PPP协议的PAP和CHAP认证
实验人:
实验名称:PPP协议的PAP和CHAP认证
实验目的:掌握PPP协议的PAP和CHAP认证的配置方法
实验原理:
PAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向)
CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证)
自动协商IP地址:
在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功!
头部压缩:
在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程:
PAP单向认证:
⑴用小凡搭建如图实验环境,如图示:
⑵在R1的S0/0上,配置IP,如图示:
⑶在R2的S0/0上,配置IP,如图示:
⑷此时,即可ping通192.168.1.2 如图示:
⑸在R1上,配置PPP协议,如图示:
⑹在R2上,配置PPP协议,如图示:
⑺此时,又可ping通192.168.1.2 如图示:
⑻在R1上,配置PAP认证,如图示:
⑼在R2上,配置发送PAP认证信息,如图示:
⑽此时,又可以ping通192.168.1.2 如图示:
PAP双向认证:
⒈在R1上,配置PAP认证,如图示:
⒉在R2上,配置发送PAP认证信息,如图示:
⒊配置完后,即可ping通192.168.1.2,即单向认证,如图示:
⒋在R2上,配置PAP认证,如图示:
⒌此时,不能ping 通192.168.1.2 如图示:
⒍在R1上,配置发送PAP认证信息,此时,可以又ping通192.168.1.2 如图示:
CHAP单向认证:
Ⅰ在R1上,配置CHAP认证,如图示:
Ⅱ在R2上,配置发送CHAP认证信息,如图示:
Ⅲ此时,即可ping通192.168.1.2 ,即CHAP 的单向认证成功!如图示:
CHAP双向认证:
①在R1上,配置CHAP认证,如图示:
②在R2上,配置发送CHAP认证信息,如图示:
③在R2上,配置CHAP认证,如图示:
④此时,不能ping通192.168.1.2 原因为没有在R1上,配置发送CHAP认证信息,如图示:
⑤在R1上,配置发送CHAP认证信息,此时,可以ping通192.168.1.2 ,即配置CHAP双向认证成功!如图示:
自动协商IP地址:
㈠在原有的实验环境下,去掉R2上的S0/0端口的IP地址,如图示:
㈡在R1上的S0/0端口下,配置分配的IP地址为192.168.1.100 如图示:
㈢在R2上的S0/0 端口上,配置自动协商IP地址,如图示:
㈣此时,在R2上,分配到192.168.1.100的IP地址,即实验成功,如图示:
头部压缩:
①在R1上,开启头部压缩功能,如图示:
②在R2上,开启头部压缩功能,如图示:
③此时,ping 192.168.1.100 ,使其有数据通过,用命令即可查看到压缩的情况,(命令show compress)如图示:
总结:
在实验中,CHAP认证的步骤:处理CHAP挑战数据包(1、将序列号放入MD5散列生成器2、将随机数放入MD5散列生成器3、用访问服务器的认证名和数据库进行比较4、将密码放入MD5散列生成器);当显示串行接口时,常见以下状态: 1、Serial0/0 is up, line protocol is up //链路正常2、Serial0/0 is administratively down, line protocol is down //没有打开该接口,执行no sh 打开即可3、Serial0/0 is up, line protocol is down //物理层正常,数据链路层有问题,通常是没有配置时钟,两端封装不匹配或PPP认证错误4、Serial0/0 is down, line protocol is down //物理层故障,通常是连线问题;PAP 不支持密码的加密,压缩,link绑定,设定最大传输单元等,CHAP 支持以上内容;PAP和CHAP验证发送的信息内容为验证路由器数据库中的用户名和密码;在CHAP中,被验证方不明确定义发送主机名来验证时,默认发送该路由器的主机名;配置PAP双向认证时,用户名和密码都可以不一样,但配置CHAP双向认证时,要保证两台路由器的密码一致;