AAA の IPv6 サポート

IPv6 用の認証、許可、アカウンティング(AAA)サポートは RFC 3162 に準拠しています。このモジュールでは、IPv6 用の AAA オプションの設定方法を示します。

AAA の IPv6 サポートに関する情報

AAA over IPv6

ベンダー固有属性(VSA)を使用して、IPv6 を介して認証、許可、アカウンティング(AAA)をサポートします。Cisco VSA は、inacl、outacl、prefix、および route です。

AAA プロトコルを使用して、プレフィックス プールおよびプール名を設定できます。お客様は、シスコ デバイスと通信するために IPv6 RADIUS サーバまたは TACACS+ サーバを導入できます。

IPv6 RADIUS 属性の AAA サポート

RFC 3162 で説明されているように、IPv6 では次の RADIUS 属性がサポートされます。

  • Framed-Interface-Id

  • Framed-IPv6-Pool

  • Framed-IPv6-Prefix

  • Framed-IPv6-Route

  • Login-IPv6-Host

IPv6 では、次の RADIUS 属性がサポートされます。

  • Delegated-IPv6-Prefix(RFC 4818)

  • Delegated-IPv6-Prefix-Pool

  • DNS-Server-IPv6-Address

  • IPv6 ACL

  • IPv6_DNS_Servers

  • IPv6 Pool

  • IPv6 Prefix#

  • IPv6 Route

上記の属性は、RADIUS サーバで設定して、アクセス サーバにダウンロードして、ここでアクセス接続に適用できます。

IPv6 の AAA 属性を使用するための前提条件

IPv6 の AAA 属性は RFC 3162 に準拠しており、RFC 3162 をサポートできる RADIUS サーバを必要とします。

IPv6 環境での仮想アクセス用の RADIUS ユーザ単位属性

仮想アクセスでは次の IPv6 RADIUS 属性がサポートされ、属性と値(AV)のペアとして使用できます。

  • Delegated-IPv6-Prefix

  • Delegated-IPv6-Prefix-Pool

  • DNS-Server-IPv6-Address

  • Framed-Interface-Id

  • Framed-IPv6-Pool

  • Framed-IPv6-Prefix

  • Framed-IPv6-Route

  • IPv6 ACL

  • IPv6_DNS_Servers

  • IPv6 Pool

  • IPv6 Prefix#

  • IPv6 Route

  • Login-IPv6-Host

Delegated-IPv6-Prefix

Delegated-IPv6-Prefix 属性は、ネットワークで使用されるユーザに委任される IPv6 プレフィックスを示します。この属性は、RADIUS サーバと委託デバイスの間の DHCP プレフィックス委任中に使用されます。DHCP バージョン 6(DHCPv6)サーバをホストするネットワーク アクセス サーバ(NAS)は、委託デバイスとして動作できます。

次に、Delegated-IPv6-Prefix 属性を使用する例を示します。 

ipv6:delegated-prefix=2001:DB8::/64

Note

この属性では Cisco VSA 形式はサポートされません。この属性を Cisco VSA 形式でユーザ プロファイルに追加しようとすると、RADIUS サーバの応答に失敗します。この属性に使用するのは IETF 属性形式のみです。

Delegated-IPv6-Prefix-Pool

Delegated-IPv6-Prefix-Pool 属性は、プレフィックスが選択され、デバイスに委任されるプレフィックス プールの名前を示します。

プレフィックス委任は IPv6 プレフィックスを委任するための DHCPv6 オプションです。プレフィックス委任には、プレフィックスを選択し、それを要求側のデバイスに一時的に割り当てる委託デバイスが関与します。委任デバイスは、プレフィックスを選択するために多くの戦略を使用します。1 つの方法では、デバイス上でローカルに定義されている名前のプレフィックス プールからプレフィックスを選択します。

Delegated-IPv6-Prefix-Pool 属性は、割り当てられたプレフィックス プールの名前を示します。RADIUS サーバは、この属性を使用して、DHCPv6 サーバをホスティングして、委託デバイスとして動作する NAS にプレフィックス プールの名前を知らせます。

ネットワークで、DHCPv6 プレフィックス委任と ICMPv6 ステートレス アドレス自動設定を共に使用してもかまいません。この場合、Delegated-IPv6-Prefix-Pool 属性と Framed-IPv6-Pool 属性の両方を同じパケット内に含めることができます。曖昧さを回避するために、Delegated-IPv6-Prefix-Pool を DHCPv6 委任で使用されるプレフィックス プールの認可およびアカウンティングに制限して、Framed-IPv6-Pool 属性を SLAAC で使用されるプレフィックス プールの認可およびアカウンティングに使用する必要があります。

次に、アドレス プレフィックスが pool1 という名前のプールから選択される例を示します。プレフィックス プール pool1は、Delegated-IPv6-Prefix-Pool 属性を使用して、RADIUS サーバから委託デバイスにダウンロードされます。次にデバイスは、このプレフィックス プールからアドレス プレフィックス 2001:DB8::/64 を選択します。 


Cisco:Cisco-AVpair = “ipv6:delegated-ipv6-pool = pool1”
!
ipv6 dhcp pool pool1
address prefix 2001:DB8::/64
!
DNS-Server-IPv6-Address

DNS-Server-IPv6-Address 属性は、ドメイン ネーム システム(DNS)サーバの IPv6 アドレスを示します。DHCPv6 サーバは、DNS サーバの IPv6 アドレスを持つホストを設定できます。DNS サーバの IPv6 アドレスを、ICMPv6 デバイスからルータ アドバタイズメント メッセージを使用してホストに伝送することもできます。

NAS は、ホストからの DHCPv6 要求を処理する DHCPv6 サーバをホストすることがあります。また NAS は、ルータ アドバタイズメント メッセージを提供するデバイスとして機能することもあります。したがって、この属性は DNS サーバの IPv6 アドレスを NAS に提供するために使用されます。

NAS がホストに複数の再帰 DNS サーバを通知する必要がある場合、この属性を NAS からホストに送信される Access-Accept パケットに複数回含めることができます。

次に、DNS-Server-IPv6-Address 属性を使用して DNS サーバの IPv6 アドレスを定義する例を示します。 


Cisco:Cisco-AVpair = "ipv6:ipv6-dns-servers-addr=2001:DB8::"
Framed-Interface-Id

Framed-Interface-Id 属性は、ユーザ用に設定する IPv6 インターフェイス ID を示します。

この属性は、Interface-Identifier オプションの IPv6 制御プロトコル(IPv6CP)ネゴシエーション中に使用されます。ネゴシエーションに成功すると、NAS はこの属性を使用して、推奨される IPv6 インターフェイス識別子を Access-Request パケットを使用して RADIUS サーバに知らせます。この属性は、Access-Accept パケットで使用されることもあります。

Framed-IPv6-Pool

Framed-IPv6-Pool 属性は、ユーザに IPv6 プレフィックスを割り当てるために使用するプールの名前を示します。このプールは、デバイスでローカルに定義するか、プールをダウンロードできる RADIUS サーバで定義する必要があります。

Framed-IPv6-Prefix

Framed-IPv6-Prefix 属性は、ユーザ用に設定する IPv6 プレフィックス(および対応するルート)を示します。そのため、この属性は Cisco VSA と同じ機能を実行し、仮想アクセスのみに使用されます。NAS はこの属性を使用して、推奨される IPv6 プレフィックスを Access-Request パケットを使用して RADIUS サーバに知らせます。この属性は Access-Accept で使用されることもあり、これらのパケットで複数回出現することがあります。NAS では、プレフィックスの対応ルートが作成されます。

この属性は、Neighbor Discovery Protocol のルータ アドバタイズメント メッセージでアドバタイズするプレフィックスを指定するために、ユーザによって使用されます。

この属性は DHCPv6 プレフィックス委任にも使用でき、RADIUS サーバのユーザ用には別のプロファイルを作成する必要があります。この別のプロファイルに関連付けられたユーザ名には、サフィックス「-dhcpv6」が付いています。

Framed-IPv6-Prefix 属性の処理は、この別のプロファイルとユーザの通常のプロファイルでは異なります。NAS がルータ アドバタイズメント メッセージを使用してプレフィックスを送信する必要がある場合、プレフィックスは、ユーザの通常のプロファイルの Framed-IPv6-Prefix 属性に配置されます。NAS がリモート ユーザのネットワークにプレフィックスを委任する必要がある場合、プレフィックスはユーザの別のプロファイルの Framed-IPv6-Prefix 属性に配置されます。


Note

この属性では、RADIUS IETF 属性形式と Cisco VSA 形式がサポートされます。

Framed-IPv6-Route

Framed-IPv6-Route 属性は、NAS のユーザ用に設定されるルーティング情報を示します。この属性は Cisco VSAと同じ機能を実行します。属性の値は文字列であり、ipv6 route コマンドを使用して指定します。

IPv6 ACL

IPv6 ACL 属性は、完全な IPv6 アクセス リストを指定するために使用されます。アクセス リストの一意の名前が自動的に生成されます。アクセス リストは、各ユーザがログアウトしたときに削除されます。インターフェイス上の以前のアクセス リストが再適用されます。

inacl 属性と outacl 属性を使用すると、デバイスに特定の既存のアクセス リストを設定できます。次に、番号 1 で識別されるアクセス リストを定義する例を示します。 


cisco-avpair = "ipv6:inacl#1=permit 2001:DB8:cc00:1::/48",
cisco-avpair = "ipv6:outacl#1=deny 2001:DB8::/10",
IPv6_DNS_Servers

IPv6_DNS_Servers 属性は、最大 2 つの DNS サーバ アドレスを DHCPv6 サーバに送信するために使用されます。DNS サーバ アドレスは、インターフェイス DHCPv6 サブブロックに保存され、DHCPv6 プールの他の設定よりも優先されます。この属性は、AAA の開始および終了通知に対して返される属性にも含まれます。

IPv6 Pool

IPv6 Pool 属性は、RADIUS 認証の IPv6 プロトコルをサポートするために IPv4 アドレス プール属性を拡張します。この属性は、プレフィックスの選択元の NAS 上のローカル プールの名前を指定します。そして PPP を設定するときとプロトコルを IPv6 と指定するときに使用されます。アドレス プールはローカル プーリングで使用でき、NAS 上に事前に設定されたローカル プールの名前を指定します。

IPv6 Prefix#

IPv6 Prefix# 属性は、Neighbor Discovery Protocol のルータ アドバタイズメント メッセージでアドバタイズするプレフィックスを示します。この属性が使用されている場合は、対応するルート(ユーザ単位のスタティック ルートとしてマークされています)が、特定のプレフィックスのルーティング情報ベース(RIB)テーブルにインストールされます。

次に、アドバタイズするプレフィックスを指定する例を示します。 


cisco-avpair = "ipv6:prefix#1=2001:DB8::/64",
cisco-avpair = "ipv6:prefix#2=2001:DB8::/64",
IPv6 Route

IPv6 Route 属性は、ユーザ用のスタティック ルートを指定するために使用されます。スタティック ルートが適切なのは、シスコのソフトウェアが宛先へのルートを動的に作成できない場合です。スタティックルートの作成の詳細については、ipv6 route コマンドを参照してください。

次に、スタティック ルートの定義で IPv6 route 属性を使用する例を示します。 


cisco-avpair = "ipv6:route#1=2001:DB8:cc00:1::/48",
cisco-avpair = "ipv6:route#2=2001:DB8:cc00:2::/48",
Login-IPv6-Host

Login-IPv6-Host 属性は、Login-Service 属性が含まれている場合のユーザの接続先のホストの IPv6 アドレスを示します。NAS は、あるホストの使用を推奨する RADIUS サーバとの通信のために、Access-Request パケット内の Login-IPv6-Host 属性を使用します。

IPv6 用の AAA サポートの設定方法

DHCPv6 AAA オプションの設定

次のタスクを実行して、AAA サーバからプレフィックスを取得するオプションを設定します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. ipv6 dhcp pool pool-name
  4. prefix-delegation aaa [method-list method-list ] [lifetime ]
  5. end

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:

Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

ipv6 dhcp pool pool-name

Example:

Device(config)# ipv6 dhcp pool pool1

DHCPv6 設定情報プールを設定し、IPv6 DHCP プール コンフィギュレーション モードを開始します。

Step 4

prefix-delegation aaa [method-list method-list ] [lifetime ]

Example:

Device(config-dhcpv6)# prefix-delegation aaa method-list list1

プレフィックスを AAA サーバから取得することを指定します。

Step 5

end

Example:

Device(config-dhcpv6)# end

IPv6 DHCP プール コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

AAA の IPv6 サポートの設定例

例:DHCPv6 AAA オプションの設定

次に、AAA サーバからプレフィックスを取得する DHCPv6 オプションを設定する例を示します。 

Device> enable
Device# configure terminal
Device(config)# ipv6 dhcp pool pool1
Device(config-dhcpv6)# prefix-delegation aaa method-list list1
Device(config-dhcpv6)# end

例:RADIUS の設定

次の RADIUS 設定例は、スタティック ルートを確立するための AV ペアの定義を示します。 

campus1 Auth-Type = Local, Password = "mypassword"
                User-Service-Type = Framed-User,
                Framed-Protocol = PPP,
                cisco-avpair = "ipv6:inacl#1=permit 2001:DB8:1::/64 any",
                cisco-avpair = "ipv6:route=2001:DB8:2::/64",
                cisco-avpair = "ipv6:route=2001:DB8:3::/64",
                cisco-avpair = "ipv6:prefix=2001:DB8:2::/64 0 0 onlink autoconfig",
                cisco-avpair = "ipv6:prefix=2001:DB8:3::/64 0 0 onlink autoconfig",
                cisco-avpair = "ip:route=10.0.0.0 255.0.0.0",

その他の参考資料

関連資料

関連項目

マニュアル タイトル

time-range コマンドを使用した時間範囲の指定

Cisco IOS XE Network Management Configuration Guide』の「Performing Basic System Management」章

ネットワーク管理コマンドの説明

『Cisco IOS Network Management Command Reference』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

RADIUS over IPv6 の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. RADIUS over IPv6 の機能情報

機能名

リリース

機能情報

RADIUS over IPv6

15.1(1)SY

RFC 3162 に定義されている RADIUS 属性。