WAN : Point-to-Point Protocol (PPP)

Troubleshooting de Autenticação de PPP (CHAP ou PAP)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Problemas com a autenticação do Point-to-Point Protocol (PPP) são uma das causas mais comuns das falhas de links dial-up. Este documento fornece alguns procedimentos para Troubleshooting de autenticação PPP.

Pré-requisitos

Terminologia

  • Máquina local (ou roteador local) - Este é o sistema em que o sessão de debugging está sendo executado atualmente. Como você move a sessão debugar de um roteador para o outro, aplique a máquina local do termo ao outro roteador.

  • Par - A outra extremidade do link de ponto a ponto. Daqui, o dispositivo não é a máquina local.

    Por exemplo, se você emite o comando debug ppp negotiation no roteadorA, a seguir é a máquina local e o roteadorB é o par. Contudo, se você desloca debugar sobre ao roteadorB, a seguir assenta bem na máquina local e o roteadorA assenta bem no par.

Nota: Os termos máquina local e peer não implicam em uma relação cliente-servidor. Segundo onde a sessão debugar é executada, o cliente de discagem de entrada poderia ser a máquina local ou o par.

Requisitos

A Cisco recomenda ter conhecimento deste tópico:

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Fluxograma de Troubleshooting

Este documento inclui alguns fluxogramas para ajudar no Troubleshooting. Você pode ir para o próximo fluxograma, clicando nos círculos numerados.

ppp_authen_ts_fl1.gif

O roteador está realizando a autenticação CHAP ou PAP?

Para determinar se o roteador está executando a RACHADURA ou a autenticação pap, procure estas linhas na negociação ppp debugar e debugar a autenticação de PPP output:

RACHADURA

Procure a RACHADURA na fase de AUTENTICAÇÃO:

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

Procure o PAP na fase de AUTENTICAÇÃO:

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

O roteador está executando uma autenticação de CHAP uni ou bidirecional?

Procure uma destas mensagens nas saídas de negociação ppp debugar:

BR0:1 PPP: Phase is AUTHENTICATING, by both

A mensagem acima indica que os roteadores estão fazendo uma autenticação em dois sentidos.

Qualquer uma das mensagens abaixo indica que os roteadores estão executando a autenticação unidirecional:

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

ou

BR0:1 PPP: Phase is AUTHENTICATING, by this end

Esta é uma falha de recebimento?

ppp_authen_ts_fl2.gif

Verifique se você está recebendo as mensagens de entrada termreq ou failure. Lembre-se de que "I” indica que a mensagem é de entrada:

BR0:1 LCP: I TERMREQ

ou

BR0:1 CHAP: I FAILURE

Uma mensagem de entrada failure indica que o peer não está autenticando o nome de usuário e a senha do roteador local. Isso pode ocorrer devido a um erro de configuração no roteador local (não fornecendo o nome de usuário e senha esperados pelo peer) ou no roteador remoto.

O nome de usuário no desafio ou resposta de saída é o mesmo nome do host?

Procure o seguinte na saída do comando debug ppp negotiation:

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

ou

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

Observe o nome de usuário na resposta ou no desafio de saída. Neste exemplo, é maui-soho-03. Você precisa disso para verificar se o nome de usuário e a senha usados para autenticação correspondem ao esperado pelo lado remoto. Por exemplo, se o roteador local se identificar para o peer como A, mas o peer esperar B, a autenticação falhará.

Se o nome de usuário no desafio de saída não for igual ao nome do host, procure o comando ppp chap hostname<username>, onde username corresponde ao nome de usuário no desafio de saída. Anote o nome de usuário e a senha (no comando ppp chap password que acompanha). Você usará esta informação quando você pesquisa defeitos o roteador remoto.

A Máquina Remota é um Cisco Router ao Qual Você Tem Acesso?

Uma vez determinado que o roteador local aceitou uma falha recebida, sabe-se que tal falha ocorre no correspondente. Se você tiver acesso ao Cisco Router remoto, resolva os problemas nesse dispositivo.

Se você não tiver acesso ao roteador remoto, contate o administrador desse roteador para verificar o nome de usuário e a senha esperados.

Faça estas perguntas:

  1. Qual nome de usuário o roteador remoto espera?

    Use o comando do <username> do hostname do PPP chap sob o exame ou a interface do discador. Configure o nome de usuário fornecido pelo administrador remoto aqui.

    Nota: Ele é sensível a maiúsculas e minúsculas.

  2. Que senha o roteador remoto espera?

    Use o comando password <password> do PPP chap sob o exame ou a interface do discador.

    Nota: Ele é sensível a maiúsculas e minúsculas.

