トンネル ターミネータでの RADIUS 経由でのトンネル認証
トンネル ターミネータでの RADIUS 経由のトンネル認証機能で、トンネル ターミネータのローカル設定ではなくリモート RADIUS サーバ経由でトンネル認証および認可を行うことができます。したがって、ユーザが L2TP access concentrator(LAC; L2TP アクセス コンセントレータ)や Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)network server(LNS; L2TP ネットワーク サーバ)データを、LNS または LAC を着信ダイヤルインまたはダイヤルアウト L2TP トンネル終端で設定する際に、Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)で設定する必要がなくなりました。この設定情報は、リモート RADIUS サーバに追加することができ、トンネル終端での L2TP トンネル認証と認可の、より管理可能でスケーラブルなソリューションを提供します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「トンネル ターミネータでの RADIUS 経由でのトンネル認証の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
トンネル ターミネータでの RADIUS 経由でのトンネル認証の前提条件
この機能を設定する前に、RADIUS サーバ グループを定義する必要があります。このタスクの実行に関する情報については、『 Cisco IOS Security Configuration Guide: Securing User Services 』 の 「Configuring RADIUS」を参照してください 。
(注) トンネル イニシエータの RADIUS ユーザのプロファイルのサービスタイプは、「Outbound」に設定する必要があります。
トンネル ターミネータでの RADIUS 経由でのトンネル認証の制約事項
トンネル ターミネータの RADIUS を経由したトンネル認証機能は、L2TP でのみ、つまり、Layer 2 Forwarding(L2F; レイヤ 2 転送)や Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)などのプロトコルでのみ適用できます。
トンネル ターミネータでの RADIUS 経由でのトンネル認証に関する情報
トンネル ターミネータでの RADIUS 経由のトンネル認証機能により、LNS で、着信 LAC ダイヤルイン接続要求での RADIUS を使用したリモート認証および認可を実行できます。また、この機能により、L2TP LAC で、着信 L2TP LNS ダイヤルアウト接続要求での RADIUS を使用したリモート認証および認可を実行できます。
この機能を導入する前は、LNS はローカルでの L2TP トンネル認証および認可のみを実行できます。これらのプロセスでは、多数の LNS 全体を管理するのが難しい場合があります。特に、VPDN グループ数が多い場合などです。これは、LAC 情報を LNS の VDDN グループ設定で設定する必要があるためです。リモート RADIUS 認証および認可で、RADIUS サーバで LAC 設定を保存できます。これにより、この設定情報をローカルで保存しておく必要がなくなります。したがって、新しい LAC 情報を必要に応じて RADIUS サーバに追加でき、LNS グループを、RADIUS の共通ユーザ データベースを使用して認証および認可できます。
および対応する手順で、この機能の動作について説明します。
図 1 L2TP ダイヤルイン コール トポロジでの LNS リモート RADIUS トンネル認証および認可
• LNS が start-control-connection request(SCCRQ)を受信すると、トンネル認証が開始され、LAC ホスト名とダミー パスワードの「cisco」を添えて RADIUS に要求を送信します(LNS で認証をローカルで行う必要があると判断された場合は、VPDN グループ設定が検索されます)。
(注) ダミー パスワードを変更するには、vpdn tunnel authorization password コマンドを使用します。
• LNS から送信されたパスワードと、RADIUS サーバに設定されているパスワードが一致した場合、サーバは LAC 情報が配置された後、アトリビュート 90(Tunnel-Client-Auth-ID)およびアトリビュート 69(Tunnel-Password)を返します。一致しない場合、RADIUS サーバはアクセス拒否を返し、LNS はトンネルをドロップします。
• LNS は次のアトリビュート情報が RADIUS の応答にあるかチェックします。
– アトリビュート 90(Tunnel-Client-Auth-ID)。LAC ホスト名として使用されます。このアトリビュートが LAC ホスト名と一致しない場合、トンネルはドロップします。
– アトリビュート 69(Tunnel-Password)。L2TP の見出し様認証共有秘密。このアトリビュートは、SCCRQ で受け取った LAC チャレンジの Attribute-Value Pair(AVP; アトリビュートと値のペア)と比較されます。このアトリビュートが AVP と一致しない場合、トンネルはドロップします。
• 両方のアトリビュートが一致した場合、L2TP トンネルが確立されます。その後、PPP ネゴシエーションとリモート クライアントでの認証を使用して操作を進めることができます。
(注) PPP リモート認証は、お客様が異なる可能性がある RADIUS サーバへ、個々の access-request/access-accept シーケンスにより行われます。トンネル認証は、異なるトンネル RADIUS サーバで行われる可能性があります。
新しい RADIUS アトリビュート
この機能を実装する際に役立つ、シスコ固有の新しい RADIUS アトリビュートが次の 2 つ導入されました。
• Cisco:Cisco-Avpair = "vpdn:dout-dialer = <LAC dialer number>":どの LAC ダイヤラをダイヤルアウト設定で使用するかを指定します。
• Cisco:Cisco-Avpair = "vpdn:vpdn-vtemplate = <vtemplate number>":ダイヤルイン設定で LNS のクローニングで使用する仮想テンプレート番号を指定します(このアトリビュートは、 vpdn-group 設定の仮想テンプレートの RADIUS の複製です)。
トンネル ターミネータでの RADIUS 経由でのトンネル認証の設定方法
トンネル ターミネータ機能で RADIUS 経由でトンネル認証を設定するタスクについては、次のセクションを参照してください。一覧内の各作業は、必須と任意に分けています。
• 「リモート RADIUS トンネル認証および認可での LNS または LAC の設定」(必須)
• 「リモート RADIUS トンネル認証 および認可設定の確認」(任意)
リモート RADIUS トンネル認証および認可での LNS または LAC の設定
次のタスクが、着信ダイヤルインまたはダイヤルアウト L2TP トンネル終端での LNS または LAC の設定に使用されます。
手順の概要
1. enable
2. configure terminal
3. aaa authorization network { default | list-name } method1 [ method2... ]
4. vpdn tunnel authorization network { method-list-name | default }
5. vpdn tunnel authorization virtual-template vtemplate-number
6. vpdn tunnel authorization password password
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa authorization network { default | list-name } method1 [ method2... ]
Router(config)# aaa authorization network mymethodlist group VPDN-Group |
ネットワーク サービスの AA 認証方式リストを定義します。 |
ステップ 4 |
vpdn tunnel authorization network { method-list-name | default }
Router(config)# vpdn tunnel authorization network mymethodlist |
リモート ホスト名ベースの認証で使用する AAA 認証方式リストを指定します。 • list-name 引数が aaa authorization コマンドで指定された場合、ここでそのリスト名を使用します。 • デフォルトのキーワードが aaa authorization コマンドで指定された場合、ここで、 aaa authorization コマンドを使用してリストされたデフォルトの認証方式を指定するこのキーワードを指定する必要があります。 |
ステップ 5 |
vpdn tunnel authorization virtual-template vtemplate-number
Router(config)# vpdn tunnel authorization virtual-template 10
|
(任意)仮想アクセス インターフェイスの複製元のデフォルトの仮想テンプレートを選択します。 |
ステップ 6 |
vpdn tunnel authorization password password
Router(config)# vpdn tunnel authorization password cisco |
(任意)リモート トンネルのホスト名に基づいたトンネル設定を取得するための RADIUS 認証要求の「ダミー」のパスワードを設定します。 (注) このコマンドがイネーブルでない場合、このパスワードは「cisco」になります。 |
リモート RADIUS トンネル認証 および認可設定の確認
L2TP トンネルがアップしているか確認するには、EXEC モードで show vpdn tunnel コマンドを使用します。トンネルとセッションが 1 つずつ設定されている必要があります。
L2TP Tunnel and Session Information Total tunnels 1 sessions 1
LocID RemID Remote Name State Remote Address Port Sessions VPDN Group
4571 61568 csidtw13 est 10.0.195.4 1701 1 ?
