Cisco IOS IP モビリティ コンフィギュレーション ガ イド
Mobile IP:Challenge/Response 拡張機能
Mobile IP:Challenge/Response 拡張機能
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Mobile IP:Challenge/Response 拡張機能

目次

Mobile IP:Challenge/Response 拡張機能の前提条件

Mobile IP:Challenge/Response 拡張機能の制約事項

外部エージェント Challenge/Response 拡張機能に関する情報

Challenge/Response 拡張機能

外部エージェント Challenge/Response 拡張機能の設定方法

FA Challenge/Response 拡張機能の設定

前提条件

外部エージェント サービス設定の確認

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

Mobile IP:Challenge/Response 拡張機能

Mobile IP:Challenge/Response 拡張機能を使用すると、登録要求で Mobile Foreign Challenge Extension(MFCE)および Mobile Node-AAA Authentication Extension(MNAE)を Home Agent(HA; ホーム エージェント)に送信することにより Foreign Agent(FA; 外部エージェント)が Mobile Node(MN; モバイル ノード)を認証できます。

Mobile IP:Challenge/Response 拡張の機能仕様

機能履歴
リリース
変更内容

12.2(13)T

この機能が追加されました。

サポートされているプラットフォーム

Cisco IOS Release 12.2(13)T でサポートされているプラットフォームについては、Cisco Feature Navigator で確認してください。

Cisco Feature Navigator を使用したプラットフォーム サポートの特定

Cisco IOS ソフトウェアは、特定のプラットフォームがサポートされている機能セットにパッケージングされています。この機能のプラットフォーム サポートに関連した更新情報を取得するには、Cisco Feature Navigator にアクセスします。新しいプラットフォーム サポートが機能に追加されると、Cisco Feature Navigator によって、サポートされているプラットフォームのリストが自動的に更新されます。

Cisco Feature Navigator は Web ベースのツールであり、特定の機能セットがサポートされている Cisco IOS ソフトウェア イメージ、および、特定の Cisco IOS イメージ内でサポートされている機能を特定できます。機能またはリリースごとに検索できます。リリース セクションでは、各リリースを横に並べて比較し、各ソフトウェア リリースに固有の機能と共通機能の両方を表示できます。

Cisco Feature Navigator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れた場合や紛失した場合は、cco-locksmith@cisco.com に空メールを送信してください。自動チェックにより、ご使用の E メール アドレスが Cisco.com に登録されているか検証されます。チェックが成功した場合は、アカウントの詳細がランダムな新パスワードと一緒に E メールで送信されます。認証されたユーザは、次の URL に表示される指示に従うことで、Cisco.com にアカウントを構築できます。

http://www.cisco.com/register

Cisco Feature Navigator は定期的に更新されています(Cisco IOS ソフトウェアの主要なリリース時およびテクノロジー リリース時)。最新情報については、次の URL から Cisco Feature Navigator ホームページにアクセスしてください。

http://www.cisco.com/go/fn

Cisco IOS ソフトウェア イメージの可用性

プラットフォームが特定の Cisco IOS ソフトウェア リリースをサポートするかどうかは、そのプラットフォーム用のソフトウェア イメージの有無により異なります。一部のプラットフォームのソフトウェア イメージは、事前の通知なしに延期、遅延、または変更される場合があります。各 Cisco IOS ソフトウェア リリースのプラットフォーム サポートおよび利用可能なソフトウェア イメージの更新情報は、オンライン リリース ノートまたは Cisco Feature Navigator(サポートされている場合)を参照してください。

Mobile IP:Challenge/Response 拡張機能の前提条件

Mobile IP:Challenge/Response 拡張機能においては、外部エージェントではモバイル ノード RRQ に次の拡張機能が含まれていると想定されます。

モバイル ノード ネットワーク アドレス ID

MHAE

モバイル ノード - 外部エージェント Challenge 拡張機能

モバイル ノードと AAA サーバの間で共有される秘密に基づいて計算されるモバイル ノード -AAA 拡張オーセンティケータ

一意のユーザ単位のパスワードが AAA とモバイル ノードで設定され、モバイル ノードまたはホーム エージェントのセキュリティ アソシエーションが AAA サーバで設定されている場合、HA では、FA CoA から受信されたモバイル ノード RRQ に次の項目が含まれていると想定されます。

MFCE

モバイル ノード -AAA 拡張オーセンティケータ

Mobile IP:Challenge/Response 拡張機能の制約事項

Mobile IP:Challenge/Response 拡張機能には、次の制約事項があります。

モバイル ノードの Collocated Care-of Address(CCoA; 連結型気付アドレス)モードはサポートされていません。

外部エージェント Challenge/Response 拡張機能に関する情報

Mobile IP:外部エージェント Challenge/Response 機能を設定するためには、次の概念を理解しておく必要があります。

「Challenge/Response 拡張機能」

Challenge/Response 拡張機能

Mobile IP は、本来の実装では、モバイル ノードが外部エージェントに対して自己認証するときに使用するモバイル - 外部認証拡張機能を定義します。このモバイル - 外部認証拡張機能は、外部エージェントにとって完全なリプレイ保護とはならず、外部エージェントは、Challenge Handshake Authentication Protocol(CHAP)などの既存の方法を使用してモバイル ノードを認証することはできません。Mobile IP:外部エージェント Challenge/Response 拡張機能は Mobile IP エージェントのアドバタイズメントおよび登録要求を拡張して、外部エージェントが Challenge/Response メカニズムを使用してモバイル ノードを認証することを可能にします。

Mobile IP:外部エージェント Challenge/Response 拡張機能が設定されている場合、外部エージェントでは、モバイル ノードにより以前にアドバタイズされたチャレンジ値を持つチャレンジ拡張がモバイル ノードに含まれていると想定されます。また、外部エージェントでは、特定の時間内にこのチャレンジ拡張を受け取ると想定されます。モバイル ノードは認証(MFAE または MN-AAA)用の拡張も送信する必要があります。

外部エージェント Challenge/Response 拡張機能の設定方法

ここでは、次の手順について説明します。

「FA Challenge/Response 拡張機能の設定」

「外部エージェント サービス設定の確認」

FA Challenge/Response 拡張機能の設定

外部エージェントが登録要求で MFCE と MNAE を送信してモバイル ノードを認証するよう設定するには、次の作業を実行します。

前提条件

一意のユーザ単位のパスワードが AAA とモバイル ノードで設定され、モバイル ノードまたはホーム エージェントのセキュリティ アソシエーションが AAA サーバで設定されている場合、HA では、FA CoA から受信されたモバイル ノード RRQ に次の項目が含まれていると想定されます。

MFCE

モバイル ノード -AAA 拡張オーセンティケータ

MFCE および MN-AAA 拡張オーセンティケータがホーム エージェントに転送されない場合、モバイル ノード/ホーム エージェント SA を格納する AAA サーバは、SA の取得を支援するためにすべてのユーザに対して同一のパスワードを持つ必要があります。


) モバイル ノードが FA-COA モードで登録し、Security Association(SA; セキュリティ アソシエーション)を AAA から取得する必要がある場合は、ユーザ パスワードを「cisco」と設定する必要があります。


手順の概要

1. enable

2. configure { terminal | memory | network }

3. router mobile

4. ip mobile foreign-agent care-of interface

5. interface type number

6. ip address ip-address mask

7. ip irdp

8. ip irdp holdtime seconds

9. ip irdp maxadvertinterval seconds

10. ip irdp minadvertinterval seconds

11. ip mobile foreign-service challenge { timeout value | window number }

12. ip mobile foreign-service challenge forward-mfce

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなどの上位の特権レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure { terminal | memory | network }

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

router mobile

 

Router(config)# router mobile

ルータで Mobile IP をイネーブルにします。

ステップ 4

ip mobile foreign-agent care-of interface

 

Router(config)# ip mobile foreign-agent care-of serial0

少なくとも 1 つの気付アドレスが設定されているときに外部エージェント サービスをイネーブルにします。

これは、外部エージェントとホーム エージェントの間のトンネルの外部ネットワーク終端ポイントです。気付アドレスは、インターフェイスの IP アドレスです。インターフェイスは、物理であってもループバックであっても、アクセス先のインターフェイスと同じである必要はありません。

ステップ 5

interface type number

 

Router(config)# interface serial0

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 6

ip address ip-address mask

 

Router(config-if)# ip address 10.1.0.1 255.255.255.255

インターフェイスのプライマリ IP アドレスを設定します。

ステップ 7

ip irdp

 

Router(config-if)# ip irdp

インターフェイスで IRDP 処理をイネーブルにします。

ステップ 8

ip irdp holdtime seconds

 

Router(config-if)# ip irdp holdtime 9000

アドバタイズメントが有効な時間(秒単位)です。

デフォルトは、 maxadvertinterval 期間の 3 倍です。外部エージェント Challenge 拡張機能が実装されている場合は、この値を 9000 秒に設定する必要があります。

ステップ 9

ip irdp maxadvertinterval seconds

 

Router(config-if)# ip irdp maxadvertinterval 9000

(任意)アドバタイズメントの最大間隔を秒単位で指定します。

ステップ 10

ip irdp minadvertinterval seconds

 

Router(config-if)# ip irdp minadvertinterval 7

(任意)アドバタイズメントの最小間隔を秒単位で指定します。

ステップ 11

ip mobile foreign-service challenge { timeout value | window number }
 

Router(config-if)# ip mobile foreign-service challenge timeout 10

インターフェイスで外部エージェント サービスをイネーブルにします。

チャレンジ タイムアウト値と最近送信された有効なチャレンジ値の数を設定します。

ステップ 12

ip mobile foreign-service challenge
forward-mfce
 

Router(config-if)# ip mobile foreign-service challenge forward-mfce

登録要求で外部エージェントが MFCE をホーム エージェントに送信するようイネーブルにします。

外部エージェント サービス設定の確認

外部エージェント サービスを提供するようにインターフェイスが設定されていることを任意で確認するには、次の作業を実行します。

手順の概要

1. enable

2. show ip mobile globals

3. show ip mobile interface

4. show ip mobile traffic

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなどの上位の特権レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip mobile globals

 

Router# show ip mobile globals

(任意)モバイル エージェントのグローバル情報を表示します。

ステップ 3

show ip mobile interface

 

Router# show ip mobile interface

(任意)外部エージェント サービスを提供しているか、モバイル ノードのホーム リンクになっているインターフェイスのアドバタイズメント情報を表示します。

ステップ 4

show ip mobile traffic

 

Router# show ip mobile traffic

(任意)プロトコル カウンタを表示します。

参考資料

ここでは、Mobile IP:Challenge/Response 拡張機能に関する参考資料を示します。

「関連資料」

「規格」

「MIB」

「RFC」

「シスコのテクニカル サポート」

関連資料

関連項目
参照先

認証

Cisco IOS Security Configuration Guide, Release 12.2』の「 Authentication, Authorization, and Accounting (AAA)」

IKE および IPSec セキュリティ プロトコル

Cisco IOS Security Configuration Guide , Release 12.2 』の「 IP Security and Encryption

Mobile IP

『Introduction to Mobile IP』

Cisco Mobile Networks

『Cisco Mobile Networks』

モバイル ワイヤレス設定

Cisco IOS Mobile Wireless Configuration Guide, Release 12.2

モバイル ワイヤレス コマンド

Cisco IOS Mobile Wireless Command Reference, Release 12.2

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。

--

MIB

MIB1
MIB リンク

RFC2006-MIB

CISCO-MOBILE-IP-MIB

プラットフォームおよび Cisco IOS リリースでサポートされる MIB のリストを入手して、MIB モジュールをダウンロードするには、次の URL にある Cisco.com の Cisco MIB Web サイトにアクセスしてください。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

1.サポートされている MIB がすべて記載されているわけではありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://tools.cisco.com/ITDIT/MIBS/servlet/index

Cisco MIB Locator で必要な MIB 情報がサポートされていない場合は、次の URL にある Cisco MIB ページにアクセスすれば、サポートされている MIB のリストを入手したり、MIB をダウンロードしたりできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Cisco MIB Locator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れた場合や紛失した場合は、cco-locksmith@cisco.com に空メールを送信してください。自動チェックにより、ご使用の E メール アドレスが Cisco.com に登録されているか検証されます。チェックが成功した場合は、アカウントの詳細がランダムな新パスワードと一緒に E メールで送信されます。認証されたユーザは、次の URL に表示される指示に従うことで、Cisco.com にアカウントを構築できます。

http://www.cisco.com/register

RFC

RFC2
タイトル

RFC 2002

『IP Mobility Support』

RFC 2003

『IP Encapsulation within IP』

RFC 2005

『Applicability Statement for IP Mobility Support』

RFC 2006

『The Definitions of Managed Objects for IP Mobility Support』

RFC 3024

『Reverse Tunneling for Mobile IP, revised』

2.サポートされている RFC がすべて記載されているわけではありません。

シスコのテクニカル サポート

説明
リンク

TAC のホームページには、3 万ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、ツール等へのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/public/support/tac/home.shtml

コマンド リファレンス

このモジュールに記載されている 1 つ以上の機能で、次のコマンドが追加または変更されています。これらのコマンドについては、 http://www.cisco.com/en/US/docs/ios/ipmobility/command/reference/imo_book.html の『 Cisco IOS IP Mobility Command Reference 』を参照してください。すべての Cisco IOS コマンドについては、 http://tools.cisco.com/Support/CLILookup にアクセスしてコマンド検索ツールを使用するか、『 Cisco IOS Master Commands List 』を参照してください。

debug ip mobile advertise

ip mobile foreign-service

show ip mobile traffic