-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
-
-
-
-
-
-
-
-
-
-
-
パーシステンスを使用してRADIUS負荷分散を構成する
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
パーシステンスを使用してRADIUS負荷分散を構成する
今日の複雑なネットワーク環境では、大容量の負荷分散構成と堅牢な認証と承認の調整が必要になることがよくあります。アプリケーションユーザーは、コンシューマグレードの DSL またはケーブル接続、WiFi、さらにはダイヤルアップノードなどのモバイルアクセスポイントを介して VPN に接続できます。これらの接続は、通常、接続中に変更される可能性がある動的 IP を使用します。
NetScalerアプライアンスでRADIUS認証サーバーへの永続的なクライアント接続をサポートするようにRADIUS負荷分散を構成すると、アプライアンスはクライアントIPの代わりにユーザーログオンまたは指定されたRADIUS属性をセッションIDとして使用し、そのユーザーセッションに関連するすべての接続とレコードを同じRADIUSサーバーに転送します。そのため、ユーザーは、クライアント IP または WiFi アクセスポイントが変更されても接続が切断されることなく、モバイルアクセスロケーションから VPN にログオンできます。
永続性を持つ RADIUS ロードバランシングを設定するには、まず VPN の RADIUS 認証を設定する必要があります。詳細および手順については、AAA アプリケーショントラフィックの「認証、認可、監査(AAA)」の章を参照してください。また、設定のベースとしてロードバランシング機能またはコンテンツスイッチング機能を選択し、選択した機能が有効になっていることを確認します。どちらの機能でも設定プロセスはほぼ同じです。
次に、2 つのロードバランシングまたは 2 つのコンテンツスイッチング仮想サーバーを構成します。1 台は RADIUS 認証トラフィックを処理し、もう 1 台は RADIUS アカウンティングトラフィックを処理します。次に、負荷分散仮想サーバーごとに1つずつ、合計2つのサービスを構成し、各負荷分散仮想サーバーをそのサービスにバインドします。最後に、負荷分散永続性グループを作成し、永続性タイプを RULE に設定します。
負荷分散またはコンテンツスイッチング機能の有効化
負荷分散機能またはコンテンツスイッチング機能を使用するには、まずその機能が有効になっていることを確認する必要があります。以前に構成されていない新しいCitrix ADCアプライアンスを構成する場合は、これらの機能の両方がすでに有効になっているため、次のセクションに進んでください。Citrix ADCアプライアンスを以前の構成で構成していて、使用する機能が有効になっていることを確認できない場合は、今すぐ実行する必要があります。
- ロードバランシング機能を有効にする手順については、 ロードバランシングの有効化を参照してください。
- コンテンツスイッチング機能を有効にする手順については、「 コンテンツスイッチングの有効化」を参照してください。
仮想サーバの構成
ロードバランシングまたはコンテンツスイッチング機能を有効にしたら、次に RADIUS 認証をサポートする 2 つの仮想サーバーを構成する必要があります。
- RADIUS 認証仮想サーバ。この仮想サーバとその関連サービスは、RADIUS サーバへの認証トラフィックを処理します。認証トラフィックは、保護されたアプリケーションまたは仮想プライベートネットワーク(VPN)にログオンするユーザーに関連付けられた接続で構成されます。
- RADIUS アカウンティング仮想サーバ。この仮想サーバとその関連サービスは、RADIUS サーバへのアカウンティング接続を処理します。アカウンティングトラフィックは、保護されたアプリケーションまたは VPN での認証済みユーザーのアクティビティを追跡する接続で構成されます。
重要:RADIUSパーシスタンス構成で使用するには、負荷分散仮想サーバーのペアまたはコンテンツスイッチング仮想サーバーのペアを作成する必要があります。仮想サーバーの種類を混在させることはできません。
コマンドラインインターフェイスを使用して負荷分散仮想サーバーを構成するには
コマンドプロンプトで次のコマンドを入力して、負荷分散仮想サーバーを作成し、構成を確認します。
add lb vserver <name> RADIUS <IP address> <port> -lbmethod TOKEN -rule <rule>
show lb vserver <name>
<!--NeedCopy-->
既存の負荷分散仮想サーバーを構成するには、前述のadd lb virtual server
コマンドを同じ引数を取るset lb vserver
コマンドに置き換えます。
コマンドラインインターフェイスを使用してコンテンツスイッチ仮想サーバーを構成するには
コマンドプロンプトで次のコマンドを入力して、コンテンツスイッチング仮想サーバーを作成し、構成を確認します。
add cs vserver <name> RADIUS <IP address> <port> -lbmethod TOKEN -rule <rule>
show cs vserver <name>
<!--NeedCopy-->
既存のコンテンツスイッチング仮想サーバを設定するには、前述のadd cs vserver
コマンドを同じ引数を取るset cs vserver
コマンドに置き換えます。
例:
add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
set lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
set lb vserver radius_auth_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
<!--NeedCopy-->
構成ユーティリティを使用して負荷分散またはコンテンツスイッチング仮想サーバーを構成するには
[ トラフィック管理] > [負荷分散] > [仮想サーバー ] に移動するか、[ トラフィック管理] > [コンテンツスイッチング] > [仮想サーバー] に移動し、仮想サーバーを設定します。
サービスの構成
仮想サーバーを構成したら、次に、作成した仮想サーバーごとに 1 つずつ、合計 2 つのサービスを構成する必要があります。
注:これらのサービスは、いったん構成されると、Citrix ADCアプライアンスがRADIUSサーバーの認証およびアカウンティングIPに接続してステータスを監視できるまで、DISABLED状態になります。手順については、「 サービスの設定」を参照してください。
サービスへの仮想サーバーのバインド
サービスを構成したら、作成した各仮想サーバーを適切なサービスにバインドする必要があります。手順については、 仮想サーバーへのサービスのバインドを参照してください。
Radius の持続性グループの設定
負荷分散仮想サーバーを対応するサービスにバインドしたら、永続性をサポートするように RADIUS 負荷分散構成を設定する必要があります。そのためには、RADIUS 負荷分散仮想サーバーとサービスを含む負荷分散永続性グループを設定し、その負荷分散永続性グループがルールベースの永続性を使用するように構成します。認証とアカウンティングの仮想サーバが異なるため、永続性グループが必要です。また、1 人のユーザの認証とアカウンティングメッセージの両方が同じ RADIUS サーバに到達する必要があるためです。永続性グループを使用すると、両方の仮想サーバーで同じセッションを使用できます。手順については、 永続性グループの構成を参照してください。
RADIUS 共有シークレットの設定
リリース12.0以降、NetScalerアプライアンスはRADIUS共有シークレットをサポートしています。RADIUS クライアントとサーバは、クライアントとサーバ上で構成された共有シークレットを使用して相互に通信します。RADIUS クライアントとサーバ間のトランザクションは、共有シークレットを使用して認証されます。このシークレットは、RADIUS パケット内の情報の一部を暗号化するためにも使用されます。
RADIUS 共有秘密鍵検証シナリオ
RADIUS 共有秘密キーの検証は 、次のシナリオで行われます。
- RADIUS共有秘密鍵は、RADIUSクライアントとRADIUSサーバーの両方に設定されます 。NetScalerアプライアンスは、クライアント側とサーバー側の両方でRADIUS秘密鍵を使用します。検証が成功すると、アプライアンスは RADIUS メッセージの送信を許可します。それ以外の場合は、RADIUS メッセージはドロップされます。
- RADIUS共有秘密鍵がRADIUSクライアントとRADIUSサーバーのどちらにも構成されていません。RADKYが設定されていないノードでは共有秘密鍵の検証を実行できないため 、NetScalerアプライアンスはRADIUSメッセージをドロップします。
- RADIUS共有秘密鍵はRADIUSクライアントとRADIUSサーバーの両方に設定されていません。NetScalerアプライアンスはRADIUS秘密鍵の検証をバイパスし 、RADIUSメッセージを通過させます。
デフォルトの RADIUS 共有シークレットを設定することも、クライアント単位またはサブネット単位で設定することもできます。RADIUS ポリシーが設定されたすべての導入環境に RADIUS 共有秘密鍵を追加することを推奨します。アプライアンスは、RADIUS パケットの送信元 IP アドレスを使用して、使用する共有シークレットを決定します。RADIUS クライアントとサーバ、および対応する共有シークレットを次のように構成できます。
CLI プロンプトで、次のように入力します。
add radiusNode <clientPrefix/Subnet> -radKey <Shared_secret_key>
<!--NeedCopy-->
引数
IPaddress
CIDR 形式の RADIUS クライアントの IP アドレスまたはサブネット。アプライアンスは、着信要求パケットの送信元 IP アドレスを使用してクライアント IP アドレスと一致させます。クライアント IP アドレスを設定する代わりに、クライアントネットワークアドレスを設定できます。一番長いプレフィックスと照合して、受信したクライアントリクエストの共有シークレットを識別します。
Radkey
クライアント、NetScalerアプライアンス、およびサーバー間の共有シークレット。最大長:31。
add lb vserver radius_auth_vs1 RADIUS 192.168.46.33 1812 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
add lb vserver radius_acct_vs1 RADIUS 192.168.46.34 1813 -lbmethod TOKEN -rule CLIENT.UDP.RADIUS.USERNAME
add service radius_auth_service1 192.168.41.68 RADIUS 1812
add service radius_acct_service1 192.168.41.70 RADIUS 1813
bind lb vserver radius_auth_vs1 radius_auth_service1
bind lb vserver radius_acct_vs1 radius_acct_service[1-3]
add radiusNode 192.168.41.0/24 -radKey serverkey123
add radiusNode 203.0.113.0/24 -radkey clientkey123
<!--NeedCopy-->
共有シークレットは、RADIUS クライアントとサーバの両方に設定する必要があります。コマンドは同じです。サブネットは、共有シークレットがクライアント用かサーバー用かを決定します。
たとえば、指定したサブネットがクライアントサブネットの場合、共有シークレットはクライアント用です。指定されたサブネットがサーバー・サブネット(前の例では 192.168.41.0/24)である場合、共有秘密はサーバー用です。
0.0.0.0/0 のサブネットは、すべてのクライアントとサーバーのデフォルトの共有シークレットであることを意味します。
注:
RADIUS 共有シークレットでは、PAP と CHAP の認証方法のみがサポートされます。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.