AAA Dead-Server Detection の設定

AAA Dead-Server Detection 機能を使用すると、RADIUS サーバーをデッド状態と指定するための条件を設定できます。条件が明示的に設定されていない場合は、条件は未処理のトランザクションの数に基づいて動的に計算されます。この機能を使用すると、デッドタイムが短くなり、パケット処理が高速になります。

AAA Dead-Server Detection の前提条件

  • RADIUS サーバーにアクセスできる必要があります。

  • RADIUS サーバーの設定方法を十分理解していることが必要です。

  • 認証、許可、アカウンティング(AAA)の設定方法を十分理解していることが必要です。

  • あるサーバーをデッド状態と指定するためには、まず radius-server deadtime コマンドを設定する必要があります。このコマンドを設定していない場合は、サーバーをデッド状態と指定するための条件に適合していても、サーバーはアップ状態になります。

AAA Dead-Server Detection の制約事項

  • サーバーがデッド状態と指定されるまでにデバイスで発生する必要がある連続タイムアウト回数には、最初の転送は含まれません。つまり、再転送の回数のみがカウントされます。

AAA Dead-Server Detection について

ここでは、AAA Dead-Server Detection 機能について説明します。

RADIUS サーバーをデッド状態と指定するための条件

AAA Dead-Server Detection 機能を使用すると、RADIUS サーバーをデッド状態と指定するための条件を決定できます。つまり、デバイスが RADIUS サーバーから有効なパケットを最後に受け取ってから RADIUS サーバーがデッド状態と指定されるまでに経過する必要がある最低時間を秒単位で設定することができます。デバイスの起動後にパケットを受信せずにタイムアウトになった場合は、この時間の条件は満たされたものとして処理されます。

さらに、RADIUS サーバーがデッド状態と指定されるまでにデバイスで発生する必要がある連続タイムアウト回数を設定することもできます。サーバーが認証とアカウンティングの両方を実行する場合、両方の種類のパケットがこの回数に含まれます。正しく作成されていないパケットは、タイムアウトになっているものとしてカウントされます。カウントされるのは再転送だけで、最初の転送はカウントされません。(タイムアウトになるたびに再転送が 1 回行われることになります)。


(注)  

時間の条件と試行回数の条件の両方を満たしていないと、サーバーはデッド状態と指定されません。

RADIUS Dead-Server Detection を設定すると、応答を停止している RADIUS サーバーが即時検出されます。また、サーバーが動きが鈍い(応答が遅い)状態になっているときに誤ってデッド状態と指定されなくなるほか、デッド状態からライブ状態になってすぐにまたデッド状態になる現象を回避できます。この未応答 RADIUS サーバーの即時検出、動きが鈍いサーバーの誤検出の回避、デッド状態とライブ状態を繰り返す現象の回避が有効になると、デッドタイムが短くなり、パケット処理が高速になります。

各 AAA RADIUS グローバルグループおよびサーバーグループには、独自のデッドタイムを設定できます。サーバーグループで設定されたデッドタイムは、グローバルなデッドタイム設定よりも優先されます。AAA RADIUS サーバーグループでデッドタイムを設定すると、指定したサーバーグループだけでなく、デッドとしてマークされているすべてのグローバルサーバーグループの既存のデッドタイマーがクリアされます。

AAA Dead-Server Detection の設定方法

このセクションでは、AAA Dead-Server Detection の設定方法について説明します。

AAA Dead-Server Detection の設定

AAA Dead-Server Detection を設定する手順は、次のとおりです。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

例:


Device(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

ステップ 4

radius-server deadtime minutes

例:


Device(config)# radius-server deadtime 5

いくつかのサーバーが使用不能になったときの RADIUS サーバーの応答時間を短くし、使用不能になったサーバーがすぐにスキップされるようにします。

ステップ 5

radius-server dead-criteria [time seconds ] [tries number-of-tries ]

例:


Device(config)# radius-server dead-criteria time 5 tries 4

RADIUS サーバーをデッド状態と指定するための条件のいずれかまたは両方を、指定した定数で適用します。

ステップ 6

end

例:

Device(config)# end

特権 EXEC モードに戻ります。

ステップ 7

show running-config

例:

Device# show running-config

設定を確認します。

AAA Dead-Server Detection を設定したら、このコマンドを使用して、その設定を確認してください。この確認が特に重要になるのは、no 形式の radius-server dead-criteria コマンドを使用している場合です。このコマンドの出力は、radius-server dead-criteria コマンドを使用して設定した「Dead Criteria Details」フィールドと同じ値を示している必要があります。

AAA Dead-Server Detection の確認

AAA Dead-Server Detection の設定を確認する手順は、次のとおりです。show および debug コマンドは、任意の順番で使用できます。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します(要求された場合)。

ステップ 2

debug aaa dead-criteria transactions

例:


Device# debug aaa dead-criteria transactions

デッド条件の AAA トランザクションの値を表示します。

ステップ 3

show aaa dead-criteria

例:


Device# show aaa dead-criteria

AAA サーバのデッド条件に関する情報を表示します。

ステップ 4

show aaa servers [private | public ]

例:


Device# show aaa server private

パブリックおよびプライベートのすべての認証、許可、アカウンティング(AAA)RADIUS サーバーとの間で送受信されたパケットのステータスと数を表示します。

  • private キーワードを付けると、パブリック AAA サーバーのみについて表示されます。

  • public キーワードを付けると、パブリック AAA サーバーのみについて表示されます。

AAA Dead-Server Detection の設定例

次の項では、AAA デッドサーバー検出の設定例を示します。

例:AAA Dead-Server Detection の設定

次の例では、5 秒後および 4 回の試行後にデバイスがデッド状態と見なされます。

Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# radius-server deadtime 5
Device(config)# radius-server dead-criteria time 5 tries 4

次の出力例は、特定のサーバー グループのデッド条件のトランザクションに関する情報を示しています。

Device> enable
Device# debug aaa dead-criteria transactions

AAA Transaction debugs debugging is on
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Retransmit Tries: 22, Current Max Tries: 22
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Dead Detect Interval: 25s, Current Max Interval: 25s
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Estimated Outstanding Transactions: 6, Current Max Transactions: 6

次の出力例は、IP アドレス 172.19.192.80 の RADIUS サーバーに対してデッド サーバー検出に関する情報が要求されたことを示しています。

Device> enable
Device# show aaa dead-criteria radius 172.19.192.80 radius

RADIUS Server Dead Criteria:
=============================
Server Details: 
    Address : 172.19.192.80
    Auth Port : 1645
    Acct Port : 1646
Server Group : radius
Dead Criteria Details:
    Configured Retransmits : 62
    Configured Timeout : 27
    Estimated Outstanding Transactions: 5
    Dead Detect Time : 25s
    Computed Retransmit Tries: 22
    Statistics Gathered Since Last Successful Transaction
=====================================================
Max Computed Outstanding Transactions: 5
Max Computed Dead Detect Time: 25s
Max Computed Retransmits : 22

AAA Dead-Server Detection の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE Fuji 16.9.2

AAA Dead-Server Detection

この機能を使用すると、RADIUS サーバーをデッド状態と指定するための条件を設定できます。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/ に進みます。