تكوين ACS الآمن من Cisco لمصادقة PPTP لموجه Windows
المحتويات
المقدمة
تمت إضافة دعم بروتوكول النفق من نقطة إلى نقطة (PPTP) إلى برنامج Cisco IOS® الإصدار 12.0.5.XE5 على الأنظمة الأساسية Cisco 7100 و 7200 (ارجع إلى PPTP باستخدام تشفير Microsoft من نقطة إلى نقطة (MPPE) [برنامج Cisco IOS الإصدار 12.0]. تمت إضافة دعم لمزيد من الأنظمة الأساسية في البرنامج Cisco IOS Software، الإصدار 12.1.5.T (ارجع إلى MSCHAP الإصدار 2).
يصف RFC 2637 
بروتوكول PPTP. بمصطلحات PPTP، وفقا ل RFC، فإن مركز الوصول إلى PPTP (PAC) هو العميل (الكمبيوتر الشخصي، أي المتصل) وخادم شبكة PPTP (PNS) هو الخادم (الموجه، المتصل).
يفترض هذا المستند أنه قد تم إنشاء إتصالات PPTP بالموجه باستخدام هذه المستندات وهي قيد التشغيل بالفعل باستخدام هذه المستندات، وذلك باستخدام بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي ل Microsoft (MS-CHAP) والمصادقة رقم 1 (MPPE) بشكل إختياري. يلزم توفر RADIUS لدعم تشفير MPPE. يعمل TACACS+ للمصادقة، ولكن ليس MPPE Keing. تمت إضافة دعم MS-CHAP V2 إلى برنامج Cisco IOS الإصدار 12.2(2)XB5 وتم دمجه في البرنامج Cisco IOS Software الإصدار 12.2(13)T (ارجع إلى MSCHAP الإصدار 2)، ومع ذلك، لا يتم دعم MPPE مع MS-CHAP V2 حتى الآن.
يوضح هذا التكوين العينة كيفية إعداد اتصال جهاز كمبيوتر بالموجه (على 10.66.79.99)، والذي يوفر بعد ذلك مصادقة المستخدم لنظام التحكم في الوصول الآمن (ACS) 4.2 من Cisco لخادم Windows (على 10.66.79.120)، قبل السماح للمستخدم بالدخول إلى الشبكة.
ملاحظة: لا يكون خادم RADIUS عادة خارج الموجه إلا في بيئة معملية.
تمت إضافة دعم PPTP إلى Cisco Secure ACS 2.5، ولكن قد لا يعمل مع الموجه بسبب معرف تصحيح الأخطاء من Cisco CSCds92266 (العملاء المسجلون فقط). لا يواجه ACS 2.6 والإصدارات الأحدث هذه المشكلة.
لا تدعم Cisco Secure UNIX MPPE. وهناك تطبيقا RADIUS آخران مزودان بدعم MPPE وهما Microsoft RADIUS و Funk RADIUS.
راجع تكوين عملاء Cisco والموجه والشبكة الخاصة الظاهرية (VPN) باستخدام PPTP و MPPE للحصول على مزيد من المعلومات حول كيفية تكوين PPTP و MPPE باستخدام الموجه.
راجع تكوين مركز VPN 3000 و PPTP باستخدام Cisco Secure ACS لمصادقة Windows RADIUS للحصول على مزيد من المعلومات حول كيفية تكوين PPTP على مركز VPN 3000 مع Cisco Secure ACS لمصادقة RADIUS.
ارجع إلى PIX 6.x: PPTP مع مثال تكوين مصادقة RADIUS لتكوين إتصالات PPTP ب PIX.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات أساسية خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
Cisco Secure ACS 4.2 ل Windows
-
موجّه Cisco 3600
-
برنامج IOS الإصدار 12.4(3) من Cisco
تم إنشاء المعلومات المُقدمة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كنت في شبكة مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
الرسم التخطيطي للشبكة
يستخدم هذا المستند إعداد الشبكة التالي:
تكوين الموجّه
أستخدم تكوين الموجه هذا. يجب أن يكون المستخدم قادرا على الاتصال ب اسم المستخدم جون كلمة المرور" حتى إذا كان خادم RADIUS غير قابل للوصول (وهو ممكن إذا لم يتم تكوين الخادم باستخدام ACS الآمن من Cisco بعد). يفترض هذا المثال أن المصادقة المحلية (والتشفير، إختياريا) قيد التشغيل بالفعل.
| موجّه Cisco 3600 |
|---|
Current configuration : 1729 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname moss ! boot-start-marker boot-end-marker ! enable password cisco ! username john password 0 doe aaa new-model ! aaa authentication ppp default group radius local aaa authentication login default local !--- In order to set authentication, authorization, and accounting (AAA) authentication !--- at login, use the aaa authentication login command in global !--- configuration mode as shown above. aaa authorization network default group radius if-authenticated aaa session-id common ip subnet-zero ! ip audit notify log ip audit po max-events 100 vpdn enable ! vpdn-group 1 !--- Default PPTP VPDN group. accept-dialin protocol pptp virtual-template 1 ! no ftp-server write-enable ! no voice hpi capture buffer no voice hpi capture destination ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 half-duplex ! interface Ethernet0/1 ip address 10.66.79.99 255.255.255.224 half-duplex ! interface Virtual-Template1 ip unnumbered Ethernet0/1 peer default ip address pool testpool ppp authentication ms-chap ! ip local pool testpool 192.168.1.1 192.168.1.254 ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.97 ! radius-server host 10.66.79.120 auth-port 1645 acct-port 1646 radius-server retransmit 3 radius-server key cisco ! line con 0 line aux 0 line vty 0 4 password cisco ! end |
ميزة النسخ الاحتياطي لخادم RADIUS
عندما يصبح خادم RADIUS الأساسي غير متاح، سيتم تجاوز فشل الموجه إلى خادم RADIUS النشط التالي للنسخ الاحتياطي. سيستمر الموجه في إستخدام خادم RADIUS الثانوي إلى الأبد حتى إذا كان الخادم الأساسي متوفرا. عادة ما يكون الخادم الرئيسي هو الخادم عالي الأداء والخادم المفضل.
لتعيين المصادقة والتفويض والمحاسبة (AAA) عند تسجيل الدخول، أستخدم الأمر مصادقة AAA login في وضع التكوين العام.
مصدر المحتوى الإضافي الآمن من Cisco لتكوين Windows
أستخدم هذا الإجراء لتكوين ACS الآمن من Cisco:
-
انقر فوق تكوين الشبكة، وقم بإضافة إدخال للموجه، وانقر فوق إرسال + إعادة تشغيل عند الانتهاء.
-
حدد تكوين الواجهة > RADIUS (Microsoft)، ثم تحقق من سمات MPPE وانقر فوق إرسال.
-
انقر فوق إعداد المجموعة ولنوع الخدمة، حدد Framed. بالنسبة للبروتوكول المؤطر، حدد PPP وانقر إرسال.
-
في إعداد المجموعة، تحقق من معلومات MS-MPPE RADIUS وعندما تنتهي، انقر فوق إرسال + إعادة تشغيل.
-
انقر فوق إعداد المستخدم، وقم بإضافة كلمة مرور، وقم بتعيين المستخدم إلى المجموعة، ثم انقر فوق إرسال.
-
اختبر المصادقة للموجه قبل إضافة التشفير. إذا لم تعمل المصادقة، فراجع قسم أستكشاف الأخطاء وإصلاحها في هذا المستند.
إضافة إلى التكوين
إضافة تشفير
يمكنك إضافة تشفير MPPE باستخدام هذا الأمر:
interface virtual-template 1 (config-if)#ppp encrypt mppe 40|128|auto passive|required|stateful
لأن المثال يفترض أن التشفير يعمل مع المصادقة المحلية (اسم المستخدم وكلمة المرور على الموجه)، يتم تكوين الكمبيوتر بشكل صحيح. يمكنك الآن إضافة هذا الأمر للسماح بأقصى مرونة:
ppp encrypt mppe auto
تعيين عنوان IP الثابت من الخادم
إن يحتاج أنت أن يعين عنوان خاص إلى المستعمل، في ACS مستعمل setup، حدد يعين عنوان ساكن إستاتيكي وتعبئ في العنوان.
إضافة قوائم الوصول إلى الخادم
للتحكم في ما يمكن لمستخدم PPTP الوصول إليه بمجرد اتصال المستخدم بالموجه، يمكنك تكوين قائمة وصول على الموجه. مثلا، إن يصدر أنت هذا أمر:
access-list 101 permit ip any host 10.1.1.2 log
واختر Filter-id (السمة 11) في ACS وأدخل 101 في المربع، يمكن لمستخدم PPTP الوصول إلى المضيف 10.1.1.2 دون الآخرين. عندما تقوم بإصدار أمر show ip interface virtual-access x ، حيث x هو رقم يمكنك تحديده من أمر show user، فيجب أن تظهر قائمة الوصول كما هي مطبقة:
Inbound access list is 101
إضافة محاسبة
أنت يستطيع أضفت حساب لجلسة مع هذا أمر:
aaa accounting network default start-stop radius
تظهر سجلات المحاسبة في ACS الآمن من Cisco كما يوضح هذا الإخراج:
Date,Time,User-Name,Group-Name,Calling-Station-Id, Acct-Status-Type,Acct-Session-Id,Acct-Session-Time, Service-Type,Framed-Protocol,Acct-Input-Octets, Acct-Output-Octets,Acct-Input-Packets,Acct-Output-Packets, Framed-IP-Address,NAS-Port,NAS-IP-Address 09/28/2003,20:58:37,georgia,Default Group,,Start,00000005,, Framed,PPP,,,,,,5,10.66.79.99 09/28/2000,21:00:38,georgia,Default Group,,Stop,00000005,121, Framed,PPP,3696,1562,49, 38,192.168.1.1,5,10.66.79.99
ملاحظة: تمت إضافة فواصل الأسطر إلى المثال لأغراض العرض. فواصل السطر في الإخراج الفعلي تختلف عن تلك المعروضة هنا.
تقسيم الاتصال النفقي
عندما يظهر نفق PPTP على الكمبيوتر الشخصي، يتم تثبيت موجه PPTP بمقياس أعلى من الافتراضي السابق، وبالتالي تفقد اتصال الإنترنت. لحل هذه المشكلة، نظرا لأن الشبكة داخل الموجه هي 10.1.1.x، قم بتشغيل ملف دفعة (batch.bat) لتعديل توجيه Microsoft لحذف المسار الافتراضي وإعادة تثبيت المسار الافتراضي (يتطلب ذلك عنوان IP الذي تم تعيين عميل PPTP له؛ على سبيل المثال، ذلك هو 192.168.1.1):
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 10.66.79.33 metric 1 route add 10.1.1.0 mask 255.255.255.0 192.168.1.1 metric 1
التحقق من الصحة
يوفر هذا القسم معلومات يمكنك إستخدامها للتأكد من أن التكوين يعمل بشكل صحيح.
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
-
show vpdn session— يعرض معلومات حول نفق بروتوكول إعادة توجيه المستوى 2 (L2F) النشط ومعرفات الرسائل في شبكة الاتصال الخاصة الظاهرية (VPDN).
moss#show vpdn session %No active L2TP tunnels %No active L2F tunnels PPTP Session Information Total tunnels 1 sessions 1 LocID RemID TunID Intf Username State Last Chg Uniq ID 7 32768 7 Vi3 georgia estabd 00:00:25 6 moss#show vpdn %No active L2TP tunnels %No active L2F tunnels PPTP Tunnel and Session Information Total tunnels 1 sessions 1 LocID Remote Name State Remote Address Port Sessions VPDN Group 7 estabd 10.66.79.60 3454 1 1 LocID RemID TunID Intf Username State Last Chg Uniq ID 7 32768 7 Vi3 georgia estabd 00:00:51 6
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
-
يحدد الكمبيوتر الشخصي التشفير، ولكن الموجه لا يحدد ذلك.
يرى مستخدم الكمبيوتر:
The remote computer does not support the required data encryption type.
-
يحدد كل من الكمبيوتر الشخصي والموجه التشفير، ولكن لم يتم تكوين خادم RADIUS لإرسال مفاتيح MPPE إلى الأسفل (تظهر هذه عادة كسمة 26).
يرى مستخدم الكمبيوتر:
The remote computer does not support the required data encryption type.
-
يحدد الموجه التشفير (مطلوب)، ولكن لا يسمح بالكمبيوتر (غير مسموح).
يرى مستخدم الكمبيوتر:
The specified port is not connected.
-
يدخل المستخدم اسم المستخدم أو كلمة المرور غير الصحيحة.
يرى مستخدم الكمبيوتر:
Access was denied because the username and/or password was invalid on the domain.
يظهر تصحيح أخطاء الموجه:
ملاحظة: تمت إضافة فواصل الأسطر إلى هذا المثال لأغراض العرض. فواصل السطر في الإخراج الفعلي تختلف عن تلك المعروضة هنا.
Sep 28 21:34:16.299: RADIUS: Received from id 21645/13 10.66.79.120:1645, Access-Reject, len 54 Sep 28 21:34:16.299: RADIUS: authenticator 37 BA 2B 4F 23 02 44 4D - D4 A0 41 3B 61 2D 5E 0C Sep 28 21:34:16.299: RADIUS: Vendor, Microsoft [26] 22 Sep 28 21:34:16.299: RADIUS: MS-CHAP-ERROR [2] 16 Sep 28 21:34:16.299: RADIUS: 01 45 3D 36 39 31 20 52 3D 30 20 56 3D [?E=691 R=0 V=] Sep 28 21:34:16.299: RADIUS: Reply-Message [18] 12 Sep 28 21:34:16.299: RADIUS: 52 65 6A 65 63 74 65 64 0A 0D [Rejected??]
-
خادم RADIUS غير متواصل.
يرى مستخدم الكمبيوتر:
Access was denied because the username and/or password was invalid on the domain.
يظهر تصحيح أخطاء الموجه:
ملاحظة: تمت إضافة فواصل الأسطر إلى هذا المثال لأغراض العرض. فواصل السطر في الإخراج الفعلي تختلف عن تلك المعروضة هنا.
Sep 28 21:46:56.135: RADIUS: Retransmit to (10.66.79.120:1645,1646) for id 21645/43 Sep 28 21:47:01.135: RADIUS: Retransmit to (10.66.79.120:1645,1646) for id 21645/43 Sep 28 21:47:06.135: RADIUS: Retransmit to (10.66.79.120:1645,1646) for id 21645/43 Sep 28 21:47:11.135: RADIUS: No response from (10.66.79.120:1645,1646) for id 21645/43 Sep 28 21:47:11.135: RADIUS/DECODE: parse response no app start; FAIL Sep 28 21:47:11.135: RADIUS/DECODE: parse response; FAIL
أوامر استكشاف الأخطاء وإصلاحها
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .
ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إستخدام أوامر debug.
إذا لم تعمل الأشياء، تتضمن أوامر تصحيح الأخطاء الدنيا:
-
debug aaa authentication—يعرض معلومات حول مصادقة AAA/TACACS+.
-
تصحيح أخطاء تفويض المصادقة والتفويض والمحاسبة (AAA)—يعرض معلومات حول تفويض AAA/TACACS+.
-
debug ppp negotiation—يعرض حزم PPP المرسلة أثناء بدء تشغيل PPP، حيث يتم التفاوض حول خيارات PPP.
-
debug ppp authentication—يعرض رسائل بروتوكول المصادقة، والتي تتضمن عمليات تبادل حزم CHAP وعمليات تبادل بروتوكول مصادقة كلمة المرور (PAP).
-
debug radius—يعرض معلومات تصحيح الأخطاء التفصيلية المرتبطة ب RADIUS.
إذا كانت المصادقة تعمل، ولكن هناك مشاكل مع تشفير MPPE، فاستخدم الأوامر التالية:
-
debug ppp mppe ربط—يعرض كل حركة مرور MPPE الواردة والصادرة.
-
debug ppp mppe event—يعرض تكرارات MPPE الأساسية.
-
debug ppp mppe detail—يعرض معلومات MPPE المطولة.
-
debug vpdn l2x-packet—يعرض رسائل حول رؤوس بروتوكول L2F وحالته.
-
debug vpdn events— يعرض رسائل حول الأحداث التي تعد جزءا من إنشاء النفق العادي أو إيقاف تشغيله.
-
debug vpdn errors—يعرض الأخطاء التي تمنع إنشاء نفق أو الأخطاء التي تتسبب في إغلاق نفق تم إنشاؤه.
-
debug vpdn pacdn— يعرض كل حزمة بروتوكول يتم تبادلها. قد يؤدي هذا الخيار إلى عدد كبير من رسائل تصحيح الأخطاء، ويجب عليك بشكل عام إستخدام هذا الأمر فقط على هيكل تصحيح الأخطاء مع جلسة عمل نشطة واحدة.
يمكنك أيضا إستخدام هذه الأوامر لأغراض أستكشاف الأخطاء وإصلاحها:
-
clear interface virtual-access x —يوقف نفق محدد وكل الجلسات داخل النفق.
مثال إخراج تصحيح الأخطاء الجيد
يبدي هذا debug حدث مهم من ال RFC:
-
SCCRQ = Start-Control-Connection-Request - Message Code bytes 9 و 10 = 0001
-
SCCRP = start-control-connection-reply
-
OCRQ = Outgoing-Call-Request - وحدات بايت رمز الرسالة 9 و 10 = 0007
-
OCRP = Outgoing-call-Reply
ملاحظة: تمت إضافة فواصل الأسطر إلى هذا المثال لأغراض العرض. فواصل السطر في الإخراج الفعلي تختلف عن تلك المعروضة هنا.
moss#show debug
General OS:
AAA Authentication debugging is on
AAA Authorization debugging is on
PPP:
PPP protocol negotiation debugging is on
Radius protocol debugging is on
Radius packet protocol debugging is on
VPN:
L2X control packets debugging is on
Sep 28 21:53:22.403: Tnl 23 PPTP:
I 009C00011A2B3C4D0001000001000000000000010000...
Sep 28 21:53:22.403: Tnl 23 PPTP: I SCCRQ
Sep 28 21:53:22.403: Tnl 23 PPTP: protocol version 100
Sep 28 21:53:22.403: Tnl 23 PPTP: framing caps 1
Sep 28 21:53:22.403: Tnl 23 PPTP: bearer caps 1
Sep 28 21:53:22.403: Tnl 23 PPTP: max channels 0
Sep 28 21:53:22.403: Tnl 23 PPTP: firmware rev 893
Sep 28 21:53:22.403: Tnl 23 PPTP: hostname ""
Sep 28 21:53:22.403: Tnl 23 PPTP: vendor "Microsoft Windows NT"
Sep 28 21:53:22.403: Tnl 23 PPTP: O SCCRP
Sep 28 21:53:22.407: Tnl 23 PPTP: I
00A800011A2B3C4D0007000080007C0E0000012C05F5...
Sep 28 21:53:22.407: Tnl 23 PPTP: CC I OCRQ
Sep 28 21:53:22.407: Tnl 23 PPTP: call id 32768
Sep 28 21:53:22.411: Tnl 23 PPTP: serial num 31758
Sep 28 21:53:22.411: Tnl 23 PPTP: min bps 300
Sep 28 21:53:22.411: Tnl 23 PPTP: max bps 100000000
Sep 28 21:53:22.411: Tnl 23 PPTP: bearer type 3
Sep 28 21:53:22.411: Tnl 23 PPTP: framing type 3
Sep 28 21:53:22.411: Tnl 23 PPTP: recv win size 64
Sep 28 21:53:22.411: Tnl 23 PPTP: ppd 0
Sep 28 21:53:22.411: Tnl 23 PPTP: phone num len 0
Sep 28 21:53:22.411: Tnl 23 PPTP: phone num ""
Sep 28 21:53:22.411: AAA/BIND(0000001C): Bind i/f Virtual-Template1
Sep 28 21:53:22.415: Tnl/Sn 23/23 PPTP: CC O OCRP
Sep 28 21:53:22.415: ppp27 PPP: Using vpn set call direction
Sep 28 21:53:22.415: ppp27 PPP: Treating connection as a callin
Sep 28 21:53:22.415: ppp27 PPP: Phase is ESTABLISHING, Passive Open
Sep 28 21:53:22.415: ppp27 LCP: State is Listen
Sep 28 21:53:22.459: Tnl 23 PPTP: I
001800011A2B3C4D000F000000170000FFFFFFFFFFFFFFFF
Sep 28 21:53:22.459: Tnl/Sn 23/23 PPTP: CC I SLI
Sep 28 21:53:22.459: ppp27 LCP: I CONFREQ [Listen] id 0 len 44
Sep 28 21:53:22.459: ppp27 LCP: MagicNumber 0x377413E2 (0x0506377413E2)
Sep 28 21:53:22.459: ppp27 LCP: PFC (0x0702)
Sep 28 21:53:22.459: ppp27 LCP: ACFC (0x0802)
Sep 28 21:53:22.459: ppp27 LCP: Callback 6 (0x0D0306)
Sep 28 21:53:22.459: ppp27 LCP: MRRU 1614 (0x1104064E)
Sep 28 21:53:22.459: ppp27 LCP: EndpointDisc 1 Local
Sep 28 21:53:22.459: ppp27 LCP: (0x1317010D046656E8C7445895763667BB)
Sep 28 21:53:22.463: ppp27 LCP: (0x2D0E8100000016)
Sep 28 21:53:22.463: ppp27 LCP: O CONFREQ [Listen] id 1 len 15
Sep 28 21:53:22.463: ppp27 LCP: AuthProto MS-CHAP (0x0305C22380)
Sep 28 21:53:22.463: ppp27 LCP: MagicNumber 0xD0B06B2C (0x0506D0B06B2C)
Sep 28 21:53:22.463: ppp27 LCP: O CONFREJ [Listen] id 0 len 11
Sep 28 21:53:22.463: ppp27 LCP: Callback 6 (0x0D0306)
Sep 28 21:53:22.463: ppp27 LCP: MRRU 1614 (0x1104064E)
Sep 28 21:53:22.467: ppp27 LCP: I CONFACK [REQsent] id 1 len 15
Sep 28 21:53:22.467: ppp27 LCP: AuthProto MS-CHAP (0x0305C22380)
Sep 28 21:53:22.467: ppp27 LCP: MagicNumber 0xD0B06B2C (0x0506D0B06B2C)
Sep 28 21:53:22.467: ppp27 LCP: I CONFREQ [ACKrcvd] id 1 len 37
Sep 28 21:53:22.467: ppp27 LCP: MagicNumber 0x377413E2 (0x0506377413E2)
Sep 28 21:53:22.467: ppp27 LCP: PFC (0x0702)
Sep 28 21:53:22.467: ppp27 LCP: ACFC (0x0802)
Sep 28 21:53:22.471: ppp27 LCP: EndpointDisc 1 Local
Sep 28 21:53:22.471: ppp27 LCP: (0x1317010D046656E8C7445895763667BB)
Sep 28 21:53:22.471: ppp27 LCP: (0x2D0E8100000016)
Sep 28 21:53:22.471: ppp27 LCP: O CONFACK [ACKrcvd] id 1 len 37
Sep 28 21:53:22.471: ppp27 LCP: MagicNumber 0x377413E2 (0x0506377413E2)
Sep 28 21:53:22.471: ppp27 LCP: PFC (0x0702)
Sep 28 21:53:22.471: ppp27 LCP: ACFC (0x0802)
Sep 28 21:53:22.471: ppp27 LCP: EndpointDisc 1 Local
Sep 28 21:53:22.471: ppp27 LCP: (0x1317010D046656E8C7445895763667BB)
Sep 28 21:53:22.471: ppp27 LCP: (0x2D0E8100000016)
Sep 28 21:53:22.471: ppp27 LCP: State is Open
Sep 28 21:53:22.471: ppp27 PPP: Phase is AUTHENTICATING, by this end
Sep 28 21:53:22.475: ppp27 MS-CHAP: O CHALLENGE id 1 len 21 from "SV3-2 "
Sep 28 21:53:22.475: Tnl 23 PPTP: I
001800011A2B3C4D000F000000170000FFFFFFFFFFFFFFFF
Sep 28 21:53:22.475: Tnl/Sn 23/23 PPTP: CC I SLI
Sep 28 21:53:22.479: ppp27 LCP: I IDENTIFY [Open] id 2 len
18 magic 0x377413E2 MSRASV5.00
Sep 28 21:53:22.479: ppp27 LCP: I IDENTIFY [Open] id 3 len
30 magic 0x377413E2 MSRAS-0-CSCOAPACD12364
Sep 28 21:53:22.479: ppp27 MS-CHAP: I RESPONSE id 1 len 61 from "georgia"
Sep 28 21:53:22.483: ppp27 PPP: Phase is FORWARDING, Attempting Forward
Sep 28 21:53:22.483: ppp27 PPP: Phase is AUTHENTICATING, Unauthenticated User
Sep 28 21:53:22.483: AAA/AUTHEN/PPP (0000001C): Pick method list 'default'
Sep 28 21:53:22.483: RADIUS: AAA Unsupported [152] 14
Sep 28 21:53:22.483: RADIUS: 55 6E 69 71 2D 53 65 73 73 2D 49 44
[Uniq-Sess-ID]
Sep 28 21:53:22.483: RADIUS(0000001C): Storing nasport 27 in rad_db
Sep 28 21:53:22.483: RADIUS(0000001C): Config NAS IP: 0.0.0.0
Sep 28 21:53:22.483: RADIUS/ENCODE(0000001C): acct_session_id: 38
Sep 28 21:53:22.487: RADIUS(0000001C): sending
Sep 28 21:53:22.487: RADIUS/ENCODE: Best Local IP-Address 10.66.79.99
for Radius-Server 10.66.79.120
Sep 28 21:53:22.487: RADIUS(0000001C): Send Access-Request to
10.66.79.120:1645 id 21645/44, len 133
Sep 28 21:53:22.487: RADIUS: authenticator 15 8A 3B EE 03 24
0C F0 - 00 00 00 00 00 00 00 00
Sep 28 21:53:22.487: RADIUS: Framed-Protocol [7] 6 PPP [1]
Sep 28 21:53:22.487: RADIUS: User-Name [1] 9 "georgia"
Sep 28 21:53:22.487: RADIUS: Vendor, Microsoft [26] 16
Sep 28 21:53:22.487: RADIUS: MSCHAP_Challenge [11] 10
Sep 28 21:53:22.487: RADIUS: 15 8A 3B EE 03 24 0C [??;??$?]
Sep 28 21:53:22.487: RADIUS: Vendor, Microsoft [26] 58
Sep 28 21:53:22.487: RADIUS: MS-CHAP-Response [1] 52 *
Sep 28 21:53:22.487: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Sep 28 21:53:22.487: RADIUS: NAS-Port [5] 6 27
Sep 28 21:53:22.487: RADIUS: Service-Type [6] 6 Framed [2]
Sep 28 21:53:22.491: RADIUS: NAS-IP-Address [4] 6 10.66.79.99
Sep 28 21:53:22.515: RADIUS: Received from id 21645/44 10.66.79.120:1645,
Access-Accept, len 141
Sep 28 21:53:22.515: RADIUS: authenticator ED 3F 8A 08 2D A2 EB 4F - 78
3F 5D 80 58 7B B5 3E
Sep 28 21:53:22.515: RADIUS: Service-Type [6] 6 Framed [2]
Sep 28 21:53:22.515: RADIUS: Framed-Protocol [7] 6 PPP [1]
Sep 28 21:53:22.515: RADIUS: Filter-Id [11] 8
Sep 28 21:53:22.515: RADIUS: 31 30 31 2E 69 6E [101.in]
Sep 28 21:53:22.515: RADIUS: Vendor, Microsoft [26] 12
Sep 28 21:53:22.515: RADIUS: MS-MPPE-Enc-Policy [7] 6
Sep 28 21:53:22.515: RADIUS: 00 00 00 [???]
Sep 28 21:53:22.515: RADIUS: Vendor, Microsoft [26] 12
Sep 28 21:53:22.515: RADIUS: MS-MPPE-Enc-Type [8] 6
Sep 28 21:53:22.515: RADIUS: 00 00 00 [???]
Sep 28 21:53:22.515: RADIUS: Vendor, Microsoft [26] 40
Sep 28 21:53:22.515: RADIUS: MS-CHAP-MPPE-Keys [12] 34 *
Sep 28 21:53:22.519: RADIUS: Framed-IP-Address [8] 6 192.168.1.1
Sep 28 21:53:22.519: RADIUS: Class [25] 31
Sep 28 21:53:22.519: RADIUS:
43 49 53 43 4F 41 43 53 3A 30 30 30 30 30 30 36 [CISCOACS:0000006]
Sep 28 21:53:22.519: RADIUS:
33 2F 30 61 34 32 34 66 36 33 2F 32 37 [3/0a424f63/27]
Sep 28 21:53:22.519: RADIUS(0000001C): Received from id 21645/44
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: service-type
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: Framed-Protocol
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: inacl: Peruser
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: MS-CHAP-MPPE-Keys
Sep 28 21:53:22.523: ppp27 PPP/AAA: Check Attr: addr
Sep 28 21:53:22.523: ppp27 PPP: Phase is FORWARDING, Attempting Forward
Sep 28 21:53:22.523: Vi3 PPP: Phase is DOWN, Setup
Sep 28 21:53:22.527: AAA/BIND(0000001C): Bind i/f Virtual-Access3
Sep 28 21:53:22.531: %LINK-3-UPDOWN: Interface Virtual-Access3,
changed state to up
Sep 28 21:53:22.531: Vi3 PPP: Phase is AUTHENTICATING, Authenticated User
Sep 28 21:53:22.531: Vi3 AAA/AUTHOR/LCP: Process Author
Sep 28 21:53:22.531: Vi3 AAA/AUTHOR/LCP: Process Attr: service-type
Sep 28 21:53:22.531: Vi3 MS-CHAP: O SUCCESS id 1 len 4
Sep 28 21:53:22.535: Vi3 PPP: Phase is UP
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/IPCP: FSM authorization not needed
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/FSM: We can start IPCP
Sep 28 21:53:22.535: Vi3 IPCP: O CONFREQ [Closed] id 1 len 10
Sep 28 21:53:22.535: Vi3 IPCP: Address 10.66.79.99 (0x03060A424F63)
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/CCP: FSM authorization not needed
Sep 28 21:53:22.535: Vi3 AAA/AUTHOR/FSM: We can start CCP
Sep 28 21:53:22.535: Vi3 CCP: O CONFREQ [Closed] id 1 len 10
Sep 28 21:53:22.535: Vi3 CCP: MS-PPC supported bits 0x01000060 (0x120601000060)
Sep 28 21:53:22.535: Vi3 PPP: Process pending packets
Sep 28 21:53:22.539: RADIUS(0000001C): Using existing nas_port 27
Sep 28 21:53:22.539: RADIUS(0000001C): Config NAS IP: 0.0.0.0
Sep 28 21:53:22.539: RADIUS(0000001C): sending
Sep 28 21:53:22.539: RADIUS/ENCODE: Best Local IP-Address
10.66.79.99 for Radius-Server 10.66.79.120
Sep 28 21:53:22.539: RADIUS(0000001C): Send Accounting-Request
to 10.66.79.120:1646 id 21645/45, len 147
Sep 28 21:53:22.539: RADIUS: authenticator 1A 76 20 95 95 F8
81 42 - 1F E8 E7 C1 8F 10 BA 94
Sep 28 21:53:22.539: RADIUS: Acct-Session-Id [44] 10 "00000026"
Sep 28 21:53:22.539: RADIUS: Tunnel-Server-Endpoi[67] 13 "10.66.79.99"
Sep 28 21:53:22.539: RADIUS: Tunnel-Client-Endpoi[66] 13 "10.66.79.60"
Sep 28 21:53:22.543: RADIUS: Tunnel-Assignment-Id[82] 3 "1"
Sep 28 21:53:22.543: RADIUS: Framed-Protocol [7] 6 PPP [1]
Sep 28 21:53:22.543: RADIUS: Acct-Authentic [45] 6 RADIUS [1]
Sep 28 21:53:22.543: RADIUS: User-Name [1] 9 "georgia"
Sep 28 21:53:22.543: RADIUS: Acct-Status-Type [40] 6 Start [1]
Sep 28 21:53:22.543: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
Sep 28 21:53:22.543: RADIUS: NAS-Port [5] 6 27
Sep 28 21:53:22.543: RADIUS: Class [25] 31
Sep 28 21:53:22.543: RADIUS: 43 49 53 43 4F 41 43 53 3A 30 30 30 30
30 30 36 [CISCOACS:0000006]
Sep 28 21:53:22.543: RADIUS: 33 2F 30 61 34 32 34 66 36 33 2F 32 37
[3/0a424f63/27]
Sep 28 21:53:22.547: RADIUS: Service-Type [6] 6 Framed [2]
Sep 28 21:53:22.547: RADIUS: NAS-IP-Address [4] 6 10.66.79.99
Sep 28 21:53:22.547: RADIUS: Acct-Delay-Time [41] 6 0
Sep 28 21:53:22.547: Vi3 CCP: I CONFREQ [REQsent] id 4 len 10
Sep 28 21:53:22.547: Vi3 CCP: MS-PPC supported bits 0x010000F1
(0x1206010000F1)
Sep 28 21:53:22.547: Vi3 CCP: O CONFNAK [REQsent] id 4 len 10
Sep 28 21:53:22.551: Vi3 CCP: MS-PPC supported bits 0x01000060
(0x120601000060)
Sep 28 21:53:22.551: Vi3 CCP: I CONFNAK [REQsent] id 1 len 10
Sep 28 21:53:22.551: Vi3 CCP: MS-PPC supported bits 0x01000040
(0x120601000040)
Sep 28 21:53:22.551: Vi3 CCP: O CONFREQ [REQsent] id 2 len 10
Sep 28 21:53:22.551: Vi3 CCP: MS-PPC supported bits 0x01000040
(0x120601000040)
Sep 28 21:53:22.551: Vi3 IPCP: I CONFREQ [REQsent] id 5 len 34
Sep 28 21:53:22.551: Vi3 IPCP: Address 0.0.0.0 (0x030600000000)
Sep 28 21:53:22.551: Vi3 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000)
Sep 28 21:53:22.551: Vi3 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000)
Sep 28 21:53:22.551: Vi3 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000)
Sep 28 21:53:22.551: Vi3 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000)
Sep 28 21:53:22.551: Vi3 AAA/AUTHOR/IPCP: Start. Her address 0.0.0.0,
we want 0.0.0.0
Sep 28 21:53:22.551: Vi3 AAA/AUTHOR/IPCP: Processing AV inacl
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: Processing AV addr
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: Authorization succeeded
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: Done. Her address 0.0.0.0,
we want 192.168.1.1
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for primary dns
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for primary wins
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for seconday dns
Sep 28 21:53:22.555: Vi3 AAA/AUTHOR/IPCP: no author-info for seconday wins
Sep 28 21:53:22.555: Vi3 IPCP: O CONFREJ [REQsent] id 5 len 28
Sep 28 21:53:22.555: Vi3 IPCP: PrimaryDNS 0.0.0.0 (0x810600000000)
Sep 28 21:53:22.555: Vi3 IPCP: PrimaryWINS 0.0.0.0 (0x820600000000)
Sep 28 21:53:22.555: Vi3 IPCP: SecondaryDNS 0.0.0.0 (0x830600000000)
Sep 28 21:53:22.555: Vi3 IPCP: SecondaryWINS 0.0.0.0 (0x840600000000)
Sep 28 21:53:22.555: Vi3 IPCP: I CONFACK [REQsent] id 1 len 10
Sep 28 21:53:22.555: Vi3 IPCP: Address 10.66.79.99 (0x03060A424F63)
Sep 28 21:53:22.563: Vi3 CCP: I CONFREQ [REQsent] id 6 len 10
Sep 28 21:53:22.563: Vi3 CCP: MS-PPC supported bits 0x01000040
(0x120601000040)
Sep 28 21:53:22.563: Vi3 CCP: O CONFACK [REQsent] id 6 len 10
Sep 28 21:53:22.563: Vi3 CCP: MS-PPC supported bits 0x01000040
(0x120601000040)
Sep 28 21:53:22.567: Vi3 CCP: I CONFACK [ACKsent] id 2 len 10
Sep 28 21:53:22.567: Vi3 CCP: MS-PPC supported bits 0x01000040
(0x120601000040)
Sep 28 21:53:22.567: Vi3 CCP: State is Open
Sep 28 21:53:22.567: Vi3 IPCP: I CONFREQ [ACKrcvd] id 7 len 10
Sep 28 21:53:22.567: Vi3 IPCP: Address 0.0.0.0 (0x030600000000)
Sep 28 21:53:22.567: Vi3 IPCP: O CONFNAK [ACKrcvd] id 7 len 10
Sep 28 21:53:22.571: Vi3 IPCP: Address 192.168.1.1 (0x0306C0A80101)
Sep 28 21:53:22.575: Vi3 IPCP: I CONFREQ [ACKrcvd] id 8 len 10
Sep 28 21:53:22.575: Vi3 IPCP: Address 192.168.1.1 (0x0306C0A80101)
Sep 28 21:53:22.575: Vi3 IPCP: O CONFACK [ACKrcvd] id 8 len 10
Sep 28 21:53:22.575: Vi3 IPCP: Address 192.168.1.1 (0x0306C0A80101)
Sep 28 21:53:22.575: Vi3 IPCP: State is Open
Sep 28 21:53:22.575: AAA/AUTHOR: Processing PerUser AV inacl
Sep 28 21:53:22.583: Vi3 IPCP: Install route to 192.168.1.1
Sep 28 21:53:22.583: Vi3 IPCP: Add link info for cef entry 192.168.1.1
Sep 28 21:53:22.603: RADIUS: Received from id 21645/45 10.66.79.120:1646,
Accounting-response, len 20
Sep 28 21:53:22.603: RADIUS: authenticator A6 B3 4C 4C 04 1B BE 8E - 6A
BF 91 E2 3C 01 3E CA
Sep 28 21:53:23.531: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Virtual-Access3, changed state to up
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
26-Mar-2007 |
الإصدار الأولي |
التعليقات