Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ ブロードバンド ネットワーク ゲートウェイ コンフィギュレーション ガイド リリース 4.3.x
認証、許可、アカウンティング機能の設定
認証、許可、アカウンティング機能の設定
発行日;2013/07/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

認証、許可、アカウンティング機能の設定

この章では、BNG ルータでの認証、許可、アカウンティング(AAA)機能の設定に関する情報を提供します。 BNG は、RADIUS サーバと対話して AAA 機能を実行します。 RADIUS サーバ グループは、特定の AAA タスクが割り当てられているサーバ グループを形成します。 サーバまたはサーバ グループで定義された方式リストには、許可が実行される方式が一覧表示されています。 RADIUS 機能の一部には、特定の AAA 属性形式の作成、RADIUS サーバのロード バランシング、RADIUS レコードのスロットリング、許可変更(CoA)、および QoS のサービス アカウンティングが含まれています。 この章の内容は、次のとおりです。

AAA の概要

AAA は、効果的なネットワーク管理およびセキュリティのフレームワークとして機能します。 これは、ネットワーク リソースの管理、ポリシーの施行、ネットワーク使用状況の監査、および課金関連情報の提供に役立ちます。 BNG は、AAA 機能を提供する外部の RADIUS サーバに接続します。

RADIUS サーバは、3 種類の独立したセキュリティ機能(認証、許可、アカウンティング)を実行して、不正アクセスからネットワークを保護します。 RADIUS サーバは、リモート認証ダイヤルイン ユーザ サービス(RADIUS)プロトコルを実行します。 (RADIUS プロトコルの詳細については、RFC 2865 を参照してください)。 RADIUS サーバは、BNG、およびユーザ情報を含むデータベースとディレクトリと対話することによって AAA プロセスを管理します。

RADIUS プロトコルは、分散型クライアント/サーバ システムで動作します。 RADIUS クライアントは、中央の RADIUS サーバに認証要求を送信する BNG(Cisco ASR 9000 シリーズ ルータ)で実行されます。 RADIUS サーバには、すべてのユーザ認証情報とネットワーク サービス アクセス情報が含まれています。

AAA プロセス、これらのプロセス中の RADIUS サーバの役割、および一部の BNG の制約事項については、次の項で説明します。

認証

認証プロセスは、ネットワークおよびネットワーク サービスへのアクセスを許可する前に、ネットワーク上の加入者を識別します。 認証プロセスは、ネットワークへのアクセス権を取得するために各加入者が持つ一意の基準セットで機能します。 通常、RADIUS サーバは、加入者がその加入者のデータベースに入力したクレデンシャル(ユーザ名およびパスワード)を照合することによって認証を実行します。 クレデンシャルが一致した場合、加入者はネットワークへのアクセスが許可されます。 それ以外の場合は、認証プロセスが失敗し、ネットワークへのアクセスは拒否されます。

許可

認証プロセスの後、加入者は特定のアクティビティを実行することが許可されます。 許可は、加入者が使用を許可されるアクティビティ、リソース、またはサービスの種類を決定するプロセスです。 たとえば、ネットワークにログインした後に、加入者は、データベースまたは制限された Web サイトにアクセスしようとすることがあります。 許可プロセスでは、加入者がこれらのネットワーク リソースにアクセスする権限があるかどうかが判断されます。

AAA 許可は、加入者が提供する認証クレデンシャルに基づいて一連の属性を組み合わせて機能します。 RADIUS サーバは、指定のユーザ名について、これらの属性とデータベースに格納されている情報を比較します。 その加入者に適用されている実際の機能と制限事項を判断するための結果が BNG に返されます。

アカウンティング

アカウンティングは、ネットワーク アクセス中に加入者が使用するリソースを追跡します。 アカウンティングは、課金、トレンド分析、リソース使用率の追跡、およびキャパシティ プランニング アクティビティに使用されます。 アカウンティング プロセス中、ログはネットワーク使用統計情報について保持されます。 モニタされる情報には、加入者 ID、加入者に適用されている設定、ネットワーク接続の開始時刻と終了時刻、およびネットワークとの間で転送されたパケット数とバイト数が含まれますが、これに限定されません。

BNG は、アカウンティング レコードの形式で RADIUS サーバに加入者アクティビティを報告します。 各アカウンティング レコードは、アカウンティング属性値で構成されます。 この値は、ネットワーク管理、クライアント課金、監査などに対して、RADIUS サーバによって分析され、使用されます。

加入者セッションのアカウンティング レコードは、BNG が RADIUS サーバから応答を受信しなければタイムアウトすることがあります。 このタイムアウトは、到達不能の RADIUS サーバまたは RADIUS サーバのパフォーマンスの低下につながるネットワーク接続の問題に原因がある可能性があります。 BNG でのセッションがアカウント開始要求について承認されなければ、ルート プロセッサ フェールオーバー(RPFO)でのセッションの切断とその他の重大な障害が報告されます。 そのため、セッションの切断を避けるために、BNG で RADIUS サーバのデッド タイムを設定することを推奨します。 この値が設定され、再試行後にも特定のセッションがアカウンティング応答を受信していない場合、特定の RADIUS サーバは機能していないと考えられ、以降の要求はそのサーバに送信されません。

radius-server deadtime limit コマンドを使用して、RADIUS サーバのデッド タイムを設定できます。 詳細については、RADIUS サーバの設定を参照してください。

制約事項

  • BNG では、ローカル認証とローカル許可はサポートされません。 RADIUS サーバによって実行される必要があります。
  • セッションの接続が解除されると、システムがハードウェアから収集する「最後の」セッション統計情報を待つ間、RADIUS へのアカウンティング停止要求の送信が数秒間遅れることがあります。 ただし、アカウンティング停止要求の Event-Timestamp 属性は、転送時間ではなくクライアントが接続解除した時間を反映します。

RADIUS サーバ グループの使用

RADIUS サーバ グループは、1 つまたは複数の RADIUS サーバの名前付きグループです。 各サーバ グループは、特定のサービスに使用されます。 たとえば、2 つの RADIUS サーバ グループがある AAA ネットワーク設定では、最初のサーバ グループに認証タスクと許可タスクを割り当てることができ、2 番目のグループにアカウンティング タスクを割り当てることができます。

サーバ グループは、同じサーバに複数のホスト エントリを含めることができます。 ただし、各エントリに固有識別子が必要です。 この固有識別子は、IP アドレスと UDP ポート番号の組み合わせによって作成されます。 そのため、サーバの異なるポートを、特定の AAA サービスを提供する個別の RADIUS ホストとして別々に定義できます。 つまり、この固有識別子によって、同じサーバ上の異なる UDP ポートに RADIUS 要求を送信できます。 さらに、同じ RADIUS サーバ上の異なる 2 つのホスト エントリが同じサービス(認証プロセスなど)に対して設定されている場合、2 番目のホスト エントリは最初のホスト エントリのフェールオーバー バックアップとして機能します。 つまり、最初のホスト エントリが認証サービスの提供に失敗した場合、BNG は 2 番目のホスト エントリで試みます。 (RADIUS ホスト エントリは、それらが作成された順番で試行されます)。

サーバ グループへの特定のアクションの割り当てについては、RADIUS サーバ グループの設定を参照してください。

RADIUS サーバ グループの設定

名前付きサーバ グループをサーバ ホストとして定義するには、この作業を実行します。

手順の概要

    1.    configure

    2.    aaa group server radius name

    3.    accounting accept radius_attribute_list_name

    4.    authorization reply accept radius_attribute_list_name

    5.    deadtime limit

    6.    load-balance method least-outstanding batch-size size ignore-preferred-server

    7.    server host_name acct-port accounting_port_number auth-port authentication_port_number

    8.    source-interface name value

    9.    vrf name

    10.    次のいずれかのコマンドを使用します。

    • end
    • commit


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure


    例:
    RP/0/RSP0/CPU0:router# configure
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 aaa group server radius name


    例:
    RP/0/RSP0/CPU0:router(config)# aaa group server radius r1
    
     

    r1 という名前の RADIUS サーバ グループを設定します。

     
    ステップ 3 accounting accept radius_attribute_list_name


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# accounting accept att_list
    
     

    リストに指定されている属性のみを受け入れるように、アカウンティング プロセスの RADIUS 属性フィルタを設定します。

     
    ステップ 4 authorization reply accept radius_attribute_list_name


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# authorization reply accept att_list1
    
     

    リストに指定されている属性のみを受け入れるように、許可プロセスの RADIUS 属性フィルタを設定します。

     
    ステップ 5 deadtime limit


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# deadtime 40
    
     

    RADIUS サーバ グループのデッドタイムを設定します。 デッドタイムの制限は、分単位で設定します。 指定できる範囲は 1 ~ 1440 で、デフォルトは 0 です。

     
    ステップ 6 load-balance method least-outstanding batch-size size ignore-preferred-server


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# load-balance method least-outstanding batch-size 50 ignore-preferred-server
    
     

    次のホストが選択されるまでのロード バランシングのバッチ サイズを設定します。

     
    ステップ 7 server host_name acct-port accounting_port_number auth-port authentication_port_number


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# server 1.2.3.4 acct-port 455 auth-port 567
    
     

    RADIUS サーバとそのホスト名を指定します。 RADIUS アカウンティングおよび認証要求の UDP ポートを設定します。 アカウンティングおよび認証ポート番号の範囲は、0 ~ 65535 です。 値が指定されていない場合、認証ポートのデフォルトは 1645、アカウンティング ポートのデフォルトは 1646 です。

     
    ステップ 8 source-interface name value


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# source-interface Bundle-Ether 455
    
     

    RADIUS サーバ グループの送信元インターフェイス名と Bundle-Ether の値を設定します。

     
    ステップ 9 vrf name


    例:
    RP/0/RSP0/CPU0:router(config-sg-radius)# vrf vrf_1
    
     

    サーバの RADIUS グループが属する VRF を指定します。

     
    ステップ 10次のいずれかのコマンドを使用します。
    • end
    • commit


    例:
    RP/0/RSP0/CPU0:router(config)# end

    または

    RP/0/RSP0/CPU0:router(config)# commit
     

    設定変更を保存します。

    • end コマンドを実行すると、変更をコミットするように要求されます。
      Uncommitted changes found, commit them
      before exiting(yes/no/cancel)? [cancel]:
      
      • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
      • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
      • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
    • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
     

    RADIUS サーバ グループの設定:例

    configure
    aaa group server radius r1 
    accounting accept r1 r2
    authorization reply accept a1 a2  
    deadtime 8 
    load-balance method least-outstanding batch-size 45 ignore-preferred-server 
    server host_name acct-port 355 auth-port 544
    source-interface Bundle-Ether100.10  
    vrf vrf_1
    !
    end
    

    方式リストの指定

    AAA の方式リストは、許可が実行される方式、およびこれらの方式が実行される順序を定義します。 定義された認証方式が実行される前に、ユーザアクセス クレデンシャルの検証を実行する設定メカニズムに方式リストを適用する必要があります。 この要件の唯一の例外は、デフォルトの方式リスト(「default」という名前)です。 デフォルトの方式リストは、他の方式リストが定義されていない場合に自動的に適用されます。 定義済みの方式リストは、デフォルトの方式リストに優先します。

    BNG では、方式リスト、および AAA サービスに使用されるサーバ グループを指定する必要があります。 方式リストの指定については、AAA の方式リストの設定を参照してください。

    AAA の方式リストの設定

    加入者の認証、許可、アカウンティングについてサーバ グループが使用する方式リストを割り当てるには、次の作業を実行します。

    手順の概要

      1.    configure

      2.    aaa authentication subscriber default method-list-name group server-group-name

      3.    aaa authorization subscriber default method-list-name group server-group-name |radius

      4.    aaa accounting subscriber default method-list-name group server-group-name

      5.    次のいずれかのコマンドを使用します。

      • end
      • commit


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure


      例:
      RP/0/RSP0/CPU0:router# configure
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 aaa authentication subscriber default method-list-name group server-group-name


      例:
      RP/0/RSP0/CPU0:router(config)# aaa authentication subscriber default method1 group group1 radius group group2 group group3 ...
      
       

      加入者の認証についてデフォルトで適用される方式リストを設定します。 「デフォルト」または AAA 方式リストのユーザ定義名のいずれかを入力できます。 また、方式リストを適用するサーバ グループの名前も入力します。

       
      ステップ 3 aaa authorization subscriber default method-list-name group server-group-name |radius


      例:
      RP/0/RSP0/CPU0:router(config)# aaa authorization subscriber default method1 group group1 radius group group2 group group3 ...
      
       

      加入者の許可についてデフォルトで適用される方式リストを設定します。 「デフォルト」または AAA 方式リストのユーザ定義名のいずれかを入力できます。 また、方式リストを適用するサーバ グループの名前も入力します。

       
      ステップ 4 aaa accounting subscriber default method-list-name group server-group-name


      例:
      RP/0/RSP0/CPU0:router(config)# aaa accounting subscriber default method1 group group1 radius group group2 group group3 ...
      
       

      加入者のアカウンティングについてデフォルトで適用される方式リストを設定します。 「デフォルト」または AAA 方式リストのユーザ定義名のいずれかを入力できます。 また、方式リストを適用するサーバ グループの名前も入力します。

       
      ステップ 5次のいずれかのコマンドを使用します。
      • end
      • commit


      例:
      RP/0/RSP0/CPU0:router(config)# end

      または

      RP/0/RSP0/CPU0:router(config)# commit
       

      設定変更を保存します。

      • end コマンドを実行すると、変更をコミットするように要求されます。
        Uncommitted changes found, commit them
        before exiting(yes/no/cancel)? [cancel]:
        
        • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
        • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
        • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
      • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
       

      AAA の方式リストの設定:例

      configure
      aaa authentication subscriber default group radius group rad2 group rad3..
      aaa authorization subscriber default group radius group rad1 group rad2 group rad3..
      aaa accounting subscriber default group radius group rad1 group rad2 group rad3..
      !
      !
      end
      

      AAA 属性の定義

      AAA 属性は、RAIDUS パケットの要素です。 RAIDUS パケットは、RADIUS サーバと RADIUS クライアント間でデータを転送します。 AAA 属性パラメータとその値は、属性値ペア(AVP)を形成します。 AVP は、AAA トランザクションの要求と応答の両方に対してデータを伝送します。

      AAA 属性は、インターネット技術特別調査委員会(IETF)属性などで事前定義されるか、ベンダー固有属性(VSA)などでベンダー定義されます。 BNG のサポートされる属性のリストの詳細については、RADIUS 属性を参照してください。

      RADIUS サーバは、RADIUS メッセージの属性の形式で、BNG への設定の更新を提供します。 設定の更新は、2 種類の典型的な方式でのセッションのセットアップ中に加入者に適用されます。この方式とは、ユーザ単位の属性で、加入者の認証 Access Accept の一部として、または明示的ドメイン、ポート、またはサービスの許可 Access Accept を介して加入者に設定を適用します。 これは、加入者のポリシー ルール エンジンの設定によって完全に制御されます。

      BNG がアクセス要求として外部の RADIUS サーバに認証要求または許可要求を送信すると、サーバは Access Accept の一部として BNG に設定の更新を送り返します。 セットアップ中に加入者を設定する RADIUS に加えて、BNG が要求を送信できなかった場合でも、サーバは加入者のアクティブなセッションのライフサイクル中に、許可変更(CoA)メッセージを自律的に BNG に送信できます。 これらの RADIUS CoA の更新は、BNG で設定された要素を参照し、特定のコントロール ポリシーまたはサービス ポリシーを更新するように BNG に指示する動的な更新として機能します。

      BNG は、そのサービスを表すために共同作業できる設定済み機能グループである「サービス」の概念をサポートします。 サービスは、CLI を使用して動的なテンプレートに設定されている機能、または RADIUS サーバ内の RADIUS 属性として設定されている機能のいずれかとして表すことができます。 サービスは、ポリシー ルール エンジンの設定済み「アクティブ化」アクションまたは CoA の「アクティブ化サービス」要求のいずれかを介して、CLI または RADIUS から直接的にアクティブ化されます。 サービスは、ポリシー ルール エンジンの設定済み「非アクティブ化」アクションまたは CoA の「非アクティブ化サービス」要求を介して、直接的に非アクティブ化する(名前付きサービス内の関連機能をすべて削除する)こともできます。

      RADIUS から受信した属性値は、次の方法で加入者セッションと対話します。
      • BNG は、CLI コマンドによって静的にプロビジョニングされた既存の値とともに RADIUS の更新で受信した値、または以前の RADIUS の更新から受信した値をマージします。
      • いずれの場合も、RADIUS の更新で受信した値は、対応する CLI のプロビジョニングされた値または以前の RADIUS の更新に優先します。 CLI のプロビジョニングされた値を再設定していても、システムは RADIUS の更新で受信されたセッション属性や機能を上書きしません。
      • 動的なテンプレートでの CLI のプロビジョニング値に対する変更は、テンプレート機能が RADIUS によってすでに上書きされていないことを前提として、そのテンプレートを使用するすべてのセッションですぐに有効になります。 同様に、CoA の「サービス更新」要求によるサービスの更新に適用されます。

      AAA 属性リスト

      属性リストは、一連の属性を含む名前付きリストです。 AAA 機能を実行するために特定の属性のリストを使用するように RADIUS サーバを設定できます。

      属性リストを作成するには、RADIUS 属性リストの設定を参照してください。

      AAA 属性形式

      一部の属性のカスタマイズされた形式を定義できます。 新しい形式を作成するための設定構文は、次のとおりです。

      aaa attribute format FORMAT-NAME format-string [LENGTH] STRING *[Identity-Attribute]
      
      値は次のとおりです。
      • FORMAT-NAME:属性形式に割り当てる名前を指定します。 この名前は、形式が属性に適用されるときに参照されます。
      • LENGTH:(任意)フォーマットされた属性文字列の最大長を指定します。 属性文字列の最後の長さが LENGTH で指定した値を超えると、LENGTH バイトに丸められます。 LENGTH に許容される最大値は 255 です。 引数が設定されていない場合は、デフォルトも 255 です。
      • STRING:変換指定子を含む通常の ASCII 文字を含みます。 % 記号のみ、STRING で変換指定子として許容されます。 STRING 値は、二重引用符で囲まれます。
      • Identity-Attribute:セッションを識別し、ユーザ名、IP アドレス、および MAC アドレスが含まれます。 現在定義されている ID 属性のリストは、CLI に表示されます。

      形式が定義されると、ユーザ名、Nas-Port-ID、Calling-Station-ID、および Called-Station-ID など、さまざまな AAA 属性に FORMAT-NAME を適用できます。 形式の機能を使用する設定可能な AAA 属性については、特定形式の属性の作成の項で説明します。

      カスタマイズされた Nas-Port 属性を作成し、事前定義された形式を Nas-Port-ID 属性に適用するには、RADIUS 属性形式の設定を参照してください。

      特定の目的に対する属性形式に、特定の機能を定義できます。 たとえば、入力ユーザ名が「text@abc.com」で、「@」の後の部分のみがユーザ名として必要な場合、機能を定義して、「@」の後の部分のみをユーザ名として保持できます。 「text」が入力からドロップされ、新しいユーザ名は「abc.com」になります。 ユーザ名のトランケーション機能を名前付き属性形式に適用するには、AAA 属性形式機能の設定を参照してください。

      特定形式の属性の作成

      BNG は、設定可能な AAA 属性の使用をサポートします。 設定可能な AAA 属性には、特定のユーザ定義の形式があります。 ここでは、BNG で使用される設定可能な AAA 属性の一部を示します。

      Username

      BNG には、MAC アドレス、Circuit-ID、Remote-ID、および DHCP オプション 60(および CLI で使用できる多数の値セット)を使用する加入者の AAA ユーザ名とその他の形式がサポートされた属性を構築する機能があります。 DHCP オプション 60 は、要求に応じて DHCP クライアントから DHCP サーバに伝送される新しいオプションの 1 つです。この機能は、DHCP クライアント ハードウェアのベンダー クラス ID(VCI)を伝送します。

      MAC アドレス属性は、次のいずれかの形式の CLI 形式で指定されます。
      • mac-address:0000.4096.3e4a など
      • mac-address-ietf:00-00-40-96-3E-4A など
      • mac-address-raw:000040963e4a など
      「mac-address@vendor-class-ID」形式でのユーザ名の作成例は、次のとおりです。
      aaa attribute format USERNAME-FORMAT format-string “%s@%s” mac-address vendor-class-id 
      

      NAS-Port-ID

      NAS-Port-ID は、BNG ポート情報とアクセス ノード情報の組み合わせによって構築されます。 BNG ポート情報は、次の形式の文字列で構成されます。

      "eth phy_slot/phy_subslot/phy_port:XPI.XCI"

      802.1Q トンネリング(QinQ)では、XPI は外部 VLAN タグで、XCI は内部 VLAN タグです。

      インターフェイスが QinQ の場合、Nas-Port-ID のデフォルト形式には両方の VLAN タグが含まれます。インターフェイスがシングル タグの場合、単一の VLAN タグが含まれます。

      単一の VLAN の場合、次の構文を使用して外部 VLAN のみが設定されます。

      <slot>/<subslot>/<port>/<outer_vlan>
      QinQ の場合、次の構文を使用して VLAN が設定されます。
      <slot>/<subslot>/<port>/<inner_vlan>.<outer_vlan>

      Nas-Port-ID コマンドは、(前述のコマンドを使用して設定された)カスタマイズされた形式を特定のインターフェイス タイプ(NAS-Port-Type)で使用できるように、「NAS-Port-Type」オプションを使用するように拡張されています。 拡張された Nas-Port-ID コマンドは、次のとおりです。

      aaa radius attribute nas-port-id format FORMAT_NAME [type NAS_PORT_TYPE]
      

      「Type」オプションを指定しないと、すべてのインターフェイス タイプの Nas-Port-ID がコマンドで指定されている形式名に従って構成されます。 BNG ポート情報と Circuit-ID を組み合わせることによって、最大 128 バイトの NAS-Port-ID を作成する例は、次のとおりです。

      aaa attribute format NAS-PORT-ID-FORMAT1 format-string 128 “eth %s/%s/%s:%s.%s %s” phy-slot phy-subslot phy-port outer-vlan-Id 
      inner-vlan-id circuit-id
      
      Circuit-ID の最後に「0/0/0/0/0/0」を追加して、単なる BNG ポート情報から NAS-Port-ID を作成する例は、次のとおりです。
      aaa attribute format NAS-PORT-ID-FORMAT2 format-string “eth %s/%s/%s:%s.%s 0/0/0/0/0/0” phy-slot phy-subslot phy-port outer-vlan-Id 
      inner-vlan-id
      
      単なる Circuit-ID から NAS-Port-ID を作成する例は、次のとおりです。
      aaa attribute format NAS-PORT-ID-FORMAT3 format-string “%s” circuit-id
      

      前述の例で設定した NAS-Port-ID 形式は、次のように NAS-Port-ID コマンドで指定できます。

      For  IPoEoQINQ interface:-
      aaa radius attribute  nas-port-id format NAS-PORT-ID-FORMAT1  type 41
      
      For  Virtual IPoEoQINQ interface:-
      aaa radius attribute  nas-port-id format NAS-PORT-ID-FORMAT2 type 44
      
      For  IPOEoE interface:-
      aaa radius attribute  nas-port-id format NAS-PORT-ID-FORMAT3 type 39
      

      インターフェイスまたは VLAN サブインターフェイスの NAS-Port-Type

      同じタイプのさまざまな物理インターフェイスを除いて、同じ BNG ルータ上の加入者に対して異なる製造モデルを持つには、各物理インターフェイスまたは VLAN サブインターフェイスに対して NAS-Port-Type を設定可能にします。 インターフェイス上で設定された異なる NAS-Port-Type 値によって、NAS-Port と NAS-Port-ID は、インターフェイスにある NAS-Port-Type の実際の値ではなく、インターフェイス上で設定された新しい NAS-Port-Type にグローバルに定義された形式に従って形式作成されます。 これにより、NAS-Port、NAS-Port-ID、および NAS-Port-Type の異なる形式が、異なる製造モデル下の加入者の RADIUS サーバに順番に送信されます。

      サブインターフェイスの場合、RADIUS サーバに送信される NAS-Port-Type 形式の決定で従うべき階層は、次のとおりです。
      1. NAS-Port-Type が加入者セッションが到着するサブインターフェイスで設定されているかどうかを確認します。
      2. NAS-Port-Type がサブインターフェイスで設定されていない場合は、メインの物理インターフェイスで設定されているかどうかを確認します。 NAS-Port または NAS-Port-ID の形式は、手順 1 または手順 2 で取得される NAS-Port-Type に基づきます。
      3. NAS-Port-Type がサブインターフェイスとメインの物理インターフェイスのいずれでも設定されていない場合、NAS-Port または NAS-Port-ID の形式は、サブインターフェイスのデフォルトの NAS-Port-Type 形式に基づきます。
      4. NAS-Port または NAS-Port-ID 形式が手順 1、2 または 3 で取得される NAS-Port-Type に設定されていない場合、NAS-Port または NAS-Port-ID の形式は、NAS-Port または NAS-Port-ID のデフォルト形式に基づきます。

      インターフェイスまたは VLAN サブインターフェイスごとに NAS-Port-Type を設定するには、次のコマンドを使用します。

      aaa radius attribute nas-port-type <nas-port-type> 

      値は次のとおりです。

      <nas-port-type> は、0 ~ 44 の範囲または NAS-Port-Type を指定した文字列のいずれかになります。

      RADIUS 属性の NAS-Port-Type の設定を参照してください。

      Calling-Station-ID および Called-Station-ID

      BNG は、設定可能な Calling-Station-ID および Called-Station-ID の使用をサポートします。 Calling-Station-ID は、自動番号識別(ANI)または同様のテクノロジーを使用する RADIUS 属性です。 これにより、ネットワーク アクセス サーバ(NAS)はアクセス要求パケットにコールが着信した電話番号を送信できます。 Called-Station-ID は、着信番号識別サービス(DNIS)または同様のテクノロジーを使用する RADIUS 属性です。 これにより、NAS は、アクセス要求パケットにユーザがコールした電話番号を送信できます。

      Calling-Station-ID および Called-Station-ID 属性の設定に使用するコマンドは、次のとおりです。
      aaa radius attribute calling-station-id format FORMAT_NAME
      
      aaa radius attribute called-station-id format FORMAT_NAME
      
      
      MAC アドレス、Remote-ID、および Circuit-ID から Calling-Station-ID を作成する例は、次のとおりです。
      aaa radius attribute calling-station-id format CLID-FORMAT
      
      aaa attribute format CLID-FORMAT format-string “%s:%s:%s” mac-address-ietf remote-id circuit-id
      
      MAC アドレス、Remote-ID、および Circuit-ID から Called-Station-ID を作成する例は、次のとおりです。
      aaa radius attribute called-station-id format CLDID-FORMAT
      
      aaa attribute format CLDID-FORMAT format-string “%s:%s” mac-address-raw circuit-id
      
      

      NAS-Port 形式

      NAS-Port は、ブロードバンド リモート アクセス サーバ(BRAS)の物理ポート情報を持つ 4 バイトの値で、アクセス集約ネットワークを BNG に接続します。 これは、アクセス要求パケットとアカウンティング要求パケットの両方で使用されます。 BRAS の物理ポートを一意に識別するために、シェルフ、スロット、アダプタなどの複数の情報がポート番号と一緒に使用されます。 format-e と呼ばれる設定可能な形式は、NAS-Port の 32 ビットの個々のビットまたはビット グループによって、ポート情報を構成するさまざまな部分を表現またはエンコードできるように定義されます。

      NAS-Port の個々のビットは、次の文字でエンコードできます。

      • ゼロ:0
      • 1:1
      • PPPoX スロット:S
      • PPPoX アダプタ:A
      • PPPoX ポート:P
      • PPPoX VLAN ID:V
      • PPPoX VPI:I
      • PPPoX VCI:C
      • セッション ID:U
      • PPPoX 内部 VLAN ID:Q
      aaa radius attribute nas-port format e [string] [type {nas-port-type}] 
      前述のコマンドは、NAS-Port-Type(RADIUS 属性 61)の特定インターフェイスに対して format-e のエンコード文字列を設定するために使用されます。 許容される NAS-Port-Type の値は、次のとおりです。
      NAS-Port-Type 関連するインターフェイスから値を取得できるかどうか インターフェイス コンフィギュレーション モードで値を設定できるかどうか

      ASYNC

      0 No Yes

      SYNC

      1 No Yes

      ISDN

      2 No Yes

      ISDN_V120

      3 No Yes

      ISDN_V110

      4 No Yes

      VIRTUAL

      5 No Yes

      ISDN_PIAFS

      6 No Yes

      X75

      9 No Yes

      ETHERNET

      15 No Yes

      PPPATM

      30 No Yes

      PPPOEOA

      31 No Yes

      PPPOEOE

      32 Yes Yes

      PPPOEOVLAN

      33 Yes Yes

      PPPOEOQINQ

      34 Yes Yes

      VIRTUAL_PPPOEOE

      35 Yes Yes

      VIRTUAL_PPPOEOVLAN

      36 Yes Yes

      VIRTUAL_PPPOEOQINQ

      37 Yes Yes

      IPSEC

      38 No Yes

      IPOEOE

      39 Yes Yes

      IPOEOVLAN

      40 Yes Yes

      IPOEOQINQ

      41 Yes Yes

      VIRTUAL_IPOEOE

      42 Yes Yes

      VIRTUAL_IPOEOVLAN

      43 Yes Yes

      VIRTUAL_IPOEOQINQ

      44 Yes Yes

      次に、例を示します。

      For non-bundle: GigabitEthernet0/1/2/3.11.pppoe5
      
      where:
      PPPoEoQinQ (assuming 2 vlan tags): interface-type
      1: slot
      2: adapter
      3: port
      vlan-ids: whatever the outer and inner vlan-ids received in the PADR were
      5: session-id
      
      aaa radius attribute nas-port format e SSAAPPPPQQQQQQQQQQVVVVVVVVVVUUUU type 34
      Generated NAS-Port:		   01100011QQQQQQQQQQVVVVVVVVVV0101
      
      For bundle: Bundle-Ether17.23.pppoe8
      where:
      Virtual-PPPoEoQinQ (assuming 2 vlan tags): interface-type
      0: slot
      0: adapter
      17 (bundle-id): port
      Vlan-Ids: whatever the outer and inner vlan-ids received in the PADR were.
      8: session-id
      
      aaa radius attribute nas-port format e PPPPPPQQQQQQQQQQVVVVVVVVVVUUUUUU type 37
      Generated NAS-Port:		   010001QQQQQQQQQQVVVVVVVVVV000101
      
      

      IP/DHCP セッションの NAS-Port 形式を次の例に示します。

      For IPoEoVLAN interface type:
      aaa radius attribute nas-port format e SSAAAPPPPPVVVVVVVVVVVVVVVVVVVVVV type 40
      
      For IPoEoQinQ:
      aaa radius attribute nas-port format e SSAAAPPPPPQQQQQQQQQQQVVVVVVVVVVV type 41
      
      For virtual IPoEoVLAN:
      aaa radius attribute nas-port format e PPPPPPPPVVVVVVVVVVVVVVVVUUUUUUUU type 43 
      

      PPPoE セッションの NAS-Port 形式を次の例に示します。

      For PPPoEoVLAN  interface type:
      aaa radius attribute nas-port format e SSAAAPPPPPVVVVVVVVVVVVVVVVVVUUUU type 33
      
      For Virtual PPPoEoVLAN:.
      aaa radius attribute nas-port format e PPPPPPPPVVVVVVVVVVVVVVVVUUUUUUUU type 36 
      

      (注)  


      NAS-Port 形式が NAS-Port-Type に対して設定されていない場合、システムは NAS-Port 形式のデフォルトの CLI 設定を検索します。 これらの両方の設定がない場合、特定の NAS-Port-Type を使用するセッションでは、NAS-Port 属性は RADIUS サーバに送信されません。


      RADIUS 属性リストの設定

      許可属性とアカウンティング属性のフィルタリングに使用される RADIUS 属性リストを作成するには、次の作業を実行します。

      手順の概要

        1.    configure

        2.    radius-server attribute list listname

        3.    attribute list_of_radius_attributes

        4.    attribute vendor-id vendor-type number

        5.    vendor-type vendor-type-value

        6.    次のいずれかのコマンドを使用します。

        • end
        • commit


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure


        例:
        RP/0/RSP0/CPU0:router# configure
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 radius-server attribute list listname


        例:
        RP/0/RSP0/CPU0:router(config)# radius-server attribute list l1
        
         

        属性リストの名前を定義します。

         
        ステップ 3 attribute list_of_radius_attributes


        例:
        RP/0/RSP0/CPU0:router(config-attribute-filter)# attribute a1, a2
        
         

        RADIUS 属性をリストに入力します。

        (注)     

        サポートされる属性の詳細については、RADIUS 属性を参照してください。

         
        ステップ 4 attribute vendor-id vendor-type number


        例:
        RP/0/RSP0/CPU0:router(config)# attribute vendor-id 6456
        
         

        ベンダー固有属性(VSA)に関するベンダー固有情報を RADIUS 属性リストの CLI で指定できるようにすることによって、VSA に適用される属性フィルタリングを設定します。 ベンダー固有情報は、シスコ汎用 VSA の場合、ベンダー ID、ベンダー タイプ、およびオプションの属性名で構成されます。 ベンダー ID の範囲は、0 ~ 4294967295 です。

         
        ステップ 5 vendor-type vendor-type-value


        例:
        RP/0/RSP0/CPU0:router(config-attribute-filter-vsa)# vendor-type 54
        
         

        ベンダー タイプなどのベンダー固有情報を RADIUS 属性リストで指定されるように設定します。 ベンダー タイプ値の範囲は、1 ~ 254 です。

         
        ステップ 6次のいずれかのコマンドを使用します。
        • end
        • commit


        例:
        RP/0/RSP0/CPU0:router(config)# end

        または

        RP/0/RSP0/CPU0:router(config)# commit
         

        設定変更を保存します。

        • end コマンドを実行すると、変更をコミットするように要求されます。
          Uncommitted changes found, commit them
          before exiting(yes/no/cancel)? [cancel]:
          
          • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
          • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
          • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
        • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
         

        RADIUS 属性リストの設定:例

        configure
        radius-server attribute list list_! attribute B C
        attribute vendor-id vendor-type 10
        vendor-type 30
        !
        end

        RADIUS 属性形式の設定

        Nas-Port 属性の RADIUS 属性形式を定義し、Nas-Port-ID 属性に事前定義された形式を適用するには、次の作業を実行します。

        手順の概要

          1.    configure

          2.    aaa radius attribute

          3.    nas-port format e string type nas-port-type value

          4.    nas-port-id format format name

          5.    次のいずれかのコマンドを使用します。

          • end
          • commit


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure


          例:
          RP/0/RSP0/CPU0:router# configure
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 aaa radius attribute


          例:
          RP/0/RSP0/CPU0:router(config)# aaa radius attribute
          
           

          AAA RADIUS 属性を設定します。

           
          ステップ 3 nas-port format e string type nas-port-type value


          例:
          RP/0/RSP0/CPU0:router(config)# nas-port format e format1 type 30 
          
           

          Nas-Port 属性の形式を設定します。 文字列は、使用される形式を表す 32 文字の文字列を表します。 Nas-Port 値の範囲は 0~44 です。

           
          ステップ 4 nas-port-id format format name


          例:
          RP/0/RSP0/CPU0:router(config)# nas-port-id format format2
          
           

          事前定義された形式を Nas-Port-ID 属性に適用します。

           
          ステップ 5次のいずれかのコマンドを使用します。
          • end
          • commit


          例:
          RP/0/RSP0/CPU0:router(config)# end

          または

          RP/0/RSP0/CPU0:router(config)# commit
           

          設定変更を保存します。

          • end コマンドを実行すると、変更をコミットするように要求されます。
            Uncommitted changes found, commit them
            before exiting(yes/no/cancel)? [cancel]:
            
            • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
            • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
            • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
          • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
           

          RADIUS 属性形式の設定:例

          configure
          aaa radius attribute 
          nas-port format e abcd type 40
          nas-port-id format ADEF
          !
          end
          

          RADIUS 属性の NAS-Port-Type の設定

          物理インターフェイスまたは VLAN サブインターフェイスの RADIUS 属性の NAS-Port-Type を設定するには、次の作業を実行します。

          手順の概要

            1.    configure

            2.    interface type interface-name

            3.    aaa radius attribute nas-port-type {value | name}

            4.    次のいずれかのコマンドを使用します。

            • end
            • commit


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure


            例:
            RP/0/RSP0/CPU0:router# configure
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2interface type interface-name


            例:
            RP/0/RSP0/CPU0:router(config)# interface gigabitEthernet 0/0/0/0
             

            インターフェイス コンフィギュレーション モードを開始します。

             
            ステップ 3aaa radius attribute nas-port-type {value | name}

            例:
            RP/0/RSP0/CPU0:router(config-if)# aaa radius attribute nas-port-type 30

            または

            RP/0/RSP0/CPU0:router(config-if)# aaa radius attribute nas-port-type Ethernet
             

            RADIUS 属性の NAS-Port-Type 値を設定します。

            このの範囲は 0 ~ 44 です。

            この範囲内で許容される NAS-Port-Type 値については、NAS-Port 形式の表を参照してください。

             
            ステップ 4次のいずれかのコマンドを使用します。
            • end
            • commit


            例:
            RP/0/RSP0/CPU0:router(config)# end

            または

            RP/0/RSP0/CPU0:router(config)# commit
             

            設定変更を保存します。

            • end コマンドを実行すると、変更をコミットするように要求されます。
              Uncommitted changes found, commit them
              before exiting(yes/no/cancel)? [cancel]:
              
              • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
              • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
              • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
            • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
             

            RADIUS 属性の NAS-Port-Type の設定:例

            configure
            interface gigabitEthernet 0/0/0/0
             aaa radius attribute nas-port-type Ethernet
            !
            end

            AAA 属性形式機能の設定

            AAA 属性形式の機能を設定するには、次の作業を実行します。 この機能は、デリミタまでユーザ名を取り除くためのものです。

            手順の概要

              1.    configure

              2.    aaa attribute format format-name

              3.    username-strip prefix-delimiter prefilx_delimiter

              4.    次のいずれかのコマンドを使用します。

              • end
              • commit


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure


              例:
              RP/0/RSP0/CPU0:router# configure
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 aaa attribute format format-name


              例:
              RP/0/RSP0/CPU0:router(config)# aaa attribute format red 
              
               

              機能が定義されている形式名を指定します。

               
              ステップ 3 username-strip prefix-delimiter prefilx_delimiter


              例:
              RP/0/RSP0/CPU0:router(config-id-format)# username-strip prefix-delimiter @  
              
               

              プレフィックス デリミタ(@)の前に付くユーザ名を取り除くように機能を設定します。

               
              ステップ 4次のいずれかのコマンドを使用します。
              • end
              • commit


              例:
              RP/0/RSP0/CPU0:router(config)# end

              または

              RP/0/RSP0/CPU0:router(config)# commit
               

              設定変更を保存します。

              • end コマンドを実行すると、変更をコミットするように要求されます。
                Uncommitted changes found, commit them
                before exiting(yes/no/cancel)? [cancel]:
                
                • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
              • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
               

              AAA 属性形式機能の設定:例

              configure
              aaa attribute format red 
              username-strip prefix-delimiter @
              !
              !
              end

              RADIUS サーバの設定

              BNG が RADIUS サーバと対話するように、BNG ルータで特定のサーバ固有の設定を行う必要があります。 この表は、主要な設定の一部です。

              設定 説明
              サーバ ホスト BNG が接続する RADIUS サーバの詳細を定義します。
              属性リスト 使用される属性リストを定義します。
              サーバ キー 暗号化ステータスを定義します。
              デッド条件 RADIUS サーバをデッドとしてマークするために使用される条件を定義します。
              再送信値 RADIUS サーバにデータを送信するために BNG が行う再試行数を定義します。
              タイムアウトの値 BNG が RADIUS サーバの応答を待機する時間を定義します。
              自動テスト 自動テストが開始されてからの期間とテストされるユーザ名を定義します。
              IP DSCP RADIUS パケットを特定の DiffServ コード ポイント(DSCP)値でマークできます。

              RADIUS サーバ設定の詳細については、RADIUS サーバの設定を参照してください。

              特定の自動テスト設定の詳細については、自動テストの設定を参照してください。

              特定の IP DSCP 設定の詳細については、RADIUS サーバの IP DSCP の設定を参照してください。

              制約事項

              サービス プロファイルのプッシュまたはシステムへの非同期的なプロファイルのプッシュは、サポートされていません。 RADIUS からプロファイルをダウンロードするには、プロファイルを加入者の要求の一部として最初に要求する必要があります。 サービスの更新のみがサポートされ、以前にダウンロードしたサービスの変更に使用できます。

              RADIUS サーバの設定

              BNG ルータで RADIUS サーバに固有の設定を行うには、次の作業を実行します。

              手順の概要

                1.    configure

                2.    radius-server host host_name acct-port accounting_port_number auth-port authentication_port_number

                3.    radius-server attribute list list_name attribute_list

                4.    radius-server key 7 encrypted_text

                5.    radius-server disallow null-username

                6.    radius-server dead-criteria time value

                7.    radius-server dead-criteria tries value

                8.    radius-server deadtime limit

                9.    radius-server ipv4 dscp codepoint_value

                10.    radius-server load-balance method least-outstanding ignore-preferred-server batch-size size

                11.    radius-server retransmit retransmit_value

                12.    radius-server source-port extended

                13.    radius-server timeout value

                14.    radius-server vsa attribute ignore unknown

                15.    radius source-interface Loopback value vrf vrf_name

                16.    次のいずれかのコマンドを使用します。

                • end
                • commit


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure


                例:
                RP/0/RSP0/CPU0:router# configure
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2radius-server host host_name acct-port accounting_port_number auth-port authentication_port_number


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server host 1.2.3.4 acct-port 455 auth-port 567
                
                 

                RADIUS サーバとそのホスト名を指定します。 RADIUS アカウンティングおよび認証要求の UDP ポートを設定します。 アカウンティングおよび認証ポート番号の範囲は、0 ~ 65535 です。 値が指定されていない場合、認証ポートのデフォルトは 1645、アカウンティング ポートのデフォルトは 1646 です。

                 
                ステップ 3radius-server attribute list list_name attribute_list


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server attribute list rad_list a b
                
