IP 到達可能性
TIA/EIA/IS-835-D には、ホーム AAA サーバと Home Agent(HA)を使用したダイナミック DNS アップデートの方法が説明されています。AAA による DNS アップデートは簡易 IP およびモバイル IP の両方のサービスに適用できますが、HA による DNS アップデートを適用できるのはモバイル IP サービスだけです。次に、HA 上の IP 到達可能性の機能について説明します。
HA は、初回のレジストレーション要求を受信すると、ホーム RADIUS サーバに RADIUS アクセス要求を送信します。RADIUS サーバが HA ベースの DNS アップデートを要求するように設定されていれば、ホーム RADIUS サーバは、HA に戻す RADIUS Access-Accept メッセージに
DNS-Update-Required アトリビュートを付加します。初回のモバイル IP レジストレーションに成功すると、HA は DNS サーバに DNS アップデート メッセージを送信し、MS のリソース レコードを追加します。HA は、DNS アップデート メッセージをプライマリおよびセカンダリ(存在する場合)の DNS サーバに送信します。
HA がライフタイム タイマーがゼロに設定された Mobile IP RRQ を受信した場合、モバイル IP のライフタイムが期限切れになった場合、または管理操作によって MS のモビリティ バインディングが無効にされた場合には、HA は DNS サーバに、関連リソース レコードを削除するための DNS アップデート メッセージを送信します。以降のコマンドは、特定のレルムについて、HA 上の IP 到達可能性をイネーブルにします。
(注) 再レジストレーション場合は、その都度、DNS アップデートは送信されません。
(注) この機能は、プロキシ モバイル IP フローでも同様にサポートされます。
次に、モバイル レジストレーション シナリオにおける、HA 上の IP 到達可能性のコール フローを示します。
1.
HA が、PDSN/FA からレジストレーション要求を受信します。
2. HA から RADIUS サーバにアクセス要求が送信されます。HA により、DNS Server Update Capability VSA が付加されます。
3. RADIUS サーバから、DNS Update Required VSA が付加されたアクセス受諾が送信されます。
4. HA から PDSN/FA にレジストレーション応答が送信されます。HA が冗長設定されている場合、アクティブ HA とスタンバイ HA のバインディング作成が同期化されます。
5. HA によりバインディングが作成され、DNS サーバに DNS アップデート要求メッセージが送信されます。
6. DNS サーバにより、NAI の DNS エントリが作成され、HA に DNS アップデート応答メッセージが戻されます。
次に、モバイル レジストレーション解除シナリオにおける、HA 上の IP 到達可能性のコール フローを示します。
1. HA が、PDSN/FA からライフタイムがゼロのレジストレーション要求を受信します。
2. SA がローカルに保管されていない場合、HA から RADIUS サーバにアクセス要求が送信されます(オプション)。
3. RADIUS サーバからアクセス受諾が戻されます(オプション)。
4. HA により、バインディングが削除されます。HA から PDSN/FA に、レジストレーション応答が戻されます。HA が冗長設定されている場合、アクティブ HA とスタンバイ HA のバインディング削除が同期化されます。
5. HA から DNS サーバに、DNS エントリを削除するための DNS アップデート要求メッセージが送信されます。
6. DNS サーバにより、NAI の DNS エントリが削除されます。DNS サーバから HA に、DNS アップデート応答メッセージが戻されます。
DNS サーバのアドレスの割り当て
IS835D に、モバイル IP レジストレーション応答で、ホーム DNS サーバのアドレスを NVSE としてモバイルにプッシュする方法が定義されています。この手順により、モバイル ステーションで、ホーム ドメインのプライマリおよびセカンダリ DNS サーバのアドレスを学習できます。
RADIUS サーバは、モバイル認証中に、HA へのアクセス応答に DNS Server VSA を付加します。HA は、DNS Server VSA から DNS サーバの NVSE を作成し、モバイル IP レジストレーション応答に付加します。認証時に DNS Server VSA を受信しない場合、HA 上で DNS サーバのアドレスがローカルに設定されていれば、ローカル設定から DNS サーバの NVSE が作成され、モバイル IP レジストレーション応答に付加されます。
DNS Server VSA および DNS Server NVSE は、プライマリとセカンダリの DNS IP アドレスを保持します。
HA が冗長モードで配置されている場合、スタンバイ HA に DNS Server VSA が同期化されます。
特定のレルムでこの機能をイネーブルにするには、次のコマンドを使用します。
ip mobile realm realm dns server assign
ip name-server x.x.x.x
DNS サーバのアドレスをローカルで設定するには、次のコマンドを使用します。
ip mobile realm realm dns server primary dns server address secondary dns server address
この機能によるバインディングがイネーブルかどうかを確認するには、show ip mobile binding コマンドを使用します。
(注) DNS サーバのアドレスがローカルで設定されていて、かつ AAA からもダウンロードされた場合には、HA 上のローカル設定アドレスが優先されます。
例
次に、DNS 用のユーザ プロファイルを設定する例を示します。
[ //localhost/Radius/Profiles/mwts-mip-r20sit-haslb1-prof/Attributes ]
CDMA-DNS-Server-IP-Address = 01:06:0A:4D:9B:0A:02:06:0A:4D:9B:09:03:03:01:04:03:01
CDMA-DNS-Update-Required = "HA does need to send DNS Update"
CDMA-HA-IP-Addr = 20.20.225.1
CDMA-MN-HA-Shared-Key = ciscociscociscoc
CDMA-MN-HA-SPI = 00:00:10:01
CDMA-Reverse-Tunnel-Spec = "Reverse tunneling is required"
class = "Entering the World of Mobile IP-3"
次に、DNS サーバ アドレス割り当てレルムのコンフィギュレーション例を示します。
ip mobile realm @ispxyz2.com dns server 10.77.155.10 2.2.2.2
ip mobile realm @ispxyz2.com dns server assign
次に、AR ユーザ プロファイルでの同じ設定の例を示します。
set CDMA-DNS-Server-IP-Address 01:06:0A:4D:9B:0A:02:06:0A:4D:9B:09:03:03:01:04:03:01
太字の部分が、プライマリおよびセカンダリの DNS サーバ アドレスです。
次に、IP 到達可能性および DNS サーバ アドレス割り当ての両方の設定例を示します。
Building configuration...
Current configuration : 10649 bytes
! Last configuration change at 22:45:21 UTC Fri Nov 11 2005
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service udp-small-servers
aaa group server radius MOT
server 150.2.0.1 auth-port 1645 acct-port 1646
aaa authentication ppp default local group MOT
aaa authorization config-commands
aaa authorization ipmobile default group MOT
aaa authorization network default group MOT
aaa authorization configuration default group MOT
aaa accounting session-duration ntp-adjusted
aaa accounting update newinfo periodic 3
aaa accounting network ha start-stop group MOT
aaa accounting system default start-stop group MOT
aaa server radius dynamic-author
ip ftp source-interface GigabitEthernet0/0.10
ip name-server 10.77.155.10
no ip dhcp use vrf connected
no ip dhcp conflict logging
ip dhcp pool Subnet-Pool1
origin dhcp subnet size initial /30 autogrow /30
ip ddns update method sit-ha2-ddns1
ip ddns update method sit-ha2-ddns2
vpdn ip udp ignore checksum
! Default L2TP VPDN group
! Default PPTP VPDN group
username user-ha2 password 0 cisco
ip address 20.20.225.1 255.255.255.0
description address of the LNS server
ip address 20.20.206.20 255.255.255.0
ip address 170.12.0.102 255.255.0.0
interface GigabitEthernet0/0
interface GigabitEthernet0/0.10
ip address 10.77.155.5 255.255.255.192
interface GigabitEthernet0/0.172
description HAAA interface
ip address 170.2.0.20 255.255.0.0
standby delay minimum 15 reload 15
interface GigabitEthernet0/0.202
ip address 20.20.202.20 255.255.255.0
standby delay minimum 15 reload 15
standby 2 ip 20.20.202.102
standby 2 ip 20.20.204.2 secondary
standby 2 ip 20.20.204.3 secondary
standby 2 ip 20.20.204.4 secondary
standby 2 ip 20.20.204.5 secondary
standby 2 ip 20.20.204.6 secondary
standby 2 timers msec 750 msec 2250
standby 2 preempt delay minimum 180
interface GigabitEthernet0/0.205
description REF interface
ip address 20.20.205.20 255.255.255.0
standby delay minimum 15 reload 15
standby 2 ip 20.20.205.102
interface Virtual-Template1
description To be used by VPDN for PPP tunnel
peer default ip address pool LNS-pool
ppp authentication chap pap optional
ip local pool LNS-pool 7.0.0.1 7.0.0.255
ip local pool ispxyz-vrf1-pool 50.0.0.1 50.0.0.255
