简介
点对点协议 (PPP) 目前撑持两种身份验证协议:暗码验证协议 (PAP) 和质询握手身份验证协议 (CHAP)。这两个协议都是在 RFC 1334 中指定的,且在同步和异步接口上都受撑持。
PAP 使用双向握手为长途节点提供了建设其身份标识的简略方法。PPP链路建设阶段完成后,用户名和暗码通过链路(在明文)停止一直反复发送,直到鉴权完成或连贯终止为止。
PAP 是一种不安详的身份验证协议。暗码以明文模式通过链路发送,对于回放和试错法攻击没有防备才华。长途节点将控制登录测验考试的频次和工夫。
如需理解PPP鉴权故障排除的更多信息(使用PAP或CHAP),请拜谒PPP (CHAP或PAP)鉴权故障排除章节,理解PPP鉴权阶段故障排除有关的完好的分步流程图。如需理解所有PPP阶段障排除的更多信息(使用LCP鉴权或NCP),请拜谒PPP故障排除流程表,理解所有相关PP阶段和协商参数有关的故障排除的完好的分步流程图。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
规则
有关文档规则的具体信息,请参阅 Cisco 技术提示规则。
背景信息
因为用户暗码从未在整个连贯上发送,所以CHAP被认为愈加安详。有关 CHAP 的具体信息,请参阅理解和配置 PPP CHAP 身份验证。
只管 PAP 存在弊端,其仍可用于以下环境:
当系统中装置了大量不撑持 CHAP 的客户端应用步伐时
当差异供应商施行的 CHAP 互不兼容时
此状况是,纯文本暗码必需可用于模拟在远端主机登录。
单向验证与双向验证
与大大都鉴权类型一样,PAP撑持双向(双程)和单向(单程)鉴权。使用单向身份验证时,仅接管呼叫的一端 (NAS) 对长途端(客户端)停止身份验证。长途客户端分歧错误效劳器停止身份验证。
通过双向认证,每边独立地发送验证哀求(AUTH-RED) 而且接管认证确认(AUTH-ACK)或没有承认的验证(AUTH-NAK)。这些可以用 检察。客户端上停止此调试的一个示比方下所示:
*Mar 6 19:18:53.322: BR0:1 PAP: O AUTH-REQid 7 len 18 from "PAPUSER"! --- Outgoing PAP AUTH-REQ. We are sending out our username (PAPUSER)and password ! --- to the NAS. The NAS will verify that the username/password is correct. *Mar 6 19:18:53.441: BR0:1 PAP: I AUTH-ACK id 7 Len 5! --- Incoming AUTH-ACK. ! --- The NAS verified the username and password and responded with an AUTH-ACK. ! --- One-way authentication is complete at this point. *Mar 6 19:18:53.445: BR0:1 PAP: I AUTH-REQ id 1 Len 14 from "NAS"! --- Incoming AUTH-REQ from the NAS. This means we now verify the identity of the NAS.*Mar 6 19:18:53.453: BR0:1 PAP: Authenticating peer NAS! --- Performing a lookup for the username (NAS) and password.*Mar 6 19:18:53.457: BR0:1 PAP: O AUTH-ACK id 1 Len 5! --- Outgoing AUTH-ACK. ! --- We have verified the username/password of the NAS and responded with an AUTH-ACK. ! --- Two-way authentication is complete.
在上述调试输出中,身份验证是双向的。然而假如配置了单向验证,我们将只能看到前二条调试线路。
配置命令
如下所述,通例的 PAP 身份验证必要三个命令:
ppp 身份验证 pap [ 呼入]
这意味着另一边(对等体)必需将用户名/暗码提交给本地办法停止验证。
对于传出呼叫,它不会对另一端停止身份验证。这意味着倡议呼叫的路由器不必要来自另一端的认证哀求(AUTH-REQ)。
下表显示了在什么状况下要配置 callin 选项:
认证类型
客户端(主叫)
NAS(被叫)
单向
ppp authentication pap callin
ppp authentication pap
双向
ppp authentication pap
ppp authentication pap
用户名 暗码
这是本地路由器用于验证 PPP 对等体的用户名和暗码。当对等体发送其PAP用户名和口令时,本地路由器将查抄能否该用户名和暗码在本地配置。假如匹配胜利,则会验证对等体。
留心:username 命令对于 PAP 的作用差异于其对于 CHAP 的作用。通过CHAP,此用户名和口令只用于回应挑战,但PAP只用它验证流入的用户名和口令能否有效。
对于单向验证,只要被叫路由器上必要使用此命令。对于双向验证,两端都必要使用此命令。
Ppp pap 发送的用户名 暗码
启用出站 PAP 身份验证。另一个路由器必需使用上述所形容的username命令配置此用户名/暗码。
假如使用单向验证,此命令只在路由器初始呼叫的时候必要。对于双向验证,两端都必需配置此命令。
配置示例
以下配置局部显示了单向身份验证情景所需的 PAP 命令。
留心:仅显示了配置的相关局部。
呼叫方(客户端) 配置
interface BRI0! --- BRI interface for the dialout. ip address negotiated encapsulation ppp! --- Use PPP encapsulation. This command is a required for PAP. dialer string 3785555 class 56k! --- Number to dial for the outgoing connection. dialer-group 1 isdn switch-type basic-ni isdn spid1 51299611110101 9961111 isdn spid2 51299622220101 9962222ppp authentication pap callin! --- Use PAP authentication for incoming calls. ! --- The callin keyword has made this a one-way authentication scenario. ! --- This router (client) will not request that the peer (server) authenticate ! --- itself back to the client. ppp pap sent-username PAPUSER password 7 ! --- Permit outbound authentication of this router (client) to the peer. ! --- Send a PAP AUTH-REQ packet to the peer with the username PAPUSER and password. ! --- The peer must have the username PAPUSER and password configured on it.
接管方(效劳器) 配置
username PAPUSER password 0 cisco! --- Username PAPUSER is the same as the one sent by the client. ! --- Upon receiving the AUTH-REQ packet from the client, we will verify that the ! --- username and password match the one configured here.interface Serial0:23! --- This is the D-channel for the PRI on the access server receiving the call. ip unnumbered Ethernet0 no ip directed-broadcastencapsulation ppp! --- Use PPP encapsulation. This command is a required for PAP. dialer-group 1 isdn switch-type primary-ni isdn incoming-voice modem peer default ip address pool default fair-queue 64 256 0ppp authentication pap! --- Use PAP authentication for incoming calls. ! --- This router (server) will request that the peer authenticate itself to us. ! --- Note: the callin option is not used as this router is not initiating the call.
调试输出
要调试 PPP PAP 问题,请使用 和 命令。您必需留心两个主要问题:
两端能否都同意将 PAP 作为身份验证方法?
假如都同意,PAP 身份验证能否胜利?
转播
