思科课件8、PAP认证、CHAP认证

课题八PAP认证、CHAP认证本课题主要内容PPP的两种认证协议PAP配置PAP的诊断CHAP配置CHAP的诊断8.1PPP支持两种认证协议PPP提供了两种可选的身份认证方法：口令验证协议PAP（PasswordAuthenticationProtocol，PAP）质询握手协议（ChallengeHandshakeAuthenticationProtocol，CHAP）8.1.1PAP验证流程验证用户名、密码拨号用户远程访问服务器认证成功吗？是否发送用户名和密码LCP协商采用PAP身份验证方式进入NCP阶段双方通信过程释放链路PPP开始...图8-1-1PAP验证流程图8.1.2CHAP验证流程拨号用户远程访问服务器验证是否相同是否LCP协商采用CHAP身份验证方式进入NCP阶段双方通信过程释放链路PPP开始...发送随机数发送用户名用户名口令字随机数MD5密码生成器MD5摘要值＋随机数用户名口令字MD5密码生成器MD5摘要值＋发送MD5摘要值MD5摘要值图8-1-2CHAP验证流程图8.2PAP配置以图8-2-1所示的拓扑结构为例。串行链路两端的封装方式均为PPP，且都采用PAP认证。图8-2-1PAP配置拓扑图RouterAs0/0/0s0/0/0RouterB202.168.10.0/24.1.28.2PAP配置通常在实际应用中采用双向认证，即RouterA要认证RouterB,同时RouterB也要认证RouterA，配置过程如下：(一)配置RouterARouter(config)#hostnameRouterA!设置RouterA的名字RouterA(config)#enablesecret54321!设置RouterA的口令RouterA(config)#usernameRouterBpassword12345!设置对端的用户名和口令RouterA(config)#interfaces0/0/0!进入接口配置模式8.2PAP配置RouterA(config)#ipaddress202.168.10.1255.255.255.0!设置IP地址及掩码RouterA(config-if)#encapsulationppp!封装PPP协议RouterA(config-if)#pppauthenticationpap!设置认证协议RouterA(config-if)#ppppapsent-usernameRouterApassword54321!发送验证信息RouterA(config-if)#noshutdown!启用端口8.2PAP配置(二)配置RouterBRouter(config)#hostnameRouterB!设置RouterB的名字RouterB(config)#enablesecret12345!设置RouterB的口令RouterB(config)#usernameRouterApassword54321!设置对端的用户名和口令RouterB(config)#interfaces0/0/0!进入接口配置模式8.2PAP配置RouterB(config)#ipaddress202.168.10.2255.255.255.0!设置IP地址及掩码RouterB(config-if)#encapsulationppp!封装PPP协议RouterB(config-if)#pppauthenticationpap!设置认证协议RouterB(config-if)#ppppapsent-usernameRouterBpassword12345!发送验证信息RouterB(config-if)#noshutdown!启用端口8.3CHAP配置仍以图8-2-1所示的拓扑结构为例，配置双向的CHAP认证。(一)配置RouterARouter(config)#hostnameRouterA!设置RouterA的名字RouterA(config)#enablesecret54321!设置RouterA的口令RouterA(config)#usernameRouterBpassword12345!设置对端的用户名和口令RouterA(config)#interfaces0/0/0RouterA(config)#ipaddress202.168.10.1255.255.255.0!设置IP地址及掩码8.3CHAP配置RouterA(config-if)#encapsulationppp!封装PPP协议RouterA(config-if)#pppauthenticationchap!设置认证协议RouterA(config-if)#noshutdown8.3CHAP配置(二)配置RouterBRouter(config)#hostnameRouterB!设置RouterB的名字RouterB(config)#enablesecret12345!设置RouterB的口令RouterB(config)#usernameRouterApassword12345!设置对端的用户名和口令RouterB(config)#interfaces0/0/08.3CHAP配置RouterA(config)#ipaddress202.168.10.1255.255.255.0!设置IP地址及掩码RouterB(config-if)#encapsulationppp!封装PPP协议RouterB(config-if)#pppauthenticationchap!设置认证协议RouterB(config-if)#noshutdown8.3CHAP配置注意：配置时要求用户名为对方路由器名，而口令由必须一致。这是因为CHAP默认使用本地路由器的名字作为建立PPP连接时的识别符。路由器在收到对方发送过来的询问消息后，将本地路由器的名字作为身份标识发送给对方；而在收到对方发过来的身份标识之后，默认使用本地认证方法，即在配置文件中寻找，看看不没有用户身份标识和口令；如果有，计算机加密值，结果正确则认证通过；否则认证失败，连接无法建立。