PPP驗證（PAP和CHAP）

PPP協定：點對點協定，是一種點到點方式的鍊路層協定，它是在SLIP協定的基礎上發展起來的。

PPP的主要組成及其作用如下：

1：鍊路控制協定（LCP）：主要用于管理PPP資料鍊路，包括進行鍊路層參數的協商，建立，拆除和監控資料鍊路等。

2：網絡控制協定（NCP）：主要用于協商所承載的網絡層協定的類型及其屬性，協商在該資料鍊路上所傳輸的資料包的格式與類型，配置哇甘咯層協定等。

3：驗證協定PAP和CHAP：主要用來驗證PPP對端裝置的身份合法性，在一定程度上保證鍊路的安全性。

PPP驗證：

一：PAP驗證：

（1）被驗證方以明文發送使用者名和密碼到主驗證方。

（2）主驗證方核實使用者名和密碼。如果此使用者合法且密碼正确，則會給對端發送ACK消息，通告對端驗證通過，允許進入下一階段協商；如果使用者名不正确，則發送NAK消息，通告對端驗證失敗。

PAP驗證配置執行個體：

1：先用Serial線連接配接；

（1）指定RTA為主驗證方，驗證方式為PPP

[H3C]interface s1/0

[H3C-Serial1/0]ip address 192.168.0.1 24

[H3C-Serial1/0]ppp authentication-mode pap

（2）在RTA上指定将RTB的使用者名和密碼添加到本地使用者清單

[H3C]local-user routerb class network（這裡需要注意一下，因為版本不同，要驗證PPP服務類型，是以後面必須要跟上class network）

[H3C-luser-network-routerb]password simple 123

[H3C-luser-network-routerb]service-type ppp

（3）在RTB上配置RTB為被驗證方，使用者名為routerb，密碼為123

[H3C-Serial1/0]ip address 192.168.0.2 24

[H3C-Serial1/0]ppp pap local-user routerb password simple 123

需要注意一下，這是單向驗證，雙向驗證不用多說，在RTB上按照RTA的方法在做一遍就行；

二：CHAP驗證：

1：主驗證方主動發起驗證請求，向被驗證方發送一個随機數值，并同時将本端的使用者名一起發送給被驗證方。

2：被驗證方收到主驗證方的驗證請求之後，檢查本地密碼。

3：主驗證方用MD5算法對封包ID，本地儲存的被驗證方密碼和原随機數生成的一個摘要，并于收到的摘要值進行比較。如果相同，則向被驗證方發送A從knowledge消息聲明驗證通過；如果不通過，則發送Not Acknowledge.

CHAP驗證配置示例：

（1）指定RTA為主驗證方，驗證方式為CHAP驗證，配置RTA為自己的使用者名為routera

[H3C-Serial1/0]ppp authentication-mode chap

[H3C-Serial1/0]ppp chap user routera

（2）在RTA上将RTB的使用者名和密碼添加到本地使用者清單

[H3C]local-user routerb class network

（3）在RTB上将RTA的使用者名和密碼添加到本地使用者清單

（4）配置RTB自己的使用者名為routerb

[H3C-Serial1/0]ppp chap user routerb

在這裡配置雙向驗證的時候，隻需要在被驗證方添加ppp authentication-mode chap這條指令即可。

注意：配置CHAP驗證時，被驗證方發送的username必須與主驗證方的username相同，而且對應的password也要一緻。

本文轉自 towardly 51CTO部落格，原文連結:http://blog.51cto.com/brighttime/1922206