路由器配置PPP协议 CHAP验证 PAP验证
来源 https://www.cnblogs.com/tcheng/p/5967485.html
PAP是两次握手,明文传输用户密码进行认证;CHAP是三次握手,传输MD5值进行认证。
PAP:
CHAP:
PPP协议是一种点——点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能,还有其他。PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP。PPP是面向字符类型的协议。
PPP协议的验证分为两种:一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。
一、CHAP验证
给个今天的配置例子:
R1 R2两台路由器需要互相通信,即两方都有机会发出请求:
R1(config)#user R1 pas kxm //为本机设置密码
R1(config)#user R2 pass kxm //对端密码 R2 是对端名称 kxm是对端密码
R1(config)#int se 0/1/1
R1(config-if)#enc ppp //对serial 0/1/1 串口使用ppp协议
R1(config-if)#ppp au chap//使用chap验证
R1(config-if)#no shu
R1(config-if)#ex
R2(config)#user R2 pas kxm //为本机设置密码
R2(config)#user R1 pass kxm //对端密码 R3 是对端名称 kxm是对端密码
R2(config)#int s 0/1/0
R2(config-if)#enc ppp//对serial 0/1/0 串口使用ppp协议
R2(config-if)#ppp au chap //使用chap验证
R2(config-if)#no shu
R2(config-if)#ex
配置好即可通信成功,当只配置一条链路的其中一边的路由器时,端口状态为down。只有当两边路由器都配置成功时,端口才为up。
以上情况为两路由器需要互相通信是的情况。当存在服务器端和客户端时,客户端将只需要配置本地口令。
如上例改成R1为服务器端,R2为客户端,即只出现R2向R1发出请求的情况:
R1配置不变。
R2配置如下:
R2(config)#user R2 pas kxm //为本机设置密码
CHAP的诊断
对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。
2、PAP验证
DCE设备端(RouterA)PPP封装之PAP验证设置(关键配置)
RouterA# configure terminal
RouterA(config)# username RouterB password 111
RouterA(config)# interface serial 0/0
RouterA(config-if)# encapsulation ppp
RouterA(config-if)# ppp authentication pap
RouterA(config-if)# ppp pap sent-username routera password 222
RouterA(config-if)# clock rate 64000
RouterA(config-if)# exit
DTE设备端(RouterB)PPP封装之PAP验证设置(关键配置)
RouterB# configure terminal
RouterB(config)# username routera password 222
RouterB(config)# interface serial 0/0
RouterB(config-if)# encapsulation ppp
RouterB(config-if)# ppp authentication pap
RouterB(config-if)# ppp pap sent-username routerb password 111
RouterB(config-if)# exit
与CHAP的差异见红字部分
三、两种认证方法的配置:
通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。假如失败,再采用CHAP身份认证方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。
RouterA(config-if)#ppp authentication chap pap
PAP和CHAP的区别:
区别在于认证过程,PAP是简单认证,明文传送,客户端直接发送包含用户名/口令的认证请求,服务器端处理并回应。而CHAP是加密认证,先由服务器端给客户端发送一个随机码challenge,客户端根据challenge对口令进行加密,算法是md5(password,challenge,ppp_id).然后把这个结果发送给服务器端.服务器端从数据库中取出口令password2,同样进行加密处理。最后比较加密的结果是否相同.如相同,则认证通过,向客户端发送认可消息
PAP和CHAP的意思:
GPRS设置中的PAP鉴权和CHAP鉴权有何区别分类:PAP和CHAP是目前的在PPP中普遍使用的认证协议。PAP是简单二次握手身份验证协议,用户名和密码明文传送,安全性低.PAP全称为:Password Authentication Protocol。CHAP是一种挑战响应式协议,三次握手身份验证,口令信息加密传送,安全性高. CHAP全称为:Challenge Handshake Authentication Protocol。