Глобальная сеть (WAN) : Протокол PPP

Устранение неисправностей аутентификации PPP (CHAP или PAP)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Проблемы аутентификации протокола PPP относятся к числу наиболее распространенных причин сбоев канала удаленного доступа. В этом документе представлены некоторые Процедуры поиска и устранения неисправностей аутентификации PPP.

Предварительные условия

Терминология

  • Локальный компьютер (или локальный маршрутизатор) - Это - система, в которой в настоящее время выполняется сеанс отладки. Если сеанс отладки перемещается с одного маршрутизатора на другой, термин "локальный компьютер" будет применяться к другому маршрутизатору.

  • Узел - другой конец канала типа точка-точка. Следовательно, устройство не является локальным компьютером.

    Например, при выдаче команды debug ppp negotiation на RouterA тогда это - локальный компьютер, и RouterB является узлом. Однако при смещении отладки в RouterB тогда это становится локальным компьютером, и RouterA становится узлом.

Примечание: Термины "Локальная машина" и "Равноправный узел" не подразумевают отношений клиент-сервер. В зависимости от того, где выполняется сеанс отладки, клиент входящих звонков может быть локальным компьютером или одноранговым узлом.

Требования

Cisco рекомендует ознакомиться с этой темой:

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Блок-схема устранения неполадок

В этот документ включено несколько блок-схем, описывающих процедуры устранения проблем. Можно перейти к следующей блок-схеме, щелкнув пронумерованные кружки.

ppp_authen_ts_fl1.gif

Какую аутентификацию проводит маршрутизатор - CHAP или PAP?

Чтобы определить, выполняет ли маршрутизатор CHAP или Аутентификацию PAP, ищите эти линии в выходных данных debug ppp authenticaion и debug ppp negotiation:

CHAP

Ищите CHAP в АУТЕНТИФИЦИРУЮЩЕЙСЯ фазе:

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

Ищите PAP в АУТЕНТИФИЦИРУЮЩЕЙСЯ фазе:

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

Маршрутизатор выполняет двустороннюю или одностороннюю аутентификацию по протоколу с предварительным согласованием вызова?

Ищите одно из этих сообщений в выходных данных debug ppp negotiation:

BR0:1 PPP: Phase is AUTHENTICATING, by both

Вышеприведенное сообщение указывает на то, что маршрутизаторы выполняют двустороннюю аутентификацию.

Любое из сообщений ниже указывает, что маршрутизаторы выполняют одностороннюю проверку подлинности:

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

или

BR0:1 PPP: Phase is AUTHENTICATING, by this end

Ошибка входных данных?

ppp_authen_ts_fl2.gif

Проверьте, чтобы видеть, получаете ли вы поступление termreq или сообщения об ошибках. Помните, что "I" указывает, что сообщение является входящим сообщением:

BR0:1 LCP: I TERMREQ

или

BR0:1 CHAP: I FAILURE

Сбой на входе указывает, что узел не в состоянии аутентифицировать имя пользователя и пароль локального маршрутизатора. Это может произойти из-за неверной конфигурации на локальном маршрутизаторе (если не указаны ожидаемые равноправным узлом имя пользователя и пароль) либо на удаленном маршрутизаторе.

Имя пользователя в исходящем запросе или ответе то же самое, что имя узла?

Ищите придерживающееся в выходных данных debug ppp negotiation:

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

или

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

Обратите внимание на имя пользователя в исходящей проблеме или ответе. В данном примере это - maui-soho-03. Вам нужно это, чтобы проверить, что имя пользователя и пароль, используемое для аутентификации, совпадает с той, ожидаемой удаленной стороной. Например, если локальный маршрутизатор определяет себя к узлу как A, но узел ожидал B, то аутентификация отказывает.

Если имя пользователя в исходящей проблеме не является тем же как именем хоста, ищите <username> команды ppp chap hostname , где имя пользователя соответствует имени пользователя в исходящей проблеме. Обратите внимание на имя пользователя и пароль (в сопроводительной команде ppp chap password). Вы будете использовать эту информацию при устранении проблем удаленного маршрутизатора.

Является ли удаленный компьютер маршрутизатором Cisco, к которому есть доступ?

Поскольку было выяснено, что маршрутизатор получил входящую ошибку, ясно, что ошибка происходит на одноранговом узле. Если вы имеете доступ к удаленному маршрутизатору Cisco, то устраняете неполадки на том устройстве.

Если у вас нет доступа к удаленному маршрутизатору, свяжитесь с администратором того маршрутизатора для проверки имени пользователя и пароля, которое это ожидает.

Задайте эти вопросы:

  1. Какое имя пользователя ожидает удаленный маршрутизатор?

    Используйте команду <username> ppp chap hostname под медосмотром или интерфейсом номеронабирателя. Настройте имя пользователя, введенное удаленным администратором здесь.

    Примечание: Необходимо учитывать регистр.

  2. Какой пароль удаленный маршрутизатор ожидает?

    Используйте команду <password> пароля "ppp chap" под медосмотром или интерфейсом номеронабирателя.

    Примечание: Необходимо учитывать регистр.

Для получения дополнительной информации обратитесь к документу Проверка подлинности PPP с использованием команд ppp chap hostname и ppp authentication chap callin.

Устранение неполадок исходящего трафика CHAP

ppp_authen_ts_fl3.gif

Если узел обнаруживает сообщение сбоя на входе, это означает, что локальный маршрутизатор был не в состоянии аутентифицировать узел и отослал сообщение. Следовательно, необходимо теперь устранить неполадки маршрутизатора, на котором указывает на сбой передачи данных.

Эти сообщения на локальном маршрутизаторе указывают на сбой передачи данных:

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

или

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

Маршрутизатор использует схему No AAA или Only Local AAA

Если маршрутизатор не использует проверку подлинности на основе сервера, авторизацию, и бухгалтерский (AAA) система (Радиус или Tacacs +), то маршрутизатор может использовать или AAA или локальный AAA. Проверьте, видите ли вы одно из следующих сообщений в выходных данных отладки:

Невозможно проверить ответ

<Username> имени пользователя , не найденный

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. 
! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router.
! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. 
! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

Несовпадение имен пользователя может быть вызвано двумя причинами:

  1. Одноранговый узел не подает имя пользователя, ожидаемое локальным маршрутизатором. Например, мы ожидали (и настроил), имя пользователя routera, но узел использовал имя МаршрутизаторB. Вы можете или сконфигурировать имя пользователя и пароль, высланные точкой вызова, или поправить его, сообщив правильное имя пользователя.

  2. Локальный маршрутизатор не имеет конфигурированного имени пользователя. Если имя пользователя, предоставленное узлом, совпадает, что ожидаемый локальный маршрутизатор, то настройте имя пользователя и пароль.

Данная проблема чаще всего возникает тогда, когда узел использует команду ppp chap hostname для настройки имени пользователя, отличного от имени узла маршрутизатора.

Используйте команду <password> пароля <username> имени пользователя, где <username> заменен именем пользователя в сообщении об ошибках выше.

<Username> имени пользователя , не найденный

Не удается выполнить аутентификацию для узла

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01.
! -- This router must look up the username specified
! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username
! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

Несовпадение имен пользователя может быть вызвано двумя причинами:

  1. Одноранговый узел не подает имя пользователя, ожидаемое локальным маршрутизатором. Например, мы ожидали (и настроил), имя пользователя routera. Однако узел использовал имя МаршрутизаторB. Можно или настроить имя пользователя и пароль, передаваемое узлом, или обновить узел с корректным именем пользователя.

  2. Локальный маршрутизатор не имеет конфигурированного имени пользователя. Если имя пользователя, предоставленное узлом, совпадает, что ожидаемый локальный маршрутизатор, то настройте имя пользователя и пароль.

Данная проблема чаще всего возникает тогда, когда узел использует команду ppp chap hostname для настройки имени пользователя, отличного от имени узла маршрутизатора.

Используйте команду <password> пароля <username> имени пользователя, где <username> заменен именем пользователя в сообщении об ошибках выше.

MD/DES Выдерживают сравнение Отказавший

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

Эта ошибка произошла из-за несоответствия пароля. Это могло быть причиной двумя причинами:

  1. Одноранговый узел не поддерживает пароль, ожидаемый локальным маршрутизатором. Например, мы ожидали (и настроил), пароль letmein, но узел использовал пароль letmein. Можно перенастроить имя пользователя и пароль, полученные от однорангового узла, или исправить имя пользователя для этого узла.

  2. Локальный маршрутизатор не имеет правильно настроенного пароля. Если вы проверили, что пароль, предоставленный узлом, корректен, то реконфигурируйте локальный маршрутизатор.

Решение:

  1. Удалите существующую запись имени пользователя и пароля с помощью этой команды:

    no username <username>
    
    

    Где <username> заменен именем пользователя в сообщении об ошибках. В данном примере, который был бы maui-soho-03.

  2. Настройте имя пользователя и пароль с помощью этой команды:

    username <username> password <password>
    
    

    Имя пользователя должно совпасть с в сообщении CHAP, показанном выше. Пароль должен совпадать с паролем на удаленном маршрутизаторе.

Поиск и устранение общих серверных проблем аутентификации, авторизации и учета

ppp_authen_ts_fl4.gif

Примечание: Данная документация не является средством устранения неисправностей AAA. Для получения дополнительной информации об устранении проблем AAA обратитесь к следующим ресурсам:

Проблема: Аутентификация PAP работает для PPP, но сбоев MSCHAPV2

Вы не могли бы быть в состоянии аутентифицироваться на сервере ACS, потому что сервер ACS не получает запрос аутентификации, который заставляет сеанс отказывать. Это поведение наблюдается и зарегистрировано под идентификатором ошибки Cisco CSCee04466 (только зарегистрированные клиенты). Как обходной путь, используйте сервер RADIUS для сеансов PPP. Однако поддержите TACACS + сервер для административных целей на маршрутизаторе.


Дополнительные сведения


Document ID: 25646