この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Mobile Wireless Home Agent を設定する前に理解しておく必要のあることがらについて説明します。
• 「前提条件」
• 「設定作業」
• 「設定例」
• 「制約事項」
Cisco Home Agent(HA)は 7600 シリーズ ルータに搭載する、新しい Cisco Service and Application Module for IP(SAMI)プロセッサ ブレード上で使用できます。HA は、これらのプラットフォーム上のファスト イーサネットおよびギガビット イーサネット インターフェイスをサポートします。
Cisco Service and Application Module for IP(SAMI)のインストールおよび設定方法については、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/modules/ps5510/products_installation_and_configuration_guide_book09186a0080875d19.html
ここでは、Cisco Mobile Wireless Home Agent をネットワーク内で設定する前に、従うべき一般的な注意事項を示します。
プラットフォームの詳細および 7600 シリーズ ルータ上でサポートされるインターフェイスをすべて網羅した一覧については、Cisco.com の次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/routers/ps368/index.html
7600 シリーズ スイッチ上の HA に関してサポートされる設定は、必要な容量、装備するインターフェイス タイプ、IPSec サポートの必要性によって異なります。
Cisco HA をインストールする前に、次の考慮事項を確認してください。
SAMI には、MSFC-3(WS-SUP720)/PFC-3(WS-F6K-PFC3BXL)を搭載した Supervisor Engine 32 または Supervisor Engine-720(WS-SUP720-3BXL)が必要です。詳細については、『 Release Notes for Cisco IOS Release 12.2SR for the Cisco 7600 Series Routers 』の「Upgrading to a New Software Release」を参照してください。Sup32 および Sun720 には SRB1 以上が必要です。RSP720 には SRC が必要です。
HA 機能を実行するには、Cisco SAMI モジュールが必要です。SAMI モジュールごとに、6 つの HA イメージ(6 つの HA インスタンス)をサポートします。
IPSec をサポートするには、Catalyst プラットフォーム対応の IPSec VPN アクセラレータ(VPNSPA)が 7600 シャーシごとに 1 つずつ必要です。
ここでは、Cisco HA の設定手順について説明します。プラットフォーム番号で各イメージを示します。
SAMI はオペレーティング システム ソフトウェアとともに、納品時にはすでにロードされています。しかし、新しいソフトウェア バージョンが利用可能になった時点で、新機能や不具合の修正を利用するために SAMI をアップグレードできます。
SAMI ソフトウェア(イメージ 名は c7svcsamifeature-mz)は、ベース カードおよびドーター カード コンポーネント用のイメージからなるイメージ バンドルです。
バンドル内のイメージごとに、専用のバージョン番号およびリリース番号が与えられています。特権 EXEC コマンド upgrade hw-module を使用してアップグレードを開始すると、バンドルのバージョンおよびリリース番号と現在動作しているバージョンが比較されます。バージョンが異なる場合は、イメージが自動的にアップグレードされます。
(注) show module コマンドによって表示されるのは、LCP イメージのソフトウェア バージョンであり、SAMI バンドル全体のバージョンではありません。
SAMI イメージをアップグレードする手順は、次のとおりです。
たとえば、Cisco 7600 シャーシのスロット 2 に搭載された SAMI のイメージをアップグレードする場合は、次のコマンドを入力します。
Cisco 7200 および MWAM 上で HA ソフトウェアのサポートが終了したので、ここでは Cisco 7200 または MWAM 上の旧リリース(R3.1 以前)から SAMI プラットフォーム上の Home Agent Release 4.0 に移行するパスを示します。
|
|
|
|
|
|||
|
|||
当然、さまざまな移行シナリオが存在します。通常、同じ(1 つまたは複数の)冗長または非冗長 HA を共有するForeign Agent(FA; 外部エージェント)が多数あります。モバイル IP フローは、スタティックに設定されたモバイル デバイス、FA のコンフィギュレーション、または AAA(認証、認可、アカウンティング)サーバで定義されたユーザ プロファイルから HAアドレスを取得します。HA SLB の場合は、SLB サーバが実HA アドレスを提供します。
実際の移行パスは、カスタマーごとにエンドツーエンドの配置に基づいて決定する必要があります。したがって、移行をきちんと計画し、ネットワークを再設計(IP アドレス スキームの設計変更、ルーティング プロトコルの設定、FA と HA 間のネットワーク接続の設定、HA と AAA サーバ間のアプリケーション接続の設定、新しい SAMI HA でのルーティングの設定など)する機会が得られるようにする必要があります。移行は、メンテナンス ウィンドウで実行することを推奨します。たとえば、モバイル デバイスが HA の IP アドレスを使用してスタティックに設定されている場合、使用環境内で移行を十分テストする必要があります。MS/FA を認識するように HA の IP アドレスを変更するには、大がかりなネットワーク サービス プロビジョニングが必要です。
表2-2 に、移行パスをいくつか示します。
|
|
|
|
移行とは、単に MWAM モジュールを SAMI モジュールに置き換えるだけではありません。既存のモバイル加入者のサービス接続に与える影響が最小限ですむように、きちんと考えて実行する必要があります。
HA R4.0 上に冗長性の下位互換性がない場合、HA-SLB をイネーブルにして、サービス停止が回避されるように設定できますが、それには余分なネットワーク設定とプロビジョニングが必要です。HA R4.0 上に冗長性の下位互換性がある場合、ネットワーク設定とプロビジョニングは最小限になります。
表2-3 に、SAMI プラットフォームへの移行に必要な手順を示します。使用できる移行シナリオのそれぞれについて検討します。
|
|
---|---|
• SAMI が搭載された Cisco 7600/SUP720に HA をインストールして設定します。 • 新たに追加された SAMI ベースの HA を使用するように、MS および FA をプロビジョニングします。これは、きわめて大がかりな作業になる可能性があります。 • 大量のプロビジョニング作業の代わりに、SAMI HA は 7200 NPE-G1 ベースの HA IP アドレスおよびルーティング方式を再利用できます(メンテナンス ウィンドウで行い、サービスを中断することが前提)。 |
|
• SAMI および SLB 対応の Cisco 7600/SUP720に HA をインストールして設定します。SUP720 SRB リリースで HA SLB をテストする必要があります。 • 新たに追加された SAMI ベースの HA を使用するように、MS および FA をプロビジョニングします。これは、きわめて大がかりなプロビジョニング作業になる可能性があります。 |
|
• SAMI が搭載された Cisco 7600/SUP720 に HA をインストールして設定し、7200 ベースの HA で設定したのと同じ HSRP 冗長グループに組み込みます。 • SAMI ベースの HA の方がプライオリティと HSRP プリエンプトが高くなるように設定します。 (注) SAMI HA R4.0 は冗長性に関して、下位互換性が得られない場合があります。 –HA R4.0 には、ルールベース ホットライニングなどのバインディング単位の機能、QoS(Quality of Service)、ホスト拡張アトリビュートがあります。バインディング単位の機能は、プロファイルベースのホットライニングにも適用可能です。R3.1 またはそれ以前のバインディング単位の情報に比べ、実質的にバインディング単位の情報が増えることになります。Release 3.x から R4.0 に、バインディングが同期するかどうかについては、まだテストされていません。これまでのところ、バインディング情報は、HA R3.x のアクティブ HA とスタンバイ HA 間で同期する唯一の情報です。 –HA R4.0 のハイ アベイラビリティが L2 HSRP ベースではなく、L3 ベースの場合、HA R3.x と HA R4.0 間で、ステートフルな冗長性の互換性はありません。その場合、この冗長性の設定は 2 つのリリース間でかなり大幅に異なります。 –HA R4.0 はバッチ モードで bulk-sync を行いますが、HA R3.x の同期はバインディング単位です。 |
|
• 単一シャーシの場合、SUP2 から SUP720 への変更はかなりの作業になります。シャーシ全体をリセットするので、すべてのサービス モジュール(MWAM、SAMI など)もリセットすることになります。 |
|
• 単一シャーシの場合、SUP720 SXF から SUP720 SRB への変更は、シャーシ全体のリセットを伴います。したがって、すべてのサービス モジュール(MWAM、SAMI など)もリセットされます。 • この移行は、メンテナンス ウィンドウの中で実行する必要があります。 • その後、同一シャーシの両方の SUP720 で SRB リリースを実行します。 • SAMI をサポートするように SUP720 を設定します。 1. MWAM のコンフィギュレーションが SUP720 のブートフラッシュに保存されていることを確認します。 2. SUP720 上で SAMI VLAN グループ用の VLANを MWAM として設定します。 3. MWAM プロセッサ コンフィギュレーションから取得した SAMI PPC コンフィギュレーションが SUP720 ブートフラッシュの SAMI コンフィギュレーション ファイルのネーミング規則に従っているかどうかを確認します。 5. 同じスロットに SAMI ブレードを挿入し、有効な HA R4.0 イメージでブートします。 6. MWAM HA の実行 IOS コンフィギュレーションは 5 つですが、SAMI には 6 つの PPC があります。したがって、SAMI 上の PPC の 1 つを未使用にするか、または単独で設定する必要があります。 7. SAMI PPC に適切なコンフィギュレーションが与えられていることを確認します。 8. HA のバインディング同期とステートフルな冗長性は、3 番のシナリオと同じ状況になります。 • アクティブ MWAM を切断して取り外し、第 2 SAMI ブレードを搭載します。 HA の冗長性がリリースにまたがって機能しない場合は、(SAMI HSRP 上でさらに設定して)次の作業を実行します。 • 両方の SAMI を挿入し、冗長モードで設定して、インサービス モードで SLB サーバに追加します。 • SLB サーバ ファームで MWAM をアウトオブサービスにします。 |
|
• シャーシ 1 を SUP720 SXF から SUP720 SRB にアップグレードします。 • SAMI ブレードをサポートするようにシャーシ 1 を設定します。 –MWAM のコンフィギュレーションが SUP720 のブートフラッシュに保存されていることを確認します。 –SUP720 上で SAMI VLAN グループ用の VLANを MWAM と同じに設定します。 –MWAM プロセッサ コンフィギュレーションから取得した SAMI PPC コンフィギュレーションが SUP720 ブートフラッシュの SAMI コンフィギュレーション ファイルのネーミング規則に従っているかどうかを確認します。 –同じスロットに SAMI を挿入し、有効な HA R4.0 イメージでブートします。 –MWAM HA では 5 つの IOS が実行しているので、コンフィギュレーションは 5 つですが、SAMI には 6 つの PPC があります。したがって、SAMI の PPC の 1 つを未使用にするか、または単独で設定する必要があります。 –SAMI PPC に適切なコンフィギュレーションが与えられていることを確認します。 –HA のバインディング同期とステートフルな冗長性は、3 番のシナリオと同じ状況になります。 HA の冗長性がリリースにまたがって機能しない場合は、次の作業を実行します(SAMI HSRP のコンフィギュレーションを変更する必要があります)。 • シャーシ 1 の SAMI HA をインサービス モードで SLB サーバに追加します。 |
• HA のステートフルな冗長性は、リリースにまたがって機能しない場合があります。たとえば、R3.0 リリースのバインディング情報は、R4.0 リリースで R3.0 ベースの機能だけが設定されている場合を含め、R4.0 と同じです。
• 基本の HSRP がリリースによって異なる場合があります。
• 同じプラットフォームでもリリースが異なると、同じ状況で異なるシステム動作になる場合があります。したがって、一貫して同じ動作を確保するには、追加設定が必要です。
HA を設定するには通常、3 方向でインターフェイスを定義する必要があります。PDSN/FA、ホーム ネットワーク、および AAA サーバです。HA の冗長性が必要な場合は、HA 間の HSRP バインディング アップデート用に、もう 1 つインターフェイスを設定する必要があります。SAMI 上で HA を動作させた場合、HA は Catalyst 7600 バックプレーンに接続する 1 つの GE ポートへのアクセスを調べます。必要なネットワーク アクセスごとにサブインターフェイスを用意し、トランク ポートとしてこのポートを設定できます。
次の各インターフェイスに対応する VLAN を定義できます。PDSN/FA、ホーム ネットワーク、および AAA です。同じ 7600 シャーシに複数の HA インスタンスが存在する場合、そのすべてに同じ VLAN を使用できます。
次に、Cisco Mobile Wireless Home Agent に必要な基本設定について説明します。
• 「SAMI モジュールに関するスーパーバイザの基本的な IOS コンフィギュレーション」
• 「設定例」
SAMI モジュールを認識するようにスーパーバイザ エンジンを設定し、バックプレーンとの物理接続を確立するには、次のコマンドを使用します。
|
|
|
---|---|---|
SAMI コンフィギュレーションの詳細については、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/modules/ps5510/products_installation_and_configuration_guide_book09186a0080875d19.html
(注) SAMI モジュールは、スーパーバイザ エンジンのクロック タイマーに基づいて、タイミング機能を同期させます。個々の SAMI ではタイマーを設定しないでください。
アクセス コントロールは、ネットワーク サーバへのアクセスをだれに許可し、どのサービスを使用させるかを管理する手段です。AAA ネットワーク セキュリティ サービスは、ルータまたはアクセス サーバ上でアクセス コントロールを設定するための基本的なフレームワークを提供します。AAA 設定オプションの詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring Authentication」および「Configuring Accounting」を参照してください。
HA 環境で AAA を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
---|---|---|
Router(config)# aaa authorization network default group radiu s |
ユーザのネットワーク アクセスを制限します。ネットワークに関連するあらゆるサービス要求に認可を実行します。デフォルトの認可方式として、group radius 認可方式を使用します。 |
RADIUS は、ネットワークでの AAA 情報の交換を定義する 1 つの方法です。シスコの実装では、RADIUS クライアントはシスコのルータ上で動作し、あらゆるユーザ認証およびネットワーク サーバ アクセス情報が登録されている RADIUS サーバに、認証要求を送信します。RADIUS 設定オプションの詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring RADIUS」を参照してください。
HA 環境で RADIUS を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
---|---|---|
RADIUS サーバ ホストの IP アドレスを指定し、ルータと RADIUS サーバ間で使用する共有秘密文字列を指定します。 |
図2-1 およびそれに続く情報は、Cisco HA の配置と設定の例です。
Cisco HA は同時バインディングをサポートしません。同じ NAI に複数のフローが確立された場合、フローごとに異なる IP アドレスが割り当てられます。したがって、同時バインディングは不要です。同時バインディングは、同じ IP アドレスに対して複数のフローを維持するために使用するためのものだからです。
HA は IS-835-B で必須の IPSec、IKE、IPSec AH(認証ヘッダー)、および IP Encapsulating Security Payload(ESP)をサポートします。HA はコントロールまたはユーザ トラフィック用のセキュリティを別個にサポートすることはしません。両方とも保護するか、両方とも保護しないかのどちらかです。
Cisco IOS Mobile Wireless Home Agent Release 3.0 がサポートする RFC は、次のとおりです。
• IPv4 Mobility(IPv4 モバイル性)、RFC 2002
• IP Encapsulation within IP(IP 内 IP カプセル化)、RFC 2003
• Applicability Statement for IP Mobility Support(IP モバイル サポートの適用可能文)、RFC 2005
• The Definitions of Managed Objects for IP Mobility Support Using SMIv2(SMIv2 を使用する IP モバイル サポートの管理対象オブジェクト定義)、RFC 2006
• Reverse Tunneling for Mobile IP(モバイル IPのリバース トンネリング)、RFC 3024
• Mobile IPv4 Challenge/Response Extensions (Mobile IPv4 チャレンジ/レスポンス機能拡張)、RFC 3012
• Mobile NAI Extension(モバイル NAI 拡張機能)、RFC 2794
• Generic Routing Encapsulation(総称ルーティング カプセル化)、RFC 1701
• GRE Key and Sequence Number Extensions(GRE 鍵およびシーケンス番号機能拡張)、RFC 2890
• IP Mobility Support for IPv4(IPv4 の IP モバイル サポート)、RFC 3220、Section 3.2 認証
• The Network Access Identifier(ネットワーク アクセス識別子)、RFC 2486、1999 年 1 月
• An Ethernet Address Resolution Protocol(イーサネット アドレス解決プロトコル)、RFC 826、1982 年 11 月
• The Internet Key Exchange (IKE)(インターネット キー エクスチェンジ)、RFC 2409、1998 年 11 月
• Cisco Hot Standby Routing Protocol (HSRP)(Cisco HSRP[ホット スタンバイ ルーティング プロトコル])、RFC 2281、1998 年 3 月
Cisco IOS Mobile Wireless Home Agent Release 4.0 がサポートする規格は、次のとおりです。
• TIA/EIA/IS-835-B、TIA/EIA/IS-835-C、および TIA/EIA/IS-835-D
Cisco IOS Mobile Wireless Home Agent Release 4.0 がサポートする MIB は、次のとおりです。
• CISCO- MOBILE-IP-MIB ― 拡張管理機能を提供します。
• Radius MIB ― RADIUS 認証クライアント MIB(RFC 2618、1999 年 1 月)で定義
HA はプロトコル スイート RFC 1901 ~ RFC 1908 で規定された SNMPv2 を実装します。HA は、SMIv2 を使用する IP モバイル サポートの管理対象オブジェクト定義(RFC 2006、1995 年 10 月)で定義された MIB をサポートします。
Cisco 7600 プラットフォームでサポートされる MIB の全リストは、Cisco Web にあります。次の URL にアクセスしてください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
MIB で維持されるセッション カウンタは、SNMP または CLI ではリセットできません。HA CPU カウンタおよびメモリ使用率カウンタには、CISCO-PROCESS-MIB を使用してアクセスできます。
Release 3.0 の MIB では、さらに次のカウンタがサポートされます。
• FA/CoA 別障害カウンタ ― HA R2.0 はグローバル障害カウンタをサポートします。FA/CoA 別カウンタは、これらのカウンタのそれぞれに追加されます。
マニュアルの入手方法、テクニカル サポート、マニュアルに関するご意見の送信方法、セキュリティ ガイドライン、さらに推奨エイリアス、一般的なシスコ製品マニュアルについては、毎月公開される『 What's New in Cisco Product Documentation 』を参照してください。ここには、新規および改訂されたシスコ技術マニュアルもすべて記載されています。次の URL にアクセスしてください。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。
http://www.cisco.com/jp/go/tac
サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。
Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。