RADIUS NAS-IP-Address
アトリビュート
設定可能性
RADIUS NAS-IP-Address アトリビュート設定可能性機能を使用すれば、RADIUS パケットの IP ヘッ ダー内の発信元 IP アドレスを変更せずに、任意の IP アドレスを設定して RADIUS アトリビュート 4 (NAS-IP-Address)として使用できます。この機能は、サービス プロバイダーが、スケーラビリティ
を向上させるために、小規模な Network Access Server(NAS; ネットワーク アクセス サーバ)のクラ スタを使用して大規模な NAS をシミュレートしている場合にも使用できます。この機能を使用すれ ば、NAS を RADIUS サーバから見て、単一の RADIUS クライアントとして機能させることができま す。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされてい るとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および 各機能がサポートされているリリースのリストについては、「RADIUS NAS-IP-Address アトリビュート 設定可能性の機能情報」(P.8) を参照してください。プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する 情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、
http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必 要ありません。
この章の構成
• 「RADIUS NAS-IP-Address アトリビュート設定可能性の前提条件」(P.2) • 「RADIUS NAS-IP-Address アトリビュート設定可能性の制約事項」(P.2) • 「RADIUS NAS-IP-Address アトリビュート設定可能性に関する情報」(P.2) • 「RADIUS NAS-IP-Address アトリビュート設定可能性の設定方法」(P.3) • 「RADIUS NAS-IP-Address アトリビュート設定可能性の設定例」(P.5) • 「その他の参考資料」(P.6)RADIUS NAS-IP-Address アトリビュート設定可能性 RADIUS NAS-IP-Address アトリビュート設定可能性の前提条件 • 「RADIUS NAS-IP-Address アトリビュート設定可能性の機能情報」(P.8)
RADIUS NAS-IP-Address
アトリビュート設定可能性の前
提条件
この機能を設定する前に、次の要件を満たす必要があります。• IP セキュリティ(IPSec)の使用経験と、RADIUS サーバと Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)の両方の設定経験が必要です。 • RADIUS サーバと AAA リストを設定する必要があります。
RADIUS NAS-IP-Address
アトリビュート設定可能性の制
約事項
スケーラビリティを向上させるために、RADIUS クライアントのクラスタを単一の RADIUS クライア ントのシミュレーションに使用している場合に、次の制約事項が適用されます。制約事項に対する解決 策または次善策についても説明します。• RADIUS アトリビュート 44(Acct-Session-Id)は、複数の NAS からのセッション間で重複する 可能性があります。
2 つの解決策があります。NAS ルータ上で radius-server attribute 44 extend-with-addr コマンド と radius-server unique-ident コマンドのどちらかを使用して、NAS ルータごとに異なる先頭の 番号を指定できます。
• RADIUS サーバベースの IP アドレス プールを NAS ごとに管理する必要があります。
この解決策は、RADIUS サーバ上で NAS ごとに異なる IP アドレス プール プロファイルを設定す ることです。NAS ごとに異なるプール ユーザ名を使用してそれらを取得します。
• セッション内の RADIUS 要求メッセージは NAS ごとに識別される必要があります。
この解決策の 1 つは、NAS 上で radius-server attribute 32 include-in-access-req コマンドを使用 して、NAS ごとに異なる RADIUS アトリビュート 32(NAS-Identifier)用の形式文字列を設定す ることです。
RADIUS NAS-IP-Address
アトリビュート設定可能性に関
する情報
図 1 に示すように、小規模な NAS RADIUS クライアントを使用して大規模な NAS RADIUS クライア
ントをシミュレートする場合は、Network Address Translation(NAT; ネットワーク アドレス変換)デ バイスまたは Port Address Translation(PAT; ポート アドレス変換)デバイスがネットワークに挿入さ れます。このデバイスは、NAS のクライアントと、RADIUS サーバに接続された IP クラウドの間に 配置されます。複数の NAS からの RADIUS トラフィックが NAT または PAT デバイスを通過するとき に、RADIUS パケットの発信元 IP アドレスが単一の IP アドレスに変換されます。ほとんどの場合、 この IP アドレスは、NAT または PAT デバイスのループバック インターフェイス上の IP アドレスで す。NAS ごとに異なる User Datagram Protocol(UDP; ユーザ データグラム プロトコル)発信元プー
RADIUS NAS-IP-Address アトリビュート設定可能性
RADIUS NAS-IP-Address アトリビュート設定可能性の設定方法
ルが RADIUS パケットに割り当てられます。サーバから RADIUS 応答が返されると、NAT または PAT デバイスがそれを受信して、宛先 UDP ポートを使用して宛先 IP アドレスを NAS の IP アドレス に変換し、対応する NAS に転送します。
図 1 は、複数の NAS の発信元 IP アドレスが、IP クラウドへの途中で NAT または PAT デバイスを通
過するときに、どのように単一の IP アドレスに変換されるかを示しています。
図 1 単一の IP アドレスに変換される NAS アドレス
通常は、RADIUS サーバが RADIUS パケットの IP ヘッダー内の発信元 IP アドレスをチェックして、 RADIUS 要求の発信元を追跡し、セキュリティを確保します。NAT または PAT による解決策は、 RADIUS パケットが複数の NAS ルータから送られてきても単一の発信元 IP アドレスが使用されるた め、これらの要件を満たします。
ただし、RADIUS データベースからアカウンティング レコードを取得するときに、課金システムに よっては、アカウンティング レコード内で RADIUS アトリビュート 4(NAS-IP-Address)が使用され る場合があります。このアトリビュートの値は、独自の IP アドレスとして NAS ルータ上に記録されま す。NAS ルータは、RADIUS サーバとの間で動作している NAT または PAT を認識しません。そのた め、NAS ルータごとに異なる RADIUS アトリビュート 4 アドレスがユーザのアカウンティング レ コードに記録されます。最終的に、これらのアドレスは、複数の NAS ルータを RADIUS サーバと対 応する課金システムに公開することになります。
RADIUS NAS-IP-Address
アトリビュート設定可能性機能の使用方法
RADIUS NAS-IP-Address アトリビュート設定可能性機能を使用すれば、任意の IP アドレスを RADIUS NAS-IP-Address(RADIUS アトリビュート 4)として設定できます。すべてのルータに対し て同じ IP アドレス(ほとんどの場合、NAT または PAT デバイスのループバック インターフェイス上 の IP アドレス)を手動で設定することによって、NAS ルータのクラスタを NAT または PAT デバイス の後ろに隠して、RADIUS から見えないようにすることができます。RADIUS NAS-IP-Address
アトリビュート設定可能性の設
定方法
ここでは、次の各手順について説明します。 • 「RADIUS NAS-IP-Address アトリビュート設定可能性の設定」(P.4) • 「RADIUS NAS-IP-Address アトリビュート設定可能性のモニタリングとメンテナンス」(P.4) 95923 IP RADIUS ࠨࡃ NAT/PAT NAS NAS NASRADIUS NAS-IP-Address アトリビュート設定可能性 RADIUS NAS-IP-Address アトリビュート設定可能性の設定方法
RADIUS NAS-IP-Address
アトリビュート設定可能性の設定
RADIUS NAS-IP-Address アトリビュート設定可能性機能を設定する前に、RADIUS サーバまたは サーバ グループと AAA 方式リストを設定しておく必要があります。
RADIUS NAS-IP-Address アトリビュート設定可能性機能を設定するには、次の手順を実行します。 手順の概要
1. enable
2. configure terminal
3. radius-server attribute 4 ip-address 手順の詳細
RADIUS NAS-IP-Address
アトリビュート設定可能性のモニタリングと
メンテナンス
RADIUS パケット内で使用されている RADIUS アトリビュート 4 アドレスをモニタするには、debug
radius コマンドを使用します。 手順の概要 1. enable 2. debug radius コマンドまたはアクション 目的 ステップ 1 enable 例: Router> enable 特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力し ます。 ステップ 2 configure terminal 例:
Router# configure terminal
グローバル コンフィギュレーション モードを開始しま す。
ステップ 3 radius-server attribute 4 ip-address 例:
Router (config)# radius-server attribute 4 10.2.1.1
RADIUS NAS-IP-Address(アトリビュート 4)とし て使用する IP アドレスを設定します。
RADIUS NAS-IP-Address アトリビュート設定可能性
RADIUS NAS-IP-Address アトリビュート設定可能性の設定例
手順の詳細
例
次のサンプル出力は、debug radius コマンドの出力です。
Router# debug radius
RADIUS/ENCODE(0000001C): acct_session_id: 29 RADIUS(0000001C): sending
RADIUS(0000001C): Send Access-Request to 10.0.0.10:1645 id 21645/17, len 81 RADIUS: authenticator D0 27 34 C0 F0 C4 1C 1B - 3C 47 08 A2 7E E1 63 2F RADIUS: Framed-Protocol [7] 6 PPP [1] RADIUS: User-Name [1] 18 "[email protected]"
RADIUS: CHAP-Password [3] 19 *
RADIUS: NAS-Port-Type [61] 6 Virtual [5] RADIUS: Service-Type [6] 6 Framed [2] RADIUS: NAS-IP-Address [4] 6 10.0.0.21
UDP: sent src=10.1.1.1(21645), dst=10.0.0.10(1645), length=109 UDP: rcvd src=10.0.0.10(1645), dst=10.1.1.1(21645), length=40
RADIUS: Received from id 21645/17 10.0.0.10:1645, Access-Accept, len 32 RADIUS: authenticator C6 99 EC 1A 47 0A 5F F2 - B8 30 4A 4C FF 4B 1D F0 RADIUS: Service-Type [6] 6 Framed [2] RADIUS: Framed-Protocol [7] 6 PPP [1] RADIUS(0000001C): Received from id 21645/17
RADIUS NAS-IP-Address
アトリビュート設定可能性の設
定例
ここでは、次の設定例について説明します。 • 「RADIUS NAS-IP-Address アトリビュート設定可能性の設定:例」(P.5)RADIUS NAS-IP-Address
アトリビュート設定可能性の設定:例
次の例は、IP アドレス 10.0.0.21 が RADIUS NAS-IP-Address アトリビュートとして設定されているこ とを示しています。 radius-server attribute 4 10.0.0.21radius-server host 10.0.0.10 auth-port 1645 acct-port 1646 key cisco
コマンドまたはアクション 目的 ステップ 1 enable 例: Router> enable 特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力し ます。 ステップ 2 debug radius 例:
Router# debug radius
RADIUS NAS-IP-Address アトリビュート設定可能性 その他の参考資料
その他の参考資料
次の項で、RADIUS NAS-IP-Address アトリビュート設定可能性に関する参考資料を紹介します。関連資料
規格
MIB
内容 参照先AAA の設定 『Cisco IOS Security Configuration Guide: Securing User Services』
の「Authentication, Authorization, and Accounting (AAA)」の項
RADIUS の設定 「Configuring RADIUS」モジュール
RADIUS コマンド 『Cisco IOS Security Command Reference』
規格 タイトル この機能によってサポートされる新しい規格や変更さ れた規格はありません。 — MIB MIB リンク この機能によってサポートされる新しい MIB または 変更された MIB はありません。 選択したプラットフォーム、Cisco IOS リリース、および機能セッ トの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。
RADIUS NAS-IP-Address アトリビュート設定可能性 その他の参考資料
RFC
シスコのテクニカル
サポート
RFC タイトル この機能によってサポートされる新しい RFC や変更 された RFC はありません。 — 説明 リンク 右の URL にアクセスして、シスコのテクニカル サ ポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立 ちます。 ・テクニカル サポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製 品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals(NetPro)コミュニティ で、技術関連のディスカッションに参加する ・トレーニング リソースへアクセスする・TAC Case Collection ツールを使用して、ハードウェ アや設定、パフォーマンスに関する一般的な問題をイ ンタラクティブに特定および解決する この Web サイト上のツールにアクセスする際は、 Cisco.com のログイン ID およびパスワードが必要で す。 http://www.cisco.com/techsupport
RADIUS NAS-IP-Address アトリビュート設定可能性 RADIUS NAS-IP-Address アトリビュート設定可能性の機能情報
RADIUS NAS-IP-Address
アトリビュート設定可能性の機
能情報
表 1 に、この機能のリリース履歴を示します。 ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあり ます。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照し てください。Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情 報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セッ ト、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフ トウェア イメージを確認できます。Cisco Feature Navigator には、
http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必 要ありません。
(注) 表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS
ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。 表 1 RADIUS NAS-IP-Address アトリビュート設定可能性の機能情報 機能名 リリース 機能情報 RADIUS NAS-IP-Address アトリビュート設定 可能性 12.3(3)B 12.3(7)T 12.2(28)SB 12.2(33)SRC この機能を使用すれば、RADIUS パケットの IP ヘッダー 内の発信元 IP アドレスを変更せずに、任意の IP アドレス を設定して RADIUS アトリビュート 4(NAS-IP-Address) として使用できます。
この機能は、Cisco IOS Release 12.3(3)B で導入されまし た。
この機能は、Cisco IOS Release 12.3(7)T に統合されまし た。
この機能は、Cisco IOS Release 12.2(28)SB に統合されま した。
この機能は、Cisco IOS Release 12.2(33)SRC に統合され ました。
radius-server attribute 4 コマンドがこの機能で導入され ました。
RADIUS NAS-IP-Address アトリビュート設定可能性
RADIUS NAS-IP-Address アトリビュート設定可能性の機能情報
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル
内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際の
アドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2003-2004, 2006–2009 Cisco Systems, Inc. All rights reserved.
Copyright © 2003–2011, シスコシステムズ合同会社. All rights reserved.
RADIUS NAS-IP-Address アトリビュート設定可能性 RADIUS NAS-IP-Address アトリビュート設定可能性の機能情報
