- このマニュアルについて
- GPRS および UMTS の概要
- ゲートウェイ GPRS サポート ノード (GGSN)の設定プランニング
- GGSN での GTP サービスの設定
- GGSN での IPv6 PDP サポートの設定
- ゲートウェイ GPRS サポート ノード (GGSN)の GPRS トンネリング プロトコル (GTP)セッション冗長性の設定
- GGSN での課金の設定
- 拡張サービス認識課金の実装
- GGSN へのネットワーク アクセスの設定
- GGSN での PPP サポートの設定
- GGSN での QoS の設定
- GGSN でのセキュリティの設定
- GGSN でのダイナミック アドレッシングの設 定
- GGSN でのロード バランシングの設定
- モニタリング通知
Cisco GGSN リリース 9.2 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: GGSN でのセキュリティの設定
- GGSN でのセキュリティ サポートの概要
- AAA セキュリティのグローバルな設定
- RADIUS サーバ通信のグローバルな設定
- GGSN コンフィギュレーション レベルでの RADIUS サーバ通信の設定
- その他の RADIUS サービスの設定
GGSN でのセキュリティの設定
この章では、Gateway GPRS Support Node(GGSN; ゲートウェイ GPRS サポート ノード)でのセキュリティ機能の設定方法について説明します。Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)および Remote Authentication Dial-In User Service(RADIUS)についても説明します。
(注) Cisco 7600 シリーズ ルータ プラットフォーム上の IP Security(IPSec)は、IPSec Virtual Private Network(VPN; バーチャル プライベート ネットワーク)アクセラレーション サービス モジュール上で実行されます。Cisco Service and Application Module for IP(SAMI)上で稼動する GGSN での設定は必要ありません。
Cisco 7600 シリーズ ルータ プラットフォームでの IPSec の設定の詳細については、『IPSEC VPN Acceleration Services Module Installation and Configuration Note』を参照してください。
このマニュアルのセキュリティ設定手順および例(GGSN 固有の実装に関するものを除く)では、セキュリティ サービスを実装するために使用できる基本的なコマンドについて説明します。
Cisco IOS ソフトウェアでの AAA、RADIUS、および IPSec セキュリティ サービスの詳細については、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。Cisco 7600 プラットフォームでの IPSec セキュリティ サービスの詳細については、『 IPSec VPN Acceleration Services Module Installation and Configuration Note 』を参照してください。
この章に記載されている GGSN コマンドの詳細については、使用している Cisco GGSN リリースの『 Cisco GGSN Command Reference 』を参照してください。この章に記載されているその他のコマンドのマニュアルを参照するには、コマンド リファレンスのマスター インデックスを使用するか、またはオンラインで検索してください。
•
「AAA セキュリティのグローバルな設定」(必須)
• 「RADIUS サーバ通信のグローバルな設定」(必須)
• 「GGSN コンフィギュレーション レベルでの RADIUS サーバ通信の設定」(必須)
• 「その他の RADIUS サービスの設定」(任意)
• 「GGSN Gn インターフェイスの保護」(任意)
• 「GGSN Gn インターフェイスでの GRX トラフィックの分離」
• 「ブロードキャスト アカウンティングと待機アカウンティングの同時設定」(任意)
• 「定期アカウンティング タイマー」(任意)
• Cisco GGSN での合法的傍受サポートの実装(任意)
• 「設定例」
GGSN でのセキュリティ サポートの概要
GGSN は、ルータ上で Cisco IOS ソフトウェアを介して使用できる同一レベルのセキュリティの多くをサポートしています。次のタイプのセキュリティがあります。
• 認証、認可、アカウンティング(AAA)ネットワーク セキュリティ サービスおよびサーバ グループ
また、GGSN ソフトウェアでは、次のような追加セキュリティ機能を設定できます。
AAA および RADIUS サポートにより、GGSN およびその Access Point Name(APN; アクセス ポイント ネーム)へのモバイル ユーザによるアクセスを認証および認可するセキュリティ サービスが提供されます。IPSec サポートでは、GGSN とその関連ピア間のデータを保護できます。
AAA や IPSec サポートなどの場合は、GGSN コマンドを追加設定しなくても、GGSN は標準の Cisco IOS ソフトウェア設定によって動作します。
RADIUS サーバ設定の場合、GGSN では、ルータ上で AAA セキュリティをイネーブルにし、RADIUS サーバ通信をグローバルに確立する必要があります。そこから、新しい GGSN コンフィギュレーション コマンドを使用して、すべての GGSN アクセス ポイントに対して、またはアクセス ポイントごとに、RADIUS セキュリティを設定できます。
(注) AAA、RADIUS、および IPSec セキュリティ サービス以外に、GGSN は APN へのアクセスをさらに制御するために、IP アクセス リストもサポートします。Cisco IOS GGSN ソフトウェアは、APN で IP アクセス リスト ルールを適用する新しい ip-access-group アクセス ポイント コンフィギュレーション コマンドを実装しています。
AAA サーバ グループ サポート
Cisco GGSN は、AAA サーバ グループを使用して APN での認証およびアカウンティングをサポートします。AAA サーバ グループを使用することには、次のような利点があります。
• さまざまな APN で、認証およびアカウンティング用のサーバ グループを選択的に実装できます。
• 同じ APN で、認証サービス用およびアカウンティング サービス用の異なるサーバ グループを設定できます。
• 特定の APN でイネーブルにする RADIUS サービス(AAA アカウンティングなど)を制御できます。
GGSN での GPRS Tunneling Protocol(GTP; GPRS トンネリング プロトコル)-Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)終端および GTP-PPP 再生成の場合、PPP が適切な AAA 機能を実行できるように透過的アクセス モードが使用されます。ただし、AAA サーバ グループを設定して、AAA サポート用の対応するサーバ グループを指定することもできます。
GGSN は、グローバル コンフィギュレーション レベルとアクセス ポイント コンフィギュレーション レベルの両方で AAA サーバ グループの実装をサポートします。グローバル コンフィギュレーション レベルで、ほとんどの APN にわたってサポートする設定を指定することによって、設定を最小限にすることができます。その後、アクセス ポイント コンフィギュレーション レベルで、特定の APN でサポートするサービスおよびサーバ グループを選択的に変更できます。したがって、AAA サーバのグローバル設定は APN コンフィギュレーション レベルで上書きできます。
GGSN のすべての APN に対して使用するデフォルトの AAA サーバ グループを設定するには、グローバル コンフィギュレーション モードで gprs default aaa-group コマンドを使用します。認証およびアカウンティング用に特定の APN で使用する異なる AAA サーバ グループを指定するには、 aaa-group アクセス ポイント コンフィギュレーション コマンドを使用します。
APN で認証がイネーブルの場合、GGSN は最初に APN で認証サーバ グループを検索します。APN で認証サーバ グループが見つからない場合、GGSN はグローバルに設定された General Packet Radio Service(GPRS; グローバル パケット ラジオ サービス)/Universal Mobile Telecommunication System(UMTS)デフォルト認証サーバ グループを検索します。
APN でアカウンティングがイネーブルの場合、GGSN は次の順序で APN で、またはグローバルにアカウンティング サーバ グループを検索します。
• 最初に、APN でアカウンティング サーバ グループ( aaa-group accounting コマンドで設定)を検索します。
• 次に、グローバルな GPRS/UMTS デフォルト アカウンティング サーバ グループ( gprs default aaa-group accounting コマンドで設定)を検索します。
• 3 番めに、APN で認証サーバ グループ( aaa-group authentication コマンドで設定)を検索します。
• 最後に、グローバルな GPRS/UMTS デフォルト認証サーバ グループ( gprs default aaa-group authentication コマンドで設定)を検索します。
設定を完了するには、GGSN で次の設定要素も指定する必要があります。
• radius-server host コマンドを使用して、RADIUS サーバを設定します。
• グローバル コンフィギュレーション モードで aaa group server コマンドを使用し、グループ内の AAA サーバの IP アドレスを使用してサーバ グループを定義します。
• APN でサポートする AAA サービスのタイプ(アカウンティングおよび認証)をイネーブルにします。
– GGSN は、非透過的 APN に対してデフォルトでアカウンティングをイネーブルにします。
aaa-accounting disable コマンドを使用して、APN でアカウンティング サービスをディセーブルにすることができます。
– access-mode non-transparent コマンドを設定して、APN レベルで認証をイネーブルにすることができます。認証をイネーブルにすると、GGSN は APN でアカウンティングを自動的にイネーブルにします。認証をイネーブルまたはディセーブルにするグローバル コンフィギュレーション コマンドはありません。
• グローバル コンフィギュレーション モードで aaa accounting および aaa authentication コマンドを使用して、AAA アカウンティングおよび認証を設定します。
(注) AAA および RADIUS のグローバル コンフィギュレーション コマンドの詳細については、『Cisco IOS Security Command Reference』を参照してください。
AAA セキュリティのグローバルな設定
認証、認可、アカウンティング(AAA)ネットワーク セキュリティ サービスは、GGSN 上でアクセス コントロールを設定するための基本的なフレームワークを提供します。ここでは、シスコ ルータで AAA セキュリティを実装するために使用される基本的なコマンドについて説明します。
AAA をイネーブルにし、認証および認可を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
AAA の設定の詳細については、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。
RADIUS サーバ通信のグローバルな設定
ここでは、GGSN がユーザの認証および認可のために使用できるグローバルな RADIUS サーバ ホストの設定方法について説明します。GGSN グローバル コンフィギュレーション レベルで追加の RADIUS サーバ通信を設定できます。
RADIUS サーバ通信をルータでグローバルに設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
RADIUS セキュリティの設定の詳細については、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。例については、「RADIUS サーバのグローバル設定例」を参照してください。
(注) radius-server host コマンドは複数回設定できますが、Cisco IOS ソフトウェアでは、同じ IP アドレスでサポートされる RADIUS サーバは 1 つだけです。
GGSN コンフィギュレーション レベルでの RADIUS サーバ通信の設定
GGSN のセキュリティ設定を完了するには、各アクセス ポイントに対して非透過的アクセスを設定する必要があります。GGSN グローバル コンフィギュレーション レベルでセキュリティを設定すると、すべてのアクセス ポイントまたは特定のアクセス ポイントに対して RADIUS サーバ通信を設定することもできます。
GGSN グローバル コンフィギュレーション レベルで RADIUS を設定するには、次の作業を実行します。
• 「非透過的アクセス モードの設定」(必須)
• 「すべてのアクセス ポイントの AAA サーバ グループの指定」(任意)
• 「特定のアクセス ポイントの AAA サーバ グループの指定」(任意)
• 「アクセス ポイントでの AAA アカウンティング サービスの設定」(任意)
非透過的アクセス モードの設定
GGSN で RADIUS 認証をサポートするには、非透過的アクセス用の GGSN アクセス ポイントを設定する必要があります。RADIUS サービスをサポートするすべてのアクセス ポイントに対して、非透過的アクセスを設定する必要があります。アクセス モードをグローバルに指定する方法はありません。
(注) GGSN での GTP-PPP 終端および GTP-PPP 再生成の場合、PPP が適切な AAA 機能を実行できるように透過的アクセス モードが使用されます。ただし、AAA サーバ グループを設定して、AAA サポート用の対応するサーバ グループを指定することもできます。
GGSN アクセス ポイントの非透過的アクセスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
既存のアクセス ポイント定義に関連付けられた番号を指定し(または、新しいアクセス ポイントを作成し)、アクセス ポイント コンフィギュレーション モードを開始します。 |
||
Public Data Network(PDN; 公衆データ網)へのアクセス ポイントで GGSN がユーザ認証を要求することを指定します。 |
GGSN アクセス ポイントの設定の詳細については、「GGSN でのアクセス ポイントの設定」を参照してください。
すべてのアクセス ポイントの AAA サーバ グループの指定
RADIUS サーバ通信をグローバル レベルで設定したあと、すべての GGSN アクセス ポイントが使用するデフォルトの AAA サーバ グループを設定できます。
すべての GGSN アクセス ポイントのデフォルト AAA サーバ グループを指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
特定のアクセス ポイントの AAA サーバ グループの指定
すべてのアクセス ポイントに対して設定されたデフォルト AAA サーバ グループを上書きするには、特定のアクセス ポイントに対して異なる AAA サーバ グループを指定します。または、デフォルト AAA サーバ グループを設定しない場合は、各アクセス ポイントで AAA サーバ グループを指定できます。
特定のアクセス ポイントの AAA サーバ グループを指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
アクセス ポイントでの AAA アカウンティング サービスの設定
Cisco GGSN には、透過的または非透過的アクセス ポイントのアカウンティング サービスをイネーブルまたはディセーブルにする、次のような異なるデフォルトがあります。
• access-mode コマンドを使用して非透過的アクセスの APN を設定する場合、GGSN は APN で認証を使用するアカウンティングを自動的にイネーブルにします。
• 透過的アクセス(デフォルトのアクセス モード)の APN を設定する場合、GGSN は APN でアカウンティングを自動的にディセーブルにします。
したがって、透過的アクセス APN を設定しており、その APN でアカウンティングを提供する場合は、APN で aaa-accounting enable コマンドを設定する必要があります。
ただし、アカウンティングを提供するには、GGSN で次のようなその他の設定要素を指定して、設定を完了する必要もあります。
• グローバル コンフィギュレーション モードで aaa new-model コマンドを使用して、AAA サービスをイネーブルにします。
• グローバル コンフィギュレーション モードで aaa group server コマンドを使用して、グループ内の RADIUS サーバの IP アドレスを使用してサーバ グループを定義します。
– AAA 認証(グローバル コンフィギュレーション モードで aaa authentication コマンドを使用)
– AAA 認可(グローバル コンフィギュレーション モードで aaa authorization コマンドを使用)
– AAA アカウンティング(グローバル コンフィギュレーション モードで aaa accounting コマンドを使用)
• AAA サーバ グループで提供する必要があるサービスのタイプを割り当てます。サーバ グループでアカウンティング サービスだけをサポートする場合は、アカウンティングだけのためにサーバを設定する必要があります。 gprs default aaa-group コマンドを使用して GGSN グローバル コンフィギュレーション レベルで、または aaa-group コマンドを使用して APN で、AAA サービスを AAA サーバ グループに割り当てることができます。
• radius-server host コマンドを使用して、RADIUS サーバを設定します。
(注) AAA および RADIUS のグローバル コンフィギュレーション コマンドの詳細については、『Cisco IOS Security Command Reference』を参照してください。
アカウンティングが不要な特定の APN で選択的にそのサービスをディセーブルにするには、 aaa-accounting disable アクセス ポイント コンフィギュレーション コマンドを使用します。
アクセス ポイントでのアカウンティング サービスのイネーブルおよびディセーブル
Cisco Systems GGSN には、透過的または非透過的アクセス ポイントのアカウンティング サービスをイネーブルまたはディセーブルにする、次のような異なるデフォルトがあります。
• access-mode コマンドを使用して非透過的アクセスの APN を設定する場合、GGSN は APN で認証を使用するアカウンティングを自動的にイネーブルにします。
• 透過的アクセス(デフォルトのアクセス モード)の APN を設定する場合、GGSN は APN でアカウンティングを自動的にディセーブルにします。
アカウンティングが不要な特定の APN で選択的にそのサービスをディセーブルにするには、 aaa-accounting disable アクセス ポイント コンフィギュレーション コマンドを使用します。
aaa-accounting アクセス ポイント コンフィギュレーション コマンドを interim キーワード オプションを指定して使用すると、Interim-Update Accounting 要求を AAA サーバに送信するように GGSN を設定できます。
(注) 中間アカウンティングのサポートでは、APN に対してアカウンティング サービスがイネーブルであり、aaa accounting update newinfo グローバル コンフィギュレーション コマンドが設定されている必要があります。
アクセス ポイントでアカウンティング サービスを設定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
その他の RADIUS サービスの設定
ここでは、GGSN がユーザの認証および認可のために使用できる RADIUS セキュリティ サービスの設定方法について説明します。
• 「RADIUS サーバへのアクセス要求の RADIUS アトリビュートの設定」
• 「RADIUS サーバへのアクセス要求でのベンダー固有アトリビュートの設定」
• 「RADIUS サーバからのドメイン ネーム システム(DNS)および NetBIOS アドレス情報の取得」
• 「VPN ルーティングおよび転送(VRF)を使用した RADIUS サーバへのアクセスの設定」
RADIUS サーバへのアクセス要求の RADIUS アトリビュートの設定
GGSN が RADIUS サーバへのアクセス要求で RADIUS アトリビュートを送信する方法を設定します。ここでは、次の作業について説明します。
• 「チャレンジ ハンドシェーク認証プロトコル(CHAP)Challenge の設定」
• 「モバイル ステーション ISDN(MSISDN)情報エレメント(IE)の設定」
• 「ネットワーク アクセス サーバ(NAS)-Identifier の設定」
チャレンジ ハンドシェーク認証プロトコル(CHAP)Challenge の設定
チャレンジ ハンドシェーク認証プロトコル(CHAP)Challenge を RADIUS サーバへのアクセス要求の Challenge Attribute フィールド(Authenticator フィールドではない)に常に含めることを指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
CHAP Challenge が RADIUS 要求の Challenge Attribute に常に含まれることを指定します。 |
(注) gprs radius attribute chap-challenge コマンドが設定されている場合、CHAP Challenge は RADIUS サーバへのアクセス要求の Challenge Attribute フィールドで常に送信されます。Authenticator フィールドではありません。このコマンドが設定されていない場合、CHAP Challenge は 16 バイトを超えないかぎり Authenticator フィールドで送信されます。超える場合は、アクセス要求の Challenge Attribute フィールドで送信されます。
モバイル ステーション ISDN(MSISDN)情報エレメント(IE)の設定
モバイル ステーション ISDN(MSISDN)情報エレメント(IE)の最初のバイトが RADIUS サーバへのアクセス要求に含まれることを指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
ネットワーク アクセス サーバ(NAS)-Identifier の設定
グローバル レベルまたは APN レベルで、ネットワーク アクセス サーバ(NAS)-Identifier(RADIUS アトリビュート 32)を RADIUS サーバへのアクセス要求で送信するように GGSN を設定できます。APN レベルの設定によって、グローバル レベルの設定が上書きされます。
NAS-Identifier をすべてのアクセス要求に含めるように指定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
このグローバル設定をディセーブルにするには、グローバル コンフィギュレーション モードでこのコマンドの no フォームを使用します。
APN で NAS-Identifier をすべてのアクセス要求に含めるように指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
GGSN が APN で NAS-Identifier をアクセス要求で送信することを指定します。 format はアトリビュート 32 で送信される文字列であり、IP アドレス(%i)、ホスト名(%h)、およびドメイン名(%d)が含まれます。 |
この APN 設定をディセーブルにするには、アクセス ポイント コンフィギュレーション モードでこのコマンドの no フォームを使用します。
Acct-Session-ID アトリビュートの課金 ID の設定
GGSN が APN で Acct-Session-ID(アトリビュート 44)の課金 ID をアカウンティング要求に含めることを指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config)# radius attribute acct-session-id charging-id |
この APN 設定をディセーブルにするには、アクセス ポイント コンフィギュレーション モードでこのコマンドの no フォームを使用します。
User-Name アトリビュートの MSISDN の設定
GGSN が APN で User-Name アトリビュート(アトリビュート 1)の MSISDN をアクセス要求に含めることを指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
この APN 設定をディセーブルにするには、アクセス ポイント コンフィギュレーション モードでこのコマンドの no フォームを使用します。
RADIUS サーバへのアクセス要求でのベンダー固有アトリビュートの設定
Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の規格草案では、ベンダー固有アトリビュート(アトリビュート 26)を使用してベンダー固有の情報を RADIUS サーバに通信する方式が指定されています。Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)では、一般的な使用には適さない独自の拡張アトリビュートをベンダーがサポートできるようにすることで、通信に使用できる大規模な情報が構成されます。
表 11-1 に、アトリビュート 26 が設定されている場合に GGSN が RADIUS サーバへの認証およびアカウンティング要求で送信できる、Third Generation Partnership Project(3GPP; 第 3 世代パートナーシップ プロジェクト)VSA サブアトリビュートを示して説明します。
RADIUS アトリビュート 26 で定義されているように VSA を送信および認識するように GGSN を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config)# radius-server vsa send [ accounting | authentication ] |
(任意)GGSN が RADIUS IETF アトリビュート 26 で定義されているように VSA を送信および認識できます。 |
ベンダー固有アトリビュートの使用の設定の詳細については、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。
RADIUS 認証のアトリビュートの抑制
RADIUS サーバへのアクセス要求で特定のアトリビュートを抑制するように GGSN を設定できます。次の項では、抑制できるアトリビュートとその方法について説明します。
• 「RADIUS 認証の 3GPP-IMSI VSA サブアトリビュートの抑制」
RADIUS 認証の MSISDN 番号の抑制
一部の国には、サービス プロバイダーが認証要求内のモバイル ステーションの MSISDN 番号を識別することを禁止するプライバシー法があります。 msisdn suppression コマンドを使用して、GGSN が RADIUS サーバへの認証要求で MSISDN 番号の代わりに送信する値を指定します。値を設定しない場合、RADIUS サーバには値は送信されません。
msisdn suppression コマンドを使用するには、グローバルに、またはアクセス ポイントで RADIUS サーバを設定して、非透過的アクセス モードを指定する必要があります。
RADIUS サーバに送信されるアクセス要求で MSISDN 番号を GGSN が上書きまたは抑制するように指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
この APN 設定をディセーブルにするには、アクセス ポイント コンフィギュレーション モードでこのコマンドの no フォームを使用します。
RADIUS 認証の 3GPP-IMSI VSA サブアトリビュートの抑制
GGSN が RADIUS サーバへの認証およびアカウンティング要求で第 3 世代パートナーシップ プロジェクト(3GPP)ベンダー固有アトリビュート(VSA)3GPP-International Mobile Subscriber Identity(3GPP-IMSI)番号を抑制するように設定するには、 radius attribute suppress imsi アクセス ポイント コンフィギュレーション コマンドを使用します。
RADIUS サーバへの認証およびアカウンティング要求で 3GPP VSA 3GPP-IMSI 番号を抑制するように GGSN を設定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
(任意)RADIUS サーバへの認証およびアカウンティング要求で 3GPP-IMSI 番号を抑制するように GGSN を設定します。 |
この APN 設定をディセーブルにするには、アクセス ポイント コンフィギュレーション モードでこのコマンドの no フォームを使用します。
RADIUS 認証の 3GPP-GPRS-QoS Profile VSA サブアトリビュートの抑制
RADIUS サーバへの認証およびアカウンティング要求で 3GPP-GPRS-Qos Profile を抑制するように GGSN を設定するには、 radius attribute suppress qos アクセス ポイント コンフィギュレーション コマンドを使用します。
RADIUS サーバへの認証およびアカウンティング要求で 3GPP-GPRS-Qos Profile を抑制するように GGSN を設定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
(任意)GGSN が RADIUS サーバへの認証およびアカウンティング要求で 3GPP-GPRS-Qos Profile を抑制することを指定します。 |
RADIUS 認証の 3GPP-GPRS-SGSN-Address VSA サブアトリビュートの抑制
RADIUS サーバへの認証およびアカウンティング要求で 3GPP-GPRS-SGSN-Address を抑制するように GGSN を設定するには、 radius attribute suppress sgsn-address アクセス ポイント コンフィギュレーション コマンドを使用します。
GGSN が RADIUS サーバへの認証およびアカウンティング要求で 3GPP-GPRS-SGSN-Address を抑制することを指定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config-access-point)# radius attribute suppress sgsn-address |
RADIUS サーバからのドメイン ネーム システム(DNS)および NetBIOS アドレス情報の取得
RADIUS サーバからドメイン ネーム システム(DNS)アドレスおよび Network Basic Input/Output System(NetBIOS)アドレス情報を取得するには、グローバル コンフィギュレーション モードで次のコマンドを使用して、RADIUS アトリビュート 26 で定義されているように VSA を送信および認識するように GGSN を設定します。
|
|
|
|---|---|
Router(config)# radius-server vsa send [ accounting | authentication ] |
(任意)GGSN が RADIUS IETF アトリビュート 26 で定義されているように VSA を送信および認識できます。 |
(注) DNS および NetBIOS アドレス情報が Mobile Station(MS; モバイル ステーション)に送信されるには、ip-address-pool radius-client コマンドを使用して、RADIUS サーバによって提供される IP アドレス プールを使用するダイナミック アドレス割り当て方法がアクセス ポイントに対して設定されている必要があります。アクセス ポイントの設定の詳細については、「GGSN でのアクセス ポイントの設定」を参照してください。
RADIUS パケット オブ ディスコネクトの設定
RADIUS Packet of Disconnect(PoD; パケット オブ ディスコネクト)機能は、セッションの確立後にユーザ セッションを終了するための方法です。PoD は RADIUS Disconnect-Req パケットであり、RADIUS access-accept パケットがセッションを受け入れたあと、認証エージェント サーバでユーザを切断する場合に使用するためのものです。たとえば、前払い課金の場合、この機能の一般的な使用法では、前払いユーザのクォータ分が終了したときに前払い課金サーバによって PoD が送信されます。
• PoD 内にあるアトリビュート情報によって、PoD が生成された PDP コンテキストを識別します。VSA サブアトリビュート 3GPP-IMSI および 3GPP-NSAPI によって、PDP コンテキストは一意に識別されます。また、これらのサブアトリビュートが PoD 内にあることによって、PoD が GPRS ユーザ セッション用であることも識別されます。
• PDP コンテキストの削除要求を SGSN に送信します。
• ACK 切断要求または NAK 切断要求を PoD を生成したデバイスに送信します。GGSN は、ユーザ セッションを終了できるときに ACK 切断要求を送信し、ユーザ セッションを終了できないときに NAK 切断要求を送信します。ACK/NAK 切断要求は、アトリビュートを含まない RADIUS パケットです。
(注) PoD 機能を GGSN で正しく機能させるには、IMSI アトリビュートが radius attribute suppress imsi コマンドによって抑制されていないことを確認してください。
GGSN で PoD サポートをイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
GGSN での RADIUS 応答の待機の設定
gtp response-message wait-accounting コマンドを使用して、GGSN が PDP コンテキストの作成要求を SGSN に送信する前に、RADIUS アカウンティング サーバからの RADIUS アカウンティング応答を待機するように設定します。
gtp response-message wait-accounting コマンドが設定されており、GGSN が RADIUS アカウンティング サーバから応答を受信しない場合、GGSN は PDP コンテキスト要求を拒否します。
ブロードキャスト アカウンティングが使用された場合(アカウンティング要求は複数の RADIUS サーバに送信される)、1 台の RADIUS サーバがアカウンティング応答で応答すると、GGSN は PDP コンテキストの作成要求を送信し、他の RADIUS サーバの応答を待機しません。
GGSN は、グローバル コンフィギュレーション レベルとアクセス ポイント コンフィギュレーション レベルの両方で、RADIUS 応答メッセージ待機の設定をサポートします。グローバル コンフィギュレーション レベルで、ほとんどの APN にわたってサポートする設定を指定することによって、設定を最小限にすることができます。その後、アクセス ポイント コンフィギュレーション レベルで、特定の APN でサポートする動作を選択的に変更できます。したがって、APN コンフィギュレーション レベルで、RADIUS 応答メッセージ待機のグローバル設定を上書きできます。
すべての APN のデフォルト動作として RADIUS アカウンティング応答を待機するように GGSN を設定するには、グローバル コンフィギュレーション モードで gprs gtp response-message wait-accounting コマンドを使用します。特定の APN についてこの動作をディセーブルにするには、 no gtp response-message wait-accounting アクセス ポイント コンフィギュレーション コマンドを使用します。
APN で RADIUS 応答メッセージ待機がイネーブルかディセーブルかを確認するには、 show gprs access-point コマンドを使用して、wait_accounting 出力フィールドで報告される値を確認します。
RADIUS アカウンティング応答を待機するように GGSN をグローバルに設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
すべてのアクセス ポイントで受信される PDP コンテキストの作成要求について、GGSN が PDP コンテキストの作成要求を SGSN に送信する前に、RADIUS アカウンティング応答を待機するように設定します。 |
特定のアクセス ポイントについて RADIUS アカウンティング応答を待機するように GGSN を設定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config-access-point)# gtp response-message wait-accounting |
特定のアクセス ポイントで受信される PDP コンテキストの作成要求について、GGSN が PDP コンテキストの作成要求を SGSN に送信する前に、RADIUS アカウンティング応答を待機するように設定します。 |
VPN ルーティングおよび転送(VRF)を使用した RADIUS サーバへのアクセスの設定
Cisco IOS GGSN ソフトウェアでは、VRF を使用した RADIUS サーバへのアクセスがサポートされています。この Cisco IOS ソフトウェア機能は Per VRF AAA と呼ばれ、この機能を使用して、Internet Service Provider(ISP; インターネット サービス プロバイダー)は VRF に基づいて AAA サービスを区分できます。これにより、GGSN は、RADIUS プロキシを経由しなくても、カスタマー バーチャル プライベート ネットワーク(VPN)に関連付けられたカスタマー RADIUS サーバと直接通信できます。したがって、お客様が必要とする柔軟性を提供するためにプロキシ AAA が必要なくなるため、ISP は VPN の提供をより効率的に拡張できます。
この設定をサポートするには、AAA が VRF 認識である必要があります。ISP は、同じ運用パラメータ(AAA サーバ グループ、方式リスト、システム アカウンティング、プロトコル固有のパラメータなど)の複数のインスタンスを定義し、パラメータを VRF パーティションに固定する必要があります。
(注) VRF は Cisco 7600 Supervisor II および MSFC2 ではサポートされません。したがって、Supervisor II を使用する場合は、カプセル化された VRF トラフィックを GGSN から RADIUS サーバへの Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネル経由で、Supervisor を通過してトンネリングする必要があります。GRE トンネルの設定の詳細については、「トンネルを使用した RADIUS サーバへのアクセスの設定」を参照してください。
Cisco 7600 Sup720 では VRF はサポートされます。
方式リストなどの AAA 設定が一意に複数回定義された場合、IP アドレスおよびポート番号に基づく AAA サーバの指定によって、VRF 間でプライベート アドレスの重複が発生する場合があります。AAA 方式リストの VRF への固定は、次のソースの 1 つ以上から実現できます。
• 仮想テンプレート:汎用インターフェイス設定として使用されます。
• サービス プロバイダー AAA サーバ:ドメイン名または Dialed Number Identification Service(DNIS; 着信番号識別サービス)に基づいて、リモート ユーザを特定の VPN に関連付けるために使用されます。このサーバによって、VPN 固有の設定がバーチャル アクセス インターフェイスに提供されます。カスタマー AAA サーバの IP アドレスおよびポート番号などです。
• カスタマー VPN AAA サーバ:リモート ユーザを認証し、ユーザ固有の設定をバーチャル アクセス インターフェイスに提供するために使用されます。
(注) グローバルな AAA アカウンティング設定および一部の AAA プロトコル固有のパラメータは、仮想テンプレート設定では論理的にグループ化できません。
Per VRF 機能を設定する場合は、次の点に注意してください。
• VRF 間でプライベート アドレスが重複する可能性を防ぐには、サーバ グループ内で使用される単一のグローバル プールに AAA サーバを定義します。
• サーバは IP アドレスおよびポート番号で一意に識別できなくなります。
• 「プライベート」サーバ(すべてのサーバを含むデフォルト サーバ グループ内のプライベート アドレスを持つサーバ)をサーバ グループ内に定義し、他のグループからは非表示にしておくことができます。サーバ グループ内のサーバのリストには、グローバル設定でのホストの参照およびプライベート サーバの定義が含まれています。
(注) プライベート サーバのパラメータが指定されていない場合は、グローバル設定が使用されます。グローバル設定が指定されていない場合は、デフォルト値が使用されます。
• すべてのサーバ運用パラメータは、ホストごと、サーバ グループごと、またはグローバルに設定できます。ホストごとの設定は、サーバ グループごとの設定よりも優先されます。サーバ グループごとの設定は、グローバルな設定よりも優先されます。
(注) VRF を使用した RADIUS サーバへのアクセスの設定の詳細については、「Per VRF AAA」フィーチャ モジュールを参照してください。
ここでは、VRF を使用したプライベート RADIUS サーバへのアクセスの設定および確立について説明します。グローバルな RADIUS サービスの場合は、グローバルに配置されたサーバを設定してあることを確認してください。
VRF を使用した RADIUS サーバへのアクセスを設定するには、次の作業を実行します。
• 「AAA のグローバルなイネーブル」(必須)
• 「VRF 認識プライベート RADIUS サーバ グループの設定」(必須)
• 「指定した方式リストを使用した認証、認可、アカウンティングの設定」(必須)
• 「VRF ルーティング テーブルの設定」(必須)
• 「インターフェイスでの VRF の設定」(必須)
AAA のグローバルなイネーブル
AAA が GGSN でグローバルにイネーブルにされていない場合、VRF 経由でのプライベート RADIUS サーバへのアクセスを設定する前にイネーブルにする必要があります。
AAA をグローバルにイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
VRF 認識プライベート RADIUS サーバ グループの設定
プライベート サーバの運用パラメータを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
指定した方式リストを使用した認証、認可、アカウンティングの設定
指定した方式リストを使用して AAA を設定するには、グローバル コンフィギュレーション モードで次の作業を実行します。
VRF ルーティング テーブルの設定
プライベート RADIUS サーバへのアクセスのために GGSN で VRF ルーティング テーブルを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
インターフェイスでの VRF の設定
プライベート RADIUS サーバにアクセスするには、サーバへのインターフェイスで VRF を設定する必要があります。
Cisco 7600 シリーズ ルータ プラットフォームでは、このインターフェイスはスーパーバイザ エンジンに設定されたレイヤ 3 ルーテッド Gi VLAN への論理インターフェイスとなります(ここに IEEE 802.1Q カプセル化が設定されます)。
スーパーバイザ エンジン上の必要な VLAN の詳細については、「プラットフォームの前提条件」を参照してください。
インターフェイスの設定の詳細については、『 Cisco IOS Interface Configuration Guide 』および『 Cisco IOS Interface Command Reference 』を参照してください。
スーパーバイザ エンジン上の関連付けられた VLAN に対する IEEE 802.1Q カプセル化をサポートするサブインターフェイスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
Router(config)# interface gigabitethernet slot/port.subinterface-number |
||
プライベート RADIUS サーバへのアクセスのためのアクセス ポイントでの VRF の設定
前提条件の設定作業を完了したあと、トンネルを使用して、またはトンネルを使用しないで RADIUS サーバへのアクセスを設定できます。
次の項では、RADIUS サーバへのアクセスを設定するために使用できるさまざまな方法について説明します。
トンネルを使用しない RADIUS サーバへのアクセスの設定
トンネルを使用しない RADIUS サーバへのアクセスを設定するには、 vrf アクセス ポイント コンフィギュレーション コマンドを設定する必要があります。
(注) GPRS アクセス ポイント リストで RADIUS サーバへのアクセスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
トンネルを使用した RADIUS サーバへのアクセスの設定
RADIUS サーバへのインターフェイスが 1 つだけであり、そこから 1 台以上のプライベート RADIUS サーバにアクセスする必要がある場合、IP トンネルを設定してそれらのプライベート サーバにアクセスできます。
トンネルを使用した RADIUS サーバへのアクセスを設定するには、次の作業を実行します。
• プライベート RADIUS サーバ アクセス ポイントの設定(必須)
• IP トンネルの設定(必須)
プライベート RADIUS サーバ アクセス ポイントの設定
GPRS アクセス ポイント リストでプライベート RADIUS サーバへのアクセスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
トンネルを設定する場合は、ループバック インターフェイスを実インターフェイスではなく、トンネル エンドポイントとして使用することを推奨します。これは、ループバック インターフェイスが常に稼動しているためです。
