Avez-vous un compte?
Ce document fournit une configuration d'échantillon pour RADIUS avancé pour les clients commutés de PPP.
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.
Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour trouver plus d'informations sur les commandes utilisées dans ce document.
Ce document utilise la configuration réseau suivante :
Avant que vous commenciez, assurez-vous que l'accès distant fonctionne. Une fois que le modem peut se connecter et authentifier localement, activez RADIUS. Puis, test d'authentification à vérifier qu'un utilisateur peut se connecter et authentifier par RADIUS et activer l'autorisation.
Ce document utilise les configurations suivantes :
NAS |
---|
version 11.2 service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname nasX ! aaa new-model aaa authentication login default radius local aaa authentication login no_radius enable aaa authentication ppp default if-needed radius aaa authorization network radius aaa accounting exec start-stop radius aaa accounting network start-stop radius ! enable password cisco ! username cisco password letmein ip subnet-zero no ip domain-lookup ip name-server 10.6.1.1 async-bootp dns-server 10.1.1.3 async-bootp nbns-server 10.1.1.24 ! interface Ethernet0/0 ip address 10.1.1.21 255.255.255.0 no keepalive ! interface Serial0/0 no ip address shutdown ! interface Ethernet0/1 no ip address shutdown ! interface Serial1/0 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/1 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/2 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/3 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/4 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/5 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/6 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/7 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Dialer0 ip unnumbered Ethernet0/0 ip tcp header-compression passive encapsulation ppp peer default ip address pool Cisco3640-Group-120 dialer in-band dialer-group 1 no cdp enable ppp authentication pap ! router rip version 2 redistribute connected network 10.1.1.0 no auto-summary ! ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88 no ip classless ip http server ! dialer-list 1 protocol ip permit dialer-list 1 protocol appletalk permit ! !--- The following two lines are for the RADIUS server; the first is for the !--- RADIUS being used for authentication but not accounting. In the second, !--- accounting information is sent, too, but not authenticating. !--- If you wish accounting to go to the first, change the 0 to 1646. ! radius-server host 10.1.1.3 auth-port 1645 acct-port 0 radius-server host 10.1.1.5 auth-port 0 acct-port 1646 radius-server key cisco ! line con 0 exec-timeout 0 0 login authentication no_radius line 17 24 autoselect during-login autoselect ppp modem InOut transport input all stopbits 1 speed 57600 flowcontrol hardware line aux 0 line vty 0 4 exec-timeout 0 0 end |
Fichier de clients (sur le serveur) |
---|
!--- Note: This assumes Livingston RADIUS. # Handshake with router--router needs "radius-server key cisco": 10.1.1.21 cisco |
Fichier d'utilisateurs (sur le serveur) |
---|
!--- Note: This assumes Livingston RADIUS. # User who can telnet in to configure: admin Password = "admin" User-Service-Type = Login-User # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user gets an IP address from a pool on the router. chapuser Password = "chapuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user has a statically assigned IP address chapadd Password = "chapadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.10 |
Aucune procédure de vérification n'est disponible pour cette configuration.
Utilisez cette section pour dépanner votre configuration.
Remarque: Référez-vous à la section Informations importantes sur les commandes Debug avant d'utiliser les commandes debug.
debug ppp negotiation - Pour déterminer si un client passe la négociation PPP ; c'est quand vous vérifiez la négociation d'adresse.
debug ppp authentication - Pour déterminer si un client passe l'authentification. Si vous utilisez une version avant la version de logiciel 11.2 de Cisco IOS®, émettez la commande de debug ppp chap à la place.
debug ppp error - Pour afficher des erreurs de protocole et des statistiques sur les erreurs a associé avec la négociation et l'exécution de connexion PPP.
debug aaa authentication - Pour déterminer quelle méthode est utilisée pour authentifier (qui devrait être RADIUS, à moins que le serveur de RADIUS soit en panne) et si les utilisateurs passent l'authentification.
autorisation de debug aaa - Pour déterminer quelle méthode est utilisée pour l'autorisation et si les utilisateurs la passent.
debug aaa accounting - Pour observer les enregistrements des comptes qui sont envoyés.
debug radius - Pour observer les attributs d'utilisateur qui sont permutés avec le serveur.