この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
リモート認証ダイヤルイン ユーザ サービス(RADIUS)属性は、RADIUS デーモンに保存されたユーザ プロファイル内の特定の認証、許可、アカウンティング(AAA)要素を定義するために使用されます。
この付録では、ブロードバンド ネットワーク ゲートウェイ(BNG)でサポートされる RADIUS 属性の次のタイプについて説明します。
RADIUS インターネット技術特別調査委員会(IETF)属性は、255 個の標準属性で構成されるオリジナルのセットで、クライアントとサーバ間での AAA 情報の伝達に使用されます。 IETF 属性は標準であるため、属性データは事前定義されてその内容も認識されています。このため、IETF 属性を介して AAA 情報を交換するすべてのクライアントとサーバは、属性の厳密な意味や各属性値の一般的な限界など、属性データに一致させる必要があります。
RADIUS ベンダー固有属性(VSA)は、1 つの IETF ベンダー固有属性(属性 26)から派生します。 属性 26 を使用すれば、ベンダーは、追加の 255 個の属性を自由に作成できます。 つまり、ベンダーは、どの IETF 属性のデータとも一致しない属性を作成して、属性 26 の背後にカプセル化することができます。そのため、新しく作成された属性は、属性 26 を受け入れているユーザに受け入れられます。
名前 |
値 |
タイプ |
---|---|---|
Acct-Authentic | 整数 | 45 |
Acct-Delay-Time | 整数 | 41 |
Acct-Input-Giga-Words | 整数 | 52 |
Acct-Input-Octets | 整数 | 42 |
Acct-Input-Packets | 整数 | 47 |
Acct-Interim-Interval | 整数 | 85 |
Acct-Link-Count | 整数 | 51 |
Acct-Output-Giga-Words | 整数 | 53 |
Acct-Output-Octets | 整数 | 43 |
Acct-Output-Packets | 整数 | 48 |
Acct-Status-Type | 整数 | 40 |
CHAP-Challenge | バイナリ | 40 |
CHAP-Password | バイナリ | 3 |
Dynamic-Author-Error-Cause | 整数 | 101 |
Event-Timestamp | 整数 | 55 |
Filter-Id | バイナリ | 11 |
Framed-Protocol | 整数 | 7 |
Framed-IP-Address | ipv4addr | 8 |
Framed-Route | 文字列 | 22 |
login-ip-addr-host | ipv4addr | 14 |
Multilink-Session-ID | 文字列 | 50 |
Nas-Identifier | 文字列 | 32 |
NAS-IP-Address | ipv4addr | 4 |
NAS-Port | 整数 | 5 |
Reply-Message | バイナリ | 18 |
Service-Type | 整数 | 6 |
Tunnel-Assignment-Id | 文字列 | 32 |
Tunnel-Packets-Lost | 整数 | 86 |
X-Ascend-Client-Primary-DNS | ipv4addr | 135 |
X-Ascend-Client-Secondary-DNS | ipv4addr | 136 |
NAS-IPv6-Address | 文字列 | 95 |
Delegated-IPv6-Prefix | バイナリ | 123 |
Stateful-IPv6-Address-Pool | バイナリ | 123 |
Framed-IPv6-Prefix | バイナリ | 97 |
Framed-Interface-Id | バイナリ | 96 |
Framed-IPv6-Pool | 文字列 | 100 |
Framed-IPv6-Route | 文字列 | 99 |
login-ip-addr-host | 文字列 | 98 |
L2TP アクセス コンセントレータ(LAC)の IETF タグ付き属性のサポートは、RADIUS サーバから LAC に送信される Access-Accept パケットで、同じトンネルを参照するトンネル属性をグループ化する手段を提供します。 Access-Accept パケットには、同じ RADIUS 属性でタグが異なる複数のインスタンスを含めることができます。 タグ付き属性のサポートは、指定のトンネルに属するすべての属性がそれぞれのタグ フィールドに同じ値を持ち、各セットに Tunnel-Preference 属性の適切な値のインスタンスが含まれるようにします。 これは、マルチベンダー ネットワーク環境で使用されるトンネル属性に準拠しているため、異なるベンダーで製造されたネットワーク アクセス サーバ(NAS)間の相互運用性の問題が解消されます。
トンネル プロトコル サポートの RADIUS 属性の詳細については、RFC 2868 を参照してください。
次の例で、IETF タグ付き属性の形式について説明します。
Tunnel-Type = :0:L2TP, Tunnel-Medium-Type = :0:IP, Tunnel-Server-Endpoint = :0:"1.1.1.1", Tunnel-Assignment-Id = :0:"1", Tunnel-Preference = :0:1, Tunnel-Password = :0:"hello"
タグ値 0 は、上記の例で :0: の形式で使用されており、同じトンネルを参照する同じパケットでそれらの属性をグループ化します。 同様の例は、次のとおりです。
Tunnel-Type = :1:L2TP, Tunnel-Medium-Type = :1:IP, Tunnel-Server-Endpoint = :1:"2.2.2.2", Tunnel-Assignment-Id = :1:"1", Tunnel-Preference = :1:1, Tunnel-Password = :1:"hello"
Tunnel-Type = :2:L2TP, Tunnel-Medium-Type = :2:IP, Tunnel-Server-Endpoint = :2:"3.3.3.3", Tunnel-Assignment-Id = :2:"1", Tunnel-Preference = :2:2, Tunnel-Password = :2:"hello"
Tunnel-Type = :3:L2TP, Tunnel-Medium-Type = :3:IP, Tunnel-Server-Endpoint = :3:"4.4.4.4", Tunnel-Assignment-Id = :3:"1", Tunnel-Preference = :3:2, Tunnel-Password = :3:"hello"
Tunnel-Type = :4:L2TP, Tunnel-Medium-Type = :4:IP, Tunnel-Server-Endpoint = :4:"5.5.5.5", Tunnel-Assignment-Id = :4:"1", Tunnel-Preference = :4:3, Tunnel-Password = :4:"hello"
Tunnel-Type = :5:L2TP, Tunnel-Medium-Type = :5:IP, Tunnel-Server-Endpoint = :5:"6.6.6.6", Tunnel-Assignment-Id = :5:"1", Tunnel-Preference = :5:3, Tunnel-Password = :5:"hello"
IETF タグ付き属性の名前 |
値 |
タイプ |
---|---|---|
Tunnel-Type | 整数 | 64 |
Tunnel-Medium-Type | 整数 | 65 |
Tunnel-Client-Endpoint | 文字列 | 66 |
Tunnel-Server-Endpoint | 文字列 | 67 |
Tunnel-Password | 文字列 | 69 |
Tunnel-Assignment-ID | 文字列 | 82 |
Tunnel-Preference | 整数 | 83 |
Tunnel-Client-Auth-ID | 文字列 | 90 |
Tunnel-Server-Auth-ID | 文字列 | 91 |
インターネット技術特別調査委員会(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバの間でベンダー固有属性(属性 26)を使用してベンダー固有の情報を伝達する方法が規定されています。 属性 26 はベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。
シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。 シスコのベンダー ID は 9 で、サポートされるオプションはベンダー タイプ 1、名前は「cisco-av-pair」です。値は次の形式の文字列になります。
protocol : attribute sep value *「Protocol」は、特定の許可タイプを表すシスコの「protocol」属性です。使用可能なプロトコルには、IP、IPX、VPDN、VOIP、SHELL、RSVP、SIP、AIRNET、OUTBOUND があります。 「attribute」および「value」は、シスコの TACACS+ 仕様で定義されている適切な属性値(AV)ペアです。「sep」は、必須の属性の場合は「=」、任意指定の属性の場合は「*」になります。 これにより、TACACS+ 許可で使用できるすべての機能を RADIUS にも使用できるようになります。
たとえば、次の AV ペアにより、IP を許可している間(PPP の IPCP アドレス割り当てを行っている間)、シスコの「指定された複数の IP アドレス プール」をアクティブにすることができます。
cisco-avpair= "ip:addr-pool=first"「*」を挿入すると、AV ペア「ip:addr-pool=first」はオプションになります。 AV ペアはオプションにできることに注意してください。
IETF 属性 26(ベンダー固有)は、ベンダー固有属性をカプセル化します。このため、ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。
cisco-avpair= "ip:addr-pool*first"次に、ネットワーク アクセス サーバからユーザがログインしたときに、すぐに EXEC コマンドを実行する方法の例を示します。
cisco-avpair= "shell:priv-lvl=15"属性 26 には、次の 3 つの要素が含まれています。
(注) |
VSA の形式はベンダーが指定します。 Attribute-Specific フィールド(Vendor-Data とも呼ばれる)は、ベンダーによるその属性の定義によって異なります。 |
名前 |
値 |
タイプ |
---|---|---|
access-loop-encapsulation | バイナリ | 1 |
accounting-list | 文字列 | 1 |
acct-policy-in | 文字列 | 1 |
acct-policy-map | 文字列 | 1 |
acct-policy-out | 文字列 | 1 |
actual-data-rate-downstream | 整数 | 1 |