8.4PAP认证过程S0/0:192.168.0.1/24S0/0:192.168.0.2/24RouterARouterB认证服务器PPPAUTHENTICATIONPAP认证客户端Usernamerouterapasswordrapass发送明文用户名（routera）、口令（rapass）发送认证要求发送认证要求...身份认证成功，链路建立身份认证失败，继续认证发送认证要求...图8-4-1PAP认证过程8.4.1PAP认证服务器的配置PAP认证服务器的配置分为两个步骤：建立本地口令数据库RouterA(config)#usernamerouterapasswordrapass要求进行PAP认证RouterA(config)#interfaceserial0/0RouterA(config-if)#pppauthenticationpap8.4.2PAP认证客户端的配置PAP认证客户端的配置只需要一个步骤（命令），即将用户名和口令发送到对端：RouterB(config-if)#ppppapsent-usernamerouterapassrapass8.4.3PAP的诊断*Mar102:57:59.875:Se0/0PPP:Authorizationrequired*Mar102:57:59.879:Se0/0PAP:IAUTH-REQid26len19fromroutera*Mar102:57:59.879:Se0/0PAP:Authenticatingpeerroutera*Mar102:57:59.879:Se0/0PPP:SentPAPLOGINRequesttoAAA*Mar102:57:59.879:Se0/0PPP:ReceivedLOGINResponsefromAAA=FAIL*Mar102:57:59.879:Se0/0PAP:OAUTH-NAKid26len27msgisAuthenticationfailure8.4.3PAP的诊断*Mar100:19:30.603:Se0/0PPP:Authorizationrequired*Mar100:19:32.603:Se0/0PPP:Authorizationrequired*Mar100:19:34.607:Se0/0PPP:Authorizationrequired*Mar100:19:36.611:Se0/0PPP:Authorizationrequired*Mar100:19:36.611:Se0/0PAP:IAUTH-REQid4len12fromroutera*Mar100:19:36.615:Se0/0PAP:Authenticatingpeerroutera*Mar100:19:36.615:Se0/0PPP:SentPAPLOGINRequesttoAAA*Mar100:19:36.635:Se0/0PPP:ReceivedLOGINResponsefromAAA=PASS*Mar100:19:36.635:Se0/0PAP:OAUTH-ACKid4len58.5CHAP配置S0/0:192.168.0.1/24S0/0:192.168.0.2/24RouterARouterB认证服务器PPPAUTHENTICATIONCHAP认证客户端Usernamerouterbpasswordsamepass...身份认证成功，链路建立身份认证失败，继续认证...Usernamerouterapasswordsamepass发送“挑战”字符串发送“挑战”字符串回应“挑战”字符串发送“挑战”字符串图8-5-1CHAP认证过程8.5.1CHAP认证服务器的配置CHAP认证服务器的配置分为两个步骤：建立本地口令数据库RouterA(config)#usernamerouterbpasswordsamepass要求进行CHAP认证RouterA(config)#interfaceserial0/0RouterA(config-if)#pppauthenticationchap8.5.2CHAP认证客户端的配置CHAP认证客户端的配置只需要一个步骤（命令），即建立本地口令数据库。请注意，此处的username应该是对端路由器的名称，即routera，而口令应该和CHAP认证服务器口令数据库中的口令相同。如下所示。RouterB(config-if)#usernamerouterapasswordsamepass8.5.3CHAP的诊断*Mar101:59:42.547:Se0/0PPP:Authorizationrequired*Mar101:59:42.547:Se0/0CHAP:OCHALLENGEid17len28fromRouterA*Mar101:59:42.551:Se0/0CHAP:IRESPONSEid17len28fromRouterB*Mar101:59:42.551:Se0/0PPP:SentCHAPLOGINRequesttoAAA*Mar101:59:42.555:Se0/0PPP:ReceivedLOGINResponsefromAAA=FAIL*Mar101:59:42.555:Se0/0CHAP:OFAILUREid17len26msgisAuthenticationfailure8.5.3CHAP的诊断*Mar102:04:25.623:Se0/0PPP:Authorizationrequired*Mar102:04:25.627:Se0/0CHAP:OCHALLENGEid33len28fromRouterA*Mar102:04:29.635:Se0/0PPP:Authorizationrequired*Mar102:04:29.635:Se0/0CHAP:OCHALLENGEid34len28fromRoute