ip local pool mobilenodes 40.0.0.1 40.0.100.255
ip default-gateway 10.77.155.1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0.202
ip route 10.77.139.29 255.255.255.255 10.77.155.1
ip route 150.2.0.0 255.255.0.0 170.2.0.1
ip mobile debug include username
ip mobile home-agent template Tunnel10 address 20.20.202.102
ip mobile home-agent revocation timeout 5 retransmit 4
ip mobile home-agent dynamic-address 20.20.202.102
ip mobile home-agent accounting ha broadcast lifetime 3600 replay 8 suppress-unreachable unknown-ha deny
ip mobile home-agent redundancy sit-ha2 virtual-network address 20.20.202.102 periodic-sync
ip mobile radius disconnect
ip mobile virtual-network 50.0.0.0 255.0.0.0
ip mobile virtual-network 40.0.0.0 255.0.0.0
ip mobile host nai mwts-pmp-r20sit-base-user1@ispxyz1.com virtual-network 40.0.0.0 255.0.0.0 aaa load-sa lifetime 600
ip mobile host nai @ispxyz2.com address pool local mobilenodes virtual-network 40.0.0.0 255.0.0.0 aaa lifetime 180
ip mobile realm mwts-pmp-r20sit-base-user1@ispxyz1.com dns server 10.77.155.10 1.1.1.1
ip mobile realm mwts-pmp-r20sit-base-user1@ispxyz1.com dns server assign
ip mobile realm mwts-pmp-r20sit-base-user1@ispxyz1.com dns dynamic-update method sit-ha2-ddns1
ip mobile realm @ispxyz2.com vrf ispxyz-vrf2 ha-addr 20.20.204.6
ip mobile realm @ispxyz2.com dns server 10.77.155.10 2.2.2.2
ip mobile realm @ispxyz2.com dns server assign
ip mobile realm @ispxyz2.com dns dynamic-update method sit-ha2-ddns2
ip mobile secure foreign-agent 20.20.201.10 20.20.201.100 spi 100 key ascii cisco replay timestamp within 7 algorithm md5 mode prefix-suffix
ip mobile secure foreign-agent 20.20.210.10 20.20.210.100 spi 100 key ascii cisco replay timestamp within 5 algorithm md5 mode prefix-suffix
ip mobile secure home-agent 20.20.202.10 20.20.202.95 spi 100 key ascii cisco replay timestamp within 7 algorithm md5 mode prefix-suffix
ip radius source-interface Loopback2
logging source-interface GigabitEthernet0/0.201
access-list 150 permit ip host 40.0.0.1 host 20.20.205.220 log
access-list 150 permit ip host 20.20.205.220 host 40.0.0.1 log
access-list 150 deny ip any any log
snmp-server community public RO
snmp-server community private RW
snmp-server trap-source Loopback0
snmp-server host 150.2.0.100 version 2c private
snmp-server host 150.2.0.100 public
radius-server attribute 44 include-in-access-req
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute 55 access-request include
radius-server host 150.2.0.1 auth-port 1645 acct-port 1646 key 7 121A0C041104
radius-server host 150.2.0.100 auth-port 1645 acct-port 1646 key cisco
radius-server retransmit 4
radius-server vsa send accounting
radius-server vsa send authentication
radius-server vsa send accounting 3gpp2
radius-server vsa send authentication 3gpp2
alias exec shc sh cdma pdsn
alias exec ua undebug all
alias exec ui undebug ip packet
ha2#
フィードバック