Resolución de problemas de autenticación de PPP (CHAP o PAP)

Opciones de descarga

PDF (284.7 KB)
Visualice con Adobe Reader en una variedad de dispositivos

Actualizado:18 de diciembre de 2007

ID del documento:25646

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Introducción

Prerequisites

Terminology

Requirements

Componentes Utilizados

Convenciones

Diagrama de flujo de resolución de problemas

¿El router está realizando la autenticación de CHAP o PAP?

¿Qué tipo de autenticación CHAP está ejecutando el router, unidireccional o bidireccional?

¿Se trata de una falla entrante?

¿El nombre de usuario en Impugnación o respuesta saliente es igual al nombre de host?

¿Es la máquina remota un router Cisco al que tenga acceso?

Solución de problemas de fallas CHAP salientes

El router no utiliza AAA o utiliza AAA local solamente

Solución de problemas de AAA basados en el servidor general

Información Relacionada

Introducción

Los problemas de autenticación PPP (Point-to-Point Protocol) son una de las causas más comunes de los errores de link de marcación manual. Este documento proporciona algunos procedimientos de solución de problemas de autenticación de PPP.

Prerequisites

Active debug ppp negotiation y debug ppp authentication.
La fase de autenticación PPP no comienza hasta que se completa la fase del Protocolo de control de enlaces (LCP) y se encuentra en estado abierto. Si debug ppp negotiation no indica que el LCP está abierto, solucione este problema antes de continuar.
Debe configurarse la Autentificación PPP en ambos lados. Ejecute estos comandos según corresponda:
- ppp authentication chap en ambos routers para la autenticación bidireccional de protocolo de autenticación de intercambio de señales (CHAP).
- ppp authentication chap callin on the calling router, para autenticaciones unidireccionales.
- ppp authentication pap en ambos routers, para la autenticación PAP.

Terminology

Equipo local (o enrutador local): sistema en el que se está ejecutando actualmente la sesión de depuración. A medida que traslade la sesión de depuración de un router al otro, aplique el término máquina local al otro router.
Peer - El otro extremo del link punto a punto. Por lo tanto, el dispositivo no es la máquina local.

Por ejemplo, si ejecuta el comando debug ppp negotiation en el RouterA, entonces es la máquina local y el RouterB es el par. Sin embargo, si cambia la depuración al RouterB, se convierte en la máquina local y el RouterA se convierte en el par.

Nota: Los términos equipo local y par no implican una relación cliente-servidor. Dependiendo de dónde se ejecute la sesión de depuración, el cliente de marcado podría ser el equipo local o el par.

Requirements

Cisco le recomienda que tenga conocimiento acerca de este tema:

Es necesario que pueda leer y entender los resultados de las negociaciones de depuración ppp. Consulte el documento Introducción a la Salida del Comando debug ppp negotiation para más información.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Diagrama de flujo de resolución de problemas

Este documento comprende algunos diagramas de flujo de utilidad en la resolución de problemas. Haga clic en los círculos numerados para continuar con el siguiente diagrama de flujo.

¿El router está realizando la autenticación de CHAP o PAP?

Para determinar si el router está realizando la autenticación CHAP o PAP, busque estas líneas en la salida de debug ppp negotiation y debug ppp authentication:

CHAP

Busque CHAP en la fase de AUTENTICACIÓN:

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

Busque PAP en la fase de AUTENTICACIÓN:

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

¿Qué tipo de autenticación CHAP está ejecutando el router, unidireccional o bidireccional?

Busque uno de estos mensajes en el resultado de debug ppp negotiation:

BR0:1 PPP: Phase is AUTHENTICATING, by both

El mensaje anterior indica que los routers están realizando una autenticación de doble sentido.

Cualquiera de los siguientes mensajes indica que los routers están realizando una autenticación unidireccional:

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

BR0:1 PPP: Phase is AUTHENTICATING, by this end

¿Se trata de una falla entrante?

Verifique si está recibiendo mensajes entrantes de termreq o de falla. Recuerde que "I" indica que el mensaje es un mensaje entrante:

BR0:1 LCP: I TERMREQ

BR0:1 CHAP: I FAILURE

Una falla entrante indica que el par no está autenticando el nombre de usuario y la contraseña del router local. Esto debe ser el resultado de un error de configuración en el router local (al no proveer el nombre de usuario y la contraseña que el par esperaba) o en el router remoto.

¿El nombre de usuario en Impugnación o respuesta saliente es igual al nombre de host?

Busque lo siguiente en el resultado de debug ppp negotiation:

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

Anote el nombre de usuario en el desafío o respuesta saliente. En este ejemplo, es maui-soho-03. Necesita esto para verificar que el nombre de usuario y la contraseña utilizados para la autenticación coincidan con el esperado por el lado remoto. Por ejemplo, si el router local se identifica ante el par como A, pero el par esperaba B, la autenticación falla.

Si el nombre de usuario en el desafío saliente no es el mismo que el nombre de host, busque el comando ppp chap hostname <username> , donde el nombre de usuario corresponde al nombre de usuario en el desafío saliente. Tome nota del nombre de usuario y la contraseña (en el comando ppp chap password que lo acompaña). Utilizará esta información para resolver problemas del router remoto.

¿Es la máquina remota un router Cisco al que tenga acceso?

Dado que hemos determinado que el router local recibe una falla entrante, tenemos conocimiento de que la falla se produce en el par. Si tiene acceso al router Cisco remoto, solucione los problemas en ese dispositivo.

Si no tiene acceso al router remoto, póngase en contacto con el administrador del router para verificar el nombre de usuario y la contraseña que espera.

Haga estas preguntas:

¿Cuál es el nombre de usuario que espera el router remoto?

Utilice el comando ppp chap hostname <username> en la interfaz física o de marcador. Configure aquí el nombre de usuario proporcionado por el administrador remoto.

Nota: distingue entre mayúsculas y minúsculas.
¿Qué contraseña espera el router remoto?

Utilice el comando ppp chap password <password> en la interfaz física o de marcador.

Nota: distingue entre mayúsculas y minúsculas.

Para obtener más información, consulte el documento Autenticación PPP con los Comandos ppp chap hostname y ppp authentication chap callin.

Solución de problemas de fallas CHAP salientes

Si el par detecta un mensaje de falla entrante, esto significa que el router local no pudo autenticar al par y envió el mensaje. Por lo tanto, ahora debe resolver problemas del router en el que indica la falla saliente.

Estos mensajes en el router local indican una falla saliente:

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

El router no utiliza AAA o utiliza AAA local solamente

Si el router no utiliza un sistema de autenticación, autorización y contabilización (AAA) basado en servidor (Radius o Tacacs+), el router puede utilizar no AAA o AAA local. Verifique si ve uno de los siguientes mensajes en el resultado de la depuración:

Imposible validar la respuesta

Nombre de usuario <username> No encontrado

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

Una discordancia de nombre de usuario puede ser causada por dos razones:

El par no proporcionó el nombre de usuario esperado por el router local. Por ejemplo, esperábamos (y configuramos) el nombre de usuario RouterA, pero el par utilizó el nombre RouterB. Puede configurar el nombre de usuario y la contraseña enviados por el par o corregir el par con el nombre de usuario correcto.
El router local no tiene el nombre de usuario configurado. Si el nombre de usuario proporcionado por el par coincide con lo que esperaba el router local, configure el nombre de usuario y la contraseña.

Este problema se ve con mayor frecuencia cuando el par utiliza el comando ppp chap hostname para configurar un nombre de usuario distinto de el nombre del host del router.

Utilice el comando username <username> password <password> , donde <username> se reemplaza por el nombre de usuario en el mensaje de error anterior.

Nombre de usuario <username> No encontrado

No se puede autenticar el par.

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

Una discordancia de nombre de usuario puede ser causada por dos razones:

El par no proporcionó el nombre de usuario esperado por el router local. Por ejemplo, esperábamos (y configuramos) el nombre de usuario RouterA. Sin embargo, el par utilizó el nombre RouterB. Puede configurar el nombre de usuario y la contraseña enviados por el par o actualizar el par con el nombre de usuario correcto.
El router local no tiene el nombre de usuario configurado. Si el nombre de usuario proporcionado por el par coincide con lo que esperaba el router local, configure el nombre de usuario y la contraseña.

Este problema se ve con mayor frecuencia cuando el par utiliza el comando ppp chap hostname para configurar un nombre de usuario distinto de el nombre del host del router.

Utilice el comando username <username> password <password> , donde <username> se reemplaza por el nombre de usuario en el mensaje de error anterior.

Error de comparación de MD/DES

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

La causa de este error es que no coincide la contraseña. Esto puede deberse a dos razones:

El par no proporcionó la contraseña esperada por el router local. Por ejemplo, esperábamos (y configuramos) la contraseña LetmeIn, pero el par utilizó la contraseña letmein. Puede volver a configurar el nombre de usuario y la contraseña que el par le envió o corregir el par con el nombre de usuario correcto.
La contraseña del router local no está configurada de manera correcta. Si ha comprobado que la contraseña proporcionada por el par es correcta, vuelva a configurar el router local.

Solución:

Elimine el nombre de usuario y la contraseña existentes mediante este comando:
```
no username <username>
```
Donde <username> se reemplaza por el nombre de usuario en el mensaje de error. En este ejemplo, sería maui-soho-03.
Configure el nombre de usuario y la contraseña utilizando este comando:
```
username  password 
```
El nombre de usuario debe ser el mismo que en el mensaje CHAP mostrado arriba. La contraseña debe coincidir con la contraseña en el router remoto

Solución de problemas de AAA basados en el servidor general

Nota: Este documento no está diseñado como un recurso de resolución de problemas AAA. Para obtener más información sobre la resolución de problemas de AAA, consulte los siguientes recursos:

Problema: La autenticación PAP funciona para PPP, pero falla MsCHAPv2

Es posible que no pueda autenticarse en un servidor ACS porque el servidor ACS no recibe la solicitud de autenticación, lo que hace que falle una sesión. Este comportamiento se observa y se registra con la identificación de error de Cisco CSCee04466 (sólo para clientes registrados) . Como solución alternativa, utilice un servidor RADIUS para las sesiones PPP. Sin embargo, mantenga el servidor TACACS+ para fines administrativos en el router.

Información Relacionada

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	19-Jul-2002	Versión inicial

Contribución realizada por

npanicke
gpekovic