撥號PPP使用者端的進階RADIUS

下載選項

  • PDF     (236.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (85.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (90.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2008 年 1 月 29 日
文件 ID:10361

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案為撥號PPP使用者端的高級RADIUS提供組態範例。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

設定

本節提供用於設定本文件中所述功能的資訊。

註:使Command Lookup Tool(僅限註冊客戶)查詢有關本文檔中使用的命令的更多資訊。

網路圖表

本檔案會使用以下網路設定:

advancedradius-1.gif

疑難排解技術筆記

開始之前,請確保撥入工作正常。一旦數據機可以在本地連線並進行身份驗證,請開啟RADIUS。然後,測試身份驗證以驗證使用者是否可以通過RADIUS連線和身份驗證並開啟授權。

組態

本檔案會使用以下設定:

NAS 
version 11.2
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname nasX
!
aaa new-model
aaa authentication login default radius local
aaa authentication login no_radius enable
aaa authentication ppp default if-needed radius
aaa authorization network radius
aaa accounting exec start-stop radius
aaa accounting network start-stop radius
!
enable password cisco
!
username cisco password letmein
ip subnet-zero
no ip domain-lookup
ip name-server 10.6.1.1
async-bootp dns-server 10.1.1.3
async-bootp nbns-server 10.1.1.24
!
interface Ethernet0/0
 ip address 10.1.1.21 255.255.255.0
 no keepalive
!
interface Serial0/0
 no ip address
 shutdown
!
interface Ethernet0/1
 no ip address
 shutdown
!
interface Serial1/0
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/1
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/2
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/3
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/4
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/5
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/6
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Serial1/7
 physical-layer async
 no ip address
 encapsulation ppp
 async default routing
 async mode interactive
 dialer in-band
 dialer rotary-group 0
 no cdp enable
!
interface Dialer0
 ip unnumbered Ethernet0/0
 ip tcp header-compression passive
 encapsulation ppp
 peer default ip address pool Cisco3640-Group-120
 dialer in-band
 dialer-group 1
 no cdp enable
 ppp authentication pap
!
router rip
 version 2
 redistribute connected
 network 10.1.1.0
 no auto-summary
!
ip local pool Cisco3640-Group-120 10.1.1.80 10.1.1.88
no ip classless
ip http server
!
dialer-list 1 protocol ip permit
dialer-list 1 protocol appletalk permit
!

!--- The following two lines are for the RADIUS server; the first is for the !--- RADIUS being used for authentication but not accounting. In the second, !--- accounting information is sent, too, but not authenticating. !--- If you wish accounting to go to the first, change the 0 to 1646.

!
radius-server host 10.1.1.3 auth-port 1645 acct-port 0
radius-server host 10.1.1.5 auth-port 0 acct-port 1646
radius-server key cisco
!
line con 0
 exec-timeout 0 0
 login authentication no_radius
line 17 24
 autoselect during-login
 autoselect ppp
 modem InOut
 transport input all
 stopbits 1
 speed 57600
 flowcontrol hardware
line aux 0
line vty 0 4
 exec-timeout 0 0
end

客戶端檔案(在伺服器上) 

!--- Note: This assumes Livingston RADIUS.

# Handshake with router--router needs "radius-server key cisco":
10.1.1.21 cisco

使用者檔案(在伺服器上) 

!--- Note: This assumes Livingston RADIUS.

# User who can telnet in to configure:
admin Password = "admin"
User-Service-Type = Login-User
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user gets an IP address from a pool on the router.
chapuser Password = "chapuser"
User-Service-Type = Framed-User,
Framed-Protocol = PPP
# ppp/chap authentication line 1 - password must be cleartext per chap spec
#
# This user has a statically assigned IP address
chapadd Password = "chapadd"
User-Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 10.10.10.10

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

使用本節內容,對組態進行疑難排解。

疑難排解指令

附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊

  • debug ppp negotiation — 確定客戶端是否正在通過PPP協商;這是當您檢查地址協商時。

  • debug ppp authentication — 確定客戶端是否通過身份驗證。如果您使用的是Cisco IOS®軟體版本11.2之前的版本,請改為發出debug ppp chap命令。

  • debug ppp error — 顯示與PPP連線協商和操作相關的協定錯誤和錯誤統計資訊。

  • debug aaa authentication — 確定使用哪種方法進行身份驗證(應該是RADIUS,除非RADIUS伺服器已關閉),以及使用者是否正在傳遞身份驗證。

  • debug aaa authorization — 確定用於授權的方法以及使用者是否正在傳遞它。

  • debug aaa accounting — 觀察傳送的記帳記錄。

  • debug radius — 觀察與伺服器交換的使用者屬性。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
29-Jan-2008
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品