Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
RADIUS プロキシとしての ISG の設定
RADIUS プロキシとしての ISG の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/11/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

RADIUS プロキシとしての ISG の設定

機能情報の確認

目次

ISG RADIUS プロキシの前提条件

ISG RADIUS プロキシの制約事項

ISG RADIUS プロキシに関する情報

ISG RADIUS プロキシの概要

ISG RADIUS プロキシによるアカウンティング パケットの処理

RADIUS クライアントのサブネット定義

モバイル ワイヤレス環境のための ISG RADIUS プロキシのサポート

アトリビュートの処理と RADIUS 要求との相関

3GPP アトリビュートのサポート

ISG RADIUS プロキシの利点

RADIUS プロキシとしての ISG の設定方法

ISG RADIUS プロキシ IP セッションの開始

ISG RADIUS プロキシ グローバル パラメータの設定

ISG RADIUS プロキシのクライアント固有パラメータの設定

RADIUS プロキシ イベントの ISG ポリシーの定義

ISG RADIUS プロキシ設定の確認

ISG RADIUS プロキシ セッションのクリア

ISG RADIUS プロキシの設定例

ISG RADIUS プロキシの設定:例

ISG RADIUS プロキシおよびレイヤ 4 のリダイレクト:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ISG RADIUS プロキシの機能情報

RADIUS プロキシとしての ISG の設定

Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。ISG RADIUS プロキシ機能により、ISG は、RADIUS 認証を使用するクライアント デバイスと、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバの間のプロキシとして機能できるようになります。RADIUS プロキシとしてコンフィギュレーションされている場合、ISG は RADIUS のパケット フローを「詮索」(観察)できるようになり、認証が成功すると、対応する ISG セッションを透過に作成できます。ここでは、ISG を RADIUS プロキシとして設定する方法について説明します。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG RADIUS プロキシの機能情報」 を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ISG RADIUS プロキシの前提条件

Cisco IOS イメージが、AAA および ISG をサポートしている必要があります。

ISG RADIUS プロキシの制約事項

Wireless Internet Service Provider roaming(WISPr)アトリビュートはサポートされていません。

ISG RADIUS プロキシに関する情報

ISG を RADIUS プロキシとして設定する前に、次の概念について理解しておく必要があります。

「ISG RADIUS プロキシの概要」

「ISG RADIUS プロキシによるアカウンティング パケットの処理」

「RADIUS クライアントのサブネット定義」

「モバイル ワイヤレス環境のための ISG RADIUS プロキシのサポート」

「ISG RADIUS プロキシの利点」

ISG RADIUS プロキシの概要

Public Wireless LAN(PWLAN; 公衆無線 LAN)およびワイヤレス メッシュ ネットワークには、数百ものアクセス ポイントを含めることが可能で、各アクセス ポイントは AAA サーバに RADIUS 認証要求を送信する必要があります。ISG RADIUS プロキシ機能を使用すると、アクセス ポイントは、AAA サーバに認証要求を直接送信せずに、ISG に送信できるようになります。ISG はこの要求を AAA サーバへ中継します。AAA サーバは ISG へ応答を送信し、次にこの応答を適切なアクセス ポイントへ中継します。

ISG は RADIUS プロキシとして機能する場合、加入者の認証および認可のときに生じる RADIUS フローからユーザ固有のデータを検出し、認証が成功すると、対応する IP セッションを透過的に作成できます。この機能は、よりネットワーク エッジに近いデバイスによって認証された加入者に対する ISG に関して、自動ログイン機能を提供します。

RADIUS プロキシとして設定されている場合は、RFC 2865、RFC 2866、および RFC 2869 に記載されているように、ISG は、クライアント デバイスによって生成されたすべての RADIUS 要求、および対応する AAA サーバによって生成されたすべての RADIUS 応答をプロキシします。

ISG RADIUS プロキシ機能はクライアント デバイスのタイプには依存せず、Password Authentication Protocol(PAP; パスワード認証プロトコル)と Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)の両方、Access-Challenge パケット、および Extensible Authentication Protocol(EAP)メカニズムを使用した、標準認証(1 回のアクセスと要求/応答の交換)をサポートします。

認証の要求とアカウンティングの要求が別の RADIUS クライアント デバイスから開始された場合、ISG は相関ルールにより、すべての要求を該当するセッションに関連付けます。たとえば、集中型 PWLAN 展開では、認証要求は無線 LAN(WLAN)のアクセス ポイントから開始され、アカウンティング要求は Access Zone Router(AZR)で生成されます。Calling-Station-ID(アトリビュート 31)によって関連付けを十分に信頼できる場合、これらの異なる RADIUS フローをベースとなるセッションに関連付ける処理は自動的に行われます。

認証が成功すると、RADIUS の応答から収集した認可データが、対応する ISG セッションに適用されます。

ISG RADIUS プロキシ動作を使用して作成されたセッションは通常、Accounting-Stop パケットを受け取って終了します。

ISG RADIUS プロキシによるアカウンティング パケットの処理

デフォルトでは、ISG RADIUS プロキシは、受け取ったアカウンティング パケットに対してローカルに応答します。 accounting method-list コマンドを使用すると、RADIUS プロキシ クライアントのアカウンティング パケットを特定のサーバへフォワードするよう、ISG を設定できます。アカウンティング パケットのフォワーディングは、すべての RADIUS プロキシ クライアントに対してグローバルに設定することも、クライアントごとに設定することもできます。

RADIUS クライアントのサブネット定義

ISG が、すべて同じサブネット上に存在している複数のクライアント デバイスに対するプロキシとして機能している場合は、各デバイスに対する個々の IP アドレスではなく、1 つのサブネット定義を使用してクライアントを設定できます。このように設定することにより、1 つの設定をすべてのクライアント デバイスで共有できるようになります。

モバイル ワイヤレス環境のための ISG RADIUS プロキシのサポート

ISG RADIUS プロキシはモバイル ワイヤレス特有のプロセスを使用して、Gateway General Packet Radio Service(GPRS)Support Node(GGSN)環境に対するサポートを提供します。ここでは、ISG RADIUS プロキシ アトリビュートのサポートと処理について説明します。

「アトリビュートの処理と RADIUS 要求との相関」

「3GPP アトリビュートのサポート」

アトリビュートの処理と RADIUS 要求との相関

認証要求とアカウンティング要求が別の RADIUS クライアント デバイスから発生している場合、ISG は相関ルールを使用して、すべての要求を該当するセッションに関連付けます。Calling-Station-ID(アトリビュート 31)によって関連付けを十分に信頼できる場合、これらの異なる RADIUS フローをベースとなるセッションに関連付ける処理は自動的に行われます。

モバイル ワイヤレス環境では、アトリビュートの処理および RADIUS 要求とセッションとの相関は、PWLAN 環境とは異なる実装になっています。たとえば、ある PWLAN 環境ではアトリビュート 31 が MAC アドレスとなり、GGSN 環境ではアトリビュート 31 が Mobile Station Integrated Services Digital Network(MSISDN)となります。これは普通の数字または英数字の文字列です。また、ある GGSN 環境では、アトリビュート 31 以外のアトリビュートを使用して RADIUS 要求の相関を行うこともできます。

ISG RADIUS プロキシは、RADIUS プロキシ クライアントでアトリビュート 31 に対して MAC または MSISDN のどちらの形式を使用するかを指定することによって、モバイル ワイヤレス環境をサポートしています。形式は、 calling-station-id format コマンドを使用して指定します。また、 session-identifier コマンドを使用して、RADIUS 要求の相関を実行するために他の(アトリビュート 31 以外の)アトリビュートを使用するよう、ISG RADIUS プロキシを設定できます。

3GPP アトリビュートのサポート

GGSN 環境における ISG RADIUS プロキシは、 表 13 に示す Third Generation Partnership Project(3GPP)アトリビュートを認識および解釈する必要があります。これらのアトリビュートは、アカウンティング要求の一部を形成します。

 

表 13 ISG RADIUS プロキシでサポートされる 3GPP アトリビュート

アトリビュート
説明
ベンダー ID/タイプ

3GPP-IMSI

ユーザ用の International Mobile Subscriber Identity(IMSI)。

10415/1

3GPP-Charging-Id

この Packet Data Protocol(PDP)コンテキスト用のチャージング ID(GGSN アドレスと組み合わせて PDP コンテキスト用の固有 ID を構成)。

10415/2

3GPP-SGSN-Address

コントロール メッセージの処理に、GPRS Tunneling Protocol(GTP)コントロール プレーンで使用される Serving GPRS Support Node(SGSN)アドレス。これを使用して、ユーザが接続される Public Line Mobile Network(PLMN)を識別できます。

10415/6

ISG RADIUS プロキシの利点

ISG RADIUS プロキシの使用には次の利点があります。

EAP 加入者セッションに対して、ISG の完全な機能セットを適用できる。

既存の Network Access Server(NAS; ネットワーク アクセス サーバ)および AAA サーバの最小限の停止時間で、ISG デバイスを導入できる。

すべてのアクセス ポイントではなく、ISG だけをクライアントとして設定すればよいため、RADIUS サーバのコンフィギュレーションが簡単になる。

RADIUS プロキシとしての ISG の設定方法

ここでは、次の各手順について説明します。

「ISG RADIUS プロキシ IP セッションの開始」 (必須)

「ISG RADIUS プロキシ グローバル パラメータの設定」 (必須)

「ISG RADIUS プロキシのクライアント固有パラメータの設定」 (任意)

「RADIUS プロキシ イベントの ISG ポリシーの定義」 (必須)

「ISG RADIUS プロキシ設定の確認」 (任意)

「ISG RADIUS プロキシ セッションのクリア」 (任意)

ISG RADIUS プロキシ IP セッションの開始

RADIUS クライアントから RADIUS プロキシ メッセージを受け取ったときに IP セッションを開始するよう ISG を設定するには、この作業を実行します。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. ip subscriber { interface | l2-connected | routed }

5. initiator radius-proxy

6. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface fastethernet 1/0/0

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip subscriber { interface | l2-connected | routed }

 

Router(config-if)# ip subscriber routed

インターフェイス上で ISG IP 加入者のサポートをイネーブルにし、インターフェイス上で ISG に接続するために IP 加入者が使用するアクセス方法を指定し、加入者コンフィギュレーション モードを開始します。

ステップ 5

initiator radius-proxy

 

Router(config-subscriber)# initiator radius-proxy

いずれかの RADIUS パケットを受け取ったら IP セッションを開始するよう、ISG を設定します。

ステップ 6

end

 

Router(config-subscriber)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ISG RADIUS プロキシ グローバル パラメータの設定

デフォルトですべての RADIUS プロキシ クライアントに適用される ISG RADIUS プロキシ パラメータを設定するには、この作業を実行します。クライアント固有のパラメータも設定し、このグローバル設定よりも優先することも可能です。クライアント固有の設定を指定するには、「ISG RADIUS プロキシのクライアント固有パラメータの設定」を参照してください。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa server radius proxy

5. session-identifier { attribute number | vsa vendor id type number }

6. calling-station-id format { mac-address | msisdn }

7. accounting method-list { method-list-name | default }

8. accounting port port-number

9. authentication port port-number

10. key [ 0 | 7 ] word

11. timer { ip-address | request } seconds

12. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

ステップ 4

aaa server radius proxy

 

Router(config)# aaa server radius proxy

ISG RADIUS プロキシ サーバ コンフィギュレーション モードを開始します。

ステップ 5

session-identifier { attribute number | vsa vendor id type number }

 

Router(config-locsvr-proxy-radius)# session-identifier attribute 1

(任意)あるセッションの RADIUS サーバ要求を相互に関連付け、RADIUS プロキシ モジュール内のセッションを識別します。

ステップ 6

calling-station-id format { mac-address | msisdn }

 

Router(config-locsvr-proxy-radius)# calling-station-id format msisdn

Calling-Station-ID の形式を指定します。

ステップ 7

accounting method-list { method-list-name | default }

 

Router(config-locsvr-proxy-radius)# accounting method-list fwdacct

RADIUS クライアントからのアカウンティング パケットの転送先となるサーバを指定します。

(注) デフォルトでは、ISG RADIUS プロキシはアカウンティング パケットをローカルに処理します。

ステップ 8

accounting port port-number

 

Router(config-locsvr-proxy-radius)# accounting port 2222

ISG が RADIUS クライアントからのアカウンティング パケットを待ち受けるポートを指定します。

デフォルトのポートは 1646 です。

ステップ 9

authentication port port-number

 

Router(config-locsvr-proxy-radius)# authentication port 1111

ISG が RADIUS クライアントからの認証パケットを待ち受けるポートを指定します。

デフォルトのポートは 1645 です。

ステップ 10

key [ 0 | 7 ] word

 

Router(config-locsvr-proxy-radius)# key radpro

暗号キーが、ISG と RADIUS クライアント間で共有されるように設定します。

0 は、暗号化されていないキーをフォローするよう指定します。

7 は、非公開のキーをフォローするよう指定します。

ステップ 11

timer { ip-address | request } seconds

 

Router(config-locsvr-proxy-radius)# timer ip-address 5

セッションを終了するまでに、指定されたイベントを ISG が待機する時間を指定します。

ip-address :IP アドレスがセッションに割り当てられるまで、ISG が待機する時間を指定します。

request :クライアント デバイスからアクセス要求を受け取るまで、ISG が待機する時間を指定します。

ステップ 12

end

 

Router(config-locsvr-proxy-radius)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ISG RADIUS プロキシのクライアント固有パラメータの設定

ISG RADIUS プロキシにクライアント固有のパラメータを設定するには、この作業を実行します。この設定は、指定したクライアントまたはサブネットのみに適用されます。クライアント固有の設定は、グローバルな ISG RADIUS プロキシの設定よりも優先されます。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa server radius proxy

5. client { name | ip-address } [ subnet-mask [ vrf vrf-id ]]

6. session-identifier { attribute number | vsa vendor id type number }

7. calling-station-id format { mac-address | msisdn }

8. accounting method-list { method-list-name | default }

9. accounting port port-number

10. authentication port port-number

11. key [ 0 | 7 ] word

12. timer { ip-address | request } seconds

13. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

ステップ 4

aaa server radius proxy

 

Router(config)# aaa server radius proxy

ISG RADIUS プロキシ サーバ コンフィギュレーション モードを開始します。

ステップ 5

client { name | ip-address } [ subnet-mask [ vrf vrf-id ]]

 

Router(config-locsvr-proxy-radius)# client 172.16.54.45 vrf myvrftable

クライアント固有のパラメータを設定できる RADIUS プロキシ クライアントを指定し、RADIUS クライアント コンフィギュレーション モードを開始します。

ステップ 6

session-identifier { attribute number | vsa vendor id type number }

 

Router(config-locsvr-radius-client)# session-identifier vsa vendor 5335 type 123

(任意)あるセッションの RADIUS 要求を相互に関連付け、RADIUS プロキシ モジュール内のセッションを識別します。

ステップ 7

calling-station-id format { mac-address | msisdn }

 

Router(config-locsvr-radius-client)# calling-station-id format msisdn

Calling-Station-ID の形式を指定します。

ステップ 8

accounting method-list { method-list-name | default }

 

Router(config-locsvr-radius-client)# accounting method-list fwdacct

RADIUS クライアントからのアカウンティング パケットの転送先となるサーバを指定します。

ステップ 9

accounting port port-number

 

Router(config-locsvr-radius-client)# accounting port 2222

ISG が RADIUS クライアントからのアカウンティング パケットを待ち受けるポートを指定します。

デフォルトのポートは 1646 です。

ステップ 10

authentication port port-number

 

Router(config-locsvr-radius-client)# authentication port 1111

ISG が RADIUS クライアントからの認証パケットを待ち受けるポートを指定します。

デフォルトのポートは 1645 です。

ステップ 11

key [ 0 | 7 ] word

 

Router(config-locsvr-radius-client)# key radpro

暗号キーが、ISG と RADIUS クライアント間で共有されるように設定します。

0 は、暗号化されていないキーをフォローするよう指定します。

7 は、非公開のキーをフォローするよう指定します。

ステップ 12

timer { ip-address | request } seconds

 

Router(config-locsvr-radius-client)# timer ip-address 5

セッションを終了するまでに、指定されたイベントを ISG が待機する時間を指定します。

ip-address :IP アドレスがセッションに割り当てられるまで、ISG が待機する時間を指定します。

request :クライアント デバイスからアクセス要求を受け取るまで、ISG が待機する時間を指定します。

ステップ 13

end

 

Router(config-locsvr-radius-client)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

RADIUS プロキシ イベントの ISG ポリシーの定義

セッションの開始時に適用されるポリシーを設定し、ISG が指定したサーバに対して RADIUS パケットをプロキシできるようにするには、この作業を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authorization radius-proxy { default | list-name } method1 [ method2 [ method3... ]]

5. policy-map type control policy-map-name

6. class type control { control-class-name | always } event session-start

7. action-number proxy [ aaa list { default | list-name }

8. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

ステップ 4

aaa authorization radius-proxy { default | list-name } method1 [ method2 [ method3... ]]

 

Router(config)# aaa authorization radius-proxy RP group radius

ISG RADIUS プロキシ加入者の AAA 認可方法を設定します。

方法は、次のいずれかです。

group group-nameÅF server group group-name コマンドで定義された、認可用の RADIUS サーバのサブセットを使用します。

group radius ÅF aaa group server radius コマンドで定義された、認可用のすべての RADIUS サーバのリストを使用します。

ステップ 5

policy-map type control policy-map-name

 

Router(config)# policy-map type control proxyrule

コントロール ポリシー マップを作成または変更します。これにより、ISG コントロール ポリシーを定義し、コントロール ポリシーマップ コンフィギュレーション モードを開始します。

ステップ 6

class type control { control-class-name | always } event session-start

 

Router(config-control-policymap)# class type control always event session-start

アクションを設定できるコントロール クラスを指定し、コントロール ポリシーマップ クラス コンフィギュレーション モードを開始します。

ステップ 7

action-number proxy [ aaa list { default | list-name }

 

Router(config-control-policymap-class-control)# 1 proxy aaa list RP

指定したサーバに RADIUS パケットを送信します。

ステップ 4 の aaa authorization radius-proxy コマンドで指定したサーバに RADIUS プロキシ パケットをフォワードするよう ISG を設定するには、このコマンドを使用します。

ステップ 8

end

 

Router(config-control-policymap-class-contro)# end

現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。

ISG RADIUS プロキシ設定の確認

ISG RADIUS プロキシ設定を確認するには、次の 1 つ以上のコマンドを使用します。コマンドは任意の順序で入力できます。

手順の概要

1. show radius-proxy client ip-address [ vrf vrf-name ]

2. show radius-proxy session { id id-number | ip ip-address }

3. show subscriber session [ identifier { authen-status { authenticated | unauthenticated } | authenticated-domain domain-name | authenticated-username username | dnis dnis | media type | nas-port identifier | protocol type | source-ip-address ip-address subnet-mask | timer timer-name | tunnel-name name | unauthenticated-domain domain-name | unauthenticated-username username } | uid session-identifier | username username ] [ detailed ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

show radius-proxy client ip-address [ vrf vrf-id ]

 

Router# show radius-proxy client 10.10.10.10

RADIUS プロキシの設定情報、および ISG RADIUS プロキシ クライアントのセッションの概要を表示します。

ステップ 2

show radius-proxy session { id id-number | ip ip-address }

 

Router# show radius-proxy session ip 10.10.10.10

ISG RADIUS プロキシ セッションの情報を表示します。

(注) ID は、show radius-proxy client コマンドの出力内にあります。

ステップ 3

show subscriber session [ identifier { authen-status { authenticated | unauthenticated } | authenticated-domain domain-name | authenticated-username username | dnis dnis | media type | nas-port identifier | protocol type | source-ip-address ip-address subnet-mask | timer timer-name | tunnel-name name | unauthenticated-domain domain-name | unauthenticated-username username } | uid session-identifier | username username ] [ detailed ]

 

Router# show subscriber session detailed

ISG デバイスの加入者セッションの情報を表示します。

ISG RADIUS プロキシ セッションのクリア

ISG RADIUS プロキシ セッションをクリアするには、この作業を実行します。

手順の概要

1. enable

2. clear radius-proxy client ip-address

3. clear radius-proxy session { id id-number | ip ip-address }

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear radius-proxy client ip-address

 

Router# clear radius-proxy client 10.10.10.10

指定されたクライアント デバイスに関連付けられているすべての ISG RADIUS プロキシ セッションをクリアします。

ステップ 3

clear radius-proxy session { id id-number | ip ip-address }

 

Router# clear radius-proxy session ip 10.10.10.10

特定の ISG RADIUS プロキシ セッションをクリアします。

コマンドの出力内にあります。

ISG RADIUS プロキシの設定例

ここでは、次の例について説明します。

「ISG RADIUS プロキシの設定:例」

「ISG RADIUS プロキシおよびレイヤ 4 のリダイレクト:例」

ISG RADIUS プロキシの設定:例

次の例では、ISG が RADIUS プロキシとして機能し、RP と呼ばれるメソッド リストへ RADIUS パケットを送信するよう設定します。RADIUS パケットを受け取ったときに IP セッションを開始するよう、FastEthernet インターフェイス 0/0 が設定されます。

!
aaa new-model
!
aaa group server radius EAP
server 10.2.36.253 auth-port 1812 acct-port 1813
!
aaa authorization radius-proxy RP group EAP
aaa accounting network FWDACCT start-stop group EAP
aaa accounting network FLOWACCT start-stop group EAP
!
aaa server radius proxy
session-identifier attribute 1
calling-station-id format msisdn
authentication port 1111
accounting port 2222
key radpro
message-authenticator ignore
 
! The method list "FWDACCT" was configured by the aaa accounting network FWDACCT
! start-stop group EAP command above.
accounting method-list FWDACCT
client 10.45.45.2
timer request 5
!
client 10.45.45.3
key aashica#@!$%&/
timer ip-address 120
!
!
! This control policy references the method list called "RP" that was configured using the aaa authorization radius-proxy command above.
policy-map type control PROXYRULE
class type control always event session-start
1 proxy aaa list RP
!
!
!
bba-group pppoe global
!
!
interface FastEthernet 2/1/0
ip address 10.45.45.1 255.255.255.0
ip subscriber routed
initiator radius-proxy
no ip route-cache cef
no ip route-cache
no cdp enable
!
! The control policy "PROXYRULE" is applied to the interface.
service-policy type control PROXYRULE
!
!
radius-server host 10.2.36.253 auth-port 1812 acct-port 1813 key cisco
radius-server host 10.76.86.83 auth-port 1665 acct-port 1666 key rad123
radius-server vsa send accounting
radius-server vsa send authentication
 
aaa new-model
!
!
aaa group server radius EAP
server 10.2.36.253 auth-port 1812 acct-port 1813
!

ISG RADIUS プロキシおよびレイヤ 4 のリダイレクト:例

次に、ISG RADIUS プロキシおよびレイヤ 4 のリダイレクトの両方に対して設定されている ISG ポリシーの例を示します。

aaa authorization network default local
!
redirect server-group REDIRECT
server ip 10.255.255.28 port 23
!
class-map type traffic match-any traffic1
match access-group input 101
!
policy-map type service service1
class type traffic traffic1
redirect list 101 to group REDIRECT
!
policy-map type control PROXYRULE
class type control always event session-start
1 proxy aaa list RP
2 service-policy type service name service1
!
access-list 101 permit tcp host 10.45.45.2 any

 

次に、 show subscriber session コマンドの対応するサンプル出力の例を示します。

Router# show subscriber session username 12345675@cisco
 
Unique Session ID: 66
Identifier: aash
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:40, Last Changed: 00:00:00
 
Policy information:
Authentication status: authen
Active services associated with session:
name "service1", applied before account logon
Rules, actions and conditions executed:
subscriber rule-map PROXYRULE
condition always event session-start
1 proxy aaa list RP
2 service-policy type service name service1
 
Session inbound features:
Feature: Layer 4 Redirect ------>>> L4 redirect is applied to the session at session start
Rule table is empty
Traffic classes:
Traffic class session ID: 67
ACL Name: 101, Packets = 0, Bytes = 0
Unmatched Packets (dropped) = 0, Re-classified packets (redirected) = 0
 
Configuration sources associated with this session:
Service: service1, Active Time = 00:00:40
Interface: FastEthernet0/1, Active Time = 00:00:40

その他の参考資料

ここでは、ISG RADIUS プロキシに関する関連資料について説明します。

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。
・テクニカル サポートを受ける
・ソフトウェアをダウンロードする
・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける
・ツールおよびリソースへアクセスする
- Product Alert の受信登録
- Field Notice の受信登録
- Bug Toolkit を使用した既知の問題の検索
・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する
・トレーニング リソースへアクセスする
・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

ISG RADIUS プロキシの機能情報

表 14 には、この機能のリリース履歴の一覧が表示されています。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 14 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 14 ISG RADIUS プロキシの機能情報

機能名
リリース
機能情報

ISG:AAA ワイヤレス拡張機能

12.2(33)SRE

この機能は ISG RADIUS プロキシを機能拡張し、モバイル ワイヤレス環境に対する追加サポートを提供します。この機能には、RADIUS アトリビュート 31 の処理に関する変更が含まれています。

この機能に関する詳細については、次の各項を参照してください。

「ISG RADIUS プロキシに関する情報」

「RADIUS プロキシとしての ISG の設定方法」

この機能によって、次のコマンドが導入されました。 session-identifier calling-station-id format

ISG:認証:RADIUS プロキシ WiMax 拡張機能

12.2(33)SRE
12.2(33)XNE

この機能は ISG RADIUS プロキシを機能拡張し、WiMax ブロードキャスト環境に対する追加サポートを提供します。

この機能に関する詳細については、次の各項を参照してください。

「ISG RADIUS プロキシに関する情報」

「RADIUS プロキシとしての ISG の設定方法」

Cisco IOS Release 12.2(33)XNE では、Cisco 10000 シリーズ ルータのサポートが追加されました。

ISG:ポリシー制御:ISG 用 RADIUS プロキシ拡張機能

12.2(31)SB2
12.2(33)SRC
12.2(33)SRE

この機能は、ISG が、RADIUS 認証を使用するクライアント デバイスと AAA サーバ間でプロキシとして機能するようにします。この機能では、モバイル加入者に対する認証要求を特定の RADIUS サーバへ送信する必要がある PWLAN およびワイヤレス メッシュ ネットワークにおいて、ISG を展開できるようにします。

この機能に関する詳細については、次の各項を参照してください。

「ISG RADIUS プロキシに関する情報」

「RADIUS プロキシとしての ISG の設定方法」

この機能によって、次のコマンドが導入または変更されました。 aaa authorization radius-proxy aaa server radius proxy accounting method-list accounting port authentication port clear radius-proxy client clear radius-proxy session client (ISG RADIUS プロキシ)、 debug radius-proxy initiator radius-proxy key (ISG RADIUS プロキシ)、 message-authenticator ignore proxy (ISG RADIUS プロキシ)、 show radius-proxy client show radius-proxy session timer (ISG RADIUS プロキシ)

Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。