PPP认证和MPPE
这里说一下PPP的认证吧,首先是PAP(Password Authentication Protocol)认证。PAP认证的原理很简单,它直接用自己sent的用户名和密码和对方的数据库进行匹配,如果匹配成功,那么认证成功。PAP可以使用单向和双向认证,单向配置如下:
R1
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
encapsulationppp
serial restart-delay 0
ppp authentication pap
usernameccie password 0 cisco
R2
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
encapsulationppp
serial restart-delay 0
ppp pap sent-username ccie password 0 cisco
R1上认证过程如下:
*Mar 1 00:01:52.971: Se1/1 PPP: Using default call direction
*Mar 1 00:01:52.979: Se1/1 PPP: Treating connection as a dedicated line
*Mar 1 00:01:52.979: Se1/1 PPP: Session handle[1D000004] Session id[5]
*Mar 1 00:01:52.983: Se1/1 PPP: Authorization required
*Mar 1 00:01:53.075: Se1/1 PAP: I AUTH-REQ id 2 len 15 from "ccie"
*Mar 1 00:01:53.079: Se1/1 PAP: Authenticating peer ccie
*Mar 1 00:01:53.087: Se1/1 PPP: Sent PAP LOGIN Request
*Mar 1 00:01:53.095: Se1/1 PPP: Received LOGIN Response PASS
*Mar 1 00:01:53.107: Se1/1 PPP: Sent LCP AUTHOR Request
*Mar 1 00:01:53.111: Se1/1 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:01:53.123: Se1/1 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:01:53.127: Se1/1 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:01:53.131: Se1/1 PAP: O AUTH-ACK id 2 len 5
*Mar 1 00:01:53.139: Se1/1 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:01:53.151: Se1/1 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:01:53.199: Se1/1 PPP: Sent IPCP AUTHOR Request
R2
*Mar 1 00:01:43.283: Se1/0 PPP: Authorization required
*Mar 1 00:01:43.311: Se1/0 PPP: No authorization without authentication *Mar 1 00:01:43.315: Se1/0 PAP: Using hostname from interface PAP
*Mar 1 00:01:43.315: Se1/0 PAP: Using password from interface PAP
*Mar 1 00:01:43.319: Se1/0 PAP: O AUTH-REQ id 2 len 15 from "ccie"
*Mar 1 00:01:43.351: Se1/0 PAP: I AUTH-ACK id 2 len 5
接着看看PAP的双向认证:
R1
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
encapsulationppp
serial restart-delay 0
ppp authentication pap
ppp pap sent-username ccnp password 0 ccna
usernameccie password 0 cisco
R2
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
encapsulationppp
serial restart-delay 0
ppp authentication pap
ppp pap sent-username ccie password 0 cisco
usernameccnp password 0 ccna
认证过程:
R1
R1#
*Mar 1 00:03:11.311: %SYS-5-CONFIG_I: Configured from console by console
*Mar 1 00:03:12.823: %LINK-3-UPDOWN: Interface Serial1/1, changed state to up *Mar 1 00:03:12.835: Se1/1 PPP: Using default call direction
*Mar 1 00:03:12.839: Se1/1 PPP: Treating connection as a dedicated line
*Mar 1 00:03:12.843: Se1/1 PPP: Session handle[9E000006] Session id[8]
*Mar 1 00:03:12.843: Se1/1 PPP: Authorization required
*Mar 1 00:03:12.907: Se1/1 PAP: Using hostname from interface PAP
*Mar 1 00:03:12.911: Se1/1 PAP: Using password from interface PAP
*Mar 1 00:03:12.911: Se1/1 PAP: O AUTH-REQ id 3 len 14 from "ccnp"
*Mar 1 00:03:12.943: Se1/1 PAP: I AUTH-REQ id 5 len 15 from "ccie"
*Mar 1 00:03:12.947: Se1/1 PAP: Authenticating peer ccie
*Mar 1 00:03:12.959: Se1/1 PPP: Sent PAP LOGIN Request
R1#
*Mar 1 00:03:12.967: Se1/1 PPP: Received LOGIN Response PASS
*Mar 1 00:03:12.975: Se1/1 PPP: Sent LCP AUTHOR Request
*Mar 1 00:03:12.979: Se1/1 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:03:12.983: Se1/1 PAP: I AUTH-ACK id 3 len 5
*Mar 1 00:03:12.995: Se1/1 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:03:12.999: Se1/1 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:03:13.003: Se1/1 PAP: O AUTH-ACK id 5 len 5
*Mar 1 00:03:13.011: Se1/1 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:03:13.023: Se1/1 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:03:13.059: Se1/1 PPP: Sent IPCP AUTHOR Request
R2
*Mar 1 00:03:01.195: Se1/0 PPP: Using default call direction
*Mar 1 00:03:01.199: Se1/0 PPP: Treating connection as a dedicated line
*Mar 1 00:03:01.203: Se1/0 PPP: Session handle[EB000003] Session id[6]
*Mar 1 00:03:01.203: Se1/0 PPP: Authorization required
*Mar 1 00:03:05.227: Se1/0 PAP: Using hostname from interface PAP
*Mar 1 00:03:05.231: Se1/0 PAP: Using password from interface PAP
*Mar 1 00:03:05.231: Se1/0 PAP: O AUTH-REQ id 5 len 15 from "ccie"
*Mar 1 00:03:05.251: Se1/0 PAP: I AUTH-REQ id 3 len 14 from "ccnp"
*Mar 1 00:03:05.255: Se1/0 PAP: Authenticating peer ccnp
*Mar 1 00:03:05.263: Se1/0 PPP: Sent PAP LOGIN Request
*Mar 1 00:03:05.271: Se1/0 PPP: Received LOGIN Response PASS
*Mar 1 00:03:05.279: Se1/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:03:05.283: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:03:05.295: Se1/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:03:05.299: Se1/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:03:05.303: Se1/0 PAP: O AUTH-ACK id 3 len 5
*Mar 1 00:03:05.351: Se1/0 PAP: I AUTH-ACK id 5 len 5
*Mar 1 00:03:05.359: Se1/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:03:05.367: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:03:05.383: Se1/0 CDPCP: Received AAA AUTHOR Response PASS
接着来看看CHAP认证,CHAP的全称叫挑战握手协议(Challenge Handshake
Authentication Protocol),由此可以判断CHAP认证需要一个交互的过程。来大致看看整个挑战握手的过程:
1)
图中“766-1”是一个客户端,“3640-1”是一个服务端,首先客户端会检测到服务端有认证,接着发出认证请求。
2)
服务端“3640-1”会回应一个挑战报文,其中包含认证id,用来标识该挑战会话。Random 是服务器产生的一个随机值,用来增加Md5的随机性。最后默认会把自己路由器的hostname 封装在挑战者位,用来表示请求该用户的密码。
3)
客户端收到服务端发送过来的挑战报文后,首先会把挑战者的Hostname提取出来,然后在本地找到该hostname的密码。这里优先查找的是本地的username库,如果没配username,那么会在接口下查找ppp chap password。接着客户端会把报文中的ID,random值提取出来,最后加上密码进行一个MD5的哈希值。
4)
客户端在计算好哈希值后,会把原来的挑战ID,哈希值,以及自己的Hostname(规则和服务端的一样)封装到挑战报文中,发送给服务端。
5)
服务端收到客户端发送过来的哈希值后,也会在握手报文中找到挑战者Hostname,然后查找本地数据库,找到密码。接着把id值,random值以及查找到的密码进行一个哈希,看是否可收到的哈希值一致。
6)
如果哈希值一致,那么服务端会向客户端发送认证成功的挑战报文,报文中标识有挑战ID,用来区分该次认证。
接着来看看一个CHAP的单向认证,配置如下:
R1
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
encapsulationppp
ppp chap hostname ccie
ppp chap password 0 cisco
R2
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
encapsulationppp
ppp authentication chap
usernameccie password 0 cisco
单向认证过程
R1
*Mar 1 00:06:58.875: Se1/1 PPP: Using default call direction
*Mar 1 00:06:58.879: Se1/1 PPP: Treating connection as a dedicated line *Mar 1 00:06:58.883: Se1/1 PPP: Session handle[99000009] Session id[10] *Mar 1 00:06:58.883: Se1/1 PPP: Authorization required
*Mar 1 00:06:58.947: Se1/1 PPP: No authorization without authentication *Mar 1 00:06:58.979: Se1/1 CHAP: I CHALLENGE id 1 len 23 from "R2"
*Mar 1 00:06:58.991: Se1/1 CHAP: Using hostname from interface CHAP
*Mar 1 00:06:58.991: Se1/1 CHAP: Using password from interface CHAP
*Mar 1 00:06:58.995: Se1/1 CHAP: O RESPONSE id 1 len 25 from "ccie"
*Mar 1 00:06:59.087: Se1/1 CHAP: I SUCCESS id 1 len 4
R2
*Mar 1 00:06:36.611: Se1/0 PPP: Authorization required
*Mar 1 00:06:36.651: Se1/0 CHAP: O CHALLENGE id 1 len 23 from "R2"
*Mar 1 00:06:36.687: Se1/0 CHAP: I RESPONSE id 1 len 25 from "ccie"
*Mar 1 00:06:36.699: Se1/0 PPP: Sent CHAP LOGIN Request
*Mar 1 00:06:36.707: Se1/0 PPP: Received LOGIN Response PASS
*Mar 1 00:06:36.715: Se1/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:06:36.719: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:06:36.731: Se1/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:06:36.739: Se1/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:06:36.739: Se1/0 CHAP: O SUCCESS id 1 len 4
*Mar 1 00:06:36.747: Se1/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:06:36.759: Se1/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:06:36.831: Se1/0 PPP: Sent IPCP AUTHOR Request
首先R1会向R2发送认证请求,然后R2把自己的hostname封装进挑战报文中发送给R1。R1收到后会在自己本地数据库中找R2的password。因为R1本地没有R2的数据库,所以R1会接着查看接口的password,然后进行哈希。接着把接口配置的hostname和哈希封装到挑战报文中发送给R2,R2收到后查找本地数据库,找到密码进行哈希,最后认证成功。
接着来看看使用本地数据库认证,配置如下:
R1:
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
encapsulationppp
ppp chap hostname ccie
username R2 password 0 cisco
R2
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
encapsulationppp
ppp authentication chap
usernameccie password 0 cisco
认证过程:
R1
*Mar 1 00:08:12.315: Se1/1 PPP: Using default call direction
*Mar 1 00:08:12.319: Se1/1 PPP: Treating connection as a dedicated line
*Mar 1 00:08:12.323: Se1/1 PPP: Session handle[B000000A] Session id[11]
*Mar 1 00:08:12.323: Se1/1 PPP: Authorization required
*Mar 1 00:08:12.399: Se1/1 PPP: No authorization without authentication
*Mar 1 00:08:12.443: Se1/1 CHAP: I CHALLENGE id 2 len 23 from "R2"
*Mar 1 00:08:12.459: Se1/1 CHAP: Using hostname from interface CHAP
*Mar 1 00:08:12.459: Se1/1 CHAP: Using password from AAA
*Mar 1 00:08:12.463: Se1/1 CHAP: O RESPONSE id 2 len 25 from "ccie"
*Mar 1 00:08:12.495: Se1/1 CHAP: I SUCCESS id 2 len 4
R2
*Mar 1 00:07:38.135: Se1/0 PPP: Authorization required
*Mar 1 00:07:38.175: Se1/0 CHAP: O CHALLENGE id 2 len 23 from "R2"
*Mar 1 00:07:38.207: Se1/0 CHAP: I RESPONSE id 2 len 25 from "ccie"
*Mar 1 00:07:38.215: Se1/0 PPP: Sent CHAP LOGIN Request
*Mar 1 00:07:38.227: Se1/0 PPP: Received LOGIN Response PASS
*Mar 1 00:07:38.235: Se1/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:07:38.239: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:07:38.251: Se1/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:07:38.255: Se1/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:07:38.259: Se1/0 CHAP: O SUCCESS id 2 len 4
*Mar 1 00:07:38.267: Se1/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:07:38.275: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:07:38.295: Se1/0 CDPCP: Received AAA AUTHOR Response PASS
这个就和上面的过程有点区别了,前面还是一样,R1给R2发送的认证请求,然后R2把自己的hostname封装过去在R1找对应的password,这次直接在本地找到了R2这个用户,也就自然找到了密码。这里提示的是AAA,其实是本地数据库的意思。接着R1使用接口配置的用户ccie封装,然后R2在本地找ccie对应的密码,最后哈希匹配,认证成功。
接着我们看看CHAP的双向认证,有人说CHAP本来就是双向认证,其实这是一种不完善的
说法。因为他把CHAP认证的交的过程,当成了一个双向的认证过程,这是不对的。我们来看看下面的配置:
R1
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
encapsulationppp
ppp authentication chap
ppp chap hostname ccie
usernameccnp password 0 ccna
R2
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
encapsulationppp
ppp authentication chap
ppp chap hostname ccnp
usernameccie password 0 ccna
接着看看认证过程:
R1
*Mar 1 00:12:18.251: Se1/1 PPP: Using default call direction
*Mar 1 00:12:18.255: Se1/1 PPP: Treating connection as a dedicated line
*Mar 1 00:12:18.255: Se1/1 PPP: Session handle[B300000F] Session id[17]
*Mar 1 00:12:18.259: Se1/1 PPP: Authorization required
*Mar 1 00:12:18.323: Se1/1 CHAP: O CHALLENGE id 4 len 25 from "ccie"
*Mar 1 00:12:18.347: Se1/1 CHAP: I CHALLENGE id 5 len 25 from "ccnp"
*Mar 1 00:12:18.359: Se1/1 CHAP: Using hostname from interface CHAP
*Mar 1 00:12:18.363: Se1/1 CHAP: Using password from AAA
*Mar 1 00:12:18.363: Se1/1 CHAP: O RESPONSE id 5 len 25 from "ccie" *Mar 1 00:12:18.407: Se1/1 CHAP: I RESPONSE id 4 len 25 from "ccnp" *Mar 1 00:12:18.419: Se1/1 PPP: Sent CHAP LOGIN Request
*Mar 1 00:12:18.427: Se1/1 PPP: Received LOGIN Response PASS
*Mar 1 00:12:18.435: Se1/1 PPP: Sent LCP AUTHOR Request
*Mar 1 00:12:18.439: Se1/1 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:12:18.451: Se1/1 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:12:18.455: Se1/1 IPCP: Received AAA AUTHOR Response PASS *Mar 1 00:12:18.459: Se1/1 CHAP: O SUCCESS id 4 len 4
*Mar 1 00:12:18.515: Se1/1 CHAP: I SUCCESS id 5 len 4
*Mar 1 00:12:18.523: Se1/1 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:12:18.531: Se1/1 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:12:18.547: Se1/1 CDPCP: Received AAA AUTHOR Response PASS
R2
*Mar 1 00:11:30.519: Se1/0 PPP: Authorization required
*Mar 1 00:11:30.559: Se1/0 CHAP: O CHALLENGE id 5 len 25 from "ccnp" *Mar 1 00:11:30.579: Se1/0 CHAP: I CHALLENGE id 4 len 25 from "ccie" *Mar 1 00:11:30.587: Se1/0 CHAP: I RESPONSE id 5 len 25 from "ccie" *Mar 1 00:11:30.599: Se1/0 PPP: Sent CHAP LOGIN Request
*Mar 1 00:11:30.607: Se1/0 CHAP: Using hostname from interface CHAP *Mar 1 00:11:30.611: Se1/0 CHAP: Using password from AAA
*Mar 1 00:11:30.611: Se1/0 CHAP: O RESPONSE id 4 len 25 from "ccnp" *Mar 1 00:11:30.623: Se1/0 PPP: Received LOGIN Response PASS
*Mar 1 00:11:30.631: Se1/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:11:30.639: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:11:30.647: Se1/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:11:30.651: Se1/0 IPCP: Received AAA AUTHOR Response PASS *Mar 1 00:11:30.655: Se1/0 CHAP: O SUCCESS id 5 len 4
*Mar 1 00:11:30.675: Se1/0 CHAP: I SUCCESS id 4 len 4
*Mar 1 00:11:30.683: Se1/0 PPP: Sent CDPCP AUTHOR Request
*Mar 1 00:11:30.691: Se1/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:11:30.739: Se1/0 PPP: Sent IPCP AUTHOR Request
