كيفية مصادقة عميل VPN 5000 إلى مركز VPN 5000 مع CiscoSecure NT 2.5 والإصدارات الأحدث (RADIUS)
المحتويات
المقدمة
يستطيع Cisco Secure NT (CSNT) 2.5 والإصدارات الأحدث (RADIUS) إرجاع السمات الخاصة بالشبكة الخاصة الظاهرية (VPN) 5000 الخاصة بالمورد لبيانات مجموعة VPN وكلمة مرور الشبكة الخاصة الظاهرية (VPN) لمصادقة عميل VPN 5000 إلى مركز VPN 5000. يفترض المستند التالي أن المصادقة المحلية تعمل قبل إضافة مصادقة RADIUS (وبالتالي المستخدم المحلي في المجموعة "cisco"). ثم تتم إضافة المصادقة إلى CSNT RADIUS للمستخدمين غير الموجودين في قاعدة البيانات المحلية (يتم تعيين المستخدم "csntuser" إلى مجموعة "csntgroup" بموجب السمات التي تم إرجاعها من خادم CSNT RADIUS).
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
Cisco Secure NT 2.5
-
مركز Cisco VPN 5000 5.2.16.005
-
Cisco VPN 5000 Client 4.2.7
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
ملاحظة: للعثور على معلومات إضافية حول الأوامر المستخدمة في هذا المستند، أستخدم أداة بحث الأوامر (للعملاء المسجلين فقط).
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
التكوينات
يستخدم هذا المستند التكوينات التالية:
| مركز VPN 5000 |
|---|
[ IP Ethernet 0 ] SubnetMask = 255.255.255.0 Mode = Routed IPAddress = 172.18.124.153 [ IP Ethernet 1 ] Mode = Routed SubnetMask = 255.255.255.0 IPAddress = 161.44.17.1 [ VPN Group "ciscolocal" ] IPNet = 172.18.124.0/24 Transform = esp(md5,des) StartIPAddress = 172.18.124.250 MaxConnections = 4 BindTo = "ethernet0" [ General ] EthernetAddress = 00:00:a5:f0:c9:00 DeviceType = VPN 5001 Concentrator ConfiguredOn = Timeserver not configured ConfiguredFrom = Command Line, from 172.18.124.99 IPSecGateway = 161.44.17.254 [ Logging ] Level = 7 Enabled = On LogToAuxPort = On LogToSysLog = On SyslogIPAddress = 172.18.124.114 SyslogFacility = Local5 [ IKE Policy ] Protection = MD5_DES_G1 [ VPN Users ] localuser Config="ciscolocal" SharedKey="localike" [ Radius ] Accounting = Off PrimAddress = "172.18.124.99" Secret = "csntkey" ChallengeType = CHAP BindTo = "ethernet0" Authentication = On [ VPN Group "csnt" ] BindTo = "ethernet0" Transform = ESP(md5,Des) MaxConnections = 2 IPNet = 172.18.124.0/24 StartIPAddress = 172.18.124.245 AssignIPRADIUS = Off BindTo = "ethernet0" StartIPAddress = 172.18.124.243 IPNet = 172.18.124./24 StartIPAddress = 172.18.124.242 Transform = ESP(md5,Des) BindTo = "ethernet0" MaxConnections = 1 [ VPN Group "csntgroup" ] MaxConnections = 2 StartIPAddress = 172.18.124.242 BindTo = "ethernet0" Transform = ESP(md5,Des) IPNet = 172.18.124.0/24 Configuration size is 2045 out of 65500 bytes. |
| عميل VPN 5000 |
|---|
Note: None of the defaults have been changed. Two users were added, and the appropriate passwords were entered when prompted after clicking Connect: username password radius_password -------- -------- --------------- localuser localike N/A csntuser grouppass csntpass |
تكوين NT 2.5 الآمن من Cisco
اتبع هذا الإجراء.
-
قم بتهيئة الخادم للتحدث إلى مركز التركيز:
-
انتقل إلى تكوين الواجهة > RADIUS (VPN 5000) وتحقق من كلمة مرور مجموعة VPN و VPN:
-
بعد تكوين المستخدم ("csntuser") بكلمة مرور ("csntpass") في إعداد المستخدم ووضع المستخدم في المجموعة 13، قم بتكوين سمات VPN 5000 في إعداد المجموعة | المجموعة 13:
التغيير إلى مصادقة PAP
بافتراض عمل مصادقة بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (CHAP)، قد ترغب في التغيير إلى بروتوكول مصادقة كلمة المرور (PAP)، والذي يمكنك من إستخدام CSNT لكلمة مرور المستخدم من قاعدة بيانات NT.
تغيير ملف تعريف VPN 5000 RADIUS
[ Radius ] PAPAuthSecret = "abcxyz" ChallengeType = PAP
ملاحظة: سيتم أيضا تكوين CSNT لاستخدام قاعدة بيانات NT لمصادقة ذلك المستخدم.
ما يراه المستخدم (ثلاث مربعات كلمات مرور):
Shared Secret = grouppass RADIUS Login box - Password = csntpass RADIUS Login box - Authentication Secret = abcxyz
إضافة تعيين عنوان IP
إذا كان ملف تعريف CSNT للمستخدم مضبوطا في "تعيين عنوان IP ساكن إستاتيكي" على قيمة معينة، وإذا كانت مجموعة مركز VPN 5000 معينة ل:
AssignIPRADIUS = On
بعد ذلك، يتم إرسال عنوان IP الخاص ب RADIUS نزولا من CSNT وتطبيقه على المستخدم على مركز VPN 5000.
إضافة محاسبة
إن يريد أنت جلسة محاسبة يرسل سجل إلى ال cisco يأمن RADIUS نادل، بعد ذلك أضفت إلى ال VPN 5000 مركز RADIUS تشكيل:
[ Radius ] Accounting = On
أنت ينبغي استعملت ال apply وwrite أمر، وبعد ذلك الجزمة أمر على ال VPN 5000 ل هذا تغير أن يأخذ تأثير.
سجلات المحاسبة من CSNT
11/06/2000,16:02:45,csntuser,Group 13,,Start,077745c5-00000000,,,,,,,,, 268435456,172.18.124.153 11/06/2000,16:03:05,csntuser,Group 13,,Stop,077745c5-00000000,20,,, 104,0,1,0,,268435456,172.18.124.153
التحقق من الصحة
يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.
يتم دعم بعض أوامر العرض بواسطة أداة مترجم الإخراج (العملاء المسجلون فقط)، والتي تتيح لك عرض تحليل إخراج أمر العرض.
-
إظهار المخزن المؤقت لسجل النظام
Info 7701.12 seconds Command loop started from 172.18.124.99 on PTY1 Notice 7723.36 seconds New IKE connection: [181.44.17.149]:1041:csntuser Debug 7723.38 seconds Sending RADIUS CHAP challenge to csntuser at 181.44.17.149 Debug 7729.0 seconds Received RADIUS challenge resp. from csntuser at 181.44.17.149, contacting server Notice 7729.24 seconds VPN 0 opened for csntuser from 181.44.17.149. Debug 7729.26 seconds Client's local broadcast address = 181.44.17.255 Notice 7729.29 seconds User assigned IP address 172.18.124.242
-
عملية تفريغ تتبع VPN الكل
VPN5001_A5F0C900# vpn trace dump all 6 seconds -- stepmngr trace enabled -- new script: ISAKMP primary responder script for <no id> (start) manage @ 91 seconds :: [181.44.17.149]:1042 (start) 91 seconds doing irpri_new_conn, (0 @ 0) 91 seconds doing irpri_pkt_1_recd, (0 @ 0) new script: ISAKMP Resp Aggr Shared Secret script for [181.44.17.149]:1042 (start) 91 seconds doing irsass_process_pkt_1, (0 @ 0) 91 seconds doing irsass_build_rad_pkt, (0 @ 0) 91 seconds doing irsass_send_rad_pkt, (0 @ 0) manage @ 91 seconds :: [181.44.17.149]:1042 (done) manage @ 93 seconds :: [181.44.17.149]:1042:csntuser (start) 93 seconds doing irsass_radius_wait, (0 @ 0) 93 seconds doing irsass_send_rad_pkt, (0 @ 0) manage @ 93 seconds :: [181.44.17.149]:1042:csntuser (done) manage @ 95 seconds :: [181.44.17.149]:1042:csntuser (start) 95 seconds doing irsass_radius_wait, (0 @ 0) 95 seconds doing irsass_send_rad_pkt, (0 @ 0) manage @ 95 seconds :: [181.44.17.149]:1042:csntuser (done) manage @ 95 seconds :: [181.44.17.149]:1042:csntuser (start) 95 seconds doing irsass_radius_wait, (0 @ 0) manage @ 95 seconds :: [181.44.17.149]:1042:csntuser (done) manage @ 95 seconds :: [181.44.17.149]:1042:csntuser (start) 95 seconds doing irsass_rad_serv_wait, (0 @ 0) 95 seconds doing irsass_build_pkt_2, (0 @ 0) 96 seconds doing irsass_send_pkt_2, (0 @ 0) manage @ 96 seconds :: [181.44.17.149]:1042:csntuser (done) manage @ 96 seconds :: [181.44.17.149]:1042:csntuser (start) 96 seconds doing irsass_check_timeout, (0 @ 0) 96 seconds doing irsass_check_hash, (0 @ 0) 96 seconds doing irsass_last_op, (0 @ 0) end script: ISAKMP Resp Aggr Shared Secret script for [181.44.17.149]:1042:csntuser, (0 @ 0) next script: ISAKMP primary responder script for [181.44.17.149]:1042:csntuser, (0 @ 0) 96 seconds doing irpri_phase1_done, (0 @ 0) 96 seconds doing irpri_phase1_done, (0 @ 0) 96 seconds doing irpri_start_phase2, (0 @ 0) new script: phase 2 initiator for [181.44.17.149]:1042:csntuser (start) 96 seconds doing iph2_init, (0 @ 0) 96 seconds doing iph2_build_pkt_1, (0 @ 0) 96 seconds doing iph2_send_pkt_1, (0 @ 0) manage @ 96 seconds :: [181.44.17.149]:1042:csntuser (done) manage @ 96 seconds :: [181.44.17.149]:1042:csntuser (start) 96 seconds doing iph2_pkt_2_wait, (0 @ 0) 96 seconds doing ihp2_process_pkt_2, (0 @ 0) 96 seconds doing iph2_build_pkt_3, (0 @ 0) 96 seconds doing iph2_config_SAs, (0 @ 0) 96 seconds doing iph2_send_pkt_3, (0 @ 0) 96 seconds doing iph2_last_op, (0 @ 0) end script: phase 2 initiator for [181.44.17.149]:1042:csntuser, (0 @ 0) next script: ISAKMP primary responder script for [181.44.17.149]:1042:csntuser, (0 @ 0) 96 seconds doing irpri_open_tunnel, (0 @ 0) 96 seconds doing irpri_start_i_maint, (0 @ 0) new script: initiator maintenance for [181.44.17.149]:1042:csntuser (start) 96 seconds doing imnt_init, (0 @ 0) manage @ 96 seconds :: [181.44.17.149]:1042:csntuser (done) <vpn trace dump done, 55 records scanned>
استكشاف الأخطاء وإصلاحها
فيما يلي بعض الأخطاء المحتملة التي قد تواجهها.
يتعذر الوصول إلى خادم NT الآمن من Cisco
تصحيح أخطاء VPN 5000
Notice 359.36 seconds New IKE connection: [181.44.17.149]:1044:csntuser Debug 359.38 seconds Sending RADIUS CHAP challenge to csntuser at 181.44.17.149 Debug 363.18 seconds Received RADIUS challenge resp. From csntuser at 181.44.17.149, contacting server Notice 423.54 seconds <no ifp> (csntuser) reset: RADIUS server never responded.
ما يراه المستخدم:
VPN Server Error (14) User Access Denied
فشل المصادقة
اسم المستخدم أو كلمة المرور على Cisco Secure NT سيئ.
تصحيح أخطاء VPN 5000
Notice 506.42 seconds New IKE connection: [181.44.17.149]:1045:csntuser Debug 506.44 seconds Sending RADIUS CHAP challenge to csntuser at 181.44.17.149 Debug 511.24 seconds Received RADIUS challenge resp. From csntuser at 181.44.17.149, contacting server Debug 511.28 seconds Auth request for csntuser rejected by RADIUS server Notice 511.31 seconds <no ifp> (csntuser) reset due to RADIUS authentication failure.
ما يراه المستخدم:
VPN Server Error (14) User Access Denied
Cisco Secure:
انتقل إلى التقارير والنشاط، ويظهر سجل المحاولات الفاشلة الفشل.
لا توافق كلمة مرور مجموعة VPN التي تم إدخالها بواسطة المستخدم مع كلمة مرور VPN
تصحيح أخطاء VPN 5000
Notice 545.0 seconds New IKE connection: [181.44.17.149]:1046:csntuser Debug 545.6 seconds Sending RADIUS CHAP challenge to csntuser at 181.44.17.149 Debug 550.6 seconds Received RADIUS challenge resp. From csntuser at 181.44.17.149, contacting server
ما يراه المستخدم:
IKE ERROR: Authentication Failed.
Cisco Secure:
انتقل إلى التقارير والنشاط، ولا يعرض سجل المحاولات الفاشلة الفشل.
اسم المجموعة الذي تم إرساله للأسفل بواسطة خادم RADIUS غير موجود على VPN 5000
تصحيح أخطاء VPN 5000
Notice 656.18 seconds New IKE connection: [181.44.17.149]:1047:csntuser Debug 656.24 seconds Sending RADIUS CHAP challenge to csntuser at 181.44.17.149 Debug 660.12 seconds Received RADIUS challenge resp. From csntuser at 181.44.17.149, contacting server Warnin 660.16 seconds User, "csntuser", has an invalid VPN Group config, "junkgroup" Notice 660.20 seconds (csntuser) reset: connection script finished. Notice 660.23 seconds -- reason: S_NO_POLICY (220@772)
ما يراه المستخدم:
VPN Server Error (6): Bad user configuration on IntraPort server.
Cisco Secure:
انتقل إلى التقارير والنشاط، ولا يظهر سجل المحاولات الفاشلة الفشل.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
04-Apr-2008 |
الإصدار الأولي |
التعليقات