一、PPP介紹
PPP(point-to-point protocol)是一種點到點鏈路層協議,主要用於在全雙工的同異步鏈路上進行點到點的數據傳輸。
##在PPP中主要由三類協議簇組成
1、鏈路控制協議簇(Link Control protocol):主要用來建立、拆除和監控PPP鏈路。
2、網絡層控制協議簇(Network control protocol):主要用來協商在該鏈路上傳輸的數據包的格式與類型。
3、 擴展協議簇:CHAP(Challenge-Handshake Authentication Protocol)挑戰握手認證協議和PAP(Password Authentication Protocol)密碼認證協議,主要用於網絡安全方面的驗證,保證鏈路中協商過程的安全性,從而保證數據傳輸的安全性。
1、PPP基本配置
PAP認證爲兩次握手驗證、發送的用戶名和密碼均爲明文。
如圖所示,在R1、R2之間採用PPP鏈路連接,首先在接口下封裝PPP,並且配置好IP地址。
R1、R2:
interface Serial2/0
ip address 12.0.0.2 255.255.255.0 //配置IP地址
encapsulation ppp //封裝PPP協議
2、從抓包過程看待PPP協商過程
配置完成後鏈路自動進行協商,協商過程如下:
1、 在配置好PPP鏈路封裝後,在抓包過程中可以看出,PPP鏈路通過LCP協議進行協商連接,LCP協商通過發送configuration Request消息進行,協商鏈路配置信息,通過configuration ack消息進行響應。
消息內容中主要關注options現象字段,此字段用來說明在PPP協商過程中啓用的功能,包括認證選項。
2、LCP協商完成後進行IPCP的協商,IPCP的協商通過發送IPCP相關的配置消息實現,並且通過IPCP的配置消息進行應答,在此消息中會將自身的一些配置信息發送至對方,其中最主要的信息爲自身配置的IP地址信息,通過PPP IPCP協商完成後可以在自己本地看到通往對方的32位掩碼的路由,如下圖所示。
3、通過PPP CDPCP消息進行PPP鄰居發現,並通過LCP Echo request消息定期發送進行維繫PPP鏈路的連接關係,在互聯網中,所有協商消息基本都是通過request,relay消息進行,PPP協商過程也不例外,由configuration request和configuration ack組成。
二、認證階段
缺省情況下,PPP鏈路不進行驗證。如果要求驗證,在鏈路建立階段必須指定驗證協議。
PPP驗證主要是用於主機和設備之間,通過PPP網絡服務器交換電路或撥號接入連接的鏈路,偶爾也用於專用線路。
PPP提供密碼驗證協議PAP(Password Authentication Protocol)和質詢握手驗證協議CHAP(Challenge-Handshake Authentication Protocol)兩種驗證方式。
單向驗證是指一端作爲驗證方,另一端作爲被驗證方。雙向驗證是單向驗證的簡單疊加,即兩端都是既作爲驗證方又作爲被驗證方。在實際應用中一般只採用單向驗證。
三、PAP認證
1、認證流程說明
PAP驗證協議爲兩次握手驗證,口令爲明文。
- 被驗證方把本地用戶名和口令發送到驗證方。
- 驗證方根據本地用戶表查看是否有被驗證方的用戶名
- 若有,則查看口令是否正確,若口令正確,則認證通過;若口令不正確,則認證失敗。
- 若沒有,則認證失敗。
2、認證配置信息介紹
選擇在R1中開啓PAP認證
R1:
interface Serial2/0
ip address 12.0.0.1 255.255.255.0
encapsulation ppp
ppp authentication pap
開啓認證後在抓包信息中可以看出,LCP在協商過程中會告訴給對方,自身已開啓認證。請求對方進行驗證,並告訴對方自身開啓的認證的類型。
在R2中接口下配置用於認證使用的用戶名和密碼
R2:
interface Serial2/0
ip address 12.0.0.2 255.255.255.0
encapsulation ppp
ppp pap sent-username R2 password 0 cisco
通過抓包可以發現,R2在接口下配置好pap認證的用戶名和密碼後,會首先發起驗證請求,並且攜帶配置的用戶名和密碼首先發起。故可以看出配置了開啓認證指令ppp authentication pap的一方是作爲驗證方存在,作爲配置了用戶名和密碼ppp pap sent-username R2 password 0 cisco指令的一方作爲被驗證方存在。
接下來在驗證方R1全局下配置用戶名和密碼,讓驗證方可以通過被驗證方的認證。
R1:
username R2 password cisco
最終可以看到認證通過過程。
雙向PAP認證需要將在兩邊同步開啓認證,接口下配置發送的用戶名和密碼,在全局下配置用戶名和密碼確保認證可以通過。
四、CHAP認證
1、認證流程說明
CHAP驗證協議爲三次握手驗證協議。它只在網絡上傳輸用戶名,而並不傳輸用戶密碼,因此安全性要比PAP高。
CHAP單向驗證過程分爲兩種情況:驗證方配置了用戶名和驗證方沒有配置用戶名。推薦使用驗證方配置用戶名的方式,這樣可以對驗證方的用戶名進行確認。
驗證方配置了用戶名的驗證過程(思科中username優先於接口的password)
1) 驗證方主動發起驗證請求,驗證方向被驗證方發送一些隨機產生的報文(Challenge),並同時將本端的用戶名附帶上一起發送給被驗證方。
2) 被驗證方接到驗證方的驗證請求後,先檢查本端接口上是否配置了ppp chap password命令,如果配置了該命令,則被驗證方用報文ID、命令中配置的用戶密碼和MD5算法對該隨機報文進行加密,將生成的密文和自己的用戶名發回驗證方(Response)。如果接口上未配置ppp chap password命令,則根據此報文中驗證方的用戶名在本端的用戶表查找該用戶對應的密碼,用報文ID、此用戶的密鑰(密碼)和MD5算法對該隨機報文進行加密,將生成的密文和被驗證方自己的用戶名發回驗證方(Response)。
3) 驗證方用自己保存的被驗證方密碼和MD5算法對原隨機報文加密,比較二者的密文,若比較結果一致,認證通過,若比較結果不一致,認證失敗。
Ø 驗證方沒有配置用戶名的驗證過程(思科中無此過程)
1) 驗證方主動發起驗證請求,驗證方向被驗證方發送一些隨機產生的報文(Challenge)。
2) 被驗證方接到驗證方的驗證請求後,利用報文ID、ppp chap password命令配置的CHAP密碼和MD5算法對該隨機報文進行加密,將生成的密文和自己的用戶名發回驗證方(Response)。
3) 驗證方用自己保存的被驗證方密碼和MD5算法對原隨機報文加密,比較二者的密文,若比較結果一致,認證通過,若比較結果不一致,認證失敗。
2、認證配置信息介紹
選擇在R1中開啓CHAP認證
R1:
interface Serial2/0
ip address 12.0.0.1 255.255.255.0
encapsulation ppp
ppp authentication chap
在R1中通過ppp authentication chap指令開啓認證過後,本路由器將作爲驗證方存在,對方路由器將作爲被驗證方存在,由驗證方首先發起驗證請求,最開始沒有由於沒有配置用戶名和密碼等相關信息,所以會將自己的主機名作爲用戶名向對方發送驗證請求。如果對方
選擇在R2接口下配置用戶名和密碼
R2:
interface Serial2/0
ip address 12.0.0.2 255.255.255.0
encapsulation ppp
ppp chap hostname R2
ppp chap password 0 cisco
從抓包中可以看出,首先由驗證方發起驗證請求,以自己的主機名作爲用戶名進行發送,在被驗證方接口下配置了用戶名和密碼後,被驗證方會採用本地接口下配置的用戶名和密碼進行迴應,然後由驗證方在本地查找被驗證方發送的用戶名進行匹配,確認驗證是否可以通過。
本地配置用戶和密碼方式完成驗證
在配置認證過程中,可以選擇在接口下配置用戶名和密碼的方式,也可選擇在本地配置用戶和密碼的方式完成認證:
R1:
interface Serial2/0
ip address 12.0.0.1 255.255.255.0
encapsulation ppp
ppp authentication chap
R1(config)#do show run | s username
username R2 password 0 cisco
R2:
R2(config)#do show run | s username
username R1 password 0 cisco
在全局下配置用戶名和密碼方法同樣可以完成CHAP的認證需求,過程同接口下配置相同,cisco下全局優先於接口下的配置。