소개

Cisco 7100 및 7200 플랫폼의 Cisco IOS® Software 릴리스 12.0.5.XE5에 PPTP(Point-to-Point Encryption(PPTP with Microsoft MPPE) [Cisco IOS Software Release 12.0] 지원이 추가되었습니다. Cisco IOS Software 릴리스 12.1.5.T(MSCHAP 버전 2 참조)에 더 많은 플랫폼에 대한 지원이 추가되었습니다.

RFC 2637에서는 PPTP에 대해 설명합니다. PPTP 용어로, RFC에 따르면 PPTP PAC(Access Concentrator)는 클라이언트(PC, 즉 발신자)이고 PPTP PNS(Network Server)는 서버(라우터, 수신자)입니다.

이 문서에서는 로컬 MS-CHAP(Microsoft-Challenge Handshake Authentication Protocol) V1 인증(및 MS-CHAP V1이 필요한 MPPE(선택 사항)을 사용하는 라우터에 대한 PPTP 연결이 이러한 문서를 사용하여 생성되었으며 이미 작동 중이라고 가정합니다. MPPE 암호화 지원에는 RADIUS가 필요합니다. TACACS+는 인증에 사용되지만 MPPE 키잉은 작동하지 않습니다. MS-CHAP V2 지원은 Cisco IOS Software 릴리스 12.2(2)XB5에 추가되었고 Cisco IOS Software 릴리스 12.2(13)T에 통합되었습니다(MSCHAP 버전 2 참조). 그러나 MPPE는 아직 MS-CHAP V2에서 지원되지 않습니다.

이 샘플 컨피그레이션에서는 라우터에 대한 PC 연결을 설정하는 방법(10.66.79.99)을 보여 줍니다. 그러면 사용자가 네트워크에 접속하도록 허용하기 전에 Windows 서버(10.66.79.120)용 Cisco ACS(Secure Access Control System) 4.2에 사용자 인증을 제공합니다.

참고: RADIUS 서버는 일반적으로 실습 환경을 제외하고 라우터 외부에 있지 않습니다.

PPTP 지원이 Cisco Secure ACS 2.5에 추가되었지만 Cisco 버그 ID CSCds92266으로 인해 라우터에서 작동하지 않을 수 있습니다(등록된 고객만 해당). ACS 2.6 이상에는 이 문제가 없습니다.

Cisco Secure UNIX는 MPPE를 지원하지 않습니다. MPPE를 지원하는 다른 두 RADIUS 애플리케이션에는 Microsoft RADIUS와 Funk RADIUS가 포함됩니다.

라우터를 사용하여 PPTP 및 MPPE를 구성하는 방법에 대한 자세한 내용은 PPTP 및 MPPE를 사용하여 Cisco 라우터 및 VPN 클라이언트 구성을 참조하십시오.

RADIUS 인증을 위해 Windows용 Cisco Secure ACS를 사용하여 VPN 3000 Concentrator에서 PPTP를 구성하는 방법에 대한 자세한 내용은 Windows RADIUS용 Cisco Secure ACS를 사용하여 VPN 3000 Concentrator 및 PPTP 구성을 참조하십시오.

PIX 6.x 참조: PIX에 대한 PPTP 연결을 구성하기 위한 PPTP with Radius Authentication Configuration 예.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Windows용 Cisco Secure ACS 4.2
Cisco 3600 라우터
Cisco IOS Software 릴리스 12.4(3)

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에 있는 경우 명령을 사용하기 전에 명령의 잠재적인 영향을 이해해야 합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

라우터 컨피그레이션

이 라우터 컨피그레이션을 사용합니다. RADIUS 서버에 연결할 수 없는 경우에도 사용자는 "username john password doe"로 연결할 수 있어야 합니다(서버가 아직 Cisco Secure ACS로 구성되지 않은 경우 가능). 이 예에서는 로컬 인증(및 선택적으로 암호화)이 이미 작동 중임을 가정합니다.

Cisco 3600 라우터
Current configuration : 1729 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname moss ! boot-start-marker boot-end-marker ! enable password cisco ! username john password 0 doe aaa new-model ! aaa authentication ppp default group radius local aaa authentication login default local !--- In order to set authentication, authorization, and accounting (AAA) authentication !--- at login, use the aaa authentication login* command in global !--- configuration mode as shown above.* aaa authorization network default group radius if-authenticated aaa session-id common ip subnet-zero ! ip audit notify log ip audit po max-events 100 vpdn enable ! vpdn-group 1 !--- Default PPTP VPDN group. accept-dialin protocol pptp virtual-template 1 ! no ftp-server write-enable ! no voice hpi capture buffer no voice hpi capture destination ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 10.66.79.99 255.255.255.224 half-duplex ! interface Virtual-Template1 ip unnumbered Ethernet0/1 peer default ip address pool testpool ppp authentication ms-chap ! ip local pool testpool 192.168.1.1 192.168.1.254 ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.97 ! radius-server host 10.66.79.120 auth-port 1645 acct-port 1646 radius-server retransmit 3 radius-server key cisco ! line con 0 line aux 0 line vty 0 4 password cisco ! end

Cisco 3600 라우터

Current configuration : 1729 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname moss
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
username john password 0 doe
aaa new-model
!

aaa authentication ppp default group radius local

aaa authentication login default local


!--- In order to set authentication, authorization, and accounting (AAA) authentication !--- at login, use the aaa authentication login command in global !--- configuration mode as shown above.


aaa authorization network default group radius if-authenticated
aaa session-id common
ip subnet-zero
!
ip audit notify log
ip audit po max-events 100
vpdn enable
!
vpdn-group 1

 !--- Default PPTP VPDN group.

accept-dialin
protocol pptp
virtual-template 1
!
no ftp-server write-enable
!
no voice hpi capture buffer
no voice hpi capture destination
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
half-duplex
!
interface Ethernet0/1
ip address 10.66.79.99 255.255.255.224
half-duplex
!
interface Virtual-Template1
ip unnumbered Ethernet0/1
peer default ip address pool testpool
ppp authentication ms-chap
!
ip local pool testpool 192.168.1.1 192.168.1.254
ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.97
!
radius-server host 10.66.79.120 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server key cisco
!
line con 0
line aux 0
line vty 0 4
password cisco
!
end

RADIUS 서버 대체 기능

기본 RADIUS 서버를 사용할 수 없게 되면 라우터는 다음 활성 백업 RADIUS 서버로 장애 조치됩니다. 기본 서버를 사용할 수 있는 경우에도 라우터는 계속해서 보조 RADIUS 서버를 계속 사용합니다. 일반적으로 기본 서버는 높은 성능과 기본 서버입니다.

로그인 시 인증, 권한 부여 및 계정 관리(AAA) 인증을 설정하려면 글로벌 컨피그레이션 모드에서 aaa authentication login 명령을 사용합니다.

Windows용 Cisco Secure ACS 구성

다음 절차에 따라 Cisco Secure ACS를 구성합니다.

Network Configuration(네트워크 컨피그레이션)을 클릭하고 라우터에 대한 항목을 추가한 다음 Submit + Restart(제출 + 재시작)를 클릭합니다.
Interface Configuration(인터페이스 컨피그레이션) > RADIUS(Microsoft)를 선택한 다음 MPPE 특성을 선택하고 Submit(제출)을 클릭합니다.
Group Setup(그룹 설정)을 클릭하고 Service-Type(서비스 유형)에서 Framed(프레임)를 선택합니다. Framed-Protocol의 경우 PPP를 선택하고 Submit(제출)을 클릭합니다.
Group Setup(그룹 설정)에서 MS-MPPE RADIUS 정보를 확인하고 완료되면 Submit +Restart(제출 + 재시작)를 클릭합니다.
User Setup(사용자 설정)을 클릭하고 Password(비밀번호)를 추가하고 User(사용자)를 Group(그룹)에 할당하고 Submit(제출)을 클릭합니다.
암호화를 추가하기 전에 라우터에 대한 인증을 테스트합니다. 인증이 작동하지 않으면 이 문서의 문제 해결 섹션을 참조하십시오.

구성에 추가

암호화 추가

다음 명령을 사용하여 MPPE 암호화를 추가할 수 있습니다.

interface virtual-template 1
(config-if)#ppp encrypt mppe 40|128|auto passive|required|stateful

이 예에서는 암호화가 로컬 인증(라우터의 사용자 이름 및 비밀번호)과 함께 작동한다고 가정하므로 PC가 올바르게 구성됩니다. 이제 이 명령을 추가하여 유연성을 극대화할 수 있습니다.

ppp encrypt mppe auto

서버에서 고정 IP 주소 할당

사용자에게 특정 IP 주소를 할당해야 하는 경우 ACS User Setup(ACS 사용자 설정)에서 Assign static IP Address(고정 IP 주소 할당)를 선택하고 IP 주소를 입력합니다.

서버에 액세스 목록 추가

사용자가 라우터에 연결되면 PPTP 사용자가 액세스할 수 있는 항목을 제어하려면 라우터에서 액세스 목록을 구성할 수 있습니다. 예를 들어 이 명령을 실행하는 경우

access-list 101 permit ip any host 10.1.1.2 log

ACS에서 Filter-Id(특성 11)를 선택하고 101을 입력란에 입력합니다. PPTP 사용자는 10.1.1.2 호스트에 액세스할 수 있지만 다른 호스트는 액세스할 수 없습니다. show ip interface virtual-access x 명령을 실행하면 여기서 x는 show user 명령에서 확인할 수 있는 숫자입니다.

Inbound access list is 101

계정 추가

다음 명령을 사용하여 세션에 대한 어카운팅을 추가할 수 있습니다.

aaa accounting network default start-stop radius

Cisco Secure ACS의 회계 레코드는 다음과 같이 출력에 표시됩니다.

Date,Time,User-Name,Group-Name,Calling-Station-Id,
Acct-Status-Type,Acct-Session-Id,Acct-Session-Time,
Service-Type,Framed-Protocol,Acct-Input-Octets,
Acct-Output-Octets,Acct-Input-Packets,Acct-Output-Packets,
Framed-IP-Address,NAS-Port,NAS-IP-Address
09/28/2003,20:58:37,georgia,Default Group,,Start,00000005,,
Framed,PPP,,,,,,5,10.66.79.99
09/28/2000,21:00:38,georgia,Default Group,,Stop,00000005,121,
Framed,PPP,3696,1562,49,
38,192.168.1.1,5,10.66.79.99

참고: 표시용으로 예제에 줄 바꿈이 추가되었습니다. 실제 출력의 줄 바꿈이 여기에 표시된 줄바꿈과 다릅니다.

스플릿 터널링

PC에서 PPTP 터널이 나타나면 PPTP 라우터가 이전 기본값보다 높은 메트릭으로 설치되므로 인터넷 연결이 끊어집니다. 이 문제를 해결하려면 라우터 내부의 네트워크가 10.1.1.X인 경우 배치 파일(batch.bat)을 실행하여 Microsoft 라우팅을 수정하여 기본값을 삭제하고 기본 경로를 다시 설치합니다(PPTP 클라이언트가 할당된 IP 주소가 필요합니다. 예를 들면 192.168.1.1입니다.

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 10.66.79.33 metric 1
route add 10.1.1.0 mask 255.255.255.0 192.168.1.1 metric 1

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.

show vpdn session - VPDN(Virtual Private Dialup Network)의 활성 L2F(Level 2 Forwarding) 프로토콜 터널 및 메시지 식별자에 대한 정보를 표시합니다.

moss#show vpdn session
%No active L2TP tunnels
%No active L2F tunnels

PPTP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Intf    Username      State   Last Chg Uniq ID
7     32768 7     Vi3     georgia       estabd  00:00:25 6
moss#show vpdn
%No active L2TP tunnels
%No active L2F tunnels

PPTP Tunnel and Session Information Total tunnels 1 sessions 1
LocID Remote Name     State    Remote Address  Port  Sessions VPDN Group
7                     estabd   10.66.79.60     3454  1        1

LocID RemID TunID Intf    Username      State   Last Chg Uniq ID
7     32768 7     Vi3     georgia       estabd  00:00:51 6

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

PC는 암호화를 지정하지만 라우터는 암호화를 지정하지 않습니다.

PC 사용자는 다음을 볼 수 있습니다.
```
The remote computer does not support the required data encryption type.
```
PC와 라우터 모두 암호화를 지정하지만 RADIUS 서버는 MPPE 키를 전송하도록 구성되지 않았습니다(일반적으로 특성 26으로 표시됨).

PC 사용자는 다음을 볼 수 있습니다.
```
The remote computer does not support the required 
data encryption type.
```
라우터는 암호화를 지정하지만(필수) PC는 허용되지 않습니다(허용되지 않음).

PC 사용자는 다음을 볼 수 있습니다.
```
The specified port is not connected.
```

사용자가 잘못된 사용자 이름 또는 비밀번호를 입력합니다.

PC 사용자는 다음을 볼 수 있습니다.

Access was denied because the username and/or 
password was invalid on the domain.

라우터 디버그에 다음이 표시됩니다.

참고: 표시 목적으로 이 예제에 줄 바꿈이 추가되었습니다. 실제 출력의 줄 바꿈이 여기에 표시된 줄바꿈과 다릅니다.

Sep 28 21:34:16.299: RADIUS: Received from id 21645/13 10.66.79.120:1645, 
Access-Reject, len 54
Sep 28 21:34:16.299: RADIUS: authenticator 37 BA 2B 4F 23 02 44 4D - D4 
A0 41 3B 61 2D 5E 0C
Sep 28 21:34:16.299: RADIUS:  Vendor, Microsoft   [26]  22
Sep 28 21:34:16.299: RADIUS:   MS-CHAP-ERROR      [2]   16
Sep 28 21:34:16.299: RADIUS:   01 45 3D 36 39 31 20 52 3D 30 20 56 3D
[?E=691 R=0 V=]
Sep 28 21:34:16.299: RADIUS:  Reply-Message       [18]  12
Sep 28 21:34:16.299: RADIUS:   52 65 6A 65 63 74 65 64 0A 0D                    
[Rejected??]

RADIUS 서버가 통신할 수 없습니다.

PC 사용자는 다음을 볼 수 있습니다.

Access was denied because the username and/or password 
was invalid on the domain.

라우터 디버그에 다음이 표시됩니다.

참고: 표시 목적으로 이 예제에 줄 바꿈이 추가되었습니다. 실제 출력의 줄 바꿈이 여기에 표시된 줄바꿈과 다릅니다.

Sep 28 21:46:56.135: RADIUS: Retransmit to (10.66.79.120:1645,1646) 
for id 21645/43
Sep 28 21:47:01.135: RADIUS: Retransmit to (10.66.79.120:1645,1646) 
for id 21645/43
Sep 28 21:47:06.135: RADIUS: Retransmit to (10.66.79.120:1645,1646) 
for id 21645/43
Sep 28 21:47:11.135: RADIUS: No response from (10.66.79.120:1645,1646) 
for id 21645/43
Sep 28 21:47:11.135: RADIUS/DECODE: parse response no app start; FAIL
Sep 28 21:47:11.135: RADIUS/DECODE: parse response; FAIL

문제 해결 명령

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.

참고: debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

문제가 해결되지 않으면 다음과 같은 최소 debug 명령이 포함됩니다.

debug aaa authentication - AAA/TACACS+ 인증에 대한 정보를 표시합니다.
debug aaa authorization - AAA/TACACS+ 권한 부여에 대한 정보를 표시합니다.
debug ppp negotiation - PPP 시작 중에 전송된 PPP 패킷을 표시합니다. 여기서 PPP 옵션은 협상됩니다.
debug ppp authentication — CHAP 패킷 교환 및 PAP(Password Authentication Protocol) 교환을 포함하는 인증 프로토콜 메시지를 표시합니다.
debug radius - RADIUS와 관련된 자세한 디버깅 정보를 표시합니다.

인증이 작동하지만 MPPE 암호화에 문제가 있는 경우 다음 명령을 사용합니다.

debug ppp mppe packet - 모든 수신 및 발신 MPPE 트래픽을 표시합니다.
debug ppp mppe event - 키 MPPE 발생을 표시합니다.
debug ppp mppe detailed - 자세한 MPPE 정보를 표시합니다.
debug vpdn l2x-packets - L2F 프로토콜 헤더 및 상태에 대한 메시지를 표시합니다.
debug vpdn events - 일반 터널 설정 또는 종료의 일부인 이벤트에 대한 메시지를 표시합니다.
debug vpdn errors - 터널이 설정되지 않도록 하는 오류 또는 설정된 터널을 닫도록 하는 오류를 표시합니다.
debug vpdn packets - 교환된 각 프로토콜 패킷을 표시합니다. 이 옵션을 사용하면 디버그 메시지가 많이 발생할 수 있으며, 일반적으로 단일 활성 세션이 있는 디버그 섀시에서만 이 명령을 사용해야 합니다.

트러블슈팅을 위해 다음 명령을 사용할 수도 있습니다.

clear interface virtual-access x - 지정된 터널과 터널 내의 모든 세션을 종료합니다.

올바른 디버그 출력 예

이 디버그는 RFC의 중요한 이벤트를 표시합니다.

SCCRQ = Start-Control-Connection-Request - 메시지 코드 바이트 9 및 10 = 0001
SCCRP = Start-Control-Connection-Reply
OCRQ = Outgoing-Call-Request - 메시지 코드 바이트 9 및 10 = 0007
OCRP = 발신 통화 응답

참고: 표시 목적으로 이 예제에 줄 바꿈이 추가되었습니다. 실제 출력의 줄 바꿈이 여기에 표시된 줄바꿈과 다릅니다.

moss#show debug
General OS:
  AAA Authentication debugging is on
  AAA Authorization debugging is on
PPP:
  PPP protocol negotiation debugging is on
Radius protocol debugging is on
Radius packet protocol debugging is on
VPN:
  L2X control packets debugging is on
Sep 28 21:53:22.403:  Tnl 23 PPTP: 
I 009C00011A2B3C4D0001000001000000000000010000...
Sep 28 21:53:22.403:  Tnl 23 PPTP: I SCCRQ
Sep 28 21:53:22.403:  Tnl 23 PPTP: protocol version 100
Sep 28 21:53:22.403:  Tnl 23 PPTP: framing caps 1
Sep 28 21:53:22.403:  Tnl 23 PPTP: bearer caps 1
Sep 28 21:53:22.403:  Tnl 23 PPTP: max channels 0
Sep 28 21:53:22.403:  Tnl 23 PPTP: firmware rev 893
Sep 28 21:53:22.403:  Tnl 23 PPTP: hostname ""
Sep 28 21:53:22.403:  Tnl 23 PPTP: vendor "Microsoft Windows NT"
Sep 28 21:53:22.403:  Tnl 23 PPTP: O SCCRP
Sep 28 21:53:22.407:  Tnl 23 PPTP: I 
00A800011A2B3C4D0007000080007C0E0000012C05F5...
Sep 28 21:53:22.407:  Tnl 23 PPTP: CC I OCRQ
Sep 28 21:53:22.407:  Tnl 23 PPTP: call id 32768
Sep 28 21:53:22.411:  Tnl 23 PPTP: serial num 31758
Sep 28 21:53:22.411:  Tnl 23 PPTP: min bps 300
Sep 28 21:53:22.411:  Tnl 23 PPTP: max bps 100000000
Sep 28 21:53:22.411:  Tnl 23 PPTP: bearer type 3
Sep 28 21:53:22.411:  Tnl 23 PPTP: framing type 3
Sep 28 21:53:22.411:  Tnl 23 PPTP: recv win size 64
Sep 28 21:53:22.411:  Tnl 23 PPTP: ppd 0
Sep 28 21:53:22.411:  Tnl 23 PPTP: phone num len 0
Sep 28 21:53:22.411:  Tnl 23 PPTP: phone num ""
Sep 28 21:53:22.411: AAA/BIND(0000001C): Bind i/f Virtual-Template1
Sep 28 21:53:22.415:  Tnl/Sn 23/23 PPTP: CC O OCRP
Sep 28 21:53:22.415: ppp27 PPP: Using vpn set call direction
Sep 28 21:53:22.415: ppp27 PPP: Treating connection as a callin
Sep 28 21:53:22.415: ppp27 PPP: Phase is ESTABLISHING, Passive Open
Sep 28 21:53:22.415: ppp27 LCP: State is Listen
Sep 28 21:53:22.459:  Tnl 23 PPTP: I 
001800011A2B3C4D000F000000170000FFFFFFFFFFFFFFFF
Sep 28 21:53:22.459:  Tnl/Sn 23/23 PPTP: CC I SLI
Sep 28 21:53:22.459: ppp27 LCP: I CONFREQ [Listen] id 0 len 44
Sep 28 21:53:22.459: ppp27 LCP:    MagicNumber 0x377413E2 (0x0506377413E2)
Sep 28 21:53:22.459: ppp27 LCP:    PFC (0x0702)
Sep 28 21:53:22.459: ppp27 LCP:    ACFC (0x0802)
Sep 28 21:53:22.459: ppp27 LCP:    Callback 6  (0x0D0306)
Sep 28 21:53:22.459: ppp27 LCP:    MRRU 1614 (0x1104064E)
Sep 28 21:53:22.459: ppp27 LCP:    EndpointDisc 1 Local
Sep 28 21:53:22.459: ppp27 LCP:     (0x1317010D046656E8C7445895763667BB)
Sep 28 21:53:22.463: ppp27 LCP:     (0x2D0E8100000016)
Sep 28 21:53:22.463: ppp27 LCP: O CONFREQ [Listen] id 1 len 15
Sep 28 21:53:22.463: ppp27 LCP:    AuthProto MS-CHAP (0x0305C22380)
Sep 28 21:53:22.463: ppp27 LCP:    MagicNumber 0xD0B06B2C (0x0506D0B06B2C)
Sep 28 21:53:22.463: ppp27 LCP: O CONFREJ [Listen] id 0 len 11
Sep 28 21:53:22.463: ppp27 LCP:    Callback 6  (0x0D0306)
Sep 28 21:53:22.463: ppp27 LCP:    MRRU 1614 (0x1104064E)
Sep 28 21:53:22.467: ppp27 LCP: I CONFACK [REQsent] id 1 len 15
Sep 28 21:53:22.467: ppp27 LCP:    AuthProto MS-CHAP (0x0305C22380)
Sep 28 21:53:22.467: ppp27 LCP:    MagicNumber 0xD0B06B2C (0x0506D0B06B2C)
Sep 28 21:53:22.467: ppp27 LCP: I CONFREQ [ACKrcvd] id 1 len 37
Sep 28 21:53:22.467: ppp27 LCP:    MagicNumber 0x377413E2 (0x0506377413E2)
Sep 28 21:53:22.467: ppp27 LCP:    PFC (0x0702)
Sep 28 21:53:22.467: ppp27 LCP:    ACFC (0x0802)
Sep 28 21:53:22.471: ppp27 LCP:    EndpointDisc 1 Local
Sep 28 21:53:22.471: ppp27 LCP:     (0x1317010D046656E8C7445895763667BB)
Sep 28 21:53:22.471: ppp27 LCP:     (0x2D0E8100000016)
Sep 28 21:53:22.471: ppp27 LCP: O CONFACK [ACKrcvd] id 1 len 37
Sep 28 21:53:22.471: ppp27 LCP:    MagicNumber 0x377413E2 (0x0506377413E2)
Sep 28 21:53:22.471: ppp27 LCP:    PFC (0x0702)
Sep 28 21:53:22.471: ppp27 LCP:    ACFC (0x0802)
Sep 28 21:53:22.471: ppp27 LCP:    EndpointDisc 1 Local
Sep 28 21:53:22.471: ppp27 LCP:     (0x1317010D046656E8C7445895763667BB)
Sep 28 21:53:22.471: ppp27 LCP:     (0x2D0E8100000016)
Sep 28 21:53:22.471: ppp27 LCP: State is Open
Sep 28 21:53:22.471: ppp27 PPP: Phase is AUTHENTICATING, by this end
Sep 28 21:53:22.475: ppp27 MS-CHAP: O CHALLENGE id 1 len 21 from "SV3-2   "
Sep 28 21:53:22.475:  Tnl 23 PPTP: I 
001800011A2B3C4D000F000000170000FFFFFFFFFFFFFFFF
Sep 28 21:53:22.475:  Tnl/Sn 23/23 PPTP: CC I SLI
Sep 28 21:53:22.479: ppp27 LCP: I IDENTIFY [Open] id 2 len 
18 magic 0x377413E2 MSRASV5.00
Sep 28 21:53:22.479: ppp27 LCP: I IDENTIFY [Open] id 3 len 
30 magic 0x377413E2 MSRAS-0-CSCOAPACD12364
Sep 28 21:53:22.479: ppp27 MS-CHAP: I RESPONSE id 1 len 61 from "georgia"
Sep 28 21:53:22.483: ppp27 PPP: Phase is FORWARDING, Attempting Forward
Sep 28 21:53:22.483: ppp27 PPP: Phase is AUTHENTICATING, Unauthenticated User
Sep 28 21:53:22.483: AAA/AUTHEN/PPP (0000001C): Pick method list 'default'
Sep 28 21:53:22.483: RADIUS:  AAA Unsupported     [152] 14
Sep 28 21:53:22.483: RADIUS:   55 6E 69 71 2D 53 65 73 73 2D 49 44              
[Uniq-Sess-ID]
Sep 28 21:53:22.483: RADIUS(0000001C): Storing nasport 27 in rad_db
Sep 28 21:53:22.483: RADIUS(0000001C): Config NAS IP: 0.0.0.0
Sep 28 21:53:22.483: RADIUS/ENCODE(0000001C): acct_session_id: 38
Sep 28 21:53:22.487: RADIUS(0000001C): sending
Sep 28 21:53:22.487: RADIUS/ENCODE: Best Local IP-Address 10.66.79.99 
for Radius-Server 10.66.79.120
Sep 28 21:53:22.487: RADIUS(0000001C): Send Access-Request to 
10.66.79.120:1645 id 21645/44, len 133
Sep 28 21:53:22.487: RADIUS:  authenticator 15 8A 3B EE 03 24 
0C F0 - 00 00 00 00 00 00 00 00
Sep 28 21:53:22.487: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Sep 28 21:53:22.487: RADIUS:  User-Name           [1]   9   "georgia"
Sep 28 21:53:22.487: RADIUS:  Vendor, Microsoft   [26]  16
Sep 28 21:53:22.487: RADIUS:   MSCHAP_Challenge   [11]  10
Sep 28 21:53:22.487: RADIUS:   15 8A 3B EE 03 24 0C  [??;??$?]
Sep 28 21:53:22.487: RADIUS:  Vendor, Microsoft   [26]  58
Sep 28 21:53:22.487: RADIUS:   MS-CHAP-Response   [1]   52  *
Sep 28 21:53:22.487: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Sep 28 21:53:22.487: RADIUS:  NAS-Port            [5]   6   27
Sep 28 21:53:22.487: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Sep 28 21:53:22.491: RADIUS:  NAS-IP-Address      [4]   6   10.66.79.99
Sep 28 21:53:22.515: RADIUS: Received from id 21645/44 10.66.79.120:1645, 
Access-Accept, len 141
Sep 28 21:53:22.515: RADIUS:  authenticator ED 3F 8A 08 2D A2 EB 4F - 78 
3F 5D 80 58 7B B5 3E
Sep 28 21:53:22.515: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Sep 28 21:53:22.515: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Sep 28 21:53:22.515: RADIUS:  Filter-Id           [11]  8
Sep 28 21:53:22.515: RADIUS:   31 30 31 2E 69 6E  [101.in]
Sep 28 21:53:22.515: RADIUS:  Vendor, Microsoft   [26]  12
Sep 28 21:53:22.515: RADIUS:   MS-MPPE-Enc-Policy [7]   6
Sep 28 21:53:22.515: RADIUS:   00 00 00          [???]
Sep 28 21:53:22.515: RADIUS:  Vendor, Microsoft   [26]  12
Sep 28 21:53:22.515: RADIUS:   MS-MPPE-Enc-Type   [8]   6
Sep 28 21:53:22.515: RADIUS:   00 00 00          [???]
Sep 28 21:53:22.515: RADIUS:  Vendor, Microsoft   [26]  40
Sep 28 21:53:22.515: RADIUS:   MS-CHAP-MPPE-Keys  [12]  34  *
Sep 28 21:53:22.519: RADIUS:  Framed-IP-Address   [8]   6   192.168.1.1
Sep 28 21:53:22.519: RADIUS:  Class               [25]  31
Sep 28 21:53:22.519: RADIUS:   
43 49 53 43 4F 41 43 53 3A 30 30 30 30 30 30 36  [CISCOACS:0000006]
Sep 28 21:53:22.519: RADIUS:   
33 2F 30 61 34 32 34 66 36 33 2F 32 37           [3/0a424f63/27]
Sep 28 21:53:22.519: RADIUS(0000001C): Received from id 21645/44
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: service-type
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: Framed-Protocol
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: inacl: Peruser
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: MS-CHAP-MPPE-Keys
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: addr
Sep 28 21:53:22.523: ppp27 PPP: Phase is FORWARDING, Attempting Forward
Sep 28 21:53:22.523: Vi3 PPP: Phase is DOWN, Setup
Sep 28 21:53:22.527: AAA/BIND(0000001C): Bind i/f Virtual-Access3
Sep 28 21:53:22.531: %LINK-3-UPDOWN: Interface Virtual-Access3, 
changed state to up
Sep 28 21:53:22.531: Vi3 PPP: Phase is AUTHENTICATING, Authenticated User
Sep 28 21:53:22.531: Vi3 AAA/AUTHOR/LCP: Process Author
Sep 28 21:53:22.531: Vi3 AAA/AUTHOR/LCP: Process Attr: service-type
Sep 28 21:53:22.531: Vi3 MS-CHAP: O SUCCESS id 1 len 4
Sep 28 21:53:22.535: Vi3 PPP: Phase is UP
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/IPCP: FSM authorization not needed
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/FSM: We can start IPCP
Sep 28 21:53:22.535: Vi3 IPCP: O CONFREQ [Closed] id 1 len 10
Sep 28 21:53:22.535: Vi3 IPCP:    Address 10.66.79.99 (0x03060A424F63)
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/CCP: FSM authorization not needed
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/FSM: We can start CCP
Sep 28 21:53:22.535: Vi3 CCP: O CONFREQ [Closed] id 1 len 10
Sep 28 21:53:22.535: Vi3 CCP: MS-PPC supported bits 0x01000060 (0x120601000060)
Sep 28 21:53:22.535: Vi3 PPP: Process pending packets
Sep 28 21:53:22.539: RADIUS(0000001C): Using existing nas_port 27
Sep 28 21:53:22.539: RADIUS(0000001C): Config NAS IP: 0.0.0.0
Sep 28 21:53:22.539: RADIUS(0000001C): sending
Sep 28 21:53:22.539: RADIUS/ENCODE: Best Local IP-Address 
10.66.79.99 for Radius-Server 10.66.79.120
Sep 28 21:53:22.539: RADIUS(0000001C): Send Accounting-Request 
to 10.66.79.120:1646 id 21645/45, len 147
Sep 28 21:53:22.539: RADIUS:  authenticator 1A 76 20 95 95 F8 
81 42 - 1F E8 E7 C1 8F 10 BA 94
Sep 28 21:53:22.539: RADIUS:  Acct-Session-Id     [44]  10  "00000026"
Sep 28 21:53:22.539: RADIUS:  Tunnel-Server-Endpoi[67]  13  "10.66.79.99"
Sep 28 21:53:22.539: RADIUS:  Tunnel-Client-Endpoi[66]  13  "10.66.79.60"
Sep 28 21:53:22.543: RADIUS:  Tunnel-Assignment-Id[82]  3   "1"
Sep 28 21:53:22.543: RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
Sep 28 21:53:22.543: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
Sep 28 21:53:22.543: RADIUS:  User-Name           [1]   9   "georgia"
Sep 28 21:53:22.543: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
Sep 28 21:53:22.543: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
Sep 28 21:53:22.543: RADIUS:  NAS-Port            [5]   6   27
Sep 28 21:53:22.543: RADIUS:  Class               [25]  31
Sep 28 21:53:22.543: RADIUS:   43 49 53 43 4F 41 43 53 3A 30 30 30 30 
30 30 36  [CISCOACS:0000006]
Sep 28 21:53:22.543: RADIUS:   33 2F 30 61 34 32 34 66 36 33 2F 32 37
           [3/0a424f63/27]
Sep 28 21:53:22.547: RADIUS:  Service-Type        [6]   6   Framed                    [2]
Sep 28 21:53:22.547: RADIUS:  NAS-IP-Address      [4]   6   10.66.79.99
Sep 28 21:53:22.547: RADIUS:  Acct-Delay-Time     [41]  6   0
Sep 28 21:53:22.547: Vi3 CCP: I CONFREQ [REQsent] id 4 len 10
Sep 28 21:53:22.547: Vi3 CCP:    MS-PPC supported bits 0x010000F1 
(0x1206010000F1)
Sep 28 21:53:22.547: Vi3 CCP: O CONFNAK [REQsent] id 4 len 10
Sep 28 21:53:22.551: Vi3 CCP:    MS-PPC supported bits 0x01000060 
(0x120601000060)
Sep 28 21:53:22.551: Vi3 CCP: I CONFNAK [REQsent] id 1 len 10
Sep 28 21:53:22.551: Vi3 CCP:    MS-PPC supported bits 0x01000040 
(0x120601000040)
Sep 28 21:53:22.551: Vi3 CCP: O CONFREQ [REQsent] id 2 len 10
Sep 28 21:53:22.551: Vi3 CCP:    MS-PPC supported bits 0x01000040 
(0x120601000040)
Sep 28 21:53:22.551: Vi3 IPCP: I CONFREQ [REQsent] id 5 len 34
Sep 28 21:53:22.551: Vi3 IPCP:    Address 0.0.0.0 (0x030600000000)
Sep 28 21:53:22.551: Vi3 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
Sep 28 21:53:22.551: Vi3 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
Sep 28 21:53:22.551: Vi3 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
Sep 28 21:53:22.551: Vi3 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
Sep 28 21:53:22.551: Vi3 AAA/AUTHOR/IPCP: Start.  Her address 0.0.0.0, 
we want 0.0.0.0
Sep 28 21:53:22.551: Vi3 AAA/AUTHOR/IPCP: Processing AV inacl
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: Processing AV addr
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: Authorization succeeded
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: Done.  Her address 0.0.0.0, 
we want 192.168.1.1
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for primary dns
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for primary wins
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for seconday dns
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for seconday wins
Sep 28 21:53:22.555: Vi3 IPCP: O CONFREJ [REQsent] id 5 len 28
Sep 28 21:53:22.555: Vi3 IPCP:    PrimaryDNS 0.0.0.0 (0x810600000000)
Sep 28 21:53:22.555: Vi3 IPCP:    PrimaryWINS 0.0.0.0 (0x820600000000)
Sep 28 21:53:22.555: Vi3 IPCP:    SecondaryDNS 0.0.0.0 (0x830600000000)
Sep 28 21:53:22.555: Vi3 IPCP:    SecondaryWINS 0.0.0.0 (0x840600000000)
Sep 28 21:53:22.555: Vi3 IPCP: I CONFACK [REQsent] id 1 len 10
Sep 28 21:53:22.555: Vi3 IPCP:    Address 10.66.79.99 (0x03060A424F63)
Sep 28 21:53:22.563: Vi3 CCP: I CONFREQ [REQsent] id 6 len 10
Sep 28 21:53:22.563: Vi3 CCP:    MS-PPC supported bits 0x01000040 
(0x120601000040)
Sep 28 21:53:22.563: Vi3 CCP: O CONFACK [REQsent] id 6 len 10
Sep 28 21:53:22.563: Vi3 CCP:    MS-PPC supported bits 0x01000040 
(0x120601000040)
Sep 28 21:53:22.567: Vi3 CCP: I CONFACK [ACKsent] id 2 len 10
Sep 28 21:53:22.567: Vi3 CCP:    MS-PPC supported bits 0x01000040 
(0x120601000040)
Sep 28 21:53:22.567: Vi3 CCP: State is Open
Sep 28 21:53:22.567: Vi3 IPCP: I CONFREQ [ACKrcvd] id 7 len 10
Sep 28 21:53:22.567: Vi3 IPCP:    Address 0.0.0.0 (0x030600000000)
Sep 28 21:53:22.567: Vi3 IPCP: O CONFNAK [ACKrcvd] id 7 len 10
Sep 28 21:53:22.571: Vi3 IPCP:    Address 192.168.1.1 (0x0306C0A80101)
Sep 28 21:53:22.575: Vi3 IPCP: I CONFREQ [ACKrcvd] id 8 len 10
Sep 28 21:53:22.575: Vi3 IPCP:    Address 192.168.1.1 (0x0306C0A80101)
Sep 28 21:53:22.575: Vi3 IPCP: O CONFACK [ACKrcvd] id 8 len 10
Sep 28 21:53:22.575: Vi3 IPCP:    Address 192.168.1.1 (0x0306C0A80101)
Sep 28 21:53:22.575: Vi3 IPCP: State is Open
Sep 28 21:53:22.575: AAA/AUTHOR: Processing PerUser AV inacl
Sep 28 21:53:22.583: Vi3 IPCP: Install route to 192.168.1.1
Sep 28 21:53:22.583: Vi3 IPCP: Add link info for cef entry 192.168.1.1
Sep 28 21:53:22.603: RADIUS: Received from id 21645/45 10.66.79.120:1646, 
Accounting-response, len 20
Sep 28 21:53:22.603: RADIUS:  authenticator A6 B3 4C 4C 04 1B BE 8E - 6A 
BF 91 E2 3C 01 3E CA
Sep 28 21:53:23.531: %LINEPROTO-5-UPDOWN: Line protocol on Interface
 Virtual-Access3, changed state to up

목차

소개

사전 요구 사항

요구 사항

사용되는 구성 요소

표기 규칙

네트워크 다이어그램

라우터 컨피그레이션

RADIUS 서버 대체 기능

Windows용 Cisco Secure ACS 구성

구성에 추가

암호화 추가

서버에서 고정 IP 주소 할당

서버에 액세스 목록 추가

계정 추가

스플릿 터널링

다음을 확인합니다.

문제 해결

문제 해결 명령

올바른 디버그 출력 예

관련 정보