**
ppp的chap认证实验详解
**
*点对点协议(Point to Point Protocol,PPP)**为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。在 TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI模式中的第二层),替代了原来非标准的第二层协议,即 SLIP。简单的来说ppp(point-to-point protocol)协议是关于OSI模型二层的协议,Ppp运行于串口线。
PPP协议是一个协议集合
主要由三部分组成:
a、一个将IP数据报封装到串行链路的方法。
b、一个用来建立、配置和测试数据链路连接的链路控制协议LCP。
c、一套网络控制协议NCP,能够支持不同的网络层协议,如IP、OSI的网络层、DECnet,以及AppleTalk等。
认证方式:
一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求,主叫响应。而CHAP则是主叫发出请求,被叫回复一个数据包,这个包里面有主叫发送的随机的哈希值,主叫在数据库中确认无误后发送一个连接成功的数据包连接。
下面的是Cisco技术一个PPP的chap认证试验的简单的拓扑图,按照此图讲解如何完成一个PPP的chap认证试验:实验环境是GNS3
下面是一些配置(图中配置为简写):
1、先将两台路由器(一台为认证方,一台为用户)基础的IP地址配置好,做好接下来PPP认证的基础。
R1的配置:
interface Serial2/0 //进入接口
no shutdown //开启接口
ip address 192.168.12.1 255.255.255.0 //配置IP地址
R2的配置:
interface Serial2/0 //进入接口
no shutdown //开启接口
ip address 192.168.12.2 255.255.255.0 //配置IP地址
2、现在R1 和 R2互相ping测试,由于两台路由器是直连,所以不出意外是能够通信的:
R1 的配置:
ping 192.168.12.2 //在R1上ping R2,测试能否通信
结果是能ping通,现象如下图:
R2 的配置:
ping 192.168.12.1 //在R2上ping R1测试,
结果是能ping通,现象如下图:
3、开启ppp协议的配置:
R1的配置:
interface Serial2/0
encapsulation ppp //封装PPP协议,默认思科设备为HDLC
no peer neighbor-route //关闭32位主机路由
R2的配置:
interface Serial2/0
encapsulation ppp //封装PPP协议,默认思科设备为HDLC
no peer neighbor-route //关闭32位主机路由
4、开启chap认证
R1为主认证方,它的配置:
interface Serial2/0
ppp authentication chap default //开启PPP的chap认证
exit
username 123456 password 123 //全局模式下在数据库中增加用户的账号和密码
5、测试R2能不能ping同R1(应该不能)
R2上去pingR1:
ping 192.168.12.1 结果是能ping不通,因为R1和R2配置了PPP认证协议,R2还没有登录R1创建的用户,所以是ping不同的现象如下图:
6、R2登录chap认证的用户账号和密码
R2的配置:
interface Serial2/0
ppp chap hostname 123456 //登录用户账号
ppp chap password 0 123 //密码
7、再次用R2pingR1(这次能通)
R2上去pingR1::
ping 192.168.12.1
现在这个ppp的chap认证实验就已经做好了。
这是我第一次写,有错勿喷,请多多关照,以上关于PPP的实验配置希望对大家有所帮助哦。