この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、BNG ルータでの認証、許可、アカウンティング(AAA)機能の設定に関する情報を提供します。 BNG は、RADIUS サーバと対話して AAA 機能を実行します。 RADIUS サーバ グループは、特定の AAA タスクが割り当てられているサーバ グループを形成します。 サーバまたはサーバ グループで定義された方式リストには、許可が実行される方式が一覧表示されています。 RADIUS 機能の一部には、特定の AAA 属性形式の作成、RADIUS サーバのロード バランシング、RADIUS レコードのスロットリング、許可変更(CoA)、および QoS のサービス アカウンティングが含まれています。 この章の内容は、次のとおりです。
AAA は、効果的なネットワーク管理およびセキュリティのフレームワークとして機能します。 これは、ネットワーク リソースの管理、ポリシーの施行、ネットワーク使用状況の監査、および課金関連情報の提供に役立ちます。 BNG は、AAA 機能を提供する外部の RADIUS サーバに接続します。
RADIUS サーバは、3 種類の独立したセキュリティ機能(認証、許可、アカウンティング)を実行して、不正アクセスからネットワークを保護します。 RADIUS サーバは、リモート認証ダイヤルイン ユーザ サービス(RADIUS)プロトコルを実行します。 (RADIUS プロトコルの詳細については、RFC 2865 を参照してください)。 RADIUS サーバは、BNG、およびユーザ情報を含むデータベースとディレクトリと対話することによって AAA プロセスを管理します。
RADIUS プロトコルは、分散型クライアント/サーバ システムで動作します。 RADIUS クライアントは、中央の RADIUS サーバに認証要求を送信する BNG(Cisco ASR 9000 シリーズ ルータ)で実行されます。 RADIUS サーバには、すべてのユーザ認証情報とネットワーク サービス アクセス情報が含まれています。
AAA プロセス、これらのプロセス中の RADIUS サーバの役割、および一部の BNG の制約事項については、次の項で説明します。
認証プロセスは、ネットワークおよびネットワーク サービスへのアクセスを許可する前に、ネットワーク上の加入者を識別します。 認証プロセスは、ネットワークへのアクセス権を取得するために各加入者が持つ一意の基準セットで機能します。 通常、RADIUS サーバは、加入者がその加入者のデータベースに入力したクレデンシャル(ユーザ名およびパスワード)を照合することによって認証を実行します。 クレデンシャルが一致した場合、加入者はネットワークへのアクセスが許可されます。 それ以外の場合は、認証プロセスが失敗し、ネットワークへのアクセスは拒否されます。
認証プロセスの後、加入者は特定のアクティビティを実行することが許可されます。 許可は、加入者が使用を許可されるアクティビティ、リソース、またはサービスの種類を決定するプロセスです。 たとえば、ネットワークにログインした後に、加入者は、データベースまたは制限された Web サイトにアクセスしようとすることがあります。 許可プロセスでは、加入者がこれらのネットワーク リソースにアクセスする権限があるかどうかが判断されます。
AAA 許可は、加入者が提供する認証クレデンシャルに基づいて一連の属性を組み合わせて機能します。 RADIUS サーバは、指定のユーザ名について、これらの属性とデータベースに格納されている情報を比較します。 その加入者に適用されている実際の機能と制限事項を判断するための結果が BNG に返されます。
アカウンティングは、ネットワーク アクセス中に加入者が使用するリソースを追跡します。 アカウンティングは、課金、トレンド分析、リソース使用率の追跡、およびキャパシティ プランニング アクティビティに使用されます。 アカウンティング プロセス中、ログはネットワーク使用統計情報について保持されます。 モニタされる情報には、加入者 ID、加入者に適用されている設定、ネットワーク接続の開始時刻と終了時刻、およびネットワークとの間で転送されたパケット数とバイト数が含まれますが、これに限定されません。
BNG は、アカウンティング レコードの形式で RADIUS サーバに加入者アクティビティを報告します。 各アカウンティング レコードは、アカウンティング属性値で構成されます。 この値は、ネットワーク管理、クライアント課金、監査などに対して、RADIUS サーバによって分析され、使用されます。
加入者セッションのアカウンティング レコードは、BNG が RADIUS サーバから応答を受信しなければタイムアウトすることがあります。 このタイムアウトは、到達不能の RADIUS サーバまたは RADIUS サーバのパフォーマンスの低下につながるネットワーク接続の問題に原因がある可能性があります。 BNG でのセッションがアカウント開始要求について承認されなければ、ルート プロセッサ フェールオーバー(RPFO)でのセッションの切断とその他の重大な障害が報告されます。 そのため、セッションの切断を避けるために、BNG で RADIUS サーバのデッド タイムを設定することを推奨します。 この値が設定され、再試行後にも特定のセッションがアカウンティング応答を受信していない場合、特定の RADIUS サーバは機能していないと考えられ、以降の要求はそのサーバに送信されません。
radius-server deadtime limit コマンドを使用して、RADIUS サーバのデッド タイムを設定できます。 詳細については、RADIUS サーバの設定を参照してください。
RADIUS サーバ グループは、1 つまたは複数の RADIUS サーバの名前付きグループです。 各サーバ グループは、特定のサービスに使用されます。 たとえば、2 つの RADIUS サーバ グループがある AAA ネットワーク設定では、最初のサーバ グループに認証タスクと許可タスクを割り当てることができ、2 番目のグループにアカウンティング タスクを割り当てることができます。
サーバ グループは、同じサーバに複数のホスト エントリを含めることができます。 ただし、各エントリに固有識別子が必要です。 この固有識別子は、IP アドレスと UDP ポート番号の組み合わせによって作成されます。 そのため、サーバの異なるポートを、特定の AAA サービスを提供する個別の RADIUS ホストとして別々に定義できます。 つまり、この固有識別子によって、同じサーバ上の異なる UDP ポートに RADIUS 要求を送信できます。 さらに、同じ RADIUS サーバ上の異なる 2 つのホスト エントリが同じサービス(認証プロセスなど)に対して設定されている場合、2 番目のホスト エントリは最初のホスト エントリのフェールオーバー バックアップとして機能します。 つまり、最初のホスト エントリが認証サービスの提供に失敗した場合、BNG は 2 番目のホスト エントリで試みます。 (RADIUS ホスト エントリは、それらが作成された順番で試行されます)。
サーバ グループへの特定のアクションの割り当てについては、RADIUS サーバ グループの設定を参照してください。
名前付きサーバ グループをサーバ ホストとして定義するには、この作業を実行します。
1. configure
2. aaa group server radius name
3. accounting accept radius_attribute_list_name
4. authorization reply accept radius_attribute_list_name
5. deadtime limit
6. load-balance method least-outstanding batch-size size ignore-preferred-server
7. server host_name acct-port accounting_port_number auth-port authentication_port_number
8. source-interface name value
9. vrf name
configure aaa group server radius r1 accounting accept r1 r2 authorization reply accept a1 a2 deadtime 8 load-balance method least-outstanding batch-size 45 ignore-preferred-server server host_name acct-port 355 auth-port 544 source-interface Bundle-Ether100.10 vrf vrf_1 ! end
AAA の方式リストは、許可が実行される方式、およびこれらの方式が実行される順序を定義します。 定義された認証方式が実行される前に、ユーザアクセス クレデンシャルの検証を実行する設定メカニズムに方式リストを適用する必要があります。 この要件の唯一の例外は、デフォルトの方式リスト(「default」という名前)です。 デフォルトの方式リストは、他の方式リストが定義されていない場合に自動的に適用されます。 定義済みの方式リストは、デフォルトの方式リストに優先します。
BNG では、方式リスト、および AAA サービスに使用されるサーバ グループを指定する必要があります。 方式リストの指定については、AAA の方式リストの設定を参照してください。
加入者の認証、許可、アカウンティングについてサーバ グループが使用する方式リストを割り当てるには、次の作業を実行します。
1. configure
2. aaa authentication subscriber default method-list-name group server-group-name
3. aaa authorization subscriber default method-list-name group server-group-name |radius
4. aaa accounting subscriber default method-list-name group server-group-name
configure aaa authentication subscriber default group radius group rad2 group rad3.. aaa authorization subscriber default group radius group rad1 group rad2 group rad3.. aaa accounting subscriber default group radius group rad1 group rad2 group rad3.. ! ! end
AAA 属性は、RAIDUS パケットの要素です。 RAIDUS パケットは、RADIUS サーバと RADIUS クライアント間でデータを転送します。 AAA 属性パラメータとその値は、属性値ペア(AVP)を形成します。 AVP は、AAA トランザクションの要求と応答の両方に対してデータを伝送します。
AAA 属性は、インターネット技術特別調査委員会(IETF)属性などで事前定義されるか、ベンダー固有属性(VSA)などでベンダー定義されます。 BNG のサポートされる属性のリストの詳細については、RADIUS 属性を参照してください。
RADIUS サーバは、RADIUS メッセージの属性の形式で、BNG への設定の更新を提供します。 設定の更新は、2 種類の典型的な方式でのセッションのセットアップ中に加入者に適用されます。この方式とは、ユーザ単位の属性で、加入者の認証 Access Accept の一部として、または明示的ドメイン、ポート、またはサービスの許可 Access Accept を介して加入者に設定を適用します。 これは、加入者のポリシー ルール エンジンの設定によって完全に制御されます。
BNG がアクセス要求として外部の RADIUS サーバに認証要求または許可要求を送信すると、サーバは Access Accept の一部として BNG に設定の更新を送り返します。 セットアップ中に加入者を設定する RADIUS に加えて、BNG が要求を送信できなかった場合でも、サーバは加入者のアクティブなセッションのライフサイクル中に、許可変更(CoA)メッセージを自律的に BNG に送信できます。 これらの RADIUS CoA の更新は、BNG で設定された要素を参照し、特定のコントロール ポリシーまたはサービス ポリシーを更新するように BNG に指示する動的な更新として機能します。
BNG は、そのサービスを表すために共同作業できる設定済み機能グループである「サービス」の概念をサポートします。 サービスは、CLI を使用して動的なテンプレートに設定されている機能、または RADIUS サーバ内の RADIUS 属性として設定されている機能のいずれかとして表すことができます。 サービスは、ポリシー ルール エンジンの設定済み「アクティブ化」アクションまたは CoA の「アクティブ化サービス」要求のいずれかを介して、CLI または RADIUS から直接的にアクティブ化されます。 サービスは、ポリシー ルール エンジンの設定済み「非アクティブ化」アクションまたは CoA の「非アクティブ化サービス」要求を介して、直接的に非アクティブ化する(名前付きサービス内の関連機能をすべて削除する)こともできます。
属性リストは、一連の属性を含む名前付きリストです。 AAA 機能を実行するために特定の属性のリストを使用するように RADIUS サーバを設定できます。
属性リストを作成するには、RADIUS 属性リストの設定を参照してください。
一部の属性のカスタマイズされた形式を定義できます。 新しい形式を作成するための設定構文は、次のとおりです。
aaa attribute format FORMAT-NAME format-string [LENGTH] STRING *[Identity-Attribute]
形式が定義されると、ユーザ名、Nas-Port-ID、Calling-Station-ID、および Called-Station-ID など、さまざまな AAA 属性に FORMAT-NAME を適用できます。 形式の機能を使用する設定可能な AAA 属性については、特定形式の属性の作成の項で説明します。
カスタマイズされた Nas-Port 属性を作成し、事前定義された形式を Nas-Port-ID 属性に適用するには、RADIUS 属性形式の設定を参照してください。
特定の目的に対する属性形式に、特定の機能を定義できます。 たとえば、入力ユーザ名が「text@abc.com」で、「@」の後の部分のみがユーザ名として必要な場合、機能を定義して、「@」の後の部分のみをユーザ名として保持できます。 「text」が入力からドロップされ、新しいユーザ名は「abc.com」になります。 ユーザ名のトランケーション機能を名前付き属性形式に適用するには、AAA 属性形式機能の設定を参照してください。
BNG は、設定可能な AAA 属性の使用をサポートします。 設定可能な AAA 属性には、特定のユーザ定義の形式があります。 ここでは、BNG で使用される設定可能な AAA 属性の一部を示します。
