- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: RADIUS プロキシとしての ISG の設定
RADIUS プロキシとしての ISG の設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。ISG RADIUS プロキシ機能により、ISG は、RADIUS 認証を使用するクライアント デバイスと、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバの間のプロキシとして機能できるようになります。RADIUS プロキシとしてコンフィギュレーションされている場合、ISG は RADIUS のパケット フローを「詮索」(観察)できるようになり、認証が成功すると、対応する ISG セッションを透過に作成できます。ここでは、ISG を RADIUS プロキシとして設定する方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG RADIUS プロキシの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
ISG RADIUS プロキシの前提条件
ISG RADIUS プロキシの制約事項
Wireless Internet Service Provider roaming(WISPr)アトリビュートはサポートされていません。
ISG RADIUS プロキシに関する情報
ISG を RADIUS プロキシとして設定する前に、次の概念について理解しておく必要があります。
•
「ISG RADIUS プロキシによるアカウンティング パケットの処理」
• 「モバイル ワイヤレス環境のための ISG RADIUS プロキシのサポート」
ISG RADIUS プロキシの概要
Public Wireless LAN(PWLAN; 公衆無線 LAN)およびワイヤレス メッシュ ネットワークには、数百ものアクセス ポイントを含めることが可能で、各アクセス ポイントは AAA サーバに RADIUS 認証要求を送信する必要があります。ISG RADIUS プロキシ機能を使用すると、アクセス ポイントは、AAA サーバに認証要求を直接送信せずに、ISG に送信できるようになります。ISG はこの要求を AAA サーバへ中継します。AAA サーバは ISG へ応答を送信し、次にこの応答を適切なアクセス ポイントへ中継します。
ISG は RADIUS プロキシとして機能する場合、加入者の認証および認可のときに生じる RADIUS フローからユーザ固有のデータを検出し、認証が成功すると、対応する IP セッションを透過的に作成できます。この機能は、よりネットワーク エッジに近いデバイスによって認証された加入者に対する ISG に関して、自動ログイン機能を提供します。
RADIUS プロキシとして設定されている場合は、RFC 2865、RFC 2866、および RFC 2869 に記載されているように、ISG は、クライアント デバイスによって生成されたすべての RADIUS 要求、および対応する AAA サーバによって生成されたすべての RADIUS 応答をプロキシします。
ISG RADIUS プロキシ機能はクライアント デバイスのタイプには依存せず、Password Authentication Protocol(PAP; パスワード認証プロトコル)と Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)の両方、Access-Challenge パケット、および Extensible Authentication Protocol(EAP)メカニズムを使用した、標準認証(1 回のアクセスと要求/応答の交換)をサポートします。
認証の要求とアカウンティングの要求が別の RADIUS クライアント デバイスから開始された場合、ISG は相関ルールにより、すべての要求を該当するセッションに関連付けます。たとえば、集中型 PWLAN 展開では、認証要求は無線 LAN(WLAN)のアクセス ポイントから開始され、アカウンティング要求は Access Zone Router(AZR)で生成されます。Calling-Station-ID(アトリビュート 31)によって関連付けを十分に信頼できる場合、これらの異なる RADIUS フローをベースとなるセッションに関連付ける処理は自動的に行われます。
認証が成功すると、RADIUS の応答から収集した認可データが、対応する ISG セッションに適用されます。
ISG RADIUS プロキシ動作を使用して作成されたセッションは通常、Accounting-Stop パケットを受け取って終了します。
ISG RADIUS プロキシによるアカウンティング パケットの処理
デフォルトでは、ISG RADIUS プロキシは、受け取ったアカウンティング パケットに対してローカルに応答します。 accounting method-list コマンドを使用すると、RADIUS プロキシ クライアントのアカウンティング パケットを特定のサーバへフォワードするよう、ISG を設定できます。アカウンティング パケットのフォワーディングは、すべての RADIUS プロキシ クライアントに対してグローバルに設定することも、クライアントごとに設定することもできます。
RADIUS クライアントのサブネット定義
ISG が、すべて同じサブネット上に存在している複数のクライアント デバイスに対するプロキシとして機能している場合は、各デバイスに対する個々の IP アドレスではなく、1 つのサブネット定義を使用してクライアントを設定できます。このように設定することにより、1 つの設定をすべてのクライアント デバイスで共有できるようになります。
モバイル ワイヤレス環境のための ISG RADIUS プロキシのサポート
ISG RADIUS プロキシはモバイル ワイヤレス特有のプロセスを使用して、Gateway General Packet Radio Service(GPRS)Support Node(GGSN)環境に対するサポートを提供します。ここでは、ISG RADIUS プロキシ アトリビュートのサポートと処理について説明します。
アトリビュートの処理と RADIUS 要求との相関
認証要求とアカウンティング要求が別の RADIUS クライアント デバイスから発生している場合、ISG は相関ルールを使用して、すべての要求を該当するセッションに関連付けます。Calling-Station-ID(アトリビュート 31)によって関連付けを十分に信頼できる場合、これらの異なる RADIUS フローをベースとなるセッションに関連付ける処理は自動的に行われます。
モバイル ワイヤレス環境では、アトリビュートの処理および RADIUS 要求とセッションとの相関は、PWLAN 環境とは異なる実装になっています。たとえば、ある PWLAN 環境ではアトリビュート 31 が MAC アドレスとなり、GGSN 環境ではアトリビュート 31 が Mobile Station Integrated Services Digital Network(MSISDN)となります。これは普通の数字または英数字の文字列です。また、ある GGSN 環境では、アトリビュート 31 以外のアトリビュートを使用して RADIUS 要求の相関を行うこともできます。
ISG RADIUS プロキシは、RADIUS プロキシ クライアントでアトリビュート 31 に対して MAC または MSISDN のどちらの形式を使用するかを指定することによって、モバイル ワイヤレス環境をサポートしています。形式は、 calling-station-id format コマンドを使用して指定します。また、 session-identifier コマンドを使用して、RADIUS 要求の相関を実行するために他の(アトリビュート 31 以外の)アトリビュートを使用するよう、ISG RADIUS プロキシを設定できます。
3GPP アトリビュートのサポート
GGSN 環境における ISG RADIUS プロキシは、 表 13 に示す Third Generation Partnership Project(3GPP)アトリビュートを認識および解釈する必要があります。これらのアトリビュートは、アカウンティング要求の一部を形成します。
ISG RADIUS プロキシの利点
ISG RADIUS プロキシの使用には次の利点があります。
• EAP 加入者セッションに対して、ISG の完全な機能セットを適用できる。
• 既存の Network Access Server(NAS; ネットワーク アクセス サーバ)および AAA サーバの最小限の停止時間で、ISG デバイスを導入できる。
• すべてのアクセス ポイントではなく、ISG だけをクライアントとして設定すればよいため、RADIUS サーバのコンフィギュレーションが簡単になる。
RADIUS プロキシとしての ISG の設定方法
• 「ISG RADIUS プロキシ IP セッションの開始」 (必須)
• 「ISG RADIUS プロキシ グローバル パラメータの設定」 (必須)
• 「ISG RADIUS プロキシのクライアント固有パラメータの設定」 (任意)
• 「RADIUS プロキシ イベントの ISG ポリシーの定義」 (必須)
• 「ISG RADIUS プロキシ設定の確認」 (任意)
• 「ISG RADIUS プロキシ セッションのクリア」 (任意)
ISG RADIUS プロキシ IP セッションの開始
RADIUS クライアントから RADIUS プロキシ メッセージを受け取ったときに IP セッションを開始するよう ISG を設定するには、この作業を実行します。
手順の概要
4. ip subscriber { interface | l2-connected | routed }
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
ip subscriber { interface | l2-connected | routed } |
インターフェイス上で ISG IP 加入者のサポートをイネーブルにし、インターフェイス上で ISG に接続するために IP 加入者が使用するアクセス方法を指定し、加入者コンフィギュレーション モードを開始します。 |
|
|
|
||
|
|
ISG RADIUS プロキシ グローバル パラメータの設定
デフォルトですべての RADIUS プロキシ クライアントに適用される ISG RADIUS プロキシ パラメータを設定するには、この作業を実行します。クライアント固有のパラメータも設定し、このグローバル設定よりも優先することも可能です。クライアント固有の設定を指定するには、「ISG RADIUS プロキシのクライアント固有パラメータの設定」を参照してください。
手順の概要
5. session-identifier { attribute number | vsa vendor id type number }
6. calling-station-id format { mac-address | msisdn }
7. accounting method-list { method-list-name | default }
8. accounting port port-number
9. authentication port port-number
手順の詳細
ISG RADIUS プロキシのクライアント固有パラメータの設定
ISG RADIUS プロキシにクライアント固有のパラメータを設定するには、この作業を実行します。この設定は、指定したクライアントまたはサブネットのみに適用されます。クライアント固有の設定は、グローバルな ISG RADIUS プロキシの設定よりも優先されます。
手順の概要
5. client { name | ip-address } [ subnet-mask [ vrf vrf-id ]]
6. session-identifier { attribute number | vsa vendor id type number }
7. calling-station-id format { mac-address | msisdn }
8. accounting method-list { method-list-name | default }
9. accounting port port-number
10. authentication port port-number
手順の詳細
RADIUS プロキシ イベントの ISG ポリシーの定義
セッションの開始時に適用されるポリシーを設定し、ISG が指定したサーバに対して RADIUS パケットをプロキシできるようにするには、この作業を実行します。
手順の概要
4. aaa authorization radius-proxy { default | list-name } method1 [ method2 [ method3... ]]
