Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
AAA ブロードキャスト アカウンティング - 必 須応答サポート
AAA ブロードキャスト アカウンティング - 必須応答サポート
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

AAA ブロードキャスト アカウンティング - 必須応答サポート

機能情報の確認

この章の構成

の前提条件

の制約事項

について

AAA ブロードキャスト アカウンティング

ブロードキャスト アカウンティングと待機アカウンティングの同時使用

GGSN での AAA ブロードキャスト アカウンティングのサポート方法

GGSN でのブロードキャスト アカウンティングと待機アカウンティングの設定

の設定例

の例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

の機能情報

AAA ブロードキャスト アカウンティング - 必須応答サポート

AAA ブロードキャスト アカウンティング - 必須応答サポート 機能は、Gateway GPRS Support Node(GGSN; ゲートウェイ GPRS サポート ノード)を介して各サーバ グループでのブロードキャスト アカウンティングをサポートするメカニズムを実現します。GGSN は、General Packet Radio Service(GPRS; グローバル パケット ラジオ サービス)のワイヤレス データ ネットワークと、インターネットやプライベート ネットワークなどその他のネットワーク間のゲートウェイとして動作します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「AAA ブロードキャスト アカウンティング - 必須応答サポートの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

AAA ブロードキャスト アカウンティング - 必須応答サポートの前提条件

GGSN を設定するための準備作業の詳細については、『 Cisco GGSN Release 8.0 Configuration Guide 』を参照してください。

AAA ブロードキャスト アカウンティング - 必須応答サポートの制約事項

アカウンティング情報は、最大 10 台の AAA サーバに同時に送信することができます。

AAA ブロードキャスト アカウンティング - 必須応答サポートについて

AAA ブロードキャスト アカウンティング - 必須応答サポート機能により、最大 10 個のサーバ グループ(方式)を方式リストで設定することができます。ここでは、GGSN のサポートに使用される AAA アカウンティングの種類について説明します。

「AAA ブロードキャスト アカウンティング」

「ブロードキャスト アカウンティングと待機アカウンティングの同時使用」

AAA ブロードキャスト アカウンティング

AAA ブロードキャスト アカウンティングを有効にすると、アカウンティング情報を複数の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバに同時に送信できます。つまり、アカウンティング情報を 1 つまた複数の AAA サーバに同時にブロードキャストすることが可能です。この機能を使用すると、サービス プロバイダーは自社使用のプライベート AAA サーバやエンド ユーザの AAA サーバにアカウンティング情報を送信できるようになります。この機能では、音声アプリケーションによる課金情報も提供されます。

RADIUS サーバまたは TACACS+ サーバのサーバ グループ間でブロードキャストを実行できるほか、他のグループと関係なく、サーバ グループごとにフェールオーバー用のバックアップ サーバを定義できます。フェールオーバーは、複数のサーバがサーバ グループで定義されているときに発生する可能性のある処理で、サーバ グループの 1 番目のサーバに情報が送信されたとき、このサーバが使用できなくなっていれば、サーバ グループの次のサーバに情報が送信されるプロセスを指しています。このプロセスは、情報がサーバ グループのいずれかのサーバに正常に送信されるまで、またはサーバ グループの使用可能なサーバのリストにあるすべてのサーバに送信が試行されるまで続行されます。

ブロードキャスト アカウンティングと待機アカウンティングの同時使用

Cisco GGSN リリース 8.0 以降では、ブロードキャスト アカウンティングと待機アカウンティングが一緒に動作するように設定できます。待機アカウンティング機能は Access Point Name(APN; アクセスポイント ネーム)レベルで設定されるのに対し、ブロードキャスト アカウンティングは AAA 方式レベルで指定されます。

ブロードキャスト アカウンティングでは、開始、停止、中間の各アカウンティング レコードが方式リストで設定されているすべてのサーバ グループに送信されます。サーバ グループでは、アカウンティング レコードは 1 番目のアクティブ サーバに送信されます。アクティブ サーバに到達できない場合、アカウンティング レコードはグループの次のサーバに送信されます。

さらに、方式リストの 1 つまたは複数のサーバ グループを「必須」と設定することができます。これは、そのサーバ グループのサーバがアカウンティング開始メッセージに応答する必要があるということです。APN レベルの待機アカウンティングを有効にすると、Packet Data Protocol(PDP; パケットデータプロトコル)コンテキストが確立される前に、すべての必須サーバ グループからのアカウンティング応答が受信されるようになります。

ブロードキャスト アカウンティングと待機アカウンティングを連動させたときの利点を次に示します。

アカウンティング レコードが複数のサーバに送信されます。エントリが作成されると、ユーザはさまざまなサービスの使用を開始できます。

冗長性を確保するため、複数の AAA サーバにレコードが送信されます。

PDP コンテキストの確立は、すべての必須サーバが有効なアカウンティング開始レコードを受信したときにのみ確立され、情報の損失が防止されます。

ブロードキャスト レコードは、方式リストの最大 10 個のサーバ グループに送信できます。

ブロードキャスト アカウンティングと待機アカウンティングを一緒に設定するときは、次の点に注意してください。

方式リストの設定で mandatory キーワードを使用できるのは、ブロードキャスト アカウンティングを設定している場合だけです。

待機アカウンティングが不要な場合は、必須グループを定義しなくてもすべてのサーバ グループへのブロードキャスト アカウンティングを使用できます。

ブロードキャスト アカウンティングの設定時に必須サーバ グループを指定しない場合は、待機アカウンティングの機能は Cisco GGSN リリース 7.0 以前と同じになります。

待機アカウンティングは PPP PDP コンテキストには適用されません。

PDP が正しく作成されるのは、すべての必須サーバからのアカウンティング応答が受信されたときだけです。

定期的なタイマーが起動するのは、アカウンティング応答(PDP 作成)が受信されたときです。


) 複数のサーバ グループを必須サーバ グループとして方式リストで定義できます。


GGSN での AAA ブロードキャスト アカウンティングのサポート方法

次の作業を行って、GGSN でブロードキャスト アカウンティングと待機アカウンティングを設定します。

「GGSN でのブロードキャスト アカウンティングと待機アカウンティングの設定」

GGSN でのブロードキャスト アカウンティングと待機アカウンティングの設定

この項の作業では、GGSN でブロードキャスト アカウンティングと待機アカウンティングを設定する方法を説明します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa accounting network { method-list-name | default }

5. action-type { start-stop | stop-only | none }

6. broadcast

7. group { server-group } [ mandatory ]

8. exit

9. gprs access-point-list list-name

10. access-point access-point-index

11. aaa-group accounting method-list name

12. gtp-response-message wait-accounting

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router# aaa new-model

アクセス コントロールの新しいコマンドおよび機能を有効にします(以前のコマンドを無効にします)。

ステップ 4

aaa accounting network { method-list-name | default }
 

Router(config)# aaa accounting network net1

RADIUS 使用時の課金またはセキュリティ用に、要求されたサービスの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)アカウンティングを有効にし、アカウンティング方式リスト モードを開始します。

method-list-name 引数は、最大 31 文字の名前付きアカウンティング リストです。最大数を超える文字は、いずれも却下されます。

default キーワードでは、デフォルトのアカウンティング リストを指定します。

ステップ 5

action-type { start-stop | stop-only | none }
 
Router(cfg-acct-mlist)#action-type start-stop

ある種のアクションをアカウンティング レコードで実行します。有効な値は次のとおりです。

start-stop :プロセスの最初に「開始」アカウンティング通知を送信し、プロセスの最後に「停止」アカウンティング通知を送信します。

stop-only :要求されたユーザ プロセスの最後に「停止」アカウンティング通知を送信します。

none :回線またはインターフェイスのアカウンティング サービスをディセーブルにします。

ステップ 6

broadcast
 
Router(cfg-acct-mlist)#broadcast

(任意)複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにします。各グループの最初のサーバに対し、アカウンティング レコードを同時に送信します。最初のサーバを利用できない場合は、該当のグループ内で定義されたバックアップ サーバを使用したフェールオーバーが発生します。

ステップ 7

group server-group [ mandatory ]
 
Router(cfg-acct-mlist)#group server1

サーバ グループを指定します。必要に応じて、 mandatory キーワードを指定して、サーバ グループを必須と定義します。サーバ グループが必須である場合、そのサーバ グループのサーバがアカウンティング開始メッセージに応答する必要があります。

(注) 最大 10 個のサーバ グループを 1 つの方式リストで定義できます。

ステップ 8

exit

アカウンティング方式リストのコンフィギュレーション モードを終了します。

ステップ 9

gprs access-point-list list-name
 
Router(config)# gprs access-point-list public1

GGSN で Public Data Network(PDN; パブリック データ ネットワーク)のアクセス ポイントを定義するためのアクセス ポイント リストを設定し、グローバル コンフィギュレーション モードを開始します。

ステップ 10

access-point access-point-index
 
Router(config-ap-list)# access-point 11

アクセス ポイント番号を指定し、アクセス ポイント コンフィギュレーション モードを開始します。

ステップ 11

aaa-group accounting method-list name

 

Router(config-access-point)#aaa-group accounting net1

アカウンティング サーバ グループを指定します。

ステップ 12

gtp-response-message wait-accounting

 

Router(config-access-point)# gtp-response-message wait-accounting

Serving GPRS Support Node(SGSN; サービング GPRS サポート ノード)に Create PDP Context Response を送信する前に、RADIUS アカウンティング応答を待機するように APN を設定します。

AAA ブロードキャスト アカウンティング - 必須応答サポートの設定例

次の設定例は AAA ブロードキャスト アカウンティング - 必須応答サポートに使用できます。

「AAA ブロードキャスト アカウンティング - 必須応答サポートの例」

AAA ブロードキャスト アカウンティング - 必須応答サポートの例

次の例では、SGSN に Create PDP Context Response を送信する前に、RADIUS サーバからの RADIUS アカウンティング応答を待機するように GGSN がグローバルに設定されます。GGSN は、access-point 1 以外のすべてのアクセス ポイントで受信された PDP コンテキスト要求の応答を待機します。RADIUS 応答メッセージの待機は、 no gtp response-message wait-accounting コマンドを使用して access-point 1 で無効化されています。

! Enables AAA globally
!
aaa new-model
!
 
! Defines AAA server group
!
aaa group server radius abc
server 10.2.3.4 auth-port 1645 acct-port 1646
server 10.6.7.8 auth-port 1645 acct-port 1646
!
! Configures AAA authentication and authorization
!
aaa authentication ppp abc group abc
aaa authorization network abc group abc
aaa accounting network abc
action-type start-stop
broadcast
group SG1 mandatory
group SG2
group SG3 mandatory
!
gprs access-point-list gprs
access-point 1
access-mode non-transparent
access-point-name www.pdn1.com
aaa-group authentication abc
!
! Disables waiting for RADIUS response
! message at APN 1
!
no gtp response-message wait-accounting
exit
access-point 2
access-mode non-transparent
access-point-name www.pdn2.com
aaa-group authentication abc
!
! Enables waiting for RADIUS response
! messages across all APNs (except APN 1)
!
gprs gtp response-message wait-accounting
!
! Configures global RADIUS server hosts
! and specifies destination ports for
! authentication and accounting requests
!
radius-server host 10.2.3.4 auth-port 1645 acct-port 1646 non-standard
radius-server host 10.6.7.8 auth-port 1645 acct-port 1646 non-standard
radius-server key ggsntel

その他の参考資料

ここでは、AAA ブロードキャスト アカウンティング - 必須応答サポート機能に関する関連資料について説明します。

関連資料

内容
参照先

GGSN の設定の準備作業

『Cisco GGSN Release 8.0 Configuration Guide』

AAA コマンド

『Cisco IOS Security Command Reference Guide』

AAA 機能

『Cisco IOS Security Configuration Guide: Securing User Services』

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能がサポートする新規 RFC または改訂 RFC はありません。また、この機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

AAA ブロードキャスト アカウンティング - 必須応答サポートの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 AAA ブロードキャスト アカウンティング - 必須応答サポートの機能情報

機能名
リリース
機能情報

AAA ブロードキャスト アカウンティング - 必須応答サポート

12.4(22)T

AAA ブロードキャスト アカウンティング - 必須応答サポート 機能は、Gateway GPRS Support Node(GGSN; ゲートウェイ GPRS サポート ノード)を介して各サーバ グループでのブロードキャスト アカウンティングをサポートするメカニズムを実現します。GGSN は、General Packet Radio Service(GPRS; グローバル パケット ラジオ サービス)のワイヤレス データ ネットワークと、インターネットやプライベート ネットワークなどその他のネットワーク間のゲートウェイとして動作します。

この機能は、リリース 12.4(22)T で導入されました。

次のコマンドが導入または変更されました。 aaa accounting network aaa-group accounting access-point action-type broadcast gprs access-point-list group gtp-response-message wait-accounting