从上面的Debug信息中我们可以可能到有两个认真回话,id 4和id 5。而上面的认证则是一个回话,但是这里有意思的是,虽然是两个认证回话,但是两个回话都使用的是用一个密钥,而且这里也没有办法使用第二个密钥。我们来简单分析一下,首先R1发出认证请求,接着R2把接口下的hostname“ccnp”封装进挑战报文中发送出去,接着R1在本地数据中找ccnp的密钥,然后进行哈希,并把接口下的hostname“ccie”和哈希值送给R2。R2收到以后找到ccie的密码,自己进行哈希,最后对比,认证成功。这是一个单向的完成,同时进行的是R2发送给R1的请求,R1把口下的hostname“ccie”发送给R2,R2找到本地数据库,算出哈希,并把接口下的hostname“ccnp”一起发送给R1,最后R1在本地对比完成认证,这样整个双向认证就结束了。这里因为俩次认证都分别使用了同一个hostname,所以两次的认证密码只能是同一个。
这里我们会发现没有使用接口的password,因为在双向认证中,接口的password是打酱油的。我们来分析一下,假如R1没有本地数据库,而是在接口下使用了password,那么就和上面的单向认证的情况一样,R1发送请求,R2发送接口hostname,R1找本地数据库没有,使用接口的password,并发送接口的hostname,最后R2查找本地数据库,认证成功。感觉没什么问题,那么我们再看看另一边,R2发送认证请求,R1把接口的hostname发送给R2,R2找到本地数据库,并把接口的hostname和哈希一起发送给R1,R1收到后查找本地数据库,没有找到R2发送过来的hostname,这时候R1不会去看接口的password了,作为服务端的它,只会看本地数据库,也就是在这块,认证失败了。我们看看如下配置:
R1
interface Serial1/1
ip address 12.1.1.1 255.255.255.0
encapsulationppp
ppp authentication chap
ppp chap hostname ccie
ppp chap password 0 ccna
R2
interface Serial1/0
ip address 12.1.1.2 255.255.255.0
encapsulationppp
ppp authentication chap
ppp chap hostname ccnp
usernameccie password 0 ccna
R1
*Mar 1 00:25:58.163: Se1/1 PPP: Using default call direction
*Mar 1 00:25:58.167: Se1/1 PPP: Treating connection as a dedicated line
*Mar 1 00:25:58.171: Se1/1 PPP: Session handle[D3000013] Session id[21]
*Mar 1 00:25:58.171: Se1/1 PPP: Authorization required
*Mar 1 00:26:00.183: Se1/1 CHAP: O CHALLENGE id 7 len 25 from "ccie"② R1发送hostname
*Mar 1 00:26:00.215: Se1/1 CHAP: I CHALLENGE id 8 len 25 from "ccnp"
*Mar 1 00:26:00.231: Se1/1 CHAP: Using hostname from interface CHAP
*Mar 1 00:26:00.235: Se1/1 CHAP: Using password from interface CHAP
*Mar 1 00:26:00.235: Se1/1 CHAP: O RESPONSE id 8 len 25 from "ccie"
*Mar 1 00:26:00.255: Se1/1 CHAP: I RESPONSE id 7 len 25 from "ccnp"⑥收到响应,包含R2接口的hostname
*Mar 1 00:26:00.263: Se1/1 PPP: Sent CHAP LOGIN Request
*Mar 1 00:26:00.271: Se1/1 PPP: Received LOGIN Response FAIL⑦查找本地数据库失败,也就得出接受的响应失败
*Mar 1 00:26:00.275: Se1/1 CHAP: O FAILURE id 7 len 25 msg is "Authentication failed"⑧发送认证失败报文
*Mar 1 00:25:07.411: Se1/0 PPP: Authorization required① R2发送请求
*Mar 1 00:25:07.451: Se1/0 CHAP: O CHALLENGE id 8 len 25 from "ccnp"
*Mar 1 00:25:07.455: Se1/0 CHAP: I CHALLENGE id 7 len 25 from "ccie"③ R2收到R1的hostname
*Mar 1 00:25:07.471: Se1/0 CHAP: Using hostname from interface CHAP④使用接口的hostname
*Mar 1 00:25:07.471: Se1/0 CHAP: Using password from AAA
*Mar 1 00:25:07.475: Se1/0 CHAP: O RESPONSE id 7 len 25 from "ccnp"⑤发送响应包,包含接口hostname
*Mar 1 00:25:07.507: Se1/0 CHAP: I RESPONSE id 8 len 25 from "ccie"
*Mar 1 00:25:07.519: Se1/0 PPP: Sent CHAP LOGIN Request
*Mar 1 00:25:07.527: Se1/0 PPP: Received LOGIN Response PASS
*Mar 1 00:25:07.535: Se1/0 PPP: Sent LCP AUTHOR Request
*Mar 1 00:25:07.543: Se1/0 PPP: Sent IPCP AUTHOR Request
*Mar 1 00:25:07.555: Se1/0 LCP: Received AAA AUTHOR Response PASS
*Mar 1 00:25:07.559: Se1/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 1 00:25:07.563: Se1/0 CHAP: O SUCCESS id 8 len 4
*Mar 1 00:25:07.583: Se1/0 CHAP: I FAILURE id 7 len 25 msg is "Authentication failed"⑨收到认证失败报文
从上面认证id 7的过程就可以证明我们的第二步,也就是说,接口的password对于服务端的认证是没有用的。既然两端都是服务端,那么也就是说password在双向认证中没用,作为客户端,也会优先选举本地数据库进行认证。
MPPE
最后要说的就是MPPE了,全称为Microsoft Point-to-Point Encryption Protocol,是微软为点到点链路提供的一种加密方式。我们上面所说的PAP以及CHAP只是对链路的连通性做一个认证,并不对数据加密,而MPPE则是对数据进行加密。而且
MPPE有两种模式Stateful模式和Stateless模式,这两种模式区别在于密钥的交换上。
首先看Stateless模式。MPPE加密后的报文都有一个Coherency Count位,该位用来判断是否有丢包的情况。正常情况下,Coherency Count的数值是递增的,当计数值到达4095(0x0FFF)时被重置为0,如果发现Coherency Count值与上次的Coherency Count值之差不等于1,那么就证明是有丢包的。也就是在这个时候,Stateless会进行一次密钥的更改。也就是说Stateless模式只有在丢包的情况下才会进行密钥的更改。
接着看Stateful模式,Stateful模式每次都会查看Coherency Count值,而且会在Coherency Count计数值的低八位等于FF的时候更换密钥,也就是说,正常情况下255次发包更换一次密钥。如果恰巧这个带有FF的包丢失了,那么路由器会发出CCP(Compression Control Protocol)重置报文,直到对方初始化自己的RC4表,并且自己收到了对方标有FLUSHED的报文,才会继续执行加密过程。而在这个过程中,则有可能造成255个包的连续丢失。而就是说,Stateful模式会进行频繁的更换密钥,而且在更换密钥的时候可能出现严重的丢包。
思科建议在一个有损耗的网络中使用Stateless模式,而且说明Stateful不适用于低损耗网络。
MPPE的加密强度有三种,128位加密、56位加密和40位加密。思科路由器支持三种模式,128、56和auto。加密强度不匹配加密将协商不成功,auto可以和任意强度建立,两个auto 默认协商是128位的强度。如果加了required参数,并且强度不匹配或者没有没有配置MS-Chap,那么链路会协商失败。这里要注意的是ms-chap认证,是MPPE配置的前提,接口UP,并不代表MPPE协商成功,通过show pppmppe命令查看。
