Cisco 10000 シリーズ ルータ ソフトウェア コンフィギュレーション ガイド
RADIUS 機能の設定
RADIUS 機能の設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

RADIUS 機能の設定

RADIUS アトリビュート スクリーニング機能

RADIUS アトリビュート スクリーニング機能の履歴

RADIUS アトリビュート スクリーニングの制約事項

RADIUS アトリビュート スクリーニングの要件

RADIUS アトリビュート スクリーニングの設定作業

RADIUS アトリビュート スクリーニングの設定例

許可受け付けの設定例

アカウンティング拒否の設定例

許可拒否およびアカウンティング受け付けの設定例

必須アトリビュートの拒否の設定例

RADIUS 伝送の再試行

RADIUS 伝送再試行機能の履歴

RADIUS 伝送再試行の制約事項

RADIUS 伝送再試行の設定

RADIUS 伝送再試行の設定例

RADIUS 伝送再試行のモニタリングおよびトラブルシューティング

拡張 NAS-Port-Type および NAS-Port サポート

拡張 NAS-Port-Type および NAS-Port サポート機能の履歴

NAS-Port-Type(RADIUS アトリビュート 61)

NAS-Port(RADIUS アトリビュート 5)

NAS-Port-ID(RADIUS アトリビュート 87)

拡張 NAS-Port-Type および NAS-Port アトリビュート サポートの要件

拡張 NAS-Port-Type および NAS-Port アトリビュート サポートの設定

拡張 NAS-Port-Type および NAS-Port-ID アトリビュート サポートの確認

拡張 NAS-Port-Type アトリビュート サポートの設定例

RADIUS アトリビュート 31:PPPoX Calling Station ID

PPPoX Calling Station ID 機能の履歴

Calling-Station-ID フォーマット

PPPoX Calling Station ID の制約事項

PPPoX Calling Station ID の関連資料

PPPoX Calling Station ID の設定作業

Calling-Station-ID フォーマットの設定

Calling-Station-IDの確認

PPPoX Calling Station ID の設定例

PPPoX Calling Station ID の関連コマンド

RADIUS POD

RADIUS POD 機能の履歴

RADIUS POD の利点

RADIUS POD の制約事項

RADIUS POD の関連資料

RADIUS POD の要件

RADIUS POD の設定作業

AAA POD サーバの設定

AAA POD サーバの確認

AAA POD サーバのモニタリングおよびメンテナンス

RADIUS POD の設定例

RADIUS アトリビュート スクリーニング機能

RADIUS アトリビュート スクリーニング機能によって、Cisco 10000 ルータに許可およびアカウンティング用の accept または reject の RADIUS アトリビュート リストを設定できます。特定の目的のために設定する accept または reject リストに基づいて、Cisco 10000 シリーズ ルータは次の処理を行います。

すべての標準 RADIUS アトリビュートを受け入れて、処理します。

すべての標準 RADIUS アトリビュートを拒否します。

RADIUS の accept または reject リストを設定する前に、グローバル コンフィギュレーション モードで aaa new-model コマンドを使用して AAA をイネーブルにします。詳細については、『 Cisco IOS Command Summary, Volume 2 of 3 』Release 12.2 を参照してください。

Cisco 10000 シリーズ ルータは、次の配置モデルで RADIUS アトリビュート スクリーニング機能をサポートします。

管理型 L2TP(レイヤ 2 トンネル プロトコル)ネットワーク サーバ

VRF インスタンスに対する PPP Terminated Aggregation(PTA)

MPLS VPN に対する Remote Access(RA)


) RADIUS アトリビュート スクリーニングについての詳細は、『RADIUS Attribute Screening』フィーチャ モジュールを参照してください。


RADIUS アトリビュート スクリーニング機能については、次の項目で説明します。

「RADIUS アトリビュート スクリーニング機能の履歴」

「RADIUS アトリビュート スクリーニングの制約事項」

「RADIUS アトリビュート スクリーニングの要件」

「RADIUS アトリビュート スクリーニングの設定作業」

「RADIUS アトリビュート スクリーニングの設定例」

RADIUS アトリビュート スクリーニング機能の履歴

 

Cisco IOS リリース
説明
必要な PRE

12.2(16)BX3

この機能が Cisco 10000 シリーズ ルータに導入されました。

PRE2

12.3(7)XI6

この機能が Cisco IOS Release 12.3(7)XI6 に統合されました。

PRE2

12.2(28)SB

この機能が Cisco IOS Release 12.2(28)SB に統合されました。

PRE2

RADIUS アトリビュート スクリーニングの制約事項

RADIUS アトリビュート スクリーニング機能には以下の制約事項があります。

ネットワーク アクセス サーバ(NAS)の要件

RADIUS アトリビュート スクリーニング機能をイネーブルにするには、NAS として稼働する Cisco 10000 ルータに RADIUS グループの許可を設定する必要があります。

accept または reject リストの制限

accept または reject リストの設定に使用される 2 つのフィルタは、必ずどちらかを選択しなくてはいけません。したがって、各目的および各サーバ グループに 1 つの accept リストまたは reject リストしか設定できません。

VSA

RADIUS アトリビュート スクリーニング機能は、VSA(Vendor-Specific Attribute; ベンダー固有属性)スクリーニングをサポートしません。ただし、accept または reject リストにアトリビュート 26(Vendor-Specific)を指定することによって、すべての VSA を受け入れまたは拒否することができます。

必須のアトリビュート

reject リストの必須のアトリビュートは、パススルーが許可されています。次の必須アトリビュートを拒否しないでください。

許可 ― 6(Service-Type)および 7(Framed-Protocol)

アカウンティング ― 4(NAS-IP-Address)、40(Acct-Status-Type)、41(Acct-Delay-Time)、および 44(Acct-Session-ID)


) 必須アトリビュートで reject リストを設定するときは、そのリストでは目的(許可またはアカウンティング)が指定されないので、エラー メッセージは表示されません。アトリビュートの目的がわかっているときは、サーバによってアトリビュートが必須かどうかが判断されます。


RADIUS アトリビュート スクリーニングの要件

RADIUS の accept または reject リストを設定する前に、グローバル コンフィギュレーション モードで aaa new-model コマンドを使用して AAA をイネーブルにします。詳細については、『 Cisco IOS Command Summary, Volume 2 of 3 』Release 12.2 を参照してください。

RADIUS アトリビュート スクリーニングの設定作業

RADIUS アトリビュート スクリーニング機能を設定および確認するには、「RADIUS アトリビュートの accept または reject リストの設定」を参照してください。

許可受け付けの設定例

次に、アトリビュート 6(Service-Type)およびアトリビュート 7(Framed-Protocol)を accept リストに設定する例を示します。他のすべてのアトリビュート(VSA を含む)は、RADIUS 許可に関しては拒否されます。

aaa new-model
aaa authentication ppp default group radius-sg
aaa authorization network default group radius-sg
aaa group server radius radius-sg
server 10.1.1.1
authorization accept min-author
!
radius-server host 10.1.1.1 key mykey1
radius-server attribute list min-author
attribute 6-7

アカウンティング拒否の設定例

次に、アトリビュート 66(Tunnel-Client-Endpoint)およびアトリビュート 67(Tunnel-Server-Endpoint)を reject リストに設定する例を示します。他のすべてのアトリビュート(VSA を含む)は、RADIUS アカウンティングに関しては受け付けられます。

aaa new-model
aaa authentication ppp default group radius-sg
aaa authorization network default group radius-sg
aaa group server radius radius-sg
server 10.1.1.1
accounting reject tnl-x-endpoint
!
radius-server host 10.1.1.1 key mykey1
radius-server attribute list tnl-x-endpoint
attribute 66-67

許可拒否およびアカウンティング受け付けの設定例

次に、RADIUS 許可に reject リストを、RADIUS アカウンティングに accept リストを設定する例を示します。許可またはアカウンティング用の各サーバ グループには、1 つの accept または reject リストしか設定できませんが、各サーバ グループに許可用およびアカウンティング用のリストを 1 つずつ設定することは可能です。

aaa new-model
aaa authentication ppp default group radius-sg
aaa authorization network default group radius-sg
aaa group server radius radius-sg
server 10.1.1.1
authorization reject bad-author
accounting accept usage-only
!
radius-server host 10.1.1.1 key mykey1
radius-server attribute list usage-only
attribute 1,40,42-43,46
!
radius-server attribute list bad-author
attribute 22,27-28,56-59

必須アトリビュートの拒否の設定例

次に、 debug aaa accounting コマンドのデバッグ出力の例を示します。この例では、必須アトリビュート 44、40、および 41 が reject リストに付加されています。

Router# debug aaa authorization
 
AAA/ACCT(6): Accounting method=radius-sg (radius)
RADIUS: attribute 44 cannot be rejected
RADIUS: attribute 61 rejected
RADIUS: attribute 31 rejected
RADIUS: attribute 40 cannot be rejected
RADIUS: attribute 41 cannot be rejected
 

注意 デバッグ出力は CPU プロセスで高優先順位に割り当てられているので、システムを使用不能な状態にする可能性があります。そのため、特定の問題をトラブルシューティングする場合、またはシスコシステムズのテクニカル サポート担当者とのトラブルシューティング セッション時以外はデバッグ コマンドを使用しないようにしてください。また、ネットワーク トラフィックが低く、ユーザが少ないときにデバッグ コマンドを使用するのが最適です。このような時間にデバッグを行えば、デバッグ コマンドの増加したオーバーヘッド処理によってシステム利用に影響が及ぶ可能性が軽減されます。

RADIUS 伝送の再試行

Cisco 10000 ルータは、拡張された RADIUS 伝送再試行範囲をサポートします。RADIUS 伝送再試行範囲を拡張すると、RADIUS サーバがダウンしたり、通信が途絶えた場合に、レコードが消失しないように保護できます。

ルータが RADIUS サーバに伝送を再試行する回数を指定するには、radius-server コマンドを使用します。拡張された範囲には、1 ~ 17,280 の範囲を超える値を指定できます。

RADIUS 伝送再試行機能については、次の項目で説明します。

「RADIUS 伝送再試行機能の履歴」

「RADIUS 伝送再試行の制約事項」

「RADIUS 伝送再試行の設定」

「RADIUS 伝送再試行の設定例」

「RADIUS 伝送再試行のモニタリングおよびトラブルシューティング」

RADIUS 伝送再試行機能の履歴

 

Cisco IOS リリース
説明
必要な PRE

12.3(7)XI1

この機能が Cisco IOS Release 12.3(7)XI1 に統合されました。

PRE2

12.2(28)SB

この機能が Cisco IOS Release 12.2(28)SB に統合されました。

PRE2

RADIUS 伝送再試行の制約事項

拡張された RADIUS 伝送再試行範囲には、次の制約事項があります。

RADIUS 伝送再試行範囲の上限に値を設定すると、ルータに最大 24 時間まで再試行させることができます。

拡張された RADIUS 伝送再試行範囲を使用すると、割り当てられて使用可能なバッファ数が不足することがあります。

RADIUS 伝送再試行の設定

RADIUS 伝送再試行を設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

 

コマンド
目的

Router(config)# radius-server host { hostname | ip-address } retransmit retries

ルータが RADIUS サーバに再送信する回数を指定します。

retries オプションには、1 ~ 17,280 の範囲を超える値を指定できます。


) radius-server コマンドで使用可能なオプションの詳細については、Cisco IOS リリース 12.2 の Cisco IOS コマンド リファレンスを参照してください。


RADIUS 伝送再試行の設定例

例16-1 では、RADIUS サーバに最大 5 回の再送信を行うようにルータを設定します。

例16-1 RADIUS 伝送再試行の設定

Router(config)# radius-server host 10.16.1.2 retransmit 5

RADIUS 伝送再試行のモニタリングおよびトラブルシューティング

RADIUS 伝送再試行の監視およびトラブルシューティングを行うには、特権 EXEC モードで次のコマンドを入力します。

 

