RADIUS サーバ ロード バランシング
RADIUS サーバ ロード バランシング機能は、Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)の認証トランザクションとアカウンティング トランザクションをサーバ グループ内のサーバに分配します。これらのサーバは、トランザクションの負荷を分担し、空いているサーバを効率的に使用して着信要求に対するより迅速な応答を実現します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS サーバ ロード バランシングの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
RADIUS サーバ ロード バランシングの前提条件
• RADIUS サーバ上で AAA を設定する必要があります。
• 認証、アカウンティング、スタティック ルート ダウンロードなどの機能用に RADIUS を設定する必要があります。
• AAA RADIUS サーバ グループを設定する必要があります。
RADIUS サーバ ロード バランシングの制約事項
• プロキシ RADIUS サーバ上でロード バランシングはサポートされていません。
• Packet of Disconnect(POD; パケット オブ ディスコネクト)要求などの着信 RADIUS 要求はサポートされていません。
• プライベート サーバ グループのロード バランシングはサポートされていません。
RADIUS サーバ ロード バランシングについて
RADIUS サーバ ロード バランシング機能を設定するには、次の概念を理解しておく必要があります。
• 「RADIUS サーバ ロード バランシングの機能」
• 「RADIUS サーバ グループ全体でトランザクションを負荷分散する方法」
• 「RADIUS サーバ ステータスと自動テスト」
RADIUS サーバ ロード バランシングの機能
ロード バランシングは、トランザクションのバッチをサーバ グループ内のサーバに分配します。トランザクションの各バッチは、キュー内の未処理トランザクションの最小番号を使用して、サーバに割り当てられます。トランザクションのバッチの割り当てプロセスは次のとおりです。
• 最初のトランザクションが新しいバッチとして受信されます。
• すべてのサーバ トランザクション キューがチェックされます。
• 最小番号の未処理トランザクションを持つサーバが特定されます。
• 特定されたサーバが、トランザクションの次のバッチに割り当てられます。
バッチ サイズはユーザ設定パラメータです。バッチ サイズを変更すると、CPU の負荷やネットワークのスループットに影響する可能性があります。バッチ サイズが大きくなるほど、CPU の負荷が減少し、ネットワークのスループットが増加します。ただし、バッチ サイズが大きくても、使用可能なすべてのサーバ リソースが使い果たされることはありません。バッチ サイズが小さくなるほど、CPU の負荷が増加し、ネットワークのスループットが減少します。デフォルト バッチ サイズの 25 の使用を推奨します。これは、CPU の負荷に悪影響を及ぼさない、高スループットに最適化されているためです。
(注) 大きなバッチ サイズまたは小さなバッチ サイズに関する設定数はありません。目安として、50 を超えるバッチ サイズは大きいと見なされ、25 未満のバッチ サイズは小さいと見なされます。
(注) サーバ グループ内に 10 以上のサーバが存在する場合は、CPU の負荷を軽減するために、高いバッチ サイズの設定を推奨します。
RADIUS サーバ グループ全体でトランザクションを負荷分散する方法
名前付き RADIUS サーバ グループごと、またはグローバル RADIUS サーバ グループに対してロード バランシングを設定できます。このサーバ グループは、AAA 方式リストで「radius」として参照する必要があります。このサーバ グループに属しているすべてのパブリック サーバが負荷分散の対象になります。
認証とアカウンティングは、同じサーバを使用するようにも、別々のサーバを使用するようにも設定できます。1 つのサーバをセッションの事前認証、認証、またはアカウンティング トランザクションに使用することもできます。内部設定であり、デフォルトとして設定される優先サーバが、AAA に、サーバ コストに関係なく、セッションの開始レコードと終了レコードに対して同じサーバを使用するように指示します。優先サーバ設定を使用する場合は、初期トランザクション(認証など)に使用されるサーバが、以降のトランザクション(アカウンティングなど)に使用される他のサーバ グループにも属している必要があります。
優先サーバは、次のいずれかの状態が真でない場合に使用されます。
• ignore-preferred-server キーワードが使用されている。
• 優先サーバが停止中である。
• 優先サーバが隔離中である。
• 必要サーバ フラグがセットされている場合は、優先サーバ設定が無効になります。
必要サーバ フラグの内部設定は、サーバ コストに関係なく、マルチステージ トランザクションのすべてのステージに対して同じサーバを使用する必要がある場合に、使用されます。必要サーバが使用できない場合は、トランザクションが失敗します。
次の設定の場合は、 ignore-preferred-server キーワードを使用できます。
• 専用の認証サーバと別の専用のアカウンティング サーバ
• 開始レコードと終了レコードを含む、すべてのコール レコード統計情報とコール レコード詳細、および別々のサーバに保存されたレコードを追跡可能なネットワーク
また、認証サーバをアカウンティング サーバのスーパーセットとして設定している場合は、優先サーバが使用されません。
RADIUS サーバ ステータスと自動テスト
RADIUS サーバ ロード バランシング機能は、バッチを割り当てるときにサーバ ステータスを考慮します。動作中であることが確認されたサーバにだけ、トランザクション バッチが送信されます。あまり使用されていないサーバ(バックアップ サーバなど)を含む、すべての RADIUS ロード バランシング サーバのステータスをテストすることを推奨します。
停止中としてマークされたサーバにはトランザクションが送信されません。隔離されたサーバは、タイマーが切れるまで停止中としてマークされます。RADIUS 自動テスタ機能によって動作中であることが確認されるまでサーバは隔離中になります。
RADIUS 自動テスタは、次の手順を使用して、サーバが動作中でトランザクションを処理できるかどうかを判断します。
• 定期的に要求がテスト ユーザ ID としてサーバに送信されます。
• Access-Reject メッセージがサーバから返された場合、サーバは動作中です。
• メッセージがサーバから返されなかった場合、サーバは動作中ではありません。つまり、停止中か隔離中のどちらかです。
トランザクションが、応答しないサーバに送信された場合は、サーバが停止中としてマークされる前に、トランザクションが次の使用可能なサーバにフェールオーバーされます。失敗したトランザクションに対して再試行順序変更モードの使用を推奨します。
RADIUS 自動テスタを使用している場合は、Network Access Server(NAS; ネットワーク アクセス サーバ)から AAA サーバに送信されたテスト パケットに対して応答が返されることを確認します。サーバが正しく設定されていない場合は、パケットが破棄され、サーバが誤って停止中としてマークされる可能性があります。
注意 RADIUS サーバ上で定義されていないテスト ユーザを RADIUS サーバ自動テストに使用して、テスト ユーザが正しく設定されていない場合に発生するセキュリティ上の問題を解決することを推奨します。
(注) 特定の時点でトランザクションのロード バランシングをチェックしたい場合は、test aaa group コマンドを使用できます。
RADIUS サーバ ロード バランシング の設定方法
この項では、ロード バランシングを設定するための次の手順について説明します。
• 「名前付き RADIUS サーバ グループのロード バランシングの有効化」
• 「グローバル RADIUS サーバ グループのロード バランシングの有効化」
• 「RADIUS サーバ ロード バランシングのトラブルシューティング」
名前付き RADIUS サーバ グループのロード バランシングの有効化
次のタスクを使用して、名前付きサーバ グループに対してRADIUS サーバ ロード バランシングを有効にします。
手順の概要
1. enable
2. configure terminal
3. radius-server host { hostname | ip-address } [ test username user-name ] [ auth-port port-number ] [ ignore-auth-port ] [ acct-port port-number ] [ ignore-acct-port ] [ idle-time seconds ]
4. aaa group server radius group-name
5. load-balance method least-outstanding [ batch-size number ] [ ignore-preferred-server ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
radius-server host { hostname | ip-address } [ test username user-name ] [ auth-port port-number ] [ ignore-auth-port ] [ acct-port port-number ] [ ignore-acct-port ] [ idle-time seconds ]
Router(config)# radius-server host 192.0.2.1 test username test1 idle-time 1 |
RADIUS 自動テストを有効にします。 • test username キーワードは、 user-name 引数の値の前に使用して、RADIUS 自動テストを有効にする必要があります。 • デフォルトで、 auth-port はポート 1645 を使用してテストされます。 • ignore-auth-port を使用して、認証ポートのテストをオフにします。 • デフォルトで、 acct-port はポート 1645 を使用してテストされます。 • ignore-auth-port を使用して、アカウンティング ポートのテストをオフにします。 • デフォルトで、 idle-time は 3600 秒です。範囲は 1 ~ 35791 です。 |
ステップ 4 |
aaa group server radius group-name
Router(config)# aaa group server radius rad-sg |
サーバ グループ コンフィギュレーション モードに入ります。 |
ステップ 5 |
load-balance method least-outstanding [ batch-size number ] [ ignore-preferred-server ]
Router(config-sg)# load-balance method least-outstanding batch-size 30 |
サーバ グループに対して最小未処理ロード バランシングを有効にします。 • デフォルトで、 batch-size は 25 に設定されます。1 ~ 2147483647 の範囲を使用できます。 • デフォルトで、優先サーバは有効になっています。 • 優先サーバ設定を無効にする場合は、キーワード ignore-preferred-server を使用します。 |
グローバル RADIUS サーバ グループのロード バランシングの有効化
次のタスクを使用して、グローバル RADIUS サーバ グループに対してRADIUS サーバ ロード バランシングを有効にします。このグループは、AAA 方式リスト内で「radius」として参照されます。
手順の概要
1. enable
2. configure terminal
3. radius-server host { hostname | ip-address } [ test username user-name ] [ auth-port port-number ] [ ignore-auth-port ] [ acct-port port-number ] [ ignore-acct-port ] [ idle-time seconds ]
4. radius-server load-balance method least-outstanding [ batch-size number ] [ ignore-preferred-server ]
5. load-balance method least-outstanding [ batch-size number ] [ ignore-preferred-server ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
radius-server host { hostname | ip-address } [ test username user-name ] [ auth-port port-number ] [ ignore-auth-port ] [ acct-port port-number ] [ ignore-acct-port ] [ idle-time seconds ]
Router(config)# radius-server host 192.0.2.1 test username test1 idle-time 1 |
RADIUS 自動テストを有効にします。 • test username キーワードは、 user-name 引数の値の前に使用して、RADIUS 自動テストを有効にする必要があります。 • デフォルトで、 auth-port はポート 1645 を使用してテストされます。 • ignore-auth-port を使用して、認証ポートのテストをオフにします。 • デフォルトで、 acct-port はポート 1645 を使用してテストされます。 • ignore-auth-port を使用して、アカウンティング ポートのテストをオフにします。 • デフォルトで、 idle-time は 3600 秒です。範囲は 1 ~ 35791 です。 |
ステップ 4 |
radius-server load-balance method least-outstanding [ batch-size number ] [ ignore-preferred-server ]
Router(config)# radius-server load-balance method least-outstanding |
グローバル RADIUS サーバ グループに対して最小未処理ロード バランシングを有効にし、サーバ グループ コンフィギュレーション モードに入ります。 • デフォルトで、 batch-size は 25 に設定されます。1 ~ 2147483647 の範囲を使用できます。 (注) バッチ サイズがスループットと CPU の負荷に影響する場合があります。デフォルト バッチ サイズの 25 の使用を推奨します。これは、CPU の負荷に悪影響を及ぼさない、高スループットに最適化されているためです。 • デフォルトで、優先サーバは有効になっています。 • 優先サーバ設定を無効にする場合は、 ignore-preferred-server キーワードを使用します。 |
ステップ 5 |
load-balance method least-outstanding [ batch-size number ] [ ignore-preferred-server ]
load-balance method least-outstanding batch-size 5 |
名前付き RADIUS サーバ グループに対して RADIUS サーバ ロード バランシングを有効にします。 • デフォルトで、 batch-size は 25 に設定されます。1 ~ 2147483647 の範囲を使用できます。 • デフォルトで、優先サーバは有効になっています。 • 優先サーバ設定を無効にする場合は、 ignore-preferred-server キーワードを使用します。 |
RADIUS サーバ ロード バランシングのトラブルシューティング
RADIUS サーバ ロード バランシング機能を設定したら、アイドル タイマー、デッド タイマー、ロード バランシング サーバの選択をモニタしたり、手動テスト コマンドを発行してサーバ ステータスを確認したりすることができます。
必要に応じて、次のコマンドを使用してRADIUS サーバ ロード バランシング機能をトラブルシューティングします。
• debug aaa test コマンドは、アイドル タイマーまたはデッド タイマーが切れた時点、テスト パケットが送信された時点、およびサーバのステータスを判断したり、サーバの状態を確認したりするために使用できます。
• debug aaa sg-server selection コマンドは、ロード バランシング用に選択されたサーバを調査するために使用できます。
• test aaa group コマンドは、手動で RADIUS ロード バランシング サーバのステータスを確認するために使用できます。
手順の概要
1. debug aaa test
2. debug aaa sg-server selection
3. test aaa group group-name username password new-code
手順の詳細
ステップ 1 アイドル タイマーは、サーバ ステータスのチェックに使用され、着信要求の有無に関係なく更新されます。このタイマーは、アイドル タイマーをモニタして無応答サーバが存在するかどうかを判断したり、RADIUS サーバのステータスを最新状態に維持して使用可能なリソースを効率的に使用したりするときに役立ちます。たとえば、アイドル タイマーが更新されていれば、着信要求が動作中のサーバに送信されていることが簡単に確認できます。
デッド タイマーは、サーバが停止中であることを特定したり、停止中のサーバのステータスを適切に更新したりするために使用します。
サーバ選択のモニタリングは、サーバ選択の変更頻度の特定に役立つ可能性があります。これは、ボトルネック、つまり、キュー内の大量のアップ要求が存在するかどうかや、特定のサーバだけが着信要求を処理しているかどうかの分析に有効です。
たとえば、次のデバッグ出力は、アイドル タイマーが切れた時点を表しています。
Jul 16 00:07:01: AAA/SG/TEST: Server (192.0.2.245:1700,1701) quarantined.
Jul 16 00:07:01: AAA/SG/TEST: Sending test request(s) to server (192.0.2.245:1700,1701)
Jul 16 00:07:01: AAA/SG/TEST: Sending 1 Access-Requests, 1 Accounting-Requests in current batch.
Jul 16 00:07:01: AAA/SG/TEST(Req#: 1): Sending test AAA Access-Request.
Jul 16 00:07:01: AAA/SG/TEST(Req#: 1): Sending test AAA Accounting-Request.
Jul 16 00:07:01: AAA/SG/TEST: Obtained Test response from server (192.0.2.245:1700,1701)
Jul 16 00:07:01: AAA/SG/TEST: Obtained Test response from server (192.0.2.245:1700,1701)
Jul 16 00:07:01: AAA/SG/TEST: Necessary responses received from server (192.0.2.245:1700,1701)
Jul 16 00:07:01: AAA/SG/TEST: Server (192.0.2.245:1700,1701) marked ALIVE. Idle timer set for 60 sec(s).
Jul 16 00:07:01: AAA/SG/TEST: Server (192.0.2.245:1700,1701) removed from quarantine.
ステップ 2 たとえば、次のデバッグ出力は、バッチ サイズが 3 のサーバ グループに 5 つのアクセス要求が送信されたことを示しています。
Router# debug aaa sg-server selection
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Obtaining least loaded server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: [3] transactions remaining in batch. Reusing server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Obtaining least loaded server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: [2] transactions remaining in batch. Reusing server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Obtaining least loaded server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: [1] transactions remaining in batch. Reusing server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Obtaining least loaded server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: No more transactions in batch. Obtaining a new server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Obtaining a new least loaded server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Server[0] load: 3
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Server[1] load: 0
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Server[2] load: 0
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Selected Server[1] with load 0
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: [3] transactions remaining in batch.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: Obtaining least loaded server.
Jul 16 03:15:05: AAA/SG/SERVER_SELECT: [2] transactions remaining in batch. Reusing server.
ステップ 3 次の例は、ユーザ名の「test」がユーザ プロファイルと一致しない場合の動作中の RADIUS ロード バランシング サーバからの応答を示しています。サーバは、 test aaa group コマンドで生成された AAA パケットに対する Access-Reject 応答を発行した時点で動作中であることが確認されます。
Router# test aaa group SG1 test lab new-code
00:06:07: RADIUS/ENCODE(00000000):Orig. component type = INVALID
00:06:07: RADIUS/ENCODE(00000000): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
00:06:07: RADIUS(00000000): Config NAS IP: 192.0.2.4
00:06:07: RADIUS(00000000): sending
00:06:07: RADIUS/ENCODE: Best Local IP-Address 192.0.2.141 for Radius-Server 192.0.2.176
00:06:07: RADIUS(00000000): Send Access-Request to 192.0.2.176:1645 id 1645/1, len 50
00:06:07: RADIUS: authenticator CA DB F4 9B 7B 66 C8 A9 - D1 99 4E 8E A4 46 99 B4
00:06:07: RADIUS: User-Password [2] 18 *
00:06:07: RADIUS: User-Name [1] 6 "test"
00:06:07: RADIUS: NAS-IP-Address [4] 6 192.0.2.141
00:06:07: RADIUS: Received from id 1645/1 192.0.2.176:1645, Access-Reject, len 44
00:06:07: RADIUS: authenticator 2F 69 84 3E F0 4E F1 62 - AB B8 75 5B 38 82 49 C3
00:06:07: RADIUS: Reply-Message [18] 24
00:06:07: RADIUS: 41 75 74 68 65 6E 74 69 63 61 74 69 6F 6E 20 66 [Authentication f]
00:06:07: RADIUS: 61 69 6C 75 72 65 [failure]
00:06:07: RADIUS(00000000): Received from id 1645/1
00:06:07: RADIUS/DECODE: Reply-Message fragments, 22, total 22 bytes
RADIUS サーバ ロード バランシングの設定例
この項では、次のRADIUS サーバ ロード バランシング機能の設定例について説明します。
• 「グローバル RADIUS サーバ グループ:例」
• 「名前付き RADIUS サーバ グループ:例」
• 「アイドル タイマー モニタリング:例」
• 「認証サーバと認可サーバが同じ優先サーバ:例」
• 「認証サーバと認可サーバが別々の優先サーバ:例」
• 「認証サーバと認可サーバが重複している優先サーバ:例」
• 「認証サーバが認可サーバのサブセットである優先サーバ:例」
• 「認証サーバが認可サーバのスーパーセットである優先サーバ:例」
グローバル RADIUS サーバ グループ:例
次の例は、グローバル RADIUS サーバ グループに対してロード バランシングを有効にする方法を示しています。この例は、RADIUS コマンド出力の現在の設定、デバッグ出力、および AAA サーバ ステータス情報の 3 つの部分からなります。デリミタを使用して関連する設定部分だけを表示できます。
サーバ設定とグローバル RADIUS サーバ グループに対するロード バランシングの有効化:例
次の例は、関連する RADIUS 設定を示しています。
Router# show running-config | include radius
aaa authentication ppp default group radius
aaa accounting network default start-stop group radius
radius-server host 192.0.2.238 auth-port 2095 acct-port 2096 key cisco
radius-server host 192.0.2.238 auth-port 2015 acct-port 2016 key cisco
radius-server load-balance method least-outstanding batch-size 5
上記 RADIUS コマンド出力の現行設定内の行は、次のように定義されています。
• aaa authentication ppp コマンドは、RADIUS を使用してすべての PPP ユーザを認証します。
• aaa accounting コマンドは、クライアント認証後の AAA サーバに対するすべてのアカウンティング要求の送信と、 start-stop キーワードを使用した切断を有効にします。
• radius-server host コマンドは、指定された認可ポートおよびアカウンティング ポートと、特定された認証および暗号キーを使用して、RADIUS サーバ ホストの IP アドレスを定義します。
• radius-server load-balance コマンドは、バッチ サイズが指定されたグローバル RADIUS サーバ グループに対してロード バランシングを有効にします。
グローバル RADIUS サーバ グループのデバッグ出力:例
下のデバッグ出力は、上の設定に関する優先サーバの選択と要求の処理を示しています。
AAA server group server selection debugging is on
<sending 10 pppoe requests>
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000014):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[0] load:0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Selected Server[0] with load 0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000014):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000015):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000015):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000016):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[3] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000016):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000017):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[2] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000017):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000018):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[1] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000018):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000019):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[0] load:5
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Selected Server[1] with load 0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000019):Server (192.0.2.238:2015,2016) now being used as preferred server.
グローバル RADIUS サーバ グループのサーバ ステータス情報:例
下の出力は、グローバル RADIUS サーバ グループ設定例の AAA サーバ ステータスを示しています。
RADIUS:id 4, priority 1, host 192.0.2.238, auth-port 2095, acct-port 2096
State:current UP, duration 3175s, previous duration 0s
Dead:total time 0s, count 0
Authen:request 6, timeouts 1
Response:unexpected 1, server error 0, incorrect 0, time 1841ms
Transaction:success 5, failure 0
Author:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Account:request 5, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 3303ms
Transaction:success 5, failure 0
Elapsed time since counters last cleared:2m
RADIUS:id 5, priority 2, host 192.0.2.238, auth-port 2015, acct-port 2016
State:current UP, duration 3175s, previous duration 0s
Dead:total time 0s, count 0
Authen:request 6, timeouts 1
Response:unexpected 1, server error 0, incorrect 0, time 1955ms
Transaction:success 5, failure 0
Author:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Account:request 5, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 3247ms
Transaction:success 5, failure 0
Elapsed time since counters last cleared:2m
この出力は、2 つの RADIUS サーバのステータスを示しています。いずれもサーバが動作中であり、最後の 2 分間で、次の処理に成功しています。
• 6 つの認証要求のうち 5 つ
• 5 つのアカウンティング要求のうち 5 つ
名前付き RADIUS サーバ グループ:例
次の例は、名前付き RADIUS サーバ グループに対して有効にされたロード バランシングを示しています。この例は、RADIUS コマンド出力の現在の設定、デバッグ出力、および AAA サーバ ステータス情報の 3 つの部分からなります。
サーバ設定と名前付き RADIUS サーバ グループに対するロード バランシングの有効化:例
次の例は、関連する RADIUS 設定を示しています。
Router# show running-config
aaa group server radius server-group1
server 192.0.2.238 auth-port 2095 acct-port 2096
server 192.0.2.238 auth-port 2015 acct-port 2016
load-balance method least-outstanding batch-size 5
aaa authentication ppp default group server-group1
aaa accounting network default start-stop group server-group1
上記 RADIUS コマンド出力の現行設定内の行は、次のように定義されています。
• aaa group server radius コマンドは、2 つのメンバー サーバからなるサーバ グループの設定を表示します。
• load-balance コマンドは、バッチ サイズが指定されたグローバル RADIUS サーバ グループに対してロード バランシングを有効にします。
• aaa authentication ppp コマンドは、RADIUS を使用してすべての PPP ユーザを認証します。
• aaa accounting コマンドは、クライアントが認証された時点と start-stop キーワードを使用した切断後に、AAA サーバに対するすべてのアカウンティング要求の送信を有効にします。
名前付き RADIUS サーバ グループのデバッグ出力:例
下のデバッグ出力は、上の設定に関する優先サーバの選択と要求の処理を示しています。
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002C):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Server[0] load:0
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Selected Server[0] with load 0
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002C):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002D):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002D):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002E):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[3] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002E):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002F):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[2] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(0000002F):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(00000030):No preferred server available.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT:[1] transactions remaining in batch. Reusing server.
*Feb 28 13:51:16.019:AAA/SG/SERVER_SELECT(00000030):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT(00000031):No preferred server available.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Server[0] load:5
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Selected Server[1] with load 0
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT(00000031):Server (192.0.2.238:2015,2016) now being used as preferred server
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT(00000032):No preferred server available.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:51:16.023:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
名前付き RADIUS サーバ グループのサーバ ステータス情報:例
下の出力は、名前付き RADIUS サーバ グループ設定例の AAA サーバ ステータスを示しています。
RADIUS:id 8, priority 1, host 192.0.2.238, auth-port 2095, acct-port 2096
State:current UP, duration 3781s, previous duration 0s
Dead:total time 0s, count 0
Authen:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Author:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Account:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Elapsed time since counters last cleared:0m
RADIUS:id 9, priority 2, host 192.0.2.238, auth-port 2015, acct-port 2016
State:current UP, duration 3781s, previous duration 0s
Dead:total time 0s, count 0
Authen:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Author:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Account:request 0, timeouts 0
Response:unexpected 0, server error 0, incorrect 0, time 0ms
Transaction:success 0, failure 0
Elapsed time since counters last cleared:0m
この出力は、2 つの RADIUS サーバのステータスを示しています。両方のサーバが動作中ですが、カウンタが 0 分前にクリアされて以降は、どの要求も処理されていません。
アイドル タイマー モニタリング:例
次の例は、名前付き RADIUS サーバ グループに対して有効にされたロード バランシングに関するアイドル タイマーと関連するサーバ状態を示しています。この例は、RADIUS コマンド出力の現在の設定とデバッグ出力の 2 つの部分からなります。
サーバ設定とアイドル タイマー モニタリングに対するロード バランシングの有効化:例
次の例は、関連する RADIUS 設定を示しています。
Router# show running-config | include radius
aaa group server radius server-group1
radius-server host 192.0.2.238 auth-port 2095 acct-port 2096 test username junk1 idle-time 1 key cisco
radius-server host 192.0.2.238 auth-port 2015 acct-port 2016 test username junk1 idle-time 1 key cisco
radius-server load-balance method least-outstanding batch-size 5
上記 RADIUS コマンド出力の現行設定内の行は、次のように定義されています。
• aaa group server radius コマンドは、サーバ グループの設定を表示します。
• radius-server host コマンドは、指定された認可ポートおよびアカウンティング ポートと、特定された認証および暗号キーを使用して、RADIUS サーバ ホストの IP アドレスを定義します。
• radius-server load-balance コマンドは、バッチ サイズが指定されたグローバル RADIUS サーバに対してロード バランシングを有効にします。
アイドル タイマー モニタリングのデバッグ出力:例
下のデバッグ出力は、サーバに送信されるテスト要求を示しています。サーバに送信されたテスト要求に対する応答が受信され、必要に応じて、隔離からサーバが除外され、動作中としてマークされてから、アイドル タイマーがリセットされます。
*Feb 28 13:52:20.835:AAA/SG/TEST:Server (192.0.2.238:2015,2016) quarantined.
*Feb 28 13:52:20.835:AAA/SG/TEST:Sending test request(s) to server (192.0.2.238:2015,2016)
*Feb 28 13:52:20.835:AAA/SG/TEST:Sending 1 Access-Requests, 1 Accounting-Requests in current batch.
*Feb 28 13:52:20.835:AAA/SG/TEST(Req#:1):Sending test AAA Access-Request.
*Feb 28 13:52:20.835:AAA/SG/TEST(Req#:1):Sending test AAA Accounting-Request.
*Feb 28 13:52:21.087:AAA/SG/TEST:Obtained Test response from server (192.0.2.238:2015,2016)
*Feb 28 13:52:22.651:AAA/SG/TEST:Obtained Test response from server (192.0.2.238:2015,2016)
*Feb 28 13:52:22.651:AAA/SG/TEST:Necessary responses received from server (192.0.2.238:2015,2016)
*Feb 28 13:52:22.651:AAA/SG/TEST:Server (192.0.2.238:2015,2016) marked ALIVE. Idle timer set for 60 secs(s).
*Feb 28 13:52:22.651:AAA/SG/TEST:Server (192.0.2.238:2015,2016) removed from quarantine.
認証サーバと認可サーバが同じ優先サーバ:例
次の例は、サーバの 209.165.200.225 と 209.165.200.226 を共有する認証サーバ グループと認可サーバ グループを示しています。両方のサーバ グループで優先サーバ フラグが有効になっています。
aaa group server radius authentication-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
aaa group server radius accounting-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
あるセッションで優先サーバが選択されると、そのセッションのすべてのトランザクションでオリジナルの優先サーバの使用が継続されます。サーバの 209.165.200.225 と 209.165.200.226 は、トランザクションではなく、セッションに基づいて負荷分散されます。
認証サーバと認可サーバが別々の優先サーバ:例
次の例は、サーバの 209.165.200.225 と 209.165.200.226 を使用する認証サーバ グループとサーバの 209.165.201.1 と 209.165.201.2 を使用する認可サーバ グループを示しています。両方のサーバ グループで優先サーバ フラグが有効になっています。
aaa group server radius authentication-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
aaa group server radius accounting-group
server 209.165.201.1 key radkey3
server 209.165.201.2 key radkey4
認証サーバ グループとアカウンティング サーバ グループはどの共通サーバも共有しません。アカウンティング トランザクション用の優先サーバが見つかることはないため、認証サーバと認可サーバがトランザクションに基づいて負荷分散されます。1 つのセッションで開始レコードと終了レコードが同じサーバに送信されます。
認証サーバと認可サーバが重複している優先サーバ:例
次の例は、サーバの 209.165.200.225、209.165.200.226、および 209.165.201.1 を使用する認証サーバ グループとサーバの 209.165.201.1 と 209.165.201.2 を使用する認可サーバ グループを示しています。両方のサーバ グループで優先サーバ フラグが有効になっています。
aaa group server radius authentication-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
server 209.165.201.1 key radkey3
aaa group server radius accounting-group
server 209.165.201.1 key radkey3
server 209.165.201.2 key radkey4
すべてのサーバのトランザクション処理機能が同じ場合は、すべての認証トランザクションの 1/3 がサーバの 209.165.201.1 に転送されます。そのため、すべてのアカウンティング トランザクションの 1/3 もサーバの 209.165.201.1 に転送されます。残りの 2/3 のアカウンティング トランザクションは、サーバの 209.165.201.1 と 209.165.201.2 の間で均等に負荷分散されます。サーバの 209.165.201.1 は、サーバの 209.165.201.1 で未処理アカウンティング トランザクションが発生すると、受信する認証トランザクションが減ります。
認証サーバが認可サーバのサブセットである優先サーバ:例
次の例は、サーバの 209.165.200.225 と 209.165.200.226 を使用する認証サーバ グループと、サーバの 209.165.200.225、209.165.200.226、および 209.165.201.1 を使用する認可サーバ グループを示しています。両方のサーバ グループで優先サーバ フラグが有効になっています。
aaa group server radius authentication-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
aaa group server radius accounting-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
server 209.165.201.1 key radkey3
すべての認証トランザクションの半分がサーバの 209.165.200.225 に送信され、残りの半分がサーバの 209.165.200.226 に送信されます。サーバの 209.165.200.225 と 209.165.200.226 は、認証および認可用の優先サーバになるため、サーバの 209.165.200.225 と 209.165.200.226 の間で認証トランザクションとアカウンティング トランザクションが均等に分散されます。サーバの 209.165.201.1 はあまり使用されません。
認証サーバが認可サーバのスーパーセットである優先サーバ:例
次の例は、サーバの 209.165.200.225、209.165.200.226、および 209.165.201.1 を使用する認証サーバ グループとサーバの 209.165.200.225 と 209.165.200.226 を使用する認可サーバ グループを示しています。両方のサーバ グループで優先サーバ フラグが有効になっています。
aaa group server radius authentication-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
server 209.165.201.1 key radkey3
aaa group server radius accounting-group
server 209.165.200.225 key radkey1
server 209.165.200.226 key radkey2
最初に、1/3 の認証トランザクションが認可サーバ グループ内の各サーバに割り当てられます。アカウンティング トランザクションはセッションごとに生成されますが、優先サーバ フラグがオンになっているサーバの 209.165.200.225 と 209.165.200.226 にしか送信されません。サーバの 209.165.200.225 と 209.165.200.226 がトランザクションの処理を開始しますが、認証トランザクションはサーバの 209.165.201.1 に送信されます。サーバの 209.165.201.1 で認証されたトランザクション要求は、どの優先サーバ設定も含まず、サーバの 209.165.200.225 と 209.165.200.226 に分配されるため、優先サーバ フラグの使用が無効になります。この設定は慎重に使用する必要があります。
その他の参考資料
ここでは、RADIUS サーバ ロード バランシング機能に関する関連資料について説明します。
MIB
|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs |
RFC
|
|
この機能によってサポートされる新しい RFC や変更された RFC はありません。 |
-- |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/techsupport |
RADIUS サーバ ロード バランシングの機能情報
表 1 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 1 RADIUS サーバ ロード バランシングの機能情報
|
|
|
RADIUS サーバ ロード バランシング |
12.2(28)SB 12.4(11)T 12.2(33)SRC |
RADIUS サーバ ロード バランシング機能は、Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)の認証トランザクションとアカウンティング トランザクションをサーバ グループ内のサーバに分配します。これらのサーバは、トランザクションの負荷を分担し、空いているサーバを効率的に使用して着信要求に対するより迅速な応答を実現します。 この機能は、Cisco IOS Release 12.2(28)SB に統合されました。 この機能は、Cisco IOS Release 12.4(11)T に統合されました。 この機能は、Cisco IOS Release 12.2(33)SRC に統合されました。 debug aaa sg-server selection、debug aaa test、load-balance (server-group)、radius-server host、radius-server load-balance、および test aaa group の各コマンドが導入または変更されました。 |
RADIUS サーバ ロード バランシング ポーティング |
Cisco IOS XE Release 2.1 |
この機能は、Cisco ASR 1000 シリーズ ルータで導入されました。 |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2009-2011, シスコシステムズ合同会社.
All rights reserved.