PPP CHAP单向验证

1、PPP CHAP单向验证（小平同志整理）一、拓朴图：二、R1的配置：1、修改设备名称和配置端口IP：Router(config#hostname R1R1(config#in s0/0/0R1(config-if#ip address 12.1.1.1 255.255.255.0R1(config-if#clock rate 64000R1(config-if#no shutdownR1(config-if#exit2、配置PPP CHAP验证：R1(config#username R2 password 123 配置本地验证使用的用户名和密码，因为虽然对端不再使用CHAP认证，但根据CHAP

2、验证过程来可以发现当本地R1路由器接收到对端被验证方R2路由器发回的响应应答报文后R1还要根据报文id找到本地保存的随机数，并根据发过来的被验证路由器的名字在数据库中查找用户名对应的密码，然后用id、随机数和密码经MD5算法得出一个Hash值，与被验证方发过来的Hash值进行比较，所以这里的用户名要使用对方路由器的名字，否则本地路由器R1就无法根据发过来的被验证路由器的名字在数据库中查找到用户名对应的密码，就无法计算出与被验证方发过来一样的Hash值,则就会导致验证失败；还有一点就是两端设备配置的验证密码一定要相同，因为两端路由器是基于密码计算Hash值的，如果两端的密码不同，计算出来的Has

3、h值就会不相同，将会导致验证失败，这一点与PAP验证不同。R1(config#in s0/0/0R1(config-if#encapsulation ppp 封装PPP协议R1(config-if#ppp authentication chap 配置验证方式为CHAP验证 （CHAP验证是路由器推荐的验证方式，因为CHAP是一种三次握手协议，它只在网络上传输用户名，而用户口令并不在网络上传播，安全性有提高，而且不用像PAP验证那样还要配置发送的用户名和密码。）R1(config-if#no shutdown三、R2的配置：1、修改设备名称和配置端口IP：Router(config#hostna

4、me R2R2(config#in s0/0/1R2(config-if#ip address 12.1.1.2 255.255.255.0R2(config-if#no shutdownR2(config-if#exit2、配置PPP CHAP验证：R2(config#username R1 password 123 由于在这里R2路由器作为被验证方，根据CHAP的验证过程看R2就需要在接收到R1主动发的挑战报文后，根据报文中的主机名在数据库中查找用户名对应的密码，然后利用报文中的id和此用户名对应的密码以及发过来的随机数，以MD5算法生成一个Hash值，并将其和验证方发过来的id值和生成的

5、Hash值以及本路由器的名字发回给验证方，如果在这里被验证方R2路由器不建立一个和验证方R1的设备名一样的用户名和一个和验证方R1的数据库中一样的密码的话，被验证路由器R2就无法根据报文中的主机名在数据库中找到相同用户名对应的密码，也就无法计算出一个与之后验证方R1计算出的一样的Hash值，则验证就将失败，被证方R2的连接请求就将会被验证方R1拒绝，所以在这里必须还要配置一个和验证方R1的设备名一样的用户名和一个和验证方R1的数据库中一样的密码所组成的本地数据库使用的用户名和密码。R2(config#in s0/0/1R2(config-if#encapsulation ppp 封装PPP协议（备注：由于这里是单向验证，而R2路由器作为被验证方，所以在这里下面是不用为R2配置验证方式的）R2(config-if#no shutdown从上面的配置中，可以得出关于PPP CHAP的两点结论：一、CHAP验证中的用户名要是对方路由器的主机名；二、两端路由器使用的密码要相同。备注：CHAP作用在LCP初始链路建立之后，而且在链路建立成功后任何时间都可以进行重复验证。这里要注意的是，CHAP验证