AAA RADIUS レコードのスロットリング

Throttling of AAA (RADIUS) Records 機能は、RADIUS サーバに送信されるアクセス(認証および認可)およびアカウンティング レコードのスロットリングをサポートします。この機能により、ユーザーはルータから RADIUS サーバーに対して生成されるレコードの突然のバーストへの対応に十分な帯域幅がない場合などに、適切なスロットリングレートを設定して、ネットワークの輻輳や不安定さを防ぐことができます。

AAA RADIUS レコードのスロットリングに関する情報

AAA RADIUS レコードのスロットリング機能の利点

RADIUS クライアントとして機能するネットワーク アクセス サーバ(NAS)は、アカウンティングまたはアクセス要求のバーストを生成し、重大なネットワーク輻輳を生じさせたり、RADIUS サーバに RADIUS トラフィックのバーストによる過負荷を生じさせる場合があります。複数の NAS で RADIUS サーバとのやり取りがあると、この問題が悪化する可能性があります。

次の条件は、RADIUS トラフィックの突然のバーストをトリガーします。

  • すべての加入者セッションを順にダウン状態にし、各加入者へのアカウンティング要求を生成するインターフェイス フラップ。

  • 前項で説明されているシナリオなど、スイッチオーバーで停止しなかったすべてのセッションに開始レコードを生成するハイアベイラビリティ(HA)プログラム。

帯域幅が不十分であったり、RADIUS サーバの応答が遅い場合に、多数の要求が生成されると、ネットワークが不安定になる場合があります。ユーザ データグラム プロトコル(UDP)トランスポート層および RADIUS プロトコルには、フロー制御メカニズムがありません。この機能で提供されるスロットリング メカニズムは、これらの問題へのソリューションを提供します。

スロットリング アクセス要求とアカウンティング レコード

Throttling of AAA (RADIUS) Records 機能には、NAS レベルでパケットを制御するメカニズム(フロー制御)が導入されています。これにより、RADIUS サーバのパフォーマンスが向上しました。

特定の用途があるため、アクセス要求とアカウンティング レコードは別々に処理する必要があります。アクセス要求パケットは時間依存ですが、アカウンティング レコード パケットは時間依存ではありません。

  • アクセス要求への応答が適切なタイミングでクライアントに返されない場合、プロトコルまたはユーザはタイムアウトし、デバイスの伝送レートが影響を受けます。

  • アカウンティング レコード パケットは、リアルタイム クリティカルではありません。

同じサーバでしきい値を設定する場合、時間依存のアクセス要求パケットを扱うしきい値を優先し、アカウンティング レコード パケットにはより低次のしきい値を配置することが重要です。

インターネット サービス プロバイダー(ISP)がアクセス要求とアカウンティング レコードに個別の RADIUS サーバを使用していて、アカウンティング レコードのスロットリングのみが必要な場合もあります。

変更点

  • Throttling of AAA (RADIUS) Records は、デフォルトではディセーブルです。

  • スロットリング機能は、グローバルにまたはサーバ グループ レベルで設定できます。

AAA RADIUS レコードのスロットリングの設定方法

ここでは、グローバルおよびサーバ グループの両方の RADIUS サーバに送信されるアクセス(認証および認可)およびアカウンティング レコードのスロットリングを設定する方法について説明します。

server-group コンフィギュレーションは、特定のサーバ グループのスロットリングのイネーブル化またはディセーブル化、およびそのサーバ グループのしきい値の指定に使用されます。


Note

server-group コンフィギュレーションは、設定された任意のグローバル コンフィギュレーションを上書きします。

アカウンティングおよびアクセス要求パケットのグローバルなスロットリング

アカウンティングおよびアクセス要求パケットのグローバルなスロットリングを設定するには、次のタスクを実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. radius-server throttle { accounting threshold ] [access threshold [access-timeout number-of-timeouts ]]}
  4. exit

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

radius-server throttle { accounting threshold ] [access threshold [access-timeout number-of-timeouts ]]}

Example:


Router(config)# radius-server throttle accounting 100 access 200 access-timeout 2

アカウンティングおよびアクセス要求パケットにグローバルなスロットリングを設定します。

この例では次のようになります。

  • アカウンティングのしきい値(範囲は 0 ~ 65536)を 100 に、アクセスのしきい値を 200 に設定します。

Note

 

デフォルトのしきい値は 0 です(スロットリングはディセーブル)。

  • トランザクションごとのタイムアウト回数の値(範囲は 1 ~ 10)を 2 に設定します。

Step 4

exit

Example:


Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

サーバ グループごとのアカウンティングおよびアクセス要求パケットのスロットリング

次の server-group コンフィギュレーションは、指定されたサーバ グループのイネーブル化またはディセーブル化、およびそのサーバ グループへのしきい値の指定に使用できます。

server-group アカウンティングおよびアクセス要求パケットのスロットリングを設定するには、次のタスクを実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. aaa group server radius server-group-name
  4. throttle {[accounting threshold ] [access threshold [access-timeout number-of-timeouts ]]}
  5. exit

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

aaa group server radius server-group-name

Example:


Device(config)# aaa group server radius myservergroup

server-group コンフィギュレーション モードを開始します。

Step 4

throttle {[accounting threshold ] [access threshold [access-timeout number-of-timeouts ]]}

Example:


Device(config-sg-radius)# throttle accounting 100 access 200 access-timeout 2

アカウンティングおよびアクセス要求パケットに指定された server-group のスロットリング値を設定します。

この例では次のようになります。

  • アカウンティングのしきい値(範囲は 0 ~ 65536)を 100 に、アクセスのしきい値を 200 に設定します。

Note

 

デフォルトのしきい値は 0 です(スロットリングはディセーブル)。

  • トランザクションごとのタイムアウト回数の値(範囲は 1 ~ 10)を 2 に設定します。

Step 5

exit

Example:


Device(config-sg-radius)# exit

server-group コンフィギュレーション モードを終了します。

AAA RADIUS レコードのスロットリングの設定例

アカウンティングおよびアクセス要求パケットのグローバルなスロットリングの例

次に、サーバに送信するアカウンティング要求の回数を 100 に制限する方法の例を示します。


enable
configure terminal
radius-server throttle accounting 100

次に、サーバに送信するアクセス要求パケットの回数を 200 に制限し、トランザクションごとに許可されるタイムアウトの回数を 2 に設定する方法の例を示します。


enable
configure terminal
radius-server throttle access 200
radius-server throttle access 200 access-timeout 2

次に、アカウンティングおよびアクセス要求パケットの両方のスロットリングを設定する例を示します。


enable
configure terminal
radius-server throttle accounting 100 access 200

サーバ グループごとのアカウンティングおよびアクセス要求パケットのスロットリングの例

次に、server-group-A に送信するアカウンティング要求の回数を 100 に制限する方法の例を示します。


enable
configure terminal
aaa group server radius server-group-A
throttle accounting 100

次に、server-group-A に送信するアクセス要求パケットの回数を 200 に制限し、トランザクションごとに許可されるタイムアウトの回数を 2 に設定する方法の例を示します。


enable
configure terminal
aaa group server radius server-group-A
throttle access 200 access-timeout 2

次に、server-group-A のアカウンティングおよびアクセス要求パケットの両方のスロットリングを設定する例を示します。


enable
configure terminal
aaa group server radius server-group-A
throttle accounting 100 access 200

その他の参考資料

ここでは、Throttling of AAA (RADIUS) Records 機能に関する参考資料について説明します。

関連資料

関連項目

マニュアル タイトル

セキュリティ機能

Cisco IOS XE Security Configuration Guide: Securing User Services, Release 2』

セキュリティ コマンド

『Cisco IOS Security Command Reference』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

AAA RADIUS レコードのスロットリングの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. AAA(RADIUS)レコードのスロットリングの機能情報

機能名

リリース

機能情報

AAA(RADIUS)レコードのスロットリング

Cisco IOS XE Release 2.1

Throttling of AAA (RADIUS) Records 機能は、RADIUS サーバに送信されるアクセス(認証および認可)およびアカウンティング レコードのスロットリングをサポートします。この機能により、ユーザは Cisco IOS XE ルータから RADIUS サーバに対して生成されるレコードの突然のバーストへの対応に十分な帯域幅がない場合などに、適切なスロットリング レートを設定して、ネットワークの輻輳や不安定さを防ぐことができます。

この機能は、Cisco IOS XE Release 2.1 で、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータに導入されました。

この機能により、次のコマンドが導入または変更されました。radius-server throttle, throttle