10点到点连接.ppt

PAP验证为两次握手验证，口令为明文，如果是路由器和路由器之间建立PPP连接则被验证方请求主验证方的验证，然后反方向再进行一次，在当前的ISDN 或ADSL PPP连接中一般都为单方向PAP验证，需要注意。PAP验证的过程如下： 被验证方发送用户名和口令到验证方； 验证方根据用户配置查看是否有此用户以及口令是否正确，然后返回不同的响应（Acknowledge or Not Acknowledge）。 如正确则会给对端发送ACK报文，通告对端已被允许进入下一阶段协商；否则发送NAK报文，通告对端验证失败。此时，并不会直接将链路关闭。只有当验证不通过次数达到一定值（缺省为4）时，才会关闭链路，来防止因误传、网络干扰等造成不必要的LCP重新协商过程。 PAP的特点是在网络上以明文的方式传递用户名及口令，如在传输过程中被截获，便有可能对网络安全造成极大的威胁。因此，它适用于对网络安全要求相对较低的环境。 CHAP验证为三次握手验证，口令为密文（密钥），CHAP验证过程如下： 验证方向被验证方发送一些随机产生的报文，并同时将本端的主机名附带上一起发送给被验证方； 被验证方接到对端对本端的验证请求（Challenge）时，便根据此报文中验证方的主机名和本端的用户表查找用户口令字，如找到用户表中与验证方主机名相同的用户，便利用接收到的随机报文、此用户的密钥用Md5算法生成应答（Response），随后将应答和自己的主机名送回； 验证方接到此应答后，利用对端的用户名在本端的用户表中查找本方保留的口令字，用本方保留的口令字（密钥）和随机报文用Md5算法得出结果，与被验证方应答比较，根据比较结果返回相应的结果（ACK or NAK）。 它的特点是只在网络上传输用户名，而并不传输用户口令，采用单向加密方法，因此CHAP的安全性要比PAP高。 Purpose: Review the summary items with your students. Emphasize: Read or restate the summary statements. By now, your presentation and classroom discussion should have students able to meet the chapter learning objectives. Router(config-if)#encapsulation ppp 在接口上封装PPP 配置PPP封装 Router(config)#hostname name 设定路由器的主机名，由于PPP在进行CHAP认证时，对端 路由器使用此名字进行口令的查找，因此，主机名的大小 写都不要搞错，否则就查无此机。 Router(config)#username name password password 把对端路由器的用户名和密码加入到本地验证数据库中。这里的name 指的是对端路由器的主机名，同样大小写不要搞错。 配置PPP验证 Router(config-if)#ppp authentication{chap | chap pap | pap chap | pap} 使能PAP 和/或CHAP 验证。如果两种验证方法都 写的话表示不知道对端的PPP验证方法；那么在LCP 中先协商第一种验证，如果不成功，再协商第二种。 配置PPP验证(继续) CHAP 配置举例 Router#show interface s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is /24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Open: IPCP, CDPCP Last input 00:00:05, output 00:00:05, output hang never Last clearing of show interface counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bit