- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: セッション メンテナンスのための ISG ポリ シーの設定
- 機能情報の確認
- 目次
- セッション メンテナンスのポリシーを設定するための前提条件
- セッション メンテナンスのポリシーを設定するための制約事項
- セッション メンテナンスのポリシー設定に関する情報
- セッション メンテナンス タイマーのポリシーの設定方法
- セッション メンテナンス タイマーの設定例
- その他の参考資料
- セッション メンテナンスのための ISG ポリシーの設定に関する機能情報
セッション メンテナンスのための ISG ポリシーの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このモジュールでは、サービス ポリシー マップを介してセッション タイマーおよび接続タイマーを設定する方法について説明します。また、Internet Engineering Task Force(IETF)RADIUS アトリビュートの Session-Timeout(アトリビュート 27)および Idle-Timeout(アトリビュート 28)を Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバのサービス プロファイルで使用して、同じセッション メンテナンス コントロールを設定できます。
アイドル状態のアップストリーム方向でセッション データ トラフィックをモニタするために、IP 加入者セッションのキープアライブ サポートが設定されています。レイヤ 2 接続の加入者に対して、Address Resolution Protocol(ARP; アドレス解決プロトコル)が使用されます。ルーテッド ホスト(レイヤ 3 接続の)加入者では、プロトコルのデフォルトは Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)になります。ICMP は、アクセス インターフェイスが ARP をサポートしていない設定においても使用されます。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「セッション メンテナンスのための ISG ポリシーの設定に関する機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
•
「セッション メンテナンスのポリシーを設定するための前提条件」
• 「セッション メンテナンスのポリシーを設定するための制約事項」
セッション メンテナンスのポリシーを設定するための前提条件
トラフィック クラスが必要になるのは、トラフィック クラスの定義を備えているサーバにアイドル タイマーまたはセッション タイマーインストールされている場合のみです。トラフィック クラスを持たないセッションまたはサービスにタイマーがインストールされている場合は、トラフィック クラスは必要ありません。トラフィック クラスの設定方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
セッション メンテナンスのポリシーを設定するための制約事項
IP セッション(PPP セッションではない)に適用されるアイドル タイムアウトでは現在、方向を指定する方法がありません。デフォルトでは、アイドル タイマーが適用される方向は常にアウトバウンドになります。
ISG は、セッション単位、およびフロー単位のアカウンティングの両方をサポートしています。セッション単位のアカウンティングは、1 つのセッションについてのすべてのフロー トラフィックの合計です。セッション単位のアカウンティングは、ユーザ プロファイル、サービス プロファイル、またはサービス ポリシー マップでイネーブルにできます。
Cisco IOS Release 12.2(33)SRC 以降のリリースでは、Cisco 7600 ルータが次の制限付きで ISG アカウンティングをサポートしています。
• Cisco 7600 ルータはトラフィック クラス機能をサポートしていないため、トラフィック クラスに基づいたセッション コントロールはサポートしていません。
セッション メンテナンスのポリシー設定に関する情報
セッション メンテナンス タイマー
ISG には、セッションおよびその接続に関して制御を維持するための 2 つのコマンドがあります(それぞれのコマンドは単独で設定できます)。 timeout absolute コマンドは、セッションを終了するまでに、そのセッションを接続しておく時間を制御します。 timeout idle コマンドは、接続を終了するまでに、その接続をアイドルにしておく時間を制御します。これらの 2 つのコマンドは PPP セッションと IP セッションの両方を検出し、サービス内、セッション単位、またはフロー内で適用できます。すべての加入者トラフィックはタイマーをリセットします。ただし、PPP コントロール パケットなどの非ネットワーク トラフィックはタイマーをリセットしません。
セッション タイマーおよび接続タイマーの範囲は、タイマーが指定されているサービスのタイプによって決まります。トラフィック クラスが定義されていないサービス プロファイルにタイマーが指定されている場合、このタイマー アクションは、セッションまたは接続を終了します。サービス プロファイル内にトラフィック クラス指定子がある場合、タイマー アクションはサービスを無効にします。
セッション メンテナンス タイマーの利点
