編號:300202-08-01
PPP和CHAP認證的配置
一. 實驗原理
1 PPP
點到點協議(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特網工程任務組)推出的點到點類型線路的數據鏈路層協議。它解決了SLIP中的問題,併成爲正式的因特網標準。
PPP支持在各種物理類型的點到點串行線路上傳輸上層協議報文。PPP有很多豐富的可選特性,如支持多協議、提供可選的身份認證服務、可以以各種方式壓縮數據、支持動態地址協商、支持多鏈路捆綁等等。這些豐富的選項增強了PPP的功能。同時,不論是異步撥號線路還是路由器之間的同步鏈路均可使用。因此,應用十分廣泛。
2 CHAP原理
PPP提供了兩種可選的身份認證方法:口令驗證協議PAP(Password Authentication Protocol,PAP)和質詢握手協議(Challenge Handshake Authentication Protocol,CHAP)。如果雙方協商達成一致,也可以不使用任何身份認證方法。
CHAP認證比PAP認證更安全,因爲CHAP不在線路上發送明文密碼,而是發送經過摘要算法加工過的隨機序列,也被稱爲"挑戰字符串".如圖1所示。同時,身份認證可以隨時進行,包括在雙方正常通信過程中。因此,非法用戶就算截獲併成功破解了一次密碼,此密碼也將在一段時間內失效
二. 實驗內容:
在cisco路由器配置ppp的命令
在cisco路由器配置PAP認證的命令
在cisco路由器配置CHAP認證的命令
點到點協議(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特網工程任務組)推出的點到點類型線路的數據鏈路層協議。它解決了SLIP中的問題,併成爲正式的因特網標準。
PPP支持在各種物理類型的點到點串行線路上傳輸上層協議報文。PPP有很多豐富的可選特性,如支持多協議、提供可選的身份認證服務、可以以各種方式壓縮數據、支持動態地址協商、支持多鏈路捆綁等等。這些豐富的選項增強了PPP的功能。同時,不論是異步撥號線路還是路由器之間的同步鏈路均可使用。因此,應用十分廣泛。
2 CHAP原理
PPP提供了兩種可選的身份認證方法:口令驗證協議PAP(Password Authentication Protocol,PAP)和質詢握手協議(Challenge Handshake Authentication Protocol,CHAP)。如果雙方協商達成一致,也可以不使用任何身份認證方法。
CHAP認證比PAP認證更安全,因爲CHAP不在線路上發送明文密碼,而是發送經過摘要算法加工過的隨機序列,也被稱爲"挑戰字符串".如圖1所示。同時,身份認證可以隨時進行,包括在雙方正常通信過程中。因此,非法用戶就算截獲併成功破解了一次密碼,此密碼也將在一段時間內失效
二. 實驗內容:
在cisco路由器配置ppp的命令
在cisco路由器配置PAP認證的命令
在cisco路由器配置CHAP認證的命令
三. 實驗目的:
掌握PPP的基本配置
掌握PPP的PAP認證的標準配置
掌握PPP的CHAP認證的標準配置
掌握PPP的基本配置
掌握PPP的PAP認證的標準配置
掌握PPP的CHAP認證的標準配置
四. 實驗環境:
編號 300202-08-01
設備名稱 計數 說明
路由器 2
串口線 1
編號 300202-08-01
設備名稱 計數 說明
路由器 2
串口線 1
五.實驗拓撲
六. 實驗步驟:
六. 實驗步驟:
第一步:按照拓撲圖,搭建實際實驗環境,no shutdown 打開端口。
第二步:修改主機名,DCE端配上時鐘(64000)
第三步:show interface s0/0 查看端口工作狀況
show cdp neighbor 查看對方路由器的狀態。
第四步:設置步驟
第二步:修改主機名,DCE端配上時鐘(64000)
第三步:show interface s0/0 查看端口工作狀況
show cdp neighbor 查看對方路由器的狀態。
第四步:設置步驟
在端口設置狀態下,封裝PPP協議
encapsulation ppp
設置本端口IP地址
ip address 本端口IP地址 子網掩碼
encapsulation ppp
設置本端口IP地址
ip address 本端口IP地址 子網掩碼
查看端口工作狀態,查看對方路由器的狀態。
第五步:
第五步:
在全局設置模式下,登記對方的路由器
username 對方路由器的名字 password 口令
username 對方路由器的名字 password 口令
注意:兩邊路由器的口令必須一致。
設置PPP用戶驗證協議
PPP auther chap或 pap
PPP auther chap或 pap
第六步:查看端口工作狀態,查看對方路由器的狀態。
第七步:配置IP地址, ping 連通性
第七步:配置IP地址, ping 連通性
建議使用chap, 比較安全,如果一端用了用戶驗證協議,另一方必須也使用相同的用戶驗證協議。
七.思考題:
1 通信認證雙方選擇的認證方法可能不一樣,如一方選擇PAP,另一方選擇CHAP,這時雙方的認證協商將失敗。爲了避免身份認證協議過程中出現這樣的失敗,該怎麼辦呢?
答:可以配置路由器使用兩種認證方法。當第一種認證協商失敗後,可以選擇嘗試用另一種身份認證方法。如下的命令配置路由器首先採用PAP身份認證方法。如果失敗,再採用CHAP身份認證方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令則相反,首先使用CHAP認證,協商失敗後採用PAP認證。
RouterA(config-if)#ppp authentication chap pap
1 通信認證雙方選擇的認證方法可能不一樣,如一方選擇PAP,另一方選擇CHAP,這時雙方的認證協商將失敗。爲了避免身份認證協議過程中出現這樣的失敗,該怎麼辦呢?
答:可以配置路由器使用兩種認證方法。當第一種認證協商失敗後,可以選擇嘗試用另一種身份認證方法。如下的命令配置路由器首先採用PAP身份認證方法。如果失敗,再採用CHAP身份認證方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令則相反,首先使用CHAP認證,協商失敗後採用PAP認證。
RouterA(config-if)#ppp authentication chap pap