WAN : ポイントツーポイント プロトコル(PPP)

拡張 RADIUS

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 3 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、ダイヤルアップ PPP クライアントの拡張 RADIUS の設定例を説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/10361/advancedradius-1.gif

設定に関する注記

はじめる前にダイヤルインが行えることを確認してください。 モデムが接続でき、ローカルな認証が行えたら、Remote Authentication Dial-in User Service(RADIUS; リモート認証ダイヤルイン ユーザ サービス)をオンにします。 次に、認証のテストとして、RADIUS を通じて接続および認証できることを確認し、認証を行います。

設定

このドキュメントでは、次の設定を使用します。

NAS
version 11.2
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname nasX
!
aaa new-model
aaa authentication login default radius local
aaa authentication login no_radius enable
aaa authentication ppp default if-needed radius
aaa authorization network radius
aaa accounting exec start-stop radius
aaa accounting network start-stop radius
!
enable password cisco
!
username cisco password letmein
ip subnet-zero
no ip domain-lookup
ip name-server 10.6.1.1
async-bootp dns-server 10.1.1.3
async-bootp nbns-server 10.1.1.24
!
interface Ethernet0/0
 ip address 10.1.1.21 255.255.255.0
 no keepalive
!
interface Serial0/0
 no ip address
 shutdown
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Serial1/0
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/1
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/2
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/3
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/4
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/5
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/6
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/7
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Dialer0
 ip unnumbered Ethernet0/0
 ip tcp header-compression passive
 encapsulation ppp
 peer default ip address pool Cisco3640-Group-120
 dialer in-band
 dialer-group 1
 no cdp enable
 ppp authentication pap
!
router rip
 version 2
 redistribute connected
 network 10.1.1.0
 no auto-summary
!
ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88
no ip classless
ip http server
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol appletalk permit
!

!--- The following two lines are for the RADIUS server; the first is for the
!--- RADIUS being used for authentication but not accounting. In the second,  
!--- accounting information is sent, too, but not authenticating.
!--- If you wish accounting to go to the first, change the 0 to 1646.

!
radius-server host 10.1.1.3 auth-port 1645 acct-port 0
radius-server host 10.1.1.5 auth-port 0 acct-port 1646
radius-server key cisco
!
line con 0
 exec-timeout 0 0
 login authentication no_radius
line 17 24
 autoselect during-login
 autoselect ppp
 modem InOut
 transport input all
 stopbits 1
 speed 57600
 flowcontrol hardware
line aux 0
line vty 0 4
 exec-timeout 0 0
end

クライアント ファイル(サーバ上)

!--- Note: This assumes Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.1.1.21 cisco

Users File (on server)

!--- Note: This assumes Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user gets an IP address from a pool on the router.
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user has a statically assigned IP address
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定に関するトラブルシューティングについて説明します。

トラブルシューティングのためのコマンド

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug ppp negotiation -クライアントが PPPネゴシエーションを渡したかどうか確認するため; this is when you check for address negotiation.

  • debug ppp authentication - クライアントが認証を受けているかどうかを表示。 Cisco IOS 以前のバージョンを使用していればか。 ソフトウェア リリース 11.2 は、debug ppp chap コマンドを代りに発行します。

  • debug ppp error - PPP の接続ネゴシエーションや動作に関連するプロトコル エラーおよびエラーの統計を表示します。

  • debug aaa authentication - ユーザが認証を受けているかどうかに関係なく、認証に使用されている方式(RADIUS サーバがダウンしていない限りは RADIUS)を表示。

  • debug aaa authorization - ユーザが権限付与を受けたかどうかに関係なく、権限付与に使用されている方式を表示。

  • debug aaa accounting - 送信中のアカウント レコードを監視。

  • debug radius - サーバと交換されたユーザの属性を監視。


関連情報


Document ID: 10361