Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
RADIUS アトリビュート 104
RADIUS アトリビュート 104
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RADIUS アトリビュート 104

機能情報の確認

この章の構成

RADIUS アトリビュート 104 の前提条件

RADIUS アトリビュート 104 の制約事項

RADIUS アトリビュート 104 に関する情報

ポリシーベース ルーティング:背景

アトリビュート 104 とポリシーベース ルート マップ

RADIUS アトリビュート 104 の概要

許可ルート マップ

デフォルト プライベート ルート

ルート マップの順序

RADIUS アトリビュート 104 の適用方法

RADIUS アトリビュート 104 のユーザ プロファイルへの適用

ルート マップの確認

RADIUS プロファイルのトラブルシューティング

RADIUS アトリビュート 104 の設定例

アトリビュート 104 が適用された Route-Map 設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

RADIUS アトリビュート 104 の機能情報

RADIUS アトリビュート 104

RADIUS アトリビュート 104 機能を使用すれば、RADIUS 認可プロファイル内でプライベート ルート(アトリビュート 104)を指定できます。プライベート ルートは、個々のインターフェイス上で受信されたパケットにのみ影響します。ルートはグローバル ルーティング テーブルとは別に保存され、ルーティング プロトコルに埋め込まれて再配布されることはありません。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS アトリビュート 104 の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

RADIUS アトリビュート 104 の前提条件

シスコ RADIUS サーバを使用している必要があります。

RADIUS の設定に精通している必要があります。

Policy-Based Routing(PBR; ポリシーベース ルーティング)とプライベート ルートに精通している必要があります。

Access Control List(ACL; アクセス コントロール リスト)に精通している必要があります。

RADIUS アトリビュート 104 機能を使用する前に、RADIUS AAA 認可と RADIUS ルート ダウンロードを設定する必要があります。

次のメモリ バイトが必要です。

1 つのルート マップ:50 バイト

1 つの match-set 句:600 バイト

1 つの拡張 ACL:366 バイト

アトリビュート 104 の数 N のメモリ要件は、ユーザ当たり (600+366)×N+50 ≒1000×N です。

RADIUS アトリビュート 104 の制約事項

インターフェイス上ですでに PBR がローカル(静的)に設定されている状態で、アトリビュート 104 を指定した場合は、ローカルに設定された PBR が無効になります。

疑似ネクストホップ アドレスを使用する場合は、ネクストホップ アドレスのルーティング テーブル内に、使用可能なルートが存在する必要があります。どのルートも使用できない場合は、パケットがポリシー ルーティングされません。

ポリシー ルーティングは match-set 句を順序付けせず、最初の一致を優先するため、一致させたい順序でアトリビュートを指定する必要があります。

メトリック番号はアトリビュート内で使用できません。

RADIUS アトリビュート 104 に関する情

RADIUS アトリビュート 104 機能を使用するためには、次の概念を理解しておく必要があります。

「ポリシーベース ルーティング:背景」

「アトリビュート 104 とポリシーベース ルート マップ」

ポリシーベース ルーティング:背景

PBR は、定義済みのポリシーに基づいて、データ パケットを転送またはルーティングするためのメカニズムを提供します。ポリシーは、宛先アドレスではなく、サービス タイプ、送信元アドレス、優先順位、ポート番号、プロトコル タイプなどの他の要因に依存します。

ポリシーベース ルーティングは着信パケットに適用されます。ポリシーベース ルーティングが有効になっているインターフェイス上で受信されたパケットはすべて、ポリシーベース ルーティングと見なされます。ルータは、ルート マップと呼ばれる高度なパケット フィルタを通してパケットを渡します。ルート マップ内で定義された基準に基づいて、パケットが適切なネクストホップに転送されます。

ルート マップ文のエントリごとに、match 句と set 句の組み合わせまたはコマンドが 1 つずつ含まれています。match 句は、該当するパケットが特定のポリシーを満たしているかどうか(つまり、条件が満たされているかどうか)に関する基準を定義します。set 句は、一致基準を満たしたパケットをどのようにルーティングするかに関する指示を提供します。match 句は、対応する set 句を適用するためにパケットが一致しなければならないフィルタのセットを指定します。

アトリビュート 104 とポリシーベース ルート マップ

この項では、アトリビュート 104 機能と、そのポリシーベース ルート マップとの連携について説明します。

RADIUS アトリビュート 104 の概要

RADIUS アトリビュート 104 機能を使用すれば、RADIUS 認可プロファイル内でプライベート ルートを指定できます。指定したプライベート ルートは、個々のインターフェイス上で受信されたパケットにのみ影響します。ルートはグローバル ルーティング テーブルとは別に保存され、ルーティング プロトコルに埋め込まれて再配布されることはありません。

許可ルート マップ

ルート マップ文は「許可」または「拒否」としてマークすることができます。文が「許可」にマークされている場合は、一致基準と一致したパケットに set 句が適用されます。アトリビュート 104 の場合は、ルート マップの設定中に、次のようにルート マップを「許可」としてマークする必要があります。ルート マップの設定に関する情報については、「関連資料」を参照してください。

デフォルト プライベート ルート

ポリシー ルーティング プロセスは、一致するものが見つかるまで、ルート マップに沿って進行します。ルート マップ内で一致するものが見つからなかった場合は、グローバル ルーティング テーブルが参照されます。ユーザ プロファイル内でデフォルト ルートを指定した場合は、事実上、デフォルト ルートを越えるルートが無視されます。

ルート マップの順序

ルート マップはサーバ上で適用したい順番に指定する必要があります。

RADIUS アトリビュート 104 の適用方法

ここでは、次の各手順について説明します。

「RADIUS アトリビュート 104 のユーザ プロファイルへの適用」

「ルート マップの確認」

「RADIUS プロファイルのトラブルシューティング」

RADIUS アトリビュート 104 のユーザ プロファイルへの適用

次の内容を RADIUS サーバ データベースに追加することによって、RADIUS アトリビュート 104 をユーザ プロファイルに適用できます。

手順の概要

1. RADIUS アトリビュート 104 をユーザ プロファイルに適用します。

手順の詳細

コマンドまたはアクション
目的

ステップ 1

RADIUS アトリビュート 104 をユーザ プロファイルに適用します。

Ascend-Private-Route=”dest_addr/netmask next_hop”
 

ルータの宛先ネットワーク アドレスは dest_addr/netmask で、ネクストホップ ルータのアドレスは next_hop です。

発信者に関連付けられた 3 つのプライベート ルートを作成するユーザ プロファイルのサンプルを次に示します。

username Password="ascend"; User-Service=Framed-User
 
Framed-Protocol=PPP,
Framed-Address=10.1.1.1,
Framed-Netmask=255.0.0.0,
Ascend-Private-Route="172.16.1.1/16 10.10.10.1"
Ascend-Private-Route="192.168.1.1/32 10.10.10.2"
Ascend-Private-Route="10.20.0.0/1 10.10.10.3"
Ascend-Private-Route="10.0.0.0/0 10.10.10.4"
 

上のプロファイルを使用すれば、接続用のプライベート ルーティング テーブルに、デフォルト ルートのほかに次のルートが追加されます。

Destination/Mask Gateway
172.16.1.1/16 10.10.10.1
192.168.1.1/32 10.10.10.2
10.20.20.20/1 10.10.10.3
10.0.0.0/0 10.10.10.4

ルート マップの確認

次の show コマンドを使用して、設定済みのルート マップを確認します。

手順の概要

1. enable

2. show ip policy

3. show route-map [ map-name | dynamic [ dynamic-map-name | application [ application-name ]] | all]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip policy

 

Router# show ip policy

ポリシー ルーティングに使用されるルート マップを表示します。

ステップ 3

show route-map [ map-name | dynamic [ dynamic-map-name | application [ application-name ]] | all ]

 

Router# show route-map

設定済みのすべてのルート マップを表示するか、指定した 1 つのルート マップだけを表示します。

RADIUS プロファイルのトラブルシューティング

プライベート ルート設定が正しく機能していない場合は、「ポリシーベース ルーティング:背景」を読み直してみてください。この項は、パケットに何が起きているかを判断する助けになります。加えて、次の debug コマンドは、RADIUS プロファイルのトラブルシューティングに使用できます。

手順の概要

1. enable

2. debug radius

3. debug aaa per-user

4. debug ip policy

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug radius

 

Router# debug radius

RADIUS 関連の情報を表示します。

ステップ 3

debug aaa per-user

 

Router# debug aaa per-user

ユーザ認証として各ユーザに適用されるアトリビュートを表示します。

ステップ 4

debug ip policy

 

Router# debug ip policy

IP ルーティング パケットのアクティビティを表示します。

RADIUS アトリビュート 104 の設定例

ここでは、次の設定例について説明します。

「アトリビュート 104 が適用された Route-Map 設定:例」

アトリビュート 104 が適用された Route-Map 設定:例

次の出力は、アトリビュート 104 が適用された一般的な route-map 設定です。

Router# show route-map dynamic
 
route-map AAA-01/08/04-14:13:59.542-1-AppSpec, permit, sequence 0, identifier 1639994476
Match clauses:
ip address (access-lists): PBR#1 PBR#2
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map AAA-01/08/04-14:13:59.542-1-AppSpec, permit, sequence 1, identifier 1640264784
Match clauses:
ip address (access-lists): PBR#3 PBR#4
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map AAA-01/08/04-14:13:59.542-1-AppSpec, permit, sequence 2, identifier 1645563704
Match clauses:
ip address (access-lists): PBR#5 PBR#6
length 10 100
Set clauses:
ip next-hop 10.1.1.1
ip gateway10.1.1.1
Policy routing matches: 0 packets, 0 bytes
Current active dynamic routemaps = 1

の他の参考資料

次の項で、RADIUS アトリビュート 104 に関する参考資料を紹介します。

関連資料

内容
参照先

RADIUS の設定

Configuring RADIUS 」フィーチャ モジュール

ポリシーベース ルーティングの設定

Classifying Network Traffic 」フィーチャ モジュール

アクセス コントロール リストの設定

IP Access List Overview 」フィーチャ モジュール

RADIUS AAA 認可と RADIUS ルート ダウンロードの設定

RADIUS Route Download 」フィーチャ モジュール

セキュリティ コマンド

Cisco IOS Security Command Reference

Quality of Service(QoS; サービス品質)コマンド(ポリシーベース ルーティング コマンドの場合)

『Cisco IOS Quality of Service Solutions Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

RADIUS アトリビュート 104 の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 RADIUS アトリビュート 104 の機能情報

機能名
リリース
機能情報

RADIUS アトリビュート 104

12.3(7)T
12.3(14)T
12.2(28)SB

RADIUS アトリビュート 104 機能を使用すれば、RADIUS 認可プロファイル内でプライベート ルート(アトリビュート 104)を指定できます。プライベート ルートは、個々のインターフェイス上で受信されたパケットにのみ影響します。ルートはグローバル ルーティング テーブルとは別に保存され、ルーティング プロトコルに埋め込まれて再配布されることはありません。

この機能は、Cisco IOS リリース 12.3(7)T で導入されました。

この機能は、Cisco IOS リリース 12.3(14)T に統合されました。

この機能は、Cisco IOS リリース 12.2(28)SB に統合されました。

show ip policy コマンドと show route-map コマンドが、導入または変更されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2004-2009 Cisco Systems, Inc.
All rights reserved.