1.簡介
1.1 PPP流程
PPP標準分爲兩大類:一類是與所有三層協議無關的功能特性LCP,一類是與特定三層協議相關的功能特性NCP。PPP的工作流程如下:
1.PPP串行鏈路剛啓動時,LCP開始與對面協商工作方式,MTU,認證順序,認證協議(CHAP或PAP),隨機數字(魔術數字)等選項。
2.如果配置了認證,則使用PAP或CHAP進行認證。PAP使用用戶名和密碼進行2次握手認證,由客戶端主動發起;CHAP的用戶名和密碼是可選項,進行3次握手認證,由服務端主動發起。
3.準備就緒後,PPP開啓NCP協商三層協議,進行數據傳輸。
4.數據完畢後,用戶端可以發起斷開請求,網絡中斷。
1.2.CHAP流程
因爲PAP的密碼在報文中是明文顯示,所以一般不使用PAP,這裏詳細介紹CHAP三次握手認證流程:
1.服務器主動發送Challenge報文,報文中有序列號,ID號,用戶名和隨機數字(魔術數字)。
2.客戶端提取Challenge報文中ID號,隨機數字和用戶,通過查找用戶表獲取密碼,並用ID號,隨機數字和密碼生成MD5格式的hash值,然後將這三個值放到response報文發給服務器。
3.服務器提取response報文的ID號,隨機數字,並用本地保存的該用戶的密碼,三個值一起進行MD5運算,將得到的hash值與response的hash值進行比較,一致則通過。
提示:CHAP可以只用密碼沒有用戶,在認證過程中報文裏不包含用戶名即可。
2.思科
PAP和CHAP的拓撲圖一致如下所示。客戶端是SW1,服務器是R1。生產環境一般使用單向認證,即服務器只認證客戶端信息,而客戶端不認證服務器信息。
2.1 PAP
1.客戶端SW1配置s1/0接口
SW1(config)# interface serial 0/0
SW1(config-if)# ip address 10.0.12.2 255.255.255.252 ----用30位掩碼,IP不浪費
SW1(config-if)# encapsulation ppp
SW1(config-if)# ppp pap sent-username test1 password 123
SW1(config-if)# no shutdown
2.服務器R1生成用戶
R1(config)#username test1 password 123
3.服務器R1配置s1/0接口
R1(config)# interface serial 0/0
R1(config-if)# ip address 10.0.12.1 255.255.255.252 ----用30位掩碼,IP不浪費
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authen pap
R1(config-if)# no shutdown
2.2 CHAP
1.客戶端SW1配置s1/0接口
SW1(config)# interface serial 0/0
SW1(config-if)# ip address 10.0.12.2 255.255.255.252
SW1(config-if)# encapsulation ppp
SW1(config-if)# ppp chap hostname test1
SW1(config-if)# ppp chap password 123
SW1(config-if)# no shutdown
2.服務器R1生成用戶
R1(config)#username test1 password 123 ---服務器和客戶的用戶名密碼要一致
3.服務器R1配置s1/0接口
R1(config)# interface serial 0/0
R1(config-if)# ip address 10.0.12.1 255.255.255.252
R1(config-if)# encapsulation ppp
R1(config-if)# ppp authen chap
R1(config-if)# no shutdown
3.華爲
PAP和CHAP的拓撲圖一致如下所示。客戶端是R2,服務器是R1。
3.1 PAP
1.服務器用戶認證模板
[server]aaa
[server-aaa]authentication-scheme ppp-user
[server-aaa-authen-server]authentication-mode local ---配置本地認證模板
[server-aaa-authen-server]q
2.服務器生成AAA域
[server-aaa]domain ppp-server
[server-aaa-domain-users]authentication-scheme ppp-user ----調用模板
[server-aaa-domain-users]q
3.服務器生成用戶
[server-aaa]local-user ppp@ppp-server password cipher 123 ---注意@後面的域名
[server-aaa]local-user ppp@ppp-server service-type ppp
[server-aaa]q
4.服務器配置串口
[server]interface Serial 0/0/0
[server-Serial0/0/0]ip add 10.0.12.1 30
[server-Serial0/0/0]ppp authentication-mode pap domain ppp-server
5.客戶端配置串口
[client]int Serial 0/0/0
[client]ip add 10.0.12.2 30
[client-Serial0/0/0]ppp pap local-user ppp@ppp-server password cipher 123
3.2 CHAP
CHAP和PAP中服務器的用戶,模板,AAA域配置一致,所以不在敘述。
1.模板,AAA域,用戶創建步驟參照PAP
2.服務器串口配置
[server]interface Serial 0/0/0
[server-Serial0/0/0]ip add 10.0.12.1 30
[server-Serial0/0/0]ppp authentication-mode chap domain ppp-server--域PAP唯一不同就是認證模式參數
3.客戶端串口配置
[client]int Serial 0/0/0
[client]ip add 10.0.12.2 30
[client-Serial0/0/0]ppp chap local-user ppp@ppp-server
[client-Serial0/0/0]ppp chap password cipher 123