路由器配置PPP协议 CHAP验证 PAP验证

路由器配置PPP协议 CHAP验证 PAP验证

 

来源 https://www.cnblogs.com/tcheng/p/5967485.html

PAP是两次握手,明文传输用户密码进行认证;CHAP是三次握手,传输MD5值进行认证。

PAP:

 

CHAP:

 

 

        PPP协议是一种点——点串行通信协议。PPP具有处理错误检测、支持多个协议、允许在连接时刻协商IP地址、允许身份认证等功能,还有其他。PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP。PPP是面向字符类型的协议。

        PPP协议的验证分为两种:一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。

 

一、CHAP验证

给个今天的配置例子:

R1 R2两台路由器需要互相通信,即两方都有机会发出请求:

R1(config)#user R1 pas kxm   //为本机设置密码

R1(config)#user R2 pass kxm //对端密码 R2 是对端名称 kxm是对端密码

R1(config)#int se 0/1/1

R1(config-if)#enc ppp     //对serial 0/1/1 串口使用ppp协议

R1(config-if)#ppp au chap//使用chap验证

R1(config-if)#no shu

R1(config-if)#ex

 

R2(config)#user R2 pas kxm   //为本机设置密码

R2(config)#user R1 pass kxm //对端密码 R3 是对端名称 kxm是对端密码

R2(config)#int s 0/1/0

R2(config-if)#enc ppp//对serial 0/1/0 串口使用ppp协议

R2(config-if)#ppp au chap //使用chap验证

R2(config-if)#no shu

R2(config-if)#ex

配置好即可通信成功,当只配置一条链路的其中一边的路由器时,端口状态为down。只有当两边路由器都配置成功时,端口才为up。

 

以上情况为两路由器需要互相通信是的情况。当存在服务器端和客户端时,客户端将只需要配置本地口令。

如上例改成R1为服务器端,R2为客户端,即只出现R2向R1发出请求的情况:

R1配置不变。

R2配置如下:

R2(config)#user R2 pas kxm   //为本机设置密码

 

CHAP的诊断

对于CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。

 

2、PAP验证

DCE设备端(RouterA)PPP封装之PAP验证设置(关键配置)

RouterA# configure terminal

RouterA(config)# username RouterB password 111

RouterA(config)# interface serial 0/0

RouterA(config-if)# encapsulation ppp

RouterA(config-if)# ppp authentication pap

RouterA(config-if)# ppp pap sent-username routera password 222

RouterA(config-if)# clock rate 64000

RouterA(config-if)# exit

 

DTE设备端(RouterB)PPP封装之PAP验证设置(关键配置)

RouterB# configure terminal

RouterB(config)# username routera password 222

RouterB(config)# interface serial 0/0

RouterB(config-if)# encapsulation ppp

RouterB(config-if)# ppp authentication pap

RouterB(config-if)# ppp pap sent-username routerb password 111

RouterB(config-if)# exit

 

与CHAP的差异见红字部分

 

 三、两种认证方法的配置:

通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。假如失败,再采用CHAP身份认证方法。

  RouterA(config-if)#ppp authentication pap chap

  如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。

  RouterA(config-if)#ppp authentication chap pap

 

PAP和CHAP的区别:

区别在于认证过程,PAP是简单认证,明文传送,客户端直接发送包含用户名/口令的认证请求,服务器端处理并回应。而CHAP是加密认证,先由服务器端给客户端发送一个随机码challenge,客户端根据challenge对口令进行加密,算法是md5(password,challenge,ppp_id).然后把这个结果发送给服务器端.服务器端从数据库中取出口令password2,同样进行加密处理。最后比较加密的结果是否相同.如相同,则认证通过,向客户端发送认可消息

 

PAP和CHAP的意思:

GPRS设置中的PAP鉴权和CHAP鉴权有何区别分类:PAP和CHAP是目前的在PPP中普遍使用的认证协议。PAP是简单二次握手身份验证协议,用户名和密码明文传送,安全性低.PAP全称为:Password Authentication Protocol。CHAP是一种挑战响应式协议,三次握手身份验证,口令信息加密传送,安全性高. CHAP全称为:Challenge Handshake Authentication Protocol。

 

你可能感兴趣的:(java,数据库)