点对点协议 (PPP) 目前支持两种身份验证协议:密码验证协议 (PAP) 和质询握手身份验证协议 (CHAP)。这两个协议都是在 RFC 1334 中指定的,且在同步和异步接口上都受支持。
PAP 使用双向握手为远程节点提供了建立其身份标识的简单方法。PPP链路建立阶段完成后,用户名和密码通过链路(在明文)进行不断重复发送,直到鉴权完成或连接终止为止。
PAP 是一种不安全的身份验证协议。密码以明文形式通过链路发送,对于回放和试错法攻击没有防范能力。远程节点将控制登录尝试的频率和时间。
本文档没有任何特定的要求。
本文档不限于特定的软件和硬件版本。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
因为用户密码从未在整个连接上发送,所以CHAP被认为更加安全。有关 CHAP 的详细信息,请参阅了解和配置 PPP CHAP 身份验证。
尽管 PAP 存在缺点,其仍可用于以下环境:
当系统中安装了大量不支持 CHAP 的客户端应用程序时
当不同供应商实施的 CHAP 互不兼容时
此情况是,纯文本密码必须可用于模拟在远端主机登录。
与大多数鉴权类型一样,PAP支持双向(双程)和单向(单程)鉴权。使用单向身份验证时,仅接收呼叫的一端 (NAS) 对远程端(客户端)进行身份验证。远程客户端不对服务器进行身份验证。
通过双向认证,每边独立地发送验证请求(AUTH-RED) 并且接收认证确认(AUTH-ACK)或没有认可的验证(AUTH-NAK)。这些可以用
*Mar 6 19:18:53.322: BR0:1 PAP: O AUTH-REQid 7 len 18 from "PAPUSER"! --- Outgoing PAP AUTH-REQ. We are sending out our username (PAPUSER)and password ! --- to the NAS. The NAS will verify that the username/password is correct.*Mar 6 19:18:53.441: BR0:1 PAP: I AUTH-ACK id 7 Len 5! --- Incoming AUTH-ACK. ! --- The NAS verified the username and password and responded with an AUTH-ACK. ! --- One-way authentication is complete at this point.*Mar 6 19:18:53.445: BR0:1 PAP: I AUTH-REQ id 1 Len 14 from "NAS"! --- Incoming AUTH-REQ from the NAS. This means we now verify the identity of the NAS.*Mar 6 19:18:53.453: BR0:1 PAP: Authenticating peer NAS! --- Performing a lookup for the username (NAS) and password.*Mar 6 19:18:53.457: BR0:1 PAP: O AUTH-ACK id 1 Len 5! --- Outgoing AUTH-ACK. ! --- We have verified the username/password of the NAS and responded with an AUTH-ACK. ! --- Two-way authentication is complete.
在上述调试输出中,身份验证是双向的。然而如果配置了单向验证,我们将只能看到前二条调试线路。
如下所述,常规的 PAP 身份验证需要三个命令:
下表显示了在什么情况下要配置 callin 选项:
认证类型
客户端(主叫)
NAS(被叫)
单向
ppp authentication pap calli