Probleemoplossing voor PPP (CHAP of PAP)-verificatie

Downloadopties

PDF (286.1 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:18 december 2007

Document-id:25646

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Terminologie

Vereisten

Gebruikte componenten

Conventies

Stroomschema voor probleemoplossing

Voert de router CHAP- of PAP-verificatie uit?

Voert de router unidirectionele of bidirectionele CHAP-verificatie uit?

Is dit een inkomende mislukking?

Is de gebruikersnaam in de Uitgaande Uitdaging of Reactie hetzelfde als de Hostname?

Is de Remote Machine een Cisco-router waartoe u toegang hebt?

Probleemoplossing voor uitgaande CHAP-fouten

De router gebruikt geen AAA of alleen lokale AAA

Algemene op server gebaseerde AAA-problemen oplossen

Gerelateerde informatie

Inleiding

Point-to-Point Protocol (PPP)-verificatiekwesties zijn een van de meest voorkomende oorzaken voor tekortkomingen in dialup-links. Dit document biedt procedures voor probleemoplossing bij PPP-verificatieproblemen.

Voorwaarden

Schakel debug ppp-onderhandeling in en debug ppp-verificatie.
De PPP-verificatiefase begint niet totdat de fase Link Control Protocol (LCP) is voltooid en zich in de open staat bevindt. Als ppp-onderhandeling niet aangeeft dat LCP open is, lost u deze kwestie op voordat u verdergaat.
PPP-verificatie moet aan beide zijden worden geconfigureerd. Geef deze opdrachten indien nodig uit:
- PPP-verificatie op beide routers, voor tweevoudige Challenge Handshake Verification Protocol (CHAP)-verificatie.
- ppp-verificatiekaart die de oproepende router aanroept voor eenmalige verificatie.
- ppp-verificatiepap op beide routers, voor PAP-verificatie.

Terminologie

Lokale machine (of lokale router) - Dit is het systeem waarop de debugging sessie momenteel wordt uitgevoerd. Aangezien u de debug sessie van de ene router naar de andere verplaatst, pas de term lokale machine toe op de andere router.
Peer - het andere uiteinde van de point-to-point link. Het apparaat is dus niet de lokale machine.

Bijvoorbeeld, als u het debug ppp onderhandelingsbevel op RouterA uitgeeft, dan is het de lokale machine en RouterB is de peer. Als u echter debugging naar RouterB verschuift, wordt het de lokale machine en wordt RouterA de peer.

Opmerking: de termen lokale machine en peer impliceren geen client-server relatie. Afhankelijk van waar de debug-sessie wordt uitgevoerd, kan de inbelclient de lokale machine of peer zijn.

Vereisten

Cisco raadt u aan bekend te zijn met dit onderwerp:

U moet de debug ppp onderhandelingsoutput kunnen lezen en begrijpen. Raadpleeg het document Understanding debug PPP-onderhandeling Output voor meer informatie.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Stroomschema voor probleemoplossing

Dit document bevat een aantal stroomdiagrammen om te helpen bij het oplossen van problemen. U kunt naar het volgende stroomschema gaan door op de genummerde cirkels te klikken.

Voert de router CHAP- of PAP-verificatie uit?

Om te bepalen als de router CHAP- of PAP-verificatie uitvoert, zoekt u deze lijnen in de debug ppp-onderhandeling en debug ppp-verificatie-uitvoer:

CHAP

Zoek naar CHAP in de VERIFICATIefase:

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

Zoek naar PAP in de VERIFICATIefase:

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

Voert de router unidirectionele of bidirectionele CHAP-verificatie uit?

Zoek een van deze berichten in de debug ppp-onderhandelingsuitvoer:

BR0:1 PPP: Phase is AUTHENTICATING, by both

Het bovenstaande bericht geeft aan dat de routers bidirectionele verificatie uitvoeren.

Één van beide berichten wijst hieronder erop dat de routers unidirectionele authentificatie uitvoeren:

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

BR0:1 PPP: Phase is AUTHENTICATING, by this end

Is dit een inkomende mislukking?

Controleer of u inkomende termreq of foutmeldingen ontvangt. Denk eraan dat "ik" aangeeft dat het bericht binnenkomt:

BR0:1 LCP: I TERMREQ

BR0:1 CHAP: I FAILURE

Een inkomende mislukking wijst erop dat de peer er niet in slaagt om de gebruikersbenaming en het wachtwoord van de lokale router voor authentiek te verklaren. Dit kan te wijten zijn aan een verkeerde configuratie op de lokale router (door niet de gebruikersnaam en het wachtwoord te leveren dat door de peer wordt verwacht) of op de externe router.

Is de gebruikersnaam in de Uitgaande Uitdaging of Reactie hetzelfde als de Hostname?

Let op het volgende in de debug ppp-onderhandelingsoutput:

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

Noteer de gebruikersnaam in de uitgaande uitdaging of reactie. In dit voorbeeld, is het maui-soho-03. U hebt dit nodig om te verifiëren dat de gebruikersnaam en het wachtwoord gebruikt voor verificatie overeenkomt met degene die verwacht wordt door de afstandsbediening. Bijvoorbeeld, als de lokale router zich aan de edele als A identificeert, maar de edele B verwachtte, dan ontbreekt de authentificatie.

Als de gebruikersnaam in de uitgaande uitdaging niet hetzelfde is als de hostnaam, zoek dan naar de opdrachtmap ppp chap hostname <username> , waar de gebruikersnaam overeenkomt met de gebruikersnaam in de uitgaande uitdaging. Noteer de gebruikersnaam en het wachtwoord (in de opdracht wachtwoord voor chap-koppeling). U zult deze informatie gebruiken wanneer u problemen oplost met de externe router.

Is de Remote Machine een Cisco-router waartoe u toegang hebt?

Aangezien we hebben vastgesteld dat de lokale router een inkomende fout heeft ontvangen, weten we dat de fout zich voordoet op de peer. Als u toegang hebt tot de externe Cisco-router, kunt u problemen oplossen op dat apparaat.

Als u geen toegang tot de externe router hebt, neemt u contact op met de beheerder van die router om de gebruikersnaam en het wachtwoord te verifiëren die worden verwacht.

Stel deze vragen:

Welke gebruikersnaam verwacht de externe router?

Gebruik de opdracht ppp chap hostname <username> onder de fysieke of dialer interface. Configureer hier de gebruikersnaam die door de externe beheerder is opgegeven.

Opmerking: dit is hoofdlettergevoelig.
Welk wachtwoord verwacht de externe router?

Gebruik de opdracht PPP chap password <password> onder de fysieke of dialer-interface.

Opmerking: dit is hoofdlettergevoelig.

Zie voor meer informatie het document PPP-verificatie met behulp van de opdrachten ppp-chap hostname en ppp-verificatiekaart.

Probleemoplossing voor uitgaande CHAP-fouten

Als de peer een inkomend foutbericht detecteert, betekent dit dat de lokale router de peer niet heeft geverifieerd en het bericht heeft verstuurd. Vandaar, moet u nu het oplossen van problemen de router waarop wijst op de uitgaande mislukking.

Deze berichten op de lokale router wijzen op een uitgaande fout:

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

De router gebruikt geen AAA of alleen lokale AAA

Als de router geen op een server gebaseerde verificatie-, autorisatie- en accounting (AAA) systeem gebruikt (Radius of Tacacs+), dan kan de router geen AAA of lokale AAA gebruiken. Controleer of u een van de volgende berichten ziet in de debug-uitvoer:

Kan antwoord niet valideren

Gebruikersnaam <gebruikersnaam> niet gevonden

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

Een gebruikersbenamingswanverhouding kan om twee redenen worden veroorzaakt:

De peer heeft niet de gebruikersnaam geleverd die door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en geconfigureerd) de gebruikersnaam RouterA, maar de peer gebruikte de naam RouterB. U kunt de gebruikersnaam en het wachtwoord configureren dat door de peer wordt verzonden of de peer met de juiste gebruikersnaam corrigeren.
De lokale router heeft de gebruikersnaam niet ingesteld. Als de gebruikersnaam die door de peer wordt geleverd overeenkomt met wat de lokale router had verwacht, dan configureer de gebruikersnaam en het wachtwoord.

Dit probleem wordt het meest gezien wanneer de peer de ppp chap hostname opdracht gebruikt om een andere gebruikersnaam dan de router hostname te configureren.

Gebruik de opdracht gebruikersnaam <gebruikersnaam> wachtwoord <wachtwoord>, waarbij <gebruikersnaam> wordt vervangen door de gebruikersnaam in de bovenstaande foutmelding.

Gebruikersnaam <gebruikersnaam> niet gevonden

Kan niet geverifieerd worden voor peer

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

Een gebruikersbenamingswanverhouding kan om twee redenen worden veroorzaakt:

De peer heeft niet de gebruikersnaam geleverd die door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en geconfigureerd) de gebruikersnaam RouterA. De peer gebruikte echter de naam RouterB. U kunt de gebruikersnaam en het wachtwoord configureren dat door de peer wordt verzonden of de peer met de juiste gebruikersnaam bijwerken.
De lokale router heeft de gebruikersnaam niet ingesteld. Als de gebruikersnaam die door de peer wordt geleverd overeenkomt met wat de lokale router had verwacht, dan configureer de gebruikersnaam en het wachtwoord.

Dit probleem wordt het meest gezien wanneer de peer de ppp chap hostname opdracht gebruikt om een andere gebruikersnaam dan de router hostname te configureren.

Gebruik de opdracht gebruikersnaam <gebruikersnaam> wachtwoord <wachtwoord>, waarbij <gebruikersnaam> wordt vervangen door de gebruikersnaam in de bovenstaande foutmelding.

MD/DES-vergelijking mislukt

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

Deze fout wordt veroorzaakt door een wachtwoordwanverhouding. Dit kan worden veroorzaakt door twee redenen:

De peer gaf niet het wachtwoord dat door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en geconfigureerd) het wachtwoord LetmeIn, maar de peer gebruikte de wachtwoord letmein. U kunt de gebruikersnaam en het wachtwoord dat door de peer wordt verzonden opnieuw configureren of de peer met de juiste gebruikersnaam corrigeren.
De lokale router heeft het wachtwoord niet correct geconfigureerd. Als u hebt geverifieerd dat het wachtwoord dat door de peer wordt geleverd correct is, dan configureer de lokale router opnieuw.

Oplossing:

Verwijder de bestaande gebruikersnaam en wachtwoordinvoer met behulp van deze opdracht:
```
no username <username>
```
Waarbij <gebruikersnaam> wordt vervangen door de gebruikersnaam in de foutmelding. In dit voorbeeld is dat maui-soho-03.
Configureer de gebruikersnaam en het wachtwoord met deze opdracht:
```
username  password 
```
De gebruikersnaam zou hetzelfde moeten zijn als in het bovenstaande CHAP-bericht. Het wachtwoord moet overeenkomen met het wachtwoord op de externe router.

Algemene op server gebaseerde AAA-problemen oplossen

Opmerking: dit document is niet bedoeld als bron voor AAA-probleemoplossing. Raadpleeg de volgende bronnen voor meer informatie over probleemoplossing in AAA:

Probleem: PAP-verificatie werkt voor PPP, maar MSCHAPv2 mislukt

Mogelijk kunt u niet verifiëren naar een ACS-server omdat de ACS-server de verificatieaanvraag niet ontvangt, waardoor een sessie mislukt. Dit gedrag wordt geobserveerd en geregistreerd onder Cisco bug-id CSC04466 (alleen geregistreerde klanten). Gebruik als tijdelijke oplossing een RADIUS-server voor PPP-sessies. Bewaar de TACACS+ server echter voor administratieve doeleinden op de router.