PAP认证与CHAP认证

实验七PAP认证与CHAP认证

一、实验目的：

1、掌握PAP认证的设置

2、掌握CHAP认证的设置

二、实验要求：

按照实验指导书完成实验

三、实验项目性质

验证性实验

四、实验要点

1、PAP认证

2、CHAP认证

五、实验内容

实验一、PAP认证

实验拓扑图如下：

实验步骤：

说明：本实验在实验12的基础上完成。首先配置路由器R1（远程路由器、被认证方）在路由器R2（中心路由器，认证方）取得认证：

测试：

实验二、CHAP认证

实验拓扑图如下：

实验过程：

说明：本实验在HDLC和PPP封装的基础上完成。

七、实验说明

1、思考题

2、实验报告要求：实验完毕后请按照要求填写实验报告

实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写).pdf

实验19路由器接口PPP协议封装和PAP、CHAP验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP协议的封装结构及PAP、CHAP的认证原理和认 证过程，掌握PAP和CHAP认证的区别。 PAP CHAP 认证时由用户发起认证时由服务器发起 用户名、密码明文传送用 MD5 算法加密传送 次数无限，直至认证成功或线路关闭为止次数有限（一般为 3 次） 认证通过后不再进行验证认证通过后定时再验证 安全性低安全性很高 【实验拓扑】 图8-23给出了实验线路连接，实验时使用Cisco Packet Tracer5.2完成拓扑结构搭建。 注意连接线路时，不要使用Packet Tracer中的自动选择线缆类型方式进行连接，而要自己 选择合适的线缆进行连接，否则拓扑连接容易出错。 图8-23实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器，分别关闭电源后添加WIC-2T 模块，添加位置为插槽0/接口适 配器0（提示：在4个插槽中右下角的位置）。开启电源之后使用Serial 电缆将两台路由器 的Serial0/0/0 接口进行连接，连接时使得C2811B 为DCE 端、C2811A 为DTE 端，即选择 带时钟标记的串行线先连C2811B，然后再连C2811A。 电源开关， 用鼠标点击 图8.22 WIC-2T 模块安装位置可开关 【提示1】图8.22所示界面，可以单击某台路由器的图标，然后在弹出的框中选择“Physical” 选项卡，接着在左侧一栏中选择WIC-2T，最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时，用串行线旁边带时钟符号的线先连接C2811B，那么C2811B即为DCE 端，线另外一头所连接的路由器C2811A就是DTE；反之，亦成立。 1

PPP中的pap和chap认证

PPP中的pap和chap认证 写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。 实验等级：Aassistant 实验拓扑： 实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置： R1： ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2： hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置，在没有启用任何认证的情况下，链路是通的。 配置步骤：

1.在两台路由器上进行pap认证： 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下，我们可以看到链路已经down了： R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置： R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证： Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上，我们只要将R2配置成服务器端，将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up

实验14.3 PPP之CHAP认证

实验14.3 PPP之CHAP认证 一、实验需求 （1）路由器串口通过PPP进行地址协商获取IP地址； （2）路由器之间改成CHAP认证，以建立PPP链路。 二、实验拓扑 图1 配置CHAP单向认证实验 三、实验步骤 （1）请根据实验拓扑图，配置各个路由器的主机名（主机名格式：如R1-zhangsan）和接口IP地址，R2的接口IP采用PPP协商获取，请给出R1、R2的配置截图。 与实验14.2配置相同，图略 （2）在R2上查看接口是否获取到IP地址，并观察接口状态，再截图。与实验14.2配置相同，图略 （3）在当前未做认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。 与实验14.2配置相同，图略 //能通则正常，反之则不正常。 （4）在R1上配置论证数据库，并在R1的串口启用chap认证，然后在R2的串口配置用于验证的用户名和需要发送的密码，请给出R1和R2的配置截图。

（5）在R1上对PPP链路进行抓包，启动wireshark后，shutdown R1的串口，然后执行undo shutdown命令启用R1的串口，再到wireshark上查看抓到的CHAP包，找出并标识出用于CHAP认证的用户名和密码，最后对包含CHAP认证账号信息的包进行截图。

