- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: ISG 制御ポリシーの設定
ISG 制御ポリシーの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。ISG 制御ポリシーは、指定された条件とイベントに対応してシステムが実行するアクションを定義します。一貫したポリシー言語を使用して幅広いシステム アクション、条件、およびイベントを組み合わせることによって、柔軟で正確な ISG の設定方法を提供できます。このモジュールでは、ISG 制御ポリシーの設定方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG 制御ポリシーの機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
ISG 制御ポリシー設定の前提条件
リリースおよびプラットフォーム サポートの詳細については、「ISG 制御ポリシーの機能情報」を参照してください。
認証および認可のアクションを定義する前に、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式のリストを設定する必要があります。
ISG 制御ポリシー設定の制約事項
制御ポリシーは、セッションで直接アクティブ化されることはなく、指定されたコンテキストでアクティブ化されます。コンテキストでホストされるすべてのセッションに制御ポリシーが適用されます。
特定のコンテキストに適用できる制御ポリシー マップは 1 つだけです。
制御ポリシーは、ルータの Command-Line Interface(CLI; コマンドライン インターフェイス)だけで定義できます。
ISG 制御ポリシーに関する情報
•
「制御ポリシー」
制御ポリシー
制御ポリシーは、指定されたイベントと条件に対応してシステムが実行するアクションを定義します。たとえば、特定の加入者を認証し、特定のサービスへのアクセス権を付与するように制御ポリシーを設定できます。
制御ポリシーは 1 つ以上の制御ポリシー ルールで作成されます。制御ポリシー ルールとは、制御クラスと 1 つ以上のアクションの関連付けです。制御クラスは、アクションを実行する前に満たす必要のある条件を定義します。
制御クラス マップは、アクティブ化するポリシーに対して満たす必要のある条件を指定します。オプションで、クラスの評価を開始するイベントも指定します。制御クラス マップには、複数の条件を含めることができ、それぞれの条件が true または false に評価されます。Match ディレクティブを使用して、クラスが true と評価されるためには、個々の条件のすべてまたは一部が true と評価されるか、またはいずれも true と評価されないかを指定できます。
制御ポリシー マップには 1 つ以上の制御ポリシー ルールが含まれます。制御ポリシー ルールは、制御クラス マップを 1 つ以上のアクションに関連付けます。アクションに番号が付けられ、順に実行されます。
制御ポリシー マップは、コンテキストに適用するとアクティブ化されます。制御ポリシー マップは、次のタイプのコンテキストのいずれかに適用できます。次のリストは、コンテキストのタイプを優先順位の高い順に示しています。たとえば、PVC に適用される制御ポリシー マップは、インターフェイスに適用される制御ポリシー マップよりも優先されます。
– Permanent Virtual Circuit(PVC; 相手先固定接続)
– Virtual Circuit(VC; 仮想回線)クラス
一般的に、より限定的なコンテキストに適用される制御ポリシー マップが、より汎用的なコンテキストに適用されるポリシー マップよりも優先されます。
(注) トラフィック ポリシーは、ISG で使用される別のタイプのポリシーです。トラフィック ポリシーはデータ パケットの処理を定義し、サービス ポリシー マップまたはサービス プロファイルで設定されます。トラフィック ポリシーの詳細については、「Configuring ISG Subscriber Services」モジュールを参照してください。
差別化された初期ポリシー制御
加入者の認証失敗は、access-reject(RADIUS サーバが Reject で応答)またはアクセス要求のタイムアウト(RADIUS サーバに到達不能)が原因で発生する可能性があります。
ISG 制御ポリシーと、「radius-timeout」イベントおよび「access-reject」イベントに設定されたアクションを使用すると、システムで認証の失敗の理由を判断できます。さまざまなイベントがスローされます(受信した認証の拒否、利用できない RADIUS サーバのイベントなど)。これによって、制御ポリシーで、認証の失敗の各タイプに対して複数のアクションを指定できます。たとえば、RADIUS サーバがダウンしているか、到達不能な場合、加入者に一時的なアクセス権を付与できます。
この機能は、加入者認証のための IP ベースのセッションのみで使用できます。この機能では、Point-to-Point Protocol over Ethernet(PPPoE)セッションはサポートされません。
制御ポリシーの使用
特定のイベントおよび条件に対応して特定のアクションを実行するように ISG を設定するには、制御ポリシーを使用します。たとえば、次の目的で制御ポリシーを使用できます。
• 加入者セッションが最初に検出されたときに、デフォルトのサービスをアクティブ化する。
• アクセス側に制御プロトコルが存在している場合、加入者 ID の収集に順序を付ける。
• システムでアイドル タイムアウトや、クレジットを使い切った加入者に対応する方法を決定する。
• IP アドレスまたは MAC アドレスに基づく認可をイネーブルにするために、透過的な自動ログインをイネーブルにする。
ISG 制御ポリシーの設定方法
• 「制御クラス マップの設定」(必須)
• 「制御ポリシー マップの設定」(必須)
• 「制御ポリシー マップの適用」(必須)
• 「ISG 制御ポリシーのモニタリングとメンテナンス」(任意)
制御クラス マップの設定
