1  PPP概述

　　點到點協議（Point to Point PRotocol，PPP）是IETF（Internet Engineering Task Force，因特網工程任務組）推出的點到點類型線路的數據鏈路層協議。它解決了SLip中的問題，并成為正式的因特網標準。

　　PPP協議在RFC 1661、RFC 1662和RFC 1663中進行了描述。

　　PPP支持在各種物理類型的點到點串行線路上傳輸上層協議報文。PPP有很多豐富的可選特性，如支持多協議、提供可選的身份認證服務、可以以各種方式壓縮數據、支持動態地址協商、支持多鏈路捆綁等等。這些豐富的選項增強了PPP的功能。同時，不論是異步撥號線路還是路由器之間的同步鏈路均可使用。因此，應用十分廣泛。

　　本文我們主要介紹PPP的身份認證功能。

　　2  PAP原理

　　PPP提供了兩種可選的身份認證方法：口令驗證協議PAP（PassWord Authentication Protocol，PAP）和質詢握手協議（Challenge Handshake Authentication Protocol，CHAP）。假如雙方協商達成一致，也可以不使用任何身份認證方法。

　　PAP是一個簡單的、實用的身份驗證協議。如圖1所示。

　　圖1   PAP

　　PAP認證進程只在雙方的通信鏈路建立初期進行。假如認證成功，在通信過程中不再進行認證。假如認證失敗，則直接釋放鏈路。

　　PAP的弱點是用戶的用戶名和密碼是明文發送的，有可能被協議分析軟件捕捉而導致安全問題。但是，因為認證只在鏈路建立初期進行，節省了寶貴的鏈路帶寬。

　　3  PAP配置

　　3.1  PPP基本配置

　　對于同步串行接口，默認的封裝格式是HDLC（Cisco私有實現）。可以使用命令encapsulation ppp將封裝格式改為PPP.如圖2所示。

　　圖2   PPP串行封裝

　　當通信雙方的某一方封裝格式為HDLC，而另一方為PPP時，雙方關于封裝協議的協商將失敗。此時，此鏈路處于協議性關閉（protocol down）狀態，通信無法進行。如圖3所示。

　　圖3   兩端路由器串行接口封裝格式不一致

　　這時，在路由器RouterA與路由器RouterB的鏈路沒有成功建立之前，路由器RouterA及RouterB的路由表將為空。

　　3.2  PAP配置

　　3.2.1  PAP認證過程

　　PAP認證可以在一方進行，即由一方認證另一方身份，也可以進行雙向身份認證。這時，要求被認證的雙方都要通過對方的認證程序。否則，無法建立二者之間的鏈路。我們以單方認證為例分析PAP配置過程及診斷方法。

　　如圖4所示。當雙方都封裝了PPP協議且要求進行PAP身份認證，同時它們之間的鏈路在物理層已激活后，認證服務器會不停地發送身份認證要求直到身份認證成功。

　　圖4   PAP認證過程

　　在圖4中，當認證客戶端（被認證一端）路由器RouterB發送了用戶名或口令后，認證服務器會將收到的用戶名或口令和本地口令數據庫中的口令信息比對，假如正確則身份認證成功，通信雙方的鏈路最終成功建立。

　　假如被認證一端路由器RouterB發送了錯誤的用戶名或口令，認證服務器將繼續不斷地發送身份認證要求直到收到正確的用戶名和口令為止。

　　3.2.2  PAP認證服務器的配置

　　PAP認證服務器的配置分為兩個步驟：建立本地口令數據庫、要求進行PAP認證。

　　●建立本地口令數據庫

　　通過全局模式下的命令username username password password來為本地口令數據庫添加記錄。如下所示：

　　RouterA（config）#username routera password rapass

　　●要求進行PAP認證

　　這需要在相應接口配置模式下使用命令ppp authentication pap來完成。如下所示。

　　RouterA（config）#interface serial 0/0

　　RouterA（config-if）#ppp authentication pap

　　3.2.3  PAP認證客戶端的配置

　　PAP認證客戶端的配置只需要一個步驟（命令），即將用戶名和口令發送到對端，如下所示：

　　RouterB（config-if）#ppp pap sent-username routera pass rapass

　　3.2.4  PAP的診斷

　　假如通信雙方的鏈路因為身份認證的原因而沒有建立成功，利用debug ppp authentication命令可以很輕易發現問題所在。如圖5所示，它表明認證客戶端發送的用戶名和口令沒有通過認證服務器的認證。

　　圖5   命令debug ppp authentication的輸出

　　圖6表明經過若干次認證要求后，認證服務器最終收到了認證客戶端發送過來的正確的用戶名和口令組合。此時，雙方的鏈路將成功建立。

　　圖6   鏈路成功建立

　　注重：

　　1、PAP認證過程中，口令是大小寫敏感的。

　　2、身份認證也可以雙向進行，即互相認證。配置方法同單向認證類似，只不過需要將通信雙方同時配置成為認證服務器和認證客戶端。

　　3、口令數據庫也可以存儲在路由器以外的AAA或TACACS+服務器上。限于篇幅，此處不再贅述。