Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
RADIUS 進捗コード
RADIUS 進捗コード
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RADIUS 進捗コード

機能情報の確認

この章の構成

RADIUS 進捗コードの前提条件

RADIUS 進捗コードに関する情報

RADIUS 進捗コードの設定方法

アトリビュート 196 の確認方法

RADIUS 進捗コードのデバッグ出力例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

RADIUS 進捗コードの機能情報

用語集

RADIUS 進捗コード

RADIUS 進捗コード機能は、進捗コードを通してコールが切断される前の接続状態を示す RADIUS アトリビュート 196(Ascend-Connect-Progress)に新たな進捗コードを追加します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS 進捗コードの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

RADIUS 進捗コードの前提条件

アトリビュート 196(Ascend-Connect-Progress)を accounting "start" および "stop" レコード内で送信するには、次のタスクを実行する必要があります。

AAA をイネーブルにします。

exec、network、または resource accounting を有効にします。

これらのタスクの実行方法については、『 Cisco IOS Security Configuration Guide: Securing User Services , Release 15.0』の AAA の項を参照してください。

これらのタスクを完了すると、アトリビュート 196 がデフォルトでアクティブになります。

RADIUS 進捗コードに関する情報

アトリビュート 196 は、network、exec、および resource の accounting "start" および "stop" レコード内で送信されます。このアトリビュートを使用すれば、コールの接続状態に関するアカウンティング情報が進捗コードで識別されるため、コール失敗時のデバッグが容易になります。このアトリビュートはデフォルトでアクティブになります。accounting "start" および "stop" レコードが要求されると、Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)が、アトリビュート 196 を標準アトリビュート リストの一部としてレコードに追加します。accounting "start" および "stop" レコード内で送信される進捗コードがコール失敗時のデバッグを容易にするという意味で、アトリビュート 196 は重要です。


) accounting "start" レコードでは、アトリビュート 196 に値が設定されません。


 

表 1 アトリビュート 196 の新しくサポートされた進捗コード

コード
説明

10

モデムの割り当てとネゴシエーションが完了しています。コールが使用可能になっています。

30

モデムが動作中です。

33

モデムが結果コードを待っています。

41

TCP クリア コールをセットアップすることによって、最大 TNT が TCP 接続を確立しています。

60

Link control protocol (LCP; リンク コントロール プロトコル)が、PPP と IP Control Protocol(IPCP; IP コントロール プロトコル)のネゴシエーションを伴うオープン状態です。LAN セッションは確立されています。

65

PPP ネゴシエーションが開始されてから、LCP ネゴシエーションが開始されます。LCP はオープン状態にあります。

67

LCP がオープン状態の PPP ネゴシエーションの開始後に、IPCP ネゴシエーションが開始されます。


) NAS 上のデバッグを通して、進捗コードの 33、30、および 67 が生成され、表示されます。デバッグと RADIUS サーバ上のアカウンティング レコードを通して、その他のすべてのコードが生成され、表示されます。


RADIUS 進捗コードの設定方法

RADIUS 進捗コードの設定は必要ありません。

アトリビュート 196 の確認方法

accounting "start" および "stop" レコード内のアトリビュート 196 を確認するには、次の手順を実行します。

手順の概要

1. enable

2. debug aaa accounting

3. show radius statistics

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug aaa accounting

 

Router# debug aaa accounting

説明の義務があるイベントが発生したときに、その情報を表示します。

ステップ 3

show radius statistics

 

Router# debug aaa authorization

アカウンティング パケットと認証パケットについての RADIUS 統計情報を示します。

RADIUS 進捗コードのデバッグ出力例

次の例は、 debug ppp negotiation コマンドからのサンプル デバッグ出力です。このデバッグ出力を使用して、accounting "stop" レコードが生成されていることと、アトリビュート 196(Ascend-Connect-Progress)に 65 の値が設定されていることを確認します。

Tue Aug 7 06:21:03 2001
NAS-IP-Address = 10.0.58.62
NAS-Port = 20018
Vendor-Specific = ""
NAS-Port-Type = ISDN
User-Name = "peer_16a"
Called-Station-Id = "5213124"
Calling-Station-Id = "5212175"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = Framed-User
Acct-Session-Id = "00000014"
Framed-Protocol = PPP
Framed-IP-Address = 172.16.0.2
Acct-Input-Octets = 3180
Acct-Output-Octets = 3186
Acct-Input-Packets = 40
Acct-Output-Packets = 40
Ascend-Connect-Pr = 65
Acct-Session-Time = 49
Acct-Delay-Time = 0
Timestamp = 997190463
Request-Authenticator = Unverified

その他の参考資料

次の項で、RADIUS 進捗コードに関する参考資料を紹介します。

関連資料

内容
参照先

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

アカウンティングの設定

Configuring Accounting 」モジュール

RADIUS アトリビュート

RADIUS Attributes Overview and RADIUS IETF Attributes 」モジュール

規格

規格
タイトル

なし

--

MIB

MIB

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

---

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

RADIUS 進捗コードの機能情報

表 2 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 2 RADIUS 進捗コードの機能情報

機能名
リリース
機能情報

RADIUS 進捗コード

12.2(11)T
12.2(28)SB
12.2(33)SRC

RADIUS 進捗コード機能は、進捗コードを通してコールが切断される前の接続状態を示す RADIUS アトリビュート 196(Ascend-Connect-Progress)に 表 1 で定義された新たな進捗コードを追加します。

この機能は、Cisco IOS リリース 12.2(11)T で導入されました。

この機能は、Cisco IOS リリース 12.2(28)SB に統合されました。

この機能は、Cisco IOS リリース 12.2(33)SRC に統合されました。

用語集

AAA :Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。Cisco ルータまたはアクセス サーバにアクセス コントロールを設定できる主要なフレームワークを提供する一連のネットワーク セキュリティ サービスです。

EXEC アカウンティング:ネットワーク アクセス サーバのユーザ EXEC ターミナル セッションに関する情報を提供します。

IPCP :IP Control Protocol(IP コントロール プロトコル)。IP over PPP を設定して確立するプロトコル。

LCP :Link Control Protocol(リンク コントロール プロトコル)。PPP で使用されるデータリンク接続を設定、確立、およびテストするプロトコル。

network アカウンティング:PPP、Serial Line Internet Protocol(SLIP)、または AppleTalk Remote Access Protocol(ARAP)セッションに関する情報(パケット カウントやバイト カウントを含む)を提供します。

PPP :Point-to-Point Protocol(ポイントツーポイント プロトコル)。同期回線と非同期回線上でルータ間接続とホスト/ネットワーク間接続を提供する SLIP の代替プロトコル。SLIP は IP と連動するように設計されているのに対して、PPP は IP、IPX、ARA などの複数のネットワーク レイヤ プロトコルと連動するように設計されています。PPP には、CHAP および PAP などの組み込みのセキュリティ メカニズムもあります。PPP は LCP と NCP の 2 つのプロトコルに依存します。

RADIUS:Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。RADIUS は、不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。

resource アカウンティング:ユーザ認証に成功したコールに "start" および "stop" レコードを提供し、認証に失敗したコールに "stop" レコードを提供します。

アトリビュート :RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートは、255 の標準アトリビュートで構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。IETF アトリビュートは標準のため、アトリビュート データが事前に定義され、周知されています。そのため、IETF アトリビュートを介して AAA 情報を交換するすべてのクライアントとサーバが、アトリビュートの正確な意味やアトリビュート値の一般的な範囲などのアトリビュート データに合意している必要があります。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2009 Cisco Systems, Inc.
All rights reserved.