BNG には、MAC アドレス、Circuit-ID、Remote-ID、および DHCP オプション 60(および CLI で使用できる多数の値セット)を使用する加入者の AAA ユーザ名とその他の形式がサポートされた属性を構築する機能があります。 DHCP オプション 60 は、要求に応じて DHCP クライアントから DHCP サーバに伝送される新しいオプションの 1 つです。この機能は、DHCP クライアント ハードウェアのベンダー クラス ID(VCI)を伝送します。
aaa attribute format USERNAME-FORMAT format-string “%s@%s” mac-address vendor-class-id
NAS-Port-ID は、BNG ポート情報とアクセス ノード情報の組み合わせによって構築されます。 BNG ポート情報は、次の形式の文字列で構成されます。
"eth phy_slot/phy_subslot/phy_port:XPI.XCI"
802.1Q トンネリング(QinQ)では、XPI は外部 VLAN タグで、XCI は内部 VLAN タグです。
インターフェイスが QinQ の場合、Nas-Port-ID のデフォルト形式には両方の VLAN タグが含まれます。インターフェイスがシングル タグの場合、単一の VLAN タグが含まれます。
単一の VLAN の場合、次の構文を使用して外部 VLAN のみが設定されます。
<slot>/<subslot>/<port>/<outer_vlan>
<slot>/<subslot>/<port>/<inner_vlan>.<outer_vlan>
Nas-Port-ID コマンドは、(前述のコマンドを使用して設定された)カスタマイズされた形式を特定のインターフェイス タイプ(NAS-Port-Type)で使用できるように、「NAS-Port-Type」オプションを使用するように拡張されています。 拡張された Nas-Port-ID コマンドは、次のとおりです。
aaa radius attribute nas-port-id format FORMAT_NAME [type NAS_PORT_TYPE]
「Type」オプションを指定しないと、すべてのインターフェイス タイプの Nas-Port-ID がコマンドで指定されている形式名に従って構成されます。 BNG ポート情報と Circuit-ID を組み合わせることによって、最大 128 バイトの NAS-Port-ID を作成する例は、次のとおりです。
aaa attribute format NAS-PORT-ID-FORMAT1 format-string 128 “eth %s/%s/%s:%s.%s %s” phy-slot phy-subslot phy-port outer-vlan-Id inner-vlan-id circuit-id
aaa attribute format NAS-PORT-ID-FORMAT2 format-string “eth %s/%s/%s:%s.%s 0/0/0/0/0/0” phy-slot phy-subslot phy-port outer-vlan-Id inner-vlan-id
aaa attribute format NAS-PORT-ID-FORMAT3 format-string “%s” circuit-id
前述の例で設定した NAS-Port-ID 形式は、次のように NAS-Port-ID コマンドで指定できます。
For IPoEoQINQ interface:- aaa radius attribute nas-port-id format NAS-PORT-ID-FORMAT1 type 41 For Virtual IPoEoQINQ interface:- aaa radius attribute nas-port-id format NAS-PORT-ID-FORMAT2 type 44 For IPOEoE interface:- aaa radius attribute nas-port-id format NAS-PORT-ID-FORMAT3 type 39
同じタイプのさまざまな物理インターフェイスを除いて、同じ BNG ルータ上の加入者に対して異なる製造モデルを持つには、各物理インターフェイスまたは VLAN サブインターフェイスに対して NAS-Port-Type を設定可能にします。 インターフェイス上で設定された異なる NAS-Port-Type 値によって、NAS-Port と NAS-Port-ID は、インターフェイスにある NAS-Port-Type の実際の値ではなく、インターフェイス上で設定された新しい NAS-Port-Type にグローバルに定義された形式に従って形式作成されます。 これにより、NAS-Port、NAS-Port-ID、および NAS-Port-Type の異なる形式が、異なる製造モデル下の加入者の RADIUS サーバに順番に送信されます。
インターフェイスまたは VLAN サブインターフェイスごとに NAS-Port-Type を設定するには、次のコマンドを使用します。
aaa radius attribute nas-port-type <nas-port-type>
値は次のとおりです。
<nas-port-type> は、0 ~ 44 の範囲または NAS-Port-Type を指定した文字列のいずれかになります。
RADIUS 属性の NAS-Port-Type の設定を参照してください。
BNG は、設定可能な Calling-Station-ID および Called-Station-ID の使用をサポートします。 Calling-Station-ID は、自動番号識別(ANI)または同様のテクノロジーを使用する RADIUS 属性です。 これにより、ネットワーク アクセス サーバ(NAS)はアクセス要求パケットにコールが着信した電話番号を送信できます。 Called-Station-ID は、着信番号識別サービス(DNIS)または同様のテクノロジーを使用する RADIUS 属性です。 これにより、NAS は、アクセス要求パケットにユーザがコールした電話番号を送信できます。
aaa radius attribute calling-station-id format FORMAT_NAME aaa radius attribute called-station-id format FORMAT_NAME
aaa radius attribute calling-station-id format CLID-FORMAT aaa attribute format CLID-FORMAT format-string “%s:%s:%s” mac-address-ietf remote-id circuit-id
aaa radius attribute called-station-id format CLDID-FORMAT aaa attribute format CLDID-FORMAT format-string “%s:%s” mac-address-raw circuit-id
NAS-Port は、ブロードバンド リモート アクセス サーバ(BRAS)の物理ポート情報を持つ 4 バイトの値で、アクセス集約ネットワークを BNG に接続します。 これは、アクセス要求パケットとアカウンティング要求パケットの両方で使用されます。 BRAS の物理ポートを一意に識別するために、シェルフ、スロット、アダプタなどの複数の情報がポート番号と一緒に使用されます。 format-e と呼ばれる設定可能な形式は、NAS-Port の 32 ビットの個々のビットまたはビット グループによって、ポート情報を構成するさまざまな部分を表現またはエンコードできるように定義されます。
NAS-Port の個々のビットは、次の文字でエンコードできます。
aaa radius attribute nas-port format e [string] [type {nas-port-type}]
NAS-Port-Type | 値 | 関連するインターフェイスから値を取得できるかどうか | インターフェイス コンフィギュレーション モードで値を設定できるかどうか |
---|---|---|---|
ASYNC |
0 | No | Yes |
SYNC |
1 | No | Yes |
ISDN |
2 | No | Yes |
ISDN_V120 |
3 | No | Yes |
ISDN_V110 |
4 | No | Yes |
VIRTUAL |
5 | No | Yes |
ISDN_PIAFS |
6 | No | Yes |
X75 |
9 | No | Yes |
ETHERNET |
15 | No | Yes |
PPPATM |
30 | No | Yes |
PPPOEOA |
31 | No | Yes |
PPPOEOE |
32 | Yes | Yes |
PPPOEOVLAN |
33 | Yes | Yes |
PPPOEOQINQ |
34 | Yes | Yes |
VIRTUAL_PPPOEOE |
35 | Yes | Yes |
VIRTUAL_PPPOEOVLAN |
36 | Yes | Yes |
VIRTUAL_PPPOEOQINQ |
37 | Yes | Yes |
IPSEC |
38 | No | Yes |
IPOEOE |
39 | Yes | Yes |
IPOEOVLAN |
40 | Yes | Yes |
IPOEOQINQ |
41 | Yes | Yes |
VIRTUAL_IPOEOE |
42 | Yes | Yes |
VIRTUAL_IPOEOVLAN |
43 | Yes | Yes |
VIRTUAL_IPOEOQINQ |
44 | Yes | Yes |
次に、例を示します。
For non-bundle: GigabitEthernet0/1/2/3.11.pppoe5 where: PPPoEoQinQ (assuming 2 vlan tags): interface-type 1: slot 2: adapter 3: port vlan-ids: whatever the outer and inner vlan-ids received in the PADR were 5: session-id aaa radius attribute nas-port format e SSAAPPPPQQQQQQQQQQVVVVVVVVVVUUUU type 34 Generated NAS-Port: 01100011QQQQQQQQQQVVVVVVVVVV0101 For bundle: Bundle-Ether17.23.pppoe8 where: Virtual-PPPoEoQinQ (assuming 2 vlan tags): interface-type 0: slot 0: adapter 17 (bundle-id): port Vlan-Ids: whatever the outer and inner vlan-ids received in the PADR were. 8: session-id aaa radius attribute nas-port format e PPPPPPQQQQQQQQQQVVVVVVVVVVUUUUUU type 37 Generated NAS-Port: 010001QQQQQQQQQQVVVVVVVVVV000101
IP/DHCP セッションの NAS-Port 形式を次の例に示します。
For IPoEoVLAN interface type: aaa radius attribute nas-port format e SSAAAPPPPPVVVVVVVVVVVVVVVVVVVVVV type 40 For IPoEoQinQ: aaa radius attribute nas-port format e SSAAAPPPPPQQQQQQQQQQQVVVVVVVVVVV type 41 For virtual IPoEoVLAN: aaa radius attribute nas-port format e PPPPPPPPVVVVVVVVVVVVVVVVUUUUUUUU type 43
PPPoE セッションの NAS-Port 形式を次の例に示します。
For PPPoEoVLAN interface type: aaa radius attribute nas-port format e SSAAAPPPPPVVVVVVVVVVVVVVVVVVUUUU type 33 For Virtual PPPoEoVLAN:. aaa radius attribute nas-port format e PPPPPPPPVVVVVVVVVVVVVVVVUUUUUUUU type 36
(注) |
NAS-Port 形式が NAS-Port-Type に対して設定されていない場合、システムは NAS-Port 形式のデフォルトの CLI 設定を検索します。 これらの両方の設定がない場合、特定の NAS-Port-Type を使用するセッションでは、NAS-Port 属性は RADIUS サーバに送信されません。 |
許可属性とアカウンティング属性のフィルタリングに使用される RADIUS 属性リストを作成するには、次の作業を実行します。
1. configure
2. radius-server attribute list listname
3. attribute list_of_radius_attributes
4. attribute vendor-id vendor-type number
5. vendor-type vendor-type-value
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | radius-server attribute list listname 例:
RP/0/RSP0/CPU0:router(config)# radius-server attribute list l1
|
属性リストの名前を定義します。 |
||
ステップ 3 | attribute list_of_radius_attributes 例:
RP/0/RSP0/CPU0:router(config-attribute-filter)# attribute a1, a2
|
RADIUS 属性をリストに入力します。
|
||
ステップ 4 | attribute vendor-id vendor-type number 例:
RP/0/RSP0/CPU0:router(config)# attribute vendor-id 6456
|
ベンダー固有属性(VSA)に関するベンダー固有情報を RADIUS 属性リストの CLI で指定できるようにすることによって、VSA に適用される属性フィルタリングを設定します。 ベンダー固有情報は、シスコ汎用 VSA の場合、ベンダー ID、ベンダー タイプ、およびオプションの属性名で構成されます。 ベンダー ID の範囲は、0 ~ 4294967295 です。 |
||
ステップ 5 | vendor-type vendor-type-value 例:
RP/0/RSP0/CPU0:router(config-attribute-filter-vsa)# vendor-type 54
|
ベンダー タイプなどのベンダー固有情報を RADIUS 属性リストで指定されるように設定します。 ベンダー タイプ値の範囲は、1 ~ 254 です。 |
