Identity-Based Networking Services コンフィギュレーション ガイド Cisco IOS XE Release 3SE(Catalyst 3650 スイッチ)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月23日
章のタイトル: 認可変更のサポート
目次
- 認可変更のサポート
- 機能情報の確認
- CoA のサポートに関する情報
- RADIUS 認可変更のサポート
- セッションの識別
- CoA サービスのアクティブ化コマンド
- CoA サービスの非アクティブ化コマンド
- CoA ホスト ポートのバウンス コマンド
- CoA ホスト ポートのディセーブル化コマンド
- CoA セッション クエリー コマンド
- CoA セッションの再認証コマンド
- CoA セッションの終了コマンド
- その他の関連資料
- CoA サポートの機能情報
Identity-Based Networking Services は、セッションのクエリー、再認証、および終了、ポート バウンスとポートのシャットダウン、およびサービス テンプレートのアクティブ化と非アクティブ化のための RADIUS Change of Authorization(CoA)コマンドをサポートします。 このモジュールでは、Identity-Based Networking Services 用にサポートされる CoA コマンドに関する情報を提供します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
RADIUS 認可変更のサポート
Cisco IOS ソフトウェアは、RFC 5176 で定義されている RADIUS CoA の拡張をサポートします。この拡張は、一般に、外部 AAA またはポリシー サーバからのセッションのダイナミックな再構成を可能にするプッシュ モデルで使用されます。 セッションの特定、セッションの終了、ホストの再認証、ポートのシャットダウン、およびポート バウンスでは、セッションごとの CoA 要求がサポートされます。 このモデルは、次のように、1 つの要求(CoA-Request)と 2 つの考えられる応答コードで構成されます。
要求は CoA クライアント(通常は AAA またはポリシー サーバ)から開始されて、リスナーとして動作するデバイスに転送されます。
次の表は、Identity-Based Networking Services でサポートされている RADIUS CoA コマンドとベンダー固有属性(VSA)を示します。 すべての CoA コマンドには、デバイスと CoA クライアント間のセッション ID が含まれている必要があります。
| CoA コマンド |
シスコの VSA |
|---|---|
| サービスのアクティブ化 |
Cisco:Avpair=“subscriber:command=activate-service” Cisco:Avpair=“subscriber:service-name=<service-name>” Cisco:Avpair=“subscriber:precedence=<precedence-number>” Cisco:Avpair=“subscriber:activation-mode=replace-all” |
| サービスの非アクティブ化 |
Cisco:Avpair=“subscriber:command=deactivate-service” Cisco:Avpair=“subscriber:service-name=<service-name>” |
| Bounce host port |
Cisco:Avpair=“subscriber:command=bounce-host-port” |
| Disable host port |
Cisco:Avpair=“subscriber:command=disable-host-port” |
| セッション クエリー |
Cisco:Avpair=“subscriber:command=session-query” |
| セッションの再認証 |
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=last” または Cisco:Avpair=“subscriber:reauthenticate-type=rerun” |
| セッションの終了 |
これは、VSA を必要としない、標準の接続解除要求です。 |
セッションの識別
特定のセッションに対する接続解除および CoA 要求の場合、デバイスは次の 1 つまたは複数の属性に基づいてセッションを検出します。
-
Acct-Session-Id(IETF 属性 #44)
-
Audit-Session-Id VSA(シスコの VSA)
-
Calling-Station-Id(ホスト MAC アドレスを含む IETF 属性 #31)
-
次のいずれかの IPv6 属性。 -
プレーン IP アドレス(IETF 属性 #8)
メッセージに複数のセッション ID 属性が含まれる場合は、すべての属性がセッションと一致する必要があります。一致しない場合、デバイスは、エラー コードが「Invalid Attribute Value」の Disconnect-NAK または CoA-NAK を返します。
特定の適用ポリシーを対象とする CoA 要求の場合、上記のセッション ID 属性のいずれかがメッセージに含まれていると、デバイスはエラー コードが「Invalid Attribute Value」のCoA-NAK を返します。
CoA サービスのアクティブ化コマンド
CoA サービスのアクティブ化コマンドを使用して、セッションでサービス テンプレートをアクティブ化することができます。 AAA サーバは次の VSA を使用して、標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=activate-service”
Cisco:Avpair=“subscriber:service-name=<service-name>”
Cisco:Avpair=“subscriber:precedence=<precedence-number>”
