購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
4073
閲覧回数
10
いいね!
0
コメント

ASAのAAA server group内server選択方法に関して

hiryokoy
Cisco Employee
Cisco Employee

‎2014-10-24 11:10 AM

ASAのaaa-server commandで設定されたserverの選択方法に関して説明します。
以下の設定を例とします。

    aaa-server GROUP-A protocol radius
    aaa-server GROUP-A (inside) host 192.168.100.1
           key cisco123
    aaa-server GROUP-A (inside) host 192.168.100.2
           key cisco123   
    aaa-server GROUP-A (inside) host 192.168.100.3
           key cisco123   

上記設定は例えばtunnel-groupのgeneral-attibutes内で使用するauthentication-server-group commandで

    authentication-server-group GROUP-A

のように設定され、このgroup内に実際は3台のradius serverが登録されていることを意味します。
aaa-server commandにはreactivation-modeという概念があり、timed/depletionの2つから選択できます。defaultはdepletionであり、上記設定は実際は

    aaa-server GROUP-A protocol radius
       reactivation-mode depletion deadtime 10
    aaa-server GROUP-A (inside) host 192.168.100.1

という設定になっております。

各サーバの状況はshow aaa-server commandで以下のように確認できます。

ciscoasa# show aaa-server
Server Group:    LOCAL
Server Protocol: Local database
Server Address:  None
Server port:     None
Server status:   ACTIVE, Last transaction at 19:40:55 JST Fri Oct 17 2014
Number of pending requests              0
Average round trip time                 0ms
Number of authentication requests       3
Number of authorization requests        0
(snip)
Server Group:    GROUP-A
Server Protocol: radius
Server Address:  192.168.100.1
Server port:     1645(authentication), 1646(accounting)
Server status:   ACTIVE, Last transaction at 12:06:01 JST Fri Oct 17 2014
Number of pending requests              0
Average round trip time                 222ms
Number of authentication requests       9
Number of authorization requests        0
(snip)
Server Group:    GROUP-A
Server Protocol: radius
Server Address:  192.168.100.2
Server port:     1645(authentication), 1646(accounting)
Server status:   ACTIVE, Last transaction at unknown
Number of pending requests              0
Average round trip time                 0ms
Number of authentication requests       0
Number of authorization requests        0
Number of accounting requests           0
(snip)

 

 

上記の各serverのServer Status欄がACTIVE, FAILEDのように変わります。

depletionでは一度Failed判定されたserverはgroup内の全てのserverがFAILED判定されるまではACTIVEに戻りません。従って192.168.100.1のRADIUS serverが例えば再起動等でFailed判定された場合、その後server自体は復旧したとしても全てのserverがASAでFAILED判定されるまではASAから見てACTIVEにならずRADIUS serverとしては使用されません。

Server自体は復旧したはずなのにFAILEDのままで使用されないといった場合はこちらにご注意下さい。depletionはreactivation-modeのdefault設定であり、show running-configでは表示されませんがshow running-config allでは確認できます。
   
timedではFAILED判定されたserverはserver自体が復旧したかどうかに関わらず30秒後にACTIVEに戻ります。
   
   http://www.cisco.com/en/US/docs/security/asa/command-reference/qr1.html#wp1834955

に詳細がありますのでご確認下さい。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents