PPP-CHAP认证原理
1&& PPP概述
　　点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering
Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题，并成为正式的因特网标准。
　　PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
　　PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各
种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使
用。因此，应用十分广泛。
　　本文我们主要介绍PPP的身份认证功能。
　　PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication
Protocol，PAP）和质询握手协议（Challenge Handshake Authentication
Protocol，CHAP）。如果双方协商达成一致，也可以不使用任何身份认证方法。
　　CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也
被称为"挑战字符串".如图所示。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在
一段时间内失效。
CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。
& CHAP认证过程
　　同PAP一样，CHAP认证可以在一方进行，即由一方认证另一方身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。
　　如图所示。当双方都封装了PPP协议且要求进行CHAP身份认证，同时它们之间的链路在物理层已激活后，认证服务器会不停地发送身份认证要求直到身份认证成功。和PAP不同的是，这时认证服务器发送的是"挑战"字符串。
当认证客户端（被认证一端）路由器RouterB发送了对"挑战"字符串的回应数据包后，认证服务器会按照摘要算法（MD5）验证对方的身份。如果正确，则身份认证成功，通信双方的链路最终成功建立。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。扫一扫体验手机阅读
【CCNA】思科PPP身份验证（PAP单向认证与CHAP单向认证）
<span type="1" blog_id="1541237" userid='
47篇文章，12W+人气，0粉丝
高并发架构之路
￥51.00124人订阅
9本网络安全实战书籍精华
￥51.00504人订阅
<span type="1" blog_id="1541237" userid='51CTO旗下网站
PPP CHAP配置“大法”
下面我们主要讨论了PPP CHAP配置的内容。这个CHAP配置，是PPP认证中非常重要的一部分。所以希望大家能够对此有所掌握。
作者：佚名来源：中国IT实验室| 13:53
我们知道PPP协议会话的建立过称各种，包括了很多认证配置。那么现在这方面我们就来讲解一下关于PPP CHAP配置的内容。大致上，本文主要从三个方面进行了阐述：PPP概述、CHAP原理和CHAP配置三个部分。
PPP CHAP配置1& PPP概述
点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题，并成为正式的因特网标准。
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛。
本文我们主要介绍PPP的身份认证功能。
PPP CHAP配置2& CHAP原理
PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。如果双方协商达成一致，也可以不使用任何身份认证方法。
CHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为&挑战字符串&.如图1所示。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。
图1&& CHAP
CHAP对端系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。
PPP CHAP配置3& CHAP配置
3.1& PPP基本配置
对于同步串行接口，默认的封装格式是HDLC（Cisco私有实现）。可以使用命令encapsulation ppp将封装格式改为PPP.如图2所示。
图2&& PPP串行封装
当通信双方的某一方封装格式为HDLC，而另一方为PPP时，双方关于封装协议的协商将失败。此时，此链路处于协议性关闭（protocol down）状态，通信无法进行。如图3所示。
图3&& 两端路由器串行接口封装格式不一致
这时，在路由器RouterA与路由器RouterB的链路没有成功建立之前，路由器RouterA及RouterB的路由表将为空。
3.2& PPP CHAP配置
3.2.1& CHAP认证过程
同PAP一样，CHAP认证可以在一方进行，即由一方认证另一方身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。
如图4所示。当双方都封装了PPP协议且要求进行CHAP身份认证，同时它们之间的链路在物理层已激活后，认证服务器会不停地发送身份认证要求直到身份认证成功。和PAP不同的是，这时认证服务器发送的是&挑战&字符串。
图4&& CHAP验证
在图4中，当认证客户端（被认证一端）路由器RouterB发送了对&挑战&字符串的回应数据包后，认证服务器会按照摘要算法（MD5）验证对方的身份。如果正确，则身份认证成功，通信双方的链路最终成功建立。
如果被认证一端路由器RouterB发送了错误的&挑战&回应数据包，认证服务器将继续不断地发送身份认证要求直到收到正确的回应数据包为止。
3.2.2& CHAP认证服务器的配置
