Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ ブロードバンド ネットワーク ゲートウェイ コンフィギュレーション ガイド リリース 4.3.x
RADIUS 属性
RADIUS 属性
発行日;2013/07/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

RADIUS 属性

リモート認証ダイヤルイン ユーザ サービス(RADIUS)属性は、RADIUS デーモンに保存されたユーザ プロファイル内の特定の認証、許可、アカウンティング(AAA)要素を定義するために使用されます。

この付録では、ブロードバンド ネットワーク ゲートウェイ(BNG)でサポートされる RADIUS 属性の次のタイプについて説明します。

RADIUS IETF 属性

IETF 属性と VSA の比較

RADIUS インターネット技術特別調査委員会(IETF)属性は、255 個の標準属性で構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。 IETF 属性は標準であるため、属性データは事前定義されてその内容も認識されています。このため、IETF 属性を介して AAA 情報を交換するすべてのクライアントとサーバは、属性の厳密な意味や各属性値の一般的な限界など、属性データに一致させる必要があります。

RADIUS ベンダー固有属性(VSA)は、1 つの IETF ベンダー固有属性(属性 26)から派生します。 属性 26 を使用すれば、ベンダーは、追加の 255 個の属性を自由に作成できます。 つまり、ベンダーは、どの IETF 属性のデータとも一致しない属性を作成して、属性 26 の背後にカプセル化することができます。そのため、新しく作成された属性は、属性 26 を受け入れているユーザに受け入れられます。

表 1 サポートされている RADIUS IETF 属性

名前

タイプ

Acct-Authentic 整数 45
Acct-Delay-Time 整数 41
Acct-Input-Giga-Words 整数 52
Acct-Input-Octets 整数 42
Acct-Input-Packets 整数 47
Acct-Interim-Interval 整数 85
Acct-Link-Count 整数 51
Acct-Output-Giga-Words 整数 53
Acct-Output-Octets 整数 43
Acct-Output-Packets 整数 48
Acct-Status-Type 整数 40
CHAP-Challenge バイナリ 40
CHAP-Password バイナリ 3
Dynamic-Author-Error-Cause 整数 101
Event-Timestamp 整数 55
Filter-Id バイナリ 11
Framed-Protocol 整数 7
Framed-IP-Address ipv4addr 8
Framed-Route 文字列 22
login-ip-addr-host ipv4addr 14
Multilink-Session-ID 文字列 50
Nas-Identifier 文字列 32
NAS-IP-Address ipv4addr 4
NAS-Port 整数 5
Reply-Message バイナリ 18
Service-Type 整数 6
Tunnel-Assignment-Id 文字列 32
Tunnel-Packets-Lost 整数 86
X-Ascend-Client-Primary-DNS ipv4addr 135
X-Ascend-Client-Secondary-DNS ipv4addr 136
NAS-IPv6-Address 文字列 95
Delegated-IPv6-Prefix バイナリ 123
Stateful-IPv6-Address-Pool バイナリ 123
Framed-IPv6-Prefix バイナリ 97
Framed-Interface-Id バイナリ 96
Framed-IPv6-Pool 文字列 100
Framed-IPv6-Route 文字列 99
login-ip-addr-host 文字列 98

LAC の IETF タグ付き属性

L2TP アクセス コンセントレータ(LAC)の IETF タグ付き属性のサポートは、RADIUS サーバから LAC に送信される Access-Accept パケットで、同じトンネルを参照するトンネル属性をグループ化する手段を提供します。 Access-Accept パケットには、同じ RADIUS 属性でタグが異なる複数のインスタンスを含めることができます。 タグ付き属性のサポートは、指定のトンネルに属するすべての属性がそれぞれのタグ フィールドに同じ値を持ち、各セットに Tunnel-Preference 属性の適切な値のインスタンスが含まれるようにします。 これは、マルチベンダー ネットワーク環境で使用されるトンネル属性に準拠しているため、異なるベンダーで製造されたネットワーク アクセス サーバ(NAS)間の相互運用性の問題が解消されます。

トンネル プロトコル サポートの RADIUS 属性の詳細については、RFC 2868 を参照してください。

次の例で、IETF タグ付き属性の形式について説明します。

Tunnel-Type = :0:L2TP, Tunnel-Medium-Type = :0:IP, Tunnel-Server-Endpoint = :0:"1.1.1.1", Tunnel-Assignment-Id = :0:"1", Tunnel-Preference = :0:1, Tunnel-Password = :0:"hello"

タグ値 0 は、上記の例で :0: の形式で使用されており、同じトンネルを参照する同じパケットでそれらの属性をグループ化します。 同様の例は、次のとおりです。

Tunnel-Type = :1:L2TP, Tunnel-Medium-Type = :1:IP, Tunnel-Server-Endpoint = :1:"2.2.2.2", Tunnel-Assignment-Id = :1:"1", Tunnel-Preference = :1:1, Tunnel-Password = :1:"hello"

Tunnel-Type = :2:L2TP, Tunnel-Medium-Type = :2:IP, Tunnel-Server-Endpoint = :2:"3.3.3.3", Tunnel-Assignment-Id = :2:"1", Tunnel-Preference = :2:2, Tunnel-Password = :2:"hello"

Tunnel-Type = :3:L2TP, Tunnel-Medium-Type = :3:IP, Tunnel-Server-Endpoint = :3:"4.4.4.4", Tunnel-Assignment-Id = :3:"1", Tunnel-Preference = :3:2, Tunnel-Password = :3:"hello"

Tunnel-Type = :4:L2TP, Tunnel-Medium-Type = :4:IP, Tunnel-Server-Endpoint = :4:"5.5.5.5", Tunnel-Assignment-Id = :4:"1", Tunnel-Preference = :4:3, Tunnel-Password = :4:"hello"

Tunnel-Type = :5:L2TP, Tunnel-Medium-Type = :5:IP, Tunnel-Server-Endpoint = :5:"6.6.6.6", Tunnel-Assignment-Id = :5:"1", Tunnel-Preference = :5:3, Tunnel-Password = :5:"hello"

表 2 サポートされる IETF タグ付き属性

IETF タグ付き属性の名前

タイプ

Tunnel-Type 整数 64
Tunnel-Medium-Type 整数 65
Tunnel-Client-Endpoint 文字列 66
Tunnel-Server-Endpoint 文字列 67
Tunnel-Password 文字列 69
Tunnel-Assignment-ID 文字列 82
Tunnel-Preference 整数 83
Tunnel-Client-Auth-ID 文字列 90
Tunnel-Server-Auth-ID 文字列 91

RADIUS ベンダー固有属性

インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間でベンダー固有属性(属性 26)を使用してベンダー固有の情報を伝達する方法が規定されています。 属性 26 はベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。

シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9 で、サポートされるオプションはベンダー タイプ 1、名前は「cisco-av-pair」です。値は次の形式の文字列になります。

protocol : attribute sep value *

「Protocol」は、特定の許可タイプを表すシスコの「protocol」属性です。使用可能なプロトコルには、IP、IPX、VPDN、VOIP、SHELL、RSVP、SIP、AIRNET、OUTBOUND があります。 「attribute」および「value」は、シスコの TACACS+ 仕様で定義されている適切な属性値(AV)ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」になります。 これにより、TACACS+ 許可で使用できるすべての機能を RADIUS にも使用できるようになります。

たとえば、次の AV ペアにより、IP を許可している間(PPP の IPCP アドレス割り当てを行っている間)、シスコの「指定された複数の IP アドレス プール」をアクティブにすることができます。

cisco-avpair= "ip:addr-pool=first"

「*」を挿入すると、AV ペア「ip:addr-pool=first」はオプションになります。 AV ペアはオプションにできることに注意してください。

IETF 属性 26(ベンダー固有)は、ベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。

cisco-avpair= "ip:addr-pool*first"

次に、ネットワーク アクセス サーバからユーザがログインしたときに、すぐに EXEC コマンドを実行する方法の例を示します。

cisco-avpair= "shell:priv-lvl=15"

属性 26 には、次の 3 つの要素が含まれています。

  • タイプ
  • 長さ
  • ストリング(またはデータ)
    • Vendor-Id
    • Vendor-Type
    • Vendor-Length
    • Vendor-Data

(注)  


VSA の形式はベンダーが指定します。 Attribute-Specific フィールド(Vendor-Data とも呼ばれる)は、ベンダーによるその属性の定義によって異なります。


