PAP和CHAP协议区别
PAP和CHAP协议区别以及mschap-v1和mschap-v2的区别PAP和CHAP协议区别
PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。
CHAP全称为:Challenge Handshake Authentication Protocol(挑战握手认证协议),主要就是针对PPP的,除了在拨号开始时使用外,还可以在连接建立后的任何时刻使用。
CHAP协议基本过程是认证者先发送一个随机挑战信息给对方,接收方根据此挑战信息和共享的密钥信息,使用单向HASH函数计算出响应值,然后发送给认证者,认证者也进行相同的计算,验证自己的计算结果和接收到的结果是否一致,一致则认证通过,否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送,而且每次认证所交换的信息都不一样,可以很有效地避免监听攻击。
CHAP缺点:密钥必须是明文信息进行保存,而且不能防止中间人攻击。使用CHAP的安全性除了本地密钥的安全性外,网络上的安全性在于挑战信息的长度、随机性和单向HASH 算法的可靠性。
常用的chap几个chap认证方式(chap,mschap-v1,maschap-v2)的区别:
mschap-v1
微软版本的CHAP,和CHAP基本上一样。认证后支持MPPE,安全性要较CHAP好一点。
maschap-v2
微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。
优点:双向加密、双向认证、安全性高。
VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) .
2010-01-10 17:11 624人阅读评论(0) 收藏举报
身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知,把实践和理论结合起来。
1、PAP:密码认证协议
客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。
优点:简单。
缺点:明文传送,极容易被窃听。
2、SPAP:Shiva密码验证协议
Shiva公司开发,是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。
优点:安全性较PAP好。
缺点:单向加密、单向认证,虽然是对密码进行加密,但还是会被破解,安全性差,通过认证后不支持Microsoft点对点加密(MPPE)。
3、CHAP:挑战握手协议
先由服务器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2,进行同样的算法,即md5(password2,challenge,ppp_id),最后,比较加密的结果是否相同。如相同,则认证通过。
优点:安全性较SPAP有了很大改进,不用将密码发送到网络上。
缺点:安全性还不够强健,但也不错、单向加密、单向认证、通过认证后不支持Microsoft 点对点加密(MPPE)。
4、MS-CHAP
微软版本的CHAP,和CHAP基本上一样,区别我也不太清楚。认证后支持MPPE,安全性要较CHAP好一点。
5、MS-CHAP V2
微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。
优点:双向加密、双向认证、安全性相当高。
缺点:不太清楚。
6、EAP:可扩展的认证协议
EAP可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。
优点:安全性最好。
缺点:需要PKI(公钥基础设施)支持。(目前PKI还没有真正建立起来)
总结:协议是一个非常复杂的内容,不是三言两语就能说清楚。但是,只要知道了这些基本内容了,就足够我们在搭建VPN时使用了。如果想了解更多内容,请查看RFC。
实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写).pdf
实验19路由器接口PPP协议封装和PAP、CHAP验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP协议的封装结构及PAP、CHAP的认证原理和认 证过程,掌握PAP和CHAP认证的区别。 PAP CHAP 认证时由用户发起认证时由服务器发起 用户名、密码明文传送用 MD5 算法加密传送 次数无限,直至认证成功或线路关闭为止次数有限(一般为 3 次) 认证通过后不再进行验证认证通过后定时再验证 安全性低安全性很高 【实验拓扑】 图8-23给出了实验线路连接,实验时使用Cisco Packet Tracer5.2完成拓扑结构搭建。 注意连接线路时,不要使用Packet Tracer中的自动选择线缆类型方式进行连接,而要自己 选择合适的线缆进行连接,否则拓扑连接容易出错。 图8-23实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器,分别关闭电源后添加WIC-2T 模块,添加位置为插槽0/接口适 配器0(提示:在4个插槽中右下角的位置)。开启电源之后使用Serial 电缆将两台路由器 的Serial0/0/0 接口进行连接,连接时使得C2811B 为DCE 端、C2811A 为DTE 端,即选择 带时钟标记的串行线先连C2811B,然后再连C2811A。 电源开关, 用鼠标点击 图8.22 WIC-2T 模块安装位置可开关 【提示1】图8.22所示界面,可以单击某台路由器的图标,然后在弹出的框中选择“Physical” 选项卡,接着在左侧一栏中选择WIC-2T,最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时,用串行线旁边带时钟符号的线先连接C2811B,那么C2811B即为DCE 端,线另外一头所连接的路由器C2811A就是DTE;反之,亦成立。 1
PPP中的pap和chap认证
PPP中的pap和chap认证 写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤:
1.在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下,我们可以看到链路已经down了: R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置: R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证: Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up
pap和chap认证
PAP认证和CHAP认证概述 一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议): PAP认证过程非常简单,二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方,可以做无限次的尝试(暴力破解)。 只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程: PAP认证过程图 首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。 二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议) CHAP认证过程比较复杂,三次握手机制。
使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证,有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。 CHAP认证过程: CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图: CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP 认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认
PPP协议的PAP和CHAP认证
PPP协议的PAP和CHAP认证 实验人: 实验名称:PPP协议的PAP和CHAP认证 实验目的:掌握PPP协议的PAP和CHAP认证的配置方法 实验原理: PAP认证: 用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向) CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证) 自动协商IP地址: 在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功! 头部压缩: 在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程: PAP单向认证:
认证方式pap chap协议解读
1. 前言 PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议,CHAP 在RFC1994中定义,是一种挑战响应式协议,双方共享的口令信息不用在通信中传输;PAP 在RFC1334中定义,是一种简单的明文用户名/口令认证方式。 2. PAP PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。 PAP协商选项格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 对于PAP,参数为: Type = 3,Length = 4,Authentication-Protocol = 0xc023(PAP) PAP数据包格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+-+ Code:1字节,表示PAP包的类型 1 认证请求 2 认证确认 3 认证失败 Identifier:ID号,1字节,辅助匹配请求和回应 Length:2字节,表示整个PAP数据的长度,包括Code, Identifier, Length和 Data字段。 Data:可能是0字节或多个字节,具体格式由Code字段决定,成功或失败类型包中长度可能为0。 对于认证请求(Code = 1)类型,PAP包格式为: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length |
26 配置和检验 PAP 身份验证与 CHAP 身份验证
实验26配置和检验PAP 身份验证与CHAP 身份验证 目标: ●使用PAP 和CHAP 配置PPP 身份验证。 ●使用show 和debug 命令检验连通性。 背景/准备工作 参照拓扑图,搭建一个类似的网络。本实验可使用具有一个串行接口的任何路由器。例如,可以使用800、1600、1700、1800、2500、2600 或2800 系列路由器或其任意组合。 本实验的说明信息同样适用于其它路由器;但命令语法可能会有所差异。根据路由器的型号,接口标识可能也不同。例如,有些路由器上的Serial0 可能是Serial0/0 或Serial0/0/0,而Ethernet0 可能是FastEthernet0/0。本实验的说明信息同样适用于使用Serial 0/0/0 接口表示方法的路由器。如果使用不同的路由器,请相应使用串行接口的正确表示方法。 本实验需要以下资源: ●具有串行连接的两台路由器 ●两台基于Windows 的计算机,每台都装有终端仿真程序 ●至少一根RJ-45 转DB-9 连接器控制台电缆,用于配置路由器 ●一根两段式(DTE/DCE) 串行电缆 步骤 1:连接设备 按照拓扑图所示,使用串行电缆连接Router 1 和Router 2 两台路由器的Serial 0/0/0 接口。 步骤 2:在 Router 1 上执行基本配置 a. 将PC 连接到该路由器的控制台端口,使用终端仿真程序执行配置。 b. 在Router 1 上,按照地址表中的规定配置主机名和IP 地址,保存配置。 步骤 3:在 Router 2 上执行基本配置
在Router 2 上,按照地址表中的规定配置主机名和IP 地址,保存配置。 步骤 4:在 R1 和 R2 上配置 PPP 封装 在两台路由器的接口Serial 0/0 配置模式提示符后输入encapsulation ppp,将封装类型更改为PPP。 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp 步骤 5:在 R1 和 R2 上检验 PPP 封装 在R1 和R2 上输入命令show interfaces serial 0/0/0,检验PPP 封装。 R1#show interfaces serial 0/0/0 R2#show interfaces serial 0/0/0 R1 是否使用PPP 封装?______是____ R2 是否使用PPP 封装?_____是_____ 步骤 6:检验串行连接是否工作正常 从R1 Ping R2,检查两台路由器之间是否存在连接。 R1#ping 192.168.15.2 R2#ping 192.168.15.1 从R1 是否能ping 通R2 路由器的串行接口?_____能_____ 从R2 是否能ping 通R1 路由器的串行接口?____能______ 如果上述任意一个问题的答案为否定,则检查路由器的配置纠正错误。重新执行ping 操作直到全部成功。 步骤 7:在 R1 上使用 PAP 配置 PPP 身份验证 a. 在R1 路由器上配置用户名和口令。用户名必须与另一台路由器的主机名相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。在Cisco 路由器上,两台路由器的加密口令必须相同。 R1(config)#username R2 password cisco R1(config)#interface serial 0/0/0 R1(config-if)#ppp authentication pap b. Cisco IOS 的11.1 版或更高版本中默认禁用PAP,因此必须在接口上启用PAP。在Serial 0/0/0 接口配置模式提示符后,启用该接口上的PAP。 R1(config-if)#ppp pap sent-username R1 password cisco 步骤 8:检验串行连接是否工作正常 Ping R2 的串行接口,检验串行连接是否工作正常。 是否会成功?___否______ 原因是什么?_______因为R2上还没有配PAP,所以无法通过验证并连通___________。 步骤 9:在 R2 上使用 PAP 配置 PPP 身份验证 a. 在R2 路由器上配置用户名和口令。用户名和口令必须与另一台路由器的主机名和口令相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。
华为PPP验证PAP和CHAP
华为的考试中100%回出现类似的实验题,只要注意用户名和密码,就没有问题:) 1. 配置需求 路由器Quidway1和Quidway2之间用接口Serial0互连,要求路由器Quidway1(验证方)以PAP方式验证路由器Quidway2(被验证方)。 2. 配置步骤 (1)配置路由器Quidway1(验证方) !在本地数据库中添加一个名为quidway2,验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello !配置本端启用PAP验证方式 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp authentication pap (2) 配置路由器Quidway2(被验证方) !配置本端以用户名为quidway2、密码为hello被对端进行验证。 Quidway(config)# interface serial 0 Quidway(config-if-serial0)# ppp pap sent-username quidway2 password 0 hello 1.5.2CHAP验证举例 1. 配置需求 路由器Quidway1(验证方)以CHAP方式验证路由器Quidway2(被验证方)。 2. 配置步骤 (1)配置路由器Quidway1(验证方) !在本地数据库中添加一个名为quidway2,验证密码为hello的用户。 Quidway(config)# user quidway2 password 0 hello !设置本端用户名为quidway1
同时启用chap和pap两种认证
写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证 chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulationppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤: 1. 在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库 R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证 在这样的配置下,我们可以看到链路已经down了:
pap认证
PAP认证过程非常简单,是二次握手机制,而CHAP认证过程比较复杂,是三次握手机制, 下面就让我们来看一下两种具体的认证过程。 AD:51CTO 网+ 第十二期沙龙:大话数据之美_如何用数据驱动用户体验 一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议): PAP认证过程非常简单,二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方,可以做无限次的尝试(暴力破解)。 只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程: PAP认证过程图 首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。 二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议) CHAP认证过程比较复杂,三次握手机制。 使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证,有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。
CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图: CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认证通过,如果不一致,则认证不通过。 CHAP认证过程图: CHAP认证第三步:认证方告知被认证方认证是否通过。
实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写)
实验19 路由器接口PPP 协议封装和PAP 、CHAP 验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP 协议的封装结构及PAP 、CHAP 的认证原理和认 【实验拓扑】 图8-23给出了实验线路连接,实验时使用 Cisco Packet Tracer5.2完成拓扑结构搭建。注意连接线路时,不要使用Packet Tracer 中的自动选择线缆类型方式进行连接,而要自己选择合适的线缆进行连接,否则拓扑连接容易出错。 图 8-23 实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器,分别关闭电源后添加WIC-2T 模块,添加位置为插槽0/接口适 配器0(提示:在4个插槽中右下角的位置)。开启电源之后使用Serial 电缆将两台路由器的Serial0/0/0 接口进行连接,连接时使得C2811B 为DCE 端、C2811A 为DTE 端,即选择带时钟标记的串行线先连C2811B ,然后再连C2811A 。 图8.22 WIC-2T 模块安装位置 【提示1】图8.22所示界面,可以单击某台路由器的图标,然后在弹出的框中选择“Physical ”选项卡,接着在左侧一栏中选择WIC-2T ,最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时,用串行线旁边带时钟符号的线先连接C2811B ,那么C2811B 即为DCE 端,线另外一头所连接的路由器C2811A 就是DTE ;反之,亦成立。
(2) 参阅教材4.4.4 中内容,配置C2811A 的Serial0/0/0 接口的IP 地址192.168.1.1/24 和二层封装协议为PPP。配置C2811B 的Serial0/0/0 接口的IP 地址192.168.1.2/24和二层封装协议为PPP。 以下为C2811A的配置,配置如下: Router>enable Router#config t Router(config)#hostname LuoC2811A //简写 ho LuoC2811A LuoC2811A(config)#interface serial 0/0/0 //简写 int s0/0/0 LuoC2811A(config-if)#ip address 192.168.1.1 255.255.255.0 //简写ip addr LuoC2811A(config-if)#encapsulation ppp //简写enc pp LuoC2811A(config-if)#no shutdown //简写no shut 【提示】C2811B的配置与C2811A的配置类似,此处省略。 (3) 完成以上配置之后,分别在两台路由器上使用show interface Serial 0/0/0 查看接口信息,注意接口状态(指up还是down)、接口封装协议。在路由器上相互ping 对方IP地址,看能否ping通,并解释其原因。 LuoC2811A#show interface serial 0/0/0 //查看接口状态信息 Hardware is HD64570 Internet address is 192.168.1.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 LCP Open Open: IPCP, CDPCP Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/0/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 output buffer failures, 0 output buffers swapped out
chappap认证原理及配置详细讲解
c h a p p a p认证原理及配 置详细讲解 This manuscript was revised by the office on December 10, 2020.
pap chap认证详细讲解 最近都一直在研究ppp协议和两种认证方式,才发现网上提供的好多的都有错误,而且连书本上同样错,讲的都不详细,今天我就将自已的成果分享出来,供大家学习,如果有什么不懂的地方请留言,我会以最快的速度回复,闲话少说,开始吧。 PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是两次握手,认证首先由被认证方发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方。然后,主认证方接受请求,并在自己的本地用户数据库里查找是否有对应的条目,如果有就接受请求。如果没有,就拒绝请求。这种认证方式是不安全的,很容易引起密码的泄露,但是,相对于CHAP认证方式来说,节省了宝贵的链路带宽。比如说现在的Internet拨号认证接入方式就是PAP认证。 chap是三次握手,认证首先由主认证方发起认证请求,向被认证方发送“挑战”字符串(一些经过摘要算法加工过的随机序列)。然后,被认证方接到主认证方的认证请求后,将用户名和密码(这个密码是根据“挑战”字符串进行MD5加密的密码)发回给主认证方。最后,主认证方接收到回应“挑战”字符串后,在自己的本地
用户数据库中查找是否有对应的条目,并将用户名对应的密码根据“挑战”字符串进行MD5加密,然后将加密的结果和被认证方发来的加密结果进行比较。如果两者相同,则认为认证通过,如果不同则认为认证失败 先来讲下pap 认证 1、单向认证 R1只做如下配置(验证服务端) 在配置模式下设定用户名和密码(用户名和密码随意) R1(config)#username a password 123 在端口模式下进行协议的封装和认证方式的指定 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap R2只做如下配置(验证客户端) 在端口模式下进行协议的封装和发送验证信息(对方设置的用户名和密码) R2(config-if)#encapsulation ppp R2(config-if)#ppp pap sent-username a password 123
实验二十三:PPP协议中的CHAP和PAP验证
实验二十三:PPP协议中的CHAP和PAP验证 一、理论基础 1. PPP协议 PPP协议是在SLIP(Serial Line IP串行线IP协议)的基础上发展起来的。由于SLIP 协议只支持异步传输方式、无协商过程(尤其不能协商如双方IP地址等网络层属性)等缺陷,在以后的发展过程中,逐步被PPP协议所代替。人们创建了PPP协议以解决远程互连网的连接问题。另外,需要采用PPP协议来解决动态分配IP地址以及多协议使用的问题。PPP 可以在同步和异步电路中提供路由器到路由器以及主机到网络的连接。PPP是目前使用最普遍、最流行的WAN协议,是一种标准的串行线路封装方式,这种协议在连接建立期间可以检查链路的质量。 2、PPP协议的特点 (1)动态分配IP地址(例如拨号上网时) (2)支持多种网络层协议 (3)误码检测 (4)多链路绑定(Multilink) (5)数据的压缩 (6)链路配置以及链路质量测试 (7)回叫(Callback) (8)网络能力的协商选项,如:网络层地址协商和数据压缩协商等 PPP定义了一整套的协议,包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)等。其中,链路控制协议LCP(Link Control Protocol):用来协商链路的一些参数,负责创建并维护链路。网络层控制协议NCP(Network Control Protocol):用来协商网络层协议的参数。 3、PPP建立一个点到点连接的四个阶段 (1)链路的建立和配置协商 (2)链路质量确定 (3)网络层协议配置协商 (4)链路拆除 4、 PPP的验证方式 PAP验证 PAP(Password Authentication Protocol,口令鉴定协议)是一种两次握手验证协议,它在网络上采用明文方式传输用户名和口令。PAP验证的过程如下: 被验证方主动发起验证请求,将本端的用户名和口令发送到验证方; 验证方接到被验证方的验证请求后,检查此用户名是否存在以及口令是否正确。如果此用户名存在且口令正确,验证方返回Acknowledge响应,表示验证通过;如果此用户名不存在或口令错误。验证方返回Not Acknowledge响应,表示验证不通过。
PAP和CHAP协议区别
PAP和CHAP协议区别以及mschap-v1和mschap-v2的区别PAP和CHAP协议区别 PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。 CHAP全称为:Challenge Handshake Authentication Protocol(挑战握手认证协议),主要就是针对PPP的,除了在拨号开始时使用外,还可以在连接建立后的任何时刻使用。 CHAP协议基本过程是认证者先发送一个随机挑战信息给对方,接收方根据此挑战信息和共享的密钥信息,使用单向HASH函数计算出响应值,然后发送给认证者,认证者也进行相同的计算,验证自己的计算结果和接收到的结果是否一致,一致则认证通过,否则认证失败。这种认证方法的优点即在于密钥信息不需要在通信信道中发送,而且每次认证所交换的信息都不一样,可以很有效地避免监听攻击。 CHAP缺点:密钥必须是明文信息进行保存,而且不能防止中间人攻击。使用CHAP的安全性除了本地密钥的安全性外,网络上的安全性在于挑战信息的长度、随机性和单向HASH 算法的可靠性。 常用的chap几个chap认证方式(chap,mschap-v1,maschap-v2)的区别: mschap-v1 微软版本的CHAP,和CHAP基本上一样。认证后支持MPPE,安全性要较CHAP好一点。 maschap-v2 微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。 优点:双向加密、双向认证、安全性高。 VPN身份认证协议(PAP,SPA,CHAP,MS-CHAP,EAP) . 2010-01-10 17:11 624人阅读评论(0) 收藏举报 身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。首先让大家对VPN的身份认证协议有一个感观的认知,把实践和理论结合起来。 1、PAP:密码认证协议 客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。
PPP认证 PAP实验与CHAP实验
PPP认证实验 实验需求:如图路由器R1和R2,R1被认证方,R2为认证方,使用PAP认证与CHAP认证完成PPP实验 1、基础配置 ipv6 interface Serial1/0/0 link-protocol ppp ipv6 enable ip address 12.1.1.1 255.255.255.0 ipv6 address 2001::1 64 R2: ipv6 interface Serial1/0/0 link-protocol ppp ipv6 enable ip address 12.1.1.2 255.255.255.0
ipv6 address 2001::2/64 2、抓包在s1/0/0端口验证R2的LCP和IPCP、IPV6CP LCP configure request配置请求 LCP配置确认
3、PAP认证 R2配置: [R2]aaa [R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp [R2-aaa]quit [R2]interface s1/0/0 [R2-Serial1/0/0]ppp authentication-mode pap R1配置: [R1]interface s1/0/0 [R1-Serial1/0/0]ppp pap local-user zhangsan password cipher Huawei@123 抓包验证PAP执行了两次握手
能够抓到PAP认证中传递的明文用户名zhangsan和密码Huawei@123 4、CHAP认证 R2配置: [R2]aaa [R2-aaa]local-user zhangsan password cipher Huawei@123 [R2-aaa]local-user zhangsan service-type ppp [R2-aaa]quit [R2]interface s1/0/0 [R2-Serial1/0/0]ppp authentication-mode chap interface Serial1/0/0 [R1-Serial1/0/0]ppp chap user zhangsan [R1-Serial1/0/0]ppp chap password cipher Huawei@123
chap pap认证原理及配置详细讲解
pap chap认证详细讲解 最近都一直在研究ppp协议和两种认证方式,才发现网上提供的好多的都有错误,而且连书本上同样错,讲的都不详细,今天我就将自已的成果分享出来,供大家学习,如果有什么不懂的地方请留言,我会以最快的速度回复,闲话少说,开始吧。 PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是两次握手,认证首先由被认证方发起认证请求,将自己的用户名和密码以明文的方式发送给主认证方。然后,主认证方接受请求,并在自己的本地用户数据库里查找是否有对应的条目,如果有就接受请求。如果没有,就拒绝请求。这种认证方式是不安全的,很容易引起密码的泄露,但是,相对于CHAP认证方式来说,节省了宝贵的链路带宽。比如说现在的Internet拨号认证接入方式就是PAP认证。 chap是三次握手,认证首先由主认证方发起认证请求,向被认证方发送“挑战”字符串(一些经过摘要算法加工过的随机序列)。然后,被认证方接到主认证方的认证请求后,将用户名和密码(这个密码是根据“挑战”字符串进行MD5加密的密码)发回给主认证方。最后,主认证方接收到回应“挑战”字符串后,在自己的本地用户数据库中查找是否有对应的条目,并将用户名对应的密码根据“挑战”字符串
进行MD5加密,然后将加密的结果和被认证方发来的加密结果进行比较。如果两者相同,则认为认证通过,如果不同则认为认证失败 先来讲下pap 认证 1、单向认证 R1只做如下配置(验证服务端) 在配置模式下设定用户名和密码(用户名和密码随意) R1(config)#username a password 123 在端口模式下进行协议的封装和认证方式的指定 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap R2只做如下配置(验证客户端) 在端口模式下进行协议的封装和发送验证信息(对方设置的用户名和密码) R2(config-if)#encapsulation ppp R2(config-if)#ppp pap sent-username a password 123 这样就可以完成pap的单向认证
PAP认证实验
PAP认证实验 我们PAP和CHAP的认证分为2种一种是单向认证(目前使用最多的认证方式,比如ADSL的PPPOE拨号上网就是我们只需要向电信发送认证信息就可以。电信是不会向你发送认证信息的),另外一个是双向认证。 我们先看下单向认证。假设R1为服务端,R2为客户端。 R1上的配置,R1为服务端要有个认证数据库。Username定义的远端的数据库。rack10r1(config)# username ediyf password cisco //定义一个认证数据库。 rack10r2(config)#interface s0 rack10r2(config-if)#no shutdown rack10r1(config-if)#ip add 12.12.12.1 2 rack10r2(config-if)#encapsulation ppp //把接口的封装模式改成PPP,如果说想做PPP认证的话,必须把接口封装模式给改成PPP rack10r2(config-if)#ppp authentication pap //开启PAP的认证功能,开启以后就相当于成了认证的服务端。 rack10r2(config-if)#end rack10r2# R2上的配置,R2上为客户端,所以可以不用定义数据库。 rack10r2(config)#interface s0 rack10r2(config-if)#no shutdown rack10r2(config-if)#clock rate 64000 rack10r2(config-if)#ip address 12.12.12.2 255.255.255.0 rack10r2(config-if)#encapsulation ppp //修改封装协议为PPP rack10r2(config-if)#ppp pap sent-username edify password cisco //将用户名和密码发送过去进行认证。这个用户名和密码对方的数据库里一定要有。如果没有认证将失败。 验证认证是否成功可以用PING来测试PING通就成功了。 我们可以通过DEBUG命令看下认证的过程。需要注意的是这个DEBUG命令在你开启认证功能之前就敲下去。如果你不这样做的话,认证通过以后在敲你是看不到现象的,认证一但通过以后数据在通信的时候是不需要进行认证的了。也就是说认证只进行一次。 R1上 rack10r1#debug ppp authentication PPP authentication debugging is on rack10r1# *Mar 1 00:13:49.751: Se0 PPP: Authorization required *Mar 1 00:13:49.775: Se0 PAP: I AUTH-REQ id 1 len 16 from "edify" *Mar 1 00:13:49.775: Se0 PAP: Authenticating peer edify *Mar 1 00:13:50.147: Se0 PPP: Sent PAP LOGIN Request *Mar 1 00:13:50.163: Se0 PPP: Received LOGIN Response PASS