PPP(CHAP 또는 PAP) 인증 문제 해결

다운로드 옵션

PDF (320.8 KB)
다양한 디바이스에서 Adobe Reader로 보기

업데이트:2007년 12월 18일

문서 ID:25646

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

PPP(Point-to-Point Protocol) 인증 문제는 전화 접속 링크 장애의 가장 일반적인 원인 중 하나입니다. 이 문서에서는 PPP 인증 문제에 대한 몇 가지 트러블슈팅 절차를 제공합니다.

사전 요구 사항

디버그 ppp 협상을 활성화하고 디버그 ppp 인증을 활성화합니다.
PPP 인증 단계는 LCP(Link Control Protocol) 단계가 완료되고 열린 상태가 될 때까지 시작되지 않습니다. 디버그 ppp 협상이 LCP가 열려 있음을 나타내지 않으면 계속하기 전에 이 문제를 해결하십시오.
PPP 인증은 양쪽에서 구성해야 합니다. 필요에 따라 다음 명령을 실행합니다.
- 양방향 CHAP(Challenge Handshake Authentication Protocol) 인증을 위해 두 라우터의 ppp 인증 chap
- 단방향 인증을 위해 발신 라우터에서 ppp 인증 chap callin을 호출합니다.
- pap 인증을 위해 두 라우터의 ppp 인증 pap

용어

로컬 컴퓨터(또는 로컬 라우터) - 현재 디버깅 세션이 실행 중인 시스템입니다. 한 라우터에서 다른 라우터로 디버그 세션을 이동할 때 다른 라우터에 로컬 시스템이라는 용어를 적용합니다.
Peer(피어) - 포인트-투-포인트 링크의 다른 쪽 끝입니다. 따라서 디바이스는 로컬 시스템이 아닙니다.

예를 들어, RouterA에서 debug ppp negotiation 명령을 실행하면 로컬 시스템이고 RouterB는 피어입니다. 그러나 디버깅을 RouterB로 이동하면 로컬 시스템이 되고 RouterA가 피어가 됩니다.

참고: 로컬 시스템 및 피어라는 용어는 클라이언트-서버 관계를 의미하지 않습니다. 디버그 세션이 실행되는 위치에 따라 전화 접속 클라이언트는 로컬 컴퓨터 또는 피어일 수 있습니다.

요구 사항

Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.

디버그 ppp 협상 출력을 읽고 이해할 수 있어야 합니다. 자세한 내용은 디버그 ppp 협상 결과 이해 문서를 참조하십시오.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

문제 해결 순서도

이 문서에는 문제 해결을 지원하는 몇 가지 순서도가 포함되어 있습니다. 번호가 매겨진 원을 클릭하여 다음 순서도로 진행할 수 있습니다.

라우터가 CHAP 또는 PAP 인증을 수행합니까?

라우터가 CHAP 또는 PAP 인증을 수행 중인지 확인하려면 debug ppp negotiation 및 debug ppp authentication 출력에서 다음 행을 확인합니다.

CHAP

인증 단계에서 CHAP를 찾습니다.

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

인증 단계에서 PAP를 찾습니다.

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

라우터가 단방향 또는 양방향 CHAP 인증을 수행합니까?

디버그 ppp 협상 출력에서 다음 메시지 중 하나를 찾습니다.

BR0:1 PPP: Phase is AUTHENTICATING, by both

위 메시지는 라우터가 양방향 인증을 수행 중임을 나타냅니다.

아래 메시지 중 하나는 라우터가 단방향 인증을 수행 중임을 나타냅니다.

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

또는

BR0:1 PPP: Phase is AUTHENTICATING, by this end

수신 실패입니까?

수신 termreq 또는 실패 메시지를 수신하는지 확인합니다. "I"는 메시지가 수신 메시지임을 나타냅니다.

BR0:1 LCP: I TERMREQ

또는

BR0:1 CHAP: I FAILURE

수신 실패는 피어가 로컬 라우터의 사용자 이름 및 비밀번호를 인증하지 못하고 있음을 나타냅니다. 이는 로컬 라우터(피어에 필요한 사용자 이름 및 비밀번호를 제공하지 않음) 또는 원격 라우터의 컨피그레이션 오류 때문일 수 있습니다.

발신 챌린지 또는 응답의 사용자 이름이 호스트 이름과 같습니까?

debug ppp 협상 출력에서 다음을 찾습니다.

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

또는

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

발신 챌린지 또는 응답의 사용자 이름을 확인합니다. 이 예에서는 maui-soho-03입니다. 인증에 사용되는 사용자 이름 및 비밀번호가 원격 측에 필요한 사용자 이름 및 비밀번호와 일치하는지 확인해야 합니다. 예를 들어 로컬 라우터가 피어에 자신을 A로 식별하지만 피어에 B가 필요한 경우 인증이 실패합니다.

발신 챌린지의 사용자 이름이 호스트 이름과 같지 않은 경우 ppp chap hostname <username> 명령을 찾습니다. 여기서 사용자 이름은 발신 챌린지의 사용자 이름에 해당합니다. 사용자 이름 및 비밀번호를 기록합니다(ppp chap password 명령의 경우). 원격 라우터의 문제를 해결할 때 이 정보를 사용합니다.

원격 시스템이 액세스 권한이 있는 Cisco 라우터입니까?

로컬 라우터가 수신 오류를 받았음을 확인했으므로 피어에서 오류가 발생하고 있음을 알 수 있습니다. 원격 Cisco 라우터에 액세스할 수 있는 경우 해당 디바이스에서 문제를 해결합니다.

원격 라우터에 대한 액세스 권한이 없는 경우 해당 라우터의 관리자에게 문의하여 필요한 사용자 이름과 비밀번호를 확인합니다.

다음과 같은 질문을 하십시오.

원격 라우터에는 어떤 사용자 이름이 필요합니까?

물리적 또는 다이얼러 인터페이스에서 ppp chap hostname<username> 명령을 사용합니다. 여기에서 원격 관리자가 제공한 사용자 이름을 구성합니다.

참고: 대소문자를 구분합니다.
원격 라우터에는 어떤 비밀번호가 필요합니까?

물리적 또는 다이얼러 인터페이스에서 ppp chap password<password> 명령을 사용합니다.

참고: 대소문자를 구분합니다.

자세한 내용은 ppp PPP Authentication Using the ppp chap hostname and ppp authentication chap callin Commands 문서를 참조하십시오.

발송 CHAP 장애 문제 해결

피어가 수신 실패 메시지를 탐지하면 로컬 라우터가 피어를 인증하지 못하고 메시지를 전송했음을 의미합니다. 따라서 이제 발신 실패를 나타내는 라우터의 문제를 해결해야 합니다.

로컬 라우터의 다음 메시지는 발신 실패를 나타냅니다.

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

또는

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

라우터는 AAA를 사용하지 않거나 로컬 AAA만 사용합니다

라우터가 AAA(Server-based Authentication, Authorization, and Accounting) 시스템(Radius 또는 Tacacs+)을 사용하지 않는 경우 라우터는 AAA 또는 로컬 AAA를 사용할 수 없습니다. 디버그 출력에 다음 메시지 중 하나가 표시되는지 확인합니다.

응답을 검증할 수 없습니다.

사용자 이름 <username>을(를) 찾을 수 없습니다.

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

사용자 이름 불일치는 두 가지 이유로 인해 발생할 수 있습니다.

피어가 로컬 라우터에 필요한 사용자 이름을 제공하지 않았습니다. 예를 들어, 사용자 이름 RouterA를 예상(및 구성)했지만 피어가 RouterB라는 이름을 사용했습니다. 피어에서 전송한 사용자 이름 및 비밀번호를 구성하거나 올바른 사용자 이름으로 피어를 수정할 수 있습니다.
로컬 라우터에 구성된 사용자 이름이 없습니다. 피어에서 제공한 사용자 이름이 로컬 라우터의 예상과 일치하면 사용자 이름 및 비밀번호를 구성합니다.

이 문제는 피어가 ppp chap hostname 명령을 사용하여 라우터 호스트 이름이 아닌 사용자 이름을 구성하는 경우에 가장 자주 나타납니다.

username <username> password <password> 명령을 사용합니다. 여기서 <username>은 위의 오류 메시지에서 사용자 이름으로 교체됩니다.

사용자 이름 <username>을(를) 찾을 수 없습니다.

피어에 대해 인증할 수 없음

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

사용자 이름 불일치는 두 가지 이유로 인해 발생할 수 있습니다.

피어가 로컬 라우터에 필요한 사용자 이름을 제공하지 않았습니다. 예를 들어, 사용자 이름 RouterA를 예상(및 구성)했습니다. 그러나 피어는 RouterB라는 이름을 사용했습니다. 피어에서 전송한 사용자 이름 및 비밀번호를 구성하거나 올바른 사용자 이름으로 피어를 업데이트할 수 있습니다.
로컬 라우터에 구성된 사용자 이름이 없습니다. 피어에서 제공한 사용자 이름이 로컬 라우터의 예상과 일치하면 사용자 이름 및 비밀번호를 구성합니다.

이 문제는 피어가 ppp chap hostname 명령을 사용하여 라우터 호스트 이름이 아닌 사용자 이름을 구성하는 경우에 가장 자주 나타납니다.

username <username> password <password> 명령을 사용합니다. 여기서 <username>은 위의 오류 메시지에서 사용자 이름으로 교체됩니다.

MD/DES 비교 실패

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

이 오류는 암호 불일치로 인해 발생합니다. 이는 다음 두 가지 이유로 인해 발생할 수 있습니다.

피어가 로컬 라우터에 필요한 비밀번호를 제공하지 않았습니다. 예를 들어 비밀번호 LetmeIn이 필요했지만 피어가 비밀번호 letmein을 사용했습니다. 피어에서 전송한 사용자 이름 및 비밀번호를 다시 구성하거나 올바른 사용자 이름으로 피어를 수정할 수 있습니다.
로컬 라우터에 암호가 올바르게 구성되어 있지 않습니다. 피어에서 제공한 비밀번호가 올바른지 확인한 경우 로컬 라우터를 재구성합니다.

해결책:

다음 명령을 사용하여 기존 사용자 이름 및 비밀번호 항목을 제거합니다.
```
no username <username>
```
여기서 <username>은 오류 메시지의 사용자 이름으로 대체됩니다. 이 예에서는 maui-soho-03입니다.
다음 명령을 사용하여 사용자 이름 및 비밀번호를 구성합니다.
```
username  password 
```
사용자 이름은 위에 표시된 CHAP 메시지와 동일해야 합니다. 비밀번호는 원격 라우터의 비밀번호와 일치해야 합니다.

일반 서버 기반 AAA 문제 해결

참고: 이 문서는 AAA 트러블슈팅 리소스로 작성되지 않았습니다. AAA 트러블슈팅에 대한 자세한 내용은 다음 리소스를 참조하십시오.

문제/장애: PAP 인증은 PPP에 대해 작동하지만 MsCHAPv2는 실패합니다

ACS 서버가 인증 요청을 받지 못해 세션이 실패하기 때문에 ACS 서버에 대해 인증하지 못할 수 있습니다. 이 동작은 Cisco 버그 ID CSCee04466(등록된 고객만 해당)에서 관찰되고 기록됩니다. 이를 해결하려면 PPP 세션에 RADIUS 서버를 사용합니다. 그러나 관리 목적으로 라우터에 TACACS+ 서버를 보관합니다.