实验十一PPP协议的CHAP验证
实验十二 PPP协议的CHAP验证
一、实验目的
1、了解PPP协议的基本概念和原理
2、掌握PPP配置方法
二、原理概述
PPP(Point-to-Point Protocol,点到点协议)是用于在点到点线路上(拨号或专线)传输数据的数据链路层协议,具备用户验证能力,支持多种网络协议和地址自动分配,是目前广域网上应用最广泛的协议之一。
PPP解决了链路建立、维护、拆除、上层协议协商、认证等问题。协议包括:一个将IP数据报封装到串行链路的方法;链路控制协议LCP;一套网络控制协议NCP;CHAP质询握手验证协议。
PPP身份验证协议:PAP或CHAP,一般说来CHAP是首选的验证协议。PAP(密码验证协议)通过使用两次握手机制,为建立远程节点的验证提供了一个简单的方法。特点:身份验证时密码以明文传送; 而且由于验证重试的频率和次数由远程发起者控制,因此不能防止回放攻击和重复的尝试攻击。
远程节点。(回应数值是由单向哈希函数基于密码和挑战消息计算得出)
三、实验内容
1、
配置两台路由器之间的PPP 连接。 2、 配置PPP 用户。
3、
测试。 四、 实验环境
主机两台,Cisco 路由器两台(R1,R2),各类线缆若干。
实验拓扑:
五、实验步骤:
1、连接:按上图所示用串行接口线缆连接路由器R1和R2。
2、配置路由器R1,R2
R1
router#conf t
router(config)#hostname r1
r1(config)#username r2 password 2007
r1(config)#int s0/0/0
r1(config-if)#encapsulation ppp
r1(config-if)#clock rate 56000
r1(config-if)#ppp authentication chap
r1(config-if)#ip add 192.168.1.1 255.255.255.0
r1(config-if)#no sh
S0 192.168.1.1 S1 192.168.1.2
R2
router#Conf t
router (config)#Hostname r2
r2(config)#Username r1 passoword 2007
r2(config)#int s0/0/1
r2(config-if)#encapsulation ppp
r2(config-if)#no shut
r2(config-if)#ppp authentication chap
r2(config-if)#ip add 192.168.1.2 255.255.255.0 r2(config-if)#Exit
r2#ping 192.168.1.1
3、显示CHAP验证过程:
R1#ping 192.168.1.2
R2#conf t
R2(config)#int s0/0/1
R2(config-if)#sh
R2(config-if)#no sh
R2(config-if)#^z
R2#debug ppp authentication
*Dec 11 08:46:15.191: Se0/0/1 PPP: Using default call direction
*Dec 11 08:46:15.191: Se0/0/1 PPP: Treating connection as a dedicated line
*Dec 11 08:46:15.191: Se0/0/1 PPP: Session handle[95000003] Session id[3]
*Dec 11 08:46:15.191: Se0/0/1 PPP: Authorization required
*Dec 11 08:46:15.199: Se0/0/1 CHAP: O CHALLENGE id 3 len 23 from "r2"
*Dec 11 08:46:15.203: Se0/0/1 CHAP: I CHALLENGE id 3 len 23 from "r1"
*Dec 11 08:46:15.203: Se0/0/1 CHAP: Using hostname from unknown source
*Dec 11 08:46:15.203: Se0/0/1 CHAP: Using password from AAA
*Dec 11 08:46:15.203: Se0/0/1 CHAP: O RESPONSE id 3 len 23 from "r2"
*Dec 11 08:46:15.211: Se0/0/1 CHAP: I RESPONSE id 3 len 23 from "r1"
*Dec 11 08:46:15.211: Se0/0/1 PPP: Sent CHAP LOGIN Request
*Dec 11 08:46:15.211: Se0/0/1 PPP: Received LOGIN Response PASS
*Dec 11 08:46:15.211: Se0/0/1 PPP: Sent LCP AUTHOR Request
*Dec 11 08:46:15.211: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Dec 11 08:46:15.211: Se0/0/1 LCP: Received AAA AUTHOR Response PASS
*Dec 11 08:46:15.215: Se0/0/1 IPCP: Received AAA AUTHOR Response PASS
*Dec 11 08:46:15.215: Se0/0/1 CHAP: O SUCCESS id 3 len 4
*Dec 11 08:46:15.215: Se0/0/1 CHAP: I SUCCESS id 3 len 4
*Dec 11 08:46:15.215: Se0/0/1 PPP: Sent CDPCP AUTHOR Request
*Dec 11 08:46:15.215: Se0/0/1 CDPCP: Received AAA AUTHOR Response PASS
*Dec 11 08:46:15.219: Se0/0/1 PPP: Sent IPCP AUTHOR Request
*Dec 11 08:46:16.215: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/ 1, changed state to up
五、实验报告要求
1、描述PPP配置过程
2、记录CHAP验证过程
【思考题】
1、说明CHAP验证的原理。
2、PPP协议能支持IP以外的网络层协议?
实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写).pdf
实验19路由器接口PPP协议封装和PAP、CHAP验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP协议的封装结构及PAP、CHAP的认证原理和认 证过程,掌握PAP和CHAP认证的区别。 PAP CHAP 认证时由用户发起认证时由服务器发起 用户名、密码明文传送用 MD5 算法加密传送 次数无限,直至认证成功或线路关闭为止次数有限(一般为 3 次) 认证通过后不再进行验证认证通过后定时再验证 安全性低安全性很高 【实验拓扑】 图8-23给出了实验线路连接,实验时使用Cisco Packet Tracer5.2完成拓扑结构搭建。 注意连接线路时,不要使用Packet Tracer中的自动选择线缆类型方式进行连接,而要自己 选择合适的线缆进行连接,否则拓扑连接容易出错。 图8-23实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器,分别关闭电源后添加WIC-2T 模块,添加位置为插槽0/接口适 配器0(提示:在4个插槽中右下角的位置)。开启电源之后使用Serial 电缆将两台路由器 的Serial0/0/0 接口进行连接,连接时使得C2811B 为DCE 端、C2811A 为DTE 端,即选择 带时钟标记的串行线先连C2811B,然后再连C2811A。 电源开关, 用鼠标点击 图8.22 WIC-2T 模块安装位置可开关 【提示1】图8.22所示界面,可以单击某台路由器的图标,然后在弹出的框中选择“Physical” 选项卡,接着在左侧一栏中选择WIC-2T,最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时,用串行线旁边带时钟符号的线先连接C2811B,那么C2811B即为DCE 端,线另外一头所连接的路由器C2811A就是DTE;反之,亦成立。 1
PPP中的pap和chap认证
PPP中的pap和chap认证 写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤:
1.在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下,我们可以看到链路已经down了: R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置: R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证: Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up
PPP协议详细分析
PPP数据帧的格式 PPP协议也许大家都听说过,可以说现在家里的ADSL都是通过PPP协议进行链 路的搭建,今天就说说PPP到底是个啥东东。 想要了解PPP,个人认为有3个关键的知识点。 1、PPP数据帧的格式; 2、PPP的几种报文; 3、PPP的状态转移 首先说说的PPP数据帧的格式,因为PPP是链路层协议,所以我们将它的数 容易区分出每个PPP帧) 紧接在起始标志字节后的一个字节是地址域,该字节为0xFF。我们熟知网络是分层的,且对等层之间进行相互通信,而下层为上层提供服务。当对等层进行通信时首先需获知对方的地址,而对不同的网络,在数据链路层则表现为需要知道对方的MAC地址、X.121地址、ATM地址等;在网络层则表现为需要知道对方的IP地址、IPX地址等;而在传输层则需要知道对方的协议端口号。例如如果 两个以太网上的主机希望能够通信的话,首先发送端需获知对端的MAC地址。但由于PPP协议是被运用在点对点的链路上的特殊性,它不像广播或多点访问的网络一样,因为点对点的链路就可以唯一标示对方,因此使用PPP协议互连的通信设备的两端无须知道对方的数据链路层地址,所以该字节已无任何意义,按照协议的规定将该字节填充为全1的广播地址。同地址域一样,PPP数据帧的控制域也没有实际意义,按照协议的规定通信双方将该字节的内容填充为0x03。(既 然无意义,就可以随便赋值了吧,呵呵,只要大家都遵守一个标准就行) 就PPP协议本身而言,我们最关心的内容应该是它的协议域和信息域。协议域可用来区分PPP数据帧中信息域所承载的数据报文的内容。协议域的内容必须依据ISO 3309的地址扩展机制所给出的规定。该机制规定协议域所填充的内容必须为奇数,也即是要求低字节的最低位为“1”,高字节的最低位为“0”。如果当发送端发送的PPP数据帧的协议域字段不符合上述规定,则接收端会认为此数据帧是不可识别的,那么接收端会向发送端发送一个Protocol-Reject报文,在该报文尾部将完整地填充被拒绝的报文。 信息域缺省时最大长度不能超过1500字节,其中包括填充域的内容,1500字节大小等于PPP协议中配置参数选项MRU(Maximum Receive Unit)的缺省值,在实际应用当中可根据实际需要进行信息域最大封装长度选项的协商。信息域如果不足1500字节时可被填充,但不是必须的,如果填充则需通信双方的两端能辨认出有用与无用的信息方可正常通信。 协议域和信息域是需要合在一起看的,目前主要用到的协议类型有LCP、NCP 和普通的IP协议,而他们相对应的协议域字段则为0×C021、0×8021和0×0021,可以看到应证了这句话:也即是要求低字节的最低位为“1”,高字节的最低位为“0”。而后面的信息根据不同协议包含了不同的报文内容。
pap和chap认证
PAP认证和CHAP认证概述 一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议): PAP认证过程非常简单,二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方,可以做无限次的尝试(暴力破解)。 只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程: PAP认证过程图 首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。 二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议) CHAP认证过程比较复杂,三次握手机制。
使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证,有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。 CHAP认证过程: CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图: CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP 认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认
PPP协议的5种模式
PPP协议的5种模式 对于PPP协议来说,它最为有特点的就是5种不同的状态了。那么对于它的状态和它的应用方面有什么联系呢?这里我们就来详细谈一谈这方面的知识。现在让我们来具体了解一下吧。 首先双方都处于链路不可用阶段,接着会有一方提出链路请求,如果希望通过PPP协议建立点对点的通信,无论哪一端的设备都需发送LCP数据报文来配置链路,一旦LCP的配置参数选项协商完后,通信的双方就会根据LCP配置请求报文中所协商的认证配置参数选项来决定链路两端设备所采用的认证方式。协议缺省情况下双方是不进行认证的,而直接进入到NCP配置参数选项的协商,直至所经历的几个配置过程全部完成后,点对点的双方就可以开始通过已建立好的链路进行网络层数据报文的传送了,整个链路就处于可用状态。只有当任何一端收到LCP或NCP的链路关闭报文时(一般而言协议是不要求NCP有关闭链路的能力的,因此通常情况下关闭链路的数据报文是在LCP协商阶段或应用程序会话阶段发出的);物理层无法检测到载波或管理人员对该链路进行关闭操作,都会将该条链路断开,从而终止PPP 会话。 以下是PPP协议整个链路过程需经历阶段的状态转移说明:在点对点链路的配置、维护和终止过程中,PPP需经历以下几个阶段: 链路不可用阶段。有时也称为物理层不可用阶段,PPP链路都需从这个阶段开始和结束。(即使双方已经有物理连接,但没有激活PPP,也可以算不可用阶段)当通信双方的两端检测到物理线路激活(通常是检测到链路上有载波信号)时,就会从当前这个阶段跃迁至下一个阶段(即链路建立阶段)。先简单提一下链路建立阶段,在这个阶段主要是通过LCP协议(需要在PPP帧的协议域内填充C021)进行链路参数的配置,LCP在此阶段的状态机也会根据不同的事件发生变化。当处于在链路不可用阶段时,LCP的状态机是处于initial(初始化状态)或starting(准备启动状态),一旦检测到物理线路可用,则LCP的状态机就要发生改变。当然链路被断开后也同样会返回到这个阶段,往往在实际过程中这个阶段所停留的时间是很短的,仅仅是检测到对方设备的存在。 链路建立阶段。是PPP协议最关键和最复杂的阶段。这是在数据链路层进行。该阶段主要是发送一些配置报文来配置数据链路,这些配置的参数不包括网络层协议所需的参数。当完成数据报文的交换后,则会继续向下一个阶段跃迁,该下一个阶段既可是验证阶段,也可是网络层协议阶段,下一阶段的选择是依据链路两端的设备配置的(通常是由用户来配置,但对NAS或BAS设备(这些设备主要是用来进行3A:认证、授权和计费)的PPP模块缺省就需要支持PAP或CHAP中的一种认证方式)。在此阶段LCP的状态机会发生两次改变,前面我们说了当链路处于不可用阶段时,此时LCP的状态机处于initial或starting,当检
PPP协议的PAP和CHAP认证
PPP协议的PAP和CHAP认证 实验人: 实验名称:PPP协议的PAP和CHAP认证 实验目的:掌握PPP协议的PAP和CHAP认证的配置方法 实验原理: PAP认证: 用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向) CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证) 自动协商IP地址: 在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功! 头部压缩: 在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程: PAP单向认证:
H3C路由器ppp协议配置
一、实验原理、目的和要求 概念:PPP(Point_to_Point Protocol)协议是在点到点链路上承载网络层数据包的一种链路层协议,由于它能够提供用户验证,且易于扩充、支持同/异步物理链路,因厕而获得广泛的应用;FR(帧中继技术)是数据链路层简化的方法转发和交换数据单元的快速分组交换技术,帧中继采用虚电路技术,能充分利用网络资源,具有知吐量高、延时短、适合突发性业务等特点。 目的:通过教学要求学生掌握ppp(点对点链路)和FR(帧中继)概念、学会封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。 要求:学会封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。 二、重点和难点 重点:正确理解ppp(点对点链路)和FR(帧中继)概念、学会封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。 难点:封装链路层协议为PPP、并启用PAP或CHAP验证和帧中继封装。 三、网络拓扑图
四、远程登录网络设备的流程图 五、配置步骤 (一)配置各 PC 的 IP 地址 首先按照上图连接各实验设备,然后配置计算机名称 IP 地址子网掩码 PC1 193.1.1.2 255.255.255.0 PC2 193.1.3.2 255.255.255.0 (二)配置路由器端口的 IP 地址
配置路由器Route_A IP 地址子网掩码 Ethernet 0/0 193.1.1.1 255.255.255.0 Serial 1/0 192.1.2.254 255.255.255.0 配置路由器Route_B Ethernet 0/0 193.1.3.1 255.255.255.0 Serial 1/0 192.1.2.1 255.255.255.0 (三)配置参考 (一)PPP 验证配置 1、配置端口 IP 地址 (1)配置路由器Route_A < H3C> 启动进入状态,用户视图
详解PPP及PPPoE协议,文章写得通俗易懂
PPP(Point-to-Point Protocol点到点协议),一种二层协议,通常部署在专线网和按需电路网上面,PPP 有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。因此,应用十分广泛 当然,在专线网上我们也可以使用HDLC二层协议,但用的并不多,原因有三: 1.不支持验证,一层通二层就通 2.不支持多种上层协议(ip/ipx/appletalk等),而PPP帧中专门有一个字段用来标示上层协议类型 3.HDLC协议为厂商私有协议,各个厂商互不兼容,但HDLC是cisco产品的默认广域网封装方式, 要使用PPP协议需要encapsulation ppp 命令改变接口封装协议 我们家庭拨号上网就是通过PPP协议在用户端和运营商的接入服务器之间建立通信链路。目前,宽带接入已基本取代拔号接入,在宽带接入技术日新月异的今天,PPP也衍生出新的应用。典型的应用是在ADSL(非对称数据用户环线,Asymmetrical Digital Subscriber Loop)接入方式当中,PPP与其他的协议共同派生出了符合宽带接入要求的新的协议,如PPPoE(PPP over Ethernet),PPPoA(PPP over ATM)。 利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。PPPoE 即保护了用户方的以太网资源,又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的技术标准。 同样,在ATM(异步传输模式,Asynchronous Transfer Mode)网络上运行PPP协议来管理用户认证的方式称为PPPoA。它与PPPoE的原理相同,作用相同;不同的是它是在ATM网络上,而PPPoE是在以太网网络上运行,所以要分别适应ATM标准和以太网标准 好的,下面我们就以点到点专线上的PPP协议和以太网上的PPPoE协议为例,详细介绍它们的工作原理、验证过程及其配置方法 一、点到点专线上的PPP协议 PPP特性有很多,但主要的特性是具备验证技术,所以在此我们主要是讨论PPP的验证。PPP的验证方式分为两种:PAP和CHAP PAP( 密码验证协议):客户端向服务器端发送验证信息,包含用户名和密码。如果用户名和密码与服务器里保存的一致,那就通过验证,否则就不能通过(通过两次握手)。 CHAP(挑战握手验证协议):CHAP首先是由服务器发起的,它向客户端发送含有random值(随机生成)、id号、用户名和密码的数据,客户端收到数据后提取random、id和用户所对应的密码使用MD5算法进行哈希(hash)得到hash值。然后再把自己保存的用户名连同id和刚得到的hash值一起发送给服务器。服务器再收到数据后也进行以上操作得到hash值,再把算得的hash值与从客户端得到的hash 值进行比较:两值相同服务器就发送一个通过的信息;两值不同服务器就发送一个拒绝的信息。可以看出,CHAP在整个验证过程中是不发送密码的,所以是一种安全的认证。 好的,下面我们就以实例来演示PAP和CHAP的配置过程 1、实验拓朴 2、配置步骤 首先我们来做个PAP认证
认证方式pap chap协议解读
1. 前言 PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议,CHAP 在RFC1994中定义,是一种挑战响应式协议,双方共享的口令信息不用在通信中传输;PAP 在RFC1334中定义,是一种简单的明文用户名/口令认证方式。 2. PAP PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。 PAP协商选项格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 对于PAP,参数为: Type = 3,Length = 4,Authentication-Protocol = 0xc023(PAP) PAP数据包格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+-+ Code:1字节,表示PAP包的类型 1 认证请求 2 认证确认 3 认证失败 Identifier:ID号,1字节,辅助匹配请求和回应 Length:2字节,表示整个PAP数据的长度,包括Code, Identifier, Length和 Data字段。 Data:可能是0字节或多个字节,具体格式由Code字段决定,成功或失败类型包中长度可能为0。 对于认证请求(Code = 1)类型,PAP包格式为: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length |
26 配置和检验 PAP 身份验证与 CHAP 身份验证
实验26配置和检验PAP 身份验证与CHAP 身份验证 目标: ●使用PAP 和CHAP 配置PPP 身份验证。 ●使用show 和debug 命令检验连通性。 背景/准备工作 参照拓扑图,搭建一个类似的网络。本实验可使用具有一个串行接口的任何路由器。例如,可以使用800、1600、1700、1800、2500、2600 或2800 系列路由器或其任意组合。 本实验的说明信息同样适用于其它路由器;但命令语法可能会有所差异。根据路由器的型号,接口标识可能也不同。例如,有些路由器上的Serial0 可能是Serial0/0 或Serial0/0/0,而Ethernet0 可能是FastEthernet0/0。本实验的说明信息同样适用于使用Serial 0/0/0 接口表示方法的路由器。如果使用不同的路由器,请相应使用串行接口的正确表示方法。 本实验需要以下资源: ●具有串行连接的两台路由器 ●两台基于Windows 的计算机,每台都装有终端仿真程序 ●至少一根RJ-45 转DB-9 连接器控制台电缆,用于配置路由器 ●一根两段式(DTE/DCE) 串行电缆 步骤 1:连接设备 按照拓扑图所示,使用串行电缆连接Router 1 和Router 2 两台路由器的Serial 0/0/0 接口。 步骤 2:在 Router 1 上执行基本配置 a. 将PC 连接到该路由器的控制台端口,使用终端仿真程序执行配置。 b. 在Router 1 上,按照地址表中的规定配置主机名和IP 地址,保存配置。 步骤 3:在 Router 2 上执行基本配置
在Router 2 上,按照地址表中的规定配置主机名和IP 地址,保存配置。 步骤 4:在 R1 和 R2 上配置 PPP 封装 在两台路由器的接口Serial 0/0 配置模式提示符后输入encapsulation ppp,将封装类型更改为PPP。 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp 步骤 5:在 R1 和 R2 上检验 PPP 封装 在R1 和R2 上输入命令show interfaces serial 0/0/0,检验PPP 封装。 R1#show interfaces serial 0/0/0 R2#show interfaces serial 0/0/0 R1 是否使用PPP 封装?______是____ R2 是否使用PPP 封装?_____是_____ 步骤 6:检验串行连接是否工作正常 从R1 Ping R2,检查两台路由器之间是否存在连接。 R1#ping 192.168.15.2 R2#ping 192.168.15.1 从R1 是否能ping 通R2 路由器的串行接口?_____能_____ 从R2 是否能ping 通R1 路由器的串行接口?____能______ 如果上述任意一个问题的答案为否定,则检查路由器的配置纠正错误。重新执行ping 操作直到全部成功。 步骤 7:在 R1 上使用 PAP 配置 PPP 身份验证 a. 在R1 路由器上配置用户名和口令。用户名必须与另一台路由器的主机名相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。在Cisco 路由器上,两台路由器的加密口令必须相同。 R1(config)#username R2 password cisco R1(config)#interface serial 0/0/0 R1(config-if)#ppp authentication pap b. Cisco IOS 的11.1 版或更高版本中默认禁用PAP,因此必须在接口上启用PAP。在Serial 0/0/0 接口配置模式提示符后,启用该接口上的PAP。 R1(config-if)#ppp pap sent-username R1 password cisco 步骤 8:检验串行连接是否工作正常 Ping R2 的串行接口,检验串行连接是否工作正常。 是否会成功?___否______ 原因是什么?_______因为R2上还没有配PAP,所以无法通过验证并连通___________。 步骤 9:在 R2 上使用 PAP 配置 PPP 身份验证 a. 在R2 路由器上配置用户名和口令。用户名和口令必须与另一台路由器的主机名和口令相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。
计算机网络原理 PPP协议
计算机网络原理PPP协议 为了解决SLIP存在的的问题,Internet IETF成立了一个组制定(point-to-point protocol, PPP)协议。该协议文本描述于RFC1661,以及改进后的文本RFC1662,RFC1663。PPP能支持差错检测,支持各种协议,在连接时IP地址可赋值,具有身份验证功能,以及很多对SLIP 的改进功能。虽然目前很多Internet服务提供者ISP同时支持SLIP和PPP这两种协议,但从今后发展看,很明显PPP是主流,它不仅适用于拨号用户,且适用于租用的路由器对路由器线路。 PPP是个协议簇,它由以下三个部分组成: (1)在串行链路上封装IP数据报的方法:PPP既支持异步链路(无奇偶校验的8比特数据),也支持面向比特的同步链路。 (2)链路控制协议(link control protocol, LCP)用于启动线路、测试、任选功能的协商以及关闭连接。 (3)网络层任选功能的协商方法独立于使用的网络层协议,因此可适用于不同的网络控制协议(network control protocol, NCP)。 1.PPP协议基本特点 (1)PPP是个直接互连两个设备的点到点的链路协议,可以配置和自动封装多种网络层协议。 (2)PPP能对任何属于物理层的DTE/DCE接口进行操作。这些接口包括:EIA/TIA的RS232/RS422/RS423和ITU-T的V.35。 (3)PPP的链路可以是专线方式或交换方式,但必须是全双工的。 (4)PPP可支持同步串行模式,也可支持异步串行模式,或同时支持两者。 (5)PPP对数据传输的速率没有任何限制。可在电话线上进行低速传输,也可使用T1/E1作为点到点链路介质。 T1的传输速率为1.544Mbit/s;在欧洲把T1称为E1,E1的传输速率为2.048Mbit/s。 为了使用T1/E1需在路由器/主机处连入DSU/CSU设备,DSU/CSU设备为在广域网链路上传输进行编码。 PPP的帧格式很像HDLC的帧格式。PPP和HDLC的主要区别是:PPP是面向字符的,而不是面向位的。PPP在拨号调制解调器线路上使用字符填充技术,所以所有的帧都是字节的整数。PPP帧不仅能够通过拨号电话线发送出去,而且还能够通过真正的面向位的HDLC线路(即路由器与路由器相连)发送出去。 计算机网络原理点对点的PPP协议 为了改进SLIP的缺点,人们制订了点对点协议(point-to-point protocol,PPP),它所起的作用与OSI/RM中的数据链路层一致,可以完成链路的操作、维护和管理功能。并且支持任何种类的DTE-DCE接口(包括EIA RS-232、EIA-449与ITU-TV.35)。运行PPP协议只需要提供全双工的电路(专用的或者交换式的)以实现双向的数据传输,它对数据传输速率没有太严格的限制,所以能适用于多种远程接入的情形。PPP灵活的选项配置、多协议的封闭机制、良好的选项协商机制以及丰富的认证协议,使得它在远程接入技术中得到了广泛的应用。 1.PPP协议的构成 PPP由以下三个部分组成: (1)在串行链路上封装IP数据报的方法:PPP既支持异步链路(无奇偶校验的8比特数据),也支持面向比特的同步链路。
华为PPP验证PAP和CHAP
