11.2 PPP的认证

最新推荐文章于 2023-11-12 15:45:41 发布
最新推荐文章于 2023-11-12 15:45:41 发布
阅读量2.5k 收藏 10
点赞数 1
分类专栏: 数通笔记 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45382474/article/details/121301333
版权

原理概述

        PPP能提供验证协议CHAP(Challenge-Handshake Authentication Protocol,挑战式握手验证协议)、PAP(Password Authentication Protocol,密码验证协议),更好保证网络安全性。

        PAP为两次握手验证,口令为明文,验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后,用户名和密码将由被验证方重复地在链路上发送给验证方,直到验证通过或者链路终止。PAP不是一种安全的验证协议,因为口令是以明文方式在链路上发送的,并且用户名和口令还会被被验证方在链路上反复发送,导致很容易被截获。

        CHAP是三次握手验证协议,只在网络上传输用户名,而并不传输用户密码,因此安全性要比PAP高。CHAP协议是在链路建立开始就完成的,在链路建立完成后的任何时间都可以进行再次验证。当链路建立完成后,验证方发送一个“challenge”报文给被验证方;被验证方经过一次Hash算法后,给验证方返回一个值;验证方把自己经过Hash算法生成的值和被验证方返回的值进行比较。如果两者匹配,验证通过,否则验证不通过,连接被终止。

实验目的

        掌握配置PPP PAP认证的方法

        掌握配置PPP CHAP认证的方法

        理解PPP PAP和PPP CHAP认证的区别

实验内容

        本实验模拟企业网络环境。R1为分支机构接入端网关设备,PC1为企业分支机构终端。R2为企业总部接入终端网关设备,PC2为企业总部终端,R3为企业总部核心路由器。处于安全角度考虑,网络管理员在分支机构访问总部时部署PPP认证,R1是被认证方路由器,R3是认证方路由器,只有认证通过才能建立PPP连接进行正常访问。

实验编址

设备接口  IP地址子网掩码默认网关
PC1Ethernet0/0/110.0.1.1255.255.255.010.0.1.254
PC2Ethernet0/0/110.0.2.1255.255.255.010.0.2.254
R1GE0/0/010.0.1.254255.255.255.0N/A
Serial4/0/010.0.13.1255.255.255.0N/A
R2GE0/0/010.0.23.2255.255.255.0N/A
GE0/0/110.0.2.254255.255.255.0N/A
R3GE0/0/010.0.23.3255.255.255.0N/A
Serial4/0/010.0.13.3255.255.255.0N/A

实验拓扑    

实验步骤

1.基本配置

        根据实验编制表进行相应的基本配置,并检测各直连链路的连通性。

2.搭建OSPF网络

        [R1]ospf 1
        [R1-ospf-1]area 0
        [R1-ospf-1-area-0.0.0.0]network 10.0.1.0 0.0.0.255
        [R1-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255

        [R2]ospf 1
        [R2-ospf-1]area 0
        [R2-ospf-1-area-0.0.0.0]network 10.0.2.0 0.0.0.255
        [R2-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

        [R3]ospf 1
        [R3-ospf-1]area 0
        [R3-ospf-1-area-0.0.0.0]network 10.0.13.0 0.0.0.255
        [R3-ospf-1-area-0.0.0.0]network 10.0.23.0 0.0.0.255

        配置完成后,测试总部与分支机构终端之间的连通性。

        PC>ping 10.0.2.1

        Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break
        Request timeout!
        From 10.0.2.1: bytes=32 seq=2 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=3 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=4 ttl=125 time=16 ms
        From 10.0.2.1: bytes=32 seq=5 ttl=125 time=31 ms

 3.配置PPP的PAP认证        

        为了提升分支机构与总部通信时的安全性,在分支网关设备R1与公司核心设备R3上部署PPP的PAP认证。R3为认证路由器,R1为被认证路由器。

        由于在华为路由器上,广域网串行接口默认链路层协议为PPP,因此可以直接配置PPP认证。在总部设备R3上使用 ppp authentication-mode 命令设置本端的PPP协议对对端设备的认证方式为PAP,认证采用的域名为huawei。
        [R3]int s4/0/0   
        [R3-Serial4/0/0]ppp authentication-mode pap domain huawei

        接下来配置认证路由器R3的本地认证信息。

        执行aaa命令,进入AAA视图。使用authentication-scheme 命令创建认证方案huawei_1,并进入认证方案视图。

        [R3]aaa  
        [R3-aaa]authentication-scheme huawei_1

        使用 authentication-mode 命令配置认证模式为本地认证。

        [R3-aaa-authen-huawei_1]authentication-mode local

        使用 domain 命令创建 huaweiyu,并进入视图。使用 authentication-scheme 命令配置域的认证方案为huawei_1,注意必须和创建的认证方案一致。

        [R3-aaa]domain huaweiyu
        Info: Success to create a new domain.
        [R3-aaa-domain-huaweiyu]authentication-scheme huawei_1

        退回到AAA视图,使用 local-user 命令配置存储本地,为对端认证方所使用的用户名为R1@huaweiyu,密码为Huawei。

        [R3-aaa]local-user R1@huaweiyu password cipher Huawei
        Info: Add a new user.
        [R3-aaa]local-user R1@huaweiyu service-type  ppp

        配置完成后,关闭R1和R3相连接口一段时间以后再打开,使R1和R3间的链路重新协商,并检查链路状态和连通性。

        [R3-Serial4/0/0]shutdown
        [R3-Serial4/0/0]undo shutdown

        <R3>display ip interface brief
        *down: administratively down
        ......

        Interface                         IP Address/Mask      Physical   Protocol  
        GigabitEthernet0/0/0              10.0.23.3/24         up         up        
        GigabitEthernet0/0/1              unassigned           down       down      
        GigabitEthernet0/0/2              unassigned           down       down      
        NULL0                             unassigned           up         up(s)     
        Serial4/0/0                       10.0.13.3/24         up         down      
        Serial4/0/1                       unassigned           down       down 

        <R3>ping 10.0.13.1
          PING 10.0.13.1: 56  data bytes, press CTRL_C to break
            Request time out
            Request time out
        ......

        可以观察到,现在R1和R3间无法正常通信,链路物理状态正常,但是链路层协议状态不正常。这是因为此时PPP链路上的PAP认证未通过,现在仅仅配置了认证方设备R3,还需要在被认证方设备R1上配置相关的PAP认证参数。

        在R1的S4/0/0接口下,使用 ppp pap local-user 命令配置本端被对端以PAP方式验证时本地发送的PAP同户名和密码。

        [R1]int s4/0/0
        [R1-Serial4/0/0]ppp pap local-user R1@huaweiyu password cipher 

        配置完成后,再次查看链路状态并测试连通性。

        <R1>dis ip int b
        *down: administratively down
        ^down: standby
        ......

        Interface                         IP Address/Mask      Physical   Protocol  
        GigabitEthernet0/0/0              10.0.1.254/24        up         up        
        GigabitEthernet0/0/1              unassigned           down       down      
        GigabitEthernet0/0/2              unassigned           down       down      
        NULL0                             unassigned           up         up(s)     
        Serial4/0/0                       10.0.13.1/24         up         up        
        Serial4/0/1                       unassigned           down       down      

        <R1>ping 10.0.13.3
          PING 10.0.13.3: 56  data bytes, press CTRL_C to break
            Reply from 10.0.13.3: bytes=56 Sequence=1 ttl=255 time=20 ms
            Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=20 ms
            Reply from 10.0.13.3: bytes=56 Sequence=3 ttl=255 time=30 ms
            Reply from 10.0.13.3: bytes=56 Sequence=4 ttl=255 time=20 ms
            Reply from 10.0.13.3: bytes=56 Sequence=5 ttl=255 time=10 ms


        可以发现,现在R1与R3间的链路层协议状态正常,且可以正常通信。

        测试PC1与PC2的连通性      

        PC>ping 10.0.2.1

        Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break
        Request timeout!
        From 10.0.2.1: bytes=32 seq=2 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=3 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=4 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=5 ttl=125 time=16 ms

        总部与分支机构之间通信正常。

4.配置PPP的CHAP认证

        公司网络管理员日常维护中发现,分部公司频繁遭受攻击,PPP认证密码经常被盗用,对网络状况进行分析。抓取R1的S4/0/0数据包进行分析:

                

         可以观察到,在数据包中很容易找到所配置的用户名和密码。因此验证了使用PAP认证时,口令将以明文方式在链路上传送,并且由于完成PPP链路建立后,被认证方会不停的在链路上反复发送用户名和口令,知道身份认证过程结束,所以不能防止攻击。而使用CHAP认证时口令用MD5算法加密后在链路上发送,能有效的防止攻击。为进一步提高链路安全性,网络管理员需要重新部署PPP的CHAP认证。

        首先删除原有的PAP认证配置,域名保持不变。

        [R3]int s4/0/0   
        [R3-Serial4/0/0]undo ppp authentication-mode 

        [R1]int s4/0/0   
        [R1-Serial4/0/0]undo ppp pap local-user 

        删除后,在认证设备R3的S4/0/0接口下配置PPP的认证方式为CHAP。

        [R3-Serial4/0/0]ppp authentication-mode chap

        配置存储在本地,对端认证方所使用的用户名为R1,密码为huawei

        [R3-aaa]local-user R1 password cipher huawei
        Info: Add a new user.
        [R3-aaa]local-user R1 service-type ppp

        其余认证方案和域的配置保持不变。

        配置完成后,关闭R1与R3相连接口一段时间后再打开,使链路重新协商。查看链路状态,并测试连通性。

        [R3-aaa]dis ip int b
        *down: administratively down
        ^down: standby
        ......

        Interface                         IP Address/Mask      Physical   Protocol  
        GigabitEthernet0/0/0              10.0.23.3/24         up         up        
        GigabitEthernet0/0/1              unassigned           down       down      
        GigabitEthernet0/0/2              unassigned           down       down      
        NULL0                             unassigned           up         up(s)     
        Serial4/0/0                       10.0.13.3/24         up         down      
        Serial4/0/1                       unassigned           down       down  

        <R3>ping 10.0.13.1
          PING 10.0.13.1: 56  data bytes, press CTRL_C to break
            Request time out
            Request time out

        可以看到,目前R1与R3间的链路层协议状态不正常,无法正常通信。这是由于此时被认证方R1上海没有配置用户名和密码。

        在R1的S4/0/0接口下配置CHAP认证的用户名和密码。

        [R1]int s4/0/0
        [R1-Serial4/0/0]ppp chap user R1
        [R1-Serial4/0/0]ppp chap password cipher huawei

        配置完成后,测试R1与R3的连通性。

        [R1-Serial4/0/0]ping 10.0.13.3
          PING 10.0.13.3: 56  data bytes, press CTRL_C to break
            Reply from 10.0.13.3: bytes=56 Sequence=1 ttl=255 time=20 ms
           Reply from 10.0.13.3: bytes=56 Sequence=2 ttl=255 time=30 ms
            Reply from 10.0.13.3: bytes=56 Sequence=3 ttl=255 time=20 ms
            Reply from 10.0.13.3: bytes=56 Sequence=4 ttl=255 time=20 ms
            Reply from 10.0.13.3: bytes=56 Sequence=5 ttl=255 time=20 ms

        PC>ping 10.0.2.1

        Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break
        Request timeout!
        From 10.0.2.1: bytes=32 seq=2 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=3 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=4 ttl=125 time=31 ms
        From 10.0.2.1: bytes=32 seq=5 ttl=125 time=16 ms

再R1的4/0/0接口抓包:

