43
44
45

1. RADIUSって何？
2. RADIUS德赢ac米兰官方合作伙伴のしくみ
3. RADIUSアカウンティングのしくみ
4. FITELnet-F100 の着信のしくみ
5. FITELnet-F100特有の情報
6. FITELnet-F100の德赢ac米兰官方合作伙伴
7. 德赢ac米兰官方合作伙伴例

1.RADIUSって何？

RADIUSは、Remote Authentication Dial In User Serviceの略で、ダイヤルアップユーザの認証を行う德赢ac米兰官方合作伙伴ビスの名称です。
NAS（Network Access Server）が着信した際に、その相手が着信を許可してよい相手かを、外部の德赢ac米兰官方合作伙伴（RADIUS德赢ac米兰官方合作伙伴）を利用して行う機能が、RADIUS機能です。

RADIUSは、德赢ac米兰官方合作伙伴−クライアントモデルで動作し、NAS側をRADIUSクライアント、許可するかどうかを判断する側をRADIUS德赢ac米兰官方合作伙伴となります。

RADIUSを使用することにより、NASが複数存在するような環境でも、ユーザ情報の制御をRADIUS德赢ac米兰官方合作伙伴１箇所変更することで適用することができます。

また、RADIUSアカウンティング機能では、ユーザごとに送受信オクテット数や、接続時間などを記録する（アカウンティング）ことができます。

RADIUSは、今日では、ダイヤルアップユーザの認証を行うだけでなく、いろいろな認証の德赢ac米兰官方合作伙伴ビスとして利用されています。
FITELnetシリーズでは、FITELnet-Rシリーズや、FITELnet-Gシリーズで、ログイン德赢ac米兰官方合作伙伴をRADIUSで行う機能をサポートしています。
また、FITELnet-F3000では、ログイン德赢ac米兰官方合作伙伴に加え、IPsecの拡張德赢ac米兰官方合作伙伴やIPsec通信のアカウンティングを、RADIUSで行う機能もサポートしています。

ISDNのダイヤルアップ德赢ac米兰官方合作伙伴は、FITELnet-E30でもサポートしています。

29

RADIUSは、德赢ac米兰官方合作伙伴−クライアントモデルで動作し、NAS側がRADIUSクライアント、認証する側が德赢ac米兰官方合作伙伴となります。
23

RADIUSクライアントは、認証が必要なイベント（ISDNの着信や、ログインなど）が発生した場合に、RADIUS德赢ac米兰官方合作伙伴に対して、『ユーザ名』『パスワード』の情報と、RADIUSクライアントを示す情報（IPアドレスもしくはあらかじめ決められたID)を通知します。RADIUS德赢ac米兰官方合作伙伴は、この通知に対して、RADIUS德赢ac米兰官方合作伙伴内に設定されたユーザ情報データベースを参照し、認証成功もしくは認証失敗を、RADIUSクライアントに通知します。
16

28radius-server host20

27

RADIUSクライアントは、認証が必要なイベントが発生した場合に、RADIUS德赢ac米兰官方合作伙伴の指定したUDPポート（デフォルトは1812番）宛に、Access-Requestメッセージを送信します。このAccess-Requestメッセージには、『ユーザ名』として"User-Name"アトリビュートが、『パスワード』として"User-Password"もしくは"CHAP-Password"アトリビュートが含まれています。また、RADIUSクライアントを示す情報として、『IPアドレス情報』（"NAS-IP-Address"アトリビュート）もしくは、『あらかじめ決められたID』（"NAS-Identifier"アトリビュート）を含みます。
※　FITELnet-F100は、NAS-Identifierアトリビュートをサポートしていません。

『パスワード』情報として"User-Password"アトリビュートを使用するか"CHAP-Password"を使用するかは、ISDN回線の德赢ac米兰官方合作伙伴プロトコルにより異なります。ISDN回線の德赢ac米兰官方合作伙伴プロトコルにCHAPを利用する場合は"CHAP-Password"アトリビュート／PAPを利用する場合は"User-Password"を使用します。

Access-Requestメッセージを受信したRADIUS德赢ac米兰官方合作伙伴は、自身に設定されたユーザ情報データベースから、『ユーザ名』『パスワード』に一致するレコードが存在すれば、RADIUSクライアントに対してAccess-Acceptを送信します。一致するレコードがない場合は、Access-Rejectを送信します。Access-Acceptを受信した場合は接続許可、Access-Rejectを受信した場合は接続拒否となります。

3.RADIUSアカウンティングのしくみ

RADIUSアカウンティングも、パケットフォーマットなどの基本的な機構は、RADIUSと同等です。
RADIUSアカウンティングの目的は、NASが接続しているユーザの状態を、德赢ac米兰官方合作伙伴側で管理することにあります。

RADIUSアカウンティングクライアントは、アカウンティングのイベント（ISDNの着信や、ログインなど）が発生した場合、RADIUSアカウンティング德赢ac米兰官方合作伙伴の指定したUDPポート（デフォルトは1813番）宛に、Accounting-Requestメッセージを送信します。このAccounting-Requestメッセージには、値が"Start(1)"である"Acct-Status-Type"アトリビュートにが含まれています。
Accounting-Requestメッセージを受信したRADIUSアカウンティング德赢ac米兰官方合作伙伴は、RADIUSアカウンティングクライアントに対して、アカウンティングが可能であれば、Accounting-Responseを送信します。

その後、ISDNの切断やログアウトといった、アカウンティング終了のイベントが発生した場合に、再度RADIUSアカウンティング德赢ac米兰官方合作伙伴に対してAccounting-Requestメッセージを送信します。このときの、Accounting-Requestメッセージには、値が"Stop(2)"である"Acct-Status-Type"アトリビュートが含まれています。また、このときのAccounting-Requestには、送受信した総オクテット数などの情報がアトリビュート情報として通知されます。

4.FITELnet-F100 の着信のしくみ

FITELnet-F100では、ISDNの接続に、Dialerという概念を利用します。
ISDNの接続には、必ず１つDialerを使用して通信を行います。FITELnet-F100では、最大20のDialerをサポートしています。

德赢ac米兰官方合作伙伴の設定は、各Dialerごとに、どの電話番号と接続する／どのユーザ名の相手と接続するかを設定できます。RADIUSを使用する場合も同様で、『どのDialerをRADIUS德赢ac米兰官方合作伙伴で使用するか』を設定（ppp authorization interfaceコマンド）します。ここで、RADIUSを使用するDialerは、着信の優先度が最低になりますので注意してください。FITELnet-F100の着信は、装置に德赢ac米兰官方合作伙伴された内容をまず確認し、接続できるDialerがなかった場合にRADIUSに問い合わせるという動作になります。

ISDNを着信した際、FITELnet-F100は、内部のテーブル（Dialer）を参照し、発信者番号通知で通知された番号からの接続を許可するかどうかを検索します。
内部のテーブルを検索しても許可するDialerが存在しない場合、RADIUS德赢ac米兰官方合作伙伴への認証を行う設定になって（radius-server dialcheck mapping-to-usernameコマンドの指定がある）いれば、RADIUS德赢ac米兰官方合作伙伴に対して認証を依頼するためのAccess-Requestを送信します。ここで、Access-Acceptを受信すれば、PPPのPhaseに移行します。Access-Rejectを受信できなかった場合は、ISDNを切断します。複数のRADIUS德赢ac米兰官方合作伙伴が登録されていた場合でも、Access-Rejectを受信した場合は、次のRADIUS德赢ac米兰官方合作伙伴に問い合わせは行わずにISDNを切断します。

発信者番号による德赢ac米兰官方合作伙伴が確定した場合は、どのDialerで德赢ac米兰官方合作伙伴を行うかが決定されます。PPPの德赢ac米兰官方合作伙伴は、そのDialerの情報にしたがって行うことになります。

5.FITELnet-F100特有の情報

FITELnet-F100の、RADIUS に関する特有の機能を、以下に示します。

登録できる德赢ac米兰官方合作伙伴数

德赢ac米兰官方合作伙伴は、独立して登録することはできません。
德赢ac米兰官方合作伙伴として、3エントリ登録（radius-server hostコマンド）することができます。4エントリ以上登録した場合は、"elog"に"too many RADIUS host entries"と出力されます。この場合、先に設定された3エントリが有効となり、4エントリ目以降に登録されてた德赢ac米兰官方合作伙伴が無効になります。

複数のエントリがあった場合の優先順位は、
　１　最も送受信エラーの少ない德赢ac米兰官方合作伙伴
　２　先に設定された德赢ac米兰官方合作伙伴
となります。ネットワークに存在しない、あるいは、設定したRADIUS德赢ac米兰官方合作伙伴への経路がないといった理由で送受信エラーする德赢ac米兰官方合作伙伴は、優先度が低くなります。

再送とタイムアウト

德赢ac米兰官方合作伙伴への再送およびタイムアウトは、設定により変更することができます。（radius-server retransmitコマンド／radius-server timeoutコマンド）
Access-Requestや、Accounting-Requestを送信後、タイムアウト時間が経過してもResponseを受信しなかった場合は、再送回数でしてされた回数再送を行います。再送をおこなってもResponseを受信しなかった場合、複数の德赢ac米兰官方合作伙伴エントリがあれば、次のサーバへのRequestを試みます。
全ての德赢ac米兰官方合作伙伴からのResponseを受信できなかった場合、ISDNの切断を行います。

発信者番号通知による德赢ac米兰官方合作伙伴

Dialerが、德赢ac米兰官方合作伙伴かどうかは、dialer mapコマンド（装置に設定された内容で德赢ac米兰官方合作伙伴）／radius-server dialcheck mapping-to-usernameコマンド（RADIUSで德赢ac米兰官方合作伙伴）で設定します。
德赢ac米兰官方合作伙伴場合は、番号が通知されてこない着信は、そのDialerを使用できません。

6.FITELnet-F100の德赢ac米兰官方合作伙伴

FITELnet-F100で、RADIUSを利用するための德赢ac米兰官方合作伙伴について説明します。コマンドの詳細は、コマンドリファレンスを参照してください。

RADIUSで使用するDialerの登録（必須）

どのDialerをRADIUS德赢ac米兰官方合作伙伴で使用するかを設定します。Dialer番号に関わらず、RADIUS德赢ac米兰官方合作伙伴を使用するDialerは、着信の優先度が最低になります。
また、RADIUSで使用するDialerに指定されたDialerでは、德赢ac米兰官方合作伙伴プロトコルの設定・割り当てるIPアドレスの設定などが無効になり、すべてRADIUSの設定が有効になります。

德赢ac米兰官方合作伙伴の登録（必須）

德赢ac米兰官方合作伙伴を登録します。德赢ac米兰官方合作伙伴は、最大3エントリ登録できます。
設定した德赢ac米兰官方合作伙伴への経路を確立しておく必要があります。

発信者番号認証をRADIUS德赢ac米兰官方合作伙伴で行う場合の、パスワードの設定

発信者番号認証をRADIUSで行う場合のパスワードを指定します。RADIUS德赢ac米兰官方合作伙伴側は、『User-Name：相手の電話番号、User-Password：ここで指定したパスワード』のユーザ情報データベースを登録しておく必要があります。

タイムアウトの德赢ac米兰官方合作伙伴

德赢ac米兰官方合作伙伴からの応答待ち時間（単位：秒）を設定します。ここで指定した時間Responseを受信しなかった場合は、Requestを再送します。

再送回数の德赢ac米兰官方合作伙伴

德赢ac米兰官方合作伙伴への最大再送回数を設定します。ここで指定した回数再送を行っても、Responseを受信しなかった場合は、次の德赢ac米兰官方合作伙伴にRequest先を変更します。

德赢ac米兰官方合作伙伴プロトコルの指定

PPP德赢ac米兰官方合作伙伴を行う場合の、德赢ac米兰官方合作伙伴プロトコル（CHAP or PAP）を指定します。

7.德赢ac米兰官方合作伙伴例