Ce document fournit un exemple de configuration pour RADIUS avancé pour les clients PPP commutés.
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque : Utilisez l’outil de recherche de commandes (clients inscrits seulement) pour en savoir plus sur les commandes figurant dans le présent document.
Ce document utilise la configuration réseau suivante :
Avant de commencer, assurez-vous que la connexion commutée fonctionne. Une fois que le modem peut se connecter et s'authentifier localement, activez RADIUS. Ensuite, testez l'authentification pour vérifier qu'un utilisateur peut se connecter et s'authentifier via RADIUS et activer l'autorisation.
Ce document utilise les configurations suivantes :
NAS |
---|
version 11.2 service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname nasX ! aaa new-model aaa authentication login default radius local aaa authentication login no_radius enable aaa authentication ppp default if-needed radius aaa authorization network radius aaa accounting exec start-stop radius aaa accounting network start-stop radius ! enable password cisco ! username cisco password letmein ip subnet-zero no ip domain-lookup ip name-server 10.6.1.1 async-bootp dns-server 10.1.1.3 async-bootp nbns-server 10.1.1.24 ! interface Ethernet0/0 ip address 10.1.1.21 255.255.255.0 no keepalive ! interface Serial0/0 no ip address shutdown ! interface Ethernet0/1 no ip address shutdown ! interface Serial1/0 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/1 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/2 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/3 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/4 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/5 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/6 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/7 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Dialer0 ip unnumbered Ethernet0/0 ip tcp header-compression passive encapsulation ppp peer default ip address pool Cisco3640-Group-120 dialer in-band dialer-group 1 no cdp enable ppp authentication pap ! router rip version 2 redistribute connected network 10.1.1.0 no auto-summary ! ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88 no ip classless ip http server ! dialer-list 1 protocol ip permit dialer-list 1 protocol appletalk permit ! !--- The following two lines are for the RADIUS server; the first is for the !--- RADIUS being used for authentication but not accounting. In the second, !--- accounting information is sent, too, but not authenticating. !--- If you wish accounting to go to the first, change the 0 to 1646. ! radius-server host 10.1.1.3 auth-port 1645 acct-port 0 radius-server host 10.1.1.5 auth-port 0 acct-port 1646 radius-server key cisco ! line con 0 exec-timeout 0 0 login authentication no_radius line 17 24 autoselect during-login autoselect ppp modem InOut transport input all stopbits 1 speed 57600 flowcontrol hardware line aux 0 line vty 0 4 exec-timeout 0 0 end |
Fichier client (sur le serveur) |
---|
!--- Note: This assumes Livingston RADIUS. # Handshake with router--router needs "radius-server key cisco": 10.1.1.21 cisco |
Fichier d'utilisateurs (sur le serveur) |
---|
!--- Note: This assumes Livingston RADIUS. # User who can telnet in to configure: admin Password = "admin" User-Service-Type = Login-User # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user gets an IP address from a pool on the router. chapuser Password = "chapuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user has a statically assigned IP address chapadd Password = "chapadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.10 |
Aucune procédure de vérification n'est disponible pour cette configuration.
Utilisez cette section pour dépanner votre configuration.
Remarque : Consulter les renseignements importants sur les commandes de débogage avant d’utiliser les commandes de débogage.
debug ppp negotiation - Pour déterminer si un client passe la négociation PPP ; c'est à ce moment que vous recherchez la négociation d'adresse.
debug ppp authentication - Pour déterminer si un client passe l'authentification. Si vous utilisez une version antérieure au logiciel Cisco IOS® Version 11.2, émettez la commande debug ppp chap à la place.
debug ppp error - Pour afficher les erreurs de protocole et les statistiques d'erreur associées à la négociation et au fonctionnement de la connexion PPP.
debug aaa authentication - Pour déterminer quelle méthode est utilisée pour l'authentification (qui doit être RADIUS, sauf si le serveur RADIUS est en panne) et si les utilisateurs passent l'authentification.
debug aaa Authorization - Pour déterminer quelle méthode est utilisée pour l'autorisation et si les utilisateurs la passent.
debug aaa accounting - Pour surveiller les enregistrements comptables envoyés.
debug radius - Pour observer les attributs utilisateur échangés avec le serveur.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
29-Jan-2008 |
Première publication |