- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: PPP セッションのための ISG アクセスの設定
PPP セッションのための ISG アクセスの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このマニュアルでは、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)加入者のための ISG アクセスを設定する方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「PPP セッションのための ISG アクセスの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
•
「PPP セッションのための ISG アクセスに関する前提条件」
• 「PPP セッションのための ISG アクセスの設定に関する情報」
• 「制御ポリシーを使用した PPP セッションのための ISG アクセスの設定方法」
PPP セッションのための ISG アクセスに関する前提条件
リリースおよびプラットフォーム サポートの詳細については、「PPP セッションのための ISG アクセスの機能情報」を参照してください。
使用されるアクセス プロトコルは、インターフェイス上にプロビジョニングされている必要があります。
ローカル PPP 認証が必要な場合は、インターフェイスまたは仮想テンプレートで ppp authentication コマンドを設定する必要があります。
このマニュアル内の作業と例は、ISG 制御ポリシーの設定方法および使用方法に関する知識があることを前提としています。制御ポリシーの設定方法の詳細については、「Configuring ISG Control Policies」モジュールを参照してください。
PPP セッションのための ISG アクセスに関する制約事項
Cisco 10000 シリーズ ルータ上の PPPoX セッションでは、Modular Quality of Service(QoS)Command Line Interface(MQC)ポリシーと ISG ポリシーを、同時に設定できません。たとえば、MQC ポリシーと ISG ポリシーは、PPPoX セッションの仮想テンプレート インターフェイスに適用できません(静的にも RADIUS からも)。
PPP セッションのための ISG アクセスの設定に関する情報
PPP セッションのためのアクセスを設定する前に、次の概念について理解しておく必要があります。
• 「PPP セッションのための ISG 加入者 IP アドレス管理」
• 「PPP セッションのための ISG アクセスに対するデフォルト ポリシー」
• 「PPP セッションのための ISG 制御ポリシーを使用する利点」
PPP セッションのための ISG アクセスの概要
レイヤ 2 セッションは、ピア エンティティと ISG デバイスとの間で動作する制御プロトコルによって確立されます。通常、レイヤ 2 セッションは、同じ物理メディア上の他のセッションから隔離するためにカプセル化されます。
システムは、レイヤ 2 セッションにデフォルト処理を提供しますが、プロトコルを転送またはローカルで終端するためのポリシー、またはアクセス プロトコルから収集された ID データに基づいて、ローカルで加入者を認証するためのポリシーの設定が必要な場合があります。ISG 制御ポリシーは、アクセス プロトコルから、ピア エンティティの ID および資格情報を抽出するように設定できます。このメカニズムでは、プロトコルによって明示的に提供される ID、あるいは基盤となるメディアまたはアクセス ポートのネイティブな ID のいずれかの、セッションに関連する ID に基づいてレイヤ 2 セッションのサービスをプロビジョニングできます。
ISG は、次のレイヤ 2 アクセス プロトコルをサポートします。
PPP セッションのための ISG 加入者 IP アドレス管理
ISG 加入者 IP アドレス管理は、ローカルで終端される IP セッションまたはレイヤ 2(PPP)セッションに適用されます。
加入者は、特定の IP サービス ドメイン内でルーティングを受けるためには、ドメイン固有の IP アドレスをネットワークに知らせる必要があります。加入者が IP サービス ドメイン(アクセス プロバイダーによって管理される任意のプライベート ドメインを含む)間を移動する場合は、ネットワークに知らせる IP アドレスを、新しいドメインを反映して変更する必要があります。ローカルで終端される PPP セッションについては、ISG は、次の IP アドレスの割り当て方法をサポートします。
• PPP のための IP アドレス管理の標準的方法(PPP セッションのための IP アドレス管理サポートの詳細は『 Cisco IOS Dial Technologies Configuration Guide , Release 12.2』を参照)
ローカルで終端された PPP セッションが、ある Virtual Routing and Forwarding(VRF)インスタンスから別の VRF に転送される場合、IPCP を使用して、ピア IP アドレスが再ネゴシエーションされます。
PPP セッションの VRF 転送
VRF 転送では、新しいプライマリ サービスの選択に従って、ISG 加入者セッションをある VRF から別の VRF に移動できます。Network Access Point(NAP; ネットワーク アクセス ポイント)からの IP アドレスで PPP セッションが確立されると、加入者は Web ポータルへのアクセス、およびサービス プロバイダーの選択が可能になります。PPP セッションの VRF 転送では、ISG は、IP アドレスを新しいドメインから PPP セッションに再度割り当てる必要があります。PPP セッションでは、IP Control Protocol(IPCP)再ネゴシエーションによって、IP アドレスが再度割り当てられます。
PPP セッションのための ISG アクセスに対するデフォルト ポリシー
ISG は、制御ポリシーが設定されいない場合のレイヤ 2 セッションのデフォルト処理を提供します。 vpdn enable コマンドが設定されている場合で、ユーザ名にドメイン名が指定されている(たとえば、user@domain)か、または Dialed Number Identification Service(DNIS; 着信番号識別サービス)番号が提供されている場合、システムはこの情報に基づいて認可を行います。Virtual Private Dialup Network(VPDN)トンネル情報が検出されると、セッションは L2TP Network Server(LNS; L2TP ネットワーク サーバ)での処理のために転送されます。リモート LNS で認証が要求されている場合、 ppp authentication コマンドを PPP インターフェイスまたは仮想テンプレートで設定する必要があります。 vpdn authen-before-forward コマンドが設定されている場合、PPP セッションを LNS に転送する前に、PPP セッションの認証がローカルで試行されます。
ドメイン名または DNIS のトンネル情報が検出されていない場合、または vpdn enable コマンドが設定されていない場合は、Stack Group Bidding Protocol(SGBP)認可が試行されます(SGBP が設定されている場合)。SGBP を使用して認可情報を取得できない場合、PPP セッションはローカルで終端されます。ローカル終端は、ピアと ISG デバイスの間で PPP セッションが確立され、IP ペイロードがルーティングされることを意味しています。後者の場合、 ppp authentication コマンドが PPP インターフェイスまたは仮想テンプレートで設定されている場合のみ、認証が行われます。
セッション開始イベントに ISG 制御ポリシーが定義されている場合、デフォルト処理ではなく、そのポリシーが優先されます。
PPP セッションのための ISG 制御ポリシーを使用する利点
ISG は、アクセス プロトコルを介してピア エンティティからの ID 情報と資格情報の抽出を制御することによって、レイヤ 2 セッションのサービス決定に柔軟なアプローチを提供します。たとえば、コール要求が着信する ATM Permanent Virtual Circuit(PVC; 相手先固定接続)に基づいてサービスが決定される場合、セッションの確立およびサービスの提供の前に、制御プロトコルの実行が完了している必要はありません。この方法では、ローカル リソースを節約し、コール セットアップ時間を改善できます。
制御ポリシーを使用した PPP セッションのための ISG アクセスの設定方法
ISG レイヤ 2 アクセスを設定するには、次の手順を実行します。
1. 加入者 ID が、レイヤ 2 セッション処理にどのように影響するかを決定します。具体的には、プロトコルを転送するのか。ローカルで終端するのか、および加入者をローカルで認証するかどうかを決定します。
2. レイヤ 2 セッション処理を提供するため、制御ポリシーを設定します。制御ポリシーの設定方法の詳細については、「 Configuring ISG Control Policies 」モジュールを参照してください。レイヤ 2 アクセスの制御ポリシーの例については、「PPP セッションのための ISG アクセスの設定例」を参照してください。
3. PPP セッションの ISG VRF 転送をイネーブルにします。
4. 必要に応じて、設定の確認とトラブルシューティングを行います。
• 「PPP セッションのための ISG VRF 転送のイネーブル化」
• 「PPP セッションのための ISG アクセスのトラブルシューティング」
PPP セッションのための ISG VRF 転送のイネーブル化
VRF 転送では、新しいプライマリ サービスの選択に従って、ISG 加入者セッションをある VRF から別の VRF に移動できます。この手順は、次のセクションから構成されます。
• 「前提条件」
前提条件
この手順は、仮想テンプレートおよび IP アドレスの割り当て方法を設定することによって、PPP セッションのサポートが設定されていることを前提としています。VRF 転送が機能するためには、元の VRF、ループバック インターフェイス、および IP アドレス プールを、ユーザ プロファイルではなく、仮想テンプレートで指定する必要があることに注意してください。仮想テンプレートおよび PPP セッションのサポートの設定方法については、『 Cisco IOS Dial Technologies Configuration Guide 』を参照してください。
サービス ポリシー マップでの VRF の指定
VRF 転送は、新しいプライマリ サービスがセッションに対してアクティブな場合に発生し、セッションが 1 つの VRF から別の VRF に転送されます。サービスは、外部 Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバ上のサービス プロファイル内、または ISG デバイス上のサービス ポリシー マップに設定できます。ISG デバイス上のサービス ポリシー マップに VRF を設定するには、次の作業を実行します。
手順の概要
3. policy-map type service policy-map-name
手順の詳細
PPP セッションの VRF 転送の確認
PPP セッションの VRF 転送を確認するには、次の作業を実行します。 show のすべての手順はオプションで、任意の順序で実行できます。
手順の概要
2. show subscriber session all
3. show idmgr { memory [ detailed [ component [ substring ]]] | service key session-handle session-handle-string service-key key-value | session key { aaa-unique-id aaa-unique-id-string | domainip-vrf ip-address ip-address vrf-id vrf-id | nativeip-vrf ip-address ip-address vrf-id vrf-id | portbundle ip ip-address bundle bundle-number | session-guid session-guid | session-handle session-handle-string | session-id session-id-string } | statistics }
手順の詳細
PPP セッションのための ISG アクセスのトラブルシューティング
この作業のコマンドを使用すると、レイヤ 2 セッションのモニタとトラブルシューティングを行えます。これらのコマンドはすべてオプションで、特定の順序で入力する必要はありません。
手順の概要
2. show subscriber session detailed
4. debug subscriber packet [ event | full | detail ]
8. debug pppatm { event | error | state } [ interface atm interface-number [ . subinterface-number ]] vc {[ vpi / vci ] vci | virtual-circuit-name }
9. debug ppp { packet | negotiation | error | authentication | subscriber switch }
手順の詳細
例
次の例では、ユーザ名「cpe6_1@example.com」に基づいて、 debug subscriber packet detail コマンドの出力がフィルタリングされます。
PPP セッションのための ISG アクセスの設定例
• 「PPP セッションのための ISG アクセスの設定:例」
• 「再ネゴシエーションを使用した PPP セッションの VRF 転送:例」
PPP セッションのための ISG アクセスの設定:例
次に、PPP 加入者にサービスを提供する ISG ポリシーの設定例を示します。この例では、次のアクションを実行するための ISG を設定します。
• ATM Virtual Path Identifier/Virtual Channel Identifier(VPI/VCI; 仮想パス ID/仮想チャンネル ID)に基づく PPP 転送
ISG は、VPI が 200 未満および VCI が 100 未満のすべての加入者に対して、転送サービス「xconnect」をアクティブにします。このポリシー ルールにより、ISG は PPP プロトコル全体を実行することなく、関連付けられた加入者にサービスを提供できます。その他すべての加入者は、ユーザ名で指定されるドメインに基づいてサービスを取得します。ISG は、ユーザ名をプロトコルから取得する必要があります。
ISG は、「ispa」ドメインと一致する加入者に対して、「ispa」サービスをアクティブすることによって、ローカル終端を提供します。システムは、方式リスト「list1」を使用して、加入者の認証を行います。ローカル終端サービスについては、サービス プロファイル、インターフェイス、または仮想テンプレートで他の VRF が指定されない限り、グローバル VRF がデフォルトで適用されます。
ISG は、セッションを LNS に転送する前に、「ispb」ドメインと一致する加入者をローカル認証します(サービス ポリシー マップ「ispb」は VPDN グループを指定しているため、セッションは LNS に転送されます)。加入者は、方式リスト「list2」を使用して認証されます。
ISG は、「ispc」ドメインと一致する加入者に対して、ローカル認証なしでセッションを LNS に転送します。
ISG は、「ispd」ドメインと一致する加入者のセッションに対するサービスを拒否し、接続を解除します。
その他のドメインと一致する加入者に対して、ISG は指定されたドメインと同じ名前を持つサービスをアクティブにします。
制御クラス マップを設定することで、制御ポリシー ルールを実行するために適合すべき条件を定義します。
コールが着信する ATM VPI/VCI に基づいて転送サービスをアクティブにする、制御ポリシー ルールを定義します。
プロトコルからドメイン名を収集する、制御ポリシー ルールを定義します。ドメイン名は、構造化されたユーザ名から入手できます(たとえば、user@domain)。
サービス「ispa」のアクティブ化によってローカル終端を提供する、制御ポリシー ルールを定義します。
サービス「ispb」をアクティブ化する前に、ローカルで加入者を認証するシステムを設定する、制御ポリシー ルールを定義します。サービス「ispb」は、セッションを LNS に転送するよう指定します。
サービス「ispc」をアクティブにする制御ポリシー ルールを定義して、転送を指定します。
サービス「ispd」と一致する加入者に対して、セッションの接続解除を行う制御ポリシー ルールを定義します。
その他すべてのドメインに対してデフォルトを定義する制御ポリシー ルールを定義します。これにより、指定されたドメインと同じ名前を持つサービスがアクティブになります。
再ネゴシエーションを使用した PPP セッションの VRF 転送:例
次に、PPPoE を使用してセッションを確立するコンフィギュレーション、および VRF を関連付けるために作成される RADIUS サービス プロファイルの例を示します。この例では、PPP セッションは、最初に実行されるときにはデフォルトのルーティング テーブルに属し、IP アドレスがデフォルト IP アドレス プール「DEF-POOL」から割り当てられます。加入者が「ISP-RED」サービスを選択すると、ISG は「ISP-RED」サービス プロファイルをダウンロードし、セッションに適用します。その後、PPP セッションは VRF「RED」に転送されます。クライアント デバイスと ISG デバイスの間で IPCP 再ネゴシエーションが実行され、加入者はプール「POOL-RED」から新しい IP アドレスを割り当てられます。
その他の参考資料
ここでは、PPP セッションのための ISG アクセスに関する関連資料について説明します。
関連資料
|
|
|
|---|---|
『 Cisco IOS Security Configuration Guide 』の「 Authentication 」の項 |
|
『 Cisco IOS Security Command Reference 』の「 Authentication, Authorization, and Accounting (AAA) 」の項 |
|
『 Cisco IOS Dial Services Configuration Guide 』の「PPP Configuration 」の項 |
|
シスコのテクニカル サポート
PPP セッションのための ISG アクセスの機能情報
表 4 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(28)SB 以降のリリースで導入または変更された機能だけを示します。
ここに記載されていないこのテクノロジーの機能情報については、「 Intelligent Services Gateway Features Roadmap 」を参照してください。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 4 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
|
|
|
|
|---|---|---|
ISG セッションとは、特定のデータ フロー間でサービスとポリシーが関連付けられる主要なコンテキストです。Point-to-Point(P2P; ポイントツーポイント)セッションは、シグナリング プロトコルを通じて確立されます。ISG は、PPP、PPPoE、および PPPoA など各種の P2P カプセル化を処理します。 この機能に関する詳細については、次の各項を参照してください。 • • Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
フィードバック