属性

User-Name

タイプ

IETF

書式

文字列

属性 ID

1

説明

この属性は、FlexVPN サーバーによって RADIUS に送信され、次のように取得されます。

• AAA ベースの事前共有キー：ピア IKEv2 ID

• EAP 認証：ピア EAP ID

• ユーザー認証またはグループ認証：name mangler の出力または IKEv2 プロファイル認証コマンドで指定された文字列。

• アカウンティング：ピア EAP ID または IKEv2 ID。

この属性は、正常な EAP 認証後に Access-Accept で RADIUS から受信されることもあります。また、認証済みのピア EAP ID を指定します。

属性

User-Password

タイプ

IETF

書式

文字列

属性 ID

2

説明

この属性は、FlexVPN サーバーによって RADIUS に送信され、次のように取得されます。

• AAA ベースの事前共有キー：「cisco」

• ユーザー/グループ認証：「cisco」

属性

Calling-Station-ID

タイプ

IETF

書式

文字列

属性 ID

31

説明

この属性は、FlexVPN サーバーによって RADIUS に送信され、次のように取得されます。

• AAA ベースの事前共有キー：IKEv2 発信側アドレス

• EAP 認証：IKEv2 発信側アドレス

• ユーザー/グループ認証：IKEv2 発信側アドレス

属性

Service-Type

タイプ

IETF

書式

文字列

属性 ID

6

説明

この属性は、FlexVPN サーバーによって EAP 認証に使用されており、この属性の値は「Login」に設定されています。

属性

EAP-Message

タイプ

IETF

書式

文字列

属性 ID

79

説明

この属性は、FlexVPN サーバーによって EAP 認証に使用されており、EAP サーバーとリモート アクセス クライアントの間で EAP パケットをリレーします。

属性

Message-Authenticator

タイプ

IETF

書式

文字列

属性 ID

80

説明

この属性は、FlexVPN サーバーによって EAP 認証用に送信されます。この属性の値は、AAA サブシステムによって設定されます。

属性

Framed-Pool

タイプ

IETF

書式

文字列

属性 ID

88

ローカル設定

pool name

RADIUS 設定

Framed-Pool=pool-name

説明

FlexVPN サーバーが IPv4 アドレスの割り当てに使用する IPv4 アドレス プールの名前を指定して、クライアントに割り当てます。割り当てられたアドレスは、IKEv2 標準設定属性の INTERNAL_IP4_ADDRESS を介してクライアントにプッシュされます。

属性

ipsec:group-dhcp-server

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

dhcp server {ipddr | host}

RADIUS 設定

cisco-avpair=“ipsec: group-dhcp-server=ipaddr”

説明

FlexVPN サーバーが IPv4 アドレスのリースに使用する IPv4 DHCP サーバーを指定して、クライアントに割り当てます。リースされたアドレスは、IKEv2 標準設定属性の INTERNAL_IP4_ADDRESS を介してクライアントにプッシュされます。

属性

ipsec:dhcp-giaddr

タイプ

Cisco AV ペア

書式

IPaddr

ローカル設定

dhcp giaddr ipaddr

RADIUS 設定

cisco-avpair=“psec: dhcp-giaddr=ipaddr”

説明

FlexVPN サーバーが DCHP サーバーへの接続に使用する IPv4 DHCP ゲートウェイ IP アドレスを指定します。

属性

ipsec:dhcp-timeout

タイプ

Cisco AV ペア

書式

整数

ローカル設定

dhcp timeout seconds

RADIUS 設定

cisco-avpair=“ipsec:dhcp-timeout=seconds”

説明

FlexVPN サーバーが DHCP サーバーからの応答をタイムアウトするのに使用する、IPv4 DHCP サーバーからの応答の待機時間を指定します。

属性

ipsec:ipv6-addr-pool

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

ipv6 pool name

RADIUS 設定

cisco-avpair=“ipsec:ipv6-addr-pool=pool-name”

説明

FlexVPN サーバーが IPv6 アドレスの割り当てに使用する IPv6 アドレス プールの名前を指定して、クライアントに割り当てます。割り当てられたアドレスは、IKEv2 標準設定属性の INTERNAL_IP6_ADDRESS を介してクライアントにプッシュされます。

属性

ipsec:route-set=prefix

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

該当なし

RADIUS 設定

cisco-avpair=“ipsec:route-set=prefix prefix/length”

例

ipsec:route-set=prefix 192.168.1.0/24

説明

FlexVPN サーバーによって保護されるサブネットを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_SUBNET を介してクライアントにプッシュされます。

属性

ipsec:route-set=interface

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

route set interface

RADIUS 設定

cisco-avpair=“ipsec:route-set=interface”

説明

この属性はローカルに使用され、IKEv2 標準設定属性の INTERNAL_IP4_SUBNET を介したピアへの VPN インターフェイス IP アドレスの送信を有効にします。これによって、BGP over VPN などのルーティング プロトコルが実行されます。

属性

ipsec:route-accept

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

route accept any [tag tag-id] [distance distance]

RADIUS 設定

cisco-avpair=“ipsec:route-accept=any [tag:tag] [distance:distance]”

例

ipsec:route-accept=any tag=100

説明

この属性はローカルに使用され、IKEv2 標準設定属性の INTERNAL_IP4_SUBNET を介してピアから受信されるサブネットのフィルタを指定します。この属性は、フィルタ処理されたサブネット用に IKEv2 よって追加されるルートのタグと距離も指定します。

属性

ipsec:ipsec-flow-limit

タイプ

Cisco AV ペア

書式

整数

ローカル設定

ipsec flow-limit limit

RADIUS 設定

cisco-avpair=“ipsec:ipsec-flow-limit=limit”

説明

この属性は FlexVPN サーバーによって使用され、IPSec dVTI セッションが使用可能な IPSec SA の最大数を指定します。デフォルトでは制限はありません。このパラメータは crypto ipsec profile コマンドおよび set security-policy limit コマンドと同様です。

属性

ip:interface-config

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

aaa attribute list list

attribute type interface-config string

RADIUS 設定

cisco-avpair=“ip:interface-config=interface cmd string”

例

ip:interface-config=ip vrf forwarding red

説明

この属性はローカルに使用され、セッションの仮想アクセス インターフェイスに適用されるインターフェイス コンフィギュレーション モードのコマンド文字列を指定します。ローカル設定の場合、IKEv2 認証ポリシーは、interface-config 属性が必要な AAA 属性リストを示します。

属性

Tunnel-Type

タイプ

IETF

書式

整数

属性 ID

64

RADIUS 設定

Tunnel-Type=type

説明

この属性は、トンネル タイプ（ESP、AH、GRE など）を指定し、FlexVPN サーバーが RADIUS サーバーからセッションの事前共有キーを取得するときに受信されます。

属性

Tunnel-Medium-Type

タイプ

IETF

書式

整数

属性 ID

65、

RADIUS 設定

Tunnel-Medium-Type=type

説明

この属性は、トンネル転送タイプ（IPv4、IPv6 など）を指定し、FlexVPN サーバーが RADIUS サーバーからセッションの事前共有キーを取得するときに受信されます。

属性

Tunnel-Password

タイプ

IETF

書式

文字列

属性 ID

69

RADIUS 設定

Tunnel-Password=string

説明

この属性は、対称の事前共有キーを指定し、FlexVPN サーバーが RADIUS サーバーからセッションの事前共有キーを取得するときに受信されます。

属性

ipsec:ikev2-password-local

タイプ

Cisco AV ペア

書式

文字列

RADIUS 設定

cisco-avpair=“ipsec:ikev2-password-local=string”

説明

この属性は、ローカルの事前共有キーを指定し、FlexVPN サーバーが RADIUS サーバーからセッションの事前共有キーを取得するときに受信されます。

属性

ipsec:ikev2-password-remote

タイプ

Cisco AV ペア

書式

文字列

RADIUS 設定

cisco-avpair=“ipsec:ikev2-password-remote=string”

説明

この属性は、リモートの事前共有キーを指定し、FlexVPN サーバーが RADIUS サーバーからセッションの事前共有キーを取得するときに受信されます。

属性

Framed-IP-Address

タイプ

IETF

書式

IPaddr

属性 ID

8

RADIUS 設定

Framed-IP-Address=ipaddr

説明

クライアントに割り当てられる IPv4 アドレスを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_ADDRESS を介してクライアントにプッシュされます。

属性

Framed-IP-Netmask

タイプ

IETF

書式

IPaddr

属性 ID

9

ローカル設定

netmask mask

RADIUS 設定

Framed-IP-Netmask=mask

説明

クライアントに割り当てられる IPv4 アドレスのサブネット マスクを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_NETMASK を介してクライアントにプッシュされます。

属性

ipsec:dns-servers

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

dns primary [secondary]

RADIUS 設定

cisco-avpair=“ipsec:dns-servers=primary secondary”

説明

クライアントのプライマリ IPv4 DNS サーバーおよびセカンダリ IPv4 DNS サーバーを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_DNS を介してクライアントにプッシュされます。

属性

ipsec:wins-servers

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

wins primary [secondary]

RADIUS 設定

cisco-avpair=“ipsec:wins-servers=primary secondary”

説明

クライアントのプライマリ IPv4 WINS サーバーおよびセカンダリ IPv4 WINS サーバーを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_NBNS を介してクライアントにプッシュされます。

属性

ipsec:route-set=access-list

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

route set access-list {acl-name | acl-number}

RADIUS 設定

cisco-avpair=“ipsec:route-set=access-list {acl-name | acl-number}”

説明

FlexVPN サーバーによって保護される IPv4 サブネットを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_SUBNET を介してクライアントにプッシュされます。

属性

ipsec:addrv6

タイプ

Cisco AV ペア

書式

文字列

RADIUS 設定

cisco-avpair=“ipsec:addrv6=ipv6-addr”

説明

クライアントに割り当てられる IPv6 アドレスを指定します。これは、最初の 16 バイトで IKEv2 標準設定属性の INTERNAL_IP6_ADDRESS を介してクライアントにプッシュされます。

属性

ipsec:prefix-len

タイプ

Cisco AV ペア

書式

整数

ローカル設定

該当なし

RADIUS 設定

cisco-avpair=“ipsec:prefix-len=value”

例

ipsec:prefix-len=24

説明

クライアントに割り当てられる IPv6 アドレスのプレフィックス長を指定します。これは、最後（17 番目）のバイトで IKEv2 標準設定属性の INTERNAL_IP6_ADDRESS を介してクライアントにプッシュされます。

属性

ipsec:ipv6-dns-servers-addr

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

ipv6 dns primary [secondary]

RADIUS 設定

cisco-avpair=“ipsec: ipv6-dns-servers-addr=ipaddr1 *ipaddr2”

説明

クライアントのプライマリ IPv6 DNS サーバーおよびセカンダリ IPv6 DNS サーバーを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP6_DNS を介してクライアントにプッシュされます。

属性

ipsec:route-set=access-list ipv6

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

route set access-list ipv6 acl-name

RADIUS 設定

cisco-avpair=“ipsec:route-set=access-list ipv6 acl-name”

説明

FlexVPN サーバーによって保護される IPv6 サブネットを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP6_SUBNET を介してクライアントにプッシュされます。

属性

ipsec:banner

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

banner text

RADIUS 設定

cisco-avpair=“ipsec:banner=text”

説明

バナー テキストを指定します。これは、Cisco Unity 属性の MODECFG_BANNER を介してクライアントにプッシュされます。

属性

ipsec:default-domain

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

def-domain name

RADIUS 設定

cisco-avpair=“ipsec:default-domain=name”

説明

デフォルト ドメインを指定します。これは、Cisco Unity 属性の MODECFG_DEFDOMAIN を介してクライアントにプッシュされます。

属性

ipsec:split-dns

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

split-dns name

RADIUS 設定

cisco-avpair=“ipsec:split-dns=name”

説明

スプリット DNS 名を指定します。これは、Cisco Unity 属性の MODECFG_SPLITDNS_NAME を介してクライアントにプッシュされます。最大 10 個のスプリット DNS 名を設定できます。

属性

ipsec:ipsec-backup-gateway

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

backup-gateway name

RADIUS 設定

cisco-avpair=“ipsec:ipsec-backup-gateway=name”

説明

バックアップ ゲートウェイを指定します。これは、Cisco Unity 属性の MODECFG_BACKUPSERVERS を介してクライアントにプッシュされます。最大 10 のバックアップ ゲートウェイを設定できます。

属性

ipsec:pfs

タイプ

Cisco AV ペア

書式

整数

ローカル設定

pfs

RADIUS 設定

cisco-avpair=“ipsec:pfs=value”

説明

IPsec PFS（Perfect Forward Secrecy）の有効/無効を指定します。これは、Cisco Unity 属性の MODECFG_PFS を介してクライアントにプッシュされます。値は、無効の場合は 0、有効の場合は 1 にする必要があります。

属性

ipsec:include-local-lan

タイプ

Cisco AV ペア

書式

整数

ローカル設定

include-local-lan

RADIUS 設定

cisco-avpair=“ipsec:include-local-lan=value”

説明

ローカル LAN の包含を有効または無効にします。これは、Cisco Unity 属性の MODECFG_INCLUDE_LOCAL_LAN を介してクライアントにプッシュされます。値は、無効の場合は 0、有効の場合は 1 にする必要があります。

属性

ipsec:smartcard-removal-disconnect

タイプ

Cisco AV ペア

書式

整数

ローカル設定

smartcard-removal-disconnect

RADIUS 設定

cisco-avpair=“ipsec:smartcard-removal-disconnect =value”

説明

スマートカードが取り外されたときの切断を有効または無効にします。これは、Cisco Unity 属性の MODECFG_SMARTCARD_REMOVAL_DISCONNECT を介してクライアントにプッシュされます。値は、無効の場合は 0、有効の場合は 1 にする必要があります。

属性

ipsec:configuration-url

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

configuration url url

RADIUS 設定

cisco-avpair=“ipsec:configuration-url=url”

説明

設定ダウンロードの URL を指定します。これは、Cisco FlexVPN 属性の MODECFG_CONFIG_URL を介してクライアントにプッシュされます。

属性

ipsec:configuration-version

タイプ

Cisco AV ペア

書式

整数

ローカル設定

configuration version version

RADIUS 設定

cisco-avpair=“ipsec:configuration-version=version”

説明

ダウンロードする設定のバージョンを指定します。これは、Cisco FlexVPN 属性の MODECFG_CONFIG_VERSION を介してクライアントにプッシュされます。

属性

Route-set remote

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

route set remote {ipv4 ip-address mask | ipv6 ip-address/mask}

RADIUS 設定

cisco-avpair="ipsec:route-set=remote {ipv4 network subnet_mask | ipv6 network/subnet_mask}”

説明

FlexVPN サーバーによって保護されるサブネットを指定します。これは、IKEv2 標準設定属性の INTERNAL_IP4_SUBNET を介してクライアントにプッシュされます。ルートセットプレフィックスは 10 進数形式で表されたサブネットマスク（例：/24）で機能しますが、ルートセットリモートには標準のサブネットマスク表現（例：255.255.255.0）が必要です。

属性

Route-set local

タイプ

Cisco AV ペア

書式

文字列

ローカル設定

route set local {ipv4 ip-address mask | ipv6 ip-address/mask}

RADIUS 設定

cisco-avpair="ipsec:route-set=local {ipv4 network subnet_mask | ipv6 network/subnet_mask}”

説明

この属性は、リモートデバイスから受信したルーティング情報を信頼する必要がないエクストラネットのシナリオで役立ちます。言い換えると、この AV ペアを使用して、リモートルートを拒否し、ルートの追加をローカルに制御できます。