アクセス要求内の RADIUS 属性 8 Framed-IP-Address

アクセス要求内の RADIUS 属性 8(Framed-IP-Address)機能は、ネットワーク アクセス サーバ(NAS)から RADIUS サーバに、ユーザ認証に先立って、ユーザ IP アドレスのヒントを提供できるようにします。RADIUS サーバ上で動作するアプリケーションは、このヒントを使用して、ユーザ名と アドレスのテーブル(マップ)を作成できます。マッピング情報を使用して、サービス アプリケーションは、正常なユーザ認証に使用するユーザのログイン情報の準備を開始できます。

アクセス要求内の RADIUS 属性 8 Framed-IP-Address の前提条件

RADIUS アクセス要求内で RADIUS 属性 8 を送信する場合は、NAS サーバから IP アドレスを要求するようにログイン ホストを設定しておく必要があります。また、NAS からの IP アドレスを受け入れるようにログイン ホストを設定しておく必要もあります。

NAS は、ログイン ホストをサポートしているインターフェイス上のネットワーク アドレスのプールを使用して設定する必要があります。

アクセス要求内の RADIUS 属性 8 Framed-IP-Address に関する情報

この機能の動作内容

ネットワーク デバイスが RADIUS 認証用に設定された NAS にダイヤルインすると、NAS がユーザ認証に備えて、RADIUS サーバとの通信プロセスを開始します。通常は、ユーザ認証が成功するまで、ダイヤルイン ホストの IP アドレスが RADIUS サーバに通知されません。RADIUS アクセス要求内でサーバにデバイス IP アドレスを通知すれば、他のアプリケーションがその情報を利用できるようになります。

NAS が RADIUS サーバと通信するようにセットアップされている場合は、NAS が特定のインターフェイス上で設定された IP アドレスのプールからダイヤルイン ホストに IP アドレスを割り当てます。NAS は、ダイヤルイン ホストの IP アドレスを属性 8 として RADIUS サーバに送信します。そのとき、NAS は、ユーザ名などの他のユーザ情報も RADIUS サーバに送信します。

RADIUS が NAS からユーザ情報を受信した場合は、次の 2 つの選択肢があります。

  • RADIUS サーバ上のユーザ プロファイルにすでに属性 8 が含まれていた場合は、RADIUS が NAS から受け取った IP アドレスをユーザ プロファイル内で属性 8 として定義された IP アドレスに置き換えます。ユーザ プロファイル内で定義されたアドレスが NAS に返されます。

  • ユーザ プロファイルに属性 8 が含まれていない場合は、RADIUS サーバが、NAS からの属性 8 を受け入れて、そのアドレスを NAS に返すことができます。

RADIUS サーバから返されたアドレスは、セッションが終わるまで、NAS 上のメモリに保存されます。NAS が RADIUS アカウンティング用に設定されている場合は、RADIUS サーバに送信されるアカウンティング開始パケットに属性 8 内のものと同じ IP アドレスが含まれています。以降のすべてのアカウンティング パケット、更新(設定されている場合)、および終了パケットにも、属性 8 で指定されたものと同じ IP アドレスが含まれています。

ただし、RADIUS 属性 8(Framed-IP-Address)は、次の 2 つの状況ではアカウンティング開始パケットに含まれません。

  • ユーザがデュアルスタック(IPv4 または IPv6)サブスクライバである場合。

  • IP アドレスがローカル プールからであり、RADIUS サーバからではない場合。

これらの状況では、aaa accounting delay-start extended-time delay-value コマンドを使用し、設定した遅延値でインターネットプロトコル制御プロトコルバージョン 6(IPCPv6)アドレスネゴシエーションを遅延させます。遅延している間は、IPCPv4 アドレスが使用され、フレーム化された IPv4 アドレスがアカウンティング開始パケットに追加されます。

利点

アクセス要求機能の RADIUS 属性 8(Framed-IP-Address)を使用すると、ユーザと IP アドレスのマッピング テーブルを構築する RADIUS サーバで、アプリケーションを実行することができます。この機能により、サーバは、RADIUS サーバでの正常なユーザ認証の前に、カスタマイズしたユーザ ログイン ページの準備といった他のアプリケーションで、マッピング テーブルの情報を使用することができます。

アクセス要求内の RADIUS 属性 8 Framed-IP-Address の設定方法

アクセス要求での RADIUS 属性 8 の設定

アクセス要求内で RADIUS 属性 8 を送信するには、次の手順を実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. radius-server attribute 8 include-in-access-req

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

radius-server attribute 8 include-in-access-req

Example:


Router(config)# radius-server attribute 8 include-in-access-req

access-request パケット内で RADIUS 属性 8 を送信します。

アクセス要求内の RADIUS 属性 8 の確認

RADIUS 属性 8 がアクセス要求内で送信されていることを確認するには、次の手順を実行します。属性 8 は、すべての PPP アクセス要求内に存在するはずです。

SUMMARY STEPS

  1. enable
  2. more system:running-config
  3. debug radius

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

more system:running-config

Example:


Router# more system:running-config

現在実行されているコンフィギュレーション ファイルの内容を表示します(コマンドmore system:running-config show running-config コマンドに置き換えられていることに注意してください)。

Step 3

debug radius

Example:


Router# debug radius

RADIUS 関連の情報を表示します。このコマンドの出力は、属性 8 がアクセス要求内で送信されているかどうかを示しています。

アクセス要求内の RADIUS 属性 8 Framed-IP-Address の設定例

ダイヤルイン ホストの IP アドレスを送信する NAS の設定例

次の例は、ダイヤルイン ホストの IP アドレスを RADIUS アクセス要求内で RADIUS サーバに送信する NAS 設定を示しています。NAS は、RADIUS 認証、許可、アカウンティング(AAA)用に設定されています。IP アドレスのプール(async1-pool)が設定され、インターフェイス virtual-template1 に適用されています。 


aaa new-model
aaa authentication login default group radius
aaa authentication ppp default group radius
aaa authorization network default group radius 
aaa accounting network default start-stop group radius
!
ip address-pool local
!
interface virtual-template1
 peer default ip address pool async1-pool
!
ip local pool async1-pool 209.165.200.225 209.165.200.229
!
radius-server host 172.31.71.146 auth-port 1645 acct-port 1646
radius-server retransmit 3
radius-server attribute 8 include-in-access-req
radius-server key radhost<xxx>: Example

その他の参考資料

次の項で、アクセス要求内の RADIUS 属性 8(Framed-IP-Address)に関する参考資料を紹介します。

関連資料

関連項目

マニュアル タイトル

認証の設定および RADIUS の設定

Cisco IOS XE Security Configuration Guide: Configuring User Services, Release 2』の「認証の設定」および「RADIUS の設定」の章。

セキュリティ コマンド

『Cisco IOS Security Command Reference』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

RFC 2138

『Remote Authentication Dial In User Service (RADIUS)』

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

アクセス要求内の RADIUS 属性 8 Framed-IP-Address の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. アクセス要求内の RADIUS 属性 8(Framed-IP-Address)の機能情報

機能名

リリース

機能情報

アクセス要求内の RADIUS 属性 8(Framed-IP-Address)

(スティッキー IP とも呼ばれます)

Cisco IOS XE Release 2.1

アクセス要求内の RADIUS 属性 8(Framed-IP-Address)機能は、ネットワーク アクセス サーバ(NAS)から RADIUS サーバに、ユーザ認証に先立って、ユーザ IP アドレスのヒントを提供できるようにします。

Cisco IOS XE Release 2.1 では、Cisco ASR 1000 シリーズ Aggregation Services Router にこの機能が実装されました。

次のコマンドが導入または変更されました。radius-server attribute 8 include-in-access-req .