- IPv4 アドレスの設定
- アドレス解決プロトコル オプションの設定
- ARP 情報のモニタリングおよびメンテナンス
- DHCP 機能ロードマップ
- DHCP の概要
- Cisco IOS DHCP サーバ設定
- DHCP サーバ MIB
- DHCP サーバ オンデマンド アドレス プール マネージャの設定
- DHCP サーバ RADIUS プロキシ
- Cisco IOS DHCP リレー エージェント設定
- Cisco IOS DHCP クライアント設定
- DHCP Option 82 設定可能な回線 ID および リモート ID
- アカウンティングおよびセキュリティ対応の DHCP サービスの設定
- Edge-Session 管理用の DHCP 拡張機能の 設定
- ISSU および SSO:DHCP ハイ アベイラビリ ティ機能
- DNS の設定
- NHRP の設定
- ネットワーク アドレス変換設定機能のロード マップ
- IP アドレス節約のための NAT 設定
- NAT でのアプリケーション レベル ゲート ウェイの使用
- NAT のモニタリングおよびメンテナンス
- ファイアウォールおよび NAT 対応の Sun RPC ALG サポート
Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド リリース 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: DHCP サーバ RADIUS プロキシ
DHCP サーバ RADIUS プロキシ
DHCP サーバ RADIUS プロキシ機能は、RADIUS-based アドレス割り当てメカニズムです。この機能では、Dynamic Host Configuration Protocol(DHCP)サーバがリモート クライアントを許可し、RADIUS サーバからの応答に基づいてアドレスを割り当てます。
機能情報の検索
ご使用のソフトウェア リリースが、このモジュールで説明している機能の一部をサポートしていない場合があります。最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェア リリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「DHCP サーバ RADIUS プロキシの機能情報」を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、およびシスコのソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。 Cisco.com のアカウントは必要ありません。
目次
•
「参考資料」
• 「用語集」
DHCP サーバ RADIUS プロキシの前提条件
DHCP サーバ RADIUS プロキシ機能の設定前に、DHCPv4 以降のバージョンを実行している必要があります。リリースおよびプラットフォーム サポートの詳細については、「DHCP サーバ RADIUS プロキシの機能情報」 を参照してください。
DHCP サーバ RADIUS プロキシの制約事項
DHCP サーバ RADIUS プロキシについて
• 「DHCP サーバ RADIUS プロキシ アーキテクチャ」
• 「DHCP サーバ RADIUS プロキシ拡張機能アーキテクチャ」
• 「DHCP サーバ RADIUS プロキシに対する RADIUS プロファイル」
• 「DHCP サーバ RADIUS プロキシ拡張機能に対する RADIUS プロファイル」
DHCP サーバ RADIUS プロキシの概要
DHCP サーバ RADIUS プロキシ 機能は、DHCP リースの RADIUS-based 許可のアドレス割り当てメカニズムです。この機能は、DHCP Option 60 および 121 をサポートします。
RADIUS サーバを使用したクライアント許可のプロセスは次のとおりです。
1. DHCP サーバは、クライアント情報を RADIUS サーバに渡します。
2. RADIUS サーバは、すべての必要な情報を RADIUS アトリビュートとして DHCP サーバに返します。
3. DHCP サーバは、RADIUS アトリビュートを DHCP オプションに変換してこの情報を DHCP OFFER メッセージで RADIUS に返します。
4. DHCP バインディングは RADIUS サーバがクライアント セッションを許可した後で同期されます。
ローカル プールおよび許可プールがルータ上に設定されている場合、DHCP サーバは両方のプールから別々のクライアント インターフェイスにアドレスを割り当てられます。
DHCP サーバ RADIUS プロキシ拡張機能
DHCP サーバ RADIUS プロキシ拡張機能は、Cisco IOS Release 15.0(1)S で導入された DHCP サーバ RADIUS プロキシ機能の拡張です。この機能は、DHCP Option 60 および 121 をサポートします。
RADIUS サーバを使用したクライアント許可のプロセスは次のとおりです。
1. DHCP サーバは、クライアント情報を RADIUS サーバに渡します。
2. RADIUS サーバは、Classname 情報および他のオプション情報(Session-Timeout および Session-Duration)を RADIUS アトリビュートとして DHCP サーバに返します。
3. DHCP サーバは、指定されたクラスがあればそこから IP アドレスを割り当て、RADIUS サーバから受信した他のオプションのアトリビュートがあれば DHCP オプションに変換します。情報は DHCP クライアントに DHCP OFFER メッセージとして送信されます。
DHCP サーバ RADIUS プロキシ アーキテクチャ
DHCP および RADIUS プロキシ アーキテクチャのアドレス割り当ては、次のようなシーケンスで行われます。
1. クライアントは、レジデンシャル ゲートウェイからネットワークにアクセスして DHCP DISCOVER ブロードキャスト メッセージをリレー エージェントに送信します。DHCP DISCOVER メッセージには、クライアント IP アドレス、ホスト名、ベンダー クラス ID、およびクライアント ID が含まれます。
2. リレー エージェントは、次の情報を含む DHCP DISCOVER ユニキャスト メッセージをルータに送信します。
– 内側および外側 VLAN ID を含むリモート ID サブオプションを伴うリレー エージェント情報(Option 82)。
– DHCP DISCOVER パケット内のクライアント情報。
ルータは、DHCP パケットを受信するインターフェイスの IP ヘルパー アドレスから DHCP サーバのアドレスを決定します。
3. RADIUS は、DHCP オプションを RADIUS アトリビュートに変換するための Access-Request メッセージを受信します。
4. RADIUS は、Access-Accept メッセージで応答し、次のアトリビュートを DHCP サーバに配信します。
5. DHCP サーバは、RADIUS サーバ Access-Accept メッセージからの次の変換を含む OFFER ユニキャスト メッセージをクライアントに送信します。
– DHCP ヘッダーに挿入された Framed-IP-Address。
– DHCP Option 1(サブネット マスク)に挿入された Framed-IP-Netmask。
– DHCP Option 51(IP アドレス リース時間)に挿入された Session-Timeout。
– 標準の Cisco Framed-Route 形式から DHCP Option 121 または DHCP デフォルト ゲートウェイ オプション(ネットワークおよびネットマスクがデフォルト ルートに対して適切な場合)に変換された Framed-Route。
– リレー エージェント情報(Option 82)のコピー。DHCP クライアントがパケットを受信する前に、リレーは Option 82 を削除します。
– Session-Timeout に設定された T1 時間および Session-Duration に設定された T2 時間。
6. クライアントは、DHCPREQUEST ブロードキャスト メッセージで、提示された IP アドレスの正式な要求を DHCP サーバに戻します。
7. DHCP は、リース情報および DHCP オプションを含む DHCP ACK ユニキャスト メッセージをクライアントに返すことにより、IP アドレスがクライアントに割り当てられたことを確認します。
8. RADIUS サーバ アカウンティング要求が開始され、その後に Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サブシステムが使用する RADIUS サーバ アカウンティング応答が続きます。
RADIUS サーバ アトリビュートが Access-Accept メッセージ内にない場合、対応する DHCP オプションは DHCP クライアントに送信されません。特定の RADIUS サーバ アトリビュートを生成することに必要な情報を DHCP サーバが入手できない場合、DHCP サーバは RADIUS パケットに情報を含めません。含めないということは、アトリビュートを送信しない(情報がまったくない場合)、またはアトリビュートから情報を省略する(CLI-based 形式の文字列の場合)という形をとれます。
DHCP オプションが DHCP サーバに提供されているが無効な場合は、DHCP サーバは Access-Request 内の対応する RADIUS アトリビュートを送信しない、または無効な RADIUS サーバ アトリビュートを送信する可能性があります。
DHCP サーバ RADIUS プロキシ拡張機能アーキテクチャ
DHCP および RADIUS プロキシ拡張機能アーキテクチャのアドレス割り当ては、次のようなシーケンスで行われます。
1. クライアントは、レジデンシャル ゲートウェイからネットワークにアクセスして DHCP DISCOVER ブロードキャスト メッセージをリレー エージェントに送信します。DHCP DISCOVER メッセージには、クライアント IP アドレス、ホスト名、ベンダー クラス ID、およびクライアント ID が含まれます。
2. リレー エージェントは、次の情報を含む DHCP DISCOVER ユニキャスト メッセージをルータに送信します。
– 内側および外側 VLAN ID を含むリモート ID サブオプションを伴うリレー エージェント情報(Option 82)。
– DHCP DISCOVER パケット内のクライアント情報。
ルータは、DHCP パケットを受信するインターフェイスの IP ヘルパー アドレスから DHCP サーバのアドレスを決定します。
3. RADIUS サーバは、DHCP オプションを RADIUS アトリビュートに変換するための Access-Request メッセージを受信します。
4. RADIUS サーバは、Access-Accept メッセージで応答し、次のアトリビュートを DHCP サーバに配信します。
5. DHCP サーバは、指定された Classname の下に設定されたアドレスを識別してクライアントにアドレスを割り当てます。
6. DHCP サーバは、RADIUS サーバ Access-Accept メッセージからの次の変換を含む OFFER ユニキャスト メッセージをクライアントに送信します。
– DHCP Option 51(IP アドレス リース時間)に挿入された Session-Timeout。
– 標準の Cisco Framed-Route 形式から DHCP Option 121 または DHCP デフォルト ゲートウェイ オプションに変換された Framed-Route。
– リレー エージェント情報(Option 82)のコピー。DHCP クライアントがパケットを受信する前に、リレーは Option 82 を削除します。
– Session-Timeout に設定された T1 時間および Session-Duration に設定された T2 時間。
7. クライアントは、DHCP REQUEST ブロードキャスト メッセージで、提示された IP アドレスの正式な要求を DHCP サーバに戻します。
8. DHCP サーバは、リース情報および DHCP オプションを含む DHCP ACK ユニキャスト メッセージをクライアントに返すことにより、IP アドレスが割り当てられたことを確認します。
9. RADIUS サーバ アカウンティング要求が開始され、その後に AAA サブシステムが使用する RADIUS サーバ アカウンティング応答が続きます。
(注) • Classname アトリビュートが受信した Access-Accept メッセージ内にない場合、DHCP サーバはデフォルト Classname と仮定してデフォルト クラスから IP アドレスの割り当てを試みます。デフォルト クラスの IP アドレスが使用可能な場合のみ、IP アドレスはクライアントに割り当てられます。
• Framed-IP-Address、Framed-IP-Netmask、Session-Timeout、および Session-Duration アトリビュートが Access-Accept メッセージ内にある場合、Classname アトリビュートは無視されて DHCP サーバは Framed-IP-Address アトリビュート内の受信した IP アドレスをクライアントに割り当てます。
DHCP サーバと RADIUS 変換
表 1 に、DHCP DISCOVER メッセージ内の DHCP オプションから RADIUS サーバ Access-Request メッセージ内のアトリビュートへの変換を一覧で示します。
表 2 に、RADIUS サーバ Access-Accept メッセージ内のアトリビュートから DHCP OFFER メッセージ内の DHCP オプションへの変換を一覧で示します。
DHCP サーバ RADIUS プロキシに対する RADIUS プロファイル
DHCP サーバ RADIUS プロキシに対して RADIUS サーバ ユーザ プロファイルを設定する場合は、次の注意事項に従います。
• Session-Timeout アトリビュートには、秒単位の値が含まれる必要があります。このアトリビュートがない場合、DHCP OFFER はクライアントに送信されません。
• RADIUS ユーザ プロファイルには、次のアトリビュートが含まれる必要があります。
– Session-Duration:Session-Duration は、Cisco AV ペア session-duration = seconds です。seconds は、すべての更新を含むリース期間の最長時間です。Session-Duration の値は Session-Timeout アトリビュート値以上である必要があり、またゼロになれません。
• 追加の RADIUS サーバ アトリビュートも可能ですが必須ではありません。DHCP サーバは、追加のアトリビュートで理解できないものは無視します。RADIUS サーバ ユーザ プロファイルに空の必須のアトリビュートが含まれている場合、DHCP サーバは DHCP オプションを生成しません。
DHCP サーバ RADIUS プロキシ拡張機能に対する RADIUS プロファイル
Classname に対して DHCP サーバ RADIUS プロキシ拡張機能の RADIUS サーバ ユーザ プロファイルを設定する場合は、次の注意事項に従います。
• Session-Timeout アトリビュートがある場合は、秒単位の値が含まれる必要があります。
• RADIUS ユーザ プロファイルには、次のアトリビュートが含められます。
– Classname(このアトリビュートがない場合、デフォルト Classname が考慮されます)。
– Session-Duration:Session-Duration は、Cisco AV ペア session-duration = seconds です。「seconds」は、すべての更新を含むリース期間の最長時間です。Session-Duration の値は Session-Timeout アトリビュート値以上である必要があり、またゼロになれません。
• 追加の RADIUS サーバ アトリビュートも可能ですが必須ではありません。DHCP サーバは、追加のアトリビュートで理解できないものは無視します。
DHCP サーバ RADIUS プロキシの設定方法
• 「DHCP サーバ RADIUS プロキシに対する AAA-Related コマンド設定」(必須)
• 「RADIUS プロキシに対する DHCP サーバ許可の設定」(任意)
• 「DHCP サーバ プロキシ拡張機能の設定」(任意)
• 「DHCP サーバのモニタリングおよびメンテナンス」(任意)
DHCP サーバ RADIUS プロキシに対する AAA-Related コマンド設定
DHCP サーバ RADIUS プロキシ機能および DHCP サーバ RADIUS プロキシ拡張機能の設定に必要な AAA-related コマンドの設定には次の作業を実行します。
手順の概要
5. aaa group server radius group-name
6. server ip-address [ auth-port port-number ] [ acct-port port-number ]
8. aaa authorization network method-list-name group group-name
9. aaa accounting network method-list-name start-stop group group-name
10. interface type slot / subslot / port [ . subinterface ]
11. encapsulation dot1q vlan-id second-dot1q { any | vlan-id [ , vlan-id [ - vlan-id ]]}
15. radius-server host ip-address [ auth-port port-number ] [ acct-port port-number ]
手順の詳細
RADIUS プロキシに対する DHCP サーバ許可の設定
前提条件
手順の概要
5. accounting method-list-name
6. authorization method method-list-name
7. authorization shared-password password
手順の詳細
DHCP サーバ プロキシ拡張機能の設定
前提条件
手順の概要
5. accounting server-group-name
6. authorization method method-list-name
7. authorization shared-password password
8. authorization username usernam e
11. network network-number [ mask [ secondary ] | / prefix-length [ secondary ]]
手順の詳細
DHCP サーバのモニタリングおよびメンテナンス
DHCP サーバ情報の確認およびモニタをするには、次の作業を実行します。ルータが特権 EXEC モードになったら、コマンドを任意の順序で入力できます。
手順の概要
2. debug ip dhcp server packet
3. debug ip dhcp server events
4. show ip dhcp binding [address]
手順の詳細
DHCP サーバ RADIUS プロキシの設定例
• 「例:RADIUS プロキシに対する DHCP サーバ設定」
• 「例:RADIUS プロキシに対する RADIUS プロファイルの設定」
• 「例:RADIUS プロキシ拡張機能に対する DHCP サーバ設定」
• 「例:RADIUS プロキシ拡張機能に対する RADIUS プロファイルの設定」
例:RADIUS プロキシに対する DHCP サーバ設定
次に、DHCP リースの RADIUS-based 許可のために DHCP サーバを設定する方法の例を示します。この例では、DHCP クライアントはイーサネット インターフェイス 4/0/1 およびイーサネット サブインターフェイス 4/0/3.10 に接続できます。username 文字列(%c-user1)は、RADIUS サーバが user1 という名前の DHCP クライアントのイーサネット アドレスを DHCP サーバに送信することを指定します。
ip dhcp database tftp://172.16.1.1/router-dhcp write-delay 100 timeout 5
例:RADIUS プロキシに対する RADIUS プロファイルの設定
次に、DHCP サーバに送信する Access-Accept メッセージ内のアトリビュートに一般的な RADIUS ユーザ プロファイルを設定する方法の例を示します。
例:RADIUS プロキシ拡張機能に対する DHCP サーバ設定
次に、classname の RADIUS-based 許可のために DHCP サーバを設定する方法の例を示します。この例では、DHCP クライアントはイーサネット インターフェイス 4/0/1 およびイーサネット サブインターフェイス 4/0/3.10 に接続できます。username 文字列(%c-user1)は、RADIUS サーバが user1 という名前の DHCP クライアントのイーサネット アドレスを DHCP サーバに送信することを指定します。
例:RADIUS プロキシ拡張機能に対する RADIUS プロファイルの設定
次に、DHCP サーバに送信する Access-Accept メッセージ内のアトリビュートに一般的な RADIUS ユーザ プロファイルを設定する方法の例を示します。
参考資料
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
新しい MIB または変更された MIB はサポートされていません。また、既存の MIB に対するサポートに変更はありません。 |
選択したプラットフォーム、シスコのソフトウェア リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
シスコのテクニカル サポート
DHCP サーバ RADIUS プロキシの機能情報
表 3 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。
プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートするソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。
(注) 表 3 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
|
|
|
|
|---|---|---|
DHCP サーバ RADIUS プロキシ機能により、サーバはリモート クライアント許可およびサーバからの応答に基づくアドレス割り当てが可能になります。 • • この機能により次のコマンドが変更されました。 authorization method (DHCP)、 authorization shared-password 、 authorization username (DHCP)。 |
||
DHCP RADIUS プロキシ拡張機能では、クライアントに割り当てるためのクラス名または IP アドレスのいずれかを受け入れるように DHCP サーバを設定するオプションを提供します。 • 次のコマンドが導入または変更されました。 accounting (DHCP)、 address range 、 authorization method (DHCP)、 authorization shared-password 、 authorization username (DHCP)、 class (DHCP)、 network (DHCP)。 |
用語集
DHCP :Dynamic Host Configuration Protocol。
giaddr :ゲートウェイ IP アドレス。DHCP メッセージの giaddr フィールドは、クライアントが属する IP アドレス サブネットの情報を DHCP サーバに提供します。また、応答メッセージの送信先の IP アドレスも DHCP サーバに提供します。
MPLS :Multiprotocol Label Switching(マルチプロトコル ラベル スイッチング)。
VPN :Virtual Private Network(バーチャル プライベート ネットワーク)。トンネリングを使用してパブリック TCP/IP ネットワーク経由で IP トラフィックをセキュアに転送できるようにします。
VRF :VPN Routing and Forwarding(VPN ルーティングおよび転送)インスタンス。VRF は、IP ルーティング テーブル、取得された転送テーブル、その転送テーブルを使用する一連のインターフェイス、転送テーブルに登録されるものを決定する一連のルールおよびルーティング プロトコルで構成されています。一般に、VRF には、PE ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。PE ルータでインスタンス化された各 VPN は独自の VRF を持ちます。
クライアント :DHCP プロトコルまたは BOOTP プロトコルを使用して、インターフェイスの設定(IP アドレスの取得)を試行しているホスト。
リレー エージェント :異なるサブネット上のサーバとクライアント間で DHCP メッセージおよび BOOTP メッセージを転送するルータ。
フィードバック