路由器配置PPP协议 CHAP验证 PAP验证
路由器配置PPP協(xié)議 CHAP驗(yàn)證 PAP驗(yàn)證
來源 https://www.cnblogs.com/tcheng/p/5967485.html
PAP是兩次握手,明文傳輸用戶密碼進(jìn)行認(rèn)證;CHAP是三次握手,傳輸MD5值進(jìn)行認(rèn)證。
PAP:
CHAP:
PPP協(xié)議是一種點(diǎn)——點(diǎn)串行通信協(xié)議。PPP具有處理錯(cuò)誤檢測、支持多個(gè)協(xié)議、允許在連接時(shí)刻協(xié)商IP地址、允許身份認(rèn)證等功能,還有其他。PPP提供了3類功能:成幀;鏈路控制協(xié)議LCP;網(wǎng)絡(luò)控制協(xié)議NCP。PPP是面向字符類型的協(xié)議。
PPP協(xié)議的驗(yàn)證分為兩種:一種是PAP,一種是CHAP。相對來說PAP的認(rèn)證方式安全性沒有CHAP高。PAP在傳輸password是明文的,而CHAP在傳輸過程中不傳輸密碼,取代密碼的是hash(哈希值)。PAP認(rèn)證是通過兩次握手實(shí)現(xiàn)的,而CHAP則是通過3次握手實(shí)現(xiàn)的。
一、CHAP驗(yàn)證
給個(gè)今天的配置例子:
R1 R2兩臺路由器需要互相通信,即兩方都有機(jī)會發(fā)出請求:
R1(config)#user R1 pas kxm //為本機(jī)設(shè)置密碼
R1(config)#user R2 pass kxm //對端密碼 R2 是對端名稱 kxm是對端密碼
R1(config)#int se 0/1/1
R1(config-if)#enc ppp //對serial 0/1/1 串口使用ppp協(xié)議
R1(config-if)#ppp au chap//使用chap驗(yàn)證
R1(config-if)#no shu
R1(config-if)#ex
R2(config)#user R2 pas kxm //為本機(jī)設(shè)置密碼
R2(config)#user R1 pass kxm //對端密碼 R3 是對端名稱 kxm是對端密碼
R2(config)#int s 0/1/0
R2(config-if)#enc ppp//對serial 0/1/0 串口使用ppp協(xié)議
R2(config-if)#ppp au chap //使用chap驗(yàn)證
R2(config-if)#no shu
R2(config-if)#ex
配置好即可通信成功,當(dāng)只配置一條鏈路的其中一邊的路由器時(shí),端口狀態(tài)為down。只有當(dāng)兩邊路由器都配置成功時(shí),端口才為up。
以上情況為兩路由器需要互相通信是的情況。當(dāng)存在服務(wù)器端和客戶端時(shí),客戶端將只需要配置本地口令。
如上例改成R1為服務(wù)器端,R2為客戶端,即只出現(xiàn)R2向R1發(fā)出請求的情況:
R1配置不變。
R2配置如下:
R2(config)#user R2 pas kxm //為本機(jī)設(shè)置密碼
CHAP的診斷
對于CHAP身份認(rèn)證中出現(xiàn)的問題也可以利用debug ppp authentication命令進(jìn)行診斷。
2、PAP驗(yàn)證
DCE設(shè)備端(RouterA)PPP封裝之PAP驗(yàn)證設(shè)置(關(guān)鍵配置)
RouterA# configure terminal
RouterA(config)# username RouterB password 111
RouterA(config)# interface serial 0/0
RouterA(config-if)# encapsulation ppp
RouterA(config-if)#ppp authentication pap
RouterA(config-if)#ppp pap sent-username routera password 222
RouterA(config-if)# clock rate 64000
RouterA(config-if)# exit
DTE設(shè)備端(RouterB)PPP封裝之PAP驗(yàn)證設(shè)置(關(guān)鍵配置)
RouterB# configure terminal
RouterB(config)# username routera password 222
RouterB(config)# interface serial 0/0
RouterB(config-if)# encapsulation ppp
RouterB(config-if)#ppp authentication pap
RouterB(config-if)#ppp pap sent-username routerb password 111
RouterB(config-if)# exit
與CHAP的差異見紅字部分
三、兩種認(rèn)證方法的配置:
通信認(rèn)證雙方選擇的認(rèn)證方法可能不一樣,如一方選擇PAP,另一方選擇CHAP,這時(shí)雙方的認(rèn)證協(xié)商將失敗。為了避免身份認(rèn)證協(xié)議過程中出現(xiàn)這樣的失敗,可以配置路由器使用兩種認(rèn)證方法。當(dāng)?shù)谝环N認(rèn)證協(xié)商失敗后,可以選擇嘗試用另一種身份認(rèn)證方法。如下的命令配置路由器首先采用PAP身份認(rèn)證方法。假如失敗,再采用CHAP身份認(rèn)證方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令則相反,首先使用CHAP認(rèn)證,協(xié)商失敗后采用PAP認(rèn)證。
RouterA(config-if)#ppp authentication chap pap
PAP和CHAP的區(qū)別:
區(qū)別在于認(rèn)證過程,PAP是簡單認(rèn)證,明文傳送,客戶端直接發(fā)送包含用戶名/口令的認(rèn)證請求,服務(wù)器端處理并回應(yīng)。而CHAP是加密認(rèn)證,先由服務(wù)器端給客戶端發(fā)送一個(gè)隨機(jī)碼challenge,客戶端根據(jù)challenge對口令進(jìn)行加密,算法是md5(password,challenge,ppp_id).然后把這個(gè)結(jié)果發(fā)送給服務(wù)器端.服務(wù)器端從數(shù)據(jù)庫中取出口令password2,同樣進(jìn)行加密處理。最后比較加密的結(jié)果是否相同.如相同,則認(rèn)證通過,向客戶端發(fā)送認(rèn)可消息
PAP和CHAP的意思:
GPRS設(shè)置中的PAP鑒權(quán)和CHAP鑒權(quán)有何區(qū)別分類:PAP和CHAP是目前的在PPP中普遍使用的認(rèn)證協(xié)議。PAP是簡單二次握手身份驗(yàn)證協(xié)議,用戶名和密碼明文傳送,安全性低.PAP全稱為:Password Authentication Protocol。CHAP是一種挑戰(zhàn)響應(yīng)式協(xié)議,三次握手身份驗(yàn)證,口令信息加密傳送,安全性高. CHAP全稱為:Challenge Handshake Authentication Protocol。
總結(jié)
以上是生活随笔為你收集整理的路由器配置PPP协议 CHAP验证 PAP验证的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: JSON的使用场景及注意事项介绍
- 下一篇: 团队精神重要性(团队精神,极其重要)