CHAP认证服务器的配置分为两个步骤：建立本地口令数据库、要求进行CHAP认证。
建立本地口令数据库
通过全局模式下的命令username username password password来为本地口令数据库添加记录。这里请注意，此处的username应该是对端路由器的名称，即routerb.如下所示：
RouterA（config）#username routerb password samepass
要求进行CHAP认证
这需要在相应接口配置模式下使用命令ppp authentication chap来完成。如下所示：
RouterA（config）#interface serial 0/0
RouterA（config-if）#ppp authentication chap
3.2.3& CHAP认证客户端的配置
CHAP认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。请注意，此处的username应该是对端路由器的名称，即routera，而口令应该和CHAP认证服务器口令数据库中的口令相同。如下所示。
RouterB（config-if）#username routera password samepass
3.2.4& CHAP的诊断
对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。如图5所示，它表明认证客户端发送的&挑战&回应数据包没有通过认证服务器的认证。
图5&& 命令debug ppp authentication 的输出
图6表明经过若干次认证要求后，认证服务器最终收到了认证客户端发送过来的正确的&挑战&回应数据包。此时，双方的链路将成功建立。
图6&& 命令debug ppp authentication 的输出
1、CHAP认证过程中，口令是大小写敏感的。
2、身份认证也可以双向进行，即互相认证。配置方法同单向认证类似，只不过需要将通信双方同时配置成为认证服务器和认证客户端。
3、口令数据库也可以存储在路由器以外的AAA或TACACS+服务器上。限于篇幅，此处不再赘述。
通信认证双方选择的认证方法可能不一样，如一方选择PAP，另一方选择CHAP，这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败，可以配置路由器使用两种认证方法。当第一种认证协商失败后，可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败，再采用CHAP身份认证方法。
RouterA（config-if）#ppp authentication pap chap
如下的命令则相反，首先使用CHAP认证，协商失败后采用PAP认证。
RouterA（config-if）#ppp authentication chap pap
以上就是针对PPP CHAP配置的详细内容了。希望大家通过文章的讲解，能够对此有所掌握。【责任编辑： TEL：（010）】
大家都在看猜你喜欢
访谈头条热点热点热点
24H热文一周话题本月最赞
讲师：414875人学习过
讲师：245833人学习过
讲师：31182人学习过
精选博文论坛热帖下载排行
本书是根据全国计算机技术与软件专业技术资格（水平）考试《网络管理员考试大纲》所要求的考试范围而编写的试题集。全书共分10个单元，同步...
订阅51CTO邮刊同步各端记录
下载PC客户端，上传视频更轻松！
药品服务许可证(京)-经营-
请使用者仔细阅读优酷、、
Copyright(C)2017 优酷 youku.com 版权所有
不良信息举报电话:
cisco的ppp协议chap认证
cisco的ppp协议chap认证—在线播放—《cisco的ppp协议chap认证》—自拍—优酷网，视频高清在线观看
微信/手机 扫码分享
点击一下 网页分享
<input id="link4" type="text" class="fn-share-input" value="" data-spm-anchor-id="0.0.0.i1" />
复制通用代码
<input type="text" class="fn-share-input" id="link3" value="" />
复制Html代码
复制Flash代码
将启用PC客户端下载视频
cisco的ppp协议chap认证
用优酷移动APP扫码
或用微信扫码观看
二维码2小时有效
没有客户端？扫码马上安装
IPHONE / 安卓
cisco的ppp协议chap认证
使用HTML5播放器
使用FLASH播放器文能提笔安天下，武能上马定乾坤
PPP中的pap和chap认证
PPP中的pap和chap认证
实验拓扑：
R1------------R2
实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。
pap是通过验证远端的用户名和密码是否匹配来进行验证
chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证
基本配置：
R1----------------------------------------------------------设置主机名为“R1”
ip address 1.1.1.1
255.255.255.0
encapsulation
ppp-------------------------------------------------设置封装为ppp
ip address 1.1.1.2
255.255.255.0
encapsulation ppp
通过上面的配置，在没有启用任何认证的情况下，链路是通的。
配置步骤：
在两台路由器上进行pap认证：
如果我们进行单项认证的话配置应该如下
R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。
R1(config)#username R2 password
gairuhe------------------------建立本地口令数据库
R1(config)#int
R1(config-if)#ppp authentication