||
ステップ 6 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure radius-server attribute list list_! attribute B C attribute vendor-id vendor-type 10 vendor-type 30 ! end
Nas-Port 属性の RADIUS 属性形式を定義し、Nas-Port-ID 属性に事前定義された形式を適用するには、次の作業を実行します。
1. configure
2. aaa radius attribute
3. nas-port format e string type nas-port-type value
4. nas-port-id format format name
configure aaa radius attribute nas-port format e abcd type 40 nas-port-id format ADEF ! end
物理インターフェイスまたは VLAN サブインターフェイスの RADIUS 属性の NAS-Port-Type を設定するには、次の作業を実行します。
1. configure
2. interface type interface-name
3. aaa radius attribute nas-port-type {value | name}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例: RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | interface type interface-name 例: RP/0/RSP0/CPU0:router(config)# interface gigabitEthernet 0/0/0/0 |
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 | aaa radius attribute nas-port-type {value | name} 例: RP/0/RSP0/CPU0:router(config-if)# aaa radius attribute nas-port-type 30 または RP/0/RSP0/CPU0:router(config-if)# aaa radius attribute nas-port-type Ethernet |
RADIUS 属性の NAS-Port-Type 値を設定します。 この値の範囲は 0 ~ 44 です。 この範囲内で許容される NAS-Port-Type 値については、NAS-Port 形式の表を参照してください。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure interface gigabitEthernet 0/0/0/0 aaa radius attribute nas-port-type Ethernet ! end
AAA 属性形式の機能を設定するには、次の作業を実行します。 この機能は、デリミタまでユーザ名を取り除くためのものです。
1. configure
2. aaa attribute format format-name
3. username-strip prefix-delimiter prefilx_delimiter
configure aaa attribute format red username-strip prefix-delimiter @ ! ! end
BNG が RADIUS サーバと対話するように、BNG ルータで特定のサーバ固有の設定を行う必要があります。 この表は、主要な設定の一部です。
設定 | 説明 |
---|---|
サーバ ホスト | BNG が接続する RADIUS サーバの詳細を定義します。 |
属性リスト | 使用される属性リストを定義します。 |
サーバ キー | 暗号化ステータスを定義します。 |
デッド条件 | RADIUS サーバをデッドとしてマークするために使用される条件を定義します。 |
再送信値 | RADIUS サーバにデータを送信するために BNG が行う再試行数を定義します。 |
タイムアウトの値 | BNG が RADIUS サーバの応答を待機する時間を定義します。 |
自動テスト | 自動テストが開始されてからの期間とテストされるユーザ名を定義します。 |
IP DSCP | RADIUS パケットを特定の DiffServ コード ポイント(DSCP)値でマークできます。 |
RADIUS サーバ設定の詳細については、RADIUS サーバの設定を参照してください。
特定の自動テスト設定の詳細については、自動テストの設定を参照してください。
特定の IP DSCP 設定の詳細については、RADIUS サーバの IP DSCP の設定を参照してください。
サービス プロファイルのプッシュまたはシステムへの非同期的なプロファイルのプッシュは、サポートされていません。 RADIUS からプロファイルをダウンロードするには、プロファイルを加入者の要求の一部として最初に要求する必要があります。 サービスの更新のみがサポートされ、以前にダウンロードしたサービスの変更に使用できます。
BNG ルータで RADIUS サーバに固有の設定を行うには、次の作業を実行します。
1. configure
2. radius-server host host_name acct-port accounting_port_number auth-port authentication_port_number
3. radius-server attribute list list_name attribute_list
4. radius-server key 7 encrypted_text
5. radius-server disallow null-username
6. radius-server dead-criteria time value
7. radius-server dead-criteria tries value
8. radius-server deadtime limit
9. radius-server ipv4 dscp codepoint_value
10. radius-server load-balance method least-outstanding ignore-preferred-server batch-size size
11. radius-server retransmit retransmit_value
12. radius-server source-port extended
13. radius-server timeout value
14. radius-server vsa attribute ignore unknown
15. radius source-interface Loopback value vrf vrf_name
\\Configuring RADIUS Server Options configure radius-server attribute list list1 a b radius-server dead-criteria time 100 radius-server deadtime 30 radius-server disallow null-username radius-server host 1.2.3.4 acct-port 655 auth-port 566 radius-server ipv4 dscp 34 radius-server key 7 ERITY$ radius-server load-balance method least-outstanding ignore-preferred-server batch-size 25 radius-server retransmit 50 radius-server source-port extended radius-server timeout 500 radius-server vsa attribute ignore unknown ! ! end \\Configuring RADIUS Attribute List radius-server attribute list list_! attribute B C attribute vendor-id vendor-type 10 vendor-type 30 ! end \\Configuring RADIUS Server Host configure radius-server host 1.3.5.7 acct-port 56 auth-port 66 idle-time 45 ignore-acct-port ignore-auth-port 3.4.5.6 key 7 ERWQ retransmit 50 test username username timeout 500 ! end \\Configuring RADIUS Server Key configure radius-server key 7 ERWQ ! end \\Configuring Load Balancing for RADIUS Server configure radius-server load-balance method least-outstanding batch-size 25 radius-server load-balance method least-outstanding ignore-preferred-server batch-size 45 ! end \\Ignoring Unknown VSA Attributes in RADIUS Server configure radius-server vsa attribute ignore unknown ! end \\Configuring Dead Criteria for RADIUS Server configure radius-server dead-criteria time 60 radius-server dead-criteria tries 60 ! end \\Configuring Disallow Username configure radius-server disallow null-username ! end \\Setting IP DSCP for RADIUS Server configure radius-server ipv4 dscp 43 radius-server ipv4 dscp default ! end
外部 RADIUS サーバが UP かどうかをテストするには、次の作業を実行します。
1. configure
2. radius-server idle-time idle_time
3. radius-server test username username
configure radius-server idle-time 60 radius-server test username user_1 ! end
RADIUS サーバの IP DiffServ コード ポイント(DSCP)を設定するには、次の作業を実行します。
1. configure
2. radius-server ipv4 dscp codepoint_value
3. radius-server ipv4 dscp default
configure radius-server ipv4 dscp 43 radius-server ipv4 dscp default ! end
RADIUS ロードバランシング機能は、一連の RADIUS サーバに対する RADIUS アクセスおよびアカウンティング トランザクションの負荷を分担するメカニズムです。 各 AAA 要求の処理は、トランザクションと見なされます。 BNG は、トランザクションのバッチをサーバ グループ内のサーバに分配します。
新規に最初のトランザクションを受け取ると、BNG はキューの未処理のトランザクション数が最も少ないサーバを決定します。 このサーバは、そのトランザクションのバッチを割り当てられます。 BNG は、未処理のトランザクションが最も少ないサーバが常に新しいバッチを取得するように、この決定プロセスを繰り返し続けます。 この方法は、ロード バランシングの最小未処理方法として知られています。
ロード バランシング機能をグローバルに設定するか、サーバ グループに属する RADIUS サーバに対して設定できます。 サーバ グループでは、優先サーバが定義されている場合、ロードバランシング設定にキーワード「ignore-preferred-server」を含めてプリファレンスをディセーブルにする必要があります。
ロード バランシング機能をグローバルに設定する場合は、グローバル RADIUS サーバ グループのロード バランシングの設定を参照してください。
ロード バランシング機能を指定サーバ グループの一部である RADIUS サーバで設定するには、名前付き RADIUS サーバ グループのロード バランシングの設定を参照してください。
グローバル RADIUS サーバ グループのロード バランシング機能をアクティブ化するには、次の作業を実行します。 たとえば、この設定では、優先サーバを無視するように設定します。
1. configure
2. radius-server load-balance method least-outstanding batch-size size
3. radius-server load-balance method least-outstanding ignore-preferred-server batch-size size
configure radius-server load-balance method least-outstanding batch-size 25 radius-server load-balance method least-outstanding ignore-preferred-server batch-size 45 ! end
名前付き RADIUS サーバ グループのロード バランシング機能をアクティブ化するには、次の作業を実行します。 たとえば、この設定では、優先サーバを無視するように設定します。
1. configure
2. aaa group server radius server_group_name load-balance method least-outstanding batch-size size
3. aaa group server radius server_group_name load-balance method least-outstanding ignore-preferred-server batch-size size
AAA(RADIUS)レコードのスロットリングは、RADIUS の輻輳と不安定性を防ぐメカニズムです。 この機能は、RADIUS サーバの BNG で生成される AAA 要求の突然のバーストに対応する帯域幅が不十分な場合に役立ちます。
スロットリングの設定時に、未処理要求の最大数に対応するしきい値レートが定義されます。 アクセス(認証および許可)およびアカウンティング要求に独立したスロットリング レートを設定できます。 しきい値がサーバに到達すると、そのタイプの要求はそれ以上サーバに送信されません。 ただし、保留中の要求については、再送信タイマーが開始され、(すべてのタイマーの期限切れ後にチェックされる)未処理要求の数がしきい値より少ない場合、要求が送信されます。
セッションはアクセス要求のスロットルが原因でタイムアウトすることがあるため、再送信の試行数に制限を設定します。 この制限に達すると、それ以上のアクセス要求はドロップされます。 ただし、スロットルされたアカウンティング要求は、サーバ グループのフェールオーバー プロセスによって処理されます。
スロットリング機能は、グローバルまたはサーバ グループに対して設定できます。 ただし、設定プリファレンスの一般的なルールでは、サーバグループ設定はグローバル設定があれば上書きします。
radius-server throttle {[accounting THRESHOLD] [access THRESHOLD [access-timeout NUMBER_OF-TIMEOUTS]]}値は次のとおりです。
(注) |
デフォルトでは、スロットリング機能は BNG でディセーブルです。 |
スロットリングをグローバルにアクティブ化するには、グローバルな RADIUS スロットリングの設定を参照してください。
スロットリングをサーバ グループでアクティブ化するには、サーバ グループでの RADIUS スロットリングの設定を参照してください。
RADIUS スロットリングをグローバルにアクティブ化するには、次の作業を実行します。
1. configure
2. radius-server throttle access threshold_value
3. radius-server throttle access threshold_value access-timeout value
4. radius-server throttle access threshold_value access-timeout value accounting threshold_value
5. radius-server throttle accounting threshold_value access value access-timeout value
configure radius-server throttle access 10 access-timeout 5 accounting 10 ! end
サーバ グループで RADIUS スロットリングをアクティブ化するには、次の作業を実行します。
1. configure
2. aaa group server radius server_group_name
3. server hostname acct-port acct_port_value auth-port auth_port_value
4. throttle access threshold_value access-timeout value accounting threshold_value
configure aaa group server radius SG1 server 99.1.1.10 auth-port 1812 acct-port 1813 radius-server throttle access 10 access-timeout 5 accounting 10 ! end
(注) |
CoA のサーバは、RADIUS サーバと異なる場合があります。 |
設定を変更する必要がある加入者を識別するために、RADIUS CoA サーバは、Accounting-Session-ID、Username、IP-Address、および ipv4:vrf-id などのさまざまなキー(RADIUS 属性)をサポートし、使用します。
(注) |
RADIUS CoA サーバは、切断イベントの発生源を区別しません。 したがって、BNG が RADIUS CoA サーバからアカウントログオフ要求を受け取ると、ユーザ開始要求と管理者開始要求の両方で、RADIUS サーバに送信される Acct-Terminate-Cause は常に Admin-Reset として設定されます。 |
BNG は、CoA 要求によるサービスのアクティブ化をサポートします。 CoA service-activate コマンドを使用して、サービスをアクティブ化します。 サービスをアクティブ化する CoA 要求には、次の属性が含まれます。
サービス更新機能によって、更新されたサービスを表す新しい RADIUS 属性のリストで既存のサービスプロファイルをアップデートできます。 これは、サービスですでにアクティブ化されている加入者と、今後サービスをアクティブ化する新しい加入者に影響します。 新しい CoA service-update コマンドを使用して、この機能をアクティブ化します。 サービスを更新する CoA 要求には、次の属性が含まれます。
加入者についてイネーブルにされた各サービスのアカウンティング レコードは、設定済みの RADIUS サーバに送信できます。 これらのレコードには、サービスおよび関連カウンタの現在の状態を含む service-start、service-stop、および service-interim レコードを含めることができます。 この機能は、サービス アカウンティング機能です。 サービス アカウンティング レコードは、加入者セッションの一部としてサービスを構成する機能の集まりを表す統合アカウンティング レコードです。
サービス アカウンティングは、サービスがイネーブルになって加入者セッションが有効になると開始されます。 これは、新しいサービスが加入者セッションに適用されるときに、制御ポリシーを介して適用される動的なテンプレートによって、セッションが許可されるときの Access-Accept(AA)メッセージによって、または許可変更(CoA)によって発生することがあります。 サービス アカウンティングは、セッションが終了するとき、またはサービスを非アクティブ化する一部の他のイベントや CoA によってサービスがセッションから削除されるときに停止します。 開始レコードにカウンタはありません。QoS カウンタを持つ中間レコードと停止レコードは、サービス アカウンティングが QoS に対してイネーブルになると生成されます。 中間アカウンティング レコードは、事前定義された定期的なオプションとして、開始または停止アカウンティングの中間で生成できます。 中間期間がゼロの場合、中間アカウンティング レコードは作成されません。 異なる中間インターバルは、セッションごとにすべてのサービスに基づきます。 サービス アカウンティングは、設定に基づいて各テンプレートでイネーブルになります。
(注) |
動的なテンプレートに関連付けられたポリシーマップを編集して、サービス パラメータを変更できます。 ただし、これによってアカウンティング レコードは更新されません。 したがって、すべてのアカウンティング レコードを正確に生成するには、CoA を介して、すべての必要なサービス パラメータを持つ新しいサービスを作成し、新しいサービスに関連付けることを推奨します。 |
サービス アカウンティングでは、特定の加入者に対して各サービスの下に適用される入力および出力 QoS ポリシーの統計情報を、アカウンティングの中間レコードと停止レコードの一部として報告する必要がある場合があります。 各サービスでは、次の QoS カウンタをアカウンティング レコードの一部として報告できます。
アカウンティング統計情報の収集をサポートし、統計情報を AAA サービス アカウンティング レコードで報告する必要がある動的なテンプレート機能は、新しく導入された任意の acct-stats 設定オプションを使用して、それらの機能でアカウンティング統計情報をイネーブルにできます。 このオプションは、統計情報の収集をサポートしない機能では使用できません。 デフォルトでは、QoS アカウンティング統計情報は、パフォーマンスを最適化できません。
(注) |
各方向の QoS カウンタは、QoS ポリシーが特定の方向でそのサービスに適用される場合に限り報告されます。 たとえば、サービスに適用される入力ポリシーがない場合、BytesIn および PacketsIn カウンタは 0 として報告されます。 |
動的なテンプレートを介してサービス アカウンティングを設定するには、次の作業を実行します。
次の作業を実行する前に、加入者アカウンティングを設定する必要があります。 設定手順については、IPv4 または IPv6 加入者セッションの動的なテンプレートの作成を参照してください。
1. configure
2. aaa accounting service {list_name | default} {broadcast group {group_name | radius} |group {group_name | radius} }
3. aaa service-accounting [extended | brief]
4. dynamic-template
5. type service dynamic-template-name
6. accounting aaa list {method_list_name | default} type service [periodic-interval time]
7. {ipv4 | ipv6} access-group access-list-name
8. service-policy {input | output | type} service-policy_name [acct-stats]
configure aaa accounting service S1 group SG1 aaa service-accounting brief dynamic-template type service s1 accounting aaa list S1 type service periodic-interval 600 ipv4 access-group ACL1 service-policy input QOS1 acct-stats service-policy output QOS2 acct-stats ! ! end
アカウンティング カウンタは、サービス アカウンティング統計情報 ID(statsD)インフラストラクチャによって維持されます。 サービス アカウンティングは、次の方法で統計情報インフラストラクチャと対話します。
statsD からデータをプルするポーリング期間があります。 停止レコードでサブセカンド精度をサポートするには、セッションが終了したら、正確なデータを得るためにポーリング方法を待つことなく、ただちに統計情報をプルします。 セッション アカウンティングおよびサービス アカウンティングで同じ方法を続けます。 サブセカンド精度は、中間アカウンティング レコードの送信中にプルされるデータがないため、中間レコードで報告されるデータではサポートされません。
statsD は、デフォルトでは 900 秒ごと(15 分ごと)に機能の統計情報をポーリングするように設定されています。 デフォルトの数値を変更し、ポーリング間隔を増減するには、次の作業を実行します。
1. configure
2. statistics period service-accounting {period | disable}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | statistics period service-accounting {period | disable} 例:
RP/0/RSP0/CPU0:router(config)# statistics period service-accounting 1800
|
サービス アカウンティング機能の統計情報収集機能の収集期間を設定します。 |
ステップ 3 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure statistics period service-accounting 1800 end
Per VRF AAA 機能によって、仮想ルーティング/転送(VRF)インスタンスに基づいた、認証、許可、アカウンティング(AAA)を実行できます。 この機能によって、プロバイダー エッジ(PE)または仮想ホーム ゲートウェイ(VHG)で、カスタマーのバーチャル プライベート ネットワーク(VPN)に関連付けられたカスタマーの RADIUS サーバと、RADIUS プロキシを経由せずに直接通信できます。
ISP は、AAA サーバ グループ、方式リスト、システム アカウンティング、およびプロトコル固有のパラメータなどの動作パラメータを定義し、特定の VRF インスタンスにこれらのパラメータを関連付ける必要があります。
Per VRF AAA 機能は、サーバグループ、RADIUS、およびシステム アカウンティング コマンドに対する VRF の拡張でサポートされます。 サーバ グループ内のサーバのリストは、グローバル コンフィギュレーションでのホストへの参照に加えて、プライベート サーバの定義を含むように拡張されます。 これによって、カスタマー サーバとグローバル サービス プロバイダーのサーバの両方に同時にアクセスできます。 Per-VRF AAA をグローバルに設定するために使用するコマンドの構文は、次のとおりです。
radius source-interface subinterface-name [vrf vrf-name]
BNG は、BNG が初期認証または許可要求をサービス プロバイダーの RADIUS サーバに送信する場合に、加入者セッションに関連付けられた正しい VRF に順番に応答する RADIUS ダブルディップ機能をサポートします。 その後、BNG は、元の要求をリダイレクトし、指定された VRF に関連付けられた適切な RADIUS サーバに、2 番目の要求として送信します。
ここでは、RADIUS の実装に関連する参考資料を示します。
標準/RFC - AAA | |
---|---|
『Remote Authentication Dial In User Service (RADIUS)』 | |
『RADIUS Accounting』 | |
『RADIUS Accounting Modifications for Tunnel Protocol Support』 | |
『RADIUS Attributes for Tunnel Protocol Support』 | |
『RADIUS Extensions』 | |
『IANA Considerations for RADIUS』 | |
『DSL Forum Vendor-Specific RADIUS Attributes』 | |
『Dynamic Authorization Extensions to RADIUS』 |
MIB |
MIB のリンク |
---|---|
— | 選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 |
リンク |
---|---|
シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクなどの、数千ページに及ぶ技術情報が検索可能です。 Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |