Cisco Mobile Wireless Home Agent 機能ガイド Cisco IOS Release 12.4(15)XM Cisco Mobile Wireless Home Agent 4.0

その他のホットライニング機能

HA では、HA CHAP 中にホットライニング ポリシーがダウンロードされた場合にかぎり、ホットライニング ポリシーが適用されます。ユーザからリバース トンネルが要求されていない場合に、このユーザに対してホットライニング ポリシーがダウンロードされると、HA は RRQ を拒否します。

（注） この機能に対しては、MIB サポートは予定されていません。

Home Agent Release 2.0 以上では、Nortel X31-20031013-0xx（2003 年 10 月）に基づき、モバイル ノードに対するホットライニングがサポートされます。ホットライニング機能を使用すると、アクティブ セッション、新規セッションの 2 つのシナリオにおいて、アップストリームのユーザ トラフィックをモニタできます。特定のユーザに対してホットライニングがアクティブになると、このモバイル端末からのアップストリーム IP パケットは、この特定のレルムに設定されたリダイレクト サーバにリダイレクトされます。リダイレクションは、IP パケットの宛先アドレスをリダイレクト サーバのアドレスに変更することで行われます。HAAA からの Change of Authorization（CoA）メッセージで唯一サポートされている必須属性は、HA 上の特定のユーザを識別するための User-Name 属性です。オプションとして、CoA メッセージに IP アドレスも含めて送信することで、特定ユーザに対する特定のバインディングを指定できます。

新規セッションのホットライニング

ここでは、新規セッションに対してホットライニングを適用する場合のプロセスを説明します。

ステップ 1 HAAA はホットライン アプリケーションから、ユーザのパケット データ サービスに対するホットラインの適用を示すシグナルを受信します。

ステップ 2 HAAA はこの情報を、自身のユーザ プロファイル ストアに記録します。ユーザがアクティブでない場合は、HAAA はユーザがパケット データ サービスを開始するまで待機し、サービスが開始されるとただちにホットラインを適用します。また、ホットライン アプリケーションがユーザのホットライン ステータスを通常に戻すこともあります。この場合、HAAA はユーザのプロファイルを更新し、その内容を保存します。

ステップ 3 ホットライン適用対象となるユーザがパケット データ セッションを開始すると、HAAA は HA のホットライン機能を示す RADIUS Access-Request を受信します。

ステップ 4 HAAA はローカル ポリシー、および受信した hotline capability パラメータを使用して、ホットライニング VSA を受信した HA を判断します。HAAA は RADIUS Access-Accept メッセージ内にホットライニング VSA を含めて送信することで、ホットライニング デバイスに対してユーザのホットライン ステータスを通知します。HAAA は、hot-line accounting indication VSA を RADIUS Access-Accept メッセージ内に含める場合もあります。

ステップ 5 HA でアカウンティングが有効にされている場合は、HA は RADIUS Accounting-Request (start) パケットを生成し、RADIUS Access-Accept メッセージ内で hot-line accounting indication VSA を受信している場合は、これをパケットに含めます。HA が RADIUS Access-Accept パケットで受信したホットライニング VSA を処理できない場合は、HA は RADIUS Access-Accept を RADIUS Access-Reject パケットと見なし、セッションの確立を終了します。

ステップ 6 ホットライン セッションが開始されると、トラフィックはブロックされるか、またはホットライン アプリケーションに転送されます。

アクティブ セッションのホットライニング

アクティブ セッションのホットライニングで発生するイベントは、次のとおりです。

ステップ 1 現在ユーザは、ホットラインが適用されていないパケット データ セッションに携わっています。

ステップ 2 HAAA は、パケット データ セッションをすでに開始しているユーザに対してホットライン アプリケーションからホットライン シグナルを受信すると、アクティブ セッション ホットライニング手順を開始します。

ステップ 3 HAAA はユーザのホットライン状態を、ユーザのプロファイル内に保存します。

ステップ 4 HAAA はローカル ポリシー、および受信した hotline capability パラメータを使用して、ホットライニング VSA を受信した HA を判断します。HAAA は RADIUS Change of Authorization（CoA）メッセージ内にホットライニング VSA または RADIUS filter-id (11) 属性を含めて送信することで、HA に対してユーザのホットライン ステータスを通知します。HAAA は、hot-line accounting indication VSA を RADIUS CoA メッセージ内に含める場合もあります。

ステップ 5 HA が要求を処理できる場合は、COA ACK パケットで応答します。HA がホットライニング要求を処理できない場合は、COA NAK メッセージで応答します。受信した COA NAK メッセージに、管理者による禁止（Administratively Prohibited (501)）を示す error-cause (101) が含まれる場合は、HAAA はローカル ポリシーに基づき、ホットライニング シグナルの HA への送信を再試行するか、HA に RADIUS disconnect-request メッセージを送信するか、または別のデバイスに対してセッションの廃棄を指示します。

ステップ 6 また、アカウンティング パケットを生成可能な HA は（アカウンティングが有効にされている場合）、RADIUS accounting-request (stop) メッセージを生成して、現在のアカウンティング セッションを終了します。リリース インジケータ（F13）は 14（ホットライン ステータスの変更）に設定されます。

ステップ 7 また、アカウンティング パケットを生成可能な HA は、COA パケットで受信した hot-line accounting indication VSA を含む RADIUS accounting-request (start) メッセージを生成します。

ステップ 8 これに対し、ホットライニング デバイスは、COA パケットに指定されたホットライニング ルールをただちに実行します。

ステップ 9 ユーザにホットラインが適用されると、ホットライン アプリケーションは必要に応じてユーザにホットライン状態を通知し、ホットラインが適用された理由となる問題を修正するための処理を支援します。それでもなお、処理結果がホットライン アプリケーションの規定に適合しない場合は、ユーザのホットライン状態が維持されるか、またはユーザ セッションが終了されます。問題が正しく修正された場合は、ユーザのセッションは通常モードに戻されます。

ステップ 10 ホットライン アプリケーションは、通常状態への復帰を HAAA に通知します。ホットライン アプリケーションとユーザとの相互動作については、このマニュアルの範囲外です。

ステップ 11 HAAA はユーザのプロファイルを更新します。

ステップ 12 セッションがアクティブの場合は、HAAA は現在ホットライン ルールを適用している HA に対し、COA パケットを送信します。これは、セッションのホットライン状態を最初に設定したデバイスと同じであるとはかぎりません（ハンドオフが行われている可能性があります）。ステップ 9 で説明した受信通知が、ホットライン アプリケーションからのセッションの終了を示すものであれば、HAAA はユーザの終了ステータスをユーザのポリシー ストアに記録します。この時点でセッションがまだアクティブである場合は、HAAA は適切なデバイスに対して RADIUS disconnect-request メッセージを送信します。これは、ホットライン ルールを適用していないデバイスとなる可能性もあります。

RADIUS disconnect-request メッセージを受信したデバイスは、セッションを終了します。アカウンティング メッセージを生成できるデバイスの場合は、リリース インジケータ（F13）を 6（リソース管理による終了）に設定した RADIUS accounting-request (stop) メッセージを生成します。

ステップ 13 ユーザを通常モードに戻すシグナルを受信した場合、この要求を処理できない HA は、COA NAK パケットで応答します。HAAA は COA NAK を受信すると、状況に応じて、RADIUS disconnect-request メッセージを送信してユーザのセッションを終了します。または、ホットライニング デバイス、またはセッションの終了を処理できる別のデバイスに対し、RADIUS disconnect-request メッセージを送信します。一方、ユーザを通常の状態に戻すことができるホットライニング デバイスの場合は、COA ACK パケットを送信します。

ステップ 14 アカウンティング メッセージを生成可能なホットライニング デバイスは、ホットライニング セッションの終了を示す RADIUS accounting-request (stop) メッセージを生成し、COA メッセージ内で受信した hot-line-accounting indication VSA を含めます。リリース インジケータ（F13）は 14（ホットライン ステータスの変更）に設定されます。

ステップ 15 RADIUS accounting-request (stop) メッセージのあとには、通常のパケット データ セッションの開始を示す RADIUS accounting-request (start) メッセージが生成されます。

ステップ 16 この時点で、ユーザのセッションは通常モードに戻されます。

ホットライニングの HSRP-HA 冗長性サポート

Cisco Home Agent Release 3.1 は、ホットライニング機能の HSRP-HA 冗長性をサポートしていません。Cisco Home Agent Release 4.0 では、ルールベースのホットライニングに対する冗長性のサポートが有効です。しかし、HSRP-HA には Session Redundancy（SR; セッション冗長性）機能がないため、プロファイルベースのホットラインの同期はサポートされません。

ルールベースのホットラインでは、アクティブ HA は COA メッセージを受信して内容を検証したあと、COA 関連情報の一部をスタンバイ HA と同期します。また、AAA サーバによって COA の内容でルールが更新されるたびに、スタンバイとの中間同期が実行されます。

スタンバイと同期できるのは、以下の情報です。

• User-Name：ルールをスタンバイ HA に同期する場合の必須属性。

• MN Address：MN セッション（バインディング）がすでに確立されている場合に使用。

• Hot-Line Accounting Indication：このフィールドは、フェールオーバーが発生した場合にアカウンティング メッセージに含めて送信されます。

• Filter-Id：特定のユーザに対するホットライン状態を指定。1 人のユーザに対して複数の filter-id を受信したアクティブ HA は、スタンバイ HA と同期する必要があります。各 filter-id は、IP または HTTP リダイレクション ルールを指定します。

• Filter-Rules：IP および HTTP フィルタ ルールを指定。複数のフィルタ ルールを指定することもできます。

• IP-Redirection-Rules：IP リダイレクション ルールを指定。複数のリダイレクション ルールを指定することもできます。

• HTTP-Redirection-Rules：HTTP リダイレクション ルールを指定。複数のリダイレクション ルールを指定することもできます。

• Accounting-Session-Id：セッションが作成され、ユーザに対してホットラインが適用されると指定されます。ユーザに対してホットラインが適用されるたびに、新規の "accounting session id" が作成されます。

• Session-Timeout：セッションまたはプロンプトの終了までに、ユーザにサービスの使用が許可される最大秒数を指定。

フェールオーバーが発生し、スタンバイがアクティブに切り替わると、ユーザに対してこの同期ルールが適用されます。セッションが確立し、照合が行われると、ユーザに対してホットラインが適用されます。セッションが確立されない場合は、HA は特定のユーザに対し、セッションの確立まで待機します。

冗長フェールオーバーでは、新たにアクティブとなった HA は、フェールオーバー前に同期されたものと同じ Accounting-Session-Id を使用します。

ホットライン対応 HA の要件

ここでは、登録、再登録、および COA 中に、加入者の MIP フローに対するホットライン情報を処理するために適用可能な HA の各要件について説明します。

1. HA は、新規セッションおよびアクティブ セッションの両方のホットラインをサポートする必要があります。

2. ホットラインの実行により、パケット データ セッションの確立が干渉を受けないようにしてください。HA がパケット データ セッションの完了、および MIP シグナリングの再登録を中断させないようにしてください。HA はリレー エージェント機能を使用して、ホットライン ルールを DNS トラフィックおよび DHCP トラフィックに適用します。

a. MIP 加入者の登録中、HA が無効なホットライン情報を受信した場合は、HA は "HA-CHAP Failure" を示す Registration-Reject を送信することで、この RRQ を拒否できます。

b. MIP 加入者の再登録中は、HA は Access-Accept によって無効な情報を受信した場合であっても、加入者の MIP セッション、およびホットライン セッションを維持する必要があります。また、"HA-CHAP Failure" を送信してこの RRQ を拒否します。

3. HA は MIP 加入者に対するホットラインをサポートする機能を示すため、RADIUS Access-Request メッセージに Hot-line Capability VSA を含める必要があります。

4. HA は以下を含む RADIUS Access-Accept メッセージまたは COA メッセージを受信した場合、RADIUS Access-Accept メッセージを Access-Reject メッセージとして扱うか、または Error-Cause (101) によって "Administratively Prohibited"(501) を示す COA NAK メッセージを使用して応答する必要があります。

a. デコードできない RADIUS Filter-Id(11) 属性。または、

b. RADIUS Filter-Id(11) 属性に加え、Filter-Rule VSA または HTTP/IP Redirection-Rule VSA。または、

c. デコードできない Filter-Rule（VSA）または HTTP/IP Redirection-Rule（VSA）。

5. RADIUS Filter-Id(11) 属性を含む RADIUS Access-Accept メッセージを受信した HA は、RADIUS Filter-Id(11) 属性によって指定されたルールと一致する、ローカルにプロビジョニングされたホットライン ルールをただちに適用する必要があります。

6. RADIUS Filter-Id(11) 属性を含む COA メッセージを受信した HA は、RADIUS Filter-Id(11) 属性によって指定されたプロファイルと一致するホットライン ルールを特定します。この処理に成功した場合、HA は HAAA に COA ACK メッセージで応答します。HA は以前に指定された RADIUS Filter-Id(11) 属性、HTTP リダイレクション ルール、IP リダイレクション ルール、およびフィルタ ルールをすべて削除し、新たに受信した RADIUS Filter-Id(11) 属性に関連付けられたルールの適用を開始します。HA はRelease 3.1 のコール フローのセクションで説明されているように、アカウンティング メッセージ accounting stop および accounting start を送信します。新たに受信した RADIUS Filter-Id(11) 属性が該当のルールに一致しない場合は、HA は Error-Cause (101) が "Administratively Prohibited"(501) を示す COA NAK を送信します。この場合は、ホットライン状態、および既存のすべてのルールは変更されません。

7. HA が受信した RADIUS Access Accept メッセージの中に、適格な（解析可能な）HTTP
Redirection-Rule VSA、IP Redirection-Rule VSA、および Filter Rule VSA が含まれている場合は、HA はまず HTTP リダイレクション ルールを適用し（存在する場合）、次に IP リダイレクション ルール（存在する場合）を、最後にフィルタ ルール（存在する場合）を適用します。各タイプのルールは、パケット内に記述されている順序で処理されます。HA はルール（フィルタ ルール、HTTP/IP リダイレクション ルール）を適用する際、すべてのセキュリティ ポリシーに照合して各ルールを検証します。いずれかのセキュリティ ポリシーに違反があった場合は、HA はこのユーザのパケット データ セッションをティアダウンします。

8. 受信した COA メッセージの中に適格な HTTP Redirection Rule VSA、IP Redirection-Rule VSA、または Filter-Rule VSA が含まれている場合は、HA はローカル システム全体のポリシーに対して有効な、ローカルにプロビジョニングされたすべてのフィルタリングを検証します。いずれかのルールがローカル ポリシーに違反している場合、または HA が COA メッセージを受け入れられない場合は、HA は Error-Cause (101) が "Administratively Prohibited" (50) を示す COA NAK メッセージを送信します。この場合は、ホットライン状態、および既存のすべてのルールは変更されません。一方、ローカル セキュリティ ポリシーに対する違反が存在しない場合は、HA は以下を行います。

a. HA が現在、以前に受信した RADIUS Filter-Id(11) 属性に関連付けられたルールを適用している場合は、HA は以前に受信した RADIUS Filter-Id(11) 属性に関連付けられたルールの適用を中止し、新たに受信した HTTP リダイレクション ルール、IP リダイレクション ルール、またはフィルタ ルールの適用を開始します。HA は HAAA に対して COA ACK で応答し、Release 3.1 のコール フローのセクションで説明されているように、アカウンティング メッセージの送信を開始します。

b. HA が現在、以前に受信した HTTP リダイレクション ルール、IP リダイレクション ルール、またはフィルタ ルールに関連付けられたルールを適用している場合は、古いルールを同じ種類の新たなルールで上書きします（旧 HTTP に対しては新規 HTTP、旧 IP に対しては新規 IP、旧フィルタに対しては新規フィルタ）。同じ種類の古いルールが存在しない場合は、その種類の新規ルールが適用されます。HA は HAAA に対して COA ACK で応答し、Release 3.1 のコール フローのセクションで説明されているように、アカウンティング メッセージの送信を開始します。

9. Session-Timeout (27) 属性を受信した場合は、HA はセッションに規定されたタイムアウト時間（秒）が経過したあと、セッションを終了します。RADIUS アカウンティングに対応している HA の場合は、RADIUS Accounting-Request (Stop) メッセージを送信します。受信した RADIUS Access-Accept または COA メッセージに Hot-Lining Accounting Indication VSA が含まれていた場合は、この VSA もメッセージに含めます。

10. HTTP-Redirection VSA を受信した HA は、IP フローをモニタします。"src" および "dst" フィールドの一致する IP フローに対しては、HTTP-Redirection VSA に指定されたルールを適用します。ルールに指定されたアクションがリダイレクトである場合は、HA はトラフィックをブロックし、認識したすべての HTTP 要求に対し、一致する HTTP-Redirection Rule VSA の URL を指定した HTTP リダイレクト応答（RFC 2616）を返します。

11. 以下の説明は、ホットラインでの HTTP リダイレクション ルールにおけるループに関するものです。

a. "ホットラインでの HTTP リダイレクション ルールにおけるループ" が生じる状況としては、最初に HA が "redirect www.cisco.com from 10.1.1.0/8 to 192.168.1.0/8" という HTTP リダイレクション ルールを受信します。上記のルール条件と一致した場合、HA は Redirect 302 メッセージを MN 加入者に送信し、www.cisco.com 宛の HTTP パケットをリダイレクトします。MN は、受信したリダイレクト先 URL を含めた新たな HTTP Request Get メッセージを送信します。しかし、リダイレクト URL はサブネット アドレス 192.168.1.0/8 の 1 つ、192.168.1.100 などにマッピングされます。したがって、HA は受信した HTTP-302 メッセージに対し、MN に再度 HTTP-302 メッセージを送信します。この流れは、MN および HTTP サーバ間に HA 経由で TCP セッションが確立されているかぎり、MN と HA 間で繰り返されます。このループ状態を回避するには、HTTP リダイレクション ルールとともに、AAA から以下のルールをダウンロードする必要があります。

"pass from 10.1.1.0/8 to 192.168.1.100/0"

"redirect www.cisco.com from 10.1.1.0/8 to 192.168.1.0/8"

ループ状態を回避するため、"HTTP-Redirection Rule" は常に "HTTP-Pass Rule" に先行します。

12. IP-Redirection rule VSA を受信した HA は、IP フローをモニタします。IP フローがルールと一致した場合、HA は一致したルールに指定されたアドレスにフローをリダイレクトします。

13. IP-Filter rule VSA を受信した HA は、IP フローをモニタします。IP フローがルールと一致した場合、HA は指定されたアクションに従い、フローをブロックするか、または通過を許可します。

14. "flush" というキーワードを含む HTTP Redirection Rule、IP-Filter-Rule、または IP-Redirection-Rule VSA を受信した HA は、このセッションにおいてこれまで受信した、この種類の属性をすべてフラッシュします。

15. HA が受信した Access-Accept または COA に、ホットライン アカウンティング属性は含まれるが、RADIUS FIlter-Id(11) 属性、HTTP Redirection Rule VSA、IP Redirection Rule VSA、Filter Rule VSA のいずれも含まれない場合は、このホットライン アカウンティング属性によってユーザのホットライン状態は影響されません。RADIUS アカウンティング メッセージを生成可能な HA は、以降のすべてのアカウンティング メッセージに、新たに受信したホットライン アカウンティング インジケータを含めます。

ホットライニング時間の制限

ホットラインを適用したセッションであっても、高価なネットワーク リソースが消費される可能性があります。このため、AAA ではセッションにホットラインを適用する時間を制限することができます。これには、COA または Access-Accept に Session-Timeout 属性を含めて送信します。オペレータは、次の 2 つの方法を使用できます。

1 つには、Disconnect Message を送信することで、セッション（ホットラインを適用/非適用）をただちに終了する方法です。Disconnect Message は、HA を対象とする必要はありません。

もう 1 つの方法は、Home RADIUS サーバがホットライン インジケータを HA に送信する際、Session-Timeout (27) 属性を含めるように Home RADIUS サーバを設定する方法です。Session-Timeout には、ユーザにセッションの続行を許可する時間を 1～（232 - 1）秒の範囲で指定します。Session-Timeout に指定した時間が経過すると、パケット データ セッションは終了します。この機能は、プロファイル ベースおよびルール ベースの両方のホットラインでサポートされます。

ホットライニングの制約事項

ホットライニングには、以下の制限があります。

• アップストリーム トラフィックでは、HA はトラフィックを代行受信し、ユーザに HTTP リダイレクション、IP リダイレクション、または IP フィルタ ルールを適用します。ダウンストリーム トラフィックの場合は、HA は IP リダイレクションおよび IP フィルタ ルールによる検証をサポートします。HA では、ダウンストリーム トラフィックでの HTTP リダイレクションはサポートされません。

• ルータでホットラインを有効にするには、ルータが mobileip および HA 機能をサポートする必要があります。ルータがこれらをサポートしていない場合は、ルータで router mobile をイネーブルにし、グローバル コンフィギュレーション モードで ip mobile home-agent を設定します。

• 特定のユーザに対するホットライニング機能と設定は、ホットライニング CLI を入力した順序に応じて上書きされることがあります。新たに追加したホットライニング CLI は、以前のものより優先されます。たとえば、プロファイル ベースのホットラインに "mip1@cisco.com" というユーザを設定したとします。このあと、ルールベースのホットラインを設定すると、先の設定は上書きされます。

• 最初にレルムを設定して、このレルム内のすべてのユーザにホットライン機能を適用するとします。あとから特定のユーザに対してホットライン機能を設定すると、このユーザの設定によってレルムの設定が上書きされます。

• IOS では、CLI の設定および設定解除に制限があります。CLI の設定では、使用可能な文字数は最大 249 文字です。CLI の設定解除では、使用可能な文字数は最大 252 文字です。

（注） HA MIB は、ホットライン情報によって更新されません。

ホットライニングの設定

ホットラインを設定するには、グローバル コンフィギュレーション モードで以下のタスクを実行します。

ダイナミック ACL の設定に関する詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/partner/products/ps6350/products_configuration_guide_chapter09186a0080430e5b.html

設定の確認

HA のホットライニングに関するさまざまな情報を表示するには、以下のタスクを実行します。

次に、ホットライン ユーザ情報の出力例を示します。

次に、ホットライン プロファイル情報の出力例を示します。

次に、ホットラインに関する統計情報の出力例を示します。

次に、ホットライン セッション カウンタの出力例を示します。