- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: ネットワーク アクセスを制限するための ISG ポリシーの設定
ネットワーク アクセスを制限するための ISG ポリシーの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。ISG は、加入者のセッション帯域幅およびネットワーク アクセス可能性を管理するためのポリシーの使用をサポートします。このモジュールでは、モジュラ Quality of Service(QoS)Command-Line Interface(CLI; コマンドライン インターフェイス)ポリシー、Dynamic Subscriber Bandwidth Selection(DBS)、加入者単位のファイアウォール、ISG ポリシングなどのセッション帯域幅とネットワークアクセスの制限方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ネットワーク アクセスを制限するための ISG ポリシーの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
•
「ネットワーク アクセスを制限するための ISG ポリシーに関する情報」
• 「ネットワーク アクセスを制限するための ISG ポリシーの設定方法」
ネットワーク アクセスを制限するための ISG ポリシーの前提条件
リリースおよびプラットフォーム サポートの詳細については、「ネットワーク アクセスを制限するための ISG ポリシーの機能情報」を参照してください。
ネットワーク アクセスを制限するための ISG ポリシーの制約事項
Cisco IOS Release 12.2(33)SRC 以降のリリースでは、Cisco 7600 ルータが次の制限付きでこの機能をサポートしています。
ネットワーク アクセスを制限するための ISG ポリシーに関する情報
ネットワーク アクセスを制限するための ISG ポリシーを設定する前に、次の概念を理解しておく必要があります。
ネットワーク アクセスの制限方法
ISG は、ネットワーク アクセスを制限するための次の方法をサポートしています。これらの方法は 1 つの ISG セッションに適用し、動的に更新できます。
MQC を使用して設定された QoS ポリシーは、加入者のセッションに対してのみサポートされます。MQC ポリシーは ISG サービスに適用できません。
Dynamic Subscriber Bandwidth Selection(DBS)
DBS では、ATM の Virtual Circuit(VC; 仮想回線)レベルで帯域幅を制御できます。加入者ドメインの ATM QoS パラメータは、PPP over Ethernet(PPPoE)または PPP over ATM(PPPoA)セッションが確立されている、ATM Permanent Virtual Circuit(PVC; 相手先固定接続)に対して適用されます。
(注) Cisco IOS Release 12.2(33)SRC では、Cisco 7600 シリーズ ルータで DBS がサポートされていません。
加入者単位のファイアウォールは Access Control List(ACL; アクセス コントロール リスト)であり、加入者、サービス、およびパススルー トラフィックが特定の IP アドレスおよびポートにアクセスしないようにするために使用します。加入者単位のファイアウォールは、ユーザ プロファイルおよびサービス プロファイルでは設定できません。
ISG ポリシングは、アップストリームおよびダウンストリームのトラフィックのポリシングをサポートします。ISG ポリシングは MQC を使用して設定したポリシングとは異なります。そうした ISG ポリシングは、サービス プロファイル内で設定でき、トラフィック フローのポリシングをサポートします。MQC ポリシーは、サービス プロファイルでは設定できません。また、ISG ポリシングは、ユーザ プロファイルおよびサービス プロファイルで設定して、セッション ポリシングをサポートすることもできます。
(注) Cisco IOS Release 12.2(33)SRC では、Cisco 7600 シリーズで ISG ポリシングがサポートされていません。
ネットワーク アクセスを制限するための ISG ポリシーの設定方法
ここでは、ISG ポリシングおよび加入者単位のファイアウォールを設定する手順について説明します。MQC ポリシー、DBS、およびネットワーク アクセスを制限するためのポリシーの動的な更新に対するサポートを設定する方法については、「その他の参考資料」を参照してください。
ISG ポリシングの設定
ISG ポリシングを設定するには、その前に次の概念について理解しておく必要があります。
• 「ルータのサービス ポリシー マップにおけるポリシングの設定」
ISG ポリシングの概要
トラフィック ポリシングを使用すると、インターフェイスで送受信されるトラフィックの最大レートを制御できます。多くの場合ポリシングは、ネットワークに出入りするトラフィックを制限するために、ネットワークの終端でインターフェイス上に設定します。このレート パラメータの範囲内に入っているトラフィックが送信されますが、パラメータの範囲外となるトラフィックはドロップされるか、または別の優先順で送信されます。
ISG ポリシングは、アップストリームおよびダウンストリームのトラフィックのポリシングをサポートしており、セッションまたはフローに適用できます。ここでは、Session-Based ポリシング、および Flow-Based ポリシングについて説明します。
Session-Based ポリシングは、1 つのセッションに関する加入者トラフィック全体に適用されます。図 6 では、セッション ポリシングが PPPoE クライアントから ISG へ、および ISG から PPPoE クライアントへ移動するすべてのトラフィックに適用されます。
Session-Based ポリシングのパラメータは、トラフィック クラスを指定しないユーザ プロファイルまたはサービス プロファイルのいずれかで、AAA サーバに設定できます。これは、サービス ポリシー マップのルータにも設定できます。ユーザ プロファイルに設定された Session-Based ポリシングのパラメータは、サービス プロファイルまたはサービス ポリシー マップに設定された Session-Based ポリシングのパラメータよりも優先されます。
Flow-Based ポリシングは、トラフィック クラスによって指定された、宛先ベースのトラフィック フローにのみ適用されます。図 7 では、Flow-Based ポリシングで PPPoE クライアントと Internet 1 または Internet 2 の間のトラフィックを制限できます。
Flow-Based ポリシングは、トラフィック クラスを指定しているサービス プロファイルで、AAA サーバに設定できます。これは、サービス ポリシー マップ内のトラフィック クラスでルータに設定することもできます。Flow-Based ポリシングおよび Session-Based ポリシングは、加入者トラフィック上に共存し、同時に動作可能です。
ルータのサービス ポリシー マップにおけるポリシングの設定
手順の概要
3. policy-map type service policy-map-name
4. [ priority ] class type traffic class-map-name
手順の詳細
次の作業
サービス ポリシー マップのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスをアクティブにする方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
AAA サーバのサービス プロファイルまたはユーザ プロファイルにおけるポリシングの設定
手順の概要
手順の詳細
次の作業
サービス プロファイルのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスをアクティブにする方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
ISG ポリシングの確認
手順の概要
2. show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ] |
例
次に、ポリシング パラメータがサービス プロファイルに設定されている場合の show subscriber session コマンドの出力例を示します。「Config level」フィールドは、ポリシング パラメータが設定されている場所を示しています。この場合は、サービス プロファイル内に設定されています。
次に、アップストリーム ポリシング パラメータがユーザ プロファイルに指定されており、ダウンストリーム ポリシング パラメータがサービス プロファイルに指定されている場合の show subscriber session コマンドの出力例を示します。
加入者単位のファイアウォールの設定
加入者単位のファイアウォールを設定するには、その前に次の概念を理解しておく必要があります。
• 「前提条件」
• 「制約事項」
セッション単位の ACL を設定するには、次の作業を実行します。
• 「AAA サーバのユーザ プロファイルまたはサービス プロファイルにおける加入者単位のファイアウォールの設定」
加入者単位のファイアウォール
加入者単位のファイアウォールは Cisco IOS ACL であり、加入者、サービス、およびパススルー トラフィックが特定の IP アドレスおよびポートにアクセスしないようにするために使用します。
ACL は、AAA サーバ上のユーザ プロファイルまたはサービス プロファイル、あるいは ISG のサービス ポリシー マップに設定することができます。ACL は、番号付けまたは名前付けされているアクセス リストで、ISG に設定することができます。また、ACL ステートメントはプロファイルの設定に含めることができます。
サービスに 1 つの ACL を追加すると、そのサービスのすべての加入者は、指定された IP アドレス、サブネット マスク、およびポートの組み合わせに対してサービスからアクセスできなくなります。
ユーザ プロファイルに ACL アトリビュートを追加すると、そのアトリビュートは加入者のすべてのトラフィックにグローバルに適用されます。
前提条件
制約事項
AAA サーバのユーザ プロファイルまたはサービス プロファイルにおける加入者単位のファイアウォールの設定
AAA サーバのユーザ プロファイルまたはサービス プロファイルに加入者単位のファイアウォールを設定するには、この作業を実行します。
手順の概要
1. ユーザ プロファイルまたはサービス プロファイルに Upstream Access Control List Cisco AV-Pair アトリビュートを追加します。
2. ユーザ プロファイルまたはサービス プロファイルに Downstream Access Control List Cisco AV-Pair アトリビュートを追加します。
手順の詳細
次の作業
サービス プロファイルのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスをアクティブにする方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
サービス ポリシー マップでの加入者単位のファイアウォールの設定
手順の概要
3. policy-map type service policy-map-name
4. ip access-group { access-list-number | access-list-name }{ in | out }
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
policy-map type service policy-map-name |
||
ip access-group { access-list-number | access-list-name } { in | out } |
次の作業
サービス プロファイルのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスをアクティブにする方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
ISG の加入者単位のファイアウォールの確認
手順の概要
2. show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ] |
||
show ip access-list [ access-list-number | access-list-name ] |
例
次に、 show subscriber session detailed コマンドの出力例を示します。加入者単位のファイアウォールの情報は、「Session inbound features」および「Session outbound features」フィールドに示されています。
show ip access-lists コマンドを使用すると、アクセス リストのステートメントを表示できます。次に、 show ip access-lists コマンドの出力例を示します。
ネットワーク アクセスを制限するための ISG ポリシーの設定例
ISG ポリシング:例
CLI を使用してサービス ポリシー マップに設定された Flow-Based ポリシング
次に、サービス ポリシー マップでの ISG Flow-Based ポリシングの設定例を示します。
AAA サーバのユーザ プロファイルに設定された Session-Based ポリシング
次に、ユーザ プロファイルに設定されたポリシングの例を示します。
AAA サーバのサービス プロファイルに設定された Session-Based ポリシング
次に、サービス プロファイルに設定されたポリシングの例を示します。
加入者単位のファイアウォール:例
次に、AAA サーバのユーザ プロファイルまたはサービス プロファイルに設定された、加入者単位のファイアウォールの例を示します。この場合、ルータ上に ACL 104 および 105 が設定されています。「In」および「out」は、ACL アプリケーションのインバウンドおよびアウトバウンドの方向を表しています。
次に、AAA サーバのユーザ プロファイルまたはサービス プロファイルに設定された、加入者単位のファイアウォールの例を示します。この場合、ルータに名前付き ACL が設定されています。
次の加入者単位のファイアウォールの設定例には、ユーザ プロファイルまたはサービス プロファイルの設定における個別の ACL ステートメントが含まれています。
その他の参考資料
ここでは、ネットワーク アクセスを制限するための ISG ポリシーに関する関連資料について説明します。
関連資料
|
|
|
|---|---|
『 Cisco IOS Quality of Service Configuration Guide 』の「 Applying QoS Features Using the MQC 」の項 |
|
Cisco IOS Release 12.2(13)T の新機能マニュアルの「 Dynamic Subscriber Bandwidth Selection 」 |
シスコのテクニカル サポート
ネットワーク アクセスを制限するための ISG ポリシーの機能情報
表 29 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(28)SB 以降のリリースで導入または変更された機能だけを示します。
ここに記載されていないこのテクノロジーの機能情報については、「 Intelligent Services Gateway Features Roadmap 」を参照してください。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 29 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
|
|
|
|
|---|---|---|
ISG は、レート制限のポリシーを動的に適用することにより、セッションまたはフローで許可される帯域幅を変更できます。 この機能に関する詳細については、次の各項を参照してください。 Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
フィードバック