配置用于Windows

路由器PPTP认证的CiscoSecureACS目录简介先决条件要求使用的组件规则网络图路由器配置RADIUS服务器Fallback功能CiscoSecureACSforWindows配置添加到配置添加加密服务器的静态IP地址分配将访问列表添加到服务器添加记帐分割隧道验证故障排除故障排除命令成功调试输出示例相关信息简介点对点隧道协议(PPTP)支持被添加了到在Cisco7100及7200平台(与Microsoft点对点加密(MPPE)[CiscoIOS软件版本12.
0])的参考的PPTP的CiscoIOS软件版本12.
0.
5.
xe5.
更多平台的支持在CiscoIOS软件版本12.
1.
5.
T(参考的MSCHAP版本2)被添加了.
RFC2637描述PPTP.
即,用PPTP术语,根据RFC,PPTP访问集线器(PAC)是客户端(PC呼叫方),并且PPTP网络服务器(PNS)是服务器(路由器,被呼叫端).
本文假设,对路由器的PPTP连接有本地微软询问握手认证协议V1验证(和或者MPPE的,要求MS-CHAPV1)创建与使用这些文档并且已经是可操作的.
RADIUS为MPPE加密支持要求.
TACACS+为不是验证,但是MPPE密钥工作.
MS-CHAPV2支持被添加了到CiscoIOS软件版本12.
2(2)xb5和集成到CiscoIOS软件版本12.
2(13)T(参考的MSCHAP版本2),然而,MPPE没有用MS-CHAPV2支持自.
此配置示例展示如何设置PC连接到路由器(在10.
66.
79.
99),然后提供用户认证给思科安全访问控制系统(ACS)4.
2为Windows服务器(在10.
66.
79.
120),在您允许用户到网络前.
注意:RADIUS服务器通常不是除了在实验室环境的路由器的外部.
PPTP支持被添加了到CiscoSecureACS2.
5,但是可能不与路由器一起使用由于CiscoBugIDCSCds92266(仅限注册用户).
ACS2.
6及以后没有此问题.
CiscoSecureUNIX不支持MPPE.
与MPPE支持的其他两个RADIUS应用程序包括MicrosoftRADIUS和FunkRADIUS.
参考配置使用PPTP和MPPE的Cisco路由器和VPN客户端关于如何配置PPTP和MPPE的更多信息用路由器.
参考配置VPN3000集中器和PPTP与CiscoSecureACSforWindowsRADIUS验证关于如何配置PPTP的更多信息在VPN3000集中器有CiscoSecureACSforWindows的RADIUS验证的.
要了解有关CiscoPIX安全设备运行软件版本6.
x的相同方案的详细信息,请参阅PIX6.
x:与RADIUS验证配置示例的PPTP为了配置对PIX的PPTP连接.
先决条件要求本文档没有任何特定的前提条件.
使用的组件本文档中的信息基于以下软件和硬件版本:Windows的CiscoSecureACS4.
2qCisco3600路由器qCiscoIOS软件版本12.
4(3)q本文档中的信息都是基于特定实验室环境中的设备创建的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果是在真实网络,请保证您了解所有命令潜在影响,在您使用它前.

规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
网络图本文档使用以下网络设置:路由器配置请使用此路由器配置.
用户应该能连接"usernamejohnpassworddoe",即使RADIUS服务器是不可得到的(是可能的,如果服务器未配置与CiscoSecureACS).
此示例假设该本地认证(并且,或者,加密)已经是可操作的.
Cisco3600路由器Currentconfiguration:1729bytes!
version12.
4servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecnoservicepassword-encryption!
hostnamemoss!
boot-start-markerboot-end-marker!
enablepasswordcisco!
usernamejohnpassword0doeaaanew-model!
aaaauthenticationpppdefaultgroupradiuslocalaaaauthenticationlogindefaultlocal!
---Inordertosetauthentication,authorization,andaccounting(AAA)authentication!
---atlogin,usetheaaaauthenticationlogincommandinglobal!
---configurationmodeasshownabove.
aaaauthorizationnetworkdefaultgroupradiusif-authenticatedaaasession-idcommonipsubnet-zero!
ipauditnotifylogipauditpomax-events100vpdnenable!
vpdn-group1!
---DefaultPPTPVPDNgroup.
accept-dialinprotocolpptpvirtual-template1!
noftp-serverwrite-enable!
novoicehpicapturebuffernovoicehpicapturedestination!
interfaceEthernet0/0ipaddress10.
1.
1.
1255.
255.
255.
0half-duplex!
interfaceEthernet0/1ipaddress10.
66.
79.
99255.
255.
255.
224half-duplex!
interfaceVirtual-Template1ipunnumberedEthernet0/1peerdefaultipaddresspooltestpoolpppauthenticationms-chap!
iplocalpooltestpool192.
168.
1.
1192.
168.
1.
254iphttpservernoiphttpsecure-serveripclasslessiproute0.
0.
0.
00.
0.
0.
010.
66.
79.
97!
radius-serverhost10.
66.
79.
120auth-port1645acct-port1646radius-serverretransmit3radius-serverkeycisco!
linecon0lineaux0linevty04passwordcisco!
endRADIUS服务器Fallback功能当主要的RADIUS服务器不可用时,路由器将故障切换到下个有效的备份RADIUS服务器.
路由器将始终继续使用辅助RADIUS服务器,即使主服务器可用也是如此.
通常主服务器是高性能和首选的服务器.
为了设置验证、授权和统计(AAA)验证在登录,请使用aaaauthenticationlogin命令在全局配置模式.
CiscoSecureACSforWindows配置使用此步骤配置CiscoSecureACS:当你完成的时候,请点击网络配置,添加路由器的一个条目,并且点击Submit+Restart.

1.
选择InterfaceConfiguration>RADIUS(Microsoft),然后检查您的MPPE属性并且单击提交.
2.
点击组建立和服务类型的,选择成帧.
对于帧协议,挑选PPP和单击提交.
3.
在组建立,请检查MS-MPPERADIUS信息和,当您执行时,点击Submit+Restart.
4.
点击用户设置,添加密码,分配用户到组并且单击提交.
5.
对路由器的测验验证,在您添加加密前.
如果验证不工作,请参阅本文的Troubleshoot部分.

6.
添加到配置添加加密您能添加MPPE加密用此命令:interfacevirtual-template1(config-if)#pppencryptmppe40|128|autopassive|required|stateful由于示例假设,加密与本地认证(在路由器的用户名和密码一起使用),PC适当地配置.
您能当前添加此命令允许最大的灵活性:pppencryptmppeauto服务器的静态IP地址分配如果需要分配特定IP地址给用户,在ACS用户设置,请选择分配静态IP地址并且填写IP地址.