Cisco Mobile Wireless Home Agent リリース 5.2 for Cisco IOS リリース 12.4(22)YD2

その他のホットライニング機能

Home Agent では、HA Challenge Handshake Authentication Protocol（CHAP）中にホットライニング ポリシーがダウンロードされた場合に限り、ホットライニング ポリシーが適用されます。ユーザからリバース トンネルが要求されていない場合に、このユーザに対してホットライニング ポリシーがダウンロードされると、Home Agent は Registration Request（RRQ; 登録要求）をドロップします。

（注） この機能に対しては、Management Information Base（MIB; 管理情報ベース）サポートは予定されていません。

ホットライニング機能を使用すると、アクティブ セッション、新規セッションの 2 つのシナリオにおいて、アップストリームのユーザ トラフィックをモニタできます。特定のユーザに対してホットライニングがアクティブになると、このモバイル端末からのアップストリーム IP パケットは、この特定のレルムに設定されたリダイレクト サーバにリダイレクトされます。リダイレクションは、IP パケットの宛先アドレスをリダイレクト サーバのアドレスに変更することで行われます。Home AAA（HAAA; ホーム AAA）からの Change of Authorization（CoA）メッセージで唯一サポートされている必須アトリビュートは、Home Agent 上の特定のユーザを識別するための User-Name アトリビュートです。オプションとして、CoA メッセージに IP アドレスも含めて送信することで、特定ユーザに対する特定のバインディングを指定できます。

3gpp2 用の新規セッションのホットライニング

ここでは、新規セッションに対してホットラインを適用する場合のプロセスを説明します。

ステップ 1 HAAA はホットライン アプリケーションから、ユーザのパケット データ サービスに対するホットラインの適用を示すシグナルを受信します。

ステップ 2 HAAA はこの情報を、自身のユーザ プロファイル ストアに記録します。ユーザがアクティブでない場合は、HAAA はユーザがパケット データ サービスを開始するまで待機し、サービスが開始されるとただちにホットラインを適用します。また、ホットライン アプリケーションがユーザのホットライン ステータスを通常に戻すこともあります。この場合、HAAAはユーザのプロファイルを更新し、その内容を保存します。

ステップ 3 ホットライン適用対象となるユーザがパケット データ セッションを開始すると、HAAA は HA のホットライン機能を示す Remote Authentication Dial-In User Service（RADIUS）アクセス要求を受信します。

ステップ 4 HAAA はローカル ポリシー、および受信した hotline capability パラメータを使用して、ホットライニング Vendor-Specific Attribute（VSA; ベンダー固有のアトリビュート）を受信した HA を判断します。HAAA は RADIUS Access-Accept メッセージ内にホットライニング VSA を含めて送信することで、ホットライニング デバイスに対してユーザのホットライン ステータスを通知します。HAAA は、hot-line accounting indication VSA を RADIUS Access-Accept メッセージ内に含める場合もあります。

ステップ 5 HA でアカウンティングがイネーブルにされている場合は、HA は RADIUS Accounting-Request (start) パケットを生成し、RADIUS Access-Accept メッセージ内で hot-line accounting indication VSA を受信している場合は、これをパケットに含めます。HA が RADIUS Access-Accept パケットで受信したホットライニング VSA を処理できない場合は、HA は RADIUS Access-Accept を RADIUS Access-Reject パケットと見なし、セッションの確立を終了します。

ステップ 6 ホットライン セッションが開始されると、トラフィックはブロックされるか、またはホットライン アプリケーションに転送されます。

3gpp2 用のアクティブ セッションのホットライニング

アクティブ セッションのホットライニングで発生するイベントは、次のとおりです。

ステップ 1 現在ユーザは、ホットラインが適用されていないパケット データ セッションに携わっています。

ステップ 2 HAAA は、パケット データ セッションをすでに開始しているユーザに対してホットライン アプリケーションからホットライン シグナルを受信すると、アクティブ セッション ホットライニング手順を開始します。

ステップ 3 HAAA はユーザのホットライン状態を、ユーザのプロファイル内に保存します。

ステップ 4 HAAA はローカル ポリシー、および受信した hotline capability パラメータを使用して、ホットライニング VSA を受信した HA を判断します。HAAA は RADIUS Change of Authorization（COA）メッセージ内にホットライニング VSA または RADIUS filter-id (11) アトリビュートを含めて送信することで、HA に対してユーザのホットライン ステータスを通知します。HAAA は、hot-line accounting indication VSA を 3gpp2 環境ユーザ用の RADIUS CoA メッセージ内に含める場合もあります。

ステップ 5 HA が要求を処理できる場合は、COA Acknowledgment（ACK; 確認応答）パケットで応答します。HA がホットライニング要求を処理できない場合は、COA Negative Acknowledgment（NAK; 否定応答）メッセージで応答します。受信した COA NAK メッセージに、管理者による禁止（Administratively Prohibited (501)）を示す error-cause (101) が含まれる場合は、HAAA はローカル ポリシーに基づき、ホットライニング シグナルの HA への送信を再試行するか、HA に RADIUS disconnect-request メッセージを送信するか、または別のデバイスに対してセッションのドロップを指示します。

ステップ 6 また、アカウンティング パケットを生成可能な HA は（アカウンティングがイネーブルにされている場合）、RADIUS accounting-request (stop) メッセージを生成して、現在のアカウンティング セッションを終了します。3gpp2 環境のユーザに対してのみ、リリース インジケータ（F13）は 14（ホットライン ステータスの変更）に設定されます。

ステップ 7 また、アカウンティング パケットを生成可能な HA は、COA パケットで受信した hot-line accounting indication VSA を含む RADIUS accounting-request (start) メッセージを生成します。

ステップ 8 これに対し、ホットライニング デバイスは、COA パケットに指定されたホットライニング プロファイルをただちに実行します。

ステップ 9 ユーザにホットラインが適用されると、ホットライン アプリケーションは必要に応じてユーザにホットライン状態を通知し、ホットラインが適用された理由となる問題を修正するための処理を支援します。それでもなお、処理結果がホットライン アプリケーションの規定に適合しない場合は、ユーザのホットライン状態が維持されるか、またはユーザ セッションが終了されます。問題が正しく修正された場合は、ユーザのセッションは通常モードに戻されます。

ステップ 10 ホットライン アプリケーションは、通常状態への復帰を HAAA に通知します。ホットライン アプリケーションとユーザとの相互動作については、このマニュアルの範囲外です。

ステップ 11 HAAA はユーザのプロファイルを更新します。

ステップ 12 セッションがアクティブの場合は、HAAA は現在ホットライン ルールを適用している HA に対し、COA パケットを送信します。これは、セッションのホットライン状態を最初に設定したデバイスと同じであるとは限りません（ハンドオフが行われている可能性があります）。ステップ 9 で説明した受信通知が、ホットライン アプリケーションからのセッションの終了を示すものであれば、HAAA はユーザの終了ステータスをユーザのポリシー ストアに記録します。この時点でセッションがまだアクティブである場合は、HAAA は適切なデバイスに対して RADIUS disconnect-request メッセージを送信します。これは、ホットライン ルールを適用していないデバイスとなる可能性もあります。RADIUS disconnect-request メッセージを受信したデバイスは、セッションを終了します。アカウンティング メッセージを生成できるデバイスの場合は、リリース インジケータ（F13）を 6（リソース管理による終了）に設定した RADIUS accounting-request (stop) メッセージを生成します。

ステップ 13 ユーザを通常モードに戻すシグナルを受信した場合、この要求を処理できない HA は、COA NAK パケットで応答します。HAAA は COA NAK を受信すると、状況に応じて、RADIUS disconnect-request メッセージを送信してユーザのセッションを終了します。または、ホットライニング デバイス、またはセッションの終了を処理できる別のデバイスに対し、RADIUS disconnect-request メッセージを送信します。一方、ユーザを通常の状態に戻すことができるホットライニング デバイスの場合は、COA ACK パケットを送信します。

ステップ 14 アカウンティング メッセージを生成可能なホットライニング デバイスは、ホットライニング セッションの終了を示す RADIUS accounting-request (stop) メッセージを生成し、COA メッセージ内で受信した hot-line-accounting indication VSA を含めます。リリース インジケータ（F13）は 14（ホットライン ステータスの変更）に設定されます。

ステップ 15 RADIUS accounting-request (stop) メッセージの後には、通常のパケット データ セッションの開始を示す RADIUS accounting-request (start) メッセージが生成されます。

ステップ 16 この時点で、ユーザのセッションは通常モードに戻されます。

ホットラインの冗長性サポート

HA Release 5.0 では、冗長フレームワーク/インフラストラクチャが Component Cluster Manager（CCM）および Redundancy Framework Inter-device (RF-Interdev) の下に配置されるように修正されています。

HA Release 5.2 では、RADIUS アトリビュート 11 を使用する Authentication, Authorization and Accounting（AAA; 認証、認可、アカウンティング）サーバからホットライン プロファイルをダウンロードすることによってホットラインをサポートします。HA 5.2 は、新規セッションおよびアクティブ セッションの両方のホットラインをサポートします。HA 5.1 もまた、Change of Authorization (COA) メッセージを使用するホットラインをサポートします。

さらに、HA Release 5.2 は、上記のすべてに対して冗長性をサポートします。

次のバインディングのホットライン情報は、スタンバイに同期化されます。

• Hotlining Status：バインディングの現在のステータス（アクティブまたは通常）を指定。

• ホットライン プロファイル：いずれかの RADIUS アトリビュート 11 を使用する AAA からダウンロードしたホットライン プロファイルを指定。

• Session-Timeout：ホットラインのユーザに対して提供される最大秒数を指定。

さらに、次の情報も同期化されます。

• User-Name：ユーザの Network Access Identifier（NAI; ネットワーク アクセス識別子）。

• Bind address：バインディングの Home Address（HoA; ホーム アドレス）。

• Accounting-Session-Id：HA が生成するアカウンティング セッション ID。ユーザがアクティブから通常（または通常からアクティブ）に状態を変更するたびに、新規のアカウンティング セッション ID が作成されます。

フェールオーバーが発生し、スタンバイがアクティブになると、ユーザに対してホットライン プロファイルが適用されます。スタンバイでは、フェールオーバー前に同期化されたものと同じ Accounting-Session-Id を使用します。

制約事項および制限事項

この機能には、次の制約事項および制限事項が適用されます。

• ホットラインのカウンタと一致する Access Control List（ACL; アクセス コントロール リスト）ルールは、スタンバイに同期化されません。

• show ip mobile traffic コマンドの "Change of Authorization" カウンタはスタンバイと同期化されません。

ホットライン対応 HA の要件

ここでは、登録、再登録、および COA 中に、サブスクライバの Mobile IP（MIP; モバイル IP）フローに対するホットライン情報を処理するために適用可能な HA の各要件について説明します。

1. HA は、新規セッションおよびアクティブ セッションの両方のホットラインをサポートする必要があります。

2. ホットラインの実行により、パケット データ セッションの確立が干渉を受けないようにしてください。HA がパケット データ セッションの完了、および MIP シグナリングの再登録を中断させないようにしてください。

3. HA は MIP サブスクライバに対するホットラインをサポートする機能を示すため、RADIUS アクセス要求メッセージに Hot-line Capability VSA を含める必要があります。

4. HA は次を含む RADIUS Access-Accept メッセージまたは COA メッセージを受信した場合、RADIUS Access-Accept メッセージを Access-Reject メッセージとして扱うか、または Error-Cause (101) によって "Administratively Prohibited" (501) を示す COA NAK メッセージを使用して応答する必要があります。

a. デコードできない RADIUS Filter-Id(11) アトリビュート。

5. RADIUS Filter-Id(11) アトリビュートを含む RADIUS Access-Accept メッセージを受信した HA は、RADIUS Filter-Id(11) アトリビュートによって指定されたルールと一致する、ローカルにプロビジョニングされたホットライン ルールをただちに適用する必要があります。

6. RADIUS Filter-Id(11) アトリビュートを含む COA メッセージを受信した HA は、RADIUS Filter-Id(11) アトリビュートによって指定されたプロファイルと一致するホットライン ルールを特定します。この処理に成功した場合、HA は HAAA に COA ACK メッセージで応答します。HA は以前に指定された RADIUS Filter-Id(11) アトリビュートをすべて削除し、新たに受信した RADIUS Filter-Id(11) アトリビュートに関連付けられたルールの適用を開始します。HA は、アカウンティング メッセージ accounting stop および accounting start を送信します。新たに受信した RADIUS Filter-Id(11) アトリビュートが該当のルールに一致しない場合は、HA は Error-Cause (101) が "Administratively Prohibited" (501) を示す COA NAK を送信します。この場合は、ホットライン状態、および既存のすべてのルールは変更されません。

7. Session-Timeout (27) アトリビュートを受信した場合は、HA はセッションに規定されたタイムアウト時間（秒）が経過した後、セッションを終了します。RADIUS アカウンティングに対応している HA の場合は、RADIUS Accounting-Request (Stop) メッセージを送信します。受信した RADIUS Access-Accept または COA メッセージに Hot-Lining Accounting Indication VSA が含まれていた場合は、この VSA もメッセージに含めます。

8. HA は、プロファイルの下に設定されているルールに対して、HTTP Pass、HTTP Redirection、IPRedirection、IPFilter Rules の順に優先順位を与えます。

ホットライニング時間の制限

ホットラインを適用したセッションであっても、高価なネットワーク リソースが消費される可能性があります。このため、AAA ではセッションにホットラインを適用する時間を制限することができます。これには、COA または Access-Accept に Session-Timeout アトリビュートを含めて送信します。オペレータは、次の 2 つの方法を使用できます。

1 つには、Disconnect Message を送信することで、セッション（ホットラインを適用/非適用）をただちに終了する方法です。Disconnect Message は、HA を対象とする必要はありません。

もう 1 つの方法は、Home RADIUS サーバがホットライン インジケータを HA に送信する際、Session-Timeout (27) アトリビュートを含めるように Home RADIUS サーバを設定する方法です。Session-Timeout には、ユーザにセッションの続行を許可する時間を 1～（232 - 1）秒の範囲で指定します。Session-Timeout に指定した時間が経過すると、パケット データ セッションは終了します。この機能は、プロファイル ベースおよびルール ベースの両方のホットラインでサポートされます。

ホットラインを適用していないユーザのための IP リダイレクト

この機能を使用すると、IP リダイレクト ルールをレルム単位で設定し、指定した IP アドレスにアップストリーム パケットをリダイレクトできます。これにより、非ホットライン プロファイルが作成され、レルムに関連付けられます。非ホットライン プロファイルの下には、IP リダイレクト ルールが設定されます。

この設定により、HA は、パケットの内容と設定された ACL 値をレイヤ 4 まで照合し、destination-ip と destination-port を修正することによって、設定された IP アドレスとポートへのパケットのリダイレクトを試みます。profile の下に値が設定されている場合、destination-port は修正されます。

非ホットライン ユーザに対してホットラインをイネーブルにするには、次の作業を実行します。

（注） この機能は、アップストリーム（Mobile Node（MN; モバイル ノード）からネットワーク）トラフィックに対してのみ適用できます。

（注） リダイレクトされたトラフィックの場合、この機能の一部として Network Address Translation（NAT; ネットワーク アドレス変換）機能がサポートされている必要があります。この特別な機能は、ホットラインを適用したユーザとホットラインを適用していないユーザのトラフィックの両方に共通です。

（注） Home Agent MIB は、ホットライン情報によって更新されません。

ホットライニングの設定

ホットラインを設定するには、グローバル コンフィギュレーション モードで次の作業を実行します。

1 各フラグ値の意味は次のとおりです。

0x00000001 プロファイルベースのホットラインがサポートされます（RADIUS Filter-Id アトリビュートを使用）。

0x00000002 フィルタ ルールを使用したルールベースのホットラインがサポートされます。

0x00000004 HTTP リダイレクション ルールを使用したルールベースのホットラインがサポートされます。

0x00000008 IP リダイレクション ルールを使用したルールベースのホットラインがサポートされます。

ダイナミック ACL の設定に関する詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/partner/products/ps6350/products_configuration_guide_chapter09186a0080430e5b.html

設定の確認

HA のホットライニングに関するさまざまな情報を表示するには、次の作業を実行します。

次に、ホットライン ユーザ情報の出力例を示します。

次に、ホットライン プロファイル情報の出力例を示します。

次に、ホットラインに関する統計情報の出力例を示します。

次に、ホットライン セッション カウンタの出力例を示します。

Worldwide Interoperability for Microwave Access（WiMAX）ホットラインの CoA

HA Release 5.2 は、Worldwide Interoperability for Microwave Access（WiMAX）サブスクライバのホットラインをサポートします。ここでは、次のシナリオにおける詳細なコール フローについて説明します。

• この機能は、Access-Accept または COA の一部として AAA から 1 つ以上の filter-id（11）アトリビュートをダウンロードすることにより、Wimax の新規セッションおよびアクティブ セッションのホットラインをサポートします。

• ダウンロードされた filter-id アトリビュートは、HA 上でローカルに設定された profile-id のいずれかにマッピングされます。この profile-id は、1 つ以上の IP リダイレクション ルールおよびファイアウォール（フィルタ）ルールで構成されます。

• HA は、Wimax-capability 内のホットライン機能を sub-TLV として AAA サーバに送信します。

• HA は、ホットライン セッションを維持するために標準の RADIUS アトリビュートである Session-Timeout (27) をサポートします。このアプローチは、HA 4.0 機能と下位互換性があります。ユーザ セッションは、hotline-session-timer で指定された期間中、ホットラインの対象となり続けるように制限されています。

• HA は、サブスクライバのホットライン ステータスが修正されるたびに、セッションの Accounting Stop および Accounting Start を送信します。HA は、ホットライン ステータスが修正されるまでは、以前に生成され、利用された Accounting-Session-Id を使用して Accounting Stop を送信します。HA は、ホットライン ステータスが修正されると、新しい Accounting-Session-Id を生成して Accounting Start を送信します。

• ホットラインの対象となるセッションのリコンシリエーションは、再登録中の Access-Accept または CoA において filter- id（11）を "Hot-Line Normal" としてダウンロードすることによって行います。

WiMAX ホットラインのコール フロー

次に、WiMAX バインディングの新規セッション ホットラインおよびアクティブ セッション ホットラインのコール フローを示します。

WiMAX バインディングの新規セッション ホットライン

1. HA は、アクセス要求メッセージ内の設定値に含まれる Wimax capability type を AAA サーバに送信する必要があります。このために必要な設定は、ip mobile realm realm hotline capability { ipredir ipfilter httpredir profile all } です。

2. 新規セッション ホットライン中に、HA は、HA 上でローカルに設定された profile-id 値とともに 1 つまたは複数の filter-id（11）を受け取ることができます。プロファイルは、Command-Line Interface（CLI; コマンドライン インターフェイス）で ip mobile home-agent hotline profile profile-id を使用して、HA 上でローカルに設定できます。

3. HA が Access-Accept メッセージの一部として "session-timeout" （27）を受け取ると、ユーザは、このアトリビュートで指定された hotline-session-timer 期間中、ホットライン状態にとどまることができます。その後、ユーザは切断されます。

4. HA は、ホットライン ステータスが修正されるたびに、Accounting Stop および Accounting Start を送信します。

WiMAX バインディングのアクティブ セッション ホットライン

1. アクティブ セッション ホットライン中に、HA は、ip mobile home-agent hotline profile profile-id コマンドを使用して、HA 上でローカルに設定された CoA メッセージに含まれる profile-id 値とともに 1 つまたは複数の filter-id（11）を受け取ります。