pap--------------------------------要求进行PAP认证
在这样的配置下，我们可以看到链路已经down了：
R1(config-if)#
16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial1/0, changed state
R2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库
此时我们在R2上加上如下的配置：
R2(config)#int
R2(config-if)#ppp pap sent-username R2 password
gairuhe------发送用户名和密码
R2(config-if)#
16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial1/0, changed state to up
此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。这就是pap的单向认证。
Pap的双向认证：
Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上，我们只要将R2配置成服务器端，将R1配置成客户端即可。
R2(config)#username R1
R2(config)#int
R2(config-if)#ppp
authentication pap
R2(config-if)#
16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial1/0, changed state to down
R1(config-if)#int
R1(config-if)#ppp
R1(config-if)#ppp
pap sent-username R1 password gairuhe
R1(config-if)#
16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial1/0, changed state to up
2.在上面实验的基础上，将R1改为chap认证，而R2不变。
打开debug ppp authentication信息。在R1上进行如下的改变
R1(config-if)#no
ppp authentication pap
R1(config-if)#no
ppp pap sent-username R1 password gairuhe
R1(config-if)#ppp authentication chap
我们发现，链路状态并没有改变，而且也没有任何的debug信息产生。这就是说明了在链路已经建立起来后，是无需进行再次的认证的。
我们把R1的是s1/0口shut down 后在no shut down，看看情况
R1(config-if)#shut
R1(config-if)#no
17:00:19.663: Se1/0 PPP: Authorization required
此时发现链路已经断开，并且要求需要PPP的认证
3.在两台路由器上进行chap认证
首先将R2的pap认证关闭
R2(config-if)#no
ppp authen pap
R2(config-if)#no
ppp pap sent-username R2 password gairuhe
我们通过debug信息看到
17:07:24.031: Se1/0 PPP: Authorization required
17:07:24.063: Se1/0 CHAP: O CHALLENGE id 42 len 23 from
17:07:24.095: Se1/0 CHAP: I RESPONSE id 42 len 23 from
17:07:24.099: Se1/0 PPP: Sent CHAP LOGIN
17:07:24.103: Se1/0 PPP: Received LOGIN Response
17:07:24.107: Se1/0 CHAP: O FAILURE id 42 len 25 msg is
"Authentication failed"
我们看到chap认证是通过发送一个challenge信息来进行认证。在R2上启用chap认证
R2(config)#int
R2(config-if)#ppp
authentication chap
R2(config)#
17:11:41.839: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Serial1/0, changed state to up
这个时候链路就已经通了。
4.两种认证同时启用
使用的命令为：
R2(config-if)#ppp
authentication chap
R2(config-if)#ppp authentication pap
如果同时启用了两种验证协议，则在配置中指定的第一种验证方式在链路协商过程中将被请求。如果另一端设备建议使用第二种验证方法，或者第一种验证方法没有通过，那么两台设备之间就开始尝试第二种验证方法。
这两个认证同时启用是只需要一种认证通过即可建立起链路通信。
pap是通过发送用户名和密码进行匹配，我们就必须使用sent-username
** password **这条命令，并且这个用户名和密码可以通过抓包软件抓到，是明文传输的
chap的认证过程（单向认证，R2为服务器端，R1为客户端）
R2首先发一个挑战包给R1，包的内容包括：01（标识符，表示挑战分组）+ID（序列号）+随机数+自己的用户名（R2）
R1接收到这个包后，将挑战包的用户名（R2），随机数，ID和本地数据库的密码gairuhe进行计算，得出MD5的值，然后发送给R2
这个回应的分组包括：02（回应标识符）+ID（和R2的一样）+hash（MD5的计算值）+自己的用户名（R1）
R2收到后，通过ID找到它发送的挑战包，然后把ID，随机数，以及密码（通过本地数据库查找R1对应的密码）进行计算，得出MD5的值
因此chap的安全性高于pap
没有更多推荐了，