コマンド
目的

Router# show radius statistics

アカウンティングおよび認証パケットに関する RADIUS 統計情報を表示します。

Number of RADIUS Timeouts フィールドは、サーバが応答しなかった回数、および RADIUS サーバがパケットを再送信した回数を示します。

Router# debug radius

RADIUS 関連の詳細情報を表示します。

Router# debug radius brief

クライアント/サーバ インタラクション情報の要約およびパケット情報の最小限の要約を表示します。


注意 デバッグ出力は CPU プロセスで高優先順位に割り当てられているので、システムを使用不能な状態にする可能性があります。そのため、特定の問題をトラブルシューティングする場合、またはシスコシステムズのテクニカル サポート担当者とのトラブルシューティング セッション時以外はデバッグ コマンドを使用しないようにしてください。また、ネットワーク トラフィックが低く、ユーザが少ないときにデバッグ コマンドを使用するのが最適です。このような時間にデバッグを行えば、デバッグ コマンドの増加したオーバーヘッド処理によってシステム利用に影響が及ぶ可能性が軽減されます。

拡張 NAS-Port-Type および NAS-Port サポート

Cisco IOS Release 12.3(7)XI1 では、NAS-Port-Type(RADIUS アトリビュート 61)、NAS-Port(RADIUS アトリビュート 5)、および NAS-Port-ID(RADIUS アトリビュート 87)の拡張 NAS-Port-Type アトリビュート サポート機能が変更されています。

拡張 NAS-Port-Type アトリビュート サポート機能について、次の項目で説明します。

「拡張 NAS-Port-Type および NAS-Port サポート機能の履歴」

「NAS-Port-Type(RADIUS アトリビュート 61)」

「NAS-Port(RADIUS アトリビュート 5)」

「NAS-Port-ID(RADIUS アトリビュート 87)」

「拡張 NAS-Port-Type および NAS-Port アトリビュート サポートの要件」

「拡張 NAS-Port-Type および NAS-Port アトリビュート サポートの設定」

「拡張 NAS-Port-Type および NAS-Port-ID アトリビュート サポートの確認」

「拡張 NAS-Port-Type アトリビュート サポートの設定例」

拡張 NAS-Port-Type および NAS-Port サポート機能の履歴

 

Cisco IOS リリース
説明
必要な PRE

12.3(7)XI1

この機能が Cisco 10000 シリーズ ルータに導入されました。

PRE2

12.2(28)SB

この機能が Cisco IOS Release 12.2(28)SB に統合されました。

PRE2

NAS-Port-Type(RADIUS アトリビュート 61)

RADIUS アトリビュートは、ユーザ プロファイルで特定の AAA 要素を定義するのに使用され、RADIUS デーモンに保存されます。現在、サポートされている Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)RADIUS アトリビュートには、アトリビュート 61 の NAS-Port-Type が含まれます。NAS-Port-Type は、NAS がユーザを認証するのに使用する物理ポートのタイプを示します。

しかし、RADIUS RFC が特定のブロードバンド サービス タイプのポートを定義する拡張タイプをサポートしないので、これらのタイプに基づいた NAS-Port-Type を識別する方法がありませんでした。基本的にすべての PPPoA、PPPoEoE、および PPPoEoA セッションが VIRTUAL、すべての PPPoEoVLAN および PPPoEoQinQ が ETHERNET と識別されていました。

拡張 NAS-Port-Type アトリビュート サポート機能は、異なるタイプのポートで行われているサービス タイプをクライアントがより詳しく識別できるようにするために NAS-Port-Type(アトリビュート 61)を拡張しています。

この機能の利点の 1 つは、サービス プロバイダーが任意のポートのユーザを個別に追跡できる独自のコーディング メカニズムを持てることです。サービス プロバイダーは、特定のお客様に Virtual LAN(VLAN)(または Q-in-Q)および VC が接続されているイーサネットまたは ATM インターフェイスなどの共有リソースを使用するお客様を特に追跡したい場合があります。

radius-server attribute 61 extended 設定コマンドを使用すると、RFC に準拠していない次の新規のブロードバンド サービス ポート タイプを識別できます。それぞれのタイプは、次の数値で表されます。

値 30:PPPoA

値 31:PPPoEoA

値 32:PPPoEoE

値 33:PPPoEoVLAN

値 34:PPPoEoQinQ

もう1つの機能は、VLAN、Q-in-Q、VC、または VC 範囲などのサブインターフェイスがそのセッションで送信される NAS-Port-Type アトリビュート値を無効にできる機能です。この機能は、非常に細かいレベルのエンド ユーザの管理をサービス プロバイダー提供し、異なるカスタマー用途の細分化を可能にします。radius attribute nas-port-type [value] コマンドによって、この機能が提供されます。

NAS-Port-Type 値は、お客様が選択する好きな番号にすることができます。独自の値をカスタマイズすることは、実際にポートを使用しているエンド クライアント タイプに基づいて NAS-Port-Type を区別する必要がある場合に特に有効です。たとえば、特定の PVC の背後にあるモバイル クライアントを追跡する場合、モバイル クライアントに対して独自の NAS-Port-Type を定義できます。

NAS-Port(RADIUS アトリビュート 5)

NAS-Port(RADIUS アトリビュート 5)は、ユーザが認証しようとしている物理または論理ポートを一意的に表す 32 ビットの値です。論理ポートは、ATM インターフェイスでは Virtual Path Identifier(VPI; 仮想パス識別子)および Virtual Channel Identifier(VCI; 仮想チャネル識別子)、イーサネット インターフェイスでは VLAN ID または Q-in-Q ID などになります。

各プラットフォームとサービスは、環境によって異なるポート情報を持つ可能性があるので、このアトリビュートを入力する方法はいろいろあります。現在、シスコではハードウェアに組み込まれたサービス固有の 4 つのフォーマット(a ~ d)、およびお客様およびプラットフォーム固有のニーズに合わせることができる設定可能な 1 つのフォーマット(e)が使用されます。

