编号:300202-08-01
PPP和CHAP认证的配置
一. 实验原理
1 PPP
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。因此,应用十分广泛。
2 CHAP原理
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,也可以不使用任何身份认证方法。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为"挑战字符串".如图1所示。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效
二. 实验内容:
在cisco路由器配置ppp的命令
在cisco路由器配置PAP认证的命令
在cisco路由器配置CHAP认证的命令
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。因此,应用十分广泛。
2 CHAP原理
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,也可以不使用任何身份认证方法。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为"挑战字符串".如图1所示。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效
二. 实验内容:
在cisco路由器配置ppp的命令
在cisco路由器配置PAP认证的命令
在cisco路由器配置CHAP认证的命令
三. 实验目的:
掌握PPP的基本配置
掌握PPP的PAP认证的标准配置
掌握PPP的CHAP认证的标准配置
掌握PPP的基本配置
掌握PPP的PAP认证的标准配置
掌握PPP的CHAP认证的标准配置
四. 实验环境:
编号 300202-08-01
设备名称 计数 说明
路由器 2
串口线 1
编号 300202-08-01
设备名称 计数 说明
路由器 2
串口线 1
五.实验拓扑
六. 实验步骤:
六. 实验步骤:
第一步:按照拓扑图,搭建实际实验环境,no shutdown 打开端口。
第二步:修改主机名,DCE端配上时钟(64000)
第三步:show interface s0/0 查看端口工作状况
show cdp neighbor 查看对方路由器的状态。
第四步:设置步骤
第二步:修改主机名,DCE端配上时钟(64000)
第三步:show interface s0/0 查看端口工作状况
show cdp neighbor 查看对方路由器的状态。
第四步:设置步骤
在端口设置状态下,封装PPP协议
encapsulation ppp
设置本端口IP地址
ip address 本端口IP地址 子网掩码
encapsulation ppp
设置本端口IP地址
ip address 本端口IP地址 子网掩码
查看端口工作状态,查看对方路由器的状态。
第五步:
第五步:
在全局设置模式下,登记对方的路由器
username 对方路由器的名字 password 口令
username 对方路由器的名字 password 口令
注意:两边路由器的口令必须一致。
设置PPP用户验证协议
PPP auther chap或 pap
PPP auther chap或 pap
第六步:查看端口工作状态,查看对方路由器的状态。
第七步:配置IP地址, ping 连通性
第七步:配置IP地址, ping 连通性
建议使用chap, 比较安全,如果一端用了用户验证协议,另一方必须也使用相同的用户验证协议。
七.思考题:
1 通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,该怎么办呢?
答:可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败,再采用CHAP身份认证方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。
RouterA(config-if)#ppp authentication chap pap
1 通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,该怎么办呢?
答:可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败,再采用CHAP身份认证方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。
RouterA(config-if)#ppp authentication chap pap
转载于:https://blog.51cto.com/sang0909/135141
5780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
