Cisco IOS セキュリティ コマンド リファレンス:コマンド M ~ R、Cisco IOS XE リリース 3SE(Catalyst 3850 スイッチ)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco IOS セキュリティ コマンド リファレンス:コマンド M ~ R、Cisco IOS XE リリース 3SE(Catalyst 3850 スイッチ)

Chapter Title

radius attribute nas-port-type ~ rd

検索結果

Updated:
2017年12月11日

章のタイトル: radius attribute nas-port-type ~ rd

radius attribute nas-port-type ~ rd

radius-server attribute nas-port format

RADIUS アカウンティング機能に使用する NAS-Port 形式を設定し、デフォルトの NAS-port 形式を復元する場合、またはグローバル属性 61 セッション フォーマット e 文字列を設定するか、属性 61 サポートのための特定のサービス ポート タイプを設定する場合には、グローバル コンフィギュレーション モードで radius-serverattributenas-portformat コマンドを使用します。RADIUS サーバへの 属性 61 の送信を停止するには、このコマンドの no 形式を使用します。

RADIUS アカウンティング機能の NAS-Port およびデフォルト NAS-Port 形式の復元

radius-server attribute nas-port format 形式

no radius-server attribute nas-port format 形式

拡張 NAS-Port サポート

radius-server attribute nas-port format format [string] [ type nas-port-type ]

no radius-server attribute nas-port format format [string] [ type nas-port-type ]

構文の説明

形式

NAS-Port 形式。format 引数の有効な値は次のとおりです。

  • a--標準 NAS-Port 形式。

  • b--拡張 NAS-Port 形式。

  • c:キャリア ベースの形式

  • d:PPPoX(PPP over Ethernet または PPP over ATM)拡張 NAS-Port 形式

  • e:設定可能な NAS-Port 形式。

string

(オプション)フォーマット e の特定ポート タイプをすべて表します。この引数には複数の値を指定できます。

type nas-port-type

(オプション)特定の物理ポート タイプを表すさまざまなフォーマット文字列をグローバルに指定できます。

いずれかの拡張 NAS-Port-Type 属性値を設定できます。

  • type30 :PPP over ATM(PPPoA)

  • type31 :PPP over Ethernet(PPPoE)over ATM(PPPoEoA)

  • type32 :PPPoE over Ethernet(PPPoEoE)

  • type33 :PPPoE over VLAN(PPPoEoVLAN)

  • type34 :PPPoE over Q-in-Q(PPPoEoQinQ)

コマンド デフォルト

RADIUS アカウンティング機能の NAS-Port の標準 NAS-Port 形式と、デフォルト NAS-Port 形式または拡張 NAS-Port サポートの復元。

コマンド モード


グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

11.3(7)T

このコマンドが導入されました。

11.3(9)DB

PPP 拡張 NAS-Port 形式が追加されました。

12.1(5)T

PPP 拡張 NAS-Port 形式が拡張され、PPPoE over ATM と PPPoE over IEEE 802.1Q VLAN がサポートされました。

12.2(4)T

フォーマット e が導入されました。

12.2(11)T

フォーマット e が拡張され、PPPoX 情報がサポートされました。

12.3(3)

フォーマット e が拡張され、セッション ID U がサポートされました。

12.3(7)XI1

フォーマット e が拡張され、フォーマット文字列を NAS-Port-Type 属性固有にできるようになりました。次のキーワードと引数が追加されました:stringtype nas-port-type

12.2(28)SB

このコマンドが、Cisco IOS Release 12.2(28)SB に統合されました。

12.2(33)SRA

このコマンドが、Cisco IOS リリース 12(33)SRA に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

12.2(33)SRC

このコマンドが、Cisco IOS Release 12.2(33)SRC に統合されました。

使用上のガイドライン

radius-serverattributenas-portformat コマンドは、NAS-Port 属性フィールド(RADIUS IETF 属性 5)のサイズとフォーマットを変更するように RADIUS を設定します。

次の NAS-Port 形式がサポートされています。

  • 標準 NAS-Port 形式:この 16 ビット NAS-Port 形式は、制御インターフェイスのタイプ、ポート、およびチャネルを示します。これは Cisco IOS ソフトウェアが使用するデフォルトの形式です。

  • 拡張 NAS-Port 形式:標準 NAS-Port 属性フィールドが 32 ビットに拡張されました。この NAS-Port 属性の上位 16 ビットは、制御インターフェイスの種類と番号を示します。下位 16 ビットは、インターフェイスで実行中の認証を示します。

  • シェルフスロット NAS-Port 形式:この 16 ビット NAS-Port 形式では、シェルフ エントリとスロット エントリを必要とする拡張ハードウェア モデルがサポートされます。

  • PPP 拡張 NAS-Port 形式:この NAS-Port 形式は 32 ビットであり、PPPoA と PPPoEoA のインターフェイス、仮想パス識別子(VPI)、仮想チャネル インジケータ(VCI)を示し、PPPoE over Institute of Electrical and Electronic Engineers(IEEE)標準 802.1Q VLAN のインターフェイスと VLAN ID を示します。

フォーマット e

Cisco IOS リリース 12.2(4)T 以前では、フォーマット a ~ c は、AS5400 などの Cisco プラットフォームでは機能しませんでした。このため、設定可能なフォーマット e が開発されました。フォーマット e では、属性 25(NAS-Port)の 32 ビットの用途を明示的に定義する必要があります。用途の定義では、特定のビット フィールドに対し、該当する各 NAS-Port フィールドに特定のパーサー文字を使用します。1 行に 1 文字(例:x)ずつ設定することで、その指定された値を格納するために 1 ビットだけが割り当てられます。同じタイプの文字(例:x)を追加すると、格納される有効な値の範囲が拡大します。次の表に、範囲の拡張方法を示します。

表 1 フォーマット e の範囲

文字

範囲

0 ~ 1

xx

0-3

xxx

0 ~ 7

xxxx

0-F

xxxxx

0 ~ 1F

サポートするプラットフォームで、特定のパラメータの有効な範囲を把握しておく必要があります。Cisco IOS RADIUS クライアントは、設定に基づき許容可能な最大値まで、判別された値にビットマスクを適用します。したがって、パラメータに値 8 が指定されていることが判明するが、3 ビット(xxx)だけが設定されている場合、8 と 0x7 では結果は 0 になります。このため、必要な値を正しくキャプチャできるように、十分なビット数を常に設定する必要があります。ネットワーク環境内ですべての NAS ポート タイプで適切に機能するようにフォーマット e が設定されていることを慎重に確認する必要があります。

次の表に、サポートされているパラメータとその文字を示します。

表 2 サポートされるパラメータと文字

サポートされるパラメータ

文字

0

0(このビットには常に 0 が設定されます)

1

1(このビットには常に 0 が設定されます)

DS0 shelf

f

DS0 slot

s

DS0 adaptor

a

DS0 port

p(物理ポート)

DS0 subinterface

i

DS0 channel

c

Async shelf

F

Async slot

S

Async port

P

Async line

L(モデム回線番号、つまり物理端末(TTY)番号)

PPPoX スロット

S

PPPoX adaptor

A

PPPoX port

P

PPPoX VLAN ID

V

PPPoX VPI

I

PPPoX VCI

C

Session ID

U

このフォーマットでは空のフィールドについては何も想定されないため、NAS-Port を表す 32 ビットすべてに、上記のいずれかの文字が設定されている必要があります。

アクセス ルータ

T1 ベース カードと T3 ベース カードの DS0 ポートでは異なる結果が得られます。T1 ベース カードでは、物理ポートと仮想ポートは等価です(これらのポートが同一であるため)。したがって、T1 カードでは pd には同じ情報が含まれます。ただし T3 システムでは、ポートは物理ポート番号を示します(特定のプラットフォームでは T3 カードが複数存在する可能性があるため)。そのため、d は仮想 T1 回線を示します(T3 コントローラの設定に基づく)。T3 システムでは pd は異なるため、物理デバイスを適切に識別するには両方をキャプチャする必要があります。Cisco AS5400 での実施例として、次の設定が推奨されます。

Router (config)# radius-server attribute nas-port format e SSSSPPPPPPPPPsssspppppccccc

これにより、非同期スロット(0-16)、非同期ポート(0-512)、DS0 スロット(0-16)、DS0 物理ポート(0-32)、DS0 仮想ポート(0-32)、およびチャネル(0-32)が設定されます。パーサーが実装され、32 ビット サポートが明示的に必要となります。このサポートがない場合、エラーとなります。

最後に、フォーマット e は個別線信号方式(CAS)、PRI、および BRI ベースのインターフェイスでサポートされています。


(注)  

このコマンドは radius-serverattributenas-portextended コマンドを置き替えます。

拡張 NAS-Port-Type 属性のサポート

このコマンドでは、拡張属性 61 サポートのために特定のサービス ポート タイプを設定できます。これにより、デフォルトのグローバル設定が上書きされます。

次の例では、RADIUS サーバが指定されており、NAS-Port フィールドに PPP 拡張フォーマットが設定されています。

radius-server host 192.0.2.96 auth-port 1645 acct-port 1646
radius-server attribute nas-port format d

次に、拡張 NAS-Port-Type ポートのグローバル サポートを設定し、2 種類のポート タイプに対して 2 つの個別のフォーマット e 文字列をグローバルに指定する例を示します。

  • type 30(PPPoA)

  • type 33(PPPoEoVLAN)

Router# configure terminal
Router(config)#
Router(config)# radius-server attribute 61 extended
Router(config)# radius-server attribute nas-port format e SSSSAPPPUUUUUUUUUUUUUUUUUUUUUUUU
Router(config)# radius-server attribute nas-port format e SSSSAPPPIIIIIIIICCCCCCCCCCCCCCCC type 30
 
Router(config)#
Router(config)# radius-server attribute nas-port format e SSSSAPPPVVVVVVVVVVVVVVVVVVVVVVVV type 33

関連コマンド

コマンド

説明

radiusattributenas-port-type

サブインターフェイス(イーサネット、vLAN、スタック VLAN(Q-inQ)、仮想回線(VC)、および VC 範囲など)を設定します。

radius-serverattribute61extended

非 RFC 準拠の拡張 NAS-Port-Type 属性(RADIUS 属性 61)を有効にします。

vpdnaaaattribute

LNS が PPP 拡張 NAS-Port 形式値をアカウンティングのために RADIUS サーバに送信できるようにします。

radius-server configure-nas

ベンダー固有の RADIUS サーバに対し、デバイスの起動時にドメイン全体で使用されるスタティック ルートと IP プール定義を照会するように Cisco ルータまたはアクセス サーバを設定するには、グローバル コンフィギュレーション モードで radius-server configure-nas コマンドを使用します。RADIUS サーバの照会を中止するには、このコマンドの no 形式を使用します。

radius-server configure-nas

no radius-server configure-nas

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード


グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

11.3

このコマンドが導入されました。

12.2(33)SRA

このコマンドが、Cisco IOS リリース 12(33)SRA に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

使用上のガイドライン

Cisco ルータが初回起動時にスタティック ルートと IP プール定義をベンダー固有の RADIUS サーバに照会できるようにするには、radius-server configure-nas コマンドを使用します。RADIUS のベンダー固有実装の一部では、ネットワーク内にある個々のネットワーク アクセス サーバの代わりに、ユーザが RADIUS サーバのスタティック ルートおよび IP プールを定義できます。各ネットワーク アクセス サーバは、起動時にスタティック ルートと IP プール情報について RADIUS サーバに照会します。このコマンドにより、Cisco ルータは RADIUS サーバからスタティック ルートと IP プール定義情報を取得できます。


(注)  

radius-server configure-nas コマンドは Cisco ルータの起動時に実行されるため、これは copy system:running-config nvram:startup-config コマンドを実行するまでは有効ではありません。

次に、Cisco ルータまたはアクセス サーバに対し、デバイスの初回起動時に既に定義されているスタティック ルートと IP プール定義をベンダー固有の RADIUS サーバに照会するように指示する例を示します。

radius-server configure-nas

関連コマンド

Command

Description

radius-serverhostnon-standard

セキュリティ サーバが RADIUS のベンダー独自の実装を使用していることを示します。

radius-server dead-criteria

RADIUS サーバをデッド状態としてマークするための条件のいずれかまたは両方を、示されている定数に強制的に設定するには、グローバル コンフィギュレーション モードで radius-server dead-criteria コマンドを使用します。設定されていた基準をディセーブルにするには、このコマンドの no 形式を使用します。

radius-server dead-criteria [ time seconds ] [ tries number-of-tries ]

no radius-server dead-criteria [ time seconds | tries number-of-tries ]

構文の説明

time seconds

(オプション)ルータが RADIUS サーバから有効なパケットを最後に受信してから、サーバがデッド状態としてマークされるまでに経過する必要のある最小時間(秒単位)。ルータの起動後にパケットを受信せずにタイムアウトになった場合は、この時間の条件は満たされたものとして処理されます。この時間は 1 ~ 120 秒に設定できます。

  • seconds 引数を設定しない場合、この秒数はサーバのトランザクション レートに応じて 10 ~ 60 秒になります。

(注)     

時間の条件と試行回数の条件の両方を満たしていないと、サーバはデッド状態と指定されません。

tries number-of-tries

(オプション)RADIUS サーバがデッド状態としてマークされるまでにルータで発生する必要がある連続タイムアウト回数。サーバが認証とアカウンティングの両方を実行する場合、両方の種類のパケットがこの回数に含まれます。正しく作成されていないパケットは、タイムアウトになっているものとしてカウントされます。最初の送信と再送信を含むすべての送信がカウントされます。タイムアウト回数は 1 ~ 100 に設定できます。

  • number-of-tries 引数を設定しない場合は、サーバのトランザクション レートと設定されている再送信回数に基づいて、連続タイムタウト回数は 10 ~ 100 となります。

(注)     

時間の条件と試行回数の条件の両方を満たしていないと、サーバはデッド状態と指定されません。

コマンド デフォルト

RADIUS サーバがデッド状態としてマークされるまでに発生する連続タイムアウトの回数と秒数は、サーバのトランザクション レートと設定されている再送信回数に応じて異なります。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

12.2(15)T

このコマンドが導入されました。

12.2(28)SB

このコマンドが、Cisco IOS Release 12.2(28)SB に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

使用上のガイドライン


(注)  

時間の条件と試行回数の条件の両方を満たしていないと、サーバはデッド状態と指定されません。

このコマンドの no 形式では、次のようになります。

  • 引数 seconds または number-of-tries のいずれも no radius-server dead-criteria コマンドに指定されていない場合、時間と試行回数の両方がデフォルトにリセットされます。

  • 最初に設定されていた値を使用して seconds 引数が指定された場合、時間はデフォルトの値範囲(10 ~ 60)にリセットされます。

  • 最初に設定されていた値を使用して number-of-tries 引数が指定された場合、時間はデフォルトの値範囲(10 ~ 100)にリセットされます。

次に、5 秒経過後および 4 回の試行後にルータがデッド状態と見なされるようにルータを設定する例を示します。

Router (config)# radius-server dead-criteria time 5 tries 4

次に、radius-server dead-criteria コマンドに設定された時間と試行回数の条件を無効にする例を示します。

Router (config)# no radius-server dead-criteria

次に、radius-server dead-criteria コマンドに設定された時間の条件を無効にする例を示します。

Router (config)# no radius-server dead-criteria time 5

次に、radius-server dead-criteria コマンドに設定された試行回数の条件を無効にする例を示します。

Router (config)# no radius-server dead-criteria tries 4

関連コマンド

Command

Description

debugaaadead-criteriatransactions

デッド条件の AAA トランザクションの値を表示します。

showaaadead-criteria

AAA サーバのデッド条件に関する情報を表示します。

show aaa server-private

すべてのプライベート RADIUS サーバのステータスを表示します。

show aaa servers

AAA サーバとの間で送受信されたパケットの数に関する情報を表示します。

radius-server deadtime

一部のサーバが使用不能な場合の RADIUS 応答時間を改善し、使用不能なサーバを即時にスキップするには、グローバル コンフィギュレーション モードで radius-server deadtime コマンドを使用します。deadtime を 0 に設定するには、このコマンドの no 形式を使用します。

radius-server deadtime

no radius-server deadtime

構文の説明

トランザクション要求が RADIUS サーバをスキップする期間(分単位、最大 1440 分(24 時間))。

コマンド デフォルト

デッド タイムは 0 に設定されます。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.1

このコマンドが導入されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

使用上のガイドライン

このコマンドは、Cisco IOS ソフトウェアが認証要求に応答しない RADIUS サーバを「デッド」状態とマークできるようにします。これにより、設定されている次のサーバを試行する前に要求の待機がタイムアウトになることが防止されます。「デッド」状態としてマークされた RADIUS サーバは、指定された期間(分数)、その他の要求でスキップされます。ただし、「デッド」状態としてマークされていないサーバが他にない場合を除きます。


(注)  

「デッド」状態としてマークされた RADIUS サーバがダイレクト要求を受信する場合、そのダイレクト要求は RADIUS サーバで省略されません。ダイレクト要求は RADIUS サーバに直接送信されるため、RADIUS サーバはダイレクト要求の処理を続行します。

RADIUS サーバがデッド状態としてマークされている場合

12.2(13.7)T 以前のバージョンの Cisco IOS では、設定されている再送信回数までパケットの送信が行われ、RADIUS パケット送信に設定されているタイムアウトに達するまでにサーバから有効な応答を受信しなかった場合に、RADIUS サーバがデッド状態としてマークされました。

Cisco IOS バージョン 12.2(13.7)T 以降の場合、次の両方の条件を満たした場合に RADIUS サーバがデッド状態としてマークされます。

  1. サーバへ再送信するかどうかを決定するために使用される最小限のタイムアウト期間内に、未処理のトランザクションに対する有効な応答を RADIUS サーバから受信しなかった。

  2. 最小限必要な再送信回数に 1(初回送信分)を加算した回数だけ、パケットがすべてのトランザクションで連続して RADIUS サーバに送信されたが、必要なタイムアウト期間内にサーバから有効な応答を受信しなかった。

次に、認証要求への応答に失敗した RADIUS サーバのデッドタイムを 5 分に指定する例を示します。

radius-server deadtime 5

関連コマンド

Command

Description

deadtime(server-groupconfiguration)

RADIUS サーバ グループのコンテキスト内でデッドタイムを設定します。

radius-serverhost

RADIUS サーバ ホストを指定します。

radius-serverretransmit

Cisco IOS ソフトウェアが RADIUS サーバ ホストのリストを検索する回数の最大値を指定します。

radius-servertimeout

サーバ ホストが応答するまでルータが待機する間隔を設定します。

radius-server host


(注)  

radius-server host コマンドは、Cisco IOS リリース 15.4(2)S 以降では廃止されています。IPv4 または IPv6 RADIUS サーバを設定するには、radius server name コマンドを使用します。radius server コマンドの詳細については、『Cisco IOS Security Command Reference: Commands M to R』を参照してください。

RADIUS サーバ ホストを指定するには、グローバル コンフィギュレーション モードで radius-server host コマンドを使用します。指定した RADIUS ホストを削除するには、このコマンドの no 形式を使用します。

Cisco IOS リリース 12.4T 以降

radius-server host { hostname | ip-address } [ alias { hostname | ip-address } | [ acct-port port-number ] [ auth-port port-number ] [non-standard] [ timeout seconds ] [ retransmit retries ] [ backoff exponential [ max-delay ] [ backoff-retry number-of-retransmits ] ] [ key encryption-key ] ]

no radius-server host { hostname | ip-address }

その他のすべてのリリース

radius-server host { hostname | ip-address } [ alias { hostname | ip-address } | [ acct-port port-number ] [ auth-port port-number ] [non-standard] [ timeout seconds ] [ retransmit retries ] [ test username user-name [ignore-acct-port] [ignore-auth-port] [ idle-time ] ] [ backoff exponential [ max-delay ] [ backoff-retry number-of-retransmits ] ] [ key-wrap encryption-key encryption-key message-auth-code-key encryption-key [ format { ascii | hex } ] | pac ] [ key encryption-key ] ]

no radius-server host { hostname | ip-address }

構文の説明

hostname

RADIUS サーバ ホストのドメイン ネーム システム(DNS)名です。

ip-address

RADIUS サーバ ホストの IP アドレスです。

alias

(任意)指定した RADIUS サーバについて、1 行につき最大 8 つのエイリアスを許可します。

acct-port port-number

(オプション)アカウンティング要求の UDP 宛先ポート。

  • ポート番号が 0 に設定されている場合、そのホストは認証に使用されません。ポート番号が指定されていない場合に割り当てられるデフォルトのポート番号は 1646 です。

auth-port port-number

(オプション)認証要求の UDP 宛先ポート。

  • ポート番号が 0 に設定されている場合、そのホストは認証に使用されません。ポート番号が指定されていない場合に割り当てられるデフォルトのポート番号は 1645 です。

non-standard

RADIUS 標準に違反する属性を解析します。

timeout seconds

(オプション)デバイスが RADIUS サーバの応答を待機し、再送信するまでの時間間隔(秒単位)。

  • timeout キーワードは、radius-server timeout コマンドのグローバル値を上書きします。
  • タイムアウト値が指定されない場合はグローバル値が使用されます。範囲は 1 ~ 1000 です。

retransmit retries

(オプション)サーバが応答しない場合、または応答が遅い場合に、RADIUS 要求をサーバに再送信する回数です。

  • retransmit キーワードは、radius-server retransmit コマンドのグローバル設定値を上書きします。
  • 再送信値が指定されない場合はグローバル値が使用されます。範囲は 1 ~ 100 です。

test username user-name

(オプション)RADIUS サーバ ロード バランシングの自動テスト機能のテスト ユーザ名を設定します。

ignore-acct-port

(オプション)アカウンティング ポートでの RADIUS サーバ ロード バランシングの自動テスト機能を無効にします。

ignore-auth-port

(オプション)認証ポートでの RADIUS サーバ ロード バランシングの自動テスト機能を無効にします。

idle-time

(オプション)サーバが隔離され、テスト パケットが送信されるまでのサーバのアイドル時間(分単位)。範囲は 1 ~ 35791 です。デフォルトは 60 です。

backoff exponential

(オプション)指数再送信バックアップ モードを設定します。

max-delay

(オプション)再送信間の最大遅延(分単位)を設定します。

  • max-delay

    minutes:範囲は 1 ~ 120 です。デフォルト値は 3 です。

key-wrap encryption-key

(オプション)キーラップ暗号キーを指定します。

message-auth-code-key

キーラップ メッセージ認証コード キーを指定します。

format

(オプション)メッセージ オーセンティケータ コード キーの形式を指定します。

  • 有効な値は次のとおりです。
    • ascii:キーを ASCII 形式で設定します。
    • hex:キーを 16 進数形式で設定します。

backoff-retry number-of-retransmits

(オプション)指数バックオフ再試行回数を指定します。

  • number-of-retransmits:バックオフ再試行回数。範囲は 1 ~ 50 です。デフォルト値は 8 です。

pac

(オプション)サーバ別の Protected Access Credential(PAC)キーを生成します。

key

(オプション)この RADIUS サーバで実行される RADIUS デーモンとデバイスの間で使用される暗号キー。

  • この key キーワードは、radius-server key コマンドのグローバル設定値を上書きします。キー文字列を指定しない場合、グローバル値が使用されます。
(注)      key キーワードは、RADIUS サーバで使用する暗号キーに一致するテキスト文字列でなければなりません。キーの先行スペースは無視されますが、途中および末尾のスペースは有効なので、キーは必ず radius-server host コマンド構文の最後の項目として設定してください。キーにスペースを使用する場合は、引用符自体がキーの一部でない限り、そのキーを引用符で囲まないでください。

encryption-key

暗号キーを指定します。

  • encryption-key の有効な値を次に示します。
    • 0:暗号化されていないキーが続くことを示します。
    • 7:非公開のキーが続くことを示します。
    • 暗号化されていない(クリアテキスト)サーバ キーを指定する文字列。

コマンド デフォルト

デフォルトでは、RADIUS ホストは指定されず、RADIUS サーバ ロード バランシング自動テストは無効になっています。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.1

このコマンドが導入されました。

12.0(5)T

このコマンドが変更され、タイムアウト、再送信およびキー値を RADIUS サーバごとに設定できるオプションが追加されました。

12.1(3)T

このコマンドが変更されました。alias キーワードが追加されました。

12.2(15)B

このコマンドが、Cisco IOS リリース 12.2(15)B に統合されました。backoffexponentialbackoff-retrykey、および max-delay キーワードと、number-of-retransmitsencryption-key、および minutes 引数が追加されました。

12.2(28)SB

このコマンドが Cisco IOS リリース 12.2(28)SB に統合されました。RADIUS サーバ ロード バランシング自動テスト機能を設定するためのキーワードおよび引数 test username user-nameignore-auth-portignore-acct-port、および idle-time seconds が追加されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。Cisco IOS リリース 12.2(28)SB で追加されたキーワードと引数は、Cisco IOS リリース 12.2(33)SRA およびこれ以降の 12.2SR リリースに適用されます。

12.4(11)T

このコマンドが変更されました。

(注)      Cisco IOS リリース 12.2(28)SB で追加されたキーワードと引数は、Cisco IOS リリース 12.4(11)T およびこれ以降の 12.4T リリースには適用されません。

12.2 SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

(注)      Cisco IOS リリース 12.2(28)SB で追加されたキーワードと引数は、Cisco IOS リリース 12.2SX には適用されません。

Cisco IOS XE Release 2.5

このコマンドが、Cisco IOS XE Release 2.5 に統合されました。

15.3(1)S

このコマンドが変更されました。key-wrap encryption-keymessage-auth-code-keyformatascii、および hex キーワードが追加されました。

Cisco IOS XE リリース 3.2SE

このコマンドが、Cisco IOS XE リリース 3.2SE に統合されました。

15.4(2)S

このコマンドが、Cisco IOS リリース 15.4(2)S に統合されました。

使用上のガイドライン

複数の radius-server host コマンドを使用して、複数のホストを指定できます。ソフトウェアは、指定された順序でホストを検索します。

ホスト固有のタイムアウト値、再送信値、またはキー値が指定されていない場合は、グローバル値が各ホストに適用されます。

RADIUS サーバで RADIUS サーバの自動テスト用に定義されていないテスト ユーザを使用することが推奨されます。これにより、テスト ユーザが正しく設定されていない場合に発生する可能性のあるセキュリティの問題から保護されます。

非標準のオプションを使用して RADIUS サーバを設定し、非標準のオプションを使用せずに別の RADIUS サーバを設定すると、非標準のオプションを使用する RADIUS サーバ ホストでは事前定義されたホストが受け入れられません。ただし、複数の異なる宛先 UDP ポートに同じ RADIUS サーバ ホスト IP アドレスを設定している場合、つまり(アカウンティング要求用の)UDP 宛先ポートが acct-port キーワードを使用して設定されており、非標準オプションの有無に関係なく(認証要求用の)別の UDP 宛先ポートが auth-port キーワードを使用して設定されている場合、RADIUS サーバは非標準オプションを受け入れません。これにより、すべてのポート番号がリセットされます。ホストの指定と、アカウンティング ポートと認証ポートの設定を 1 行で入力します。

アカウンティングと認証に別個のサーバを使用するには、適宜 0 ポート値を使用します。

RADIUS サーバ自動テスト

radius-server host コマンドを使用して RADIUS サーバ ロード バランシングの自動テストを有効にすると、次のようになります。

  • デフォルトでは、認証ポートが有効になります。ポート番号が指定されていない場合にはデフォルトのポート番号(1645)が使用されます。認証ポートを無効にするには、ignore-auth-port キーワードを指定します。
  • デフォルトでは、アカウンティング ポートが有効になります。ポート番号が指定されていない場合にはデフォルトのポート番号(1645)が使用されます。アカウンティング ポートを無効にするには、ignore-acct-port キーワードを指定します。

次に、host1 を RADIUS サーバとして指定し、使用している Cisco リリースに基づいてアカウンティングと認証の両方にデフォルト ポートを使用する例を示します。

radius-server host host1

次に、host1 という RADIUS ホストで認証要求の宛先ポートとしてポート 1612 を指定し、アカウンティング要求の宛先ポートとしてポート 1616 を設定する例を示します。 

radius-server host host1 auth-port 1612 acct-port 1616

新しい行を開始するとすべてのポート番号がリセットされるため、ホストの指定とアカウンティング ポートおよび認証ポートの設定を 1 つの行に入力する必要があります。

次に、RADIUS サーバとして IP アドレス 192.0.2.46 のホストを指定し、認証ポートおよびアカウンティング ポートとしてポート 1612 と 1616 を使用し、タイムアウト値を 6、再送信値を 5 にそれぞれ設定して、さらに RADIUS サーバのキーと一致する暗号キーとして「rad123」を設定する例を示します。 

radius-server host 192.0.2.46 auth-port 1612 acct-port 1616 timeout 6 retransmit 5 key rad123

アカウンティングと認証に別個のサーバを使用するには、適宜 0 ポート値を使用します。

次に、RADIUS サーバ host1 を認証には使用せずにアカウンティングに使用するように指定し、RADIUS サーバ host2 をアカウンティングには使用せずに認証に使用するように指定する例を示します。 

radius-server host host1.example.com auth-port 0
radius-server host host2.example.com acct-port 0

次に、IP アドレスが 192.0.2.1 の RADIUS サーバの 4 つのエイリアスを指定する例を示します。 

radius-server host 192.0.2.1 auth-port 1646 acct-port 1645
radius-server host 192.0.2.1 alias 192.0.2.2 192.0.2.3 192.0.2.4

次に、サーバ単位で指数バックオフ再送信を有効化する例を示します。次の例では、再送信に 3 回の再試行回数が設定され、タイムアウトは 5 秒に設定されると想定します。つまり、RADIUS 要求は 5 秒間の遅延で 3 回送信されます。 その後デバイスは、再試行回数が 32 回に達するまで、各再試行時に遅延間隔を 2 倍にして RADIUS 要求の再送信を継続します。 デバイスは、再送信間隔が設定された 60 分を超えると、間隔を 2 倍にする操作を中止し、その後は 60 分ごとに送信します。

pac キーワードを指定すると、PAC-Opaque が許可されます。これは、Transport Layer Security(TLS)トンネルの確立フェーズでサーバに送信される可変長フィールドです。 PAC-Opaque はサーバだけが解釈でき、ピアのアイデンティティと認証を検証するために必要な情報がサーバで復元されます。 たとえば、PAC-Opaque には PAC-Key と PAC のピア アイデンティティが含まれていることがあります。PAC-Opaque の形式と内容は、発行元 PAC サーバによって異なります。

次に、デバイスで自動 PAC プロビジョニングを設定する例を示します。シード デバイスでは PAC-Opaque をプロビジョニングする必要があります。これにより、すべての RADIUS 交換で、この PAC-Opaque を使用して使用中サーバの自動 PAC プロビジョニングを有効にできます。すべての非シード デバイスは、リンク初期化の認証フェーズで PAC-Opaque を取得します。

enable
configure terminal
radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 pac

次に、ご使用の Cisco リリースに基づいて指定された認証ポートとアカウンティング ポートを使用した、RADIUS サーバのロード バランシング自動テストを有効にする例を示します。

radius-server host 192.0.2.176 test username test1 auth-port 1645 acct-port 1646

関連コマンド

コマンド 説明

aaaaccounting

課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。

aaaauthenticationppp

PPP を実行しているシリアル インターフェイス上で使用する 1 つまたは複数の AAA 認証方式を指定します。

aaaauthorization

ネットワーク アクセスをユーザに制限するパラメータを設定します。

debugaaatest

RADIUS サーバ ロード バランシングのアイドル タイマーまたは dead タイマーが満了になった時点を示します。

load-balance

名前付き RADIUS サーバ グループに対して RADIUS サーバ ロード バランシングを有効にします。

ppp

PPP を使用して非同期接続を開始します。

pppauthentication

CHAP または PAP、またはその両方を有効にし、インターフェイスで CHAP および PAP 認証が選択される順序を指定します。

radius-serverkey

デバイスおよび RADIUS デーモン間のすべての RADIUS 通信の認証キーおよび暗号キーを指定します。

radius-serverload-balance

グローバル RADIUS サーバ グループに対して RADIUS サーバ ロード バランシングを有効にします。

radius-serverretransmit

Cisco ソフトウェアが RADIUS サーバ ホストのリストを検索する回数の最大値を指定します。

radius-servertimeout

サーバ ホストが応答するまでデバイスが待機する間隔を設定します。

testaaagroup

RADIUS ロード バランシング サーバ応答を手動でテストします。

username

PPP CHAP や PAP などのユーザ名ベースの認証システムを確立します。

radius-server key


(注)  

radius-server key コマンドは、Cisco IOS リリース 15.4(2)S 以降では廃止されています。IPv4 または IPv6 RADIUS サーバを設定するには、radius server namekey コマンドを使用します。key (config-radius-server) コマンドの詳細については、『Cisco IOS Security Command Reference: Commands D to L』を参照してください。

ルータと RADIUS デーモン間のすべての RADIUS 通信に認証および暗号キーを設定するには、radius-server key コマンドを使用します。キーをディセーブルにするには、このコマンドの no 形式を使用します。

radius-server key { 0 string | 7 string } string

no radius-server key

構文の説明

0

string

暗号化されていないキーが続くことを示します。

暗号化されていない(クリアテキスト)共有キー。

7

string

非公開のキーが続くことを示します。

非公開の共有キー。

string

暗号化されていない(クリアテキスト)共有キー。

コマンド デフォルト

認証および暗号キーはディセーブルになります。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.1

このコマンドが導入されました。

12.1(3)T

このコマンドが変更されました。string 引数が次のように変更されました。

  • 0 string

  • 7 string

  • string

12.2(33)SRA

このコマンドが、Cisco IOS リリース 12(33)SRA に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

Cisco IOS XE リリース 3.3S

このコマンドが、Cisco IOS XE リリース 3.3S に統合されました。

15.4(2)S

このコマンドが、Cisco IOS リリース 15.4(2)S に統合されました。

使用上のガイドライン

aaanew-model コマンドを使用して認証、認可、およびアカウンティング(AAA)の認証を有効にした後で、radius-server key コマンドを使用して認証と暗号キーを設定する必要があります。


(注)  

aaanew-model コマンドの発行後に RADIUS キーを指定します。

入力するキーは、RADIUS デーモンで使用されるキーと一致する必要があります。先頭のスペースはすべて無視されますが、キーの中間および末尾のスペースは使用できます。キーにスペースを使用する場合、引用符をキーに含める場合を除き、引用符でキーを囲まないでください。

次に、認証および暗号キーを「key1」に設定する例を示します。

Device(config)# radius-server key key1

次に、認証および暗号キーを「anykey」に設定する例を示します。7 は、非公開のキーが続くことを指定します。

service password-encryption
radius-server key 7 anykey

設定を保存し、show-running config コマンドを使用すると、暗号キーが次のように表示されます。 

Device# show running-config
!
!
 radius-server key 7 19283103834782sda
! The leading 7 indicates that the following text is encrypted.

関連コマンド

Command

Description

aaaaccounting

課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。

aaaauthenticationppp

PPP を実行しているシリアル インターフェイス上で使用する 1 つまたは複数の AAA 認証方式を指定します。

aaaauthorization

ネットワークへのユーザ アクセスを制限するパラメータを設定します。

aaa new-model

AAA アクセス コントロール モデルを有効にします。

ppp

PPP を使用して非同期接続を開始します。

pppauthentication

CHAP または PAP、またはその両方をイネーブルにし、インターフェイスで CHAP および PAP 認証が選択される順番を指定します。

radius-serverhost

RADIUS サーバ ホストを指定します。

servicepassword-encryption

パスワードを暗号化します。

username

PPP CHAP や PAP などのユーザ名ベースの認証システムを確立します。

radius-server load-balance

認証、許可、およびアカウンティング(AAA)メソッド リストで「radius」と示されているグローバル RADIUS サーバ グループの RADIUS サーバ ロード バランシングを有効にするには、グローバル コンフィギュレーション モードで radius-server load-balance コマンドを使用します。RADIUS サーバ ロード バランシングを無効にするには、このコマンドの no 形式を使用します。

radius-server load-balance method least-outstanding [ batch-size number ] [ignore-preferred-server]

no radius-server load-balance

構文の説明

methodleast-outstanding

ロード バランシングの最小未解決モードを有効にします。

batch-size

(任意)バッチごとに割り当てられるトランザクションの数。

number

(オプション)バッチのトランザクションの数。

  • デフォルトは 25 です。

  • 範囲は 1 ~ 2147483647 です。

(注)     

バッチ サイズがスループットと CPU の負荷に影響する場合があります。デフォルト バッチ サイズの 25 の使用を推奨します。これは、CPU の負荷に悪影響を及ぼさない、高スループットに最適化されているためです。

ignore-preferred-server

(オプション)1 つの AAA セッションに関連付けられているトランザクションが、同じサーバを使用する必要があるかどうかを指定します。

  • 設定されている場合、優先サーバ設定は使用されません。

  • デフォルトでは優先サーバが使用されます。

コマンド デフォルト

このコマンドが設定されていない場合、グローバル RADIUS サーバ ロード バランシングは行われません。

コマンド モード


グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

12.2(28)SB

このコマンドが導入されました。

12.4(11)T

このコマンドが Cisco IOS Release 12.4(11)T に統合されました。

12.2(33)SRC

このコマンドが、Cisco IOS Release 12.2(33)SRC に統合されました。

次の例は、グローバル RADIUS サーバ グループに対してロード バランシングを有効にする方法を示しています。この例は、RADIUS コマンド出力の現在の設定、デバッグ出力、および AAA サーバ ステータス情報の 3 つの部分からなります。デリミタを使用して関連する設定部分だけを表示できます。

次に、関連する RADIUS 設定を示します。

Router# show running-config | inc radius
aaa authentication ppp default group radius
aaa accounting network default start-stop group radius
radius-server host 192.0.2.238 auth-port 2095 acct-port 2096 key cisco
radius-server host 192.0.2.238 auth-port 2015 acct-port 2016 key cisco
radius-server load-balance method least-outstanding batch-size 5

上記 RADIUS コマンド出力の現行設定内の行は、次のように定義されています。

  • aaa authentication ppp コマンドは、RADIUS を使用してすべての PPP ユーザを認証します。

  • aaa accounting コマンドは、クライアントの認証後、および start-stop キーワードを使用した切断の後に、AAA サーバにすべてのアカウンティング要求を送信できるようにします。

  • radius-server host コマンドは、指定された認証ポートおよびアカウンティング ポートと、特定された認証および暗号キーを使用して、RADIUS サーバ ホストの IP アドレスを定義します。

  • radius-server load-balance コマンドは、バッチ サイズが指定されたグローバル RADIUS サーバ グループに対してロード バランシングを有効化します。

下のデバッグ出力は、上の設定に関する優先サーバの選択と要求の処理を示しています。

Router# show debug
General OS:
  AAA server group server selection debugging is on
Router#
<sending 10 pppoe requests>
Router#
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000014):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[0] load:0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Selected Server[0] with load 0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000014):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000015):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000015):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000016):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[3] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000016):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000017):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[2] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000017):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000018):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[1] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000018):Server (192.0.2.238:2095,2096) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000019):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:No more transactions in batch. Obtaining a new server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining a new least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[1] load:0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Server[0] load:5
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Selected Server[1] with load 0
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[5] transactions remaining in batch.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(00000019):Server (192.0.2.238:2015,2016) now being used as preferred server
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT(0000001A):No preferred server available.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.199:AAA/SG/SERVER_SELECT:[4] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT(0000001A):Server (192.0.2.238:2015,2016) now being used as preferred server
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT(0000001B):No preferred server available.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT:[3] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT(0000001B):Server (192.0.2.238:2015,2016) now being used as preferred server
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT(0000001C):No preferred server available.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT:[2] transactions remaining in batch. Reusing server.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT(0000001C):Server (192.0.2.238:2015,2016) now being used as preferred server
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT(0000001D):No preferred server available.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT:Obtaining least loaded server.
*Feb 28 13:40:32.203:AAA/SG/SERVER_SELECT:[1] transactions remaining in batch. Reusing server
.
.
.

グローバル RADIUS サーバ グループのサーバ ステータス情報の例

下の出力は、グローバル RADIUS サーバ グループ設定例の AAA サーバ ステータスを示しています。

Router# show aaa server
RADIUS:id 4, priority 1, host 192.0.2.238, auth-port 2095, acct-port 2096
     State:current UP, duration 3175s, previous duration 0s
     Dead:total time 0s, count 0
     Quarantined:No
     Authen:request 6, timeouts 1
             Response:unexpected 1, server error 0, incorrect 0, time 1841ms
             Transaction:success 5, failure 0
     Author:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Account:request 5, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 3303ms
             Transaction:success 5, failure 0
     Elapsed time since counters last cleared:2m
RADIUS:id 5, priority 2, host 192.0.2.238, auth-port 2015, acct-port 2016
     State:current UP, duration 3175s, previous duration 0s
     Dead:total time 0s, count 0
     Quarantined:No
     Authen:request 6, timeouts 1
             Response:unexpected 1, server error 0, incorrect 0, time 1955ms
             Transaction:success 5, failure 0
     Author:request 0, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction:success 0, failure 0
     Account:request 5, timeouts 0
             Response:unexpected 0, server error 0, incorrect 0, time 3247ms
             Transaction:success 5, failure 0
     Elapsed time since counters last cleared:2m
Router#

この出力は、2 つの RADIUS サーバのステータスを示しています。両方のサーバが動作中であり、最後の 2 分間で次の処理に成功しています。

  • 6 つの認証要求のうち 5 つ

  • 5 つのアカウンティング要求のうち 5 つ

関連コマンド

コマンド

説明

debugaaasg-serverselection

ルータ内の RADIUS および TACACS+ サーバ グループ システムが特定のサーバを選択している理由を示します。

debugaaatest

RADIUS サーバ ロード バランシングのアイドル タイマーまたは dead タイマーが満了になった時点を示します。

load-balance

名前付き RADIUS サーバ グループに対して RADIUS サーバ ロード バランシングを有効にします。

radius-serverhost

ロード バランシングの RADIUS 自動テストを有効にします。

testaaagroup

RADIUS ロード バランシング サーバ応答を手動でテストします。

radius-server retransmit

Cisco IOS ソフトウェアが RADIUS サーバ ホストのリストを検索する最大回数を指定するには、グローバル コンフィギュレーション モードで radius-server retransmit コマンドを使用します。再送信を無効にするには、このコマンドの no 形式を使用します。

radius-server retransmit retries

no radius-server retransmit

構文の説明

retries

再送信の最大試行回数です。範囲は 0 ~ 100 です。

コマンド デフォルト

デフォルトの再送信試行回数は 3 回です。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.1

このコマンドが導入されました。

12.2(31)SB

このコマンドが Cisco IOS Release 12.2(31)SB に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

Cisco IOS XE リリース 3.3S

このコマンドが、Cisco IOS XE リリース 3.3S に統合されました。

使用上のガイドライン

Cisco IOS ソフトウェアでは、すべてのサーバに対して再送信が試みられ、それぞれがタイムアウトになってから再送信カウントが増加します。

RADIUS サーバとルータの間の距離が数ホップの場合は、RADIUS サーバの再試行レートを 5 に設定することが推奨されます。

次に、再送信カウンタ値を 5 回に指定する例を示します。

Router(config)# radius-server retransmit 5

関連コマンド

Command

Description

aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

radius-serverhost

RADIUS サーバ ホストを指定します。

radius-serverkey

ルータおよび RADIUS デーモン間のすべての RADIUS コミュニケーションの認証キーおよび暗号キーを指定します。

radius-servertimeout

サーバ ホストが応答するまでルータが待機する間隔を設定します。

showradiusstatistics

アカウンティング パケットと認証パケットについての RADIUS 統計情報を示します。

radius-server timeout

ルータがサーバ ホストの応答を待機する間隔を設定するには、グローバル コンフィギュレーション モードで radius-servertimeout コマンドを使用します。デフォルトに戻すには、このコマンドの no 形式を使用します。

radius-server timeout seconds

no radius-server timeout

構文の説明

seconds

タイムアウトの間隔を指定する秒数です。指定できる範囲は 1 ~ 1000 です。デフォルト値は 5 秒です。

コマンド デフォルト

5 秒

コマンド モード


グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

11.1

このコマンドが導入されました。

12.2(31)SB

このコマンドが Cisco IOS Release 12.2(31)SB に統合されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

使用上のガイドライン

タイムアウトになるまでルータがサーバ ホストの応答を待機する秒数を設定するには、このコマンドを使用します。

RADIUS サーバとルータの間の距離が数ホップの場合は、RADIUS サーバのタイムアウトを 15 秒に設定することが推奨されます。

次に、インターバル タイマーを 10 秒に設定する例を示します。

radius-server timeout 10

関連コマンド

Command

Description

radius-serverhost

RADIUS サーバ ホストを指定します。

radius-serverkey

ルータおよび RADIUS デーモン間のすべての RADIUS コミュニケーションの認証キーおよび暗号キーを指定します。

radius-serverretransmit

Cisco IOS ソフトウェアが RADIUS サーバ ホストのリストを検索する回数の最大値を指定します。

showradiusstatistics

アカウンティング パケットと認証パケットについての RADIUS 統計情報を示します。

radius-server vsa send

ベンダー固有の属性(VSA)を認識して使用するようにネットワーク アクセス サーバ(NAS)を設定するには、グローバル コンフィギュレーション モードで radius-server vsa send コマンドを使用します。NAS が VSA を使用できないようにするには、このコマンドの no 形式を使用します。

radius-server vsa send [ accounting | authentication | cisco-nas-port ] [3gpp2]

no radius-server vsa send [ accounting | authentication | cisco-nas-port ] [3gpp2]

構文の説明

accounting

(オプション)認識される VSA をアカウンティング属性のみに制限します。

authentication

(オプション)認識される VSA を認証属性のみに制限します。

cisco-nas-port

(オプション)Cisco NAS ポート VSA を返します。

(注)     

属性 87(Attr87)に NAS ポート情報を指定するという IETF の要件に基づき、Cisco NAS ポートはデフォルトでは無効です。

3gpp2

(オプション)Third Generation Partnership Project 2(3GPP2)Cisco VSA を 3GPP2 パケット タイプに追加します。

コマンド デフォルト

NAS は VSA を認識して使用するように設定されていません。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

11.3T

このコマンドが導入されました。

12.2(27)SBA

このコマンドが、Cisco IOS リリース 12.2(27)SBA に統合されました。

12.2(33)SRA

このコマンドが変更されました。Cisco VSA との後方互換性のために、cisco-nas-port キーワードと 3gpp2 キーワードが追加されました。

12.2SX

このコマンドは、Cisco IOS Release 12.2SX トレインでサポートされます。このトレインの特定の 12.2SX リリースにおけるサポートは、フィーチャ セット、プラットフォーム、およびプラットフォーム ハードウェアによって異なります。

Cisco IOS XE リリース 3.3S

このコマンドが、Cisco IOS XE リリース 3.3S に統合されました。

Cisco IOS XE Release 3.8S

このコマンドが変更されました。NAS がアカウンティング要求と認証要求で VSA を使用できるようにするため、accounting キーワードと authentication キーワードがデフォルトで有効になりました。

使用上のガイドライン

IETF のドラフト規格では、NAS と RADIUS サーバ間で、VSA(属性 26)を使用してベンダー固有情報を受け渡す方法が定められています。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。radius-servervsasend コマンドは、NAS がアカウンティングと認証の両方の VSA を認識して使用できるようにします。認識される VSA をアカウンティング属性だけに制限するには、accounting キーワードを radius-servervsasend コマンドに使用します。認識される VSA を認証属性だけに制限するには、authentication キーワードを radius-servervsasend コマンドに使用します。デフォルトの radius-servervsasendaccounting コマンドと radius-servervsasendauthentication コマンドを参照するには、show running-config all コマンドを使用します。

シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9 であり、サポート対象のオプションはベンダータイプ 1(名前は cisco-avpair)です。値は次の形式のストリングです。

"protocol : attribute separator value"

前述の例では、protocol は特定の認証タイプの Cisco プロトコル属性の値、attributevalue は、Cisco TACACS+ の仕様で定義されている適切な属性と値(AV)のペア、separator は必須属性では = です。このソリューションでは、TACACS+ 許可で使用できるすべての機能を RADIUS にも使用できるようになります。

たとえば、次の AV ペアにより、IP 認証中(PPP Internet Protocol Control Protocol(IPCP)アドレス割り当て中)に、Multiple Named IP Address Pools 機能がアクティブになります。

cisco-avpair= "ip:addr-pool=first"

次の例では、NAS Prompt ユーザが EXEC コマンドに即時にアクセスできるようになります。 

cisco-avpair= "shell:priv-lvl=15"

他のベンダーには、そのベンダー固有の ID、オプション、関連 VSA があります。ベンダー ID および VSA の詳細については、RFC 2138『Remote Authentication Dial-In User Service(RADIUS)』を参照してください。

次に、NAS がベンダー固有のアカウンティング属性を認識して使用するように設定する例を示します。

Device(config)# radius-server vsa send accounting

関連コマンド

Command

Description

aaanasportextended

NAS-Port 属性を RADIUS IETF 属性 26 に置き換え、拡張フィールド情報を表示します。

show running-config all

設定情報全体(デフォルト設定および値を含む)を表示します。

rd

VPN ルーティングおよび転送(VRF)インスタンスのルート識別子(RD)を指定するには、VRF コンフィギュレーション モードで rd コマンドを使用します。ルート識別子を削除するには、このコマンドの no 形式を使用します。

rd route-distinguisher

no rd route-distinguisher

構文の説明

route-distinguisher

VPN IPv4 プレフィックスを作成するために、IPv4 プレフィックスに追加される 8 バイト値。

コマンド デフォルト

RD は指定されません。

コマンド モード


VRF コンフィギュレーション(config-vrf)

コマンド履歴

リリース

変更内容

12.0(5)T

このコマンドが導入されました。

12.0(21)ST

このコマンドが Cisco IOS 12.0(21)ST に統合されました。

12.0(22)S

このコマンドが Cisco IOS 12.0(22)S に統合されました。

12.2(13)T

このコマンドが Cisco IOS 12.2(13)T に統合されました。

12.2(14)S

このコマンドが Cisco IOS 12.2(14)S に統合されました。

12.2(28)SB

このコマンドが、Cisco IOS Release 12.2(28)SB に統合されました。

12.2(33)SRA

このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。

12.2(33)SRB

IPv6 のサポートが追加されました。

12.2(33)SB

このコマンドが、Cisco IOS Release 12.2(33)SB に統合されました。

12.2(33)SXI

このコマンドが、Cisco IOS Release 12.2(33)SXI に統合されました。

12.2(54)SG

このコマンドが、Cisco IOS Release 12.2(54)SG に統合されました。

Cisco IOS XE Release 3.1S

このコマンドが、Cisco IOS XE リリース 3.1S に統合されました。

15.1(2)SNG

このコマンドが、Cisco ASR 901 シリーズの集約サービス ルータに実装されました。

使用上のガイドライン

RD はルーティング テーブルと転送テーブルを作成し、VPN のデフォルト ルート識別子を指定します。RD は顧客の IPv4 プレフィックスの先頭に追加され、その IPv4 プレフィックスはグローバルに一意の VPN-IPv4 プレフィックスになります。

RD は次のいずれかです。

  • ASN-related:自律システム番号と任意の番号で構成されます。

  • IP-address-related:IP アドレスと任意の番号で構成されます。

RD は、次のいずれかの形式で入力できます。

16-bit autonomous-system-number : your 32-bit number 例:101:3。

32-bit IP address : your 16-bit number 例:192.168.122.15:1。

次に、2 つの VRF のデフォルト RD を設定する例を示します。これは、autonomous-system-number-relative RD と IP-address-relative RD の両方の使用法を示しています。

Router(config)# ip vrf vrf1
Router(config-vrf)# rd 100:3
Router(config-vrf)# exit
Router(config)# ip vrf vrf2
Router(config-vrf)# rd 10.13.0.12:200

次に、VRF 設定のグローバル部分に共通ポリシーが定義されている IPv4 および IPv6 用の VRF の例を示します。

vrf definition vrf2
 rd 200:1
 route-target both 200:2
!
 address-family ipv4
 exit-address-family
!
 address-family ipv6
 exit-address-family
 end

関連コマンド

Command

Description

ipvrf

VRF ルーティング テーブルを設定します。

showipvrf

一連の定義された VRF および関連付けられているインターフェイスを表示します。

vrfdefinition

VRF ルーティング テーブルを設定し、VRF コンフィギュレーション モードを開始します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