华为ensp中PPP(点对点协议)中的CHAP认证 原理和配置命令

————前言————

PPP协议（Point-to-Point Protocol）是点到点协议，是一种常用的串行链路层协议，用于在两个节点之间建立点对点连接。它可以用于拨号网络、虚拟专用网络（VPN）和其他类型的点对点连接。

关于PPP(点对点协议)的介绍

PPP协议的特性

• 支持多种认证方式，包括PAP、CHAP、EAP等。
• 支持多种压缩协议，可以提高数据传输效率。
• 支持多链路捆绑，可以提高链路带宽。
• 支持错误检测和纠正，可以提高数据传输的可靠性。

PPP的协议族

PPP协议族是一系列用于在点对点链路上建立和维护通信的协议。PPP协议族包括以下协议： 链路控制协议（LCP）：用于建立、维护和终止数据链路连接。 网络控制协议（NCP）：用于协商和配置网络层协议参数。 认证协议：用于验证通信双方的身份。常用的认证协议包括PAP、CHAP、EAP等。 压缩协议：用于压缩数据，提高数据传输效率。常用的压缩协议包括MPPC、STAC等。 加密协议：用于加密数据，提高数据传输安全性。常用的加密协议包括PPP-MPPE等。

PPP工作过程

1.链路建立阶段 发送端和接收端通过LCP协商链路参数，如最大传输单元（MTU）、身份验证方式等。 双方协商成功后，建立数据链路连接。 2.身份验证阶段 根据协商的身份验证方式，进行身份验证。 常用的身份验证方式包括PAP、CHAP、EAP等。 验证成功后，允许数据传输。 3.网络层协议配置阶段 发送端和接收端通过NCP协商网络层协议参数，如IP地址、子网掩码等。 双方协商成功后，配置网络层连接。 4.数据传输阶段 发送端将数据包封装成PPP帧，并在数据链路上传输数据包。 接收端收到PPP帧后，解封装出数据包，并将其传递给上层协议。 5.链路终止阶段 发送端或接收端可以发起链路终止请求。 双方协商成功后，释放数据链路连接。

PPP的建立过程

关于CHAP的介绍

CHAP（挑战-响应认证协议）是一种用于在PPP链路上进行身份认证的协议。它是一种更加安全的认证方式，相比于PAP认证，CHAP认证可以有效地防止密码被窃听或篡改。

CHAP认证工作原理

1. 认证请求：发起方发送一个随机数挑战值给认证方。
2. 认证响应：认证方根据挑战值、本地存储的口令和单向散列函数计算出一个响应值，并将该响应值发送给发起方。
3. 认证成功：发起方根据相同的挑战值、本地存储的口令和单向散列函数计算出一个响应值，并将该响应值与认证方发送的响应值进行比较。如果两个响应值一致，则认证成功，双方建立连接。
4. 认证失败：如果两个响应值不一致，则认证失败，连接建立失败。

CHAP认证的优点

• 安全性高：CHAP认证使用挑战-握手机制，并且使用单向散列函数加密口令，比PAP认证更安全。
• 支持双向认证：CHAP认证支持双向认证，可以验证双方身份。

CHAP认证的应用场景

• 安全要求较高的网络：在安全要求较高的网络中，CHAP认证可以提供更好的安全保障。
• 需要双向认证的场景：在需要双向认证的场景中，CHAP认证可以确保双方身份的真实性。

ENSP拓扑实验如下

实验拓扑如下

实验要求

PC1访问PC2

AR1和AR2之间的链路ppp认证为CHAP认证

AR1的基本配置

以下是基本的ip和路由配置（十分简单）

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int s3/0/0
[Huawei-Serial3/0/0]ip add 192.168.2.1 255.255.255.0
[Huawei-Serial3/0/0]q

//设置默认路由
[Huawei]ip route-static 0.0.0.0 0 192.168.2.2

[Huawei]aaa
[Huawei-aaa]local-user ok password cipher 123
Info: Add a new user.
[Huawei-aaa]local-user ok service-type ppp
[Huawei-aaa]int s3/0/0
[Huawei-Serial3/0/0]link-protocol ppp
[Huawei-Serial3/0/0]ppp auth	
[Huawei-Serial3/0/0]ppp authentication-mode chap
[Huawei-Serial3/0/0]q

1. 在全局配置模式下，您创建了一个本地AAA用户，并为其指定了用户名为 ok，密码为 123，密码使用了密文存储。
2. 指定了该用户的服务类型为PPP
3. 进入了接口 Serial3/0/0 的配置模式，并设置了链路协议为PPP
4. 启用了CHAP认证模式

已经完成了CHAP认证的配置。接下来，您可以测试PPP连接，验证CHAP认证是否正常工作。

AR2的基本配置

以下是基本的IP路由配置（很简单）

The device is running!

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.3.1 255.255.255.0
[Huawei-GigabitEthernet0/0/0]int s3/0/0
[Huawei-Serial3/0/0]ip add 192.168.2.2 255.255.255.0
[Huawei-Serial3/0/0]q


//默认路由
[Huawei]ip route-static 0.0.0.0 0 192.168.2.1

[Huawei]int s3/0/0
[Huawei-Serial3/0/0]link-protocol ppp

[Huawei-Serial3/0/0]ppp chap user ok 
[Huawei-Serial3/0/0]ppp chap password cipher 123
[Huawei-Serial3/0/0]

1. 进入了接口 Serial3/0/0 的配置模式，并设置了链路协议为PPP
2. 配置了PPP CHAP认证所需的用户名和密码

通过这些配置，您已经在该接口上启用了PPP CHAP认证，并配置了本地CHAP用户名为 ok，密码为 123。这样配置后，接口就会在PPP链路建立时使用CHAP协议进行认证。

配置完成之后检测

AR1的接口信息UP

AR2的接口信息UP

测试

PC1的基本配置

PC2的基本配置

做测试访问