Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化

機能情報の確認

この章の構成

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の前提条件

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能の概要

RADIUS を使用した MLP の機能

L2TP アクセス サーバと L2TP ネットワーク サーバのロール

新しいベンダー固有アトリビュート

事前認証での RADIUS を使用した MLP ネゴシエーションの確認

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の設定例

MLP の LAC の設定:例

事前認証用の LAC RADIUS プロファイル:例

MLP の LNS の設定:例

LNS RADIUS プロファイル:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の機能情報

用語集

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能を使用すると、管理者は、事前認証プロファイルに対して RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)の preauth:ppp-multilink=1 を使用して、異なるユーザの Multilink PPP(MLP; マルチリンク PPP)ネゴシエーションを選択的にイネーブルまたはディセーブルにすることができます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の前提条件

RADIUS の VSA preauth:ppp-multilink=1 を使用して MLP をイネーブルにする前に、次のタスクを実行する必要があります。

Network Access Server(NAS; ネットワーク アクセス サーバ)をイネーブルにし、 radius-server vsa send コマンドを使用して、RADIUS IETF アトリビュート 26 に定義されたように VSA を認識して使用します。

VSA の使用の詳細については、「 Configuring RADIUS 」フィーチャ モジュールの「Configuring Router to Use Vendor-Specific RADIUS Attributes」を参照してください。

事前認証をイネーブルにします。

事前認証の詳細と設定については、「 Configuring RADIUS 」フィーチャ モジュールの「Configuring AAA Preauthentication」を参照してください。

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能の概要

事前認証ユーザに対して RADIUS を使用してマルチリンク PPP 機能をイネーブルにするには、インターフェイスで ppp multilink コマンドを実行します。ただし、このコマンドは、そのインターフェイスのすべての接続とユーザの MLP ネゴシエーションをイネーブルにします。つまり、インターフェイスの特定の接続やユーザの MLP ネゴシエーションを選択的にイネーブルまたはディセーブルにすることはできません。


) この機能を有効にする場合、インターフェイスに ppp multilink コマンドを設定しないでください。このコマンドはデフォルトで MLP をディセーブルにします。すでにそのインターフェイスに ppp multilink コマンドが設定されている場合、このコマンドはアトリビュート「preauth:ppp-multilink=1」によって上書きされません。


RADIUS を使用した MLP の機能

MLP のパラメータは Link Control Protocol(LCP; リンク コントロール プロトコル)ネゴシエーションのときにネゴシエートされるため、RADIUS の VSA preauth:ppp-multilink=1 は事前認証ユーザの認可のみに含める必要があります。MLP をイネーブルにするには、この VSA をユーザの事前認証プロファイルに追加する必要があります。そうすることで、MLP は、プロファイルにこの VSA を含む事前認証ユーザに対してのみイネーブルになり、他のすべてのユーザにはディセーブルになります。事前認証ユーザの認可とは対照的に、PPP のユーザの認可時に MLP の VSA を受信した場合、MLP とネゴシエートするには遅すぎるため、MLP はイネーブルになりません。

事前認証ユーザの認可時にこの VSA を受信すると、そのユーザの MLP ネゴシエーションがイネーブルになります。MLP は VSA の値が 1 のときにイネーブルになります。1 以外のすべてのアトリビュート値は無視されます。

L2TP アクセス サーバと L2TP ネットワーク サーバのロール

この機能を使用すると、事前認証ユーザの認可時に、L2TP Access Server(LAC; L2TP アクセス サーバ)のインターフェイスにある MLP を設定する必要はありません。LAC は、preauth:ppp-multilink=1 を受信した事前認証ユーザの MLP を選択的にイネーブルにします。L2TP Network Server(LNS; L2TP ネットワーク サーバ)では、PPP ユーザの認可時に RADIUS の VSA multilink:max-links=n を送信することによって、マルチリンク バンドルで使用可能な最大リンク数を制御できます。

新しいベンダー固有アトリビュート

この機能では、次の新しい VSA を導入しています。

Cisco-AVpair = preauth:ppp-multilink=1

インターフェイスで MLP をオンにして、事前認証プロファイルに適用します。

Cisco-AVpair = multilink:max-links=n

ユーザがマルチリンク バンドルで使用できる最大リンク数を制限します。service=ppp アトリビュートと一緒に使用します。「n」の範囲は 1 ~ 255 です。

Cisco-AVpair = multilink:min-links=1

MLP に対するリンクの最小数を設定します。「n」の範囲は 0 ~ 255 です。

Cisco-AVpair = multilink:load-threshold=n

マルチリンク バンドルに対して他のリンクを追加または削除する発信元の負荷のしきい値を設定します。負荷が指定された値を超えた場合はリンクが追加され、負荷が指定された値を下回った場合はリンクが削除されます。このアトリビュートは service=ppp アトリビュートと一緒に使用します。「n」の範囲は 1 ~ 255 です。