Cisco:Avpair=“subscriber:activation-mode=replace-all”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 デバイスがセッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、ホスティング ポートに対するテンプレートのアクティブ化の操作を開始し、CoA-ACK が返されます。 テンプレートのアクティブ化が失敗すると、エラーコード属性が適切なメッセージに設定された CoA-NAK メッセージが返されます。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA サービスの非アクティブ化コマンド
CoA サービスの非アクティブ化コマンドを使用して、セッションでサービス テンプレートを非アクティブ化することができます。 AAA サーバは次の VSA を使用して、標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=deactivate-service”
Cisco:Avpair=“subscriber:service-name=<service-name>”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 デバイスがセッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、ホスティング ポートに対するテンプレートの非アクティブ化操作を開始し、CoA-ACK が返されます。 テンプレートの非アクティブ化が失敗すると、エラー コード属性が該当するメッセージに設定された CoA-NAK メッセージが返されます。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA ホスト ポートのバウンス コマンド
CoA ホスト ポートのバウンス コマンドはセッションを終了し、ポート をバウンスします(リンク ダウン イベントに続いてリンク アップ イベントを開始します)。 AAA サーバは、次の VSA を含む標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=bounce-host-port”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 セッションが見つからない場合、デバイスは「Session Context Not Found」エラー コード属性を使用して CoA-NAK メッセージを返します。 セッションが見つかった場合、デバイスはホスティング ポートを 10 秒間ディセーブルにし、再びイネーブルにして(ポート バウンス)、CoA-ACK を返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA ポートのバウンス コマンドは、エンドポイントが承認の変更後に新しい IP アドレスを取得する必要があり、これが DHCP プロセスを再開するようエンドポイントに示す唯一の手段である場合の最後の手段として役立ちます。 この状況は、VLAN が変更されており、この認証ポートに関する変化を検出するメカニズムがないデバイス(プリンタなど)がエンドポイントの場合に発生する可能性があります。 このコマンドによって、認証ポートでリンク フラップが発生する場合があり、これにより、このポートに接続されている 1 つ以上のホストから DHCP 再ネゴシエーションがトリガされます。
CoA ホスト ポートのディセーブル化コマンド
CoA ホスト ポートのディセーブル化コマンドは、セッションをホスティングしている認証ポートを管理上の理由でシャット ダウンします。これにより、セッションは終了します。 AAA サーバは、次の VSA を含む標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=disable-host-port”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 セッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、ホスティング ポートを無効にし、CoA-ACK メッセージを返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA セッション クエリー コマンド
CoA セッション クエリー コマンドは、加入者セッションに関するサービス情報を要求します。 AAA サーバは次の VSA を含む標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=session-query”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 デバイスがセッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、セッションに対してセッション クエリー操作を実行し、CoA-ACK メッセージを返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA セッションの再認証コマンド
セッションの認証を開始するために、AAA サーバは次の VSA を含む標準の CoA 要求メッセージを送信します。
Cisco:Avpair=“subscriber:command=reauthenticate”
Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
「reauthenticate-type」は、CoA 再認証要求が、該当のセッションで最後に成功した認証方式を使用するか、認証プロセス全体を再実行するかどうかを指定します。
次のルールが適用されます。
-
「subscriber:command=reauthenticate」は、再認証をトリガーするために必要です。
-
「subscriber:reauthenticate-type」が指定されていない場合、デフォルトの動作は該当のセッションで最後に成功した認証方式の再実行です。 この方式での再認証が成功すると、すべての古い承認データが、再認証された承認データで置き換えられます。
-
