このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。
演習ファイルのダウンロード
ファイルは Packet tracer Version 8.2.0 で作成しています。古いバージョンの Packet Tracer では、ファイルを開くことができませんので、最新の Packet Tracer を準備してください。
「ダウンロード」のリンクから演習で使用するファイルをダウンロードできます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。
サーバの機能の紹介(AAA:RADIUS認証)
ここでは、Packet Tracer 内のサーバのAAAサービスにある RADIUS認証について解説していきます。
ネットワークの構成は下図となります。
ここでは、AAAサーバにRADIUSを設定して検証していきます。RADIUS は、TACACS+と同様に「認証」「許可」「アカウンティング」を行うセキュリティプロトコルです。
AAAについて
ここで、AAAについて簡単に説明します。
AAAとは、「認証」「許可」「アカウンティング」のことを指しています。Authentication(認証)、Authorization(認可)、Accounting(課金)を略してAAAと呼んでいます。
AAAの実装では、TACACS+、RADIUS、Kerberosが使用しますが、Packet Tracer では、TACACS+、RADIUSが使用できます。
| プロトコル | 標準化 | 暗号化 |
| RADIUS | IETF標準 | パスワードのみ |
| TACACS+ | Cisco独自 ※Cisco機器のみ | パケット全体 |
補足:802.1X認証で使用できるのは、RADIUSサーバのみとなります。
RADIUSとは
RADIUS(Remote Authentication Dial In User Service)は、古くからダイアルアップ回線やISPの認証サーバとして利用されてきた歴史があるセキュリティプロトコルです。
無線LANや有線LANのネットワークに接続の際のユーザ認証プロトコルとして、現在もセキュリティを強化するために利用されています。
詳しくは下のリンク先で確認してみてください。
AAA:RADIUS設定と検証の流れについて
RADIUS設定と検証の流れについて説明します。
まず、AAAサーバがない場合の認証について確認します。次に、AAAサーバがある場合の認証について確認します。
基本的にTACACS+の設定の流れとほぼ同じです。コマンドが若干異なる部分があります。TACACS+ については、こちら「サーバの機能の紹介(AAA:TACACS+認証)」で解説しています。
AAAサーバがない場合
まず、次のR1の基本設定とパスワードを設定します。
R1ルータにAAAサーバがない場合に使用される、特権EXEモードへのパスワードに「cisco」、そして、VTYパスワードには「vtypass」を設定します。
R1の基本コンフィグ
Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#enable secret cisco
R1(config)#line vty 0 4
R1(config-line)#password vtypass
R1(config-line)#login
R1(config-line)#int g0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#copy run start
Telnet接続
PC1からR1にTelnet接続を行います。
VTYパスワードには「vtypass」を特権EXEモードへのパスワードは「cisco」と入力します。
C:>telnet 192.168.1.1
Telnet接続を終了します。
R1>exit
AAAサーバがある場合
AAAサーバの設定
AAAサーバにRADIUSの設定を行います。
AAAサーバの「Services」タブから「AAA」サービスを選択し、Serviceを「On」にします。
認証ユーザの追加
AAA設定画面の上半分の「Network Configuration」の項目でクライアントの設定を、下半分「User Setup」の項目で、ユーザの追加、もしくは更新を行います。
「Network Configuration」の設定
「Network Configuration」に以下の内容を入力して「Add」ボタンをクリックします。
- Client Name:R1
- Client IP:192.168.1.1
- Secret:rad-pass
- server Type:「Radius」を選択
エントリーが1つ追加されます。
「User Setup」の設定
以下のユーザ情報を入力して、「Add」ボタンをクリックします。
- Username:aaa-user
- Password:aaa-pass
ユーザが追加されます。
R1のRADIUS認証の設定
次のコマンドを実行します。3つ目のコマンドの「taca-pass」の部分はAAAサーバに設定した「Secret」と同じ値を入力します。
R1(config)#aaa new-model
R1(config)#aaa authentication login default group radius local
R1(config)#radius server host
R1(config-radius-server)#address ipv4 192.168.1.10
R1(config-radius-server)#key rad-pass
R1(config-radius-server)#end
R1#copy run start
動作検証
Telnet接続
PC1からR1にTelnet接続を行います。
接続には、AAAサーバで作成したUserNameには「aaa-user」を、Passwordには「aaa-pass」と入力します。認証には少し時間がかかります。
C:>telnet 192.168.1.1
AAAサーバでのRADIUSによる認証に成功して、R1にTelnet接続できます。