**
ppp的chap認證明驗詳解
**
*點對點協定(Point to Point Protocol,PPP)**為在點對點連接配接上傳輸多協定資料包提供了一個标準方法。PPP 最初設計是為兩個對等節點之間的 IP 流量傳輸提供一種封裝協定。在 TCP-IP 協定集中它是一種用來同步調制連接配接的資料鍊路層協定(OSI模式中的第二層),替代了原來非标準的第二層協定,即 SLIP。簡單的來說ppp(point-to-point protocol)協定是關于OSI模型二層的協定,Ppp運作于序列槽線。
PPP協定是一個協定集合
主要由三部分組成:
a、一個将IP資料報封裝到串行鍊路的方法。
b、一個用來建立、配置和測試資料鍊路連接配接的鍊路控制協定LCP。
c、一套網絡控制協定NCP,能夠支援不同的網絡層協定,如IP、OSI的網絡層、DECnet,以及AppleTalk等。
認證方式:
一種是PAP,一種是CHAP。相對來說PAP的認證方式安全性沒有CHAP高。PAP在傳輸password是明文的,而CHAP在傳輸過程中不傳輸密碼,取代密碼的是hash(哈希值)。PAP認證是通過兩次握手實作的,而CHAP則是通過3次握手實作的。PAP認證是被叫提出連接配接請求,主叫響應。而CHAP則是主叫送出請求,被叫回複一個資料包,這個包裡面有主叫發送的随機的哈希值,主叫在資料庫中确認無誤後發送一個連接配接成功的資料包連接配接。
下面的是Cisco技術一個PPP的chap認證試驗的簡單的拓撲圖,按照此圖講解如何完成一個PPP的chap認證試驗:實驗環境是GNS3
下面是一些配置(圖中配置為簡寫):
1、先将兩台路由器(一台為認證方,一台為使用者)基礎的IP位址配置好,做好接下來PPP認證的基礎。
R1的配置:
interface Serial2/0 //進入接口
no shutdown //開啟接口
ip address 192.168.12.1 255.255.255.0 //配置IP位址
R2的配置:
interface Serial2/0 //進入接口
no shutdown //開啟接口
ip address 192.168.12.2 255.255.255.0 //配置IP位址
2、現在R1 和 R2互相ping測試,由于兩台路由器是直連,是以不出意外是能夠通信的:
R1 的配置:
ping 192.168.12.2 //在R1上ping R2,測試能否通信
結果是能ping通,現象如下圖:
R2 的配置:
ping 192.168.12.1 //在R2上ping R1測試,
結果是能ping通,現象如下圖:
3、開啟ppp協定的配置:
R1的配置:
interface Serial2/0
encapsulation ppp //封裝PPP協定,預設思科裝置為HDLC
no peer neighbor-route //關閉32位主機路由
R2的配置:
interface Serial2/0
encapsulation ppp //封裝PPP協定,預設思科裝置為HDLC
no peer neighbor-route //關閉32位主機路由
4、開啟chap認證
R1為主認證方,它的配置:
interface Serial2/0
ppp authentication chap default //開啟PPP的chap認證
exit
username 123456 password 123 //全局模式下在資料庫中增加使用者的賬号和密碼
5、測試R2能不能ping同R1(應該不能)
R2上去pingR1:
ping 192.168.12.1 結果是能ping不通,因為R1和R2配置了PPP認證協定,R2還沒有登入R1建立的使用者,是以是ping不同的現象如下圖:
6、R2登入chap認證的使用者賬号和密碼
R2的配置:
interface Serial2/0
ppp chap hostname 123456 //登入使用者賬号
ppp chap password 0 123 //密碼
7、再次用R2pingR1(這次能通)
R2上去pingR1::
ping 192.168.12.1
現在這個ppp的chap認證明驗就已經做好了。
這是我第一次寫,有錯勿噴,請多多關照,以上關于PPP的實驗配置希望對大家有所幫助哦。