「subscriber:reauthenticate-type」が有効なのは、「subscriber:command=reauthenticate」とともに使用されている場合のみです。別の CoA コマンドに含まれている場合、この VSA は暗黙的に無視されます。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA セッションの終了コマンド
CoA 接続解除要求コマンドは、ホスト ポートをディセーブルにせずにセッションを終了します。 このコマンドによって、指定したホストのオーセンティケータ ステート マシンが再初期化されますが、ホストのネットワークへのアクセスは制限されません。 セッションが見つからない場合、デバイスは「Session Context Not Found」エラー コード属性を使用して Disconnect-NAK メッセージを返します。 セッションが見つかった場合、デバイスはセッションを終了します。 セッションが完全に削除されると、デバイスは Disconnect-ACK を返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。
ホストのネットワークへのアクセスを制限するには、Cisco:Avpair=“subscriber:command=disable-host-port” VSA を含む CoA 要求を使用します。 このコマンドは、ホストがネットワーク上で問題を起こしていることを把握し、ホストのネットワーク アクセスを即座にブロックする必要がある場合に便利です。 ポートのネットワーク アクセスを復元する場合は、非 RADIUS メカニズムを使用して再びイネーブルにします。
その他の関連資料
関連資料
| 関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| Identity-Based Networking Services コマンド |
『Cisco IOS Identity-Based Networking Services Command Reference』 |
| アドレス解決プロトコル(ARP)コマンド |
|
| ARP 設定作業 |
『IP Addressing - ARP Configuration Guide』 |
| 認証、許可、およびアカウンティング(AAA)の設定作業 |
『Authentication Authorization and Accounting Configuration Guide』 |
| AAA コマンド |
『Cisco IOS Security Command Reference』 |
標準および RFC
| 標準/RFC |
Title |
|---|---|
| RFC 5176 |
『Dynamic Authorization Extensions to RADIUS』 |
テクニカル サポート
| 説明 |
Link |
|---|---|
| 右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。 これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。 この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
CoA サポートの機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
|---|---|---|
| 『Change of Authorization』 |
Cisco IOS XE Release 3.2SE |
次を開始する CoA 要求がサポートされています。 これらの VSA は、AAA サーバからの標準 CoA 要求メッセージで送信されます。 |
目次
Identity-Based Networking Services は、セッションのクエリー、再認証、および終了、ポート バウンスとポートのシャットダウン、およびサービス テンプレートのアクティブ化と非アクティブ化のための RADIUS Change of Authorization(CoA)コマンドをサポートします。 このモジュールでは、Identity-Based Networking Services 用にサポートされる CoA コマンドに関する情報を提供します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、Bug Search Tool およびご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を確認し、各機能がサポートされているリリースのリストを確認するには、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
RADIUS 認可変更のサポート
Cisco IOS ソフトウェアは、RFC 5176 で定義されている RADIUS CoA の拡張をサポートします。この拡張は、一般に、外部 AAA またはポリシー サーバからのセッションのダイナミックな再構成を可能にするプッシュ モデルで使用されます。 セッションの特定、セッションの終了、ホストの再認証、ポートのシャットダウン、およびポート バウンスでは、セッションごとの CoA 要求がサポートされます。 このモデルは、次のように、1 つの要求(CoA-Request)と 2 つの考えられる応答コードで構成されます。
要求は CoA クライアント(通常は AAA またはポリシー サーバ)から開始されて、リスナーとして動作するデバイスに転送されます。
次の表は、Identity-Based Networking Services でサポートされている RADIUS CoA コマンドとベンダー固有属性(VSA)を示します。 すべての CoA コマンドには、デバイスと CoA クライアント間のセッション ID が含まれている必要があります。
| CoA コマンド |
シスコの VSA |
|---|---|
| サービスのアクティブ化 |
Cisco:Avpair=“subscriber:command=activate-service” Cisco:Avpair=“subscriber:service-name=<service-name>” Cisco:Avpair=“subscriber:precedence=<precedence-number>” Cisco:Avpair=“subscriber:activation-mode=replace-all” |
| サービスの非アクティブ化 |
Cisco:Avpair=“subscriber:command=deactivate-service” Cisco:Avpair=“subscriber:service-name=<service-name>” |
| Bounce host port |
Cisco:Avpair=“subscriber:command=bounce-host-port” |
| Disable host port |
Cisco:Avpair=“subscriber:command=disable-host-port” |
| セッション クエリー |
Cisco:Avpair=“subscriber:command=session-query” |
| セッションの再認証 |
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=last” または Cisco:Avpair=“subscriber:reauthenticate-type=rerun” |
| セッションの終了 |
これは、VSA を必要としない、標準の接続解除要求です。 |
セッションの識別
特定のセッションに対する接続解除および CoA 要求の場合、デバイスは次の 1 つまたは複数の属性に基づいてセッションを検出します。
-
Acct-Session-Id(IETF 属性 #44)
-
Audit-Session-Id VSA(シスコの VSA)
-
Calling-Station-Id(ホスト MAC アドレスを含む IETF 属性 #31)
-
プレーン IP アドレス(IETF 属性 #8)
メッセージに複数のセッション ID 属性が含まれる場合は、すべての属性がセッションと一致する必要があります。一致しない場合、デバイスは、エラー コードが「Invalid Attribute Value」の Disconnect-NAK または CoA-NAK を返します。
特定の適用ポリシーを対象とする CoA 要求の場合、上記のセッション ID 属性のいずれかがメッセージに含まれていると、デバイスはエラー コードが「Invalid Attribute Value」のCoA-NAK を返します。
CoA サービスのアクティブ化コマンド
CoA サービスのアクティブ化コマンドを使用して、セッションでサービス テンプレートをアクティブ化することができます。 AAA サーバは次の VSA を使用して、標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=activate-service”
Cisco:Avpair=“subscriber:service-name=<service-name>”
Cisco:Avpair=“subscriber:precedence=<precedence-number>”
Cisco:Avpair=“subscriber:activation-mode=replace-all”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 デバイスがセッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、ホスティング ポートに対するテンプレートのアクティブ化の操作を開始し、CoA-ACK が返されます。 テンプレートのアクティブ化が失敗すると、エラーコード属性が適切なメッセージに設定された CoA-NAK メッセージが返されます。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA サービスの非アクティブ化コマンド
CoA サービスの非アクティブ化コマンドを使用して、セッションでサービス テンプレートを非アクティブ化することができます。 AAA サーバは次の VSA を使用して、標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=deactivate-service”
Cisco:Avpair=“subscriber:service-name=<service-name>”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 デバイスがセッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、ホスティング ポートに対するテンプレートの非アクティブ化操作を開始し、CoA-ACK が返されます。 テンプレートの非アクティブ化が失敗すると、エラー コード属性が該当するメッセージに設定された CoA-NAK メッセージが返されます。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA ホスト ポートのバウンス コマンド
CoA ホスト ポートのバウンス コマンドはセッションを終了し、ポート をバウンスします(リンク ダウン イベントに続いてリンク アップ イベントを開始します)。 AAA サーバは、次の VSA を含む標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=bounce-host-port”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 セッションが見つからない場合、デバイスは「Session Context Not Found」エラー コード属性を使用して CoA-NAK メッセージを返します。 セッションが見つかった場合、デバイスはホスティング ポートを 10 秒間ディセーブルにし、再びイネーブルにして(ポート バウンス)、CoA-ACK を返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA ポートのバウンス コマンドは、エンドポイントが承認の変更後に新しい IP アドレスを取得する必要があり、これが DHCP プロセスを再開するようエンドポイントに示す唯一の手段である場合の最後の手段として役立ちます。 この状況は、VLAN が変更されており、この認証ポートに関する変化を検出するメカニズムがないデバイス(プリンタなど)がエンドポイントの場合に発生する可能性があります。 このコマンドによって、認証ポートでリンク フラップが発生する場合があり、これにより、このポートに接続されている 1 つ以上のホストから DHCP 再ネゴシエーションがトリガされます。
CoA ホスト ポートのディセーブル化コマンド
CoA ホスト ポートのディセーブル化コマンドは、セッションをホスティングしている認証ポートを管理上の理由でシャット ダウンします。これにより、セッションは終了します。 AAA サーバは、次の VSA を含む標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=disable-host-port”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 セッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、ホスティング ポートを無効にし、CoA-ACK メッセージを返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA セッション クエリー コマンド
CoA セッション クエリー コマンドは、加入者セッションに関するサービス情報を要求します。 AAA サーバは次の VSA を含む標準の CoA 要求メッセージで要求を送信します。
Cisco:Avpair=“subscriber:command=session-query”
このコマンドはセッション指向であるため、「セッションの識別」セクションに示されている 1 つ以上のセッション ID 属性とともに使用する必要があります。 デバイスがセッションを検出できない場合、デバイスは「Session Context Not Found」エラー コード属性を含む CoA-NAK メッセージを返します。 デバイスは、セッションを検出すると、セッションに対してセッション クエリー操作を実行し、CoA-ACK メッセージを返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA セッションの再認証コマンド
セッションの認証を開始するために、AAA サーバは次の VSA を含む標準の CoA 要求メッセージを送信します。
Cisco:Avpair=“subscriber:command=reauthenticate”
Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
「reauthenticate-type」は、CoA 再認証要求が、該当のセッションで最後に成功した認証方式を使用するか、認証プロセス全体を再実行するかどうかを指定します。
次のルールが適用されます。
-
「subscriber:command=reauthenticate」は、再認証をトリガーするために必要です。
-
「subscriber:reauthenticate-type」が指定されていない場合、デフォルトの動作は該当のセッションで最後に成功した認証方式の再実行です。 この方式での再認証が成功すると、すべての古い承認データが、再認証された承認データで置き換えられます。
-
「subscriber:reauthenticate-type」が有効なのは、「subscriber:command=reauthenticate」とともに使用されている場合のみです。別の CoA コマンドに含まれている場合、この VSA は暗黙的に無視されます。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。 デバイスが CoA-ACK メッセージをクライアントに返した後でデバイスに障害が発生したが、操作が完了していない場合、その操作は新しいアクティブ デバイスで再開されます。
CoA セッションの終了コマンド
CoA 接続解除要求コマンドは、ホスト ポートをディセーブルにせずにセッションを終了します。 このコマンドによって、指定したホストのオーセンティケータ ステート マシンが再初期化されますが、ホストのネットワークへのアクセスは制限されません。 セッションが見つからない場合、デバイスは「Session Context Not Found」エラー コード属性を使用して Disconnect-NAK メッセージを返します。 セッションが見つかった場合、デバイスはセッションを終了します。 セッションが完全に削除されると、デバイスは Disconnect-ACK を返します。
デバイスが CoA-ACK をクライアントに返す前にデバイスに障害が発生した場合、クライアントから要求が再送信されると、新しいアクティブ デバイス上でそのプロセスが繰り返されます。
ホストのネットワークへのアクセスを制限するには、Cisco:Avpair=“subscriber:command=disable-host-port” VSA を含む CoA 要求を使用します。 このコマンドは、ホストがネットワーク上で問題を起こしていることを把握し、ホストのネットワーク アクセスを即座にブロックする必要がある場合に便利です。 ポートのネットワーク アクセスを復元する場合は、非 RADIUS メカニズムを使用して再びイネーブルにします。
その他の関連資料
関連資料
| 関連項目 |
マニュアル タイトル |
|---|---|
| Cisco IOS コマンド |
|
| Identity-Based Networking Services コマンド |
『Cisco IOS Identity-Based Networking Services Command Reference』 |
| アドレス解決プロトコル(ARP)コマンド |
|
| ARP 設定作業 |
『IP Addressing - ARP Configuration Guide』 |
| 認証、許可、およびアカウンティング(AAA)の設定作業 |
『Authentication Authorization and Accounting Configuration Guide』 |
| AAA コマンド |
『Cisco IOS Security Command Reference』 |
CoA サポートの機能情報
次の表に、このモジュールで説明した機能に関するリリース情報を示します。 この表は、特定のソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースのみを示しています。 その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。 Cisco.com のアカウントは必要ありません。
フィードバック