RADIUS NAS-IP-Address 属性設定可能性

RADIUS NAS-IP-Address 属性設定可能性機能を使用すれば、RADIUS パケットの IP ヘッダー内の発信元 IP アドレスを変更せずに、任意の IP アドレスを設定して RADIUS 属性 4(NAS-IP-Address)として使用できます。この機能は、サービス プロバイダーが、スケーラビリティを向上させるために、小規模なネットワーク アクセス サーバ(NAS)のクラスタを使用して大規模な NAS をシミュレートしている場合にも使用できます。この機能を使用すれば、NAS を RADIUS サーバから見て、単一の RADIUS クライアントとして機能させることができます。

RADIUS NAS-IP-Address 属性設定可能性の前提条件

この機能を設定する前に、次の要件を満たす必要があります。

  • IP セキュリティ(IPSec)の使用経験と、RADIUS サーバと認証、許可、アカウンティング(AAA)の両方の設定経験が必要です。

  • RADIUS サーバと AAA リストを設定する必要があります。

RADIUS NAS-IP-Address 属性設定可能性の制約事項

スケーラビリティを向上させるために、RADIUS クライアントのクラスタを単一の RADIUS クライアントのシミュレーションに使用している場合に、次の制約事項が適用されます。制約事項に対する解決策または次善策についても説明します。

  • RADIUS 属性 44(Acct-Session-Id)は、複数の NAS からのセッション間で重複する可能性があります。

2 つの解決策があります。NAS ルータ上で radius-server attribute 44 extend-with-addr コマンドと radius-server unique-ident コマンドのどちらかを使用して、NAS ルータごとに異なる先頭の番号を指定できます。

  • RADIUS サーバベースの IP アドレス プールを NAS ごとに管理する必要があります。

この解決策は、RADIUS サーバ上で NAS ごとに異なる IP アドレス プール プロファイルを設定することです。NAS ごとに異なるプール ユーザ名を使用してそれらを取得します。

  • セッション内の RADIUS 要求メッセージは NAS ごとに識別される必要があります。

この解決策の 1 つは、NAS 上で radius-server attribute 32 include-in-access-req コマンドを使用して、NAS ごとに異なる RADIUS 属性 32(NAS-Identifier)用の形式文字列を設定することです。

RADIUS NAS-IP-Address 属性設定可能性に関する情報

次の図に示すように、小規模な NAS RADIUS クライアントのクラスタを使用して大規模な NAS RADIUS クライアントをシミュレートする場合は、ネットワークアドレス変換(NAT)デバイスまたはポートアドレス変換(PAT)デバイスがネットワークに挿入されます。このデバイスは、NAS のクライアントと、RADIUS サーバに接続された IP クラウドの間に配置されます。複数の NAS からの RADIUS トラフィックが NAT または PAT デバイスを通過するときに、RADIUS パケットの発信元 IP アドレスが単一の IP アドレスに変換されます。ほとんどの場合、この IP アドレスは、NAT または PAT デバイスのループバック インターフェイス上の IP アドレスです。NAS ごとに異なるユーザ データグラム プロトコル(UDP)発信元プールが RADIUS パケットに割り当てられます。サーバから RADIUS 応答が返されると、NAT または PAT デバイスがそれを受信して、宛先 UDP ポートを使用して宛先 IP アドレスを NAS の IP アドレスに変換し、対応する NAS に転送します。

次の図は、複数の NAS の送信元 IP アドレスが、IP クラウドへの途中で NAT または PAT デバイスを通過するときに、どのように単一の IP アドレスに変換されるかを示しています。

通常は、RADIUS サーバが RADIUS パケットの IP ヘッダー内の発信元 IP アドレスをチェックして、RADIUS 要求の発信元を追跡し、セキュリティを確保します。NAT または PAT による解決策は、RADIUS パケットが複数の NAS ルータから送られてきても単一の発信元 IP アドレスが使用されるため、これらの要件を満たします。

ただし、RADIUS データベースからアカウンティング レコードを取得するときに、課金システムによっては、アカウンティング レコード内で RADIUS 属性 4(NAS-IP-Address)が使用される場合があります。この属性の値は、独自の IP アドレスとして NAS ルータ上に記録されます。NAS ルータは、RADIUS サーバとの間で動作している NAT または PAT を認識しません。そのため、NAS ルータごとに異なる RADIUS 属性 4 アドレスがユーザのアカウンティング レコードに記録されます。最終的に、これらのアドレスは、複数の NAS ルータを RADIUS サーバと対応する課金システムに公開することになります。

RADIUS NAS-IP-Address 属性設定可能性機能の使用方法

RADIUS NAS-IP-Address 属性設定可能性機能を使用すれば、任意の IP アドレスを RADIUS NAS-IP-Address(RADIUS 属性 4)として設定できます。すべてのルータに対して同じ IP アドレス(ほとんどの場合、NAT または PAT デバイスのループバック インターフェイス上の IP アドレス)を手動で設定することによって、NAS ルータのクラスタを NAT または PAT デバイスの後ろに隠して、RADIUS から見えないようにすることができます。

RADIUS NAS-IP-Address 属性設定可能性の設定方法

RADIUS NAS-IP-Address 属性設定可能性の設定

RADIUS NAS-IP-Address 属性設定可能性機能を設定する前に、RADIUS サーバまたはサーバ グループと AAA 方式リストを設定しておく必要があります。

RADIUS NAS-IP-Address 属性設定可能性機能を設定するには、次の手順を実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. radius-server attribute 4 ip-address

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

radius-server attribute 4 ip-address

Example:


Router (config)# radius-server attribute 4 10.2.1.1

RADIUS NAS-IP-Address(属性 4)として使用する IP アドレスを設定します。

RADIUS NAS-IP-Address 属性設定可能性のモニタリングとメンテナンス

RADIUS パケット内で使用されている RADIUS 属性 4 アドレスをモニターするには、debug radius コマンドを使用します。

SUMMARY STEPS

  1. enable
  2. debug radius

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

debug radius

Example:


Router# debug radius

RADIUS 関連の情報を表示します。

次に、debug radius コマンドの出力例を示します。 


Router# debug radius
RADIUS/ENCODE(0000001C): acct_session_id: 29
RADIUS(0000001C): sending
RADIUS(0000001C): Send Access-Request to 10.0.0.10:1645 id 21645/17, len 81
RADIUS:  authenticator D0 27 34 C0 F0 C4 1C 1B - 3C 47 08 A2 7E E1 63 2F
RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
RADIUS:  User-Name           [1]   18  "shashi@pepsi.com"
RADIUS:  CHAP-Password       [3]   19  *
RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
RADIUS:  Service-Type        [6]   6   Framed                    [2]
RADIUS:  NAS-IP-Address      [4]   6   10.0.0.21
UDP: sent src=10.1.1.1(21645), dst=10.0.0.10(1645), length=109
UDP: rcvd src=10.0.0.10(1645), dst=10.1.1.1(21645), length=40
RADIUS: Received from id 21645/17 10.0.0.10:1645, Access-Accept, len 32
RADIUS:  authenticator C6 99 EC 1A 47 0A 5F F2 - B8 30 4A 4C FF 4B 1D F0
RADIUS:  Service-Type        [6]   6   Framed                    [2]
RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
RADIUS(0000001C): Received from id 21645/17

RADIUS NAS-IP-Address 属性設定可能性の設定例

RADIUS NAS-IP-Address 属性設定可能性の設定例

次の例は、IP アドレス 10.0.0.21 が RADIUS NAS-IP-Address 属性として設定されていることを示しています。


radius-server attribute 4 10.0.0.21
radius-server host 10.0.0.10 auth-port 1645 acct-port 1646 key cisco

その他の参考資料

次の項で、RADIUS NAS-IP-Address 属性設定可能性に関する参考資料を紹介します。

関連資料

関連項目

マニュアル タイトル

AAA の設定

Cisco IOS Security Configuration Guide: Securing User Services』の「認証、認可、およびアカウンティング(AAA)」の項

RADIUS の設定

「Configuring RADIUS」モジュール。

RADIUS コマンド

『Cisco IOS Security Command Reference』

標準

標準

タイトル

この機能がサポートする新しい規格または変更された規格はありません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能でサポートが追加または変更された RFC はありません。

--

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

RADIUS NAS-IP-Address 属性設定可能性の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. RADIUS NAS-IP-Address 属性設定可能性の機能情報

機能名

リリース

機能情報

RADIUS NAS-IP-Address 属性設定可能性

Cisco IOS XE Release 3.9S

この機能を使用すれば、RADIUS パケットの IP ヘッダー内の発信元 IP アドレスを変更せずに、任意の IP アドレスを設定して RADIUS 属性 4(NAS-IP-Address)として使用できます。

この機能のために radius-server attribute 4 コマンドが導入されました。