LocID RemID TunID Intf Username State Last Chg
4 11 4571 Vi4.1 csidtw9@cisco.com est 00:02:29
To verify that the AAA authorization RADIUS server is configured on the LNS and that the LNS can receive attributes 90 and 69 from the RADIUS server, perform the following steps:
ステップ 1 LNS で debug radius コマンドをイネーブルにします。
ステップ 2 LNS で show logging コマンドをイネーブルにし、「access-accept」が出力にあり、アトリビュート 90 および 69 が、RADIUS 応答で確認できるようにします。
00:32:56: RADIUS: Received from id 21645/5 172.19.192.50:1645, Access-Accept, len 81
00:32:56: RADIUS: authenticator 73 2B 1B C2 33 71 93 19 - 62 AC 3E BE 0D 13 14 85
00:32:56: RADIUS: Service-Type [6] 6 Outbound [5]
00:32:56: RADIUS: Tunnel-Type [64] 6 00:L2TP [3]
00:32:56: RADIUS: Tunnel-Medium-Type [65] 6 00:IPv4 [1]
00:32:56: RADIUS: Tunnel-Client-Auth-I[90] 6 00:"csidtw13"
00:32:56: RADIUS: Tunnel-Password [69] 8 *
00:32:56: RADIUS: Vendor, Cisco [26] 29
00:32:56: RADIUS: Cisco AVpair [1] 23 "vpdn:vpdn-vtemplate=1"
L2TP トンネルが確立され、LNS がリモート クライアントで PPP ネゴシエーションと認証を実行できるか確認するには、次の手順を実行します。
ステップ 1 LNS で debug ppp negotiation および debug ppp authentication コマンドをイネーブルにします。
ステップ 2 LNS で show logging コマンドをイネーブルにし、LNS が PPP CHAP チャレンジを受信し、PPP CHAP「SUCCESS」をクライアントに送信することを確認します。
00:38:50: ppp3 PPP: Received LOGIN Response from AAA = PASS
00:38:50: ppp3 PPP: Phase is FORWARDING, Attempting Forward
00:38:50: Vi4.1 Tnl/Sn4571/4 L2TP: Session state change from wait-for-service-selection to established
00:38:50: Vi4.1 PPP: Phase is AUTHENTICATING, Authenticated User
00:38:50: Vi4.1 CHAP: O SUCCESS id 1 len 4
ステップ 3 PPP 認証が成功したら、デバッグ出力で PPP ネゴシエーションが開始されていることと LNS が LCP(IPCP)パケットを受信していること、およびネゴシエーションが成功していることを確認します。
00:38:50: Vi4.1 IPCP: State is Open
00:38:50: Vi4.1 IPCP: Install route to 200.1.1.4
トンネル ターミネータでの RADIUS 経由でのトンネル認証の設定例
ここでは、次の設定例について説明します。
• 「L2TP Network Server(LNS; L2TP ネットワーク サーバ)設定の例」
• 「リモート RADIUS トンネル認証の RADIUS ユーザ プロファイルの例」
L2TP Network Server(LNS; L2TP ネットワーク サーバ)設定の例
次は、LNS でリモート RADIUS トンネル認証および認可をイネーブルに設定する方法の例です。
! Define a RADIUS server group
aaa group server radius VPDN-group
server 64.102.48.91 auth-port 1645 acct-port 1646
! RADIUS configurations only
aaa authorization network mymethodlist group VPDN-Group
vpdn tunnel authorization network mymethodlist
vpdn tunnel authorization virtual-template 10
リモート RADIUS トンネル認証の RADIUS ユーザ プロファイルの例
次は、LNS で LAC からの L2TP トンネルを終端させる RADIUS ユーザ プロファイルの例です。最初のユーザ プロファイルの最後の行は、 vpdn tunnel authorization virtual-template コマンドが使用されている場合は任意です。また、最初の RADIUS ユーザ プロファイルが L2TP ダイヤルイン向けで、2 番めの RADIUS ユーザ プロファイルが L2TP ダイヤルアウト向けの場合も任意です。
トンネル イニシエータの RADIUS ユーザのプロファイルのサービスタイプは、「Outbound」に設定する必要があります。
csidtw13 Password = "cisco"
Tunnel-Medium-Type = :0:IP,
Tunnel-Client-Auth-ID = :0:"csidtw13",
Tunnel-Password = :0:"cisco"
Cisco:Cisco-Avpair = "vpdn:vpdn-vtemplate=1"
csidtw1 Password = “cisco”
Tunnel-Medium-Type = :0:IP,
Tunnel-Client-Auth-ID = :0:"csidtw1",
Tunnel-Password = :0:"cisco"
Cisco:Cisco-Avpair = "vpdn:dout-dialer=2"
その他の参考資料
次のセクションで、トンネル ターミネータ機能での RADIUS 経由のトンネル認証に関連する参考資料を説明しています。
RFC
|
|
RFC 2868 |
「 RADIUS Attributes for Tunnel Protocol Support 」 |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
トンネル ターミネータでの RADIUS 経由でのトンネル認証の機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 トンネル ターミネータでの RADIUS 経由でのトンネル認証の機能情報
|
|
|
トンネル ターミネータでの RADIUS 経由でのトンネル認証 |
12.2(15)B 12.3(4)T |
トンネル ターミネータでの RADIUS 経由のトンネル認証機能で、トンネル ターミネータのローカル設定ではなくリモート RADIUS サーバ経由でトンネル認証および認可を行うことができます。 12.2(15)B では、この機能は Cisco 6400 シリーズ、Cisco 7200 シリーズおよび Cisco 7400 シリーズで導入されました。 12.3(4)T では、この機能は Cisco IOS に統合されました。 次のコマンドが導入または修正されました。 vpdn tunnel authorization network 、 vpdn tunnel authorization password 、 vpdn tunnel authorization virtual-template |
用語集
L2TP :Layer 2 Tunnel Protocol(レイヤ 2 トンネル プロトコル)。レイヤ 2 トンネル プロトコルを使用すると、ISP などのアクセス サービスが仮想トンネルを作成し、顧客のリモート サイトやリモート ユーザを企業のホーム ネットワークにリンクさせることができます。具体的には、ISP Point of Presence(POP; アクセス ポイント)にある Network Access Server(NAS; ネットワーク アクセス サーバ)がリモート ユーザと PPP メッセージを交換し、L2F または L2TP の要求や応答を使用して顧客のトンネル サーバと通信し、トンネルのセットアップを行います。
LAC :L2TP Access Concentrator(L2TP アクセス コンセントレータ)。クライアントが直接接続し、PPP フレームが L2TP Network Server(LNS; L2TP ネットワーク サーバ)にトンネリングされる Network Access Server(NAS; ネットワーク アクセス サーバ)です。LAC は、L2TP が 1 つまたは複数の LNS にトラフィックを渡すために操作するメディアのみを実装します。LAC は PPP 内で伝送されるすべてのプロトコルをトンネルすることができます。また、LAC は着信コールを開始して、発信コールを受け取ります。LAC は L2F ネットワーク アクセス サーバに似ています。
LNS :L2TP Network Server(L2TP ネットワーク サーバ)。L2TP トンネルの終端ポイントと、PPP フレームが処理され、高レイヤ プロトコルに渡されるアクセス ポイント。LNS は PPP を終端させる任意のプラットフォーム上で動作できます。LNS はサーバ側の L2TP プロトコルを処理します。L2TP は、L2TP のトンネルが到達する 1 つのメディアにのみ依存します。LNS は発信コールを開始して、着信コールを受け取ります。LNS は L2F テクノロジーのホーム ゲートウェイに似ています。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2003-2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2003-2011, シスコシステムズ合同会社.
All rights reserved.