PPP-CHAP原理与配置
2009-08-11 17:51
387 查看
1 PPP概述
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。
2 CHAP原理
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。因此,应用十分广泛。
本文主要介绍PPP的身份认证功能。
(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,也可以不使用任何身份认证方法。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
3 CHAP配置
3.1 PPP基本配置
r1
Router>enable
Router#configure terminal
Router(config)#hostname r1
r1(config)#username r2 password 123 主认证端添加被认证的用户及密码
r1(config)#interface s0/0
r1(config-if)#encapsulation ppp 同步串行接口,默认的封装格式是HDLC (Cisco私有实现)将封装格式改为PPP。
r1(config-if)#ip address 192.168.1.1 255.255.255.0
r1(config-if)#no shutdown
r1(config-if)#ppp authentication chap 使用ppp协议的chap认证
r1(config-if)#peer default ip address 192.168.1.2 配置分配给对端的ip
r2
Router>enable
Router#configure terminal
Router(config)#hostname r2
r2(config)#username r1 password 123
r2(config)#interface s0/0
r2(config-if)#encapsulation ppp
r2(config-if)#ip address negotiated 启用地址协商
r2(config-if)#clock rate 64000 配置时钟频率
r2(config-if)#no shut
然后我们show一下
r2#show ip interface s0/0
Serial0/0 is up, line protocol is up
Internet address is 192.168.1.2/32
Broadcast address is 255.255.255.255
Address determined by IPCP
Peer address is 192.168.1.1
MTU is 1500 bytes
我们会发现r1给r2分配了一个ip为192.168.1.2的地址,我的理解最要注意的是服务器端配置的用户名是客户端的,客户端配置的用户名是服务器端的,但两者的密码必须相同。
本文出自 “稚嫩” 博客,谢绝转载!
点到点协议(Point to Point Protocol,PPP)是IETF(Internet Engineering Task Force,因特网工程任务组)推出的点到点类型线路的数据链路层协议。它解决了SLIP中的问题,并成为正式的因特网标准。
2 CHAP原理
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password Authentication Protocol,PAP)和质询握手协议
PPP协议在RFC 1661、RFC 1662和RFC 1663中进行了描述。
PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性,如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时,不论是异步拨号线路还是路由器之间的同步链路均可使用。因此,应用十分广泛。
本文主要介绍PPP的身份认证功能。
(Challenge Handshake Authentication Protocol,CHAP)。如果双方协商达成一致,也可以不使用任何身份认证方法。
CHAP认证比PAP认证更安全,因为CHAP不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源,因此只用在对安全要求很高的场合。
3 CHAP配置
3.1 PPP基本配置
r1
Router>enable
Router#configure terminal
Router(config)#hostname r1
r1(config)#username r2 password 123 主认证端添加被认证的用户及密码
r1(config)#interface s0/0
r1(config-if)#encapsulation ppp 同步串行接口,默认的封装格式是HDLC (Cisco私有实现)将封装格式改为PPP。
r1(config-if)#ip address 192.168.1.1 255.255.255.0
r1(config-if)#no shutdown
r1(config-if)#ppp authentication chap 使用ppp协议的chap认证
r1(config-if)#peer default ip address 192.168.1.2 配置分配给对端的ip
r2
Router>enable
Router#configure terminal
Router(config)#hostname r2
r2(config)#username r1 password 123
r2(config)#interface s0/0
r2(config-if)#encapsulation ppp
r2(config-if)#ip address negotiated 启用地址协商
r2(config-if)#clock rate 64000 配置时钟频率
r2(config-if)#no shut
然后我们show一下
r2#show ip interface s0/0
Serial0/0 is up, line protocol is up
Internet address is 192.168.1.2/32
Broadcast address is 255.255.255.255
Address determined by IPCP
Peer address is 192.168.1.1
MTU is 1500 bytes
我们会发现r1给r2分配了一个ip为192.168.1.2的地址,我的理解最要注意的是服务器端配置的用户名是客户端的,客户端配置的用户名是服务器端的,但两者的密码必须相同。
本文出自 “稚嫩” 博客,谢绝转载!
相关文章推荐
- PPP-CHAP原理与配置
- PPP-CHAP原理与配置
- PPP-CHAP原理与配置(增加例子)
- PPP-CHAP原理与配置
- ppp-chap原理与配置
- ppp认证方式pap和chap原理介绍及配置(Cisco路由器)
- 配置PPP验证时CISCO路由器CHAP认证配置
- 关于PPP认证中的PAP和CHAP原理取证与相关疑问
- CCNA配置试验之七 PPP中PAP和CHAP的验证
- ppp with chap authentication的配置
- 配置PPP及使用PAP和CHAP来控制网络访问
- (神州数码)路由器广域网PPP封装CHAP验证配置
- 关于PPP认证中的PAP和CHAP原理取证与相关疑问
- ppp、chap配置问题(求解中...)
- CCNA配置试验之七 PPP中PAP和CHAP的验证
- ppp的chap认证完全配置
- PPP封装&CHAP验证配置实验
- 配置PPP chap 认证
- PPP-PAP原理与配置
- 配置 PPP身份验证(PAP和 CHAP)