Seguridad y VPN : Remote Authentication Dial-In User Service (RADIUS)

IOS por el troubleshooting VRF RADIUS

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El RADIUS se utiliza pesadamente como el protocolo de autenticación para autenticar a los usuarios para el acceso a la red. Más admins están segregando su tráfico de administración usando el VPN Routing and Forwarding (VRF). Por abandono, el Authentication, Authorization, and Accounting (AAA) en el IOS utiliza la tabla de ruteo predeterminado para enviar los paquetes. Esta guía describe cómo configurar y resolver problemas el RADIUS cuando el servidor de RADIUS está en un VRF.

Nota: Contribuido por Jesse Dubois, ingeniero de Cisco TAC.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • RADIUS

  • VRF

  • AAA

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Información sobre la Función

Esencialmente, un VRF es una tabla de ruteo virtual en el dispositivo. Cuando el IOS toma una decisión de ruteo, si la característica o la interfaz está utilizando un VRF, las decisiones de ruteo se toman contra esa tabla de ruteo VRF. Si no, la característica utiliza la tabla de Global Routing. Con esto en la mente, aquí es cómo usted configura el RADIUS para utilizar un VRF:

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server radius management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip radius source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

Como usted puede ver, no hay servidores de RADIUS global definidos. Si usted está emigrando los servidores en un VRF, usted puede quitar con seguridad global los servidores Radius configurados.

Metodología de Troubleshooting

Complete estos pasos:

  1. Aseegurele tener la definición apropiada de la expedición IPVRF bajo su servidor del grupo AAA así como la interfaz de origen para el tráfico de RADIUS.

  2. Marque su tabla de ruteo VRF y aseegurese allí es una ruta a su servidor de RADIUS. Utilizaremos el ejemplo anterior para visualizar la tabla de ruteo VRF:

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           I - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.113.0/8 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
    
  3. ¿Puede usted hacer ping a su servidor de RADIUS? Recuerde que éste necesita ser específico VRF también:

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
    
  4. Usted puede utilizar el comando aaa de la prueba para verificar la Conectividad (usted debe utilizar la opción del nuevo-código en el extremo; la herencia no trabajo):

    vrfAAA#test aaa group management cisco Cisco123 new-code
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"

Si las rutas existen y usted no ve ningún golpe en su servidor de RADIUS, aseegurese que los ACL están permitiendo que el puerto 1645/1646 UDP o el puerto 1812/1813 UDP alcanzara el servidor del router o del Switch. Si usted consigue una falla de autenticación, resolver problemas el RADIUS como normal. La característica VRF está apenas para la encaminamiento del paquete.

Análisis de datos

Si todo parece correcto, los comandos debug aaa y del radio pueden ser habilitados para resolver problemas el problema. Comience con estos comandos debug:

  • debug radius

  • debug aaa authentication

Aquí está un ejemplo de un debug donde algo no se configura correctamente, por ejemplo pero no limitado a:

  • Interfaz de origen perdida RADIUS

  • Comandos ip vrf forwarding que falta bajo interfaz de origen o bajo el servidor del grupo AAA

  • Ninguna ruta al servidor de RADIUS en la tabla de ruteo VRF

    Aug  1 13:39:28.571: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
    Aug  1 13:39:28.571: RADIUS/ENCODE(00000000):Orig. component type = Invalid
    Aug  1 13:39:28.571: RADIUS/ENCODE(00000000): dropping service type, 
       "radius-server attribute 6 on-for-login-auth" is off
    Aug  1 13:39:28.571: RADIUS(00000000): Config NAS IP: 203.0.113.2
    Aug  1 13:39:28.571: RADIUS(00000000): Config NAS IPv6: ::
    Aug  1 13:39:28.571: RADIUS(00000000): sending
    Aug  1 13:39:28.575: RADIUS(00000000): Send Access-Request to 192.0.2.4:1645
       id 1645/2, len 51
    Aug  1 13:39:28.575: RADIUS:  authenticator 12 C8 65 2A C5 48 B8 1F - 
       33 FA 38 59 9C 5F D3 3A
    Aug  1 13:39:28.575: RADIUS:  User-Password       [2]   18  *
    Aug  1 13:39:28.575: RADIUS:  User-Name           [1]   7   "cisco"
    Aug  1 13:39:28.575: RADIUS:  NAS-IP-Address      [4]   6   203.0.113.2              
    Aug  1 13:39:28.575: RADIUS(00000000): Sending a IPv4 Radius Packet
    Aug  1 13:39:28.575: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:32.959: RADIUS(00000000): Request timed out 
    Aug  1 13:39:32.959: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:32.959: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:37.823: RADIUS(00000000): Request timed out 
    Aug  1 13:39:37.823: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:37.823: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:42.199: RADIUS(00000000): Request timed out 
    Aug  1 13:39:42.199: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:42.199: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:47.127: RADIUS(00000000): Request timed out 
    Aug  1 13:39:47.127: RADIUS: Fail-over to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:47.127: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:51.927: RADIUS(00000000): Request timed out 
    Aug  1 13:39:51.927: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:51.927: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:56.663: RADIUS(00000000): Request timed out 
    Aug  1 13:39:56.663: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:56.663: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:40:01.527: RADIUS(00000000): Request timed out 
    Aug  1 13:40:01.527: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:40:01.527: RADIUS(00000000): Started 5 sec timeoutUser rejected

Desafortunadamente, con el RADIUS no hay distinción entre un descanso y una ruta que falta.

Aquí está un ejemplo de una autenticación satisfactoria:

Aug  1 13:35:51.791: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 

Aug  1 13:35:51.791: RADIUS/ENCODE(00000000):Orig. component type = Invalid

Aug  1 13:35:51.791: RADIUS/ENCODE(00000000): dropping service type, 
   "radius-server attribute 6 on-for-login-auth" is off

Aug  1 13:35:51.791: RADIUS(00000000): Config NAS IP: 203.0.113.2

Aug  1 13:35:51.791: RADIUS(00000000): Config NAS IPv6: ::

Aug  1 13:35:51.791: RADIUS(00000000): sending

Aug  1 13:35:51.791: RADIUS(00000000): Send Access-Request to 192.0.2.4:1645 id 
   1645/1, len 51

Aug  1 13:35:51.791: RADIUS:  authenticator F4 E3 00 93 3F B7 79 A9 - 
   2B DC 89 18 8D B9 FF 16

Aug  1 13:35:51.791: RADIUS:  User-Password       [2]   18  *

Aug  1 13:35:51.791: RADIUS:  User-Name           [1]   7   "cisco"

Aug  1 13:35:51.791: RADIUS:  NAS-IP-Address      [4]   6   203.0.113.2              

Aug  1 13:35:51.791: RADIUS(00000000): Sending a IPv4 Radius Packet

Aug  1 13:35:51.791: RADIUS(00000000): Started 5 sec timeout

Aug  1 13:35:51.799: RADIUS: Received from id 1645/1 14.36.142.31:1645, 
   Access-Accept, len 62

Aug  1 13:35:51.799: RADIUS:  authenticator B0 0B AA FF B1 27 17 BD - 
   3F AD 22 30 C6 03 5C 2D

Aug  1 13:35:51.799: RADIUS:  User-Name           [1]   7   "cisco"

Aug  1 13:35:51.799: RADIUS:  Class               [25]  35  

Aug  1 13:35:51.799: RADIUS:   43 41 43 53 3A 6A 65 64 75 62 6F 69 73 2D 61 63 
   [CACS:ACS1]

Aug  1 13:35:51.799: RADIUS:   73 2D 35 33 2F 31 33 32 34 35 33 37 33 35 2F 33 
   [s-53/132453735/3]

Aug  1 13:35:51.799: RADIUS:   38                 [ 8]

Aug  1 13:35:51.799: RADIUS(00000000): Received from id 1645/1.

Problemas Comunes

  • El problema más común es el de la configuración. Muchas veces el admin pondrá en el servidor del grupo aaa pero no pondrá al día las líneas aaa para señalar al grupo de servidores. En vez de esto:

    aaa authentication login default group management local
    aaa authorization exec default group management if-authenticated 
    aaa accounting exec default start-stop group management

    El admin habrá puesto en esto:

    aaa authentication login default grout radius local
    aaa authorization exec default group radius if-authenticated 
    aaa accounting exec default start-stop group radius

    Ponga al día simplemente la configuración con el grupo de servidores correcto.

  • Un segundo problema común es que un usuario verá este error al intentar agregar IP VRF el envío bajo grupo de servidores:

    % Unknown command or computer name, or unable to find computer address

    Esto significa que el comando no fue encontrado. Si usted ve este error, aseegure los soportes de la versión del IOS por VRF RADIUS.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 113666