湖北工业大学计算机学院《网络互连技术》实验指导书实验十六点对点PPP协议CHAP认证一、实验目的和要求•了解点对点协议（PPP）的工作原理•掌握PPP协议两种认证方式的特点和区别•掌握PPP协议的配置以及CHAP认证协议的配置二、实验设备模拟软件：CiscoPacketTracer53_setup_no_tutorials设备：路由器2台，串口线一根三、实验内容在两台路由器上配置PPP协议，采用CHAP验证方式，在链路协商时保证安全验证。具体包括CHAP单向和双向认证。四、实验拓扑图1CHAP认证五、背景描述你是公司的网络管理员，公司为了满足不断增长的业务需求，申请了专线接入，你的客户端路由器与ISP进行链路协商时要验证身份，并要求较高的安全性。六、相关知识1、PPP协议点到点协议（pointtopointprotocol，PPP）是IETF（inteIrnetengineeringtaskforce，因特网工程任务组）推出的点到点类型线路的数据链路层协议。它解决了slip中的问题，并成为正式的因特网标准。PPP支持在各种物理类型的点到点串行线路上传输上层协议报文。PPP有很多丰富的可选特性，如支持多协议、提供可选的身份认证服务、可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑等等。这些丰富的选项增强了PPP的功能。同时，不论是异步拨号线路还是路由器之间的同步链路均可使用。因此，应用十分广泛。PPP提供了两种可选的身份认证方法：口令验证协议PAP（passwordauthenticationprotocol，PAP）和7网络工程系·李红·2010年编制湖北工业大学计算机学院《网络互连技术》实验指导书质询握手协议（challengehandshakeauthenticationprotocol，CHAP）。如果双方协商达成一致，也可以不使用任何身份认证方法。2、CHAP验证原理CHAP是一个过程复杂的、安全的身份验证协议。在验证双方都会存储着对方的主机名，所对应的密码必须一致。如图2所示。图2CHAP验证原理CHAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。CHAP认证是一个安全的，不发送明文的ppp认证协议。其缺点是过程繁琐，耗费带宽。3、CHAP认证过程CHAP认证的中文全称为挑战握手后验证协议。CHAP验证分为这样几个步骤：（1）：Request从验证方向主验证方发送一个请求认证的报文。我们称之为request。（2）：主验证方向从验证方发送一个挑战报文，该报文的格式如下：01ID随机数主验证方的主机名（3）：从验证方计算hash值从验证方会从得到的挑战报文中取出主验证方的主机名，然后去在从验证方中找到一个匹配密码，然后加上ID和随机数，在MD5生成器中计算出一个HASH值。8网络工程系·李红·2010年编制湖北工业大学计算机学院《网络互连技术》实验指导书（4）：从验证方向从验证方发送报文该报文的格式如下02ID随机数HASH从验证方的主机名（5）：主验证放计算hash值主验证方从得到的报文中取出从验证方的主机名，然后在本地数据库中找到与之对应的密码，然后将ID值，密码和随机数在MD5生成器中得到一个hash值，这个hash值会与从报文中得到的HASH值做一个比较，如果相等，那么主验证方想从验证方发送一个报文序列号为03的报文，格式如下：03IDWelcomein如果两者得到的hash值不相等，那么主验证方向从验证方发送一个序列号为04的报文，格式如下：04IDAuthenticationfailure自此，CHAP认证协议就完成了。七、实验步骤（一）CHAP单向认证：步骤1.基本配置（配置两端的ip地址和时钟）RA端（server端）：Router>enableRouter#conft.Router(config)#hostnameRARA(config)#ints0/0RA(config-if)#ipaddress10.1.1.1255.255.255.0！指定ip地址RA(config-if)#clockrate64000！配置时钟RA(config-if)#noshutdownRouter>enableRouter#conftRouter(config)#hostnameRB！修改主机名RB(config)#ints0/0RB(config-if)#ipaddress10.1.1.2255.255.255.0！指定ip地址RB(config-if)#noshutdown步骤2.在RA端封装PPP协议，并且指定两端要使用的认证方式为CHAPRA#conftRA(config)#usernameRBpasswordcisco！把对方的名字和密码