Point-to-Point Protocol (PPP)-verificatiekwesties zijn een van de meest voorkomende oorzaken voor tekortkomingen in dialup-links. Dit document biedt procedures voor probleemoplossing bij PPP-verificatieproblemen.
Schakel debug ppp-onderhandeling in en debug ppp-verificatie.
De PPP-verificatiefase begint niet totdat de fase Link Control Protocol (LCP) is voltooid en zich in de open staat bevindt. Als ppp-onderhandeling niet aangeeft dat LCP open is, lost u deze kwestie op voordat u verdergaat.
PPP-verificatie moet aan beide zijden worden geconfigureerd. Geef deze opdrachten indien nodig uit:
PPP-verificatie op beide routers, voor tweevoudige Challenge Handshake Verification Protocol (CHAP)-verificatie.
ppp-verificatiekaart die de oproepende router aanroept voor eenmalige verificatie.
ppp-verificatiepap op beide routers, voor PAP-verificatie.
Lokale machine (of lokale router) - Dit is het systeem waarop de debugging sessie momenteel wordt uitgevoerd. Aangezien u de debug sessie van de ene router naar de andere verplaatst, pas de term lokale machine toe op de andere router.
Peer - het andere uiteinde van de point-to-point link. Het apparaat is dus niet de lokale machine.
Bijvoorbeeld, als u het debug ppp onderhandelingsbevel op RouterA uitgeeft, dan is het de lokale machine en RouterB is de peer. Als u echter debugging naar RouterB verschuift, wordt het de lokale machine en wordt RouterA de peer.
Opmerking: de termen lokale machine en peer impliceren geen client-server relatie. Afhankelijk van waar de debug-sessie wordt uitgevoerd, kan de inbelclient de lokale machine of peer zijn.
Cisco raadt u aan bekend te zijn met dit onderwerp:
U moet de debug ppp onderhandelingsoutput kunnen lezen en begrijpen. Raadpleeg het document Understanding debug PPP-onderhandeling Output voor meer informatie.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
Dit document bevat een aantal stroomdiagrammen om te helpen bij het oplossen van problemen. U kunt naar het volgende stroomschema gaan door op de genummerde cirkels te klikken.
Om te bepalen als de router CHAP- of PAP-verificatie uitvoert, zoekt u deze lijnen in de debug ppp-onderhandeling en debug ppp-verificatie-uitvoer:
Zoek naar CHAP in de VERIFICATIefase:
*Mar 7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end *Mar 7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"
Zoek naar PAP in de VERIFICATIefase:
*Mar 7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both *Mar 7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"
Zoek een van deze berichten in de debug ppp-onderhandelingsuitvoer:
BR0:1 PPP: Phase is AUTHENTICATING, by both
Het bovenstaande bericht geeft aan dat de routers bidirectionele verificatie uitvoeren.
Één van beide berichten wijst hieronder erop dat de routers unidirectionele authentificatie uitvoeren:
BR0:1 PPP: Phase is AUTHENTICATING, by the peer
of
BR0:1 PPP: Phase is AUTHENTICATING, by this end
Controleer of u inkomende termreq of foutmeldingen ontvangt. Denk eraan dat "ik" aangeeft dat het bericht binnenkomt:
BR0:1 LCP: I TERMREQ
of
BR0:1 CHAP: I FAILURE
Een inkomende mislukking wijst erop dat de peer er niet in slaagt om de gebruikersbenaming en het wachtwoord van de lokale router voor authentiek te verklaren. Dit kan te wijten zijn aan een verkeerde configuratie op de lokale router (door niet de gebruikersnaam en het wachtwoord te leveren dat door de peer wordt verwacht) of op de externe router.
Let op het volgende in de debug ppp-onderhandelingsoutput:
BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"
of
BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"
Noteer de gebruikersnaam in de uitgaande uitdaging of reactie. In dit voorbeeld, is het maui-soho-03. U hebt dit nodig om te verifiëren dat de gebruikersnaam en het wachtwoord gebruikt voor verificatie overeenkomt met degene die verwacht wordt door de afstandsbediening. Bijvoorbeeld, als de lokale router zich aan de edele als A identificeert, maar de edele B verwachtte, dan ontbreekt de authentificatie.
Als de gebruikersnaam in de uitgaande uitdaging niet hetzelfde is als de hostnaam, zoek dan naar de opdrachtmap ppp chap hostname <username> , waar de gebruikersnaam overeenkomt met de gebruikersnaam in de uitgaande uitdaging. Noteer de gebruikersnaam en het wachtwoord (in de opdracht wachtwoord voor chap-koppeling). U zult deze informatie gebruiken wanneer u problemen oplost met de externe router.
Aangezien we hebben vastgesteld dat de lokale router een inkomende fout heeft ontvangen, weten we dat de fout zich voordoet op de peer. Als u toegang hebt tot de externe Cisco-router, kunt u problemen oplossen op dat apparaat.
Als u geen toegang tot de externe router hebt, neemt u contact op met de beheerder van die router om de gebruikersnaam en het wachtwoord te verifiëren die worden verwacht.
Stel deze vragen:
Welke gebruikersnaam verwacht de externe router?
Gebruik de opdracht ppp chap hostname <username> onder de fysieke of dialer interface. Configureer hier de gebruikersnaam die door de externe beheerder is opgegeven.
Opmerking: dit is hoofdlettergevoelig.
Welk wachtwoord verwacht de externe router?
Gebruik de opdracht PPP chap password <password> onder de fysieke of dialer-interface.
Opmerking: dit is hoofdlettergevoelig.
Zie voor meer informatie het document PPP-verificatie met behulp van de opdrachten ppp-chap hostname en ppp-verificatiekaart.
Als de peer een inkomend foutbericht detecteert, betekent dit dat de lokale router de peer niet heeft geverifieerd en het bericht heeft verstuurd. Vandaar, moet u nu het oplossen van problemen de router waarop wijst op de uitgaande mislukking.
Deze berichten op de lokale router wijzen op een uitgaande fout:
BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"
of
BR0:1 LCP: O TERMREQ [Open] id 22 len 4
Als de router geen op een server gebaseerde verificatie-, autorisatie- en accounting (AAA) systeem gebruikt (Radius of Tacacs+), dan kan de router geen AAA of lokale AAA gebruiken. Controleer of u een van de volgende berichten ziet in de debug-uitvoer:
Kan antwoord niet valideren
Gebruikersnaam <gebruikersnaam> niet gevonden
BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03" ! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03. BR0:1 CHAP: Unable to validate Response. Username maui-soho-03 not found ! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect. BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure" ! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure. BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]
Een gebruikersbenamingswanverhouding kan om twee redenen worden veroorzaakt:
De peer heeft niet de gebruikersnaam geleverd die door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en geconfigureerd) de gebruikersnaam RouterA, maar de peer gebruikte de naam RouterB. U kunt de gebruikersnaam en het wachtwoord configureren dat door de peer wordt verzonden of de peer met de juiste gebruikersnaam corrigeren.
De lokale router heeft de gebruikersnaam niet ingesteld. Als de gebruikersnaam die door de peer wordt geleverd overeenkomt met wat de lokale router had verwacht, dan configureer de gebruikersnaam en het wachtwoord.
Dit probleem wordt het meest gezien wanneer de peer de ppp chap hostname opdracht gebruikt om een andere gebruikersnaam dan de router hostname te configureren.
Gebruik de opdracht gebruikersnaam <gebruikersnaam> wachtwoord <wachtwoord>, waarbij <gebruikersnaam> wordt vervangen door de gebruikersnaam in de bovenstaande foutmelding.
Gebruikersnaam <gebruikersnaam> niet gevonden
Kan niet geverifieerd worden voor peer
BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01" ! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response. BR0:1 CHAP: Username maui-soho-01 not found ! -- The username (maui-soho-01) supplied by the peer is not configured locally. BR0:1 CHAP: Unable to authenticate for peer ! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE. BR0:1 PPP: Phase is TERMINATING ! -- Authentication fails.
Een gebruikersbenamingswanverhouding kan om twee redenen worden veroorzaakt:
De peer heeft niet de gebruikersnaam geleverd die door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en geconfigureerd) de gebruikersnaam RouterA. De peer gebruikte echter de naam RouterB. U kunt de gebruikersnaam en het wachtwoord configureren dat door de peer wordt verzonden of de peer met de juiste gebruikersnaam bijwerken.
De lokale router heeft de gebruikersnaam niet ingesteld. Als de gebruikersnaam die door de peer wordt geleverd overeenkomt met wat de lokale router had verwacht, dan configureer de gebruikersnaam en het wachtwoord.
Dit probleem wordt het meest gezien wanneer de peer de ppp chap hostname opdracht gebruikt om een andere gebruikersnaam dan de router hostname te configureren.
Gebruik de opdracht gebruikersnaam <gebruikersnaam> wachtwoord <wachtwoord>, waarbij <gebruikersnaam> wordt vervangen door de gebruikersnaam in de bovenstaande foutmelding.
BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03" BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"
Deze fout wordt veroorzaakt door een wachtwoordwanverhouding. Dit kan worden veroorzaakt door twee redenen:
De peer gaf niet het wachtwoord dat door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en geconfigureerd) het wachtwoord LetmeIn, maar de peer gebruikte de wachtwoord letmein. U kunt de gebruikersnaam en het wachtwoord dat door de peer wordt verzonden opnieuw configureren of de peer met de juiste gebruikersnaam corrigeren.
De lokale router heeft het wachtwoord niet correct geconfigureerd. Als u hebt geverifieerd dat het wachtwoord dat door de peer wordt geleverd correct is, dan configureer de lokale router opnieuw.
Oplossing:
Verwijder de bestaande gebruikersnaam en wachtwoordinvoer met behulp van deze opdracht:
no username <username>
Waarbij <gebruikersnaam> wordt vervangen door de gebruikersnaam in de foutmelding. In dit voorbeeld is dat maui-soho-03.
Configureer de gebruikersnaam en het wachtwoord met deze opdracht:
usernamepassword
De gebruikersnaam zou hetzelfde moeten zijn als in het bovenstaande CHAP-bericht. Het wachtwoord moet overeenkomen met het wachtwoord op de externe router.
Opmerking: dit document is niet bedoeld als bron voor AAA-probleemoplossing. Raadpleeg de volgende bronnen voor meer informatie over probleemoplossing in AAA:
Mogelijk kunt u niet verifiëren naar een ACS-server omdat de ACS-server de verificatieaanvraag niet ontvangt, waardoor een sessie mislukt. Dit gedrag wordt geobserveerd en geregistreerd onder Cisco bug-id CSC04466 (alleen geregistreerde klanten). Gebruik als tijdelijke oplossing een RADIUS-server voor PPP-sessies. Bewaar de TACACS+ server echter voor administratieve doeleinden op de router.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
19-Jul-2002 |
Eerste vrijgave |