以前はフォーマット e では、デバイス上のすべてのコール タイプに対してグローバル フォーマットを 1 つしかカスタマイズできず、複数のサービスを含むデバイス上においてその実用性を狭めていました。現在の拡張 NAS-Port サポートを使用すると、NAS-Port-Type(RADIUS アトリビュート 61)の値に基づいて、すべてのサービス タイプまたは 1 つのサービス タイプに対してカスタム フォーマットの e ストリングを設定できます。つまり、RADIUS アクセスまたはアカウンティング要求を作成する場合、符号化ルーチンはセッションの NAS-Port-Type 値に定義された特定のフォーマット e ストリングを見つけ、デフォルトのグローバル フォーマット e ストリングではなく、そのストリングを最初に使用します。

NAS-Port-Type と NAS-Port の拡張機能の唯一の関連性は、符号化ルーチンによって選択されたフォーマット e ストリングが、セッションの NAS-Port-Type の値に依存することです。したがって、拡張 NAS-Port-Type 値(値 30 ~ 34)を使用する場合は、フォーマット e でもそれらの値を設定する必要があります。拡張 NAS-Port-Type サポートを使用しない場合は、従来の値を使用する必要があります。具体的には、仮想サービス ポート タイプには 5 の値、イーサネット サービス ポート タイプには 15 の値を使用します。これらのポート タイプに設定を戻すことにより、ユーザは特定のインターフェイスの以前の動作に戻ることができます。

カスタム フォーマットの e ストリングをサポートするために、radius-server attribute nas-port format e コマンドに [type nas-port-type] キーワードおよびオプションで拡張されました。type オプションを使用すると、すべての拡張 NAS-Port-Type 値に対して、Cisco 10000 上の異なる物理ポート タイプを表す異なるフォーマット ストリングを指定できます。たとえば、ストリング
[SSSSAAAAPPPPIIIIIIIICCCCCCCCCCCC] をタイプ 30(すべての PPPoA ポート)に指定ができ、さらにストリング [SSSSAAAAPPPPVVVVVVVVVVVVVVVVVVVV] をタイプ 33(すべての PPPoAoVLAN ポート)に指定することもできます。この場合、サービス プロバイダーは PPPoA ユーザの VPI/VCI 固有情報および PPPoEoVLAN ユーザの VLAN 固有情報を追跡できます。

NAS-Port-ID(RADIUS アトリビュート 87)

NAS-Port-ID(RADIUS アトリビュート 87)には、ユーザを認証する NAS ポートのキャラクタ テキスト ストリング識別子が含まれます。このテキスト ストリングは、通常 Command-Line Interface(CLI; コマンドライン インターフェイス)コンフィギュレーションにあるインターフェイスの説明に一致します。このアトリビュートは、以前は Cisco VSA「cisco-nas-port」で使用できましたが、現在は、カスタマーの要請に応じて IETF アトリビュート 87 でデフォルトで送信されます。

拡張 NAS-Port-Type および NAS-Port アトリビュート サポートの要件

RADIUS を使用するために、AAA がイネーブルにされ、すでに設定されている必要があります。

拡張 NAS-Port-Type および NAS-Port アトリビュート サポートの設定

拡張 NAS-Port-Type および NAS-Port アトリビュート サポートを設定するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

 

コマンド
目的

ステップ 1

Router(config)# radius-server attribute 61 extended

RFC に準拠しない拡張 NAS-Port-Type 値をイネーブルにします。この値は、PPPoA、PPPoEoA、PPPoEoE、PPPoEoVLAN、および PPPoEoQinQ などの新規のブロードバンド サービス ポート タイプを識別し、該当する値を AAA レコードに送信します。

ステップ 2

Router(config)# radius-server attribute nas-port format e [string] [type {nas-port-type}]

 

Example:

Router(config)# radius-server attribute nas-port format e SSSSAPPPUUUUUUUUUUUUUUUUUUUUUUUU

 

まず、NAS-Port-Type を持つセッションによってデフォルト フォーマットとして使用されるデフォルトの NAS-Port フォーマット e ストリングを設定します。NAS-Port-Type は、特定のサービス ポート タイプ値にカスタマイズされません。

フォーマット文字列を設定可能なフォーマット e に指定します。フォーマット e では、アトリビュート 5(NAS-Port)の 32 ビットすべての用途を明示的に定義する必要があります。用途を定義するには、所定のパーサー キャラクタを、各ビット フィールドに対応する NAS-Port フィールドに指定します。

string では、次のキャラクタがサポートされます。

ゼロ(0): 0

1: 1

DS0 シェルフ:f

DS0 スロット:s

DS0 アダプタ:a

DS0 ポート:p

DS0 サブインターフェイス:i

DS0 チャネル:c

非同期シェルフ:F

非同期スロット:S

非同期ポート:P

 

非同期回線:L

PPPoX スロット:S

PPPoX アダプタ:A

PPPoX ポート:P

PPPoX VLAN ID:V

PPPoX VPI:I

PPPoX VCI:C

セッションID:U

PPPoX の内側の VLAN ID:Q

string の定義の方法に関する詳細は、『Cisco IOS Security Command Reference』Release 12.3T を参照してください。

ステップ 3

Router(config)# radius-server attribute nas-port format e [string] [type {nas-port-type}]

 

Example:

Router(config)# radius-server attribute nas-port format e SSSSAAAAPPPPIIIIIIIICCCCCCCCCCCC type 30

 

 

拡張 NAS-Port-Type サポートの特定のサービス ポート タイプを設定します。

type オプションを使用すると、すべての拡張
NAS-Port-Type 値に対して、Cisco 10000 上の異なる物理ポート タイプを表す異なるフォーマット ストリングを指定できます。たとえば、ストリング
[SSSSAAAAPPPPIIIIIIIICCCCCCCCCCCC] をタイプ 30(すべての PPPoA ポート)に指定ができ、さらにストリング [SSSSAAAAPPPPVVVVVVVVVVVVVVVVVVVV] をタイプ 33(すべての PPPoAoVLAN ポート)に指定することもできます。この場合、サービス プロバイダーは PPPoA ユーザの VPI/VCI 固有情報および
PPPoEoVLAN ユーザの VLAN 固有情報を追跡できます。

nas-port-type には、次の拡張 NAS-Port-Type 値のいずれかを設定できます。

値 30:PPPoA

値 31:PPPoEoA

値 32:PPPoEoE

値 33:PPPoEoVLAN

値 34:PPPoEoQinQ

インターフェイスまたはサブインターフェイス レベルでルータにグローバルに設定されている NAS-Port-Type を無効にできます。すべてのグローバル オプション(イーサネット、VLAN、Q-in-Q、VC、または VC 範囲などのインターフェイスまたはサブインターフェイスにおける拡張 NAS-Port-Type アトリビュートの送信方法)を無効にするには、グローバル コンフィギュレーション モードを開始して、PVC サブモードまたはイーサネット サブインターフェイス モードの次のコマンドを入力します。

