实验二十三：PPP协议中的CHAP和PAP验证

实验二十三：PPP协议中的CHAP和PAP验证

一、理论基础

1. PPP协议

PPP协议是在SLIP（Serial Line IP串行线IP协议）的基础上发展起来的。由于SLIP 协议只支持异步传输方式、无协商过程（尤其不能协商如双方IP地址等网络层属性）等缺陷，在以后的发展过程中，逐步被PPP协议所代替。人们创建了PPP协议以解决远程互连网的连接问题。另外，需要采用PPP协议来解决动态分配IP地址以及多协议使用的问题。PPP 可以在同步和异步电路中提供路由器到路由器以及主机到网络的连接。PPP是目前使用最普遍、最流行的WAN协议，是一种标准的串行线路封装方式，这种协议在连接建立期间可以检查链路的质量。

2、PPP协议的特点

（1）动态分配IP地址（例如拨号上网时）

（2）支持多种网络层协议

（3）误码检测

（4）多链路绑定（Multilink）

（5）数据的压缩

（6）链路配置以及链路质量测试

（7）回叫（Callback）

（8）网络能力的协商选项，如：网络层地址协商和数据压缩协商等

PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP和CHAP）等。其中，链路控制协议LCP（Link Control Protocol）：用来协商链路的一些参数，负责创建并维护链路。网络层控制协议NCP（Network Control Protocol）：用来协商网络层协议的参数。

3、PPP建立一个点到点连接的四个阶段

（1）链路的建立和配置协商

（2）链路质量确定

（3）网络层协议配置协商

（4）链路拆除

4、 PPP的验证方式

PAP验证

PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。PAP验证的过程如下：

被验证方主动发起验证请求，将本端的用户名和口令发送到验证方；

验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。如果此用户名存在且口令正确，验证方返回Acknowledge响应，表示验证通过；如果此用户名不存在或口令错误。验证方返回Not Acknowledge响应，表示验证不通过。

CHAP验证

CHAP（Challenge Handshake Authentication Protocol，质询握手鉴定协议）是一种三次握手验证协议，它只在网络上传输用户名，而用户口令并不在网络上传播。CHAP验证过程如下：

验证方主动发起验证请求，向被验证方发送一些随机产生的报文，并同时将本端配置的用户名附带上一起发送给被验证方；

被验证方接到验证方的验证请求后，根据此报文中的用户名在本端的用户表中查找用户口令。如找到用户表中与验证方用户名相同的用户，便利用报文ID和此用户的口令以MD5算法生成应答，随后将应答和自己的用户名送回；

验证方接收到此应答后，利用报文ID、自己保存的被验证方口令以及随机报文用MD5算法得出结果，与被验证方应答比较。如果两者相同，则返回Acknowledge响应，表示验证通过，如果两者不相同，则返回Not Acknowledge相应，表示验证不通过。

二、实验案例

1、实验拓扑结构图：

2、配置说明：

Router1的S0：192.168.1.10 子网掩码：255.255.255.0

Router2的S0：192.168.1.20 子网掩码：255.255.255.0

3、具体配置：

方法一：PAP验证

PAP的单向验证

Router1的配置：

[Router1]int s0

[Router1-Serial0]ip address 192.168.10.1 255.255.255.0

[Router1-Serial0]

%15:01:45: Line protocol ip on the interface Serial0 is UP

[Router1-Serial0]link-protocol ppp

[Router1-Serial0]ppp pap local-user sunke password simple sunke

[Router1]dis cur

Now create configuration...

Current configuration

version 1.74

sysname Router1

firewall enable

aaa-enable

aaa accounting-scheme optional

interface Aux0

async mode flow

link-protocol ppp

interface Ethernet0

interface Ethernet1

interface Serial0

clock DTECLK1

link-protocol ppp

ppp pap local-user sunke password simple sunke

ip address 192.168.10.1 255.255.255.0

interface Serial1

link-protocol ppp

interface Serial2

link-protocol ppp

interface Serial3

link-protocol ppp

Return

Router2的配置：

[Router2]int s0

[Router2-Serial0]ip address 192.168.10.2 255.255.255.0

[Router2-Serial0]

%15:12:53: Line protocol ip on the interface Serial0 is UP [Router2-Serial0]link-protocol ppp

[Router2]local-user sunke service-type ppp password simple sunke [Router2-Serial0]ppp authentication-mode pap

[Router2]dsi cur

Incorrect command

[Router2]dis cur

Now create configuration...

Current configuration

version 1.74

local-user sunke service-type ppp password simple sunke

sysname Router2

firewall enable

aaa-enable

aaa accounting-scheme optional