pap和chap认证

PAP认证和CHAP认证概述

一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）：

PAP认证过程非常简单，二次握手机制。

使用明文格式发送用户名和密码。

发起方为被认证方，可以做无限次的尝试（暴力破解）。

只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。

目前在PPPOE拨号环境中用的比较常见。

PAP认证过程：

PAP认证过程图

首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。

二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议）

CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。

由认证方发起CHAP认证，有效避免暴力破解。

在链路建立成功后具有再次认证检测机制。

目前在企业网的远程接入环境中用的比较常见。

CHAP认证过程：

CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。

CHAP认证过程图：

CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP 认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认

证通过，如果不一致，则认证不通过。

CHAP认证过程图：

CHAP认证第三步：认证方告知被认证方认证是否通过。

CHAP认证过程图：

CHAP认证和PAP认证的过程如上所述，这两种认证协议都被PPP协议支持，大家可以搜索相关的内容辅助理解这两个认证过程。

实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写).pdf

实验19路由器接口PPP协议封装和PAP、CHAP验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP协议的封装结构及PAP、CHAP的认证原理和认 证过程，掌握PAP和CHAP认证的区别。 PAP CHAP 认证时由用户发起认证时由服务器发起 用户名、密码明文传送用 MD5 算法加密传送 次数无限，直至认证成功或线路关闭为止次数有限（一般为 3 次） 认证通过后不再进行验证认证通过后定时再验证 安全性低安全性很高 【实验拓扑】 图8-23给出了实验线路连接，实验时使用Cisco Packet Tracer5.2完成拓扑结构搭建。 注意连接线路时，不要使用Packet Tracer中的自动选择线缆类型方式进行连接，而要自己 选择合适的线缆进行连接，否则拓扑连接容易出错。 图8-23实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器，分别关闭电源后添加WIC-2T 模块，添加位置为插槽0/接口适 配器0（提示：在4个插槽中右下角的位置）。开启电源之后使用Serial 电缆将两台路由器 的Serial0/0/0 接口进行连接，连接时使得C2811B 为DCE 端、C2811A 为DTE 端，即选择 带时钟标记的串行线先连C2811B，然后再连C2811A。 电源开关， 用鼠标点击 图8.22 WIC-2T 模块安装位置可开关 【提示1】图8.22所示界面，可以单击某台路由器的图标，然后在弹出的框中选择“Physical” 选项卡，接着在左侧一栏中选择WIC-2T，最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时，用串行线旁边带时钟符号的线先连接C2811B，那么C2811B即为DCE 端，线另外一头所连接的路由器C2811A就是DTE；反之，亦成立。 1

PPP中的pap和chap认证

PPP中的pap和chap认证 写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。 实验等级：Aassistant 实验拓扑： 实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置： R1： ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2： hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置，在没有启用任何认证的情况下，链路是通的。 配置步骤：

1.在两台路由器上进行pap认证： 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下，我们可以看到链路已经down了： R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端，需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置： R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来，我们仅在R1上做了认证，而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证： Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上，我们只要将R2配置成服务器端，将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up

实验14.3 PPP之CHAP认证

实验14.3 PPP之CHAP认证 一、实验需求 （1）路由器串口通过PPP进行地址协商获取IP地址； （2）路由器之间改成CHAP认证，以建立PPP链路。 二、实验拓扑 图1 配置CHAP单向认证实验 三、实验步骤 （1）请根据实验拓扑图，配置各个路由器的主机名（主机名格式：如R1-zhangsan）和接口IP地址，R2的接口IP采用PPP协商获取，请给出R1、R2的配置截图。 与实验14.2配置相同，图略 （2）在R2上查看接口是否获取到IP地址，并观察接口状态，再截图。与实验14.2配置相同，图略 （3）在当前未做认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。 与实验14.2配置相同，图略 //能通则正常，反之则不正常。 （4）在R1上配置论证数据库，并在R1的串口启用chap认证，然后在R2的串口配置用于验证的用户名和需要发送的密码，请给出R1和R2的配置截图。

（5）在R1上对PPP链路进行抓包，启动wireshark后，shutdown R1的串口，然后执行undo shutdown命令启用R1的串口，再到wireshark上查看抓到的CHAP包，找出并标识出用于CHAP认证的用户名和密码，最后对包含CHAP认证账号信息的包进行截图。

（6）在当前已做CHAP认证的情况下，通过R1 ping R2，检验PPP链路是否能正常通信，请给出ping结果的截图。 //能通则说明CHAP认证成功，反之则说明PPP链路认证失败。 说明：本实验是CHAP单向认证，如果要作CHAP双向认证，则每个路由器既作为主认证方，又作为被认证方。在本实验的基础上对R2配置AAA认证账户，并在串口下启用CHAP认证；在R1的串口下配置用于认证的账号信息即可。

pap和chap认证

PAP认证和CHAP认证概述 一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）： PAP认证过程非常简单，二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方，可以做无限次的尝试（暴力破解）。 只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程： PAP认证过程图 首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。 二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议） CHAP认证过程比较复杂，三次握手机制。

使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证，有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。 CHAP认证过程： CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图： CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP 认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认

linux--ISCSI和CHAP认证

ISCSI映射和CHAP验证 一、TARGET端 1、安装iscsitarget安装包 创建好需要映射的分区，lvdisplay查看逻辑分区，记录分区路径。 2、配置iscsi，并映射分区 编辑etc/iet/ietd.conf文件， [root@unaryhost iet]# vi /etc/iet/ietd.conf 添加配置内容， 其中unaryhost.uarydomain是计算机名，isctest是自定义标识符 配置完成，启动服务[root@unaryhost iet]# /etc/init.d/iscsi-target start

在win2008可以看到连接的iscsi盘 3、CHAP验证配置 CHAP验证有两种，一种是针对discovery的，即如果不符合验证的用户名和密码，则initiator端便无法通过"-m discovery"发现指定主机上的任何一个target。 另一种是针对node login的，即果不符合验证的用户名和密码，则initiator 端编无法通过--login登录指定主机上的某一个target。 （1）配置discovery验证 格式IncomingUser [name] [password] Discovery验证为全局参数，所以必须放在第一个Target之前 此处的name是initiator的名字，也可以自定义字符串。 编辑/etc/iet/iet.conf,添加验证参数 （2）配置login验证 格式IncomingUser [name] [password]

由于是正对login的验证，所以参数放在需要验证的Target后面 配置完成，重新启动iscsi服务生效。 [root@unaryhost iet]# /etc/init.d/iscsi-target restart 二、initiator端 linux 1、安装iscsi-initiator-utils-.rpm包 安装完毕，启动进程/etc/init.d/iscsid 2、发现target 格式：iscsiadm -m discovery -t sendtargets -p : 默认端口3260

PPP协议的PAP和CHAP认证

PPP协议的PAP和CHAP认证 实验人： 实验名称：PPP协议的PAP和CHAP认证 实验目的：掌握PPP协议的PAP和CHAP认证的配置方法 实验原理： PAP认证： 用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置PAP认证，当只配置R1PAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送PAP认证信息时，即可ping通（单向）；在R1和R2上，分别配置PAP认证和发送PAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功！（双向） CHAP认证：

用小凡搭建如图实验环境，然后配置各路由器的S0/0端口IP和PPP封装协议，再配置CHAP认证，当只配置R1 CHAP认证时，不能ping通对方（192.168.1.2），再配置R2的发送CHAP 认证信息时，即可ping通（单向）；在R1和R2上，分别配置CHAP认证和发送CHAP认证信息，此时，即可ping通R2（192.168.1.2），即实验成功（双向认证） 自动协商IP地址： 在R1上，配置分配IP地址（端口下，命令peer default ip address 192.168.1.100），然后在R2上，配置自动协商IP地址（在端口下，命令ip add negotiated），此时在R2可以获得192.168.1.100的IP地址，即实验成功！ 头部压缩： 在R1和R2上，配置头部压缩功能，再ping 192.168.1.2，使其用数据流，用show compress 命令查看压缩情况，即实验成功！实验过程： PAP单向认证：

认证方式pap chap协议解读

1. 前言 PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议，CHAP 在RFC1994中定义，是一种挑战响应式协议，双方共享的口令信息不用在通信中传输；PAP 在RFC1334中定义，是一种简单的明文用户名/口令认证方式。 2. PAP PAP全称为：Password Authentication Protocol（口令认证协议），是PPP中的基本认证协议。PAP就是普通的口令认证，要求将密钥信息在通信信道中明文传输，因此容易被sniffer监听而泄漏。 PAP协商选项格式： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 对于PAP，参数为： Type = 3，Length = 4，Authentication-Protocol = 0xc023(PAP) PAP数据包格式： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+-+ Code：1字节，表示PAP包的类型 1 认证请求 2 认证确认 3 认证失败 Identifier：ID号，1字节，辅助匹配请求和回应 Length：2字节，表示整个PAP数据的长度，包括Code, Identifier, Length和 Data字段。 Data：可能是0字节或多个字节，具体格式由Code字段决定，成功或失败类型包中长度可能为0。 对于认证请求（Code = 1）类型，PAP包格式为： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length |

CHAP单向验证举例

CHAP单向验证举例 1. 组网需求 在图中，要求设备Router A用CHAP方式验证设备Router B。 2. 配置方法一（验证方配置用户名时以CHAP方式认证对端） (1) 配置Router A # 为Router B创建本地用户。 system-view [RouterA] local-user userb # 设置本地用户的密码。 [RouterA-luser-userb] password simple hello # 设置本地用户的服务类型为PPP。 [RouterA-luser-userb] service-type ppp [RouterA-luser-userb] quit # 配置接口封装的链路层协议为PPP。 [RouterA] interface serial 2/0 [RouterA-Serial2/0] link-protocol ppp # 配置采用CHAP验证时Router A的用户名。 [RouterA-Serial2/0] ppp chap user usera # 配置本地验证Router B的方式为CHAP。 [RouterA-Serial2/0] ppp authentication-mode chap domain system # 配置接口的IP地址。 [RouterA-Serial2/0] ip address 200.1.1.1 16 [RouterA-Serial2/0] quit # 在系统缺省的ISP域system下，配置PPP用户使用本地认证方案。[RouterA] domain system [RouterA-isp-system] authentication ppp local (2) 配置Router B # 为Router A创建本地用户。 system-view [RouterB] local-user usera # 设置本地用户的密码。 [RouterB-luser-usera] password simple hello

26 配置和检验 PAP 身份验证与 CHAP 身份验证

实验26配置和检验PAP 身份验证与CHAP 身份验证 目标： ●使用PAP 和CHAP 配置PPP 身份验证。 ●使用show 和debug 命令检验连通性。 背景／准备工作 参照拓扑图，搭建一个类似的网络。本实验可使用具有一个串行接口的任何路由器。例如，可以使用800、1600、1700、1800、2500、2600 或2800 系列路由器或其任意组合。 本实验的说明信息同样适用于其它路由器；但命令语法可能会有所差异。根据路由器的型号，接口标识可能也不同。例如，有些路由器上的Serial0 可能是Serial0/0 或Serial0/0/0，而Ethernet0 可能是FastEthernet0/0。本实验的说明信息同样适用于使用Serial 0/0/0 接口表示方法的路由器。如果使用不同的路由器，请相应使用串行接口的正确表示方法。 本实验需要以下资源： ●具有串行连接的两台路由器 ●两台基于Windows 的计算机，每台都装有终端仿真程序 ●至少一根RJ-45 转DB-9 连接器控制台电缆，用于配置路由器 ●一根两段式(DTE/DCE) 串行电缆 步骤 1：连接设备 按照拓扑图所示，使用串行电缆连接Router 1 和Router 2 两台路由器的Serial 0/0/0 接口。 步骤 2：在 Router 1 上执行基本配置 a. 将PC 连接到该路由器的控制台端口，使用终端仿真程序执行配置。 b. 在Router 1 上，按照地址表中的规定配置主机名和IP 地址，保存配置。 步骤 3：在 Router 2 上执行基本配置

在Router 2 上，按照地址表中的规定配置主机名和IP 地址，保存配置。 步骤 4：在 R1 和 R2 上配置 PPP 封装 在两台路由器的接口Serial 0/0 配置模式提示符后输入encapsulation ppp，将封装类型更改为PPP。 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp 步骤 5：在 R1 和 R2 上检验 PPP 封装 在R1 和R2 上输入命令show interfaces serial 0/0/0，检验PPP 封装。 R1#show interfaces serial 0/0/0 R2#show interfaces serial 0/0/0 R1 是否使用PPP 封装？______是____ R2 是否使用PPP 封装？_____是_____ 步骤 6：检验串行连接是否工作正常 从R1 Ping R2，检查两台路由器之间是否存在连接。 R1#ping 192.168.15.2 R2#ping 192.168.15.1 从R1 是否能ping 通R2 路由器的串行接口？_____能_____ 从R2 是否能ping 通R1 路由器的串行接口？____能______ 如果上述任意一个问题的答案为否定，则检查路由器的配置纠正错误。重新执行ping 操作直到全部成功。 步骤 7：在 R1 上使用 PAP 配置 PPP 身份验证 a. 在R1 路由器上配置用户名和口令。用户名必须与另一台路由器的主机名相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。在Cisco 路由器上，两台路由器的加密口令必须相同。 R1(config)#username R2 password cisco R1(config)#interface serial 0/0/0 R1(config-if)#ppp authentication pap b. Cisco IOS 的11.1 版或更高版本中默认禁用PAP，因此必须在接口上启用PAP。在Serial 0/0/0 接口配置模式提示符后，启用该接口上的PAP。 R1(config-if)#ppp pap sent-username R1 password cisco 步骤 8：检验串行连接是否工作正常 Ping R2 的串行接口，检验串行连接是否工作正常。 是否会成功？___否______ 原因是什么？_______因为R2上还没有配PAP，所以无法通过验证并连通___________。 步骤 9：在 R2 上使用 PAP 配置 PPP 身份验证 a. 在R2 路由器上配置用户名和口令。用户名和口令必须与另一台路由器的主机名和口令相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。

同时启用chap和pap两种认证

写在前面：今天看了victoryan兄弟的chap认证实验，想起来以前帮忙同学解决了一个关于pap和chap认证的问题，现在就把ppp中的pap和chap认证做一个总结。 实验等级：Aassistant 实验拓扑： 实验说明：PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证 chap则是发送一个挑战包，然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值，然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置： R1： ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2： hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulationppp 通过上面的配置，在没有启用任何认证的情况下，链路是通的。 配置步骤： 1. 在两台路由器上进行pap认证： 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端，需要建立本地口令数据库，并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库 R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证 在这样的配置下，我们可以看到链路已经down了：

华为PPP验证PAP和CHAP

华为的考试中100%回出现类似的实验题,只要注意用户名和密码,就没有问题:) 1. 配置需求 路由器Quidway1和Quidway2之间用接口Serial0互连，要求路由器Quidway1（验证方）以PAP方式验证路由器Quidway2（被验证方）。 2. 配置步骤 (1)配置路由器Quidway1（验证方） ！在本地数据库中添加一个名为quidway2，验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello ！配置本端启用PAP验证方式 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp authentication pap (2) 配置路由器Quidway2（被验证方） ！配置本端以用户名为quidway2、密码为hello被对端进行验证。 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp pap sent-username quidway2 password 0 hello 1.5.2CHAP验证举例 1. 配置需求 路由器Quidway1（验证方）以CHAP方式验证路由器Quidway2（被验证方）。 2. 配置步骤 (1)配置路由器Quidway1（验证方） ！在本地数据库中添加一个名为quidway2，验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello ！设置本端用户名为quidway1

CHAP验证过程

CHAP验证过程 1．A向B发起PPP连接请求 2．B向A声明，要求对A进行CHAP验证 3．A向B声明，同意验证 4．B把“用户ID、随机数”发给A 5．A用收到的“用户ID和随机数”与“自已的密码”做散列运算 6．A把“用户ID、随机数、散列结果”发给B 7．B用收到的“用户ID、随机数”与“自已的密码”做散列运算，把散列运算的结果与“A 发过来的散列结果”进行比较，结果一样，验证成功，结果不一样，验证失败。 一、搭建基本环境 配置路由器A int lo0 !启用一个回环端口lo0代表路由器A内部结构。 ip address 192.168.10.1 255.255.255.0 int s1/0 !配置广域网端口s1/0 ip address 202.110.100.1 255.255.255.0 enca ppp !封装广域网端口s1/0 clock rate 64000 ！A、B路由器提供时钟频率 router rip 配置路由协议RIP第二版 version 2 network 192.168.10.0 network 202.110.100.0 配置路由器B int s1/0 ip address 202.110.100.2 255.255.255.0 enca ppp router rip version 2 network 202.110.100.0 二、配置PPP的CHAP验证 需要两步完成 （1）配置验证所需要的用户名和密码 username 用户名password 密码 注意用户名为对方设备使用hostname 设置的设备名，密码两端设备应配置相同。 （2）启用CHAP验证，在广域网端口上启用 CHAP ppp authentication chap 实际配置如下： routerA(config)#username routerB password 123 routerA(config)#int s1/0 routerA(config-if)#ppp authentication chap 当路由器上设置完chap验证时，A、B路由器同时提示s1/0端口协议为down状态，这是因为A路由器配置了chap验证，而路由器B没有通过身份验证所导致的结果。当作了如下配置后自动为up状态。 ruoterB(config)# username routerA password 123

pap认证

PAP认证过程非常简单，是二次握手机制，而CHAP认证过程比较复杂，是三次握手机制， 下面就让我们来看一下两种具体的认证过程。 AD：51CTO 网+ 第十二期沙龙：大话数据之美_如何用数据驱动用户体验 一、PAP认证协议（PasswordAuthenticationProtocol,口令认证协议）： PAP认证过程非常简单，二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方，可以做无限次的尝试（暴力破解）。 只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程： PAP认证过程图 首先被认证方向主认证方发送认证请求（包含用户名和密码），主认证方接到认证请求，再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确，如果密码正确，PAP认证通过，如果用户名密码错误，PAP认证未通过。 二、CHAP认证协议（ChallengeHandshakeAuthenticationProtocol,质询握手认证协议） CHAP认证过程比较复杂，三次握手机制。 使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证，有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。

CHAP认证第一步：主认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图： CHAP认证第二步：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。 CHAP认证过程图： CHAP认证第三步：认证方告知被认证方认证是否通过。

CHAP验证过程及单双向验证

CHAP验证过程及单双向验证 CHAP过程 说明，这是一个单向挑战验证过程： 首先，766路由器拨入到3640上来，在3640上的接口中有这样的配置：ppp authentication chap. 如上图。 LCP协议负责验证过程，3640在接到拨入后，开始对766发出挑战数据包。如上图，3640产生一个挑战包，发给766,内容包括： 1. 01所在字段是类型字段，01表示这是一个挑战。 2.ID字段表示这次挑战，是挑战序列号 3.RANDOM,随机数字，它由挑战方产生。 4.最后一个字段是用户名字段，用于对方根据该名称查找对应的PASSWORD 在发出这个挑战包后，3640在自己的路由器里保存了ID和RANDOM值，供下面的MD5计算用。

如上图，766接到了挑战包，它从挑战数据包中搜集以下信息： 1.ID值 2.RANDOM值 3.根据包中的用户名，在自己的数据库（本地的或者TACACS+,RADIUS）查找对应的密码。 将上面的三个信息使用MD5进行计算，获得一个HASH。 如上图，766路由器产生一个挑战回应数据包，它包含： 1.类型字段，02表示回应。 2.ID值，从挑战包中直接复制过来的。 3.HASH,就是刚才766计算出来的HAS 4.用户名字段，供一会3640查找密码用。

如上图，3640接到回应包，3640从回应包中抽取用户名，并查找到对应的密码，然后利用之前保存的ID,RANDOM以及查到的密码来计算自己的HASH,然后将自己计算得到的HASH与回应中的HASH比较，如果相同，验证成功。如果不同验证失败。 验证成功的返回示意。注意类型字段=03表示成功，后面的WELCOME IN 只是为了图示形象化。 如果验证失败，则返回的类型字段=04. 从上面整个过程可以看出，在整个验证过程中，只有用户名，ID,随机数，以及ID+密码+随机数的HASH被发送，真实密码始终没有被发送，同时根据2边计算所需的参数看，在2台路由器上配置的密码一定要相同，否则验证将失败。

ppp chap 双向认证

H3C PPP CHAP 双向认证配置案例组网环境： H3C MSR 路由器两台： RT1-----（10.1.12.1）-----------RT2（10.1.12.2）组网模拟： 利用H3CSE 虚拟实验室完成 组网脚本： [rt1]di cur # version 5.20, Alpha 1011 # sysname rt1 # password-control length 5 password-control login-attempt 3 exceed lock-time 120 # undo voice vlan mac-address 00e0-bb00-0000 # ipsec cpu-backup enable # undo cryptoengine enable # domain default enable system # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # local-user rt1 service-type ppp # interface Ethernet0/1/0 port link-mode route

shutdown ip address 192.168.1.1 255.255.255.0 # interface Serial0/2/0 link-protocol ppp ppp authentication-mode chap ppp chap user rt1 ppp chap password simple rt2123 ip address 10.1.12.1 255.255.255.0 # interface Serial0/2/1 link-protocol ppp # interface Serial0/2/2 link-protocol ppp # interface Serial0/2/3 link-protocol ppp # interface NULL0 # interface Ethernet0/4/0 port link-mode bridge # interface Ethernet0/4/1 port link-mode bridge # interface Ethernet0/4/2 port link-mode bridge # interface Ethernet0/4/3 port link-mode bridge # interface Ethernet0/4/4 port link-mode bridge # interface Ethernet0/4/5 port link-mode bridge # interface Ethernet0/4/6 port link-mode bridge # interface Ethernet0/4/7 port link-mode bridge

路由器广域网PPP封装CHAP验证配置

路由器广域网PPP封装CHAP验证配置 一、实验目的 1.掌握CHAP验证配置 2.理解验证过程 二、应用环境 基于安全的考虑，需要路由器双方经过验证后才能建立连接 三、实验设备 1.DCR-1702 两台 2.CR-V35MT 一条 3.CR-V35FC 一条 四、实验拓扑 五、实验要求 Router-A Router-B 接口IP地址接口IP地址 S1/1 DCE 192.168.1.1 S1/0 DTE 192.168.1.2 帐号密码帐号密码 RouterA digitalchina RouterB digitalchina 六、实验步骤 第一步Router-A的配置 Router>enable ！进入特权模式 Router #config ！进入全局配置模式 Router _config#hostname Router-A ！修改机器名 Router-A_config#username RouterB password digitallchina ！设置帐号密码

Router-A_config#interface s1/1 ！进入接口模式 Router-A_config_s1/1#ip address 192.168.1.1 255.255.255.0 ！配置IP地址 Router-A_config_s1/1#encapsulation PPP ！封装PPP协议 Router-A_config_s1/1#ppp authentication chap！设置验证方式 Router-A_config_s1/1#ppp chap hostname RouterA！设置发送给对方验证的帐号 Router-A_config_s1/1#physical-layer speed 64000 ！配置DCE时钟频率 Router-A_config_s1/1#no shutdown Router-A_config_s1/1#^Z ！按ctrl + z进入特权模式 第二步：查看配置 Router-A#show interface s1/1 ！查看接口状态 Serial1/1 is up, line protocol is down！对端没有配置，所以协议是DOWN Mode=Sync DCE Speed=64000 ！查看DCE DTR=UP,DSR=UP,RTS=UP,CTS=DOWN,DCD=UP Interface address is 192.168.1.1/24！查看IP地址 MTU 1500 bytes, BW 64 kbit, DLY 2000 usec Encapsulation prototol PPP, link check interval is 10 sec ！查看封装协议Octets Received0, Octets Sent 0 Frames Received 0, Frames Sent 0, Link-check Frames Received0 Link-check Frames Sent 89, LoopBack times 0 Frames Discarded 0, Unknown Protocols Frames Received 0, Sent failuile 0 Link-check Timeout 0, Queue Error 0, Link Error 0, 60 second input rate 0 bits/sec, 0 packets/sec! 60 second output rate 0 bits/sec, 0 packets/sec! 0 packets input, 0 bytes, 8 unused_rx, 0 no buffer 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 8 packets output, 192 bytes, 0 unused_tx, 0 underruns error: 0 clock, 0 grace PowerQUICC SCC specific errors: 0 recv allocb mblk fail 0 recv no buffer 0 transmitter queue full 0 transmitter hwqueue_full 第三步：Router-B的配置 Router>enable ！进入特权模式 Router #config ！进入全局配置模式 Router _config#hostname Router-B ！修改机器名 Router-B_config#username RouterA password digitalchina !设置帐号密码 Router-B_config#interface s1/0 ！进入接口模式

chappap认证原理及配置详细讲解

c h a p p a p认证原理及配 置详细讲解 This manuscript was revised by the office on December 10, 2020.

pap chap认证详细讲解 最近都一直在研究ppp协议和两种认证方式，才发现网上提供的好多的都有错误，而且连书本上同样错，讲的都不详细，今天我就将自已的成果分享出来，供大家学习，如果有什么不懂的地方请留言，我会以最快的速度回复，闲话少说，开始吧。 PPP中的认证方式有pap和chap两种，这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是两次握手，认证首先由被认证方发起认证请求，将自己的用户名和密码以明文的方式发送给主认证方。然后，主认证方接受请求，并在自己的本地用户数据库里查找是否有对应的条目，如果有就接受请求。如果没有，就拒绝请求。这种认证方式是不安全的，很容易引起密码的泄露，但是，相对于CHAP认证方式来说，节省了宝贵的链路带宽。比如说现在的Internet拨号认证接入方式就是PAP认证。 chap是三次握手，认证首先由主认证方发起认证请求，向被认证方发送“挑战”字符串（一些经过摘要算法加工过的随机序列）。然后，被认证方接到主认证方的认证请求后，将用户名和密码（这个密码是根据“挑战”字符串进行MD5加密的密码）发回给主认证方。最后，主认证方接收到回应“挑战”字符串后，在自己的本地

用户数据库中查找是否有对应的条目，并将用户名对应的密码根据“挑战”字符串进行MD5加密，然后将加密的结果和被认证方发来的加密结果进行比较。如果两者相同，则认为认证通过，如果不同则认为认证失败 先来讲下pap 认证 1、单向认证 R1只做如下配置（验证服务端） 在配置模式下设定用户名和密码（用户名和密码随意） R1(config)#username a password 123 在端口模式下进行协议的封装和认证方式的指定 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap R2只做如下配置（验证客户端） 在端口模式下进行协议的封装和发送验证信息（对方设置的用户名和密码） R2(config-if)#encapsulation ppp R2(config-if)#ppp pap sent-username a password 123