5. policy-map type control policy-map-name
6. class type control { control-class-name | always } event session-start
手順の詳細
ISG RADIUS プロキシ設定の確認
ISG RADIUS プロキシ設定を確認するには、次の 1 つ以上のコマンドを使用します。コマンドは任意の順序で入力できます。
手順の概要
1. show radius-proxy client ip-address [ vrf vrf-name ]
2. show radius-proxy session { id id-number | ip ip-address }
3. show subscriber session [ identifier { authen-status { authenticated | unauthenticated } | authenticated-domain domain-name | authenticated-username username | dnis dnis | media type | nas-port identifier | protocol type | source-ip-address ip-address subnet-mask | timer timer-name | tunnel-name name | unauthenticated-domain domain-name | unauthenticated-username username } | uid session-identifier | username username ] [ detailed ]
手順の詳細
ISG RADIUS プロキシ セッションのクリア
手順の概要
2. clear radius-proxy client ip-address
3. clear radius-proxy session { id id-number | ip ip-address }
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
clear radius-proxy client ip-address |
指定されたクライアント デバイスに関連付けられているすべての ISG RADIUS プロキシ セッションをクリアします。 |
|
clear radius-proxy session { id id-number | ip ip-address } |
コマンドの出力内にあります。 |
ISG RADIUS プロキシの設定例
• 「ISG RADIUS プロキシおよびレイヤ 4 のリダイレクト:例」
ISG RADIUS プロキシの設定:例
次の例では、ISG が RADIUS プロキシとして機能し、RP と呼ばれるメソッド リストへ RADIUS パケットを送信するよう設定します。RADIUS パケットを受け取ったときに IP セッションを開始するよう、FastEthernet インターフェイス 0/0 が設定されます。
aaa new-model
!
aaa group server radius EAP
server 10.2.36.253 auth-port 1812 acct-port 1813
!
aaa accounting network FLOWACCT start-stop group EAP
!
aaa server radius proxy
session-identifier attribute 1
calling-station-id format msisdn
authentication port 1111
accounting port 2222
key radpro
message-authenticator ignore
! start-stop group EAP command above.
client 10.45.45.2
timer request 5
!
client 10.45.45.3
key aashica#@!$%&/
timer ip-address 120
!
!
! This control policy references the method list called "RP" that was configured using the aaa authorization radius-proxy command above.
class type control always event session-start
1 proxy aaa list RP
!
!
!
bba-group pppoe global
!
!
interface FastEthernet 2/1/0
ip address 10.45.45.1 255.255.255.0
ip subscriber routed
initiator radius-proxy
no ip route-cache cef
no ip route-cache
no cdp enable
service-policy type control PROXYRULE
!
!
radius-server host 10.2.36.253 auth-port 1812 acct-port 1813 key cisco
radius-server host 10.76.86.83 auth-port 1665 acct-port 1666 key rad123
radius-server vsa send accounting
radius-server vsa send authentication
ISG RADIUS プロキシおよびレイヤ 4 のリダイレクト:例
次に、ISG RADIUS プロキシおよびレイヤ 4 のリダイレクトの両方に対して設定されている ISG ポリシーの例を示します。
次に、 show subscriber session コマンドの対応するサンプル出力の例を示します。
その他の参考資料
ここでは、ISG RADIUS プロキシに関する関連資料について説明します。
関連資料
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
ISG RADIUS プロキシの機能情報
表 14 には、この機能のリリース履歴の一覧が表示されています。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 14 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック