Erweitertes RADIUS für DFÜ-PPP-Clients

Download-Optionen

PDF (206.6 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (87.9 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (93.2 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:29. Januar 2008

Dokument-ID:10361

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einführung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Konfigurieren

Netzwerkdiagramm

Konfigurationshinweise

Konfigurationen

Überprüfen

Fehlerbehebung

Befehle zur Fehlerbehebung

Zugehörige Informationen

Einführung

Dieses Dokument enthält eine Beispielkonfiguration für erweiterte RADIUS-Funktionen für DFÜ-PPP-Clients.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Konfigurationshinweise

Bevor Sie beginnen, stellen Sie sicher, dass die Einwahl funktioniert. Sobald das Modem eine Verbindung herstellen und sich lokal authentifizieren kann, aktivieren Sie RADIUS. Testen Sie anschließend die Authentifizierung, um sicherzustellen, dass ein Benutzer über RADIUS eine Verbindung herstellen, authentifizieren und die Autorisierung aktivieren kann.

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

NAS
Client-Datei (auf Server)
Benutzerdatei (auf Server)

NAS
version 11.2 service timestamps debug datetime msec service timestamps log uptime service password-encryption no service udp-small-servers no service tcp-small-servers ! hostname nasX ! aaa new-model aaa authentication login default radius local aaa authentication login no_radius enable aaa authentication ppp default if-needed radius aaa authorization network radius aaa accounting exec start-stop radius aaa accounting network start-stop radius ! enable password cisco ! username cisco password letmein ip subnet-zero no ip domain-lookup ip name-server 10.6.1.1 async-bootp dns-server 10.1.1.3 async-bootp nbns-server 10.1.1.24 ! interface Ethernet0/0 ip address 10.1.1.21 255.255.255.0 no keepalive ! interface Serial0/0 no ip address shutdown ! interface Ethernet0/1 no ip address shutdown ! interface Serial1/0 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/1 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/2 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/3 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/4 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/5 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/6 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Serial1/7 physical-layer async no ip address encapsulation ppp async default routing async mode interactive dialer in-band dialer rotary-group 0 no cdp enable ! interface Dialer0 ip unnumbered Ethernet0/0 ip tcp header-compression passive encapsulation ppp peer default ip address pool Cisco3640-Group-120 dialer in-band dialer-group 1 no cdp enable ppp authentication pap ! router rip version 2 redistribute connected network 10.1.1.0 no auto-summary ! ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88 no ip classless ip http server ! dialer-list 1 protocol ip permit dialer-list 1 protocol appletalk permit ! !--- The following two lines are for the RADIUS server; the first is for the !--- RADIUS being used for authentication but not accounting. In the second, !--- accounting information is sent, too, but not authenticating. !--- If you wish accounting to go to the first, change the 0 to 1646. ! radius-server host 10.1.1.3 auth-port 1645 acct-port 0 radius-server host 10.1.1.5 auth-port 0 acct-port 1646 radius-server key cisco ! line con 0 exec-timeout 0 0 login authentication no_radius line 17 24 autoselect during-login autoselect ppp modem InOut transport input all stopbits 1 speed 57600 flowcontrol hardware line aux 0 line vty 0 4 exec-timeout 0 0 end

NAS

version 11.2
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname nasX
!
aaa new-model
aaa authentication login default radius local
aaa authentication login no_radius enable
aaa authentication ppp default if-needed radius
aaa authorization network radius
aaa accounting exec start-stop radius
aaa accounting network start-stop radius
!
enable password cisco
!
username cisco password letmein
ip subnet-zero
no ip domain-lookup
ip name-server 10.6.1.1
async-bootp dns-server 10.1.1.3
async-bootp nbns-server 10.1.1.24
!
interface Ethernet0/0
 ip address 10.1.1.21 255.255.255.0
 no keepalive
!
interface Serial0/0
 no ip address
 shutdown
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Serial1/0
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/1
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/2
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/3
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/4
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/5
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/6
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/7
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Dialer0
 ip unnumbered Ethernet0/0
 ip tcp header-compression passive
 encapsulation ppp
 peer default ip address pool Cisco3640-Group-120
 dialer in-band
 dialer-group 1
 no cdp enable
 ppp authentication pap
!
router rip
 version 2
 redistribute connected
 network 10.1.1.0
 no auto-summary
!
ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88
no ip classless
ip http server
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol appletalk permit
!

!--- The following two lines are for the RADIUS server; the first is for the !--- RADIUS being used for authentication but not accounting. In the second, !--- accounting information is sent, too, but not authenticating. !--- If you wish accounting to go to the first, change the 0 to 1646.

!
radius-server host 10.1.1.3 auth-port 1645 acct-port 0
radius-server host 10.1.1.5 auth-port 0 acct-port 1646
radius-server key cisco
!
line con 0
 exec-timeout 0 0
 login authentication no_radius
line 17 24
 autoselect during-login
 autoselect ppp
 modem InOut
 transport input all
 stopbits 1
 speed 57600
 flowcontrol hardware
line aux 0
line vty 0 4
 exec-timeout 0 0
end

Client-Datei (auf Server)
!--- Note:* This assumes Livingston RADIUS.* # Handshake with router--router needs "radius-server key cisco": 10.1.1.21 cisco

Benutzerdatei (auf Server)
!--- Note:* This assumes Livingston RADIUS.* # User who can telnet in to configure: admin Password = "admin" User-Service-Type = Login-User # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user gets an IP address from a pool on the router. chapuser Password = "chapuser" User-Service-Type = Framed-User, Framed-Protocol = PPP # ppp/chap authentication line 1 - password must be cleartext per chap spec # # This user has a statically assigned IP address chapadd Password = "chapadd" User-Service-Type = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.10.10.10

Benutzerdatei (auf Server)


!--- Note: This assumes Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user gets an IP address from a pool on the router.
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user has a statically assigned IP address
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

debug ppp negotiation - So bestimmen Sie, ob ein Client PPP-Aushandlung übergibt. Dies geschieht, wenn Sie nach Adressverhandlung suchen.
debug ppp authentication - So bestimmen Sie, ob ein Client die Authentifizierung übergibt. Wenn Sie eine Version vor der Cisco IOS® Software-Version 11.2 verwenden, führen Sie stattdessen den Befehl debug ppp chap aus.
debug ppp error - So zeigen Sie Protokollfehler und Fehlerstatistiken an, die mit der Verhandlung und dem Betrieb einer PPP-Verbindung verknüpft sind.
debug aaa authentication: Bestimmen Sie, welche Authentifizierungsmethode verwendet wird (die RADIUS sein sollte, sofern der RADIUS-Server nicht ausgefallen ist) und ob die Benutzer die Authentifizierung bestehen.
debug aaa authorized - So bestimmen Sie, welche Methode für die Autorisierung verwendet wird und ob die Benutzer sie übergeben.
debug aaa accounting - Zum Überprüfen von versendeten Accounting-Datensätzen.
Debug-Radius - Zum Überwachen von Benutzerattributen, die mit dem Server ausgetauscht werden.