Troubleshooting de Autenticação de PPP (CHAP ou PAP)

Introdução

Problemas com a autenticação do Point-to-Point Protocol (PPP) são uma das causas mais comuns das falhas de links dial-up. Este documento fornece alguns procedimentos para Troubleshooting de autenticação PPP.

Pré-requisitos

• Ative debug ppp negotiation e debug ppp authentication.

• A fase de autenticação do PPP não começa até que a fase do LCP (Link Control Protocol Protocolo de Controle de Enlaces) seja concluída e esteja no estado aberto. Se a negociação ppp de depuração não indicar que o LCP está aberto, solucione esse problema antes de continuar.

• A autenticação de PPP deve ser configurada em ambos os lados. Emita estes comandos conforme apropriado:

  • ppp authentication chap on both routers, para autenticação de Protocolo de Autenticação de Cumprimento de Desafio (CHAP) bidirecional.

  • authentication ppp chap callin no roteador da chamada, para autenticação unidirecional.

  • ppp authentication pap em ambos os roteadores para a autenticação PAP.

Terminologia

• Máquina local (ou roteador local) - Este é o sistema no qual a sessão de depuração está sendo executada no momento. À medida que você move a sessão de depuração de um roteador para o outro, aplique o termo máquina local ao outro roteador.

• Peer - A outra extremidade do link ponto a ponto. Portanto, o dispositivo não é a máquina local.

  Por exemplo, se você executar o comando debug ppp negotiation no RouterA, ele será a máquina local e o RouterB será o peer. No entanto, se você alternar a depuração para o RouterB, ele se tornará a máquina local e o RouterA se tornará o peer.

Observação: os termos máquina local e peer não implicam em uma relação cliente-servidor. Dependendo de onde a sessão de depuração é executada, o cliente de discagem pode ser a máquina local ou peer.

Requisitos

A Cisco recomenda ter conhecimento deste tópico:

• Você deve estar apto a ler e compreender a saída debug ppp negotiation. Consulte o documento Compreendendo a Saída de negociação de ppp de depuração para obter mais informações.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Fluxograma de Troubleshooting

Este documento inclui alguns fluxogramas para ajudar no Troubleshooting. Você pode ir para o próximo fluxograma, clicando nos círculos numerados.

O roteador está realizando a autenticação CHAP ou PAP?

Para determinar se o roteador está executando a autenticação CHAP ou PAP, procure essas linhas na saída debug ppp negotiation e debug ppp authentication:

CHAP

Procure CHAP na fase AUTHENTICATING:

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

Procure PAP na fase AUTHENTICATING:

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

O roteador está executando uma autenticação de CHAP uni ou bidirecional?

Procure uma destas mensagens na saída do comando debug ppp negotiation:

BR0:1 PPP: Phase is AUTHENTICATING, by both

A mensagem acima indica que os roteadores estão fazendo uma autenticação em dois sentidos.

Qualquer uma das mensagens abaixo indica que os roteadores estão executando a autenticação unidirecional:

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

or

BR0:1 PPP: Phase is AUTHENTICATING, by this end

Esta é uma falha de recebimento?

Verifique se você está recebendo as mensagens de entrada termreq ou failure. Lembre-se de que "I” indica que a mensagem é de entrada:

BR0:1 LCP: I TERMREQ

or

BR0:1 CHAP: I FAILURE

Uma mensagem de entrada failure indica que o peer não está autenticando o nome de usuário e a senha do roteador local. Isso pode ocorrer devido a um erro de configuração no roteador local (não fornecendo o nome de usuário e senha esperados pelo peer) ou no roteador remoto.

O nome de usuário no desafio ou resposta de saída é o mesmo nome do host?

Procure o seguinte na saída do comando debug ppp negotiation:

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

or

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

Observe o nome de usuário na resposta ou no desafio de saída. Neste exemplo, é maui-soho-03. Você precisa disso para verificar se o nome de usuário e a senha usados para autenticação correspondem ao esperado pelo lado remoto. Por exemplo, se o roteador local se identificar para o peer como A, mas o peer esperar B, a autenticação falhará.

Se o nome de usuário no desafio de saída não for igual ao nome do host, procure o comando ppp chap hostname<username>, onde username corresponde ao nome de usuário no desafio de saída. Anote o nome de usuário e a senha (no comando ppp chap password que acompanha). Você usará essas informações ao solucionar problemas do roteador remoto.

A Máquina Remota é um Cisco Router ao Qual Você Tem Acesso?

Uma vez determinado que o roteador local aceitou uma falha recebida, sabe-se que tal falha ocorre no correspondente. Se você tiver acesso ao Cisco Router remoto, resolva os problemas nesse dispositivo.

Se você não tiver acesso ao roteador remoto, contate o administrador desse roteador para verificar o nome de usuário e a senha esperados.

Faça estas perguntas:

1. Qual nome de usuário o roteador remoto espera?

   Use o comando ppp chap hostname <username> na interface física ou na interface do discador. Configure o nome de usuário fornecido pelo administrador remoto aqui.

