- このマニュアルについて
- GPRS および UMTS の概要
- ゲートウェイ GPRS サポート ノード (GGSN)の設定プランニング
- GGSN での GTP サービスの設定
- GGSN での IPv6 PDP サポートの設定
- ゲートウェイ GPRS サポート ノード (GGSN)の GPRS トンネリング プロトコル (GTP)セッション冗長性の設定
- GGSN での課金の設定
- 拡張サービス認識課金の実装
- GGSN へのネットワーク アクセスの設定
- GGSN での PPP サポートの設定
- GGSN での QoS の設定
- GGSN でのセキュリティの設定
- GGSN でのダイナミック アドレッシングの設 定
- GGSN でのロード バランシングの設定
- モニタリング通知
Cisco GGSN リリース 9.2 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: GGSN へのネットワーク アクセスの設定
- SGSN へのインターフェイスの設定
- SGSN へのルートの設定
- GGSN でのアクセス ポイントの設定
GGSN へのネットワーク アクセスの設定
この章では、Gateway GPRS Support Node(GGSN; ゲートウェイ GPRS サポート ノード)から Serving GPRS Support Node(SGSN; サービング GPRS サポート ノード)、Public Data Network(PDN; 公衆データ網)、および任意で Virtual Private Network(VPN; バーチャル プライベート ネットワーク)へのアクセスを設定する方法について説明します。また、GGSN にアクセス ポイントを設定する方法についても説明します。
この章に記載されている GGSN コマンドの詳細については、使用している Cisco GGSN リリースの『 Cisco GGSN Command Reference 』を参照してください。この章に記載されているその他のコマンドのマニュアルを参照するには、コマンド リファレンスのマスター インデックスを使用するか、またはオンラインで検索してください。
•
「SGSN へのインターフェイスの設定」(必須)
• 「SGSN へのルートの設定」(必須)
• 「GGSN でのアクセス ポイントの設定」(必須)
• 「外部サポート サーバへのアクセスの設定」(任意)
• 「外部モバイル ステーションから GGSN へのアクセスのブロック」(任意)
• 「IP アドレスが重複する MS による GGSN へのアクセスの制御」(任意)
• 「APN でのモバイル ステーション背後へのルーティングの設定」(任意)
• 「APN での Proxy-CSCF 検出サポートの設定」(任意)
• 「GGSN でのアクセス ポイントのモニタリングおよびメンテナンス」
• 「設定例」
SGSN へのインターフェイスの設定
SGSN へのアクセスを確立するには、SGSN へのインターフェイスを設定する必要があります。General Packet Radio Service(GPRS; グローバル パケット ラジオ サービス)/Universal Mobile Telecommunication System(UMTS)では、GGSN と SGSN 間のインターフェイスは Gn インターフェイス と呼ばれています。Cisco GGSN では、2.5G と 3G の両方の Gn インターフェイスがサポートされています。
Cisco 7600 シリーズ ルータ プラットフォームでは、Gn インターフェイスはスーパーバイザ エンジンに設定されたレイヤ 3 ルーテッド Gn VLAN への論理インターフェイスとなります(ここに IEEE 802.1Q カプセル化が設定されます)。
スーパーバイザ エンジン上の Gn VLAN の詳細については、「プラットフォームの前提条件」を参照してください。
インターフェイスの設定の詳細については、『 Cisco IOS Interface Configuration Guide 』および『 Cisco IOS Interface Command Reference 』を参照してください。
Gn VLAN に対する IEEE 802.1Q カプセル化をサポートするサブインターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
Router(config)# interface gigabitethernet slot/port.subinterface-number |
||
SGSN へのインターフェイスの設定の検証
ステップ 1 スーパーバイザ エンジンに Gn インターフェイスを適切に設定したことを検証するには、 show running-config コマンドを使用します。ファスト イーサネット 8/22 物理インターフェイス設定(太字部分を参照)を SGSN への Gn インターフェイスとして表示するコマンドの出力例を次に示します。
ステップ 2 物理インターフェイスおよび Gn VLAN が利用可能であることを検証するには、スーパーバイザ エンジンで show interface コマンドを使用します。次に、課金ゲートウェイへのファスト イーサネット 8/22 物理インターフェイスが稼動している例を示します。Gn VLAN である VLAN 101 が稼動しています。
ステップ 3 Gn VLAN の設定および可用性を検証するには、スーパーバイザ エンジンで show vlan name コマンドを使用します。Gn VLAN Gn_1 の例を次に示します。
ステップ 4 GGSN で、Gn VLAN への Gn サブインターフェイスを適切に設定したことを検証するには、 show running-config コマンドを使用します。ギガビット イーサネット 0/0.2 物理インターフェイス設定を課金ゲートウェイへの Gn インターフェイスとして表示するコマンドの出力例を次に示します。
ステップ 5 サブインターフェイスが利用可能であることを検証するには、 show ip interface brief コマンドを使用します。Gn VLAN へのギガビット イーサネット 0/0.2 サブインターフェイスが「稼動」し、プロトコルも「稼動」している例を次に示します。
SGSN へのルートの設定
SGSN との通信には、スタティック ルートか、または Open Shortest Path First(OSPF)などのルーティング プロトコルを使用できます。
(注) SGSN が GGSN と正常に通信するには、SGSN にスタティック ルートを設定するか、または SGSN から GGSN インターフェイスの IP アドレスではなく、GGSN 仮想テンプレートの IP アドレスに動的にルーティングできるようにする必要があります。
ここでは、スタティック ルートを設定したり、GGSN で OSPF ルーティングをイネーブルにしたりするための基本的なコマンドについて説明します。IP ルートの設定の詳細については、『 Cisco IOS IP Configuration Guide 』および『 Cisco IOS IP Command References 』を参照してください。
SGSN へのスタティック ルートの設定
スタティック ルートは SGSN への固定ルートで、ルーティング テーブルに格納されます。OSPF などのルーティング プロトコルを実装しない場合は、SGSN へのスタティック ルートを設定して、ネットワーク デバイス間のパスを確立できます。
インターフェイスから SGSN へのスタティック ルートを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
OSPF の設定
他のルーティング プロトコルと同じく、OSPF をイネーブルにするには、OSPF ルーティング プロセスを作成し、そのルーティング プロセスに関連付ける IP アドレスの範囲を指定し、その IP アドレス範囲に関連付けるエリア ID を割り当てる必要があります。
(注) Cisco 7600 シリーズ ルータ プラットフォームでは、OSPF ルーティング プロセスがスーパーバイザ エンジンに設定されており、GPRS Tunneling Protocol(GTP; GPRS トンネリング プロトコル)Server Load Balancing(SLB; サーバ ロード バランシング)仮想サーバと GGSN 仮想テンプレート アドレスだけをアドバタイズするようになっています。
OSPF を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
SGSN へのルートの検証
SGSN へのルートを検証するには、まず GGSN 設定を検証し、ルートが確立されていることを検証します。
ステップ 1 スーパーバイザ エンジン設定を検証するには、 show running-config コマンドを使用し、SGSN に対して設定したルートを検証します。SGSN に対する設定の一部を次に示します。
ステップ 2 GGSN 設定を検証するには、 show running-config コマンドを使用します。SGSN に対する設定の一部を次に示します。
ステップ 3 スーパーバイザ エンジンが SGSN へのルートを確立したことを検証するには、次の例に太字で示すように、 show ip route コマンドを使用します。
GGSN でのアクセス ポイントの設定
GGSN にアクセス ポイントを正しく設定するには、モバイル セッションで外部の PDN およびプライベート ネットワークに適切なアクセスを確立できるように、慎重に検討および計画する必要があります。
• 「GGSN での実アクセス ポイントの設定」(必須)
• 「GGSN での仮想アクセス ポイントの設定」(任意)
また、サポート対象の Dynamic Host Configuration Protocol(DHCP)サーバおよび Remote Authentication Dial-In User Service(RADIUS)サーバを使用する場合には、それぞれのサーバとの通信を適切に確立して、アクセス ポイントでダイナミック IP アドレッシング機能およびユーザ認証機能を提供する必要もあります。
アクセス ポイントで DHCP や RADIUS など他のサービスを設定する方法については、 「GGSN でのダイナミック アドレッシングの設定」 と 「GGSN でのセキュリティの設定」 の各章で詳しく説明します。
アクセス ポイントの概要
GPRS/UMTS ネットワークのアクセス ポイントの説明
GPRS と UMTS の規格では、Access Point Name(APN; アクセス ポイント ネーム)と呼ばれるネットワーク ID を定義しています。APN は、ネットワークのどの部分にユーザ セッションが確立されるかを識別するための情報です。GPRS/UMTS バックボーンでは、APN は GGSN を参照する情報となります。APN は、GPRS/UMTS ネットワークの GGSN に設定され、GGSN からアクセスできます。
APN を使用すると、公衆データ網(PDN)、プライベート ネットワーク、または企業ネットワークにアクセスできるようになります。また、APN をインターネット アクセスや Wireless Application Protocol(WAP)など特定のタイプのサービスに関連付けることができます。
ユーザがセッションの確立を要求すると、Packet Data Protocol(PDP; パケット データ プロトコル)コンテキストの作成要求メッセージを介して APN が Mobile Station(MS; モバイル ステーション)または SGSN から GGSN に提供されます。
APN を識別するため、次の 2 つの要素からなる論理名が定義されています。
• ネットワーク ID:APN の必須要素で、GGSN が接続される外部のネットワークを識別します。ネットワーク ID は、長さが最大 63 バイトで、ラベルが少なくとも 1 つ含まれている必要があります。複数のラベルが含まれているネットワーク ID は、インターネット ドメイン名であると解釈されます。たとえば、「corporate.com」はネットワーク ID です。
• オペレータ ID:APN の任意の要素であり、GGSN が存在する Public Land Mobile Network(PLMN; パブリック ランド モバイル ネットワーク)を識別します。オペレータ ID は小数点で区切られた 3 つのラベルからなり、最後のラベルは常に「gprs」とする必要があります。たとえば、「mnc10.mcc200.gprs」というようになります。
オペレータ ID は、存在する場合には、ネットワーク ID のあとに配置されます。この ID は、GGSN の Domain Name System(DNS; ドメイン ネーム システム)名に相当します。APN の最大長は 100 バイトです。オペレータ ID が存在しない場合は、International Mobile Subscriber Identity(IMSI)に含まれる Mobile Network Code(MNC; モバイル ネットワーク コード)および Mobile Country Code(MCC; モバイル国コード)情報から、デフォルトのオペレータ ID が取得されます。
Cisco GGSN でのアクセス ポイントの実装
アクセス ポイントの設定は、Cisco GGSN で中心となる設定作業の 1 つです。GPRS/UMTS ネットワークに GGSN を適切に実装するには、アクセス ポイントを適切に設定する必要があります。
APN を設定する場合、Cisco GGSN ソフトウェアでは次の設定要素を使用します。
• アクセス ポイント リスト:Cisco GGSN の仮想テンプレートに関連付けられる論理インターフェイス。アクセス ポイント リストには、1 つ以上のアクセス ポイントが含まれています。
• アクセス ポイント:APN およびそれに関連付けられたアクセス特性を定義します。アクセス特性には、セキュリティやダイナミック アドレッシング方式などがあります。Cisco GGSN のアクセス ポイントは、仮想アクセス ポイントまたは実アクセス ポイントのいずれかにできます。
• アクセス ポイント インデックス番号:GGSN 設定内の APN を識別するために APN に割り当てられる整数。GGSN コンフィギュレーション コマンドの中には、インデックス番号を使用して APN を参照するものがあります。
• アクセス グループ:ルータに追加で設定可能なルータ セキュリティ。アクセス ポイントに設定して、PDN とのアクセスを制御できます。従来の IP アクセス リストの定義に従って MS から GGSN へのアクセスを許可する場合、IP アクセス グループには(アクセス ポイントで)PDN へのアクセスを許可するかどうかも定義します。IP アクセス グループ設定では、PDN から MS へのアクセスを許可するかどうかも定義できます。
Cisco IOS GGSN リリース 3.0 以降は、次のアクセス ポイント タイプをサポートしています。
• 実:インターフェイス経由で特定のターゲット ネットワークに直接アクセスするように GGSN を設定するには、実アクセス ポイント タイプを使用します。GGSN は、常に実アクセス ポイントを使用して外部のネットワークに到達します。
GGSN に実アクセス ポイントを設定する方法の詳細については、「GGSN での実アクセス ポイントの設定」を参照してください。
• 仮想:GGSN に仮想 APN アクセス ポイントを設定して複数のターゲット ネットワークへのアクセスを統合するには、仮想アクセス ポイント タイプを使用します。GGSN では常に実アクセス ポイントを使用して外部のネットワークに到達するため、GGSN の仮想アクセス ポイントは、実アクセス ポイントと組み合せて使用する必要があります。
GGSN に仮想アクセス ポイントを設定する方法の詳細については、「GGSN での仮想アクセス ポイントの設定」を参照してください。
(注) GGSN リリース 1.4 以前では、実アクセス ポイントだけがサポートされています。PLMN のプロビジョニングの問題に対処するため、GGSN リリース 3.0 以降では、仮想アクセス ポイント タイプもサポートされています。また、GGSN リリース 6.0 と Cisco IOS リリース 12.3(14)YU 以降では、「事前認証」フェーズ中に、ユーザごとにターゲット APN に動的にマッピングされるように仮想 APN を設定できます。詳細については、「GGSN での仮想アクセス ポイントの設定」を参照してください。
基本的なアクセス ポイント設定の作業リスト
この項では、GGSN にアクセス ポイントを設定するために必要となる、基本的な作業について説明します。仮想 APN アクセスなど特殊な機能向けにアクセス ポイントを設定する方法については、この章の別の項で詳しく説明します。
GGSN にアクセス ポイントを設定するには、次の基本的な作業を実行します。
GGSN での GPRS アクセス ポイント リストの設定
GGSN ソフトウェアでは、 アクセス ポイント リスト と呼ばれるエンティティを設定する必要があります。GPRS アクセス ポイント リストには、GGSN に設定する仮想アクセス ポイントおよび実アクセス ポイントの集合を定義します。
グローバル コンフィギュレーション モードでアクセス ポイント リストを設定した場合は、GGSN ソフトウェアがアクセス ポイント リストを GGSN の仮想テンプレート インターフェイスに自動的に関連付けます。このため、GGSN では、アクセス ポイント リストは 1 つだけ使用できます。
(注) GPRS/UMTS アクセス ポイント リストと IP アクセス リストとでは、Cisco IOS ソフトウェアのエンティティが異なることに注意してください。GPRS/UMTS アクセス ポイント リストはアクセス ポイントおよびその関連する特性を定義するものであり、IP アクセス リストは IP アドレスによるルータへのアクセスの許可を制御するものです。アクセス ポイントに対する権限を定義するには、グローバル設定に IP アクセス リストを設定し、アクセス ポイント設定に ip-access-group コマンドを設定します。
GPRS/UMTS アクセス ポイント リストを設定し、リスト内にアクセス ポイントを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
新しいアクセス ポイント リストの名前を指定するか、既存のアクセス ポイント リストの名前を参照し、アクセス ポイント リスト コンフィギュレーション モードを開始します。 |
GGSN でのアクセス ポイントの作成およびそのタイプの指定
GGSN のアクセス ポイント リストにアクセス ポイントを定義する必要があります。このため、アクセス ポイントを作成するには、まず GGSN に新しいアクセス ポイント リストを定義するか、または既存のアクセス ポイント リストを指定して、アクセス ポイント リスト コンフィギュレーション モードにする必要があります。
アクセス ポイントを作成する場合は、インデックス番号をアクセス ポイントに割り当て、アクセス ポイントのドメイン名(ネットワーク ID)を指定し、アクセス ポイントのタイプ(仮想または実)を指定する必要があります。アクセス ポイントに設定できる他のオプションについては、「追加の実アクセス ポイント オプションの設定」にまとめます。
アクセス ポイントを作成し、そのタイプを指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
GGSN での実アクセス ポイントの設定
GGSN は、実アクセス ポイントを使用して、GGSN の Gi インターフェイス経由で使用可能な PDN またはプライベート ネットワークと通信します。インターフェイス経由で特定のターゲット ネットワークに直接アクセスするように GGSN を設定するには、実アクセス ポイント タイプを使用します。
仮想アクセス ポイントを設定した場合は、ターゲット ネットワークに到達するための実アクセス ポイントも設定する必要があります。
GGSN は、公衆データ網およびプライベート ネットワークへのアクセス ポイントの設定をサポートしています。ここでは、次のような多様な実アクセス ポイントの設定方法について説明します。
PDN アクセス設定の作業リスト
• PDN へのインターフェイスの設定(Gi インターフェイス)(必須)
• PDN のアクセス ポイントの設定(必須)
PDN へのインターフェイスの設定
GPRS/UMTS ネットワークの PDN へのアクセスを確立するには、PDN に接続するように GGSN 上のインターフェイスを設定する必要があります。このインターフェイスは、 Gi インターフェイス と呼ばれています。
Cisco 7600 シリーズ ルータ プラットフォームでは、このインターフェイスはスーパーバイザ エンジンに設定されたレイヤ 3 ルーテッド Gi VLAN への論理インターフェイスとなります(ここに IEEE 802.1Q カプセル化が設定されます)。
スーパーバイザ エンジン上の Gi VLAN の詳細については、「プラットフォームの前提条件」を参照してください。
インターフェイスの設定の詳細については、『 Cisco IOS Interface Configuration Guide 』および『 Cisco IOS Interface Command Reference 』を参照してください。
(注) VPN アクセスに VPN Routing And Forwarding(VRF; VPN ルーティングおよび転送)を使用している場合は、GGSN で Cisco Express Forwarding(CEF)スイッチングをイネーブルにする必要があります。グローバル設定レベルで CEF スイッチングをイネーブルにした場合は、個別のインターフェイスで特にディセーブルにしていないかぎり、どのインターフェイスでも自動的にイネーブルになります。
Gi VLAN に対する IEEE 802.1Q カプセル化をサポートするサブインターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
Router(config)# interface gigabitethernet slot/port.subinterface-number |
||
PDN のアクセス ポイントの設定
PDN のアクセス ポイントを設定するには、GPRS アクセス ポイント リストに実アクセス ポイントを定義する必要があります。
GGSN に実アクセス ポイントを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
GPRS アクセス ポイントの設定例については、「アクセス ポイント リスト設定の例」を参照してください。
VRF を使用した VPN アクセスの設定の作業リスト
Cisco IOS GGSN ソフトウェアは、VPN ルーティングおよび転送(VRF)を使用した VPN への接続をサポートしています。
(注) VRF は、IPv6 PDP ではサポートされていません。このため、VRF がイネーブルになっている APN に ipv6 コマンドを設定した場合、IPv4 PDP は VRF でルーティングされますが、IPv6 PDP はグローバル ルーティング テーブルでルーティングされます。
GGSN ソフトウェアでは、数種類の方法で VPN へのアクセスを設定できます。どの方法を使用するかは、稼動中のプラットフォーム、GGSN と PDN 間の Gi インターフェイスに対するネットワーク設定、およびアクセス先の VPN によって異なります。
GGSN で VRF を使用して VPN アクセスを設定するには、次の作業を実行します。
• 「CEF スイッチングのイネーブル」(必須)
• 「GGSN での VRF ルーティング テーブルの設定」(必須)
• 「VRF を使用した VPN へのルートの設定」(必須)
• 「VRF を使用した PDN へのインターフェイスの設定」(必須)
• 「VPN へのアクセスの設定」(必須)
設定例については、「VRF トンネル設定の例」を参照してください。
CEF スイッチングのイネーブル
CEF スイッチングを GGSN でグローバルにイネーブルにすると、GGSN のすべてのインターフェイスで CEF スイッチングが自動的にイネーブルになります。
(注) CEF スイッチングを適切に機能させるには、no ip cef コマンドを使用して CEF スイッチングをディセーブルにしたあと、少し待ってから CEF スイッチングをイネーブルにします。
GGSN 上のどのインターフェイスでも CEF スイッチングをイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
GGSN での VRF ルーティング テーブルの設定
GGSN に VRF ルーティング テーブルを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
VRF を使用した VPN へのルートの設定
GGSN とアクセス先のプライベート ネットワークとの間にルートが存在することを確認してください。GGSN からプライベート ネットワーク アドレスに対して ping コマンドを使用して、接続性を検証できます。ルートを設定するには、スタティック ルートまたはルーティング プロトコルを使用できます。
VRF を使用してスタティック ルートを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
設定したスタティック VRF ルートが GGSN によって確立されたことを検証するには、次の例に示すように、 show ip route vrf 特権 EXEC コマンドを使用します。
VRF を使用して OSPF ルートを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
OSPF ルーティングをイネーブルにし、ルータ コンフィギュレーション モードを開始します。 • |
VRF を使用した PDN へのインターフェイスの設定
PDN へのアクセスを確立するには、PDN に接続するためのインターフェイスが GGSN 上に必要です。このインターフェイスは、Gi インターフェイスと呼ばれています。
Cisco 7600 シリーズ ルータ プラットフォームでは、このインターフェイスはスーパーバイザ エンジンに設定されたレイヤ 3 ルーテッド Gi VLAN への論理インターフェイスとなります(ここに IEEE 802.1Q カプセル化が設定されます)。
スーパーバイザ エンジン上の Gi VLAN の詳細については、「プラットフォームの前提条件」を参照してください。
インターフェイスの設定の詳細については、『 Cisco IOS Interface Configuration Guide 』および『 Cisco IOS Interface Command Reference 』を参照してください。
(注) VPN アクセスに VRF を使用している場合は、GGSN で CEF スイッチングをイネーブルにする必要があります。グローバル設定レベルで CEF スイッチングをイネーブルにした場合は、個別のインターフェイスで特にディセーブルにしていないかぎり、どのインターフェイスでも自動的にイネーブルになります。
Gi VLAN に対する IEEE 802.1Q カプセル化をサポートするサブインターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
Router(config)# interface gigabitethernet slot/port.subinterface-number |
||
VPN へのアクセスの設定
前提となる設定作業を完了したあと、トンネルを使用する、または使用しない VPN へのアクセスを設定できます。
ここでは、VPN へのアクセスを設定するためのさまざまな方法について説明します。
(注) GGSN リリース 5.0 以降では、複数の APN を同じ VRF に割り当てることができます。
複数の Gi インターフェイスを異なる PDN に設定し、そのうちの 1 つの PDN から VPN にアクセスする必要がある場合、IP トンネルを設定しなくても、その VPN へのアクセスを設定できます。このような場合に VPN へのアクセスを設定するには、 vrf アクセス ポイント コンフィギュレーション コマンドを設定する必要があります。
GPRS アクセス ポイント リストに VPN へのアクセスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
他のアクセス ポイント設定オプションの詳細については、「追加の実アクセス ポイント オプションの設定」を参照してください。
PDN から 1 つ以上の VPN にアクセスする必要があるものの、その PDN への Gi インターフェイスが 1 つだけである場合は、それらのプライベート ネットワークにアクセスするための IP トンネルを設定できます。
トンネルを使用する VPN へのアクセスを設定するには、次の作業を実行します。
• VPN アクセス ポイントの設定(必須)
• IP トンネルの設定(必須)
GPRS アクセス ポイント リストに VPN へのアクセスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
他のアクセス ポイント設定オプションの詳細については、「追加の実アクセス ポイント オプションの設定」を参照してください。
トンネルを設定する場合は、ループバック インターフェイスを実インターフェイスではなく、トンネル エンドポイントとして使用することを推奨します。これは、ループバック インターフェイスが常に稼動しているためです。
プライベート ネットワークへの IP トンネルを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
追加の実アクセス ポイント オプションの設定
この項では、GGSN アクセス ポイントに対して指定できる設定オプションの要約を示します。
これらのオプションの中には、GGSN を設定する他のグローバル ルータ設定と組み合せて使用されるものがあります。一部のオプションの設定については、この章の他のトピックおよびこのマニュアルの他の章でさらに詳しく説明します。
(注) Cisco IOS ソフトウェアでは仮想アクセス ポイントで他のアクセス ポイント オプションを設定することもできますが、仮想アクセス ポイントには access-point-name コマンドと access-type コマンドだけを適用できます。他のアクセス ポイント コンフィギュレーション コマンドは、設定しても無視されます。
GGSN アクセス ポイントのオプションを設定するには、アクセス ポイント リスト コンフィギュレーション モードで次のコマンドを使用します。
実アクセス ポイント設定の検証
この項では、GGSN にアクセス ポイントを適切に設定したことを検証する方法について説明します。このための作業は次のとおりです。
GGSN 設定の検証
GGSN にアクセス ポイントを適切に設定したことを検証するには、 show running-config コマンドおよび show gprs access-point コマンドを使用します。
(注) show running-config コマンドの出力では、まず、仮想テンプレート インターフェイスの下に gprs access-point-list コマンドが出力されます。このことは、GPRS アクセス ポイント リストが設定されており、かつ仮想テンプレートに関連付けられていることを示します。GPRS アクセス ポイント リスト内の、特定のアクセス ポイントの設定を検証するには、show コマンドの出力の、さらに下の部分を参照します。gprs access-point-list コマンドが再び出力されており、そのあとに個々のアクセス ポイント設定が続きます。
ステップ 1 グローバル コンフィギュレーション モードから、次の例に示すように、 show running-config コマンドを使用します。 gprs access-point-list コマンドが仮想テンプレート インターフェイスの下に出力されていることを検証し、 gprs access-point-list セクション内で太字で示された個々のアクセス ポイントの設定を検証します。
ステップ 2 GGSN の特定のアクセス ポイントの設定をさらに詳しく表示するには、次の例に示すように、 show gprs access-point コマンドを使用し、アクセス ポイントのインデックス番号を指定します。
ステップ 3 GGSN に設定されている各アクセス ポイントの概要を表示するには、次の例に示すように、 show gprs access-point all コマンドを使用します。
アクセス ポイント経由でのネットワークの到達可能性の検証
次の手順では、MS から宛先ネットワークまでの到達可能性を検証するための基本的な方法を示します。
(注) 宛先ネットワークに正常に到達できるかどうかには、多くの要因が影響を及ぼします。この手順はどの要因にも全面的に対処しようとするものではありませんが、GGSN の APN、IP ルーティング、および物理接続に関する特定の設定が、ホストと MS 間のエンドツーエンド接続に影響を及ぼすことに注意してください。
MS からネットワークに到達できることを検証するには、次のステップを実行します。
ステップ 1 MS から(たとえば、ハンドセットを使用して)、接続先となる APN を指定して、GGSN を含めた PDP コンテキストを作成します。次の例では、APN gprt.Cisco.com を指定します。
ステップ 2 GGSN でグローバル コンフィギュレーション モードから、 show gprs access-point コマンドを使用し、作成されたネットワーク PDP コンテキストの数を検証します(この APN 出力フィールドで PDP の総数を確認します)。
正常に作成された PDP コンテキスト要求の例を次に示します。
ステップ 3 さらにテストするには、ネットワークへのトラフィックを生成します。このことを行うには、次の例に示すように、ハンドセットまたはハンドセットに接続されているラップトップから宛先ネットワーク上のホストまで、 ping コマンドを使用します。
(注) DNS の設定に関する問題が発生しないようにするため、宛先ネットワーク内で到達できると推定されるホストの(ホスト名ではなく)IP アドレスを使用します。このテストを機能させるには、選択するホストの IP アドレスが GGSN によって正常にルーティングできるものである必要があります。
また、APN が設定され、Gi インターフェイス経由の宛先ネットワークへの物理接続が確立されている必要があります。たとえば、到達しようとしているホストが VPN 内にある場合、VPN へのアクセスが提供されるように、APN を適切に設定する必要があります。
ステップ 4 PDP コンテキストによるトラフィックの生成を開始したあと、 show gprs gtp pdp-context コマンドを使用して、送信バイト、受信バイト、パケットのカウントなど詳細な統計情報を表示します。
ヒント APN で特定の PDP コンテキストの Terminal Identifier(TID; 端末識別子)を見つけるには、show gprs gtp pdp-context access-point コマンドを使用します。
TID 81726354453647FA という PDP コンテキストの出力例を次に示します。
GGSN での仮想アクセス ポイントの設定
設定例については、「仮想 APN 設定の例」を参照してください。
仮想アクセス ポイント機能の概要
GGSN リリース 3.0 以降は、GGSN の仮想アクセス ポイント タイプを使用した PLMN からの仮想 APN アクセスをサポートしています。GGSN の仮想 APN 機能を使用すると、GGSN の共有 APN アクセス ポイント経由で、複数のユーザがそれぞれ異なる物理ターゲット ネットワークにアクセスできます。
GPRS/UMTS ネットワークでは、ホーム ロケーション レジスタ(HLR)や DNS サーバなど複数の GPRS/UMTS ネットワーク エンティティに、ユーザ APN 情報を設定する必要があります。HLR では、ユーザ加入データによって、IMSI(ユーザごとに一意)が、アクセスを許可されている各 APN に関連付けられています。DNS サーバでは、APN が GGSN IP アドレスと相互に関連付けられています。DHCP サーバまたは RADIUS サーバを使用中である場合は、それぞれのサーバまで APN 設定を広げることができます。
仮想 APN 機能は、GGSN に設定した単一の仮想 APN を介してすべての実 APN へのアクセスを統合することによって、APN プロビジョニングの所要量を削減します。このため、HLR および DNS サーバでは、到達しようとする実 APN がそれぞれプロビジョニングされるのではなく、仮想 APN だけがプロビジョニングされます。また、仮想 APN 向けに GGSN を設定する必要があります。
(注) Cisco 7600 シリーズ ルータ プラットフォームでは、仮想サーバによってロード バランシングされる各 GGSN に、同じ仮想 APN 設定が存在する必要があります。
• スケーラビリティが高く、多数の企業ネットワーク、ISP、およびサービスに対応できます。
• AAA サーバから APN(事前認証ベースの仮想 APN)を設定することによって、オペレータはハンドセットからワイルドカード APN(*)を含めどの APN でも操作できます。ユーザが接続されていないターゲット APN はユーザ プロビジョニングに基づくためです。
• Call Detail Record(CDR; 呼詳細レコード)にはドメイン情報が含まれません。仮想 APN の場合、Username アトリビュートからドメイン情報が削除されるためです。デフォルトでは、CDR および仮想 APN に対する認証要求には、その仮想 APN に関連付けられた実 APN 名が使用されます。ただし、 gprs charging cdr-option コマンドに apn virtual キーワード オプションを指定して、CDR で仮想 APN を送信するように GGSN を設定できます。
• Cisco IOS ソフトウェアでは仮想アクセス ポイントに他のアクセス ポイント オプションを設定できますが、たとえ設定しても、これらのアクセス ポイント オプションはいずれも適用されません。
ドメイン ベースの仮想アクセス ポイント
デフォルトでは、GGSN が仮想アクセス ポイントで PDP コンテキストの作成要求を受信し、ドメイン名を抽出してパケットを適切な実 APN に向けて送信することによって、セッションの最終的なターゲット ネットワークを決定します。実 APN は、実際の宛先ネットワークです。ドメイン ベースの APN 解決がデフォルトの動作です。
図 8-1 に、MS から送信された PDP コンテキストの作成要求が、デフォルトで、GGSN の仮想 APN を経由してどのように処理されるかを示します。
図 8-1 GGSN でのデフォルトの仮想 APN PDP コンテキストのアクティベーション
1. MS で、ユーザが ciscouser@CorporateA.com などの login@domain 形式のユーザ名でネットワークに接続します。SGSN が、「corporate」の仮想 APN を使用して、PDP コンテキストの作成要求を GGSN に送信します。また、PDP コンテキストの作成要求では、ユーザ名が login@domain という形式でプロトコル設定オプション(PCO)情報要素に含まれています。
2. GGSN が、PCO の情報からドメインを抽出します。これは、GGSN の実ターゲット ネットワークに対応します。次の例では、GGSN が CorporateA.com をドメインと認識し、ターゲット ネットワークの適切な実 APN に向けてセッションを送信します。この場合、実 APN は corporateA.com です。GGSN が、完全な形のユーザ名を使用して認証を行います。
3. ユーザ名のドメイン部分、この例では CorporateA.com に基づいて、ローカル サーバまたは企業 AAA サーバが選択されます。
事前認証ベースの仮想アクセス ポイント
事前認証ベースの仮想 APN 機能は、AAA サーバを使用して、仮想 APN からターゲット(実)APN へのマッピングをユーザ単位で動的に実施します。
仮想 APN の設定時に pre-authenticate キーワード オプションを指定した場合、事前認証フェーズは、受信した PDP コンテキストの作成要求のうち、APN 情報要素に仮想 APN が含まれているものにだけ適用されます。
事前認証ベースの仮想 APN を機能させるには、ユーザ プロファイルをプロビジョニングしてターゲット APN を含めるように AAA サーバを設定する必要があります。AAA では、IMSI、ユーザ名、MSISDN などのユーザ ID を使用して、ユーザをターゲットにマッピングします。また、GGSN で、ターゲット APN をローカルで設定する必要があります。
仮想 APN が関連する場合の外部の AAA サーバに関する一般的なコール フローを次に示します。
1. GGSN が、仮想 APN が含まれている PDP コンテキストの作成要求を受信します。GGSN は Access-Request メッセージを AAA サーバに送信して仮想 APN を特定し、PDP コンテキストの事前認証フェーズを開始します。
2. AAA サーバでは、Access-Request メッセージに含まれているユーザ ID(ユーザ名、MSISDN、IMSI など)に基づいて検索を実行し、ユーザ プロファイルに基づいてそのユーザのターゲット APN を判断します。ターゲット APN が、Access-Accept メッセージの Radius アトリビュートとして GGSN に返されます。
3. GGSN は、ローカルで設定された APN の中に、Access-Accept メッセージのターゲット APN アトリビュートの APN 名に一致するものがないかをチェックします。
– 一致したものが見つかると、仮想 APN が解決され、PDP コンテキストの作成要求がターゲット APN にリダイレクトされます。この要求の処理は、ターゲット APN を使用して(ターゲット APN が元の PDP コンテキストの作成要求に含まれていたかのように)さらに続行されます。実 APN が透過的でない場合は、別の Access-Request が送信されます。一般的に、AAA サーバと送信元は異なります。
– 一致しているものが見つからない場合は、PDP コンテキストの作成要求が拒否されます。
– GGSN への Access-Accept メッセージの RADIUS アトリビュートにターゲット APN が含まれていないか、またはターゲット APN がローカルで設定されていない場合は、PDP コンテキストの作成要求が拒否されます。
4. GGSN が、2 回目の認証用に AAA サーバから Access-Accept を受信します。
事前認証ベースの仮想 APN 機能を設定する場合は、「仮想 APN 機能の一般的な制限」に記載されている制限以外に、次のことに注意してください。
• AAA サーバ上のユーザ プロファイルがターゲット APN を含むように設定されている場合、ターゲット APN は実 APN であり、かつ、GGSN で設定されている必要があります。
• 1 つの APN は、ドメイン ベースの仮想 APN 機能または事前認証ベースの APN 機能のいずれかに対してだけ設定でき、両方に対して設定することはできません。
• AAA から返されたターゲット APN は、実 APN である必要があります。また、複数の APN が返された場合は、最初の APN が使用され、他の APN は無視されます。
• ( anonymous user アクセス ポイント コンフィギュレーション コマンドを使用して)仮想 APN の下にモバイル ステーション(MS)への匿名ユーザ アクセスを設定します。ユーザ名およびパスワードを指定しなくてもアクセスできるようになります(GGSN は APN に設定された共通パスワードを使用します)。
• 少なくとも、仮想 APN の下、またはグローバルに、AAA アクセス方法を設定する必要があります。方法が設定されていない場合、PDP コンテキストの作成要求は拒否されます。
仮想アクセス ポイント設定の作業リスト
仮想 APN アクセスをサポートするように GGSN を設定するには、1 つ以上の仮想アクセス ポイントを設定する必要があります。また、VPN または外部の PDN の物理ネットワークへの接続に必要な情報を提供する実アクセス ポイントを設定する必要があります。
GGSN での設定以外に、必要に応じて、他の GPRS/UMTS ネットワーク エンティティも適切にプロビジョニングして、GPRS/UMTS ネットワークに仮想 APN 機能を正しく実装する必要があります。
GGSN に仮想 APN アクセスを設定するには、次の作業を実行します。
• 「GGSN での仮想アクセス ポイントの設定」(必須)
• 「GGSN での実アクセス ポイントの設定」(必須)
– 「VRF を使用した VPN アクセスの設定の作業リスト」
• 「仮想 APN での他の GPRS/UMTS ネットワーク エンティティの設定」(任意)
設定例については、「仮想 APN 設定の例」を参照してください。
GGSN での仮想アクセス ポイントの設定
複数の実ターゲット ネットワークへのアクセスを GGSN に統合するには、仮想アクセス ポイント タイプを使用します。GGSN では常に実アクセス ポイントを使用して外部ネットワークに到達するため、GGSN の仮想アクセス ポイントは、実アクセス ポイントと組み合せて使用します。
GGSN には、複数の仮想アクセス ポイントを設定できます。複数の仮想アクセス ポイントを使用して、同じ実ネットワークにアクセスできます。1 つの仮想アクセス ポイントを使用して、異なる実ネットワークにアクセスできます。
(注) HLR をプロビジョニングし、GGSN に設定した仮想 APN ドメインに適切に対応するように DNS サーバを設定していることを確認してください。詳細については、「仮想 APN での他の GPRS/UMTS ネットワーク エンティティの設定」を参照してください。
GGSN に仮想アクセス ポイントを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
(注) Cisco IOS ソフトウェアでは仮想アクセス ポイントに追加のアクセス ポイント オプションを設定できますが、たとえ設定していても、どのアクセス ポイント オプションも適用されません。
仮想 APN での他の GPRS/UMTS ネットワーク エンティティの設定
仮想 APN アクセスをサポートするように GGSN を設定した場合は、他の GPRS/UMTS ネットワーク エンティティを適切に設定して、仮想 APN の実装がサポートされるようにするために必要な要件が、すべて満たされていることも確認してください。
仮想 APN サポートを適切に実装するには、次の GPRS/UMTS ネットワーク エンティティをプロビジョニングする必要があります。
• DHCP サーバ:実 APN を設定する必要があります。
• DNS サーバ:SGSN が GGSN のアドレスを解決するために使用する DNS サーバでは、GGSN の GTP 仮想テンプレートの IP アドレスで仮想 APN を識別する必要があります。GTP SLB を実装する場合は、SLB ルータ上の GTP ロード バランシング仮想サーバ インスタンスの IP アドレスに仮想 APN を関連付ける必要があります。
• HLR:加入ユーザの許可内容に従って、加入データに仮想 APN の名前を含める必要があります。
• RADIUS サーバ:実 APN を設定する必要があります。
• SGSN:APN がユーザ加入データに含まれていない場合は、(必要に応じて)デフォルトの APN として仮想 APN の名前を指定する必要があります。
仮想アクセス ポイント設定の検証
この項では、GGSN に仮想 APN サポートを適切に設定したことを検証する方法について説明します。このための作業は次のとおりです。
GGSN 設定の検証
GGSN にアクセス ポイントを適切に設定したことを検証するには、 show running-config コマンドおよび show gprs access-point コマンドを使用します。
(注) show running-config コマンドの出力では、gprs access-point-list まず、仮想テンプレート インターフェイスの下にコマンドが出力されます。このことは、GPRS アクセス ポイント リストが設定されており、かつ仮想テンプレートに関連付けられていることを示します。GPRS アクセス ポイント リスト内の、特定のアクセス ポイントの設定を検証するには、show コマンドの出力の、さらに下の部分を参照します。gprs access-point-list コマンドが再び出力されており、そのあとに個々のアクセス ポイント設定が続きます。
ステップ 1 特権 EXEC モードから、次の例に示すように、 show running-config コマンドを使用します。インターフェイス設定、仮想アクセス ポイント、および実アクセス ポイントを検証します。
! corporateb.com, and corporatec.com
ステップ 2 GGSN の特定のアクセス ポイントの設定をさらに詳しく表示するには、次の例に示すように、 show gprs access-point コマンドを使用し、アクセス ポイントのインデックス番号を指定します。
次の出力は、実アクセス ポイントに関する情報を示しています。
次の出力は、仮想アクセス ポイントに関する情報を示しています。
次の出力は、事前認証ベースの仮想アクセス ポイントに関する情報を示しています。このアクセス ポイントは、a1b1c1.com というデフォルトの APN に動的にマッピングするように設定されています。
ステップ 3 GGSN に設定されている各アクセス ポイントの概要を表示するには、次の例に示すように、 show gprs access-point all コマンドを使用します。
仮想アクセス ポイント経由でのネットワークの到達可能性の検証
仮想アクセス ポイントを経由した実宛先ネットワークへの到達可能性を検証するには、「アクセス ポイント経由でのネットワークの到達可能性の検証」で説明しているのと同じ手順を使用できます。
また、仮想アクセス ポイントのテスト作業に関する次のガイドラインを満たす必要があります。
• MS で PDP コンテキスト アクティベーションを開始する場合は、(PDP コンテキストの作成要求に login@domain 形式で)指定するユーザ名が、GGSN に設定した実 APN に対応していることを確認してください。
• ネットワークへのトラフィックを生成する場合、実宛先ネットワーク上にあって、GGSN での APN サポート用に設定されているいずれかのホストを選択してください。
外部サポート サーバへのアクセスの設定
外部サポート サーバにアクセスし、Dynamic Host Configuration Protocol(DHCP)または Remote Authentication Dial-In User Service(RADIUS)を使用して、MS のダイナミック IP アドレッシング向けにサービスを提供するように GGSN を設定できます。また、APN のネットワークにアクセスするユーザの認証などセキュリティを確保するように、GGSN に RADIUS サービスを設定することもできます。
GGSN では、すべてのアクセス ポイントを対象に DHCP サーバおよび RADIUS サーバへのアクセスをグローバルに設定したり、特定のアクセス ポイントを対象に特定のサーバへのアクセスを設定したりできます。GGSN での DHCP の設定の詳細については、 「GGSN でのダイナミック アドレッシングの設定」 を参照してください。GGSN での RADIUS の設定の詳細については、 「GGSN でのセキュリティの設定」 を参照してください。
外部モバイル ステーションから GGSN へのアクセスのブロック
この項では、ホーム PLMN の外部にあるモバイル ステーションから GGSN へのアクセスを制限する方法について説明します。内容は次のとおりです。
• 「外部モバイル ステーションのブロックの設定の作業リスト」
外部モバイル ステーションのブロックの概要
GGSN では、PLMN の外部にあるモバイル ステーションからのアクセスをブロックできます。外部モバイル ステーションのブロックをイネーブルにした場合、GGSN ではモバイル国コード(MCC)およびモバイル ネットワーク コード(MNC)に基づいて、MS が PLMN の内部にあるか、外部にあるかを判断します。GGSN に MCC コードおよび MNC コードを指定して、Home Public Land Mobile Network(HPLMN; ホーム パブリック ランド モバイル ネットワーク)値を適切に設定する必要があります。
アクセス ポイントで外部 MS アクセス機能のブロックをイネーブルにした場合、GGSN では PDP コンテキストの作成要求を受信するたびに、TID の MCC および MNC を、GGSN に設定したホーム オペレータ コードと比較します。MS モバイル オペレータ コードが GGSN の一致基準を満たさない場合、GGSN は PDP コンテキストの作成要求を拒否します。
外部モバイル ステーションのブロックの設定の作業リスト
GGSN に外部モバイル ステーションのブロックを実装するには、ブロック機能をイネーブルにし、MS がホーム PLMN の外部にあるかどうかを判断するためのサポート基準を指定する必要があります。
GGSN に外部モバイル ステーションのブロックを設定するには、次の作業を実行します。
• 「MCC 値および MNC 値の設定」(必須)
MCC 値および MNC 値の設定
MCC および MNC はともに、パブリック ランド モバイル ネットワーク(PLMN)を識別する働きをします。その値は、 trusted キーワード オプションを指定しない gprs mcc mnc コマンドを使用して設定し、GGSN が属する PLMN を指すホーム PLMN ID の値となります。
GGSN に一度に定義できるホーム PLMN は 1 つだけです。GGSN は、PDP コンテキストの作成要求の IMSI とこのコマンドで設定された値とを比較して、要求が外部 MS からのものであるかどうかを判断します。
また、 gprs mcc mnc コマンドを発行するときに trusted キーワードを指定して、 信頼できる PLMN を最大 5 つ設定することもできます。信頼できる PLMN にある MS から送信された PDP コンテキストの作成要求は、ホーム PLMN にある MS から送信された PDP コンテキストの作成要求と同じように扱われます。
要求がローミング MS からのものであるかどうかを判断するために GGSN が使用する MCC 値および MNC 値を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
(注) GGSN は、MCC および MNC の値として 000 を自動的に指定します。ただし、GGSN でローミング ユーザ用の CDR を作成できるようにするには、MCC と MNC のいずれにも非ゼロの値を設定する必要があります。
GGSN での外部モバイル ステーションのブロックのイネーブル
GGSN で外部モバイル ステーションによる PDP コンテキストの作成をブロックできるようにするには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
(注) GGSN で外部モバイル ステーションをブロックできるようにするには、要求がローミング MS からのものであるかどうかを判断するために使用される MCC 値および MNC 値を設定する必要があります。
外部モバイル ステーション設定のブロックの検証
ここでは、GGSN での外部モバイル ステーション設定のブロックを検証する方法について説明します。内容は次のとおりです。
アクセス ポイントでの外部モバイル ステーションのブロックの検証
GGSN が特定のアクセス ポイントで外部モバイル ステーションのブロックをサポートするように設定されているかどうかを検証するには、 show gprs access-point コマンドを使用します。次の例に太字で示すように、Block Foreign-MS Mode 出力フィールドの値に注意してください。
GGSN での MCC 設定および MNC 設定の検証
要求が外部モバイル ステーションから送信されたものであるかどうかを判断するために GGSN が一致基準として使用する設定要素を検証するには、 show gprs plmn 特権 EXEC コマンドを使用します。次の例に太字で示されている出力フィールドの値に注意してください。この例では、GGSN が USA 国コード(310)および Bell South ネットワーク コード(15)用に設定され、信頼できる PLMN が 4 つ設定されています。
IP アドレスが重複する MS による GGSN へのアクセスの制御
MS は、別の GPRS/UMTS ネットワーク エンティティと同じ IP アドレスを保有できません。GPRS/UMTS ネットワーク用に特定の IP アドレス範囲を予約し、MS がその範囲の IP アドレスを使用できないように GGSN を設定できます。
PDP コンテキストの作成要求を受信すると、GGSN は MS の IP アドレスが指定の除外範囲内にあるかどうかを検証します。MS IP アドレスが除外範囲と重なる場合、PDP コンテキストの作成要求は拒否されます。この基準によって、ネットワーク内で IP アドレッシングが重複するのを防ぐことができます。
最大 100 個の IP アドレス範囲を設定できます。範囲には、1 つ以上のアドレスを含めることができます。ただし、1 つのコマンド エントリで設定できる IP アドレス範囲は 1 つだけです。IP アドレスを 1 つだけ除外する場合は、start-ip 引数と end-ip 引数でその IP アドレスを繰り返すことができます。IP アドレスは、32 ビット値です。
(注) Cisco 7600 シリーズ ルータ プラットフォームでは、仮想サーバによってロード バランシングされる各 GGSN に、同じ設定が存在する必要があります。
GPRS/UMTS ネットワーク用に IP アドレス範囲を予約し、MS でその範囲の IP アドレスを使用できないようにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config)# gprs ms-address exclude-range start-ip end-ip |
APN でのモバイル ステーション背後へのルーティングの設定
MS 背後へのルーティング機能を使用することによって、PDP コンテキスト(MS)に属していないものの、その背後にある IPv4 アドレスにパケットをルーティングできます。宛先のネットワーク アドレスは、MS アドレスと異なる場合があります。
MS 背後へのルーティングをイネーブルにするには、次の要件が満たされている必要があります。
• MS では、認証および認可に RADIUS を使用する必要があります。
• Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の規格 RFC 2865 で定義されている Framed-Route(アトリビュート 22)をユーザのプロファイルに設定し、MS 背後へのルーティング機能を使用する MS ごとに少なくとも 1 個、最大で 16 個のルートを含める必要があります。
設定された Framed-Route アトリビュートは、PDP コンテキスト作成の RADIUS 認証および認可フェーズ中に GGSN に自動的にダウンロードされます。 network-behind-mobile アクセス ポイント コンフィギュレーション コマンドを使用しても MS 背後へのルーティングがイネーブルにならない場合、GGSN では Framed-Route アトリビュートが無視されます。
MS セッションがアクティブではなくなっている場合、ルートは削除されます。
• PPP 再生成セッションまたは L2TP による PPP セッションの場合、Framed-Route アトリビュートは LNS の RADIUS サーバに設定する必要があります。
• PPP 再生成セッションでは、 security verify source コマンドを設定した場合、Framed-Route アトリビュートも GGSN RADIUS サーバのユーザ プロファイルに設定する必要があります。
• スタティック ルートは設定しません。モバイル ステーション背後へのルーティング機能の設定(Framed Route、アトリビュート 22)およびスタティック ルートは、同時にはサポートされません。
モバイル ステーション背後へのルーティングのイネーブル
MS 背後へのルーティングをイネーブルにするには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config-access-point)# network-behind-mobile [ max-subnets number ] |
アクセス ポイントが、MS 背後へのルーティングをサポートできるようにします。任意で、MS 背後で許可されるサブネットの最大数を指定します。有効な値は、1 から 16 までのいずれかの数字です。 |
(注) MS 背後へのルーティングは、IPv4 PDP コンテキストでだけサポートされます。
MS 背後にルーティングされるパケットは、MS と同じ Third Generation Partnership Project(3GPP; 第 3 世代パートナーシップ プロジェクト)QoS 設定を共有します。
ルーティング テーブルの現在の状態を表示するには、特権 EXEC モードで show ip route コマンドを使用します。現在アクティブなモバイル セッションのリストを表示するには、 show pdp コマンドを使用します。
モバイル ステーション背後へのルーティング設定の検証
モバイル ステーション背後へのルーティング設定を検証するには、次の show コマンドを使用します。
ステップ 1 PDP コンテキストの IP アドレスをゲートウェイ アドレスとして使用するフレーム化ルートおよびフレーム化ルート用に追加されるスタティック ルートを表示するには、特権 EXEC モードから show gprs gtp pdp-context tid コマンドおよび show ip route コマンドを使用します。
ステップ 2 network-behind-mobile-station 統計情報(次の例に太字で表示されている情報)を表示するには、特権 EXEC モードから show gprs gtp statistics コマンドを使用します。
APN での Proxy-CSCF 検出サポートの設定
PCO に「P-CSCF Address Request」フィールドが含まれている PDP コンテキストの作成要求を受信した場合は、APN 用に事前に設定された Proxy Call Session Control Function(P-CSCF)サーバ アドレスのリストを返すように GGSN を設定できます。
MS は、PDP コンテキストの有効化要求に PCO の P-CSCF Address Request フィールドを設定します。この要求は、SGSN から PDP コンテキストの作成要求で GGSN に転送されます。GGSN では、受信すると、PCO の「P-CSCF Address」フィールドにすべての設定済みの P-CSCF アドレスを返します。
PDP コンテキストの作成要求に PCO の P-CSCF Address Request フィールドが含まれていない場合、または P-CSCF アドレスが事前に設定されていない場合、PDP コンテキストの作成応答では P-CSCF アドレスを返しません。エラー メッセージは生成されず、PDP コンテキストの作成要求は処理されます。
任意で、Cisco GGSN で P-CSCF ロード バランシングをイネーブルにできます。
P-CSCF ロード バランシングがイネーブルになっている場合、Cisco GGSN では、PDP コンテキストの作成要求で送信されたプロトコル設定オプション(PCO)IE の、P-CSCF Address Request フィールドへの応答として送信する Proxy-CSCF サーバを、ラウンドロビン アルゴリズムを使用して選択します。
P-CSCF ロード バランシングがイネーブルになっていない場合、Cisco GGSN は事前に設定されたすべての P-CSCF サーバのリストを送信します。
(注) PCO の「P-CSCF Address」フィールドに返されるアドレスの順序は、各アドレスが P-CSCF サーバ グループに定義され、そのグループが APN に関連付けられる順序と同じです。
APN での P-CSCF 検出サポートをイネーブルにするには、次の作業を実行します。
• 「GGSN での P-CSCF サーバ グループの作成」
• 「APN への P-CSCF サーバ グループの関連付け」
GGSN での P-CSCF サーバ グループの作成
P-CSCF サーバ グループには、最大 10 個の P-CSCF サーバを定義できます。
サーバ グループには、IPv6 サーバと IPv4 P-CSCF サーバの両方を定義できます。PDP タイプは、どのサーバに IP アドレスが送信されるかを示します。
GGSN に P-CSCF サーバ グループを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
GGSN に P-CSCF サーバ グループを設定し、P-CSCF グループ コンフィギュレーション モードを開始します。 |
||
IP アドレスで IPv4 P-CSCF サーバを定義します。 任意で、 ipv6 キーワード オプションを指定して、IPv6 P-CSCF サーバを P-CSCF サーバ グループに定義できます。 |
APN への P-CSCF サーバ グループの関連付け
APN に P-CSCF グループを関連付けるには、グローバル コンフィギュレーション モードで gprs pcscf コマンドを使用して、そのグループをグローバルに設定する必要があります。
(注) 定義できる P-CSCF グループは APN ごとに 1 つだけですが、1 つの P-CSCF グループを複数の APN に関連付けることができます。
APN の P-CSCF サーバ グループを指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
APN に P-CSCF サーバ グループを関連付けるには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config-access-point)# pcscf group-name [ load-balance ] |
APN による P-CSCF 検出に使用する P-CSCF サーバ グループを指定します。任意で、 load-balance キーワードを指定して、APN で P-CSCF ロード バランシングをイネーブルにできます。 |
P-CSCF 検出設定の検証
P-CSCF 検出設定を検証するには、次の show コマンドを使用します。
|
|
|
|---|---|
GGSN でのアクセス ポイントのモニタリングおよびメンテナンス
ここでは、GGSN 上のアクセス ポイントをモニタリングするために使用できる clear コマンドおよび show コマンドの要約を示します。
GGSN 上のアクセス ポイントをモニタリングおよびメンテナンスするには、次の特権 EXEC コマンドを使用します。
設定例
この項では、GGSN へのさまざまなタイプのネットワーク アクセスを設定する例をいくつか示します。
• 「外部モバイル ステーション設定によるアクセスのブロックの例」
SGSN へのスタティック ルートの例
(注) SGSN が GGSN と正常に通信するには、SGSN にスタティック ルートを設定するか、または GGSN 仮想テンプレートで使用されている IP アドレスに動的にルーティングできるようにします。
アクセス ポイント リスト設定の例
GPRS アクセス ポイント リストの GGSN 設定の一部を次に例示します。
VRF トンネル設定の例
次の例では、2 つの VPN(vpn1 と vpn2)およびその関連する GRE トンネル(Tunnel1 と Tunnel2)の設定の一部を示します。
仮想 APN 設定の例
次の例では、1 つの仮想 APN アクセス ポイントを 3 種類の実企業ネットワークのフォーカルな接続として機能させるように設定されている GGSN を示します。
この例で示す GGSN 設定では、次のことに注意してください。
• 実企業ネットワークへのアクセスを確立するために、Ethernet 1/0、Ethernet 1/1、Ethernet 1/2 の 3 つの物理インターフェイス(Gi インターフェイス)が定義されています。
– アクセス ポイント 1 は、 corporate という APN を持つ仮想アクセス ポイントとして設定されています。他の設定オプションは、仮想アクセス ポイントには適用されません。「corporate」仮想 APN は、HLR および DNS サーバでプロビジョニングされる APN です。
– アクセス ポイント 2、3、および 4 は、それぞれ corporatea.com、corporateb.com、corporatec.com の各実ネットワーク ドメインに対して設定されています。実ネットワーク ドメインは、PDP コンテキスト要求の PCO に示されています。
外部モバイル ステーション設定によるアクセスのブロックの例
次の例では、アクセス ポイント 100 が外部モバイル ステーションによるアクセスをブロックする設定の一部を示します。
重複 IP アドレス保護設定の例
次の例では、GPRS/UMTS ネットワーク用の IP アドレス範囲を 3 種類指定する設定の一部を示します(これらの範囲内にある IP アドレスは、MS IP アドレス範囲から除外されます)。
P-CSCF 検出設定の例
次の例では、P-CSCF サーバ グループをいくつか GGSN に設定し、その 1 つをアクセス ポイントに割り当てる設定の一部を示します。
version 12.x
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
! Enables the router for GGSN services
!
service gprs ggsn
!
hostname ggsn
!
ip cef
!
gprs pcscf groupA
server 10.11.1.2
!
gprs pcscf groupB
server 172.20.2.1
server 10.21.2.2
gprs access-point-list gprs
!
access-point 100
access-point-name pcscf
pcscf groupA
フィードバック