事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能を使用すると、管理者は、事前認証プロファイルに対して RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)の preauth:ppp-multilink=1 を使用して、異なるユーザの Multilink PPP(MLP; マルチリンク PPP)ネゴシエーションを選択的にイネーブルまたはディセーブルにすることができます。
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の前提条件
RADIUS の VSA preauth:ppp-multilink=1 を使用して MLP をイネーブルにする前に、次のタスクを実行する必要があります。
• Network Access Server(NAS; ネットワーク アクセス サーバ)をイネーブルにし、 radius-server vsa send コマンドを使用して、RADIUS IETF アトリビュート 26 に定義されたように VSA を認識して使用します。
VSA の使用の詳細については、「 Configuring RADIUS 」フィーチャ モジュールの「Configuring Router to Use Vendor-Specific RADIUS Attributes」を参照してください。
• 事前認証をイネーブルにします。
事前認証の詳細と設定については、「 Configuring RADIUS 」フィーチャ モジュールの「Configuring AAA Preauthentication」を参照してください。
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能の概要
事前認証ユーザに対して RADIUS を使用してマルチリンク PPP 機能をイネーブルにするには、インターフェイスで ppp multilink コマンドを実行します。ただし、このコマンドは、そのインターフェイスのすべての接続とユーザの MLP ネゴシエーションをイネーブルにします。つまり、インターフェイスの特定の接続やユーザの MLP ネゴシエーションを選択的にイネーブルまたはディセーブルにすることはできません。
(注) この機能を有効にする場合、インターフェイスに ppp multilink コマンドを設定しないでください。このコマンドはデフォルトで MLP をディセーブルにします。すでにそのインターフェイスに ppp multilink コマンドが設定されている場合、このコマンドはアトリビュート「preauth:ppp-multilink=1」によって上書きされません。
RADIUS を使用した MLP の機能
MLP のパラメータは Link Control Protocol(LCP; リンク コントロール プロトコル)ネゴシエーションのときにネゴシエートされるため、RADIUS の VSA preauth:ppp-multilink=1 は事前認証ユーザの認可のみに含める必要があります。MLP をイネーブルにするには、この VSA をユーザの事前認証プロファイルに追加する必要があります。そうすることで、MLP は、プロファイルにこの VSA を含む事前認証ユーザに対してのみイネーブルになり、他のすべてのユーザにはディセーブルになります。事前認証ユーザの認可とは対照的に、PPP のユーザの認可時に MLP の VSA を受信した場合、MLP とネゴシエートするには遅すぎるため、MLP はイネーブルになりません。
事前認証ユーザの認可時にこの VSA を受信すると、そのユーザの MLP ネゴシエーションがイネーブルになります。MLP は VSA の値が 1 のときにイネーブルになります。1 以外のすべてのアトリビュート値は無視されます。
L2TP アクセス サーバと L2TP ネットワーク サーバのロール
この機能を使用すると、事前認証ユーザの認可時に、L2TP Access Server(LAC; L2TP アクセス サーバ)のインターフェイスにある MLP を設定する必要はありません。LAC は、preauth:ppp-multilink=1 を受信した事前認証ユーザの MLP を選択的にイネーブルにします。L2TP Network Server(LNS; L2TP ネットワーク サーバ)では、PPP ユーザの認可時に RADIUS の VSA multilink:max-links=n を送信することによって、マルチリンク バンドルで使用可能な最大リンク数を制御できます。
新しいベンダー固有アトリビュート
この機能では、次の新しい VSA を導入しています。
• Cisco-AVpair = preauth:ppp-multilink=1
インターフェイスで MLP をオンにして、事前認証プロファイルに適用します。
• Cisco-AVpair = multilink:max-links=n
ユーザがマルチリンク バンドルで使用できる最大リンク数を制限します。service=ppp アトリビュートと一緒に使用します。「n」の範囲は 1 ~ 255 です。
• Cisco-AVpair = multilink:min-links=1
MLP に対するリンクの最小数を設定します。「n」の範囲は 0 ~ 255 です。
• Cisco-AVpair = multilink:load-threshold=n
マルチリンク バンドルに対して他のリンクを追加または削除する発信元の負荷のしきい値を設定します。負荷が指定された値を超えた場合はリンクが追加され、負荷が指定された値を下回った場合はリンクが削除されます。このアトリビュートは service=ppp アトリビュートと一緒に使用します。「n」の範囲は 1 ~ 255 です。
(注) RADIUS の VSA multilink:max-links、multilink:min-links、および multilink:load-threshold は、TACACS+ のユーザ単位アトリビュート max-links、min-links、および load-threshold とそれぞれ同じ目的で機能します。
事前認証での RADIUS を使用した MLP ネゴシエーションの確認
MLP バンドルのバンドル情報を表示するには、 show ppp multilink EXEC コマンドを使用します。
Router# show ppp multilink
Virtual-Access1, bundle name is mlpuser
Dialer interface is Serial0:23
0 lost fragments, 0 reordered, 0 unassigned
0 discarded, 0 lost received, 1/255 load
0x0 received sequence, 0x0 sent sequence
Member links: 1 (max 7, min 1)
Serial0:22, since 00:00:15, no frags rcvd
表 1 に、MLP がイネーブルである場合に表示される重要なフィールドについて説明します。
表 1 show ppp multilink のフィールドの説明
|
|
Virtual-Access1 |
マルチリンク バンドルの仮想インターフェイス。 |
Bundle |
マルチリンク バンドルに設定された名前。 |
Dialer Interface is Serial0:23 |
コールをダイヤルするインターフェイス名。 |
1/255 load |
リンクの負荷。範囲は 1/255 ~ 255/255(255/255 は 100% の負荷を表す)。 |
Member links: 1 |
子インターフェイスの数。 |
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の設定例
ここでは、Cisco VSA ppp-multilink を使用したダイヤルイン VPDN の設定について説明します。
• 「MLP の LAC の設定:例」
• 「事前認証用の LAC RADIUS プロファイル:例」
• 「MLP の LNS の設定:例」
• 「LNS RADIUS プロファイル:例」
MLP の LAC の設定:例
次に、RADIUS を使用して MLP 用の LAC の設定に使用できる設定の例を示します。
! Enable preauthentication
! Don't need to configure multilink on the interface
! Multilink will be enabled by “ppp-multilink” attribute
ip address 15.0.1.7 255.0.0.0
isdn switch-type primary-5ess
isdn calling-number 56118
peer default ip address pool pool1
事前認証用の LAC RADIUS プロファイル:例
次に、preauth:ppp-multilink=1 という VSA を適用した事前認証ユーザの LAC RADIUS プロファイルの例を示します。
Cisco-Avpair = "preauth:auth-required=1",
Cisco-Avpair = "preauth:auth-type=chap",
Cisco-Avpair = "preauth:username=dnis:56118",
Cisco-Avpair = "preauth:ppp-multilink=1"
MLP の LNS の設定:例
次に、MLP バンドルのリンク数を制限するための LNS の設定に使用できる設定例を示します。
terminate-from hostname lac-router
! Configure multilink on interface
interface Virtual-Template 1
ip unnumbered Ethernet 0/0
LNS RADIUS プロファイル:例
次に、マルチリンク バンドルの最大リンク数を指定する場合の LNS RADIUS プロファイルの例を示します。次のマルチリンク VSA は PPP ユーザの認可時に指定する必要があります。
mascot password = "cisco"
Cisco-Avpair = "multilink:max-links=7"
Cisco-Avpair = "multilink:min-links=1"
Cisco-Avpair = "multilink:load-threshold=128"
その他の参考資料
ここでは、事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能の関連資料について説明します。
RFC
|
|
サポートされる新しい RFC や変更された RFC はありません。 |
-- |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の機能情報
表 2 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 2 事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化の機能情報
|
|
|
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化 |
12.2(11)T |
事前認証ユーザに対する RADIUS を使用したマルチリンク PPP のイネーブル化機能を使用すると、管理者は、事前認証プロファイルに対して RADIUS Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)の preauth:ppp-multilink=1 を使用して、異なるユーザの Multilink PPP(MLP; マルチリンク PPP)ネゴシエーションを選択的にイネーブルまたはディセーブルにすることができます。 この機能は、Cisco IOS Release 12.2(11)T で導入されました。 |
用語集
AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。Cisco ルータまたはアクセス サーバにアクセス コントロールを設定できる主要なフレームワークを提供する一連のネットワーク セキュリティ サービスです。
L2F:Layer 2 Forwarding(レイヤ 2 フォワーディング)。インターネットでのセキュアなバーチャル プライベート ダイヤルアップ ネットワークの作成をサポートするプロトコルです。
L2TP:Layer 2 Tunnel Protocol(レイヤ 2 トンネル プロトコル)。レイヤ 2 トンネル プロトコルを使用すると、ISP などのアクセス サービスが仮想トンネルを作成し、顧客のリモート サイトやリモート ユーザを企業のホーム ネットワークにリンクさせることができます。具体的には、ISP Point of Presence(POP; アクセス ポイント)にある Network Access Server(NAS; ネットワーク アクセス サーバ)がリモート ユーザと PPP メッセージを交換し、L2F または L2TP の要求や応答を使用して顧客のトンネル サーバと通信し、トンネルのセットアップを行います。
LAC:L2TP Access Concentrator(L2TP アクセス コンセントレータ)。クライアントが直接接続し、PPP フレームが L2TP Network Server(LNS; L2TP ネットワーク サーバ)にトンネリングされる Network Access Server(NAS; ネットワーク アクセス サーバ)です。LAC は、L2TP が 1 つまたは複数の LNS にトラフィックを渡すために操作するメディアのみを実装します。LAC は PPP 内で伝送されるすべてのプロトコルをトンネルすることができます。また、LAC は着信コールを開始して、発信コールを受け取ります。LAC は L2F ネットワーク アクセス サーバに似ています。
LNS:L2TP Network Server(L2TP ネットワーク サーバ)。L2TP トンネルの終端ポイントです。また、PPP フレームを処理して上の階層のプロトコルに渡す場合のアクセス ポイントでもあります。LNS は PPP を終端させる任意のプラットフォーム上で動作できます。LNS はサーバ側の L2TP プロトコルを処理します。L2TP は、L2TP のトンネルが到達する 1 つのメディアにのみ依存します。LNS は発信コールを開始して、着信コールを受け取ります。LNS は L2F テクノロジーのホーム ゲートウェイに似ています。
MLP :Multilink PPP(マルチリンク PPP)。MLP を使用すると、パケットをフラグメント化し、そのフラグメントを同じリモート アドレスへの複数のポイントツーポイント リンクに同時に送信できます。定義されたダイヤラの負荷のしきい値に応じて、複数のリンクが作成されます。指定されたサイト間のトラフィックの必要に応じて、着信トラフィック、発信トラフィック、またはその両方の負荷が計算されます。MLP はオンデマンド帯域幅を提供し、WAN リンク間の伝送の遅延を削減します。
MLP は、ダイヤルオンデマンド ロータリー グループと PPP のカプセル化の両方をサポートするように設定された 1 つまたは複数のインターフェイスの同期シリアルまたは非同期シリアル、および BRI または PRI タイプに対して機能するように設計されています。
RADIUS:Remote Authentication Dial-In User Service。RADIUS は、不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
VSA:Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。VSA は、1 つの IETF アトリビュート(ベンダー固有、アトリビュート 26)から派生しています。アトリビュート 26 を使用すれば、ベンダーは、追加の 255 個のアトリビュートを作成して実装できます。つまり、ベンダーは IETF のアトリビュートのデータとは一致しないアトリビュートを作成し、それをアトリビュート 26 の裏側でカプセル化することができます。基本的には、Vendor-Specific = "protocol:attribute=value" の形式を使用します。
アトリビュート:RADIUS Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートは、255 の標準アトリビュートで構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。IETF アトリビュートは標準であるため、アトリビュート データは事前定義されてその内容も認識されています。このため、IETF アトリビュートを介して AAA 情報を交換するすべてのクライアントとサーバは、アトリビュートの厳密な意味や各アトリビュート値の一般的な限界など、アトリビュート データに一致させる必要があります。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2002-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2002-2011, シスコシステムズ合同会社.
All rights reserved.