华为的考试中100%回出现类似的实验题,只要注意用户名和密码,就没有问题:) 1. 配置需求 路由器Quidway1和Quidway2之间用接口Serial0互连,要求路由器Quidway1(验证方)以PAP方式验证路由器Quidway2(被验证方)。 2. 配置步骤 (1)配置路由器Quidway1(验证方) !在本地数据库中添加一个名为quidway2,验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello !配置本端启用PAP验证方式 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp authentication pap (2) 配置路由器Quidway2(被验证方) !配置本端以用户名为quidway2、密码为hello被对端进行验证。 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp pap sent-username quidway2 password 0 hello 1.5.2CHAP验证举例 1. 配置需求 路由器Quidway1(验证方)以CHAP方式验证路由器Quidway2(被验证方)。 2. 配置步骤 (1)配置路由器Quidway1(验证方) !在本地数据库中添加一个名为quidway2,验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello !设置本端用户名为quidway1
同时启用chap和pap两种认证
写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证 chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulationppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤: 1. 在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库 R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证 在这样的配置下,我们可以看到链路已经down了:
PPP协议的配置与认证的课程设计
PPP协议的配置与认证 摘要本课程设计主要是利用Boson模拟器Netsim搭建一个网络模拟环境,在此环境中建立一个的路由器的拓扑网,并对路由器进行PPP协议配置,待所有的路由器配置好后,利用PAP和CHAP对路由器进行认证,并分别对其进行测试。根据认证和测试结果来分析该PPP协议的配置和认证的正确性。若使用Ping命令后两者是连通的说明该配置和认证是成功的。 关键词BosonNetsim;网络仿真;PPP协议;PAP认证;CHAP认证 1 引言 广域网协议指Internet上负责路由器与路由器之间连接的数据链路层协议。而常用的广域网有点对点的协议、高级数据链路控制协议、帧中继交换网、同步数据链路控制(SDLC)协议。点对点协议(PPP)为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的IP 流量传输提供一种封装协议。在TCP-IP 协议集中它是一种用来同步调制连接的数据链路层协议(OSI 模式中的第二层),替代了原来非标准的第二层协议,即SLIP。除了IP 以外PPP 还可以携带其它协议,包括DECnet 和Novell 的Internet 网包交换(IPX)。本课程设计是搭建一个模拟环境,并在路由器上进行PPP配置,用PAP和CHAP对其进行认证和测试。 1.1课程设计的背景和目的 计算机网络课程设计是《计算机网络》理论课的辅助环节。PPP协议是目前广域网上应用最广泛的协议之一,它的优点在于简单、具备用户验证能力、可以解决IP分配 等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前,宽带接入正在成为取代拨号上网的趋势,在宽带接入技术日新月异的今天,PPP
pap认证
PAP认证过程非常简单,是二次握手机制,而CHAP认证过程比较复杂,是三次握手机制, 下面就让我们来看一下两种具体的认证过程。 AD:51CTO 网+ 第十二期沙龙:大话数据之美_如何用数据驱动用户体验 一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议): PAP认证过程非常简单,二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方,可以做无限次的尝试(暴力破解)。 只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程: PAP认证过程图 首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。 二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议) CHAP认证过程比较复杂,三次握手机制。 使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证,有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。
CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图: CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认证通过,如果不一致,则认证不通过。 CHAP认证过程图: CHAP认证第三步:认证方告知被认证方认证是否通过。
一CISCO路由器ppp协议配置和认证
路由器ppp协议配置和认证: Router 0 的配置: --- System Configuration Dialog --- Continue with configuration dialog? [yes/no]: no Press RETURN to get started! Router>en Router>enable Router#conf Router#configure Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int Router(config)#interface f Router(config)#interface fastEthernet 0/0 Router(config-if)#ip add Router(config-if)#ip address 2.2.2.1 255.0.0.0 Router(config-if)#no shut Router(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#exit Router(config)#int Router(config)#interface s Router(config)#interface serial 0/0 Router(config-if)#ip add
实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写)
实验19 路由器接口PPP 协议封装和PAP 、CHAP 验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP 协议的封装结构及PAP 、CHAP 的认证原理和认 【实验拓扑】 图8-23给出了实验线路连接,实验时使用 Cisco Packet Tracer5.2完成拓扑结构搭建。注意连接线路时,不要使用Packet Tracer 中的自动选择线缆类型方式进行连接,而要自己选择合适的线缆进行连接,否则拓扑连接容易出错。 图 8-23 实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器,分别关闭电源后添加WIC-2T 模块,添加位置为插槽0/接口适 配器0(提示:在4个插槽中右下角的位置)。开启电源之后使用Serial 电缆将两台路由器的Serial0/0/0 接口进行连接,连接时使得C2811B 为DCE 端、C2811A 为DTE 端,即选择带时钟标记的串行线先连C2811B ,然后再连C2811A 。 图8.22 WIC-2T 模块安装位置 【提示1】图8.22所示界面,可以单击某台路由器的图标,然后在弹出的框中选择“Physical ”选项卡,接着在左侧一栏中选择WIC-2T ,最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时,用串行线旁边带时钟符号的线先连接C2811B ,那么C2811B 即为DCE 端,线另外一头所连接的路由器C2811A 就是DTE ;反之,亦成立。
(2) 参阅教材4.4.4 中内容,配置C2811A 的Serial0/0/0 接口的IP 地址192.168.1.1/24 和二层封装协议为PPP。配置C2811B 的Serial0/0/0 接口的IP 地址192.168.1.2/24和二层封装协议为PPP。 以下为C2811A的配置,配置如下: Router>enable Router#config t Router(config)#hostname LuoC2811A //简写 ho LuoC2811A LuoC2811A(config)#interface serial 0/0/0 //简写 int s0/0/0 LuoC2811A(config-if)#ip address 192.168.1.1 255.255.255.0 //简写ip addr LuoC2811A(config-if)#encapsulation ppp //简写enc pp LuoC2811A(config-if)#no shutdown //简写no shut 【提示】C2811B的配置与C2811A的配置类似,此处省略。 (3) 完成以上配置之后,分别在两台路由器上使用show interface Serial 0/0/0 查看接口信息,注意接口状态(指up还是down)、接口封装协议。在路由器上相互ping 对方IP地址,看能否ping通,并解释其原因。 LuoC2811A#show interface serial 0/0/0 //查看接口状态信息 Hardware is HD64570 Internet address is 192.168.1.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/0/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 output buffer failures, 0 output buffers swapped out