對(duì)于PPP協(xié)議，我們都知道它是點(diǎn)對(duì)點(diǎn)連接協(xié)議。那么這里我們則主要講解一下CHAP的有關(guān)內(nèi)容。在PPP認(rèn)證配置中，也會(huì)涉及到相關(guān)的概念和應(yīng)用。那么具體內(nèi)容還請(qǐng)大家從下文來(lái)詳細(xì)了解一下吧。

1  PPP概述

點(diǎn)到點(diǎn)協(xié)議（Point to Point Protocol，PPP）是IETF（Internet Engineering Task Force，因特網(wǎng)工程任務(wù)組）推出的點(diǎn)到點(diǎn)類型線路的數(shù)據(jù)鏈路層協(xié)議。它解決了SLIP中的問(wèn)題，并成為正式的因特網(wǎng)標(biāo)準(zhǔn)。

PPP協(xié)議在RFC 1661、RFC 1662和RFC 1663中進(jìn)行了描述。

PPP支持在各種物理類型的點(diǎn)到點(diǎn)串行線路上傳輸上層協(xié)議報(bào)文。PPP有很多豐富的可選特性，如支持多協(xié)議、提供可選的身份認(rèn)證服務(wù)、可以以各種方式壓縮數(shù)據(jù)、支持動(dòng)態(tài)地址協(xié)商、支持多鏈路捆綁等等。這些豐富的選項(xiàng)增強(qiáng)了PPP的功能。同時(shí)，不論是異步撥號(hào)線路還是路由器之間的同步鏈路均可使用。因此，應(yīng)用十分廣泛。

本文我們主要介紹PPP的身份認(rèn)證功能。

2  CHAP原理

PPP提供了兩種可選的身份認(rèn)證方法：口令驗(yàn)證協(xié)議PAP（Password Authentication Protocol，PAP）和質(zhì)詢握手協(xié)議（Challenge Handshake Authentication Protocol，CHAP）。如果雙方協(xié)商達(dá)成一致，也可以不使用任何身份認(rèn)證方法。

CHAP認(rèn)證比PAP認(rèn)證更安全，因?yàn)镃HAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列，也被稱為"挑戰(zhàn)字符串".如圖1所示。同時(shí)，身份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過(guò)程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時(shí)間內(nèi)失效。

圖1 CHAP

CHAP對(duì)端系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢、響應(yīng)。這需要耗費(fèi)較多的CPU資源，因此只用在對(duì)安全要求很高的場(chǎng)合。

3  CHAP配置

PPP基本配置

對(duì)于同步串行接口，默認(rèn)的封裝格式是HDLC（Cisco私有實(shí)現(xiàn)）?？梢允褂妹頴ncapsulation ppp將封裝格式改為PPP.如圖2所示。

圖2 PPP串行封裝

當(dāng)通信雙方的某一方封裝格式為HDLC，而另一方為PPP時(shí)，雙方關(guān)于封裝協(xié)議的協(xié)商將失敗。此時(shí)，此鏈路處于協(xié)議性關(guān)閉（protocol down）狀態(tài)，通信無(wú)法進(jìn)行。如圖3所示。

圖3 兩端路由器串行接口封裝格式不一致

這時(shí)，在路由器RouterA與路由器RouterB的鏈路沒(méi)有成功建立之前，路由器RouterA及RouterB的路由表將為空。

對(duì)于此認(rèn)證過(guò)程我們暫且介紹到這里，在之后的文章中，我們會(huì)對(duì)此進(jìn)行補(bǔ)充，請(qǐng)大家關(guān)注下文ppp authentication的使用。