- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: RADIUS ベースのポリシング
RADIUS ベースのポリシング
RADIUS ベースのポリシング機能では、Intelligent Services Gateway(ISG)として動作しているルータで、特定のセッションおよびサービスのポリシング レートを自動的に変更できるようになります。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「RADIUS ベースのポリシングの機能情報」 を参照してください。
プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
RADIUS ベースのポリシングの前提条件
ポリシー マップ内のクラスを参照する前に、ISG のすべてのトラフィック クラスを設定する必要があります。
ISG が ANCP ベースの動的サービス ポリシーを作成および適用する前に、ISG 上で QoS ポリシー マップを設定および適用する必要があります。
RADIUS ベースのポリシングの制約事項
サービス単位のポリシングを、階層ポリシーの親レベルで class-default クラスに設定することはできません。サービス単位のポリシングは、子レベルまたは孫レベルの class-default クラスで設定できます。
一時ポリシーは、running-configuration ファイルに現れません。オリジナルのポリシー設定のみが現れます。
パラメータ化された Quality of Service(QoS)は、IP セッションに対してはサポートされていません。
パラメータ化されたアクセス コントロール リスト(pACL)名は、最大 80 文字に制限されています。pACL 名は、RADIUS Change of Authentication(CoA)または Access-Accept メッセージの ACL エントリと、ISG に設定されている ACL 名を連結することで形成されます。pACL 名が 80 文字を超えると、パラメータ化の操作は失敗し、エラー メッセージが表示されます。CoA メッセージの場合は、ISG が RADIUS サーバに negative Ack(Nack)応答も送信します。
RADIUS ベースのポリシングに関する情報
RADIUS ベースのポリシング機能を設定するには、次の点を理解しておく必要があります。
•
「VSA 1 としてパラメータ化された QoS ポリシー」
RADIUS アトリビュート
RADIUS は、Access-Accept および CoA メッセージに特別なアトリビュートを埋め込むことによって、ISG デバイスと通信します。RADIUS ベースのポリシングは、このアトリビュート交換を使用してサービスをアクティブまたは非アクティブにして、セッションに適用されているアクティブな QoS ポリシーを変更します。
ここでは、RADIUS ベースのポリシングで使用されている RADIUS のアトリビュートについて説明します。
RADIUS アトリビュート 250 および 252
RADIUS は Access-Accept メッセージでアトリビュート 250 を使用し、CoA メッセージでアトリビュート 252 を使用して、パラメータ化されたサービスをアクティブおよび非アクティブにします。ISG サービスは ISG デバイス上にローカルに設定されており、RADIUS はサービス名のみを送信します。
アトリビュート 250 および 252 には、サービスのアクティベーションについて次の構文があります。
RADIUS は、サービスを非アクティブにするときに、CoA メッセージのアトリビュート 252 のみを使用します。RADIUS はアトリビュート 252 で、サービスのアクティベーションで使用したものと同じ情報を使用します。ただし、サービスの非アクティベーションでは、サービスのアクティベーションで使用した 0b パラメータの代わりに、構文で 0c を使用します。
Cisco VSA 1
RADIUS は Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)1 コマンドを使用して、セッション上のアクティブな QoS ポリシーを変更します。この VSA の形式は次のとおりです。
セッション上でアクティブになっている QoS ポリシーに対して、クラスおよび QoS アクションを追加したり削除したりするには、次の Cisco VSA 1 形式を使用します。
RADIUS メッセージに指定されているポリシング パラメータを使用して ISG を作成できるようにするには、セッションで QoS ポリシーをアクティブにしておく必要があります。指定されたディレクションで QoS ポリシーがアクティブになっていない場合、ISG はポリシーを作成しません。
Cisco VSA に指定されている変更を実装するときに、ISG は、ISG デバイスに設定されているオリジナルの QoS ポリシーは変更しません。代わりに対象のセッションでアクティブな QoS ポリシーをコピーし、そのポリシー コピーに必要な変更を加えます。このポリシーは、 一時ポリシー と呼ばれます。ISG デバイス上に最初に設定されている QoS ポリシーは変更されません。
ここでは、アクティブなポリシーのポリシング パラメータを自動的に変更するための、Cisco VSA 1 コマンドについて説明します。
Add-Class プリミティブ
QoS アクションをトラフィック クラスに追加または変更するには、add-class プリミティブを使用します。このアトリビュートの形式は次のとおりです。
• target フィールド:変更する QoS ポリシーを表します。このフィールドで有効な値は sub のみです。これは加入者セッションに割り当てられているアクティブな QoS ポリシーを意味します。このアトリビュートを含んでいる Access-Accept メッセージまたは CoA メッセージは、加入者セッションを対象にしている必要があります。
• class-list フィールド:丸括弧で囲まれたクラス名のリストで、指定された QoS アクションが適用されるトラフィック クラスを識別します。指定するクラス名は、ユーザが設定したクラス マップか、またはシステムで生成された class-default クラスのいずれかにする必要があります。クラス名を指定した順序は、QoS ポリシー内のクラスの階層レベルを表しています。
たとえば、次のクラス リストは「voip」という名前のクラスを表します。これはネストされたポリシーに追加されます。VoIP クラスは、親の class-default クラスに適用されている、ネストされた子ポリシーに設定されます。
次のクラス リストは voip-2 クラスを指定しています。これは、ネストされたポリシーに設定され、そのポリシーは、ネストされた他の子ポリシーの voip-aggregate クラスに適用されます。次に、voip-aggregate クラスを含んでいるポリシーは、ターゲット セッションに割り当てられている QoS ポリシーの class-default クラスの下でネストされています。
qos-actions-list フィールドは、ポリシングなどの QoS アクションを表します。その後に丸括弧で囲まれたアクション パラメータが続き、カンマで区切られます。たとえば、次の設定例は、ポリシング アクションを表し、パラメータ bps 、 burst-normal 、 burst-max 、 conform-action 、 exceed-action 、および violate-action を定義しています。アクション パラメータは丸括弧で囲みます。
(注) この例では、最後に閉じ括弧が二重になっています。これは、VSA の構文で、target、class-list、および qos-actions-list を丸括弧で囲んで指定するためです。
Remove-Class プリミティブ
セッションにおけるアクティブな QoS ポリシーで定義されているトラフィック クラスと QoS アクションを削除するには、remove-class プリミティブを使用します。このアトリビュートの形式は次のとおりです。
• target フィールド:変更する QoS ポリシーを表します。このフィールドで有効な値は sub のみです。これは加入者セッションに割り当てられているアクティブな QoS ポリシーを意味します。このアトリビュートを含んでいる Access-Accept メッセージまたは CoA メッセージは、加入者セッションを対象にしている必要があります。
• class-list フィールド:丸括弧で囲まれたクラス名のリストで、削除する 1 つまたは複数のクラスを識別します。指定するクラス名は、ユーザが設定したクラス マップか、またはシステムで生成された class-default クラスのいずれかにする必要があります。クラス名を指定した順序は、QoS ポリシー内のクラスの階層レベルを表しています。
たとえば、次の VSA1 アトリビュートは、親の class-default クラスに適用されているネストされた子ポリシーから、Class1 クラス、および関連するすべての QoS ポリシーを削除します。
ある QoS ポリシーから 1 つのトラフィック クラスを削除すると、そのクラスのすべてのアトリビュートも削除されます。同じアトリビュートを持つクラスをもう一度追加するには、add-class RADIUS アトリビュートを再発行し、必要なパラメータと値を提示する必要があります。
VSA 1 としてパラメータ化された QoS ポリシー
CoA メッセージ内の複数の複合文字列はサポートされません。次の例に示すように、VSA 1 の動作が訂正されないからです。
QoS ACL のパラメータ化
パラメータ化された QoS アクセス コントロール リストの機能は、1 つの Access-Accept メッセージまたは CoA メッセージにおける ISG および QoS の複数のパラメータ化されたサービスをサポートします。この機能により、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)デバイスでパラメータを動的に変更できます。
RADIUS ベースのポリシングの設定方法
RADIUS サーバは、RADIUS 上の加入者のユーザ プロファイルに設定されている Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)、および ISG から受け取った Advanced Node Control Protocol(ANCP)通知レートに基づいて、新しいポリシング レートを決定します。RADIUS は新しいレートを、Access-Accept メッセージまたは CoA メッセージの ISG へ送信します。
Access-Accept または CoA メッセージを受け取った後、ISG はセッションに適用されたオリジナルのポリシー マップをコピーし、コピーされた一時ポリシーのポリシング レートを、RADIUS に示されたとおりに変更します。ISG は、オリジナルのポリシーのシェーピング レートは変更しません。一時ポリシーを変更した後で、ISG は一時ポリシーを加入者サービスへ適用します。
• 「RADIUS を使用したサービス単位のポリシングの設定」
RADIUS を使用したサービス単位のポリシングの設定
サービス単位のポリシングを設定するには、次の設定作業を実行します。
• 「ポリシングを使用した階層的 QoS 子ポリシーの設定」
ポリシングを使用した階層的 QoS 子ポリシーの設定
手順の概要
5. shape average mean-rate [ burst-size ] [ excess-burst-size ] [ account { qinq | dot1q | user-defined offset} aal5 subscriber-encap ]
6. police bps [ burst-normal ] [ burst-max ] conform-action action exceed-action action [ violate-action action ]
手順の詳細
次のキーワードを使用して、 police コマンドでアクションを指定できます。
• set-cos-transmit value :パケットの Class of Service(COS)値を設定し、送信します。
• set-discard-class-transmit value :パケットの廃棄クラス アトリビュートを設定します。
• set-dscp-transmit value :IP Differentiated Services Code Point(DSCP)の値を設定します。
• set-frde-transmit value :Frame Relay フレームに、0 から 1 のフレーム リレー Discard Eligibility(DE)を設定します。
• set-mpls-experimental-imposition-transmit value :付けられたラベル ヘッダーに、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)Experimental(EXP)ビット(0 ~ 7)を設定します。
• set-mpls-experimental-topmost-transmit value :入力または出力インターフェイスで、最上位の MPLS ラベル ヘッダーに MPLS EXP フィールドの値を設定します。
• set-prec-transmit value :IP precedence の値を設定します。
ポリシングを使用した階層的 QoS 親ポリシーの設定
手順の概要
5. shape average mean-rate [ burst-size ] [ excess-burst-size ] [ account { qinq | dot1q | user-defined offset } aal5 subscriber-encap ]
6. service-policy policy-map-name
手順の詳細
RADIUS サーバでのサービス単位のポリシングの設定
RADIUS を使用して加入者サービスに対してポリシングを設定するには、RADIUS のサービス プロファイルで次の Cisco VSA を設定します。
ISG は、これらの VSA が含まれている RADIUS の Access-Accept メッセージまたは CoA メッセージを受け取ると、セッションにおいてアクティブな状態のオリジナルのポリシー マップをコピーし、class-list フィールドに指定されているトラフィック クラスのポリシング レートを変更します。ISG は一時ポリシーのみ変更し、一時ポリシーを加入者サービスに適用します。オリジナルのポリシー マップは変更しません。
(注) サービス単位のポリシングは、親の class-default クラスには適用されません。
詳細については、「RADIUS アトリビュート」を参照してください。
RADIUS ベースのポリシングの確認
ISG での RADIUS ベースのポリシングの設定を確認するには、特権 EXEC モードで次のいずれかのコマンドを使用します。
RADIUS ベースのポリシングの設定例
• 「Access-Accept メッセージを使用したポリシング レートの設定:例」
• 「CoA メッセージを使用したポリシング レートの設定:例」
QoS ACL のパラメータ化の追加:例
次の例は、CoA または Access-Accept メッセージを通じて、発信元 IP アドレスおよび宛先 IP アドレスのセット パラメータ、set-src-dst-ip-in-acl をパラメータ化する方法を示しています。パラメータ化された QoS サービスは、パラメータ化された QoS サービスの RADIUS フォームに追加されます。
ISG サービス アカウンティングによる QoS ACL のパラメータ化の追加
次の例は、ISG アカウンティング サービスを設定することにより、QoS アカウンティングを追加する方法を示しています。
Access-Accept メッセージを使用したポリシング レートの設定:例
ここでは、access-accept メッセージを使用してトラフィック クラスのポリシング レートを設定する方法の例を示します。
この設定例では、RADIUS Access-Accept メッセージを使用して、階層的なポリシーの子レベルで、トラフィック クラスのポリシング レートを変更します。
次の Cisco VSA は、RADIUS のユーザ プロファイルに設定されています。この VSA は、Child ポリシーの Premium クラスのポリシング レートを変更します。Child ポリシーは、Parent ポリシーの class-default クラスに適用されます。
ISG は、次の RADIUS Access-Accept メッセージを受け取ります。ユーザ プロファイルに設定されている上記の Cisco VSA は、Access-Accept メッセージ内にあることに注意してください。
1d21h: RADIUS: authenticator 4A 2C F7 05 4B 88 38 64 - DE 60 69 5A 4B EE 43 E1
