RADIUS デバッグ拡張
このマニュアルでは、Remote Authentication Dial-In User Services(RADIUS; リモート認証ダイヤルイン ユーザ サービス)デバッグ拡張機能について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS デバッグ拡張の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
RADIUS デバッグ拡張の制約事項
音声アプリケーションで使用されている Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュートと Cisco Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)のみがサポートされます。未サポートのアトリビュートは、「undebuggable」と表示されます。
RADIUS デバッグ拡張に関する情報
RADIUS デバッグ パラメータを有効にするには、次の概念を理解しておく必要があります。
• RADIUS の概要(P. 2)
• RADIUS デバッグ拡張のメリット(P. 3)
RADIUS の概要
RADIUS は、次の機能を提供する分散型クライアント/サーバ システムです。
• 不正アクセスからネットワークを保護します。
• 特定のサービス限界の認可を有効にします。
• サービスが課金できるようにアカウンティング情報を提供します。
シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
RADIUS デバッグ拡張のメリット
debug radius コマンドは、RADIUS の関連情報を表示します。RADIUS デバッグ拡張機能以前は、debug radius 出力が、解釈と分析が困難な拡張された 16 進文字列形式でしか使用できませんでした。さらに、アトリビュート値の表示が、特に、VSA の場合に途中で切れてしまいました。
この機能は、次のような高度な RADIUS 表示を提供します。
• 以前より読みやすく、使いやすい ASCII 形式でのパケット ダンプ
• 途中で切れないアトリビュート値の表示
• 簡易 RADIUS デバッグ出力表示も選択できる
• 通信量の多い運用環境に適した小型のデバッギング出力オプションを許可する
RADIUS デバッグ パラメータの有効化方法
ここでは、次の各手順について説明します。
• 「RADIUS デバッグ パラメータの有効化」(任意)
• 「RADIUS デバッグ パラメータの確認」 (任意)
RADIUS デバッグ パラメータの有効化
このタスクを実行して、RADIUS デバッグ パラメータを有効にします。デフォルトで、イベント ロギングが有効になっています。
(注) Cisco IOS Release 12.2(11)T 以前の debug radius コマンドは、ASCII ではなく、16 進表記の途中までのデバッギング出力を可能にしていました。
手順の概要
1. enable
2. debug radius [ accounting | authentication | brief | elog | failover | retransmit | verbose ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
debug radius [ accounting | authentication | brief | elog | failover | retransmit | verbose ]
Router# debug radius accounting |
RADIUS 設定に関連付けられた特定のパラメータに対してデバッギングを有効にします。 |
RADIUS デバッグ パラメータの確認
このタスクを実行して、RADIUS デバッグ パラメータを確認します。
手順の概要
1. enable
2. show debug
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show debug
Router# show debug |
デバッグ情報を表示します。 |
RADIUS デバッグ拡張の設定例
ここでは、次の設定例について説明します。
• 「RADIUS デバッグ パラメータの有効化:例」
• 「RADIUS デバッグ パラメータの確認:例」
RADIUS デバッグ パラメータの有効化:例
次の例は、RADIUS アカウンティング収集のデバッギングを可能にする方法を示しています。
Router# debug radius accounting
Radius protocol debugging is on
Radius protocol brief debugging is off
Radius protocol verbose debugging is off
Radius packet hex dump debugging is off
Radius packet protocol (authentication) debugging is off
Radius packet protocol (accounting) debugging is on
Radius packet retransmission debugging is off
Radius server fail-over debugging is off
Radius elog debugging is off
(注) 上のサンプル出力は、RADIUS プロトコル メッセージ内で見つかった情報を示しています。RADIUS プロトコル メッセージの詳細については、IETF RFC 2138 を参照してください。
RADIUS デバッグ パラメータの確認:例
次の例は、RADIUS デバッグ パラメータの確認方法を示しています。
00:02:50: RADIUS: ustruct sharecount=3
00:02:50: Radius: radius_port_info() success=0 radius_nas_port=1
00:02:50: RADIUS: Initial Transmit ISDN 0:D:23 id 0 10.0.0.0:1824, Accounting-Request, len 358
00:02:50: RADIUS: NAS-IP-Address [4] 6 10.0.0.1
00:02:50: RADIUS: Vendor, Cisco [26] 19 VT=02 TL=13 ISDN 0:D:23
00:02:50: RADIUS: NAS-Port-Type [61] 6 Async
00:02:50: RADIUS: User-Name [1] 12 "4085274206"
00:02:50: RADIUS: Called-Station-Id [30] 7 "52981"
00:02:50: RADIUS: Calling-Station-Id [31] 12 "4085554206"
00:02:50: RADIUS: Acct-Status-Type [40] 6 Start
00:02:50: RADIUS: Service-Type [6] 6 Login
00:02:50: RADIUS: Vendor, Cisco [26] 27 VT=33 TL=21 h323-gw-id=5300_43.
00:02:50: RADIUS: Vendor, Cisco [26] 55 VT=01 TL=49 h323-incoming-conf-id=8F3A3163 B4980003 0 29BD0
00:02:50: RADIUS: Vendor, Cisco [26] 31 VT=26 TL=25 h323-call-origin=answer
00:02:50: RADIUS: Vendor, Cisco [26] 32 VT=27 TL=26 h323-call-type=Telephony
00:02:50: RADIUS: Vendor, Cisco [26] 57 VT=25 TL=51 h323-setup-time=*16:02:48.681 PST Fri Dec 31 1999
00:02:50: RADIUS: Vendor, Cisco [26] 46 VT=24 TL=40 h323-conf-id=8F3A3163 B4980003 029BD0
00:02:50: RADIUS: Acct-Session-Id [44] 10 "00000002"
00:02:50: RADIUS: Delay-Time [41] 6 0
00:02:51: RADIUS: Received from id 0 10.0.0.0:1824, Accounting-response, len 20
00:02:51: %ISDN-6-CONNECT: Interface Serial0:22 is now connected to 4085554206
00:03:01: RADIUS: ustruct sharecount=3
00:03:01: Radius: radius_port_info() success=0 radius_nas_port=1
00:03:01: RADIUS: Initial Transmit ISDN 0:D:23 id 1 1.7.157.1:1823, Access-Request, len 171
00:03:01: RADIUS: NAS-IP-Address [4] 6 10.0.0.1
00:03:01: RADIUS: Vendor, Cisco [26] 19 VT=02 TL=13 ISDN 0:D:23
00:03:01: RADIUS: NAS-Port-Type [61] 6 Async
00:03:01: RADIUS: User-Name [1] 8 "123456"
00:03:01: RADIUS: Vendor, Cisco [26] 46 VT=24 TL=40 h323-conf-id=8F3A3163 B4980003 0 29BD0
00:03:01: RADIUS: Calling-Station-Id [31] 12 "4085274206"
00:03:01: RADIUS: User-Password [2] 18 *
00:03:01: RADIUS: Vendor, Cisco [26] 36 VT=01 TL=30 h323-ivr-out=transactionID:0
00:03:01: RADIUS: Received from id 1 1.7.157.1:1823, Access-Accept, len 115
00:03:01: RADIUS: Service-Type [6] 6 Login
00:03:01: RADIUS: Vendor, Cisco [26] 29 VT=101 TL=23 h323-credit-amount=45
00:03:01: RADIUS: Vendor, Cisco [26] 27 VT=102 TL=21 h323-credit-time=33
00:03:01: RADIUS: Vendor, Cisco [26] 26 VT=103 TL=20 h323-return-code=0
00:03:01: RADIUS: Class [25] 7 6C6F63616C
00:03:01: RADIUS: saved authorization data for user 62321E14 at 6233D258
00:03:13: %ISDN-6-DISCONNECT: Interface Serial0:22 disconnected from 4085274206, call lasted 22 seconds
00:03:13: RADIUS: ustruct sharecount=2
00:03:13: Radius: radius_port_info() success=0 radius_nas_port=1
00:03:13: RADIUS: Sent class "local" at 6233D2C4 from user 62321E14
00:03:13: RADIUS: Initial Transmit ISDN 0:D:23 id 2 10.0.0.0:1824, Accounting-Request, len 775
00:03:13: RADIUS: NAS-IP-Address [4] 6 10.0.0.1
00:03:13: RADIUS: Vendor, Cisco [26] 19 VT=02 TL=13 ISDN 0:D:23
00:03:13: RADIUS: NAS-Port-Type [61] 6 Async
00:03:13: RADIUS: User-Name [1] 8 "123456"
00:03:13: RADIUS: Called-Station-Id [30] 7 "52981"
00:03:13: RADIUS: Calling-Station-Id [31] 12 "4085554206"
00:03:13: RADIUS: Acct-Status-Type [40] 6 Stop
00:03:13: RADIUS: Class [25] 7 6C6F63616C
00:03:13: RADIUS: Undebuggable [45] 6 00000001
00:03:13: RADIUS: Service-Type [6] 6 Login
00:03:13: RADIUS: Vendor, Cisco [26] 27 VT=33 TL=21 h323-gw-id=5300_43.
00:03:13: RADIUS: Vendor, Cisco [26] 55 VT=01 TL=49 h323-incoming-conf-id=8F3A3163 B4980003 0 29BD0
00:03:13: RADIUS: Vendor, Cisco [26] 31 VT=26 TL=25 h323-call-origin=answer
00:03:13: RADIUS: Vendor, Cisco [26] 32 VT=27 TL=26 h323-call-type=Telephony
00:03:13: RADIUS: Vendor, Cisco [26] 57 VT=25 TL=51 h323-setup-time=*16:02:48.681 PST Fri Dec 31 1999
00:03:13: RADIUS: Vendor, Cisco [26] 59 VT=28 TL=53 h323-connect-time=*16:02:48.946
00:03:13: RADIUS: Vendor, Cisco [26] 62 VT=29 TL=56 h323-disconnect-time=*16:03:11.306
00:03:13: RADIUS: Vendor, Cisco [26] 32 VT=30 TL=26 h323-disconnect-cause=10
00:03:13: RADIUS: Vendor, Cisco [26] 28 VT=31 TL=22 h323-voice-quality=0
00:03:13: RADIUS: Vendor, Cisco [26] 46 VT=24 TL=40 h323-conf-id=8F3A3163 B4980003 0 29BD0
00:03:13: RADIUS: Acct-Session-Id [44] 10 "00000002"
00:03:13: RADIUS: Acct-Input-Octets [42] 6 0
00:03:13: RADIUS: Acct-Output-Octets [43] 6 88000
00:03:13: RADIUS: Acct-Input-Packets [47] 6 0
00:03:13: RADIUS: Acct-Output-Packets [48] 6 550
00:03:13: RADIUS: Acct-Session-Time [46] 6 22
00:03:13: RADIUS: Vendor, Cisco [26] 30 VT=01 TL=24 subscriber=RegularLine
00:03:13: RADIUS: Vendor, Cisco [26] 35 VT=01 TL=29 h323-ivr-out=Tariff:Unknown
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 pre-bytes-in=0
00:03:13: RADIUS: Vendor, Cisco [26] 23 VT=01 TL=17 pre-bytes-out=0
00:03:13: RADIUS: Vendor, Cisco [26] 21 VT=01 TL=15 pre-paks-in=0
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 pre-paks-out=0
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 nas-rx-speed=0
00:03:13: RADIUS: Vendor, Cisco [26] 22 VT=01 TL=16 nas-tx-speed=0
00:03:13: RADIUS: Delay-Time [41] 6 0
00:03:13: RADIUS: Received from id 2 10.0.0.0:1824, Accounting-response, len 20
その他の参考資料
次の項で、RADIUS デバッグ拡張機能に関する参考資料を紹介します。
RFC
|
|
RFC 2138 |
「Remote Authentication Dial In User Service (RADIUS)」 |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
RADIUS デバッグ拡張の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 RADIUS デバッグ拡張の機能情報
|
|
|
RADIUS デバッグ拡張 |
12.2(11)T |
この機能は、既存の RADIUS デバッグ パラメータの機能に対する拡張を提供します。 この機能に関する詳細については、次の各項を参照してください。 • 「RADIUS デバッグ拡張に関する情報」 debug radius コマンドと show debug コマンドが導入または変更されました。 |
用語集
AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。「トリプル エー」と発音します。
ASCII :American Standard Code for Information Interchange。文字を表現するための 8 ビット コード(7 ビット + パリティ)。
IETF:Internet Engineering Task Force(インターネット技術特別調査委員会)。インターネット標準の開発を担当する 80 を超えるワーキング グループで構成された調査委員会。IETF は ISOC の下部組織です。
RADIUS :Remote Authentication Dial-In User Service(リモート認証ダイヤルイン ユーザ サービス)。モデム接続と ISDN 接続を認証し、接続時間を追跡するためのデータベース。
VoIP :Voice over IP。POTS と同様の機能、信頼性、および音声品質を備えた、IP ベースのインターネット上で通常のテレフォニー スタイルの音声を伝送する機能。VoIP を使用すれば、ルータから IP ネットワーク上で音声トラフィック(通話や FAX など)を伝送できます。VoIP では、DSP が音声信号をフレームに分割します。その後、フレームは、2 つずつ連結され、音声パケットに保存されます。これらの音声パケットは、ITU-T 仕様の H.323 に従って、IP を使用して送信されます。
VSA :Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)。特定のベンダーによって実装されたアトリビュート。Vendor-Specific アトリビュートが使用された結果、AV ペアがカプセル化されます。基本的は、Vendor-Specific = プロトコル:attribute = 値となります。
アトリビュート :X.500 ディレクトリ サービスから提供される情報項目の形式。ディレクトリ情報ベースは、1 つ以上のアトリビュートを含むエントリで構成されます。各アトリビュートは、タイプ識別子と 1 つ以上の値で構成されます。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2002-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2002-2011, シスコシステムズ合同会社.
All rights reserved.