ppp authentication 命令

 
要指定在接口上请求 CHAP 或 PAP 的顺序,可使用 ppp authentication 接口配置命令,如图所示。使用该命令的 no 形式将禁止此身份验证。
 
在启用 CHAP 或 PAP 身份验证或同时启用这两种身份验证之后,在允许数据流通过之前,本地路由器要求远程设备先提供身份信息。其实现过程如下:
 
PAP 身份验证要求远程设备发送一个用户名和口令,然后将其与本地用户名数据库或远程 TACACS/TACACS+ 数据库中的对应项进行比较。
CHAP 身份验证向远程设备发送询问消息。远程设备必须使用共享密钥加密询问消息值并将加密后的值及其名称作为响应消息返回给本地路由器。本地路由器使用远程设备的名称在本地用户名或远程 TACACS/TACACS+ 数据库中查找适当的密钥。它使用查询到的密钥加密原始的询问消息并校验加密后的值与原始值是否匹配。
注: AAA/TACACS 是一个用于验证用户身份的专用服务器。AAA 代表“authentication(验证)、authorization(授权)和 accounting(记帐)”。TACACS 客户端向 TACACS 身份验证服务器发送查询消息。服务器可以验证该用户的身份,授权该用户能执行哪些操作并跟踪该用户的行为。
 
您可以启用 PAP 或 CHAP,也可以将两者同时启用。如果同时启用,那么链路协商期间请求的将是您指定的第一个方法。如果对方建议使用第二种方法或拒绝了第一种方法,系统将会尝试第二种方法。有些远程设备仅支持 CHAP,有些则仅支持 PAP。指定方法的顺序取决于您是更关心远程设备协商合适方法的能力还是更关心数据线路的安全性。PAP 用户名和口令将以纯文本字符串的格式发送,容易被截获和重用。CHAP 已经消除了大多数已知的安全漏洞。