Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
RADIUS デバッグ拡張
RADIUS デバッグ拡張
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RADIUS デバッグ拡張

機能情報の確認

この章の構成

RADIUS デバッグ拡張の前提条件

RADIUS デバッグ拡張の制約事項

RADIUS デバッグ拡張に関する情報

RADIUS の概要

RADIUS デバッグ拡張のメリット

RADIUS デバッグ パラメータの有効化方法

RADIUS デバッグ パラメータの有効化

RADIUS デバッグ パラメータの確認

RADIUS デバッグ拡張の設定例

RADIUS デバッグ パラメータの有効化:例

RADIUS デバッグ パラメータの確認:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

RADIUS デバッグ拡張の機能情報

用語集

RADIUS デバッグ拡張

このマニュアルでは、Remote Authentication Dial-In User Services(RADIUS; リモート認証ダイヤルイン ユーザ サービス)デバッグ拡張機能について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS デバッグ拡張の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

RADIUS デバッグ拡張の前提条件

作業 IP ネットワークを構築します。IP の設定方法については、「 Configuring IPv4 Addresses 」モジュールを参照してください。

ゲートウェイを RADIUS クライアントとして設定します。『 CDR Accounting for Cisco IOS Voice Gateways 』の「 Configuring the Voice Gateway as a RADIUS Client 」を参照してください。

IETF RFC 2138 に精通している必要があります。

RADIUS デバッグ拡張の制約事項

音声アプリケーションで使用されている Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートと Cisco Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)のみがサポートされます。未サポートのアトリビュートは、「undebuggable」と表示されます。

RADIUS デバッグ拡張に関する情報

RADIUS デバッグ パラメータを有効にするには、次の概念を理解しておく必要があります。

RADIUS の概要(P. 2)

RADIUS デバッグ拡張のメリット(P. 3)

RADIUS の概要

RADIUS は、次の機能を提供する分散型クライアント/サーバ システムです。

不正アクセスからネットワークを保護します。

特定のサービス限界の認可を有効にします。

サービスが課金できるようにアカウンティング情報を提供します。

シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

RADIUS デバッグ拡張のメリット

debug radius コマンドは、RADIUS の関連情報を表示します。RADIUS デバッグ拡張機能以前は、debug radius 出力が、解釈と分析が困難な拡張された 16 進文字列形式でしか使用できませんでした。さらに、アトリビュート値の表示が、特に、VSA の場合に途中で切れてしまいました。

この機能は、次のような高度な RADIUS 表示を提供します。

以前より読みやすく、使いやすい ASCII 形式でのパケット ダンプ

途中で切れないアトリビュート値の表示

簡易 RADIUS デバッグ出力表示も選択できる

通信量の多い運用環境に適した小型のデバッギング出力オプションを許可する

RADIUS デバッグ パラメータの有効化方法

ここでは、次の各手順について説明します。

「RADIUS デバッグ パラメータの有効化」(任意)

RADIUS デバッグ パラメータの確認(任意)

RADIUS デバッグ パラメータの有効化

このタスクを実行して、RADIUS デバッグ パラメータを有効にします。デフォルトで、イベント ロギングが有効になっています。


) Cisco IOS リリース 12.2(11)T 以前の debug radius コマンドは、ASCII ではなく、16 進表記の途中までのデバッギング出力を可能にしていました。


手順の概要

1. enable

2. debug radius [ accounting | authentication | brief | elog | failover | retransmit | verbose ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug radius [ accounting | authentication | brief | elog | failover | retransmit | verbose ]

 

Router# debug radius accounting

RADIUS 設定に関連付けられた特定のパラメータに対してデバッギングを有効にします。

RADIUS デバッグ パラメータの確認

このタスクを実行して、RADIUS デバッグ パラメータを確認します。

手順の概要

1. enable

2. show debug

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show debug

 

Router# show debug

デバッグ情報を表示します。

RADIUS デバッグ拡張の設定例

ここでは、次の設定例について説明します。

「RADIUS デバッグ パラメータの有効化:例」

「RADIUS デバッグ パラメータの確認:例」

RADIUS デバッグ パラメータの有効化:例

次の例は、RADIUS アカウンティング収集のデバッギングを可能にする方法を示しています。

Router> enable
Router# debug radius accounting
 
Radius protocol debugging is on
Radius protocol brief debugging is off
Radius protocol verbose debugging is off
Radius packet hex dump debugging is off
Radius packet protocol (authentication) debugging is off
Radius packet protocol (accounting) debugging is on
Radius packet retransmission debugging is off
Radius server fail-over debugging is off
Radius elog debugging is off

) 上のサンプル出力は、RADIUS プロトコル メッセージ内で見つかった情報を示しています。RADIUS プロトコル メッセージの詳細については、IETF RFC 2138 を参照してください。


RADIUS デバッグ パラメータの確認:例

次の例は、RADIUS デバッグ パラメータの確認方法を示しています。

Router> enable
Router# show debug
 
00:02:50: RADIUS: ustruct sharecount=3
00:02:50: Radius: radius_port_info() success=0 radius_nas_port=1
00:02:50: RADIUS: Initial Transmit ISDN 0:D:23 id 0 10.0.0.0:1824, Accounting-Request, len 358
00:02:50: RADIUS: NAS-IP-Address [4] 6 10.0.0.1
00:02:50: RADIUS: Vendor, Cisco [26] 19 VT=02 TL=13 ISDN 0:D:23
00:02:50: RADIUS: NAS-Port-Type [61] 6 Async
00:02:50: RADIUS: User-Name [1] 12 "4085274206"
00:02:50: RADIUS: Called-Station-Id [30] 7 "52981"
00:02:50: RADIUS: Calling-Station-Id [31] 12 "4085554206"
00:02:50: RADIUS: Acct-Status-Type [40] 6 Start
00:02:50: RADIUS: Service-Type [6] 6 Login
00:02:50: RADIUS: Vendor, Cisco [26] 27 VT=33 TL=21 h323-gw-id=5300_43.
00:02:50: RADIUS: Vendor, Cisco [26] 55 VT=01 TL=49 h323-incoming-conf-id=8F3A3163 B4980003 0 29BD0
00:02:50: RADIUS: Vendor, Cisco [26] 31 VT=26 TL=25 h323-call-origin=answer
00:02:50: RADIUS: Vendor, Cisco [26] 32 VT=27 TL=26 h323-call-type=Telephony
00:02:50: RADIUS: Vendor, Cisco [26] 57 VT=25 TL=51 h323-setup-time=*16:02:48.681 PST Fri Dec 31 1999
00:02:50: RADIUS: Vendor, Cisco [26] 46 VT=24 TL=40 h323-conf-id=8F3A3163 B4980003 029BD0
00:02:50: RADIUS: Acct-Session-Id [44] 10 "00000002"
00:02:50: RADIUS: Delay-Time [41] 6 0
00:02:51: RADIUS: Received from id 0 10.0.0.0:1824, Accounting-response, len 20
00:02:51: %ISDN-6-CONNECT: Interface Serial0:22 is now connected to 4085554206
00:03:01: RADIUS: ustruct sharecount=3
00:03:01: Radius: radius_port_info() success=0 radius_nas_port=1
00:03:01: RADIUS: Initial Transmit ISDN 0:D:23 id 1 1.7.157.1:1823, Access-Request, len 171
00:03:01: RADIUS: NAS-IP-Address [4] 6 10.0.0.1
00:03:01: RADIUS: Vendor, Cisco [26] 19 VT=02 TL=13 ISDN 0:D:23
00:03:01: RADIUS: NAS-Port-Type [61] 6 Async
00:03:01: RADIUS: User-Name [1] 8 "123456"
00:03:01: RADIUS: Vendor, Cisco [26] 46 VT=24 TL=40 h323-conf-id=8F3A3163 B4980003 0 29BD0
00:03:01: RADIUS: Calling-Station-Id [31] 12 "4085274206"
00:03:01: RADIUS: User-Password [2] 18 *
00:03:01: RADIUS: Vendor, Cisco [26] 36 VT=01 TL=30 h323-ivr-out=transactionID:0
00:03:01: RADIUS: Received from id 1 1.7.157.1:1823, Access-Accept, len 115
00:03:01: RADIUS: Service-Type [6] 6 Login
00:03:01: RADIUS: Vendor, Cisco [26] 29 VT=101 TL=23 h323-credit-amount=45
00:03:01: RADIUS: Vendor, Cisco [26] 27 VT=102 TL=21 h323-credit-time=33
00:03:01: RADIUS: Vendor, Cisco [26] 26 VT=103 TL=20 h323-return-code=0
00:03:01: RADIUS: Class [25] 7 6C6F63616C
00:03:01: RADIUS: saved authorization data for user 62321E14 at 6233D258
00:03:13: %ISDN-6-DISCONNECT: Interface Serial0:22 disconnected from 4085274206, call lasted 22 seconds
00:03:13: RADIUS: ustruct sharecount=2
00:03:13: Radius: radius_port_info() success=0 radius_nas_port=1
00:03:13: RADIUS: Sent class "local" at 6233D2C4 from user 62321E14
00:03:13: RADIUS: Initial Transmit ISDN 0:D:23 id 2 10.0.0.0:1824, Accounting-Request, len 775
00:03:13: RADIUS: NAS-IP-Address [4] 6 10.0.0.1
00:03:13: RADIUS: Vendor, Cisco [26] 19 VT=02 TL=13 ISDN 0:D:23
00:03:13: RADIUS: NAS-Port-Type [61] 6 Async
00:03:13: RADIUS: User-Name [1] 8 "123456"
00:03:13: RADIUS: Called-Station-Id [30] 7 "52981"
00:03:13: RADIUS: Calling-Station-Id [31] 12 "4085554206"
00:03:13: RADIUS: Acct-Status-Type [40] 6 Stop
00:03:13: RADIUS: Class [25] 7 6C6F63616C
00:03:13: RADIUS: Undebuggable [45] 6 00000001
00:03:13: RADIUS: Service-Type [6] 6 Login
00:03:13: RADIUS: Vendor, Cisco [26] 27 VT=33 TL=21 h323-gw-id=5300_43.
00:03:13: RADIUS: Vendor, Cisco [26] 55 VT=01 TL=49 h323-incoming-conf-id=8F3A3163 B4980003 0 29BD0
00:03:13: RADIUS: Vendor, Cisco [26] 31 VT=26 TL=25 h323-call-origin=answer
00:03:13: RADIUS: Vendor, Cisco [26] 32 VT=27 TL=26 h323-call-type=Telephony
00:03:13: RADIUS: Vendor, Cisco [26] 57 VT=25 TL=51 h323-setup-time=*16:02:48.681 PST Fri Dec 31 1999
00:03:13: RADIUS: Vendor, Cisco [26] 59 VT=28 TL=53 h323-connect-time=*16:02:48.946
PST Fri Dec 31 1999
00:03:13: RADIUS: Vendor, Cisco [26] 62 VT=29 TL=56 h323-disconnect-time=*16:03:11.306
PST Fri Dec 31 1999
00:03:13: RADIUS: Vendor, Cisco [26] 32 VT=30 TL=26 h323-disconnect-cause=10
00:03:13: RADIUS: Vendor, Cisco [26] 28 VT=31 TL=22 h323-voice-quality=0
00:03:13: RADIUS: Vendor, Cisco [26] 46 VT=24 TL=40 h323-conf-id=8F3A3163 B4980003 0 29BD0
00:03:13: RADIUS: Acct-Session-Id [44] 10 "00000002"
00:03:13: RADIUS: Acct-Input-Octets [42] 6 0
00:03:13: RADIUS: Acct-Output-Octets [43] 6 88000
00:03:13: RADIUS: Acct-Input-Packets [47] 6 0
00:03:13: RADIUS: Acct-Output-Packets [48] 6 550
00:03:13: RADIUS: Acct-Session-Time [46] 6 22
00:03:13: RADIUS: Vendor, Cisco [26] 30 VT=01 TL=24 subscriber=RegularLine
00:03:13: RADIUS: Vendor, Cisco [26] 35 VT=01 TL=29 h323-ivr-out=Tariff:Unknown
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 pre-bytes-in=0
00:03:13: RADIUS: Vendor, Cisco [26] 23 VT=01 TL=17 pre-bytes-out=0
00:03:13: RADIUS: Vendor, Cisco [26] 21 VT=01 TL=15 pre-paks-in=0
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 pre-paks-out=0
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 nas-rx-speed=0
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 nas-tx-speed=0
00:03:13: RADIUS: Delay-Time [41] 6 0
00:03:13: RADIUS: Received from id 2 10.0.0.0:1824, Accounting-response, len 20

その他の参考資料

次の項で、RADIUS デバッグ拡張機能に関する参考資料を紹介します。

関連資料

内容
参照先

RADIUS の設定

Configuring RADIUS 」モジュール

デバッグ コマンド:完全なコマンド構文、デフォルト、コマンド モード、コマンド履歴、使用上のガイドライン、および例

Cisco IOS Debug Command Reference

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2138

「Remote Authentication Dial In User Service (RADIUS)」

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

RADIUS デバッグ拡張の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


表 1 RADIUS デバッグ拡張の機能情報

機能名
リリース
機能情報

RADIUS デバッグ拡張

12.2(11)T

この機能は、既存の RADIUS デバッグ パラメータの機能に対する拡張を提供します。

この機能に関する詳細については、次の各項を参照してください。

「RADIUS デバッグ拡張に関する情報」

debug radius コマンドと show debug コマンドが導入または変更されました。

用語集

AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。「トリプル エー」と発音します。

ASCII :American Standard Code for Information Interchange。文字を表現するための 8 ビット コード(7 ビット + パリティ)。

IETF:Internet Engineering Task Force(インターネット技術特別調査委員会)。インターネット標準の開発を担当する 80 を超えるワーキング グループで構成された調査委員会。IETF は ISOC の下部組織です。

RADIUS :Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。モデム接続と ISDN 接続を認証し、接続時間を追跡するためのデータベース。

VoIP :Voice over IP。POTS と同様の機能、信頼性、および音声品質を備えた、IP ベースのインターネット上で通常のテレフォニー スタイルの音声を伝送する機能。VoIP を使用すれば、ルータから IP ネットワーク上で音声トラフィック(通話や FAX など)を伝送できます。VoIP では、DSP が音声信号をフレームに分割します。その後、フレームは、2 つずつ連結され、音声パケットに保存されます。これらの音声パケットは、ITU-T 仕様の H.323 に従って、IP を使用して送信されます。

VSA :Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。特定のベンダーによって実装されたアトリビュート。Vendor-Specific アトリビュートが使用された結果、AV ペアがカプセル化されます。基本的は、Vendor-Specific = プロトコル:attribute = 値となります。

アトリビュート :X.500 ディレクトリ サービスから提供される情報項目の形式。ディレクトリ情報ベースは、1 つ以上のアトリビュートを含むエントリで構成されます。各アトリビュートは、タイプ識別子と 1 つ以上の値で構成されます。