PPP协议身份验证PAP和CHAP

本次实验使用Cisco Packet Tracer，此次实验为复习。

点到点协议（Point to Point Protocol，PPP）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。 [1]  这种链路提供全双工操作，并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。PPP具有以下功能：

（1）PPP具有动态分配IP地址的能力，允许在连接时刻协商IP地址；

（2）PPP支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等；

（3）PPP具有错误检测能力，但不具备纠错能力，所以ppp是不可靠传输协议；

（4）无重传的机制，网络开销小，速度快。

（5）PPP具有身份验证功能。

（6） PPP可以用于多种类型的物理介质上，包括串口线、电话线、移动电话和光纤（例如SDH），PPP也用于Internet接入。

--来源百度百科

也就是说PPP协议工作再OSI模型的第二层数据链路层，应用场景为广域网，应用对象为ISP（网络运营商）。

网络拓扑

此次实验使用串口线 

PAP验证

R1配置

Router(config)#hostname R1                              
R1(config)#username R1 password 123                    #创建R2认证账户
R1(config)#interface serial 2/0
R1(config-if)#ip address 100.0.0.1 255.255.255.0
R1(config-if)#encapsulation ppp                        #启用PPP封装
R1(config-if)#ppp authentication pap                   #认证模式为PAP
R1(config-if)#ppp pap sent-username R2 password 123    #身份验证，用户需要在R2路由器上创建
R1(config-if)#no shutdown 

 R2配置

Router(config)#hostname R2
R2(config)#username R2 password 123                  #创建验证用户
R2(config)#interface serial 2/0
R2(config-if)#ip address 100.0.0.2 255.255.255.0
R2(config-if)#encapsulation ppp 
R2(config-if)#ppp authentication pap                 #验证模式
R2(config-if)#ppp pap sent-username R1 password 123  #身份验证
R2(config-if)#no shutdown 

实验测试

 在R2路由表能查到R1的路由，验证成功

CHAP验证

R2配置

Router(config)#hostname R2                          #必须更改用户名，不然会出现错误
R2(config)#username R3 password 123                 #创建一个用户，用户名为验证方主机名
R2(config)#interface serial 3/0
R2(config-if)#ip address 200.0.0.2 255.255.255.0
R2(config-if)#encapsulation ppp                     #启用PPP封装
R2(config-if)#ppp authentication chap               #chap双向认证
R2(config-if)#no shutdown 

R3配置

Router(config)#hostname R3                          #必须更改用户名，不然会出现错误
R3(config)#username R2 password 123                 #创建一个用户，用户名为验证方主机名
R3(config)#interface serial 3/0
R3(config-if)#ip address 200.0.0.3 255.255.255.0
R3(config-if)#encapsulation ppp                     #启用PPP封装
R3(config-if)#ppp authentication chap               #chap双向认证
R3(config-if)#no shutdown                           #开启接口

结果验证

 CHAP工作过程

呼叫

图2 —  呼叫进入

图 2 显示了以下步骤：

1. 呼叫进入3640-1。传入接口使用ppp authentication chap命令配置。

2. LCP协商CHAP和MD5。有关如何确定此项的详细信息，请参阅了解debug ppp negotiation输出。

3. 此呼叫要求 3640-1 向主叫路由器发送 CHAP 质询。

挑战

图3 - 构建CHAP质询数据包

图 3 演示了在 CHAP 身份验证过程中两个路由器之间的以下步骤：

1. 构建的 CHAP 质询数据包具有以下特征：

   • 01 = 质询数据包类型标识符。

   • ID = 标识质询的序号。

   • random = 路由器生成的合理随机编号。

   • 3640-1 = 质询程序的身份验证名称。

2. 在被叫路由器上保存 ID 和随机值。

3. 将质询数据包发送到主叫路由器。维护未处理的质询的列表。

回复

图4  从对等设备收到质询数据包和MD5处理

图 4 演示如何接收和处理 (MD5) 对等体发送的质询数据包。 路由器按如下方式处理传入的 CHAP 质询数据包：

1. 向 MD5 散列算法生成器提供 ID 值。

2. 向 MD5 散列算法生成器提供随机值。

3. 使用名称 3640-1 查找口令。路由器在质询中查找与此用户名匹配的条目。在本示例中，路由器查找：

   username 3640-1 password pc1

4. 向 MD5 散列算法生成器提供口令。

   结果将生成单向 MD5 散列 CHAP 质询，并将此质询发送回 CHAP 响应。

回应（续）

图5 —  已生成发送到身份验证器的CHAP响应数据包。

图 5 演示如何构建发送给身份验证程序的 CHAP 响应数据包。此关系图显示了以下步骤：

1. 根据以下组件组合响应数据包：

   • 02 = CHAP 响应数据包类型标识符。

   • ID = 从质询数据包复制而得。

   • hash = MD5 散列算法生成器的输出（质询数据包的散列消息）。

   • 766-1 = 此设备的身份验证名称。对等体在查找验证身份所需的用户名和口令条目时，将需要使用此名称（验证 CHAP 部分将对此进行详细说明）。

2. 然后，将响应数据包发送给质询程序。

验证 CHAP

此部分提供有关如何验证您的配置的提示。

图6 —  挑战者处理响应数据包

图 6 显示了质询程序如何处理响应数据包。下面给出了（在身份验证程序上）处理 CHAP 响应数据包的相关步骤：

1. 使用 ID 查找原始质询数据包。

2. 向 MD5 散列算法生成器提供 ID。

3. 向 MD5 散列算法生成器提供原始质询随机值。

4. 使用名称 766-1 查找来自以下来源之一的口令：

   • 本地用户名和口令数据库。

   • RADIUS 或 TACACS+ 服务器。

5. 向 MD5 散列算法生成器提供口令。

6. 然后，将响应数据包中收到的散列值与计算的 MD5 散列值相比较。如果计算和收到的散列值相等，则 CHAP 身份验证成功。

结果

图7 —  成功消息发送到主叫路由器

图 7 演示如何向主叫路由器发送成功消息。它包括以下步骤：

1. 如果身份验证成功，将根据以下组件构建 CHAP 成功数据包：

   • 03 = CHAP 成功消息类型。

   • ID = 从响应数据包中复制而得。

   • — 欢迎日 — 只是一条文本消息，提供用户可读的解释。

2. 如果身份验证失败，将根据以下组件构建 CHAP 失败数据包：

   • 04 = CHAP 失败消息类型。

   • ID = 从响应数据包中复制而得。

   • — 身份验证失败，或提供用户可读解释的其他文本消息。

3. 然后，将成功或失败数据包发送到主叫路由器。

   注意：此示例描述了单向身份验证。在双向身份验证中，将重复上述整个过程。但是，主叫路由器将发起初始质询。

源自：了解和配置 PPP CHAP 认证 - Cisco