Cisco機器

ネットワーク機器で世界最大手のベンダーだけに業務でよく使います。
信頼と実績とはいいますが、お値段が高くいつも社内の稟議に四苦八苦します。

---

PPPoE接続をRADIUSで認証する

営業部の社員が外出先で、リアルタイムな営業報告や社内の在庫資料などにアクセスできるように社内ネットワーク側でPPPoE接続を受け付けるケースがあります。
セキュリティ対策や管理の都合で、だれがいつアクセスしたかを把握しやすくするため、Cisco機器とRADIUSでPPPoEの認証を行う事例がありましたので、備忘録を残します。
※私が経験した事例では、営業部の正社員と契約社員でアクセス権限を分ける対応もありましたが、長くなるので別途切り出して備忘録を作成する予定です。

設定は大きく分けて下記の2点がありました。

1.PPPの認証にRADIUSを使用する設定
RADIUS側での、認証要求を受け付けるclient(Cisco機器)の登録、ファイアーウォールの穴あけを忘れずにします。
設定後は確認コマンドで正常性を確認します。

2.PPPoEクライアントに払い出すIPアドレス帯の設定
利用者の要求仕様(営業部の販売員の規模)を元に不測のないIPアドレス帯を設定します。

作業例）1.PPPの認証にRADIUSを使用する設定

enable
conf t
!
!認証機能を有効にする
aaa new-model
!
!PPP(PPPoE)の認証はRADIUSを参照することを定義
aaa authentication ppp default local group radius
!
radius-server host [RADIUSサーバのIPアドレス] auth-port [認証要求を受け付けるポート] acct-port [課金を受け付けるポート]
!
!認証キーの設定
radius-server key testing123
!

確認コマンド

test aaa group radius [接続ID] [パスワード] legacy
!
!下記が出力されればOK
Attempting authentication test to server-group radius using radius
User was successfully authenticated

作業例) 2.PPPoEクライアントに払い出すIPアドレス帯の設定

enable
conf t
!
!PPPoEクライアントに払い出すIPアドレス帯(sales-pool)の定義(10.10.10.2～10.10.10.100)
ip local pool sales-pool 10.10.10.2 10.10.10.100
!
!PPPプロファイルの定義
interface Virtual-Template1 
 mtu 1454
!PPPoEを受け付ける物理ポートを指定
ip unnumbered FastEthernet0/0
peer default ip address pool sales-pool
ppp authentication chap pap
!
!例ではPPPoE接続を受け付けるポートをFastEthernet0/0で想定
interface FastEthernet0/0
ip address [グローバルなIPアドレス] [サブネットマスク]
shutdown
duplex auto
speed auto
pppoe enable group global
!
!PPPのプロファイルの指定
bba-group pppoe global
 virtual-template 1
!