Sécurité et VPN : Service RADIUS (Remote Authentication Dial-In User Service)

IOS par dépannage de RAYON de VRF

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le RAYON est utilisé fortement comme protocole d'authentification pour authentifier des utilisateurs pour l'accès au réseau. Plus d'admins isolent leur trafic d'administration utilisant le routage VPN et l'expédition (VRF). Par défaut, l'Authentification, autorisation et comptabilité (AAA) sur le½ du¿Â IOSï emploie la table de routage par défaut afin d'envoyer des paquets. Ce guide décrit comment configurer et dépanner le RAYON quand le serveur de RAYON est dans un VRF.

Remarque: Contribué par Jesse Dubois, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • RAYON

  • VRF

  • AAA

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Les informations de caractéristique

Essentiellement, un VRF est une table de routage virtuelle sur le périphérique. Quand l'IOS prend une décision de routage, si la caractéristique ou l'interface utilise un VRF, conduisant des décisions sont faits contre cette table de routage de VRF. Autrement, la caractéristique utilise la table de routage globale. À cet effet, voici comment vous configurez le RAYON pour utiliser un VRF :

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server radius management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip radius source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

Comme vous pouvez voir, il n'y a aucun serveur globalement défini de RAYON. Si vous migrez les serveurs dans un VRF, vous pouvez sans risque retirer les serveurs globalement configurés de RAYON.

Dépannage de la méthodologie

Procédez comme suit :

  1. Veillez-vous pour avoir la définition appropriée d'expédition IPVRF sous votre aaa group server aussi bien que l'interface de source pour le trafic de RAYON.

  2. Vérifiez votre table de routage de VRF et assurez-vous qu'il y a une artère à votre serveur de RAYON. Nous emploierons l'exemple ci-dessus afin d'afficher la table de routage de VRF :

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           I - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.113.0/8 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
    
  3. Pouvez-vous cingler votre serveur de RAYON ? Rappelez-vous que ceci doit être particularité de VRF aussi bien :

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
    
  4. Vous pouvez employer la commande d'AAA de test afin de vérifier la Connectivité (vous devez utiliser l'option de nouveau-code à l'extrémité ; le legs pas travail) :

    vrfAAA#test aaa group management cisco Cisco123 new-code
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"

Si les artères sont en place et vous ne voyez aucun hit sur votre serveur de RAYON, assurez-vous qu'ACLs permettent au port 1645/1646 d'UDP ou au port 1812/1813 d'UDP pour atteindre le serveur du routeur ou du commutateur. Si vous obtenez un échec d'authentification, dépannez le RAYON en tant que normale. La caractéristique de VRF est juste pour le routage du paquet.

Analyse de données

Si tout semble correct, l'AAA et les commandes de débogage de rayon peuvent être activés afin de dépanner la question. Début avec ces commandes de débogage :

  • debug radius

  • debug aaa authentication

Voici un exemple d'un débogage où quelque chose n'est pas configurée correctement, comme mais non limité à :

  • Interface manquante de source de RAYON

  • L'ip vrf forwarding manquant commande sous l'interface de source ou sous l'aaa group server

  • Aucune artère au serveur de RAYON dans la table de routage de VRF

    Aug  1 13:39:28.571: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
    Aug  1 13:39:28.571: RADIUS/ENCODE(00000000):Orig. component type = Invalid
    Aug  1 13:39:28.571: RADIUS/ENCODE(00000000): dropping service type, 
       "radius-server attribute 6 on-for-login-auth" is off
    Aug  1 13:39:28.571: RADIUS(00000000): Config NAS IP: 203.0.113.2
    Aug  1 13:39:28.571: RADIUS(00000000): Config NAS IPv6: ::
    Aug  1 13:39:28.571: RADIUS(00000000): sending
    Aug  1 13:39:28.575: RADIUS(00000000): Send Access-Request to 192.0.2.4:1645
       id 1645/2, len 51
    Aug  1 13:39:28.575: RADIUS:  authenticator 12 C8 65 2A C5 48 B8 1F - 
       33 FA 38 59 9C 5F D3 3A
    Aug  1 13:39:28.575: RADIUS:  User-Password       [2]   18  *
    Aug  1 13:39:28.575: RADIUS:  User-Name           [1]   7   "cisco"
    Aug  1 13:39:28.575: RADIUS:  NAS-IP-Address      [4]   6   203.0.113.2              
    Aug  1 13:39:28.575: RADIUS(00000000): Sending a IPv4 Radius Packet
    Aug  1 13:39:28.575: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:32.959: RADIUS(00000000): Request timed out 
    Aug  1 13:39:32.959: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:32.959: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:37.823: RADIUS(00000000): Request timed out 
    Aug  1 13:39:37.823: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:37.823: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:42.199: RADIUS(00000000): Request timed out 
    Aug  1 13:39:42.199: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:42.199: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:47.127: RADIUS(00000000): Request timed out 
    Aug  1 13:39:47.127: RADIUS: Fail-over to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:47.127: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:51.927: RADIUS(00000000): Request timed out 
    Aug  1 13:39:51.927: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:51.927: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:56.663: RADIUS(00000000): Request timed out 
    Aug  1 13:39:56.663: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:56.663: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:40:01.527: RADIUS(00000000): Request timed out 
    Aug  1 13:40:01.527: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:40:01.527: RADIUS(00000000): Started 5 sec timeoutUser rejected

