Безопасность и VPN : Cервис RADIUS

IOS на устранение проблем RADIUS VRF

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

RADIUS используется в большой степени в качестве протокола аутентификации для аутентификации пользователей для доступа к сети. Большие admin выделяют свой трафик управления с помощью VPN Routing и Forwarding (VRF). По умолчанию аутентификация, авторизация и учет (AAA) на IOS� использует таблицу маршрутизации по умолчанию для передавания пакеты. Это руководство описывает, как настроить и устранить неполадки RADIUS, когда сервер RADIUS находится в VRF.

Примечание: Внесенный Джесси Дюбуа, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • RADIUS

  • VRF

  • AAA

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Информация о функциональной возможности

По существу VRF является таблицей виртуальной маршрутизации на устройстве. Когда IOS делает решение о маршрутизации, если функция или интерфейс используют VRF, решения о маршрутизации сделаны против той таблицы маршрутизации VRF. В противном случае функция использует таблицу глобальной маршрутизации. С этим в памяти, вот то, как вы настраиваете RADIUS для использования VRF:

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server radius management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip radius source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

Как вы можете видеть нет никаких глобально определенных серверов RADIUS. При миграции серверов в VRF можно безопасно удалить глобально настроенные серверы RADIUS.

Методика устранения проблем

Выполните следующие действия:

  1. Удостоверьтесь, что у вас есть надлежащий IPVRF передача определения под вашим AAA group server, а также исходным интерфейсом для Трафика сервера RADIUS.

  2. Проверьте свою таблицу маршрутизации VRF и удостоверьтесь, что существует маршрут к вашему серверу RADIUS. Мы будем использовать приведенный выше пример для отображения таблицы маршрутизации VRF:

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           I - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.113.0/8 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
    
  3. В состоянии вы для прозванивания сервера RADIUS? Вспомните, что это должно быть VRF, определенным также:

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
    
  4. Можно использовать команду test aaa для проверки подключения (необходимо использовать опцию нового кода в конце; наследство не будет работать):

    vrfAAA#test aaa group management cisco Cisco123 new-code
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"

Если маршруты существуют, и вы не видите соответствий на своем сервере RADIUS, удостоверьтесь, что ACL позволяют порту 1645/1646 udp или порту 1812/1813 udp достигать сервера от маршрутизатора или коммутатора. Если вы получаете ошибку проверки подлинности, устраняете неполадки RADIUS как обычного. Функция VRF только для маршрутизации пакета.

Анализ данных

Если все выглядит корректным, команды aaa и radius debug могут быть включены для решения проблемы. Запустите с этих команд отладки:

  • debug radius

  • debug aaa authentication

Вот пример отладки, где что-то не настроено должным образом, такой как, но не ограничено:

  • Недостающий исходный интерфейс RADIUS

  • Недостающие команды IP VRF forwarding под исходным интерфейсом или под AAA group server

  • Никакой маршрут к серверу RADIUS в таблице маршрутизации VRF

    Aug  1 13:39:28.571: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
    Aug  1 13:39:28.571: RADIUS/ENCODE(00000000):Orig. component type = Invalid
    Aug  1 13:39:28.571: RADIUS/ENCODE(00000000): dropping service type, 
       "radius-server attribute 6 on-for-login-auth" is off
    Aug  1 13:39:28.571: RADIUS(00000000): Config NAS IP: 203.0.113.2
    Aug  1 13:39:28.571: RADIUS(00000000): Config NAS IPv6: ::
    Aug  1 13:39:28.571: RADIUS(00000000): sending
    Aug  1 13:39:28.575: RADIUS(00000000): Send Access-Request to 192.0.2.4:1645
       id 1645/2, len 51
    Aug  1 13:39:28.575: RADIUS:  authenticator 12 C8 65 2A C5 48 B8 1F - 
       33 FA 38 59 9C 5F D3 3A
    Aug  1 13:39:28.575: RADIUS:  User-Password       [2]   18  *
    Aug  1 13:39:28.575: RADIUS:  User-Name           [1]   7   "cisco"
    Aug  1 13:39:28.575: RADIUS:  NAS-IP-Address      [4]   6   203.0.113.2              
    Aug  1 13:39:28.575: RADIUS(00000000): Sending a IPv4 Radius Packet
    Aug  1 13:39:28.575: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:32.959: RADIUS(00000000): Request timed out 
    Aug  1 13:39:32.959: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:32.959: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:37.823: RADIUS(00000000): Request timed out 
    Aug  1 13:39:37.823: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:37.823: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:42.199: RADIUS(00000000): Request timed out 
    Aug  1 13:39:42.199: RADIUS: Retransmit to (192.0.2.4:1645,1646) for id 1645/2
    Aug  1 13:39:42.199: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:47.127: RADIUS(00000000): Request timed out 
    Aug  1 13:39:47.127: RADIUS: Fail-over to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:47.127: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:51.927: RADIUS(00000000): Request timed out 
    Aug  1 13:39:51.927: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:51.927: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:39:56.663: RADIUS(00000000): Request timed out 
    Aug  1 13:39:56.663: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:39:56.663: RADIUS(00000000): Started 5 sec timeout
    Aug  1 13:40:01.527: RADIUS(00000000): Request timed out 
    Aug  1 13:40:01.527: RADIUS: Retransmit to (192.0.2.5:1645,1646) for id 1645/2
    Aug  1 13:40:01.527: RADIUS(00000000): Started 5 sec timeoutUser rejected

К сожалению, с RADIUS нет никакого различия между таймаутом и отсутствующим маршрутом.

Вот пример успешной аутентификации:

Aug  1 13:35:51.791: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 

Aug  1 13:35:51.791: RADIUS/ENCODE(00000000):Orig. component type = Invalid

Aug  1 13:35:51.791: RADIUS/ENCODE(00000000): dropping service type, 
   "radius-server attribute 6 on-for-login-auth" is off

Aug  1 13:35:51.791: RADIUS(00000000): Config NAS IP: 203.0.113.2

Aug  1 13:35:51.791: RADIUS(00000000): Config NAS IPv6: ::

Aug  1 13:35:51.791: RADIUS(00000000): sending

Aug  1 13:35:51.791: RADIUS(00000000): Send Access-Request to 192.0.2.4:1645 id 
   1645/1, len 51

Aug  1 13:35:51.791: RADIUS:  authenticator F4 E3 00 93 3F B7 79 A9 - 
   2B DC 89 18 8D B9 FF 16

Aug  1 13:35:51.791: RADIUS:  User-Password       [2]   18  *

Aug  1 13:35:51.791: RADIUS:  User-Name           [1]   7   "cisco"

Aug  1 13:35:51.791: RADIUS:  NAS-IP-Address      [4]   6   203.0.113.2              

Aug  1 13:35:51.791: RADIUS(00000000): Sending a IPv4 Radius Packet

Aug  1 13:35:51.791: RADIUS(00000000): Started 5 sec timeout

Aug  1 13:35:51.799: RADIUS: Received from id 1645/1 14.36.142.31:1645, 
   Access-Accept, len 62

Aug  1 13:35:51.799: RADIUS:  authenticator B0 0B AA FF B1 27 17 BD - 
   3F AD 22 30 C6 03 5C 2D

Aug  1 13:35:51.799: RADIUS:  User-Name           [1]   7   "cisco"

Aug  1 13:35:51.799: RADIUS:  Class               [25]  35  

Aug  1 13:35:51.799: RADIUS:   43 41 43 53 3A 6A 65 64 75 62 6F 69 73 2D 61 63 
   [CACS:ACS1]

Aug  1 13:35:51.799: RADIUS:   73 2D 35 33 2F 31 33 32 34 35 33 37 33 35 2F 33 
   [s-53/132453735/3]

Aug  1 13:35:51.799: RADIUS:   38                 [ 8]

Aug  1 13:35:51.799: RADIUS(00000000): Received from id 1645/1.

Типичные неполадки

  • Самая обычная проблема является самой обычной проблемой конфигурации. Много раз admin вставит aaa group server, но не обновит линии aaa для обращения к группе серверов. Вместо этого:

    aaa authentication login default group management local
    aaa authorization exec default group management if-authenticated 
    aaa accounting exec default start-stop group management

    Admin вставит это:

    aaa authentication login default grout radius local
    aaa authorization exec default group radius if-authenticated 
    aaa accounting exec default start-stop group radius

    Просто обновите конфигурацию с корректной группой серверов.

  • Вторая типичная проблема - то, что пользователь будет видеть эту ошибку при попытке добавить IP VRF forwarding под группой серверов:

    % Unknown command or computer name, or unable to find computer address

    Это означает, что не была найдена команда. Если вы видите эту ошибку, удостоверьтесь поддержки версии IOS на RADIUS VRF.


Дополнительные сведения


Document ID: 113666