- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: ISG ポートバンドル ホスト キーの設定
ISG ポートバンドル ホスト キーの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このモジュールでは、加入者からの TCP パケットを、ISG ゲートウェイのローカル IP アドレスおよび一定範囲のポートにマッピングする、ISG Port-Bundle Host Key 機能の設定方法について説明します。このマッピングにより、外部ポータルで、セッションが開始された ISG ゲートウェイを識別できます。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG Port-Bundle Host Key の機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
•
「ISG Port-Bundle Host Key 機能の前提条件」
• 「ISG Port-Bundle Host Key 機能の制約事項」
• 「ISG Port-Bundle Host Key に関する情報」
• 「ISG Port-Bundle Host Key の設定方法」
ISG Port-Bundle Host Key 機能の前提条件
リリースおよびプラットフォームの要件の詳細については 、「ISG Port-Bundle Host Key の機能情報」 を参照してください。
外部のポータルは、ポートバンドル ホスト キーをサポートし、同じポートバンドル ホスト キー パラメータが設定されている必要があります。
ISG Port-Bundle Host Key 機能の制約事項
• ISG Port-Bundle Host Key は、ポータル、および接続されているすべての ISG で個別にイネーブルにしておく必要があります。
• source コマンドで設定されたすべての ISG 発信元 IP アドレスは、ポータルが存在する管理ネットワーク内でルーティング可能になっている必要があります。
• 各ポータル サーバでは、接続されているすべての ISG のポートバンドル長を同じにする必要があります。
• ISG Port-Bundle Host Key 機能では TCP が使用されます。パケットは、TCP トラフィックを送信していない加入者に対してはマップされません。
• ユーザ プロファイルで Port-Bundle Host Key 機能を指定した場合は、そのユーザ プロファイルが IP パケットの到着前に有効になっていたときだけ機能します。たとえば、PPP セッションや、透過的な自動ログイン機能を備えた Dynamic Host Configuration Protocol(DHCP)で開始される IP セッションなどです。
• Cisco 7600 ルータでは、Port-Bundle Host Key 機能をセッションに適用できますが、フロー レベルでは適用できません。
• Cisco 7600 ルータでは、レイヤ 4 リダイレクトと Port-Bundle Host Key を、最大 150 の並列セッションで同時にイネーブルにできます。
ISG Port-Bundle Host Key に関する情報
• 「ISG Port-Bundle Host Key の概要」
• 「Port-Bundle Host Key のメカニズム」
• 「ISG Port-Bundle Host Key の利点」
ISG Port-Bundle Host Key の概要
ISG Port-Bundle Host Key 機能は、外部ポータルにおいて、セッションを識別するためのインバンド シグナリング メカニズムとして機能します。加入者からの TCP パケットは、ISG ゲートウェイのローカル IP アドレスと一定範囲のポートにマッピングされます。このマッピングにより、ポータルはセッションが開始された ISG ゲートウェイを識別できるようになります。また、このマッピングにより、加入者が重複する IP アドレスを持っている場合でも、セッションを一意に識別できます。ISG Port-Bundle Host Key 機能では、重複する IP アドレスを持つ加入者がいる場合でも、複数の Virtual Routing and Forwarding(VRF)に対して 1 つのポータルを展開できます。
Port-Bundle Host Key のメカニズム
ISG Port-Bundle Host Key 機能を使用して、ISG は、加入者とポータルの間の TCP トラフィックにおいて、Port-Address Translation(PAT; ポート アドレス変換)および Network Address Translation(NAT; ネットワーク アドレス変換)を実行します。加入者の TCP 接続が設定されていると、ISG はポート マッピングを作成します。このマッピングでは、発信元 IP アドレスを設定済みの ISG IP アドレスに変更し、発信元 TCP ポートを ISG から割り当てられたポートに変更します。Web ページにアクセスしている場合は、1 人の加入者が同時に複数の TCP セッションを持つことができるため、ISG はポートのバンドルを各加入者に割り当てます。割り当てられた ポートバンドル ホスト キー 、またはポート バンドルと ISG 発信元 IP アドレスの組み合わせにより、各加入者は一意に識別されます。ホスト キーは、ポータル サーバと ISG 間で送信される RADIUS パケット内の、Subscriber IP の Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)で伝達されます。 表 10 に、Subscriber IP VSA を示します。ポータル サーバが加入者に応答を送信すると、ISG は変換テーブルを使用して、宛先 IP アドレスおよび宛先 TCP ポートを識別します。
加入者とポータルの間の各 TCP セッションでは、ISG は、ポート バンドルの 1 つのポートをポート マップとして使用します。個々のポート マッピングは、非アクティブ タイマーに基づいて、再使用が可能であるというフラグを設定されますが、いったん割り当てられると明示的には削除されません。ポート バンドルの数は、ISG アドレスごとに制限されていますが、ポート バンドルの使用に対して設定できる ISG IP アドレスの数には制限がありません。
ポートバンドル長
ポートバンドル長は、1 つのバンドル内のポート数を決定するために使用されます。デフォルトでは、ポートバンドル長は 4 ビットです。ポートバンドルの最大長は 10 ビットです。使用できるポートバンドル長の値、およびそれに対応するバンドルごとのポート、およびグループごとのバンドルの値については、 表 11 を参照してください。ポート バンドルでポートを使い切ってしまったことを示すエラー メッセージが頻繁に発生する場合は、ポートバンドル長を増やすことがあります。
|
(ビット) |
|
|
|---|---|---|
(注) ポータル サーバごとに、接続されているすべての ISG のポートバンドル長を同じにする必要があります。これは、ポータル サーバの BUNDLE_LENGTH 引数で指定されている設定済みの値に対応しています。ある ISG でポートバンドル長を変える場合は、ポータル上の設定において、必ず対応する値を変更してください。
ISG Port-Bundle Host Key の利点
外部ポータル使用のために拡張された加入者の重複 IP アドレスのサポート
ISG の Port-Bundle Host Key 機能を使用すると、加入者の IP アドレスまたは VRF メンバシップに関係なく、外部ポータルのアクセスが可能になります。ポートバンドル ホスト キーを使用しない場合、単一の外部ポータルにアクセスするすべての加入者は、一意の IP アドレスを持つ必要があります。また、ポートバンドル ホスト キーでは、ポータルが存在するドメインから VRF 特有のアドレスが分離されるため、ルーティング上の注意点が単純化されます。
加入者および ISG IP アドレスに対するポータル プロビジョニングが不要
ISG Port-Bundle Host Key 機能を使用しない場合に、ポータルで ISG に RADIUS パケットを送信したり、加入者に HTTP パケットを送信するには、事前に加入者および ISG IP アドレスに対してポータルをプロビジョニングしておく必要があります。ISG Port-Bundle Host Key 機能により、1 つのポータル サーバが複数の ISG に対応できるようにしたり、1 つの ISG が複数のポータル サーバに対応できるようにするためのポータルのプロビジョニングが不要になります。
ISG Port-Bundle Host Key の設定方法
• 「サービス ポリシー マップでの ISG Port-Bundle Host Key 機能のイネーブル化」
• 「AAA サーバのユーザ プロファイルまたはサービス プロファイルでの Port-Bundle Host Key 機能のイネーブル化」
• 「Port-Bundle Host Key パラメータの設定」
• 「ISG Port-Bundle Host Key の設定の確認」
サービス ポリシー マップでの ISG Port-Bundle Host Key 機能のイネーブル化
サービス ポリシー マップで ISG Port-Bundle Host Key 機能をイネーブルにするには、この作業を実行します。ISG Port-Bundle Host Key 機能は、このサービス ポリシー マップを使用しているすべての加入者に適用されます。
(注) この機能に対して 1 つの専用サービス ポリシーを使用することを推奨します。他の ISG 機能とポリシーを共有しないでください。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
policy-map type service policy-name |
||
|
|
||
|
|
次の作業
サービス ポリシー マップまたはサービス プロファイルのアクティブ化の方法を設定できます。たとえば、サービスのアクティブ化に制御ポリシーを使用できます。サービスのアクティブ化方法の詳細については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
AAA サーバのユーザ プロファイルまたはサービス プロファイルでの Port-Bundle Host Key 機能のイネーブル化
Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバのユーザ プロファイルまたはサービス プロファイルで ISG Port-Bundle Host Key 機能をイネーブルにするには、この作業を実行します。
手順の概要
1. ユーザ プロファイルまたはサービス プロファイルに Port-Bundle Host Key アトリビュートを追加します。
手順の詳細
|
|
|
|
|---|---|---|
ユーザ プロファイルまたはサービス プロファイルに Port-Bundle Host Key アトリビュートを追加します。 |
ユーザ プロファイルまたはサービス プロファイで ISG Port-Bundle Host Key アトリビュートをイネーブルにします。 |
次の作業
サービス プロファイルで ISG Port-Bundle Host Key 機能をイネーブルにした場合、制御ポリシーを使用してサービスをアクティブにするなど、サービス プロファイルをアクティブにする方法を設定することがあります。サービスのアクティブ化方法の詳細については、「 Configuring ISG Subscriber Services 」モジュールを参照してください。
Port-Bundle Host Key パラメータの設定
ISG Port-Bundle Host Key パラメータを設定し、ISG が、ダウンストリーム トラフィックに対する IP アドレスおよびポート番号を検出するために変換表を使用するインターフェイスを指定するには、この作業を実行します。
手順の概要
4. match access-list access-list-number
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
match access-list access-list-number |
||
|
|
ISG ポートバンドル長を指定します。この長さは、バンドルあたりのポート数、およびグループあたりのバンドル数を決定します。 • |
|
source interface-type interface-number |
メイン IP アドレスが、ISG によって加入者トラフィックの宛先 IP アドレスへマップされるインターフェイスを指定します。 |
|
|
|
||
|
|
||
|
|
設定中のインターフェイスについて、ポータルから加入者へ向かっているトラフィックの場合は、宛先 IP アドレスと TCP ポートを、実際の加入者 IP アドレスと TCP ポートに逆変換するよう ISG を設定します。 |
ISG Port-Bundle Host Key の設定の確認
手順の概要
2. show ip portbundle status [ free | inuse ]
3. show ip portbundle ip portbundle-ip-address bundle port-bundle-number
4. show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
手順の詳細
ISG Port-Bundle Host Key の設定例
• 「ISG Port-Bundle Host Key の設定:例」
ISG Port-Bundle Host Key の設定:例
次に、すべてのセッションに適用するために、ISG Port-Bundle Host Key 機能を設定する方法の例を示します。
その他の参考資料
関連資料
|
|
|
|---|---|
シスコのテクニカル サポート
ISG Port-Bundle Host Key の機能情報
表 12 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 12 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック