CHAP，是PPP協(xié)議中最為重要的認(rèn)證之一。我們知道PPP協(xié)議的內(nèi)容后，也對它的認(rèn)證有了了解。那么其中就包括CHAP認(rèn)證?？赡苡胁簧倥笥褜τ贑HAP配置的內(nèi)容不太清楚。那么其中涉及了ppp authentication的使用。我們這次就著重講解一下有關(guān)內(nèi)容。

CHAP配置

CHAP認(rèn)證過程

同PAP一樣，CHAP認(rèn)證可以在一方進(jìn)行，即由一方認(rèn)證另一方身份，也可以進(jìn)行雙向身份認(rèn)證。這時(shí)，要求被認(rèn)證的雙方都要通過對方的認(rèn)證程序，否則，無法建立二者之間的鏈路。我們以單方認(rèn)證為例分析CHAP配置過程及診斷方法。

如圖1所示。當(dāng)雙方都封裝了PPP協(xié)議且要求進(jìn)行CHAP身份認(rèn)證，同時(shí)它們之間的鏈路在物理層已激活后，認(rèn)證服務(wù)器會(huì)不停地發(fā)送身份認(rèn)證要求直到身份認(rèn)證成功。和PAP不同的是，這時(shí)認(rèn)證服務(wù)器發(fā)送的是"挑戰(zhàn)"字符串。

圖1CHAP驗(yàn)證

在圖1中，當(dāng)認(rèn)證客戶端（被認(rèn)證一端）路由器RouterB發(fā)送了對"挑戰(zhàn)"字符串的回應(yīng)數(shù)據(jù)包后，認(rèn)證服務(wù)器會(huì)按照摘要算法（MD5）驗(yàn)證對方的身份。如果正確，則身份認(rèn)證成功，通信雙方的鏈路最終成功建立。

如果被認(rèn)證一端路由器RouterB發(fā)送了錯(cuò)誤的"挑戰(zhàn)"回應(yīng)數(shù)據(jù)包，認(rèn)證服務(wù)器將繼續(xù)不斷地發(fā)送身份認(rèn)證要求直到收到正確的回應(yīng)數(shù)據(jù)包為止。

CHAP認(rèn)證服務(wù)器的配置

CHAP認(rèn)證服務(wù)器的配置分為兩個(gè)步驟：建立本地口令數(shù)據(jù)庫、要求進(jìn)行CHAP認(rèn)證。

建立本地口令數(shù)據(jù)庫

通過全局模式下的命令username username password password來為本地口令數(shù)據(jù)庫添加記錄。這里請注意，此處的username應(yīng)該是對端路由器的名稱，即routerb.如下所示：

RouterA（config）#username routerb password samepass

要求進(jìn)行CHAP認(rèn)證

這需要在相應(yīng)接口配置模式下使用命令ppp authentication chap來完成。如下所示：

RouterA（config）#interface serial 0/0

RouterA（config-if）#ppp authentication chap

CHAP認(rèn)證客戶端的配置

CHAP認(rèn)證客戶端的配置只需要一個(gè)步驟（命令），即建立本地口令數(shù)據(jù)庫。請注意，此處的username應(yīng)該是對端路由器的名稱，即routera，而口令應(yīng)該和CHAP認(rèn)證服務(wù)器口令數(shù)據(jù)庫中的口令相同。如下所示。

RouterB（config-if）#username routera password samepass

CHAP的診斷

對于CHAP身份認(rèn)證中出現(xiàn)的問題也可以利用debug ppp authentication命令進(jìn)行診斷。如圖2所示，它表明認(rèn)證客戶端發(fā)送的"挑戰(zhàn)"回應(yīng)數(shù)據(jù)包沒有通過認(rèn)證服務(wù)器的認(rèn)證。

圖2命令debug ppp authentication 的輸出

圖3表明經(jīng)過若干次認(rèn)證要求后，認(rèn)證服務(wù)器最終收到了認(rèn)證客戶端發(fā)送過來的正確的"挑戰(zhàn)"回應(yīng)數(shù)據(jù)包。此時(shí)，雙方的鏈路將成功建立。

圖3命令debug ppp authentication 的輸出

注意：

1、CHAP認(rèn)證過程中，口令是大小寫敏感的。

2、身份認(rèn)證也可以雙向進(jìn)行，即互相認(rèn)證。配置方法同單向認(rèn)證類似，只不過需要將通信雙方同時(shí)配置成為認(rèn)證服務(wù)器和認(rèn)證客戶端。

3、口令數(shù)據(jù)庫也可以存儲(chǔ)在路由器以外的AAA或TACACS+服務(wù)器上。限于篇幅，此處不再贅述。

通信認(rèn)證雙方選擇的認(rèn)證方法可能不一樣，如一方選擇PAP，另一方選擇CHAP，這時(shí)雙方的認(rèn)證協(xié)商將失敗。為了避免身份認(rèn)證協(xié)議過程中出現(xiàn)這樣的失敗，可以配置路由器使用兩種認(rèn)證方法。當(dāng)***種認(rèn)證協(xié)商失敗后，可以選擇嘗試用另一種身份認(rèn)證方法。如下的命令配置路由器首先采用PAP身份認(rèn)證方法。如果失敗，再采用CHAP身份認(rèn)證方法。

RouterA（config-if）#ppp authentication pap chap

如下的命令則相反，首先使用CHAP認(rèn)證，協(xié)商失敗后采用PAP認(rèn)證。

RouterA（config-if）#ppp authentication chap pap