WAN : Protocole point à point (PPP)

Service RADIUS avancé pour les clients PPP à accès commuté

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour le RAYON avancé pour les clients commutés de PPP.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour trouver plus d'informations sur les commandes utilisées dans ce document.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/10361/advancedradius-1.gif

Notes de configuration

Avant que vous commenciez, assurez-vous que l'accès distant fonctionne. Une fois que le modem peut se connecter et authentifier localement, activez le RAYON. Puis, test d'authentification à vérifier qu'un utilisateur peut se connecter et authentifier par le RAYON et activer l'autorisation.

Configurations

Ce document utilise les configurations suivantes :

NAS
version 11.2
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname nasX
!
aaa new-model
aaa authentication login default radius local
aaa authentication login no_radius enable
aaa authentication ppp default if-needed radius
aaa authorization network radius
aaa accounting exec start-stop radius
aaa accounting network start-stop radius
!
enable password cisco
!
username cisco password letmein
ip subnet-zero
no ip domain-lookup
ip name-server 10.6.1.1
async-bootp dns-server 10.1.1.3
async-bootp nbns-server 10.1.1.24
!
interface Ethernet0/0
 ip address 10.1.1.21 255.255.255.0
 no keepalive
!
interface Serial0/0
 no ip address
 shutdown
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Serial1/0
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/1
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/2
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/3
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/4
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/5
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/6
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/7
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Dialer0
 ip unnumbered Ethernet0/0
 ip tcp header-compression passive
 encapsulation ppp
 peer default ip address pool Cisco3640-Group-120
 dialer in-band
 dialer-group 1
 no cdp enable
 ppp authentication pap
!
router rip
 version 2
 redistribute connected
 network 10.1.1.0
 no auto-summary
!
ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88
no ip classless
ip http server
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol appletalk permit
!

!--- The following two lines are for the RADIUS server; the first is for the
!--- RADIUS being used for authentication but not accounting. In the second,  
!--- accounting information is sent, too, but not authenticating.
!--- If you wish accounting to go to the first, change the 0 to 1646.

!
radius-server host 10.1.1.3 auth-port 1645 acct-port 0
radius-server host 10.1.1.5 auth-port 0 acct-port 1646
radius-server key cisco
!
line con 0
 exec-timeout 0 0
 login authentication no_radius
line 17 24
 autoselect during-login
 autoselect ppp
 modem InOut
 transport input all
 stopbits 1
 speed 57600
 flowcontrol hardware
line aux 0
line vty 0 4
 exec-timeout 0 0
end

Fichier de clients (sur le serveur)

!--- Note: This assumes Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.1.1.21 cisco

Fichier d'utilisateurs (sur le serveur)

!--- Note: This assumes Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user gets an IP address from a pool on the router.
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user has a statically assigned IP address
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Utilisez cette section pour dépanner votre configuration.

Dépannage des commandes

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

  • debug ppp negotiation - Pour déterminer si un client passe la négociation PPP ; c'est quand vous vérifiez la négociation d'adresse.

  • debug ppp authentication - Pour déterminer si un client passe l'authentification. Si vous utilisez une version avant la version de logiciel 11.2 de Cisco IOSÝ, émettez la commande de debug ppp chap à la place.

  • debug ppp error - Pour afficher des erreurs de protocole et des statistiques sur les erreurs a associé avec la négociation et l'exécution de connexion PPP.

  • debug aaa authentication - Pour déterminer quelle méthode est utilisée pour authentifier (qui devrait être RAYON, à moins que le serveur de RAYON soit en panne) et si les utilisateurs passent l'authentification.

  • autorisation de debug aaa - Pour déterminer quelle méthode est utilisée pour l'autorisation et si les utilisateurs la passent.

  • debug aaa accounting - Pour observer les enregistrements des comptes qui sont envoyés.

  • debug radius - Pour observer les attributs d'utilisateur qui sont permutés avec le serveur.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 10361