このページで解説している内容は、以下の YouTube 動画の解説で見ることができます。

演習ファイルのダウンロード

 ファイルは Packet tracer Version 8.2.0 で作成しています。古いバージョンの Packet Tracer では、ファイルを開くことができませんので、最新の Packet Tracer を準備してください。
 「ダウンロード」のリンクから演習題で使用するファイルをダウンロードできます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。

サーバの機能の紹介(AAA:TACACS+認証)

ここでは、Packet Tracer 内のサーバのAAAサービスにある TACACS+認証について解説していきます。

ネットワークの構成は下図となります。

 ここでは、AAAサーバにTACACS+(タカックスプラス)を設定して検証していきます。TACACS+ は、RADIUSと同様に「認証」「許可」「アカウンティング」を行うセキュリティプロトコルです。

AAAについて

ここで、AAAについて簡単に説明します。

 AAAとは、「認証」「許可」「アカウンティング」のことを指しています。Authentication(認証)、Authorization(認可)、Accounting(課金)を略してAAAと呼んでいます。

 AAAの実装では、TACACS+、RADIUS、Kerberosが使用しますが、Packet Tracer では、TACACS+、RADIUSが使用できます。

プロトコル標準化暗号化
RADIUSIETF標準パスワードのみ
TACACS+Cisco独自
※Cisco機器のみ
パケット全体

補足:802.1X認証で使用できるのは、RADIUSサーバのみとなります。

AAA:TACACS+設定と検証の流れについて

TACACS+設定と検証の流れについて説明します。

 まず、AAAサーバがない場合の認証について確認します。次に、AAAサーバがある場合の認証について確認します。

AAAサーバがない場合

まず、次のR1の基本設定とパスワードを設定します。

 R1ルータにAAAサーバがない場合に使用される、特権EXEモードへのパスワードに「cisco」、そして、VTYパスワードには「vtypass」を設定します。

R1の基本コンフィグ

Router>enable
Router#conf t
Router(config)#hostname R1
R1(config)#enable secret cisco
R1(config)#line vty 0 4
R1(config-line)#password vtypass
R1(config-line)#login
R1(config-line)#int g0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#copy run start

Telnet接続

PC1からR1にTelnet接続を行います。

VTYパスワードには「vtypass」を特権EXEモードへのパスワードは「cisco」と入力します。

C:>telnet 192.168.1.1

Telnet接続を終了します。

R1>exit

AAAサーバがある場合

AAAサーバの設定

AAAサーバにTACACS+の設定を行います。

AAAサーバの「Services」タブから「AAA」サービスを選択し、Serviceを「On」にします。

認証ユーザの追加

 AAA設定画面の上半分の「Network Configuration」の項目でクライアントの設定を、下半分「User Setup」の項目で、ユーザの追加、もしくは更新を行います。

「Network Configuration」の設定

「Network Configuration」に以下の内容を入力して「Add」ボタンをクリックします。

  • Client Name:R1
  • Client IP:192.168.1.1
  • Secret:taca-pass
  • server Type:「Tacacs」を選択

エントリーが1つ追加されます。

「User Setup」の設定

以下のユーザ情報を入力して、「Add」ボタンをクリックします。

  • Username:aaa-user
  • Password:aaa-pass

ユーザが追加されます。

R1のTACACS+認証の設定

 次のコマンドを実行します。3つ目のコマンドの「taca-pass」の部分はAAAサーバに設定した「Secret」と同じ値を入力します。

R1(config)#aaa new-model
R1(config)#aaa authentication login default group tacacs+ local
R1(config)#tacacs-server host 192.168.1.10 key taca-pass
R1(config)#end
R1#copy run start

動作検証

Telnet接続

PC1からR1にTelnet接続を行います。

接続には、AAAサーバで作成したUserNameには「aaa-user」を、Passwordには「aaa-pass」と入力します。

C:>telnet 192.168.1.1

AAAサーバでのTACACS+による認証に成功して、R1にTelnet接続できます。