この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
AAA Dead-Server Detection 機能を使用すると、RADIUS サーバーをデッド状態と指定するための条件を設定できます。条件が明示的に設定されていない場合は、条件は未処理のトランザクションの数に基づいて動的に計算されます。この機能を使用すると、デッドタイムが短くなり、パケット処理が高速になります。
RADIUS サーバーにアクセスできる必要があります。
RADIUS サーバーの設定方法を十分理解していることが必要です。
認証、許可、アカウンティング(AAA)の設定方法を十分理解していることが必要です。
あるサーバーをデッド状態と指定するためには、まず radius-server deadtime コマンドを設定する必要があります。このコマンドを設定していない場合は、サーバをデッド状態と指定するための条件に適合していても、サーバは「アップ」状態になります。
サーバがデッド状態と指定されるまでにルータで発生する必要がある連続タイムアウト回数には、最初の転送は含まれません。つまり、再転送の回数のみがカウントされます。
AAA Dead-Server Detection 機能を使用すると、RADIUS サーバをデッド状態と指定するための条件を決定できます。つまり、ルータが RADIUS サーバから有効なパケットを最後に受け取ってから RADIUS サーバがデッド状態と指定されるまでに経過する必要がある最低時間を秒単位で設定することができます。ルータの起動後にパケットを受信せずにタイムアウトになった場合は、この時間の条件は満たされたものとして処理されます。
さらに、RADIUS サーバーがデッド状態と指定されるまでにルータで発生する必要がある連続タイムアウト回数を設定することもできます。サーバーが認証とアカウンティングの両方を実行する場合、両方の種類のパケットがこの回数に含まれます。正しく作成されていないパケットは、タイムアウトになっているものとしてカウントされます。カウントされるのは再転送だけで、最初の転送はカウントされません。(タイムアウトになるたびに再転送が 1 回行われることになります)。
 Note |
時間の条件と試行回数の条件の両方を満たしていないと、サーバーはデッド状態と指定されません。 |
RADIUS Dead-Server Detection を設定すると、応答を停止している RADIUS サーバーが即時検出されます。また、サーバが「動きが鈍い」(応答が遅い)状態になっているときに誤ってデッド状態と指定されなくなるほか、デッド状態からライブ状態になってすぐにまたデッド状態になる現象を回避できます。この未応答 RADIUS サーバの即時検出、動きが鈍いサーバの誤検出の回避、デッド状態とライブ状態を繰り返す現象の回避が有効になると、デッドタイムが短くなり、パケット処理が高速になります。
AAA Dead-Server Detection を設定する手順は、次のとおりです。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
aaa new-model Example: |
AAA アクセス コントロール モデルをイネーブルにします。 |
|
Step 4 |
radius-server deadtime minutes Example: |
いくつかのサーバーが使用不能になったときの RADIUS サーバーの応答時間を短くし、使用不能になったサーバーがすぐにスキップされるようにします。 |
|
Step 5 |
radius-server dead-criteria [time seconds ] [tries number-of-tries ] Example: |
RADIUS サーバをデッド状態と指定するための条件のいずれかまたは両方を、指定した定数で適用します。 |
AAA Dead-Server Detection を設定したら、show running-config コマンドを使用して、その設定を確認してください。この確認が特に重要になるのは、no 形式の radius-server dead-criteria コマンドを使用している場合です。show running-config コマンドの出力は、radius-server dead-criteria コマンドを使用して設定した「Dead Criteria Details」フィールドと同じ値を示している必要があります。
AAA Dead-Server Detection の設定を確認する手順は、次のとおりです。show および debug コマンドは、任意の順番で使用できます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
特権 EXEC モードを有効にします。
|
|
Step 2 |
debug aaa dead-criteria transactions Example: |
デッド条件の AAA トランザクションの値を表示します。 |
|
Step 3 |
show aaa dead-criteria Example: |
AAA サーバのデッド条件に関する情報を表示します。 |
|
Step 4 |
show aaa servers [private | public ] Example: |
パブリックおよびプライベートのすべての認証、許可、アカウンティング(AAA)RADIUS サーバーとの間で送受信されたパケットのステータスと数を表示します。
|
次の例では、5 秒後および 4 回の試行後にルータがデッド状態と見なされます。
Router (config)# aaa new-model
Router (config)# radius-server deadtime 5
Router (config)# radius-server dead-criteria time 5 tries 4
次の出力例は、特定のサーバ グループのデッド条件のトランザクションに関する情報を示しています。
Router# debug aaa dead-criteria transactions
AAA Transaction debugs debugging is on
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Retransmit Tries: 22, Current Max Tries: 22
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Dead Detect Interval: 25s, Current Max Interval: 25s
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Estimated Outstanding Transactions: 6, Current Max Transactions: 6次の出力例は、IP アドレス 172.19.192.80 の RADIUS サーバーに対してデッド サーバー検出に関する情報が要求されたことを示しています。
Router# show aaa dead-criteria radius 172.19.192.80 radius
RADIUS Server Dead Criteria:
=============================
Server Details:
Address : 172.19.192.80
Auth Port : 1645
Acct Port : 1646
Server Group : radius
Dead Criteria Details:
Configured Retransmits : 62
Configured Timeout : 27
Estimated Outstanding Transactions: 5
Dead Detect Time : 25s
Computed Retransmit Tries: 22
Statistics Gathered Since Last Successful Transaction
=====================================================
Max Computed Outstanding Transactions: 5
Max Computed Dead Detect Time: 25s
Max Computed Retransmits : 22ここでは、AAA Dead-Server Detection 機能の関連資料について説明します。
|
関連項目 |
マニュアル タイトル |
|---|---|
|
RADIUS の設定 |
「RADIUS の設定」機能モジュール。 |
|
AAA の設定 |
認証の設定 |
|
認可の設定 |
|
|
アカウンティングの設定 |
|
|
セキュリティ コマンド |
『Cisco IOS Security Command Reference』 |
|
標準 |
タイトル |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
-- |
|
MIB |
MIB のリンク |
|---|---|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
|
RFC |
タイトル |
|---|---|
|
RFC 2865 |
『Remote Authentication Dial In User Service (RADIUS)』 |
|
説明 |
リンク |
|---|---|
|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
AAA Dead-Server Detection |
Cisco IOS XE Release 3.9S |
RADIUS サーバをデッド状態と指定するための条件を設定できます。 次のコマンドが導入または変更されました。debug aaa dead-criteria transactions 、radius-server dead-criteria 、show aaa dead-criteria 、show aaa servers 。 |
フィードバック