RADIUS DTLS について
Remote Authentication Dial-In User Service(RADIUS)は、ネットワークへの管理アクセス権を取得しようとするユーザに対して中央管理されたセキュリティ機能を提供する、クライアントまたはサーバ プロトコルです。RADIUS プロトコルは広く導入されている認証および認可プロトコルであり、完全な認証、認可、およびアカウンティング(AAA)ソリューションを実現します。
RADIUS DTLS のポート
RADIUS のポート(DTLS サーバ)は認証とアカウンティングに使用されます。デフォルトの DTLS サーバ ポートは 2083 です。
RADIUS DTLS ポート番号は dtls port port_number を使用して変更できます。詳細については、「 RADIUS DTLS ポート番号の設定」を参照してください。
共有秘密
すでに特定のサーバに対して DTLS を有効にしている場合は、共有秘密として radius/dtls を使用できます。
CTS 通信のための PAC の処理
CTS 通信のために ISE から PAC をダウンロードできます。PAC をダウンロードしたら、共有秘密の代わりに PAC キーを使用してすべての CTS 属性を暗号化する必要があります。
その後、ISE は PAC を使用してそれらの属性を復号化します。
セッション管理
RADIUS クライアントは、DTLS サーバからの応答にのみ依存します。セッションが理想的なタイムアウトに最も適している場合は、セッションを閉じる必要があります。
応答が無効の場合は、セッションを削除する必要があります。
DTLS 経由で RADIUS パケットを送信する必要がある場合は、特定のサーバで DTLS セッションを再確立する必要があります。
ロード バランシング
複数の DTLS サーバとロード バランシング方式が設定されています。
要求を必要とする送信先の AAA サーバを選択する必要があります。その後、特定のサーバの DTLS コンテキストを使用し、RADIUS パケットを暗号化して送り返します。
接続タイムアウト
暗号化された RADIUS パケットを送信した後、再送信タイマーを開始する必要があります。再送信タイマーが期限切れになる前に応答がなかった場合は、パケットが再暗号化され再送信されます。
この試行回数は、dtls retries の設定に従って、またはデフォルト値まで継続できます。試行回数が制限を超えると、サーバは使用不可となり、応答は AAA クライアントに戻されます。
(注) |
デフォルトの接続タイムアウトは 5 秒です。 |
接続の再試行回数
RADIUS DTLS は UDP ベースであるため、特定の再試行回数において特定のタイムアウト間隔後に接続を再試行する必要があります。
すべての再試行を終えると、DTLS 接続では次のことが実行されます。
-
失敗としてマークされます。
-
RADIUS 要求を処理するために次に使用可能なサーバを検索します。
(注) |
デフォルトの接続再試行回数は 5 回です。 |
アイドル タイムアウト
アイドル タイマーが期限切れになり、最後のアイドル タイムアウト以降にトランザクションが存在しない場合、DTLS セッションは閉じたままになります。
DTLS セッションを確立した後、アイドル タイマーを開始できます。アイドル タイマーを 30 秒間にわたって開始し、RADIUS DTLS パケットの 1 つが送信されると、30 秒後にアイドル タイマーが期限切れになり、RADIUS DTLS トランザクションの数がチェックされます。
アイドル タイマーの値がゼロを超えると、アイドル タイマーはトランザクション カウンタをリセットし、タイマーを再開します。
(注) |
デフォルトのアイドル タイムアウトは 60 秒です。 |
サーバおよびサーバ グループのフェールオーバーの処理
RADIUS サーバは DTLS ありおよび DTLS なしで設定できます。DTLS 対応サーバと非 DTLS サーバを使用して AAA サーバ グループを作成することをお勧めします。ただし、AAA サーバ グループの設定時にはこのような制限は受けません。
DTLS サーバを選択し、DTLS サーバが接続を確立し、RADIUS 要求パケットが DTLS サーバに送信されるとします。すべての RADIUS の再試行後も DTLS サーバが応答しない場合は、同じサーバ グループ内で次に設定されているサーバに引き継がれます。次のサーバが DTLS サーバの場合、RADIUS 要求パケットの処理は次のサーバで続行されます。次のサーバが非 DTLS サーバの場合、RADIUS 要求パケットの処理はそのサーバ グループでは行われません。その後、サーバ グループのフェールオーバーが発生し、次のサーバ グループが使用可能であれば、同じシーケンスが次のサーバ グループで続行されます。
(注) |
サーバ グループ内では、DTLS サーバか非 DTLS サーバのいずれかのみを使用する必要があります。 |