Para obter mais informações, consulte o documento Autenticação PPP Usando os Comandos ppp chap hostname e ppp authentication chap callin.

Troubleshooting de Falhas de CHAP de Saída

ppp_authen_ts_fl3.gif

Se o peer detectar uma mensagem de entrada failure, significa que o roteador local não autenticou o peer e enviou a mensagem. Daqui, você deve agora pesquisar defeitos o roteador em que indica a falha de saída.

Estas mensagens no roteador local indicam uma falha de saída:

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

ou

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

O roteador não usa AAA ou AAA somente local

Se o roteador não usar um sistema de Autenticação, Autorização e Auditoria (AAA, authentication, authorization, and accounting) baseado no servidor (Radius ou Tacacs+), ele poderá usar AAA ou AAA local. Verifique se você vê uma das seguintes mensagens na saída da debugação:

Incapaz de validar a resposta

Username <username> Not Found

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. 
! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router.
! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. 
! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

Uma incompatibilidade de nome de usuário pode ser causada por duas razões:

  1. O correspondente não forneceu o nome de usuário esperado pelo roteador local. Por exemplo, nós esperamos (e configuramos) o nome de usuário RoteadorA, mas o peer usou o nome RoteadorB. É possível configurar o nome de usuário e a senha enviados pelo correspondente ou corrigir o correspondente com o nome de usuário correto.

  2. O nome do usuário do roteador local não está configurado. Se o nome de usuário fornecido pelo peer corresponder ao que o roteador local esperava, configure o nome de usuário e a senha.

Esta questão é vista com mais freqüência quando o peer utiliza o comando ppp chap hostname para configurar um nome de usuário diferente do nome do host do roteador.

Use o comando username <username> password <password>, onde o <username> é substituído pelo username no Mensagem de Erro acima.

Username <username> Not Found

Autenticação impossível para ponto de correspondência

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01.
! -- This router must look up the username specified
! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username
! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

Uma incompatibilidade de nome de usuário pode ser causada por duas razões:

  1. O correspondente não forneceu o nome de usuário esperado pelo roteador local. Por exemplo, nós esperamos (e configurou) o roteador de nome de usuário. Contudo, o par usou o roteador b de nome. Você pode configurar o nome de usuário e senha enviado pelo par ou atualizar o par com o username correto.

  2. O nome do usuário do roteador local não está configurado. Se o nome de usuário fornecido pelo peer corresponder ao que o roteador local esperava, configure o nome de usuário e a senha.

Esta questão é vista com mais freqüência quando o peer utiliza o comando ppp chap hostname para configurar um nome de usuário diferente do nome do host do roteador.

Use o comando username <username> password <password>, onde o <username> é substituído pelo username no Mensagem de Erro acima.

MD/DES Compare Failed

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

Este erro é causado por incompatibilidade de senha. Isso pode ter ocorrido por duas razões:

  1. O peer não forneceu a senha esperada pelo roteador local. Por exemplo, nós esperamos (e configuramos) a senha LetmeIn, mas o peer usou a senha letmein. Você pode reconfigurar o nome de usuário e a senha enviados pelo peer ou corrigir o peer com o nome de usuário correto.

  2. A senha do roteador local não está corretamente configurada. Se você verificou que a senha fornecida pelo peer está correta, reconfigure o roteador local.

Solução:

  1. Remova a entrada existente do nome de usuário e senha usando este comando:

    no username <username>
    
    

    onde <username> é substituído pelo nome de usuário na mensagem de erro. Nesse exemplo, seria maui-soho-03.

  2. Configurar o nome de usuário e senha usando este comando:

    username <username> password <password>
    
    

    O nome de usuário deve ser igual ao da mensagem CHAP mostrada acima. A senha deve corresponder à senha no roteador remoto.

Troubleshooting de Problemas de AAA baseados no Servidor Geral

ppp_authen_ts_fl4.gif

Nota: Este documento não se destina a ser um recurso de Troubleshooting AAA. Para obter mais informações sobre troubleshooting de Autenticação, Autorização e Auditoria, consulte os seguintes recursos:

Problema: A autenticação pap trabalha para o PPP, mas MsCHAPv2 falha

Você não pôde poder autenticar a um servidor ACS porque o servidor ACS não recebe o pedido de autenticação, que faz com que uma sessão falhe. Este comportamento é observado e registrado sob a identificação de bug Cisco CSCee04466 (clientes registrados somente). Como uma ação alternativa, use um servidor Radius para sessões de PPP. Contudo, mantenha o server TACACS+ para propósitos administrativos no roteador.


Informações Relacionadas


Document ID: 25646