- Cisco Mobile Wireless Home Agent の概 要
- Home Agent(HA)の設定プランニング
- 単一 IP インフラストラクチャ
- HA でのホーム アドレス割り当て
- ユーザ認証および認可
- HA の冗長性
- HA でのロード バランシングの設定
- IP 登録の終了
- ダイナミック ドメイン ネーム サーバ(DNS) アップデート
- ユーザ単位パケット フィルタリング
- HA のセキュリティ
- HA のアカウンティング
- Home Agent(HA)でのマルチ VPN ルー ティングおよびフォワーディング(VRF)
- Home Agent(HA)の サービス品質(QoS)
- ユーザ トラフィックのモニタリング
- その他の設定作業
- Home Agent のネットワーク管理、管理情報 ベース(MIB)、および簡易ネットワーク管理 プロトコル(SNMP)
- 用語集
Cisco Mobile Wireless Home Agent リリース 5.2 for Cisco IOS リリース 12.4(22)YD2
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月11日
章のタイトル: Home Agent(HA)の設定プランニング
Home Agent(HA)の設定プランニング
この章では、Cisco Mobile Wireless Home Agent を設定する前に理解しておく必要のあることがらについて説明します。
•
「前提条件」
• 「設定作業」
• 「設定例」
• 「制約事項」
• 「サポート対象の規格、management information base(MIB; 管理情報ベース)、および Request For Comments(RFC; コメント要求)」
サポート対象プラットフォーム
Cisco Home Agent(HA)は Cisco 7600 シリーズ ルータに搭載する、Cisco Service Application Module for IP(SAMI)プロセッサ ブレード上で使用できます。HA は、これらのプラットフォーム上のファスト イーサネットおよびギガビット イーサネット インターフェイスをサポートします。
SAMI サポート
Cisco Service Application Module for IP(SAMI)のインストールおよび設定方法については、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/modules/ps5510/products_installation_and_configuration_guide_book09186a0080875d19.html
前提条件
ここでは、Cisco Mobile Wireless Home Agent をネットワーク内で設定する前に、従うべき一般的な注意事項を示します。
7600 シリーズ ルータ上の HA
プラットフォームの詳細および 7600 シリーズ ルータ上でサポートされるインターフェイスをすべて網羅した一覧については、Cisco.com の次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/routers/ps368/index.html
7600 シリーズ スイッチ上の HA に関してサポートされる設定は、必要な容量、装備するインターフェイス タイプ、IPSec サポートの必要性によって異なります。
Cisco HA をインストールする前に、次の考慮事項を確認してください。
SAMI には、MSFC-3(WS-SUP720)/PFC-3(WS-F6K-PFC3BXL)を搭載した Supervisor Engine 32 または Supervisor Engine-720(WS-SUP720-3BXL)が必要です。詳細については、『Release Notes for Cisco IOS Release 12.2SR for the Cisco 7600 Series Routers』の「Upgrading to a New Software Release」を参照してください。Sup32 および Sun720 には SRB1 以上が必要です。RSP720 には SRC が必要です。
HA 機能を実行するには、Cisco SAMI モジュールが必要です。SAMI モジュールごとに、6 つの HA イメージ(6 つの HA インスタンス)をサポートします。
IPSec をサポートするには、Catalyst プラットフォーム対応の IPSec VPN アクセラレータ(VPNSPA)が 7600 シャーシごとに 1 つずつ必要です。
設定作業
ここでは、Cisco HA の設定手順について説明します。プラットフォーム番号で各イメージを示します。
SAMI ソフトウェアのアップグレード
SAMI はオペレーティング システム ソフトウェアとともに、納品時にはすでにロードされています。しかし、新しいソフトウェア バージョンが利用可能になった時点で、新機能や不具合の修正を利用するために SAMI をアップグレードできます。
