RADIUS DTLS について
Remote Authentication Dial-In User Service(RADIUS)は、ネットワークへの管理アクセス権を取得しようとするユーザーに対して中央管理されたセキュリティ機能を提供する、クライアントまたはサーバー プロトコルです。RADIUS プロトコルは広く導入されている認証および認可プロトコルであり、完全な認証、認可、およびアカウンティング(AAA)ソリューションを実現します。
RADIUS DTLS のポート
RADIUS のポート(DTLS サーバー)は認証とアカウンティングに使用されます。デフォルトの DTLS サーバー ポートは 2083 です。
RADIUS DTLS ポート番号は dtls port port_number を使用して変更できます。詳細については、「RADIUS DTLS ポート番号の設定」を参照してください。
共有秘密
すでに特定のサーバーに対して DTLS を有効にしている場合は、共有秘密として radius/dtls を使用できます。
CTS 通信のための PAC の処理
CTS 通信のために ISE から PAC をダウンロードできます。PAC をダウンロードしたら、共有秘密の代わりに PAC キーを使用してすべての CTS 属性を暗号化する必要があります。
その後、ISE は PAC を使用してそれらの属性を復号化します。
セッション管理
RADIUS クライアントは、DTLS サーバーからの応答にのみ依存します。セッションが理想的なタイムアウトに最も適している場合は、セッションを閉じる必要があります。
応答が無効の場合は、セッションを削除する必要があります。
DTLS 経由で RADIUS パケットを送信する必要がある場合は、特定のサーバーで DTLS セッションを再確立する必要があります。
ロード バランシング
複数の DTLS サーバーとロード バランシング方式が設定されています。
要求を必要とする送信先の AAA サーバーを選択する必要があります。その後、特定のサーバーの DTLS コンテキストを使用し、RADIUS パケットを暗号化して送り返します。
接続タイムアウト
暗号化された RADIUS パケットを送信した後、再送信タイマーを開始する必要があります。再送信タイマーが期限切れになる前に応答がなかった場合は、パケットが再暗号化され再送信されます。
この試行回数は、dtls retries の設定に従って、またはデフォルト値まで継続できます。試行回数が制限を超えると、サーバーは使用不可となり、応答は AAA クライアントに戻されます。
(注) |
デフォルトの接続タイムアウトは 5 秒です。 |
接続の再試行回数
RADIUS DTLS は UDP ベースであるため、特定の再試行回数において特定のタイムアウト間隔後に接続を再試行する必要があります。
すべての再試行を終えると、DTLS 接続では次のことが実行されます。
-
失敗としてマークされます。
-
RADIUS 要求を処理するために次に使用可能なサーバーを検索します。
(注) |
デフォルトの接続再試行回数は 5 回です。 |
アイドル タイムアウト
アイドル タイマーが期限切れになり、最後のアイドル タイムアウト以降にトランザクションが存在しない場合、DTLS セッションは閉じたままになります。
DTLS セッションを確立した後、アイドル タイマーを開始できます。アイドル タイマーを 30 秒間にわたって開始し、RADIUS DTLS パケットの 1 つが送信されると、30 秒後にアイドル タイマーが期限切れになり、RADIUS DTLS トランザクションの数がチェックされます。
アイドル タイマーの値がゼロを超えると、アイドル タイマーはトランザクション カウンタをリセットし、タイマーを再開します。
(注) |
デフォルトのアイドル タイムアウトは 60 秒です。 |
サーバーおよびサーバー グループのフェールオーバーの処理
RADIUS サーバーは DTLS ありおよび DTLS なしで設定できます。DTLS 対応サーバーと非 DTLS サーバーを使用して AAA サーバー グループを作成することをお勧めします。ただし、AAA サーバー グループの設定時にはこのような制限は受けません。
DTLS サーバーを選択し、DTLS サーバーが接続を確立し、RADIUS 要求パケットが DTLS サーバーに送信されるとします。すべての RADIUS の再試行後も DTLS サーバーが応答しない場合は、同じサーバー グループ内で次に設定されているサーバーに引き継がれます。次のサーバが DTLS サーバの場合、RADIUS 要求パケットの処理は次のサーバで続行されます。次のサーバーが非 DTLS サーバーの場合、RADIUS 要求パケットの処理はそのサーバー グループでは行われません。その後、サーバー グループのフェールオーバーが発生し、次のサーバー グループが使用可能であれば、同じシーケンスが次のサーバー グループで続行されます。
(注) |
サーバー グループ内では、DTLS サーバーか非 DTLS サーバーのいずれかのみを使用する必要があります。 |