TACACS サーバーの Per VRF

TACACS+ サーバーの Per VRF 機能により、TACACS+ サーバーで Per Virtual ルーティングおよび転送(Per VRF)の認証、認可、アカウンティング(AAA)を設定できます。

TACACS サーバーの Per VRF の前提条件

  • TACACS+ サーバー アクセスが必要です。

  • TACACS+、AAA および Per VRF AAA、およびグループ サーバー設定の経験が必要です。

TACACS サーバーの Per VRF の制限事項

  • TACACS+ サーバーの Per VRF を設定する前に、ルータで VRF インスタンスをグローバルにイネーブルにする必要があります。

TACACS サーバーの Per VRF に関する情報

TACACS サーバーの Per VRF の概要

TACACS+ サーバーの Per VRF 機能を使用すると、TACACS+ サーバーで Per VRF AAA を設定できます。Cisco IOS XE リリース 2.2 よりも前のリリースでは、この機能は RADIUS サーバーでのみ使用できました。

TACACS サーバーの Per VRF の設定方法

TACACS サーバ上の Per VRF の設定

この手順の最初のステップは、AAA およびサーバ グループの設定、VRF ルーティング テーブルの作成、およびインターフェイスの設定に使用されます。ステップ 10 ~ 13 は、TACACS+ サーバ機能上での Per VRF の設定に使用されます。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. ip vrf vrf-name
  4. rd route-distinguisher
  5. exit
  6. interface interface-name
  7. ip vrf forwarding vrf-name
  8. ip address ip-address mask [secondary ]
  9. exit
  10. aaa group server tacacs+ group-name
  11. server-private {ip-address | name } [nat ] [single-connection ] [port port-number ] [timeout seconds ] [key [0 | 7 ] string ]
  12. ip vrf forwarding vrf-name
  13. ip tacacs source-interface subinterface-name
  14. exit

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

ip vrf vrf-name

Example:


Router (config)# ip vrf cisco

VRF テーブルを設定し、VRF コンフィギュレーション モードを開始します。

Step 4

rd route-distinguisher

Example:


Router (config-vrf)# rd 100:1

VRF インスタンスに対するルーティングおよびフォワーディング テーブルを作成します。

Step 5

exit

Example:


Router (config-vrf)# exit

VRF コンフィギュレーション モードを終了します。

Step 6

interface interface-name

Example:


Router (config)# interface Loopback0

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

Step 7

ip vrf forwarding vrf-name

Example:


Router (config-if)# ip vrf forwarding cisco

インターフェイスに VRF を設定します。

Step 8

ip address ip-address mask [secondary ]

Example:


Router (config-if)# ip address 10.0.0.2 255.0.0.0

インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

Step 9

exit

Example:


Router (config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

Step 10

aaa group server tacacs+ group-name

Example:


Router (config)# aaa group server tacacs+ tacacs1

異なる TACACS+ サーバ ホストを別々のリストと方式にグループ化し、server-group コンフィギュレーション モードを開始します。

Step 11

server-private {ip-address | name } [nat ] [single-connection ] [port port-number ] [timeout seconds ] [key [0 | 7 ] string ]

Example:


Router (config-sg-tacacs+)# server-private 10.1.1.1 port 19 key cisco

グループ サーバに対するプライベート TACACS+ サーバの IP アドレスを設定します。

Step 12

ip vrf forwarding vrf-name

Example:


Router (config-sg-tacacs+)# ip vrf forwarding cisco

AAA TACACS+ サーバ グループの VRF リファレンスを設定します。

Step 13

ip tacacs source-interface subinterface-name

Example:


Router (config-sg-tacacs+)# ip tacacs source-interface Loopback0

すべての発信 TACACS+ パケットに対して、指定されたインターフェイスの IP アドレスを使用します。

Step 14

exit

Example:


Router (config-sg-tacacs)# exit

server-group コンフィギュレーション モードを終了します。

TACACS サーバーの Per VRF の確認

Per VRF TACACS+ 設定を確認するには、次の手順を実行します。


Note


debug コマンドは、任意の順番で使用できます。



Caution


デバッグ CLI をイネーブルにすると、ルータのパフォーマンスが低下する可能性があります。多数のセッションに対して debug コマンドを使用することはお勧めしません。


SUMMARY STEPS

  1. enable
  2. debug tacacs authentication
  3. debug tacacs authorization
  4. debug tacacs accounting
  5. debug tacacs packets

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Router> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

debug tacacs authentication

Example:


Router# debug tacacs authentication

AAA/TACACS+ 認証に関する情報を表示します。

Step 3

debug tacacs authorization

Example:


Router# debug tacacs authorization

AAA/TACACS+ 認可に関する情報を表示します。

Step 4

debug tacacs accounting

Example:


Router# debug tacacs accounting

説明可能なイベントが発生したときに、その情報を表示します。

Step 5

debug tacacs packets

Example:


Router# debug tacacs packets

TACACS+ パケットに関する情報を表示します。

TACACS サーバーの Per VRF の設定例

TACACS サーバーの Per VRF の設定例

次の出力例では、Per VRF AAA サービスにグループ サーバ tacacs1 が設定されています。


aaa group server tacacs+ tacacs1
    server-private 10.1.1.1 port 19 key cisco
    ip vrf forwarding cisco
    ip tacacs source-interface Loopback0
  ip vrf cisco
   rd 100:1
  interface Loopback0
   ip address 10.0.0.2 255.0.0.0
   ip vrf forwarding cisco

その他の参考資料

次のセクションでは、TACACS+ サーバーの Per VRF に関連する参考資料を示します。

関連資料

関連項目

マニュアル タイトル

TACACS+ の設定

「Configuring TACACS+」モジュール。

Per VRF AAA

「Per VRF AAA」モジュール。

セキュリティ コマンド

『Cisco IOS Security Command Reference』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

TACACS サーバーの Per VRF の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. Per VRF for TACACS+ Servers の機能情報

機能名

リリース

機能情報

Per VRF for TACACS+ Servers

Cisco IOS XE Release 2.2

TACACS+ サーバーの Per VRF 機能により、TACACS+ サーバーで Per Virtual ルーティングおよび転送(Per VRF)の認証、認可、アカウンティング(AAA)を設定できます。

Cisco IOS XE リリース 2.2 では、Cisco ASR 1000 シリーズ アグリゲーション サービス ルータにこの機能が実装されました。

次のコマンドが導入または変更されました:ip tacacs source-interface ip vrf forwarding (server-group) server-private (TACACS+)