自動加入者ログインのための ISG ポリシーの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このモジュールでは、認可要求でユーザ名の代わりに指定された ID を使用し、加入者からパケットを受信するとすぐに、ユーザ プロファイルを Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバからダウンロードできるように ISG を設定する方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG 自動加入者ログインの機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
ISG 自動加入者ログインの前提条件
リリースおよびプラットフォーム サポートの詳細については、「ISG 自動加入者ログインの機能情報」を参照してください。
ご使用の AAA の実装によっては、ユーザ プロファイルのパスワード フィールドで、送信元 IP アドレス、MAC アドレス、リモート ID、回線 ID のいずれかの ID を設定する必要があります。また、パスワード フィールドへのグローバル アドレスの設定が必要になることもあります。
IP セッションの許可で回線 ID およびリモート ID を使用するには、DSLAM が DHCP Option 82 情報に回線 ID およびリモート ID を挿入する必要があります。
PPPoE セッションの許可でリモート ID を使用するには、PPPoE クライアントが PPPoE Tag ID または回線 ID にリモート ID 情報を提供する必要があります。
ISG 自動加入者ログインの制約事項
認可要求のユーザ名フィールドには、253 文字の制限があります。
トラフィック クラスに基づいた自動加入者ログインは、Cisco 7600 ルータでは設定できません。
ISG 自動加入者ログインに関する情報
• 「ISG 自動加入者ログインの概要」
• 「ISG 自動加入者ログインでサポートされる ID」
• 「回線 ID およびリモート ID に基づいた認可」
• 「ISG 自動加入者ログインが設定されている場合のアカウンティング動作」
ISG 自動加入者ログインの概要
サービス プロバイダーは通常、IP セッションの開始時にポリシーを実装します。このポリシーは、すべての加入者パケットを認証用のログイン ポータルへリダイレクトします。認証が正常に終了すると、加入者ごとの認可データが AAA サーバから返されます。いくつかの展開(通常は、加入者ネットワークがスプーフィングおよび Denial of Service(DoS; サービス拒絶)攻撃から十分に保護されているような展開)では、サービス プロバイダーは、認証を省略し、加入者の身元を信頼しようとします。ISG 自動加入者ログインにより、サービス プロバイダーは加入者がログインしなくても、サービスへの特定の加入者アクセスを許可できます。
ISG 自動加入者ログインでは、認可要求でユーザ名の代わりに、指定された ID を使用できます。AAA サーバが、指定された ID に基づいて加入者を許可できることにより、加入者からパケットを受け取るとすぐに、AAA サーバから加入者のプロファイルをダウンロードできるようになります。
自動加入者ログインをトリガーするイベントは、session-start です。IP セッションでは、DHCP DISCOVER 要求を受け取ったとき、または認証されていない送信元 IP アドレスが検出されたときに session-start が発生します。PPPoE セッションでは、PPPoE Active Discovery Initiation(PADI)パケットを送信してクライアントがセッションを開始しようとしたときに、session-start が発生します。
ISG 自動加入者ログインでサポートされる ID
IP セッションでは、認可要求でユーザ名の代わりに、IP アドレス、MAC アドレス、回線 ID、リモート ID、または回線 ID とリモート ID の組み合わせの ID を使用するよう、ISG デバイスを設定できます。
PPPoE セッションでは、認可要求でユーザ名の代わりにリモート ID を使用するよう ISG デバイスを設定できます。
回線 ID およびリモート ID に基づいた認可
回線 ID およびリモート ID のフィールドは、DHCP リレー エミュレート情報のオプション(Option 82 とも呼ばれる)の一部で、PPPoE Tag VSA です。これらのフィールドは、DSLAM によって DHCP および PPPoE メッセージに挿入されます。認可要求で回線 ID、リモート ID、または回線 ID とリモート ID の組み合わせをユーザ名として使用するよう、ISG デバイスを設定できます。
デフォルトでは、ISG デバイスは回線 ID とリモート ID を使用します。これはレイヤ 2 のエッジ アクセス デバイスによって認可用に提供されます。 ip dhcp relay information option コマンドが設定されている場合、ISG デバイスは、DHCP メッセージ内で受け取る回線 ID およびリモート ID を使用します。
ISG 自動加入者ログインが設定されている場合のアカウンティング動作
MAC アドレスに基づく認可のアカウンティング動作
認可要求でユーザ名として MAC アドレスが送信されると、MAC アドレスは、アカウンティング レコードの発信ステーション ID としても送信されます。
リモート ID および回線 ID に基づく認可のアカウンティング動作
DHCP Option 82 認可を使用している IP セッションでは、アカウンティング メッセージとともに、回線 ID とリモート ID Cisco VSA が AAA サーバに送信されます。認可用のユーザ名として回線 ID とリモート ID の組み合わせを設定できますが、そのアトリビュートはアカウンティング レコードでは個別に送信されます。アカウンティング レコード内で、NAS Port ID として回線 ID とリモート ID をまとめて送信するよう設定することも可能です。
PPPoE セッションでは、アカウンティング レコードで Remote ID VSA が送信され、NAS Port ID としてリモート ID も送信されます。
radius-server attribute 31 remote-id コマンドが設定されている場合、リモート ID はアカウンティング レコード内で発信ステーション ID として送信されます。
自動加入者ログインのための ISG ポリシーの設定方法
• 「制御ポリシー クラス マップにおける自動ログインのトラフィック識別」
• 「自動加入者ログインのための ISG 制御ポリシーの設定」
• 「Calling-Station-ID として送信するリモート ID のイネーブル化」
• 「ISG 自動加入者ログインの確認」
制御ポリシー クラス マップにおける自動ログインのトラフィック識別
ISG 自動加入者ログインが適用される対象についてトラフィックを指定する、制御ポリシー クラス マップを設定するには、この作業を実行します。
手順の概要
1. enable
2. configure terminal
3. class-map type control match-all class-map-name
4. match source-ip-address ip-address subnet-mask
または
match nas-port circuit-id name
または
match nas-port remote-id name
5. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
class-map type control match-all class-map-name
Router(config)# class-map type control match-all TAL-subscribers |
制御クラス マップを作成します。これは、制御ポリシー マップのアクションが実行される条件を定義します。 |
ステップ 4 |
match source-ip-address ip-address subnet-mask または match nas-port circuit-id name または match nas-port remote-id name
Router(config-control-classmap)# match source-ip-address 10.1.1.0 255.255.255.0 または
Router(config-control-classmap)# match nas-port circuit-id circuit1 または
Router(config-control-classmap)# match nas-port remote-id remote1 |
加入者の送信元 IP アドレスが、指定された IP アドレスと一致している場合に true と評価される条件を作成します。 または 加入者の回線 ID が、指定された値と一致している場合に true と評価される条件を作成します。 または 加入者のリモート ID が、指定された値と一致している場合に true と評価される条件を作成します。 |
ステップ 5 |
end
Router(config-control-classmap)# end |
(任意)特権 EXEC モードに戻ります。 |
自動加入者ログインのための ISG 制御ポリシーの設定
加入者の認可を開始し、指定された ID を、認可要求のユーザ名フィールドに挿入する ISG 制御ポリシーを設定するには、この作業を実行します。
手順の概要
1. enable
2. configure terminal
3. policy-map type control policy-map-name
4. class type control { class-map-name | always } event session-start
5. action-number authorize [ aaa { list-name | list { list-name | default }} [ password password ]] [ upon network-service-found { continue | stop }] [ use method authorization-type ] identifier identifier-type [ plus identifier-type ]
6. end
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
policy-map type control policy-map-name
Router(config)# policy-map type control TAL |
制御ポリシーを定義するために使用される、制御ポリシー マップを作成または変更します。 |
ステップ 4 |
class type control { class-map-name | always } event session-start
Router(config-control-policymap)# class type control TAL-subscribers event session-start |
関連付けられているアクション セットを実行するために満たす必要のある条件を定義する、制御クラスを指定します。 • 「制御ポリシー クラス マップにおける自動ログインのトラフィック識別」 の作業で設定した制御クラスマップを指定します。 |
ステップ 5 |
action-number authorize [ aaa { list-name | list { list-name | default }} [ password password ]] [ upon network-service-found { continue | stop }] [ use method authorization-type ] identifier identifier-type [ plus identifier-type ]
Router(config-control-policymap-class-control)# 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address |
指定された ID を認可要求のユーザ名フィールドに挿入します。 |
ステップ 6 |
end
Router(config-control-policymap-class-control)# end |
現在のコンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。 |
次の作業
service-policy type control コマンドを使用して、制御ポリシーをコンテキストに適用する必要があります。制御ポリシーの適用の詳細については、「 Configuring ISG Control Policies 」モジュールを参照してください。
ポリシーを設定して、自身の IP アドレスまたは MAC アドレスの認可が失敗した自動ログインの加入者に対して、どのような処置をするかを確認したい場合があります。たとえば、加入者を、認証用のポリシー サーバにリダイレクトする、といった場合です。
Calling-Station-ID として送信するリモート ID のイネーブル化
アカウンティング レコードおよびアクセス要求の Calling-Station-ID(アトリビュート 31)フィールドで、ISG デバイスがリモート ID を送信できるようにするには、この作業を実行します。
手順の概要
1. enable
2. configure terminal
3. radius-server attribute 31 remote-id
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
radius-server attribute 31 remote-id
Router#(config) radius-server attribute 31 remote-id |
アカウンティング レコードおよびアクセス要求の Calling Station ID(アトリビュート 31)フィールドで、ISG デバイスがリモート ID を送信できるようにします。 |
ISG 自動加入者ログインの確認
自動加入者ログインが成功したかどうかを確認するには、この作業を実行します。
手順の概要
1. enable
2. show subscriber session
手順の詳細
ステップ 1 enable
特権 EXEC モードをイネーブルにします。
ステップ 2 show subscriber session
ISG 加入者セッションの情報を表示するには、 show subscriber session コマンドを使用します。出力で、セッションが「authen」のステートで開始されたことが示された場合、自動加入者の認可は成功しています。自動加入者の認可が成功しなかった場合、セッションは開始されますが、ステートは「unauthen」になっています。
次の出力例は、自動加入者の認可が成功したセッションの情報を示しています。
Router# show subscriber session all
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Identifier: aabb.cc01.3000
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:24, Last Changed: 00:00:21
Authentication status: authen
Rules, actions and conditions executed:
subscriber rule-map DEFAULT
condition always event session-start
1 authorize identifier mac-address
Session inbound features:
Configuration sources associated with this session:
Interface: Ethernet0/0, Active Time = 00:00:24
ISG 自動加入者ログインの設定例
• 「IP アドレスに基づいた自動加入者ログイン:例」
IP アドレスに基づいた自動加入者ログイン:例
次の例では、クライアントが 1.1.1.0 サブネットからのものである場合、ISG は認可要求を、加入者の送信元 IP アドレスをユーザ名として「TAL_LIST」に送信します。認可要求に成功した場合、返されユーザ プロファイルで指定された自動アクティブ化サービスがセッションに対してアクティブ化され、制御ポリシー内のルールの実行が停止します。認可に成功しなかった場合、ルールの実行が続行し、加入者がポリシー サーバにリダイレクトされ、ログインします。加入者が 5 分以内にログインしなかった場合、セッションが切断されます。
ISG の設定
service-policy type control RULEA
aaa authorization network TAL_LIST group radius
aaa authentication login LOCAL local
access-list 100 permit ip any any
class-map type traffic match-any all-traffic
match access-group input 100
match access-group output 100
policy-map type service redirectprofile
class type traffic all-traffic
redirect to ip 10.0.0.148 port 8080
class-map type control match-all CONDA
match source-ip-address 10.1.1.0 255.255.255.0
class-map type control match-all CONDF
match authen-status unauthenticated
policy-map type control RULEA
class type control CONDA event session-start
1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
2 service-policy type service aaa list LOCAL name redirectprofile
3 set-timer TIMERB 5 minutes
class type control CONDF event timed-policy-expiry
ユーザ プロファイルの設定
1.1.1.1 Password = "cisco"
Cisco:Account-Info = "AAuto-Internet;proxy-user;cisco"
サーバ プロファイルの設定
Auto-Internet Password = "cisco"
Cisco:Service-Info = "IAuto-Internet",
Cisco-Avpair = "traffic-class=input access-group 100"
proxy-user Password = "cisco"
Idle-Timeout = 5
その他の参考資料
規格
|
|
この機能によってサポートされる新しい規格や変更された規格はありません。 |
-- |
MIB
|
|
この機能によってサポートされる新しい MIB または変更された MIB はありません。 |
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs |
RFC
|
|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
-- |
シスコのテクニカル サポート
|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする ・TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
http://www.cisco.com/cisco/web/support/index.html |
ISG 自動加入者ログインの機能情報
表 16 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 16 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
表 16 ISG 自動加入者ログインの機能情報
|
|
|
ISG:セッション:認証(MAC、IP) |
12.2(28)SB 12.2(33)SRC 15.0(1)S |
ISG 自動加入者ログインでは、認可要求でユーザ名の代わりに、IP アドレスまたは MAC アドレスを使用することができます。この機能により、加入者からパケットを受け取るとすぐに、AAA サーバから加入者のプロファイルをダウンロードできます。 このモジュールでは、この機能について説明します。 Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
ISG:認証:DHCP オプション 82 ライン ID:AAA 認証サポート |
12.2(28)SB 12.2(33)SRC 15.0(1)S |
この機能は、回線 ID およびリモート ID に基づいて認可に対するサポートを提供することにより、ISG 自動加入者ログインの機能を拡張します。 この機能に関する詳細については、次の各項を参照してください。 • 「ISG 自動加入者ログインでサポートされる ID」 • 「回線 ID およびリモート ID に基づいた認可」 • 「ISG 自動加入者ログインが設定されている場合のアカウンティング動作」 • 「自動加入者ログインのための ISG ポリシーの設定方法」 Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2006-2010 Cisco Systems, Inc.
All rights reserved.
Copyright © 2006-2011, シスコシステムズ合同会社.
All rights reserved.