PPP协议的PAP和CHAP认证

PPP的CHAP认证和PAP认证Chap 和pap 认证有很多种，有单项的，有双向的。

单项chap认证。

(R1作为服务器端)R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication chap \\开启认证，认证方式为chap认证R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建用户R2 ，用于识别认证客户端R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation ppp \\封装PPP协议R2(config-if)#exitR2(config)#username R1 password 0 123456 \\创建用户R1，用于识别想服务器端单项pap 认证。

（R1作为服务器端）R1(config)#interface s4/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#encapsulation ppp \\封装PPP协议R1(config-if)#ppp authentication pap \\开启认证，认证方式为pap (服务器断开启)R1(config-if)#exitR1(config)#username R2 password 0 123456 \\创建的用户为客户端的主机名R2(config)#interface s4/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username R2 password 0 123456 \\定义客户端所要发送的用户名和密码，一般是发送跟自己主机名一样的的用户。

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

点到点协议（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特网工程任务组）推出的点到点类型线路的数据链路层协议。

它解决了SLIP中的问题，并成为正式的因特网标准。

PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。

PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。

PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。

这些丰富的选项增强了PPP的功能。

同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。

因此，应用十分广泛。

下面是我查的关于PPP协议认证的一些知识1。

什么情况我们可以用show cdp nei看到自己直边的邻居呢，邻居的发现对我们在排查问题时很有帮助，我们可以通过我们左右的邻居，来判断是那台设备出现问题，只要我们在接口上把物理端口打开，然后DCE端配上时钟就可以发现邻居。

Router(config-if)#do sh cdp neiCapability Codes: R –Router, T –Trans Bridge, B –Source Route Bridge S – Switch, H – Host, I – IGMP, r – RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID R2 Ser 1/0 159 R 7206VXR Ser 1/0在上图中R2为我们的邻居，本地Ser1/0与R2的Ser1/0相连，R2的设备型号为7206VXR，为Router.Router#debug cdp adjCDP neighbor info debugging is onEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#shRouter(config-if)#*Jan 29 17:06:09.883: CDP-AD: Interface Serial1/0 going down 由于shutdown的原因使的邻居断开*Jan 29 17:06:09.911: CDP-AD: Interface Serial1/0 going down*Jan 29 17:06:11.887: %LINK-5-CHANGED: Interface Serial1/0, changed state to administratively down*Jan 29 17:06:12.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to downRouter(config-if)#no shRouter(config-if)#*Jan 29 17:06:19.055: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:21.015: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Jan 29 17:06:21.019: CDP-AD: Interface Serial1/0 coming up*Jan 29 17:06:22.019: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1/0, changed state to upRouter(config-if)#do debug cdp pa cdp packet informationCDP packet info debugging is onRouter(config-if)#*Jan 29 17:06:56.167: CDP-PA: Packet received from R2 on interface Serial1/0*Jan 29 17:06:56.167: **Entry found in cache***Jan 29 17:06:58.415: CDP-PA: version 2 packet sent out on Serial1/0 2。

pap chap认证详细讲解最近都一直在研究ppp协议和两种认证方式，才发现网上提供的好多的都有错误，而且连书本上同样错，讲的都不详细，今天我就将自已的成果分享出来，供大家学习，如果有什么不懂的地方请留言，我会以最快的速度回复，闲话少说，开始吧。

PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是两次握手，认证首先由被认证方发起认证请求，将自己的用户名和密码以明文的方式发送给主认证方。

然后，主认证方接受请求，并在自己的本地用户数据库里查找是否有对应的条目，如果有就接受请求。

如果没有，就拒绝请求。

这种认证方式是不安全的，很容易引起密码的泄露，但是，相对于CHAP认证方式来说，节省了宝贵的链路带宽。

比如说现在的Internet拨号认证接入方式就是PAP认证。

chap是三次握手，认证首先由主认证方发起认证请求，向被认证方发送“挑战”字符串（一些经过摘要算法加工过的随机序列）。

然后，被认证方接到主认证方的认证请求后，将用户名和密码（这个密码是根据“挑战”字符串进行MD5加密的密码）发回给主认证方。

最后，主认证方接收到回应“挑战”字符串后，在自己的本地用户数据库中查找是否有对应的条目，并将用户名对应的密码根据“挑战”字符串进行MD5加密，然后将加密的结果和被认证方发来的加密结果进行比较。

如果两者相同，则认为认证通过，如果不同则认为认证失败先来讲下pap 认证1、单向认证R1只做如下配置（验证服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR2只做如下配置（验证客户端）在端口模式下进行协议的封装和发送验证信息（对方设置的用户名和密码）R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样就可以完成pap的单向认证2、双向认证（其实做完上面的步骤仔细一想，如果两边既是服务端又是客户端口，这样就是双向认证了，不必看下面的也知道该怎么配双向认证了）R1只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R1(config-if)#encapsulation pppR1(config-if)#ppp authentication papR1(config-if)#ppp pap sent-username b password 456R2只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名和密码随意）R2(config)#username b password 456在端口模式下进行协议的封装、认证方式的指定和发送验证信息（对方设置的用户名和密码）R2(config-if)#encapsulation pppR2(config-if)#ppp pap sent-username a password 123这样即可完成pap的双向认证再来说说chap认证1、单向认证R1只做如下配置（验证服务端）在配置模式下设定用户名和密码（用户名和密码随意）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR2只做如下配置（验证客户端）在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串）R2(config-if)#encapsulation pppR2(config-if)#ppp chap password 123这样就可以完成chap的单向认证2、双向认证(这里和pap有所有同，请注意)R1只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（用户名可随意且可以不同但密码一定相同，因为最终核对的是同一个密码加密后散列函数，如果密码都不同，认证肯定失败）R1(config)#username a password 123在端口模式下进行协议的封装和认证方式的指定R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chapR1(config-if)#ppp chap hostname b //这里只需指定用户名就可以，因为密码双方都知道R2只做如下配置（既是验证服务端又是客户端）在配置模式下设定用户名和密码（同上）R2(config)#username b password 123在端口模式下进行协议的封装和认证时的用户名和密码指定（记住这里不发送用户名和密码，而是发送一个经过加密密码的一个字符串，也可以解释为什么这里没有sent-username命令）R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chapR2(config-if)#ppp chap hostname a //同上这样即可完成chap的双向认证----------------完----------------------。

认证协议介绍一PPP：点对点协议（PPP：Point to Point Protocol）PPP（点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。

这种链路提供全双工操作，并按照顺序传递数据包。

设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。

点对点协议（PPP）为在点对点连接上传输多协议数据包提供了一个标准方法。

PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。

在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议（OSI 模式中的第二层），替代了原来非标准的第二层协议，即SLIP。

除了IP 以外PPP 还可以携带其它协议，包括DECnet和Novell的Internet 网包交换（IPX）。

（1）PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；（2）PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；（3）PPP具有错误检测以及纠错能力，支持数据压缩；（4）PPP具有身份验证功能。

值（A=FFH，C=03H）；协议域（两个字节）取0021H表示IP分组，取8021H表示网络控制数据，取C021H表示链路控制数据；帧校验域（FCS）也为两个字节，它用于对信息域的校验。

若信息域中出现7EH，则转换为（7DH，5EH）两个字符。

当信息域出现7DH时，则转换为（7DH，5DH）。

当信息流中出现ASCII码的控制字符（即小于20H），即在该字符前加入一个7DH字符。

封装：一种封装多协议数据报的方法。

PPP 封装提供了不同网络层协议同时在同一链路传输的多路复用技术。

PPP 封装精心设计，能保持对大多数常用硬件的兼容性，克服了SLIP不足之处的一种多用途、点到点协议，它提供的WAN数据链接封装服务类似于LAN所提供的封闭服务。

所以，PPP不仅仅提供帧定界，而且提供协议标识和位级完整性检查服务。

p p p认证方式a p c h a p认证文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]cisco ppp认证方式（pap、chap认证）一、实验拓扑二、实验要求：1、要求配置ppp协议2、分别用pap、chap认证3、配置总部的路由器给分部的路由器分配ip地址，并且从地址池中分配，4、pc1最终能ping铜pc2三、实验步骤：1、配置各路由器接口的ip地址如图---2、封装ppp协议R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#clock rate 64000R1(config-if)#ip addressR1(config-if)#no shutR2(config)#interface s1/0R2(config-if)#encapsulation pppR2（config-if）#no shutR2(config-if)#clock rate 64000 配置DCE端时钟频率3、配置IP地址池协商，并从地址池中获取R1(config)#interface s1/0R1(config-if)#peer default ip address pool aaaR1(config-if)#ip local pool aaaR2(config)#interface s1/0R2(config-if)#ip address negotiated?查看?s1/0接口的地址R2#show interface s1/0Serial1/0 is up, line protocol is upHardware is M4TInternet address is /32 如果获取不到地址将接 shutdown 然后再no shudownMTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation PPP, LCP OpenOpen: CDPCP, IPCP, crc 16, loopback not setKeepalive set (10 sec)4、启用rip协议并查看路由表R1(config)#router ripR1(config-router)#networkR1(config-router)#network查看路由表R1#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter ar N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-I ia - IS-IS inter area, * - candidate default, U - per-user s o - ODR, P - periodic downloaded static routeGateway of last resort is not setC /24 is directly connected, FastEthernet0/0/24 is variably subnetted, 2 subnets, 2 masksC/32 is directly connected, Serial1/0C/24 is directly connected, Serial1/0R/24 [120/1] via , 00:00:47, Serial1/0R2(config)#router ripR2(config-router)#networkR2(config-router)#networkR2(config-router)#exit?查看路由表?R2#show ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BG D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inN1 - OSPF NSSA external type 1, N2 - OSPF NSSA externaE1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2ia - IS-IS inter area, * - candidate default, U - per-o - ODR, P - periodic downloaded static routeGateway of last resort is not set/32 is subnetted, 2 subnetsCis directly connected, Serial1/0Cis directly connected, Serial1/0C/24 is directly connected, FastEthernet0/05、配置PAP认证R1(config)#username abc password 0 123R1(config)#interface s1/0R1(config-if)#ppp authentication papR2(config)#interface s1/0R2(config-if)#ppp pap sentR2(config-if)#ppp pap sent-username abc password 0 123查看show runinterface Serial1/0ip address negotiatedencapsulation pppserial restart-delay 0clockrate 64000ppp pap sent-username abc password 0 1236、配置chap认证R1(config)#username abc password 0 123 以对方的主机名作为用户名，密码要和对方的路由器一致R1(config)#interface s1/0R1(config-if)#ppp authentication papR1(config-if)#exitR1(config)#username R2 password 0 123R1(config)#interface s1/0R1(config-if)#encapsulation pppR1(config-if)#ppp authentication chap chap 认证R2(config)#username R1 password 0 123 R2(config)#interface s1/0R2(config-if)#encapsulation pppR2#debug pppauthenticationPPP authentication debugging is on验证chap过程?7、 show run查看验证?8、测试结果 pc1 ping通pc2。

PPP中的pap和chap认证写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。

实验等级：Aassistant实验拓扑：实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。

并且既可以进行单向认证也可以进行双向认证。

pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证基本配置：R1：!hostname R1----------------------------------------------------------设置主机名为“R1”!interface Serial1/0ip address 1.1.1.1 255.255.255.0encapsulation ppp-------------------------------------------------设置封装为pppR2：hostname R2!interface Serial1/0ip address 1.1.1.2 255.255.255.0encapsulation ppp通过上面的配置，在没有启用任何认证的情况下，链路是通的。

配置步骤：1.在两台路由器上进行pap认证：如果我们进行单项认证的话配置应该如下R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。

R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下，我们可以看到链路已经down了：R1(config-if)#*Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to downR2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置：R2(config)#int s1/0R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码R2(config-if)#*Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。

Ø广域网概述ØPPP基本概念ØPPP报文格式ØPPP协商阶段ØPPP链路建立过程ØPPP链路认证ØPPP认证配置流程ØPPP认证协议配置命令•广域网通常覆盖很大的地理范围，提供远距离数据通信的网络。

PPP（Point-to-PointProtocol，点到点协议）是一种常见的广域网数据链路层协议，主要用于在全双工的链路上进行点到点的数据传输封装。

•PPP因支持多种网络层协议，无重传机制、支持多种验证方式等特点得到了广泛应用。

•本次任务介绍PPP协议的工作原理及CHAP、PAP认证配置方法。

•广域网通常使用因特网服务提供商提供的设备作为信息传输平台，对网络通信的要求较高。

•常见的广域网通信协议包括点到点协议（PPP）、高级数据链路控制协议（HDLC）等。

•不同的链路可以使用不同的数据链路层协议，每种数据链路层协议都定义了相应的数据链路层封装的帧格式，数据包经过不同的链路，就要封装成对应的帧。

广域网协议对应OSI的三层模型ØPPP是TCP/IP网络中最重要的点到点数据链路层协议，主要用于在全双工的同/异步链路上进行点到点的数据传输。

ØPPP主要由三类协议族组成：•链路控制协议族LCP（Link Control Protocol），主要用来建立、拆除和监控PPP数据链路。

•网络层控制协议族NCP（Network Control Protocol），用来协商在该数据链路上所传输的数据包的格式与类型。

•扩展协议族CHAP（Challenge-Handshake Authentication Protocol）和PAP（Password Authentication Protocol），主要用于网络安全方面的验证。

ØPPP协议相对与其它链路层协议有如下优点：•PPP既支持同步链路又支持异步链路，而X.25、帧中继等数据链路层协议仅支持同步链路，SLIP仅支持异步链路。

实验二十三：PPP协议中的CHAP和PAP验证一、理论基础1. PPP协议PPP协议是在SLIP（Serial Line IP串行线IP协议）的基础上发展起来的。

由于SLIP 协议只支持异步传输方式、无协商过程（尤其不能协商如双方IP地址等网络层属性）等缺陷，在以后的发展过程中，逐步被PPP协议所代替。

人们创建了PPP协议以解决远程互连网的连接问题。

另外，需要采用PPP协议来解决动态分配IP地址以及多协议使用的问题。

PPP 可以在同步和异步电路中提供路由器到路由器以及主机到网络的连接。

PPP是目前使用最普遍、最流行的WAN协议，是一种标准的串行线路封装方式，这种协议在连接建立期间可以检查链路的质量。

2、PPP协议的特点（1）动态分配IP地址（例如拨号上网时）（2）支持多种网络层协议（3）误码检测（4）多链路绑定（Multilink）（5）数据的压缩（6）链路配置以及链路质量测试（7）回叫（Callback）（8）网络能力的协商选项，如：网络层地址协商和数据压缩协商等PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP和CHAP）等。

其中，链路控制协议LCP（Link Control Protocol）：用来协商链路的一些参数，负责创建并维护链路。

网络层控制协议NCP（Network Control Protocol）：用来协商网络层协议的参数。

3、PPP建立一个点到点连接的四个阶段（1）链路的建立和配置协商（2）链路质量确定（3）网络层协议配置协商（4）链路拆除4、 PPP的验证方式PAP验证PAP（Password Authentication Protocol，口令鉴定协议）是一种两次握手验证协议，它在网络上采用明文方式传输用户名和口令。

PAP验证的过程如下：被验证方主动发起验证请求，将本端的用户名和口令发送到验证方；验证方接到被验证方的验证请求后，检查此用户名是否存在以及口令是否正确。