TACACS サーバーの Per VRF の前提条件
-
TACACS+ サーバー アクセスが必要です。
-
TACACS+、AAA および Per VRF AAA、およびグループ サーバー設定の経験が必要です。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
TACACS+ サーバーの Per VRF 機能により、TACACS+ サーバーで Per Virtual ルーティングおよび転送(Per VRF)の認証、認可、アカウンティング(AAA)を設定できます。
TACACS+ サーバー アクセスが必要です。
TACACS+、AAA および Per VRF AAA、およびグループ サーバー設定の経験が必要です。
TACACS+ サーバーの Per VRF を設定する前に、ルータで VRF インスタンスをグローバルにイネーブルにする必要があります。
TACACS+ サーバーの Per VRF 機能を使用すると、TACACS+ サーバーで Per VRF AAA を設定できます。Cisco IOS XE リリース 2.2 よりも前のリリースでは、この機能は RADIUS サーバーでのみ使用できました。
この手順の最初のステップは、AAA およびサーバ グループの設定、VRF ルーティング テーブルの作成、およびインターフェイスの設定に使用されます。ステップ 10 ~ 13 は、TACACS+ サーバ機能上での Per VRF の設定に使用されます。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
ip vrf vrf-name Example:
|
VRF テーブルを設定し、VRF コンフィギュレーション モードを開始します。 |
Step 4 |
rd route-distinguisher Example:
|
VRF インスタンスに対するルーティングおよびフォワーディング テーブルを作成します。 |
Step 5 |
exit Example:
|
VRF コンフィギュレーション モードを終了します。 |
Step 6 |
interface interface-name Example:
|
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
Step 7 |
ip vrf forwarding vrf-name Example:
|
インターフェイスに VRF を設定します。 |
Step 8 |
ip address ip-address mask [secondary ] Example:
|
インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。 |
Step 9 |
exit Example:
|
インターフェイス コンフィギュレーション モードを終了します。 |
Step 10 |
aaa group server tacacs+ group-name Example:
|
異なる TACACS+ サーバ ホストを別々のリストと方式にグループ化し、server-group コンフィギュレーション モードを開始します。 |
Step 11 |
server-private {ip-address | name } [nat ] [single-connection ] [port port-number ] [timeout seconds ] [key [0 | 7 ] string ] Example:
|
グループ サーバに対するプライベート TACACS+ サーバの IP アドレスを設定します。 |
Step 12 |
ip vrf forwarding vrf-name Example:
|
AAA TACACS+ サーバ グループの VRF リファレンスを設定します。 |
Step 13 |
ip tacacs source-interface subinterface-name Example:
|
すべての発信 TACACS+ パケットに対して、指定されたインターフェイスの IP アドレスを使用します。 |
Step 14 |
exit Example:
|
server-group コンフィギュレーション モードを終了します。 |
Per VRF TACACS+ 設定を確認するには、次の手順を実行します。
Note |
debug コマンドは、任意の順番で使用できます。 |
Caution |
デバッグ CLI をイネーブルにすると、ルータのパフォーマンスが低下する可能性があります。多数のセッションに対して debug コマンドを使用することはお勧めしません。 |
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
debug tacacs authentication Example:
|
AAA/TACACS+ 認証に関する情報を表示します。 |
Step 3 |
debug tacacs authorization Example:
|
AAA/TACACS+ 認可に関する情報を表示します。 |
Step 4 |
debug tacacs accounting Example:
|
説明可能なイベントが発生したときに、その情報を表示します。 |
Step 5 |
debug tacacs packets Example:
|
TACACS+ パケットに関する情報を表示します。 |
次の出力例では、Per VRF AAA サービスにグループ サーバ tacacs1 が設定されています。
aaa group server tacacs+ tacacs1
server-private 10.1.1.1 port 19 key cisco
ip vrf forwarding cisco
ip tacacs source-interface Loopback0
ip vrf cisco
rd 100:1
interface Loopback0
ip address 10.0.0.2 255.0.0.0
ip vrf forwarding cisco
次のセクションでは、TACACS+ サーバーの Per VRF に関連する参考資料を示します。
関連項目 |
マニュアル タイトル |
---|---|
TACACS+ の設定 |
「Configuring TACACS+」モジュール。 |
Per VRF AAA |
「Per VRF AAA」モジュール。 |
セキュリティ コマンド |
『Cisco IOS Security Command Reference』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
-- |
MIB |
MIB のリンク |
---|---|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC |
タイトル |
---|---|
この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。 |
-- |
説明 |
リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
Per VRF for TACACS+ Servers |
Cisco IOS XE Release 2.2 |
TACACS+ サーバーの Per VRF 機能により、TACACS+ サーバーで Per Virtual ルーティングおよび転送(Per VRF)の認証、認可、アカウンティング(AAA)を設定できます。 Cisco IOS XE リリース 2.2 では、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータにこの機能が実装されました。 次のコマンドが導入または変更されました:ip tacacs source-interface 、ip vrf forwarding (server-group) 、server-private (TACACS+) 。 |