网络技术—PPP的认证

在网络日益发展的今天，人们对网络安全想的要求越来越高，而ppp协议之所以能成为广域网中应用较为广泛的协议，原因之一就是它能提供验证协议CHAP（challenge-handshake  authentication protocol,挑战式握手验证协议）、PAP（password authentication protocol,密码验证协议），更好的保证了网络安全性。

PAP为两次握手验证，口令为明文，验证过程仅在链路初始建立阶段进行。当链路建立阶段结束后，用户名和密码有被验证方重复地在链路上发送验证方，直到验证通过或者终止连接。PAP不是一种安全的验证协议，因为口令是以明文方式在链路上发送的，并且用户名和口令还会被验证方不停的在链路上反复发送，导致很容易被截获。

CHAP是三次握手验证协议，只在网络上传输用户名，而并不传输用户密码，因此安全性要比PAP高。CHAP协议是在链路建立考试就完成的，在链路建立完成后的任何时间都可以进行再次验证。当链路建立阶段完成后，验证方发送一个“challenge”的报文给被验证方；被验证方经过一次hash算法后，给验证方返回一个值；验证方把自己经过hash算法生成的值和被验证方返回的值进行比较。如果两者匹配，那么验证通过，否则验证不通过，连接被终止。

实验拓扑：

配置各路由IP及动态路由ospf。

R1:

interface Serial4/0/0

 link-protocol ppp

 ip address 10.0.13.1 255.255.255.0 

#

interface GigabitEthernet0/0/0

 ip address 10.0.1.254 255.255.255.0 

ospf 1 

 area 0.0.0.0 

  network 10.0.1.0 0.0.0.255 

  network 10.0.13.0 0.0.0.255 

R3:

interface Serial4/0/0

 link-protocol ppp

 ip address 10.0.13.3 255.255.255.0 

interface GigabitEthernet0/0/0

 ip address 10.0.23.3 255.255.255.0 

ospf 1 

 area 0.0.0.0 

  network 10.0.13.0 0.0.0.255 

  network 10.0.23.0 0.0.0.255 

R2:

interface GigabitEthernet0/0/0

 ip address 10.0.23.2 255.255.255.0 

#

interface GigabitEthernet0/0/1

 ip address 10.0.2.254 255.255.255.0 

ospf 1 

 area 0.0.0.0 

  network 10.0.2.0 0.0.0.255 

  network 10.0.23.0 0.0.0.255 

经过以上设置，PC1能够与PC2进行通讯了。

此时，我们在R1到R3的串口上启用PAP认证，

R3:

 ppp authentication-mode pap domain huawei    //接口设置pap认证模式，域huawei

#

aaa 

..............................................部分省略

 domain huaweiyu                   //创建域huaweiyu

  authentication-scheme huawei_1      认证方案huawei_1

 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$            

 local-user admin service-type http

 local-user r1@huaweiyu password cipher %$%$%M]K%K\*qVn%nVN%]VcR^~F)%$%$       //创建本地用户r1,密文密码huawei

 local-user r1@huaweiyu service-type ppp        //本地用户r1允许的服务类型是ppp

为看出效果，将R3的串口shutdown一段时间后再打开，在R1查看接口状态：

<r1>dis ip interface brief 

*down: administratively down

...........................省略部分

Interface                         IP Address/Mask      Physical   Protocol  

GigabitEthernet0/0/0              10.0.1.254/24        up         up        

GigabitEthernet0/0/1              unassigned           down       down      

GigabitEthernet0/0/2              unassigned           down       down      

NULL0                             unassigned           up         up(s)     

Serial4/0/0                       10.0.13.1/24         up         down      

    //可以看出物理状态为Up,链路状态为down

Serial4/0/1                       unassigned           down       down      

然后r1,r3互ping不可通，这是因为只设置了被认证方接口，未设置认证方。

[r1-Serial4/0/0]ppp pap local-user r1@huaweiyu password cipher huawei

//在串口接口下配置pap用户名及密码。

然后再查看，可以发现物理状态及链路状态都已经up。

此时就可以互相认证用户密码，进行通讯了。

抓包，可以看到明文的密码，虽然设置的是密文，但是被抓到可看见。

版权声明：本文著作权归新newPPP平台所有，NewPPP小编欢迎分享本文，您的收藏是对我们的信任，newppp谢谢大家支持！