要指定在接口上请求 CHAP 或 PAP 协议的顺序,可使用 ppp authentication 接口配置命令,如图所示。 使用该命令的 no 形式将禁用此身份验证。

在启用 CHAP 或 PAP 身份验证或同时启用这两种身份验证之后,在允许数据流通过之前,本地路由器要求远程设备先提供身份信息。 其实现过程如下:

注意:身份验证、授权和记帐的 (AAA) /TACACS 是用于验证用户身份的专用服务器。 TACACS 客户端向 TACACS 身份验证服务器发送查询消息。 服务器可以对用户进行身份验证,授权该用户能执行哪些操作并跟踪该用户的行为。

可以启用 PAP 和 CHAP 两者中任意一个,也可两者同时启用。 如果同时启用,那么链路协商期间请求的将是您指定的第一个方法。 如果对方建议使用第二种方法或只是拒绝了第一种方法,系统将会尝试第二种方法。 有些远程设备仅支持 CHAP,有些则仅支持 PAP。 指定方法的顺序取决于您是更关心远程设备协商合适方法的能力还是更关心数据线路的安全性。 PAP 用户名和密码以纯文本字符串的格式发送,容易被截取和重复使用。 CHAP 已经消除了大多数已知的安全漏洞。