Cisco IOS リリース 12.4(24)YG2 向け Cisco ブロー ドバンド ワイヤレス ゲートウェイ リリース 2.2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: プロキシ モバイル IP
プロキシ モバイル IP
この章では、Cisco ブロードバンド ワイヤレス ゲートウェイ(BWG)のプロキシ モバイル IP 機能について説明します。また、これらの機能の設定方法と、必要に応じて設定例も示します。
概要
BWG の以前のリリースでは、ASN アンカー モビリティの基本機能を実装しました。ASN アンカー モビリティは、MS がデータ パス機能間を移動し、ASN ネットワークの北方向のエッジに常駐する同じアンカー FA(BWG)を維持するときに機能します。CSN とデータ パス機能間のデータ フローは、アンカー FA/BWG でピボットします。CSN は、ASN データ プレーン機能間で発生するモビリティを認識しません。ASN アンカー モビリティの典型的な例は、同じ BWG によって制御される BS 間のハンドオーバーです。
CSN アンカー モビリティは主に、R3 リファレンス ポイントを介した ASN と CSN 間のマクロモビリティを処理します。特にモバイル IPv4 の場合、現在の FA から新しい FA に再度位置指定することでバインディングが更新され(または MIP が再登録され)、アップストリームおよびダウンストリームのデータ フォワーディング パスが更新されることを意味します。
BWG リリース 2.0 で Proxy Mobile IP(PMIP;プロキシ モバイル IP)機能が導入されました。PMIP では、MIP クライアントが MS 内ではなく BWG 内に実装されます。
BWG(PMIP クライアント)の基本的な機能は、ユーザの代わりに Mobile IP Registration Request(RRQ;登録要求)を生成し、それを HA に送信して FA と HA 間にトンネルを確立することです。この作業を完了するには、PMIP クライアントは EAP 認証(またはシスコが開発した未認証ユーザ用 AAA アクセス)メカニズムを通じて、関連する MIP アトリビュートを収集する必要があります。AAA サーバは、標準のモビリティ サービス アトリビュートのセットを BWG に返します。この情報を使用して、BWG/PMIP クライアントは HA に対する MIP RRQ を開始します。HA は MS に割り当てられた IP アドレス(Home Address(HoA;ホーム アドレス))を含む Registration Reply(RRP;登録応答)を PMIP クライアントに返します。MIP RRQ/RRP 動作の結果、PMIP クライアントは FA と対話し、逆トンネリング機能を使用して FA と HA 間にデータ パスを確立します。
MIP の登録に成功すると、BWG は DHCP または ARP メカニズムを通じて、MS に割り当てられたIP アドレスを通知します。
•
複数の Home Agent(HA;ホーム エージェント)のサポート
• BWG/FA と HA 間の IP-in-IP および GRE トンネリング
• 別のアドレス割り当てメカニズム(DHCP、AAA)と連動するための PMIP クライアント
• MS の背後にある複数ホストに対する PMIP と簡易 IP のハイブリッド(共存)アプローチ
• WiMAX NWG 1.2.2 で規定されたモビリティ サービス(PMIP IPv4)の Radius アトリビュート(IPv4 PMIP 関連)のサポート
DHCP プロキシ サーバ
MIP を使用する場合、クライアントの IP アドレスの割り当ては DHCP サーバではなく HA が行います。そのため、BWG は DHCP プロトコルを(リレーではなく)終端させる必要があります。次の DHCP メッセージとオプション がサポートされています。
– 55:パラメータ要求リスト(サブネット マスク、DNS、DN)
プロキシ DHCP サーバと PMIP との対話
BWG リリース 2.0 では、DHCP プロキシだけがサポートされています。次のデータ フローは、DHCP プロキシ サーバと PMIP クライアント間の対話を示しています。
1. MS がネットワーク内に移動すると、BS と BWG が Pre-Attachment Req/Rsp/Ack 手順の情報を交換します。MS/BS は、認証を要求するかどうかを指定できます。
2. 認証が要求された場合、BWG は Identity Request 手順を開始します。
3. BWG は、AAA Access Request を送信します。
4. AAA と MS は必要に応じて、EAP 交換を開始します。
6. BWG で、AAA Access Accept を受信します。このメッセージには WiMAX アトリビュート(hHA-IP-MIP4、vHA-IP-MIP4、MN-hHA-MIP4-KEY、MN-vHA-MIP4-KEY、MN-HA-MIP4-SPI、HA-RK-KEY、HA-RK-SPI、および HA-RK-Lifetime)が含まれます。Home アトリビュートは、Visiting アトリビュートよりも優先されます。
7. MSK を受信すると、BWG は MSK から AK コンテキストを抽出して BS に配布し、そこで PKMv2 を使用して MS とキーが交換されます。FA-HA AE を抽出するときは NWG Stage 3 に基づき、適切な SPI を選択します。