1d21h: RADIUS: Framed-Protocol [7] 6 PPP [1]
1d21h: RADIUS: Service-Type [6] 6 Framed [2]
1d21h: RADIUS: Vendor, Cisco [26] 68
1d21h: RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
1d21h: RADIUS(0000000D): Received from id 1645/3
1d21h: SSS PM [uid:4][65ADE2E8]: SERVICE: Adding Service attachment to event
1d21h: RADIUS/ENCODE(0000000D):Orig. component type = PPoE
1d21h: RADIUS(0000000D): Config NAS IP: 0.0.0.0
1d21h: RADIUS(0000000D): sending
ISG はセッションに現在適用されているサービス ポリシーをコピーし、適切な変更を行う New_Parent という名前の一時ポリシーを作成します。Access-Accept メッセージに含まれている Cisco VSA に基づいて、ISG は Premium トラフィック クラスにポリシング レートを追加します。Premium クラスは一時的な New_Child ポリシーに設定され、New_Parent の class-default クラスに適用されます。
CoA メッセージを使用したポリシング レートの設定:例
ここでは、CoA メッセージを使用してサービスのポリシング レートを設定する方法の例を示します。
この設定例は、RADIUS CoA メッセージを使用して、サービスのポリシング レートを変更します。この変更は、次の ISG 設定に基づいています。
次の Cisco VSA は、RADIUS のユーザ プロファイルに設定されています。この VSA は Child ポリシーの Premium クラスを変更します。これは、Parent ポリシーの class-default クラスに適用されます。
ISG は、次の RADIUS CoA メッセージを受け取ります。ユーザ プロファイルに設定されている上記の Cisco VSA は、CoA メッセージ内にあることに注意してください。
1d21h: COA: 192.168.1.6 request queued
1d21h: RADIUS: authenticator FF A2 6B 63 06 F0 E6 A3 - 0D 04 6C DC 01 0A BE F1
1d21h: RADIUS: Vendor, Cisco [26] 18
1d21h: RADIUS: ssg-account-info [250] 12 "S192.168.1.10"
1d21h: RADIUS: Vendor, Cisco [26] 68
1d21h: RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
1d21h: ++++++ CoA Attribute List ++++++
1d21h: 63C829B0 0 00000009 ssg-account-info(427) 10 S192.168.1.10
1d21h: 63C82A18 0 00000009 qos-policy-out(378) 45 add-class(sub,(class-default, Premium), police(200000))
1d21h:
ISG#
1d21h: RADIUS(00000000): sending
1d21h: RADIUS(00000000): Send CoA Ack Response to 192.168.1.6:1700 id 0, len 65
1d21h: RADIUS: authenticator 62 B4 B0 1A 90 10 01 01 - F6 C8 CD 17 79 15 C7 A7
1d21h: RADIUS: Vendor, Cisco [26] 18
1d21h: RADIUS: ssg-account-info [250] 12 "S192.168.1.10"
1d21h: RADIUS: Vendor, Cisco [26] 27
1d21h: RADIUS: ssg-account-info [250] 21 "$IVirtual-Access2.2"
ISG はセッションに現在適用されている Parent という名前のサービス ポリシーをコピーし、適切な変更を行う New_Parent という名前の一時コピーを作成します。Access-Accept メッセージに含まれている Cisco VSA に基づいて、ISG は Premium トラフィック クラスのポリシング レートを 5000 ~ 200,000 bps の範囲で変更します。Premium クラスは New_Child ポリシーに設定され、New_Parent の class-default クラスに適用されます。
その他の参考資料
ここでは、RADIUS ベースのポリシング機能に関する関連資料について説明します。
関連資料
|
|
|
|---|---|
シスコのテクニカル サポート
RADIUS ベースのポリシングの機能情報
表 15 に、このモジュールの機能を示します。
このテクノロジーの機能でここに記載されていない情報については、『 Cisco Intelligent Services Gateway Features Roadmap 』を参照してください。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 15 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック