最族
[CCNA] PPP挑战握手验证协议(CHAP或PAP)
2012-2-27 Veris

PPP协议:PPP(Point-to-Point Protocol点到点协议)是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。


以下是在 CHAP 中执行的一般步骤:


  1. 在完成 LCP(链路控制协议)阶段并在两个设备之间协商 CHAP 之后,身份验证程序向对等体发送一条质询消息。

  2. 对等体使用通过单向散列函数(消息摘要算法 5 (MD5))计算的值进行响应。

  3. 身份验证程序根据自己计算出的预期散列值检查响应。 如果两个值匹配,则身份验证成功; 否则,连接将被终止。


此认证方法取决于只有证明人和对等体知道的“秘密”。 该密钥不会通过链路发送。 虽然身份验证只是单向身份验证,您仍可以借助为相互身份验证设置的相同密钥来双向协商 CHAP


CCNA PPP挑战握手认证实验拓扑图



基础配置省略,串行链路要记得配置时钟频率。



R1(config)#inter serial 0/3/0

R1(config-if)#encapsulation ppp

R1(config-if)#exit

R1(config)#hostname R1 //R1 将作为PPP 的用户名

R1(config)#username R2 password cisco

//配置本地用户名密码数据库。用于确认其它设备的身份。

R1(config)#interface serial 0/3/0

R1(config-if)#ppp authentication [ chap | pap ]

//指定采用chap 的进行身份验证



R2(config)#host R2

R2(config)#username R1 password cisco

R2(config)#interface serial 0/3/0

R2(config-if)#encapsulation ppp

R2(config-if)#ppp authentication [ chap | pap ]



 



R2(config)#username wy password 123



R1(config)#interface serial 0/3/0

R1(config-if)#encapsulation ppp

R1(config-if)#ppp chap hostname wy //发送chap 的用户名

R1(config-if)#ppp chap password 123 //发送chap 的密码

R1(config-if)#exit



 



R2(config)#interface serial 0/3/0

R2(config-if)#encapsulation ppp

R2(config-if)#ppp authentication pap

R2(config-if)#exit



R1(config)#interface serial 0/3/0

R1(config-if)#encapsulation ppp

R1(config-if)#ppp pap sent-username wy password 123 //发送pap 的用户名和密码



 



debug ppp negotiation -确定客户端是否可以通过PPP协商; 这是您检查地址协商的时候。


debug ppp authentication -确定客户端是否可以通过验证。 如果您在使用Cisco IOS软件版本11.2之前的一个版本,请发出debug ppp chap命令。


debug ppp error – 显示和PPP连接协商与操作相关的协议错误以及统计错误。


debug aaa authentication -要确定在使用哪个方法进行验证(应该是RADIUS,除非RADIUS服务器发生故障),以及用户是否通过验证。


debug aaa authorization -要确定在使用哪个方法进行验证,并且用户是否通过验证。


debug aaa accounting -查看发送的记录。


debug radius -查看用户和服务器交换的属性。


排查手册(英文)http://www.cisco.com/application/pdf/paws/25646/ppp_authen_ts_fl.pdf

发表评论:
昵称

邮件地址 (选填)

个人主页 (选填)

内容