SAMI ソフトウェア(イメージ 名は c7svcsamifeature-mz)は、ベース カードおよびドーター カード コンポーネント用のイメージからなるイメージ バンドルです。
バンドル内のイメージごとに、専用のバージョン番号およびリリース番号が与えられています。特権 EXEC コマンド upgrade hw-module を使用してアップグレードを開始すると、バンドルのバージョンおよびリリース番号と現在動作しているバージョンが比較されます。バージョンが異なる場合は、イメージが自動的にアップグレードされます。
(注) show module コマンドによって表示されるのは、LCP イメージのソフトウェア バージョンであり、SAMI バンドル全体のバージョンではありません。
SAMI イメージをアップグレードする手順は、次のとおりです。
Cisco 7600 シャーシのスロット 2 に搭載された SAMI のイメージをアップグレードする場合は、次のコマンドを入力します。
ユーザの移行
Cisco 7200 および MWAM 上で HA ソフトウェアのサポートが終了したので、ここでは Cisco 7200 または MWAM 上の旧リリース(R3.1 以前)から SAMI プラットフォーム上の Home Agent Release 4.0 以降に移行するパスを示します。
|
|
|
|
|
|
|
|||
|
|
|||
当然、さまざまな移行シナリオが存在します。通常、同じ(1 つまたは複数の)冗長または非冗長 HA を共有する外部エージェントが多数あります。モバイル IP フローは、スタティックに設定されたモバイル デバイス、FA のコンフィギュレーション、または authentication, authorization, and accounting(AAA; 認証、認可、アカウンティング)サーバで定義されたユーザ プロファイルから HA アドレスを取得します。HA SLB の場合は、SLB サーバが実 HA アドレスを提供します。
実際の移行パスは、カスタマーごとにエンドツーエンドの配置に基づいて決定する必要があります。したがって、移行をきちんと計画し、ネットワークを再設計(IP アドレス スキームの設計変更、ルーティング プロトコルの設定、FA と HA 間のネットワーク接続の設定、HA と AAA サーバ間のアプリケーション接続の設定、新しい SAMI HA でのルーティングの設定など)する機会が得られるようにする必要があります。移行は、メンテナンス ウィンドウで実行することを推奨します。たとえば、モバイル デバイスが HA の IP アドレスを使用してスタティックに設定されている場合、使用環境内で移行を十分テストする必要があります。MS/FA を認識するように HA の IP アドレスを変更するには、大がかりなネットワーク サービス プロビジョニングが必要です。
表 2-2 に、移行パスをいくつか示します。
|
|
|
|
|
|---|---|---|---|
機能の互換性およびシームレスな移行
移行とは、単に MWAM モジュールを SAMI モジュールに置き換えるだけではありません。既存のモバイル サブスクライバのサービス接続に与える影響が最小限ですむように、きちんと考えて実行する必要があります。
HA リリース 4.0 以降上に冗長性の下位互換性がない場合、HA-SLB をイネーブルにして、サービス停止が回避されるように設定できますが、それには余分なネットワーク設定とプロビジョニングが必要です。HA R4.0 上に冗長性の下位互換性がある場合、ネットワーク設定とプロビジョニングは最小限になります。
表 2-3 に、SAMI プラットフォームへの移行に必要な手順を示します。使用できる移行シナリオのそれぞれについて検討します。
|
|
|
|---|---|
• • • |
|
• • |
|
• • – – – |
|
• |
|
• • • • 1. MWAM のコンフィギュレーションが SUP720 のブートフラッシュに保存されていることを確認します。 2. SUP720 上で SAMI VLAN グループ用の VLANを MWAM として設定します。 3. MWAM プロセッサ コンフィギュレーションから取得した SAMI PPC コンフィギュレーションが SUP720 ブートフラッシュの SAMI コンフィギュレーション ファイルのネーミング規則に従っているかどうかを確認します。 5. 同じスロットに SAMI ブレードを挿入し、有効な HA R4.0 イメージでブートします。 6. MWAM HA の実行 IOS コンフィギュレーションは 5 つですが、SAMI には 6 つの PPC があります。したがって、SAMI 上の PPC の 1 つを未使用にするか、または単独で設定する必要があります。 7. SAMI PPC に適切なコンフィギュレーションが与えられていることを確認します。 8. HA のバインディング同期とステートフルな冗長性は、3 番のシナリオと同じ状況になります。 • HA の冗長性がリリースにまたがって機能しない場合は、(SAMI HSRP 上でさらに設定して)次の作業を実行します。 • • |
|
• • – – – – – – – – HA の冗長性がリリースにまたがって機能しない場合は、次の作業を実行します(SAMI HSRP のコンフィギュレーションを変更する必要があります)。 • |
SAMI の移行に関する警告および制約事項
• HA のステートフルな冗長性は、リリースにまたがって機能しない場合があります。たとえば、R3.0 リリースのバインディング情報は、R4.0 リリースで R3.0 ベースの機能だけが設定されている場合でも、R4.0 と同じではありません。
• 基本の HSRP がリリースによって異なる場合があります。
• 同じプラットフォームでもリリースが異なると、同じ状況で異なるシステム動作になる場合があります。したがって、一貫して同じ動作を確保するには、追加設定が必要です。
必要な基本設定
HA を設定するには通常、3 方向でインターフェイスを定義する必要があります。PDSN/FA、ホーム ネットワーク、および AAA サーバです。HA の冗長性が必要な場合は、HA 間の HSRP バインディング アップデート用に、もう 1 つインターフェイスを設定する必要があります。SAMI 上で HA を動作させた場合、HA は Catalyst 7600 バックプレーンに接続する 1 つの GE ポートへのアクセスを調べます。必要なネットワーク アクセスごとにサブインターフェイスを用意し、トランク ポートとしてこのポートを設定できます。
次の各インターフェイスに対応する VLAN を定義できます。PDSN/FA、ホーム ネットワーク、および AAA です。同じ 7600 シャーシに複数の HA インスタンスが存在する場合、そのすべてに同じ VLAN を使用できます。
次に、Cisco Mobile Wireless Home Agent に必要な基本設定について説明します。
• 「SAMI モジュールに関するスーパーバイザの基本的な IOS コンフィギュレーション」
• 「設定例」
SAMI モジュールに関するスーパーバイザの基本的な IOS コンフィギュレーション
SAMI モジュールを認識するようにスーパーバイザ エンジンを設定し、バックプレーンとの物理接続を確立するには、次のコマンドを使用します。
|
|
|
|
|---|---|---|
SAMI コンフィギュレーションの詳細については、次の URL にアクセスしてください。
http://www.cisco.com/en/US/products/hw/modules/ps5510/products_installation_and_configuration_guide_book09186a0080875d19.html
(注) SAMI モジュールは、スーパーバイザ エンジンのクロック タイマーに基づいて、タイミング機能を同期させます。個々の SAMI ではタイマーを設定しないでください。
HA 環境における AAA の設定
アクセス コントロールは、ネットワーク サーバへのアクセスをだれに許可し、どのサービスを使用させるかを管理する手段です。AAA ネットワーク セキュリティ サービスは、ルータまたはアクセス サーバ上でアクセス コントロールを設定するための基本的なフレームワークを提供します。AAA 設定オプションの詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring Authentication」および「Configuring Accounting」を参照してください。
HA 環境で AAA を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
HA 環境における RADIUS の設定
RADIUS は、ネットワークでの AAA 情報の交換を定義する 1 つの方法です。シスコの実装では、RADIUS クライアントはシスコのルータ上で動作し、あらゆるユーザ認証およびネットワーク サーバ アクセス情報が登録されている RADIUS サーバに、認証要求を送信します。RADIUS 設定オプションの詳細については、『 Cisco IOS Security Configuration Guide 』の「Configuring RADIUS」を参照してください。
HA 環境で RADIUS を設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
|
|---|---|---|
RADIUS サーバ ホストの IP アドレスを指定し、ルータと RADIUS サーバ間で使用する共有秘密文字列を指定します。 |
設定例
図 1 およびそれに続く情報は、Cisco HA の配置と設定の例です。
制約事項
Cisco HA は、同時バインディングをサポートしていません。同じ Network Access Identifier(NAI; ネットワーク アクセス識別子)に複数のフローが確立されると、各フローに異なる IP アドレスが割り当てられます。つまり、同時バインディングは不要です。同時バインディングは、同じ IP アドレスへの複数のフローを維持する場合に使用されるからです。
HA は、IS-835-B の要件に基づいて、IPSec、IKE、IPSec Authentication Header(AH; 認証ヘッダー)、および IP Encapsulating Security Payload(ESP)をサポートしています。HA は、制御トラフィック用またはユーザ トラフィック用の個別のセキュリティはサポートしていません。両方のセキュリティを有効にするか無効にするかのどちらかです。
サポート対象の規格、management information base(MIB; 管理情報ベース)、および Request For Comments(RFC; コメント要求)
Cisco IOS Mobile Wireless Home Agent Release 3.0 がサポートする RFC は、次のとおりです。
• IPv4 Mobility(IPv4 モバイル性)、RFC 2002
• IP Encapsulation within IP(IP 内 IP カプセル化)、RFC 2003
• Applicability Statement for IP Mobility Support(IP モバイル サポートの適用可能ステートメント)、RFC 2005
• The Definitions of Managed Objects for IP Mobility Support Using SMIv2(SMIv2 を使用する IP モバイル サポートの管理対象オブジェクト定義)、RFC 2006
• Reverse Tunneling for Mobile IP(モバイル IP のリバース トンネリング)、RFC 3024
• Mobile IPv4 Challenge/Response Extensions (モバイル IPv4 チャレンジ/レスポンス機能拡張)、RFC 3012
• Mobile NAI Extension(モバイル NAI 拡張機能)、RFC 2794
• Generic Routing Encapsulation(総称ルーティング カプセル化)、RFC 1701
• GRE Key and Sequence Number Extensions(GRE 鍵およびシーケンス番号機能拡張)、RFC 2890
• IP Mobility Support for IPv4(IPv4 の IP モバイル サポート)、RFC 3220、Section 3.2 認証
• The Network Access Identifier(ネットワーク アクセス識別子)、RFC 2486、1999 年 1 月
• An Ethernet Address Resolution Protocol(イーサネット アドレス解決プロトコル)、RFC 826、1982 年 11 月
• The Internet Key Exchange (IKE)(インターネット キー エクスチェンジ)、RFC 2409、1998 年 11 月
• Cisco Hot Standby Routing Protocol (HSRP)(Cisco ホット スタンバイ ルーティング プロトコル)、RFC 2281、1998 年 3 月
Cisco IOS Mobile Wireless Home Agent Release 4.0 がサポートする規格は、次のとおりです。
• TIA/EIA/IS-835-B、TIA/EIA/IS-835-C、および TIA/EIA/IS-835-D
Cisco IOS Mobile Wireless Home Agent Release 4.0 がサポートする MIB は、次のとおりです。
• CISCO- MOBILE-IP-MIB:拡張管理機能を提供
• Radius MIB:RADIUS 認証クライアント MIB(RFC 2618、1999 年 6 月)で定義
HA はプロトコル スイート RFC 1901 ~ RFC 1908 で規定された SNMPv2 を実装します。HA は、SMIv2 を使用する IP モバイル サポートの管理対象オブジェクト定義(RFC 2006、1995 年 10 月)で定義された MIB をサポートします。
Cisco 7600 プラットフォームでサポートされる MIB の全リストは、Cisco Web にあります。次の URL にアクセスしてください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
MIB で維持されるセッション カウンタは、SNMP または CLI ではリセットできません。HA CPU カウンタおよびメモリ使用率カウンタには、CISCO-PROCESS-MIB を使用してアクセスできます。
Release 3.0 の MIB では、さらに次のカウンタがサポートされます。
• FA/CoA 別障害カウンタ:HA R2.0 はグローバル障害カウンタをサポートします。FA/CoA 別カウンタは、これらのカウンタのそれぞれに追加されます。
マニュアルの入手方法およびテクニカル サポート
マニュアルの入手方法、テクニカル サポート、その他の有用な情報について、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。
フィードバック