Cisco VRFを利用したRadius認証Config雛形

2007.03.20 Author: hoge

Cisco VRFネタです。

真面目にネットワークを語る。 (うひっ)

<条件>
下位ネットワークにユーザPCが居て、上位ネットワークにある、
Radiusサーバに対して認証要求を出し、認証されたら上位へ通信転送する。

これは通信事業者がよく使う設定方法であり、
VRFという技術を使用することで実現が可能となる。
今回は、あくまでもVRFの設定に触れるものであり、
アクセス回線側設定については回避させていただく。

<設定雛形>
!
aaa group server radius hoge-hoge-auth
server-private 192.168.1.25 auth-port 1645 acct-port 0 key hogehoge
server-private 192.168.1.26 auth-port 1645 acct-port 0 key hogehoge
!
ip vrf forwarding vrf-hoge-hoge
deadtime 3
!
aaa group server radius hoge-hoge-acct
server-private 192.168.1.25 auth-port 0 acct-port 1646 key hogehoge
server-private 192.168.1.26 auth-port 0 acct-port 1646 key hogehoge
accounting reject TunnelTypeDeny
ip vrf forwarding vrf-hoge-hoge
deadtime 3
!
aaa authentication ppp hoge-hoge-authlist group hoge-hoge-auth
aaa authorization network hoge-hoge-autholist group hoge-hoge-auth
aaa accounting delay-start vrf vrf-hoge-hoge
!
aaa accounting network hoge-hoge-acctlist start-stop group hoge-hoge-acct
aaa accounting system default vrf vrf-hoge-hoge start-stop group hoge-hoge-acct
!
ip vrf vrf-hoge-hoge
rd 192.168.1.1:1
!
vpdn-group hoge-hoge
description
accept-dialin
protocol l2tp
virtual-template 5
session-limit 1000
terminate-from hostname hoge-hoge-lac
source-ip 192.168.1.1
local name hoge-hoge-lns
lcp renegotiation on-mismatch
l2tp tunnel password hogehoge
!
interface Loopback**
description
ip address 192.168.1.1 255.255.255.255
!
interface Virtual-Template**
description
mtu 1454
ip vrf forwarding vrf-hoge-hoge
ip unnumbered GigabitEthernet1/1.100
ip tcp adjust-mss 1414
peer ip address forced
peer default ip address pool hoge-hoge-pool1
ppp mtu adaptive proxy
ppp authentication chap pap hoge-hoge-authlist
ppp authorization hoge-hoge-autholist
ppp accounting hoge-hoge-acctlist
ppp ipcp dns 192.168.1.100
!
ip local pool hoge-hoge-pool1 10.10.10.1 10.10.10.254

<注意>
当然ながらこの技術を利用するにあたっては、
ダイナミックルーティングプロトコルを利用することになると思う。
OSPFやEIGRPといったものがその最たるであろうか。
又、アドレスや名称については適宜変更して流用して頂き、
Radiusポート番号についても都度サーバと合わせる事が重要である。

以上、お粗末様でした。