PPP挑战握手验证协议

1、 PPP挑战握手验证协议（CHAP或PAP）PPP协议：PPP（Point-to-Point Protocol点到点协议）是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作，并按照顺序传递数据包。设计目的主 要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。以下是在 CHAP 中执行的一般步骤：1. 在完成 LCP（链路控制协议）阶段并在两个设备之间协商 CHAP 之后，身份验证程序向对等体发送一条质询消息。2. 对等体使用通过单向散列函数（消息摘要算法 5 (MD5)）计算的值进行响应。3. 身份

2、验证程序根据自己计算出的预期散列值检查响应。 如果两个值匹配，则身份验证成功； 否则，连接将被终止。此认证方法取决于只有证明人和对等体知道的“秘密”。 该密钥不会通过链路发送。 虽然身份验证只是单向身份验证，您仍可以借助为相互身份验证设置的相同密钥来双向协商 CHAP。· 步骤一：配置路由器的IP地址。基础配置省略，串行链路要记得配置时钟频率。· 步骤二：将R1的 s1接口改为ppp协议. 并配置双向身份验证R1(config)#inter serial 0/3/0R1(config-if)#encapsulation pppR1(config-if)#exitR1(con

3、fig)#hostname R1 /R1 将作为PPP 的用户名R1(config)#username R2 password cisco/配置本地用户名密码数据库。用于确认其它设备的身份。R1(config)#interface serial 0/3/0R1(config-if)#ppp authentication chap | pap /指定采用chap 的进行身份验证· 步骤三：将R2的S0改为PPP协议，并配置身份验证R2(config)#host R2R2(config)#username R1 password ciscoR2(config)#interface ser

4、ial 0/3/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication chap | pap · 步骤四：确认双方是否可以PING通。 · 步骤五：配置CHAP单向的身份验证,R2配置基础上添加一个新的用户R2(config)#username wy password 123· 步骤六：配置R1的PPP认证。R1(config)#interface serial 0/3/0R1(config-if)#encapsulation pppR1(config-if)#ppp chap h

5、ostname wy /发送chap 的用户名R1(config-if)#ppp chap password 123 /发送chap 的密码R1(config-if)#exit· 步骤七：确认双方是否可以PING通。 · 步骤八：配置PAP的单向的身份验证，在原先的配置基础上将R2改为pap的认证R2(config)#interface serial 0/3/0R2(config-if)#encapsulation pppR2(config-if)#ppp authentication papR2(config-if)#exit· 步骤九：配置R1的PP

6、P认证R1(config)#interface serial 0/3/0R1(config-if)#encapsulation pppR1(config-if)#ppp pap sent-username wy password 123 /发送pap 的用户名和密码· 步骤十：确认双方是否可以PING通。 · PPP故障排查命令debug ppp negotiation -确定客户端是否可以通过PPP协商; 这是您检查地址协商的时候。debug ppp authentication -确定客户端是否可以通过验证。 如果您在使用Cisco IOS软件版本11.2之前的一个版本，请发出debug ppp chap命令。debug ppp error 显示和PPP连接协商与操作相关的协议错误以及统计错误。debug aaa authentication -要确定在使用哪个方法进行验证(应该是RADIUS，除非RADIUS服务器发生故障)，以及用户是否通过验证。debug a