制御クラス マップには、制御ポリシーを実行するために満たす必要のある条件が含まれます。制御クラス マップには、1 つ以上の条件を含めることができます。制御クラス マップを設定するには、次の作業を実行します。
手順の概要
3. class-map type control [ match-all | match-any | match-none ] class-map-name
4. available { authen-status | authenticated-domain | authenticated-username | dnis | media | mlp-negotiated | nas-port | no-username | protocol | service-name | source-ip-address | timer | tunnel-name | unauthenticated-domain | unauthenticated-username }
5. greater-than [ not ] nas-port { adapter adapter-number | channel channel-number | ipaddr ip-address | port port-number | shelf shelf-number | slot slot-number | sub-interface sub-interface-number | type interface-type | vci vci-number | vlan vlan-id | vpi vpi-number }
6. greater-than-or-equal [ not ] nas-port { adapter adapter-number | channel channel-number | ipaddr ip-address | port port-number | shelf shelf-number | slot slot-number | sub-interface sub-interface-number | type interface-type | vci vci-number | vlan vlan-id | vpi vpi-number }
7. less-than [ not ] nas-port { adapter adapter-number | channel channel-number | ipaddr ip-address | port port-number | shelf shelf-number | slot slot-number | sub-interface sub-interface-number | type interface-type | vci vci-number | vlan vlan-id | vpi vpi-number }
8. less-than-or-equal [ not ] nas-port { adapter adapter-number | channel channel-number | ipaddr ip-address | port port-number | shelf shelf-number | slot slot-number | sub-interface sub-interface-number | type interface-type | vci vci-number | vlan vlan-id | vpi vpi-number }
9. match authen-status { authenticated | unauthenticated }
10. match authenticated-domain { domain-name | regexp regular-expression }
11. match authenticated-username { username | regexp regular-expression }
12. match dnis { dnis | regexp regular-expression }
13. match media { async | atm | ether | ip | isdn | mpls | serial }
14. match mlp-negotiated { no | yes }
15. match nas-port { adapter adapter-number | channel channel-number | circuit-id name | ipaddr ip-address | port port-number | remote-id name | shelf shelf-number | slot slot-number | sub-interface sub-interface-number | type { async | atm | basic-rate | enm | ether | fxo | fxs | none | primary-rate | synch | vlan | vty } | vci vci-number | vlan vlan-id | vpi vpi-number }
16. match no-username { no | yes }
17. match protocol { atom | ip | pdsn | ppp | vpdn }
18. match service-name { service-name | regexp regular-expression }
19. match source-ip-address ip-address subnet-mask
20. match timer { timer-name | regexp regular-expression }
21. match tunnel-name { tunnel-name | regexp regular-expression }
22. match unauthenticated-domain { domain-name | regexp regular-expression }
23. match unauthenticated-username { username | regexp regular-expression }
手順の詳細
制御ポリシー マップの設定
制御ポリシー マップには、制御クラスを 1 つ以上のアクションに関連付ける 1 つ以上の制御ポリシー ルールが含まれます。制御ポリシー マップを設定するには、次の作業を実行します。
(注) ポリシー ルールで設定できるアクションは、class type control コマンドによって指定されたイベントのタイプに応じて異なります。たとえば、account-logoff が指定された場合、ポリシー ルールで設定できるアクションは service だけです。ここに示す手順では、ポリシー マップで設定できるすべてのアクションを示します。
デフォルト メソッドのリスト
制御ポリシー アクションのデフォルト メソッドのリストを指定する場合、デフォルトのリストは show running-config コマンドの出力には表示されません。たとえば、次のコマンドを設定するとします。
show running-config コマンドの出力に次の情報が表示されます。
手順の概要
3. policy-map type control policy-map-name
4. class type control { control-class-name | always } [ event { access-reject | account-logoff | account-logon | acct-notification | credit-exhausted | dummy-event | quota-depleted | radius-timeout | service-failed | service-start | service-stop | session-default-service | session-restart | session-service-found | session-start | timed-policy-expiry }]
5. action-number authenticate aaa list list-name
6. action-number authorize use method { aaa | legacy | rm | sgf | ssg | xconnect }[ aaa parameter-name ] [ password password ] [ upon network-service-found { continue | stop }] identifier { authenticated-domain | authenticated-username | auto-detect | circuit-id | dnis | mac-address | nas-port | remote-id | source-ip-address | tunnel-name | unauthenticated-domain | unauthenticated-username | vendor-class-id }
7. action-number collect [ aaa list list-name ] identifier { authen-status | authenticated-domain | authenticated-username | dnis | mac-address | media | mlp-negotiated | nas-port | no-username | protocol | service-name | source-ip-address | timer | tunnel-name | unauthenticated-domain | unauthenticated-username | vrf }
8. action-number if upon network-service-found { continue | stop }
9. action-number proxy accounting aaa list { list-name | default }
10. action-number service [ disconnect | local | vpdn ]
11. action-number service-policy type control policy-map-name
12. action-number service-policy type service [ unapply ] [ aaa list list-name ] { name service-name | identifier { authenticated-domain | authenticated-username | dnis | nas-port | tunnel-name | unauthenticated-domain | unauthenticated-username }}
13. action-number set name identifier { authen-status | authenticated-domain | authenticated-username | dnis | mac-address | media | mlp-negotiated | nas-port | no-username | protocol | service-name | source-ip-address | timer | tunnel-name | unauthenticated-domain | unauthenticated-username | vrf }
14. action-number set-timer name-of-timer minutes
15. action-number substitute name matching-pattern pattern-string
手順の詳細
制御ポリシー マップの適用
制御ポリシー マップは、コンテキストに適用してアクティブ化する必要があります。制御ポリシーをコンテキストに適用するには、次の 1 つ以上の作業を実行します。
• 「インターフェイスまたはサブインターフェイスへの ISG 制御ポリシー マップの適用」
• 「仮想テンプレートへの ISG 制御ポリシー マップの適用」
ルータでの制御ポリシー マップのグローバルな適用
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
service-policy type control policy-map-name |
インターフェイスまたはサブインターフェイスへの ISG 制御ポリシー マップの適用
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
interface type number [ . subinterface-number ] |
||
service-policy type control policy-map-name |
仮想テンプレートへの ISG 制御ポリシー マップの適用
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
interface virtual-template number |
||
service-policy type control policy-map-name |
ATM VC クラスへの ISG 制御ポリシー マップの適用
VC クラスはあらかじめ設定された VC パラメータのセットで、特定の VC または ATM インターフェイス用に設定および適用されます。ISG 制御ポリシー マップを ATM VC クラスに適用するには、次の作業を実行します。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
service-policy type control policy-map-name Router(config-vc-class)# service-policy type control policy1 |
ATM PVC への制御ポリシー マップの適用
手順の概要
3. interface atm interface-number [ . subinterface-number { mpls | multipoint | point-to-point }]
手順の詳細
ISG 制御ポリシーのモニタリングとメンテナンス
任意で次の作業を実行すると、ISG 制御ポリシーの動作のモニタとメンテナンスを実行できます。手順はどの順序で実行してもかまいません。
手順の概要
2. show class-map type control
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
ISG 制御ポリシーの設定例
• 「レイヤ 2 アクセスおよびサービス プロビジョニングの制御ポリシー:例」
• 「インターフェイスおよびアクセス メディアに基づいてアクセスを制御するための制御ポリシー:例」
• 「ISG プリペイド課金サポートのための制御ポリシー:例」
レイヤ 2 アクセスおよびサービス プロビジョニングの制御ポリシー:例
次に、以下の結果を生成する制御ポリシーを設定する方法の例を示します。
• VPDN 転送は、「example1.com」からダイヤルインした全員に適用されます。
• ローカルで終端されたレイヤ 3 ネットワーク リソースが、「example2.com」からダイヤルインした全員に提供されます。
class-map type control match-all MY-LOCAL-USERS
インターフェイスおよびアクセス メディアに基づいてアクセスを制御するための制御ポリシー:例
次に、特定のインターフェイスおよびアクセス タイプからルータを開始するユーザのみにアクセスを許可する制御ポリシーを設定する方法の例を示します。この場合、PPPoE ユーザのみが許可されます。その他すべてのユーザは除外されます。
最初の条件クラス マップ「MATCHING-USERS」は、マップ内のすべての行が true と評価される場合に true と評価されます。ただし、「MATCHING-USERS」内にあるのは、ネストされたクラス マップ(2 番めの条件)の「NOT-ATM」です。このネストされたクラス マップは、サブ条件を表します。この条件も true と評価される必要があります。クラス マップ「NOT-ATM」は「match-none」を指定することに注意してください。すべての条件行が false と評価される場合にのみ、「NOT-ATM」が true と評価されます。
3 番めの条件は、この加入者に関連付けられた NAS ポートとの一致を指定します。特に、イーサネット インターフェイスおよびスロット 3 に到達した加入者のみが true と評価されます。
クラス マップ「MATCHING-USERS」内の条件が true と評価された場合、実行する最初のアクションはユーザの認証です。認証に成功した場合、「service1」という名前のサービスがダウンロードされ、適用されます。最後に、レイヤ 3 サービスが提供されます。
「MATCHING-USERS」が true と評価されなかった場合、「always」クラスが適用され、その結果「MATCHING-USERS」と一致しないユーザが除外されます。
ISG プリペイド課金サポートのための制御ポリシー:例
次に、credit-exhausted イベントの発生時に、加入者パケットをサーバ グループ「redirect-sg」にリダイレクトするように制御ポリシーを設定する例を示します。
自動加入者ログインのための制御ポリシー:例
次の例では、クライアントがサブネットからログインする場合、自動加入者ログインが適用され、ユーザ名としての加入者の送信元 IP アドレスとともに認可要求が、リスト TAL LIST に送信されます。認可要求に成功した場合、返されユーザ プロファイルで指定された自動アクティブ化サービスがセッションに対してアクティブ化され、制御ポリシー内のルールの実行が停止します。認可に成功しなかった場合、ルールの実行が続行し、加入者がポリシー サーバにリダイレクトされ、ログインします。加入者が 5 分以内にログインしなかった場合、セッションが切断されます。
policy-map type service redirectprofile
その他の参考資料
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
シスコのテクニカル サポート
ISG 制御ポリシーの機能情報
表 3 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 3 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック