一、预备知识:1、PPP定义: 点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。该协议不是专有协议,可以互联不同厂商设备。 支持
一、预备知识: 1、PPP定义: 点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。该协议不是专有协议,可以互联不同厂商设备。 支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等。 2、PPP认证方式: www.zhishiwu.com 2.1、PAP认证: PAP:密码口令验证协议,全称:Password Authentication Protocol。PAP是两次握手认证协议,在链路首次初始化时,被认证端首先发起认证请求,向认证端发送用户名和密码信息进行身份认证。密码口令以明文发送,所以安全性较低。PAP支持单项和双向认证,认证流程图和单、双向认证示意图如下: 认证流程图:
单双向认证示意图: www.zhishiwu.com
2.2、CHAP认证: CHAP:挑战握手认证协议,全称:Challenge Handshake Authentication Protocol。CHAP通过三次握手验证被认证端的身份,在初始链路建立时完成,为了提高安全性,在链路建立之后周期性进行验证。CHAP比PAP更安全,因为CHAP不在线路上发送明文,而是发送经过MD5过的随机数序列。CHAP支持单向和双向认证。CHAP认证示意图如下:
www.zhishiwu.com
三、配置 3.1、配置环境: 1、模拟环境:Cisco Packet Tracer 5.3 2、模拟路由器:Cisco Router-PT 3、连接串行端口:R_A——>s2/0;R_B——>s3/0 3.2、PAP认证: 3.2.1、PAP单向认证:
1、R_A配置信息: hostname R_A interface Serial2/0 ip address 192.168.1.1 255.255.255.0 encapsulation ppp ppp pap sent-username R_A password 0 123 clock rate 64000 R_A(config-if)#ip address 192.168.1.1 255.255.255.0 R_A(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial2/0, changed state to up 2、R_B配置信息: www.zhishiwu.com Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R_B R_B(config)#username R_A password 0 123 R_B(config)#interface s3/0 R_B(config-if)#encapsulation ppp R_B(config-if)#ppp authentication pap R_B(config-if)#ip address 192.168.1.2 255.255.255.0 R_B(config-if)#no shutdown 3、验证: 在路由器R_A上: R_A#debug ppp authentication PPP authentication debugging is on Serial2/0 Using hostname from interface PAP Serial2/0 Using password from interface PAP Serial2/0 PAP: O AUTH-REQ id 17 len 15 Serial2/0 PAP: Phase is FORWARDING, Attempting Forward %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up 在路由器R_B上: www.zhishiwu.com R_B#ping 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/6 ms 3.2.2、PAP双向认证:
(双向认证配置是在单向认证配置的基础上操作的) 1、在R_A上增加用户信息、认证方式: R_A#conf t Enter configuration commands, one per line. End with CNTL/Z. R_A(config)#username R_B password 0 123 R_A(config)#interface s2/0 R_A(config-if)#ppp authentication pap 2、在R_B上增加发送认证信息: R_B#conf t Enter configuration commands, one per line. End with CNTL/Z. R_B(config)#inter s3/0 R_B(config-if)#ppp pap sent-username R_B password 0 123 3、验证: R_A#ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/6/16 ms 3.3、CHAP认证: 3.3.1、CHAP单向认证:
1、R_A(被认证端)配置信息: hostname R_A username R_B password 0 123 interface Serial2/0 ip address 192.168.1.1 255.255.255.0 encapsulation ppp clock rate 64000 2、R_B(认证端)配置信息: hostname R_B username R_A password 0 123 interface Serial3/0 ip address 192.168.1.2 255.255.255.0 encapsulation ppp ppp authentication chap 3.3.2、CHAP双向认证:
1、在R_A路由器上作如下配置: R_A#conf t Enter configuration commands, one per line. End with CNTL/Z. R_A(config)#inter s2/0 R_A(config-if)#ppp authentication chap %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up 2、验证: R_A(config-if)#do ping 192.168.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/9/35 ms
四、主意事项: www.zhishiwu.com 1、用户名、密码信息与主机名的对应关系; 2、认证端、被认证端之间的信息对应关系; 3、认证信息大小写敏感; 4、修改配置后,若未生效,尝试重启端口; 5、常用排错命令: show running configuration show interface sx/x/x debug ppp authentication 6、验证信息可放置在第三方服务器上——AAA或TACACS+服务器。