2. HA が Access-Accept メッセージの一部として "session-timeout" （27）をダウンロードすると、ユーザは、hotline-session-timer 期間中のみ、ホットライン セッションにとどまることができます。

3. HA は、ホットライン ステータスが修正されるたびに、Accounting Stop および Accounting Start を送信します。

WiMAX ホットライン セッションのリコンシリエーション

「リコンシリエーション」という用語は、ホットラインを適用したユーザがいつ通常の状態に戻るのかを表します。これは、ダウンロードされたプロファイルをユーザに適用できなくなることを意味します。

ホットラインの対象となるセッションのリコンシリエーションは、再登録中の Access-Accept 値または CoA において filter- id（11）を "Hot-Line Normal" としてダウンロードすることによって行います。

ホットライン セッションのリコンシリエーションが完了したら、HA は、以前に生成された Accounting-Session-Id に対する Accounting Stop を送信し、新しい Accounting-Session-Id を生成して Accounting-Start を開始します。

（注） HA 4.0 では、ホットライン セッションのリコンシリエーションを行うため、HA は "3GPP2 Hot-Line Normal" ストリングを待ちます。Release 5.1 では、ストリング値は "Hot-Line Normal" に修正されています。

制約事項

次のソフトウェア制限があります。

• Wimax Hotline-Accounting-Indicator は、この機能の一部としてサポートされません。

• WiMAX ホットラインについては、NWG R1.1 Stage 3 に定義されているように、ルールベースのホットライン ルールおよびプロファイル ID はサポートされません。

ホットライン リダイレクションと非ホットライン リダイレクションのネットワーク アドレス変換（NAT）

HA は、ホットラインを適用した（またはホットラインを適用していない）IP でリダイレクトされたユーザのデータ パケットの実際の宛先 IP アドレスとリダイレクト先の IP アドレスの間のマッピングを維持する必要があります。HA は、リダイレクト先のサーバから応答を受け取るたびに、応答パケットの送信元 IP アドレスを要求パケットの実際の宛先 IP アドレスに修正します。

HA は、実際の宛先 IP アドレス/ポートとリダイレクト IP アドレス/ポート間でマッピングを行うため、NAT 機能を使用してアップストリーム パス中の NAT 変換を維持します。

アップストリーム パケットのパケット処理

アップストリーム パケットの場合、HA は、トンネル ヘッダーの非カプセル化後にパケットを代行受信し、ホットライン/非ホットライン プロファイル情報に定義されているように、パケットの宛先 IP アドレスをリダイレクト先の IP アドレスに修正します。Transmission Control Protocol（TCP; 伝送制御プロトコル/）パケットまたは User Datagram Protocol（UDP; ユーザ データグラム プロトコル）パケットの場合、HA は宛先 IP アドレスを修正する以外に、ホットライン/非ホットライン プロファイル情報に含まれるリダイレクト ポート情報のアベイラビリティに基づいて、宛先ポート アドレスをリダイレクト ポート アドレスに修正します。修正した宛先 IP アドレスの隣接関係を調べる前に、HA は、パケットのリダイレクト先の IP アドレスと実際の宛先 IP アドレス間の NAT 変換を維持します。また、この変換には、IP アドレスのほかに、リダイレクト ポートと実際の宛先ポートの情報が含まれます。

ダウンストリーム パケットのパケット処理

ダウンストリーム パス内でリダイレクトされたパケットをリダイレクト サーバから応答を受け取ると、HA は、まず隣接関係を調べ、idb に基づいて Home Agent アプリケーションにパケットを渡します。HA は、パケット情報（たとえば、送信元 IP アドレス（TCP パケットまたは UDP パケットの場合）や Internet Control Message Protocol（ICMP）ID（ICMP パケットの場合））に基づいて、NAT 変換を調べます。HA は、対応する NAT 変換を取得し、パケットの送信元 IP アドレスを実際の宛先 IP アドレスに修正します。着信/発信 ACL、トンネル テンプレートと QOS、ホットライン/非ホットラインの各ルールを適用する前に、パケットに対して NAT 変換を実行する必要があります。その後、HA は、Home Agent アプリケーションを使用してパケットを検査し、そのパケットをカプセル化して、Foreign Agent（FA）の方へルーティングします。

この機能は、NAT サポートを使用して実行できます。ここで、HA は、リダイレクト IP アドレス、宛先 IP アドレスへのリダイレクト ポート、および宛先ポート間の NAT 変換を維持します。ポート情報は、UDP パケットおよび TCP パケットだけに適用できます。

NAT 変換の作成および維持

• リダイレクトされたパケットの NAT 変換を維持するために、インターフェイスを "nat inside" および "nat outside" とマークできません。

• NAT 変換は、ホットラインを適用した（またはホットラインを適用していない）IP でリダイレクトされたアップストリーム パケットに対してのみ作成できます。

NAT 変換のタイムアウト

さまざまな形式のパケットのタイムアウトは次のとおりです。

– TCP パケットの FIN/RST タイムアウトは 30 秒です。

– TCP パケットの SYN タイムアウトは 30 秒です。

– TCP パケットのタイムアウトは 60 秒です。

– UDP パケットのタイムアウトは 30 秒です。

– ICMP パケットのタイムアウトは 5 秒です。

• ICMP パケットの NAT 変換は、変換済みパケットのリダイレクト先のサーバによって送信される応答に関係なく、NAT 変換の作成が 5 秒間実行されるとタイムアウトします。NAT 変換の有効期限内（5 秒）にリダイレクト サーバから応答パケットを受け取った場合、HA は、パケットの送信元 IP アドレスと実際の宛先 IP アドレスを使用してパケットを再変換します。

• TCP パケットで、HA 上の NAT 変換済みパケットに対して syn および ack が指定されていない場合、NAT 変換は 20 秒後にタイムアウトします。

• TCP パケットの場合、受信した FIN パケットまたは RST パケットに対する NAT 変換は 30 秒後にクリアされます。

• TCP パケットで、TCP 接続に対して TCP フラグ FIN または RST を含むパケットがない場合、NAT 変換のエントリは 60 秒後にクリアされます。

• UDP パケットで、対応する NAT エントリに対するパケットがない場合、NAT 変換のエントリは 30 秒後にクリアされます。

冗長性サポート

HA の冗長ピア間の NAT 変換を更新するための冗長性サポートは提供されません。冗長ピア間のスイッチオーバー後の遷移時間中に、現在アクティブな HA がリダイレクト先のサーバからの応答パケットの変換に失敗する場合があります。これは、宛先 IP アドレスとリダイレクト IP アドレスを含む実際に要求されたパケットに対する NAT エントリがないために発生します。

制約事項および制限事項

• Home Agent 上にアクティブ セッションが存在する場合は、この機能の CLI コマンドの設定を解除できません。

• 各 NAT 変換でタイマーが期限切れになった場合や、clear ip nat translations コマンドを使用して変換を削除した場合は、HA 上で NAT 変換がクリアされます。MIP セッションをクリアし、ip mobile home-agent ipredirect nat-enable コマンドの設定を解除しても、NAT 変換はクリアされません。

• CP では、show running-config を実行しても ip nat translations タイムアウト 値は示されません。しかし、TP 上ではデータ パスがサポートされるため、これらの値が示されます。これらのタイマー値には、"write memory" は必要ありません。これらの値は、ip mobile home-agent ipredirect nat-enable 機能を使用して設定されている場合に開始されます。

• HA は、各 NAT 変換を維持するために 360 バイトのメモリを必要とします。これは、次の理論計算に基づきます。

– 1GB カードでは、各 TP は最大 50K の変換を作成できます。

– 2GB カードでは、各 TP は最大 100K の変換を作成できます。

• HA は、NAT 変換を作成し、維持するためのディープ パケット インスペクションによる影響を受けます。つまり、ホットラインを適用してリダイレクトされたパケットを処理する際に、CPU 使用率が 15 ～ 20% 高くなります。