Simplemente hay dos métodos para autenticar los enlaces PPP, a saber, el Protocolo de autenticación de contraseña (PAP) y el Protocolo de autenticación por desafío mutuo (CHAP) .
De estos dos protocolos de autenticación, PAP es menos seguro ya que la contraseña se envía en texto claro y se realiza solo en el establecimiento del enlace inicial.
Protocolo de autenticación de contraseña (PAP):
PAP es un protocolo de autenticación de contraseña utilizado por los enlaces PPP para validar a los usuarios. La autenticación PAP requiere que el dispositivo que llama ingrese el nombre de usuario y la contraseña. Si las credenciales coinciden con la base de datos local del dispositivo llamado o con la base de datos AAA remota, se permite el acceso, de lo contrario se deniega.
Características:
algunas de las características de PAP son:
- La contraseña se envía en texto claro.
- Todos los sistemas operativos de red admiten PAP.
- Utiliza un Protocolo de Apretón de Manos bidireccional.
- No es interactivo.
- PAP admite tanto la autenticación unidireccional (unidireccional) como la autenticación bidireccional (bidireccional).
Configuración –
Hay una pequeña topología en la que hay 2 enrutadores, a saber, R1 y R2. R1 tiene la dirección IP 10.1.1.1/30 en s0/0 y R2 tiene la dirección IP 10.1.1.2/30 en s0/0.
Primero, crearemos una base de datos local en R1 proporcionando un nombre de usuario y una contraseña:
R1(config)#username Router1 password GeeksforGeeks
Configuración de la base de datos local en R2:
R2(config)#username Router2 password GeeksforGeeks
Recuerde, por defecto, HDLC está configurado en los enrutadores Cisco, por lo tanto, primero debemos cambiar la encapsulación a PPP y habilitar PAP.
R1(config)# int s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap R1(config-if)#ppp pap sent-username Router2 password GeeksforGeeks
Habilitación de PAP en R2:
R2(config)# int s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication pap R2(config-if)#ppp pap sent-username Router1 password GeeksforGeeks
Aquí, observe que el nombre de usuario y la contraseña distinguen entre mayúsculas y minúsculas. Además, en el enrutador R1 tenemos que dar un nombre de usuario y una contraseña.
Nota:
este comando también se puede usar en el enrutador que desea autenticarse (enrutador que llama) en caso de autenticación unidireccional, es decir, solo se autenticará el enrutador que llama.
Si la autenticación bidireccional, es decir, tanto el cliente como el dispositivo remoto van a autenticarse entre sí, está funcionando, entonces tenemos que crear una base de datos local y usar este comando en ambos dispositivos.
Además, si queremos usar CHAP primero y PAP como respaldo cuando falla CHAP, podemos configurarlo mediante el comando.
R1(config)#int s0/0 R2(config-if)#ppp authentication chap pap
Además, si queremos CHAP como respaldo, use el comando.
R1(config)#int s0/0 R2(config-if)#ppp authentication pap chap
Cuándo usar PAP:
PAP generalmente se usa en los siguientes escenarios:
- Cuando la aplicación no es compatible con CHAP.
- Circunstancias en las que es necesario enviar una contraseña de texto sin formato para simular un inicio de sesión en el dispositivo llamado (host remoto).
- Cuando exista la ocurrencia de incompatibilidades entre diferentes proveedores de CHAP.
Ventaja de CHAP sobre PAP –
Algunas de las ventajas son:
- CHAP es más seguro que PAP.
- CHAP puede proporcionar autenticación periódicamente para reconocer si el usuario que accede al enlace PPP es el mismo o no.
- En CHAP, las contraseñas reales nunca se comparten en el enlace, sino que se calcula y transfiere un valor hash.
Ventaja de PAP sobre CHAP:
la única ventaja que tiene PAP sobre CHAP es que es compatible con todos los proveedores de sistemas operativos de red, por lo que se puede decir que PAP se usa donde CHAP no es compatible. Pero si se admite CHAP, se recomienda usar CHAP, ya que es más seguro.
Publicación traducida automáticamente
Artículo escrito por saurabhsharma56 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA