Lab_5 PPP
Lab_5 PPP
一.PPP
概述... 2
二.PPP
的认证... 2
PAP
认证... 3
CHAP
认证... 5
Capture
分析CHAP
认证过程... 9
三.总结
/
注意事项... 11
一.
PPP
概述
点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议。
PPP提供了3类功能:成帧;链路控制协议LCP;网络控制协议NCP。
NCP(网络控制协议):
对三层数据的封装(tcp/ip,Noell ipx,Apple talk)
LCP(链路控制协议):链路的建立和控制
建立,压缩,认证,回拨
PPP和HDLC之间最主要的区别是,PPP是面向字节的,HDLC是面向位的。
二.PPP的认证
PPP
的两种认证方式:一种是PAP,一种是CHAP。相对来说PAP的认证方式安全性没有CHAP高。PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。PAP认证是被叫提出连接请求,主叫响应。而CHAP则是主叫发出请求,被叫回复一个数据包,这个包里面有主叫发送的随机的哈希值,主叫在数据库中确认无误后发送一个连接成功的数据包连接。
PAP
认证
PAP(密码认证)
明文传输
两次握手
由被验证方发起请求
基本配置
单向认证
R1(config)# username cisco password cisco
Debug
Captrue
查看密码
双向加密
R1
(config)#username cisco password cisco
R2
(config)#username huawei password huawei
故意将密码输错,提示验证失败
验证成功
CHAP
认证
CHAP(挑战握手认证)
密文传输(MD5加密)
三次握手
由验证方发起请求
基本配置
双向认证
R1(config)#username R2 password cisco
R2(config)#username R1 password cisco
单向认证
R1(config)#username R2 password cisco
766-1:R2
3640-1:R1
详解
首先R2向R1发送一个挑战包
挑战包中包含R2包的类型(01),主机名(R2)、序列号和一个随机数
R1
收到挑战包后将ID和随机数拿出来与自己的hostname,password做hash运算,再将hash值发送给R2
Type
为02 ,ID为挑战包ID,和自己的主机名
R2
收到确认包后 在将存储在本地的 挑战包随机数+ID+主机名+密码的Hash
值与收到的确认包中的Hash值做比较,如果相匹配则发送“welcom in”认证通过
,建立连接
Capture
分析CHAP认证过程
环境
R1
:
R2:
R2:
Capture
×每次的随机数值是不同的
挑战包中包含R2包的类型(01),主机名(R1)、序列号(64)和一个随机数(Value=)
R2
收到挑战包后将ID和随机数拿出来与自己的hostname(cisco),password(cisco)做hash运算,再将hash值发送给R1
R1
将存储在本地的 挑战包随机数+ID+主机名(cisco)+密码(cisco)的Hash
值与收到的确认包中的Hash值做比较,如果相匹配则认证通过
PPP
的封装上层协议
PPP
数据的传输
三.总结/注意事项
1、CHAP认证过程中,口令是大小写敏感的。
2、身份认证也可以双向进行,即互相认证。配置方法同单向认证类似,只不过需要将通信双方同时配置成为认证服务器和认证客户端。
3、口令数据库也可以存储在路由器以外的AAA或TACACS+服务器上。限于篇幅,此处不再赘述。
通信认证双方选择的认证方法可能不一样,如一方选择PAP,另一方选择CHAP,这时双方的认证协商将失败。为了避免身份认证协议过程中出现这样的失败,可以配置路由器使用两种认证方法。当第一种认证协商失败后,可以选择尝试用另一种身份认证方法。如下的命令配置路由器首先采用PAP身份认证方法。如果失败,再采用CHAP身份认证方法。
RouterA(config-if)#ppp authentication pap chap
如下的命令则相反,首先使用CHAP认证,协商失败后采用PAP认证。
RouterA(config-if)#ppp authentication chap pap
4. 验证后删除帐户后任然可以通信
5. 使用CHAP认证时不能使用secret加密