actual-data-rate-upstream | 整数 | 1 |
actual-interleaving-delay-downstream | 整数 | 1 |
actual-interleaving-delay-upstream | 整数 | 1 |
attainable-data-rate-downstream | 整数 | 1 |
attainable-data-rate-upstream | 整数 | 1 |
circuit-id-tag | 文字列 | 1 |
cisco-nas-port | 文字列 | 2 |
client-mac-address | 文字列 | 1 |
command | 文字列 | 1 |
connect-progress | 文字列 | 1 |
connect-rx-speed | 整数 | 1 |
connect-tx-speed | 整数 | 1 |
dhcp-client-id | 文字列 | 1 |
dhcp-vendor-class | 文字列 | 1 |
disc-cause-ext | 文字列 | 1 |
Disconnect-Cause | 文字列 | 1 |
if-handle | 整数 | 1 |
inacl | 文字列 | 1 |
interworking-functionality-tag | ブール | 1 |
ip-addresses | 文字列 | 1 |
ip-unnumbered | 文字列 | 1 |
ipv4-unnumbered | 文字列 | 1 |
login-ip-host | 文字列 | 1 |
maximum-interleaving-delay-downstream | 整数 | 1 |
maximum-interleaving-delay-upstream | 整数 | 1 |
maximum-data-rate-downstream | 整数 | 1 |
maximum-data-rate-upstream | 整数 | 1 |
minimum-data-rate-downstream | 整数 | 1 |
minimum-data-rate-downstream-low-power | 整数 | 1 |
minimum-data-rate-upstream | 整数 | 1 |
minimum-data-rate-upstream-low-power | 整数 | 1 |
parent-if-handle | 整数 | 1 |
pppoe_session_id | 整数 | 1 |
qos-policy-in | 文字列 | 1 |
qos-policy-out | 文字列 | 1 |
redirect-vrf | 文字列 | 1 |
remote-id-tag | 文字列 | 1 |
service-acct-list | 文字列 | 1 |
service-name | 文字列 | 1 |
sub-qos-policy-in | 文字列 | 1 |
sub-qos-policy-out | 文字列 | 1 |
traffic-class | 文字列 | 1 |
tunnel-tos-reflect | 文字列 | 1 |
tunnel-tos-setting | 整数 | 1 |
vpn-id | 文字列 | 1 |
vpn-vrf | 文字列 | 1 |
vrf-id | 整数 | 1 |
ipv6-enable | 整数 | 1 |
ipv6-mtu | 整数 | 1 |
ipv6-strict-rpf | 整数 | 1 |
ipv6-unreachable | 整数 | 1 |
acct-input-gigawords-ipv6 | 整数 | 1 |
acct-input-octets-ipv6 | 整数 | 1 |
acct-input-packets-ipv6 | 整数 | 1 |
acct-output-gigawords-ipv6 | 整数 | 1 |
acct-output-octets-ipv6 | 整数 | 1 |
acct-output-packets-ipv6 | 整数 | 1 |
delegated-ipv6-pool | 文字列 | 1 |
ipv6-dns-servers-addr | 文字列 | 1 |
dhcpv6-class | 文字列 | 1 |
ipv6_inacl | 文字列 | 1 |
ipv6_outacl | 文字列 | 1 |
addrv6 | 文字列 | 1 |
acct-input-gigawords-ipv4 | 整数 | 1 |
acct-input-octets-ipv4 | 整数 | 1 |
acct-input-packets-ipv4 | 整数 | 1 |
acct-output-gigawords-ipv4 | 整数 | 1 |
acct-output-octets-ipv4 | 整数 | 1 |
acct-output-packets-ipv4 | 整数 | 1 |
名前 |
値 |
タイプ |
---|---|---|
Access-Loop-Encapsulation | バイナリ | 144 |
Actual-Interleaving-Delay-Downstream | 整数 | 142 |
Actual-Interleaving-Delay-Upstream | 整数 | 140 |
Actual-Data-Rate-Downstream | 整数 | 130 |
Actual-Data-Rate-Upstream | 整数 | 129 |
Attainable-Data-Rate-Downstream | 整数 | 134 |
Attainable-Data-Rate-Upstream | 整数 | 133 |
Agent-Circuit-Id | 文字列 | 1 |
IWF-Session | ブール ソーシャル | 254 |
Maximum-Interleaving-Delay-Downstream | 整数 | 141 |
Maximum-Interleaving-Delay-Upstream | 整数 | 139 |
Maximum-Data-Rate-Downstream | 整数 | 136 |
Maximum-Data-Rate-Upstream | 整数 | 135 |
Minimum-Data-Rate-Downstream | 整数 | 132 |
Minimum-Data-Rate-Downstream-Low-Power | 整数 | 138 |
Minimum-Data-Rate-Upstream | 整数 | 131 |
Minimum-Data-Rate-Upstream-Low-Power | 整数 | 137 |
Agent-Remote-Id | 文字列 | 2 |
名前 |
値 |
タイプ |
---|---|---|
Ascend-Client-Primary-DNS | ipv4addr | 135 |
Ascend-Client-Secondary-DNS | ipv4addr | 136 |
Ascend-Connection-Progress | 整数 | 196 |
Ascend-Disconnect-Cause | 整数 | 195 |
Ascend-Multilink-Session-ID | 整数 | 187 |
Ascend-Num-In-Multilink | 整数 | 188 |
名前 |
値 |
タイプ |
---|---|---|
MS-1st-NBNS-Server | ipv4addr | 30 |
MS-2nd-NBNS-Server | ipv4addr | 31 |
MS-CHAP-ERROR | バイナリ | 2 |
MS-Primary-DNS | ipv4addr | 28 |
MS-Secondary-DNS | ipv4addr | 29 |
Disconnect-cause 属性値は、接続がオフラインにされた理由を指定します。 属性値は、Accounting 要求パケットで送信されます。 セッションの認証が失敗しても、これらの値は、セッションの終了時に送信されます。 セッションが認証されないと、属性が開始レコードを生成せずに終了レコードを発生させる可能性があります。
Disconnect-Cause(195)属性の原因コード、値、および説明を示します。
(注) |
Disconnect-Cause は、RADIUS AVPairs で使用されるごとに 1000 ずつ増分されます。たとえば、disc-cause 4 は 1004 になります。 |
原因コード |
値 |
説明 |
||
---|---|---|---|---|
0 |
No-Reason |
接続解除の理由は提供されない。 |
||
1 |
No-Disconnect |
イベントは接続解除されていない。 |
||
2 |
Unknown |
理由は不明。 |
||
3 |
Call-Disconnect |
コールが接続解除された。 |
||
4 |
CLID-Authentication-Failure |
calling-party 数の認証の失敗。 |
||
9 |
No-Modem-Available |
コールへの接続にモデムが使用できない。 |
||
10 |
No-Carrier |
|
||
11 |
Lost-Carrier |
キャリアの喪失。 |
||
12 |
No-Detected-Result-Codes | モデム結果コード検出の失敗。 | ||
20 |
User-Ends-Session | ユーザがセッションを終了した。
|
||
21 |
Idle-Timeout | ユーザ入力待機中のタイムアウト。
|
||
22 |
Exit-Telnet-Session | 既存の Telnet セッションによる接続解除。 | ||
23 |
No-Remote-IP-Addr | SLIP/PPP への切り替え不能。リモート エンドに IP アドレスがない。 | ||
24 |
Exit-Raw-TCP | 既存の raw TCP による接続解除。 | ||
25 |
Password-Fail | 間違ったパスワード。 | ||
26 |
Raw-TCP-Disabled | Raw TCP がディセーブルにされた。 | ||
27 |
Control-C-Detected | Control-C が検出された。 | ||
28 |
EXEC-Process-Destroyed | EXEC プロセスが破棄された。 | ||
29 |
Close-Virtual-Connection | ユーザが仮想接続を終了した。 | ||
30 |
End-Virtual-Connection | 仮想接続が終了した。 | ||
31 |
Exit-Rlogin | ユーザが Rlogin を終了した。 | ||
32 |
Invalid-Rlogin-Option | 無効な Rlogin オプションが選択された。 | ||
33 |
Insufficient-Resources |
不十分なリソース。 |
||
40 |
Timeout-PPP-LCP |
PPP LCP ネゴシエーションがタイムアウトした。
|
||
41 | Failed-PPP-LCP-Negotiation | PPP LCP ネゴシエーションが失敗した。 | ||
42 | Failed-PPP-PAP-Auth-Fail | PPP PAP 認証が失敗した。 | ||
43 | Failed-PPP-CHAP-Auth | PPP CHAP 認証が失敗した。 | ||
44 | Failed-PPP-Remote-Auth | PPP リモート認証が失敗した。 | ||
45 | PPP-Remote-Terminate | PPP がリモート エンドから Terminate Request を受信した。 | ||
46 | PPP-Closed-Event | 上位層がセッションの終了を要求した。 | ||
47 | NCP-Closed-PPP | 開いている NCP がなかったため、PPP セッションが終了した。 | ||
48 | MP-Error-PPP | MP エラーのため、PPP セッションが終了した。 | ||
49 | PPP-Maximum-Channels | 最大チャネルに達したため、PPP セッションが終了した。 | ||
50 | Tables-Full | ターミナル サーバ テーブルがいっぱいになったため、接続解除された。 | ||
51 | Resources-Full | 内部リソースがいっぱいになったため、接続解除された。 | ||
52 | Invalid-IP-Address | Telnet ホストに対する IP アドレスが有効でない。 | ||
53 | Bad-Hostname | ホスト名が検証されていない。 | ||
54 | Bad-Port | ポート番号が無効または欠落している。 | ||
60 | Reset-TCP | TCP 接続がリセットされた。
|
||
61 | TCP-Connection-Refused | TCP 接続がホストによって拒否された。 | ||
62 | Timeout-TCP | TCP 接続がタイムアウトした。 | ||
63 | Foreign-Host-Close-TCP | TCP 接続が終了した。 | ||
64 | TCP-Network-Unreachable | TCP ネットワークに到達できない。 | ||
65 | TCP-Host-Unreachable | TCP ホストに到達できない。 | ||
66 | TCP-Network-Admin Unreachable |
管理上の理由により、TCP ネットワークに到達できない。 | ||
67 | TCP-Port-Unreachable | TCP ポートに到達できない。 | ||
100 | Session-Timeout | セッションがタイムアウトした。 | ||
101 | Session-Failed-Security | セキュリティ上の理由から、セッションが失敗した。 | ||
102 | Session-End-Callback | コールバックにより、セッションが終了した。 | ||
120 | Invalid-Protocol | 検出されたプロトコルがディセーブルにされていたため、コールが拒否された。 | ||
150 | RADIUS-Disconnect | RADIUS 要求による接続解除。 | ||
151 | Local-Admin-Disconnect | 管理上の接続解除。 | ||
152 | SNMP-Disconnect | SNMP 要求による接続解除。 | ||
160 | V110-Retries | 許可された V.110 リトライを超過した。 | ||
170 | PPP-Authentication-Timeout | PPP 認証がタイムアウトした。 | ||
180 | Local-Hangup | ローカルのハングアップによって接続解除された。 | ||
185 | Remote-Hangup | リモート エンドのハングアップよって接続解除された。 | ||
190 | T1-Quiesced | T1 回線が休止状態のため接続解除された。 | ||
195 | Call-Duration | コールの最大継続時間を超過したため、接続解除された。 | ||
600 | VPN-User-Disconnect | クライアントによってコールが接続解除された(PPP 経由)。 LNS がクライアントから PPP terminate request を受信するとコードが送信されます。 |
||
601 | VPN-Carrier-Loss | キャリアの喪失。 これは回線が物理的に普通になった結果である場合があります。 クライアントがダイヤラを使用してダイヤルアウトできない場合、コードが送信されます。 |
||
602 | VPN-No-Resources | コールの処理に使用できるリソースがない。 クライアントがメモリを割り当てることができない場合、コードが送信されます(メモリの不足)。 |
||
603 | VPN-Bad-Control-Packet | L2TP または L2F 制御パケットが間違っている。 このコードは、必須の属性値ペア(AVP)が欠落しているなど、ピアから受信した制御パケットが無効な場合に送信されます。 L2TP を使用すると、コードは 6 回の再送信後に送信されます。L2F を使用すると、再送信の回数はユーザ設定が可能です。
|
||
604 | VPN-Admin-Disconnect | 管理上の接続解除。 これは、VPN ソフト シャットダウンの結果である場合があります。これは、クライアントが最大セッション制限に達するか、最大ホップカウントを超過した場合に発生します。 トンネルが、clear vpdn tunnel コマンドの発行によってダウンした場合に、コードが送信されます。 |
||
605 | VPN-Tunnel-Shut | トンネルのティアダウン、またはトンネルのセットアップが失敗した。 トンネルにアクティブなセッションがあり、トンネルがダウンした場合にコードが送信されます。
|
||
606 | VPN-Local-Disconnect | LNS PPP モジュールによって、コールが接続解除された。 LNS がクライアントに PPP terminate request を送信するとコードが送信されます。 これは通常の PPP 接続解除が LNS によって開始されたことを示します。 |
||
607 | VPN-Session-Limit | VPN ソフト シャットダウンがイネーブルになった。 前述したソフト シャットダウンの制約事項のいずれかによってコールが拒否されると、コードが送信されます。 |
||
608 | VPN-Call-Redirect | VPN コール リダイレクトがイネーブルになった。 |