Cisco IOS IP モビリティ コンフィギュレーション ガ イド
Mobile IP ダイナミック セキュリティ アソシ エーションおよびキー配布
Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布

目次

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の前提条件

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の制約事項

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布に関する情報

セッション識別子

Cisco Secure ACS サーバの使用方法

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の利点

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

コマンド リファレンス

用語集

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布機能を使用すると、Mobile IP クライアント(モバイル ノード)は、ホーム エージェントとの間のセキュリティ アソシエーションを構築するために必要なダイナミック共有キーを、Microsoft Windows ログイン情報を使用して生成できます。これらのセキュリティ アソシエーションを使用して、モバイル デバイスが認証されます。登録に成功すると、ホーム エージェントから送信される登録応答メッセージの拡張として、DHCP サーバ アドレス、ホーム アドレス プレフィクス長、Domain Name System(DNS; ドメイン ネーム システム)アドレスなどの基本的なコンフィギュレーション パラメータもモバイル ノードに伝えられます。

この機能により、Mobile IP クライアント ソフトウェアのインストール後の設定は不要になります。お客様がログインと認証を何度も行う必要はなくなり、Mobile IP クライアント ソフトウェアは「プラグアンドプレイ」で動作します。

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布機能の履歴

リリース
変更内容

12.3(4)T

この機能が追加されました。

プラットフォームおよび Cisco IOS ソフトウェア イメージのサポート情報の検索

プラットフォーム サポートと Cisco IOS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスするには、Cisco.com のアカウントが必要です。アカウントをお持ちでない場合や、ユーザ名やパスワードを忘れた場合は、ログイン ダイアログボックスで [Cancel] をクリックし、表示される説明に従ってください。

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の前提条件

ネットワークは、Mobile IP を稼動するように設定する必要があります。ホーム エージェントには、Windows ドメイン内のユーザを認証するために、ドメイン コントローラにアクセスできる RADIUS サーバの Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)アドレスを設定する必要があります。

Mobile IP はホスト デバイス上でのサポートが必要なため、各モバイル ノードは、クライアント ソフトウェアを使用して目的の Mobile IP サービス用に適切に設定されている必要があります。

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の制約事項

この機能は、Windows オペレーティング システム環境でのみ使用できます。

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布に関する情報

ここでは、Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布機能に関連する概念について説明します。

「セッション識別子」

「Cisco Secure ACS サーバの使用方法」

「Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の利点」

セッション識別子

この機能では、設定内で Network Access Identifier(NAI; ネットワーク アクセス識別子)が指定された場合に使用可能な、セッション識別子(session-id)という概念が導入されます。セッション識別子の使用は任意であり、モバイル ノードの初期登録要求で追加できます。たとえば、単一のユーザが、複数のセッションを持ち(PDA、携帯電話、ラップトップなどのさまざまなデバイスからログインしている場合など)、すべてのセッションに同じ NAI を使用することができます。これらの個々のセッションは、セッション識別子により識別されます。初期登録にセッション識別子が含まれていた場合は、モバイル ノードからの後続のすべての登録更新にもそのセッション識別子が含まれている必要があります。

Cisco Secure ACS サーバの使用方法

この機能では既存の認証インフラストラクチャが利用されるため(Windows Domain Controller(DC)データベースや Active Directory(AD)など)、AAA サーバに Mobile IP クライアント ユーザ情報を設定する必要はありません。AAA に必要な設定は、AAA がホーム エージェントから RADIUS 要求を受信したときに、DC または AD を使用して Mobile IP クライアント ユーザを認証できるようにすることだけです。

次に、データベースを使用して Mobile IP クライアントを認証するように、Cisco Secure Access Control Server(ACS)を設定する手順を簡単に示します。

ナビゲーション バーで、[External User Databases] をクリックします。未知のユーザを認証するために、[Windows Domain Database] を選択します。

ナビゲーション バーで、[External User Databases] をクリックします。未知のユーザのドメインを ACS グループにマッピングします。

[Database Group Mappings] をクリックします。マッピングされた ACS グループの Microsoft MPPE Key アトリビュートをチェックします。

Cisco Secure ACS の設定に関する詳細については、『 Cisco Secure ACS Windows Server 3.1 User Guide 』の「 Administering External User Databases 」を参照してください。

Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布の利点

この機能により、Mobile IP クライアント ソフトウェアのインストール後の設定は不要になります。お客様がログインと認証を何度も行う必要はなくなり、Mobile IP クライアント ソフトウェアは「プラグアンドプレイ」で動作します。

ネットワーク管理者にとっては、この機能により、Mobile IP プロビジョニングが簡素化され、動的な再キーイングによりモビリティ セキュリティが向上します。

参考資料

ここでは、Mobile IP ダイナミック セキュリティ アソシエーションおよびキー配布機能に関する参考資料を示します。

関連資料

関連項目
参照先

Mobile IP コマンド:コマンド構文の詳細、コマンド モード、デフォルト、使用上の注意事項、および例

Cisco IOS IP Command Reference, Volume 4 of 4: IP Mobility, Release 12.3 T』

Mobile IP のネットワーク アクセス識別子に関する情報

Mobile IP Generic NAI Support and Home Address Allocation 』機能マニュアル、Release 12.2(13)T

Cisco Secure ACS 設定作業

『Cisco Secure ACS Windows Server 3.1 User Guide』

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。

--

MIB

MIB
MIB リンク

この機能がサポートする新しい MIB または変更された MIB はありません。また、この機能で変更された既存の MIB のサポートはありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能による新規または変更された RFC のサポートはありません。また、この機能による既存の RFC サポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

TAC のホームページには、3 万ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

http://www.cisco.com/public/support/tac/home.shtml

コマンド リファレンス

このモジュールに記載されている 1 つ以上の機能で、次のコマンドが追加または変更されています。これらのコマンドについては、 http://www.cisco.com/en/US/docs/ios/ipmobility/command/reference/imo_book.html の『 Cisco IOS IP Mobility Command Reference 』を参照してください。すべての Cisco IOS コマンドについては、 http://tools.cisco.com/Support/CLILookup にアクセスしてコマンド検索ツールを使用するか、『 Cisco IOS Master Commands List 』を参照してください。

clear ip mobile binding

clear ip mobile visitor

show ip mobile binding

show ip mobile visitor

用語集

NAI:Network Access Identifier(NAI; ネットワーク アクセス識別子)。認証用のユーザを識別するために、登録時にモバイル ノードから提示されるユーザ ID。NAI は、登録要求を正しいホーム エージェントへルーティングするのに役立つ場合があります。

ホーム エージェント :モバイル ノードのホーム ネットワーク上のルータ。モバイル ノードまたはモバイル ルータがホームから離れているときに、それらへのパケットをトンネリングします。モビリティ バインディングと呼ばれる登録モバイル ノードの現在の位置情報を維持します。

モバイル ノード :接続ポイントがネットワーク間またはサブネット間で変化するホストまたはルータ。モバイル ノードは、自分の IP アドレスを変更せずに自分の位置を変更できます。接続ポイントへのリンクレイヤ接続が有効であれば、場所を問わず自分のホーム IP アドレスを使用したまま、他のインターネット ノードと通信できます。


) この用語集に記載されていない用語については、『Internetworking Terms and Acronyms』を参照してください。