Per VRF AAA について
Per VRF AAA 機能を使用する場合、AAA サービスを VRF インスタンスに基づいたものにできます。この機能により、Provider Edge(PE; プロバイダー エッジ)または Virtual Home Gateway(VHG; 仮想ホーム ゲートウェイ)で、カスタマーの Virtual Private Network(VPN; バーチャル プライベート ネットワーク)に関連付けられたカスタマーの RADIUS サーバと RADIUS プロキシを経由せずに直接通信できます。RADIUS プロキシを使用する必要がないため、ISP は、VPN による提供サービスをより効率的に拡張でき、カスタマーにさらに柔軟性を提供できます。
•
「Per VRF AAA の機能」
• 「AAA アカウンティング レコード」
• 「新しいベンダー固有アトリビュート」
Per VRF AAA の機能
カスタマーごとに AAA をサポートするには、一部の AAA 機能をで VRF を認識させる必要があります。つまり、ISP は、AAA サーバ グループ、方式リスト、システム アカウンティング、およびプロトコル固有のパラメータなどの動作パラメータを定義し、これらのパラメータを特定の VRF インスタンスにバインドできる必要があります。動作パラメータの定義とバインディングには、次の 1 つ以上の方式が使用できます。
• Virtual Private Dial-up Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク):特定のカスタマーに設定されたに仮想テンプレートまたはダイヤラ インターフェイス。
• ローカルで定義されたカスタマー テンプレート:カスタマーの定義による Per VPN。カスタマー テンプレートは、ローカルで VHG に保存されます。この方式は、ドメイン名または Dialed Number Identification Service(DNIS; 着信番号識別サービス)に基づいて、リモート ユーザを特定の VPN に関連付け、カスタマーの AAA サーバに対する仮想アクセス インターフェイスおよびすべての動作パラメータに VPN 固有の設定を提供する場合に使用できます。
• リモートで定義されたカスタマー テンプレート:RADIUS プロファイルでサービス プロバイダーの AAA サーバに保存された、カスタマーの定義による Per VPN。この方式は、ドメイン名または DNIS に基づいて、リモート ユーザを特定の VPN に関連付け、カスタマーの AAA サーバに対する仮想アクセス インターフェイスおよびすべての動作パラメータに VPN 固有の設定を提供する場合に使用できます。
(注) ローカルまたはリモートで定義されたカスタマー テンプレートを設定する機能は、Cisco IOS Release 12.2(15)T 以降のリリースでのみ使用できます。
AAA アカウンティング レコード
シスコが採用している AAA アカウンティングでは、ユーザ認証を通過したコールに対する「開始」レコードと「終了」レコードがサポートされます。開始レコードと終了レコードは、ユーザがアカウンティング レコードを使用してネットワークを管理およびモニタするために必要です。
新しいベンダー固有アトリビュート
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間で Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)アトリビュート 26 を使用してベンダー固有の情報を伝達する方法が規定されています。アトリビュート 26 は VSA をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張アトリビュートをサポートできます。
シスコの RADIUS 実装では、IETF 仕様で推奨される形式を使用したベンダー固有オプションを 1 つサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は「cisco-av-pair」です。値は次の形式のストリングです。
protocol : attribute sep value *
「Protocol」は、特定の認可タイプを表すシスコの「protocol」アトリビュートです。「Attribute」と「value」は、シスコの TACACS+ 仕様に定義されている適切なアトリビュート値(AV)ペアで、「sep」は必須アトリビュートの場合には「=」、オプションのアトリビュートの場合に「*」を使用します。これにより、TACACS+ 認可で使用できるすべての機能を RADIUS にも使用できるようになります。
表 1 に、現在 Per VRF AAA でサポートされている VSA の概要を示します。
表 1 Per VRF AAA でサポートされる VSA
|
|
|
|
| (注) 別の拡張子が明示的に記述されている場合を除き、各 VSA には VSA 名の前に拡張子「template:」が必要です。 |
account-delay |
string |
この VSA は「on」にする必要があります。この VSA の機能は、カスタマー テンプレートの aaa accounting delay-start コマンドと同じです。 |
account-send-stop |
string |
この VSA は「on」にする必要があります。この VSA の機能は、 failure キーワードを指定した aaa accounting send stop-record authentication コマンドと同じです。 |
account-send-success-remote |
string |
この VSA は「on」にする必要があります。この VSA の機能は、 success キーワードを指定した aaa accounting send stop-record authentication コマンドと同じです。 |
attr-44 |
string |
この VSA は「access-req」にする必要があります。この VSA の機能は、 radius-server attribute 44 include-in-access-req コマンドと同じです。 |
ip-addr |
string |
この VSA は、IP アドレスを指定します。その後に、ルータが独自の IP アドレスを示すために使用するマスク、およびクライアントとのネゴシエーションのマスクが続きます。例:ip-addr=192.168.202.169 255.255.255.255。 |
ip-unnumbered |
string |
この VSA は、ルータ上のインターフェイスの名前を指定します。この VSA の機能は、「Loopback 0」などのインターフェイス名を指定する ip unnumbered コマンドと同じです。 |
ip-vrf |
string |
この VSA は、エンド ユーザのパケットに使用する VRF を指定します。この VRF 名は、 ip vrf forwarding コマンドを使用してルータに使用する名前に一致させる必要があります。 |
peer-ip-pool |
string |
この VSA は、ピアに割り当てられるアドレスの IP アドレス プールの名前を指定します。このプールは、 ip local pool コマンドを使用して設定するか、RADIUS 経由で自動的にダウンロード可能にする必要があります。 |
ppp-acct-list |
string |
この VSA は、PPP セッションに使用するアカウンティング方式リストを定義します。 VSA 構文は次のとおりです。「ppp-acct-list=[start-stop | stop-only | none] group X [group Y] [broadcast]」これは、 aaa accounting network mylist コマンド機能と等しくなります。 ユーザは、start-stop、stop-only、または none オプションを少なくとも 1 つ指定する必要があります。start-stop または stop-only を指定した場合、ユーザは少なくとも 1 つ、ただし 4 つ以内のグループ引数を指定する必要があります。各グループ名は、整数で構成する必要があります。グループ内のサーバは、VSA「rad-serv」を経由して、access-accept で識別されている必要があります。各グループが指定されると、ユーザはブロードキャスト オプションを指定できます。 |
ppp-authen-list |
string |
この VSA は、PPP セッションで使用する認証方式リスト、および複数の方式が指定されている場合は、方式を使用する順序を定義します。 VSA 構文は次のとおりです。「ppp-authen-list=[groupX | local | local-case | none | if-needed]」これは、 aaa authentication ppp mylist コマンド機能と等しくなります。 ユーザは少なくとも 1 つ、ただし 4 つ以内の認証方式を指定する必要があります。サーバ グループが指定されている場合、グループ名は整数である必要があります。グループ内のサーバは、VSA「rad-serv」を経由して、access-accept で識別されている必要があります。 |
ppp-authen-type |
string |
この VSA を使用すると、エンド ユーザは、pap、chap、eap、ms-chap、ms-chap-v2、any のいずれかの認証タイプ、または使用可能なタイプをスペースで区切って、少なくとも 1 つの認証タイプを指定できます。 エンド ユーザは、この VSA で指定された方式のみを使用して、ログインが許可されます。 PPP はアトリビュートで提示された順序で、これらの認証方式を試行します。 |
ppp-author-list |
string |
この VSA は、PPP セッションに使用する認可方式リストを定義します。使用する方式と順序を示します。 VSA 構文は次のとおりです。「ppp-author-list=[groupX] [local] [if-authenticated] [none]」これは、 aaa authorization network mylist コマンド機能に等しくなります。 ユーザは少なくとも 1 つ、ただし 4 つ以内の認可方式を指定する必要があります。サーバ グループが指定されている場合、グループ名は整数である必要があります。グループ内のサーバは、VSA「rad-serv」を経由して、access-accept で識別されている必要があります。 |
| (注) RADIUS VSAs--rad-serv、rad-server-filter、rad-serv-source-if、および rad-serv-vrf:VSA 名の前に拡張子「aaa:」が必要です。 |
rad-serv |
string |
この VSA は、サーバのグループとともに、IP アドレス、キー、タイムアウト、およびサーバの再送信回数を示します。 VSA 構文は次のとおりです。「rad-serv=a.b.c.d [key SomeKey] [auth-port X] [acct-port Y] [retransmit V] [timeout W]」IP アドレス以外、すべてのパラメータはオプションで、任意の順序で発行できます。オプションのパラメータが指定されていない場合、デフォルト値が使用されます。 キーにスペースを含めることはできません。「retransmit V」では「V」は、1 ~ 100 の範囲、「timeout W」では「W」は、1 ~ 1000 の範囲で指定できます。 |
rad-serv-filter |
string |
VSA 構文は次のとおりです。「rad-serv-filter=authorization | accounting-request | reply-accept | reject-filtername」フィルタ名は、 radius-server attribute list filtername コマンドを使用して定義する必要があります。 |
rad-serv-source-if |
string |
この VSA は、RADIUS パケットの送信に使用するインターフェイスの名前を指定します。指定されたインターフェイスは、ルータ上に設定されたインターフェイスと一致する必要があります。 |
rad-serv-vrf |
string |
この VSA は、RADIUS パケットの送信に使用する VRF の名前を指定します。VRF 名は、 ip vrf forwarding コマンドを使用して指定された名前と一致する必要があります。 |
Per VRF AAA の設定方法
ここでは、Per VRF AAA 機能を使用して考えられる導入シナリオに関する手順について説明します。
• 「Per VRF AAA の設定」(必須)
• 「ローカル カスタマー テンプレートを使用した Per VRF AAA の設定」(任意)
• 「リモート カスタマー テンプレートを使用した Per VRF AAA の設定」(任意)
• 「VRF ルーティングの設定確認」(任意)
• 「Per VRF AAA 設定のトラブルシューティング」(任意)
AAA の設定
AAA をイネーブルにするには、次のタスクを実行します。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. ip vrf default
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa new-model
Router(config)# aaa new-model |
AAA をグローバルにイネーブルにします。 |
ステップ 4 |
ip vrf default
Router(config)# ip vrf default |
デフォルトの VRF 名が設定されるまで、デフォルトの VRF 名がヌル値になるように、このコマンドは、 radius-server domain-stripping コマンドなどの VRF 関連の AAA コマンドを設定する前に設定する必要があります。 |
サーバ グループの設定
サーバ グループを設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. aaa group server radius groupname
5. server-private ip-address [ auth-port port-number | acct - port port - number ] [ non-standard ] [ timeout seconds ] [ retransmit retries ] [ key string ]
6. exit
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa new-model
Router(config)# aaa new-model |
AAA をグローバルにイネーブルにします。 |
ステップ 4 |
aaa group server radius groupname
Router(config)# aaa group server radius v2.44.com |
複数の RADIUS サーバ ホストを別々のリストと別々の方式にグループ分けします。server-group コンフィギュレーション モードを開始します。 |
ステップ 5 |
server-private ip-address [ auth-port port-number | acct-port port-number ] [ non-standard ] [ timeout seconds ] [ retransmit retries ] [ key string ]
Router(config-sg-radius)# server-private 10.10.130.2 auth-port 1600 key ww |
グループ サーバに対するプライベート RADIUS サーバの IP アドレスを設定します。 (注) プライベート サーバ パラメータが指定されていない場合、グローバル コンフィギュレーションが使用されます。グローバル コンフィギュレーションが指定されていない場合、デフォルト値が使用されます。 |
ステップ 6 |
exit
Router(config-sg-radius)# exit |
server-group コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
Per VRF AAA の認証、認可、およびアカウンティングの設定
Per VRF AAA の認証、認可、およびアカウンティングを設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa new-model
4. aaa authentication ppp { default | list-name } method1 [ method2... ]
5. aaa authorization { network | exec | commands level | reverse-access | configuration } { default | list-name } method1 [ method2 ...]
6. aaa accounting system default [ vrf vrf-name ] { start-stop | stop-only | none } [ broadcast ] group groupname
7. aaa accounting delay-start [ vrf vrf-name ]
8. aaa accounting send stop-record authentication { failure | success remote-server } [ vrf vrf-name ]
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa new-model
Router(config)# aaa new-model |
AAA をグローバルにイネーブルにします。 |
ステップ 4 |
aaa authentication ppp { default | list-name } method1 [ method2 ...]
Router(config)# aaa authentication ppp method_list_v2.44.com group v2.44.com |
PPP を実行するシリアル インターフェイス上で使用する 1 つ以上の AAA 認証方式を指定します。 |
ステップ 5 |
aaa authorization { network | exec | commands level | reverse-access | configuration } { default | list-name } method1 [ method2 ...]
Router(config)# aaa authorization network method_list_v2.44.com group v2.44.com |
ネットワークへのユーザ アクセスを制限するパラメータを設定します。 |
ステップ 6 |
aaa accounting system default [ vrf vrf-name ] { start-stop | stop-only | none } [ broadcast ] group groupname
Router(config)# aaa accounting system default vrf v2.44.com start-stop group v2.44.com |
課金、または RADIUS を使用する際のセキュリティのために、要求されたサービスの AAA アカウンティングをイネーブルにします。 キーワードは、Cisco IOS Release 12.4(24)T 以降のリリースでは使用できません。 |
ステップ 7 |
aaa accounting delay-start [ vrf vrf-name ]
Router(config)# aaa acounting delay-start vrf v2.44.com |
ユーザの IP アドレスが確立されるまで、アカウンティング開始レコードの生成を表示します。 |
ステップ 8 |
aaa accounting send stop-record authentication { failure | success remote-server } [ vrf vrf-name ]
Router(config)# aaa accounting send stop-record authentication failure vrf v2.44.com |
アカウンティング終了レコードを生成します。 failure キーワードを使用すると、認証中に拒否されたコールに対する「終了」レコードが送信されます。 success キーワードを使用すると、次のいずれかの基準を満たすコールに対して、「終了」レコードが送信されます。 • コールが終了したときに、リモート AAA サーバによって認証されるコール。 • リモート AAA サーバによって認証されず、開始レコードが送信されたコール。 • 正常に確立され、「stop-only」 aaa accounting 設定で終了したコール。 キーワードは、Cisco IOS Release 12.4(2)T 以降のリリースで使用できます。 キーワードは、Cisco IOS Release 12.2SX では使用できません。 |
Per VRF AAA の RADIUS 固有のコマンドの設定
Per VRF AAA の RADIUS 固有のコマンドを設定するには、次の手順を実行します。
手順の概要
1. enable
2. configure terminal
3. ip radius source-interface subinterface-name [ vrf vrf-name ]
4. radius-server attribute 44 include-in-access-req [ vrf vrf-name ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip radius source-interface subinterface-name [ vrf vrf-name ]
Router(config)# ip radius source-interface loopback55 |
すべての発信 RADIUS パケットに対して、RADIUS に指定されたインターフェイスの IP アドレスを強制的に使用させ、Per VRF に基づいて仕様をイネーブルにします。 |
ステップ 4 |
radius-server attribute 44 include-in-access-req [ vrf vrf-name ]
Router(config)# radius-server attribute 44 include-in-access-req vrf v2.44.com |
ユーザ認証前に、アクセス要求パケットで、RADIUS アトリビュート 44 を送信し、Per VRF に基づいて仕様を有効にします。 |
Per VRF AAA のインターフェイス固有のコマンドの設定
Per VRF AAA でインターフェイス固有のコマンドを設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. interface type number [ name-tag ]
4. ip vrf forwarding vrf-name
5. ppp authentication { protocol1 [ protocol2 ...]} listname
6. ppp authorization list-name
7. ppp accounting default
8. exit
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface type number [ name-tag ]
Router(config)# interface loopback11 |
インターフェイス タイプを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
ip vrf forwarding vrf-name
Router(config-if)# ip vrf forwarding v2.44.com |
インターフェイスと VRF を関連付けます。 |
ステップ 5 |
ppp authentication { protocol1 [ protocol2 ...]} listname
Router(config-if)# ppp authentication chap callin V2_44_com |
Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)および Password Authentication Protocol(PAP; パスワード認証プロトコル)または両方をイネーブルにし、インターフェイス上で、CHAP または PAP 認証が選択される順序を指定します。 |
ステップ 6 |
ppp authorization list-name
Router(config-if)# ppp authorization V2_44_com |
選択したインターフェイスで、AAA 認可をイネーブルにします。 |
ステップ 7 |
ppp accounting default
Router(config-if)# ppp accounting default |
選択したインターフェイスで、AAA アカウンティング サービスをイネーブルにします。 |
ステップ 8 |
exit
Router(config)# exit |
インターフェイス コンフィギュレーション モードを終了します。 |
ローカル カスタマー テンプレートを使用した AAA の設定
「AAA の設定」 で説明する作業を実行します。
ローカル カスタマー テンプレートを使用した Per VRF AAA の認可の設定
ローカル テンプレートを使用して Per VRF AAA の認可を設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa authorization template
4. aaa authorization network default local
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa authorization template
Router(config)# aaa authorization template |
ローカルまたはリモート テンプレートの使用をイネーブルにします。 |
ステップ 4 |
aaa authorization network default local
Router(config)# aaa authorization network default local |
ローカルを認可のデフォルト方式として指定します。 |
ローカル カスタマー テンプレートの設定
ローカル カスタマー テンプレートを設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. vpdn search-order domain
4. template name [ default | exit | multilink | no | peer | ppp ]
5. peer default ip address pool pool-name
6. ppp authentication { protocol1 [ protocol2 ...]} [ if-needed ] [ list-name | default ] [ callin ] [ one-time ]
7. ppp authorization [ default | list-name ]
8. aaa accounting { auth-proxy | system | network | exec | connection | commands level } { default | list-name } [ vrf vrf-name ] { start-stop | stop-only | none } [ broadcast ] group groupname
9. exit
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
vpdn search-order domain
Router (config)# vpdn search-order domain |
ドメインに基づいてプロファイルを検索します。 |
ステップ 4 |
template name [ default | exit | multilink | no | peer | ppp ]
Router (config)# template v2.44.com |
カスタマー プロファイル テンプレートを作成し、受信先のカスタマーに関連する一意の名前を割り当てます。 テンプレート コンフィギュレーション モードを開始します。 キーワードを入力します。 |
ステップ 5 |
peer default ip address pool pool-name
Router(config-template)# peer default ip address pool v2_44_com_pool |
(任意)このテンプレートの添付先のカスタマー プロファイルが、指定した名前のローカル IP アドレス プールを使用するように指定します。 |
ステップ 6 |
ppp authentication { protocol1 [ protocol2 ...]} [ if-needed ] [ list-name | default ] [ callin ] [ one-time ]
Router(config-template)# ppp authentication chap |
(任意)PPP リンク認証方式を設定します。 |
ステップ 7 |
ppp authorization [ default | list-name ]
Router(config-template)# ppp authorization v2_44_com |
(任意)PPP リンク認可方式を設定します。 |
ステップ 8 |
aaa accounting { auth-proxy | system | network | exec | connection | commands level } { default | list-name } [ vrf vrf-name ] { start-stop | stop-only | none } [ broadcast ] group groupname
Router(config-template)# aaa accounting v2_44_com |
(任意)指定したカスタマー プロファイルで、AAA 動作パラメータをイネーブルにします。 |
ステップ 9 |
exit
Router(config-template)# exit |
テンプレート コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
リモート カスタマー テンプレートを使用した AAA の設定
「AAA の設定」 で説明する作業を実行します。
リモート カスタマー テンプレートを使用した Per VRF AAA の認証の設定
リモート カスタマー テンプレートを使用して Per VRF AAA の認証を設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa authentication ppp { default | list-name } method1 [ method2. ..]
4. aaa authorization { network | exec | commands level | reverse-access | configuration } { default | list-name } [[ method1 [ method2 ...]
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa authentication ppp { default | list-name } method1 [ method2 ...]
Router(config)# ppp authentication ppp default group radius |
PPP を実行するシリアル インターフェイス上で使用する 1 つ以上の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証方式を指定します。 |
ステップ 4 |
aaa authorization { network | exec | commands level | reverse-access | configuration } { default | list-name } [[ method1 [ method2 ...]
Router(config)# aaa authorization network default group sp |
ネットワークへのユーザ アクセスを制限するパラメータを設定します。 |
リモート カスタマー テンプレートを使用した Per VRF AAA の認可の設定
リモート カスタマー テンプレートを使用して Per VRF AAA の認可を設定するには、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. aaa authorization template
4. aaa authorization { network | exec | commands level | reverse-access | configuration } { default | list-name } [[ method1 [ method2 ...]
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaa authorization template
Router(config)# aaa authorization template |
ローカルまたはリモート テンプレートの使用をイネーブルにします。 |
ステップ 4 |
aaa authorization { network | exec | commands level | reverse-access | configuration } { default | list-name } [[ method1 [ method2 ...]
Router(config)# aaa authorization network default sp |
認可のデフォルト方式として指定されたサーバ グループを指定します。 |
VRF ルーティングの設定確認
VRF ルーティングの設定確認には、次の作業を実行します。
手順の概要
1. enable
2. configure terminal
3. show ip route vrf vrf-name
手順の詳細
| |
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
show ip route vrf vrf-name
Router(config)# show ip route vrf northvrf |
VRF に関連付けられた IP ルーティング テーブルを表示します。 |
Per VRF AAA 設定のトラブルシューティング
Per VRF AAA 機能のトラブルシューティングを行う場合は、EXEC モードで次のコマンドを少なくとも 1 つ使用します。
|
|
|
Router# debug aaa accounting |
説明の義務があるイベントが発生したときに、その情報を表示します。 |
Router# debug aaa authentication |
AAA 認証に関する情報を表示します。 |
Router# debug aaa authorization |
AAA 認証に関する情報を表示します。 |
Router# debug ppp negotiation |
PPP を実装するインターネットワークでのトラフィックおよび交換に関する情報を表示します。 |
Router# debug radius |
RADIUS 関連の情報を表示します。 |
Router# debug vpdn event |
VPN の通常のトンネルの確立、またはシャットダウンの一部である Layer 2 Transport Protocol(L2TP; レイヤ 2 プロトコル)のエラーおよびイベントを表示します。 |
Router# debug vpdn error |
VPN のデバッグ トレースを表示します。 |
Per VRF AAA の設定例
ここでは、次の設定例について説明します。
• 「Per VRF の設定:例」
• 「カスタマー テンプレート:例」
• 「AAA アカウンティング終了レコード:例」
Per VRF AAA:例
次に、関連付けられたプライベート サーバで AAA サーバ グループを使用して Per VRF AAA 機能を設定する方法の例を示します。
aaa authentication ppp method_list_v1.55.com group v1.55.com
aaa authorization network method_list_v1.55.com group v1.55.com
aaa accounting network method_list_v1.55.com start-stop group v1.55.com
aaa accounting system default vrf v1.55.com start-stop group v1.55.com
aaa accounting delay-start vrf v1.55.com
aaa accounting send stop-record authentication failure vrf v1.55.com
aaa group server radius v1.55.com
server-private 10.10.132.4 auth-port 1645 acct-port 1646 key ww
ip vrf forwarding v1.55.com
ip radius source-interface loopback55
radius-server attribute 44 include-in-access-req vrf v1.55.com
ローカルで定義されたカスタマー テンプレートを使用した Per VRF AAA:例
次に、関連付けられたプライベート サーバのある AAA サーバ グループで、ローカルで定義されたカスタマー テンプレートを使用して Per VRF AAA 機能を設定する方法の例を示します。
aaa authentication ppp method_list_v1.55.com group v1.55.com
aaa authorization network method_list_v1.55.com group v1.55.com
aaa authorization network default local
aaa authorization template
aaa accounting network method_list_v1.55.com start-stop group v1.55.com
aaa accounting system default vrf v1.55.com start-stop group v1.55.com
aaa group server radius V1_55_com
server-private 10.10.132.4 auth-port 1645 acct-port 1646 key ww
ip vrf forwarding V1.55.com
peer default ip address pool V1_55_com_pool
ppp authentication chap callin V1_55_com
ppp authorization V1_55_com
aaa accounting delay-start
aaa accounting send stop-record authentication failure
radius-server attribute 44 include-in-access-req
ip vrf forwarding v1.55.com
ip radius source-interface Loopback55
リモート RADIUS カスタマー テンプレートを使用した Per VRF AAA:例
次に、関連付けられたプライベート サーバのある AAA サーバ グループで、SP RADIUS サーバ上にリモートで定義したカスタマー テンプレートを使用して Per VRF AAA 機能を設定する方法の例を示します。
aaa authentication ppp default group radius
aaa authorization template
aaa authorization network default group sp
aaa group server radius sp
radius-server host 10.3.3.3 auth-port 1645 acct-port 1646 key sp_key
次の RADIUS サーバ プロファイルは、SP RADIUS サーバ上で設定されます。
cisco-avpair = "aaa:rad-serv#1=10.10.132.4 key ww"
cisco-avpair = "aaa:rad-serv-vrf#1=V1.55.com"
cisco-avpair = "aaa:rad-serv-source-if#1=Loopback 55"
cisco-avpair = "template:ppp-authen-list=group 1"
cisco-avpair = "template:ppp-author-list=group 1"
cisco-avpair = "template:ppp-acct-list= start-stop group 1"
cisco-avpair = "template:account-delay=on"
cisco-avpair = "template:account-send-stop=on"
cisco-avpair = "template:rad-attr44=access-req"
cisco-avpair = "template:peer-ip-pool=V1.55-pool"
cisco-avpair = "template:ip-vrf=V1.55.com"
cisco-avpair = "template:ip-unnumbered=Loopback 55"
RADIUS Attribute Screening およびブロードキャスト アカウンティングを使用してローカルで設定されたカスタマー テンプレート:例
次に、RADIUS Attribute Screening およびブロードキャスト アカウンティングを含む追加機能を設定する、単一のカスタマー向けにローカルで設定されたテンプレートを作成する方法の例を示します。
aaa authentication ppp default local group radius
aaa authentication ppp V1_55_com group V1_55_com