MPPE的配置模式有四种,passive、required、stateful和什么都不加各个组合协商出来的结果如下表:
上面这些都是默认的情况,当然我可以在非stateful参数后面加上stateful,用来协商成为stateful模式。
文章来源:西安雷德教育培训中心https://www.doczj.com/doc/b19112254.html,
PPP中的pap和chap认证 写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤:
1.在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下,我们可以看到链路已经down了: R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置: R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证: Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up
实验14.3 PPP之CHAP认证 一、实验需求 (1)路由器串口通过PPP进行地址协商获取IP地址; (2)路由器之间改成CHAP认证,以建立PPP链路。 二、实验拓扑 图1 配置CHAP单向认证实验 三、实验步骤 (1)请根据实验拓扑图,配置各个路由器的主机名(主机名格式:如R1-zhangsan)和接口IP地址,R2的接口IP采用PPP协商获取,请给出R1、R2的配置截图。 与实验14.2配置相同,图略 (2)在R2上查看接口是否获取到IP地址,并观察接口状态,再截图。与实验14.2配置相同,图略 (3)在当前未做认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 与实验14.2配置相同,图略 //能通则正常,反之则不正常。 (4)在R1上配置论证数据库,并在R1的串口启用chap认证,然后在R2的串口配置用于验证的用户名和需要发送的密码,请给出R1和R2的配置截图。
(5)在R1上对PPP链路进行抓包,启动wireshark后,shutdown R1的串口,然后执行undo shutdown命令启用R1的串口,再到wireshark上查看抓到的CHAP包,找出并标识出用于CHAP认证的用户名和密码,最后对包含CHAP认证账号信息的包进行截图。
(6)在当前已做CHAP认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则说明CHAP认证成功,反之则说明PPP链路认证失败。 说明:本实验是CHAP单向认证,如果要作CHAP双向认证,则每个路由器既作为主认证方,又作为被认证方。在本实验的基础上对R2配置AAA认证账户,并在串口下启用CHAP认证;在R1的串口下配置用于认证的账号信息即可。
PPP协议的PAP和CHAP认证 实验人: 实验名称:PPP协议的PAP和CHAP认证 实验目的:掌握PPP协议的PAP和CHAP认证的配置方法 实验原理: PAP认证: 用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向) CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证) 自动协商IP地址: 在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功! 头部压缩: 在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程: PAP单向认证:
PPP安全认证协议 一、安全认证介绍 1、PPP的NCP可以承载多种协议的三层数据包。 2、PPP使用LCP控制多种链路的参数(建立、认证、压缩、回拨) 二、PPP的认证类型 1、PPP的pap认证是通过二次握手建立认证(明文不加密) 2、PPP的chap挑战握手认证协议,通过三次握手建立认证(密文采用MD5加密) 3、PPP的双向验证,采用的是chap的主验证风格 4、PPP的加固验证,采用的是两种(pap,chap)验证同时使用 三、加密算法介绍 1、MD5加密类型:第五版的爆文条目。 采用的两种算法:①Hash算法②摘要算法 2、MD5特点: ①不可逆:通过MD5(摘要算法)计算出来数据后,不能在恢复。 ②雪崩效应:一样的文件如果数据发生损坏,第二次用MD5计算,出来的结果不一样。 ③冲突避免:任意两个文件都用MD5计算,计算的数(hash)值,绝不一样。 ④不管你的数据大小,只要用MD5算出来的,它都是128Bit(16字节) 四、PPP的验证命令(只能在串口上使用): 1、pap认证(不加密) ①username (名字) password (密码) :主验证方上配置用户名和密码 ②int s1/0 :进入串口 ③encapsulation ppp :封装PPP协议 ④ppp authentication pap :配置验证类型为pap ⑤int s1/1 :进入串口(被验证方) ⑥encapsulation ppp :封装PPP协议 ⑦ppp pap sent-username (名字) password (密码) :被验证方发送用户名、密码被验证方向主验证方发送用户名和密码必须是,主验证上配置的用户名和密码。 2、chap认证(MD5加密) ①username (名字) password (密码) :主验证方上配置用户名和密码 ②int s1/0 :进入串口 ③encapsulation ppp :封装PPP协议 ④ppp authentication chap :配置验证类型为chap ⑤int s1/0 :进入串口(被验证方) ⑥encapsulation PPP :封装PPP协议 ⑦ppp chap hostname (名字) :被验证方发送用户名 ⑧ppp chap password (密码) :被验证方发送密码 被验证方向主验证方发送用户名和密码必须是,主验证上配置的用户名和密码。
【实验名称】 PPP PAP认证。 【实验目的】 掌握PPP PAP认证的过程及配置? 【背景描述】 你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,你的客户端路由器与ISP 进行链路协商时要验证身份,配置路由器保证链路建立,并考虑其安全性。 【技术原理】 PPP协议位于OSI七层模型的数据链路层,PPP协议按照功能划分为两个子层:LCP、NCP。LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。NCP主要负责和上层的协议进行协商,为网络层协议提供服务。 PPP的认证功能是指在建立PPP链路的过程中进行密码的验证,验证通过建立连接,验证不通过拆除链路。PPP协议支持两种认证方式PAP和CHAP。PAP(Password Authentication Protocol,密码验证协议)是指验证双方通过两次握手完成验证过程,它是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求,包含了验证的用户名和密码。由验证方验证后做出回复,通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。 【实现功能】 在链路协商时保证安全验证。链路协商时用户名、密码以明文的方式传输。 【实验设备】 R1762(两台)、V.35线缆(1条) 【实验拓扑】 图 23 注:RB为DCE端口。 【实验步骤】 步骤1. 基本配置。 Red-Giant(config)#hostname Ra Ra(config)# interface serial 1/2 Ra(config-if)#ip address 1.1.1.1 255.255.255.0 Ra(config-if)#no shutdown Red-Giant(config)#hostname Rb Rb(config)# interface serial 1/2
PPP封装与验证配置 工作任务描述: 某公司为了顺利开展公司业务,需要公司局域网内部机器访问互联网资源,现向ISP申请DDN专线接入。要求公司端路由器与ISP进行链路协商时要相互验证身份,配置两端路由器保证链路建立,并考虑其安全性。 网络拓扑见下图: 要求配置如下内容: https://www.doczj.com/doc/b19112254.html,er和ISP两个路由器的基本配置。 ●给两个路由器分别命名为User和ISP; ●两个路由器的Serial口和Fastethernet口配置IP地址(每个接口的具体IP地址见上图), 并打开端口; ●为DCE端路由器的Serial口配置时钟频率(Clock Rate )为128K; ●配置两路由器的静态或动态路由。 2.为User和ISP两个路由器封装PPP协议 ●在User路由器的Serial接口模式下封装PPP协议; 如:User (config)#interface serial 0 User (config-if)#encapsulation ppp ●在ISP路由器的Serial接口模式下封装PPP协议; 3.验证PPP配置结果 ●配置PC机中的IP、子网掩码及网关地址,用ping命令验证两PC机的网络连通性;●在User路由器的特权模式下,用debug ppp authentication命令,查看PPP验证过程(模 拟器不显示具体内容)。 ●在User路由器的特权模式下,查看Serial口的封装协议信息。 4. 配置User路由器在ISP路由器上进行单向PAP认证 ●在User路由器上配置,将自己(User)被对方(ISP)认证的用户名和密码经PAP认证