   Observação: diferencia maiúsculas de minúsculas.

2. Que senha o roteador remoto espera?

   Use o comando ppp chap password <password> na interface física ou na interface do discador.

   Observação: diferencia maiúsculas de minúsculas.

Para obter mais informações, consulte o documento Autenticação PPP Usando os Comandos ppp chap hostname e ppp authentication chap callin.

Troubleshooting de Falhas de CHAP de Saída

Se o peer detectar uma mensagem de entrada failure, significa que o roteador local não autenticou o peer e enviou a mensagem. Portanto, você deve agora solucionar o problema do roteador no qual indica a falha de saída.

Essas mensagens no roteador local indicam uma falha de saída:

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

or

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

O roteador não usa AAA ou AAA somente local

Se o roteador não usar um sistema de Autenticação, Autorização e Auditoria (AAA, authentication, authorization, and accounting) baseado no servidor (Radius ou Tacacs+), ele poderá usar AAA ou AAA local. Verifique se você vê uma das seguintes mensagens na saída da debugação:

Incapaz de validar a resposta

Username <username> Not Found

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

Uma incompatibilidade de nome de usuário pode ser causada por duas razões:

1. O correspondente não forneceu o nome de usuário esperado pelo roteador local. Por exemplo, nós esperamos (e configuramos) o nome de usuário RoteadorA, mas o peer usou o nome RoteadorB. É possível configurar o nome de usuário e a senha enviados pelo correspondente ou corrigir o correspondente com o nome de usuário correto.

2. O nome do usuário do roteador local não está configurado. Se o nome de usuário fornecido pelo peer corresponder ao que o roteador local esperava, configure o nome de usuário e a senha.

Esta questão é vista com mais freqüência quando o peer utiliza o comando ppp chap hostname para configurar um nome de usuário diferente do nome do host do roteador.

Use o comando username <username> password <password> , onde <username> é substituído pelo nome de usuário na mensagem de erro acima.

Username <username> Not Found

Autenticação impossível para ponto de correspondência

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

Uma incompatibilidade de nome de usuário pode ser causada por duas razões:

1. O correspondente não forneceu o nome de usuário esperado pelo roteador local. Por exemplo, esperamos (e configuramos) o nome de usuário RouterA. No entanto, o peer usou o nome RouterB. Você pode configurar o nome de usuário e a senha enviados pelo peer ou atualizar o peer com o nome de usuário correto.

2. O nome do usuário do roteador local não está configurado. Se o nome de usuário fornecido pelo peer corresponder ao que o roteador local esperava, configure o nome de usuário e a senha.

Esta questão é vista com mais freqüência quando o peer utiliza o comando ppp chap hostname para configurar um nome de usuário diferente do nome do host do roteador.

Use o comando username <username> password <password> , onde <username> é substituído pelo nome de usuário na mensagem de erro acima.

MD/DES Compare Failed

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

Este erro é causado por incompatibilidade de senha. Isso pode ter ocorrido por duas razões:

1. O peer não forneceu a senha esperada pelo roteador local. Por exemplo, nós esperamos (e configuramos) a senha LetmeIn, mas o peer usou a senha letmein. Você pode reconfigurar o nome de usuário e a senha enviados pelo peer ou corrigir o peer com o nome de usuário correto.

2. A senha do roteador local não está corretamente configurada. Se você verificou que a senha fornecida pelo peer está correta, reconfigure o roteador local.

Solução:

1. Remova a entrada existente de nome de usuário e senha usando este comando:

   no username <username>
   
   

   Onde <username> é substituído pelo nome de usuário na mensagem de erro. Nesse exemplo, seria maui-soho-03.

2. Configure o nome de usuário e a senha usando este comando:

   username  password 
   
   

   O nome de usuário deve ser igual ao da mensagem CHAP mostrada acima. A senha deve corresponder à senha no roteador remoto.

Troubleshooting de Problemas de AAA baseados no Servidor Geral

Observação: este documento não tem a intenção de ser um recurso de Troubleshooting de AAA. Para obter mais informações sobre troubleshooting de Autenticação, Autorização e Auditoria, consulte os seguintes recursos:

• Operações AAA

• RADIUS

• TACACS

Problema: A autenticação PAP funciona para PPP, mas o MsCHAPv2 falha

Talvez não seja possível autenticar em um servidor ACS porque o servidor ACS não recebe a solicitação de autenticação, o que faz com que uma sessão falhe. Esse comportamento é observado e registrado sob o bug da Cisco ID CSCee04466 (somente clientes registrados) . Como solução, use um servidor RADIUS para sessões PPP. No entanto, mantenha o servidor TACACS+ para fins administrativos no roteador.

Informações Relacionadas

• Entendendo a saída de negociação de debug ppp
• Entendendo e configurando a autenticação de PPP CHAP
• Autenticação PPP Usando os Comandos ppp chap hostname e ppp authentication chap callin
• Configurando e Troubleshooting de PPP Password Authentication Protocol (PAP)
• Suporte à tecnologia de discagem e acesso
• Suporte Técnico e Documentação - Cisco Systems