aaa authorization template
aaa authorization network default local group radius
aaa authorization network V1_55_com group V1_55_com
aaa accounting network V1_55_com start-stop broadcast group V1_55_com group SP_AAA_server
aaa group server radius SP_AAA_server
server 10.10.100.7 auth-port 1645 acct-port 1646
aaa group server radius V1_55_com
server-private 10.10.132.4 auth-port 1645 acct-port 1646
authorization accept min-author
accounting accept usage-only
ip vrf forwarding V1.55.com
peer default ip address pool V1.55-pool
ppp authentication chap callin V1_55_com
ppp authorization V1_55_com
aaa accounting delay-start
aaa accounting send stop-record authentication failure
radius-server attribute 44 include-in-access-req
terminate-from hostname lac-lb-V1.55
l2tp tunnel password 7 060506324F41
interface Virtual-Template13
ip vrf forwarding V1.55.com
ppp authentication chap callin
ip local pool V1.55-pool 10.1.55.10 10.1.55.19 group V1.55-group
ip radius source-interface Loopback0
ip radius source-interface Loopback55 vrf V1.55.com
radius-server attribute list min-author
attribute 6-7,22,27-28,242
radius-server attribute list usage-only
radius-server host 10.10.100.7 auth-port 1645 acct-port 1646 key ww
radius-server host 10.10.132.4 auth-port 1645 acct-port 1646 key ww
RADIUS Attribute Screening およびブロードキャスト アカウンティングを使用してリモートで設定されたカスタマー テンプレート:例
次に、RADIUS Attribute Screening およびブロードキャスト アカウンティングを含む追加機能を設定する、単一のカスタマー向けにリモートで設定されたテンプレートを作成する方法の例を示します。
aaa authentication ppp default local group radius
aaa authorization template
aaa authorization network default local group radius
terminate-from hostname lac-lb-V1.55
l2tp tunnel password 7 060506324F41
interface Virtual-Template13
ppp authentication chap callin
ip local pool V1.55-pool 10.1.55.10 10.1.55.19 group V1.55-group
radius-server attribute list min-author
attribute 6-7,22,27-28,242
radius-server attribute list usage-only
カスタマー テンプレートは、v1.55.com の RADIUS サーバ プロファイルとして保存されます。
cisco-avpair = "aaa:rad-serv#1=10.10.132.4 key ww"
cisco-avpair = "aaa:rad-serv-vrf#1=V1.55.com"
cisco-avpair = "aaa:rad-serv-source-if#1=Loopback 55"
cisco-avpair = "aaa:rad-serv#2=10.10.100.7 key ww"
cisco-avpair = "aaa:rad-serv-source-if#2=Loopback 0"
cisco-avpair = "template:ppp-authen-list=group 1"
cisco-avpair = "template:ppp-author-list=group 1"
cisco-avpair = "template:ppp-acct-list= start-stop group 1 group 2 broadcast"
cisco-avpair = "template:account-delay=on"
cisco-avpair = "template:account-send-stop=on"
cisco-avpair = "template:rad-attr44=access-req"
cisco-avpair = "aaa:rad-serv-filter#1=authorization accept min-author"
cisco-avpair = "aaa:rad-serv-filter#1=accounting accept usage-only"
cisco-avpair = "template:peer-ip-pool=V1.55-pool"
cisco-avpair = "template:ip-vrf=V1.55.com"
cisco-avpair = "template:ip-unnumbered=Loopback 55"
AAA アカウンティング終了レコード:例
次に、 start-stop または stop-only キーワードを指定して aaa accounting コマンドを発行したときに、「終了」レコードの生成を制御する aaa accounting send stop-record authentication コマンドを設定する方法を示す、AAA アカウンティング終了レコードの例を示します。
(注) success および remote-server キーワードは、Cisco IOS Release 12.4(2)T 以降のリリースで使用できます。
ここでは、次の設定例について説明します。
• 「AAA アカウンティング終了レコードと成功したコール:例」
• 「AAA アカウンティング終了レコードと拒否されたコール:例」
AAA アカウンティング終了レコードと成功したコール:例
次に、 aaa accounting send stop-record authentication コマンドを failure キーワードを指定して発行した場合に、成功したコールに関する「開始」および「終了」レコードが送信されている例を示します。
Router# show running-config | include aaa
aaa authentication ppp default group radius
aaa authorization network default local
aaa accounting send stop-record authentication failure
aaa accounting network default start-stop group radius
*Jul 7 03:28:31.543: AAA/BIND(00000018): Bind i/f Virtual-Template2
*Jul 7 03:28:31.547: ppp14 AAA/AUTHOR/LCP: Authorization succeeds trivially
*Jul 7 03:28:33.555: AAA/AUTHOR (0x18): Pick method list 'default'
*Jul 7 03:28:33.555: AAA/BIND(00000019): Bind i/f
*Jul 7 03:28:33.555: Tnl 5192 L2TP: O SCCRQ
*Jul 7 03:28:33.555: Tnl 5192 L2TP: O SCCRQ, flg TLS, ver 2, len 141, tnl 0,
C8 02 00 8D 00 00 00 00 00 00 00 00 80 08 00 00
00 00 00 01 80 08 00 00 00 02 01 00 00 08 00 00
00 06 11 30 80 10 00 00 00 07 4C 41 43 2D 74 75
6E 6E 65 6C 00 19 00 00 00 08 43 69 73 63 6F 20
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Parse AVP 0, len 8, flag 0x8000 (M)
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Parse SCCRP
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Parse AVP 2, len 8, flag 0x8000 (M)
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Protocol Ver 256
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Parse AVP 3, len 10, flag 0x8000 (M)
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Framing Cap 0x0
*Jul 7 03:28:33.563: Tnl 5192 L2TP: Parse AVP 4, len 10, flag 0x8000 (M)
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Bearer Cap 0x0
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 6, len 8, flag 0x0
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Firmware Ver 0x1120
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 7, len 16, flag 0x8000 (M)
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Hostname LNS-tunnel
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 8, len 25, flag 0x0
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Vendor Name Cisco Systems, Inc.
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 9, len 8, flag 0x8000 (M)
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Assigned Tunnel ID 6897
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 10, len 8, flag 0x8000 (M)
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Rx Window Size 20050
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 11, len 22, flag 0x8000 (M)
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Chlng
81 13 03 F6 A8 E4 1D DD 25 18 25 6E 67 8C 7C 39
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Parse AVP 13, len 22, flag 0x8000 (M)
*Jul 7 03:28:33.567: Tnl 5192 L2TP: Chlng Resp
4D 52 91 DC 1A 43 B3 31 B4 F5 B8 E1 88 22 4F 41
*Jul 7 03:28:33.571: Tnl 5192 L2TP: No missing AVPs in SCCRP
*Jul 7 03:28:33.571: Tnl 5192 L2TP: I SCCRP, flg TLS, ver 2, len 157, tnl
C8 02 00 9D 14 48 00 00 00 00 00 01 80 08 00 00
00 00 00 02 80 08 00 00 00 02 01 00 80 0A 00 00
00 03 00 00 00 00 80 0A 00 00 00 04 00 00 00 00
00 08 00 00 00 06 11 20 80 10 00 00 00 07 4C 4E
53 2D 74 75 6E 6E 65 6C ...
*Jul 7 03:28:33.571: Tnl 5192 L2TP: I SCCRP from LNS-tunnel
*Jul 7 03:28:33.571: Tnl 5192 L2TP: O SCCCN to LNS-tunnel tnlid 6897
*Jul 7 03:28:33.571: Tnl 5192 L2TP: O SCCCN, flg TLS, ver 2, len 42, tnl
C8 02 00 2A 1A F1 00 00 00 01 00 01 80 08 00 00
00 00 00 03 80 16 00 00 00 0D 32 24 17 BC 6A 19
B1 79 F3 F9 A9 D4 67 7D 9A DB
*Jul 7 03:28:33.571: uid:14 Tnl/Sn 5192/11 L2TP: O ICRQ to LNS-tunnel 6897/0
*Jul 7 03:28:33.571: uid:14 Tnl/Sn 5192/11 L2TP: O ICRQ, flg TLS, ver 2, len
63, tnl 6897, lsid 11, rsid 0, ns 2, nr 1
C8 02 00 3F 1A F1 00 00 00 02 00 01 80 08 00 00
00 00 00 0A 80 0A 00 00 00 0F C8 14 B4 03 80 08
00 00 00 0E 00 0B 80 0A 00 00 00 12 00 00 00 00
00 0F 00 09 00 64 0F 10 09 02 02 00 1B 00 00
*Jul 7 03:28:33.575: uid:14 Tnl/Sn 5192/11 L2TP: Parse AVP 0, len 8, flag
*Jul 7 03:28:33.575: uid:14 Tnl/Sn 5192/11 L2TP: Parse ICRP
*Jul 7 03:28:33.575: uid:14 Tnl/Sn 5192/11 L2TP: Parse AVP 14, len 8, flag
*Jul 7 03:28:33.575: uid:14 Tnl/Sn 5192/11 L2TP: Assigned Call ID 5
*Jul 7 03:28:33.575: uid:14 Tnl/Sn 5192/11 L2TP: No missing AVPs in ICRP
*Jul 7 03:28:33.575: uid:14 Tnl/Sn 5192/11 L2TP: I ICRP, flg TLS, ver 2, len
28, tnl 5192, lsid 11, rsid 0, ns 1, nr 3
C8 02 00 1C 14 48 00 0B 00 01 00 03 80 08 00 00
00 00 00 0B 80 08 00 00 00 0E 00 05
*Jul 7 03:28:33.579: uid:14 Tnl/Sn 5192/11 L2TP: O ICCN to LNS-tunnel 6897/5
*Jul 7 03:28:33.579: uid:14 Tnl/Sn 5192/11 L2TP: O ICCN, flg TLS, ver 2, len
167, tnl 6897, lsid 11, rsid 5, ns 3, nr 2
C8 02 00 A7 1A F1 00 05 00 03 00 02 80 08 00 00
00 00 00 0C 80 0A 00 00 00 18 06 1A 80 00 00 0A
00 00 00 26 06 1A 80 00 80 0A 00 00 00 13 00 00
00 01 00 15 00 00 00 1B 01 04 05 D4 03 05 C2 23
*Jul 7 03:28:33.579: RADIUS/ENCODE(00000018):Orig. component type = PPoE
*Jul 7 03:28:33.579: RADIUS(00000018): Config NAS IP: 10.0.0.0
*Jul 7 03:28:33.579: RADIUS(00000018): sending
*Jul 7 03:28:33.579: RADIUS/ENCODE: Best Local IP-Address 10.0.1.123 for
Radius-Server 172.19.192.238
*Jul 7 03:28:33.579: RADIUS(00000018): Send Accounting-Request to
172.19.192.238:2196 id 1646/23, len 176
*Jul 7 03:28:33.579: RADIUS: authenticator 3C 81 D6 C5 2B 6D 21 8E - 19 FF
*Jul 7 03:28:33.579: RADIUS: Acct-Session-Id [44] 10 "00000023"
*Jul 7 03:28:33.579: RADIUS: Framed-Protocol [7] 6
*Jul 7 03:28:33.579: RADIUS: Tunnel-Medium-Type [65] 6
*Jul 7 03:28:33.583: RADIUS: Tunnel-Client-Endpoi[66] 10 "10.0.0.1"
*Jul 7 03:28:33.583: RADIUS: Tunnel-Server-Endpoi[67] 10 "10.0.0.2"
*Jul 7 03:28:33.583: RADIUS: Tunnel-Assignment-Id[82] 5 "lac"
*Jul 7 03:28:33.583: RADIUS: Tunnel-Type [64] 6
*Jul 7 03:28:33.583: RADIUS: Acct-Tunnel-Connecti[68] 12 "3356800003"
*Jul 7 03:28:33.583: RADIUS: Tunnel-Client-Auth-I[90] 12 "LAC-tunnel"
*Jul 7 03:28:33.583: RADIUS: Tunnel-Server-Auth-I[91] 12 "LNS-tunnel"
*Jul 7 03:28:33.583: RADIUS: User-Name [1] 16 "user@example.com"
*Jul 7 03:28:33.583: RADIUS: Acct-Authentic [45] 6
*Jul 7 03:28:33.583: RADIUS: Acct-Status-Type [40] 6
*Jul 7 03:28:33.583: RADIUS: NAS-Port-Type [61] 6
*Jul 7 03:28:33.583: RADIUS: NAS-Port [5] 6
*Jul 7 03:28:33.583: RADIUS: NAS-Port-Id [87] 9 "0/0/0/0"
*Jul 7 03:28:33.583: RADIUS: Service-Type [6] 6
*Jul 7 03:28:33.583: RADIUS: NAS-IP-Address [4] 6
*Jul 7 03:28:33.583: RADIUS: Acct-Delay-Time [41] 6
*Jul 7 03:28:33.683: RADIUS: Received from id 1646/23 172.19.192.238:2196,
Accounting-response, len 20
*Jul 7 03:28:33.683: RADIUS: authenticator 1C E9 53 42 A2 8A 58 9A - C3 CC
AAA アカウンティング終了レコードと拒否されたコール:例
次に、 aaa accounting send stop-record authentication コマンドを success キーワードを指定して発行した場合に、認証中に拒否されたコールに関する「終了」レコードが送信されている例を示します。
Router# show running-config | include aaa
aaa authentication ppp default group radius
aaa authorization network default local
aaa accounting send stop-record authentication success remote-server
aaa accounting network default start-stop group radius
*Jul 7 03:39:40.199: AAA/BIND(00000026): Bind i/f Virtual-Template2
*Jul 7 03:39:40.199: ppp21 AAA/AUTHOR/LCP: Authorization succeeds trivially
*Jul 7 03:39:42.199: RADIUS/ENCODE(00000026):Orig. component type = PPoE
*Jul 7 03:39:42.199: RADIUS: AAA Unsupported [156] 7
*Jul 7 03:39:42.199: RADIUS: 30 2F 30 2F
*Jul 7 03:39:42.199: RADIUS(00000026): Config NAS IP: 10.0.0.0
*Jul 7 03:39:42.199: RADIUS/ENCODE(00000026): acct_session_id: 55
*Jul 7 03:39:42.199: RADIUS(00000026): sending
*Jul 7 03:39:42.199: RADIUS/ENCODE: Best Local IP-Address 10.0.1.123 for
Radius-Server 172.19.192.238
*Jul 7 03:39:42.199: RADIUS(00000026): Send Access-Request to
172.19.192.238:2195 id 1645/14, len 94
*Jul 7 03:39:42.199: RADIUS: authenticator A6 D1 6B A4 76 9D 52 CF - 33 5D
*Jul 7 03:39:42.199: RADIUS: Framed-Protocol [7] 6
*Jul 7 03:39:42.199: RADIUS: User-Name [1] 16 "user@example.com"
*Jul 7 03:39:42.199: RADIUS: CHAP-Password [3] 19 *
*Jul 7 03:39:42.199: RADIUS: NAS-Port-Type [61] 6
*Jul 7 03:39:42.199: RADIUS: NAS-Port [5] 6
*Jul 7 03:39:42.199: RADIUS: NAS-Port-Id [87] 9 "0/0/0/0"
*Jul 7 03:39:42.199: RADIUS: Service-Type [6] 6
*Jul 7 03:39:42.199: RADIUS: NAS-IP-Address [4] 6
*Jul 7 03:39:42.271: RADIUS: Received from id 1645/14 172.19.192.238:2195,
*Jul 7 03:39:42.271: RADIUS: authenticator 30 AD FF 8E 59 0C E4 6C - BA 11
*Jul 7 03:39:42.271: RADIUS: Framed-Protocol [7] 6
*Jul 7 03:39:42.275: RADIUS: Service-Type [6] 6
*Jul 7 03:39:42.275: RADIUS: Vendor, Cisco [26] 26
*Jul 7 03:39:42.275: RADIUS: Cisco AVpair [1] 20 "vpdn:tunnel-
*Jul 7 03:39:42.275: RADIUS: Vendor, Cisco [26] 29
*Jul 7 03:39:42.275: RADIUS: Cisco AVpair [1] 23 "vpdn:tunnel-
*Jul 7 03:39:42.275: RADIUS: Vendor, Cisco [26] 30
*Jul 7 03:39:42.275: RADIUS: Cisco AVpair [1] 24 "vpdn:gw-
*Jul 7 03:39:42.275: RADIUS: Vendor, Cisco [26] 31
*Jul 7 03:39:42.275: RADIUS: Cisco AVpair [1] 25 "vpdn:nas-
*Jul 7 03:39:42.275: RADIUS: Vendor, Cisco [26] 34
*Jul 7 03:39:42.275: RADIUS: Cisco AVpair [1] 28 "vpdn:ip-
*Jul 7 03:39:42.275: RADIUS: Service-Type [6] 6
*Jul 7 03:39:42.275: RADIUS: Framed-Protocol [7] 6
*Jul 7 03:39:42.275: RADIUS(00000026): Received from id 1645/14
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: Framed-Protocol
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: service-type
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: tunnel-id
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: tunnel-type
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: gw-password
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: nas-password
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: ip-addresses
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: service-type
*Jul 7 03:39:42.275: ppp21 PPP/AAA: Check Attr: Framed-Protocol
*Jul 7 03:39:42.279: AAA/BIND(00000027): Bind i/f
*Jul 7 03:39:42.279: Tnl 21407 L2TP: O SCCRQ
*Jul 7 03:39:42.279: Tnl 21407 L2TP: O SCCRQ, flg TLS, ver 2, len 134, tnl
C8 02 00 86 00 00 00 00 00 00 00 00 80 08 00 00
00 00 00 01 80 08 00 00 00 02 01 00 00 08 00 00
00 06 11 30 80 09 00 00 00 07 6C 61 63 00 19 00
00 00 08 43 69 73 63 6F 20 53 79 73 74 65 6D 73
*Jul 7 03:39:49.279: Tnl 21407 L2TP: O StopCCN
*Jul 7 03:39:49.279: Tnl 21407 L2TP: O StopCCN, flg TLS, ver 2, len 66, tnl
C8 02 00 42 00 00 00 00 00 01 00 00 80 08 00 00
00 00 00 04 80 1E 00 00 00 01 00 02 00 06 54 6F
6F 20 6D 61 6E 79 20 72 65 74 72 61 6E 73 6D 69
74 73 00 08 00 09 00 69 00 01 80 08 00 00 00 09
*Jul 7 03:39:49.279: RADIUS/ENCODE(00000026):Orig. component type = PPoE
*Jul 7 03:39:49.279: RADIUS(00000026): Config NAS IP: 10.0.0.0
*Jul 7 03:39:49.279: RADIUS(00000026): sending
*Jul 7 03:39:49.279: RADIUS/ENCODE: Best Local IP-Address 10.0.1.123 for
Radius-Server 172.19.192.238
*Jul 7 03:39:49.279: RADIUS(00000026): Send Accounting-Request to
172.19.192.238:2196 id 1646/32, len 179
*Jul 7 03:39:49.279: RADIUS: authenticator 0A 85 2F F0 65 6F 25 E1 - 97 54
*Jul 7 03:39:49.279: RADIUS: Acct-Session-Id [44] 10 "00000037"
*Jul 7 03:39:49.279: RADIUS: Framed-Protocol [7] 6
*Jul 7 03:39:49.279: RADIUS: Tunnel-Medium-Type [65] 6
*Jul 7 03:39:49.279: RADIUS: Tunnel-Client-Endpoi[66] 10 "10.0.0.1"
*Jul 7 03:39:49.279: RADIUS: Tunnel-Server-Endpoi[67] 10 "10.0.0.2"
*Jul 7 03:39:49.283: RADIUS: Tunnel-Type [64] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Tunnel-Connecti[68] 3 "0"
*Jul 7 03:39:49.283: RADIUS: Tunnel-Client-Auth-I[90] 5 "lac"
*Jul 7 03:39:49.283: RADIUS: User-Name [1] 16 "user@example.com"
*Jul 7 03:39:49.283: RADIUS: Acct-Authentic [45] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Session-Time [46] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Input-Octets [42] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Output-Octets [43] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Input-Packets [47] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Output-Packets [48] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Terminate-Cause[49] 6 nas-
*Jul 7 03:39:49.283: RADIUS: Acct-Status-Type [40] 6
*Jul 7 03:39:49.283: RADIUS: NAS-Port-Type [61] 6
*Jul 7 03:39:49.283: RADIUS: NAS-Port [5] 6
*Jul 7 03:39:49.283: RADIUS: NAS-Port-Id [87] 9 "0/0/0/0"
*Jul 7 03:39:49.283: RADIUS: Service-Type [6] 6
*Jul 7 03:39:49.283: RADIUS: NAS-IP-Address [4] 6
*Jul 7 03:39:49.283: RADIUS: Acct-Delay-Time [41] 6
*Jul 7 03:39:49.335: RADIUS: Received from id 1646/32 172.19.192.238:2196,
Accounting-response, len 20
*Jul 7 03:39:49.335: RADIUS: authenticator C8 C4 61 AF 4D 9F 78 07 - 94 2B
用語集
AAA:Authentication, Authorization, and Accounting(認証、認可、およびアカウンティング)。セキュリティ サービスのフレームワークであり、ユーザの身元確認(認証)、リモート アクセス コントロール(認可)、課金、監査、およびレポートに使用するセキュリティ サーバ情報の収集と送信(アカウンティング)の方式を定めています。
L2TP:Layer 2 Tunnel Protocol(レイヤ 2 トンネル プロトコル)。レイヤ 2 トンネル プロトコルを使用すると、ISP などのアクセス サービスが仮想トンネルを作成し、顧客のリモート サイトやリモート ユーザを企業のホーム ネットワークにリンクさせることができます。具体的には、ISP Point of Presence(POP; アクセス ポイント)にある Network Access Server(NAS; ネットワーク アクセス サーバ)がリモート ユーザと PPP メッセージを交換し、L2F または L2TP の要求や応答を使用して顧客のトンネル サーバと通信し、トンネルのセットアップを行います。
PE:プロバイダー エッジ。サービス プロバイダー ネットワークのエッジ上のネットワーキング デバイス。
RADIUS :Remote Authentication Dial-In User Service。RADIUS は、不正アクセスからネットワークを保護する分散型クライアント/サーバ システムです。シスコの実装では RADIUS クライアントは Cisco ルータ上で稼動します。認証要求は、すべてのユーザ認証情報とネットワーク サービス アクセス情報が格納されている中央の RADIUS サーバに送信されます。
VPN :Virtual Private Network(VPN; バーチャル プライベート ネットワーク)。リモートでダイヤルイン ネットワークをホーム ネットワークに存在させ、あたかも直接接続されているかのように見せるシステム。VPN は、L2TP および L2F を使用し、LAC ではなく、LNS でレイヤ 2 およびより高次のネットワーク接続を終了させます。
VRF :Virtual Route Forwarding。最初は、ルータにグローバルのデフォルト ルーティング/フォワーディング テーブルは 1 つしかありません。VRF は、複数の分離されたルーティング/フォワーディング テーブルとして表示でき、ユーザのルートには別のユーザのルートとの相互関係はありません。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2001-2010 Cisco Systems, Inc.
All rights reserved.
Copyright © 2001-2011, シスコシステムズ合同会社.
All rights reserved.
フィードバック