Malheureusement, avec le RAYON il n'y a aucune distinction entre un délai d'attente et une artère manquante.

Voici un exemple d'une authentification réussie :

Aug  1 13:35:51.791: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 

Aug  1 13:35:51.791: RADIUS/ENCODE(00000000):Orig. component type = Invalid

Aug  1 13:35:51.791: RADIUS/ENCODE(00000000): dropping service type, 
   "radius-server attribute 6 on-for-login-auth" is off

Aug  1 13:35:51.791: RADIUS(00000000): Config NAS IP: 203.0.113.2

Aug  1 13:35:51.791: RADIUS(00000000): Config NAS IPv6: ::

Aug  1 13:35:51.791: RADIUS(00000000): sending

Aug  1 13:35:51.791: RADIUS(00000000): Send Access-Request to 192.0.2.4:1645 id 
   1645/1, len 51

Aug  1 13:35:51.791: RADIUS:  authenticator F4 E3 00 93 3F B7 79 A9 - 
   2B DC 89 18 8D B9 FF 16

Aug  1 13:35:51.791: RADIUS:  User-Password       [2]   18  *

Aug  1 13:35:51.791: RADIUS:  User-Name           [1]   7   "cisco"

Aug  1 13:35:51.791: RADIUS:  NAS-IP-Address      [4]   6   203.0.113.2              

Aug  1 13:35:51.791: RADIUS(00000000): Sending a IPv4 Radius Packet

Aug  1 13:35:51.791: RADIUS(00000000): Started 5 sec timeout

Aug  1 13:35:51.799: RADIUS: Received from id 1645/1 14.36.142.31:1645, 
   Access-Accept, len 62

Aug  1 13:35:51.799: RADIUS:  authenticator B0 0B AA FF B1 27 17 BD - 
   3F AD 22 30 C6 03 5C 2D

Aug  1 13:35:51.799: RADIUS:  User-Name           [1]   7   "cisco"

Aug  1 13:35:51.799: RADIUS:  Class               [25]  35  

Aug  1 13:35:51.799: RADIUS:   43 41 43 53 3A 6A 65 64 75 62 6F 69 73 2D 61 63 
   [CACS:ACS1]

Aug  1 13:35:51.799: RADIUS:   73 2D 35 33 2F 31 33 32 34 35 33 37 33 35 2F 33 
   [s-53/132453735/3]

Aug  1 13:35:51.799: RADIUS:   38                 [ 8]

Aug  1 13:35:51.799: RADIUS(00000000): Received from id 1645/1.

Problèmes courants

  • La plupart de problème courant est celui de la configuration. Beaucoup de fois l'admin mettra dans l'aaa group server mais ne mettra pas à jour les lignes d'AAA pour indiquer le groupe de serveurs. Au lieu de ceci :

    aaa authentication login default group management local
    aaa authorization exec default group management if-authenticated 
    aaa accounting exec default start-stop group management

    L'admin aura mis en cela :

    aaa authentication login default grout radius local
    aaa authorization exec default group radius if-authenticated 
    aaa accounting exec default start-stop group radius

    Mettez à jour simplement la configuration avec le groupe de serveurs correct.

  • Un deuxième problème courant est qu'un utilisateur verra cette erreur en essayant d'ajouter l'ip vrf forwarding sous le groupe de serveurs :

    % Unknown command or computer name, or unable to find computer address

    Ceci signifie que la commande n'a pas été trouvée. Si vous voyez cette erreur, assurez-vous la version des prises en charge d'IOS par RAYON de VRF.


Informations connexes


Document ID: 113666