pap chap認(rèn)證配置

PPP中的認(rèn)證方式有pap和chap兩種，這兩種認(rèn)證既可以單獨(dú)使用也可以結(jié)

合使用。并且既可以進(jìn)行單向認(rèn)證也可以進(jìn)行雙向認(rèn)證。 

pap是兩次握手，認(rèn)證首先由被認(rèn)證方發(fā)起認(rèn)證請(qǐng)求，將自己的用戶名和密碼以

明文的方式發(fā)送給主認(rèn)證方。然后，主認(rèn)證方接受請(qǐng)求，并在自己的本地用戶數(shù)據(jù)庫(kù)里查找是否有對(duì)應(yīng)的條目，如果有就接受請(qǐng)求。如果沒有，就拒絕請(qǐng)求。這種認(rèn)證方式是不安全的，很容易引起密碼的泄露，但是，相對(duì)于CHAP認(rèn)證方式來(lái)說(shuō)，節(jié)省了寶貴的鏈路帶寬。比如說(shuō)現(xiàn)在的Internet撥號(hào)認(rèn)證接入方式就是PAP認(rèn)證。 

chap是三次握手，認(rèn)證首先由主認(rèn)證方發(fā)起認(rèn)證請(qǐng)求，向被認(rèn)證方發(fā)送“挑戰(zhàn)”

字符串（一些經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列）。然后，被認(rèn)證方接到主認(rèn)證方的認(rèn)證請(qǐng)求后，將用戶名和密碼（這個(gè)密碼是根據(jù)“挑戰(zhàn)”字符串進(jìn)行MD5加密的密碼）發(fā)回給主認(rèn)證方。最后，主認(rèn)證方接收到回應(yīng)“挑戰(zhàn)”字符串后，在自己的本地用戶數(shù)據(jù)庫(kù)中查找是否有對(duì)應(yīng)的條目，并將用戶名對(duì)應(yīng)的密碼根據(jù)“挑戰(zhàn)”字符串進(jìn)行MD5加密，然后將加密的結(jié)果和被認(rèn)證方發(fā)來(lái)的加密結(jié)果進(jìn)行比較。如果兩者相同，則認(rèn)為認(rèn)證通過(guò)，如果不同則認(rèn)為認(rèn)證失敗 先來(lái)講下pap 認(rèn)證 

1、單向認(rèn)證 

R1只做如下配置（驗(yàn)證服務(wù)端） 

在配置模式下設(shè)定用戶名和密碼（用戶名和密碼隨意） 

R1(config)#username a password 123 

在端口模式下進(jìn)行協(xié)議的封裝和認(rèn)證方式的指定 

R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap R2只做如下配置（驗(yàn)證客戶端） 

在端口模式下進(jìn)行協(xié)議的封裝和發(fā)送驗(yàn)證信息（對(duì)方設(shè)置的用戶名和密碼） 

R2(config-if)#encapsulation ppp 

R2(config-if)#ppp pap sent-username a password 123 

這樣就可以完成pap的單向認(rèn)證 

2、雙向認(rèn)證 

（其實(shí)做完上面的步驟仔細(xì)一想，如果兩邊既是服務(wù)端又是客戶端口，這樣就是雙向認(rèn)證了，不必看下面的也知道該怎么配雙向認(rèn)證了） 

R1只做如下配置（既是驗(yàn)證服務(wù)端又是客戶端） 

在配置模式下設(shè)定用戶名和密碼（用戶名和密碼隨意） 

R1(config)#username a password 123 

在端口模式下進(jìn)行協(xié)議的封裝、認(rèn)證方式的指定和發(fā)送驗(yàn)證信息（對(duì)方設(shè)置的用戶名和密碼） 

R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap 

R1(config-if)#ppp pap sent-username b password 456 R2只做如下配置（既是驗(yàn)證服務(wù)端又是客戶端） 

在配置模式下設(shè)定用戶名和密碼（用戶名和密碼隨意） 

R2(config)#username b password 456 

在端口模式下進(jìn)行協(xié)議的封裝、認(rèn)證方式的指定和發(fā)送驗(yàn)證信息（對(duì)方設(shè)置的用戶名和密碼） 

R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication pap 

R2(config-if)#ppp pap sent-username a password 123 

這樣即可完成pap的雙向認(rèn)證 再來(lái)說(shuō)說(shuō)chap認(rèn)證 

1、單向認(rèn)證 

R1只做如下配置（驗(yàn)證服務(wù)端） 

在配置模式下設(shè)定用戶名和密碼（用戶名和密碼隨意） 

R1(config)#username a password 123 

在端口模式下進(jìn)行協(xié)議的封裝和認(rèn)證方式的指定 

R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R2只做如下配置（驗(yàn)證客戶端） 

在端口模式下進(jìn)行協(xié)議的封裝和認(rèn)證時(shí)的用戶名和密碼指定（記住這里不發(fā)送用戶名和密碼，而是發(fā)送一個(gè)經(jīng)過(guò)加密密碼的一個(gè)字符串） 

R2(config-if)#encapsulation ppp R2(config-if)#ppp chap hostname a R2(config-if)#ppp chap password 123 

這樣就可以完成chap的單向認(rèn)證 

2、雙向認(rèn)證 

(這里和pap有所有同，請(qǐng)注意) 

R1只做如下配置（既是驗(yàn)證服務(wù)端又是客戶端） 

在配置模式下設(shè)定用戶名和密碼（用戶名可隨意且可以不同但密碼一定相同，因?yàn)樽罱K核對(duì)的是同一個(gè)密碼加密后散列函數(shù)，如果密碼都不同，認(rèn)證肯定失?。?nbsp;

R1(config)#username a password 123 

在端口模式下進(jìn)行協(xié)議的封裝和認(rèn)證方式的指定 

R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap 

R1(config-if)#ppp chap hostname b   //這里只需指定用戶名就可以，因?yàn)槊?/p>

碼雙方都知道 

R2只做如下配置（既是驗(yàn)證服務(wù)端又是客戶端） 

在配置模式下設(shè)定用戶名和密碼（同上） 

R2(config)#username b password 123 

在端口模式下進(jìn)行協(xié)議的封裝和認(rèn)證時(shí)的用戶名和密碼指定（記住這里不發(fā)送用戶名和密碼，而是發(fā)送一個(gè)經(jīng)過(guò)加密密碼的一個(gè)字符串，也可以解釋為什么這里沒有sent-username命令） 

R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap R2(config-if)#ppp chap hostname a    //同上 

這樣即可完成chap的雙向認(rèn)證