实验二十三：PPP协议中的CHAP和PAP验证

实验23:PPP协议中的CHAP和PAP认证一、理论基础1. PPP协议PPP协议是基于串行IP串行线路IP协议(slip )发展起来的。 由于SLIP协议仅支持异步传输方案、无协商过程(尤其是无法协商网络层属性，如双方的IP地址)等缺陷，所以SLIP协议将代替PPP协议在随后的发展过程中。 人们为了解决远程互联网的连接问题制定了PPP协议。 而且，需要使用PPP协议来动态地分配IP地址、或在多协议中使用的问题。 PPP可以通过同步和异步电路提供路由器和主机到网络的连接。 PPP是目前最广泛的WAN协议，以标准的串行封装方式，在连接建立过程中可以检查链路的质量。2.PPP协议的特征(1)动态地分配IP地址(例如，用于拨打的情况)(2)支持多个网络层协议(3)错误代码检测(4)多链路绑定(Multilink )(5)数据的压缩(6)链路结构和链路质量测试(7)回调(8)网络能力的谈判选项，如网络层地址协议、数据压缩协议等PPP定义了诸如链路控制协议(LCP )、网络层控制协议(NCP )和认证协议(PAP和CHAP )等一系列协议。 其中链路控制协议链路控制协议(LCP ) :协商链路参数，负责创建和维护链路。 网络层控制协议网络控制协议(NCP ) :用于协商网络层协议的参数。3、PPP是建立一个点到一个点的连接的四阶段(1)链接的建立和配置谈判(2)链路质量的决定(3)网络层协议构成谈判(4)连杆的拆卸4.PPP的验证方式PAP认证passwordauthenticationprotocol (pap )是两种握手认证协议，用于在网络上以明文传输用户名和密码。 PAP认证的过程如下被认证者积极发起认证请求，并向认证者发送本地用户名和密码认证者从被认证者那里收到认证请求后，确认用户名是否存在，密码是否正确。 如果此用户名存在，密码正确，则认证者返回Acknowledge响应，表示认证成功。如果此用户名不存在或密码错误。 认证者返回Not Acknowledge响应，表示认证失败。CHAP身份验证chap (挑战握手认证协议)是一种三次握手认证协议，仅在网络上传输用户名，而用户密码不在网络上传播。 CHAP认证步骤如下验证者积极发起验证请求，向被验证者发送随机发生的消息，同时向被验证者发送本地位置的用户名一旦被认证者接收到认证者的认证请求，被认证者基于此消息中的用户名在本地用户表中检索用户密码。 如果在用户表中找到与认证者的用户名相同的用户，则使用消息ID和他/她的密码通过MD5算法产生响应，然后返回响应和他/她的用户名验证者接收到此响应后，利用消息ID、其保存的被验证者密码和随机消息，通过MD5算法获得结果并与被验证者响应进行比较。 如果两者相同则返回Acknowledge响应，如果两者不相同则返回Not Acknowledge响应，表示认证失败。二、实验案例1 .实验拓扑图：2 .配置说明：路由器1的S0:192.168.1.10子网掩码： 255.255.255.0路由器2的S0:192.168.1.20子网掩码： 255.255.255.0三、具体结构：方法1:pap认证PAP的单方面验证路由器1的配置：路由器1 int s0路由器1 -串行0 IP地址192.168.10.1255.255.255.0路由器1 -串行0:013360453360 lineprotocolipontheinterfaceserial0ISP up路由器1 -串行0链路-协议PPP路由器1 -串行0 ppppaplocal-usersunkepasswordsimplesunke路由器1 dis curNow create configuration 是.目前配置(Current configuration )版本1.74sysname Router1firewall enableAAA -启用aaa会计-方案最佳化接口aux 0不同步模式流。链路协议PPP接口以太网0接口以太网1接口串列0 .时钟DTE clk 1链路协议PPPpppaplocal-usersunkepasswordsimplesunkeIP地址192.168.10.1255.255.255.0接口串列1 .链路协议PPP接口序列2.2链路协议PPP接口串列3 .链路协议PPPReturn路由器2的配置：路由器2 int s0路由器2 -串行0 IP地址192.168.10.2255.255.255.0路由器2串行0:2:5: lineprotocolipontheinterfaceserial0ISP up路由器2串行0链路协议PPP路由器2 本地用户服务-类型ppppasswordsimplesunke路由器2串行0 pppauthentication -模式pap路由器2 DSI curIncorrect command路由器2 dis curNow create configuration 是.目前配置(Current configuration )版本1.74本地用户sunkeservice-typepppasswordsimplesunkesysname Router2firewall enableAAA -启用aaa会计-方案最佳化接口aux 0不同步模式流。链路协议PPP接口以太网0接口串列0 .链路协议PPPPPP认证-模式papIP地址192.168.10.2255.255.0接口串列1 .链路协议PPP接口序列2。第二季链路协议PPP接口串列3 .链路协议PPPReturn测试结果：路由器1坪192.168.10.2ping 192.168.10.2: 56数据字节，press CTRL_C to break复制自192.168.10.2:字节=56序列=0TTL=255时间=27毫秒复制自192.168.10.2:字节=56序列=1TTL=255时间=26ms复制自192.168.10.2:字节=56序列=2TTL=255时间=26ms复制自192.168.10.2:字节=56序列=3TTL=255时间=26ms复制自192.168.10.2:字节=56序列=4TTL=255时间=26ms- 192.168.10.2坪静态-5分组传输。2010年5分组已接收.0.00 %数据包丢失漫游最小/avg /最大=26/26/27毫秒路由器2坪192.168.10.1ping 192.168.10.1:56数据字节，press CTRL_C to breakreply from 192.168.10.1:字节=56序列=0TTL=255时间=26ms复制自192.168.10.1:字节=56序列=1TTL=255时间=26ms复制自192.168.10.1:字节=56序列=2TTL=255时间=26ms复制自192.168.10.1:字节=56序列=3TTL=255时间=26ms复制自192.168.10.1:字节=56序列=4TTL=255时间=26ms- 192.168.10.1坪静态-5分组传输。2010年5分组已接收.0.00 %数据包丢失漫游最小/avg /最大=26/26/26毫秒PAP的双向认证路由器2添加的配置：路由器2 int s 0路由器2 -串行0 ppppaplocal-userdjwpasswordsimpledjw路由器1添加的配置：路由器1 本地用户jwservice-typepppasswordsimpledjw路由器1 -串行0 pppauthentication -模式pap路由器1 -串行0 dis curNow create configuration 是.目前配置(Current configuration )版本1.74local-userdjwservice-typepppasswordsimpledjwsysname Router1firewall enableAAA -启用aaa会计-方案最佳化接口aux 0不同步模式流。链路协议PPP接口以太网0接口以太网1接口串列0 .时钟DTE clk 1链路协议PPPPPP认证-模式pappppaplocal-usersunkepasswordsimplesunkeIP地址192.168.10.1255.255.255.0接口串列1 .链路协议PPP接口序列2.2链路协议PPP接口串列3 .链路协议PPPReturn重新测试的结果：路由器1坪192.168.10.2ping 192.168.10.2: 56数据字节，press CTRL_C to breakreply from 192.168.10.2:字节=56序列=0TTL=255时间=26毫秒repl