ppp 之pap chap验证

广域网协议配置

 

HDLC是在数据链路层中使用最广泛的协议之一。DCR系列路由器的HDLC协议是按照Cisco HDLC标准实现的。DCR系列路由器的同/异 步串口的缺省工作状态为同步工作方式下封装HDLC协议。在实际应用中，当路由器通过 DDN专线与广域网连接时，采用HDLC封装协议。

 

配置示范：将 serial 2/0 接口封装为 HDLC 协议。

Router(config)#interface Serial2/0

Router(config-serial2/0)#encapsulation hdlc

设置 serial2/0 接口 HDLC 协议的保活时间间隔为 10 秒

Router(config-serial2/0)#hdlc keepalive 10

改变 serial2/0 接口的链路封装协议（原 HDLC）为 PPP 协议

Router(config)#interface serial2/0

Router(config-serial2/0)#encapsulation ppp

 

 

PPP 协议简介

PPP（Point-to-Point Protocol）协议是为在点到点链路上传输数据包而设计的，它是在点 到点链路上承载网络层数据包的一种链路层协议。PPP 协议可以承载多种网络层协议数据 包，如 IP 和 IPX，并提供 PAP、CHAP、MS-CHAP 三种安全认证方式，以防止未经许可的 非法用户访问。PPP 支持串口同步和异步两种模式。

 

PPP 定义了一整套协议，包括：

LCP（Link Control Protocol）：链路控制协议，用来协商链路的一些参数，负责创建并 维护链路；

 NCP（Network Control Protocol）：网络控制协议，例如 IPCP 协议、IPXCP 协议；

AP（PPP Authentication Protocols）：PPP 认证协议，包括 PAP（Password Authentication Protocol）协议和 CHAP（Challenge Handshake Authentication Protocol）协议。

 

1.PPP 配置 （

1）配置接口封装PPP协议

将 serial 2/0 接口封装为 PPP 协议，

配置如下：

Router#config

Router(config)#interface serial2/0

Router(config-serial2/0)#encapsulation ppp

 

（2）配置PPP验证方式及用户名、用户口令 PPP 认证协议中包含 PAP、CHAP、MS-CHAP 三种认证协议。它们通常被用于在封装 PPP 协议的串行线路上提供安全性认证，其中 CHAP 认证安全性高于 PAP 认证。

 PAP 验证为两次握手过程，其验证过程如下： 1． 被验证方以明文方式发送用户名和口令到验证方； 2． 验证方根据本端合法用户列表查看对端用户名及口令是否匹配。当检查为合法用 户，则 PAP 认证通过；如果检查为非法用户，则 PAP 认证失败。

CHAP 验证为三次握手过程，其验证过程如下：

1．验证方向被验证方发送一串随机产生的报文；

2．被验证方用自己的用户密码对这串随机报文进行 MD5 加密，并将生成的密文发送 回验证方；

3．验证方用本端用户列表中保存的被验证方密码对原随机报文进行 MD5 加密，并比较两个密文，根据比较结果返回不同的响应。当比较结果相同，则认为是合法用户， CHAP 认证通过；当比较结果不同，则认为是非法用户，CHAP 认证失败。

 

配置举例 ：

PAP 验证：（既可单向，也可双向）

1、 (R1)全局模式：

（1）、开启3A认证：R1 (config) #aaa authencation  ppp default  local

(2)、创建本地用户：username zhangsan password 123456

(3)、进接口：  int s0/1

                        Ip add 10.10.10.1 255.255.255.0

                        Encaps  ppp

                        Physical-layer  speed 64000

                        Ppp authencation pap

          2、（R2）

进接口 ：int s0/2

                        Ip add 10.10.10.2 255.255.255.0

                        Encaps  ppp

                        Physical-layer  speed 64000

                        Ppp pap sent-username zhangsan password 123456

 

CHAP 验证  (双向)

1、    (R1)全局模式：

（1）、开启3A认证：R1 (config) #aaa authencation  ppp default  local

(2)、创建本地用户：username R2 password 123456

(3)、进接口：  int s0/1

                        Ip add 10.10.10.1 255.255.255.0

                        Encaps  ppp

                        Physical-layer  speed 64000

                        Ppp authencation chap

                        Ppp chap hostname R1

          2、（R2）

R2 (config) #aaa authencation  ppp default  local

创建本地用户：username R1 password 123456

 

进接口 ：int s0/2

                        Ip add 10.10.10.2 255.255.255.0

                        Encaps  ppp

                        Physical-layer  speed 64000

                        Ppp authencation chap

                        Ppp chap hostname R2