PAPCHAP协议.pptVIP

PAP/CHAP协议 PPP(point-to-point protocol)提供的两种可选的身份认证方法 ： 口令鉴别协议PAP(Password Authentication Protocol)，是PPP中的基本认证协议。PAP就是普通的口令认证，要求发起通信的一方发送身份标识符和口令。 挑战握手认证协议CHAP(Challenge Handshake Authentication Protocol)，通过三次握手周期性的校验对端的身份，在初始链路建立时完成，可以在链路建立之后的任何时候重复进行。 报告人：陈自刚 Pap的认证过程 当认证客户端（被认证一端）路由器发送了用户名或口令后，认证服务器会将收到的用户名或口令和本地口令数据库中的口令信息比对，如果正确则身份认证成功，通信双方的链路最终成功建立。??　　如果被认证一端路由器发送了错误的用户名或口令，认证服务器将继续不断地发送身份认证要求直到收到正确的用户名和口令为止。?? chap的认证过程 CHAP认证： 1. 先由服务器端给客户端发送一个随机码challenge. 2. 客户端根据challenge对口令 password用哈希算法求得摘要（假设用md5算法，得到的结果为 md5（challenge，password， ppp_id））。然后把这个结果发送给服务器端。 3. 服务器端从数据库中取出口令，同样进行哈希处理。最后比较加密的结果是否相同。如相同，则认证通过，向客户端发送认可消息。 (LCP：链路控制协议Link Control Protocol) 当认证客户端（被认证一端）路由器RouterB发送了对挑战字符串的回应数据包后，认证服务器会按照摘要算法（MD5）验证对方的身份。如果正确，则身份认证成功，通信双方的链路最终成功建立。 如果被认证一端路由器RouterB发送了错误的挑战回应数据包，认证服务器将继续不断地发送身份认证要求直到收到正确的回应数据包为止 PapChap配置与诊断 CHAP（pap）认证可以在一方进行，即由一方认证另一方身份，也可以进行双向身份认证(可以六次握手)。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。我们以单方认证为例分析CHAP配置过程及诊断方法。 CHAP(pap)认证服务器的配置分为两个步骤： 1. 建立本地口令数据库 通过全局模式下的命令username username password password来为本地口令数据库添加记录。这里请注意，此处的username应该是对端路由器的名称，即routerb.如下所示： 　　RouterA（config）#username routerb password samepass 2.要求进行CHAP(pap)认证。　　　　 　　这需要在相应接口配置模式下使用命令ppp authentication chap来完成。如下所示： 　　RouterA（config）#interface serial 0/0 　　RouterA（config-if）#ppp authentication chap(pap) CHAP(pap)认证客户端的配置 CHAP认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。请注意，此处的username应该是对端路由器的名称，即routera，而口令应该和CHAP认证服务器口令数据库中的口令相同。如下所示。 　 RouterB（config-if）#username routera password samepass Pap认证客户端的配置只需要一个步骤（命令），即将用户名和口令发送到对端 。 　 RouterB（config-if）#ppp pap sent-username routera pass rapass? PAP和CHAP的诊断 对于PAP和CHAP身份认证中出现的问题也可以利用debug ppp authentication命令进行诊断。如下图所示，它表明认证客户端发送的“挑战”回应数据包没有通过认证服务器的认证。 命令debug ppp authentication 的输