PPP认证使用ppp chap hostname和ppp authentication chap callin命令
前言
PPP协商包括几个步骤例如链路控制协议(LCP)协商,认证和网络控制协议(NCP)协商。如果双方不能对正确的参数达成协议,则连接被终止。一旦链路建立,双方使用在LCP协商期间决定的认证协议互相验证。认证一定是成功的在开始NCP协商之前。
PPP支持二个认证协议:密码验证协议(PAP)和质询握手验证协议(CHAP)。
使用的组件
本文的信息根据以下的软件及硬件版本。
Cisco IOS? 软件版本11.2 以上
背景理论
PAP验证介入用户名和口令在明文横跨链路其中被发送的一只双向握手; 因此,PAP验证不提供任何防护放音和线路探测。
CHAP认证另一方面,使用三方握手周期验证远程节点的身份。在PPP链接建立之后,主机寄发一个"挑战"消息到远程节点。远程节点回应带有使用一个单向散列函数计算的值。主机检查回应其期望的Hash值的自己的计算。如果值配比,认证被承认; 否则,连接被终止。
配置
在此部分,您介绍用信息配置在本文描述的功能。
注意:找到其它信息关于用于本文的命令,使用IOS命令查找工具
配置单向CHAP验证
当二个设备正常使用CHAP认证时,每边派出另一边由挑战者回应和验证的挑战。其中每一支持独立地互相验证。如果想要用不由呼叫路由器或设备支持认证的非Cisco路由器经营,您必须使用 ppp authentication chap callin命令。当使用 ppp authentication命令带有呼入关键字时,接入服务器只将验证远端设备如果远端设备发起呼叫(例如,如果远端设备"调用在 ")。在这种情况下,认证在仅流入的(收到的)呼叫指定。
配置用户名与路由器名字不同
当遥控Cisco路由器接通到Cisco或一个非Cisco的中央路由器不同的管理控制,网络服务提供商(ISP)时,或者轮循中央路由器,配置是与主机名不同的认证用户名是必要的。在此情况,没有提供路由器的主机名也不是不同的在不同的时刻(轮循)。并且,ISP 分配的用户名和口令可能不是远程路由器的主机名。在这样情况,用于 ppp chap hostname命令指定为认证将使用的备选用户名。
例如,考虑多个远程设备其中拨号到一个中心站点的一个情况。使用正常CHAP 认证,是主机名) 在中央路由器必须配置的用户名(每个远端设备和分享秘密。在此方案,中央路由器的配置能获得较和笨重管理; 然而,如果远端设备使用是与他们的主机名不同这的用户名可以避免。中心站点可以用能使用验证广泛拨入客户端的单个用户名和分享秘密配置。
[page]
网络图
如果路由器1发起呼叫到路由器2,路由器2会挑战路由器1,但路由器1不会挑战路由器2。因为 ppp authentication chap callin 命令在路由器1,配置这发生。这是一个单向验证的示例。
在此设置, ppp chap hostname alias-r1命令在路由器1配置。路由器1 使用"alias-r1"作为其主机名为CHAP认证而不是"r1" 。路由器2 拨号映射名字应该匹配路由器1 ppp chap hostname; 否则,二条B信道设立,一个为每个方向。
配置
[page]
配置说明
在此图象之下参见编号为解释:
1.在本例中,路由器1发起呼叫。因为路由器1用 ppp authentication chap
callin命令配置,不质询主叫用户名详细资料,是路由器 2。
2.当路由器2收到呼叫,它挑战路由器1 为认证。默认情况下为此认证,
路由器的主机名用于识别自己。如果配置ppp chap hostname name命
令,路由器在主机名位置使用名字识别自己。在本例中,挑战被标记
当来自"r2"。
3.路由器1在其本地数据库接受路由器2 挑战并且看起来为用户名"r2"。
4.路由器1查找"r2"密码,是"cisco" 。路由器1使用此密码和挑战从路
由器2 MD5 散列函数的输入参数。Hash值生成。
5.路由器1寄发Hash输出值到路由器2。这里,因为 ppp chap hostname
命令配置作为"alias-r1",回复被标记如来自"alias-r1"。
6.路由器2在其本地数据库收到回复并且寻找 "alias-r1"用户名为密码。
7.路由器2 发现密码为"alias-r1"是"cisco"。路由器2为MD5散列函数
使用密码和挑战及早被派出到路由器1输入参数。散列函数生成一个
Hash值。
8.生成的路由器2比较 Hash值并且那个从路由器1接受。
9.因为输入参数(挑战和密码)是相同的,Hash值是同样造成一个成功的
验证。
验证
当前没有验证程序可用为此配置。
排除故障
此部分提供您能使用排除您的配置故障的信息。
在尝试其中任一之前debug命令,请参阅重要信息关于Debug 命令
示例调试输出
以下示例输出从 debug ppp authentication命令:
路由器1
r1#ping 20.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.2, timeout is 2 seconds: *Mar 1 20:06:27.179: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
*Mar 1 20:06:27.183: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5772222
*Mar 1 20:06:27.187: BR0/0:1 PPP: Treating connection as a callout *Mar 1 20:06:27.223: BR0/0:1 CHAP: I CHALLENGE id 57 len 23 from "r2"
! -- Received a CHAP challenge from other router (r2)
*Mar 1 20:06:27.223: BR0/0:1 CHAP: Using alternate hostname alias-r1
! -- Using alternate hostname configured with ppp chap hostname command
*Mar 1 20:06:27.223: BR0/0:1 CHAP: O RESPONSE id 57 Len 29 from "alias-r1"
! -- Sending response from "alias-r1" which is the alternate hostname for r1
*Mar 1 20:06:27.243: BR0/0:1 CHAP: I SUCCESS id 57 Len 4
! -- Received CHAP authentication is successful
! -- Note that r1 is not challenging r2
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 36/38/40 ms r1#
*Mar 1 20:06:28.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
changed state to up
r1#
*Mar 1 20:06:33.187: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected
to 5772222 r2
路由器2
r2#
20:05:20: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up 20:05:20: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111
20:05:20: BR0/0:1 PPP: Treating connection as a callin
20:05:21: BR0/0:1 CHAP: O CHALLENGE id 57 Len 23 from "r2"
! -- r2 is sending out a challenge
20:05:21: BR0/0:1 CHAP: I RESPONSE id 57 Len 29 from "alias-r1"
! -- Received a response from alias-r1, which is the alternate hostname on r1
20:05:21: BR0/0:1 CHAP: O SUCCESS id 57 Len 4
! -- Sending out CHAP authentication is successful
20:05:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to up
20:05:26: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 5771111 alias-r1
PPP中的pap和chap认证 写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤:
1.在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下,我们可以看到链路已经down了: R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置: R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证: Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up
实验14.3 PPP之CHAP认证 一、实验需求 (1)路由器串口通过PPP进行地址协商获取IP地址; (2)路由器之间改成CHAP认证,以建立PPP链路。 二、实验拓扑 图1 配置CHAP单向认证实验 三、实验步骤 (1)请根据实验拓扑图,配置各个路由器的主机名(主机名格式:如R1-zhangsan)和接口IP地址,R2的接口IP采用PPP协商获取,请给出R1、R2的配置截图。 与实验14.2配置相同,图略 (2)在R2上查看接口是否获取到IP地址,并观察接口状态,再截图。与实验14.2配置相同,图略 (3)在当前未做认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 与实验14.2配置相同,图略 //能通则正常,反之则不正常。 (4)在R1上配置论证数据库,并在R1的串口启用chap认证,然后在R2的串口配置用于验证的用户名和需要发送的密码,请给出R1和R2的配置截图。
(5)在R1上对PPP链路进行抓包,启动wireshark后,shutdown R1的串口,然后执行undo shutdown命令启用R1的串口,再到wireshark上查看抓到的CHAP包,找出并标识出用于CHAP认证的用户名和密码,最后对包含CHAP认证账号信息的包进行截图。
(6)在当前已做CHAP认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则说明CHAP认证成功,反之则说明PPP链路认证失败。 说明:本实验是CHAP单向认证,如果要作CHAP双向认证,则每个路由器既作为主认证方,又作为被认证方。在本实验的基础上对R2配置AAA认证账户,并在串口下启用CHAP认证;在R1的串口下配置用于认证的账号信息即可。
PPP协议的PAP和CHAP认证 实验人: 实验名称:PPP协议的PAP和CHAP认证 实验目的:掌握PPP协议的PAP和CHAP认证的配置方法 实验原理: PAP认证: 用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向) CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证) 自动协商IP地址: 在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功! 头部压缩: 在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程: PAP单向认证:
PPP安全认证协议 一、安全认证介绍 1、PPP的NCP可以承载多种协议的三层数据包。 2、PPP使用LCP控制多种链路的参数(建立、认证、压缩、回拨) 二、PPP的认证类型 1、PPP的pap认证是通过二次握手建立认证(明文不加密) 2、PPP的chap挑战握手认证协议,通过三次握手建立认证(密文采用MD5加密) 3、PPP的双向验证,采用的是chap的主验证风格 4、PPP的加固验证,采用的是两种(pap,chap)验证同时使用 三、加密算法介绍 1、MD5加密类型:第五版的爆文条目。 采用的两种算法:①Hash算法②摘要算法 2、MD5特点: ①不可逆:通过MD5(摘要算法)计算出来数据后,不能在恢复。 ②雪崩效应:一样的文件如果数据发生损坏,第二次用MD5计算,出来的结果不一样。 ③冲突避免:任意两个文件都用MD5计算,计算的数(hash)值,绝不一样。 ④不管你的数据大小,只要用MD5算出来的,它都是128Bit(16字节) 四、PPP的验证命令(只能在串口上使用): 1、pap认证(不加密) ①username (名字) password (密码) :主验证方上配置用户名和密码 ②int s1/0 :进入串口 ③encapsulation ppp :封装PPP协议 ④ppp authentication pap :配置验证类型为pap ⑤int s1/1 :进入串口(被验证方) ⑥encapsulation ppp :封装PPP协议 ⑦ppp pap sent-username (名字) password (密码) :被验证方发送用户名、密码被验证方向主验证方发送用户名和密码必须是,主验证上配置的用户名和密码。 2、chap认证(MD5加密) ①username (名字) password (密码) :主验证方上配置用户名和密码 ②int s1/0 :进入串口 ③encapsulation ppp :封装PPP协议 ④ppp authentication chap :配置验证类型为chap ⑤int s1/0 :进入串口(被验证方) ⑥encapsulation PPP :封装PPP协议 ⑦ppp chap hostname (名字) :被验证方发送用户名 ⑧ppp chap password (密码) :被验证方发送密码 被验证方向主验证方发送用户名和密码必须是,主验证上配置的用户名和密码。
【实验名称】 PPP PAP认证。 【实验目的】 掌握PPP PAP认证的过程及配置? 【背景描述】 你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,你的客户端路由器与ISP 进行链路协商时要验证身份,配置路由器保证链路建立,并考虑其安全性。 【技术原理】 PPP协议位于OSI七层模型的数据链路层,PPP协议按照功能划分为两个子层:LCP、NCP。LCP主要负责链路的协商、建立、回拨、认证、数据的压缩、多链路捆绑等功能。NCP主要负责和上层的协议进行协商,为网络层协议提供服务。 PPP的认证功能是指在建立PPP链路的过程中进行密码的验证,验证通过建立连接,验证不通过拆除链路。PPP协议支持两种认证方式PAP和CHAP。PAP(Password Authentication Protocol,密码验证协议)是指验证双方通过两次握手完成验证过程,它是一种用于对试图登录到点对点协议服务器上的用户进行身份验证的方法。由被验证方主动发出验证请求,包含了验证的用户名和密码。由验证方验证后做出回复,通过验证或验证失败。在验证过程中用户名和密码以明文的方式在链路上传输。 【实现功能】 在链路协商时保证安全验证。链路协商时用户名、密码以明文的方式传输。 【实验设备】 R1762(两台)、V.35线缆(1条) 【实验拓扑】 图 23 注:RB为DCE端口。 【实验步骤】 步骤1. 基本配置。 Red-Giant(config)#hostname Ra Ra(config)# interface serial 1/2 Ra(config-if)#ip address 1.1.1.1 255.255.255.0 Ra(config-if)#no shutdown Red-Giant(config)#hostname Rb Rb(config)# interface serial 1/2
PPP封装与验证配置 工作任务描述: 某公司为了顺利开展公司业务,需要公司局域网内部机器访问互联网资源,现向ISP申请DDN专线接入。要求公司端路由器与ISP进行链路协商时要相互验证身份,配置两端路由器保证链路建立,并考虑其安全性。 网络拓扑见下图: 要求配置如下内容: https://www.doczj.com/doc/cb17618387.html,er和ISP两个路由器的基本配置。 ●给两个路由器分别命名为User和ISP; ●两个路由器的Serial口和Fastethernet口配置IP地址(每个接口的具体IP地址见上图), 并打开端口; ●为DCE端路由器的Serial口配置时钟频率(Clock Rate )为128K; ●配置两路由器的静态或动态路由。 2.为User和ISP两个路由器封装PPP协议 ●在User路由器的Serial接口模式下封装PPP协议; 如:User (config)#interface serial 0 User (config-if)#encapsulation ppp ●在ISP路由器的Serial接口模式下封装PPP协议; 3.验证PPP配置结果 ●配置PC机中的IP、子网掩码及网关地址,用ping命令验证两PC机的网络连通性;●在User路由器的特权模式下,用debug ppp authentication命令,查看PPP验证过程(模 拟器不显示具体内容)。 ●在User路由器的特权模式下,查看Serial口的封装协议信息。 4. 配置User路由器在ISP路由器上进行单向PAP认证 ●在User路由器上配置,将自己(User)被对方(ISP)认证的用户名和密码经PAP认证
协议发送; 如,User (config-if)#ppp pap sent-username User password 123 注意:用户名区分大小写! ●在ISP路由器上启动PAP验证; (如,ISP (config-if)#PPP authentication PAP) ●在ISP路由器上配置被认证的用户名(User)和密码(123); (如,ISP (config)#username User password 123) ●验证配置。用ping命令验证两PC机的网络连通性。 说明:配置完成后需要先关闭端口,再重新开启后验证才能生效。 5. 配置User与ISP路由器的双向PAP认证 ●参照步骤4配置。在User路由器上认证对方的用户名设置(ISP),密码为456。 ●验证配置。用ping命令验证两PC机的网络连通性。 6.删除PAP认证相关配置,配置CHAP验证,并验证测试。 ●删除PAP认证配置。 (如,(config-if)#no ppp pap sent-username) ( (config-if)#no PPP authentication PAP (config)#no username) ●参照步骤4和步骤5配置CHAP。需要注意,CHAP要求用户名为对方路由器名,而密 码两方必须相同。
配置PPP单向PAP认证协议案例 PPP协议是数据链路层常用的协议,学习计算机网络的初学者,可以通过配置PPP协议练习使用路由器的配置命令,学会在不同的命令模式之间切换,不断提高自己的网络操作技能。 本案例的练习的知识内容包括: 1、学习思科路由器常用命令及命令模式的切换; 2、学习如何PacketTracer模拟器中如何配置简单的PPP协议网络; 3、学会测试配置PPP协议以后网络的运行情况,学习PPP协议的认证过程。 首先,我们复习一下以前学习的内容,出于对网络安全的考虑,各个厂家的路由器的命令模式一般有5种: 第一种为用户模式:开机上电后路由器首先进入的是用户模式,提示符一般是“router>”的提示; 第二种为特权模式:要从用户模式到特权模式,输入enable提示符表现为“router#”; 第三种为全局模式:从特权模式切换到全局配置模式,需要在“router#”后面,输入conft (备注:该命令的全称为configterminal);此时命令行的提示符表现为“router(config)#”; 第四种为端口模式:从全局配置模式切换到接口模式,需要在“router(config)#”下,输入需要配置的接口:intfacef0/1(注:f表示fastEthernet),提示符表现为“router(config-if)#” 第五种为其他模式:包括从特权模式进入VLAN、从全局模式进入路由配置和线路访问接口等等,从全局模式到路由配置模式,输入:routerrip(表示配置rip协议),命令提示符为 “router(config-router)#” 如果从当前的模式退回,多次输入:exit,可以逐层退回到用户模式。也可以输入:end,可以从权限高的级别退回到特权模式,end命令的使用可以方便我们运行ping命令 show命令的使用。 下图就是各个命令模式切换的示意图。 学习PPP-PAP认证协议的配置: PPP支持两种授权协议:PAP和CHAP. (PAP , Password Authentication Protocol)密码协议通过两次握手,一种建立点到点链路的简单方法。 (CHAP , Challenge Handshake Authentication Protocol)使用三次握手机制来启动一条链路和周期性验证远程节点。 PAP认证原理:认证的双方一个是主验证方,一个是被认证方,比如:主认证方为ISP路由
PAP认证:只支持明文,并且通告密码 CHAP认证:支持密文,不通告密码而是通告HASH值。 PAP认证报文类型: Authenticate-Request:用于被验证方发送用户名和密码,Data字段包含明文用户名和密码信息 Authenticate-Ack:用于验证方发送验证成功信息,Data字段可以包含文本提示信息Authenticate-Nak:用于验证方发送验证失败信息,Data字段可以包含文本提示信息 PPPoE报文是使用Ethernet格式进行封装的,Ethernet中各字段解释如下: DMAC:表示目的设备的MAC地址,通常为以太网单播目的地址或者以太网广播地址(0xFFFFFFFF)。 SMAC:表示源设备的以太网MAC地址。 Type:表示协议类型字段,当值为0x8863时表示承载的是PPPoE发现阶段的报文。当值为0x8864时表示承载的是PPPoE会话阶段的报文。 PPPoE字段中的各个字段解释如下: VER:表示PPPoE版本号,值为0x01。 Type:表示类型,值为0x01。 Code:表示PPPoE报文类型,不同取值标识不同的PPPoE报文类型。 PPPoE会话ID,与以太网SMAC和DMAC一起定义了一个PPPoE会话。 Length:表示PPPoE报文的Payload长度,不包括以太网头部和PPPoE头部的长度。 PADI(PPPoE Active Discovery Initiation)报文:用户主机发起的PPPoE服务器探测报文,目的MAC地址为广播地址。 PADO(PPPoE Active Discovery Offer)报文:PPPoE服务器收到PADI报文之后的回应报文,目的MAC地址为客户端主机的MAC地址。 PADR(PPPoE Active Discovery Request)报文:用户主机收到PPPoE服务器回应的PADO报文后,单播发起的请求报文,目的地址为此用户选定的那个PPPoE服务器的MAC地址。PADS(PPPoE Active Discovery Session Configuration)报文:PPPoE服务器分配一个唯一的会话进程ID,并通过PADS报文发送给主机。 PADT(PPPoE Active Discovery Terminate)报文:当用户或者服务器需要终止会话时,可以发送这种PADT报文。 PPPOE SERVER配置: aaa authentication-scheme default authorization-scheme default accounting-scheme default
PPP验证 1)PAP验证 2次握手,密码以明文方式发送。 i ii)验证方返回验证结果(通过或拒绝)。 2)CHAP验证 3次握手,密码没有明文发送。 i)首先由验证方发送用户名和Challenge ii)接着被验证方将用户名和使用Challenge(随机字符串)MD5 iii)验证方返回验证结果(通过或拒绝) R1使用PAP验证R2 设置R1使用PAP验证对端 R2: int s0/0 在R1上开启debug ppp authentication查看PPP PAP的验证过程,观察到PAP的2次握手(其中I AUTH-REQ表示R1收到来自R2发来PAP 验证消息,而O AUTH-ACK则是R1回应的PAP验证通过消息) R1# *Mar 1 00:01:17.755: Se0/0 PPP: Sent PAP LOGIN Request *Mar 1 00:01:17.759: Se0/0 PPP: Received LOGIN Response PASS *Mar 1 00:01:17.763: Se0/0 PPP: Sent LCP AUTHOR Request *Mar 1 00:01:17.767: Se0/0 PPP: Sent IPCP AUTHOR Request *Mar 1 00:01:17.771: Se0/0 LCP: Received AAA AUTHOR Response PASS R1# *Mar 1 00:01:18.775: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up R1使用CHAP验证R2 R1: hostname R1 username chap_R2 password chap_pass int s0/0 encapsulation ppp ppp authentication chap 设置R1使用CHAP验证对端 R2: int s0/0 encapsulation ppp ppp chap hostname chap_R2 ppp chap password chap_pass
H3C PPP CHAP 双向认证配置案例组网环境: H3C MSR 路由器两台: RT1-----(10.1.12.1)-----------RT2(10.1.12.2)组网模拟: 利用H3CSE 虚拟实验室完成 组网脚本: [rt1]di cur # version 5.20, Alpha 1011 # sysname rt1 # password-control length 5 password-control login-attempt 3 exceed lock-time 120 # undo voice vlan mac-address 00e0-bb00-0000 # ipsec cpu-backup enable # undo cryptoengine enable # domain default enable system # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # local-user rt1 service-type ppp # interface Ethernet0/1/0 port link-mode route
shutdown ip address 192.168.1.1 255.255.255.0 # interface Serial0/2/0 link-protocol ppp ppp authentication-mode chap ppp chap user rt1 ppp chap password simple rt2123 ip address 10.1.12.1 255.255.255.0 # interface Serial0/2/1 link-protocol ppp # interface Serial0/2/2 link-protocol ppp # interface Serial0/2/3 link-protocol ppp # interface NULL0 # interface Ethernet0/4/0 port link-mode bridge # interface Ethernet0/4/1 port link-mode bridge # interface Ethernet0/4/2 port link-mode bridge # interface Ethernet0/4/3 port link-mode bridge # interface Ethernet0/4/4 port link-mode bridge # interface Ethernet0/4/5 port link-mode bridge # interface Ethernet0/4/6 port link-mode bridge # interface Ethernet0/4/7 port link-mode bridge
