CHAP认证（双向）

Posted 2020-12-03 guoshiyu

实验要求：掌握CHAP认证配置

拓扑如下：

R1
enable　　　　　　进入特权模式
configure terminal    进入全局模式
hostname R1　　　设置主机名　　
interface s0/0/0　　 进入端口
ip address 192.168.1.1 255.255.255.0　　设置IP地址
clock rate 64000　   设置同步时钟
no shutdown 　　　 开启端口
interface l0　　　　 创建并进入环回端口
ip address 192.168.2.254 255.255.255.0   设置IP地址
exit　　　　　　　   返回上一级
username R2 password 123456　　　　　创建用户用于认证
interface s0/0/0　　  进入端口
encapsulation ppp　 将端口进行封装
ppp authentication chap　　　　　　　　 启动CHAP认证

 

R2
enable　　　　　　进入特权模式
configure terminal    进入全局模式
hostname R2　　　设置主机名　　
interface s0/0/0　　 进入端口
ip address 192.168.1.2 255.255.255.0　　设置IP地址
clock rate 64000　   设置同步时钟
no shutdown 　　　 开启端口
interface l0　　　　 创建并进入环回端口
ip address 192.168.3.254 255.255.255.0   设置IP地址
exit　　　　　　　   返回上一级
username R1 password 123456　　　　　创建用户用于认证
interface s0/0/0　　  进入端口
encapsulation ppp　 将端口进行封装
ppp authentication chap　　　　　　　　 启动CHAP认证

 

注意事项： CHAP是经过三次握手来通过认证。

第一次：认证方发送挑战信息【01(此报文为认证请求）、id(此认证的序列号）、随机数据、主认证方认证用户名】，被认证方接收到挑战信息，根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码（如果没有设密码就用默认的密码），查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。

第二次：被认证方回复认证请求，认证请求里面包括【02（此报文为CHAP认证响应报文）、id(与认证请求中的id相同）、Hash值、被认证方的认证用户名】，主认证方处理挑战的响应信息，根据被认证方发来的认证用户名，主认证方在本地数据库中查找被认证方对应的密码（口令）结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值，与被认证方得到的Hash值做比较，如果一致，则认证通过，如果不一致，则认证不通过。

第三次：认证方告知被认证方认证是否通过。

所以认证双方的密码必须一样，认证才会通过