Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
認証プロキシでのトランスペアレント ブリッ ジング サポート
認証プロキシでのトランスペアレント ブリッジング サポート
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

認証プロキシでのトランスペアレント ブリッジング サポート

機能情報の確認

この章の構成

認証プロキシでのトランスペアレント ブリッジングの制約事項

認証プロキシでのトランスペアレント ブリッジングに関する情報

トランスペアレント ブリッジングの概要

トランスペアレント認証プロキシの設定方法

トランスペアレント認証プロキシの設定例

トランスペアレント ブリッジ モードの認証プロキシ:例

同時ルート ブリッジ モードの認証プロキシ:例

統合ルート ブリッジ モードの認証プロキシ:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

トランスペアレント認証プロキシの機能情報

認証プロキシでのトランスペアレント ブリッジング サポート

認証プロキシのトランスペアレント ブリッジング機能で、ネットワーク管理者が、透過的な認証プロキシを既存のネットワークに、スタティックに定義したネットワーク接続デバイスの IP アドレスを再設定せずに設定できます。この結果、セキュリティ ポリシーがユーザ単位でダイナミックに認証され、認可されます。これにより、信頼できるネットワークのデバイスの番号を付け替えなければならないという、面倒でコストがかかるオーバーヘッドがなくなります。

ブリッジングされたインターフェイス上の認証プロキシのルールは適宜同じデバイス上のルータ インターフェイスと併用でき、管理者は異なる認証プロキシ ルールをブリッジングおよびルーティングされたドメインに導入できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「トランスペアレント認証プロキシの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

認証プロキシでのトランスペアレント ブリッジングの制約事項

認証プロキシは、ブリッジ グループで設定された vLAN トランク インターフェイスではサポートされません。

認証プロキシでのトランスペアレント ブリッジングに関する情報

認証プロキシは、セキュリティ ポリシーを実行するためのネットワーク アクセス接続のダイナミックな、ユーザ単位の認証および認可を実施します。通常、認証プロキシは各インターフェイスの異なるネットワークや IP サブネットがあるルーテッド インターフェイスで設定されるレイヤ 3 機能です。

トランスペアレント ブリッジングと認証プロキシを統合すると、ネットワーク管理者は既存のネットワークに、既存のネットワーク設定やネットワーク上のホストの IP アドレス割り当てに影響を与えることなく、認証プロキシを導入できます。

トランスペアレント ブリッジングの概要

ブリッジングを設定する場合、Cisco IOS デバイスは任意の数のインターフェイスをブリッジングできます。デバイスは、ポートでの MAC アドレス学習などの基本的なブリッジング タスクを行って、コリジョン ドメインを制限し、Spanning Tree Protocol(STP; スパニング ツリー プロトコル)を実行してトポロジのループを防ぐことができます。

ブリッジング内では、ユーザは Integrated Routed Bridging(IRB)を設定できます。これは、ルーティング用のレイヤ 3 Bridged Virtual Interface(BVI)が存在している場合に、複数のインターフェイスでデバイスをブリッジングできます。パケットをブリッジングするかルーティングするかを、パケットのレイヤ 2 またはレイヤ 3 の IP アドレスの宛先に基づいて、ブリッジで定義できます。IP アドレスを使用して設定すると、BVI で、ルーティングするインターフェイスが設定されていない場合でもデバイスを管理できます。

トランスペアレント認証プロキシの設定方法

ブリッジングされたインターフェイスで認証プロキシを設定するには、ブリッジ グループでインターフェイスを設定し、認証プロキシ ルールをインターフェイスで適用する必要があります。また、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバ(Cisco ACS)を、認証プロキシ用にセットアップし、設定する必要があります。ブリッジングされたインターフェイスで認証プロキシを設定する方法の例については、セクション「トランスペアレント認証プロキシの設定例」を参照してください。

トランスペアレント認証プロキシの設定例

このセクションでは、次の設定例で、ブリッジングされたインターフェイスで認証プロキシを設定する方法について説明します。

「トランスペアレント ブリッジ モードの認証プロキシ:例」

「同時ルート ブリッジ モードの認証プロキシ:例」

「統合ルート ブリッジ モードの認証プロキシ:例」

トランスペアレント ブリッジ モードの認証プロキシ:例

次(図 1を参照)は、ネットワーク ユーザ(ブリッジングされたインターフェイスの FastEthernet 5/0 上のホスト)が、保護されたリソースにアクセスする前にユーザの認定証を要求されるトランスペアレント ブリッジングされた環境で、認証プロキシを設定する方法の例です。

図 1 トランスペアレント ブリッジング モードの認証プロキシ:トポロジ例

 

aaa new-model
!
aaa authentication login default group radius
aaa authorization auth-proxy default group radius
aaa accounting auth-proxy default start-stop group radius
!
no ip routing
!
!
no ip cef
!
ip auth-proxy name AuthRule http inactivity-time 60
!
interface FastEthernet5/0
ip address 10.0.0.2 255.255.255.0
ip auth-proxy AuthRule
ip access-group 100 in
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface FastEthernet5/1
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
ip http server
ip http secure-server
!
radius-server host 10.0.0.5 auth-port 1645 acct-port 1646
radius-server key cisco
!
bridge 1 protocol ieee
!
Router# show ip auth-proxy cache
 
Authentication Proxy Cache
Client Name AuthRule, Client IP 10.0.0.1, Port 1100,
timeout 60, Time Remaining 60, state ESTAB
 

同時ルート ブリッジ モードの認証プロキシ:例

同時ルーティングおよびブリッジング コンフィギュレーション モードで、同じルータでルーティングとブリッジングを同時に行うことができます。ただし、指定したプロトコルは 2 つのドメイン間でスイッチされません。代わりに、ルーティングされたトラフィックはルーティングされたインターフェイスに、ブリッジングされたトラフィックはブリッジングされたインターフェイスに限定されます。

次(図 2を参照)は、ネットワーク ユーザ(ブリッジングされたインターフェイスの FastEthernet 5/0 上のホスト)が、保護されたリソースにアクセスする前にユーザの認定証を要求される同時ルーティングおよびブリッジング環境で、認証プロキシを設定する方法の例です。

図 2 同時ルート ブリッジ モードの認証プロキシ:トポロジ例

 

aaa new-model
!
aaa authentication login default group radius
aaa authorization auth-proxy default group radius
aaa accounting auth-proxy default start-stop group radiusb
!
ip cef
!
bridge crb
!
ip auth-proxy name AuthRule http inactivity-time 60
!
interface FastEthernet5/0
ip address 10.0.0.2 255.255.255.0
ip auth-proxy AuthRule
ip access-group 100 in
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
interface FastEthernet5/1
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
!
ip http server
ip http secure-server
!
radius-server host 10.0.0.5 auth-port 1645 acct-port 1646
radius-server key cisco
!
bridge 1 protocol ieee
!
Router# show ip auth-proxy cache
 
Authentication Proxy Cache
Client Name AuthRule, Client IP 10.0.0.1, Port 1145,
timeout 60, Time Remaining 60, state ESTAB

統合ルート ブリッジ モードの認証プロキシ:例

統合ルーティングおよびブリッジング環境では、ブリッジングされたネットワークはルータ ネットワークと相互接続されます。ルーティングおよびブリッジングの両方を、同じルータで、ルーティングされたドメインとブリッジングされたドメイン間の接続を使用して行うことができます。

次(図 3を参照)は、ネットワーク ユーザ(ブリッジングされたインターフェイスの FastEthernet 5/0 上のホスト)が、保護されたリソースにアクセスする前にユーザの認定証を要求される統合ルーティングおよびブリッジング環境で、認証プロキシを設定する方法の例です。

図 3 統合ルート ブリッジ モードの認証プロキシ:トポロジ例

 

!
aaa new-model
!
aaa authentication login default group radius
aaa authorization auth-proxy default group radius
aaa accounting auth-proxy default start-stop group radius
!
ip cef
!
ip auth-proxy name AuthRule http inactivity-time 60
!
bridge irb
!
interface FastEthernet3/0
no ip address
duplex half
bridge-group 1
!
interface FastEthernet5/0
no ip address
ip auth-proxy AuthRule
ip access-group 100 in
duplex auto
speed auto
bridge-group 1
!
interface FastEthernet5/1
no ip address
duplex auto
speed auto
bridge-group 1
!
interface BVI1
ip address 10.0.0.25 255.255.255.0
!
!
ip route 11.0.0.0 255.255.255.0 10.0.0.7
!
ip http server
ip http secure-server
!
radius-server host 11.0.0.5 auth-port 1645 acct-port 1646
radius-server key cisco
!
bridge 1 protocol ieee
bridge 1 route ip
!
Router# show ip auth-proxy cache
 
Authentication Proxy Cache
Client Name AuthRule, Client IP 10.0.0.1, Port 1100,
timeout 60, Time Remaining 60, state ESTAB

その他の参考資料

次のセクションで、認証プロキシ機能でのトランスペアレント ブリッジングのサポートに関連する参考資料を提供しています。

関連資料

内容
参照先

認証プロキシ コマンド

『Cisco IOS Security Command Reference』

ブリッジング コマンド

Cisco IOS Bridging Command Reference

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

トランスペアレント認証プロキシの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 トランスペアレント認証プロキシの機能情報

機能名
リリース
機能情報

認証プロキシでのトランスペアレント ブリッジング サポート

12.4(15)T

認証プロキシのトランスペアレント ブリッジング機能で、ネットワーク管理者が、透過的な認証プロキシを既存のネットワークに、スタティックに定義したネットワーク接続デバイスの IP アドレスを再設定せずに設定できます。この結果、セキュリティ ポリシーがユーザ単位でダイナミックに認証され、認可されます。これにより、信頼できるネットワークのデバイスの番号を付け替えなければならないという、面倒でコストがかかるオーバーヘッドがなくなります。

ブリッジングされたインターフェイス上の認証プロキシのルールは適宜同じデバイス上のルータ インターフェイスと併用でき、管理者は異なる認証プロキシ ルールをブリッジングおよびルーティングされたドメインに導入できます。

この機能は、Cisco IOS リリース 12.4(15)T で導入されました。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2007-2009 Cisco Systems, Inc.
All rights reserved.