ppp chap 双向认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

PPP协议的PAP和CHAP认证实验人：实验名称：PPP协议的PAP和CHAP认证实验目的：掌握PPP协议的PAP和CHAP认证的配置方法实验原理：PAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向）CHAP认证：用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证）自动协商IP地址：在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！头部压缩：在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程：PAP单向认证：⑴用小凡搭建如图实验环境，如图示：⑵在R1的S0/0上，配置IP，如图示：⑶在R2的S0/0上，配置IP，如图示：⑷此时，即可ping通192.168.1.2 如图示：⑸在R1上，配置PPP协议，如图示：⑹在R2上，配置PPP协议，如图示：⑺此时，又可ping通192.168.1.2 如图示：⑻在R1上，配置PAP认证，如图示：⑼在R2上，配置发送PAP认证信息，如图示：⑽此时，又可以ping通192.168.1.2 如图示：PAP双向认证：⒈在R1上，配置PAP认证，如图示：⒉在R2上，配置发送PAP认证信息，如图示：⒊配置完后，即可ping通192.168.1.2，即单向认证，如图示：⒋在R2上，配置PAP认证，如图示：⒌此时，不能ping 通192.168.1.2 如图示：⒍在R1上，配置发送PAP认证信息，此时，可以又ping通192.168.1.2 如图示：CHAP单向认证：Ⅰ在R1上，配置CHAP认证，如图示：Ⅱ在R2上，配置发送CHAP认证信息，如图示：Ⅲ此时，即可ping通192.168.1.2 ，即CHAP 的单向认证成功！如图示：CHAP双向认证：①在R1上，配置CHAP认证，如图示：②在R2上，配置发送CHAP认证信息，如图示：③在R2上，配置CHAP认证，如图示：④此时，不能ping通192.168.1.2 原因为没有在R1上，配置发送CHAP认证信息，如图示：⑤在R1上，配置发送CHAP认证信息，此时，可以ping通192.168.1.2 ，即配置CHAP双向认证成功！如图示：自动协商IP地址：㈠在原有的实验环境下，去掉R2上的S0/0端口的IP地址，如图示：㈡在R1上的S0/0端口下，配置分配的IP地址为192.168.1.100 如图示：㈢在R2上的S0/0 端口上，配置自动协商IP地址，如图示：㈣此时，在R2上，分配到192.168.1.100的IP地址，即实验成功，如图示：头部压缩：①在R1上，开启头部压缩功能，如图示：②在R2上，开启头部压缩功能，如图示：③此时，ping 192.168.1.100 ，使其有数据通过，用命令即可查看到压缩的情况，（命令show compress）如图示：总结：在实验中，CHAP认证的步骤：处理CHAP挑战数据包（1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器）；当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题；PAP 不支持密码的加密，压缩，link绑定，设定最大传输单元等，CHAP 支持以上内容；PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码；在CHAP中，被验证方不明确定义发送主机名来验证时，默认发送该路由器的主机名；配置PAP双向认证时，用户名和密码都可以不一样，但配置CHAP双向认证时，要保证两台路由器的密码一致；。

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

CHAP认证（双向）实验要求：掌握CHAP认证配置拓扑如下：R1enable 进⼊特权模式configure terminal 进⼊全局模式hostname R1 设置主机名 interface s0/0/0 进⼊端⼝ip address 192.168.1.1 255.255.255.0 设置IP地址clock rate 64000　设置同步时钟no shutdown 开启端⼝interface l0 创建并进⼊环回端⼝ip address 192.168.2.254 255.255.255.0 设置IP地址exit 返回上⼀级username R2 password 123456 创建⽤户⽤于认证interface s0/0/0 进⼊端⼝encapsulation ppp　将端⼝进⾏封装ppp authentication chap 启动CHAP认证R2enable 进⼊特权模式configure terminal 进⼊全局模式hostname R2 设置主机名 interface s0/0/0 进⼊端⼝ip address 192.168.1.2 255.255.255.0 设置IP地址clock rate 64000　设置同步时钟no shutdown 开启端⼝interface l0 创建并进⼊环回端⼝ip address 192.168.3.254 255.255.255.0 设置IP地址exit 返回上⼀级username R1 password 123456 创建⽤户⽤于认证interface s0/0/0 进⼊端⼝encapsulation ppp　将端⼝进⾏封装ppp authentication chap 启动CHAP认证注意事项： CHAP是经过三次握⼿来通过认证。

第⼀次：认证⽅发送挑战信息【01(此报⽂为认证请求）、id(此认证的序列号）、随机数据、主认证⽅认证⽤户名】，被认证⽅接收到挑战信息，根据接收到主认证⽅的认证⽤户名到⾃⼰本地的数据库中查找对应的密码（如果没有设密码就⽤默认的密码），查到密码再结合主认证⽅发来的id和随机数据根据MD5算法算出⼀个Hash值。

ppp的chap认证完全配置CHAP认证命令：cisco(config)#interface s0/0cisco(config-if)#encapsulation pppcisco(config-if)#ppp authentication chap(该命令只用于认证的服务器端，如做双向认证，则双方都要配置该命令) ==============================================================================================CHAP单向认证：（R1为服务器端，R2为客户端）R1配置：R1(config)#username jsxjs password adminjsxjsR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2配置：R2(config)#interface s0/0R2(config-if)#encapsulation pppR2(config-if)#ppp chap hostname jsxjsR2(config-if)#ppp chap password adminjsxjs=============================================================================================CHAP双向认证：(这里双方的用户名和密码不一样，以示区别双向认证。

也可以设置一样的用户名和密码)R1配置：R1(config)#username jsxjs password adminjsxjsR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname jlzzR1(config-if)#ppp chap password adminjlzzR2配置：R2(config)#username jlzz password adminjlzzR2(config)#interface s0/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname jsxjsR2(config-if)#ppp chap password adminjsxjs说明：在CHAP认证中，也可以在双方设置认证的用户名为对方设备的hostname，并设置相同的密码。

CHAP验证过程及单双向验证CHAP过程说明，这是一个单向挑战验证过程：首先，766路由器拨入到3640上来，在3640上的接口中有这样的配置：ppp authentication chap. 如上图。

LCP协议负责验证过程，3640在接到拨入后，开始对766发出挑战数据包。

如上图，3640产生一个挑战包，发给766,内容包括：1. 01所在字段是类型字段，01表示这是一个挑战。

2.ID字段表示这次挑战，是挑战序列号3.RANDOM,随机数字，它由挑战方产生。

4.最后一个字段是用户名字段，用于对方根据该名称查找对应的PASSWORD在发出这个挑战包后，3640在自己的路由器里保存了ID和RANDOM值，供下面的MD5计算用。

如上图，766接到了挑战包，它从挑战数据包中搜集以下信息：1.ID值2.RANDOM值3.根据包中的用户名，在自己的数据库（本地的或者TACACS+,RADIUS）查找对应的密码。

将上面的三个信息使用MD5进行计算，获得一个HASH。

如上图，766路由器产生一个挑战回应数据包，它包含：1.类型字段，02表示回应。

2.ID值，从挑战包中直接复制过来的。

3.HASH,就是刚才766计算出来的HAS4.用户名字段，供一会3640查找密码用。

如上图，3640接到回应包，3640从回应包中抽取用户名，并查找到对应的密码，然后利用之前保存的ID,RANDOM以及查到的密码来计算自己的HASH,然后将自己计算得到的HASH与回应中的HASH比较，如果相同，验证成功。

如果不同验证失败。

验证成功的返回示意。

注意类型字段=03表示成功，后面的WELCOME IN 只是为了图示形象化。

如果验证失败，则返回的类型字段=04.从上面整个过程可以看出，在整个验证过程中，只有用户名，ID,随机数，以及ID+密码+随机数的HASH被发送，真实密码始终没有被发送，同时根据2边计算所需的参数看，在2台路由器上配置的密码一定要相同，否则验证将失败。

p p p认证方式a p c h a p认证文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

实验14.3PPP之CHAP认证实验14.3 PPP之CHAP认证⼀、实验需求（1）路由器串⼝通过PPP进⾏地址协商获取IP地址；（2）路由器之间改成CHAP认证，以建⽴PPP链路。

⼆、实验拓扑图1 配置CHAP单向认证实验三、实验步骤（1）请根据实验拓扑图，配置各个路由器的主机名（主机名格式：如R1-zhangsan）和接⼝IP地址，R2的接⼝IP采⽤PPP协商获取，请给出R1、R2的配置截图。

与实验14.2配置相同，图略（2）在R2上查看接⼝是否获取到IP地址，并观察接⼝状态，再截图。

与实验14.2配置相同，图略（3）在当前未做认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。

与实验14.2配置相同，图略//能通则正常，反之则不正常。

（4）在R1上配置论证数据库，并在R1的串⼝启⽤chap认证，然后在R2的串⼝配置⽤于验证的⽤户名和需要发送的密码，请给出R1和R2的配置截图。

（5）在R1上对PPP链路进⾏抓包，启动wireshark后，shutdown R1的串⼝，然后执⾏undo shutdown命令启⽤R1的串⼝，再到wireshark上查看抓到的CHAP包，找出并标识出⽤于CHAP认证的⽤户名和密码，最后对包含CHAP认证账号信息的包进⾏截图。

（6）在当前已做CHAP认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。

//能通则说明CHAP认证成功，反之则说明PPP链路认证失败。

说明：本实验是CHAP单向认证，如果要作CHAP双向认证，则每个路由器既作为主认证⽅，⼜作为被认证⽅。

在本实验的基础上对R2配置AAA认证账户，并在串⼝下启⽤CHAP认证；在R1的串⼝下配置⽤于认证的账号信息即可。

PPP认证一、PPP协议的概念PPP（Point to Point Protocol）协议是在点对点链路上运行的数据链路层协议，用户使用拨号电话线接入Internet时，一般都是使用PPP 协议，ppp通过pap 和chap来实现认证授权功能，也就是说ppp支持认证功能。

二、PPP认证方式1、PPP认证包括：chap和pap两种方式：PAP（Password Authentication Protocol，口令认证协议）: PAP是两次握手认证协议，口令以明文传送，被认证方首先发起认证请求。

CHAP（Challenge Handshake Authentication Protocol，质询握手认证协议）:CHAP是三次握手认证协议，不发送口令，主认证方首先发起认证请求，安全性比PAP高。

2、具体的认证过程如下：Pap认证是通过发送用户名和密码进行匹配，我们就必须使用sent-username ** password **这条命令，进行用户名和密码的文传输。

chap的认证过程（单向认证，R2 为服务器端，R1 为客户端）⑴R2 首先发一个挑战包给R1，包的内容包括：01（标识符，表示挑战分组）+ID（序列号）+随机数+自己的用户名（R2）⑵R1 接收到这个包后，将挑战包的用户名（R2），随机数，ID 和本地数据库的密码gairuhe 进行计算，得出MD5 的值，然后发送给R2⑶这个回应的分组包括：02（回应标识符）+ID（和R2 的一样）+hash（MD5的计算值）+自己的用户名（R1）⑷R2 收到后，通过ID 找到它发送的挑战包，然后把ID，随机数，以及密码（通过本地数据库查找R1 对应的密码）进行计算，得出MD5 的值⑸然后验证三、PPP认证的配置1、pap认证的配置⑴pap单向认证R1为认证的服务器端，需要建立本地口令数据库，并且开始pap 认证。

R1(config)#username R2 password Ruijie---------------建立本地口令数据库R1(config)#int s2/0R1(config-if)#encapsulation ppp-------------------------------------设置封装为ppp R1(config-if)#ppp authentication pap---------------------------要求进行PAP 认证R2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库R2(config)#int s1/0R2(config-if)encapsulation ppp--------------------------------------设置封装为ppp R2(config-if)#ppp pap sent-username R2 password Ruijie------发送用户名和密码注：仅在R1上做认证，而R2上没有进行认证，这就是pap的单向认证⑵pap双向认证Pap 的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。

什么是PPP？PPP的认证方式又有哪些？展开全文点到点链路层协议PPP（PPPoE）主要用于在全双工的同异步链路上进行点到点的数据传输，PPP是一款公有标准协议，兼容性好。

PPP协议的特点：1、PPP支持在全双工的同异步链路上进行点到点的数据传输。

2、PPP具有很好的扩展性；PPPoE就是承载在以太网链路上的PPP协议。

3、PPP支持地址信息的自动协商；LCP协议用于各种链路层参数的协商；NCP协议用于各网络层参数的协商，更好地支持了网络层协议（peer neighbor-route）。

4、PPP支持PAP、CHAP认证（可以基于接口的密码认证；也可以基于本地数据库AAA认证，提供认证、授权和审计），更好的保证了网络的安全性。

5、PPP支持将多根链路进行捆绑（Multilink）；支持对所有类型的报文/报头进行压缩；无重传机制，网络开销小，速度快。

PPP协议的组成：协议伞步骤一：链路控制协议LCP；用来建立、拆除和监控PPP数据链路步骤二：认证协议；PAP（密码认证协议）和CHAP（挑战握手认证协议）；用于链路认证，支持单向认证和双向认证。

步骤三：网络层控制协议NCP（协议伞）；用于对不同的网络层协议进行连接建立和参数协商；协议包含了IPV4CP（IPCP）、IPV6CP、IPXCP等。

PPP链路的建立过程：1、Dead阶段也称为物理层不可用阶段。

当通信双方的两端检测到物理线路激活时，就会从Dead阶段迁移至Establish阶段，即链路建立阶段。

2、Establish阶段，PPP链路会进行LCP参数协商。

协商内容包括最大接收单元MRU、认证方式、魔术字（Magic Number）等选项。

LCP参数协商成功后会进入Opened状态，表示底层链路已经建立。

3、多数情况下,链路两端的设备是需要经过认证阶段（Authenticate）后才能够进入到网络层协议协商阶段。

PPP链路在缺省情况下是不要求进行认证的。

任务10 CHAP认证一、【技术原理】CHAP全称是PPP（点对点协议）询问握手认证协议（Challenge Handshake Authentication Protocol）。

该协议可通过三次握手周期性的校验对端的身份，可在初始链路建立时完成时，在链路建立之后重复进行。

通过递增改变的标识符和可变的询问值，可防止来自端点的重放攻击，限制暴露于单个攻击的时间。

二、【任务描述】1、为路由器指定唯一主机名2、列出认证路由器时所使用的远端主机名称和口令，密码为CCNA.3、WAN接口上完成PPP协议的封装和CHAP认证的配置三、【任务实现】1、规划拓扑结构2、配置过程：1）配置R1Router(config)#hostname R1R1(config)#username R2 password ccna注：用于验证对端发送过来的用户名和口令，用户名必须是对端的hostname，而口令在两段必须要一样。

R1(config)#interface serial 0R1(config-if)#ip address 192.168.12.1 255.255.255.0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#no shutdown注：启用CHAP认证协议。

CHAP是双向验证协议。

并使用hostname作为用户名去被验证，用本地用户列表来验证对端。

2）配置R2Router(config)#hostname R2R2(config)#interface serial 0R2(config-if)#ip address 192.168.12.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapRr2(config-if)#no shutdownR2(config-if)#exit注：在对端需要配置相同的，CHAP是双向认证。

PPP协议的PAP和CHAP认证PPP（Point-to-Point Protocol）是一种常见的用于串行链路上的数据通信的协议，主要用于建立和管理点对点连接。

PPP协议的认证机制是保证通信双方身份安全和数据传输的完整性的重要手段。

PPP协议支持多种认证方式，其中最常见的是PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol）认证。

1. PAP认证（Password Authentication Protocol）：PAP是一种最简单的认证协议，其主要思想是使用明文密码对用户进行认证。

在PAP认证中，PPP服务器首先向对端发送一个认证请求报文，要求对端提供用户名和密码。

接收到认证请求的对端回复一个应答报文，携带用户名和密码。

PPP服务器收到应答报文后，会对报文中提供的用户名和密码与本地保存的用户名和密码进行对比，如果一致，则认证成功，通信将继续进行；如果不一致，则认证失败，连接将被断开。

PAP认证的优点是简单易实现，适用于低要求的场景。

然而，PAP认证的缺点也显而易见：-PAP认证对用户名和密码的传输没有加密保护，存在明文传输的风险-PAP认证仅进行一次握手即可认证通过，对于未进行身份确认的对端，可能存在身份冒用的风险-PAP认证无法解决中间人攻击的问题，容易受到网络窃听和篡改的威胁2. CHAP认证（Challenge Handshake Authentication Protocol）：CHAP认证是一种基于挑战响应的强大认证协议，其主要思想是通过令牌生成不可逆的散列值来验证用户名和密码的正确性。

在CHAP认证中，PPP服务器首先向对端发送一个随机生成的挑战值。

接收到挑战值的对端使用自己的密码和挑战值经过一定的散列算法（如MD5）生成一个响应报文，将响应报文发送回服务器。

MSR系列路由器PPP双向CHAP验证功能配置关键字：MSR;PPP;CHAP;验证一、组网需求两台MSR路由器通过串口线互连，并需要双向CHAP验证后才能通信。

二、组网图设备清单：MSR路由器2台三、配置步骤设备和版本：MSR系列、Version 5.20,R1508P02RT1配置#domain system//采用本地认证方式authentication ppp local#local-user rt2//配置对端用户名和密码password simple rt2service-type ppp#interface Serial2/0link-protocol pppppp authentication-mode chap//配置验证方式为CHAP验证ppp chap user rt1 //配置本端用户名和密码ppp chap password simple rt1ip address 1.1.1.1 255.255.255.0#MSR2配置#sysname RT2#domain system //采用本地认证方式authentication ppp local#local-user rt1 //配置对端用户名和密码password simple rt1service-type ppp#interface Serial1/0link-protocol pppppp authentication-mode chap//配置验证方式为CHAP验证ppp chap user rt2 //配置本端用户名和密码ppp chap password simple rt2ip address 1.1.1.2 255.255.255.0#四、配置关键点1、本端用户名和密码一定要和对端CHAP验证配置的用户名和密码一致；2、默认对system域进行认证。

chap 的安全认证CHAP是一种挑战握手认证协议，是PPP协议集中的一种链路控制协议，用于在网络物理连接后进行连接安全性验证。

CHAP 通过三次握手周期性地校验对端的身份，在初始链路建立时完成，并在链路建立之后的任何时候重复进行。

相比PAP，CHAP更加可靠，因为CHAP的主动权掌握在服务器手中，验证方是服务器，被验证方是客户端。

CHAP认证方式如下：1. 链路建立阶段结束之后，认证者向对端发送“challenge”和用户名信息。

2. 对端收到“challenge”后使用之前双发协商好的一种算法（哈希算法）生成应答后送回。

3. 认证者收到应答后将和本端通过哈希算法计算的结果进行检查，如果匹配则认证成功，否则终止连接。

此外，PPP两端双方向的鉴权方式可以不同，即A端为B端鉴权时使用PAP方式，而同时B端使用CHAP方式为A端鉴权。

CHAP比RAP更安全，因为RAP在线路上发送明文密码，CHAP 发送的是经过算法加工后的随机序列，而且即使是双方通信过程中身份验证也能随时进行，就算某次密码被破解，短时间内也会更新。

CHAP在现代网络中的应用随着网络技术的不断发展，CHAP协议在众多网络场景中发挥着重要作用。

以下列举了一些典型的应用场景：1.远程访问：在很多企业网络中，员工需要通过远程访问服务器来办公。

此时，CHAP可以确保只有经过认证的用户才能访问内部资源，提高网络安全性。

2.虚拟专用网络（VPN）：CHAP常用于VPN设备之间的身份验证，确保数据传输的安全性。

在VPN建立过程中，CHAP可以防止未经授权的设备访问企业内部网络。

3.无线网络：在无线网络环境中，CHAP同样可以发挥重要作用。

它可以确保无线设备之间的通信安全，防止未经授权的设备接入无线网络。

4.物联网（IoT）：随着物联网的普及，越来越多的设备连接到网络上。

CHAP可以帮助确保这些设备之间的通信安全，防止恶意攻击。

5.云计算：在云计算环境中，CHAP可以用于云服务提供商和客户之间的身份验证，确保数据和资源的安全传输。