H3C基本实验:ppp pap和chap验证
2012.2.29修改
今天我们说下ppp这个实验
1、ppp和hdlc都是数据链路层协议,思科默认封装的是hdlc,H3C默认封装的是ppp
2、hdlc不支持验证和不支持点到多点,不能工作在异步方式下,也不支持ip地址协商。
3、ppp的会话建立过程:在底层就是物理层up的情况下,首先相互发送lcp报文,建立链路,然后中间可以选择验证:pap或者chap,验证通过后最后是发送ncp报文,协商网络层协议,如果协商通过则ppp链路建立成功
---------------------------------------------
下面说下pap验证
1、在pap验证里面有个概念:验证方和被验证方
只要记着一个问题:在哪个路由器里面敲了这样的一个命令:ppp authentication-mode {pap|chap}哪个路由器就是验证方
在验证方配置local-user
在被验证方接口下配置需要发送的用户名和密码
2、在pap中是被验证方先发起, 被验证方发送用户名和密码到验证方
3、验证方根据本端用户表查看是否有此用户以及密码是否正确,然后返回不同的响应(ack OR notack)
4、pap验证是两次握手
5、pap发送的是密码信息是明文。
6、pap支持双向验证。(既是被验证方又是主验证方,就是单向的叠加。)
----------------------------------------------------
先看下pap单向验证的配置
R1被验证方
[r1]dis cu
#
interface Serial0/2/0
link-protocol ppp
ppp pap local-user h3cse password simple 12345 //向被验证方发送的用户名和密码
ip address 192.168.1.1 255.255.255.0
R2验证方
[r2]dis cu
#
local-user h3cse
service-type ppp
#
interface Serial0/2/0
link-protocol ppp
ppp authentication-mode pap
ip address 192.168.1.2 255.255.255.0
#
--------------------------------------------------------
如果不通请检查:
就检查下前后密码是否一致,
有没有在配置local-user的时候加上server-type ppp
-------------------------------------------------------------------------
我们在来看下:CHAP验证
CHAP单向验证是指一端作为验证方,另一端作为被验证方。双向验证是单向验证的简单叠加,即两端都是既作为验证方又作为被验证方。在实际应用中一般只采用单向验证。
CHAP单向验证过程分为两种情况:
验证方配置了用户名
验证方没有配置用户名
推荐使用验证方配置用户名的方式,这样可以对验证方的身份进行确认。
验证方配置了用户名的CHAP验证过程如下:
(1) 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge),并同时将本端的用户名附带上一起发送给被验证方;
(2) 被验证方接到验证方的验证请求后,根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码,如果在用户表找到了与验证方用户名相同的用户,便利用报文ID、此用户的密钥(密码)和MD5算法对该随机报文进行加密,将生成的密文和被验证方自己的用户名发回验证方(Response);
(3) 验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。
验证方没有配置用户名的CHAP验证过程如下:
(1) 验证方主动发起验证请求,验证方向被验证方发送一些随机产生的报文(Challenge);
(2) 被验证方接到验证方的验证请求后,利用报文ID、缺省的CHAP密码和MD5算法对该随机报文进行加密,将生成的密文和自己的用户名发回验证方(Response);
(3) 验证方用自己保存的被验证方密码和MD5算法对原随机报文加密,比较二者的密文,根据比较结果返回不同的响应(Acknowledge or Not Acknowledge)。
在PPP的chap验证中有一个概念:主验证方和被验证方
谁配置了ppp chap authentication-mode chap谁就是主验证方
我先上一图,大家可以先看图,就简单多了!
配置大家就查相应手册吧
注意:
1、r1接口下的用户名必须和r2下创建的local-user的用户名一致,反之r2接口下面的用户名必须和r1下面local-user用户名一致,而且两个用户的密码必须一致。
- 下一篇:H3C基本实验:帧中继续(子接口实验)
- 上一篇:ospf中的几个特殊区域