理解并配置PAP、CHAP及试题分析

第8章理解并实施远程接入技术任务8.3理解PPP的安全认证通过前面对PPP技术的学习，应该能成功地理解并配置PPP链路，而本小节将以描述PPP的安全为重点，其中包括PAP和CHAP认证，并对行业用户针对PPP认证部分的疑难问题进行详细的分析与解答。比如：在配置PAP与CHAP认证时，认证的密码是否必须一样？PAP与CHAP认证原理的主要区别在哪里？现在大家就从这里开始吧。任务8.3.1理解并取证：PPP的PAP认证的工作原理PAP（PasswordAuthenticationProtocol，密码认证协议）通过两次握手提供一种简单的明文认证方式，该认证建立在PPP初始链路（PPP的LCP过程）确定的基础上。下面是一个单向PAP认证的实例，路由器R2是认证服务器，路由器R1是被验证的客户端。关于PAP认证的工作原理示意图如图8.29所示图8.29PAP认证的工作原理示意图任务8.3.1一、R1向R2发起PPP的初始连接，实际上就是前面描述的PPP的LCP初始连接。二、当完成PPP的LCP初始连接后，R2要求R1提供PPP的PAP认证。事实上，PAP的认证也属于LCP阶段。三、R1将自己的用户名“R1”、密码“cisco”以明文的形式发送给R2，其发送的数据帧如图8.30所示，该消息为PAP的认证请求消息（Authenticate-Request）。注意：此时R1发送的用户名与密码没有经过任何加密处理，换而言之，很容易被第三方的用户侦听和窃用，所以PAP的安全性不是很高，请慎用。从图8.30所示的数据帧中可以明显地看出发送的用户名与密码字符串的内容。演示步骤图8.30PAP发送用户名与密码内容的数据帧任务8.3.1四、当R2收到R1发来的用户名和密码后，R2会将R1发来的认证信息在自己的本地安全数据库中进行匹配，如果能匹配上R1发来的用户名和密码就建立连接，并回送给R1认证确认消息（Authenticate-Ack），其数据帧如图8.31所示，如果认证失败则拒绝连接。演示步骤图8.31PAP认证的确认回送数据帧任务8.3.2

演示：PPP的PAP认证配置演示目标：实现思科路由器上PPP链路的PAP认证配置。演示环境：如图8.32所示。演示工具：两台思科路由器，要求路由器支持串口模块。演示背景：在该演示环境中，将两台思科路由器使用串口进行点对点的连接，然后在点对点的链路上启动PPP协议的封装。首先完成PAP的单向认证配置，要求路由器R2去认证路由器R1的PAP接入，然后再完成双向的PAP认证配置，要求路由器R1与R2进行相互认证，并使用不同的密码字符串。图8.32PAP认证实验环境任务8.3.2演示步骤：一、配置单向的PAP认证，要求R2认证R1的PPP连接。分别在路由器R1与R2上完成如下配置。路由器R2上关于单向PAP认证的配置：R2(config)#usernamer1passwordciscoR2(config)#intes1/0R2(config-if)#ipaddress192.168.3.2255.255.255.252R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationpapR2(config-if)#noshutdown指令解释：指令usernamer1passwordcisco指示在路由器R2上建立基于路由器本地的安全数据库，建立的用户名为“R1”，密码为“cisco”。当R1通过PAP认证请求消息发送用户名与密码给R2时，R2就会把R1发来的用户名及密码与该安全数据库中的用户名和密码做匹配。在路由器S1/0接口模式下，指令pppauthenticationpap指示要求该接口启动PAP认证功能。路由器R1上关于单向PAP认证的配置：R1(config)#intes1/0R1(config-if)#ipaddress192.168.3.1255.255.255.252R1(config-if)#encapsulationpppR1(config-if)#ppppapsent-usernamer1passwordciscoR1(config-if)#noshutdown指令解释：指令ppppapsent-usernamer1passwordcisco指示路由器R1将自己的用户名“R1”、密码“cisco”发给路由器R2进行PAP认证。由于目前的配置是单向PAP认证，只要求路由器R2认证R1的PAP接入，所以没有必要在路由器R1上建立本地安全数据库和启动PAP认证，因为此时的R1只是PAP认证的客户端。任务8.3.2二、当完成上述配置后，一个单向的PAP认证就配置完成了，现在需要来检测这个单向PAP认证的配置结果。首先在路由器R2的S1/0接口模式下使用shutdown指令关闭该接口，然后在路由器R2的特权模式下启动debugpppauthentication指令来debugppp认证的具体过程，最后再重新激活路由器R2的S1/0接口，debug会提示如图8.33所示的结果，从结果可得知，PAP的认证对等端是路由器R1，认证的结果是PASS（通过）。演示步骤：图8.33debugPAP的认证过程注意：在第二步的操作中,为什么需要首先关闭路由器R2的S1/0接口，然后启动debug后再激活该接口？原因很简单，因为PAP认证是在PPP链路的LCP阶段完成的，如果链路已经完成LCP的协商，那么debug将看不到任何关于PAP认证的消息。任务8.3.2三、配置双向PAP认证，并为路由器R1与R2设置不同的密码字符串，分别在路由器R1和R2上建立本地安全数据库，两台路由器的具体配置如下，当完成配置后，可以在路由器R2上测试与路由器R1的连通性，如图8.34所示，表示双向认证成功后的通信结果。演示步骤：路由器R2上关于双向PAP认证的配置：R2(config)#usernamer1passwordciscoR2(config)#intes1/0R2(config-if)#ipaddress192.168.3.2255.255.255.252R2(config-if)#encapsulationpppR2(config-if)#pppauthenticationpapR2(config-if)#ppppapsent-usernamer2passwordccnaR2(config-if)#noshutdown路由器R1上关于双向PAP认证的配置：R1(config)#usernamer2passwordccnaR1(config)#intes1/0R1(config-if)#ipaddress192.168.3.1255.255.255.252R1(config-if)#encapsulationpppR1(config-if)#pppauthenticationpapR1(config-if)#ppppapsent-usernamer1passwordciscoR1(config-if)#noshutdown任务8.3.2图8.34使用ping测试PAP认证完成后的结果注意：关于PAP的双向认证与单向认证的区别是，彼此认证的两台路由器都需要配置关于对方的本地安全数据库，都需要向对端发送相应的认证消息。值得注意的是，双向认证的密码字符串可以不相同，请注意区分后面小节所描述的CHAP认证。任务8.3.3

理解并取证：PPP的CHAP认证的工作原理

CHAP（ChallengeHandshakeAuthenticationProtocol，挑战握手认证协议）与PAP有很大区别，CHAP不会在链路上发送明文密码，而是通过三次握手过程来确认摘要消息，从而进行安全认证，所以CHAP的安全级别比PAP要高。那么，什么是CHAP的三次握手过程？什么是CHAP的摘要消息？请看关于CHAP认证的工作原理示意图，如图8.35所示。图8.35CHAP认证的工作原理示意图任务8.3.3演示步骤：一、路由器R1与R2在进行CHAP认证前，首先必须在认证对等体两端设定一个相同的预共享密钥字符串，比如“ccna”。强调：两端的密钥必须一样。二、路由器R2会生成一个随机数，然后对生成的这个随机数做两个处理：一是将随机数主动发送给路由器R1，这是CHAP三次握手的第一个过程，即发送CHAP的Challenge（挑战）消息，具体的数据帧如图8.36所示，可以清晰地看到CHAP的消息类型与R2的随机数；二是将这个随机数与自己这边的密钥（这个密钥实际上是R2与R1预先商量好的一个预共享密钥）放入MD5密钥生成器中进行MD5的计算，然后从MD5的计算结果中提取一个摘要消息。图8.36发送CHAP的挑战消息任务8.3.3演示步骤：三、当路由器R1接收到路由器R2发来的随机数后，它会将这个随机数与自己的密钥（这个密钥实际上是R2与R1预先商量好的一个密码）放入MD5密钥生成器中进行MD5的计算，然后将MD5密钥生成器生成的摘要值通过链路发送给R2。这是CHAP三次握手的第二个过程，即CHAP的响应消息，具体的数据帧如图8.37所示。从数据帧中可以看出，此时R1发送给R2的不是明文密码，而是经过处理后的摘要消息，这与PAP的认证有很大的区别，所以CHAP的安全性比PAP要高。图8.37发送摘要值给R1（CHAP的第二次握手）任务8.3.3演示步骤：四、当路由器R2收到R1发来的摘要消息后，会与第二步中路由器R2自己计算出来的摘要值做对比，如果结果一样就表示CHAP认证成功，并发回CHAP的认证确定消息，具体的数据帧如图8.38所示，然后进入PPP的NCP过程，如果不一样就切断链路。图8.38CHAP的回送消息（CHAP的第三次握手）注意：根据对CHAP认证工作原理的分析，不难看出路由器R1与R2两边的密钥必须相同，因为它们属于“预共享”机制的密钥，而该密钥是属于两边同时进行MD5摘要生成的关键因素。如果这两个密码不一样，即使是相同的随机数，MD5密钥生成器在两边计算出来的结果也会不一样，而摘要消息也就不可能匹配。但是真正的密钥内容并不用于网络传递。任务8.3.4演示：PPP的CHAP认证配置演示目标：配置PPP链路上的CHAP认证功能。演示环境：如图8.39所示。演示工具：两台思科路由器，要求路由器都支持串口模块。演示背景：在该演示环境中，将两台思科路由器使用串口进行点对点的连接，然后在点对点的链路上启动PPP协议的封装图8.39CHAP认证的配置环境任务8.3.4演示步骤：一、在路由器R1与R2的PPP链路上配置CHAP认证。路由器R1上的配置：r1(config)#usernamer2passwordccnar1(config)#interfaces1/0r1(config-if)#ipaddress192.168.3.1255.255.255.252r1(config-if)#encapsulationpppr1(config-if)#pppauthenticationchapr1(config-if)#pppchaphostnamer1r1(config-if)#pppchappasswordccna指令解释：指令usernamer2passwordccna指示在路由器R1上建立基于路由器本地的安全数据库，建立的用户名为“r2”，密码为“ccna”。事实上，这里的密码就是在CHAP认证工作原理部分所描述的预共享密钥，所以路由器R1上的用户名可以不同，但密码必须要和路由器R2上的密码字符串相同；指令pppauthenticationchap指示在PPP链路上启动CHAP认证；指令pppchaphostnamer1指示定义CHAP认证所使用的用户名；指令pppchappasswordccna指示定义CHAP认证所使用的共享密钥。任务8.3.4演示步骤：路由器R2上的配置：r2(config)#usernamer1passwordccnar2(config)#interfaces1/0r2(config-if)#ipaddress192.168.3.2255.255.255.252r2(config-if)#encapsulationpp