プライベート ネットワークへの IP トンネルを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
VRF を使用した RADIUS サーバへのルートの設定
VRF インスタンスと RADIUS サーバ間にルートが存在するようにします。VRF から RADIUS サーバに対して ping コマンドを使用して、接続性を検証できます。ルートを設定するには、スタティック ルートまたはルーティング プロトコルを使用できます。
VRF を使用したスタティック ルートの設定
VRF を使用してスタティック ルートを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
設定したスタティック VRF ルートを確認するには、次の例に示すように show ip route vrf 特権 EXEC コマンドを使用します。
VRF を使用した OSPF ルートの設定
VRF を使用して Open Shortest Path First(OSPF)ルートを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
OSPF ルーティングをイネーブルにし、ルータ コンフィギュレーション モードを開始します。 • |
GGSN Gn インターフェイスの保護
アドレス確認およびモバイル間トラフィック リダイレクション機能により、ネットワークへの不正アクセスやネットワーク ダウンタイムにつながる攻撃に対するセキュリティが、GGSN モバイル インターフェイスに追加されます。これらの機能を設定するには、次の作業が必要です。
アドレス確認の設定
security verify source (IPv4 アドレス確認)および ipv6 security verify source (IPv6 アドレス確認)アクセス ポイント コンフィギュレーション コマンドを使用して、MS に以前に割り当てられたアドレスに対して、アップストリーム Transport Protocol Data Unit(TPDU; 転送プロトコル データ ユニット)の送信元 IP アドレスを確認するように GGSN を設定します。
security verify source または ipv6 security verify source コマンドが APN で設定されると、GTP が TPDU を受け入れて転送する前に、GGSN はその送信元アドレスを確認します。アドレスが MS に以前に割り当てられたものと異なることを判別すると、GGSN は TPDU を廃棄し、PDP コンテキストおよび APN で不正なパケットと見なします。 security verify source および ipv6 security verify source アクセス ポイント コンフィギュレーション コマンドの設定によって、GGSN は偽のユーザ ID から保護されます。
security verify destination アクセス ポイント コンフィギュレーション コマンド(IPv4 アドレス確認だけ)を使用して、GGSN で、 gprs plmn ip address コマンドを使用して指定された PLMN アドレスのグローバル リストに対して、アップストリーム TPDU の宛先アドレスを確認します。GGSN は、TPDU の宛先アドレスがアドレス リストの範囲内にあることを判別すると、TPDU を廃棄します。TPDU にリストの範囲外の宛先アドレスが含まれていることを判別すると、TPDU を最終宛先に転送します。
(注) security verify destination コマンドは、VRF または IPv6 アドレス確認を使用する APN には適用されません。また、宛先アドレスの確認は、GTP-PPP 再生成または Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)を含む GTP-PPP には適用されません。
アクセス ポイントで IPv4 アドレス確認を設定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
Router(config-access-point)# security verify { source | destination } |
(任意)GGSN が Gn インターフェイスから受信した TPDU の送信元アドレスまたは宛先アドレスを確認することを指定します。 |
(注) IPv4 宛先アドレスと送信元アドレスの両方の確認を APN で設定できます。
アクセス ポイントで IPv6 送信元アドレス確認を設定するには、アクセス ポイント コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
(任意)MS に以前に割り当てられたアドレスに対して、アップストリーム TPDU の IPv6 送信元アドレスを確認するように GGSN を設定します。アクセス ポイント コンフィギュレーション モードで ipv6 security verify source コマンドを使用します。 |
モバイル間トラフィック リダイレクションの設定
モバイル間トラフィックは、Gn インターフェイスを介して開始および終了されます。したがって、ネットワーク側の Gi インターフェイスを介さずに GGSN によって切り替えられます。このため、GGSN のネットワーク側に配置されたファイアウォールでは、このレベルのトラフィックを確認できません。
redirect intermobile ip アクセス ポイント コマンドを使用して、確認のために、モバイル間トラフィックを外部デバイス(外部ファイアウォールなど)にリダイレクトします。
(注) Cisco 7600 シリーズ インターネット ルータ プラットフォームでのモバイル間リダイレクション機能では、スーパーバイザ エンジンおよび Cisco SAMI からの着信 VLAN インターフェイスで Policy Based Routing(PBR; ポリシー ベース ルーティング)が設定され、set ip next-hop コマンドを使用して基準に一致したパケットをルーティングするネクストホップが設定されている必要があります。
(注) TPDU が同じ APN で終了しないかぎり、入力 APN ではモバイル間トラフィックのリダイレクションは発生しません。また、入力 APN から PDN の L2TP Network Server(LNS; L2TP ネットワーク サーバ)へ L2TP によってトンネリングされる TPDU のリダイレクションも発生しません。
すべてのトラフィックのリダイレクト
すべてのトラフィックのリダイレクト機能を使用すると、次のことを実行できます。
• 同じ GGSN 上のモバイル ステーション(MS)に宛先アドレスが属するかどうかに関係なく、すべてのパケットを指定された宛先にリダイレクトします。モバイル間リダイレクト機能を使用してトラフィックをリダイレクトする場合、同じ GGSN 上でアクティブな MS に宛先アドレスが属するパケットだけをリダイレクトできます。送信 MS の PDP コンテキストが作成される GGSN 内に受信 MS の PDP コンテキストがない場合、パケットは廃棄されます。
• 集約ルートが設定されている場合、すべてのトラフィックを特定の宛先にリダイレクトします。
すべてのトラフィックを特定の IP アドレスにリダイレクトするには、アクセス ポイント コンフィギュレーション モードで次のコマンドを発行します。
|
|
|
|---|---|
Router(config-access-point)# ipv6 redirect allintermobile ipv6-address |
GGSN Gn インターフェイスでの GRX トラフィックの分離
Cisco GGSN は、Gn および Gp インターフェイスで SGSN からのトラフィックを受信します。Gn トラフィックは同じ PLMN 内の SGSN から、Gp トラフィックは異なる PLMN 内の SGSN から、GPRS Roaming Exchange(GRX)経由で GGSN に到達します。
プライバシーおよびセキュリティを確保するために、Cisco GGSN は、GRX トラフィックを分離して別々のルーティング テーブルの一部とすることができるように、Gn インターフェイス上でバーチャル プライベート ネットワーク(VPN)ルーティングおよび転送(VRF)インスタンスをサポートします。
• VRF ごとに GTP 仮想テンプレートを設定する必要があります。
• デフォルト GTP 仮想テンプレート(Virtual-Template 1)は設定が必須であり、 service gprs ggsn が設定されているかぎり設定解除しません。
• デフォルト GTP 仮想テンプレート(Virtual-Template 1)には、 ip address または ip unnumbered コマンドを使用して有効な IP アドレスが関連付けられている必要があります。
• GTP カプセル化を使用する 2 つの仮想テンプレートを同じ VRF で使用することはできません。
• 課金元インターフェイスが設定されていないかぎり、GTP 仮想テンプレートに関連付けられたすべてのループバック インターフェイスに対して同じ IP アドレスを使用して、PDP コンテキストの Call Detail Record(CDR; 呼詳細レコード)に同じ GGSN アドレスが含まれるようにする必要があります。
• すべての仮想テンプレートを同じアクセス ポイント リスト名で設定する必要があります。
Gn VRF を作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
仮想テンプレート インターフェイスを作成します。 number によって、仮想テンプレート インターフェイスが識別されます。このコマンドにより、インターフェイス コンフィギュレーション モードになります。 |
||
新しいアクセス ポイント リストの名前を指定するか、既存のアクセス ポイント リストの名前を参照し、アクセス ポイント リスト コンフィギュレーション モードを開始します。 |
Gn VRF 設定を削除するには、グローバル コンフィギュレーション モードで interface virtual-template コマンドの no フォームを使用し、Gn VRF 仮想テンプレート インターフェイスの番号を指定します。
ブロードキャスト アカウンティングと待機アカウンティングの同時設定
Cisco GGSN リリース 8.0 以降、ブロードキャスト アカウンティングと待機アカウンティングを同時に使用するように設定できます。待機アカウンティング機能は APN レベルで設定され、ブロードキャスト アカウンティングは AAA 方式レベルで指定されます。
ブロードキャスト アカウンティングでは、開始、停止、および中間アカウンティング レコードが、方式リストに設定されたすべてのサーバ グループに送信されます。サーバ グループ内では、アカウンティング レコードは最初のアクティブなサーバに送信されます。そのアクティブなサーバに到達できない場合、アカウンティング レコードはグループ内の次のサーバに送信されます。
また、方式リスト内の 1 つ以上のサーバ グループを「必須」として設定できます。これは、そのサーバ グループのサーバがアカウンティング開始メッセージに応答する必要があることを意味します。APN レベルの待機アカウンティングでは、アカウンティング応答がすべての必須サーバ グループから受信されてから、PDP コンテキストが確立されます。
ブロードキャスト アカウンティングと待機アカウンティングを同時に使用することの利点は、次のとおりです。
• アカウンティング レコードは複数のサーバに送信され、エントリが行われると、ユーザは別のサービスを使用して起動できます。
• 冗長性のために、レコードは複数の AAA サーバに送信されます。
• PDP コンテキストは有効なアカウンティング開始レコードがすべての必須のサーバで受信された場合にだけ確立され、情報の損失を防ぎます。
• 方式リスト内の最大 10 個のサーバ グループにブロードキャスト レコードを送信できます。
ブロードキャスト アカウンティングと待機アカウンティングを同時に設定する場合は、次の点に注意してください。
• 方式リストの設定では、 mandatory キーワードはブロードキャスト アカウンティングが設定されている場合にだけ使用できます。
• 待機アカウンティングが必要ない場合、すべてのサーバ グループへのブロードキャスト アカウンティングは、必須グループを定義しないで使用できます。
• ブロードキャスト アカウンティングを設定するときに必須サーバ グループを指定しないと、待機アカウンティングは Cisco GGSN リリース 7.0 以前のリリースの場合と同様に機能します。
• 待機アカウンティングは PPP PDP コンテキストには適用されません。
• PDP は、すべての必須サーバからアカウンティング応答が受信された場合にだけ作成されます。
• 定期的なタイマーは、アカウンティング応答(PDP 作成)が受信されたときに開始されます。
(注) 複数のサーバ グループを必須サーバ グループとして方式リストで定義できます。
ブロードキャスト アカウンティングおよび待機アカウンティングを GGSN で設定するには、グローバル コンフィギュレーション モードで次の作業を実行します。
定期アカウンティング タイマー
Cisco IOS ソフトウェアでは、AAA セッションの定期アカウンティング レコードの送信をイネーブルにするグローバル AAA コンフィギュレーション コマンドがサポートされています。ただし、GGSN は、PDP コンテキストの定期アカウンティング レコードの送信に、この設定を使用しません。
Cisco GGSN リリース 8.0 以降、定期アカウンティング タイマーの間隔値は、次のいずれかを使用して取得されます。
• GGSN グローバル コンフィギュレーション レベルで設定された定期タイマー
• access-accept メッセージ内の accounting-interim 間隔アトリビュート
これらの設定が存在する場合、適用可能な PDP コンテキストに対して設定された間隔で、「中間」タイプのアカウンティング レコードが送信されます。次の優先順位が適用されます。
• アトリビュート 85(access-accept メッセージ内)
(注) 値が access-accept メッセージのアトリビュート 85 によって取得された場合、GGSN は最小値および最大値が GGSN で設定された範囲内にあることを確認し、範囲外の場合はアトリビュートは無視されます。また、APN でアカウンティングがイネーブルではない場合、アトリビュート 85 は無視されます。
GGSN が Interim Update Accounting(IAU)レコードを送信する場合、定期タイマーは次の定期アカウンティング レコードが定期間隔の終了後に送信されるようにリセットされ、IAU レコードが送信されたインスタンスから開始されます。
両方のタイプのレコードには同じ情報が含まれているため、この処理によって RADIUS アカウンティング トラフィックは制限されます。ただし、フェールオーバー後は、送信されるレコードは元の START レコードと調整されます。
GGSN で定期アカウンティング タイマーを設定する場合は、次の点に注意してください。
• タイマーは PPP 再生成、IPv4、および IPv6 PDP に対してサポートされています。タイマーは PPP PDP には適用されません。
• PDP の送信/受信バイト カウントは、フェールオーバー時に 0 にリセットされます。
• タイマー間隔を正確に保つために、冗長システムのクロックは NTP などのメカニズムと同期化されている必要があります。
• 冗長設定での定期アカウンティングでは、スイッチオーバーの前後で間隔は維持されます。
• タイマーは PDP 作成が成功した場合にだけ開始されます。たとえば、待機アカウンティングでは、正常なアカウンティング応答が受信されたあとです。
デフォルトの GGSN 定期アカウンティング タイマーの設定
すべての APN に対してデフォルトの定期アカウンティング値をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|---|---|
|
|
GGSN でデフォルトの定期アカウンティング タイマーを設定します。有効な値は 15 ~ 71582 です。デフォルトでは、定期アカウンティング タイマーはグローバルに設定されません。 |
APN レベルの定期アカウンティング タイマーの設定
APN で定期アカウンティング タイマーを設定するには、グローバル コンフィギュレーション モードで次の作業を実行します。
(注) AAA グローバル設定値(aaa accounting update periodic minutes)は常に無視されます。また、APN アカウンティングがイネーブルでないかぎり、設定方法にかかわらず定期アカウンティングは有効ではありません。
Cisco GGSN での合法的傍受サポートの実装
ここでは、合法的傍受について説明します。次の項目について説明します。
合法的傍受の概要
合法的傍受は、裁判所または行政機関による命令を根拠として、Law Enforcement Agency(LEA; 司法当局)が個人(ターゲット)に対して電子監視を実施できるようにするプロセスです。合法的傍受プロセスを容易にするために、特定の法律および規制によって、Service Provider(SP; サービス プロバイダー)およびインターネット サービス プロバイダー(ISP)に対して、認可された電子監視を明示的にサポートするようにネットワークを実装することが定められています。
監視は、音声、データ、およびマルチサービス ネットワークによる従来のテレコミュニケーションおよびインターネット サービスに対する傍受を使用して実行されます。LEA は、ターゲットのサービス プロバイダーに傍受を要求します。サービス プロバイダーには、その個人が送受信するデータ通信を傍受する責任があります。サービス プロバイダーは、ターゲットの IP アドレスまたはセッションを使用して、ターゲットのトラフィック(データ通信)を処理しているエッジ ルータを判別します。次に、サービス プロバイダーは、ターゲットのトラフィックがルータを通過するときにそれを傍受し、傍受したトラフィックのコピーをターゲットに気付かれずに LEA に送信します。
合法的傍受機能は、米国内のサービス プロバイダーによる合法的傍受のサポート方法を定めた Communications Assistance for Law Enforcement Act(CALEA)をサポートしています。現在、合法的傍受は次の規格によって定義されています。
• Telephone Industry Association(TIA)仕様 J-STD-025
• Packet Cable Electronic Surveillance Specification(PKT-SP-ESP-101-991229)
シスコの合法的傍受ソリューションの詳細については、シスコの代理店にご連絡ください。
Cisco GGSN での合法的傍受のサポートには、次の利点があります。
• 複数の LEA が相互に知られることなく同じターゲットに対して合法的傍受を実行できます。
• レイヤ 3 およびレイヤ 2 トラフィックの傍受をサポートします。
• ターゲットに気付かれません。ネットワーク管理者も通話者もパケットがコピーされていることや通話が傍受されていることに気付きません。
• Simple Network Management Protocol Version 3(SNMPv3; 簡易ネットワーク管理プロトコル バージョン 3)および View-based Access Control Model(SNMP-VACM-MIB)や User-based Security Model(SNMP-USM-MIB)などのセキュリティ機能を使用して、合法的傍受情報およびコンポーネントへのアクセスを制限します。
• 合法的傍受に関する情報を、最高特権を持つユーザ以外のユーザから秘匿します。管理者は、特権ユーザが法的傍受情報にアクセスできるアクセス権を設定する必要があります。
• 傍受を実行するための 2 つの保護されたインターフェイスがあります。1 つは傍受の設定用、もう 1 つは傍受したトラフィックの LEA への送信用です。
合法的傍受に使用されるネットワーク コンポーネント
合法的傍受には、次のネットワーク コンポーネントが使用されます。
• メディエーション デバイス :メディエーション デバイス(サードパーティ ベンダーから提供される)は、合法的傍受処理のほとんどを処理します。メディエーション デバイスは次の処理を行います。
– 合法的傍受の設定およびプロビジョニングに使用されるインターフェイスを提供します。
– 他のネットワーク デバイスに対して、合法的傍受を設定および実行する要求を生成します。
– 傍受したトラフィックを LEA が要求する形式(国によって異なる)に変換し、傍受したトラフィックのコピーをターゲットに気付かれずに LEA に送信します。
(注) 複数の LEA が同じターゲットに対して傍受を実行している場合、メディエーション デバイスは LEA ごとに傍受したトラフィックのコピーを作成する必要があります。メディエーション デバイスには、障害のために中断された合法的傍受を再開する役割もあります。
• 傍受アクセス ポイント :Intercept Access Point(IAP; 傍受アクセス ポイント)は、合法的傍受に情報を提供するデバイスです。次の 2 つのタイプの IAP があります。
– Identification(ID)IAP:傍受のための Intercept-Related Information(IRI; 傍受関連情報)(ターゲットのユーザ名、システム IP アドレスなど)を提供する認証、認可、アカウンティング(AAA)サーバなどのデバイス。IRI は、ターゲットのトラフィックが通過するコンテンツ IAP(ルータ)をサービス プロバイダーが判別する場合に有用です。
– コンテンツ IAP:ターゲットのトラフィックが通過する Cisco 7600 シリーズ ルータなどのデバイス。コンテンツ IAP は次の処理を行います。
- 司法命令で指定された期間、ターゲットが送受信するトラフィックを傍受します。傍受が気付かれないように、ルータは宛先へのトラフィックの転送を継続します。
- 傍受したトラフィックのコピーを作成し、ユーザ データグラム プロトコル(UDP)パケットにカプセル化し、ターゲットに気付かれずにメディエーション デバイスにパケットを転送します。
(注) コンテンツ IAP は、傍受したトラフィックの単一のコピーをメディエーション デバイスに送信します。複数の LEA が同じターゲットに対して傍受を実行している場合、メディエーション デバイスは LEA ごとに傍受したトラフィックのコピーを作成する必要があります。
• 収集機能 :収集機能は、サービス プロバイダーが傍受したトラフィックを格納および処理するプログラムです。このプログラムは、LEA にある機器で実行されます。
合法的傍受処理
監視を実行する司法命令または令状を取得したあと、LEA はターゲットのサービス プロバイダーに監視を要求します。サービス プロバイダーの担当者は、メディエーション デバイスで実行される管理機能を使用して合法的傍受を設定し、ターゲットの電子トラフィックを(司法命令で定義された)特定の期間モニタリングします。
傍受を設定したあとは、ユーザの介入は必要ありません。管理機能が他のネットワーク デバイスと通信し、合法的傍受を設定および実行します。合法的傍受では、次の一連のイベントが発生します。
1. 管理機能は、ID IAP と通信して傍受関連情報(IRI)(ターゲットのユーザ名、システムの IP アドレスなど)を取得し、ターゲットのトラフィックが通過するコンテンツ IAP(ルータ)を判別します。
2. ターゲットのトラフィックを処理するルータを特定したあと、管理機能は SNMPv3 の get および set 要求をルータの Management Information Base(MIB; 管理情報ベース)に送信し、合法的傍受を設定および有効化します。GGSN の合法的傍受 MIB には、CISCO-TAP2-MIB および CISCO-MOBILITY-TAP-MIB があります。
a. 着信および発信トラフィックを調べ、合法的傍受要求の指定と一致するトラフィックを傍受します。
b. 傍受したトラフィックのコピーを作成し、ターゲットが疑いを持たないように元のトラフィックを宛先に転送します。
c. 傍受したトラフィックを UDP パケットにカプセル化し、そのパケットをターゲットに気付かれずにメディエーション デバイスに転送します。
(注) ターゲットのトラフィックの傍受および複製のプロセスによって、トラフィック ストリームに検出可能な遅延が発生することはありません。
4. メディエーション デバイスは、傍受したトラフィックを必要な形式に変換し、LEA で実行される収集機能に送信します。傍受したトラフィックはここに格納されて処理されます。
(注) 司法命令で許可されていないトラフィックをルータが傍受した場合、メディエーション デバイスは余分なトラフィックをフィルタで除外し、司法命令で許可されたトラフィックだけを LEA に送信します。
合法的傍受 MIB
合法的傍受を実行するために、GGSN は次の MIB を使用します。
• CISCO-TAP2-MIB :CISCO-TAP2-MIB には、ルータでの合法的傍受を制御する SNMP 管理オブジェクトが含まれています。メディエーション デバイスはこの MIB を使用して、トラフィックがルータを通過するターゲットに対して合法的傍受を設定および実行します。この MIB は、合法的傍受をサポートするシスコのソフトウェア イメージにバンドルされています。
CISCO-TAP2-MIB には、ルータで実行される合法的傍受に情報を提供する複数のテーブルが含まれています。
– cTap2MediationTable:ルータで現在、合法的傍受を実行している各メディエーション デバイスに関する情報が含まれています。各テーブル エントリは、ルータがメディエーション デバイスと通信するために使用する情報(デバイスのアドレス、傍受したトラフィックを送信するインターフェイス、傍受したトラフィックを送信するプロトコルなど)を提供します。
– cTap2StreamTable:傍受するトラフィックを特定するために使用する情報が含まれています。各テーブル エントリには、合法的傍受のターゲットに関連するトラフィック ストリームを特定するために使用するフィルタへのポインタが含まれています。フィルタに一致するトラフィックが傍受およびコピーされて、対応するメディエーション デバイス アプリケーション(cTap2MediationContentId)に送信されます。
– テーブルには、傍受されたパケット数のカウント、および傍受する必要があったが傍受されずに廃棄されたパケットのカウントも含まれています。
– cTap2DebugTable:合法的傍受のエラーをトラブルシューティングするためのデバッグ情報が含まれています。
CISCO-TAP2-MIB には、合法的傍受イベントの複数の SNMP 通知も含まれています。MIB オブジェクトの詳細については、MIB 自体を参照してください。
(メディエーション デバイスで実行される)管理機能によって、SNMPv3 の set および get 要求がルータの CISCO-TAP2-MIB に対して発行され、合法的傍受が設定および開始されます。このために、管理機能によって次の処理が実行されます。
a. cTap2MediationTable のエントリを作成し、ルータが傍受を実行するメディエーション デバイスと通信する方法を定義します。
(注) cTap2MediationNewIndex オブジェクトによって、メディエーション テーブル エントリの一意のインデックスが提供されます。
b. cTap2StreamTable にエントリを作成し、傍受するトラフィック ストリームを特定します。
c. cmTapStreamTable にエントリを作成し、cmTapStreamStatus を active (1) に設定します。
d. cTap2StreamInterceptEnable を true(1) に設定し、傍受を開始します。ルータは、傍受期間(cTap2MediationTimeout)が終了するまでストリーム内のトラフィックを傍受します。
• CISCO-MOBILITY-TAP-MIB :CISCO-MOBILITY-TAP-MIB には、モビリティ ゲートウェイ トラフィックで傍受を設定および実行するための SNMP 管理オブジェクトが含まれています。
CISCO-MOBILITY-TAP-MIB には、傍受するデータ ストリームがリストされた cmtapStreamTable(モビリティ ストリーム テーブル)が含まれています。複数の傍受で同じデータ ストリームが必要になる場合があります。このテーブルには基本的にパケット選択のオプションがあり、その一部だけを使用できます。たとえば、ある加入者が送受信するトラフィックのすべてを傍受する必要がある場合、エントリのリストは、SubscriberID と、傍受するストリームに対応する SubscriberIDType をリストして設定されます(詳細については、CISCO-MOBILITY-TAP-MIB を参照してください)。
合法的傍受トポロジ
次の図は、音声とデータの両方の傍受の合法的傍受トポロジにおける傍受アクセス ポイントおよびインターフェイスを示しています(図 1)。
合法的傍受サポートの設定
• 「前提条件」
前提条件
合法的傍受のサポートを設定するには、次の前提条件を満たす必要があります。
• 最高アクセス レベル(レベル 15)で GGSN にログインしている必要があります。レベル 15 のアクセス権でログインするには、 enable コマンドを入力し、ルータに対して定義された最高レベルのパスワードを指定します。
• コマンドはグローバル コンフィギュレーション モードで発行する必要があります。グローバル コンフィギュレーション モードを開始するには、 config を入力します。
• (任意)GGSN がメディエーション デバイスとの通信に使用するインターフェイスについて、ループバック インターフェイスを使用すると役立つ場合があります。
• メディエーション デバイスはプロビジョニングされている必要があります。詳細については、ご使用のメディエーション デバイスに関するベンダーのマニュアルを参照してください。シスコが推奨するメディエーション デバイス機器サプライヤのリストについては、http://www.cisco.com/wwl/regaffairs/lawful_intercept/index.html を参照してください。
セキュリティの考慮事項
合法的傍受サポートについて GGSN を設定する場合は、セキュリティに関する次の問題を考慮してください。
• 合法的傍受の SNMP 通知は、メディエーション デバイス上のユーザ データグラム プロトコル(UDP)ポート 161 に送信する必要があります。ポート 162(簡易ネットワーク管理プロトコル(SNMP)のデフォルト)ではありません。手順については、「Cisco GGSN による合法的傍受の SNMP 通知送信の設定」を参照してください。
• 合法的傍受 MIB にアクセスできるユーザは、メディエーション デバイス、およびルータでの合法的傍受について知る必要があるシステム管理者だけにします。また、これらのユーザには、合法的傍受 MIB にアクセスするための authPriv または authNoPriv アクセス権が必要です。NoAuthNoPriv アクセス権を持つユーザは、合法的傍受 MIB にアクセスできません。
設定ガイドラインおよび制限事項
ここでは、合法的傍受の一般的な制限事項と設定ガイドライン、Cisco GGSN 固有のガイドライン、および加入者ごとのガイドラインについて説明します。
• GGSN のパフォーマンスを維持するために、合法的傍受はアクティブ セッションの 0.2% 以下に制限されます。たとえば、GGSN が 4000 セッションを処理している場合、それらのセッションのうち 8 つのセッションを傍受できます。
• 一般的な設定ガイドライン :GGSN がメディエーション デバイスと通信して合法的傍受を実行するには、次の設定要件を満たしている必要があります。
– GGSN とメディエーション デバイスの両方のドメイン名が、ドメイン ネーム システム(DNS)に登録されている必要があります。
– DNS で、ルータの IP アドレスは、通常はルータ上の FastEthernet0/0/0 インターフェイスのアドレスです。
– メディエーション デバイスに Access Function(AF)および Access Function Provisioning Interface(AFPI)が必要です。
– メディエーション デバイスを、CISCO-TAP2-MIB ビューにアクセスできる SNMP ユーザ グループに追加する必要があります。グループに追加するユーザとして、メディエーション デバイスのユーザ名を指定します。
– メディエーション デバイスを CISCO-TAP2-MIB ユーザとして追加するときに、必要に応じてメディエーション デバイスの認可パスワードを指定できます。パスワードの長さは、最低 8 文字である必要があります。
• MIB ガイドライン :次の Cisco MIB が合法的傍受処理に使用されます。これらの MIB を合法的傍受 MIB の SNMP ビューに含めて、メディエーション デバイスがルータを通過するトラフィックに対する傍受を設定および実行できるようにします。
– CISCO-TAP2-MIB:両方のタイプの合法的傍受(通常およびブロードバンド)に必要です。
– CISCO-MOBILITY-TAP-MIB:モビリティ ゲートウェイ トラフィックに対する傍受に必要です。
• Cisco GGSN の設定ガイドラインおよび制限事項 :次に、Cisco GGSN での通常の合法的傍受の設定ガイドラインを示します。
– 合法的傍受では、パケット転送レートに影響を与えずに 6000 パケット/秒(pps)のレートでトラフィックを傍受できます。この傍受レートには、アクティブな傍受がすべて含まれており、パケットの長さは 150 ~ 200 バイトと想定されています。合法的傍受はプロセッサに負荷がかかるため、傍受レートが 6000 pps を超えると、パケット転送率はわずかに低下します。
– 合法的傍受は、レイヤ 2 インターフェイスではサポートされません。ただし、合法的傍受では、VLAN インターフェイスがレイヤ 3 インターフェイスで、トラフィックが VLAN インターフェイスによってルーティングされる場合は、レイヤ 2 インターフェイスで実行される VLAN 上のトラフィックを傍受できます。
– ハードウェア レート制限の対象のパケットは、合法的傍受で次のように処理されます。
– レート リミッタによって廃棄されるパケットは、傍受または処理されません。
– レート リミッタを通過するパケットは、傍受および処理されます。
– 複数の司法当局(LEA)が 1 つのメディエーション デバイスを使用しており、それぞれが同じターゲットに対して傍受を実行している場合、ルータは 1 つのパケットをメディエーション デバイスに送信します。各 LEA 用にパケットを複製するのは、メディエーション デバイスの役割です。
– GGSN での合法的傍受は、CISCO-MOBILITY-MIB で記述されている加入者 IMSI 値に基づきます。
合法的傍受 MIB へのアクセス
機密に関係するため、シスコの合法的傍受 MIB は合法的傍受機能をサポートするソフトウェア イメージだけで使用できます。これらの MIB には、Network Management Software MIBs Support ページ( http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml )からはアクセスできません。
合法的傍受 MIB へのアクセスは、メディエーション デバイスおよび合法的傍受について知る必要があるユーザだけに許可する必要があります。これらの MIB へのアクセスを制限するには、次の作業を実行する必要があります。
1. シスコの合法的傍受 MIB を含むビューを作成します。
2. このビューへの読み取りおよび書き込みアクセス権を持つ SNMP ユーザ グループを作成します。このユーザ グループに割り当てられたユーザだけが、MIB の情報にアクセスできます。
3. シスコの合法的傍受ユーザ グループにユーザを追加して、MIB および合法的傍受に関する情報にアクセスできるユーザを定義します。このグループのユーザとして、メディエーション デバイスを追加してください。追加しないと、ルータで合法的傍受を実行できません。
(注) シスコの合法的傍受 MIB ビューへのアクセスは、メディエーション デバイス、およびルータでの合法的傍受について知る必要があるシステム管理者だけに制限する必要があります。MIB にアクセスするには、ルータ上でレベル 15 のアクセス権がユーザに必要です。
SNMPv3 の設定
次の手順を実行するには、GGSN で SNMPv3 が設定されている必要があります。SNMPv3 の設定方法および次の項で説明するコマンドの詳細については、次のシスコのマニュアルを参照してください。
• 『 Cisco IOS Configuration Fundamentals Configuration Guide 』の「Part 3: System Management」の「Configuring SNMP Support」。次の URL で入手できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/ffun_c/fcfprt3/fcf014.htm
• 『 Cisco IOS Configuration Fundamentals and Network Management Command Reference 』。次の URL で入手できます。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/fun_r/cfr_1g11.htm
合法的傍受 MIB の制限付き SNMP ビューの作成
シスコの合法的傍受 MIB を含む SNMP ビューを作成し、ユーザを割り当てるには、グローバル コンフィギュレーション モードでレベル 15 のアクセス権を使用して、Command Line Interface(CLI; コマンドライン インターフェイス)で次の手順を実行します。コマンドの例については、「設定例」を参照してください。
(注) 次の手順のコマンド構文には、各作業の実行に必要なキーワードだけが示されています。コマンド構文の詳細については、前の項(「SNMPv3 の設定」)に記載されているマニュアルを参照してください。
ステップ 1 GGSN で SNMPv3 が設定されていることを確認します。手順については、「SNMPv3 の設定」に記載されているマニュアルを参照してください。
ステップ 2 CISCO-TAP2-MIB を含む SNMP ビューを作成します( view_name は、MIB 用に作成するビューの名前です)。この MIB は、通常とブロードバンドの両方の合法的傍受に必要です。
ステップ 3 次の MIB を SNMP ビューに追加して、モビリティ ゲートウェイ ストリームに対する傍受のサポートを設定します( view_name は、ステップ 2 で作成したビューの名前です)。
ステップ 4 合法的傍受 MIB ビューにアクセスできる SNMP ユーザ グループ( groupname )を作成し、ビューに対するこのグループのアクセス権を定義します。
ステップ 5 作成したユーザ グループにユーザを追加します( username はユーザ、 groupname はユーザ グループ、 auth_password は認証パスワード)。
(注) ユーザを追加する場合、priv および auth キーワード オプションはどちらも有効なオプションです。
(注) SNMP ユーザ グループにメディエーション デバイスを追加してください。追加しないと、ルータで合法的傍受を実行できません。合法的傍受 MIB ビューへのアクセスは、メディエーション デバイス、およびルータでの合法的傍受について知る必要があるシステム管理者だけに制限する必要があります。
これで、メディエーション デバイスは合法的傍受 MIB にアクセスして、SNMP の set および get 要求を発行し、ルータ上で合法的傍受を設定および実行できるようになります。
SNMP 通知をメディエーション デバイスに送信するためのルータの設定方法については、「Cisco GGSN による合法的傍受の SNMP 通知送信の設定」を参照してください。
次のコマンドは、メディエーション デバイスが合法的傍受 MIB にアクセスできるようにする方法の例です。
1. 適切な合法的傍受 MIB(CISCO-TAP2-MIB および CISCO-MOBILITY-TAP-MIB)を含むビュー(tapV)を作成します。
2. tapV ビューの MIB への読み取り、書き込み、および通知アクセス権を持つユーザ グループ(tapGrp)を作成します。
3. メディエーション デバイス(ss8user)をユーザ グループに追加し、パスワード(ss8passwd)を使用して MD5 認証を指定します。
4. (任意)管理用に 24 文字の SNMP エンジン ID(123400000000000000000000 など)をルータに割り当てます。エンジン ID を指定しない場合は、自動的に生成されます。上記の例の最後の行に示されているように、エンジン ID の後ろのゼロは省略できます。
(注) エンジン ID を変更すると、SNMP ユーザ パスワードおよびコミュニティ ストリングに影響します。
Cisco GGSN による合法的傍受の SNMP 通知送信の設定
SNMP では、合法的傍受イベントの通知が自動的に生成されます( 表 11-2 を参照)。これは、cTap2MediationNotificationEnable オブジェクトのデフォルト値が true(1) であるためです。
メディエーション デバイスに合法的傍受通知を送信するように GGSN を設定するには、グローバル コンフィギュレーション モードでレベル 15 のアクセス権を使用して、次のコマンドを発行します( MD-ip-address はメディエーション デバイスの IP アドレス、 community-string は通知要求とともに送信するパスワードに似たコミュニティ ストリング)。
• 合法的傍受では、 udp-port は 161 である必要があります。162(SNMP のデフォルト)ではありません。
表 11-2 は、合法的傍受イベント用に生成される SNMP 通知を示しています。
|
|
|
|---|---|
冗長でアクティブな Route Processor(RP; ルート プロセッサ)がスタンバイ モードになります。スタンバイはアクティブな RP です。 |
SNMP 通知のディセーブル
次の手順で、GGSN での SNMP 通知をディセーブルにすることができます。
• すべての SNMP 通知をディセーブルにするには、 no snmp-server enable traps コマンドを発行します。
• 合法的傍受通知をディセーブルにするには、SNMPv3 を使用して CISCO-TAP2-MIB オブジェクト cTap2MediationNotificationEnable を false(2) に設定します。合法的傍受通知を SNMPv3 で再度イネーブルにするには、このオブジェクトを true(1) にリセットします。
設定例
ここでは、GGSN でのセキュリティに関する次の設定例を示します。
• 「アドレス確認およびモバイル間トラフィック リダイレクションの例」
AAA のセキュリティ設定例
次の例は、ルータで AAA セキュリティをグローバルにイネーブルにする方法、およびグローバルな RADIUS 認証および認可を指定する方法を示しています。
AAA の設定の詳細については、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。
RADIUS サーバのグローバル設定例
次の例は、ルータで RADIUS サーバ通信をグローバルに設定する方法を示しています。
(注) radius-server host コマンドは複数回設定できますが、Cisco IOS ソフトウェアでは、同じ IP アドレスでサポートされる RADIUS サーバは 1 つだけです。
RADIUS セキュリティの設定の詳細については、『 Cisco IOS Security Configuration Guide 』および『 Cisco IOS Security Command Reference 』を参照してください。
RADIUS サーバ グループの設定例
次の設定例は、 aaa group server コマンドで示されているように、GGSN 上に 4 つの AAA サーバ グループ abc、abc1、abc2、および abc3 を定義しています。
gprs default aaa-group コマンドを使用して、これらのサーバ グループのうちの 2 つがデフォルト サーバ グループとしてグローバルに定義されています。abc2 が認証用、abc3 がアカウンティング用です。
認証がイネーブルにされた access-point 1 では、デフォルトのグローバル認証サーバ グループ abc2 は上書きされ、サーバ グループ abc が APN で認証サービスを提供するように指定されています。このアクセス ポイントではアカウンティング サービスは明示的には設定されていませんが、認証がイネーブルであるため、自動的にイネーブルになります。グローバルに定義されたアカウンティング サーバ グループが定義されているため、サーバ abc3 がアカウンティング サービスに使用されます。
aaa-accounting enable コマンドを使用してアカウンティングがイネーブルにされた access-point 4 では、デフォルトのアカウンティング サーバ グループ abc3 は上書きされ、サーバ グループ abc1 が APN でアカウンティング サービスを提供するように指定されています。
access-point 5 は、透過的アクセス モード用に設定されているため、AAA サービスをサポートしていません。
(注) radius-server host コマンドは複数回設定できますが、Cisco IOS ソフトウェアでは、同じ IP アドレスでサポートされる RADIUS サーバは 1 つだけです。
RADIUS 応答メッセージの設定例
次の例では、GGSN が PDP コンテキストの作成要求を SGSN に送信する前に、RADIUS サーバからの RADIUS アカウンティング応答を待機するようにグローバルに設定されています。GGSN は、access-point 1 を除くすべてのアクセス ポイントで受信された PDP コンテキスト要求の応答を待機します。RADIUS 応答メッセージ待機は、access-point 1 では no gtp response-message wait-accounting コマンドを使用して上書きされています。
アドレス確認およびモバイル間トラフィック リダイレクションの例
次の例は、IPv4 アドレス確認をイネーブルにし、IPv4 モバイル間トラフィックが外部デバイスにリダイレクトされるように指定する方法を示しています。
VRF を使用したプライベート RADIUS サーバへのアクセスの設定例
次の例は、VRF を使用したプライベート RADIUS サーバへのアクセスの設定例を示しています。
定期アカウンティング タイマーの例
次の例は、APN レベルで、およびグローバルに設定された定期アカウンティング タイマーを示しています。
!
gprs access-point-list APLIST
access-point 100
access-point-name peracct.com
access-mode non-transparent
aaa-accounting interim update
aaa-accounting interim periodic 15
aaa-group authentication radaccess
aaa-group accounting default
ip-address-pool radius-client
gtp response-message wait-accounting
!
フィードバック