像选项文件一样被解析为一个个单词。
密语文件既保存了pppd认证对端的密语,也保存了提供给对端认证自己本端的密语。
每行有三个域保存一个密语:客户端名、服务端名和密语。
对于PPP服务端,也可在每行后面跟上一组IP地址表,表示指定IP的客户端才可认证成功。
密语以“@”打头表示后续是可以从中读取密语的文件名,客户端名、服务端名若为“*”表示任意名,IP地址表若为“*”表示所有IP地址。
若客户端名为“-”或者未列出任何IP地址表,表示拒绝所有IP地址客户端的认证。
IP地址表以“!”开头表示这些IP 地址的客户端会被拒绝,IP地址表后也可跟上“/”加数字表示子网。
当pppd认证对端时,在密语文件中搜索匹配行,以对端名字匹配客户端名域,以本端名字匹配服务端域,本端名字默认是本端系统的hostname,若使用domain选项则加上domain name。
当pppd提供密语给对端认证自己本端时,首先需要确认本端的名字,若有user选项使用该选项,若无此选项默认名字是本端系统的hostname。
神码公司关于路由器CHAP认证的配置命令
双向认证:RouterA配置:RouterA#configRoeterA_config#username RouterB_CHAP password 0 digital//配置路由器验证数据库中有一个用户名为RouterB_CHAP,密码为digital的用户RoeterA_config#aaa authentication ppp default local//配置从本地认证RouterA_config#interface serial 2/0RouterA_config_s2/0#encapsulation ppp//配置s2/0端口的封装类型为PPP协议RouterA_config_s2/0#ppp authentication chap//配置PPP协议的验证方式为CHAP验证RouterA_config_s2/0#ppp chap hostname RouterA_CHAP//配置CHAP验证时,从此端口发送给对方进行验证的用户名RouterA_CHAP RouterA_config_s2/0#ppp chap password digital//配置本地chap验证的匹配口令为digitalRouterA_config_s2/0#ip address 192.168.2.1 255.255.255.0//配置此端口的IP地址为192.168.2.1,掩码为255.255.255.0RouterB配置:RouterB#configRoeterB_config#username RouterA_CHAP password digital//配置路由器验证数据库中有一个用户名为RouterA_CHAP,密码为digital的用户RoeterA_config#aaa authentication ppp default local//配置从本地认证RouterB_config#interface serial 1/0RouterA_config_s1/0#encapsulation ppp//配置s2/0端口的封装类型为PPP协议RouterB_config_s1/0#ppp authentication chap//配置PPP协议的验证方式为CHAP验证RouterB_config_s1/0#ppp chap hostname RouterB_CHAP digital//配置CHAP验证时,从此端口发送给对方进行验证的用户名:RouterB_CHAPRouterA_config_s2/0#ppp chap password digital//配置本地chap验证的匹配口令为digitalRouterB_config_s1/0#ip address 192.168.2.2 255.255.255.0//配置此端口的IP地址为192.168.2.2,掩码为255.255.255.0RouterB_config_s1/0#physical-layer speed 64000//配置此端口的内部时钟速率,因为它是模拟DCE设备,因此必须提供时钟频率单向认证:RouterA配置:RouterA#configRouterA_config#interface serial 2/0RouterA_config_s2/0#encapsulation ppp//配置s2/0端口的封装类型为PPP协议RouterA_config_s2/0#ppp chap hostname RouterA_CHAP//配置CHAP验证时,从此端口发送给对方进行验证的用户名:RouterA_CHAP RouterA_config_s2/0#ppp chap password digital//配置本地chap验证的匹配口令为digitalRouterA_config_s2/0#ppp chap password digitalRouterA_config_s2/0#ip address 192.168.2.1 255.255.255.0//配置此端口的IP地址为192.168.2.1,掩码为255.255.255.0RouterB配置:RouterB#configRoeterB_config#username RouterA_CHAP password digital//配置路由器验证数据库中有一个用户名为RouterA_CHAP,密码为digital的用户RoeterA_config#aaa authentication ppp default local//配置从本地认证RouterB_config#interface serial 1/0RouterA_config_s1/0#encapsulation ppp//配置s2/0端口的封装类型为PPP协议RouterB_config_s1/0#ppp authentication chap//配置PPP协议的验证方式为CHAP验证RouterB_config_s1/0#ip address 192.168.2.2 255.255.255.0//配置此端口的IP地址为192.168.2.2,掩码为255.255.255.0RouterB_config_s1/0#physical-layer speed 64000//配置此端口的内部时钟速率,因为它是模拟DCE设备,因此必须提供时钟频率不认证:RouterA配置:RouterA#configRouterA_config#interface serial 2/0RouterA_config_s2/0#encapsulation ppp//配置s2/0端口的封装类型为PPP协议RouterA_config_s2/0#ip address 192.168.2.1 255.255.255.0//配置此端口的IP地址为192.168.2.1,掩码为255.255.255.0RouterB配置:RouterB#configRouterB_config#interface serial 1/0RouterA_config_s1/0#encapsulation ppp//配置s2/0端口的封装类型为PPP协议RouterB_config_s1/0#ip address 192.168.2.2 255.255.255.0//配置此端口的IP地址为192.168.2.2,掩码为255.255.255.0RouterB_config_s1/0#physical-layer speed 64000//配置此端口的内部时钟速率,因为它是模拟DCE设备,因此必须提供时钟频率网上另一篇关于PAP/CHAP的文章PPP中的pap和chap认证写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。
锐捷 PPP NAT ACL命令格式
PPP协议配置封装HDLC协议的命令格式如下:ruijie(config-if)#encapsulation hdle1、ruijie(config-if)#:路由器名称为ruijie,处于端口配置模式2、encapsulation:封装协议3、hdlc:hdlc协议封装PPP的命令格式如下:ruijie(config-if)#encapsulation ppp1、ruijie(config-if)#:路由器名称为ruijie,处于端口配置模式2、encapsulation:封装协议3、ppp:ppp协议查看路由器端口配置信息的命令格式如下:ruijie#show interface interface-id1、ruijie#:路由器名称为ruijie,处于特权配置模式2、show interface:显示端口信息3、interface-if:端口号,如Serial 2/0等配置PAP验证1、(验证方)创建用户数据库记录的命令格式:ruijie(config)#username username password{0|7} password1、ruijie(config)#:路由器名称为ruijie,处于全局配置模式2、username:设置用户名称3、username:用户名称4、password:设置密码5、{0|7}:加密类型,0-明文,7-密文6、password:密码值2、(验证方)户用PAP验证功能的命令格式如下:ruijie(config-if)#ppp authentication {chap\pap\chap pap\pap chap}1、ruijie(config-if)#:路由器名称为ruijie,处于端口配置模式2、ppp authentication:启用验证功能3、{chap\pap\chap pap\pap chap}:验让方式,其中,pap为在端口上启用PAP验证;chap pap为同时启用CHAP和PAP验证,在执行PAP验证以前,先进行CHAP验证;pap chap为同时启用CHAP和PAP认证,在执行CHAP验证以前,先进行PAP验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用的命令为:
R2(config-if)#ppp authentication chap pap或者
R2(config-if)#ppp authentication pap chap
如果同时启用了两种验证协议,则在配置中指定的第一种验证方式在链路协商过程中将被请求。如果另一端设备建议使用第二种验证方法,或者第一种验证方法没有通过,那么两台设备之间就开始尝试第二种验证方法。
ip address1.1.1.2 255.255.255.0
encapsulationppp
通过上面的配置,在没有启用任何认证的情况下,链路是通的。
配置步骤:
1.在两台路由器上进行pap认证:
如果我们进行单项认证的话配置应该如下
R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。
R1(config)#usernameR2passwordgairuhe------------------------建立本地口令数据库
*Aug 23 17:07:24.107: Se1/0 CHAP: O FAILURE id 42 len 25 msg is "Authentication failed"
我们看到chap认证是通过发送一个challenge信息来进行认证。在R2上启用chap认证
R2(config)#int s1/0
此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。
Pap的双向认证:
Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。
R2(config)#username R1 password gairuhe
R2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库
此时我们在R2上加上如下的配置:
R2(config)#int s1/0
R2(config-if)#ppp pap sent-usernameR2passwordgairuhe------发送用户名和密码
R2(config-if)#
*Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up
然后验证
因此cБайду номын сангаасap的安全性高于pap
R2(config-if)#ppp authentication chap
R2(config)#
*Aug 23 17:11:41.839: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up
这个时候链路就已经通了。
!
interface Serial1/0
ip address1.1.1.1 255.255.255.0
encapsulation ppp-------------------------------------------------设置封装为ppp
R2:
hostname R2
!
interface Serial1/0
R2(config)#int s1/0
R2(config-if)#ppp authentication pap
R2(config-if)#
*Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down
R1(config-if)#ppp authentication chap
我们发现,链路状态并没有改变,而且也没有任何的debug信息产生。这就是说明了在链路已经建立起来后,是无需进行再次的认证的。
我们把R1的是s1/0口shut down后在no shut down,看看情况
R1(config-if)#shut
*Aug 23 17:07:24.095: Se1/0 CHAP: I RESPONSE id 42 len 23 from "R2"
*Aug 23 17:07:24.099: Se1/0 PPP: Sent CHAP LOGIN Request
*Aug 23 17:07:24.103: Se1/0 PPP: Received LOGIN Response FAIL
2.在上面实验的基础上,将R1改为chap认证,而R2不变。
打开debug ppp authentication信息。在R1上进行如下的改变
R1(config-if)#no ppp authentication pap
R1(config-if)#no ppp pap sent-username R1 password gairuhe
写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。
实验等级:Aassistant
实验拓扑:
实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。
R1(config)#int s1/0
R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证
在这样的配置下,我们可以看到链路已经down了:
R1(config-if)#
*Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to down
pap是通过验证远端的用户名和密码是否匹配来进行验证
chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证
基本配置:
R1:
!
hostname R1----------------------------------------------------------设置主机名为“R1”
R2(config-if)#no ppp pap sent-username R2 password gairuhe
我们通过debug信息看到
R1#
*Aug 23 17:07:24.031: Se1/0 PPP: Authorization required
*Aug 23 17:07:24.063: Se1/0 CHAP: O CHALLENGE id 42 len 23 from "R1"
这两个认证同时启用是只需要一种认证通过即可建立起链路通信。
总结:
pap是通过发送用户名和密码进行匹配,我们就必须使用sent-username ** password **这条命令,并且这个用户名和密码可以通过抓包软件抓到,是明文传输的
chap的认证过程(单向认证,R2为服务器端,R1为客户端)
R2首先发一个挑战包给R1,包的内容包括:01(标识符,表示挑战分组)+ID(序列号)+随机数+自己的用户名(R2)
R1(config-if)#int s1/0
R1(config-if)#ppp pap sen
R1(config-if)#ppp pap sent-username R1 password gairuhe
R1(config-if)#
*Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to up
R1(config-if)#no shut
R1#
*Aug 23 17:00:19.663: Se1/0 PPP: Authorization required
此时发现链路已经断开,并且要求需要PPP的认证
3.在两台路由器上进行chap认证
首先将R2的pap认证关闭
R2(config-if)#no pppauthen pap
R1接收到这个包后,将挑战包的用户名(R2),随机数,ID和本地数据库的密码gairuhe进行计算,得出MD5的值,然后发送给R2
这个回应的分组包括:02(回应标识符)+ID(和R2的一样)+hash(MD5的计算值)+自己的用户名(R1)
R2收到后,通过ID找到它发送的挑战包,然后把ID,随机数,以及密码(通过本地数据库查找R1对应的密码)进行计算,得出MD5的值