                 

                RADIUS サーバ属性リストを指定し、選択した RADIUS 属性をカスタマイズします。

                 
                ステップ 4radius-server key 7 encrypted_text


                例:
                RP/0/RSP0/CPU0:router(config-radius-host)# radius-server key 7 rngiry
                
                 

                デフォルトを上書きするサーバ単位の暗号キーを指定し、値 0 または 7 を取ります。これは、暗号化されていないキーが続くことを示します。

                 
                ステップ 5radius-server disallow null-username


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server disallow null-username
                
                 

                RADIUS サーバにヌル ユーザ名を許可しないように指定します。

                 
                ステップ 6radius-server dead-criteria time value


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server dead-criteria time 40
                
                 

                設定された RADIUS サーバのデッド サーバの検出基準を指定します。 時間(秒)は、この RADIUS サーバから応答を受信してから経過する必要のある最小時間を指定します。

                 
                ステップ 7radius-server dead-criteria tries value


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server dead-criteria tries 50
                
                 

                ルータで連続何回タイムアウトが発生したら、RADIUS サーバにデッド マークを付けるかを指定します。 値の範囲は 1 ~ 100 です。

                 
                ステップ 8radius-server deadtime limit


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server deadtime 67
                
                 

                RADIUS サーバがデッドとマークされる時間を分単位で指定します。 デッドタイムの制限は、分単位で指定され、その範囲は 1 ~ 1440 です。 値が指定されていない場合のデフォルトは 0 です。

                 
                ステップ 9radius-server ipv4 dscp codepoint_value


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server ipv4 dscp 45
                
                 

                RADIUS パケットを特定の DiffServ コード ポイント(DSCP)値でマークできます。 このコード ポイント値の範囲は、0 ~ 63 です。

                 
                ステップ 10radius-server load-balance method least-outstanding ignore-preferred-server batch-size size


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server load-balance method least-outstanding ignore-preferred-server batch-size 500
                
                 

                未処理トランザクションが最小のサーバを選択することによって、RADIUS ロードバランシング オプションを設定します。 このロードバランシング方式は、サーバの選択にバッチ サイズを使用します。 サイズの範囲は 1 ~ 1500 です。 値が指定されていない場合のデフォルトは 25 です。

                 
                ステップ 11radius-server retransmit retransmit_value


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server retransmit 45
                
                 

                アクティブ サーバへの再試行回数を指定します。 再送信値は、再試行数を数値で表し、その範囲は 1 ~ 100 です。 値が指定されていない場合のデフォルトは 3 です。

                 
                ステップ 12radius-server source-port extended


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server source-port extended
                
                 

                BNG が RADIUS 要求を送信する送信元ポートとして合計 200 のポートを使用するように設定します。

                 
                ステップ 13radius-server timeout value


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server timeout 
                
                 

                RADIUS サーバの応答を待機する時間を指定します。 値は秒単位で、その範囲は 1 ~ 1000 です。 デフォルト値は 5 です。

                 
                ステップ 14radius-server vsa attribute ignore unknown


                例:
                RP/0/RSP0/CPU0:router(config)# radius-server vsa attribute ignore unknown
                
                 

                RADIUS サーバの不明なベンダー固有属性を無視します。

                 
                ステップ 15radius source-interface Loopback value vrf vrf_name


                例:
                RP/0/RSP0/CPU0:router(config)# radius source-interface Loopback 655 vrf vrf_1
                
                 

                RADIUS パケットの送信元アドレスにループバック インターフェイスを指定します。 値の範囲は 0 ~ 65535 です。

                 
                ステップ 16次のいずれかのコマンドを使用します。
                • end
                • commit


                例:
                RP/0/RSP0/CPU0:router(config)# end

                または

                RP/0/RSP0/CPU0:router(config)# commit
                 

                設定変更を保存します。

                • end コマンドを実行すると、変更をコミットするように要求されます。
                  Uncommitted changes found, commit them
                  before exiting(yes/no/cancel)? [cancel]:
                  
                  • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                  • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                  • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                 

                RADIUS サーバの設定:例

                \\Configuring RADIUS Server Options
                configure 
                radius-server attribute list list1 a b
                radius-server dead-criteria time 100
                radius-server deadtime 30
                radius-server disallow null-username
                radius-server host 1.2.3.4 acct-port 655 auth-port 566
                radius-server ipv4 dscp 34
                radius-server key 7 ERITY$
                radius-server load-balance method least-outstanding ignore-preferred-server batch-size 25
                radius-server retransmit 50
                radius-server source-port extended
                radius-server timeout 500
                radius-server vsa attribute ignore unknown
                !
                !
                end
                
                \\Configuring RADIUS Attribute List
                radius-server attribute list list_! attribute B C
                attribute vendor-id vendor-type 10 
                vendor-type 30 
                !
                end
                
                \\Configuring RADIUS Server Host
                configure 
                radius-server host 1.3.5.7 acct-port 56 auth-port 66
                idle-time 45
                ignore-acct-port
                ignore-auth-port 3.4.5.6
                key 7 ERWQ
                retransmit 50
                test username username
                timeout 500
                !
                end
                
                \\Configuring RADIUS Server Key
                configure
                radius-server key 7  ERWQ
                !
                end
                
                \\Configuring Load Balancing for RADIUS Server
                configure 
                radius-server load-balance method least-outstanding batch-size 25
                radius-server load-balance method least-outstanding ignore-preferred-server batch-size 45
                !
                end
                
                \\Ignoring Unknown VSA Attributes in RADIUS Server
                configure 
                radius-server vsa attribute ignore unknown
                !
                end
                
                \\Configuring Dead Criteria for RADIUS Server
                configure 
                radius-server dead-criteria time 60
                radius-server dead-criteria tries 60
                !
                end
                
                \\Configuring Disallow Username
                configure
                radius-server disallow null-username
                !
                end
                
                \\Setting IP DSCP for RADIUS Server
                configure
                radius-server ipv4 dscp 43
                radius-server ipv4 dscp default
                !
                end
                
                

                自動テストの設定

                外部 RADIUS サーバが UP かどうかをテストするには、次の作業を実行します。

                手順の概要

                  1.    configure

                  2.    radius-server idle-time idle_time

                  3.    radius-server test username username

                  4.    次のいずれかのコマンドを使用します。

                  • end
                  • commit


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure


                  例:
                  RP/0/RSP0/CPU0:router# configure
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2radius-server idle-time idle_time


                  例:
                  RP/0/RSP0/CPU0:router(config-radius-host)# radius-server idle-time 45
                   

                  自動テストが開始されるまでのアイドル時間を指定します。 アイドル時間は、分単位で指定され、その範囲は 1 ~ 60 です。

                   
                  ステップ 3radius-server test username username


                  例:
                  RP/0/RSP0/CPU0:router(config-radius-host)# radius-server test username user1 
                  
                   

                  自動テスト機能用にテストされるユーザ名を指定します。

                   
                  ステップ 4次のいずれかのコマンドを使用します。
                  • end
                  • commit


                  例:
                  RP/0/RSP0/CPU0:router(config)# end

                  または

                  RP/0/RSP0/CPU0:router(config)# commit
                   

                  設定変更を保存します。

                  • end コマンドを実行すると、変更をコミットするように要求されます。
                    Uncommitted changes found, commit them
                    before exiting(yes/no/cancel)? [cancel]:
                    
                    • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                    • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                    • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                  • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                   

                  自動テストの設定:例

                  configure
                  radius-server idle-time 60
                  radius-server test username user_1
                  !
                  end
                  

                  RADIUS サーバの IP DSCP の設定

                  RADIUS サーバの IP DiffServ コード ポイント(DSCP)を設定するには、次の作業を実行します。

                  手順の概要

                    1.    configure

                    2.    radius-server ipv4 dscp codepoint_value

                    3.    radius-server ipv4 dscp default

                    4.    次のいずれかのコマンドを使用します。

                    • end
                    • commit


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure


                    例:
                    RP/0/RSP0/CPU0:router# configure
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2radius-server ipv4 dscp codepoint_value


                    例:
                    RP/0/RSP0/CPU0:router(config)# radius-server ipv4 dscp 45
                    
                     

                    RADIUS パケットを固有の DiffServ コード ポイント(DSCP)値でマークできます。この値は、最新の IP precedence、トラフィック タイプを分類して順位付けするために最初に使用される IP ヘッダーのタイプ オブ サービス バイトの 3 ビット フィールドを置き換えます。 このコード ポイント値の範囲は、0 ~ 63 です。

                     
                    ステップ 3radius-server ipv4 dscp default


                    例:
                    RP/0/RSP0/CPU0:router(config)# radius-server ipv4 dscp default
                    
                     

                    パケットをデフォルトの DSCP(000000)と一致させます。

                     
                    ステップ 4次のいずれかのコマンドを使用します。
                    • end
                    • commit


                    例:
                    RP/0/RSP0/CPU0:router(config)# end

                    または

                    RP/0/RSP0/CPU0:router(config)# commit
                     

                    設定変更を保存します。

                    • end コマンドを実行すると、変更をコミットするように要求されます。
                      Uncommitted changes found, commit them
                      before exiting(yes/no/cancel)? [cancel]:
                      
                      • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                      • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                      • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                    • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                     

                    RADIUS サーバの IP DSCP の設定:例

                    configure
                    radius-server ipv4 dscp 43
                    radius-server ipv4 dscp default
                    !
                    end

                    RADIUS サーバのトランザクション ロード バランシング

                    RADIUS ロードバランシング機能は、一連の RADIUS サーバに対する RADIUS アクセスおよびアカウンティング トランザクションの負荷を分担するメカニズムです。 各 AAA 要求の処理は、トランザクションと見なされます。 BNG は、トランザクションのバッチをサーバ グループ内のサーバに分配します。

                    新規に最初のトランザクションを受け取ると、BNG はキューの未処理のトランザクション数が最も少ないサーバを決定します。 このサーバは、そのトランザクションのバッチを割り当てられます。 BNG は、未処理のトランザクションが最も少ないサーバが常に新しいバッチを取得するように、この決定プロセスを繰り返し続けます。 この方法は、ロード バランシングの最小未処理方法として知られています。

                    ロード バランシング機能をグローバルに設定するか、サーバ グループに属する RADIUS サーバに対して設定できます。 サーバ グループでは、優先サーバが定義されている場合、ロードバランシング設定にキーワード「ignore-preferred-server」を含めてプリファレンスをディセーブルにする必要があります。

                    ロード バランシング機能をグローバルに設定する場合は、グローバル RADIUS サーバ グループのロード バランシングの設定を参照してください。

                    ロード バランシング機能を指定サーバ グループの一部である RADIUS サーバで設定するには、名前付き RADIUS サーバ グループのロード バランシングの設定を参照してください。

                    グローバル RADIUS サーバ グループのロード バランシングの設定

                    グローバル RADIUS サーバ グループのロード バランシング機能をアクティブ化するには、次の作業を実行します。 たとえば、この設定では、優先サーバを無視するように設定します。

                    手順の概要

                      1.    configure

                      2.    radius-server load-balance method least-outstanding batch-size size

                      3.    radius-server load-balance method least-outstanding ignore-preferred-server batch-size size

                      4.    次のいずれかのコマンドを使用します。

                      • end
                      • commit


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 configure


                      例:
                      RP/0/RSP0/CPU0:router# configure
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2radius-server load-balance method least-outstanding batch-size size


                      例:
                      RP/0/RSP0/CPU0:router(config)# radius-server load-balance method least-outstanding batch-size 500
                      
                       

                      未処理トランザクションが最小のサーバを選択することによって、RADIUS ロードバランシング オプションを設定します。 このロードバランシング方式は、サーバの選択にバッチ サイズを使用します。 サイズの範囲は 1 ~ 1500 です。 値が指定されていない場合のデフォルトは 25 です。

                       
                      ステップ 3radius-server load-balance method least-outstanding ignore-preferred-server batch-size size


                      例:
                      RP/0/RSP0/CPU0:router(config)# radius-server load-balance method least-outstanding ignore-preferred-server batch-size 500
                      
                       

                      このサーバ グループの優先サーバをディセーブルにして、RADIUS ロードバランシング オプションを設定します。 このロードバランシング方式は、サーバの選択にバッチ サイズを使用します。 サイズの範囲は 1 ~ 1500 です。 値が指定されていない場合のデフォルトは 25 です。

                       
                      ステップ 4次のいずれかのコマンドを使用します。
                      • end
                      • commit


                      例:
                      RP/0/RSP0/CPU0:router(config)# end

                      または

                      RP/0/RSP0/CPU0:router(config)# commit
                       

                      設定変更を保存します。

                      • end コマンドを実行すると、変更をコミットするように要求されます。
                        Uncommitted changes found, commit them
                        before exiting(yes/no/cancel)? [cancel]:
                        
                        • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                        • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                        • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                      • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                       

                      RADIUS サーバのロード バランシングの設定:例

                      configure
                      radius-server load-balance method least-outstanding batch-size 25
                      radius-server load-balance method least-outstanding ignore-preferred-server batch-size 45
                      !
                      end

                      名前付き RADIUS サーバ グループのロード バランシングの設定

                      名前付き RADIUS サーバ グループのロード バランシング機能をアクティブ化するには、次の作業を実行します。 たとえば、この設定では、優先サーバを無視するように設定します。

                      手順の概要

                        1.    configure

                        2.    aaa group server radius server_group_name load-balance method least-outstanding batch-size size

                        3.    aaa group server radius server_group_name load-balance method least-outstanding ignore-preferred-server batch-size size

                        4.    次のいずれかのコマンドを使用します。

                        • end
                        • commit


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 configure


                        例:
                        RP/0/RSP0/CPU0:router# configure
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2aaa group server radius server_group_name load-balance method least-outstanding batch-size size


                        例:
                        RP/0/RSP0/CPU0:router(config)# aaa group server radius sg1 load-balance method least-outstanding batch-size 500
                        
                         

                        未処理トランザクションが最小のサーバを選択することによって、RADIUS ロードバランシング オプションを設定します。 このロードバランシング方式は、サーバの選択にバッチ サイズを使用します。 サイズの範囲は 1 ~ 1500 です。 値が指定されていない場合のデフォルトは 25 です。

                         
                        ステップ 3aaa group server radius server_group_name load-balance method least-outstanding ignore-preferred-server batch-size size


                        例:
                        RP/0/RSP0/CPU0:router(config)# aaa group server radius sg1 load-balance method least-outstanding ignore-preferred-server batch-size 500
                        
                         

                        このサーバ グループの優先サーバをディセーブルにして、RADIUS ロードバランシング オプションを設定します。 このロードバランシング方式は、サーバの選択にバッチ サイズを使用します。 サイズの範囲は 1 ~ 1500 です。 値が指定されていない場合のデフォルトは 25 です。

                         
                        ステップ 4次のいずれかのコマンドを使用します。
                        • end
                        • commit


                        例:
                        RP/0/RSP0/CPU0:router(config)# end

                        または

                        RP/0/RSP0/CPU0:router(config)# commit
                         

                        設定変更を保存します。

                        • end コマンドを実行すると、変更をコミットするように要求されます。
                          Uncommitted changes found, commit them
                          before exiting(yes/no/cancel)? [cancel]:
                          
                          • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                          • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                          • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                        • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                         

                        RADIUS レコードのスロットリング

                        AAA(RADIUS)レコードのスロットリングは、RADIUS の輻輳と不安定性を防ぐメカニズムです。 この機能は、RADIUS サーバの BNG で生成される AAA 要求の突然のバーストに対応する帯域幅が不十分な場合に役立ちます。

                        スロットリングの設定時に、未処理要求の最大数に対応するしきい値レートが定義されます。 アクセス(認証および許可)およびアカウンティング要求に独立したスロットリング レートを設定できます。 しきい値がサーバに到達すると、そのタイプの要求はそれ以上サーバに送信されません。 ただし、保留中の要求については、再送信タイマーが開始され、(すべてのタイマーの期限切れ後にチェックされる)未処理要求の数がしきい値より少ない場合、要求が送信されます。

                        セッションはアクセス要求のスロットルが原因でタイムアウトすることがあるため、再送信の試行数に制限を設定します。 この制限に達すると、それ以上のアクセス要求はドロップされます。 ただし、スロットルされたアカウンティング要求は、サーバ グループのフェールオーバー プロセスによって処理されます。

                        スロットリング機能は、グローバルまたはサーバ グループに対して設定できます。 ただし、設定プリファレンスの一般的なルールでは、サーバグループ設定はグローバル設定があれば上書きします。

                        スロットリング CLI コマンドの構文は次のとおりです。
                        radius-server throttle {[accounting THRESHOLD] [access THRESHOLD [access-timeout NUMBER_OF-TIMEOUTS]]}
                        
                        値は次のとおりです。
                        • accounting THRESHOLD:アカウンティング要求のしきい値を指定します。 範囲は 0 ~ 65536 です。 デフォルトは 0 で、スロットリングがアカウンティング要求に対してディセーブルであることを示します。
                        • access THRESHOLD:アクセス要求のしきい値を指定します。 範囲は 0 ~ 65536 です。 デフォルトは 0 で、スロットリングがアカウンティング要求に対してディセーブルであることを示します。
                        • access-timeout NUMBER_OF-TIMEOUTS:アクセス要求がドロップされるまでにルータで発生する必要がある連続タイムアウト回数を指定します。 範囲は 0 ~ 10 です。 デフォルトは 3 です。

                        (注)  


                        デフォルトでは、スロットリング機能は BNG でディセーブルです。


                        スロットリングをグローバルにアクティブ化するには、グローバルな RADIUS スロットリングの設定を参照してください。

                        スロットリングをサーバ グループでアクティブ化するには、サーバ グループでの RADIUS スロットリングの設定を参照してください。

                        グローバルな RADIUS スロットリングの設定

                        RADIUS スロットリングをグローバルにアクティブ化するには、次の作業を実行します。

                        手順の概要

                          1.    configure

                          2.    radius-server throttle access threshold_value

                          3.    radius-server throttle access threshold_value access-timeout value

                          4.    radius-server throttle access threshold_value access-timeout value accounting threshold_value

                          5.    radius-server throttle accounting threshold_value access value access-timeout value

                          6.    次のいずれかのコマンドを使用します。

                          • end
                          • commit


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure


                          例:
                          RP/0/RSP0/CPU0:router# configure
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2radius-server throttle access threshold_value


                          例:
                          RP/0/RSP0/CPU0:router(config)# radius-server throttle access 10
                          
                           

                          RADIUS サーバに送信されるアクセス要求の数を制御します。 しきい値は、スロットリングを実行するまでの未処理のアクセス要求数を示します。 範囲は 0 ~ 65535 で、推奨値は 100 です。

                           
                          ステップ 3radius-server throttle access threshold_value access-timeout value


                          例:
                          RP/0/RSP0/CPU0:router(config)# radius-server throttle access 10 access-timeout 5
                          
                           

                          スロットルされたアクセス要求をドロップするまでのタイムアウトの数を指定します。 値は、トランザクションのタイムアウト数を示します。 範囲は 1 ~ 10 で、デフォルトは 3 です。

                           
                          ステップ 4radius-server throttle access threshold_value access-timeout value accounting threshold_value


                          例:
                          RP/0/RSP0/CPU0:router(config)# radius-server throttle access 10 access-timeout 5 accounting 10
                          
                           

                          RADIUS サーバに送信されるアクセス タイムアウト要求の数を制御します。 しきい値は、スロットリングを実行するまでの未処理のアカウンティング トランザクション数を示します。 範囲は 0 ~ 65535 で、推奨値は 100 です。

                           
                          ステップ 5radius-server throttle accounting threshold_value access value access-timeout value


                          例:
                          RP/0/RSP0/CPU0:router(config)# radius-server throttle accounting 56 access 10 access-timeout 5
                          
                           

                          RADIUS サーバに送信されるアカウンティング要求の数を制御します。 しきい値は、スロットリングを実行するまでの未処理のアカウンティング トランザクション数を示します。 値の範囲は 0 ~ 65535 で、推奨値は 100 です。

                           
                          ステップ 6次のいずれかのコマンドを使用します。
                          • end
                          • commit


                          例:
                          RP/0/RSP0/CPU0:router(config)# end

                          または

                          RP/0/RSP0/CPU0:router(config)# commit
                           

                          設定変更を保存します。

                          • end コマンドを実行すると、変更をコミットするように要求されます。
                            Uncommitted changes found, commit them
                            before exiting(yes/no/cancel)? [cancel]:
                            
                            • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                            • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                            • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                          • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                           

                          グローバルな RADIUS スロットリングの設定:例

                          configure 
                          radius-server throttle access 10 access-timeout 5 accounting 10
                          !
                          end
                          

                          サーバ グループでの RADIUS スロットリングの設定

                          サーバ グループで RADIUS スロットリングをアクティブ化するには、次の作業を実行します。

                          手順の概要

                            1.    configure

                            2.    aaa group server radius server_group_name

                            3.    server hostname acct-port acct_port_value auth-port auth_port_value

                            4.    throttle access threshold_value access-timeout value accounting threshold_value

                            5.    次のいずれかのコマンドを使用します。

                            • end
                            • commit


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 configure


                            例:
                            RP/0/RSP0/CPU0:router# configure
                             

                            グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 2aaa group server radius server_group_name


                            例:
                            RP/0/RSP0/CPU0:router(config)# aaa group server radius SG1
                            
                             

                            AAA(RADIUS)サーバグループの定義を設定します。

                             
                            ステップ 3server hostname acct-port acct_port_value auth-port auth_port_value


                            例:
                            RP/0/RSP0/CPU0:router(config-sg-radius)# server 99.1.1.10 auth-port 1812 acct-port 1813
                            
                             

                            IP アドレスまたはホスト名のいずれか(指定のとおり)で RADIUS サーバのアカウンティング ポートまたは認証ポートを設定します。 アカウンティング ポート番号と認証ポート番号の範囲は、0 ~ 65535 です。

                             
                            ステップ 4throttle access threshold_value access-timeout value accounting threshold_value


                            例:
                            RP/0/RSP0/CPU0:router(config-sg-radius)# radius-server throttle access 10 access-timeout 5 accounting 10
                            
                             

                            RADIUS サーバに送信されるアクセス要求数とアカウンティング要求数を制御するように RADIUS スロットリング オプションを設定します。 しきい値は、スロットリングを実行するまでの未処理のアクセス要求数とアカウンティング トランザクション数を示します。 範囲は 0~65535 で、アクセス要求とアカウンティング要求の両方の推奨値は 100 です。

                             
                            ステップ 5次のいずれかのコマンドを使用します。
                            • end
                            • commit


                            例:
                            RP/0/RSP0/CPU0:router(config)# end

                            または

                            RP/0/RSP0/CPU0:router(config)# commit
                             

                            設定変更を保存します。

                            • end コマンドを実行すると、変更をコミットするように要求されます。
                              Uncommitted changes found, commit them
                              before exiting(yes/no/cancel)? [cancel]:
                              
                              • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                              • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                              • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                            • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                             

                            サーバ グループでの RADIUS スロットリングの設定:例

                            configure 
                            aaa group server radius SG1
                            server 99.1.1.10 auth-port 1812 acct-port 1813
                            radius-server throttle access 10 access-timeout 5 accounting 10
                            !
                            end
                            

                            RADIUS の許可変更(CoA)の概要

                            許可変更(CoA)機能によって、RADIUS サーバはすでに許可されている加入者の許可設定を変更できます。 CoA は、BNG のように、RADIUS サーバから RADIUS クライアントに非同期メッセージを送信できる RADIUS 標準の拡張です。

                            (注)  


                            CoA のサーバは、RADIUS サーバと異なる場合があります。


                            設定を変更する必要がある加入者を識別するために、RADIUS CoA サーバは、Accounting-Session-ID、Username、IP-Address、および ipv4:vrf-id などのさまざまなキー(RADIUS 属性)をサポートし、使用します。

                            RADIUS CoA のサポートは、次のとおりです。
                            • アカウントログイン:ユーザがネットワークにログインするとき、CoA をサポートする外部 Web ポータルが、アカウントログイン要求をユーザ クレデンシャル(ユーザ名およびパスワード)と一緒に BNG に送信します。 BNG のアカウントログインは、これらのクレデンシャルを使用して RADIUS を介してユーザを認証しようとします。
                            • アカウントログオフ:BNG は加入者の切断イベントとしてアカウントログオフ要求を処理し、セッションを終了します。

                              (注)  


                              RADIUS CoA サーバは、切断イベントの発生源を区別しません。 したがって、BNG が RADIUS CoA サーバからアカウントログオフ要求を受け取ると、ユーザ開始要求と管理者開始要求の両方で、RADIUS サーバに送信される Acct-Terminate-Cause は常に Admin-Reset として設定されます。


                            • アカウント更新:BNG は、CoA プロファイルの一部として取得した属性を解析し、適用します。 加入者固有の属性のみが、ユーザ プロファイルでサポートされ、適用されます。
                            • サービスのアクティブ化:BNG は、加入者に対して事前定義されたサービスを開始します。 サービス設定は、動的なテンプレートによってローカルに定義されるか、RADIUS サーバからダウンロードできます。
                            • サービスの非アクティブ化:BNG は、動的なテンプレートを非アクティブ化することと同様に、加入者に対して以前開始されたサービスを停止します。

                            CoA からのサービスのアクティブ化

                            BNG は、CoA 要求によるサービスのアクティブ化をサポートします。 CoA service-activate コマンドを使用して、サービスをアクティブ化します。 サービスをアクティブ化する CoA 要求には、次の属性が含まれます。

                            • "subscriber:command=service-activate" Cisco VSA
                            • "subscriber:service-name=<service name>" Cisco VSA
                            • サービス プロファイルの一部であるその他の属性
                            重複するサービスのアクティブ化要求を、CoA のサーバから BNG に送信できます。 BNG は、すでにアクティブ化されているサービスのアクションを行いません。 BNG は、次のシナリオの下で CoA サーバに CoA ACK メッセージを送信します。
                            • 同じパラメータを持つ重複した要求が、すでにアクティブなサービスについて CoA から送信される場合。
                            • 同じパラメータを持つ重複した要求が、パラメータ化されたサービスを適用するために CoA から送信される場合。
                            BNG は、次のシナリオの下で無効な属性としてエラー コードとともに CoA サーバに CoA NACK メッセージを送信します。
                            • セッションに適用されていないパラメータ化されていないサービスを非アクティブ化するために、要求が CoA から送信される場合。
                            • セッションに適用されていないパラメータ化されたサービスを非アクティブ化するために、要求が CoA から送信される場合。
                            • パラメータ化されたサービスを適用する重複リクエストが、CoA からの同一でないパラメータで作成される場合。
                            • パラメータ化されたサービスを非アクティブ化するために、同一でないパラメータを持つ要求が CoA から送信される場合。

                            CoA からのサービスの更新

                            サービス更新機能によって、更新されたサービスを表す新しい RADIUS 属性のリストで既存のサービスプロファイルをアップデートできます。 これは、サービスですでにアクティブ化されている加入者と、今後サービスをアクティブ化する新しい加入者に影響します。 新しい CoA service-update コマンドを使用して、この機能をアクティブ化します。 サービスを更新する CoA 要求には、次の属性が含まれます。

                            • "subscriber:command=service-update" Cisco VSA
                            • "subscriber:service-name=<service name>" Cisco VSA
                            • サービス プロファイルの一部であるその他の属性
                            サービス更新 CoA には、少なくとも次の属性が必要です。
                            • vsa cisco generic 1 string "subscriber:command=service-update"
                            • vsa cisco generic 1 string "subscriber:service-name=<service name>"

                            RADIUS ベースの CoA による Web ログイン

                            Web ログインをサポートするには、一連のポリシー ルール イベントを順番に設定する必要があります。 イベントは、次のとおりです。
                            • セッションの開始:
                              • セッションの開始時に、加入者はインターネット接続を確立するようにセットアップされます。 サービスは、Web ベースのログイン用 Web ポータルに HTTP トラフィックをリダイレクトするためにアクティブ化されます。
                              • 認証の待機期間を最大にしてタイマーを開始します。
                            • アカウントログイン:Web ポータルで、ユーザ名とパスワードなどのユーザ情報が収集され、CoA account-logon コマンドがトリガーされます。 このイベントがトリガーされると、加入者のユーザ名とパスワードが RADIUS サーバによって認証されます。 認証が成功すると、HTTP リダイレクト サービスが非アクティブ化され、すでに接続されているインターネット セットアップへのユーザ アクセスが許可されます。 また、セッションの開始で確立されるタイマーを停止する必要があります。 ただし、アカウントログイン中に認証が失敗した場合、BNG は NAK CoA 要求を送信し、その他の認証の試行を許可します。
                            • タイマーの期限切れ:タイマーの期限が切れると、加入者セッションは設定に基づいて切断されます。

                            QoS のサービス アカウンティング

                            加入者についてイネーブルにされた各サービスのアカウンティング レコードは、設定済みの RADIUS サーバに送信できます。 これらのレコードには、サービスおよび関連カウンタの現在の状態を含む service-start、service-stop、および service-interim レコードを含めることができます。 この機能は、サービス アカウンティング機能です。 サービス アカウンティング レコードは、加入者セッションの一部としてサービスを構成する機能の集まりを表す統合アカウンティング レコードです。

                            サービス アカウンティングは、サービスがイネーブルになって加入者セッションが有効になると開始されます。 これは、新しいサービスが加入者セッションに適用されるときに、制御ポリシーを介して適用される動的なテンプレートによって、セッションが許可されるときの Access-Accept(AA)メッセージによって、または許可変更(CoA)によって発生することがあります。 サービス アカウンティングは、セッションが終了するとき、またはサービスを非アクティブ化する一部の他のイベントや CoA によってサービスがセッションから削除されるときに停止します。 開始レコードにカウンタはありません。QoS カウンタを持つ中間レコードと停止レコードは、サービス アカウンティングが QoS に対してイネーブルになると生成されます。 中間アカウンティング レコードは、事前定義された定期的なオプションとして、開始または停止アカウンティングの中間で生成できます。 中間期間がゼロの場合、中間アカウンティング レコードは作成されません。 異なる中間インターバルは、セッションごとにすべてのサービスに基づきます。 サービス アカウンティングは、設定に基づいて各テンプレートでイネーブルになります。


                            (注)  


                            動的なテンプレートに関連付けられたポリシーマップを編集して、サービス パラメータを変更できます。 ただし、これによってアカウンティング レコードは更新されません。 したがって、すべてのアカウンティング レコードを正確に生成するには、CoA を介して、すべての必要なサービス パラメータを持つ新しいサービスを作成し、新しいサービスに関連付けることを推奨します。


                            サービス アカウンティングでは、特定の加入者に対して各サービスの下に適用される入力および出力 QoS ポリシーの統計情報を、アカウンティングの中間レコードと停止レコードの一部として報告する必要がある場合があります。 各サービスでは、次の QoS カウンタをアカウンティング レコードの一部として報告できます。

                            • BytesIn:ポリサー ドロップを引いたサービスの入力 QoS ポリシーのすべてのクラスに一致するバイトの集合体です。
                            • PacketsIn:ポリサー ドロップを引いたサービスの入力 QoS ポリシーのすべてのクラスに一致するパケットの集合体です。
                            • BytesOut:キューイング ドロップを引いたサービスの出力 QoS ポリシーのすべてのクラスに一致するバイトの集合体です。
                            • PacketsOut:キューイング ドロップを引いたサービスの出力 QoS ポリシーのすべてのクラスに一致するパケットの集合体です。

                            アカウンティング統計情報の収集をサポートし、統計情報を AAA サービス アカウンティング レコードで報告する必要がある動的なテンプレート機能は、新しく導入された任意の acct-stats 設定オプションを使用して、それらの機能でアカウンティング統計情報をイネーブルにできます。 このオプションは、統計情報の収集をサポートしない機能では使用できません。 デフォルトでは、QoS アカウンティング統計情報は、パフォーマンスを最適化できません。


                            (注)  


                            各方向の QoS カウンタは、QoS ポリシーが特定の方向でそのサービスに適用される場合に限り報告されます。 たとえば、サービスに適用される入力ポリシーがない場合、BytesIn および PacketsIn カウンタは 0 として報告されます。


                            前提条件

                            • 加入者アカウンティング、サービス アカウンティングの親アカウンティング レコードは、サービス アカウンティング機能が機能できるように設定される必要があります。
                            • キーワード acct-stats は、サービスポリシー コンフィギュレーションで、サービス アカウンティング機能がレコードの一部として機能カウンタ情報を報告できるように設定される必要があります。

                            制約事項

                            • IPv4 および IPv6 の加入者セッションには、単一のサービス アカウンティング レコードのセットがあります。 これらは、1 セットの bytes_in、bytes_out、packets_in、packets_out カウンタにマージされます。

                            サービス アカウンティングの設定

                            動的なテンプレートを介してサービス アカウンティングを設定するには、次の作業を実行します。

                            はじめる前に

                            次の作業を実行する前に、加入者アカウンティングを設定する必要があります。 設定手順については、IPv4 または IPv6 加入者セッションの動的なテンプレートの作成を参照してください。

                            手順の概要

                              1.    configure

                              2.    aaa accounting service {list_name | default} {broadcast group {group_name | radius} |group {group_name | radius} }

                              3.    aaa service-accounting [extended | brief]

                              4.    dynamic-template

                              5.    type service dynamic-template-name

                              6.    accounting aaa list {method_list_name | default} type service [periodic-interval time]

                              7.    {ipv4 | ipv6} access-group access-list-name

                              8.    service-policy {input | output | type} service-policy_name [acct-stats]

                              9.    次のいずれかのコマンドを使用します。

                              • end
                              • commit


                            手順の詳細
                               コマンドまたはアクション目的
                              ステップ 1 configure


                              例:
                              RP/0/RSP0/CPU0:router# configure
                               

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 2aaa accounting service {list_name | default} {broadcast group {group_name | radius} |group {group_name | radius} }


                              例:
                              RP/0/RSP0/CPU0:router(config)# aaa accounting service l1 group srGroup1
                              
                               

                              サービス アカウンティングのアカウンティング リストを作成します。

                               
                              ステップ 3aaa service-accounting [extended | brief]


                              例:
                              RP/0/RSP0/CPU0:router(config)# aaa service-accounting brief
                               

                              (任意)加入者アカウンティングの状態のレベルを選択するため、および簡潔な形式または拡張形式で報告する属性を特定するために、サービスのアカウンティング パラメータを設定します。

                              (注)     

                              デフォルト設定では、拡張です。

                               
                              ステップ 4 dynamic-template


                              例:
                              RP/0/RSP0/CPU0:router(config)# dynamic-template
                              
                               

                              動的テンプレート コンフィギュレーション モードを開始します。

                               
                              ステップ 5 type service dynamic-template-name


                              例:
                              RP/0/RSP0/CPU0:router(config-dynamic-template)# type service s1
                              
                               

                              サービスのユーザ定義名で動的なテンプレートを作成します。

                               
                              ステップ 6 accounting aaa list {method_list_name | default} type service [periodic-interval time]


                              例:
                              RP/0/RSP0/CPU0:router(config-dynamic-template-type)# accounting aaa list l1 type service periodic-interval 1000
                              
                               

                              サービス アカウンティング機能を設定します。

                               
                              ステップ 7{ipv4 | ipv6} access-group access-list-name


                              例:
                              RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv4 access-group ACL1
                              
                              RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv6 access-group ACL2
                              
                               

                              インターフェイスに IPv4 または IPv6 アクセス リストを設定します。

                               
                              ステップ 8service-policy {input | output | type} service-policy_name [acct-stats]


                              例:
                              RP/0/RSP0/CPU0:router(config-dynamic-template-type)# service-policy input QoS1 acct-stats
                              RP/0/RSP0/CPU0:router(config-dynamic-template-type)# service-policy output QoS2 acct-stats
                               

                              サービス ポリシーを動的なテンプレートに関連付け、acct-stats キーワードを使用してサービス アカウンティング機能をイネーブルにします。

                               
                              ステップ 9次のいずれかのコマンドを使用します。
                              • end
                              • commit


                              例:
                              RP/0/RSP0/CPU0:router(config)# end

                              または

                              RP/0/RSP0/CPU0:router(config)# commit
                               

                              設定変更を保存します。

                              • end コマンドを実行すると、変更をコミットするように要求されます。
                                Uncommitted changes found, commit them
                                before exiting(yes/no/cancel)? [cancel]:
                                
                                • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                                • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                                • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                              • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                               

                              サービス アカウンティングの設定:例

                              
                              configure
                              	aaa accounting service S1 group SG1
                              	aaa service-accounting brief
                              	dynamic-template
                              		type service s1
                              			accounting aaa list S1 type service periodic-interval 600
                              			ipv4 access-group ACL1
                              			service-policy input QOS1 acct-stats
                              			service-policy output QOS2 acct-stats
                              !
                              !
                              end

                              統計情報インフラストラクチャ

                              アカウンティング カウンタは、サービス アカウンティング統計情報 ID(statsD)インフラストラクチャによって維持されます。 サービス アカウンティングは、次の方法で統計情報インフラストラクチャと対話します。

                              • 各機能には、その機能の統計情報カウンタを戻す統計情報収集機能プロセスがあります。
                              • 単一の収集機能が、複数の機能のカウンタを処理できます。
                              • アカウンティング プロセス、サービス アカウンティング管理エージェントは、通知の登録と統計情報の要求にアクセス ライブラリを使用し、RADIUS サーバにプッシュします。

                              statsD からデータをプルするポーリング期間があります。 停止レコードでサブセカンド精度をサポートするには、セッションが終了したら、正確なデータを得るためにポーリング方法を待つことなく、ただちに統計情報をプルします。 セッション アカウンティングおよびサービス アカウンティングで同じ方法を続けます。 サブセカンド精度は、中間アカウンティング レコードの送信中にプルされるデータがないため、中間レコードで報告されるデータではサポートされません。

                              統計情報 ID(statsD)の設定

                              statsD は、デフォルトでは 900 秒ごと(15 分ごと)に機能の統計情報をポーリングするように設定されています。 デフォルトの数値を変更し、ポーリング間隔を増減するには、次の作業を実行します。

                              手順の概要

                                1.    configure

                                2.    statistics period service-accounting {period | disable}

                                3.    次のいずれかのコマンドを使用します。

                                • end
                                • commit


                              手順の詳細
                                 コマンドまたはアクション目的
                                ステップ 1 configure


                                例:
                                RP/0/RSP0/CPU0:router# configure
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 2statistics period service-accounting {period | disable}


                                例:
                                RP/0/RSP0/CPU0:router(config)# statistics period service-accounting 1800
                                
                                 

                                サービス アカウンティング機能の統計情報収集機能の収集期間を設定します。

                                 
                                ステップ 3次のいずれかのコマンドを使用します。
                                • end
                                • commit


                                例:
                                RP/0/RSP0/CPU0:router(config)# end

                                または

                                RP/0/RSP0/CPU0:router(config)# commit
                                 

                                設定変更を保存します。

                                • end コマンドを実行すると、変更をコミットするように要求されます。
                                  Uncommitted changes found, commit them
                                  before exiting(yes/no/cancel)? [cancel]:
                                  
                                  • yes と入力すると、実行コンフィギュレーション ファイルに変更が保存され、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。
                                  • no と入力すると、コンフィギュレーション セッションが終了して、ルータが EXEC モードに戻ります。変更はコミットされません。
                                  • cancel と入力すると、現在のコンフィギュレーション セッションが継続します。コンフィギュレーション セッションは終了せず、設定変更もコミットされません。
                                • 設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、commit コマンドを使用します。
                                 

                                サービス アカウンティングの設定:例

                                configure
                                	statistics period service-accounting 1800
                                end
                                

                                Per-VRF AAA 機能について

                                Per VRF AAA 機能によって、仮想ルーティング/転送(VRF)インスタンスに基づいた、認証、許可、アカウンティング(AAA)を実行できます。 この機能によって、プロバイダー エッジ(PE)または仮想ホーム ゲートウェイ(VHG)で、カスタマーのバーチャル プライベート ネットワーク(VPN)に関連付けられたカスタマーの RADIUS サーバと、RADIUS プロキシを経由せずに直接通信できます。

                                ISP は、AAA サーバ グループ、方式リスト、システム アカウンティング、およびプロトコル固有のパラメータなどの動作パラメータを定義し、特定の VRF インスタンスにこれらのパラメータを関連付ける必要があります。

                                Per VRF AAA 機能は、サーバグループ、RADIUS、およびシステム アカウンティング コマンドに対する VRF の拡張でサポートされます。 サーバ グループ内のサーバのリストは、グローバル コンフィギュレーションでのホストへの参照に加えて、プライベート サーバの定義を含むように拡張されます。 これによって、カスタマー サーバとグローバル サービス プロバイダーのサーバの両方に同時にアクセスできます。 Per-VRF AAA をグローバルに設定するために使用するコマンドの構文は、次のとおりです。

                                radius source-interface subinterface-name [vrf vrf-name]

                                RADIUS ダブルディップ機能

                                BNG は、BNG が初期認証または許可要求をサービス プロバイダーの RADIUS サーバに送信する場合に、加入者セッションに関連付けられた正しい VRF に順番に応答する RADIUS ダブルディップ機能をサポートします。 その後、BNG は、元の要求をリダイレクトし、指定された VRF に関連付けられた適切な RADIUS サーバに、2 番目の要求として送信します。

                                その他の関連資料

                                ここでは、RADIUS の実装に関連する参考資料を示します。

                                RFC

                                標準/RFC - AAA  

                                RFC-2865

                                『Remote Authentication Dial In User Service (RADIUS)』

                                RFC-2866

                                『RADIUS Accounting』

                                RFC-2867

                                『RADIUS Accounting Modifications for Tunnel Protocol Support』

                                RFC-2868

                                『RADIUS Attributes for Tunnel Protocol Support』

                                RFC-2869

                                『RADIUS Extensions』

                                RFC-3575

                                『IANA Considerations for RADIUS』

                                RFC-4679

                                『DSL Forum Vendor-Specific RADIUS Attributes』

                                RFC-5176

                                『Dynamic Authorization Extensions to RADIUS』

                                MIB

                                MIB

                                MIB のリンク

                                選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

                                http:/​/​www.cisco.com/​go/​mibs

                                シスコのテクニカル サポート

                                説明

                                リンク

                                シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクなどの、数千ページに及ぶ技術情報が検索可能です。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。

                                http:/​/​www.cisco.com/​cisco/​web/​support/​index.html