PPP アイドル タイムアウトの機能は、ISG アイドル タイムアウト機能と置き換えられました。アイドル タイマーは汎用的な機能で、この機能を設定して、PPP セッションと IP セッションの両方でアイドル トラフィックを検出できます。
対象のサービスからトラフィックが生じないために、セッションからサービスを削除する場合、インストールされている期間がどのくらい経過してから削除するかを制御するには、セッションにインストールされているサービス プロファイル内にアイドル タイマーを設定します。サービスに、関連付けられているトラフィック クラス パラメータがある場合は、このタイマーの設定時間が経過したとき、またはセッション自身が終了したときにトラフィック クラスが終了します。
同じことはセッション タイマーにも当てはまります。ただし、セッション タイマーは、セッションから生じるトラフィックに関係なく、セッションまたはサービスを有効にしておく期間を決定します。
セッションのモニタリング
アップストリーム方向における IP 加入者セッションのデータ トラフィックでは、加入者に設定されているキープアライブ機能を使用して、アイドル状態をモニタできます。設定されている期間についてセッションがアイドルになると、キープアライブ要求が加入者へ送信されます。このアクションでは、接続がまだアクティブであることが確認されます。キープアライブ要求および応答に対して使用するプロトコルは、IP 加入者のセッション タイプに基づいて設定できます。直接接続されているホスト(レイヤ #2 接続)の場合は、ARP が使用されます。ルーテッド ホスト(レイヤ 3 接続の)加入者の場合は、ICMP が使用されます。アクセス インターフェイスで ARP をサポートしていない場合は、キープアライブ プロトコルのデフォルトは ICMP になります。
キープアライブ メッセージの ARP
セッションが確立されており、ARP を使用するためにキープアライブ機能が設定されている場合、キープアライブ機能は、後で ARP の応答を確認するための正しいオリジナル エントリとして ARP エントリを保存します。
(注) アクセス インターフェイスでサポート ARP をサポートしていない場合、キープアライブに対するプロトコルのデフォルトは ICMP になります。
ARP が設定されている場合、ARP のユニキャスト要求が加入者へ送信されます。時間の間隔を設定すると、ARP の応答(受信した場合)が検証されます。応答が正しく、加入者が最初に確立されたときに保存したオリジナルのエントリと一致した場合、キープアライブ機能は、設定された時間の間隔だけ、データ プレーンのモニタリングを継続します。応答が正しくない場合、キープアライブ機能は、正しい応答を受け取るまで、または設定されている最大試行回数を超えるまで ARP 要求を再送します。
キープアライブ メッセージの ICMP
ICMP が設定されている場合、設定されている最大試行回数を超えるまで、加入者に「hello」要求が送信され、応答がチェックされます。
IP サブネットのセッションでは、ICMP の「hello」要求に使用されるピア(宛先)IP アドレスは、サブネット内のすべての IP アドレスになります。これは、対象のサブネット内で可能性のあるすべてのホストに対して「hello」要求が(同時ではなく)順に送信されることを意味しています。サブネット内のいずれのホストからも応答がない場合、そのセッションは切断されます。
もうひとつのオプションは、キープアライブ要求に対して ICMP ダイレクト ブロードキャストを設定することです。加入者ホストが IP サブネット ブロードキャスト アドレスを認識すると、ISG は ICMP の「hello」要求をサブネット ブロードキャスト アドレスへ送信できます。この設定が作動するためには、加入者が ISG と同じサブネット上に存在している必要はありません。次の条件が満たされていれば、ダイレクト ブロードキャストのキープアライブ要求は複数ホップ離れていても動作できます。
• サブネットで識別される加入者のグループは、ISG のサブネット加入者セッションでプロビジョニングされたものと同じサブネットを、ローカルにプロビジョニングされている必要があります。それ以外の場合、加入者ホストはサブネット ブロードキャスト アドレスを認識しません。
• ホストに直接接続されているルータは、ダイレクト ブロードキャスト フォワーディングが可能で、IP サブネット ブロードキャストがレイヤ 2 のブロードキャストに変換される必要があります。
これらの 2 つの条件を満たしている場合、ユーザは ICMP キープアライブの設定を最適化し、ICMP パケットの数を最少にできます。
(注) ダイレクト ブロードキャストをイネーブルにすると DoS 攻撃のリスクが高くなるため、サブネット ダイレクト ブロードキャストはデフォルトでオンになっていません。
セッション メンテナンス タイマーのポリシーの設定方法
セッション メンテナンス タイマーを設定するには、アイドル タイマーの設定と、セッション タイマーの設定という、2 つの個別の作業が必要です。これらの 2 つの作業のいずれか、または両方を実行して、セッション メンテナンス コントロールを設定できます。次の作業は、サービス ポリシー マップおよび RADIUS AAA サーバ プロファイルでこれらのタイマーを設定する方法を示しています。
• 「サービス ポリシー マップでのセッション タイマーの設定」(必須)
• 「AAA サーバでのセッション タイマーの設定」(必須)
• 「サービス ポリシー マップでの接続タイマーの設定」(必須)
• 「AAA サーバでの接続タイマーの設定」(必須)
• 「セッション タイマーおよび接続タイマー設定の確認」(任意)
• 「セッション タイマーおよび接続タイマー設定のトラブルシューティング」(任意)
サービス ポリシー マップでのセッション タイマーの設定
手順の概要
3. policy-map type service policy-map-name
4. [ priority ] class type traffic class-map-name
手順の詳細
次の作業
サービス ポリシー マップまたはサービス プロファイルのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスをアクティブにする方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
AAA サーバでのセッション タイマーの設定
手順の概要
1. ユーザ プロファイルまたはサービス プロファイルに RADIUS Session-Timeout アトリビュートを追加します。
手順の詳細
|
|
|
|
|---|---|---|
ユーザ プロファイルまたはサービス プロファイルに、30 ~ 4294967 秒の範囲で IETF RADIUS セッション タイマー(アトリビュート 27)を設定します。 |
サービス ポリシー マップでの接続タイマーの設定
手順の概要
3. policy-map type service policy-map-name
4. [ priority ] class type traffic class-map-name
手順の詳細
次の作業
サービス ポリシー マップまたはサービス プロファイルのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスをアクティブにする方法については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
AAA サーバでの接続タイマーの設定
手順の概要
1. ユーザ プロファイルまたはサービス プロファイルに RADIUS Idle-Timeout アトリビュートを追加します。
手順の詳細
|
|
|
|
|---|---|---|
ユーザ プロファイルまたはサービス プロファイルに、1 ~ 4294967 秒の範囲で IETF RADIUS(アトリビュート 28)を設定します。 |
セッション タイマーおよび接続タイマー設定の確認
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
セッション タイマーおよび接続タイマー設定のトラブルシューティング
ここでは、セッション メンテナンス タイマーのトラブルシューティングに使用可能な debug コマンドを示し、タイマーをイネーブルにするための作業について説明します。
• 「前提条件」
• 「制約事項」
前提条件
この作業を実行する前に、『 Cisco IOS Debug Command Reference 』の概要の章に説明のある Cisco IOS debug コマンドの使用法をよく理解しておいてください。「 Troubleshooting ISG with Session Monitoring and Distributed Conditional Debugging 」モジュールも参照してください。
制約事項
セッション メンテナンス タイマーで使用可能なデバッグ コマンド
表 26 に、セッション メンテナンス タイマーの問題を診断するための debug コマンドを示します。
|
|
|
|---|---|
セッション メンテナンス タイマーのデバッグ コマンドのイネーブル化
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
表 26 に示した 1 つ以上の debug コマンドを入力します。 |
|
|
|
ルータ上でのセッション キープアライブの設定
この作業では、ARP または ICMP のいずれかを使用してルータ上でキープアライブ機能を設定する方法について説明します。
このセッション キープアライブ機能は加入者の健全性および存在についてチェックするため、この機能はフロー単位ではなくそのセッション全体だけに適用されます。
制約事項
• サービス プロファイルに ISG トラフィック クラスの設定が含まれている場合、キープアライブ機能は無効になります。
• PPP over Ethernet(PPPoE)や PPP over ATM(PPPoA)などの非 IP セッションにこの機能が適用されると、この機能のアプリケーションは失敗し、次のようになります。
– 機能が session-start イベントで適用されると、機能のアプリケーションおよびセッションの両方が失敗します。
手順の概要
3. policy-map type service policy-map-name
4. keepalive [ idle idle-seconds ] [ attempts max-retries ] [ interval retry-seconds ] [ protocol { ARP | ICMP [ broadcast ]}]
手順の詳細
例
次に、ARP を使用してルータ上でキープアライブ機能を設定する例を示します。
RADIUS サーバでのセッション キープアライブの設定
手順の概要
1. Service-Name password = "cisco"
2. Cisco-Avpair = "subscriber:keepalive = [idle period1] [attempts Max-retries] [interval period2] [protocol ICMP [broadcast] | ARP}"
手順の詳細
ステップ 1 Service-Name password = "cisco"
ステップ 2 Cisco-Avpair = "subscriber:keepalive = [idle period1] [attempts Max-retries] [interval period2] [protocol ICMP [broadcast] | ARP}"
可能なアイドル期間、接続の最大試行回数、試行間の間隔、および使用する通信プロトコルを設定します。
• アイドル期間:範囲は 5 ~ 10 秒で、デフォルトは 10 秒です。
• 試行回数:範囲は 3 ~ 10 で、デフォルトは 5 です。
• プロトコル:レイヤ 2 接続ではデフォルトは ARP、経路指定されている接続ではデフォルトは ICMP です。
• ブロードキャスト オプション:デフォルトでは、このオプションはディセーブルになっています。
(注) サービス プロファイルに ISG トラフィック クラスの設定が含まれている場合、キープアライブ機能は無効になります。
セッション メンテナンス タイマーの設定例
• 「例:サービス ポリシー マップでのセッション タイマーの設定」
• 「例:サービス ポリシー マップでの接続アイドル タイマーの設定」
• 「例:セッション タイマーの show コマンドの出力」
• 「例:接続アイドル タイマーの show コマンドの出力」
例:サービス ポリシー マップでのセッション タイマーの設定
次に、サービス ポリシー マップのセッション時間を 4800 秒(80 分)に制限する例を示します。
例:サービス ポリシー マップでの接続アイドル タイマーの設定
次に、サービス ポリシー マップでのアイドル接続時間を 30 秒に制限する例を示します。
例:セッション タイマーの show コマンドの出力
次の例は、 show subscriber session all 特権 EXEC コマンドで表示されたセッション タイマーの設定を示しています。
例:接続アイドル タイマーの show コマンドの出力
次の例は、 show subscriber session all 特権 EXEC コマンドで表示されたアイドル タイマーの設定を示しています。
例:セッション タイマーのデバッグ出力
次の例は、セッション タイマーのデバッグ コマンド( debug subscriber feature error 、 debug subscriber feature event 、 debug subscriber feature name session-timer error 、および debug subscriber feature name session-timer event ) がイネーブルになっている場合の出力を示しています。
例:接続アイドル タイマーのデバッグ出力
次の例は、アイドル タイマーのデバッグ コマンド( debug subscriber feature error 、 debug subscriber feature event 、 debug subscriber feature name idle-timer error 、および debug subscriber feature name idle-timer event ) がイネーブルになっている場合の出力を示しています。
その他の参考資料
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
シスコのテクニカル サポート
セッション メンテナンスのための ISG ポリシーの設定に関する機能情報
表 27 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 27 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
|
|
|
|
|---|---|---|
ISG アイドル タイムアウトは、接続をを終了するまでに、その接続をアイドルにしておく時間を制御します。 この機能に関する詳細については、次の各項を参照してください。 • Cisco IOS Release 12.2(33)SRC では、この機能が Cisco 7600 ルータに実装されました。 |
||
アイドル状態のアップストリーム方向でセッション データ トラフィックをモニタするために、IP 加入者セッションのキープアライブ サポートが設定されています。レイヤ 2 接続の加入者に対して、Address Resolution Protocol(ARP; アドレス解決プロトコル)が使用されます。ルーテッド ホスト(レイヤ 3 接続の)加入者では、プロトコルのデフォルトは Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)になります。ICMP は、アクセス インターフェイスが ARP をサポートしていない設定においても使用されます。 Cisco IOS Release 12.2(33)SRC では、この機能は Cisco 7200 および Cisco 7600 ルータに実装されていました。 Cisco IOS Release 12.2(33)SB では、この機能は Cisco 10000 ルータに実装されていました。 この機能に関する詳細については、次の各項を参照してください。 |
フィードバック