Los problemas de autenticación PPP (Point-to-Point Protocol) son una de las causas más comunes de los errores de link de marcación manual. Este documento proporciona algunos procedimientos de solución de problemas de autenticación de PPP.
Active debug ppp negotiation y debug ppp authentication.
La fase de autenticación PPP no comienza hasta que se completa la fase del Protocolo de control de enlaces (LCP) y se encuentra en estado abierto. Si debug ppp negotiation no indica que el LCP está abierto, solucione este problema antes de continuar.
Debe configurarse la Autentificación PPP en ambos lados. Ejecute estos comandos según corresponda:
ppp authentication chap callin on the calling router, para autenticaciones unidireccionales.
ppp authentication pap en ambos routers, para la autenticación PAP.
Equipo local (o enrutador local): sistema en el que se está ejecutando actualmente la sesión de depuración. A medida que traslade la sesión de depuración de un router al otro, aplique el término máquina local al otro router.
Peer - El otro extremo del link punto a punto. Por lo tanto, el dispositivo no es la máquina local.
Por ejemplo, si ejecuta el comando debug ppp negotiation en el RouterA, entonces es la máquina local y el RouterB es el par. Sin embargo, si cambia la depuración al RouterB, se convierte en la máquina local y el RouterA se convierte en el par.
Nota: Los términos equipo local y par no implican una relación cliente-servidor. Dependiendo de dónde se ejecute la sesión de depuración, el cliente de marcado podría ser el equipo local o el par.
Cisco le recomienda que tenga conocimiento acerca de este tema:
Es necesario que pueda leer y entender los resultados de las negociaciones de depuración ppp. Consulte el documento Introducción a la Salida del Comando debug ppp negotiation para más información.
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
Este documento comprende algunos diagramas de flujo de utilidad en la resolución de problemas. Haga clic en los círculos numerados para continuar con el siguiente diagrama de flujo.
Para determinar si el router está realizando la autenticación CHAP o PAP, busque estas líneas en la salida de debug ppp negotiation y debug ppp authentication:
Busque CHAP en la fase de AUTENTICACIÓN:
*Mar 7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end *Mar 7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"
Busque PAP en la fase de AUTENTICACIÓN:
*Mar 7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both *Mar 7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"
Busque uno de estos mensajes en el resultado de debug ppp negotiation:
BR0:1 PPP: Phase is AUTHENTICATING, by both
El mensaje anterior indica que los routers están realizando una autenticación de doble sentido.
Cualquiera de los siguientes mensajes indica que los routers están realizando una autenticación unidireccional:
BR0:1 PPP: Phase is AUTHENTICATING, by the peer
or
BR0:1 PPP: Phase is AUTHENTICATING, by this end
Verifique si está recibiendo mensajes entrantes de termreq o de falla. Recuerde que "I" indica que el mensaje es un mensaje entrante:
BR0:1 LCP: I TERMREQ
or
BR0:1 CHAP: I FAILURE
Una falla entrante indica que el par no está autenticando el nombre de usuario y la contraseña del router local. Esto debe ser el resultado de un error de configuración en el router local (al no proveer el nombre de usuario y la contraseña que el par esperaba) o en el router remoto.
Busque lo siguiente en el resultado de debug ppp negotiation:
BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"
or
BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"
Anote el nombre de usuario en el desafío o respuesta saliente. En este ejemplo, es maui-soho-03. Necesita esto para verificar que el nombre de usuario y la contraseña utilizados para la autenticación coincidan con el esperado por el lado remoto. Por ejemplo, si el router local se identifica ante el par como A, pero el par esperaba B, la autenticación falla.
Si el nombre de usuario en el desafío saliente no es el mismo que el nombre de host, busque el comando ppp chap hostname <username> , donde el nombre de usuario corresponde al nombre de usuario en el desafío saliente. Tome nota del nombre de usuario y la contraseña (en el comando ppp chap password que lo acompaña). Utilizará esta información para resolver problemas del router remoto.
Dado que hemos determinado que el router local recibe una falla entrante, tenemos conocimiento de que la falla se produce en el par. Si tiene acceso al router Cisco remoto, solucione los problemas en ese dispositivo.
Si no tiene acceso al router remoto, póngase en contacto con el administrador del router para verificar el nombre de usuario y la contraseña que espera.
Haga estas preguntas:
¿Cuál es el nombre de usuario que espera el router remoto?
Utilice el comando ppp chap hostname <username> en la interfaz física o de marcador. Configure aquí el nombre de usuario proporcionado por el administrador remoto.
Nota: distingue entre mayúsculas y minúsculas.
¿Qué contraseña espera el router remoto?
Utilice el comando ppp chap password <password> en la interfaz física o de marcador.
Nota: distingue entre mayúsculas y minúsculas.
Para obtener más información, consulte el documento Autenticación PPP con los Comandos ppp chap hostname y ppp authentication chap callin.
Si el par detecta un mensaje de falla entrante, esto significa que el router local no pudo autenticar al par y envió el mensaje. Por lo tanto, ahora debe resolver problemas del router en el que indica la falla saliente.
Estos mensajes en el router local indican una falla saliente:
BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"
or
BR0:1 LCP: O TERMREQ [Open] id 22 len 4
Si el router no utiliza un sistema de autenticación, autorización y contabilización (AAA) basado en servidor (Radius o Tacacs+), el router puede utilizar no AAA o AAA local. Verifique si ve uno de los siguientes mensajes en el resultado de la depuración:
Imposible validar la respuesta
Nombre de usuario <username> No encontrado
BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03" ! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03. BR0:1 CHAP: Unable to validate Response. Username maui-soho-03 not found ! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect. BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure" ! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure. BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]
Una discordancia de nombre de usuario puede ser causada por dos razones:
El par no proporcionó el nombre de usuario esperado por el router local. Por ejemplo, esperábamos (y configuramos) el nombre de usuario RouterA, pero el par utilizó el nombre RouterB. Puede configurar el nombre de usuario y la contraseña enviados por el par o corregir el par con el nombre de usuario correcto.
El router local no tiene el nombre de usuario configurado. Si el nombre de usuario proporcionado por el par coincide con lo que esperaba el router local, configure el nombre de usuario y la contraseña.
Este problema se ve con mayor frecuencia cuando el par utiliza el comando ppp chap hostname para configurar un nombre de usuario distinto de el nombre del host del router.
Utilice el comando username <username> password <password> , donde <username> se reemplaza por el nombre de usuario en el mensaje de error anterior.
Nombre de usuario <username> No encontrado
No se puede autenticar el par.
BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01" ! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response. BR0:1 CHAP: Username maui-soho-01 not found ! -- The username (maui-soho-01) supplied by the peer is not configured locally. BR0:1 CHAP: Unable to authenticate for peer ! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE. BR0:1 PPP: Phase is TERMINATING ! -- Authentication fails.
Una discordancia de nombre de usuario puede ser causada por dos razones:
El par no proporcionó el nombre de usuario esperado por el router local. Por ejemplo, esperábamos (y configuramos) el nombre de usuario RouterA. Sin embargo, el par utilizó el nombre RouterB. Puede configurar el nombre de usuario y la contraseña enviados por el par o actualizar el par con el nombre de usuario correcto.
El router local no tiene el nombre de usuario configurado. Si el nombre de usuario proporcionado por el par coincide con lo que esperaba el router local, configure el nombre de usuario y la contraseña.
Este problema se ve con mayor frecuencia cuando el par utiliza el comando ppp chap hostname para configurar un nombre de usuario distinto de el nombre del host del router.
Utilice el comando username <username> password <password> , donde <username> se reemplaza por el nombre de usuario en el mensaje de error anterior.
BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03" BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"
La causa de este error es que no coincide la contraseña. Esto puede deberse a dos razones:
El par no proporcionó la contraseña esperada por el router local. Por ejemplo, esperábamos (y configuramos) la contraseña LetmeIn, pero el par utilizó la contraseña letmein. Puede volver a configurar el nombre de usuario y la contraseña que el par le envió o corregir el par con el nombre de usuario correcto.
La contraseña del router local no está configurada de manera correcta. Si ha comprobado que la contraseña proporcionada por el par es correcta, vuelva a configurar el router local.
Solución:
Elimine el nombre de usuario y la contraseña existentes mediante este comando:
no username <username>
Donde <username> se reemplaza por el nombre de usuario en el mensaje de error. En este ejemplo, sería maui-soho-03.
Configure el nombre de usuario y la contraseña utilizando este comando:
usernamepassword
El nombre de usuario debe ser el mismo que en el mensaje CHAP mostrado arriba. La contraseña debe coincidir con la contraseña en el router remoto
Nota: Este documento no está diseñado como un recurso de resolución de problemas AAA. Para obtener más información sobre la resolución de problemas de AAA, consulte los siguientes recursos:
Es posible que no pueda autenticarse en un servidor ACS porque el servidor ACS no recibe la solicitud de autenticación, lo que hace que falle una sesión. Este comportamiento se observa y se registra con la identificación de error de Cisco CSCee04466 (sólo para clientes registrados) . Como solución alternativa, utilice un servidor RADIUS para las sesiones PPP. Sin embargo, mantenga el servidor TACACS+ para fines administrativos en el router.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
19-Jul-2002 |
Versión inicial |