RADIUS/TACACS+の構成例と設定例

RADIUSサーバーとTACACS+サーバーを利用する場合の構成例と設定例を示します。

RADIUSサーバーの構成例と設定例

装置でRADIUSサーバーを利用する場合の構成例と設定例を示します。

RADIUSサーバーの構成例

• VLAN 100を作成し、ポート1/0/1をアクセスポートとして［VLAN 100］を割り当てます。また、VLAN 100のIPアドレスを［192.168.1.100/24］に設定します。

  sw1# configure terminal
  sw1(config)# vlan 100
  sw1(config-vlan)# exit
  sw1(config)# interface port 1/0/1
  sw1(config-if-port)# switchport mode access
  sw1(config-if-port)# switchport access vlan 100
  sw1(config-if-port)# exit
  sw1(config)# interface vlan 100
  sw1(config-if-vlan)# ip address 192.168.1.100/24
  sw1(config-if-vlan)# exit
  sw1(config)#

• 装置のAAAを有効化します。また、RADIUSサーバーグループのデフォルトの認証方式リストを指定し、ログイン認証を有効化します。

  sw1(config)# aaa new-model
  sw1(config)# aaa authentication login default group radius none

• RADIUSパケットの送信元インターフェースとして［VLAN 100］を設定します。また、RADIUSサーバーのIPアドレス［192.168.1.10］と共有鍵［radiusserver］を設定し、RADIUSサーバーグループを［radigroup］に設定してRADIUSサーバーを登録します。

  sw1(config)# ip radius source-interface vlan 100
  sw1(config)# radius-server host 192.168.1.10 key radiusserver
  sw1(config)# aaa group server radius radigroup
  sw1(config-sg-radius)# server 192.168.1.10
  sw1(config-sg-radius)# end
  sw1#

TACACS+サーバーの構成例と設定例

装置でTACACS+サーバーを利用する場合の構成例と設定例を示します。

TACACS+サーバーの構成例

• VLAN 200を作成し、ポート1/0/2をアクセスポートとして［VLAN 200］を割り当てます。また、VLAN 200のIPアドレスを［192.168.1.200］に設定します。

  sw1# configure terminal
  sw1(config)# vlan 200
  sw1(config-vlan)# exit
  sw1(config)# interface port 1/0/2
  sw1(config-if-port)# switchport mode access
  sw1(config-if-port)# switchport access vlan 200
  sw1(config-if-port)# exit
  sw1(config)# interface vlan 200
  sw1(config-if-vlan)# ip address 192.168.1.200/24
  sw1(config-if-vlan)# exit
  sw1(config)#

• 装置のAAAを有効化します。また、TACACS+サーバーグループのデフォルトの認証方式リストを指定してログイン認証を有効化します。

  sw1(config)# aaa new-model
  sw1(config)# aaa authentication login default group tacacs+ none

• TACACS+パケットの送信元インターフェースとして［VLAN 200］を設定します。また、TACACS+サーバーのIPアドレス［192.168.1.20］と共有鍵［tacacsserver］を設定し、TACACS+サーバーグループを［tacagroup］に設定してTACACS+サーバーを登録します。

  sw1(config)# ip tacacs source-interface vlan 200
  sw1(config)# tacacs-server host 192.168.1.20 key tacacsserver
  sw1(config)# aaa group server tacacs+ tacagroup
  sw1(config-sg-tacacs+)# server 192.168.1.20
  sw1(config-sg-tacacs+)# end
  sw1#