セキュリティ コンフィギュレーション ガイド：ユー ザ サービスのセキュリティ保護

アカウンティングの名前付き方式リスト

認証および認可方式リストと同様に、アカウンティングの方式リストには、アカウンティングの実行方法とその方式を実行するシーケンスが定義されています。

アカウンティングの名前付き方式リストには、特定のセキュリティ プロトコルを指定し、アカウンティング サービスの特定の行またはインターフェイスに使用できます。唯一の例外は、デフォルトの方式リスト（「default」という名前が指定されています）です。デフォルトの方式リストは、名前付きの方式リストが明示的に定義されているインターフェイスを除き、すべてのインターフェイスに自動的に適用されます。デフォルトの方式リストは、定義された方式リストによって上書きされます。

方式リストは、シーケンスで照会されるアカウンティング方式（RADIUS、TACACS+ など）を説明する単なる名前付きリストです。方式リストでは、アカウンティングに 1 つまたは複数のセキュリティ プロトコルを指定できます。そのため、最初の方式が失敗した場合に備えてアカウンティングのバックアップ システムを確保できます。Cisco IOS ソフトウェアでは、方式リストのうち、アカウンティングをサポートする最初の方式が使用されます。その方式が応答しない場合、方式リストの次のアカウンティング方式が選択されます。このプロセスは、リストのいずれかのアカウンティング方式と通信に成功するか、定義されているすべての方式が試行されるまで継続されます。

（注） Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次のアカウンティング方式でアカウンティングが試行されます。このサイクルの任意の時点でアカウンティングが失敗した場合（つまり、セキュリティ サーバからユーザ アクセスの拒否応答が返される場合）、アカウンティング プロセスは停止し、その他のアカウンティング方式は試行されません。

アカウンティング方式リストは、要求されるアカウンティングの種類によって変わります。AAA は、次の 7 種類のアカウンティングをサポートしています。

• ネットワーク ：パケットやバイト カウントなど、すべての PPP、SLIP、または ARAP セッションに関する情報を提供します。

• EXEC ：ネットワーク アクセス サーバのユーザ EXEC ターミナル セッションに関する情報を提供します。

• コマンド ：ユーザが発行する EXEC モード コマンドに関する情報を提供します。コマンド アカウンティングは、特定の特権レベルに関連付けられた、グローバル コンフィギュレーション コマンドなどのすべての EXEC モード コマンドについて、アカウンティング レコードを生成します。

• 接続 ：Telnet、Local-Area Transport（LAT; ローカルエリア トランスポート）、TN3270、Packet Assembler/disassembler（PAD）、rlogin など、ネットワーク アクセス サーバからの発信接続すべてに関する情報を提供します。

• システム ：システムレベルのイベントに関する情報を提供します。

• リソース ：ユーザ認証に成功したコールの「開始」および「終了」レコードを提供します。また、認証に失敗したコールの「終了」レコードを提供します。

• VRRS ：Virtual Router Redundancy Service（VRRS）に関する情報を提供します。

（注） システム アカウンティングは、名前付きアカウンティング リストを使用しません。システム アカウンティングのデフォルト リストだけを定義できます。

この場合も、名前付き方式リストが作成されると、指定したアカウンティング タイプのアカウンティング方式のリストが定義されます。

アカウンティング方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式のいずれかを実行する必要があります。唯一の例外は、デフォルトの方式リスト（「default」という名前が指定されています）です。名前付き方式リストを指定せずに、特定のアカウンティング タイプに対して aaa accounting コマンドを発行すると、明示的に名前付き方式リストが定義されている場合を除き、すべてのインターフェイスまたは回線にデフォルトの方式リストが自動的に適用されます（定義した方式リストは、デフォルトの方式リストよりも優先されます）。デフォルトの方式リストが定義されていない場合、アカウンティングは実行されません。

この項の内容は、次のとおりです。

• 「方式リストとサーバ グループ」

• 「AAA アカウンティング方式」

• 「アカウンティング レコードの種類」

• 「アカウンティング方式」

方式リストとサーバ グループ

サーバ グループは、方式リストに使用する既存の RADIUS または TACACS+ サーバ ホストをグループ化する方法の 1 つです。図 1 に、4 台のセキュリティ サーバ（R1 と R2 は RADIUS サーバ、T1 と T2 は TACACS+ サーバ）が設置された一般的な AAA ネットワーク設定を示します。R1 と R2 は RADIUS サーバのグループから構成されます。T1 と T2 は TACACS+ サーバのグループから構成されます。

図 1 一般的な AAA ネットワーク設定

Cisco IOS ソフトウェア、RADIUS サーバ、および TACACS+ サーバの設定はグローバルです。サーバ グループを使用して、設定済みのサーバ ホストのサブセットを指定できます。このようなサーバ グループは、特定のサービスに使用できます。たとえば、サーバ グループを使用すると、R1 と R2 を個別のサーバ グループ（SG1 と SG2）として定義し、T1 と T2 を個別のサーバ グループ（SG3 と SG4）として定義できます。つまり、R1 と T1（SG1 と SG3）または R2 と T2（SG2 と SG4）を方式リストに指定することができます。そのため、RADIUS および TACACS+ のリソースを割り当てる場合の柔軟性が高くなります。

サーバ グループには、1 台のサーバに対して複数のホスト エントリを含めることができます。エントリごとに固有の識別情報を設定します。固有の識別情報は、IP アドレスと UDP ポート番号の組み合わせで構成されます。これにより、RADIUS ホストとして定義されているさまざまなポートが、固有の AAA サービスを提供できるようになります。つまり、この固有識別情報を使用して、1 台のサーバ上に複数の UDP ポートが存在する場合、同じ IP アドレスからそれぞれの UDP ポートに対して RADIUS 要求を送信できます。1 台の RADIUS サーバ上にある異なる 2 つのホスト エントリが 1 つのサービス（アカウンティングなど）に設定されている場合、設定されている 2 番めのホスト エントリは最初のホスト エントリのフェールオーバー バックアップとして動作します。この例を使用して、最初のホスト エントリがアカウンティング サービスの提供に失敗した場合、ネットワーク アクセス サーバは、同じデバイスに設定されている 2 番めのホスト エントリに対してアカウンティング サービスを試行します（RADIUS ホスト エントリは、設定順に試行されます）。

Dialed Number Identification Service（DNIS; 着信番号識別サービス）番号に基づくサーバ グループの設定およびサーバ グループの設定の詳細については、『 Cisco IOS Security Configuration Guide: Securing User Services 』の「Configuring RADIUS」または「Configuring TACACS+」を参照してください。

AAA アカウンティング方式

Cisco IOS ソフトウェアはアカウンティングについて次の 2 つの方式をサポートします。

• TACACS+：ネットワーク アクセス サーバは、アカウンティング レコードの形式で TACACS+ セキュリティ サーバに対してユーザ アクティビティを報告します。アカウンティング レコードにはアカウンティング AV のペアが含まれ、セキュリティ サーバに保存されます。

• RADIUS：ネットワーク アクセス サーバは、アカウンティング レコードの形式で RADIUS セキュリティ サーバに対してユーザ アクティビティを報告します。アカウンティング レコードにはアカウンティング AV のペアが含まれ、セキュリティ サーバに保存されます。

アカウンティング レコードの種類

最小限のアカウンティングの場合、 stop-only キーワードを使用します。このキーワードによって、要求されたユーザ プロセスの終了時に、終了レコード アカウンティング通知を送信するように、指定した方式（ RADIUS または TACACS+ ）に指示します。詳細なアカウンティング情報が必要な場合、 start-stop キーワードを使用して、要求されたイベントの開始時には開始アカウンティング通知、そのイベントの終了時には修理用アカウンティング通知を送信します。この回線またはインターフェイスですべてのアカウンティング アクティビティを終了するには、 none キーワードを使用します。

アカウンティング方式

表 1 に、サポートされるアカウンティング方式を示します。

method 引数は、認証アルゴリズムが試行する実際の方式を指します。追加の認証方式は、直前の方式で（失敗した場合ではなく）エラーが返された場合にのみ使用されます。他のすべての方式がエラーを返しても、認証に成功したことを指定するには、コマンドで追加の方式を指定します。たとえば、TACACS+ 認証がエラーを返す場合に認証のバックアップ方式として RADIUS を指定する acct_tac1 という方式リストを作成するには、次のコマンドを入力します。

名前付きリストが aaa accounting コマンドで指定されて いない 場合に使用するデフォルト リストを作成するには、default キーワードの後に、デフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、すべてのインターフェイスに自動的に適用されます。

たとえば、ログイン時のユーザ認証のデフォルト方式として RADIUS を指定するには、次のコマンドを入力します。

AAA アカウンティングは、次の方式をサポートします。

• group tacacs ：ネットワーク アクセス サーバからアカウンティング情報を TACACS+ セキュリティ サーバに送信するようにするには、 group tacacs+ method キーワードを使用します。

• group radius ：ネットワーク アクセス サーバからアカウンティング情報を RADIUS セキュリティ サーバに送信するようにするには、 group radius method キーワードを使用します。

（注） SLIP のアカウンティング方式リストは、関連インターフェイスで PPP に設定されているすべての方式に従います。特定のインターフェイスに定義および適用されるリストがない場合（または PPP 設定が指定されていない場合）、アカウンティングのデフォルト設定が適用されます。

• group group-name ：RADIUS または TACACS+ サーバのサブセットを指定して、アカウンティング方式として使用するには、 group group-name 方式を指定して aaa accounting コマンドを使用します。グループ名とそのグループのメンバを指定して定義するには、 aaa group server コマンドを使用します。たとえば、 aaa group server コマンドを使用して、 loginrad というグループ（ group ）のメンバを最初に定義します。

このコマンドにより、172.16.2.3、172.16.2.17、172.16.2.32 の RADIUS サーバがグループ loginrad のメンバとして指定されます。

他の方式リストが定義されていない場合、ネットワーク アカウンティングの方式として group loginrad を指定するには、次のコマンドを入力します。

アカウンティング方式としてグループ名を使用するには、事前に RADIUS または TACACS+ セキュリティ サーバとの通信をイネーブルにする必要があります。

AAA アカウンティング タイプ

AAA は次の 7 種類のアカウンティング タイプをサポートします。

• 「ネットワーク アカウンティング」

• 「システム アカウンティング」

• 「リソース アカウンティング」

• 「接続アカウンティング」

• 「システム アカウンティング」

• 「リソース アカウンティング」

• 「VRRS アカウンティング」

ネットワーク アカウンティング

ネットワーク アカウンティングは、パケットやバイト カウントなど、すべての PPP、SLIP、または ARAP セッションに関する情報を提供します。

次に、EXEC セッションを介して着信する PPP ユーザの RADIUS ネットワーク アカウンティング レコードに含まれる情報の例を示します。

次に、最初に EXEC セッションを開始した PPP ユーザの TACACS+ ネットワーク アカウンティング レコードに含まれる情報の例を示します。

（注） アカウンティング パケット レコードの正確なフォーマットは、セキュリティ サーバ デーモンに応じて変わります。

次に、autoselect を介して着信する PPP ユーザの RADIUS ネットワーク アカウンティング レコードに含まれる情報の例を示します。

次に、autoselect を介して着信する PPP ユーザの TACACS+ ネットワーク アカウンティング レコードに含まれる情報の例を示します。

EXEC アカウンティング

EXEC アカウンティングは、ネットワーク アクセス サーバ上にあるユーザ EXEC ターミナル セッション（ユーザ シェル）に関する情報を提供します。たとえば、ユーザ名、日付、開始時刻と終了時刻、アクセス サーバの IP アドレス、および（ダイヤルイン ユーザの場合）発信元の電話番号などです。

次に、ダイヤルイン ユーザの RADIUS EXEC アカウンティング レコードに含まれる情報の例を示します。

次に、ダイヤルイン ユーザの TACACS+ EXEC アカウンティング レコードに含まれる情報の例を示します。

次に、Telnet ユーザの RADIUS EXEC アカウンティング レコードに含まれる情報の例を示します。

次に、Telnet ユーザの TACACS+ EXEC アカウンティング レコードに含まれる情報の例を示します。

コマンド アカウンティング

コマンド アカウンティングは、ネットワーク アクセス サーバで実行される各特権レベルの EXEC シェル コマンドに関する情報を提供します。各コマンド アカウンティング レコードには、その特権レベルで実行されるコマンド、各コマンドが実行された日時、および実行したユーザのリストが含まれます。

次に、特権レベル 1 の TACACS+ コマンド アカウンティング レコードに含まれる情報の例を示します。

次に、特権レベル 15 の TACACS+ コマンド アカウンティング レコードに含まれる情報の例を示します。

（注） Cisco の RADIUS 実装は、コマンド アカウンティングをサポートしていません。

接続アカウンティング

接続アカウンティングは、Telnet、LAT、TN3270、PAD、rlogin などのネットワーク アクセス サーバから行われるすべての発信接続に関する情報を提供します。

次に、発信 Telnet 接続の RADIUS 接続アカウンティング レコードに含まれる情報の例を示します。

次に、発信 Telnet 接続の TACACS+ 接続アカウンティング レコードに含まれる情報の例を示します。

次に、発信 rlogin 接続の RADIUS 接続アカウンティング レコードに含まれる情報の例を示します。

次に、発信 rlogin 接続の TACACS+ 接続アカウンティング レコードに含まれる情報の例を示します。

次に、発信 LAT 接続の TACACS+ 接続アカウンティング レコードに含まれる情報の例を示します。

システム アカウンティング

システム アカウンティングは、すべてのシステムレベル イベント（たとえば、システムのリブート時やアカウンティングのオン/オフ時）に関する情報を提供します。

次のアカウンティング レコードは、AAA アカウンティングがオフになったことを示す一般的な TACACS+ システム アカウンティング レコード サーバを示します。

（注） アカウンティング パケット レコードの正確なフォーマットは、TACACS+ デーモンに応じて変わります。

次のアカウンティング レコードは、AAA アカウンティングがオンになったことを示す TACACS+ システム アカウンティング レコードを示します。

システム リソースを測定する追加のタスクについては、他の Cisco IOS ソフトウェア コンフィギュレーション ガイドを参照してください。たとえば、IP アカウンティング タスクについては、『 Cisco IOS Application Services Configuration Guide 』の「 Configuring IP Services 」を参照してください。

リソース アカウンティング

シスコが採用している AAA アカウンティングでは、ユーザ認証を通過したコールに対する「開始」レコードと「終了」レコードがサポートされます。ユーザ認証の一部として認証に失敗したコールの「終了」レコードを生成する追加機能もサポートされます。このようなレコードは、ネットワークを管理およびモニタするアカウンティング レコードを採用する場合に必要です。

この項の内容は、次のとおりです。

• 「AAA リソース失敗終了アカウンティング」

• 「開始 - 終了レコードの AAA リソース アカウンティング」

AAA リソース失敗終了アカウンティング

AAA リソース失敗終了アカウンティングの前には、コール設定シーケンスのユーザ認証段階に到達できなかったコールについて、アカウンティング レコードを提供する方式がありませんでした。このようなレコードは、ネットワークおよびその卸売りの顧客を管理およびモニタするアカウンティング レコードを採用する場合に必要です。

この機能によって、ユーザ認証に到達しなかったコールの「終了」アカウンティング レコードが生成されます。「終了」レコードは、コール設定の時点から生成されます。ユーザ認証に成功したすべてのコールは、従来と同様に動作します。つまり、追加のアカウンティング レコードは確認されません。

図 2 に、通常のコール フローで、AAA リソース失敗終了アカウンティングをイネーブルにしていないコール シーケンスを示します。

図 2 通常のフローで AAA リソース失敗終了アカウンティングをイネーブルにしていないモデム ダイヤルイン コール設定シーケンス

図 3 に、通常のコール フローで、AAA リソース失敗終了アカウンティングをイネーブルにしたコール シーケンスを示します。

図 3 通常のフローで AAA リソース失敗終了アカウンティングをイネーブルにしたモデム ダイヤルイン コール設定シーケンス

図 4 に、ユーザ認証前にコールの接続解除が発生し、AAA リソース失敗終了アカウンティングをイネーブルにしたコール設定シーケンスを示します。

図 4 ユーザ認証前にコールの接続解除が発生し、AAA リソース失敗終了アカウンティングをイネーブルにしたモデム ダイヤルイン コール設定シーケンス

図 5 に、ユーザ認証前にコールの接続解除が発生し、AAA リソース失敗終了アカウンティングをイネーブルにしないコール設定シーケンスを示します。

図 5 ユーザ認証前にコールの接続解除が発生し、AAA リソース失敗終了アカウンティングをイネーブルにしていないモデム ダイヤルイン コール設定シーケンス

開始 - 終了レコードの AAA リソース アカウンティング

開始 - 終了レコードの AAA リソース アカウンティングは、各コール設定時に「開始」レコードを送信し、コールの接続解除時に対応する「終了」レコードを送信する機能をサポートしています。この機能は、アカウンティング レコードなどを報告するデータの発信元の 1 つから、卸売りの顧客を管理およびモニタするために使用できます。

この機能を使用すると、コール設定およびコールの接続解除の「開始 - 終了」アカウンティング レコードは、デバイスに対するリソース接続の進行状況を追跡します。個別のユーザ認証「開始 - 終了」アカウンティング レコードが、ユーザ管理の進行状況を追跡します。これら 2 セットのアカウンティング レコードは、そのコールで固有のセッション ID を使用して相互リンクされます。

図 6 は、AAA リソース 開始 - 終了アカウンティングをイネーブルにしたコール設定シーケンスを示します。

図 6 リソース開始 - 終了アカウンティングをイネーブルにしたモデム ダイヤルイン コール設定シーケンス

VRRS アカウンティング

Virtual Router Redundancy Service（VRRS）はマルチクライアント情報の抽象化機能を備え、First Hop Redundancy Protocol（FHRP）と登録済みクライアント間に管理サービスを提供しています。VRRS マルチクライアント サービスは、複数の FHRP を抽象化し、FHRP の状態の理想的なビューを提供することで、FHRP プロトコルとの一貫したインターフェイスを提供します。VRRS はデータの更新を管理しています。また、関連するクライアントを 1 か所で登録し、名前付きの FHRP グループまたはすべての登録済み FHRP グループに関する更新を受信できます。

Virtual Router Redundancy Protocol（VRRP; 仮想ルータ冗長プロトコル）は、FHRP ステータス情報をすべての登録済み VRRS クライアントにプッシュするサーバとして動作する FHRP です。クライアントは、FHRP から提供された重要情報に関するステータスを取得します。たとえば、現在と以前の冗長状態、アクティブ状態と非アクティブ状態の L3 および L2 アドレス、さらに場合によってはネットワーク内の他の冗長ゲートウェイに関する情報などです。クライアントはこの情報を使用して、ステートレスおよびステートフル冗長情報をクライアントとプロトコルに提供できます。

VRRS アカウンティング プラグイン

VRRS アカウンティング プラグインには、VRRS グループの状態が遷移したときに RADIUS サーバに更新情報を提供する、設定可能な AAA 方式リスト メカニズムが用意されています。VRRS アカウンティング プラグインは、既存の AAA システム アカウンティング メッセージの拡張です。VRRS アカウンティング プラグインには、accounting-on および accounting-off メッセージと、RADIUS アカウンティング メッセージで設定済みの VRRS 名を送信する追加の Vendor-Specific Attribute（VSA; ベンダー固有アトリビュート）が用意されています。VRRS 名を設定するには、インターフェイス コンフィギュレーション モードで vrrp name コマンドを使用します。

VRRS アカウンティング プラグインには、VRRS グループの状態が遷移したときに RADIUS サーバに更新情報を提供する、設定可能な AAA 方式リスト メカニズムが用意されています。

VRRS アカウンティング プラグインは、既存の AAA システム アカウンティング メッセージの拡張です。VRRS アカウンティング プラグインには、accounting-on および accounting-off メッセージと、RADIUS アカウンティング メッセージで設定済みの VRRS 名を送信する追加の Vendor-Specific Attribute（VSA; ベンダー固有アトリビュート）が用意されています。VRRS 名を設定するには、インターフェイス コンフィギュレーション モードで vrrp name コマンドを使用します。VRRS グループがマスター状態に遷移すると、VRRS アカウンティング プラグインは accounting-on メッセージを RADIUS に送信します。また、VRRS グループがマスター状態から遷移すると、accounting-off メッセージを送信します。

次の RADIUS アトリビュートは、デフォルトで VRRS アカウンティング メッセージに含まれます。

• アトリビュート 4（NAS-IP-Address）

• アトリビュート 26（Cisco VSA Type 1、VRRS Name）

• アトリビュート 40（Acct-Status-Type）

• アトリビュート 41（Acct-Delay-Time）

• アトリビュート 44（Acct-Session-Id）

VRRS がマスター状態から遷移した場合のアカウンティング メッセージは、すべての PPPoE アカウンティングがその VRRS の一部であるセッションに関するメッセージを停止した後に送信されます。

AAA アカウンティングの強化

• 「AAA ブロードキャスト アカウンティング」

• 「AAA セッション MIB」

AAA ブロードキャスト アカウンティング

AAA ブロードキャスト アカウンティングを使用すると、複数の AAA サーバに対してアカウンティング情報を同時送信できます。つまり、1 つまたは複数の AAA サーバに対してアカウンティング情報を同時にブロードキャストできます。この機能を使用すると、サービス プロバイダーは自社使用のプライベート AAA サーバやエンド ユーザの AAA サーバにアカウンティング情報を送信できるようになります。この機能では、音声アプリケーションによる課金情報も提供されます。

ブロードキャストは、RADIUS または TACACS+ サーバのグループに使用できます。また、各サーバ グループは、他のグループとは関係なく、フェールオーバーの場合のバックアップ サーバを定義できます。

したがって、サービス プロバイダーとそのエンド ユーザは、アカウンティング サーバに異なるプロトコル（RADIUS または TACACS+）を使用できます。また、サービス プロバイダーとそのエンド ユーザは、それぞれ単独でバックアップ サーバを指定することもできます。音声アプリケーションについては、独自のフェールオーバー シーケンスを持つ個別のグループを介して、冗長的なアカウンティング情報を単独で管理できます。

AAA セッション MIB

ユーザが AAA セッション MIB 機能を使用すると、Simple Network Management Protocol（SNMP）を使用して自身の認証済みクライアント接続をモニタおよび終了できます。そのクライアントのデータが提示されるため、RADIUS または TACACS+ サーバから報告される AAA アカウンティング情報に直接関連付けることができます。AAA セッション MIB は、次の情報を提供します。

• 各 AAA 機能の統計情報（ show radius statistics コマンドと併用する場合）

• AAA 機能を提供するサーバのステータス

• 外部 AAA サーバの ID

• （アイドル時間などの）リアルタイム情報（アクティブ コールを終了するかどうかを評価する SNMP ネットワークが使用する追加基準を提供します）

（注） このコマンドがサポートされるのは、Cisco AS5300 および Cisco AS5800 ユニバーサル アクセス サーバ プラットフォームだけです。

表 2 に、認証済みクライアントと AAA セッション MIB 機能との接続をモニタおよび終了するために使用できる SNMP ユーザエンド データ オブジェクトを示します。

表 3 に、システム別に SNMP を使用する AAA セッション MIB 機能から提供される AAA の概要情報を示します。

アカウンティング アトリビュートと値のペア

ネットワーク アクセス サーバは、TACACS+ AV のペアまたは RADIUS アトリビュート（実装しているセキュリティ方式によって異なります）に定義されたアカウンティング機能をモニタします。

名前付き方式リストによる AAA アカウンティングの設定

名前付き方式リストを使用して AAA アカウンティングを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa accounting { system | network | exec | connection | commands level } { default | list-name } { start-stop | stop-only | none } [ method1 [ method2... ]]

4. line [ aux | console | tty | vty ] line-number [ ending-line-number ]

5. accounting { arap | commands level | connection | exec } { default | list-name }

6. end

（注） システム アカウンティングは、名前付き方式リストを使用しません。システム アカウンティングの場合、デフォルトの方式リストだけを定義します。

手順の詳細

ここでは、次の内容について説明します。

• 「RADIUS システム アカウンティングの設定」

RADIUS システム アカウンティングの設定

このタスクを実行して、グローバル RADIUS サーバで RADIUS システム アカウンティングを設定します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. radius-server accounting system host-config

5. aaa group server radius server-name

6. server-private { host-name | ip-address } key {[ 0 server-key | 7 server-key ] server-key

7. accounting system host-config

8. end

手順の詳細

ヌル ユーザ名セッション時のアカウンティング レコード生成の抑制

AAA アカウンティングをアクティブにすると、Cisco IOS ソフトウェアは、システム上にあるすべてのユーザにアカウンティング レコードを発行します。このとき、プロトコル変換のためにユーザ名文字列がヌルのユーザも含まれます。この例では、 aaa authentication login method-list none コマンドが適用される回線で着信するユーザです。関連付けられているユーザ名がないセッションについて、アカウンティング レコードが生成されないようにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

中間アカウンティング レコードの生成

アカウンティング サーバに定期的な中間アカウンティング レコードを送信できるようにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

aaa accounting update コマンドをアクティブにすると、Cisco IOS ソフトウェアは、システム上のすべてのユーザに中間アカウンティング レコードを発行します。キーワード newinfo を使用すると、報告する新しいアカウンティング情報が発生するたびに、中間アカウンティング レコードがアクセス サーバに送信されます。たとえば、IPCP がリモート ピアとの間で IP アドレスのネゴシエーションを完了したときなどです。中間アカウンティング レコードには、リモート ピアに使用されるネゴシエート済み IP アドレスが含まれます。

キーワード periodic とともに使用すると、 number 引数の定義に従って、中間アカウンティング レコードが定期的に送信されます。中間アカウンティング レコードには、中間アカウンティング レコードが送信される時間までに、そのユーザについて記録されたすべてのアカウンティング情報が含まれます。

失敗したログインまたはセッションに対するアカウンティング レコードの生成

AAA アカウンティングをアクティブにすると、Cisco IOS ソフトウェアは、ログイン認証に失敗したシステム ユーザ、またはログイン認証には成功しても何らかの理由で PPP ネゴシエーションに失敗したユーザのアカウンティング レコードを生成しません。

ログイン時またはセッション ネゴシエーション中の認証に失敗したユーザについて、アカウンティング終了レコードを生成するように指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

EXEC-Stop レコードよりも前のアカウンティング NETWORK-Stop レコードの指定

PPP ユーザが EXEC ターミナル セッションを開始する場合、EXEC 終了レコードの前に生成する NETWORK レコードを指定できます。特定のサービスについて顧客に課金する場合など、状況によっては、ネットワークの開始レコードと終了レコードを一緒に保持する方が望ましいことがあります。その際、基本的に、EXEC の開始メッセージと終了メッセージのフレームワーク内に「ネスト」にします。たとえば、PPP を使用するユーザ ダイヤルインによって、EXEC-start、NETWORK-start、EXEC-stop、NETWORK-stop というレコードを作成できます。アカウンティング レコードをネストにすることで、NETWORK-stop レコードは NETWORK-start メッセージ（EXEC-start、NETWORK-start、NETWORK-stop、EXEC-stop）に従います。

ユーザ セッションのアカウンティング レコードをネストするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

AAA リソース失敗終了アカウンティングの設定

リソース失敗終了アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

開始 - 終了レコードの AAA リソース アカウンティングの設定

開始 - 終了レコードのフル リソース アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

AAA ブロードキャスト アカウンティングの設定

AAA ブロードキャスト アカウンティングを設定するには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。

DNIS による AAA ブロードキャスト アカウンティングの設定

DNIS による AAA ブロードキャスト アカウンティングを設定するには、グローバル コンフィギュレーション モードで aaa dnis map accounting network コマンドを使用します。

AAA セッション MIB の設定

次のタスクは、次の AAA セッション MIB 機能の設定よりも前に実行する必要があります。

• SNMP を設定します。SNMP については、『Cisco IOS Network Management Configuration Guide』の「 Configuring SNMP Support 」の章を参照してください。

• AAA を設定します。

• RADIUS または TACACS+ サーバの特性を定義します。

（注） SNMP を多用すると、全体のシステム パフォーマンスに影響が出る可能性があります。そのため、この機能を使用するときに、通常のネットワーク管理パフォーマンスを考慮する必要があります。

AAA セッション MIB を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

VRRS アカウンティングの設定

次のタスクを実行して、AAA アカウンティング メッセージを AAA サーバに送信するように Virtual Router Redundancy Service（VRRS）を設定します。

手順の概要

1. enable

2. configure terminal

3. aaa accounting vrrs { default | list-name } start-stop method1 [ method2... ]

4. aaa attribute list list-name

5. attribute type name value [ service service ] [ protocol protocol ] [ mandatory ] [ tag tag-value ]

6. exit

7. vrrs vrrs-group-name

8. accounting delay seconds

9. accounting method { default | accounting-method-list }

10. exit

手順の詳細

AAA サーバが到達不能時のルータとのセッション確立

AAA サーバが到達不能の場合に、ルータとの間にコンソールまたは Telnet セッションを確立するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

（注） no aaa accounting system guarantee-first コマンドの入力は、コンソールまたは Telnet セッションを開始できる唯一の条件ではありません。たとえば、特権 EXEC セッションが TACACS+ によって認証され、TACACS+ サーバが到達不能の場合、セッションは開始できません。

アカウンティングのモニタリング

RADIUS または TACACS+ アカウンティングの場合、特定の show コマンドは存在しません。現在ログインしているユーザに関する情報を表示するアカウンティング レコードを取得するには、特権 EXEC モードで次のコマンドを使用します。

アカウンティングのトラブルシューティング

アカウンティング情報の問題を解決するには、特権 EXEC モードで次のコマンドを使用します。

例：名前付き方式リストの設定

次に、RADIUS サーバから AAA サービスを提供するために Cisco AS5200（AAA および RADIUS セキュリティ サーバとの通信で有効）を設定する例を示します。RADIUS サーバが応答に失敗すると、認証情報と認可情報についてローカル データベースへの照会が行われ、アカウンティング サービスは TACACS+ サーバによって処理されます。

この RADIUS AAA 設定のサンプル行は、次のように定義されます。

• aaa new-model コマンドは、AAA ネットワーク セキュリティ サービスをイネーブルにします。

• aaa authentication login admins local コマンドは、ログイン認証の方式リスト「admins」を定義します。

• aaa authentication ppp dialins group radius local コマンドで、まず RADIUS 認証を示す認証方式リスト「dialins」を定義します。次に、（RADIUS サーバが応答しない場合）PPP を使用するシリアル回線にはローカル認証が使用されます。

• aaa authorization network blue1 group radius local コマンドで、「blue1」というネットワーク認可方式リストを定義します。その際、PPP を使用するシリアル回線に RADIUS 認可を使用するように指定します。RADIUS サーバが応答に失敗すると、ローカル ネットワークの認可が実行されます。

• aaa accounting network red1 start-stop group radius group tacacs+ コマンドで、red1 というネットワーク アカウンティング方式リストを定義します。その際、PPP を使用するシリアル回線に RADIUS アカウンティング サービス（この場合、特定のイベントに対する開始レコードと終了イベント）を使用するように指定します。RADIUS サーバが応答に失敗すると、アカウンティングサービスは TACACS+ サーバによって処理されます。

• username コマンドはユーザ名とパスワードを定義します。これらの情報は、PPP Password Authentication Protocol（PAP; パスワード認証プロトコル）認証での発信元の身元確認に使用されます。

• tacacs-server host コマンドは TACACS+ サーバ ホストの名前を定義します。

• tacacs-server key コマンドはネットワーク アクセス サーバと TACACS+ サーバ ホスト間の共有秘密テキスト ストリングを定義します。

• radius-server host コマンドは RADIUS サーバ ホストの名前を定義します。

• radius-server key コマンドはネットワーク アクセス サーバと RADIUS サーバ ホスト間の共有秘密テキスト ストリングを定義します。

• interface group-async コマンドは非同期インターフェイス グループを選択して定義します。

• group-range コマンドはインターフェイス グループのメンバの非同期インターフェイスを定義します。

• encapsulation ppp コマンドは指定のインターフェイスに使用される PPP をカプセル化方式として設定します。

• ppp authentication chap dialins コマンドは ppp 認証方式として Challenge Handshake Authentication Protocol（CHAP; チャレンジ ハンドシェーク認証プロトコル）を選択し、特定のインターフェイスに「ダイヤルイン」方式リストを適用します。

• ppp authorization blue1 コマンドによって、blue1 ネットワーク認可方式リストは指定したインターフェイスに適用されます。

• ppp accounting red1 コマンドによって、red1 ネットワーク アカウンティング方式リストは指定したインターフェイスに適用されます。

• line コマンドはコンフィギュレーション モードをグローバル コンフィギュレーションからライン コンフィギュレーションに切り替え、設定対象の回線を指定します。

• autoselect ppp コマンドは、選択した回線上で PPP セッションを自動的に開始できるように Cisco IOS ソフトウェアを設定します。

• autoselect during-login コマンドを使用して、Return キー押さずにユーザ名およびパスワードのプロンプトを表示します。ユーザがログインすると、autoselect 機能（この場合は PPP）が開始します。

• login authentication admins コマンドは、ログイン認証の admins 方式リストを適用します。

• modem dialin コマンドは選択した回線に接続されているモデムを設定し、着信コールだけを受け入れるようにします。

show accounting コマンドを使用すると、前述の設定に関する出力が次のように生成されます。

表 4 に、前述の出力に含まれるフィールドを示します。

例：AAA リソース アカウンティングの設定

次に、リソース失敗終了アカウンティング、および 開始 - 終了レコード機能のリソース アカウンティングを設定する例を示します。

例：AAA ブロードキャスト アカウンティングの設定

次に、グローバル aaa accounting コマンドを使用して、ブロードキャスト アカウンティングを有効にする例を示します。

broadcast キーワードによって、ネットワーク接続に関する「開始」および「終了」アカウンティング レコードが、グループ isp ではサーバ 10.0.0.1 に、グループ isp_customer ではサーバ 172.0.0.1 に同時送信されます。サーバ 10.0.0.1 が使用できなくなると、サーバ 10.0.0.2 へのフェールオーバーが行われます。サーバ 172.0.0.1 が使用できなくなっても、グループ isp_customer にはバックアップ サーバが設定されていないため、フェールオーバーは行われません。

例：DNIS による AAA ブロードキャスト アカウンティングの設定

次に、グローバル aaa dnis map accounting network コマンドを使用して、DNIS によるブロードキャスト アカウンティングを有効にする例を示します。

broadcast キーワードによって、DNIS 番号 7777 のネットワーク接続コールに関する「開始」および「終了」アカウンティング レコードが、グループ isp ではサーバ 10.0.0.1 に、グループ isp_customer ではサーバ 172.0.0.1 に同時送信されます。サーバ 10.0.0.1 が使用できなくなると、サーバ 10.0.0.2 へのフェールオーバーが行われます。サーバ 172.0.0.1 が使用できなくなっても、グループ isp_customer にはバックアップ サーバが設定されていないため、フェールオーバーは行われません。

例：AAA セッション MIB

次に、AAA セッション MIB 機能を設定して、PPP ユーザの認証済みクライアント接続を解除する例を示します。

例：VRRS アカウンティングの設定

次に、AAA アカウンティング メッセージを AAA に送信するように VRRS を設定する例を示します。

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 1998-2010 Cisco Systems, Inc.
All rights reserved.

Copyright © 1998-2011, シスコシステムズ合同会社.
All rights reserved.