8. BWG は DHCP/PMIP プロトコル ステート マシンを起動し、HA に対する MIP RRQ を構築します。RRQ メッセージ用の情報は AAA サーバやユーザ グループの設定から取得し、次の情報が含まれます。
– Lifetime:AAA または ユーザ グループの設定のセッション タイムアウト
– HoA:AAA の Framed IP Address またはゼロ
– Home Agent:AAA またはユーザ グループの設定
– Care-of Address:BWG 上のインターフェイス設定
– Host-Config。拡張(ユーザ グループで設定されている場合)
HA の逆トンネリング用仮想アクセス IDB も、作成されていない場合は作成する必要があります。
9. HA は AAA と対話して MIP キーを取得します。
10. HA は AAA から取得した MIP キーを使用して MN-HA AE と FA-HA AE を検証します。
11. HA で認証に成功すると、HA はそのアドレス スキーム(ローカル プール、DHCP、AAA など)を使用し、このモバイル ユーザにホーム アドレスを割り当てます。このアドレスは、BWG への RRP メッセージにも設定されます。BWG は Identification フィールドを確認し、整合性をチェックするために Mobile-Home Authentication Extension を計算します。Foreign-Home Authentication Extension が実装されている場合は、それも検証されます。すべての検証が正常に終了すると、ユーザ データを転送するための逆トンネルが BWG と HA 間に作成されます。
12. BWG と BS が GRE データ パスをセットアップします。このステップは、MIP RRQ/RRP と並行して実行する必要があります。
13. MS/ホストは DHCP DISCOVER を開始して IP アドレスを取得しようとします。
14. BWG は DHCP OFFER を MS/ホストに送信します。
15. 次に MS/ホストは DHCP REQUEST を送信します。
(注) この手順は多少 NWG 仕様とは異なっており、MIP RRQ が DHCP Discover メッセージによってトリガーされます。MIP RRQ メッセージが DHCP Discover による情報を必要としない限り、このシナリオは正常に動作します。
PMIP Authenticated Network Identifier(PANI)
BWG リリース 2.2 から、BWG は PMIP Authenticated Network Identifier(PANI; PMIP 認証済みネットワーク識別子)をサポートしています。PANI の詳細情報は、AAA サーバから Access Accept メッセージの一部として受信できます。PANI の詳細を受信すると、BWG は HA に対する RRQ を生成する際に、PANI を Network Access Identifier(NAI; ネットワーク アクセス識別子)として使用します。
次の表に、PANI の AAA-Authentication アトリビュートを示します。
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
複数の HA のサポート
BWG は、複数の HA と通信するよう設計されています。AAA は MS ごとに 1 つの HA IP アドレスを提供できます。AAA を利用できない場合は、ユーザ グループの設定から IP アドレスを取得します。
FA(BWG)と HA 間のトンネリング
BWG リリース 2.0 から、IP-in-IP と GRE の両方のトンネリング(GRE キーなし)がサポートされています。デフォルトの方式は IP-in-IP トンネリングです(RRQ で G ビットを設定しない)。GRE トンネリングが必要な場合(RRQ で G ビットを設定する)、ユーザ グループ単位で設定できます。
MIP ホスト設定拡張
MIP ホスト設定拡張は、RFC 4332 で規定されています。デフォルトはイネーブルです。proxy-mn セクションで no host-config-ext-request コマンドを使用して、明示的にディセーブルにできます。
次の HA のパラメータは、DHCP オプションとしてクライアントに渡すことができます。
• MIP ホーム ネットワーク プレフィクス長 → DHCP サブネット マスク(1)
• MIP デフォルト ゲートウェイ → DHCP ルータ(3)
DNS とデフォルト ゲートウェイの設定
BWG を使用すると、DNS とデフォルト ゲートウェイをローカルに設定したり、AAA サーバからダウンロードしたりできます。
HA が RFC4332(ホスト設定拡張)をサポートしていない場合、CLI を使用して BWG で DNS およびデフォルト ゲートウェイを設定できます。または AAA サーバから DNS およびデフォルト ゲートウェイの詳細をダウンロードするように BWG を設定できます。DNS およびデフォルト ゲートウェイの詳細は、DHCP プロキシ応答の一部として CPE に送信されます。
1. HA から RRP の一部として受信した DNS およびデフォルト ゲートウェイの詳細
2. BWG が AAA から受信した DNS およびデフォルト ゲートウェイの詳細
3. BWG でローカルに設定されている DNS およびデフォルト ゲートウェイ
DNS およびデフォルト ゲートウェイを設定するには、次のコマンドを使用します。
• [no] dns-server primary <ip address> secondary <ip address>
• [no] default-gateway <ip_address>
次に、DNS およびデフォルト ゲートウェイの設定例を示します。
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|
クライアントの IP アドレスの割り当て
PMIP は、ダイナミック IP と固定 IP の両方のアドレス割り当てメカニズムをサポートしています。固定 IP アドレスの場合、BWG はモバイル ステーションで設定済みの IP アドレスを ARP を通じて学習します。この場合 BWG は、IP アドレスが AAA サーバからダウンロードした IP アドレス プールの範囲内にあることを確認し、IP アドレスを許可します。もう 1 つの固定 IP アドレス方式では、BWG が AAA サーバから取得した IP アドレスを DHCP を通じて MS にリースするという動作に基づきます。どちらのシナリオでも、HA への MIP 登録時に BWG が IP アドレスを提供し、HA が登録を受け入れると、MS がその IP アドレスを使用できます。ダイナミック IP アドレスの場合、MIP 登録時に BWG は IP アドレスを提供せず、HA が固有のアドレス割り当てスキーム(AAA、DHCP、ローカル プールなど)に基づき、登録の応答時に MS/ホストに IP アドレスを割り当てます。
BWG が MIP 動作を呼び出す前に、DHCP リレー メカニズムまたは AAA からの Framed IP Address を通じて既に IP アドレスを取得している場合があります。その場合、BWG はそれらの IP アドレスを固定 IP のシナリオと同様に処理します。つまり、HA への MIP RRQ には、割り当て済みの IP が HoA として設定されます。
HA からの MIP の登録失効
HA からの MIP の失効がサポートされています。セキュリティ アソシエーションが RRP メッセージで確認されると、加入者のセッションは破棄されます。
PMIP ホストと簡易 IP ホストの共存
プロトコルの制限により、MIP 加入者が取得できる IP アドレスは 1 つだけです。これは、MS の背後にある複数のホストに対応できる現在の BWG 機能とは対照的です。このため、加入者の(デフォルトの)ホストだけが MIP HoA を割り当てられます。残りのホストは、その加入者用の PMIP が存在しないかのように、引き続き簡易 IP ホストとして機能します。
FA の位置変更
FA の位置変更は、MS が別の FA/BWG を通じてネットワークに再登録するときにトリガーされます。この場合、新しい BWG 内の PMIP クライアントが通常どおり RRQ を開始し、HA は古い FA/BWG の MS の登録を失効させます。
1. MS、BS-1、BWG-1、および HA 間でアクティブなセッションが確立されています。
2. MS が BS-2 に移動し、ネットワークへの再登録が必要になります。
3. ネットワークへの再登録の一部として、BGW-2 が HA に対して MIP RRQ を開始します。
4. HA が MS の既存のバインディングを検出し、MS の古い MIP 登録を失効させます。
5. MS のセッションがまだ存在する場合、BWG-1 はそのセッションのクリーンアップを開始します。
7. 同じ HoA を使用した MIP RRP が BGW-2 に送信されます。
9. BWG-2 が MS の IP アドレスとして HoA を提供します。
11. IP アドレスが割り当てられたことを確認するため、BWG は DHCP Ack を返します。
モバイル IP を使用すると、マクロモビリティの状況では、加入者のホストは同じ HA によって常に同じ IP アドレスを割り当てられます。ただし、マクロモビリティの状況でも、MS の背後にある複数の簡易 IP ホストは同じ IP アドレスを割り当てられない場合があります。これは、関係する 2 つのサービス プロバイダー間の規定によって決まります。BWG-1 と BWG-2 が同じ DHCP サーバを共有する場合は、DHCP サーバで、マクロモビリティ イベント後に確実に同じ IP アドレスを簡易ホストに割り当てるメカニズムを使用できます。一方、BWG-1 と BWG-2 が異なる DHCP サーバを使用する場合、マクロモビリティ イベント後に簡易 IP ホストの IP アドレスが同じであるとは限りません。
(注) R4 ベースのアイドル モードの FA の位置変更は、このリリースではサポートされません。
イーサネット CS L2-L3 または IPCS
MIP プロトコルでは、HA と FA 間でトンネルされるパケットは IP パケットである必要があります。BWG の場合、イーサネット CS L2-L3 または IPCS は、CSN(HA)へのレイヤ 3 IP パケットになります。したがって、BWG の PMIP サポートでは、イーサネット CS L2-L3 および IPCS の両方と連動できるよう設計されています。
一方、ユーザ グループでイーサネット CS L2-L2 ブリッジングがイネーブルの場合、それらのユーザに対して PMIP 機能が自動的にディセーブルになります。つまり、L2 ブリッジングのほうが PMIP 機能よりも優先されます。
WiMAX RADIUS アトリビュート
WiMAX Forum NWG 1.2.2 標準のアトリビュートがサポートされます。次の表に、サポートされるアトリビュートの詳細を示します。
|
|
|
|---|---|
セッション タイムアウト(32 ビット)は登録のライフタイム(16 ビット)に変換されます。最大値は 65534(秒単位)です。 |
|
ステートフル セッションの冗長性
PMIP クライアント/FA には、セッションの冗長性を実現する独自のスキームが存在しません。そのため、ステートフル データは BWG のセッション データの一部として同期されます。スイッチオーバーが発生したときの目標は、新たにアクティブになった BWG が最小のパケット損失でセッションを継続できることです。
PMIP のステートフル セッション情報を BWG セッション データと共に同期するには、 ip mobile foreign-agent redundancy CLI をイネーブルにする必要があります。
PMIP プロファイルの設定
次に、HA アドレスおよび GRE トンネリング以外のパラメータの例を示します。
各ユーザ グループは任意で、設定済みの PMIP プロファイルにリンクできます。
(注) IP モバイル設定は任意です。必要な加入者ごとのプロビジョニング情報がすべて AAA サーバに存在する限り、加入者に対して PMIP 機能を実行できます。gre-tunneling-enable を除くすべてのユーザ グループの設定は、それに対応する加入者の AAA の設定を利用できない場合に、デフォルトとして機能します。
BWG 側で PMIP サポートをアクティブにするには、いくつかの基本的なモバイル IP 設定を行う必要があります。たとえば、インターフェイス イーサネット 1/3 を介して PMIP サービスを有効にするには、次のモバイル IP コマンドを実行する必要があります。
(注) ip mobile foreign-agent redundancy CLI を設定すると、PMIP の冗長性を実現できます。
グローバル コマンドを通じて PMIP サービスをイネーブルにすると、pmip profile を使用するか AAA サーバから提供されるアトリビュートを設定して、WiMAX ユーザ グループごとに MIP を設定できます。
BWG では L2-L2 ブリッジングは MIP と連動しません。確立されたセッションが PMIP で、L2 ブリッジングが設定されている場合、L2 ブリッジングはディセーブルになります。セッションが PMIP の場合、L2-L3 オプションはイーサネット CS で使用されます。
L2-L2 ブリッジングをイネーブルにするには、次の手順を実行します。
|
|
|
|
|---|---|---|
router(config)# wimax agw user group-list wimax |
IPCS ユーザまたは L2-L3 ユーザの場合、ユーザの PMIP 機能は AAA アトリビュートを通じて指定されます。AAA アトリビュートが存在しない場合は、pmip profile を使用してユーザ グループの設定で指定されます。
次に、PMIP プロファイルとユーザ グループの設定例を示します。
「host-config-ext-request」はデフォルトでイネーブルです。
G ビット = gre-tunneling-enable を使用して設定
(注) GRE トンネルは、FA CLI を使用して設定する必要があります。AAA サーバが必要な PMIP 加入者の情報をすべて提供できる場合、ユーザ グループの設定はすべて任意です。
セッションの登録ライフタイムは、次のいずれかの方法で取得できます。
• mn-ha-key ライフタイムは未設定、session_timeout は未設定、AAA は session_timeout を送信しない:
この場合、reg_lifetime は無制限(65535)と見なされます。
• mn-ha-key ライフタイムは未設定、session_timeout は 65535 より大きく設定:
この場合、session_timeout 値は 65535 に切り詰められ、reg_lifetime として使用されます。
• mn-ha-key ライフタイムは 0 より大きく、65536 より小さく設定、session_timeout も 0 より大きく、65536 より小さく設定:
この場合、mn-ha-key ライフタイムが reg_lifetime として使用されます。
この値が 0 より大きく、65536 より小さい場合、reg_lifetime として使用されます。この値が 65535 より大きい場合、65535 に切り詰められた値が使用されます。
NAI の設定
認証の初期段階では、BWG は MS の NAI を使用して情報を取得します。
次に、ループバックを使用した FA インターフェイスの冗長性設定の例を示します。
PMIP の設定はアクティブおよびスタンバイ BWG の両方で同一ですが、物理インターフェイスは HSRP によって異なります。
次に、HSRP グループ アドレスを使用した FA インターフェイスの冗長性設定の例を示します。
PMIP の設定はアクティブおよびスタンバイ BWG の両方で同一ですが、物理インターフェイスは HSRP によって異なります。
設定の確認
BWG 上の PMIP 情報の確認およびトラブルシューティングを行うには、次の手順を実行します。
BWG リリース 2.0 では、次のデバッグ コマンドが追加されました。
|
|
|
|
|---|---|---|
FA 上の PMIP レジストリ テーブルを確認するには、次のコマンドを実行します。
HA のバインディング テーブルを確認するには、次のコマンドを実行します。
HA と FA 間のモバイル IP トンネルを確認するには、次のコマンドを実行します。
モバイル ノードの HA ルーティング テーブルを確認するには、次のコマンドを実行します。
フィードバック