- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: 自動加入者ログインのための ISG ポリシーの設定
自動加入者ログインのための ISG ポリシーの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このモジュールでは、認可要求でユーザ名の代わりに指定された ID を使用し、加入者からパケットを受信するとすぐに、ユーザ プロファイルを Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバからダウンロードできるように ISG を設定する方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG 自動加入者ログインの機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
ISG 自動加入者ログインの前提条件
リリースおよびプラットフォーム サポートの詳細については、「ISG 自動加入者ログインの機能情報」を参照してください。
ご使用の AAA の実装によっては、ユーザ プロファイルのパスワード フィールドで、送信元 IP アドレス、MAC アドレス、リモート ID、回線 ID のいずれかの ID を設定する必要があります。また、パスワード フィールドへのグローバル アドレスの設定が必要になることもあります。
IP セッションの許可で回線 ID およびリモート ID を使用するには、DSLAM が DHCP Option 82 情報に回線 ID およびリモート ID を挿入する必要があります。
PPPoE セッションの許可でリモート ID を使用するには、PPPoE クライアントが PPPoE Tag ID または回線 ID にリモート ID 情報を提供する必要があります。
ISG 自動加入者ログインの制約事項
ISG 自動加入者ログインに関する情報
•
「ISG 自動加入者ログインが設定されている場合のアカウンティング動作」
ISG 自動加入者ログインの概要
サービス プロバイダーは通常、IP セッションの開始時にポリシーを実装します。このポリシーは、すべての加入者パケットを認証用のログイン ポータルへリダイレクトします。認証が正常に終了すると、加入者ごとの認可データが AAA サーバから返されます。いくつかの展開(通常は、加入者ネットワークがスプーフィングおよび Denial of Service(DoS; サービス拒絶)攻撃から十分に保護されているような展開)では、サービス プロバイダーは、認証を省略し、加入者の身元を信頼しようとします。ISG 自動加入者ログインにより、サービス プロバイダーは加入者がログインしなくても、サービスへの特定の加入者アクセスを許可できます。
ISG 自動加入者ログインでは、認可要求でユーザ名の代わりに、指定された ID を使用できます。AAA サーバが、指定された ID に基づいて加入者を許可できることにより、加入者からパケットを受け取るとすぐに、AAA サーバから加入者のプロファイルをダウンロードできるようになります。
自動加入者ログインをトリガーするイベントは、session-start です。IP セッションでは、DHCP DISCOVER 要求を受け取ったとき、または認証されていない送信元 IP アドレスが検出されたときに session-start が発生します。PPPoE セッションでは、PPPoE Active Discovery Initiation(PADI)パケットを送信してクライアントがセッションを開始しようとしたときに、session-start が発生します。
ISG 自動加入者ログインでサポートされる ID
IP セッションでは、認可要求でユーザ名の代わりに、IP アドレス、MAC アドレス、回線 ID、リモート ID、または回線 ID とリモート ID の組み合わせの ID を使用するよう、ISG デバイスを設定できます。
PPPoE セッションでは、認可要求でユーザ名の代わりにリモート ID を使用するよう ISG デバイスを設定できます。
回線 ID およびリモート ID に基づいた認可
回線 ID およびリモート ID のフィールドは、DHCP リレー エミュレート情報のオプション(Option 82 とも呼ばれる)の一部で、PPPoE Tag VSA です。これらのフィールドは、DSLAM によって DHCP および PPPoE メッセージに挿入されます。認可要求で回線 ID、リモート ID、または回線 ID とリモート ID の組み合わせをユーザ名として使用するよう、ISG デバイスを設定できます。
デフォルトでは、ISG デバイスは回線 ID とリモート ID を使用します。これはレイヤ 2 のエッジ アクセス デバイスによって認可用に提供されます。 ip dhcp relay information option コマンドが設定されている場合、ISG デバイスは、DHCP メッセージ内で受け取る回線 ID およびリモート ID を使用します。
ISG 自動加入者ログインが設定されている場合のアカウンティング動作
認可要求でユーザ名として MAC アドレスが送信されると、MAC アドレスは、アカウンティング レコードの発信ステーション ID としても送信されます。
リモート ID および回線 ID に基づく認可のアカウンティング動作
DHCP Option 82 認可を使用している IP セッションでは、アカウンティング メッセージとともに、回線 ID とリモート ID Cisco VSA が AAA サーバに送信されます。認可用のユーザ名として回線 ID とリモート ID の組み合わせを設定できますが、そのアトリビュートはアカウンティング レコードでは個別に送信されます。アカウンティング レコード内で、NAS Port ID として回線 ID とリモート ID をまとめて送信するよう設定することも可能です。
PPPoE セッションでは、アカウンティング レコードで Remote ID VSA が送信され、NAS Port ID としてリモート ID も送信されます。
radius-server attribute 31 remote-id コマンドが設定されている場合、リモート ID はアカウンティング レコード内で発信ステーション ID として送信されます。
自動加入者ログインのための ISG ポリシーの設定方法
• 「制御ポリシー クラス マップにおける自動ログインのトラフィック識別」
• 「自動加入者ログインのための ISG 制御ポリシーの設定」
• 「Calling-Station-ID として送信するリモート ID のイネーブル化」
制御ポリシー クラス マップにおける自動ログインのトラフィック識別
ISG 自動加入者ログインが適用される対象についてトラフィックを指定する、制御ポリシー クラス マップを設定するには、この作業を実行します。
手順の概要
3. class-map type control match-all class-map-name
4. match source-ip-address ip-address subnet-mask
手順の詳細
自動加入者ログインのための ISG 制御ポリシーの設定
加入者の認可を開始し、指定された ID を、認可要求のユーザ名フィールドに挿入する ISG 制御ポリシーを設定するには、この作業を実行します。
手順の概要
3. policy-map type control policy-map-name
4. class type control { class-map-name | always } event session-start
5. action-number authorize [ aaa { list-name | list { list-name | default }} [ password password ]] [ upon network-service-found { continue | stop }] [ use method authorization-type ] identifier identifier-type [ plus identifier-type ]
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
policy-map type control policy-map-name |
||
class type control { class-map-name | always } event session-start Router(config-control-policymap)# class type control TAL-subscribers event session-start |
関連付けられているアクション セットを実行するために満たす必要のある条件を定義する、制御クラスを指定します。 • |
|
action-number authorize [ aaa { list-name | list { list-name | default }} [ password password ]] [ upon network-service-found { continue | stop }] [ use method authorization-type ] identifier identifier-type [ plus identifier-type ] Router(config-control-policymap-class-control)# 1 authorize aaa list TAL_LIST password cisco identifier source-ip-address |
||
|
|
次の作業
service-policy type control コマンドを使用して、制御ポリシーをコンテキストに適用する必要があります。制御ポリシーの適用の詳細については、「 Configuring ISG Control Policies 」モジュールを参照してください。
ポリシーを設定して、自身の IP アドレスまたは MAC アドレスの認可が失敗した自動ログインの加入者に対して、どのような処置をするかを確認したい場合があります。たとえば、加入者を、認証用のポリシー サーバにリダイレクトする、といった場合です。
Calling-Station-ID として送信するリモート ID のイネーブル化
アカウンティング レコードおよびアクセス要求の Calling-Station-ID(アトリビュート 31)フィールドで、ISG デバイスがリモート ID を送信できるようにするには、この作業を実行します。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
radius-server attribute 31 remote-id |
アカウンティング レコードおよびアクセス要求の Calling Station ID(アトリビュート 31)フィールドで、ISG デバイスがリモート ID を送信できるようにします。 |
ISG 自動加入者ログインの確認
手順の概要
手順の詳細
ステップ 2 show subscriber session
ISG 加入者セッションの情報を表示するには、 show subscriber session コマンドを使用します。出力で、セッションが「authen」のステートで開始されたことが示された場合、自動加入者の認可は成功しています。自動加入者の認可が成功しなかった場合、セッションは開始されますが、ステートは「unauthen」になっています。
次の出力例は、自動加入者の認可が成功したセッションの情報を示しています。
SIP subscriber access type(s): IP
ISG 自動加入者ログインの設定例
IP アドレスに基づいた自動加入者ログイン:例
次の例では、クライアントが 1.1.1.0 サブネットからのものである場合、ISG は認可要求を、加入者の送信元 IP アドレスをユーザ名として「TAL_LIST」に送信します。認可要求に成功した場合、返されユーザ プロファイルで指定された自動アクティブ化サービスがセッションに対してアクティブ化され、制御ポリシー内のルールの実行が停止します。認可に成功しなかった場合、ルールの実行が続行し、加入者がポリシー サーバにリダイレクトされ、ログインします。加入者が 5 分以内にログインしなかった場合、セッションが切断されます。
その他の参考資料
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
シスコのテクニカル サポート
ISG 自動加入者ログインの機能情報
表 16 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 16 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
|
|
|
|
|---|---|---|
ISG 自動加入者ログインでは、認可要求でユーザ名の代わりに、IP アドレスまたは MAC アドレスを使用することができます。この機能により、加入者からパケットを受け取るとすぐに、AAA サーバから加入者のプロファイルをダウンロードできます。 Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
||
この機能は、回線 ID およびリモート ID に基づいて認可に対するサポートを提供することにより、ISG 自動加入者ログインの機能を拡張します。 この機能に関する詳細については、次の各項を参照してください。 • • Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
フィードバック