 

コマンド
目的

ステップ 1

Router(config)# interface atm 5/0/0.1

ATM サブインターフェイス モードを開始します。

ステップ 2

Router(config-subif)# pvc 1/33

PVC サブインターフェイス モードを開始します。

ステップ 3

Router(config-if-atm-vc)# radius attribute nas-port-type [value]

インターフェイスまたはサブインターフェイスに対して異なる拡張 NAS-Port-Type 値を設定するには、ポート タイプの値を選択して、グローバルに設定された NAS-Port タイプを無効にします。この機能によって、異なるカスタマー用途の細分化が可能になります。

NAS-Port-Type に対して value を選択します。値は 0 ~ 2147483647 のお客様が選ぶ好きな番号にできます。独自の値をカスタマイズすることは、実際にポートを使用しているエンド クライアント タイプに基づいて NAS-Port-Type を区別する必要がある場合に特に有効です。たとえば、特定の PVC の背後にあるモバイル クライアントを追跡する場合、モバイル クライアントに対して独自の NAS-Port-Type を定義できます。


) カスタマイズされた異なる拡張 NAS-Port-Type 値の設定を、拡張された特定のサービス ポート タイプの設定([format e type] コマンドを使用)と一緒に行うためには、value に対して、1 ~ 40 の範囲の番号を選択する必要があります。その範囲外の番号を選択すると、そのセッションで送信される NAS-Port 値を設定する際にデフォルトの NAS-Port フォーマット e ストリングが使用される原因になります。


拡張 NAS-Port-Type および NAS-Port-ID アトリビュート サポートの確認

拡張 NAS-Port-Type および NAS-Port-ID アトリビュート サポート機能を確認するには、特権 EXEC モードで次のコマンドを入力します。

 

コマンド
目的

Router# show running-config

ルータの現在の設定を表示します。このコマンドの出力をチェックして、設定を確認します。

次に、拡張 NAS-Port-Type をイネーブルにした RADIUS の現在の設定の出力の例を示します。デリミタ キャラクタを使用して、設定に関連する部分だけを表示できます。

Router# show run | inc radius
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
radius-server attribute 61 extended
radius-server attribute nas-port format e SSSSAPPPUUUUUUUUUUUUUUUUUUUUUUUU
radius-server attribute nas-port format e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC type 30
radius-server attribute nas-port format e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC type 31
radius-server attribute nas-port format e SSSSAAAAPPPPVVVVVVVVVVVVVVVVVVVV type 32
radius-server attribute nas-port format e SSSSAPPPVVVVVVVVVVVVVVVVVVVVVVVV type 33
radius-server attribute nas-port format e SSSSAPPPQQQQQQQQQQQQVVVVVVVVVVVV type 34
radius-server host 10.76.86.91 auth-port 1645 acct-port 1646
radius-server key rad123

次に、RADIUS の現在の設定の出力する例をもう 1 つ示します。この RADIUS では、すべての PPPoA ポート(タイプ 30)に対してフォーマット e ストリングをグローバルに指定しています。

Router# show run | inc radius
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting network default start-stop group radius
radius-server attribute nas-port format e SSSSSSSSAAAAAAAAPPPPPPPPIIIIIIII
radius-server attribute nas-port format e SSSSAAAAPPPPIIIIIIIICCCCCCCCCCCC type 30
radius-server host 10.76.86.91 auth-port 1645 acct-port 1646
radius-server key rad123

拡張 NAS-Port-Type アトリビュート サポートの設定例

次に、拡張 NAS-Port-Type ポートのグローバル サポートを設定し、2 つの別個のフォーマット e ストリングを 2 つの異なるポート タイプ(PPPoA のタイプ 30 と PPPoEoVLAN のタイプ 33)に対してグローバルに指定する例を示します。

Router# configure terminal
Router(config)#
Router(config)# radius-server attribute 61 extended
 
Router(config)# radius-server attribute nas-port format e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC type 30
Router(config)#
 
Router(config)# radius-server attribute nas-port format e SSSSAPPPVVVVVVVVVVVVVVVVVVVVVVVV type 33
Router(config)#
 

次に、ATM インターフェイスに対してフォーマット e ストリングとポート タイプをカスタマイズしてから、ATM インターフェイスにお客様によってカスタマイズされた NAS-Port-Type 値 36 を適用して拡張 NAS-Port-Type のグローバル値セットを無効にする例を示します。

Router# configure terminal
Router(config)# radius-server attribute nas-port format e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC type 36
 
Router(config)# interface atm 5/0/0.1
Router(config-subif)# pvc 1/33
Router(config-if-atm-vc)#
Router(config-if-atm-vc)# radius attribute nas-port-type 36

RADIUS アトリビュート 31:PPPoX Calling Station ID

RADIUS アトリビュート 31:PPPoX Calling Station ID 機能を利用するサービス プロバイダーは、発信者に顧客の物理的な発信回線に関する情報など、DSL 環境の RADIUS サーバの詳細情報を提供します。特に、オペレータはこの機能を利用して顧客を物理的な発信回線を通じて追跡できます。サービス プロバイダーは、ある物理回線から別の物理回線に移動する顧客のプロファイル データベースをより良く維持できます。

この機能で提供されるのは仮想ポートであり、顧客がある物理回線から別の物理回線に移動しても変更されません。このため RADIUS アトリビュート 31(Calling-Station-ID)も使用して、さらにセキュリティ チェックを行います。Calling-Station-ID アトリビュートには、ACCESS-REQUES メッセージと ACCOUNTING-REQUEST メッセージが含まれています。

PPPoX Calling Station ID 機能については、次の項目で説明します。

「PPPoX Calling Station ID 機能の履歴」

「Calling-Station-ID フォーマット」

「PPPoX Calling Station ID の制約事項」

「PPPoX Calling Station ID の関連資料」

「PPPoX Calling Station ID の設定作業」

「PPPoX Calling Station ID の設定例」

「PPPoX Calling Station ID の関連コマンド」

PPPoX Calling Station ID 機能の履歴

 

Cisco IOS リリース
説明
必要な PRE

12.3(7)XI2

この機能が Cisco 10000 シリーズ ルータに導入されました。

PRE2

Calling-Station-ID フォーマット

Calling-Station-ID アトリビュートには 2 つのフォーマットがあります。Nas-Port と MAC-only です。Nas-Port では、ホスト名とノードのドメイン名、インターフェイスの内容、およびATM ベースのセッション(PPPoA や PPPoEoA など)の場合は VPI/VCI の内容がシステムから RADIUS サーバに伝えられます。PPPoEoE セッションの場合は MAC アドレスが伝えられ、ATM ベース セッションの場合の VPI/VCI 情報は伝えられません。MAC-only では、PPPoEoE セッションの MAC アドレスだけが伝えられます。

表16-1 に、イネーブルの Calling-Station-ID フォーマットをセッション タイプ別に示します。Calling-Station-ID の MAC-only タイプと Nas-Port タイプがどちらもイネーブルの場合、システムは PPPoEoE セッションの MAC アドレスだけを RADIUS サーバに伝えます。

 

表16-1 イネーブルな Calling-Station-ID フォーマット(セッションタイプ別)

イネーブルな Calling-Station-ID フォーマット
セッション タイプ
MAC-only
Nas-Port
MAC-only および Nas-Port

PPPoA

適用できない

hostname.domainname:int_desc:vpi:vci

hostname.domainname:int_desc:vpi:vci

PPPoEoA

適用できない

hostname.domainname:int_desc:vpi:vci

hostname.domainname:int_desc:vpi:vci

PPPoEoE

macaddr

hostname.domainname:int_desc:macaddr

macaddr

表16-2 に、Calling-Station-ID アトリビュート フィールドを示します。

 

表16-2 Calling-Station-ID アトリビュート フィールド

フィールド
説明

domainname

ローカル ルータに設定したドメイン名

hostname

ローカル ルータに設定したホスト名

int_desc

設定した ATM インターフェイスの内容

macaddr

クライアントから受信した MAC アドレス

vci

設定した ATM インターフェイスの VCI

vpi

設定した ATM インターフェイスの VPI


) オペレータは RADIUS 論理回線 ID を利用して、事前認証フェーズで RADIUS から
Calling-Station-ID をダウンロードできます。RADIUS 論理回線 ID 機能を利用すると、セッション開始時にアトリビュートをダウンロードできます。RADIUS 論理回線 ID 機能を RADIUS アトリビュート 31 と同時に使用することはできません。PPPoX Calling Station ID 機能では、両方の機能を使用して特定のユーザの RADIUS IOS データベースの 2 つのアトリビュート インスタンスを使用できます。


PPPoX Calling Station ID の制約事項

RADIUS アトリビュート 31:PPPoX Calling Station ID 機能には以下の制約事項があります。

RADIUS 論理回線 ID 機能を RADIUS アトリビュート 31 と同時に使用することはできません。両方の機能を使用すると、特定のユーザの RADIUS IOS データベースで 2 つのアトリビュート インスタンスが使用作成されてしまいます。

この機能は任意のベンダーの RADIUS サーバで使用できますが、一部の RADIUS サーバでは Calling-Station-ID アトリビュートが RADIUS ログに正しく表示されるように辞書ファイルを変更する必要があります。

この機能は RADIUS だけをサポートし、TACACS+ はサポートしません。

現在、PPPoEoVLAN と PPPoEoQinQ は VLAN タグで情報を提供していません。RADIUS サーバに提供されるのは MAC アドレスだけです。

RADIUS アトリビュート 31(Calling-Station-ID)は LNS 環境ではサポートされません。LNS でイネーブルにしたアトリビュートは RADIUS サーバに送信されません。

PPPoX Calling Station ID の関連資料

RADIUS Logical Line ID Feature Guide

『Cisco IOS Wide-Area Networking Configuration Guide』Release 12.2 の「Configuring Broadband Access: PPP and Routed Bridge Encapsulation」を参照してください。

『Cisco IOS Dial Technologies Configuration Guide』Release 12.2

PPPoX Calling Station ID の設定作業

RADIUS アトリビュート 31:PPPoX Calling Station ID 機能を設定するには、次の設定作業を実行します。

「Calling-Station-ID フォーマットの設定」

「Calling-Station-IDの確認」

Calling-Station-ID フォーマットの設定

Calling-Station-ID フォーマットを設定するには、グローバル コンフィギュレーション モードで次の作業を実行します。

拡張 NAS-Port-Type および NAS-Port-ID アトリビュート サポート機能を確認するには、特権 EXEC モードで次のコマンドを入力します。

 

コマンド
目的
Router(config)# radius-server attribute 31 pppox format

format ― Calling-Station-ID のタイプを指定します。

nas-port ― Calling-Station-ID アトリビュートの Nas-Port フォーマットをイネーブルにします。

mac-addr ― Calling-Station-ID アトリビュートの Mac-only フォーマットをイネーブルにします。

Calling-Station ID の一方または両方のタイプをイネーブルにできます。Calling-Station ID の MAC-only と Nas-Port タイプの両方をイネーブルにすると、システムは PPPoEoE セッション時に MAC アドレスだけを RADIUS サーバに提供します。表16-1 に、イネーブルの Calling-Station-ID フォーマットをセッション タイプ別に示します。

