1. 01所在字段是类型字段,01表示这是一个挑战.
2.ID字段表示这次挑战,是挑战序列号
3.RANDOM, 随机数字,它由挑战方产生.
4.最后一个字段是用户名字段,用于对方根据该名称查找对应的PASSWORD
在发出这个挑战包后,3640 在自己的路由器里保存了ID和RANDOM值,供下面的MD5计算用.
1.ID值
2.RANDOM值
3. 根据包中的用户名,在自己的数据库(本地的或者TACACS+,RADIUS)查找对应的密码.
将上面的三个信息使用MD5进行计算,获得一个 HASH.
如上图,766路由器产生一个挑战回应数据包,它包含:
1.类型字段,02表示回应.
2.ID 值,从挑战包中直接复制过来的.
3.HASH,就是刚才766计算出来的HAS
4.用户名字段,供一会3640查找密码用.
验证成功的返回示意.注意类型字段=03表示成功,后面的WELCOME IN 只是为了图示形象化.
如果验证失 败,则返回的类型字段=04.
One-way authentication is often required when you connect to non-Cisco devices.
后面的CALLIN 参数表示,只在接受到呼叫时才发出挑战.
那么根据2边以及有无该参数,我们 可以产生2*2=4种组合.由于没有环境作该实验,所以无法验证4种是否都合法,但参考思科在线文档,给出的是以下配置组合:
Authentication Type | Client (calling) |
NAS (called)
|
---|---|---|
One-way (unidirectional) | ppp authentication chap callin
| ppp
authentication chap |
Two-way (bidirectional)
| ppp
authentication chap | ppp authentication chap
|
参考CISCO原文解释:
Configuring Unidirectional CHAP Authentication
转自:http://www.mycisco.cn/post/116.html