表 3 サポートされるシスコのベンダー固有 RADIUS 属性

名前

タイプ

access-loop-encapsulation バイナリ 1
accounting-list 文字列 1
acct-policy-in 文字列 1
acct-policy-map 文字列 1
acct-policy-out 文字列 1
actual-data-rate-downstream 整数 1
actual-data-rate-upstream 整数 1
actual-interleaving-delay-downstream 整数 1
actual-interleaving-delay-upstream 整数 1
attainable-data-rate-downstream 整数 1
attainable-data-rate-upstream 整数 1
circuit-id-tag 文字列 1
cisco-nas-port 文字列 2
client-mac-address 文字列 1
command 文字列 1
connect-progress 文字列 1
connect-rx-speed 整数 1
connect-tx-speed 整数 1
dhcp-client-id 文字列 1
dhcp-vendor-class 文字列 1
disc-cause-ext 文字列 1
Disconnect-Cause 文字列 1
if-handle 整数 1
inacl 文字列 1
interworking-functionality-tag ブール 1
ip-addresses 文字列 1
ip-unnumbered 文字列 1
ipv4-unnumbered 文字列 1
login-ip-host 文字列 1
maximum-interleaving-delay-downstream 整数 1
maximum-interleaving-delay-upstream 整数 1
maximum-data-rate-downstream 整数 1
maximum-data-rate-upstream 整数 1
minimum-data-rate-downstream 整数 1
minimum-data-rate-downstream-low-power 整数 1
minimum-data-rate-upstream 整数 1
minimum-data-rate-upstream-low-power 整数 1
parent-if-handle 整数 1
pppoe_session_id 整数 1
qos-policy-in 文字列 1
qos-policy-out 文字列 1
redirect-vrf 文字列 1
remote-id-tag 文字列 1
service-acct-list 文字列 1
service-name 文字列 1
sub-qos-policy-in 文字列 1
sub-qos-policy-out 文字列 1
traffic-class 文字列 1
tunnel-tos-reflect 文字列 1
tunnel-tos-setting 整数 1
vpn-id 文字列 1
vpn-vrf 文字列 1
vrf-id 整数 1
ipv6-enable 整数 1
ipv6-mtu 整数 1
ipv6-strict-rpf 整数 1
ipv6-unreachable 整数 1
acct-input-gigawords-ipv6 整数 1
acct-input-octets-ipv6 整数 1
acct-input-packets-ipv6 整数 1
acct-output-gigawords-ipv6 整数 1
acct-output-octets-ipv6 整数 1
acct-output-packets-ipv6 整数 1
delegated-ipv6-pool 文字列 1
ipv6-dns-servers-addr 文字列 1
dhcpv6-class 文字列 1
ipv6_inacl 文字列 1
ipv6_outacl 文字列 1
addrv6 文字列 1
acct-input-gigawords-ipv4 整数 1
acct-input-octets-ipv4 整数 1
acct-input-packets-ipv4 整数 1
acct-output-gigawords-ipv4 整数 1
acct-output-octets-ipv4 整数 1
acct-output-packets-ipv4 整数 1

RADIUS ADSL 属性

表 4 サポートされる RADIUS ADSL 属性

名前

タイプ

Access-Loop-Encapsulation バイナリ 144
Actual-Interleaving-Delay-Downstream 整数 142
Actual-Interleaving-Delay-Upstream 整数 140
Actual-Data-Rate-Downstream 整数 130
Actual-Data-Rate-Upstream 整数 129
Attainable-Data-Rate-Downstream 整数 134
Attainable-Data-Rate-Upstream 整数 133
Agent-Circuit-Id 文字列 1
IWF-Session ブール ソーシャル 254
Maximum-Interleaving-Delay-Downstream 整数 141
Maximum-Interleaving-Delay-Upstream 整数 139
Maximum-Data-Rate-Downstream 整数 136
Maximum-Data-Rate-Upstream 整数 135
Minimum-Data-Rate-Downstream 整数 132
Minimum-Data-Rate-Downstream-Low-Power 整数 138
Minimum-Data-Rate-Upstream 整数 131
Minimum-Data-Rate-Upstream-Low-Power 整数 137
Agent-Remote-Id 文字列 2

RADIUS ASCEND 属性

表 5 サポートされる RADIUS ASCEND 属性

名前

タイプ

Ascend-Client-Primary-DNS ipv4addr 135
Ascend-Client-Secondary-DNS ipv4addr 136
Ascend-Connection-Progress 整数 196
Ascend-Disconnect-Cause 整数 195
Ascend-Multilink-Session-ID 整数 187
Ascend-Num-In-Multilink 整数 188

Microsoft RADIUS 属性

表 6 サポートされる Microsoft RADIUS 属性

名前

タイプ

MS-1st-NBNS-Server ipv4addr 30
MS-2nd-NBNS-Server ipv4addr 31
MS-CHAP-ERROR バイナリ 2
MS-Primary-DNS ipv4addr 28
MS-Secondary-DNS ipv4addr 29

RADIUS Disconnect-Cause 属性

Disconnect-cause 属性値は、接続がオフラインにされた理由を指定します。 属性値は、Accounting 要求パケットで送信されます。 セッションの認証が失敗しても、これらの値は、セッションの終了時に送信されます。 セッションが認証されないと、属性が開始レコードを生成せずに終了レコードを発生させる可能性があります。

Disconnect-Cause(195)属性の原因コード、値、および説明を示します。


(注)  


Disconnect-Cause は、RADIUS AVPairs で使用されるごとに 1000 ずつ増分されます。たとえば、disc-cause 4 は 1004 になります。


表 7 サポートされる Disconnect-Cause 属性

原因コード

説明

0

No-Reason

接続解除の理由は提供されない。

1

No-Disconnect

イベントは接続解除されていない。

2

Unknown

理由は不明。

3

Call-Disconnect

コールが接続解除された。

4

CLID-Authentication-Failure

calling-party 数の認証の失敗。

9

No-Modem-Available

コールへの接続にモデムが使用できない。

10

No-Carrier

キャリアが検出されない。
(注)     

最初のモデム接続中に接続解除があると、コード 10、11、および 12 が送信される場合があります。

11

Lost-Carrier

キャリアの喪失。

12

No-Detected-Result-Codes モデム結果コード検出の失敗。

20

User-Ends-Session ユーザがセッションを終了した。
(注)     

コード 20、22、23、24、25、26、27、および 28 は、EXEC セッションに適用されます。

21

Idle-Timeout ユーザ入力待機中のタイムアウト。
(注)     

コード 21、100、101、102、および 120 は、すべてのセッション タイプに適用されます。

22

Exit-Telnet-Session 既存の Telnet セッションによる接続解除。

23

No-Remote-IP-Addr SLIP/PPP への切り替え不能。リモート エンドに IP アドレスがない。

24

Exit-Raw-TCP 既存の raw TCP による接続解除。

25

Password-Fail 間違ったパスワード。

26

Raw-TCP-Disabled Raw TCP がディセーブルにされた。

27

Control-C-Detected Control-C が検出された。

28

EXEC-Process-Destroyed EXEC プロセスが破棄された。

29

Close-Virtual-Connection ユーザが仮想接続を終了した。

30

End-Virtual-Connection 仮想接続が終了した。

31

Exit-Rlogin ユーザが Rlogin を終了した。

32

Invalid-Rlogin-Option 無効な Rlogin オプションが選択された。

33

Insufficient-Resources

不十分なリソース。

40

Timeout-PPP-LCP

PPP LCP ネゴシエーションがタイムアウトした。

(注)     

コード 40 ~ 49 が PPP セッションに適用されます。

41 Failed-PPP-LCP-Negotiation PPP LCP ネゴシエーションが失敗した。
42 Failed-PPP-PAP-Auth-Fail PPP PAP 認証が失敗した。
43 Failed-PPP-CHAP-Auth PPP CHAP 認証が失敗した。
44 Failed-PPP-Remote-Auth PPP リモート認証が失敗した。
45 PPP-Remote-Terminate PPP がリモート エンドから Terminate Request を受信した。
46 PPP-Closed-Event 上位層がセッションの終了を要求した。
47 NCP-Closed-PPP 開いている NCP がなかったため、PPP セッションが終了した。
48 MP-Error-PPP MP エラーのため、PPP セッションが終了した。
49 PPP-Maximum-Channels 最大チャネルに達したため、PPP セッションが終了した。
50 Tables-Full ターミナル サーバ テーブルがいっぱいになったため、接続解除された。
51 Resources-Full 内部リソースがいっぱいになったため、接続解除された。
52 Invalid-IP-Address Telnet ホストに対する IP アドレスが有効でない。
53 Bad-Hostname ホスト名が検証されていない。
54 Bad-Port ポート番号が無効または欠落している。
60 Reset-TCP TCP 接続がリセットされた。
(注)     

コード 60 ~ 67 は Telnet または raw TCP セッションに適用されます。

61 TCP-Connection-Refused TCP 接続がホストによって拒否された。
62 Timeout-TCP TCP 接続がタイムアウトした。
63 Foreign-Host-Close-TCP TCP 接続が終了した。
64 TCP-Network-Unreachable TCP ネットワークに到達できない。
65 TCP-Host-Unreachable TCP ホストに到達できない。
66 TCP-Network-Admin

Unreachable

管理上の理由により、TCP ネットワークに到達できない。
67 TCP-Port-Unreachable TCP ポートに到達できない。
100 Session-Timeout セッションがタイムアウトした。
101 Session-Failed-Security セキュリティ上の理由から、セッションが失敗した。
102 Session-End-Callback コールバックにより、セッションが終了した。
120 Invalid-Protocol 検出されたプロトコルがディセーブルにされていたため、コールが拒否された。
150 RADIUS-Disconnect RADIUS 要求による接続解除。
151 Local-Admin-Disconnect 管理上の接続解除。
152 SNMP-Disconnect SNMP 要求による接続解除。
160 V110-Retries 許可された V.110 リトライを超過した。
170 PPP-Authentication-Timeout PPP 認証がタイムアウトした。
180 Local-Hangup ローカルのハングアップによって接続解除された。
185 Remote-Hangup リモート エンドのハングアップよって接続解除された。
190 T1-Quiesced T1 回線が休止状態のため接続解除された。
195 Call-Duration コールの最大継続時間を超過したため、接続解除された。
600 VPN-User-Disconnect クライアントによってコールが接続解除された(PPP 経由)。

LNS がクライアントから PPP terminate request を受信するとコードが送信されます。

601 VPN-Carrier-Loss キャリアの喪失。 これは回線が物理的に普通になった結果である場合があります。

クライアントがダイヤラを使用してダイヤルアウトできない場合、コードが送信されます。

602 VPN-No-Resources コールの処理に使用できるリソースがない。

クライアントがメモリを割り当てることができない場合、コードが送信されます(メモリの不足)。

603 VPN-Bad-Control-Packet L2TP または L2F 制御パケットが間違っている。

このコードは、必須の属性値ペア(AVP)が欠落しているなど、ピアから受信した制御パケットが無効な場合に送信されます。 L2TP を使用すると、コードは 6 回の再送信後に送信されます。L2F を使用すると、再送信の回数はユーザ設定が可能です。

(注)     

トンネルにアクティブなセッションがある場合は、VPN-Tunnel-Shut が送信されます。

604 VPN-Admin-Disconnect 管理上の接続解除。 これは、VPN ソフト シャットダウンの結果である場合があります。これは、クライアントが最大セッション制限に達するか、最大ホップカウントを超過した場合に発生します。

トンネルが、clear vpdn tunnel コマンドの発行によってダウンした場合に、コードが送信されます。

605 VPN-Tunnel-Shut トンネルのティアダウン、またはトンネルのセットアップが失敗した。

トンネルにアクティブなセッションがあり、トンネルがダウンした場合にコードが送信されます。

(注)     

このコードはトンネルの認証が失敗した場合は、送信されません。

606 VPN-Local-Disconnect LNS PPP モジュールによって、コールが接続解除された。

LNS がクライアントに PPP terminate request を送信するとコードが送信されます。 これは通常の PPP 接続解除が LNS によって開始されたことを示します。

607 VPN-Session-Limit VPN ソフト シャットダウンがイネーブルになった。

前述したソフト シャットダウンの制約事項のいずれかによってコールが拒否されると、コードが送信されます。

608 VPN-Call-Redirect VPN コール リダイレクトがイネーブルになった。