Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
ACL Default Direction
ACL Default Direction
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ACL Default Direction

機能情報の確認

この章の構成

ACL Default Direction の前提条件

ACL Default Direction について

radius-server attribute 11 direction default コマンド

ACL Default Direction の利点

ACL Default Direction の設定方法

アトリビュート 11(Filter-Id)による RADIUS からの ACL のデフォルト方向の設定

アトリビュート 11(Filter-Id)による RADIUS からの ACL のデフォルト方向の確認

ACL Default Direction の設定例

RADIUS アトリビュート 11(Filter-Id)によるフィルタのデフォルトの方向の例

Filter-Id のある RADIUS ユーザ プロファイルの例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ACL Default Direction の機能情報

ACL Default Direction

ACL Default Direction 機能を使用すると、フィルタの方向が指定されていないサーバ上で、インバウンド パケット(ネットワークに着信するパケット)だけになるようにフィルタの方向を変更できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ACL Default Direction の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

ACL Default Direction の前提条件

RADIUS からデフォルトのフィルタの方向を変更するためには、次の作業を行う必要があります。

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)用に Network Access Server(NAS; ネットワーク アクセス サーバ)を設定し、着信コールを受け付けるように設定します。

詳細については、『 Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T 』および『 Cisco IOS Dial Technologies Configuration Guide, Release 12.4T 』の AAA に関する章を参照してください。

NAS でフィルタを作成します。

詳細については、『 Cisco IOS IP Addressing Services Configuration Guide , Release 12.4T』を参照してください。

RADIUS ユーザのフィルタ定義(Filter-Id = "myfilter" など)を追加します。

ACL Default Direction について

RADIUS から Access Control List(ACL; アクセス コントロール リスト)のフィルタのデフォルトの方向を変更するためには、次の概念を理解しておく必要があります。

「radius-server attribute 11 direction default コマンド」

「ACL Default Direction の利点」

radius-server attribute 11 direction default コマンド

radius-server attribute 11 direction default コマンドを使用すると、RADIUS から ACL のフィルタのデフォルトの方向を変更することができます(RADIUS アトリビュート 11(Filter-Id)はユーザのフィルタ リストの名前を示しています)。このコマンドをイネーブルにすると、トラフィックがネットワークを出るときにのみフィルタ処理が発生するデフォルトのアウトバウンド方向を維持するのではなく、トラフィックがルータに入るのを阻止し、リソースの消費を少なくするインバウンド方向にフィルタの方向を変更することができます。

ACL Default Direction の利点

ACL Default Direction 機能により、 radius-server attribute 11 direction default コマンドを使用して ACL のフィルタのデフォルトの方向(アウトバウンド)をインバウンドに変更することができます。

ACL Default Direction の設定方法

ここでは、次の各手順について説明します。

「アトリビュート 11(Filter-Id)による RADIUS からの ACL のデフォルト方向の設定」(必須)

「アトリビュート 11(Filter-Id)による RADIUS からの ACL のデフォルト方向の確認」(任意)

アトリビュート 11(Filter-Id)による RADIUS からの ACL のデフォルト方向の設定

次の作業を行って、アトリビュート 11 を使用して RADIUS からフィルタのデフォルトの方向を設定します。

手順の概要

1. enable

2. configure terminal

3. radius-server attribute 11 direction default [ inbound | outbound ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

radius-server attribute 11 direction default [ inbound | outbound ]

 

Router(config)# radius-server attribute 11 direction default inbound

RADIUS からフィルタのデフォルトの方向をインバウンドまたはアウトバウンドに指定します。

アトリビュート 11(Filter-Id)による RADIUS からの ACL のデフォルト方向の確認

次の作業を行って、RADIUS からフィルタのデフォルトの方向を確認したり、アクセス受け入れ要求で RADIUS アトリビュート 11 が送信されていることを確認したりします。

手順の概要

1. enable

2. more system:running-config

3. debug radius

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

more system:running-config

 

Router# more system:running-config

現在実行されているコンフィギュレーション ファイルの内容を表示します。

ステップ 3

debug radius

 

Router# debug radius

RADIUS 関連の情報を表示します。このコマンドの出力は、アクセス受け入れ要求でアトリビュート 11 が送信されているかどうかを示しています。

ACL Default Direction の設定例

ここでは、次の設定例について説明します。

「RADIUS アトリビュート 11(Filter-Id)によるフィルタのデフォルトの方向の例」

「Filter-Id のある RADIUS ユーザ プロファイルの例」

RADIUS アトリビュート 11(Filter-Id)によるフィルタのデフォルトの方向の例

次の例は、RADIUS アトリビュート 11 を設定してフィルタのデフォルトの方向を変更する方法を示しています。この例では、フィルタ処理はインバウンド パケットのみに適用されます。

radius-server attribute 11 direction default inbound

Filter-Id のある RADIUS ユーザ プロファイルの例

次に、RADIUS アトリビュート 11(Filter-Id)を含む RADIUS ユーザ プロファイル(Merit Daemon 形式)の例を示します。

client Password = "password1"
Service-Type = Framed,
Framed-Protocol = PPP,
Filter-Id = "myfilter.out"
 

この例に示されている RADIUS ユーザ プロファイルにより、NAS から次の応答が生成されます。

RADIUS: Send to unknown id 79 10.51.13.4:1645, Access-Request, len 85
RADIUS: authenticator 84 D3 B5 7D C2 5B 70 AD - 1E 5C 56 E8 3A 91 D0 6E
RADIUS: User-Name [1] 8 "client"
RADIUS: CHAP-Password [3] 19 *
RADIUS: NAS-Port [5] 6 20030
RADIUS: NAS-Port-Type [61] 6 ISDN [2]
RADIUS: Called-Station-Id [30] 6 "4321"
RADIUS: Calling-Station-Id [31] 6 "1234"
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: NAS-IP-Address [4] 6 10.1.73.74
 
RADIUS: Received from id 79 10.51.13.4:1645, Access-Accept, len 46
RADIUS: authenticator 9C 6C 66 E2 F1 42 D6 4B - C1 7D D4 5E 9D 09 BB A1
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: Framed-Protocol [7] 6 PPP [1]
RADIUS: Filter-Id [11] 14

RADIUS: 6D 79 66 69 6C 74 65 72 2E 6F 75 74 [myfilter.out]

その他の参考資料

ここでは、ACL Default Direction 機能の関連資料について説明します。

関連資料

内容
参照先

『Cisco IOS Dial Technologies Configuration Guide』

Cisco IOS Dial Technologies Configuration Guide, Release 12.4T

Cisco IOS セキュリティの設定

Cisco IOS Security Configuration Guide: Securing User Services, Release 12.4T

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

IP サービスの設定

Cisco IOS IP Addressing Services Configuration Guide , Release 12.4T』

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2865

Remote Authentication Dial-In User Service (RADIUS)

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

ACL Default Direction の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ACL Default Direction の機能情報

機能名
リリース
機能情報

ACL Default Direction

12.2(4)T
12.2(28)SB
12.2(31)SB3

ACL Default Direction 機能を使用すると、フィルタの方向が指定されていないサーバ上で、インバウンド パケット(ネットワークに着信するパケット)だけになるようにフィルタの方向を変更できます。

この機能は、Cisco IOS リリース 12.2(4)T で導入されました。

この機能は、Cisco IOS リリース 12.2(28)SB で導入されました。

この機能は、Cisco IOS リリース 12.2(31)SB3 で導入されました。

コマンド radius-server attribute 11 direction default が導入されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2001-2009 Cisco Systems, Inc.
All rights reserved.