（6）在当前已做CHAP认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。 //能通则说明CHAP认证成功，反之则说明PPP链路认证失败。 说明：本实验是CHAP单向认证，如果要作CHAP双向认证，则每个路由器既作为主认证方，又作为被认证方。在本实验的基础上对R2配置AAA认证账户，并在串口下启用CHAP认证；在R1的串口下配置用于认证的账号信息即可。

pap和chap认证

PAP认证和CHAP认证概述 一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）： PAP认证过程非常简单，二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方，可以做无限次的尝试（暴力破解）。 只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程： PAP认证过程图 首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。 二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议） CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证，有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。 CHAP认证过程： CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图： CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP 认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认

linux--ISCSI和CHAP认证

ISCSI映射和CHAP验证 一、TARGET端 1、安装iscsitarget安装包 创建好需要映射的分区，lvdisplay查看逻辑分区，记录分区路径。 2、配置iscsi，并映射分区 编辑etc/iet/ietd.conf文件， [root@unaryhost iet]# vi /etc/iet/ietd.conf 添加配置内容， 其中unaryhost.uarydomain是计算机名，isctest是自定义标识符 配置完成，启动服务[root@unaryhost iet]# /etc/init.d/iscsi-target start

在win2008可以看到连接的iscsi盘 3、CHAP验证配置 CHAP验证有两种，一种是针对discovery的，即如果不符合验证的用户名和密码，则initiator端便无法通过"-m discovery"发现指定主机上的任何一个target。 另一种是针对node login的，即果不符合验证的用户名和密码，则initiator 端编无法通过--login登录指定主机上的某一个target。 （1）配置discovery验证 格式IncomingUser [name] [password] Discovery验证为全局参数，所以必须放在第一个Target之前 此处的name是initiator的名字，也可以自定义字符串。 编辑/etc/iet/iet.conf,添加验证参数 （2）配置login验证 格式IncomingUser [name] [password]

由于是正对login的验证，所以参数放在需要验证的Target后面 配置完成，重新启动iscsi服务生效。 [root@unaryhost iet]# /etc/init.d/iscsi-target restart 二、initiator端 linux 1、安装iscsi-initiator-utils-.rpm包 安装完毕，启动进程/etc/init.d/iscsid 2、发现target 格式：iscsiadm -m discovery -t sendtargets -p : 默认端口3260

PPP协议的PAP和CHAP认证

PPP协议的PAP和CHAP认证 实验人： 实验名称：PPP协议的PAP和CHAP认证 实验目的：掌握PPP协议的PAP和CHAP认证的配置方法 实验原理： PAP认证： 用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向） CHAP认证：

用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证） 自动协商IP地址： 在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！ 头部压缩： 在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程： PAP单向认证：

4.1广域网协议封装与PPP的PAP认证

4.1 广域网协议封装与PPP的PAP认证 【项目情境】 假设你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，当客户端路由器与ISP进行链路协商时，需要验证身份，以保证链路的安全性。也是对ISP进行正常的交费与后续合作的重要保证。要求链路协商时以明文的方式进行传输。【项目目的】 1.掌握广域网链路的多种封装形式。 2.掌握ppp协议的封装与PAP验证配置。 3.掌握PAP配置的测试方法、观察和记录测试结果。 4.了解PAP以明文方式，通过两次握手，完成验证的过程。 【相关设备】 路由器两台、V.35线缆一对。 【项目拓扑】 【项目任务】 1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。配置RouterA和RouterB的S0/1口地址。在RouterA的S0/1口上配置同步时钟为64000。 2.在两个路由器的连接专线上封装广域网协议PPP，并查看端口的显示信息，测试两个路由器之间的联连性。(封装的广域网协议还有：HDLC、X.25、Frame-relay、ATM，双方封装的协议必须相同，否则不通) 3.在两个路由器的连接专线上建立PPP协议的PAP认证，RouterA 为被验证方，RouterB为验证方(即密码验证协议，双方通过两次握手，完成验证过程)，并测试两个

路由器之间的联连性(明文方式进行密码验证，通过PPP的LCP层链路建立成功，两个路由器才可互通)。先通过show running-config来查看配置。 4.在RouterB上启用debug命令验证配置，需要把S0/1进行一次shutdown再开启，观察和感受链路的建立和认证过程。 5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。 6.使用锐捷设备（2、3人一组）完成上面的步骤（端口见如下拓扑图） 【实验命令】 1.在两个路由器的连接专线上封装广域网协议PPP RouterA(config)#interface serial 0/1 RouterA(config-if)#encapsulation ppp RouterB(config)#interface serial 0/1 RouterB(config-if)#encapsulation ppp 2.查看封装端口的显示信息 RouterA#show interfaces serial 0/1 3.在两个路由器的连接专线上建立PPP协议的PAP认证 RouterA(config)#interface serial 0/1 RouterA(config-if)#ppp pap sent-username RouterA password 0 123 RouterB(config)#username RouterA password 0 123 RouterB(config)#interface serial 0/1 RouterB(config-if)#ppp authentication pap 4.在RouterB上启用debug命令 RouterB#debug ppp authentication

认证方式pap chap协议解读

1. 前言 PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议，CHAP 在RFC1994中定义，是一种挑战响应式协议，双方共享的口令信息不用在通信中传输；PAP 在RFC1334中定义，是一种简单的明文用户名/口令认证方式。 2. PAP PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。 PAP协商选项格式： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 对于PAP，参数为： Type = 3，Length = 4，Authentication-Protocol = 0xc023(PAP) PAP数据包格式： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+-+ Code：1字节，表示PAP包的类型 1 认证请求 2 认证确认 3 认证失败 Identifier：ID号，1字节，辅助匹配请求和回应 Length：2字节，表示整个PAP数据的长度，包括Code, Identifier, Length和 Data字段。 Data：可能是0字节或多个字节，具体格式由Code字段决定，成功或失败类型包中长度可能为0。 对于认证请求（Code = 1）类型，PAP包格式为： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length |

CHAP单向验证举例

CHAP单向验证举例 1. 组网需求 在图中，要求设备Router A用CHAP方式验证设备Router B。 2. 配置方法一（验证方配置用户名时以CHAP方式认证对端） (1) 配置Router A # 为Router B创建本地用户。 system-view [RouterA] local-user userb # 设置本地用户的密码。 [RouterA-luser-userb] password simple hello # 设置本地用户的服务类型为PPP。 [RouterA-luser-userb] service-type ppp [RouterA-luser-userb] quit # 配置接口封装的链路层协议为PPP。 [RouterA] interface serial 2/0 [RouterA-Serial2/0] link-protocol ppp # 配置采用CHAP验证时Router A的用户名。 [RouterA-Serial2/0] ppp chap user usera # 配置本地验证Router B的方式为CHAP。 [RouterA-Serial2/0] ppp authentication-mode chap domain system # 配置接口的IP地址。 [RouterA-Serial2/0] ip address 200.1.1.1 16 [RouterA-Serial2/0] quit # 在系统缺省的ISP域system下，配置PPP用户使用本地认证方案。[RouterA] domain system [RouterA-isp-system] authentication ppp local (2) 配置Router B # 为Router A创建本地用户。 system-view [RouterB] local-user usera # 设置本地用户的密码。 [RouterB-luser-usera] password simple hello

26 配置和检验 PAP 身份验证与 CHAP 身份验证

实验26配置和检验PAP 身份验证与CHAP 身份验证 目标： ●使用PAP 和CHAP 配置PPP 身份验证。 ●使用show 和debug 命令检验连通性。 背景／准备工作 参照拓扑图，搭建一个类似的网络。本实验可使用具有一个串行接口的任何路由器。例如，可以使用800、1600、1700、1800、2500、2600 或2800 系列路由器或其任意组合。 本实验的说明信息同样适用于其它路由器；但命令语法可能会有所差异。根据路由器的型号，接口标识可能也不同。例如，有些路由器上的Serial0 可能是Serial0/0 或Serial0/0/0，而Ethernet0 可能是FastEthernet0/0。本实验的说明信息同样适用于使用Serial 0/0/0 接口表示方法的路由器。如果使用不同的路由器，请相应使用串行接口的正确表示方法。 本实验需要以下资源： ●具有串行连接的两台路由器 ●两台基于Windows 的计算机，每台都装有终端仿真程序 ●至少一根RJ-45 转DB-9 连接器控制台电缆，用于配置路由器 ●一根两段式(DTE/DCE) 串行电缆 步骤 1：连接设备 按照拓扑图所示，使用串行电缆连接Router 1 和Router 2 两台路由器的Serial 0/0/0 接口。 步骤 2：在 Router 1 上执行基本配置 a. 将PC 连接到该路由器的控制台端口，使用终端仿真程序执行配置。 b. 在Router 1 上，按照地址表中的规定配置主机名和IP 地址，保存配置。 步骤 3：在 Router 2 上执行基本配置

在Router 2 上，按照地址表中的规定配置主机名和IP 地址，保存配置。 步骤 4：在 R1 和 R2 上配置 PPP 封装 在两台路由器的接口Serial 0/0 配置模式提示符后输入encapsulation ppp，将封装类型更改为PPP。 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp 步骤 5：在 R1 和 R2 上检验 PPP 封装 在R1 和R2 上输入命令show interfaces serial 0/0/0，检验PPP 封装。 R1#show interfaces serial 0/0/0 R2#show interfaces serial 0/0/0 R1 是否使用PPP 封装？______是____ R2 是否使用PPP 封装？_____是_____ 步骤 6：检验串行连接是否工作正常 从R1 Ping R2，检查两台路由器之间是否存在连接。 R1#ping 192.168.15.2 R2#ping 192.168.15.1 从R1 是否能ping 通R2 路由器的串行接口？_____能_____ 从R2 是否能ping 通R1 路由器的串行接口？____能______ 如果上述任意一个问题的答案为否定，则检查路由器的配置纠正错误。重新执行ping 操作直到全部成功。 步骤 7：在 R1 上使用 PAP 配置 PPP 身份验证 a. 在R1 路由器上配置用户名和口令。用户名必须与另一台路由器的主机名相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。在Cisco 路由器上，两台路由器的加密口令必须相同。 R1(config)#username R2 password cisco R1(config)#interface serial 0/0/0 R1(config-if)#ppp authentication pap b. Cisco IOS 的11.1 版或更高版本中默认禁用PAP，因此必须在接口上启用PAP。在Serial 0/0/0 接口配置模式提示符后，启用该接口上的PAP。 R1(config-if)#ppp pap sent-username R1 password cisco 步骤 8：检验串行连接是否工作正常 Ping R2 的串行接口，检验串行连接是否工作正常。 是否会成功？___否______ 原因是什么？_______因为R2上还没有配PAP，所以无法通过验证并连通___________。 步骤 9：在 R2 上使用 PAP 配置 PPP 身份验证 a. 在R2 路由器上配置用户名和口令。用户名和口令必须与另一台路由器的主机名和口令相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。

同时启用chap和pap两种认证

写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。 实验等级：Aassistant 实验拓扑： 实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证 chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置： R1： ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2： hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulationppp 通过上面的配置，在没有启用任何认证的情况下，链路是通的。 配置步骤： 1. 在两台路由器上进行pap认证： 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库 R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证 在这样的配置下，我们可以看到链路已经down了：

华为PPP验证PAP和CHAP

华为的考试中100%回出现类似的实验题,只要注意用户名和密码,就没有问题:) 1. 配置需求 路由器Quidway1和Quidway2之间用接口Serial0互连，要求路由器Quidway1（验证方）以PAP方式验证路由器Quidway2（被验证方）。 2. 配置步骤 (1)配置路由器Quidway1（验证方） ！在本地数据库中添加一个名为quidway2，验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello ！配置本端启用PAP验证方式 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp authentication pap (2) 配置路由器Quidway2（被验证方） ！配置本端以用户名为quidway2、密码为hello被对端进行验证。 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp pap sent-username quidway2 password 0 hello 1.5.2CHAP验证举例 1. 配置需求 路由器Quidway1（验证方）以CHAP方式验证路由器Quidway2（被验证方）。 2. 配置步骤 (1)配置路由器Quidway1（验证方） ！在本地数据库中添加一个名为quidway2，验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello ！设置本端用户名为quidway1

PPP+PAP明文认证

【实验名称】 PPP PAP认证。 【实验目的】 掌握PPP PAP认证的过程及配置? 【背景描述】 你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP 进行链路协商时要验证身份，配置路由器保证链路建立，并考虑其安全性。 【技术原理】 PPP协议位于OSI七层模型的数据链路层，PPP协议按照功能划分为两个子层：LCP、NCP。LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。NCP主要负责和上层的协议进行协商，为网络层协议提供服务。 PPP的认证功能是指在建立PPP链路的过程中进行密码的验证，验证通过建立连接，验证不通过拆除链路。PPP协议支持两种认证方式PAP和CHAP。PAP（Password Authentication Protocol，密码验证协议）是指验证双方通过两次握手完成验证过程，它是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求，包含了验证的用户名和密码。由验证方验证后做出回复，通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。 【实现功能】 在链路协商时保证安全验证。链路协商时用户名、密码以明文的方式传输。 【实验设备】 R1762（两台）、V.35线缆（1条） 【实验拓扑】 图 23 注：RB为DCE端口。 【实验步骤】 步骤1. 基本配置。 Red-Giant(config)#hostname Ra Ra(config)# interface serial 1/2 Ra(config-if)#ip address 1.1.1.1 255.255.255.0 Ra(config-if)#no shutdown Red-Giant(config)#hostname Rb Rb(config)# interface serial 1/2

CHAP验证过程

CHAP验证过程 1．A向B发起PPP连接请求 2．B向A声明，要求对A进行CHAP验证 3．A向B声明，同意验证 4．B把“用户ID、随机数”发给A 5．A用收到的“用户ID和随机数”与“自已的密码”做散列运算 6．A把“用户ID、随机数、散列结果”发给B 7．B用收到的“用户ID、随机数”与“自已的密码”做散列运算，把散列运算的结果与“A 发过来的散列结果”进行比较，结果一样，验证成功，结果不一样，验证失败。 一、搭建基本环境 配置路由器A int lo0 !启用一个回环端口lo0代表路由器A内部结构。 ip address 192.168.10.1 255.255.255.0 int s1/0 !配置广域网端口s1/0 ip address 202.110.100.1 255.255.255.0 enca ppp !封装广域网端口s1/0 clock rate 64000 ！A、B路由器提供时钟频率 router rip 配置路由协议RIP第二版 version 2 network 192.168.10.0 network 202.110.100.0 配置路由器B int s1/0 ip address 202.110.100.2 255.255.255.0 enca ppp router rip version 2 network 202.110.100.0 二、配置PPP的CHAP验证 需要两步完成 （1）配置验证所需要的用户名和密码 username 用户名password 密码 注意用户名为对方设备使用hostname 设置的设备名，密码两端设备应配置相同。 （2）启用CHAP验证，在广域网端口上启用 CHAP ppp authentication chap 实际配置如下： routerA(config)#username routerB password 123 routerA(config)#int s1/0 routerA(config-if)#ppp authentication chap 当路由器上设置完chap验证时，A、B路由器同时提示s1/0端口协议为down状态，这是因为A路由器配置了chap验证，而路由器B没有通过身份验证所导致的结果。当作了如下配置后自动为up状态。 ruoterB(config)# username routerA password 123

实验8：ppp协议及PAP认证

PPP封装与验证配置 工作任务描述： 某公司为了顺利开展公司业务，需要公司局域网内部机器访问互联网资源，现向ISP申请DDN专线接入。要求公司端路由器与ISP进行链路协商时要相互验证身份，配置两端路由器保证链路建立，并考虑其安全性。 网络拓扑见下图： 要求配置如下内容： https://www.wendangku.net/doc/eb11234668.html,er和ISP两个路由器的基本配置。 ●给两个路由器分别命名为User和ISP； ●两个路由器的Serial口和Fastethernet口配置IP地址（每个接口的具体IP地址见上图）， 并打开端口； ●为DCE端路由器的Serial口配置时钟频率（Clock Rate ）为128K； ●配置两路由器的静态或动态路由。 2.为User和ISP两个路由器封装PPP协议 ●在User路由器的Serial接口模式下封装PPP协议； 如：User (config)#interface serial 0 User (config-if)#encapsulation ppp ●在ISP路由器的Serial接口模式下封装PPP协议； 3.验证PPP配置结果 ●配置PC机中的IP、子网掩码及网关地址，用ping命令验证两PC机的网络连通性；●在User路由器的特权模式下,用debug ppp authentication命令,查看PPP验证过程（模 拟器不显示具体内容）。 ●在User路由器的特权模式下，查看Serial口的封装协议信息。 4. 配置User路由器在ISP路由器上进行单向PAP认证 ●在User路由器上配置，将自己（User）被对方（ISP）认证的用户名和密码经PAP认证

协议发送； 如，User (config-if)#ppp pap sent-username User password 123 注意：用户名区分大小写！ ●在ISP路由器上启动PAP验证； （如，ISP (config-if)#PPP authentication PAP） ●在ISP路由器上配置被认证的用户名（User）和密码（123）； （如，ISP (config)#username User password 123） ●验证配置。用ping命令验证两PC机的网络连通性。 说明：配置完成后需要先关闭端口，再重新开启后验证才能生效。 5. 配置User与ISP路由器的双向PAP认证 ●参照步骤4配置。在User路由器上认证对方的用户名设置（ISP），密码为456。 ●验证配置。用ping命令验证两PC机的网络连通性。 6.删除PAP认证相关配置，配置CHAP验证，并验证测试。 ●删除PAP认证配置。 （如，(config-if)#no ppp pap sent-username） ( (config-if)#no PPP authentication PAP (config)#no username） ●参照步骤4和步骤5配置CHAP。需要注意，CHAP要求用户名为对方路由器名，而密 码两方必须相同。

pap认证

PAP认证过程非常简单，是二次握手机制，而CHAP认证过程比较复杂，是三次握手机制， 下面就让我们来看一下两种具体的认证过程。 AD：51CTO 网+ 第十二期沙龙：大话数据之美_如何用数据驱动用户体验 一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）： PAP认证过程非常简单，二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方，可以做无限次的尝试（暴力破解）。 只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程： PAP认证过程图 首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。 二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议） CHAP认证过程比较复杂，三次握手机制。 使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证，有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。

CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图： CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。 CHAP认证过程图： CHAP认证第三步：认证方告知被认证方认证是否通过。

CHAP验证过程及单双向验证

CHAP验证过程及单双向验证 CHAP过程 说明，这是一个单向挑战验证过程： 首先，766路由器拨入到3640上来，在3640上的接口中有这样的配置：ppp authentication chap. 如上图。 LCP协议负责验证过程，3640在接到拨入后，开始对766发出挑战数据包。如上图，3640产生一个挑战包，发给766,内容包括： 1. 01所在字段是类型字段，01表示这是一个挑战。 2.ID字段表示这次挑战，是挑战序列号 3.RANDOM,随机数字，它由挑战方产生。 4.最后一个字段是用户名字段，用于对方根据该名称查找对应的PASSWORD 在发出这个挑战包后，3640在自己的路由器里保存了ID和RANDOM值，供下面的MD5计算用。

如上图，766接到了挑战包，它从挑战数据包中搜集以下信息： 1.ID值 2.RANDOM值 3.根据包中的用户名，在自己的数据库（本地的或者TACACS+,RADIUS）查找对应的密码。 将上面的三个信息使用MD5进行计算，获得一个HASH。 如上图，766路由器产生一个挑战回应数据包，它包含： 1.类型字段，02表示回应。 2.ID值，从挑战包中直接复制过来的。 3.HASH,就是刚才766计算出来的HAS 4.用户名字段，供一会3640查找密码用。

如上图，3640接到回应包，3640从回应包中抽取用户名，并查找到对应的密码，然后利用之前保存的ID,RANDOM以及查到的密码来计算自己的HASH,然后将自己计算得到的HASH与回应中的HASH比较，如果相同，验证成功。如果不同验证失败。 验证成功的返回示意。注意类型字段=03表示成功，后面的WELCOME IN 只是为了图示形象化。 如果验证失败，则返回的类型字段=04. 从上面整个过程可以看出，在整个验证过程中，只有用户名，ID,随机数，以及ID+密码+随机数的HASH被发送，真实密码始终没有被发送，同时根据2边计算所需的参数看，在2台路由器上配置的密码一定要相同，否则验证将失败。

ppp chap 双向认证

H3C PPP CHAP 双向认证配置案例组网环境： H3C MSR 路由器两台： RT1-----（10.1.12.1）-----------RT2（10.1.12.2）组网模拟： 利用H3CSE 虚拟实验室完成 组网脚本： [rt1]di cur # version 5.20, Alpha 1011 # sysname rt1 # password-control length 5 password-control login-attempt 3 exceed lock-time 120 # undo voice vlan mac-address 00e0-bb00-0000 # ipsec cpu-backup enable # undo cryptoengine enable # domain default enable system # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # local-user rt1 service-type ppp # interface Ethernet0/1/0 port link-mode route

shutdown ip address 192.168.1.1 255.255.255.0 # interface Serial0/2/0 link-protocol ppp ppp authentication-mode chap ppp chap user rt1 ppp chap password simple rt2123 ip address 10.1.12.1 255.255.255.0 # interface Serial0/2/1 link-protocol ppp # interface Serial0/2/2 link-protocol ppp # interface Serial0/2/3 link-protocol ppp # interface NULL0 # interface Ethernet0/4/0 port link-mode bridge # interface Ethernet0/4/1 port link-mode bridge # interface Ethernet0/4/2 port link-mode bridge # interface Ethernet0/4/3 port link-mode bridge # interface Ethernet0/4/4 port link-mode bridge # interface Ethernet0/4/5 port link-mode bridge # interface Ethernet0/4/6 port link-mode bridge # interface Ethernet0/4/7 port link-mode bridge