目次
概要
PPPの認証の設定をAAAによって行うための設定例について解説します。
ネットワーク構成
設定条件
- R1でPPP CHAP認証を有効にします。認証のためにAAA認証メソッドリスト「PPP」 を作成します。
- 認証はRADIUSサーバを最初に参照します。RADIUSサーバを利用できなければ、ローカルユーザデータベースによる認証を行います。
- RADIUSサーバとして、192.168.1.100 キー「cisco」を設定します。
初期設定
- R1
ホスト名
PPPカプセル化
IPアドレス - R2
ホスト名
PPPカプセル化/CHAP認証
IPアドレス
R1
hostname R1 ! interface Serial0/0 ip address 192.168.12.1 255.255.255.0 encapsulation ppp
R2
hostname R2 ! username R1 password 0 cisco ! interface Serial0/0 ip address 192.168.12.2 255.255.255.252 encapsulation ppp ppp authentication chap
設定と確認
【Step1:AAAの有効化】
AAA認証を行うには、まず、aaa new-modelコマンドでAAAを有効化します。
R1
aaa new-model
【Step2:認証メソッドリストの設定】
PPPの認証に利用する認証メソッドリストを設定します。リストの名前は「PPP」とします。また、認証メソッドは、RADIUSサーバとローカルの順番で設定します。
R1
aaa authentication ppp PPP group radius local
【Step3:認証メソッドリストの適用】
Step2で作成した認証メソッドリストをPPP認証時に利用するように適用します。そのために、以下のようにppp authentication chapコマンドのあとに認証メソッドリスト名を指定します。
R1
interface Serial0/0 ppp authentication chap PPP
【Step4:RADIUSサーバの設定】
RADIUSサーバのIPアドレスとキーを設定します。
R1
radius-server host 192.168.1.100 key cisco
【Step5:ローカルユーザデータベースの設定】
RADIUSサーバが利用できない場合に利用するユーザ名/パスワードをローカルに設定します。
R1
username R2 password cisco
【Step5:認証の確認】
debug aaa authenticationおよびdebug ppp authenticationでデバッグを有効にしながら、Se0/0をshutdown → no shutdown します。
R1
R1#debug aaa authentication AAA Authentication debugging is on R1#debug ppp authentication PPP authentication debugging is on R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#int se 0/0 R1(config-if)#shutdown *Mar 1 00:20:33.691: %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down *Mar 1 00:20:34.691: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down R1(config-if)#no shutdown R1(config-if)# *Mar 1 00:20:38.935: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up *Mar 1 00:20:38.943: AAA/BIND(0000010B): Bind i/f Serial0/0 *Mar 1 00:20:38.951: Se0/0 PPP: Using default call direction *Mar 1 00:20:38.955: Se0/0 PPP: Treating connection as a dedicated line *Mar 1 00:20:38.955: Se0/0 PPP: Session handle[A8000109] Session id[265] *Mar 1 00:20:38.959: Se0/0 PPP: Authorization NOT required *Mar 1 00:20:38.991: Se0/0 CHAP: O CHALLENGE id 3 len 23 from "R1" *Mar 1 00:20:39.011: Se0/0 CHAP: I CHALLENGE id 9 len 23 from "R2" *Mar 1 00:20:39.015: AAA/AUTHEN/PPP (0000010B): Pick method list 'PPP' *Mar 1 00:20:39.023: Se0/0 CHAP: Using hostname from unknown source *Mar 1 00:20:39.023: Se0/0 CHAP: Using password from AAA R1(config-if)# *Mar 1 00:20:39.023: Se0/0 CHAP: O RESPONSE id 9 len 23 from "R1" *Mar 1 00:20:39.027: Se0/0 CHAP: I RESPONSE id 3 len 23 from "R2" *Mar 1 00:20:39.031: AAA/AUTHEN/PPP (0000010B): Pick method list 'PPP' *Mar 1 00:20:39.031: Se0/0 PPP: Sent CHAP LOGIN Request *Mar 1 00:20:39.047: Se0/0 CHAP: I SUCCESS id 9 len 4 R1(config-if)# *Mar 1 00:20:48.215: %RADIUS-4-RADIUS_DEAD: RADIUS server 192.168.1.100:1645,1646 is not responding. *Mar 1 00:20:48.223: %RADIUS-4-RADIUS_ALIVE: RADIUS server 192.168.1.100:1645,1646 is being marked alive. R1(config-if)# *Mar 1 00:20:48.991: Se0/0 AUTH: Timeout 1 *Mar 1 00:20:49.011: Se0/0 CHAP: I RESPONSE id 3 len 23 from "R2" *Mar 1 00:20:49.011: Se0/0 CHAP: Ignoring Additional Response R1(config-if)# *Mar 1 00:20:57.635: Se0/0 PPP: Received LOGIN Response PASS *Mar 1 00:20:57.643: Se0/0 CHAP: O SUCCESS id 3 len 4 R1(config-if)# *Mar 1 00:20:58.643: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up
また、show interface serial 0/0をみると、LCP openとなり、認証が成功してup/upとなっていることがわかります。
R1
R1#show interfaces serial 0/0 Serial0/0 is up, line protocol is up Hardware is M4T Internet address is 192.168.12.1/24 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: IPCP, CDPCP, crc 16, loopback not set Keepalive set (10 sec) ~省略~
WAN(Wide Area Network)
- WANの概要 ~拠点のLAN同士を相互接続~
- WANのトポロジ
- DCEとDTE ~WANサービスへの接続~
- 専用線の概要
- バックツーバック接続 ~シリアルインタフェース同士を直結~
- IP-VPNの概要 ~IP-VPNは巨大なルータ~
- IP-VPNの仕組み ~MPLS-VPN~
- 広域イーサネットの概要 ~広域イーサネットは巨大なレイヤ2スイッチ~
- [PPP] マルチリンクPPPの設定例
- [PPP] peer neighbor route ケーススタディ
- [PPP] IPCPによるIPアドレス割り当てケーススタディ Part1
- [PPP] IPCPによるIPアドレス割り当てケーススタディ Part2
- [PPP] MPPEによる暗号化 ケーススタディ
- [PPP] AAAによるPPP認証の設定
- Cisco ISDNダイアラーウォッチの設定例