Problemen oplossen PPP (CHAP of PAP)-verificatie

Downloadopties

  • PDF     (286.7 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (156.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (628.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:18 december 2007
Document-id:25646

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Point-to-Point Protocol (PPP)-authenticatiekwesties zijn een van de meest voorkomende oorzaken voor dialoogvensterfouten. Dit document bevat een aantal procedures voor het opsporen en verhelpen van problemen bij PPP-authenticatie.

Voorwaarden

  • Schakel debug ppp onderhandeling in en debug ppp authenticatie in.

  • De PPP-verificatiefase begint niet totdat de LCP-fase (Link Control Protocol) is voltooid en in de open toestand verkeert. Als de debug van de ppp onderhandeling er niet op wijst dat LCP open is, moet u deze kwestie oplossen voordat u verdergaat.

  • PPP-verificatie moet aan beide zijden worden geconfigureerd. Geef deze opdrachten in voorkomend geval af:

    • ppp-verificatietak op beide routers, voor tweevoudige Challenge Handshake Authentication Protocol (CHAP)-verificatie.

    • ppp authenticatieschap roep op de oproepende router, voor one-way authenticatie.

    • PPP-verificatiepagina op beide routers, voor PAP-verificatie.

Terminologie

  • Plaatselijke machine (of lokale router) - Dit is het systeem waarop de debugsessie momenteel wordt uitgevoerd. Als u de sessie debug van de ene router naar de andere verplaatst, past u de term lokale machine op de andere router toe.

  • Peer - Het andere uiteinde van de point-to-point link. Daarom is het apparaat niet de lokale machine.

    Bijvoorbeeld, als u de debug ppp onderhandeling opdracht op RouterA geeft is het de lokale machine en RouterB is de peer. Als u echter het debuggen overschakelt naar RouterB, dan wordt het de lokale machine en RouterA wordt de peer.

Opmerking: de termen lokale machine en peer impliceren geen client-server relatie. Afhankelijk van de plaats waar de sessie wordt uitgevoerd, kan de inbelclient de lokale machine of peer zijn.

Vereisten

Cisco raadt aan dat u kennis hebt van dit onderwerp:

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Stroomkaart voor probleemoplossing

Dit document bevat een aantal stroomschema's om te helpen bij het oplossen van problemen. U kunt naar het volgende stroomschema gaan door op de genummerde cirkels te klikken.

ppp_authen_ts_fl1.gif

Is de router die CHAP of PAP verificatie uitvoert?

Om te bepalen of de router CHAP of PAP authenticatie uitvoert, zoek deze lijnen in de debug ppp onderhandeling en debug ppp authenticatie uitvoer:

CHAP

Zoek CHAP in de AUTHENTICATING fase:

*Mar  7 21:16:29.468: BR0:1 PPP: Phase is AUTHENTICATING, by this end
*Mar  7 21:16:29.468: BR0:1 CHAP: O CHALLENGE id 5 len 33 from "maui-soho-03"

PAP

Zoek PAP in de AUTHENTICATICAFase:

*Mar  7 21:24:11.980: BR0:1 PPP: Phase is AUTHENTICATING, by both
*Mar  7 21:24:12.084: BR0:1 PAP: I AUTH-REQ id 1 len 23 from "maui-soho-01"

Voert de router one-way of two-way CHAP verificatie uit?

Zoek een van deze berichten in de debug ppp onderhandelingstovoer:

BR0:1 PPP: Phase is AUTHENTICATING, by both

Het bovenstaande bericht geeft aan dat de routers bidirectionele verificatie uitvoeren.

één van de onderstaande berichten geeft aan dat de routers eenrichtingsverificatie uitvoeren:

BR0:1 PPP: Phase is AUTHENTICATING, by the peer

of

BR0:1 PPP: Phase is AUTHENTICATING, by this end

Is dit een aanstaande mislukking?

ppp_authen_ts_fl2.gif

Controleer of u inkomende termreq of foutmeldingen ontvangt. Vergeet niet dat "I" aangeeft dat het bericht een inkomend bericht is:

BR0:1 LCP: I TERMREQ

of

BR0:1 CHAP: I FAILURE

Een inkomende mislukking geeft aan dat de peer niet in staat is om de gebruikersnaam en het wachtwoord van de lokale router voor verificatie te controleren. Dit zou kunnen zijn veroorzaakt door een verkeerde configuratie op de lokale router (door niet de gebruikersnaam en het wachtwoord te leveren die door de peer worden verwacht) of op de afstandsrouter.

Is de naam van de gebruiker in de vertrekkende uitdaging of de respons hetzelfde als de naam van het ziekenhuis?

Bekijk het volgende in de debug ppp onderhandeling uitvoer:

BR0:1 CHAP: O CHALLENGE id 9 len 33 from "maui-soho-03"

of

BR0:1 CHAP: O RESPONSE id 16 len 33 from "maui-soho-03"

Let op de gebruikersnaam in de uitgaande uitdaging of respons. In dit voorbeeld is het maui-soho-03. U moet dit controleren om te controleren of de gebruikersnaam en het wachtwoord voor de authenticatie overeenkomen met die welke door de afstandszijde wordt verwacht. Als de lokale router zich bijvoorbeeld identificeert voor de peer als A, maar de peer verwachtte B, dan faalt de authenticatie.

Als de gebruikersnaam in de vertrekkende uitdaging niet hetzelfde is als de hostname, zoek dan naar de opdracht PPP hostname <gebruikersnaam>, waarbij de gebruikersnaam overeenkomt met de gebruikersnaam in de vertrekkende uitdaging. Maak een nota van de gebruikersnaam en het wachtwoord (in de begeleidende ppp chap wachtwoord opdracht). U gebruikt deze informatie wanneer u een oplossing voor de externe router hebt gevonden.

Is de afstandsmachine een Cisco-router waartoe u toegang hebt?

Omdat we hebben bepaald dat de lokale router een inkomend falen ontving, weten we dat de storing op de peer plaatsvindt. Als u toegang tot de externe Cisco-router hebt, dan moet u een oplossing voor problemen op dat apparaat vinden.

Als u geen toegang tot de afstandsrouter hebt, neemt u contact op met de beheerder van die router om de gebruikersnaam en het wachtwoord te controleren dat hij verwacht.

Stel deze vragen:

  1. Welke gebruikersnaam verwacht de afstandsrouter?

    Gebruik de PPP chap hostname <gebruikersnaam> opdracht onder de fysieke of dialerinterface. Configureer hier de gebruikersnaam die door de externe beheerder is opgegeven.

    Opmerking: dit is hoofdlettergevoelig.

  2. Welk wachtwoord verwacht de router op afstand?

    Gebruik het wachtwoord voor het opnemen van het wachtwoord <wachtwoord>onder de fysieke of dialerinterface.

    Opmerking: dit is hoofdlettergevoelig.

Raadpleeg voor meer informatie de document PPP-verificatie met behulp van de PPP-naam en de ppp-verificatieschap waarin opdrachten worden opgeroepen.

Problemen oplossen bij uitgaande CHAP-fouten

ppp_authen_ts_fl3.gif

Als de peer een inkomend mislukkingsbericht detecteert, betekent dit dat de lokale router de peer niet echt heeft verklaard en het bericht heeft verstuurd. Daarom moet u nu de router problemen oplossen waarop de vertrekkende fout wordt aangegeven.

Deze berichten op de lokale router duiden op een uitgaande storing:

BR0:1 CHAP: O FAILURE id 10 len 26 msg is "Authentication failure"

of

BR0:1 LCP: O TERMREQ [Open] id 22 len 4

De router gebruikt geen AAA of alleen lokaal AAA

Als de router geen op servers gebaseerde verificatie, autorisatie en accounting (AAA) systeem (Radius of TACACS+) gebruikt kan de router of geen AAA of lokale AAA gebruiken. Controleer of u een van de volgende berichten in de debug-uitvoer ziet:

Kan respons niet valideren

Gebruikersnaam <gebruikersnaam> niet gevonden 

BR0:1 CHAP: I RESPONSE id 18 len 33 from "maui-soho-03"

! -- Incoming CHAP response to our challenge. ! -- The username used in the response is maui-soho-03.

BR0:1 CHAP: Unable to validate Response.  Username maui-soho-03 not found

! -- The username supplied by the peer is not configured on the router. ! -- We assume the peer does not have permission to connect.

BR0:1 CHAP: O FAILURE id 18 len 26 msg is "Authentication failure"

! -- Outgoing CHAP failure message. ! -- The peer will see this as an incoming failure.

BR0:1 PPP: Phase is TERMINATING [0 sess, 0 load]

Een gebruikersnaammismatch kan om twee redenen worden veroorzaakt:

  1. De peer leverde niet de gebruikersnaam aan die door de lokale router werd verwacht. Bijvoorbeeld, we verwachtten (en ingesteld) de gebruikersnaam RouterA, maar de peer gebruikte de naam RouterB. U kunt de gebruikersnaam en het wachtwoord configureren dat door de peer wordt verzonden of de peer corrigeren met de juiste gebruikersnaam.

  2. De lokale router heeft de gebruikersnaam niet ingesteld. Als de gebruikersnaam die door de peer wordt geleverd overeenkomt met wat de lokale router verwacht, stel dan de gebruikersnaam en het wachtwoord in.

Deze kwestie wordt het vaakst gezien wanneer de peer de PPPpp hostname opdracht gebruikt om een gebruikersnaam anders dan de router hostname te configureren.

Gebruik de gebruikersnaam <gebruikersnaam>wachtwoord <wachtwoord>, waarbij <gebruikersnaam> in de bovenstaande foutmelding door de gebruikersnaam wordt vervangen.

Gebruikersnaam <gebruikersnaam> niet gevonden

Kan niet voor verificatie voor peer 

BR0:1 CHAP: I CHALLENGE id 17 len 33 from "maui-soho-01"

! -- Incoming challenge from maui-soho-01. ! -- This router must look up the username specified ! -- in order to create the CHAP response.

BR0:1 CHAP: Username maui-soho-01 not found

! -- The username (maui-soho-01) supplied by the peer is not configured locally.

BR0:1 CHAP: Unable to authenticate for peer

! -- Since this router does not recognize the username ! -- it cannot create the outgoing CHAP RESPONSE.

BR0:1 PPP: Phase is TERMINATING

! -- Authentication fails.

Een gebruikersnaammismatch kan om twee redenen worden veroorzaakt:

  1. De peer leverde niet de gebruikersnaam aan die door de lokale router werd verwacht. Bijvoorbeeld, we verwachtten (en ingesteld) de gebruikersnaam RouterA. Maar de peer gebruikte de naam RouterB. U kunt de gebruikersnaam en het wachtwoord configureren dat door de peer wordt verzonden of de peer bijwerken met de juiste gebruikersnaam.

  2. De lokale router heeft de gebruikersnaam niet ingesteld. Als de gebruikersnaam die door de peer wordt geleverd overeenkomt met wat de lokale router verwacht, stel dan de gebruikersnaam en het wachtwoord in.

Deze kwestie wordt het vaakst gezien wanneer de peer de PPPpp hostname opdracht gebruikt om een gebruikersnaam anders dan de router hostname te configureren.

Gebruik de gebruikersnaam <gebruikersnaam>wachtwoord <wachtwoord>, waarbij <gebruikersnaam> in de bovenstaande foutmelding door de gebruikersnaam wordt vervangen.

MD/DES-vergelijking mislukt

BR0:1 CHAP: I RESPONSE id 16 len 33 from "maui-soho-03"
  BR0:1 CHAP: O FAILURE id 16 len 25 msg is "MD/DES compare failed"

Deze fout is veroorzaakt door een gebrek aan overeenstemming met het wachtwoord. Dit kan om twee redenen zijn:

  1. De peer heeft niet het wachtwoord geleverd dat door de lokale router wordt verwacht. Bijvoorbeeld, we verwachtten (en ingesteld) het wachtwoord LetmeIn, maar de peer gebruikte de wachtwoorden in. U kunt de gebruikersnaam en het wachtwoord die door de peer worden verzonden opnieuw configureren of de peer met de juiste gebruikersnaam corrigeren.

  2. De lokale router heeft het wachtwoord niet correct ingesteld. Als u hebt geverifieerd dat het wachtwoord dat door de peer wordt geleverd correct is, stel dan de lokale router opnieuw in.

Oplossing:

  1. Verwijder de bestaande gebruikersnaam en het wachtwoord met deze opdracht:

    no username <username>

    Waar <gebruikersnaam> wordt vervangen door de gebruikersnaam in het foutbericht. In dit voorbeeld zou dat maui-soho-03 zijn.

  2. Configureer de gebruikersnaam en het wachtwoord met deze opdracht:

    username  
          password

    De gebruikersnaam moet hetzelfde zijn als in het bovenstaande CHAP-bericht. Het wachtwoord moet overeenkomen met het wachtwoord op de afstandsrouter.

Problemen oplossen Algemene op servers gebaseerde AAA-problemen

ppp_authen_ts_fl4.gif

N.B.: Dit document is niet bedoeld als bron voor AAA-probleemoplossing. Raadpleeg de volgende bronnen voor meer informatie over de probleemoplossing bij AAA:

Probleem: PAP-verificatie werkt voor PPP, maar MSCHAPv2 faalt

U kunt mogelijk niet voor een ACS-server authenticeren omdat de ACS-server niet de verificatieaanvraag ontvangt, waardoor een sessie mislukt. Dit gedrag wordt waargenomen en geregistreerd onder Cisco bug-ID CSCee04466 (alleen geregistreerde klanten). Als een tijdelijke oplossing, gebruik een RADIUS-server voor PPP-sessies. Houd de TACACS+ server echter voor administratieve doeleinden op de router.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
18-Dec-2007
Eerste vrijgave

Bijdrage van

  • npanicke
    gpekovic

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten