Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
RFC-2867 RADIUS トンネル アカウンティ ング
RFC-2867 RADIUS トンネル アカウンティング
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RFC-2867 RADIUS トンネル アカウンティング

機能情報の確認

この章の構成

RFC-2867 RADIUS トンネル アカウンティングの制限事項

RFC-2867 RADIUS トンネル アカウンティングに関する情報

RADIUS トンネル アカウンティングのための RADIUS アトリビュート サポート

RADIUS トンネル アカウンティングの設定方法

トンネル タイプ アカウンティング レコードの有効化

VPDN トンネル イベント

この次の手順

RADIUS トンネル アカウンティングの確認

RADIUS トンネル アカウンティングの設定例

LAC 上での RADIUS トンネル アカウンティングの設定:例

LNS 上での RADIUS トンネル アカウンティングの設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

RFC-2867 RADIUS トンネル アカウンティングの機能情報

RFC-2867 RADIUS トンネル アカウンティング

RFC-2867 RADIUS トンネル アカウンティングは、6 つの新しい RADIUS アカウンティング タイプを導入しています。これらのタイプは、アカウンティング要求がユーザ サービスの始まり(開始)と終わり(終了)のどちらを表しているかを示す、RADIUS アカウンティング アトリビュートの Acct-Status-Type(アトリビュート 40)と一緒に使用されます。

また、この機能は、ユーザによる VPDN セッション イベントのトラブルシューティングを支援する 2 つの Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)コマンドを導入しています。

ユーザが tunnel-link ステータスの変化を判断できるようにするネットワーク アカウンティングを使用した VPDN では、RADIUS トンネル アカウンティングがサポートされていないため、使用可能なすべてのアトリビュートがアカウンティング レコード ファイルに書き込まれませんでした。現在は使用可能なすべてのアトリビュートを表示できるため、ユーザはアカウンティング レコードを Internet Service Provider(ISP; インターネット サービス プロバイダー)に確認しやすくなりました。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RFC-2867 RADIUS トンネル アカウンティングの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

RFC-2867 RADIUS トンネル アカウンティングの制限事項

RADIUS トンネル アカウンティングは、L2TP トンネル サポートがなければ動作しません。

RFC-2867 RADIUS トンネル アカウンティングに関する情報

RADIUS トンネル アトリビュートとコマンドを使用するには、次の概念を理解しておく必要があります。

「RADIUS トンネル アカウンティングのための RADIUS アトリビュート サポート」

RADIUS トンネル アカウンティングのための RADIUS アトリビュート サポート

表 1 に、ダイヤルアップ ネットワーク内の強制的トンネリングのプロビジョンをサポートするように設計された新しい RADIUS アカウンティング タイプの概要を示します。このアトリビュート タイプを使用すれば、トンネル ステータスの変化をより適切に追跡できます。


) アカウンティング タイプは 2 つのトンネル タイプに分けられるため、ユーザは、トンネル タイプが必要なのか、tunnel-link タイプが必要なのか、両方のアカウンティング タイプが必要なのかを判断できます。


 

表 1 Acct-Status-Type アトリビュート用の RADIUS アカウンティング タイプ

タイプ名
番号
説明
追加アトリビュート1

Tunnel-Start

9

別のノードとのトンネル セットアップの始まりを示します。

User-Name(1):クライアントから

NAS-IP-Address(4):AAA から

Acct-Delay-Time(41):AAA から

Event-Timestamp(55):AAA から

Tunnel-Type(64):クライアントから

Tunnel-Medium-Type(65):クライアントから

Tunnel-Client-Endpoint(66):クライアントから

Tunnel-Server-Endpoint(67):クライアントから

Acct-Tunnel-Connection(68):クライアントから

Tunnel-Stop

10

別のノードへの、または別のノードからのトンネル接続の終わりを示します。

User-Name(1):クライアントから

NAS-IP-Address(4):AAA から

Acct-Delay-Time(41):AAA から

Acct-Input-Octets(42):AAA から

Acct-Output-Octets(43):AAA から

Acct-Session-Id(44):AAA から

Acct-Session-Time(46):AAA から

Acct-Input-Packets(47):AAA から

Acct-Output-Packets(48):AAA から

Acct-Terminate-Cause(49):AAA から

Acct-Multi-Session-Id(51):AAA から

Event-Timestamp(55):AAA から

Tunnel-Type(64):クライアントから

Tunnel-Medium-Type(65):クライアントから

Tunnel-Client-Endpoint(66):クライアントから

Tunnel-Server-Endpoint(67):クライアントから

Acct-Tunnel-Connection(68):クライアントから

Acct-Tunnel-Packets-Lost(86):クライアントから

Tunnel-Reject

11

別のノードとのトンネル セットアップの拒否を示します。

User-Name(1):クライアントから

NAS-IP-Address(4):AAA から

Acct-Delay-Time(41):AAA から

Acct-Terminate-Cause(49):クライアントから

Event-Timestamp(55):AAA から

Tunnel-Type(64):クライアントから

Tunnel-Medium-Type(65):クライアントから

Tunnel-Client-Endpoint(66):クライアントから

Tunnel-Server-Endpoint(67):クライアントから

Acct-Tunnel-Connection(68):クライアントから

Tunnel-Link-Start

12

トンネル リンクの構築を示します。一部のトンネル タイプ(Layer 2 Transport Protocol(L2TP; レイヤ 2 トランスポート プロトコル)しか、トンネル当たりの複数リンクをサポートしていません。この値は、トンネル当たりの複数リンクをサポートしているトンネル タイプのアカウンティング パケット以外には含めないでください。

User-Name(1):クライアントから

NAS-IP-Address(4):AAA から

NAS-Port(5):AAA から

Acct-Delay-Time(41):AAA から

Event-Timestamp(55):AAA から

Tunnel-Type(64):クライアントから

Tunnel-Medium-Type(65):クライアントから

Tunnel-Client-Endpoint(66):クライアントから

Tunnel-Server-Endpoint(67):クライアントから

Acct-Tunnel-Connection(68):クライアントから

Tunnel-Link-Stop

13

トンネル リンクの終わりを示します。一部のトンネル タイプ(L2TP)しか、トンネル当たりの複数リンクをサポートしていません。この値は、トンネル当たりの複数リンクをサポートしているトンネル タイプのアカウンティング パケット以外には含めないでください。

User-Name(1):クライアントから

NAS-IP-Address(4):AAA から

NAS-Port(5):AAA から

Acct-Delay-Time(41):AAA から

Acct-Input-Octets(42):AAA から

Acct-Output-Octets(43):AAA から

Acct-Session-Id(44):AAA から

Acct-Session-Time(46):AAA から

Acct-Input-Packets(47):AAA から

Acct-Output-Packets(48):AAA から

Acct-Terminate-Cause(49):AAA から

Acct-Multi-Session-Id(51):AAA から

Event-Timestamp(55):AAA から

NAS-Port-Type(61):AAA から

Tunnel-Type(64):クライアントから

Tunnel-Medium-Type(65):クライアントから

Tunnel-Client-Endpoint(66):クライアントから

Tunnel-Server-Endpoint(67):クライアントから

Acct-Tunnel-Connection(68):クライアントから

Acct-Tunnel-Packets-Lost(86):クライアントから

Tunnel-Link-Reject

14

既存のトンネル内の新しいリンクに対するトンネル セットアップの拒否を示します。一部のトンネル タイプ(L2TP)しか、トンネル当たりの複数リンクをサポートしていません。この値は、トンネル当たりの複数リンクをサポートしているトンネル タイプのアカウンティング パケット以外には含めないでください。

User-Name(1):クライアントから

NAS-IP-Address(4):AAA から

Acct-Delay-Time(41):AAA から

Acct-Terminate-Cause(49):AAA から

Event-Timestamp(55):AAA から

Tunnel-Type(64):クライアントから

Tunnel-Medium-Type(65):クライアントから

Tunnel-Client-Endpoint(66):クライアントから

Tunnel-Server-Endpoint(67):クライアントから

Acct-Tunnel-Connection(68):クライアントから

1.指定されたトンネル タイプが使用されている場合は、これらのアトリビュートもアカウンティング要求パケットに含める必要があります。

RADIUS トンネル アカウンティングの設定方法

ここでは、次の各手順について説明します。

「トンネル タイプ アカウンティング レコードの有効化」

「RADIUS トンネル アカウンティングの確認」

トンネル タイプ アカウンティング レコードの有効化

このタスクを使用して、トンネル レコードと tunnel-link アカウンティング レコードを RADIUS サーバに送信するように LAC を設定します。

VPDN トンネル イベント

2 つの新しい Command Line Interface(CLI; コマンドライン インターフェイス)の vpdn セッション アカウンティング ネットワーク( tunnel-link-type records) vpdn トンネル アカウンティング ネットワーク( tunnel-type records )が次のイベントの特定を支援するためにサポートされています。

VPDN トンネルが構築または破壊された。

VPDN トンネルの作成要求が拒否された。

VPDN トンネル内のユーザ セッションが起動または停止された。

ユーザ セッション作成要求が拒否された。


) 最初の 2 つのイベントは、tunnel-type アカウンティング レコードです。Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)が、Tunnel-Start、Tunnel-Stop、または Tunnel-Reject アカウンティング レコードを RADIUS サーバに送信します。次の 2 つのイベントは、tunnel-link-type アカウンティング レコードです。AAA が、Tunnel-Link-Start、Tunnel-Link-Stop、または Tunnel-Link-Reject アカウンティング レコードを RADIUS サーバに送信します。


手順の概要

1. enable

2. configure terminal

3. aaa accounting network { default | list-name } { start-stop | stop-only | wait-start | none} group groupname

4. vpdn enable

5. vpdn tunnel accounting network list-name

6. vpdn session accounting network list-name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

Router(config)# aaa accounting network
{ default | list-name } { start-stop | stop-only | wait-start | none } group groupname

ネットワーク アカウンティングを有効にします。

default デフォルト ネットワーク アカウンティングの method-list が設定され、インターフェイス上でどの追加のアカウンティング設定も有効になっていない場合は、デフォルトで、ネットワーク アカウンティングが有効になります。

vpdn session accounting network コマンドと vpdn tunnel accounting network コマンドのどちらかが デフォルトの method-list にリンクされている場合は、すべてのトンネル レコードと tunnel-link アカウンティング レコードがそれらのセッションに対して有効になります。

list-name aaa accounting コマンドで定義した list-name は、VPDN コマンドで定義した list-name と同じにする必要があります。そうでない場合は、アカウンティングが実行されません。

ステップ 4

Router(config)# vpdn enable

ルータ上のバーチャル プライベート ダイヤルアップ ネットワーキングを有効にして、ルータにローカル データベースとリモート認可サーバ(該当する場合)上でトンネル定義を検索するように指示します。

ステップ 5

Router(config)# vpdn tunnel accounting network list-name

Tunnel-Start、Tunnel-Stop、および Tunnel-Reject アカウンティング レコードを有効にします。

list-name list-name aaa accounting コマンドで定義された list-name と一致する必要があります。そうでない場合は、ネットワーク アカウンティングが実行されません。

ステップ 6

Router(config)# vpdn session accounting network list-name

Tunnel-Link-Start、Tunnel-Link-Stop、および Tunnel-Link-Reject アカウンティング レコードを有効にします。

list-name list-name aaa accounting コマンドで定義された list-name と一致する必要があります。そうでない場合は、ネットワーク アカウンティングが実行されません。

この次の手順

RADIUS トンネル アカウンティングを有効にしたら、次のオプション タスクの「RADIUS トンネル アカウンティングの確認」を通して設定を確認できます。

RADIUS トンネル アカウンティングの確認

次のオプション手順のどちらかまたは両方を使用して、RADIUS トンネル アカウンティング設定を確認します。

手順の概要

1. enable

2. show accounting

3. show vpdn [ session | tunnel ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

Router# show accounting

ネットワーク上でアクティブなアカウント可能イベントを表示して、アカウンティング サーバ上でのデータ消失イベント時の情報収集を支援します。

ステップ 3

Router# show vpdn [ session ] [ tunnel ]

VPDN 内のアクティブな L2TP トンネルとメッセージ識別子に関する情報を表示します。

session :すべてのアクティブなトンネルのステータス サマリーを表示します。

tunnel :すべてのアクティブな L2TP トンネルに関する情報をサマリー形式で表示します。

RADIUS トンネル アカウンティングの設定例

ここでは、次の設定例について説明します。

「LAC 上での RADIUS トンネル アカウンティングの設定:例」

「LNS 上での RADIUS トンネル アカウンティングの設定:例」

LAC 上での RADIUS トンネル アカウンティングの設定:例

次の例は、トンネル レコードと tunnel-link アカウンティング レコードを RADIUS サーバに送信するように L2TP Access Concentrator(LAC; L2TP アクセス コンセントレータ)を設定する方法を示しています。

aaa new-model
!
!
aaa authentication ppp default group radius
aaa authorization network default local
aaa accounting network m1 start-stop group radius
aaa accounting network m2 stop-only group radius
aaa session-id common
enable secret 5 $1$IDjH$iL7puCja1RMlyOM.JAeuf/
enable password lab
!
username ISP_LAC password 0 tunnelpass
!
!
resource-pool disable
!
!
ip subnet-zero
ip cef
no ip domain-lookup
ip host dirt 171.69.1.129
!
vpdn enable
vpdn tunnel accounting network m1
vpdn session accounting network m1
vpdn search-order domain dnis
!
vpdn-group 1
request-dialin
protocol l2tp
domain cisco.com
initiate-to ip 10.1.26.71
local name ISP_LAC
!
isdn switch-type primary-5ess
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
controller T1 7/4
framing esf
linecode b8zs
pri-group timeslots 1-24
!
!
!
interface FastEthernet0/0
ip address 10.1.27.74 255.255.255.0
no ip mroute-cache
duplex half
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
no ip mroute-cache
shutdown
duplex auto
speed auto
no cdp enable
!
interface Serial7/4:23
ip address 60.0.0.2 255.255.255.0
encapsulation ppp
dialer string 2000
dialer-group 1
isdn switch-type primary-5ess
ppp authentication chap
!
interface Group-Async0
no ip address
shutdown
group-range 1/00 3/107
!
ip default-gateway 10.1.27.254
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.27.254
no ip http server
ip pim bidir-enable
!
!
dialer-list 1 protocol ip permit
no cdp run
!
!
radius-server host 172.19.192.26 auth-port 1645 acct-port 1646 key rad123
radius-server retransmit 3
call rsvp-sync
!

LNS 上での RADIUS トンネル アカウンティングの設定:例

次の例は、トンネル レコードと tunnel-link アカウンティング レコードを RADIUS サーバに送信するように L2TP Network Server(LNS; L2TP ネットワーク サーバ)を設定する方法を示しています。

aaa new-model
!
!
aaa accounting network m1 start-stop group radius
aaa accounting network m2 stop-only group radius
aaa session-id common
enable secret 5 $1$ftf.$wE6Q5Yv6hmQiwL9pizPCg1
!
username ENT_LNS password 0 tunnelpass
username user1@cisco.com password 0 lab
username user2@cisco.com password 0 lab
spe 1/0 1/7
firmware location system:/ucode/mica_port_firmware
spe 2/0 2/9
firmware location system:/ucode/mica_port_firmware
!
!
resource-pool disable
clock timezone est 2
!
ip subnet-zero
no ip domain-lookup
ip host CALLGEN-SECURITY-V2 64.24.80.28 3.47.0.0
ip host dirt 171.69.1.129
!
vpdn enable
vpdn tunnel accounting network m1
vpdn session accounting network m1
!
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
terminate-from hostname ISP_LAC
local name ENT_LNS
!
isdn switch-type primary-5ess
!
!
!
!
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
interface Loopback0
ip address 70.0.0.101 255.255.255.0
!
interface Loopback1
ip address 80.0.0.101 255.255.255.0
!
interface Ethernet0
ip address 10.1.26.71 255.255.255.0
no ip mroute-cache
no cdp enable
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address pool vpdn-pool1
ppp authentication chap
!
interface Virtual-Template2
ip unnumbered Loopback1
peer default ip address pool vpdn-pool2
ppp authentication chap
!
interface FastEthernet0
no ip address
no ip mroute-cache
shutdown
duplex auto
speed auto
no cdp enable
!
ip local pool vpdn-pool1 70.0.0.1 70.0.0.100
ip local pool vpdn-pool2 80.0.0.1 80.0.0.100
ip default-gateway 10.1.26.254
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.26.254
ip route 90.1.1.2 255.255.255.255 10.1.26.254
no ip http server
ip pim bidir-enable
!
!
dialer-list 1 protocol ip permit
no cdp run
!
!
radius-server host 172.19.192.80 auth-port 1645 acct-port 1646 key rad123
radius-server retransmit 3
call rsvp-sync

その他の参考資料

次の項で、RFC-2867 RADIUS トンネル アカウンティングに関する参考資料を紹介します。

関連資料

内容
参照先

RADIUS アトリビュート

RADIUS Attributes 」フィーチャ モジュール

VPDN

Cisco IOS VPDN Configuration Guide , Release 12.4T』

ネットワーク アカウンティング

Configuring Accounting 」フィーチャ モジュール

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2867

RADIUS Accounting Modifications for Tunnel Protocol Support

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

RFC-2867 RADIUS トンネル アカウンティングの機能情報

表 2 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 2 RFC-2867 RADIUS トンネル アカウンティングの機能情報

機能名
リリース
機能情報

RFC-2867 RADIUS トンネル アカウンティング

12.2(15)B
12.3(4)T

RFC-2867 RADIUS トンネル アカウンティングは、6 つの新しい RADIUS アカウンティング タイプを導入しています。これらのタイプは、アカウンティング要求がユーザ サービスの始まり(開始)と終わり(終了)のどちらを表しているかを示す、RADIUS アカウンティング アトリビュートの Acct-Status-Type(アトリビュート 40)と一緒に使用されます。

また、この機能は、ユーザによる VPDN セッション イベントのトラブルシューティングを支援する 2 つの Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)コマンドを導入しています。

12.2(15)B で、この機能が Cisco 6400 シリーズ、Cisco 7200 シリーズ、および Cisco 7400 シリーズのルータに導入されました。

この機能は、Cisco IOS リリース 12.3(4)T に統合されました。

aaa accounting vpdn session accounting network 、および vpdn tunnel accounting network の各コマンドが導入または変更されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2003-2009 Cisco Systems, Inc.
All rights reserved.