AAA Dead-Server Detection
AAA Dead-Server Detection 機能を使用すると、RADIUS サーバをデッド状態と指定するための条件を設定できます。条件が明示的に設定されていない場合は、条件は未処理のトランザクションの数に基づいて動的に計算されます。この機能を使用すると、デッドタイムが短くなり、パケット処理が高速になります。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「AAA Dead-Server Detection の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
AAA Dead-Server Detection の前提条件
• RADIUS サーバにアクセスできる必要があります。
• RADIUS サーバの設定方法を十分理解していることが必要です。
• Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)の設定方法を十分理解していることが必要です。
• あるサーバをデッド状態と指定するためには、まず radius-server deadtime コマンドを設定する必要があります。このコマンドを設定していない場合は、サーバをデッド状態と指定するための条件に適合していても、サーバは「アップ」状態になります。
AAA Dead-Server Detection の制約事項
• サーバがデッド状態と指定されるまでにルータで発生する必要がある連続タイムアウト回数には、最初の転送は含まれません。つまり、再転送の回数のみがカウントされます。
AAA Dead-Server Detection について
AAA Dead-Server Detection 機能を設定するために、次の概念を理解しておく必要があります。
• 「RADIUS サーバをデッド状態と指定するための条件」
RADIUS サーバをデッド状態と指定するための条件
AAA Dead-Server Detection 機能を使用すると、RADIUS サーバをデッド状態と指定するための条件を決定できます。つまり、ルータが RADIUS サーバから有効なパケットを最後に受け取ってから RADIUS サーバがデッド状態と指定されるまでに経過する必要がある最低時間を秒単位で設定することができます。ルータの起動後にパケットを受信せずにタイムアウトになった場合は、この時間の条件は満たされたものとして処理されます。
さらに、RADIUS サーバがデッド状態と指定されるまでにルータで発生する必要がある連続タイムアウト回数を設定することもできます。サーバが認証とアカウンティングの両方を実行する場合、両方の種類のパケットがこの回数に含まれます。正しく作成されていないパケットは、タイムアウトになっているものとしてカウントされます。カウントされるのは再転送だけで、最初の転送はカウントされません(タイムアウトになるたびに再転送が 1 回行われることになります)。
(注) 時間の条件と試行回数の条件の両方を満たしていないと、サーバはデッド状態と指定されません。
RADIUS Dead-Server Detection を設定すると、応答を停止している RADIUS サーバが即時検出されます。また、サーバが「動きが鈍い」(応答が遅い)状態になっているときに誤ってデッド状態と指定されなくなるほか、デッド状態からライブ状態になってすぐにまたデッド状態になる現象を回避できます。この未応答 RADIUS サーバの即時検出、動きが鈍いサーバの誤検出の回避、デッド状態とライブ状態を繰り返す現象の回避が有効になると、デッドタイムが短くなり、パケット処理が高速になります。
AAA Dead-Server Detection の設定方法
ここでは、次の各手順について説明します。
• 「AAA Dead-Server Detection の設定」(必須)
• 「AAA Dead-Server Detection の確認」(任意)
AAA Dead-Server Detection の設定
AAA Dead-Server Detection を設定する手順は、次のとおりです。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. radius-server deadtime minutes
5. radius-server dead-criteria [ time seconds ] [ tries number-of-tries ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa new-model
Router (config)# aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
ステップ 4 |
radius-server deadtime minutes
Router (config)# radius-server deadtime 5 |
いくつかのサーバが使用不能になったときの RADIUS サーバの応答時間を短くし、使用不能になったサーバがすぐにスキップされるようにします。 |
ステップ 5 |
radius-server dead-criteria [ time seconds ] [ tries number-of-tries ]
Router (config)# radius-server dead-criteria time 5 tries 4 |
RADIUS サーバをデッド状態と指定するための条件のいずれかまたは両方を、指定した定数で適用します。 |
トラブルシューティングのヒント
AAA Dead-Server Detection を設定したら、 show running-config コマンドを使用して、その設定を確認してください。この確認が特に重要になるのは、 no 形式の radius-server dead-criteria コマンドを使用している場合です。 show running-config コマンドの出力は、 radius-server dead-criteria コマンドを使用して設定した「Dead Criteria Details」フィールドと同じ値を示している必要があります。
AAA Dead-Server Detection の確認
AAA Dead-Server Detection の設定を確認する手順は、次のとおりです。 show コマンドと debug コマンドは、どの順序で使用してもかまいません。
手順の概要
1. enable
2. debug aaa dead-criteria transactions
3. show aaa dead-criteria
4. show aaa servers
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug aaa dead-criteria transactions
Router# debug aaa dead-criteria transactions |
デッド条件の AAA トランザクションの値を表示します。 |
ステップ 3 |
show aaa dead-criteria
Router# show aaa dead-criteria |
AAA サーバのデッド条件に関する情報を表示します。 |
ステップ 4 |
show aaa servers [ private | public ]
Router# show aaa server private |
パブリックおよびプライベートのすべての Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)RADIUS サーバとの間で送受信されたパケットのステータスと数を表示します。 • private キーワードを付けると、プライベート AAA サーバのみについて表示されます。 • public キーワードを付けると、パブリック AAA サーバのみについて表示されます。 |
AAA Dead-Server Detection の設定例
ここでは、次の設定例について説明します。
• 「AAA Dead-Server Detection の設定の例」
• 「aaa dead-criteria transactions コマンドのデバッグの例」
• 「show aaa dead-criteria コマンドの例」
AAA Dead-Server Detection の設定の例
次の例では、5 秒後および 4 回の試行後にルータがデッド状態と見なされます。
Router (config)# aaa new-model
Router (config)# radius-server deadtime 5
Router (config)# radius-server dead-criteria time 5 tries 4
aaa dead-criteria transactions コマンドのデバッグの例
次の出力例は、特定のサーバ グループのデッド条件のトランザクションに関する情報を示しています。
Router# debug aaa dead-criteria transactions
AAA Transaction debugs debugging is on
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Retransmit Tries: 22, Current Max Tries: 22
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Dead Detect Interval: 25s, Current Max Interval: 25s
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Estimated Outstanding Transactions: 6, Current Max Transactions: 6
show aaa dead-criteria コマンドの例
次の出力例は、IP アドレス 172.19.192.80 の RADIUS サーバに対してデッド サーバ検出に関する情報が要求されたことを示しています。
Router# show aaa dead-criteria radius 172.19.192.80 radius
RADIUS Server Dead Criteria:
=============================
Configured Retransmits : 62
Estimated Outstanding Transactions: 5
Computed Retransmit Tries: 22
Statistics Gathered Since Last Successful Transaction
=====================================================
Max Computed Outstanding Transactions: 5
Max Computed Dead Detect Time: 25s
Max Computed Retransmits : 22
その他の参考資料
ここでは、AAA Dead-Server Detection 機能の関連資料について説明します。
規格
|
|
この機能がサポートする新しい規格または変更された規格はありません。また、この機能による既存規格のサポートに変更はありません。 |
-- |
MIB
|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs |
RFC
|
|
RFC 2865 |
「 Remote Authentication Dial In User Service (RADIUS) 」 |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
AAA Dead-Server Detection の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator により、どの Cisco IOS、Catalyst OS、および Cisco IOS XE ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 AAA Dead-Server Detection の機能情報
|
|
|
AAA Dead-Server Detection |
12.3(6) 12.3(7)T Cisco IOS XE Release 2.1 Cisco IOS XE 3.1.0SG |
RADIUS サーバをデッド状態と指定するための条件を設定できます。 次のコマンドが導入または変更されました。 debug aaa dead-criteria transactions 、 radius-server dead-criteria 、 show aaa dead-criteria 、 show aaa servers |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2004-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2004-2011, シスコシステムズ合同会社.
All rights reserved.