实践报告:如图 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#host RA RA(config)#int f0/0 RA(config-if)#ip add 192.168.1.1 255.255.255.0 RA(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up RA(config-if)#int s0/0/0 RA(config-if)#ip add 192.168.2.1 255.255.255.0 RA(config-if)#no shut %LINK-5-CHANGED: Interface Serial0/0/0, changed state to down RA(config-if)#clock rate 64000 RA(config-if)#no shut RA(config-if)# %LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
RA> RA> RA>en RA#conf t Enter configuration commands, one per line. End with CNTL/Z. RA(config)#rout RA(config)#router e RA(config)#router eigrp 100 RA(config-router)#net 192.168.1.0 RA(config-router)# RA(config-router)#net 192.168.2.0 RA(config-router)# RA(config-router)#exit RA(config)#user RA(config)#username RB pass cisco RA(config)#int s0/0/0 RB(config-if)#encapsulation ppp RA(config-if)#ppp authentication chap Must set encapsulation to PPP before using PPP subcommands RA(config-if)#exit RA(config)#exit RB> RB>en RB#conf t Enter configuration commands, one per line. End with CNTL/Z. RB(config)#int f0/0 RB(config-if)#ip add 192.168.3.1 255.255.255.0 RB(config-if)#no shut RB(config-if)#int s0/0/1 RB(config-if)#ip add 192.168.4.1 255.255.255.0 RB(config-if)#no shut %LINK-5-CHANGED: Interface Serial0/0/1, changed state to down RB(config-if)#clock rate 64000 RB(config-if)#no shut RB(config-if)#
实验14.2 PPP之PAP认证 一、实验需求 (1)路由器串口通过PPP进行地址协商获取IP地址; (2)路由器之间配置PAP认证,以建立PPP链路; 二、实验拓扑 图1 配置PAP单向认证实验 三、实验步骤 (1)请根据实验拓扑图,配置各个路由器的主机名(主机名格式:如R1-zhangsan)和接口IP地址,R2的接口IP采用PPP协商获取,请给出R1、R2的配置截图。 (2)在R2上查看接口是否获取到IP地址,并观察接口状态,再截图。
(3)在当前未做认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则正常,反之则不正常。 (4)在R1上配置论证数据库,并在R1的串口启用pap认证,然后在R2的串口配置发送的用户名和密码,请给出R1和R2的配置截图。 (5)在R1上对PPP链路进行抓包,启动wireshark后,shutdown R1的串口,然后执行undo shutdown命令启用R1的串口,再到wireshark上
查看抓到的PAP包,找出并标识出用于PAP认证的用户名和密码,最后对包含PAP认证账号信息的包进行截图。
(6)在当前已做PAP认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则说明PAP认证成功,反之则说明PPP链路认证失败。 说明:本实验是PAP单向认证,如果要作PAP双向认证,则每个路由器既作为主认证方,又作为被认证方,在本实验的基础上对R2配置AAA 认证账户,并在串口下启用PAP认证;在R1的串口下发送与R2上认证账户对应的账号信息即可。
实训名称:PPP之PAP认证的配置 一、实训原理 1、点对点协议(PPP) 二、实训目的 1、掌握PPP协议与PAP的基本配置 三、实训内容 对于同步串行接口,我们采用PPP协议和PAP认证,安全可靠。 四、实训步骤: 1、R1路由器配置 2、R2路由器配置 3、PC机IP地址 拓扑图 具体步骤: 1、R1路由器 En Conf
Int f0/0 Ip add 192.168.1.1 255.255.255.0 No shut Int s0/0/0 Ip add 12.1.1.1 255.255.255.0 encapsulation ppp //封装PPP协议 ppp authentication pap //启用PAP认证 ppp pap sent-username R2 password 123 //发送R2上配置的用户名和密码exit username R1 password 123 //配置本地用户名和密码,用于R2发送ip route 192.168.2.0 255.255.255.0 12.1.1.2 2、R2路由器 En Conf Int f0/0 Ip add 192.168.2.1 255.255.255.0 No shut Int s0/0/0 Ip add 12.1.1.2 255.255.255.0 clock rate 9600 encapsulation ppp //封装PPP协议 ppp authentication pap //启用PAP认证 ppp pap sent-username R1 password 123 //发送R1上配置的用户名和密码exit username R2 password 123 //配置本地用户名和密码,用于R1发送ip route 192.168.1.0 255.255.255.0 12.1.1.1 3、给PC机配置IP地址 PC0:192.168.1.2/24,192.168.1.1
实验十五PPP CHAP认证 实验名称 PPP CHAP认证。 实验目的 掌握广域网PPP CHAP认证的过程及配置技术。 实现功能 在链路协商时保证安全验证。链路协商时用户名、密码以密文的方式传输,更安全。实验设备 锐捷R2624路由器2台,网线2根,V.35连接线一对。 实验步骤 1.用2根网线从路由器分别连到2台计算机。 2.连到路由器1,对路由器1进行配置。 3.对路由器1进行基本配置。 configure terminal(进入路由器全局配置模式) hostname Ra(配置路由器的名称) interface serial 1/2(配置串口2地址) ip address 192.168.1.10 255.255.255.0 (设置IP地址) no shutdown(启用该端口) 4.连到路由器2,对路由器2进行配置。 5.对路由器2进行基本配置。 configure terminal(进入路由器全局配置模式) hostname Rb(配置路由器的名称) interface serial 1/3(配置串口3地址) clock rate 64000(配置DCE端时钟频率) ip address 192.168.1.20 255.255.255.0 (设置IP地址) no shutdown(启用该端口) 6.用V.35连接线分别连到两个路由器的串口1,Ra端连DTE头,Rb端DCE头。 7.对Ra进行PPP PAP认证配置。 Username Rb password 0 star(以对方的主机名作为用户名,密码和对方的路由器一致) interface serial 1/2(配置串口2地址) Encapsulation ppp(在接口下封装PPP协议) Ppp authentication chap(PPP启用CHAP方式验证) ra#configure Enter configuration commands, one per line. End with CNTL/Z. ra(config)#us ra(config)#username ra p ra(config)#username ra pa ra(config)#username ra password 0 star ra(config)#in ra(config)#interface s ra(config)#interface serial 1/2 ra(config-if)#en
R1 s0/1 :10.0.0.10 R1 s0/1 : 10.0.0.20 R1的配置: R1 (config)#username benet password 0 pass R1 (config)#inter s0/1 R1 (config-if)#ip add 10.0.0.10 255.0.0.0 R1 (config-if)#encapsulation ppp R1 (config-if)#ppp authentication pap R1 (config-if)#ppp authentication pap R1 (config-if)#no shut R1 (config-if)# R2 的配置; R2 (config)#inter s0/1 R2 (config-if)#ip add 10.0.0.20 255.0.0.0 R2 (config-if)#encapsulation ppp R2 (config-if)#ppp pap sent-username benet password 0 pass R2 (config-if)#no shut 验证 Serial0/1 is up, line protocol is down Hardware is M4T Internet address is 10.0.0.10/8 MTU 1500 bytes, BW 1544 Kbit, DL Y 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Listen, crc 16, loopback not set:
ppp的chap认证完全配置 CHAP认证命令: cisco(config)#interface s0/0 cisco(config-if)#encapsulation ppp cisco(config-if)#ppp authentication chap(该命令只用于认证的服务器端,如做双向认证,则双方都要配置该命令) ============================================================================================== CHAP单向认证:(R1为服务器端,R2为客户端) R1配置: R1(config)#username jsxjs password adminjsxjs R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R2配置: R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp chap hostname jsxjs R2(config-if)#ppp chap password adminjsxjs ============================================================================================= CHAP双向认证:(这里双方的用户名和密码不一样,以示区别双向认证。也可以设置一样的用户名和密码) R1配置: R1(config)#username jsxjs password adminjsxjs R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R1(config-if)#ppp chap hostname jlzz R1(config-if)#ppp chap password adminjlzz R2配置: R2(config)#username jlzz password adminjlzz R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap R2(config-if)#ppp chap hostname jsxjs R2(config-if)#ppp chap password adminjsxjs 说明:在CHAP认证中,也可以在双方设置认证的用户名为对方设备的hostname,并设置相同的密码。这样,就不需要在端口上使用命令ppp chap hostname和ppp chap password。 =============================================================================================
PPP协议及验证机制 PPP协议(Point-to-Point Protocol)是一种数据链路层协议,它是为在同等单元之间传输数据包这样的简单链路而设计的。这种链路提供全双工操作,并按照顺序传递数据包。PPP为基于各种主机、网桥和路由器的简单连接提供一种共通的解决方案。 PPP协议包括以下三个部分: 1.数据帧封装方法。 2.链路控制协议LCP(Link Control Protocol):它用于对封装格式选项的自动协商,建立和终止连接,探测链路错误和配置错误。 3.针对不同网络层协议的一族网络控制协议NCP(Network Control Protocol): PPP协议规定了针对每一种网络层协议都有相应的网络控制协议,并用它们来管理各个协议不同的需求。 PPP协议简介 1. PPP数据帧封装 PPP协议为串行链路上传输的数据报定义了一种封装方法,它基于高层数据链路控制(HDLC)标准。PPP数据帧的格式如图1所示。 PPP帧以标志字符01111110开始和结束,地址字段长度为1字节,内容为标准广播地址11111111,控制字段为00000011。协议字段长度为2个字节,其值代表其后的数据字段所属的网络层协议,如:0x0021代表IP协议,0xC021 代表LCP数据,0x8021代表NCP数据等。数据字段包含协议字段中指定的协议的数据报,长度为0~1500字节。CRC字段为整个帧的循环冗余校验码,用来检测传输中可能出现的数据错误。 即使使用所有的帧头字段,PPP协议帧也只需要8个字节就可以形成封装。如果在低速链路上或者带宽需要付费的情况下,PPP协议允许只使用最基本的字段,将帧头的开销压缩到2或4个字节的长度,这就是所谓的PPP帧头压缩。 2. PPP回话的四个阶段 一次完整的PPP回话过程包括四个阶段: 链路建立阶段、确定链路质量阶段、网络层控制协议阶段和链路终止阶段(如图2所示)。
Pap 认证方: Router>en Router#conf t Router(config)#interface s2/0 Router(config-if)#ip address 192.168.1.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)# Router(config-if)#clock rate 64000 Router(config-if)#encapsulation ppp 封装ppp协议 Router(config-if)#ppp authentication pap 启用认证方式 Router(config-if)#exi Router(config)#username wuwb password 0 123 设置数据库中的用户名wuwb和密码123 Router(config)# 被认证方 Router> Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface s2/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#en Router(config-if)#encapsulation ppp Router(config-if)#ppp pap sent-username wuwb password 0 123 Router(config-if)# 验证方法,把R2或R3上面的s2/0端口shutdown,再次no shutdown时链路使用pap认证,