网络工程 | Cisco PPP/Radius 认证 + 本地认证 - THRFUR

网络工程 | Cisco PPP/Radius 认证 + 本地认证

NaN

r1#conf t
r1(config)#inter s2/0
r1(config-if)#ip add 192.34.34.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#exit
r1(config)#ip route 0.0.0.0 0.0.0.0 192.34.34.2

r2#conf t
r2(config)#inter s2/0
r2(config-if)#ip add 192.34.34.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#exit
r2(config)#inter e0/0
r2(config-if)#ip add 192.168.34.1 255.255.255.0
r2(config-if)#no shut

配置好r1和r2的IP地址后，用[hl]r1[/hl] ping [hl]云端(radius)[/hl]，检查结果是否为Success

r1#ping 192.168.34.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.34.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/12/15 ms
r1#

开始配置ppp的radius 和本地验证

r2(config)#aaa new-model
// 添加本地账号，后期发送账号信息通过radius验证
r2(config)#username thrfurcom password thrfurcom
// pppAuth 名称随意，group支持两种，一种是radius，一种是local
r2(config)#aaa authentication ppp pppAuth group radius local
r2(config)#radius-server host 192.168.34.2 auth-port 1812 acct-port 1813 key 12345
r2(config)#inter s2/0
r2(config-if)#encapsulation ppp //封装ppp
// 封装后端口会down掉，因为串口另一端没有封装
r2(config-if)#ppp authentication pap pppAuth 
//要求ppp的验证方式为pap，同时把pppAuth加入验证，即radius和local

完成之后，封装r1的串口后就可以开始验证了，首先进行的是radius验证，本地验证随后进行。

r1(config)#inter s2/0
r1(config-if)#encapsulation ppp // 封装
r1(config-if)#ppp pap sent-username thrfur password com  
// 发送radius端添加过的账号信息，通过radius认证。注意不是上文添加的本地身份信息

成功验证账号和密码

如果换一种方法认证，即不对r1的串口封装，直接发送用户和密码到raduis服务器，则会出现新的问题。
注意，需要先把刚才生效的验证信息删掉，因为有缓存记录在radius服务器上

r1(config)#inter s2/0
r1(config-if)#no ppp pap sent-username thrfur password thrfurcom //删除raduis端验证的radius账号信息
r1(config-if)#shutdown

然后发送刚才创建的本地用户身份进行radius验证

r1(config)#inter s2/0
r1(config-if)#ppp pap sent-username thrfurcom password thrfurcom //发送刚才创建的本地身份信息进行radius验证
r1(config-if)#no shut

发送后radius端没反应，no shut后radius验证软件开始出现下面的情况：

4        用户(thrfurcom)认证通过
5        Reason:Unkown username
6        用户(thrfurcom)认证失败
7        Reason:Unkown username
8        用户(thrfurcom)认证失败
.        ......................
.        .....................
.        ......................
.        .....................

情况就是这样，持续的失败。在持续失败的过程中，关闭radius验证软件，此时在终端可看见：

*Apr  5 13:59:06.999: %LINK-3-UPDOWN: Interface Serial2/0, changed state to up

端口在radius验证软件关闭后才up。其实这个时候已经验证通过了，因为使用了本地身份验证。