思科课件8、PAP认证、CHAP认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

PAP认证和CHAP认证概述一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）：PAP认证过程非常简单，二次握手机制。

使用明文格式发送用户名和密码。

发起方为被认证方，可以做无限次的尝试（暴力破解）。

只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。

目前在PPPOE拨号环境中用的比较常见。

PAP认证过程：PAP认证过程图首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。

二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议）CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。

由认证方发起CHAP认证，有效避免暴力破解。

在链路建立成功后具有再次认证检测机制。

目前在企业网的远程接入环境中用的比较常见。

CHAP认证过程：CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。

CHAP认证过程图：CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP 认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。

1. 前言PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议，CHAP 在RFC1994中定义，是一种挑战响应式协议，双方共享的口令信息不用在通信中传输；PAP 在RFC1334中定义，是一种简单的明文用户名/口令认证方式。

2. PAPPAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。

PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。

PAP协商选项格式：0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Length | Authentication-Protocol |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+对于PAP，参数为：Type = 3，Length = 4，Authentication-Protocol = 0xc023(PAP)PAP数据包格式：0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier | Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Data ...+-+-+-+-+Code：1字节，表示PAP包的类型1 认证请求2 认证确认3 认证失败Identifier：ID号，1字节，辅助匹配请求和回应Length：2字节，表示整个PAP数据的长度，包括Code, Identifier, Length和Data字段。

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

CHAP认证（双向）实验要求：掌握CHAP认证配置拓扑如下：R1enable 进⼊特权模式configure terminal 进⼊全局模式hostname R1 设置主机名 interface s0/0/0 进⼊端⼝ip address 192.168.1.1 255.255.255.0 设置IP地址clock rate 64000　设置同步时钟no shutdown 开启端⼝interface l0 创建并进⼊环回端⼝ip address 192.168.2.254 255.255.255.0 设置IP地址exit 返回上⼀级username R2 password 123456 创建⽤户⽤于认证interface s0/0/0 进⼊端⼝encapsulation ppp　将端⼝进⾏封装ppp authentication chap 启动CHAP认证R2enable 进⼊特权模式configure terminal 进⼊全局模式hostname R2 设置主机名 interface s0/0/0 进⼊端⼝ip address 192.168.1.2 255.255.255.0 设置IP地址clock rate 64000　设置同步时钟no shutdown 开启端⼝interface l0 创建并进⼊环回端⼝ip address 192.168.3.254 255.255.255.0 设置IP地址exit 返回上⼀级username R1 password 123456 创建⽤户⽤于认证interface s0/0/0 进⼊端⼝encapsulation ppp　将端⼝进⾏封装ppp authentication chap 启动CHAP认证注意事项： CHAP是经过三次握⼿来通过认证。

第⼀次：认证⽅发送挑战信息【01(此报⽂为认证请求）、id(此认证的序列号）、随机数据、主认证⽅认证⽤户名】，被认证⽅接收到挑战信息，根据接收到主认证⽅的认证⽤户名到⾃⼰本地的数据库中查找对应的密码（如果没有设密码就⽤默认的密码），查到密码再结合主认证⽅发来的id和随机数据根据MD5算法算出⼀个Hash值。

思科网络设备常用配置命令一、VLAN配置1、添加VLANvlan database //VLAN数据库模式vlan <vlan-id> name <name>真实设备还可以采用全局模式添加VLAN：config terminalvlan <vlan-id>name <name>2、分配接口interface range f0/m – nswitchport mode accessswitchport access vlan <vlan-id>3、查看配置show vlan briefshow vlan id <vlan-id>二、中继配置1、配置Trunkinterface f0/mswitchport mode trunkswitchport trunk encapsulation { isl | dot1q | negotiate } //配封装方式，可不配2、查看接口模式show interface f0/m switchport三、VTP配置vtp domain <域名> //创建VTP域vtp mode { server | client | transparent } //配VTP模式vtp password <密码> //配VTP口令show vtp status //查看配置四、以太网通道配置interface range f0/m – nchannel-protocol {pagp | lacp} //可以不配channel-group <number> mode on五、STP配置spanning-tree vlan <vlan-id> root { primary | secondary } //配为主或次根网桥spanning-tree vlan <vlan-id> priority <0~655535> //配优先级，越小越优先show spanning-tree //查看STP六、三层交换机配置，实现VLAN互通ip routing //启动路由interface vlan <vlan-id> //配置VLAN的IP地址ip address <ip> <netmask>no shutdowninterface f0/m //配f0/m为路由接口no switchport七、静态路由与默认路由配置ip route <network> <netmask> <下一跳地址> //静态路由ip route 0.0.0.0 0.0.0.0 <下一跳地址> //默认路由八、单臂路由配置int f0/xno shutdown （模拟设备小凡用no switchport)int f0/x.1encapsulation dot1q <vlan-id>ip address <ip> <netmask>九、RIP协议配置router ripversion {1 | 2} //选择版本，默认为版本1no auto-summary //关闭路由汇总network <网络地址> //宣告网段redistribute ospf <ospf进程号> //重分发OSPF路由协议十、OSPF协议配置router ospf <进程号>network <网络地址> <反向掩码> area <区域号>redistribute rip //路由重分发十一、HSRP配置interface f0/mstandby <HSRP组号> ip <虚拟IP> //配为HSRP成员standby <HSRP组号> priority <0~255> //配优先级，高的为活跃路由器standby <HSRP组号> preempt //配占先权十二、访问控制列表1、标准ACLaccess-list <1~99> permit | deny <源地址> <反向掩码>interface f0/mip access-group <表号> {in | out }2、扩展ACLaccess-list <100~199> {permit | deny} <协议> <源地址> <反向掩码> <目的地址> <反向掩码> eq 端口3、命名ACLip access-list {standard| extend } <ACL表名>permit | deny <源地址> <反向掩码>{permit | deny} <协议> <源地址> <反向掩码> <目的地址> <反向掩码> eq 端口4、定时ACLtime-range <时间范围名称>periodic <星期X英文> hh:mm to <星期X英文> hh:mm //定义一个时间周期absolute [start hh:mm 日月年] [ end hh:mm 日月年] //定义绝对时间access-list <100~199> {permit | deny} <协议> <源地址> <反向掩码> <目的地址> <反向掩码> eq 端口time-range <时间范围名称> //配ACL时引入时间范围十三、网络地址转换1、静态NATip nat inside soure static <私有IP> <公有IP>interface f0/m //内部端口启用NATip nat insideinterface s1/n //外部端口启用NATip nat outside2、动态NATaccess-list <1~99> permit | deny <源地址> <反向掩码>ip nat pool <地址池名> <开始公有IP> <结束公有IP> netmask <掩码>ip nat inside soure list <ACL表号> pool <地址池名> [overload] //配地址复用加overload 十四、PPP认证1、PAP认证interface serial 0/0encapsulation pppip address <IP地址> <掩码>主认证方：username user_name password 0 pass_wordppp authentication pap被认证方：配置认证用户名和密码Router(config-if)# ppp pap sent-username user_name password 0 pass_word2、CHAP认证主认证方：配置认证用户名和密码Router(config)# username user_name password 0 pass_word启用CHAP认证Router(config-if)# ppp authentication chap配置认证用的用户名Router(config-if)# ppp chap hostname user_name被认证方：配置认证用户名和密码Router(config)# username user_name password 0 pass_word配置认证用的密码Router(config-if)# ppp chap password 0 pass_word优先使用username设置的密码;没有再用ppp chap设置的。

ppp的chap认证完全配置CHAP认证命令：cisco(config)#interface s0/0cisco(config-if)#encapsulation pppcisco(config-if)#ppp authentication chap(该命令只用于认证的服务器端，如做双向认证，则双方都要配置该命令) ==============================================================================================CHAP单向认证：（R1为服务器端，R2为客户端）R1配置：R1(config)#username jsxjs password adminjsxjsR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2配置：R2(config)#interface s0/0R2(config-if)#encapsulation pppR2(config-if)#ppp chap hostname jsxjsR2(config-if)#ppp chap password adminjsxjs=============================================================================================CHAP双向认证：(这里双方的用户名和密码不一样，以示区别双向认证。

也可以设置一样的用户名和密码)R1配置：R1(config)#username jsxjs password adminjsxjsR1(config)#interface s0/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname jlzzR1(config-if)#ppp chap password adminjlzzR2配置：R2(config)#username jlzz password adminjlzzR2(config)#interface s0/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname jsxjsR2(config-if)#ppp chap password adminjsxjs说明：在CHAP认证中，也可以在双方设置认证的用户名为对方设备的hostname，并设置相同的密码。

路由器配置——PAP与CHAP认证⼀、实验⽬的：掌握PAP与CHAP认证配置⼆、拓扑图：三、具体步骤配置：（1）R1路由器配置：Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1 --修改路由器名为R1R1(config)#interface l0 --进⼊回环端⼝R1(config-if)#ip address 192.168.1.254 255.255.255.0 --配置ip地址R1(config-if)#no shutdown --激活端⼝R1(config-if)#exit --返回上⼀级R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#ip address 192.168.12.1 255.255.255.0 --为端⼝配置ip地址R1(config-if)#clock rate 64000 --设置时钟同步速率R1(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exit --返回上⼀级R1(config)#route rip --开启rip服务R1(config-router)#version 2 --版本2R1(config-router)#no auto-summary --关闭路由⾃动汇总R1(config-router)#network 192.168.1.0 --添加直连⽹段到ripR1(config-router)#network 192.168.12.0R1(config-router)#exit --返回上⼀级R1(config)#username abc1 password 456 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config)#interface s0/0/0 --进⼊端⼝R1(config-if)#encapsulation ppp --封装端⼝为pppR1(config-if)#ppp authentication pap --在R1上，配置PAP 验证R1(config-if)#ppp pap sent-username abc password 123 --在中⼼路由器R1上为远程路由器R2设置⽤户名和密码R1(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR1#%SYS-5-CONFIG_I: Configured from console by console%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up（2）R2路由器配置：Router>enable --进⼊特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R2 --修改路由器名为R2R2(config)#interface l0 --进⼊回环端⼝R2(config-if)#ip address 192.168.2.254 255.255.255.0 --配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#exit --返回上⼀级R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#ip address 192.168.12.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#no shutdown --激活端⼝R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#ip address 192.168.24.2 255.255.255.0 --为端⼝配置ip地址R2(config-if)#clock rate 64000 --设置时钟同步速率R2(config-if)#no shutdown --激活端⼝%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config-if)#exit --返回上⼀级R2(config)#route rip --开启rip协议R2(config-router)#version 2 --版本2R2(config-router)#no auto-summary --关闭路由⾃动汇总R2(config-router)#network 192.168.2.0 --添加直连⽹段到ripR2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.24.0R2(config-router)#exit --返回上⼀级R2(config)#username abc password 123 --在R2上为R1设置⽤户名和密码R2(config)#username R3 password cisco --在R2上为R3设置⽤户名和密码（注意两端密码要相同）R2(config)#interface s0/0/0 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为PPP协议R2(config-if)#ppp authentication pap --配置PAP验证R2(config-if)#ppp pap sent-username abc1 password 456 --在R2上为R1设置⽤户名和密码R2(config-if)#interface s0/0/1 --进⼊端⼝R2(config-if)#encapsulation ppp --封装端⼝为ppp协议R2(config-if)#ppp authentication chap --配置chap验证R2(config-if)#end --返回特权模式R2#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%SYS-5-CONFIG_I: Configured from console by console%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R2#%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up（3）R3路由器配置：Router>enable --进特权模式Router#configure terminal --进⼊全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R3 --修改路由器名为R3R3(config)#interface l0 --进⼊回环端⼝R3(config-if)#ip address 192.168.3.254 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#interface S0/0/0 --进⼊端⼝R3(config-if)#ip address 192.168.24.1 255.255.255.0 --为端⼝配置ip地址R3(config-if)#no shutdown --激活端⼝R3(config-if)#exit --返回上⼀级R3(config)#route rip --开启rip协议R3(config-router)#version 2 --版本2R3(config-router)#no auto-summary --关闭路由⾃动汇总R3(config-router)#network 192.168.3.0 --添加直连⽹段到ripR3(config-router)#network 192.168.24.0R3(config-router)#exit --返回上⼀级R3(config)#username R2 password cisco --在R3上为R2设置⽤户名和密码R3(config)#interface s0/0/0 --进⼊端⼝R3(config-if)#encapsulation ppp --封装端⼝为ppp协议R3(config-if)#ppp authentication chap --配置chap验证R3(config-if)#end --返回特权模式%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up R3#%SYS-5-CONFIG_I: Configured from console by console四、验证测试：1、测试是否开启ppp认证（1）R1：（2）R2：（3）R3：2、查看R1的S0/0/0端⼝信息如图，红⾊标记处表⽰是PPP认证3、测试全⽹是否互通：（1）R1与R2（2）R2与R3（3）R3与R1结果：全⽹互通成功。

p p p认证方式a p c h a p认证文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

Cisco 网络技术》课程实验指导书实验 23PPP 配置一．实验目的：1．掌握 PPP 的基本配置步骤和方法。

2．掌握 PAP、CHAP的基本配置步骤和方法。

3．掌握对PAP、 CHAP 进行诊断的基本方法二．实验要点：1．配置路由器之间的PPP 连接。

2．配置、验证PAP 过程。

3．配置、验证CHAP 过程。

三．实验设备：路由器 Cisco 2621 两台，带有网卡的工作站PC 一台，控制台电缆一条，双绞线一条。

四、实验环境图 23 PPP 配置五. 实验步骤1．按图 23 连接两台路由器RouterA 、 RouterB 。

2．配置路由器基本参数。

3．配置路由器 RouterA 的串行接口 Serial 0/0 接口 IP 地址（ 192.168.0.1/24 ）、路由器RouterB的串行接口Serial 0/0 接口 IP 地址（192.168.0.2/24）并同时激活接口。

4．配置路由器RouterA的串行接口Serial 0/0 接口时钟频率为64000。

5．使用 Ping 命令测试路由器RouterA 和路由器RouterB 之间的连通性。

问题：利用show int s0/0 命令查看RouterA 、 RouterB 串行接口封装的协议是什么？6．改变路由器 RouterA 和路由器 RouterB 串行接口 Serial 0/0 的封装格式为 PPP，再次检查路由器 RouterA 和路由器RouterB 之间的连通性。

RouterA(config)#int s0/0RouterA(config-if)#encapsulation pppRouterB 配置同 RouterA.7．配置路由器RouterA 和路由器 RouterB 的串行接口Serial 0/0 进行 PAP 认证。

RouterA(config)#int s0/0RouterA(config-if)#ppp authentication pap8．配置路由器RouterA 为 PAP 认证服务器：建立本地口令数据库—用户名routerb ，口令 rb。

【实验内容】
配置PAP 认证协议
【实验环境】
1、硬件环境
路由器两台，路由器同步串口线1 根
2、软件环境
WindowsXP 操作系统、pcaket tracer 仿真软件
3、拓扑结构图
【实验步骤】
1、在路由器R1 和R2 上配置IP 地址，保证直连链路的连通性
2、改变串行链路两端的接口封装为PPP 封装
3、在远程路由器R1 上，配置在中心路由器R2 上登录的用户名和密码，使用“ppp pap sent-username 用户名password 密码”命令：
4、在中心路由器R2 上为远程路由器R1 设置用户名和密码，使用“username 用
户名password 密码”命令：
５、在中心路由器R2 上，配置PAP 验证
6、在远程路由器R2 上，配置在中心路由器R1 上登录的用户名和密码，使用
“ppp pap sent-username 用户名password 密码”命令：
7、在中心路由器R1 上为远程路由器R2 设置用户名和密码，使用“username 用
户名password 密码”命令：
8、在中心路由器R1 上，配置PAP 验证：
9、实验调试：使用“debug ppp authentication”可以查看ppp 认证过程：
【实验总结】
通过本实验我们掌握了PAP认证的相关配置，认证是双方进行对方认证，也就是说是在本路由器上发送自己的名字与密码到对方路由器，在对方路由器上需要设置对方的名字为用户名，对方发送的密码为密码。

该实验有助于我们理解PAP认证的相关理论，更好的掌握PAP认证的过程。

Packet Tracer 5.3建构CCNA实验攻略(12)——PPPPacket Tracer 5.3是一款非常不错的Cisco(思科)网络设备模拟器，对于想考思科初级认证（如CCNA）的朋友们来说，Packet Tracer 5.3是非常不错的选择。

通常我们周围并没有那么多思科的设备供我们学习调试，参加培训费用很贵，上机实践的机会还是有限的，利用Packet Tracer 5.3练习思科IOS操作命令很不错的。

近日，在网上下载了思科CCNA640-802指导用书，打算根据此教程与诸位网友共同分享Packet Tracer 5.3的使用方法与技巧，也借此抛砖引玉。

PPP(Point to Point Protocol)数据链路层协议。

两种认证方式：一种是PAP，一种是CHAP。

相对来说PAP的认证方式安全性没有CHAP高。

PAP在传输password是明文的，而CHAP 在传输过程中不传输密码，PAP认证是通过两次握手实现的，而CHAP则是通过3次握手实现的。

一、实验配置拓扑图图一二、PPP的基本配置命令Router(config-if)#encapsulation PPPRouter(config-if)#PPP multilinkRouter(config-if)#PPP authentication chap三、配置PPP图二路由器Boson上配置PPP的命令图三 Newyork上配置PPP的命令图四启用RIP路由协议，两个路由器要配置RIPBoson路由器的配置：Boston#sh running-configBuilding configuration...Current configuration : 652 bytes!version 12.4no service password-encryption!hostname Boston!!!!!username Newyork password 0 senya!ip ssh version 1no ip domain-lookup!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.1.1 255.255.255.0 duplex autospeed auto!interface Serial0/3/0description Link to Router Newyorkip address 192.168.2.1 255.255.255.0 encapsulation pppppp authentication chapclock rate 56000!interface Vlan1no ip addressshutdown!router ripversion 2network 192.168.1.0network 192.168.2.0!ip classless!!!!!line con 0line vty 0 4login!!endNewyork路由器的配置：Newyork#sh running-configBuilding configuration...Current configuration : 606 bytes!version 12.4no service password-encryption!hostname Newyork!!!!!username Boston password 0 senya!ip ssh version 1!!interface FastEthernet0/0no ip addressduplex autospeed autoshutdown!interface FastEthernet0/1ip address 192.168.3.1 255.255.255.0 duplex autospeed auto!interface Serial0/3/0description link to Bostonip address 192.168.2.2 255.255.255.0encapsulation pppppp authentication chap !interface Vlan1no ip addressshutdown!router ripversion 2network 192.168.2.0 network 192.168.3.0!ip classless!!!!!line con 0line vty 0 4login!!end图五配置计算机的IP地址及网关图六在计算机PC0上使用ping命令检查网络的连通性。

PPP认证实验实验需求：如图路由器R1和R2，R1被认证方，R2为认证方，使用PAP认证与CHAP认证完成PPP实验1、基础配置ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.1 255.255.255.0ipv6 address 2001::1 64R2:ipv6interface Serial1/0/0link-protocol pppipv6 enableip address 12.1.1.2 255.255.255.0ipv6 address 2001::2/642、抓包在s1/0/0端口验证R2的LCP和IPCP、IPV6CPLCP configure request配置请求LCP配置确认3、PAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode papR1配置：[R1]interface s1/0/0[R1-Serial1/0/0]ppp pap local-user zhangsan password cipher Huawei@123抓包验证PAP执行了两次握手能够抓到PAP认证中传递的明文用户名zhangsan和密码Huawei@1234、CHAP认证R2配置:[R2]aaa[R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp[R2-aaa]quit[R2]interface s1/0/0[R2-Serial1/0/0]ppp authentication-mode chapinterface Serial1/0/0[R1-Serial1/0/0]ppp chap user zhangsan[R1-Serial1/0/0]ppp chap password cipher Huawei@123抓包验证CHAP执行了三次握手只能够抓到CHAP认证中传递的标识符和挑战值，传递进行哈希值传递了散列数值，根本抓不到密码，CHAP认证相比于PAP认证安全性更高。

PAP 认证1.实验目的通过本实验，读者可以掌握PAP 认证的配置方法这项技能。

2.实验拓扑实验拓扑图如图1 所示。

图1 实验1~实验3 拓扑图3.实验步骤在实验1 基础上继续本实验。

首先配置路由器R1（远程路由器，被认证方）在路由器R2（中心路由器，认证方）取得验证：①远程路由器上的串口采用PPP 封装，用”encapsulation”命令：R1(config)#int s0/0/0R1(config-if)#e ncapsulation ppp②在远程路由器R1 上，配置在中心路由器上登录的用户名和密码，使用”ppp pap sent-username 用户名password 密码”命令：R1(config-if)#ppp pap sent-username R1 password 123456③在中心路由器上的串口采用PPP 封装，用”encapsulation”命令：R2(config)#int s0/0/0R2(config-if)#encapsulation ppp④在中心路由器上，配置PAP 验证，使用”ppp authentication pap”命令：R2(config-if)#ppp authentication pap⑤中心路由器上为远程路由器设置用户名和密码，使用”username 用户名password 密码”命令：R2(config)#username R1 password 123456以上的步骤只是配置了R1（远程路由器）在R2（中心路由器）取得验证，即单向验证。

然而，在实际应用中，通常采用双向验证，即R2 要验证R1，而R1 也要验证R2.我们要采用类似的步骤配置R1，对R2 进行验证，这时R1 为中心路由器，R2 为远程路由器。

⑥在中心路由器R1 上，配置PAP 验证，使用”ppp authentication pap”命令：R1(config-if)#ppp authentication pap⑦在中心路由器R1 上为远程路由器R2 设置用户名和密码，使用”username 用户名password 密码”命令：R1(config-if)#username R2 password 654321⑧在远程路由器R2 上，配置以什么用户名和密码在远程路由器上登录，使用”ppp pap sent-username 用户名password 密码”命令：R2(config-if)#ppp pap sent-username R2 password 654321【提示】在ISDN 拨号上网时，却通常只是电信运营商对用户进行验证（要根据用户名来收费），用户不能对电信进行验证，即验证是单向的。

实验拓扑图：相关说明：在链路建立的第2个阶段进行用户验证，最常用的认证协议有口令验证协议PAP和挑战-握手协议CHAP。

口令验证协议PAP是一种简单的明文验证方式，这种验证方式的安全性较差，第三方可以很容易的获取被传送的用户名和口令;挑战-握手验证协议CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。

初始：配置各路由器的IP地址。

Router(config)#host r1r1(config)#int s1/0r1(config-if)#clock rate 64000r1(config-if)#ip address 10.1.1r1(config-if)#no shRouter(config)#host r2r2(config)#int s1/0r2(config-if)#ip address 10.1.1r2(config-if)#clock rate 64000r2(config-if)#no shI：配置PAP单向身份验证r1(config)#username r2 password 123 /验证方建立数据库r1(config)#int s1/0r1(config-if)#encapsulation ppp /进行PPP封装r1(config-if)#ppp authentication pap /使用PAP实现PPP的验证r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp pap sent-username r2 password 123 /发送验证信息测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/9/16 msII：配置PAP双向身份验证r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication papr1(config-if)#ppp pap sent-username r1 password 321 /注意此时发送的password r2(config)#username r1 password 321r2(config)#int s1/0r2(config-if)#encapsulation pppr2(config-if)#ppp authentication papr2(config-if)#ppp pap sent-username r2 password 123 /注意此时发送的password 测试结果：r1#ping 10.1.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/16 msIII：配置CHAP单向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)#encapsulation pppr1(config-if)#ppp authentication chapr2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)#ppp chap hostname r2r2(config-if)#ppp chap password 123测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms IV：配置CHAP双向的身份验证.r1(config)#username r2 password 123r1(config)#int s1/0r1(config-if)# encapsulation pppr1(config-if)# ppp authentication chapr2(config-if)#username r1 password 123r2(config)#int s1/0r2(config-if)# encapsulation pppr2(config-if)# ppp authentication chap测试结果：r2#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 8/18/36 ms OK，实验完成。