一次PPP CHAP认证故障调试报文分析

　　【问题描述】

　　用户报网点备份拨号线路拨号不成功，在以前是可以拨号成功，现在在路线演练中拨号不成功，要求协查。

　　【处理过程】

　　现场查看设备拨出有拨号音，回拨也有拨号音，可见MODEM正常。查看AAA服务器的日志，该网点有认证报文发上来，并已验证成功。问题应该出现在网点端。

　　打开路由器的ppp chap debug 信息：

　　debugging ppp chap all

　　分析debug报文：

　　*Mar 4 16:46:23:960 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP Event:

　　Serial0/0 CHAP Receive Success Event

　　state SendResponse

　　*Mar 4 16:46:23:961 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP State Change:

　　Serial0/0 CHAP : SendResponse --> ClientSuccess

　　可见网点端收到服务器返回认证成功的信息，也就是在AAA服务器中看到的认证成功的信息。

　　再看接下来的报文：

　　*Mar 4 16:46:24:792 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP State Change:

　　Serial0/0 CHAP : WaitingAAA --> ServerFailed

　　*Mar 4 16:46:24:843 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP Packet:

　　Serial0/0 Output CHAP(c223) Pkt, Len 33

　　State ServerFailed, code FAILURE(04), id 1, len 29

　　Message: Illegal User or password.

　　*Mar 4 16:46:25:44 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP Error:

　　Serial0/0 CHAP : Server auth failed No. 1 !

　　可见对端服务器送过来的用户名没通过网点路由器的认证，网点端发回给服务器认证失败的报文。

　　【原因分析】

　　综合上述过程，从ppp chap认证过程可见，网点端路由器发给服务器的用户名和密码成功通过服务器端的认证，但服务器发过来的用户名和密码与网点路由器本地的用户名和密码不一致导致认证失败。

　　检查路由器上的配置，用户名密码与服务器一致，回顾最近做过的网点配置重操，最近对网点路由器做过了AAA TACACS配置，检查hwtacacs配置，发现命令domain default enable ccb(主用线路正常时的认证域)改变了路由器默认域，导致当主用线路故障、备用拨号线路激活时，服务器发来的用户名认证的域后缀改变，造成用户名认证失败。

　　【解决方案】

　　配置domain default enable system，将默认域改回来，再看ppp chap debug 报文：

　　*Mar 4 17:00:10:208 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP State Change:

　　Serial0/0 CHAP：WaitingAAA --> ServerSuccess

　　*Mar 4 17:00:10:208 2011 GZ_YX_XBYJFLC PPP/7/debug2:

　　PPP Packet:

　　Serial0/0 Output CHAP(c223) Pkt, Len 33

　　State ServerSuccess, code SUCCESS(03), id 1, len 29

　　Message: Welcome to GZ_YX_XBYJFLC.

　　从报文中看出，服务器发来的用户名密码已通过路由器本端认证，网点路由器向服务器发回认证成功的信息。到此双方互相验证用户名成功，备用拨号线路网络通道建立，网络连通。测试网络，各项业务工作正常。

2016年01月