协议发送; 如,User (config-if)#ppp pap sent-username User password 123 注意:用户名区分大小写! ●在ISP路由器上启动PAP验证; (如,ISP (config-if)#PPP authentication PAP) ●在ISP路由器上配置被认证的用户名(User)和密码(123); (如,ISP (config)#username User password 123) ●验证配置。用ping命令验证两PC机的网络连通性。 说明:配置完成后需要先关闭端口,再重新开启后验证才能生效。 5. 配置User与ISP路由器的双向PAP认证 ●参照步骤4配置。在User路由器上认证对方的用户名设置(ISP),密码为456。 ●验证配置。用ping命令验证两PC机的网络连通性。 6.删除PAP认证相关配置,配置CHAP验证,并验证测试。 ●删除PAP认证配置。 (如,(config-if)#no ppp pap sent-username) ( (config-if)#no PPP authentication PAP (config)#no username) ●参照步骤4和步骤5配置CHAP。需要注意,CHAP要求用户名为对方路由器名,而密 码两方必须相同。
配置PPP单向PAP认证协议案例 PPP协议是数据链路层常用的协议,学习计算机网络的初学者,可以通过配置PPP协议练习使用路由器的配置命令,学会在不同的命令模式之间切换,不断提高自己的网络操作技能。 本案例的练习的知识内容包括: 1、学习思科路由器常用命令及命令模式的切换; 2、学习如何PacketTracer模拟器中如何配置简单的PPP协议网络; 3、学会测试配置PPP协议以后网络的运行情况,学习PPP协议的认证过程。 首先,我们复习一下以前学习的内容,出于对网络安全的考虑,各个厂家的路由器的命令模式一般有5种: 第一种为用户模式:开机上电后路由器首先进入的是用户模式,提示符一般是“router>”的提示; 第二种为特权模式:要从用户模式到特权模式,输入enable提示符表现为“router#”; 第三种为全局模式:从特权模式切换到全局配置模式,需要在“router#”后面,输入conft (备注:该命令的全称为configterminal);此时命令行的提示符表现为“router(config)#”; 第四种为端口模式:从全局配置模式切换到接口模式,需要在“router(config)#”下,输入需要配置的接口:intfacef0/1(注:f表示fastEthernet),提示符表现为“router(config-if)#” 第五种为其他模式:包括从特权模式进入VLAN、从全局模式进入路由配置和线路访问接口等等,从全局模式到路由配置模式,输入:routerrip(表示配置rip协议),命令提示符为 “router(config-router)#” 如果从当前的模式退回,多次输入:exit,可以逐层退回到用户模式。也可以输入:end,可以从权限高的级别退回到特权模式,end命令的使用可以方便我们运行ping命令 show命令的使用。 下图就是各个命令模式切换的示意图。 学习PPP-PAP认证协议的配置: PPP支持两种授权协议:PAP和CHAP. (PAP , Password Authentication Protocol)密码协议通过两次握手,一种建立点到点链路的简单方法。 (CHAP , Challenge Handshake Authentication Protocol)使用三次握手机制来启动一条链路和周期性验证远程节点。 PAP认证原理:认证的双方一个是主验证方,一个是被认证方,比如:主认证方为ISP路由
PAP认证:只支持明文,并且通告密码 CHAP认证:支持密文,不通告密码而是通告HASH值。 PAP认证报文类型: Authenticate-Request:用于被验证方发送用户名和密码,Data字段包含明文用户名和密码信息 Authenticate-Ack:用于验证方发送验证成功信息,Data字段可以包含文本提示信息Authenticate-Nak:用于验证方发送验证失败信息,Data字段可以包含文本提示信息 PPPoE报文是使用Ethernet格式进行封装的,Ethernet中各字段解释如下: DMAC:表示目的设备的MAC地址,通常为以太网单播目的地址或者以太网广播地址(0xFFFFFFFF)。 SMAC:表示源设备的以太网MAC地址。 Type:表示协议类型字段,当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。 PPPoE字段中的各个字段解释如下: VER:表示PPPoE版本号,值为0x01。 Type:表示类型,值为0x01。 Code:表示PPPoE报文类型,不同取值标识不同的PPPoE报文类型。 PPPoE会话ID,与以太网SMAC和DMAC一起定义了一个PPPoE会话。 Length:表示PPPoE报文的Payload长度,不包括以太网头部和PPPoE头部的长度。 PADI(PPPoE Active Discovery Initiation)报文:用户主机发起的PPPoE服务器探测报文,目的MAC地址为广播地址。 PADO(PPPoE Active Discovery Offer)报文:PPPoE服务器收到PADI报文之后的回应报文,目的MAC地址为客户端主机的MAC地址。 PADR(PPPoE Active Discovery Request)报文:用户主机收到PPPoE服务器回应的PADO报文后,单播发起的请求报文,目的地址为此用户选定的那个PPPoE服务器的MAC地址。PADS(PPPoE Active Discovery Session Configuration)报文:PPPoE服务器分配一个唯一的会话进程ID,并通过PADS报文发送给主机。 PADT(PPPoE Active Discovery Terminate)报文:当用户或者服务器需要终止会话时,可以发送这种PADT报文。 PPPOE SERVER配置: aaa authentication-scheme default authorization-scheme default accounting-scheme default
PPP验证 1)PAP验证 2次握手,密码以明文方式发送。 i ii)验证方返回验证结果(通过或拒绝)。 2)CHAP验证 3次握手,密码没有明文发送。 i)首先由验证方发送用户名和Challenge ii)接着被验证方将用户名和使用Challenge(随机字符串)MD5 iii)验证方返回验证结果(通过或拒绝) R1使用PAP验证R2 设置R1使用PAP验证对端 R2: int s0/0 在R1上开启debug ppp authentication查看PPP PAP的验证过程,观察到PAP的2次握手(其中I AUTH-REQ表示R1收到来自R2发来PAP 验证消息,而O AUTH-ACK则是R1回应的PAP验证通过消息) R1# *Mar 1 00:01:17.755: Se0/0 PPP: Sent PAP LOGIN Request *Mar 1 00:01:17.759: Se0/0 PPP: Received LOGIN Response PASS *Mar 1 00:01:17.763: Se0/0 PPP: Sent LCP AUTHOR Request *Mar 1 00:01:17.767: Se0/0 PPP: Sent IPCP AUTHOR Request *Mar 1 00:01:17.771: Se0/0 LCP: Received AAA AUTHOR Response PASS R1# *Mar 1 00:01:18.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up R1使用CHAP验证R2 R1: hostname R1 username chap_R2 password chap_pass int s0/0 encapsulation ppp ppp authentication chap 设置R1使用CHAP验证对端 R2: int s0/0 encapsulation ppp ppp chap hostname chap_R2 ppp chap password chap_pass
H3C PPP CHAP 双向认证配置案例组网环境: H3C MSR 路由器两台: RT1-----(10.1.12.1)-----------RT2(10.1.12.2)组网模拟: 利用H3CSE 虚拟实验室完成 组网脚本: [rt1]di cur # version 5.20, Alpha 1011 # sysname rt1 # password-control length 5 password-control login-attempt 3 exceed lock-time 120 # undo voice vlan mac-address 00e0-bb00-0000 # ipsec cpu-backup enable # undo cryptoengine enable # domain default enable system # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # local-user rt1 service-type ppp # interface Ethernet0/1/0 port link-mode route
shutdown ip address 192.168.1.1 255.255.255.0 # interface Serial0/2/0 link-protocol ppp ppp authentication-mode chap ppp chap user rt1 ppp chap password simple rt2123 ip address 10.1.12.1 255.255.255.0 # interface Serial0/2/1 link-protocol ppp # interface Serial0/2/2 link-protocol ppp # interface Serial0/2/3 link-protocol ppp # interface NULL0 # interface Ethernet0/4/0 port link-mode bridge # interface Ethernet0/4/1 port link-mode bridge # interface Ethernet0/4/2 port link-mode bridge # interface Ethernet0/4/3 port link-mode bridge # interface Ethernet0/4/4 port link-mode bridge # interface Ethernet0/4/5 port link-mode bridge # interface Ethernet0/4/6 port link-mode bridge # interface Ethernet0/4/7 port link-mode bridge
实践报告:如图 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#host RA RA(config)#int f0/0 RA(config-if)#ip add 192.168.1.1 255.255.255.0 RA(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up RA(config-if)#int s0/0/0 RA(config-if)#ip add 192.168.2.1 255.255.255.0 RA(config-if)#no shut %LINK-5-CHANGED: Interface Serial0/0/0, changed state to down RA(config-if)#clock rate 64000 RA(config-if)#no shut RA(config-if)# %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
RA> RA> RA>en RA#conf t Enter configuration commands, one per line. End with CNTL/Z. RA(config)#rout RA(config)#router e RA(config)#router eigrp 100 RA(config-router)#net 192.168.1.0 RA(config-router)# RA(config-router)#net 192.168.2.0 RA(config-router)# RA(config-router)#exit RA(config)#user RA(config)#username RB pass cisco RA(config)#int s0/0/0 RB(config-if)#encapsulation ppp RA(config-if)#ppp authentication chap Must set encapsulation to PPP before using PPP subcommands RA(config-if)#exit RA(config)#exit RB> RB>en RB#conf t Enter configuration commands, one per line. End with CNTL/Z. RB(config)#int f0/0 RB(config-if)#ip add 192.168.3.1 255.255.255.0 RB(config-if)#no shut RB(config-if)#int s0/0/1 RB(config-if)#ip add 192.168.4.1 255.255.255.0 RB(config-if)#no shut %LINK-5-CHANGED: Interface Serial0/0/1, changed state to down RB(config-if)#clock rate 64000 RB(config-if)#no shut RB(config-if)#
实验14.2 PPP之PAP认证 一、实验需求 (1)路由器串口通过PPP进行地址协商获取IP地址; (2)路由器之间配置PAP认证,以建立PPP链路; 二、实验拓扑 图1 配置PAP单向认证实验 三、实验步骤 (1)请根据实验拓扑图,配置各个路由器的主机名(主机名格式:如R1-zhangsan)和接口IP地址,R2的接口IP采用PPP协商获取,请给出R1、R2的配置截图。 (2)在R2上查看接口是否获取到IP地址,并观察接口状态,再截图。
(3)在当前未做认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则正常,反之则不正常。 (4)在R1上配置论证数据库,并在R1的串口启用pap认证,然后在R2的串口配置发送的用户名和密码,请给出R1和R2的配置截图。 (5)在R1上对PPP链路进行抓包,启动wireshark后,shutdown R1的串口,然后执行undo shutdown命令启用R1的串口,再到wireshark上
查看抓到的PAP包,找出并标识出用于PAP认证的用户名和密码,最后对包含PAP认证账号信息的包进行截图。
(6)在当前已做PAP认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则说明PAP认证成功,反之则说明PPP链路认证失败。 说明:本实验是PAP单向认证,如果要作PAP双向认证,则每个路由器既作为主认证方,又作为被认证方,在本实验的基础上对R2配置AAA 认证账户,并在串口下启用PAP认证;在R1的串口下发送与R2上认证账户对应的账号信息即可。
实训名称:PPP之PAP认证的配置 一、实训原理 1、点对点协议(PPP) 二、实训目的 1、掌握PPP协议与PAP的基本配置 三、实训内容 对于同步串行接口,我们采用PPP协议和PAP认证,安全可靠。 四、实训步骤: 1、R1路由器配置 2、R2路由器配置 3、PC机IP地址 拓扑图 具体步骤: 1、R1路由器 En Conf
Int f0/0 Ip add 192.168.1.1 255.255.255.0 No shut Int s0/0/0 Ip add 12.1.1.1 255.255.255.0 encapsulation ppp //封装PPP协议 ppp authentication pap //启用PAP认证 ppp pap sent-username R2 password 123 //发送R2上配置的用户名和密码exit username R1 password 123 //配置本地用户名和密码,用于R2发送ip route 192.168.2.0 255.255.255.0 12.1.1.2 2、R2路由器 En Conf Int f0/0 Ip add 192.168.2.1 255.255.255.0 No shut Int s0/0/0 Ip add 12.1.1.2 255.255.255.0 clock rate 9600 encapsulation ppp //封装PPP协议 ppp authentication pap //启用PAP认证 ppp pap sent-username R1 password 123 //发送R1上配置的用户名和密码exit username R2 password 123 //配置本地用户名和密码,用于R1发送ip route 192.168.1.0 255.255.255.0 12.1.1.1 3、给PC机配置IP地址 PC0:192.168.1.2/24,192.168.1.1
实验十五PPP CHAP认证 实验名称 PPP CHAP认证。 实验目的 掌握广域网PPP CHAP认证的过程及配置技术。 实现功能 在链路协商时保证安全验证。链路协商时用户名、密码以密文的方式传输,更安全。实验设备 锐捷R2624路由器2台,网线2根,V.35连接线一对。 实验步骤 1.用2根网线从路由器分别连到2台计算机。 2.连到路由器1,对路由器1进行配置。 3.对路由器1进行基本配置。 configure terminal(进入路由器全局配置模式) hostname Ra(配置路由器的名称) interface serial 1/2(配置串口2地址) ip address 192.168.1.10 255.255.255.0 (设置IP地址) no shutdown(启用该端口) 4.连到路由器2,对路由器2进行配置。 5.对路由器2进行基本配置。 configure terminal(进入路由器全局配置模式) hostname Rb(配置路由器的名称) interface serial 1/3(配置串口3地址) clock rate 64000(配置DCE端时钟频率) ip address 192.168.1.20 255.255.255.0 (设置IP地址) no shutdown(启用该端口) 6.用V.35连接线分别连到两个路由器的串口1,Ra端连DTE头,Rb端DCE头。 7.对Ra进行PPP PAP认证配置。 Username Rb password 0 star(以对方的主机名作为用户名,密码和对方的路由器一致) interface serial 1/2(配置串口2地址) Encapsulation ppp(在接口下封装PPP协议) Ppp authentication chap(PPP启用CHAP方式验证) ra#configure Enter configuration commands, one per line. End with CNTL/Z. ra(config)#us ra(config)#username ra p ra(config)#username ra pa ra(config)#username ra password 0 star ra(config)#in ra(config)#interface s ra(config)#interface serial 1/2 ra(config-if)#en
R1 s0/1 :10.0.0.10 R1 s0/1 : 10.0.0.20 R1的配置: R1 (config)#username benet password 0 pass R1 (config)#inter s0/1 R1 (config-if)#ip add 10.0.0.10 255.0.0.0 R1 (config-if)#encapsulation ppp R1 (config-if)#ppp authentication pap R1 (config-if)#ppp authentication pap R1 (config-if)#no shut R1 (config-if)# R2 的配置; R2 (config)#inter s0/1 R2 (config-if)#ip add 10.0.0.20 255.0.0.0 R2 (config-if)#encapsulation ppp R2 (config-if)#ppp pap sent-username benet password 0 pass R2 (config-if)#no shut 验证 Serial0/1 is up, line protocol is down Hardware is M4T Internet address is 10.0.0.10/8 MTU 1500 bytes, BW 1544 Kbit, DL Y 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Listen, crc 16, loopback not set:
ppp的chap认证完全配置 CHAP认证命令: cisco(config)#interface s0/0 cisco(config-if)#encapsulation ppp cisco(config-if)#ppp authentication chap(该命令只用于认证的服务器端,如做双向认证,则双方都要配置该命令) ============================================================================================== CHAP单向认证:(R1为服务器端,R2为客户端) R1配置: R1(config)#username jsxjs password adminjsxjs R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R2配置: R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp chap hostname jsxjs R2(config-if)#ppp chap password adminjsxjs ============================================================================================= CHAP双向认证:(这里双方的用户名和密码不一样,以示区别双向认证。也可以设置一样的用户名和密码) R1配置: R1(config)#username jsxjs password adminjsxjs R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R1(config-if)#ppp chap hostname jlzz R1(config-if)#ppp chap password adminjlzz R2配置: R2(config)#username jlzz password adminjlzz R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap R2(config-if)#ppp chap hostname jsxjs R2(config-if)#ppp chap password adminjsxjs 说明:在CHAP认证中,也可以在双方设置认证的用户名为对方设备的hostname,并设置相同的密码。这样,就不需要在端口上使用命令ppp chap hostname和ppp chap password。 =============================================================================================
PPP协议及验证机制 PPP协议(Point-to-Point Protocol)是一种数据链路层协议,它是为在同等单元之间传输数据包这样的简单链路而设计的。这种链路提供全双工操作,并按照顺序传递数据包。PPP为基于各种主机、网桥和路由器的简单连接提供一种共通的解决方案。 PPP协议包括以下三个部分: 1.数据帧封装方法。 2.链路控制协议LCP(Link Control Protocol):它用于对封装格式选项的自动协商,建立和终止连接,探测链路错误和配置错误。 3.针对不同网络层协议的一族网络控制协议NCP(Network Control Protocol): PPP协议规定了针对每一种网络层协议都有相应的网络控制协议,并用它们来管理各个协议不同的需求。 PPP协议简介 1. PPP数据帧封装 PPP协议为串行链路上传输的数据报定义了一种封装方法,它基于高层数据链路控制(HDLC)标准。PPP数据帧的格式如图1所示。 PPP帧以标志字符01111110开始和结束,地址字段长度为1字节,内容为标准广播地址11111111,控制字段为00000011。协议字段长度为2个字节,其值代表其后的数据字段所属的网络层协议,如:0x0021代表IP协议,0xC021 代表LCP数据,0x8021代表NCP数据等。数据字段包含协议字段中指定的协议的数据报,长度为0~1500字节。CRC字段为整个帧的循环冗余校验码,用来检测传输中可能出现的数据错误。 即使使用所有的帧头字段,PPP协议帧也只需要8个字节就可以形成封装。如果在低速链路上或者带宽需要付费的情况下,PPP协议允许只使用最基本的字段,将帧头的开销压缩到2或4个字节的长度,这就是所谓的PPP帧头压缩。 2. PPP回话的四个阶段 一次完整的PPP回话过程包括四个阶段: 链路建立阶段、确定链路质量阶段、网络层控制协议阶段和链路终止阶段(如图2所示)。
Pap 认证方: Router>en Router#conf t Router(config)#interface s2/0 Router(config-if)#ip address 192.168.1.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)# Router(config-if)#clock rate 64000 Router(config-if)#encapsulation ppp 封装ppp协议 Router(config-if)#ppp authentication pap 启用认证方式 Router(config-if)#exi Router(config)#username wuwb password 0 123 设置数据库中的用户名wuwb和密码123 Router(config)# 被认证方 Router> Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface s2/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#en Router(config-if)#encapsulation ppp Router(config-if)#ppp pap sent-username wuwb password 0 123 Router(config-if)# 验证方法,把R2或R3上面的s2/0端口shutdown,再次no shutdown时链路使用pap认证,