Configuración de un Concentrador VPN 5000 de Cisco con autenticación externa en un servidor IAS RADIUS de Microsoft Windows 2000.

Opciones de descarga

  • PDF     (588.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (496.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (517.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:2 de mayo de 2008
ID del documento:12491

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe los procedimientos utilizados para configurar un Concentrador VPN 5000 de Cisco con autenticación externa para un Servidor de autenticación de Internet (IAS) de Microsoft Windows 2000 con RADIUS.

Nota: El protocolo de autenticación por desafío mutuo (CHAP) no funciona. Utilice sólo el protocolo de autenticación de contraseña (PAP). Consulte Cisco bug ID CSCdt96941 (sólo clientes registrados) para obtener más detalles.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en esta versión del software:

  • Software Concentrador Cisco VPN 5000 Versión 6.0.16.0001

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configuración del concentrador VPN 5000 de Cisco

VPN5001_4B9CBA80 
VPN5001_4B9CBA80> show config
Enter Password:

Edited Configuration not Present, using Running

[ General ]
EthernetAddress          = 00:02:4b:9c:ba:80
DeviceType               = VPN 5001 Concentrator
ConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from Console
EnablePassword           =
Password                 =
 
[ IP Ethernet 0 ]
Mode                     = Routed
SubnetMask               = 255.255.255.0
IPAddress                = 172.18.124.223
 
[ IP Ethernet 1 ]
Mode                     = Off
 
[ IKE Policy ]
Protection               = MD5_DES_G1

[ VPN Group "rtp-group" ]
BindTo                   = "ethernet0"
Transform                = esp(md5,des)
LocalIPNet               = 10.1.1.0/24
MaxConnections           = 10
IPNet                    = 0.0.0.0/0
 
[ RADIUS ]
BindTo                   = "ethernet0"
ChallengeType            = PAP
PAPAuthSecret            = "pappassword"
PrimAddress              = "172.18.124.108"
Secret                   = "radiuspassword"
UseChap16                = Off
Authentication           = On

[ Logging ]
Level                    = 7
Enabled                  = On
 
Configuration size is 1065 out of 65500 bytes.
VPN5001_4B9CBA80#

Configurar el servidor RADIUS de Microsoft Windows 2000 IAS

Estos pasos le guiarán a través de una configuración sencilla del servidor RADIUS de Microsoft Windows 2000 IAS.

  1. En las propiedades de IAS de Microsoft Windows 2000, seleccione Clientes y cree un nuevo cliente.

    En este ejemplo, se crea una entrada denominada VPN5000. La dirección IP del concentrador Cisco VPN 5000 es 172.18.124.223. En el cuadro desplegable Cliente-Proveedor, seleccione Cisco. El secreto compartido es el secreto de la sección [ RADIUS ] de la configuración del Concentrador VPN.

    vpn5k-msias-a.gif

  2. En las propiedades de la directiva de acceso remoto, seleccione Conceder permiso de acceso remoto en la sección "Si un usuario cumple las condiciones" y, a continuación, haga clic en Editar perfil.

    vpn5k-msias-b.gif

  3. Haga clic en la ficha Autenticación y asegúrese de que sólo está seleccionada la opción Autenticación sin cifrar (PAP, SPAP).

    vpn5k-msias-c.gif

  4. Seleccione la ficha Advanced, haga clic en Add y seleccione Vendor-Specific.

    vpn5k-msias-d.gif

  5. En el cuadro de diálogo Información de atributos multivalor para el atributo Específico del proveedor, haga clic en Agregar para ir al cuadro de diálogo Información de atributos específicos del proveedor. Seleccione Enter Vendor Code e ingrese 255 en el cuadro adyacente. A continuación, seleccione Yes (Sí). Se ajusta y haga clic en Configurar atributo.

    vpn5k-msias-e.gif

  6. En el cuadro de diálogo Configure VSA (RFC compliance), ingrese 4 para el número de atributo asignado por el Proveedor, ingrese String para el formato del Atributo y ingrese rtp-group (nombre del Grupo VPN en el Concentrador Cisco VPN 5000) para el valor del Atributo. Haga clic en Aceptar y repita el paso 5.

    vpn5k-msias-f.gif

  7. En el cuadro de diálogo Configurar VSA (RFC compatible), introduzca 4 para el número de atributo asignado por el proveedor, introduzca String para el formato de atributo y escriba cisco123 (el secreto compartido del cliente) para el valor de atributo. Click OK.

    vpn5k-msias-g.gif

  8. Verá que el atributo Vendor-Specific contiene dos valores (group y VPN password).

    vpn5k-msias-h.gif

  9. En sus propiedades de usuario, haga clic en la ficha Marcado de entrada y asegúrese de que la opción Controlar el acceso a través de la directiva de acceso remoto está seleccionada.

    vpn5k-msias-i.gif

Verificar el resultado

Esta sección proporciona información que puede utilizar para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

  • show radius statistics—Muestra estadísticas de paquetes para la comunicación entre el Concentrador VPN y el servidor RADIUS predeterminado identificado por la sección RADIUS.

  • show radius config: muestra la configuración actual de los parámetros RADIUS.

Ésta es la salida del comando show radius statistics.

VPN5001_4B9CBA80>show radius statistics

RADIUS Stats

Accounting            Primary       Secondary
Requests                 0             na
Responses                0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na


Authentication        Primary       Secondary
Requests                 3             na
Accepts                  3             na
Rejects                  0             na
Challenges               0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na

 

VPN5001_4B9CBA80>

Ésta es la salida del comando show radius config.

RADIUS           State    UDP  CHAP16
Authentication   On      1812  No
Accounting       Off     1813  n/a
Secret           'radiuspassword'

Server     IP address      Attempts  AcctSecret
Primary    172.18.124.108         5  n/a
Secondary  Off

Configure el cliente VPN

Este procedimiento le guía a través de la configuración del cliente VPN.

  1. En el cuadro de diálogo Cliente VPN, seleccione la ficha Configuración. A continuación, en el cuadro de diálogo VPN Client-Prompt for Secret, introduzca el secreto compartido en VPN Server. El secreto compartido del cliente VPN es el valor ingresado para la contraseña VPN del atributo 5 en el concentrador VPN.

    vpn5k-msias-j.gif

  2. Después de introducir el secreto compartido, se le solicitará una contraseña y un secreto de autenticación. La contraseña es su contraseña RADIUS para ese usuario, y el secreto de autenticación es el secreto de autenticación PAP en la sección [ RADIUS ] del Concentrador VPN.

    vpn5k-msias-k.gif

“Registros del concentrador” 

Notice   4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar
Debug    4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108
Debug    4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server
Notice   4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108.
Debug    4088.8 seconds Client's local broadcast address = 172.18.124.255
Notice   4088.8 seconds User assigned IP address 10.1.1.1
Info     4094.49 seconds Command loop started from 10.1.1.1 on PTY2

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
07-Dec-2001
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco