Cisco Secure ACS Appliance ユーザガイド 3.2
VPDN 処理
VPDN 処理
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

VPDN 処理

VPDN プロセス

VPDN 処理

Cisco Secure ACS Appliance は、Virtual Private Dial-up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)要求の認証転送をサポートします。「ローミング」ユーザには、基本的にインターネットとイントラネットの 2 つのタイプがあります。VPDN はローミング インターネット ユーザの要件を対象にしています。この章では、VPDN プロセスと、このプロセスが Cisco Secure ACS の動作に及ぼす影響について説明します。

VPDN プロセス

この項では、標準的な環境における VPDN 要求のプロセスを説明します。

1. VPDN ユーザが、Regional Service Provider(RSP; 地域サービス プロバイダー)の Network Access Server(NAS; ネットワーク アクセス サーバ)にダイヤルインします。標準的なコール セットアップまたは POINT-to-Point Protocol(PPP; ポイントツーポイント プロトコル)セットアップが行われます。ユーザ名とパスワードが、ユーザ名@ドメイン(たとえば、mary@corporation.us)という形式で NAS に送信されます。図D-1を参照してください。

図D-1 VPDN ユーザのダイヤルイン

 

2. VPDN が使用可能になっている場合、NAS は、このユーザが VPDN ユーザであるとみなします。NASは、ユーザ名の「ユーザ名@」(mary@)の部分を取り除き、ACS を使用してドメインの部分(corporation.us)を許可します(認証はしない)。図D-2を参照してください。

図D-2 NAS によるドメイン許可の試行

 

3. ドメインの許可が失敗した場合、NAS はそのユーザが VPDN ユーザではないとみなします。次に、NAS は、ユーザが標準の非 VPDN ダイヤル ユーザであるとみなして、そのユーザを認証します(許可はしない)。図D-3を参照してください。

図D-3 ドメイン許可の失敗

 

ACS は、ドメインを許可する場合、Home Gateway(HG; ホーム ゲートウェイ)のトンネル ID および IP アドレスを返します。これらの情報は、トンネルを作成するために使用されます。図D-4を参照してください。

図D-4 ACS によるドメインの許可

 

4. HG は、それ自身の ACS を使用してトンネルを認証します。その場合、トンネルの名前(nas_tun)がユーザ名になります。図D-5を参照してください。

図D-5 HG での ACS によるトンネルの認証

 

5. ここで、HG は、NAS を使用してトンネルを認証します。その場合、HG の名前がユーザ名となります。HG の名前はトンネル名に基づいて選択されるので、セットアップされているトンネルによって名前が異なることがあります。図D-6を参照してください。

図D-6 HG での NAS によるトンネルの認証

 

6. ここで、NAS は、それ自身の ACS を使用して HG からのトンネルを認証します。図D-7を参照してください。

図D-7 NAS での ACS によるトンネルの認証

 

7. 認証後、トンネルが確立されます。ここで、実際のユーザ(mary@corporation.us)を認証する必要があります。図D-8を参照してください。

図D-8 VPDN トンネルの確立

 

8. ここで、HG は、ユーザが HG に直接ダイヤルインしたとみなして、ユーザを認証します。HG が、パスワードをユーザに要求する場合があります。@ とドメインを取り除いてから認証を HG に渡すように、RSP 側の Cisco Secure ACS を設定できます (ユーザは mary@corporation.us として渡されます)。HG は、それ自身の ACS を使用してユーザを認証します。図D-9を参照してください。

図D-9 HG での ACS によるユーザの認証

 

9. トンネルがアクティブの間に別のユーザ(sue@corporation.us)が NAS にダイヤルインした場合、NAS は、許可および認証の処理をすべて繰り返すことはしません。代わりに、そのユーザを既存のトンネルを通して HG に渡します。図D-10を参照してください。

図D-10 トンネルがアクティブの間に別のユーザがダイヤルイン