CHAP单向验证与双向认证

CHAP单向验证是指一端作为验证方，另一端作为被验证方。
双向验证是单向验证的简单叠加，即两端都是既作为验证方又作为被验证方。在实际应用中一般只采用单向验证。

CHAP验证过程如下：

(1)主验证方主动发起验证请求，主验证方向被验证方发送随机产生的报文（Challenge），并同时将本端的用户名（若在接口上有配置用户名则使用此用户名，若没有则使用路由器的名字）一起发送给被验证方；
(2)被验证方接到验证方的验证请求后，检查本端接口上是否配置了缺省的CHAP密码，如果配置了则被验证方利用报文ID、该缺省密码和MD5算法对该随机报文进行加密，将生成的密文和自己的用户名发回验证方（Response）；
(3) 如果被验证方检查发现本端接口上没有配置缺省的CHAP密码，则被验证方根据此报文中验证方的用户名在本端的用户表查找该用户对应的密码，
如果在用户表找到了与验证方用户名相同的用户，便利用报文ID、此用户的密码和MD5算法对该随机报文进行加密，将生成的密文和被验证方自己的用户名发回验证方（Response）；
(4) 验证方用自己保存的被验证方密码、报文ID和MD5算法对原随机报文加密，比较二者的密文，根据比较结果返回不同的响应（Acknowledge or Not Acknowledge）。

PPP认证：

l  认证过程非常简单，二次握手机制。

l  使用明文格式发送用户名和密码。

l  发起方为被认证方，也可以双方都配置认证。可以做无限次的尝试（暴力破解）。

l  只在链路建立的阶段进行PAP认证，一旦链路建立成功将不再进行认证检测。

l  目前在PPPOE拨号环境中用的比较常见。

PAP单向认证

服务器是认证方，客户端是被认证方

R1（认证方）配置示例：

username CCNA password  CISCO@123

interface Serial1/0

clock rate 64000       //串行接口在DCE端配置时钟，DCE端一般为运营商，模拟器配不配无所谓。

ip address 12.1.1.2 255.255.255.252

encapsulation ppp

ppp authentication pap

!

R2（被认证方）配置示例：

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp pap sent-username CCNA password  CISCO@123

CHAP认证：

l  CHAP认证过程比较复杂，三次握手机制。

l  使用密文格式发送CHAP认证信息。

l  由认证方发起CHAP认证，也可以双方都配置认证，有效避免暴力破解，

l  在链路建立成功后具有再次认证检测机制。

l  目前在企业网的远程接入环境中用的比较常见。

CHAP单向认证

R1配置示例：

username CCNA password CISCO

!

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp authentication chap

R2配置示例：

interface Serial1/0

ip address 12.1.1.2 255.255.255.252

ppp chap hostname CCNA

ppp chap password 0 CISCO

!

CHAP 双向认证

R1配置示例：

username CCNP password  CISCO@123      

//双方数据库中用户名可以不一样，但密码必须一样

!

interface Serial1/0

ip address 12.1.1.1 255.255.255.252

encapsulation ppp

ppp authentication chap

ppp chap hostname CCNA

ppp chap password  CISCO@123

R2配置示例：

username CCNA password  CISCO@123

//双方数据库中用户名可以不一样，但密码必须一样

interface Serial1/0

ip address 12.1.1.2 255.255.255.252

encapsulation ppp

ppp authentication chap

ppp chap hostname CCNP

ppp chap password  CISCO@123