Calling-Station-IDの確認

Calling-Station-ID を確認するには、特権 EXEC モードで debug radius コマンドを開始して次の作業を実行します。debug radius コマンドを実行すると、RADIUS アトリビュート 31(Calling-Station-ID)が ACCESS-REQUEST および ACCOUNTING-REQUEST であることが確認できます。例16-2 に、debug radius コマンドのサンプル出力を示します。


注意 デバッグ出力は CPU プロセスで高優先順位に割り当てられているので、システムを使用不能な状態にする可能性があります。そのため、特定の問題をトラブルシューティングする場合、またはシスコシステムズのテクニカル サポート担当者とのトラブルシューティング セッション時以外はデバッグ コマンドを使用しないようにしてください。また、ネットワーク トラフィックが低く、ユーザが少ないときにデバッグ コマンドを使用するのが最適です。このような時間にデバッグを行えば、デバッグ コマンドの増加したオーバーヘッド処理によってシステム利用に影響が及ぶ可能性が軽減されます。

例16-2 debug radius コマンドの出力結果

*Sep 14 14:54:43.259: RADIUS(00000008): Send Access-Request to 10.0.0.8:1645 id1645/34, len 121
*Sep 14 14:54:43.259: RADIUS: authenticator C3 81 6B 7A F8 38 F9 FE - E6 82 A6 91 92 54 44 66
*Sep 14 14:54:43.259: RADIUS: Framed-Protocol [7] 6 PPP [1]
*Sep 14 14:54:43.259: RADIUS: User-Name [1] 8 "johndoe"
*Sep 14 14:54:43.259: RADIUS: CHAP-Password [3] 19 *
*Sep 14 14:54:43.259: RADIUS: NAS-Port-Type [61] 6 Virtual [5]
*Sep 14 14:54:43.259: RADIUS: NAS-Port [5] 6 0
*Sep 14 14:54:43.259: RADIUS: NAS-Port-Id [87] 9 "8/0/0/0"
*Sep 14 14:54:43.259: RADIUS: Calling-Station-Id [31] 35 ":c10k.xtnet.com:my_interface:00b0.c2ef.8400"
*Sep 14 14:54:43.259: RADIUS: Service-Type [6] 6 Framed [2]
*Sep 14 14:54:43.259: RADIUS: NAS-IP-Address [4] 6 10.0.0.119

 

PPPoX Calling Station ID の設定例

次に、論理回線 ID をダウンロードして事前認証に LAC を設定する PPP PTA と L2TP LCA の例を示します。

aaa new-model
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa session-id common
!
hostname c10k
ip domain-name xtnet.com
!-------- hostname and domain name are included in the nas-port type CSID---
 
vc-class atm ppp_auto1200
vpn service service_control
protocol pppoe group PPPOETEST
encapsulation aal5autoppp Virtual-Template1 group PPPOETEST
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
interface Loopback10
ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet0/0/0
ip address 10.0.0.119 255.255.255.0
speed 100
full-duplex
!
interface ATM1/0/0
no ip address
shutdown
no atm pxf queuing
atm ilmi-keepalive
pvc 0/16 ilmi
!
!
interface ATM1/0/1
no ip address
atm clock INTERNAL
no atm auto-configuration
atm ilmi-keepalive
no atm address-registration
pvc 0/16 ilmi
!
!
interface ATM1/0/1.111 multipoint
! -----This description is used in the calling-station-id ------
description test_descr
pvc 0/100
class-vc ppp_auto1200
!
pvc 0/101
class-vc ppp_auto1200
!
interface GigabitEthernet8/0/0
ip address 10.10.0.1 255.255.255.0
negotiation auto
pppoe enable group PPPOETEST
!
interface Virtual-Template1
ip unnumbered Loopback0
peer default ip address pool default
ppp authentication chap callin
!
ip local pool default 3.3.3.1 3.3.3.10
!
radius-server attribute 31 pppox nas-port
radius-server attribute 31 pppox mac-addr
radius-server attribute 32 include-in-access-req
radius-server host 10.0.0.8 auth-port 1645 acct-port 1646 key cisco

PPPoX Calling Station ID の関連コマンド

 

コマンド
説明

ip radius source-interface

RADIUS は、すべての発信 RADIUS パケットに指定したインターフェイスの ID アドレスを使用します。

RADIUS POD

RADIUS Packet of Disconnect(POD; パケット オブ ディスコネクト)機能は、すでに接続されたセッションを終端するための方法で構成されます。この POD は、RADIUS access_request パケットであり、セッションが RADIUS access_accept パケットによって許可されたあとに認証エージェント サーバがユーザを接続解除する状況になった場合に使用するものです。この機能は、少なくとも次の 2 つの状況で必要となる可能性があります。

不正使用を検出した場合(セッションを許可する前に検出することは不可能)。価格構成が複雑なので、セッションを許可する前に最大セッション期間を予測できません。特定のタイプのディスカウントが適用された場合、または複数のユーザが同一のサブスクリプションを同時に使用する場合などが挙げられます。

未許可サーバがユーザを接続解除するのを防ぐには、POD パケットを発行する許可エージェントが接続解除要求のパケットに 3 つのパラメータを加える必要があります。接続解除されるセッションでは、すべてのパラメータがルータで期待値に一致する必要があります。パラメータが一致しない場合は、ルータは POD パケットを廃棄し、エージェントに Negative Acknowledgement(NACK; 否定応答)メッセージを送信します。

データ パラメータは、次の RADIUS アトリビュートになります。

User- Name(RADIUS IETF アトリビュート 1)

Framed-IP-Address(RADIUS IETF アトリビュート 8)

Acct-Session-Id(RADIUS IETF アトリビュート 44)

Session-Svr-Key(ベンダー独自の RADIUS アトリビュート 151)

RADIUS アトリビュートに関する情報については、 付録 A「RADIUS アトリビュート」 を参照してください。

RADIUS POD 機能については、次の項目で説明します。

「RADIUS POD 機能の履歴」

「RADIUS POD の利点」

「RADIUS POD の制約事項」

「RADIUS POD の関連資料」

「RADIUS POD の要件」

「RADIUS POD の設定作業」

「AAA POD サーバのモニタリングおよびメンテナンス」

「RADIUS POD の設定例」

RADIUS POD 機能の履歴

 

Cisco IOS リリース
説明
必要な PRE

12.3(7)XI1

この機能が Cisco 10000 シリーズ ルータに導入されました。

PRE2

12.2(28)SB

この機能が Cisco IOS Release 12.2(28)SB に統合されました。

PRE2

RADIUS POD の利点

確立されたセッションを解除できます。

RADIUS POD の制約事項

次の方法によって、正しい照合識別情報が伝達される必要があります。

課金サーバおよびルータ設定

ルータのオリジナル アカウンティング スタート要求

サーバの POD 要求

RADIUS POD の関連資料

Cisco IOS Security Configuration Guide 』Release 12.2

Cisco IOS Configuration Fundamentals Configuration Guide 』Release 12.2

Cisco Access Registrar 3.5 Installation and Configuration Guide

RFC 2865 の『 Remote Authentication Dial-in User Service

RADIUS POD の要件

AAA を設定します(『 Cisco IOS Security Configuration Guide 』Cisco IOS Release 12.2 を参照)。

RADIUS POD の設定作業

RADIUS POD 機能を設定するには、次の設定作業を行います。

AAA POD サーバの設定

AAA POD サーバの確認

AAA POD サーバの設定

Calling-Station-ID フォーマットを設定するには、グローバル コンフィギュレーション モードで次の作業を実行します。

 

コマンド
目的
Router(config)# aaa pod server clients [client ip address] port [port-number] [auth-type {any| all| session-key}] [ignore {session-key | server-key}] server-key string
 
 

特定のセッション アトリビュートが設定されている場合に、インバウンド ユーザ セッションが接続解除されるようにします。

clients ip-address ― (任意)POD 要求を送信できるすべてのクライアントの IP アドレスを登録します。設定しない場合は、すべてのクライアントから POD 要求を受信できます。

port-number ― (任意)POD 要求に使用する NAS User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポート。デフォルト値は、1700 です。

auth-type ― (任意)セッションの接続解除に必要な許可タイプ

any ― POD パケットで送信されるすべてのアトリビュートに一致するセッションが接続解除されます。POD パケットには、4 つのキー アトリビュート(user-name、framed-IP-address、session-ID、および session-key)のうちの 1 つまたは複数のキー アトリビュートが含まれます。

all ― 4 つすべてのキー アトリビュートに一致する 1 つのセッションだけが接続解除されます。 all は、デフォルト値です。

session-key ― 一致する session-key アトリビュートが 1 つあるセッションが接続解除されます。他のアトリビュートは無視されます。

ignore ― (任意)セッション照合に対して POD パケットで受信されるセッション キーまたはサーバ キーを無視します。

server-key ― 共有秘密テキスト ストリングを設定します。

string ― NAS とクライアント ワークステーションの間で共有される共有秘密テキスト ストリング。この共有秘密ストリングは、両方のシステムで同一である必要があります。

AAA POD サーバの確認

AAA POD サーバとして実行できるようにルータが正しく設定されているかどうかを確認するには、特権 EXEC モードで show running-configuration コマンドを入力し、ルータのコマンド設定を表示します。

Router# show running-configuration

!

aaa new-model

aaa authentication ppp default group radius

aaa authorization network default group radius

aaa accounting network default start-stop group radius

aaa pod server clients <ip address> port <port number> auth-type [all/ any/ session-key] server-key cisco

AAA POD サーバのモニタリングおよびメンテナンス

AAA POD サーバを監視し、問題のトラブルシューティングを行うには、次の作業を行います。

aaa pod server コマンドを使用して、ルータと RADIUS サーバの両方に POD ポートが正しく設定され、両方が同じであることを確認します。

aaa pod server コマンドを使用して、ルータと AAA サーバに設定された共有秘密鍵が同一であることを確認します。

次の debug コマンドを使用します。

debug aaa pod ― POD パケットのデバッグ メッセージを表示します。

debug aaa authentication ― 認証のデバッグ メッセージを表示します。

debug aaa accounting ― アカウンティング レコードのデバッグ メッセージを表示します。

debug radius ― RADIUS パケットのデバッグ メッセージを表示します。

次に、debug aaa pod コマンドからの出力を表示する例を示します。ここでは、POD 要求が成功したことを示しています。

Router# debug aaa pod
AAA POD packet processing debugging is on
General OS:
AAA POD packet processing debugging is on
 
Router#
4d18h: ++++++ POD Attribute List ++++++
4d18h: 6291C598 0 00000009 username(336) 8 pod_user
4d18h: 7085EE1C 0 00000001 nas-ip-address(439) 4 23.3.7.3
4d18h:
4d18h: POD: 2.0.0.210 user pod_user 0.0.0.0 sessid 0x0 key 0x0
4d18h: POD: Line User IDB Session Id Key
4d18h: POD: Skip <NULL> 0.0.0.0 0x363 0x0
4d18h: POD: KILL Virtual- pod_user 104.1.2.38 0x421A 0xD4105397
4d18h: POD: Skip Virtual- <NULL> 0.0.0.0 0x421B 0x0
4d18h: POD: Sending ACK from port 3799 to 2.0.0.210/64917
 

注意 デバッグ出力は CPU プロセスで高優先順位に割り当てられているので、システムを使用不能な状態にする可能性があります。そのため、特定の問題をトラブルシューティングする場合、またはシスコシステムズのテクニカル サポート担当者とのトラブルシューティング セッション時以外はデバッグ コマンドを使用しないようにしてください。また、ネットワーク トラフィックが低く、ユーザが少ないときにデバッグ コマンドを使用するのが最適です。このような時間にデバッグを行えば、デバッグ コマンドの増加したオーバーヘッド処理によってシステム利用に影響が及ぶ可能性が軽減されます。

RADIUS POD の設定例

例16-3 に、AAA POD サーバとして動作するようにルータを設定する例を示します。

例16-3 ルータを AAA POD サーバとして設定

Router(config)# aaa pod server server-key xyz123