使用外部认证配置 Cisco VPN 5000 集中器到 Microsoft Windows 2000 IAS RADIUS 服务器的连接

下载选项

  • PDF     (730.9 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (488.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (509.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2008 年 5 月 2 日
文档 ID:12491

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍用于将带有外部身份验证的Cisco VPN 5000集中器配置到带RADIUS的Microsoft Windows 2000 Internet身份验证服务器(IAS)的过程。

注意:质询握手身份验证协议(CHAP)不起作用。仅使用密码身份验证协议(PAP)。有关详细信息,请参阅Cisco Bug ID CSCdt96941(仅限注册客户)。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件版本:

  • Cisco VPN 5000 集中器软件版本 6.0.16.0001

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文件规则的更多信息请参见“ Cisco技术提示规则”。

Cisco VPN 5000 集中器配置

VPN5001_4B9CBA80 
VPN5001_4B9CBA80> show config
Enter Password:

Edited Configuration not Present, using Running

[ General ]
EthernetAddress          = 00:02:4b:9c:ba:80
DeviceType               = VPN 5001 Concentrator
ConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from Console
EnablePassword           =
Password                 =
 
[ IP Ethernet 0 ]
Mode                     = Routed
SubnetMask               = 255.255.255.0
IPAddress                = 172.18.124.223
 
[ IP Ethernet 1 ]
Mode                     = Off
 
[ IKE Policy ]
Protection               = MD5_DES_G1

[ VPN Group "rtp-group" ]
BindTo                   = "ethernet0"
Transform                = esp(md5,des)
LocalIPNet               = 10.1.1.0/24
MaxConnections           = 10
IPNet                    = 0.0.0.0/0
 
[ RADIUS ]
BindTo                   = "ethernet0"
ChallengeType            = PAP
PAPAuthSecret            = "pappassword"
PrimAddress              = "172.18.124.108"
Secret                   = "radiuspassword"
UseChap16                = Off
Authentication           = On

[ Logging ]
Level                    = 7
Enabled                  = On
 
Configuration size is 1065 out of 65500 bytes.
VPN5001_4B9CBA80#

配置Microsoft Windows 2000 IAS RADIUS服务器

这些步骤将引导您完成简单的Microsoft Windows 2000 IAS RADIUS服务器配置。

  1. 在Microsoft Windows 2000 IAS属性下,选择Clients并创建一个新客户端。

    在本示例中,创建了一个名为VPN5000的条目。Cisco VPN 5000集中器的IP地址是172.18.124.223。在Client-Vendor下拉框下,选择Cisco。共享密钥是VPN集中器配置的[ RADIUS ]部分中的密钥。

    vpn5k-msias-a.gif

  2. 在Remote Access Policy的属性下,选择“If an user matches the conditions”部分下的Grant remote access permission,然后单击Edit Profile

    vpn5k-msias-b.gif

  3. 点击Authentication选项卡,并确保仅选择Unencrypted Authentication(PAP, SPAP)。

    vpn5k-msias-c.gif

  4. 选择Advanced选项卡,单击Add,然后选择Vendor-Specific

    vpn5k-msias-d.gif

  5. 在Vendor-Specific属性的Multivalued Attribute Information对话框下,单击Add以转到Vendor-Specific Attribute Information对话框。选择Enter Vendor Code,然后在相邻的框中输入255。然后,选择它符合并点击配置属性

    vpn5k-msias-e.gif

  6. 在Configure VSA(RFC compliant)对话框中,输入4作为Vendor-assigned属性编号,输入String作为Attribute格式,输入rtp-group(Cisco VPN 5000集中器中的VPN组的名称)作为Attribute值。单击OK并重复步骤5。

    vpn5k-msias-f.gif

  7. 在Configure VSA(RFC compliant)对话框中,输入4作为Vendor-assigned attribute number,输入String作为Attribute格式,输入cisco123(客户端共享密钥)作为Attribute值。Click OK.

    vpn5k-msias-g.gif

  8. 您会看到Vendor-Specific属性包含两个值(组和VPN密码)。

    vpn5k-msias-h.gif

  9. 在用户属性下,点击Dial-in选项卡,并确保选中Control access through Remote Access Policy

    vpn5k-msias-i.gif

检验结果

本部分提供了可用于确认您的配置是否正常运行的信息。

命令输出解释程序工具(仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

  • show radius statistics — 显示VPN集中器与由RADIUS部分标识的默认RADIUS服务器之间通信的数据包统计信息。

  • show radius config — 显示RADIUS参数的当前设置。

这是show radius statistics命令的输出。

VPN5001_4B9CBA80>show radius statistics

RADIUS Stats

Accounting            Primary       Secondary
Requests                 0             na
Responses                0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na


Authentication        Primary       Secondary
Requests                 3             na
Accepts                  3             na
Rejects                  0             na
Challenges               0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na

 

VPN5001_4B9CBA80>

这是show radius config命令的输出。

RADIUS           State    UDP  CHAP16
Authentication   On      1812  No
Accounting       Off     1813  n/a
Secret           'radiuspassword'

Server     IP address      Attempts  AcctSecret
Primary    172.18.124.108         5  n/a
Secondary  Off

配置 VPN 客户端

此过程将指导您完成VPN客户端的配置。

  1. 从VPN Client对话框中,选择Configuration选项卡。接下来,从VPN Client-Prompt for Secret对话框中,在VPN Server下输入共享密钥。VPN客户端共享密钥是在VPN集中器中为属性5的VPN密码输入的值。

    vpn5k-msias-j.gif

  2. 输入共享密钥后,系统将提示您输入口令和身份验证密钥。密码是该用户的RADIUS密码,身份验证密钥是VPN集中器的[ RADIUS ]部分中的PAP身份验证密钥

    vpn5k-msias-k.gif

集中器日志 

Notice   4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar
Debug    4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108
Debug    4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server
Notice   4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108.
Debug    4088.8 seconds Client's local broadcast address = 172.18.124.255
Notice   4088.8 seconds User assigned IP address 10.1.1.1
Info     4094.49 seconds Command loop started from 10.1.1.1 on PTY2

故障排除

目前没有针对此配置的故障排除信息。

相关信息

修订历史记录

版本 发布日期 备注
1.0
07-Dec-2001
初始版本

此文档是否有帮助?

Feedback反馈

联系我们