Identity-Based Networking Services コンフィギュレーション ガイド Cisco IOS XE Release 3SE(Catalyst 3650 スイッチ)
クリティカル音声 VLAN のサポート
クリティカル音声 VLAN のサポート

目次

クリティカル音声 VLAN のサポート

クリティカル音声 VLAN のサポート機能は、認証サーバが到達不能になると、電話のトラフィックをポートの設定済みの音声 VLAN に転送します。

通常のネットワーク接続では、IP フォンがポートで正常に認証されると、認証サーバは、電話トラフィックをポートの音声ドメインに転送します。 認証サーバが到達不能になると、IP フォンは電話トラフィックを認証できません。 マルチドメイン認証(MDA)モードまたはマルチ認証モードでは、電話トラフィックをポートの設定済みの音声 VLAN ポートに送信するように、クリティカル音声 VLAN サポート機能を設定できます。 電話は不明なドメインとして認可されます。 データおよび音声の両方が、電話に対してイネーブルになります。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。

プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

クリティカル音声 VLAN のサポートに関する制限

  • 音声およびデータに対して、各種の VLAN を設定する必要があります。

  • デバイスで音声 VLAN を設定する必要があります。

  • クリティカル音声 VLAN のサポート機能は、スイッチ ポートでの標準アクセス コントロール リスト(ACL)をサポートしません。

クリティカル音声 VLAN サポートに関する情報

マルチドメイン認証モードでのクリティカル音声 VLAN のサポート

クリティカル音声 VLAN がマルチドメイン認証(MDA)モードのインターフェイスを使用して展開されている場合、ホスト モードはマルチホストに変更され、最初の電話デバイスがスタティックな転送エントリとしてインストールされます。 追加の電話デバイスは、ホスト アクセス テーブル(HAT)にダイナミックな転送エントリとしてインストールされます。

ホスト モードの詳細については、『802.1X Authentication Services Configuration Guid(802.1X 認証サービスの設定ガイド)』を参照してください。

(注)  


クリティカル ポートが認可済みで、再認証が行われた場合、スイッチは現在の VLAN(事前に RADIUS サーバにより割り当てられた)でそのポートをクリティカル認証状態にします。



(注)  


アクセス不能認証バイパスは、ゲスト VLAN と互換性があります。 ゲスト VLAN が 802.1X ポートでイネーブルの場合、この機能は次のように相互作用します。すべての RADIUS サーバが使用できず、クライアントがクリティカル ポートに接続されていて、かつ以前にゲスト VLAN に割り当てられていた場合、スイッチはそのポートをゲスト VLAN に保持します。


マルチ認証モードでのクリティカル音声 VLAN のサポート

クリティカル認証機能がマルチ認証モードで展開されている場合、1 つの電話デバイスのみが許可され、2 つ目の電話が認可を試行すると、違反が発生します。

show authentication sessions コマンドは、クリティカル音声クライアント データを表示します。 マルチ認証ホスト モードでクリティカルに認可された音声クライアントは、「authz success」および「authz fail」状態になります。


(注)  


クリティカル音声が必要な場合は、クリティカル データも設定する必要があります。 これを行わない場合、音声 VLAN が開いたとき、クリティカル音声クライアントは「authz fail」状態と表示されます。


サービス テンプレートでのクリティカル音声 VLAN のサポート

エンタープライズ エッジ(eEdge)デバイスでは、認証サーバが到達不能な場合、電話のクリティカル アクセスは、クリティカル サービス テンプレートをアクティブにすることによって設定されます。 音声機能のプラグインは、認証、許可、およびアカウンティング(AAA)の音声属性を使用して Enterprise Policy Manager(EPM)に登録され、この AAA サービスが使用できない間、音声 VLAN への無条件のアクセスを可能にします。

クリティカル音声 VLAN のサポートをイネーブルにするには、電話のクリティカル認証が、制御ポリシー ルールとサービス テンプレートの組み合わせを使用して設定されている必要があります。

認証サーバが使用できないことに加えてホストが認可されていない場合、AAA 属性 device-traffic-type は自動的に入力されません。 電話は不明なドメインとして認可され、データおよび音声 VLAN の両方がこのデバイスに対してイネーブルになり、デバイスが音声トラフィックを処理できるようになります。

クリティカル音声 VLAN サポートの設定方法

サービス テンプレートでの音声 VLAN の設定

サービス テンプレートを使用してクリティカル音声 VLAN のサポートを設定するには、ポートでこの作業を実行します。

手順の概要

    1.    enable

    2.    configure terminal

    3.    service-template template-name

    4.    vlan vlan-id

    5.    exit

    6.    service-template template-name

    7.    voice vlan

    8.    exit

    9.    class-map type control subscriber {match-all | match-any | match-none} control-class-name

    10.    match result-type [method {dot1x | mab | webauth}] result-type

    11.    match authorization-status {authorized | unauthorized}

    12.    exit

    13.    class-map type control subscriber {match-all | match-any | match-none} control-class-name

    14.    match result-type [method {dot1x | mab | webauth}] result-type

    15.    match authorization-status {authorized | unauthorized}

    16.    end


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 enable


    例:
    Device> enable
    
     

    特権 EXEC モードをイネーブルにします。

    • パスワードを入力します(要求された場合)。

     
    ステップ 2 configure terminal


    例:
    Device# configure terminal
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 3 service-template template-name


    例:
    Device(config)# service-template SERVICE-TEMPLATE
     

    加入者セッションに適用する一連のサービス ポリシー属性が含まれるテンプレートを定義して、サービス テンプレート コンフィギュレーション モードを開始します。

     
    ステップ 4vlan vlan-id


    例:
    Device(config-service-template)# vlan 116
     

    加入者セッションに VLAN を割り当てます。

     
    ステップ 5exit


    例:
    Device(config-service-template)# exit
     

    サービス テンプレート コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

     
    ステップ 6 service-template template-name


    例:
    Device(config)# service-template CRITICAL-VOICE
     

    加入者セッションに適用する一連のサービス ポリシー属性が含まれるテンプレートを定義して、サービス テンプレート コンフィギュレーション モードを開始します。

     
    ステップ 7voice vlan


    例:
    Device(config-service-template)# voice vlan
     

    加入者セッションにクリティカル音声 VLAN を割り当てます。

     
    ステップ 8exit


    例:
    Device(config-service-template)# exit
     

    サービス テンプレート コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

     
    ステップ 9class-map type control subscriber {match-all | match-any | match-none} control-class-name


    例:
    Device(config)# class-map type control subscriber match-all AAA-SVR-DOWN-UNAUTHD-HOST
     

    制御ポリシーのアクションが実行され、制御クラスマップ フィルタ コンフィギュレーション モードを開始する条件を定義する制御クラスを作成します。

     
    ステップ 10match result-type [method {dot1x | mab | webauth}] result-type


    例:
    Device(config-filter-control-classmap)# match result-type aaa-timeout
     

    指定した認証結果に基づいて true を返す条件を作成します。

     
    ステップ 11match authorization-status {authorized | unauthorized}


    例:
    Device(config-filter-control-classmap)# match authorization-status unauthorized
     

    セッションの認可状態に基づいて true を返す条件を作成します。

     
    ステップ 12exit


    例:
    Device(config-filter-control-classmap)# exit
     

    制御クラスマップ フィルタ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

     
    ステップ 13class-map type control subscriber {match-all | match-any | match-none} control-class-name


    例:
    Device(config)# class-map type control subscriber match-all AAA-SVR-DOWN-AUTHD-HOST
     

    制御ポリシーのアクションが実行され、制御クラスマップ フィルタ コンフィギュレーション モードを開始する条件を定義する制御クラスを作成します。

     
    ステップ 14match result-type [method {dot1x | mab | webauth}] result-type


    例:
    Device(config-filter-control-classmap)# match result-type aaa-timeout
     

    指定した認証結果に基づいて true を返す条件を作成します。

     
    ステップ 15match authorization-status {authorized | unauthorized}


    例:
    Device(config-filter-control-classmap)# match authorization-status authorized
     

    セッションの認可状態に基づいて true を返す条件を作成します。

     
    ステップ 16end


    例:
    Device(config-filter-control-classmap)# end
     

    制御クラスマップ フィルタ コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

     

    クリティカル音声 VLAN のアクティブ化

    サービス テンプレートで設定されているクリティカル音声 VLAN をアクティブ化するには、次の作業を実行します。

    手順の概要

      1.    enable

      2.    configure terminal

      3.    policy-map type control subscriber control-policy-name

      4.    event authentication-failure [match-all | match-first]

      5.    priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]

      6.    action-number activate {policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]]}

      7.    action-number activate {policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]]}

      8.    action-number authorize

      9.    action-number pause reauthentication

      10.    exit

      11.    priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]

      12.    action-number pause reauthentication

      13.    end


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 enable


      例:
      Device> enable
      
       

      特権 EXEC モードをイネーブルにします。

      • パスワードを入力します(要求された場合)。

       
      ステップ 2 configure terminal


      例:
      Device# configure terminal
      
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 3policy-map type control subscriber control-policy-name


      例:
      Device(config)# policy-map type control subscriber cisco-subscriber
       

      加入者セッションに対して制御ポリシーを定義し、制御ポリシーマップ イベントのコンフィギュレーション モードを開始します。

       
      ステップ 4event authentication-failure [match-all | match-first]


      例:
      Device(config-event-control-policymap)# event authentication-failure match-first
       

      すべての認証イベントが match であり、制御ポリシーマップ クラスのコンフィギュレーション モードが開始された場合に、制御ポリシーのアクションをトリガーするイベントのタイプを指定します。

       
      ステップ 5priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]


      例:
      Device(config-class-control-policymap)# 10 class AAA-SVR-DOWN-UNAUTHD-HOST do-until-failure
       

      アクションの 1 つが失敗し、制御ポリシーマップ アクションのコンフィギュレーション モードが開始されるまで、制御クラスが制御ポリシー内のアクションを指定された順序で実行するように指定します。

       
      ステップ 6 action-number activate {policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]]}


      例:
      Device(config-action-control-policymap)# 10 activate service-template foo-DATA
       

      加入者セッションの VLAN に関連付けられている制御ポリシーをアクティブ化します。

       
      ステップ 7 action-number activate {policy type control subscriber control-policy-name | service-template template-name [aaa-list list-name] [precedence [replace-all]]}


      例:
      Device(config-action-control-policymap)# 10 activate service-template CRITICAL-VOICE
       

      加入者セッションの音声 VLAN に関連付けられている制御ポリシーをアクティブ化します。

       
      ステップ 8action-number authorize


      例:
      Device(config-action-control-policymap)# 30 authorize
       

      加入者セッションの認可を開始します。

       
      ステップ 9 action-number pause reauthentication


      例:
      Device(config-action-control-policymap)# 40 pause reauthentication
       

      認証の失敗後に再認証プロセスを停止します。

       
      ステップ 10exit


      例:
      Device(config-action-control-policymap)# exit
       

      制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、制御ポリシーマップ クラスのコンフィギュレーション モードを開始します。

       
      ステップ 11priority-number class {control-class-name | always} [do-all | do-until-failure | do-until-success]


      例:
      Device(config-class-control-policymap)# 20 class AAA-SVR-DOWN-AUTHD-HOST
       

      アクションの 1 つが失敗し、制御ポリシーマップ アクションのコンフィギュレーション モードが開始されるまで、制御クラスが制御ポリシー内のアクションを指定された順序で実行するように指定します。

       
      ステップ 12 action-number pause reauthentication


      例:
      Device(config-action-control-policymap)# 10 pause reauthentication
       

      認証の失敗後に再認証プロセスを停止します。

       
      ステップ 13end


      例:
      Device(config-action-control-policymap)# exit
       

      制御ポリシーマップ アクションのコンフィギュレーション モードを終了し、特権 EXEC モードを開始します。

       

      クリティカル音声 VLAN サポートの設定例

      例:サービス テンプレートでの音声 VLAN の設定

      Device> enable
      Device# configure terminal
      Device(config)# service-template SERVICE-TEMPLATE
      Device(config-service-template)# vlan 116
      Device(config-service-template)# exit
      Device(config)# service-template CRITICAL-VOICE
      Device(config-service-template)# voice vlan
      Device(config-service-template)# exit
      Device(config)# class-map type control subscriber match-all AAA-SVR-DOWN-UNAUTHD-HOST
      Device(config-filter-control-classmap)# match result-type aaa-timeout
      Device(config-filter-control-classmap)# match authorization-status unauthorized
      Device(config-filter-control-classmap)# exit
      Device(config)# class-map type control subscriber match-all AAA-SVR-DOWN-AUTHD-HOST
      Device(config-filter-control-classmap)# match result-type aaa-timeout
      Device(config-filter-control-classmap)# match authorization-status authorized
      Device(config-filter-control-classmap)# end
      

      例:サービス テンプレートでのクリティカル音声 VLAN のアクティブ化

      Device> enable
      Device# configure terminal
      Device(config)# policy-map type control subscriber cisco-subscriber
      Device(config-event-control-policymap)# event authentication-failure match-first
      Device(config-class-control-policymap)# 10 class AAA-SVR-DOWN-UNAUTHD-HOST do-until-failure
      Device(config-action-control-policymap)# 10 activate service-template SERVICE-TEMPLATE
      Device(config-action-control-policymap)# 10 activate service-template CRITICAL-VOICE
      Device(config-action-control-policymap)# 30 authorize
      Device(config-action-control-policymap)# 40 pause reauthentication
      Device(config-action-control-policymap)# exit
      Device(config-class-control-policymap)# 20 class AAA-SVR-DOWN-AUTHD-HOST
      Device(config-action-control-policymap)# 10 pause reauthentication
      Device(config-action-control-policymap)# end
      

      クリティカル音声 VLAN のサポートに関するその他の関連資料

      関連資料

      関連項目

      マニュアル タイトル

      Cisco IOS コマンド

      『Cisco IOS Master Command List, All Releases』

      Cisco Identity-Based Networking Services コマンド

      『Cisco IOS Identity-Based Networking Services Command Reference』

      標準および RFC

      標準/RFC

      Title

      IEEE 802.1X

      『Port Based Network Access Control』

      テクニカル サポート

      説明

      Link

      ★枠で囲まれた Technical Assistance の場合★右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

      http:/​/​www.cisco.com/​cisco/​web/​support/​index.html

      クリティカル音声 VLAN サポートの機能情報

      次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。

      プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/​go/​cfn に移動します。 Cisco.com のアカウントは必要ありません。

      表 1 クリティカル音声 VLAN サポートの機能情報

      機能名

      リリース

      機能情報

      クリティカル音声 VLAN のサポート

      15.2(1)E

      Cisco IOS XE Release 3.3SE

      この機能は、認証サーバが到達不能になった場合に電話トラフィックをポートの設定済み音声 VLAN に送信する、クリティカル音声 VLAN のサポートをイネーブルにします。

      追加または変更されたコマンド:voice vlan