Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
自動加入者ログインのための ISG ポリシーの設定
自動加入者ログインのための ISG ポリシーの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/11/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

自動加入者ログインのための ISG ポリシーの設定

機能情報の確認

目次

ISG 自動加入者ログインの前提条件

ISG 自動加入者ログインの制約事項

ISG 自動加入者ログインに関する情報

ISG 自動加入者ログインの概要

ISG 自動加入者ログインでサポートされる ID

回線 ID およびリモート ID に基づいた認可

ISG 自動加入者ログインが設定されている場合のアカウンティング動作

自動加入者ログインのための ISG ポリシーの設定方法

制御ポリシー クラス マップにおける自動ログインのトラフィック識別

自動加入者ログインのための ISG 制御ポリシーの設定

次の作業

Calling-Station-ID として送信するリモート ID のイネーブル化

ISG 自動加入者ログインの確認

ISG 自動加入者ログインの設定例

IP アドレスに基づいた自動加入者ログイン:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ISG 自動加入者ログインの機能情報

自動加入者ログインのための ISG ポリシーの設定

Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このモジュールでは、認可要求でユーザ名の代わりに指定された ID を使用し、加入者からパケットを受信するとすぐに、ユーザ プロファイルを Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバからダウンロードできるように ISG を設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG 自動加入者ログインの機能情報」 を参照してください。

Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ISG 自動加入者ログインの前提条件

リリースおよびプラットフォーム サポートの詳細については、「ISG 自動加入者ログインの機能情報」を参照してください。

ご使用の AAA の実装によっては、ユーザ プロファイルのパスワード フィールドで、送信元 IP アドレス、MAC アドレス、リモート ID、回線 ID のいずれかの ID を設定する必要があります。また、パスワード フィールドへのグローバル アドレスの設定が必要になることもあります。

IP セッションの許可で回線 ID およびリモート ID を使用するには、DSLAM が DHCP Option 82 情報に回線 ID およびリモート ID を挿入する必要があります。

PPPoE セッションの許可でリモート ID を使用するには、PPPoE クライアントが PPPoE Tag ID または回線 ID にリモート ID 情報を提供する必要があります。

ISG 自動加入者ログインの制約事項

認可要求のユーザ名フィールドには、253 文字の制限があります。

トラフィック クラスに基づいた自動加入者ログインは、Cisco 7600 ルータでは設定できません。

ISG 自動加入者ログインに関する情報

「ISG 自動加入者ログインの概要」

「ISG 自動加入者ログインでサポートされる ID」

「回線 ID およびリモート ID に基づいた認可」

「ISG 自動加入者ログインが設定されている場合のアカウンティング動作」

ISG 自動加入者ログインの概要

サービス プロバイダーは通常、IP セッションの開始時にポリシーを実装します。このポリシーは、すべての加入者パケットを認証用のログイン ポータルへリダイレクトします。認証が正常に終了すると、加入者ごとの認可データが AAA サーバから返されます。いくつかの展開(通常は、加入者ネットワークがスプーフィングおよび Denial of Service(DoS; サービス拒絶)攻撃から十分に保護されているような展開)では、サービス プロバイダーは、認証を省略し、加入者の身元を信頼しようとします。ISG 自動加入者ログインにより、サービス プロバイダーは加入者がログインしなくても、サービスへの特定の加入者アクセスを許可できます。

ISG 自動加入者ログインでは、認可要求でユーザ名の代わりに、指定された ID を使用できます。AAA サーバが、指定された ID に基づいて加入者を許可できることにより、加入者からパケットを受け取るとすぐに、AAA サーバから加入者のプロファイルをダウンロードできるようになります。

自動加入者ログインをトリガーするイベントは、session-start です。IP セッションでは、DHCP DISCOVER 要求を受け取ったとき、または認証されていない送信元 IP アドレスが検出されたときに session-start が発生します。PPPoE セッションでは、PPPoE Active Discovery Initiation(PADI)パケットを送信してクライアントがセッションを開始しようとしたときに、session-start が発生します。

ISG 自動加入者ログインでサポートされる ID

IP セッションでは、認可要求でユーザ名の代わりに、IP アドレス、MAC アドレス、回線 ID、リモート ID、または回線 ID とリモート ID の組み合わせの ID を使用するよう、ISG デバイスを設定できます。

PPPoE セッションでは、認可要求でユーザ名の代わりにリモート ID を使用するよう ISG デバイスを設定できます。

回線 ID およびリモート ID に基づいた認可

回線 ID およびリモート ID のフィールドは、DHCP リレー エミュレート情報のオプション(Option 82 とも呼ばれる)の一部で、PPPoE Tag VSA です。これらのフィールドは、DSLAM によって DHCP および PPPoE メッセージに挿入されます。認可要求で回線 ID、リモート ID、または回線 ID とリモート ID の組み合わせをユーザ名として使用するよう、ISG デバイスを設定できます。

デフォルトでは、ISG デバイスは回線 ID とリモート ID を使用します。これはレイヤ 2 のエッジ アクセス デバイスによって認可用に提供されます。 ip dhcp relay information option コマンドが設定されている場合、ISG デバイスは、DHCP メッセージ内で受け取る回線 ID およびリモート ID を使用します。

ISG 自動加入者ログインが設定されている場合のアカウンティング動作

MAC アドレスに基づく認可のアカウンティング動作

認可要求でユーザ名として MAC アドレスが送信されると、MAC アドレスは、アカウンティング レコードの発信ステーション ID としても送信されます。

リモート ID および回線 ID に基づく認可のアカウンティング動作

DHCP Option 82 認可を使用している IP セッションでは、アカウンティング メッセージとともに、回線 ID とリモート ID Cisco VSA が AAA サーバに送信されます。認可用のユーザ名として回線 ID とリモート ID の組み合わせを設定できますが、そのアトリビュートはアカウンティング レコードでは個別に送信されます。アカウンティング レコード内で、NAS Port ID として回線 ID とリモート ID をまとめて送信するよう設定することも可能です。

PPPoE セッションでは、アカウンティング レコードで Remote ID VSA が送信され、NAS Port ID としてリモート ID も送信されます。

radius-server attribute 31 remote-id コマンドが設定されている場合、リモート ID はアカウンティング レコード内で発信ステーション ID として送信されます。

自動加入者ログインのための ISG ポリシーの設定方法

「制御ポリシー クラス マップにおける自動ログインのトラフィック識別」

「自動加入者ログインのための ISG 制御ポリシーの設定」

「Calling-Station-ID として送信するリモート ID のイネーブル化」

「ISG 自動加入者ログインの確認」

制御ポリシー クラス マップにおける自動ログインのトラフィック識別

ISG 自動加入者ログインが適用される対象についてトラフィックを指定する、制御ポリシー クラス マップを設定するには、この作業を実行します。

手順の概要

1. enable

2. configure terminal

3. class-map type control match-all class-map-name

4. match source-ip-address ip-address subnet-mask

または

match nas-port circuit-id name

または

match nas-port remote-id name

5. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

class-map type control match-all class-map-name

 

Router(config)# class-map type control match-all TAL-subscribers

制御クラス マップを作成します。これは、制御ポリシー マップのアクションが実行される条件を定義します。

ステップ 4

match source-ip-address ip-address subnet-mask

または

match nas-port circuit-id name

または

match nas-port remote-id name

 

Router(config-control-classmap)# match source-ip-address 10.1.1.0 255.255.255.0

または

 

Router(config-control-classmap)# match nas-port circuit-id circuit1

または

 

Router(config-control-classmap)# match nas-port remote-id remote1

加入者の送信元 IP アドレスが、指定された IP アドレスと一致している場合に true と評価される条件を作成します。

または

加入者の回線 ID が、指定された値と一致している場合に true と評価される条件を作成します。

または

加入者のリモート ID が、指定された値と一致している場合に true と評価される条件を作成します。

ステップ 5

end

 

Router(config-control-classmap)# end

(任意)特権 EXEC モードに戻ります。

自動加入者ログインのための ISG 制御ポリシーの設定

加入者の認可を開始し、指定された ID を、認可要求のユーザ名フィールドに挿入する ISG 制御ポリシーを設定するには、この作業を実行します。

手順の概要

1. enable

2. configure terminal

3. policy-map type control policy-map-name

4. class type control { class-map-name | always } event session-start

5. action-number authorize [ aaa { list-name | list { list-name | default }} [ password password ]] [ upon network-service-found { continue | stop }] [ use method authorization-type ] identifier identifier-type [ plus identifier-type ]

6. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

policy-map type control policy-map-name

 

Router(config)# policy-map type control TAL

制御ポリシーを定義するために使用される、制御ポリシー マップを作成または変更します。

ステップ 4

class type control { class-map-name | always } event session-start

 

Router(config-control-policymap)# class type control TAL-subscribers event session-start

関連付けられているアクション セットを実行するために満たす必要のある条件を定義する、制御クラスを指定します。

「制御ポリシー クラス マップにおける自動ログインのトラフィック識別」 の作業で設定した制御クラスマップを指定します。

ステップ 5

action-number authorize [ aaa { list-name | list { list-name | default }} [ password password ]] [ upon network-service-found { continue | stop }] [ use method authorization-type ] identifier identifier-type [ plus identifier-type ]

 

Router(config-control-policymap-class-control)# 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address

指定された ID を認可要求のユーザ名フィールドに挿入します。

ステップ 6

end

 

Router(config-control-policymap-class-control)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

次の作業

service-policy type control コマンドを使用して、制御ポリシーをコンテキストに適用する必要があります。制御ポリシーの適用の詳細については、「 Configuring ISG Control Policies 」モジュールを参照してください。

ポリシーを設定して、自身の IP アドレスまたは MAC アドレスの認可が失敗した自動ログインの加入者に対して、どのような処置をするかを確認したい場合があります。たとえば、加入者を、認証用のポリシー サーバにリダイレクトする、といった場合です。

Calling-Station-ID として送信するリモート ID のイネーブル化

アカウンティング レコードおよびアクセス要求の Calling-Station-ID(アトリビュート 31)フィールドで、ISG デバイスがリモート ID を送信できるようにするには、この作業を実行します。

手順の概要

1. enable

2. configure terminal

3. radius-server attribute 31 remote-id

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

radius-server attribute 31 remote-id

 

Router#(config) radius-server attribute 31 remote-id

アカウンティング レコードおよびアクセス要求の Calling Station ID(アトリビュート 31)フィールドで、ISG デバイスがリモート ID を送信できるようにします。

ISG 自動加入者ログインの確認

自動加入者ログインが成功したかどうかを確認するには、この作業を実行します。

手順の概要

1. enable

2. show subscriber session

手順の詳細


ステップ 1 enable

特権 EXEC モードをイネーブルにします。

ステップ 2 show subscriber session

ISG 加入者セッションの情報を表示するには、 show subscriber session コマンドを使用します。出力で、セッションが「authen」のステートで開始されたことが示された場合、自動加入者の認可は成功しています。自動加入者の認可が成功しなかった場合、セッションは開始されますが、ステートは「unauthen」になっています。

次の出力例は、自動加入者の認可が成功したセッションの情報を示しています。

Router# show subscriber session all
 
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Unique Session ID: 3
Identifier: aabb.cc01.3000

SIP subscriber access type(s): IP

Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:24, Last Changed: 00:00:21
 
Policy information:
Authentication status: authen
Rules, actions and conditions executed:
subscriber rule-map DEFAULT
condition always event session-start
1 authorize identifier mac-address
 
Session inbound features:
Feature: IP Idle Timeout
Timeout value is 600
Idle time is 00:00:21
Configuration sources associated with this session:

Interface: Ethernet0/0, Active Time = 00:00:24

ISG 自動加入者ログインの設定例

「IP アドレスに基づいた自動加入者ログイン:例」

IP アドレスに基づいた自動加入者ログイン:例

次の例では、クライアントが 1.1.1.0 サブネットからのものである場合、ISG は認可要求を、加入者の送信元 IP アドレスをユーザ名として「TAL_LIST」に送信します。認可要求に成功した場合、返されユーザ プロファイルで指定された自動アクティブ化サービスがセッションに対してアクティブ化され、制御ポリシー内のルールの実行が停止します。認可に成功しなかった場合、ルールの実行が続行し、加入者がポリシー サーバにリダイレクトされ、ログインします。加入者が 5 分以内にログインしなかった場合、セッションが切断されます。

ISG の設定

interface Ethernet0/0
service-policy type control RULEA
 
aaa authorization network TAL_LIST group radius
aaa authentication login LOCAL local
access-list 100 permit ip any any
 
 
class-map type traffic match-any all-traffic
match access-group input 100
match access-group output 100
 
policy-map type service redirectprofile
class type traffic all-traffic
redirect to ip 10.0.0.148 port 8080
 
class-map type control match-all CONDA
match source-ip-address 10.1.1.0 255.255.255.0
 
!
class-map type control match-all CONDF
match timer TIMERB
match authen-status unauthenticated
 
policy-map type control RULEA
class type control CONDA event session-start
1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
2 service-policy type service aaa list LOCAL name redirectprofile
3 set-timer TIMERB 5 minutes
!
class type control CONDF event timed-policy-expiry
1 service disconnect

ユーザ プロファイルの設定

1.1.1.1 Password = "cisco"
Service-Type = Outbound,
Cisco:Account-Info = "AAuto-Internet;proxy-user;cisco"

サーバ プロファイルの設定

Auto-Internet Password = "cisco"
Cisco:Service-Info = "IAuto-Internet",
Cisco-Avpair = "traffic-class=input access-group 100"
 
proxy-user Password = "cisco"

Idle-Timeout = 5

その他の参考資料

関連資料

規格

規格
タイトル

この機能によってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

ISG 自動加入者ログインの機能情報

表 16 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。

プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 16 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。


 

表 16 ISG 自動加入者ログインの機能情報

機能名
リリース
機能設定情報

ISG:セッション:認証(MAC、IP)

12.2(28)SB
12.2(33)SRC
15.0(1)S

ISG 自動加入者ログインでは、認可要求でユーザ名の代わりに、IP アドレスまたは MAC アドレスを使用することができます。この機能により、加入者からパケットを受け取るとすぐに、AAA サーバから加入者のプロファイルをダウンロードできます。

このモジュールでは、この機能について説明します。

Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。

ISG:認証:DHCP オプション 82 ライン ID:AAA 認証サポート

12.2(28)SB
12.2(33)SRC
15.0(1)S

この機能は、回線 ID およびリモート ID に基づいて認可に対するサポートを提供することにより、ISG 自動加入者ログインの機能を拡張します。

この機能に関する詳細については、次の各項を参照してください。

「ISG 自動加入者ログインでサポートされる ID」

「回線 ID およびリモート ID に基づいた認可」

「ISG 自動加入者ログインが設定されている場合のアカウンティング動作」

「自動加入者ログインのための ISG ポリシーの設定方法」

Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。