) RADIUS の VSA multilink:max-links、multilink:min-links、および multilink:load-threshold は、TACACS+ のユーザ単位アトリビュート max-links、min-links、および load-threshold とそれぞれ同じ目的で機能します。


事前認証での RADIUS を使用した MLP ネゴシエーションの確認

MLP バンドルのバンドル情報を表示するには、 show ppp multilink EXEC コマンドを使用します。

Router# show ppp multilink
 
Virtual-Access1, bundle name is mlpuser
Bundle up for 00:00:15
Dialer interface is Serial0:23
0 lost fragments, 0 reordered, 0 unassigned
0 discarded, 0 lost received, 1/255 load
0x0 received sequence, 0x0 sent sequence
Member links: 1 (max 7, min 1)
Serial0:22, since 00:00:15, no frags rcvd
 

表 1 に、MLP がイネーブルである場合に表示される重要なフィールドについて説明します。

 

表 1 show ppp multilink のフィールドの説明

フィールド
説明

Virtual-Access1

マルチリンク バンドルの仮想インターフェイス。

Bundle

マルチリンク バンドルに設定された名前。

Dialer Interface is Serial0:23

コールをダイヤルするインターフェイス名。

1/255 load

リンクの負荷。範囲は 1/255 ~ 255/255(255/255 は 100% の負荷を表す)。

Member links: 1

子インターフェイスの数。

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の設定例

ここでは、Cisco VSA ppp-multilink を使用したダイヤルイン VPDN の設定について説明します。

MLP の LAC の設定:例

事前認証用の LAC RADIUS プロファイル:例

MLP の LNS の設定:例

LNS RADIUS プロファイル:例

MLP の LAC の設定:例

次に、RADIUS を使用して MLP 用の LAC の設定に使用できる設定の例を示します。

! Enable preauthentication
aaa preauth
group radius
dnis required
 
!Enable VPDN
vpdn enable
!
vpdn-group 1
request-dialin
protocol l2tp
dnis 56118
initiate-to ip 10.0.1.22
local name lac-router
 
! Don't need to configure multilink on the interface
! Multilink will be enabled by “ppp-multilink” attribute
interface Serial0:23
ip address 15.0.1.7 255.0.0.0
encapsulation ppp
dialer-group 1
isdn switch-type primary-5ess
isdn calling-number 56118
peer default ip address pool pool1
no cdp enable
ppp authentication chap

事前認証用の LAC RADIUS プロファイル:例

次に、preauth:ppp-multilink=1 という VSA を適用した事前認証ユーザの LAC RADIUS プロファイルの例を示します。

56118 Password = “cisco”
Service-Type = Outbound,
Framed-Protocol = PPP,
Framed-MTU = 1500,
Cisco-Avpair = "preauth:auth-required=1",
Cisco-Avpair = "preauth:auth-type=chap",
Cisco-Avpair = "preauth:username=dnis:56118",
Cisco-Avpair = "preauth:ppp-multilink=1"

MLP の LNS の設定:例

次に、MLP バンドルのリンク数を制限するための LNS の設定に使用できる設定例を示します。

! Enable VPDN
vpdn enable
!
vpdn-group 1
accept-dialin
protocol any
virtual-template 1
terminate-from hostname lac-router
local name lns-router
!
! Configure multilink on interface
interface Virtual-Template 1
ip unnumbered Ethernet 0/0
ppp authentication chap
ppp multilink

LNS RADIUS プロファイル:例

次に、マルチリンク バンドルの最大リンク数を指定する場合の LNS RADIUS プロファイルの例を示します。次のマルチリンク VSA は PPP ユーザの認可時に指定する必要があります。

mascot password = "cisco"
Service-Type = Framed,
Framed-Protocol = PPP,
Cisco-Avpair = "multilink:max-links=7"
Cisco-Avpair = "multilink:min-links=1"
Cisco-Avpair = "multilink:load-threshold=128"

その他の参考資料

ここでは、事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能の関連資料について説明します。

関連資料

内容
参照先

RADIUS

Configuring RADIUS 」フィーチャ モジュール

ダイヤル テクノロジー

Cisco IOS Dial Technologies Configuration Guide , Release 12.4T』

RADIUS アトリビュート

RADIUS Attributes Overview and RADIUS IETF Attributes 」フィーチャ モジュール

TACACS+ アトリビュート

TACACS+ Attribute-Value Pairs 」フィーチャ モジュール

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

サポートされる新しい RFC や変更された RFC はありません。

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の機能情報

表 2 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 2 事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の機能情報

機能名
リリース
機能情報

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化

12.2(11)T

事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能を使用すると、管理者は、事前認証プロファイルに対して RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)の preauth:ppp-multilink=1 を使用して、異なるユーザの Multilink PPP(MLP; マルチリンク PPP)ネゴシエーションを選択的にイネーブルまたはディセーブルにすることができます。

この機能は、Cisco IOS リリース 12.2(11)T で導入されました。

用語集

AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。Cisco ルータまたはアクセス サーバにアクセス コントロールを設定できる主要なフレームワークを提供する一連のネットワーク セキュリティ サービスです。

L2F:Layer 2 Forwarding(レイヤ 2 フォワーディング)。インターネットでのセキュアな仮想プライベート ダイヤルアップ ネットワークの作成をサポートするプロトコルです。

L2TP:Layer 2 Tunnel Protocol(レイヤ 2 トンネル プロトコル)。レイヤ 2 トンネル プロトコルを使用すると、ISP などのアクセス サービスが仮想トンネルを作成し、顧客のリモート サイトやリモート ユーザを企業のホーム ネットワークにリンクさせることができます。具体的には、ISP Point of Presence(POP; アクセス ポイント)にある Network Access Server(NAS; ネットワーク アクセス サーバ)がリモート ユーザと PPP メッセージを交換し、L2F または L2TP の要求や応答を使用して顧客のトンネル サーバと通信し、トンネルのセットアップを行います。

LAC:L2TP Access Concentrator(L2TP アクセス コンセントレータ)。クライアントが直接接続し、PPP フレームが L2TP Network Server(LNS; L2TP ネットワーク サーバ)にトンネリングされる Network Access Server(NAS; ネットワーク アクセス サーバ)です。LAC は、L2TP が 1 つまたは複数の LNS にトラフィックを渡すために操作するメディアのみを実装します。LAC は PPP 内で伝送されるすべてのプロトコルをトンネルすることができます。また、LAC は着信コールを開始して、発信コールを受け取ります。LAC は L2F ネットワーク アクセス サーバに似ています。

LNS:L2TP Network Server(L2TP ネットワーク サーバ)。L2TP トンネルの終端ポイントです。また、PPP フレームを処理して上の階層のプロトコルに渡す場合のアクセス ポイントでもあります。LNS は PPP を終端させる任意のプラットフォーム上で動作できます。LNS はサーバ側の L2TP プロトコルを処理します。L2TP は、L2TP のトンネルが到達する 1 つのメディアにのみ依存します。LNS は発信コールを開始して、着信コールを受け取ります。LNS は L2F テクノロジーのホーム ゲートウェイに似ています。

MLP :Multilink PPP(マルチリンク PPP)。MLP を使用すると、パケットをフラグメント化し、そのフラグメントを同じリモート アドレスへの複数のポイントツーポイント リンクに同時に送信できます。定義されたダイヤラの負荷のしきい値に応じて、複数のリンクが作成されます。指定されたサイト間のトラフィックの必要に応じて、着信トラフィック、発信トラフィック、またはその両方の負荷が計算されます。MLP はオンデマンド帯域幅を提供し、WAN リンク間の伝送の遅延を削減します。

MLP は、ダイヤルオンデマンド ロータリー グループと PPP のカプセル化の両方をサポートするように設定された 1 つまたは複数のインターフェイスの同期シリアルまたは非同期シリアル、および BRI または PRI タイプに対して機能するように設計されています。

RADIUS:Remote Authentication Dial-In User Service。RADIUS は、不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

VSA:Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。VSA は、1 つの IETF アトリビュート(ベンダー固有、アトリビュート 26)から派生しています。アトリビュート 26 を使用すれば、ベンダーは、追加の 255 個のアトリビュートを作成して実装できます。つまり、ベンダーは IETF のアトリビュートのデータとは一致しないアトリビュートを作成し、それをアトリビュート 26 の裏側でカプセル化することができます。基本的には、Vendor-Specific = "protocol:attribute=value" の形式を使用します。

アトリビュート:RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートは、255 の標準アトリビュートで構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。IETF アトリビュートは標準であるため、アトリビュート データは事前定義されてその内容も認識されています。このため、IETF アトリビュートを介して AAA 情報を交換するすべてのクライアントとサーバは、アトリビュートの厳密な意味や各アトリビュート値の一般的な限界など、アトリビュート データに一致させる必要があります。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2002-2009 Cisco Systems, Inc.
All rights reserved.