         可以观察到,现在数据包内容已经为加密方式发送,无法被攻击者截获认证密码,安全性得到了提升。        

AwayOnce
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PPP协议相关的知识
m0_67500944的博客
04-17 303
对于PPP协议的小概括,主要包含连接时的五个阶段的分析
PPP协议的两种认证方式
w17691058648x的博客
11-07 1万+
PPP:点到点协议,数据链路层封装技术,公有协议HDLC的升级版 两种认证方式:PAP,CHAP PAP(Password Authentication Protocol)用户名和密码使用明文传输,安全性低。 CHAP(Challenge Handshake Authentication Protocol)用户名和密码使用密文传输,安全性较高。 PAP认证过程 主认证方: A(config)#us...
PPP的两种验证方式(PAP、CHAP)
Beau_Will的博客
09-10 7418
点到点协议(Point-to-Point Protocol,PPP)提供了一种在点到点链路上封装网络层协议信息的标准方法。PPP也定义了可扩展的链路控制协议(Link Control Protocol,LCP),使用验证协议协商在链路上传输网络层协议前验证链路的对端。
ppp开启pap/chap认证
zljszn的博客
03-15 6414
什么是pap? PAP 是 PPP 协议集中的一种链路控制协议,通过2次握手建立认证,对等结点持续重复发送 ID/ 密码(明文)给验证者。 什么是chap? CHAP通过三次握手验证被认证方的身份,在初始链路建立时完成,为了提高安全性,在链路建立之后周期性进行验证,目前在企业网的远程接入环境中用的比较常见。 两种认证方式的应用场景: PAP认证适用于可以使用明文密码模仿登录远程主机的环境。 CHAP是在网络物理连接后进行连接安全性验证的协议,它比PAP更加可靠。 拓补图: 首先先配置
PPP认证协议详解
虎哥LoveDroid
06-07 4419
本文旨在深入介绍PPP认证协议,探讨其工作原理、常见的认证协议以及配置和应用方法。我们将重点讨论PAP、CHAP和EAP等常见的PPP认证协议,并分析它们的特点和安全性。此外,我们还将探讨PPP认证协议的配置参数和在互联网接入中的实际应用案例。本文还将讨论PPP认证协议的安全性和加密技术,以及防范弱口令攻击等安全方面的措施。我们还将展望PPP认证协议在未来的发展趋势,特别是在物联网和5G时代的应用前景。
CCNA工程师认证考试官方教材
10-25
11.2 认证目标11.02:生成树协议 和VLAN 254 11.3 认证目标11.03:默认VLAN配置 255 11.4 认证目标11.04:跨域配置VLAN 256 11.5 认证目标11.05:到VLAN的分组 交换机端口 259 11.5.1 配置ISL主干 264 11.5.2 IEEE...
CCNA工程师认证考试电子书.rar
05-18
11.2 认证目标11.02:生成树协议 和VLAN 254 11.3 认证目标11.03:默认VLAN配置 255 11.4 认证目标11.04:跨域配置VLAN 256 11.5 认证目标11.05:到VLAN的分组 交换机端口 259 11.5.1 配置ISL主干 264 11.5.2 IEEE...
ccna学习指南 chinapub 高清版
04-25
11.2 认证目标11.02:生成树协议 和VLAN 254 11.3 认证目标11.03:默认VLAN配置 255 11.4 认证目标11.04:跨域配置VLAN 256 11.5 认证目标11.05:到VLAN的分组 交换机端口 259 11.5.1 配置ISL主干 264 ...
CCNA学习指南.rar
08-21
11.2 认证目标11.02:生成树协议 和VLAN 254 11.3 认证目标11.03:默认VLAN配置 255 11.4 认证目标11.04:跨域配置VLAN 256 11.5 认证目标11.05:到VLAN的分组 交换机端口 259 11.5.1 配置ISL主干 264 11.5.2 IEEE...
CCNA课程.rar
05-24
11.2 认证目标11.02:生成树协议 和VLAN 254 11.3 认证目标11.03:默认VLAN配置 255 11.4 认证目标11.04:跨域配置VLAN 256 11.5 认证目标11.05:到VLAN的分组 交换机端口 259 11.5.1 配置ISL主干 264 ...
PPP 协议PAP和CHAP认证配置-ielab
IE-lab网络实验室的博客
07-12 1708
PPP(点到点协议)协议:是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。 PAP为两次握手认证,口令为明文,验证过程尽在链路初始建立阶段进行。PAP不是一种安全的验证协议,因为口令是以明文的方式在链路上发送,而且用户...
华为ensp:ppp+CHAP认证
最新发布
鲍海超
11-12 752
如果一头开启了认证,如果对面没有输入认证则双方无法通信。
PPP认证【eNSP实现】
Infinity_and_beyond的博客
05-11 6912
PPP协议之所以能成为广域网中应用较为广泛的协议,原因之一就是它能提供验证协议CHAP【Challenge Handshake Authentication Protocol,挑战式握手验证协议】、PAP【Password Authentication Protocol,密码验证协议】,更好地保证了网络安全性。 PAP为两次握手验证,口令为明文,验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后,用户名和密码将由被验证方重复地在链路上发送给验证方,直到验证通过或者中止连接。PAP不是一种安全的验证协议,
ppp协议(pap和chap验证模式)拓扑(eNSP)
yin_CSDN_1007的博客
05-03 4767
一.基本配置 新建拓扑 ①添加路由:添加两个Axaioxia_2220路由到拓扑图上 ②改标签名:其标签名称默认为Axiaoxia_1与Axaioxia_2,双击“Axiaoxia_1与Axaioxia_2”手动改为自己需要的名, 我改为“xiaoxia_1与xiaoxia_2” ③添加串口:分别右击路由,选择设置,给路由添加2SA串口 ④连接路由:选择Serial线,将两个路由的Serial 4/0/0串口连接起来。 ⑤开启路由:点击右上方绿色“开启设备”,将两个路由同时开启,并“打开所有CL
HDLC和PPP协议以及PAP、CHAP的认证方法
CYG2573076485的博客
07-08 1596
网络类型---根据数据链路层使用的协议来进行划分的 MA---多点接入网络 BMA---广播型多点接入网络 NBMA---非广播型接入网络 P2P---点到点的网络...
PPP协议讲解(PPP连接状态、CHAP/PAP认证PPP报文)
热门推荐
m0_49864110的博客
05-26 2万+
PPP(点对点协议)为在点对点连接上传输多协议数据包提供了一个标准方法,是数据链路层封装协议的一种方法,支持同步和异步两种传输方式。(除了PPP还有HDLC等,不过HDLC只支持同步方式)PPP优点:1、支持同步传输和异步传输 2、具有良好的扩展性,当需要在以太网链路上承载PPP协议时,可扩展为PPPoE 3、提供了LCP(Link Control Protocol)协议,用于各种链路层参数协商 4、提供了各种NCP(Network Control Protocol),用于网络层参数协商 5、提供了认证:C
ppp的chap认证报文原理以及细节
西北纵队
11-03 1702
ppp的chap认证报文原理chap认证:1.验证方(存有本地数据库的一方)主动向被验证方发送一个挑战报文,里面包含报文id,随机数,本端用户名(默认单向认证不带)。2.被验证方收到挑战请求后,若接口配置chap口令,将接收的报文id,随机数,口令根据MD5算法算出一个hash值,将生成的hash值 和自己的用户名向验证方发回一个挑战应答报文若接口没有配置口令,则根据验证方报文携带的用户名通过查找数据库找到该用户名的口令;
ppp认证方式pap和chap原理介绍及配置(Cisco路由器)
weixin_34174105的博客
08-07 2226
一、预备知识: 1、PPP定义: 点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。该协议不是专有协议,可以互联不同厂商设备。 支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协...
ppp协议
m0_64563100的博客
02-02 430
因为:认证方都会发送带有option type-3的configuration request报文,另一端收到后,发现自己没有做对方认可的认证,因此发送reject报文。在原来的情况下,是不需要确认username的,challenge中的username为空而现在,需要先确定用户名存在,然后再去找相应的密码。========================特殊场景一========================协议:FR-------二层标识DICL号、ATM-----------二层标识VC虚电路。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值