Cisco Secure Access Control Server 4.2.1 ユーザ ガイド
VPDN プロセス
VPDN プロセス
発行日;2012/02/02 | 英語版ドキュメント(2009/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

VPDN プロセス

VPDN プロセス

VPDN プロセス

Cisco Secure Access Control Server リリース 4.2(以降は ACS と表記)は、Virtual Private Dial-up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)要求の認証転送をサポートします。ローミング ユーザには基本的に 2 つのタイプがあります。インターネットとイントラネットです。VPDN は、ローミングするイントラネット ユーザの要件を扱います。ここでは、VPDN プロセスの概要、およびこのプロセスが ACS の動作に及ぼす影響について説明します。

VPDN プロセス

ここでは、標準的な環境における VPDN 要求の処理手順を説明します。

1. VPDN ユーザが、Regional Service Provider(RSP; 地域サービス プロバイダー)の Network Access Server(NAS; ネットワーク アクセス サーバ)にダイヤルインします。標準的なコール セットアップや Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)セットアップが行われます。ユーザ名とパスワードが、 username@domain という形式(たとえば mary@corporation.us )で NAS に送信されます。図 D-1 を参照してください。

図 D-1 VPDN ユーザがダイヤルインする

 

2. VPDN が有効になっている場合、NAS は、このユーザが VPDN ユーザであると想定します。NAS は、ユーザ名の username@ mary@ )という部分を取り去った後、ACS を使用して、ドメイン部分( corporation.us )に認可を付与します(認証はしません)。図 D-2 を参照してください。

図 D-2 NAS がドメインの認可を試行する

 

3. ドメインの認可に失敗すると、NAS は、ユーザが VPDN ユーザではないと想定します。次に、NAS は、ユーザが標準の非 VPDN ダイヤル ユーザであるとしてユーザを認証します(認可は付与しません)。図 D-3 を参照してください。

図 D-3 ドメインの認可に失敗する

 

ACS は、ドメインに認可を付与すると、Home Gateway(HG; ホーム ゲートウェイ)のトンネル ID と IP アドレスを返します。両方とも、トンネルの作成に使用されます。図 D-4 を参照してください。

図 D-4 ACS がドメインを認可する

 

4. HG は、自身の ACS を使用して、トンネルを認証します。ユーザ名はトンネルの名前( nas_tun )となります。図 D-5 を参照してください。

図 D-5 HG が ACS を使いトンネルを認証する

 

5. ここで、HG は、NAS を使用してトンネルを認証します。ユーザ名は HG の名前となります。HG 名は、トンネル名に基づいて選択されるので、その名前は、セットアップされているトンネルにより異なることがあります。図 D-6 を参照してください。

図 D-6 HG が NAS を使いトンネルを認証する

 

6. ここで、NAS は、自身の ACS を使用して HG からのトンネルを認証します。図 D-7 を参照してください。

図 D-7 NAS が ACS を使いトンネルを認証する

 

7. 認証後、トンネルが確立されます。ここで、実際のユーザ( mary@corporation.us )を認証する必要があります。図 D-8 を参照してください。

図 D-8 VPDN トンネルが確立される

 

8. ここで、HG は、ユーザが HG に直接ダイヤルインしたものとしてユーザを認証します。HG が、ユーザのパスワードをチャレンジ(要求)します。RSP にある ACS は、アット マーク(@)とドメインを取り去ってから認証を HG に渡すように設定できます (ユーザは mary@corporation.us として渡されます)。HG は、自身の ACS を使用してユーザを認証します。図 D-9 を参照してください。

図 D-9 HG が ACS を使いユーザを認証する

 

9. トンネルがアクティブである間に、別のユーザ( sue@corporation.us )が NAS にダイヤルインした場合、NAS は、認可および認証のプロセス全体を反復しません。その代わり、そのユーザを既存のトンネルを通して HG に渡します。図 D-10 を参照してください。

図 D-10 トンネルがアクティブの間に、別のユーザがダイヤルインする