このドキュメントでは、ダイヤルアップ PPP クライアントの拡張 RADIUS の設定例を説明します。
このドキュメントに特有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
このドキュメントでは、次のネットワーク セットアップを使用します。
はじめる前にダイヤルインが行えることを確認してください。モデムが接続でき、ローカルな認証が行えたら、Remote Authentication Dial-in User Service(RADIUS; リモート認証ダイヤルイン ユーザ サービス)をオンにします。次に、認証のテストとして、RADIUS を通じて接続および認証できることを確認し、認証を行います。
このドキュメントでは、次の構成を使用します。
NAS |
---|
version 11.2 service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname nasX ! aaa new-model aaa authentication login default radius local aaa authentication login no_radius enable aaa authentication ppp default if-needed radius aaa authorization network radius aaa accounting exec start-stop radius aaa accounting network start-stop radius ! enable password cisco ! username cisco password letmein ip subnet-zero no ip domain-lookup ip name-server 10.6.1.1 async-bootp dns-server 10.1.1.3 async-bootp nbns-server 10.1.1.24 ! interface Ethernet0/0 ip address 10.1.1.21 255.255.255.0 no keepalive ! interface Serial0/0 no ip address shutdown ! interface Ethernet0/1 no ip address shutdown ! interface Serial1/0 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/1 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/2 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/3 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/4 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/5 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/6 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/7 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Dialer0 ip unnumbered Ethernet0/0 ip tcp header-compression passive encapsulation ppp peer default ip address pool Cisco3640-Group-120 dialer in-band dialer-group 1 no cdp enable ppp authentication pap ! router rip version 2 redistribute connected network 10.1.1.0 no auto-summary ! ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88 no ip classless ip http server ! dialer-list 1 protocol ip permit dialer-list 1 protocol appletalk permit ! !--- The following two lines are for the RADIUS server; the first is for the !--- RADIUS being used for authentication but not accounting. In the second, !--- accounting information is sent, too, but not authenticating. !--- If you wish accounting to go to the first, change the 0 to 1646. ! radius-server host 10.1.1.3 auth-port 1645 acct-port 0 radius-server host 10.1.1.5 auth-port 0 acct-port 1646 radius-server key cisco ! line con 0 exec-timeout 0 0 login authentication no_radius line 17 24 autoselect during-login autoselect ppp modem InOut transport input all stopbits 1 speed 57600 flowcontrol hardware line aux 0 line vty 0 4 exec-timeout 0 0 end |
クライアント ファイル(サーバ上) |
---|
!--- Note: This assumes Livingston RADIUS. # Handshake with router--router needs "radius-server key cisco": 10.1.1.21 cisco |
Users File (on server) |
---|
!--- Note: This assumes Livingston RADIUS. # User who can telnet in to configure: admin Password = "admin" User-Service-Type = Login-User # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user gets an IP address from a pool on the router. chapuser Password = "chapuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user has a statically assigned IP address chapadd Password = "chapadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.10 |
現在、この設定に使用できる確認手順はありません。
このセクションは、設定のトラブルシューティングを行う際に参照してください。
注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
debug ppp negotiation:クライアントがPPPネゴシエーションを渡しているかどうかを判別します。このコマンドは、アドレス ネゴシエーションを確認するときに使用します。。
debug ppp authentication - クライアントが認証を受けているかどうかを表示。Cisco IOS(TM) release 11.2 より前のバージョンを使用している場合は、debug ppp chap コマンドを代わりに使用してください。
debug ppp error - PPP の接続ネゴシエーションや動作に関連するプロトコル エラーおよびエラーの統計を表示します。
debug aaa authentication - ユーザが認証を受けているかどうかに関係なく、認証に使用されている方式(RADIUS サーバがダウンしていない限りは RADIUS)を表示。
debug aaa authorization - ユーザが権限付与を受けたかどうかに関係なく、権限付与に使用されている方式を表示。
debug aaa accounting - 送信中のアカウント レコードを監視。
debug radius - サーバと交換されたユーザの属性を監視。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
29-Jan-2008 |
初版 |