Step 1
|
enable
|
|
Step 2
|
configure terminal
Device# configure terminal
|
グローバル コンフィギュレーション モードを開始します。
|
Step 3
|
aaa intercept
Device(config)# aaa intercept
|
|
Step 4
|
aaa authentication ppp default group radius
Device(config)# aaa authentication ppp default group radius
|
ポイントツーポイント プロトコル(PPP)を実行中のシリアル インターフェイス上で使用する認証方式を指定します。
Note
|
このコマンドが必要なのは、タップ情報が RADIUS サーバにしかないためです。ローカルに設定した情報で認証できますが、ローカルに設定した情報ではタップを指定できません。
|
|
Step 5
|
aaa accounting delay-start all
Device(config)# aaa accounting delay-start all
|
アカウンティング開始レコードの生成を、ユーザの IP アドレスが確立されるまで遅らせます。all キーワードを指定することにより、遅延がすべての VRF ユーザーおよび非 VRF ユーザーに適用されます。
Note
|
このコマンドは、メディエーション デバイスがターゲットに割り当てられた IP アドレスを参照できるようにするために必要です。
|
|
Step 6
|
aaa accounting send stop-record authentication failure
Device(config)# aaa accounting send stop-record authentication failure
|
(任意)ログイン時またはセッションのネゴシエーション中に認証に失敗したユーザに対するアカウンティング停止レコードを生成します。
Note
|
合法的傍受の動作 1 でタップが開始されない場合、停止レコードの Acct-Termination-Cause(属性 49)に 15(サービス使用不能)が設定されます。
|
|
Step 7
|
aaa accounting network default start-stop group radius
Device(config)# aaa accounting network default start-stop group radius
|
(任意)すべてのネットワーク関連のサービス要求に対するアカウンティングをイネーブルにします。
Note
|
このコマンドは、タップが開始されなかった理由を特定するためだけに必要です。
|
|
Step 8
|
radius-server attribute 44 include-in-access-req
Device(config)# radius-server attribute 44 include-in-access-req
|
(任意)ユーザ認証前のアクセス要求パケット(事前認証の要求を含む)中で、RADIUS 属性 44(アカウンティング セッション ID)を送信します。
Note
|
このコマンドは、Access-Request パケットから属性 44 を取得するために入力します。そうしない場合、属性 44 の値を特定するには、アカウンティング パケットが受信されるのを待つ必要があります。
|
|
Step 9
|
radius-server host host-name
Device(config)# radius-server host host1
|
(任意)RADIUS サーバ ホストを指定します。
|
Step 10
|
aaa server radius dynamic-author
Device(config)# aaa server radius dynamic-author
|
デバイスを認証、許可、アカウンティング(AAA)サーバとして設定して外部ポリシー サーバとの通信を容易にし、ダイナミック認可ローカル サーバ コンフィギュレーション モードを開始します。
Note
|
セッションの開始時に常にタップが開始される場合、このコマンドはオプションです。CoA-Requests を使用して既存のセッションでタップを開始および停止する場合は、このコマンドは必須です。
|
|
Step 11
|
client ip-address
Device(config-locsvr-da-radius)# client 10.0.0.2
|
(任意)デバイスが CoA-Request パケットを受け付ける RADIUS クライアントを指定します。
|
Step 12
|
domain {delimiter character | stripping [right-to-left] }
Device(config-locsvr-da-radius)# domain stripping right-to-left
Device(config-locsvr-da-radius)# domain delimiter @
|
(任意)RADIUS アプリケーションについてユーザ名のドメイン オプションを設定します。
-
delimiter キーワードで、ドメインデリミタを指定します。次のいずれかのオプションを文字 引数に指定できます:@ 、/ 、$ 、% 、\ 、# または -
-
stripping キーワードは、着信のユーザー名と、@ ドメインデリミタの左側にある名前を比較します。
-
The right-to-left キーワードは、右から左方向に見て最初のデリミタで文字列を終了します。
|
Step 13
|
server-key word
Device(config-locsvr-da-radius)# server-key samplekey
|
(任意)デバイスと RADIUS クライアントの間で共有する RADIUS キーを設定します。
|
Step 14
|
port port-number
Device(config-locsvr-da-radius)# port 1600
|
(任意)デバイスが CoA-Request パケットを受け付ける RADIUS クライアントを指定します。
|
Step 15
|
exit
Device(config-locsvr-da-radius)# exit
|
ダイナミック認可ローカル サーバー コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。
|
Step 16
|
end
|
現在のコンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。
|