- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: SCE との ISG 統合の設定
SCE との ISG 統合の設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。このモジュールでは、ISG および Cisco Service Control Engine(SCE)を、加入者セッションに対する単一のポリシー実施点として機能するように設定する方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「SCE との ISG 統合の設定の機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
SCE との ISG 統合の設定に関する前提条件
SCE と ISG を統合するための設定には、次の前提条件が適用されます。
ハードウェア要件
•
次のいずれかの ISG プラットフォーム(Cisco IOS Release 12.2(33)SRC 以降)
– ISG デバイスと SCE がポリシー情報を交換するための制御パス
• ISG プラットフォームと通信できるように設定済みのポリシー サーバ。ISG-SCE 統合によって、ポリシー サーバと SCE の間の通信レイヤは不要になります。
ソフトウェア要件
SCE との ISG 統合の設定に関する制約事項
SCE との ISG の統合には、次の制約事項が適用されます。
• SCE ポリシーを非アクティブ化すると、そのポリシーは SCE 上のセッションから削除され、セッション ポリシーはデフォルトの SCE ポリシーに戻ります。
• 1 つのセッションに一度に適用できる SCE ポリシーは 1 つだけです。追加のポリシーを適用すると、それまで SCE に適用されていたポリシーが上書きされます。
この機能には、RADIUS および RADIUS 拡張機能(RFC 3576 で規定)上で動作し、PUSH および PULL の 2 つのモードを持つ制御バス通信プロトコルが必要です。
• PULL モードでは、ISG デバイスは SCE からクエリーが送信されるまで待機します。
• PUSH モードでは、加入者セッションで外部サービスがアクティブ化されると、ただちに ISG デバイスによって外部機能のダウンロードが開始されます。
SCE と連携して加入者管理を行うために、制御バス プロトコルは次を実行する必要があります。
• セッションのプッシュをサポートし、セッションに関連した変更を SCE に加える。
• ID ベースのクエリーを使用して、セッション、関連 ID 、および SCE ポリシー プロファイルを ISG デバイスからプルできるようにする。
– SCE の開始済みアカウンティング イベントを非同期で受け入れる。
– SCE のアカウンティング データを、該当する ISG セッションに関連付ける。
– SCE のアカウンティング データを解析し、プロトコル変換を実行する。
ログイン時に Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)ユーザに割り当てられるユーザ単位の IP サブネットは、SCE と通信できません。RADIUS アトリビュート Framed-Route によって、PPP ユーザにはログイン時にユーザ単位のスタティック ルートがダウンロードされます。ISG は、CoA Provision Session(ProvSess; プロビジョニング セッション)アトリビュートでは、PPP セッション用のユーザ単位のサブネット アドレスを SCE に対して送信しません。
SCE との ISG 統合の設定に関する情報
ISG-SCE 統合の概要
SCE との ISG の統合機能は、ISG と SCE をポリシー プレーン レベルで統合し、ISG と SCE が単一の論理エンティティとして機能して加入者に関するプロビジョニングを行えるようにします。ISG デバイスと SCE は通信しながら連携して加入者セッションを管理し、他の外部コンポーネントと連携する必要性が最小限に抑えられます。ISG は加入者管理をレイヤ 4 以下で処理します。SCE は主にレイヤ 4 以上を対象としています。ISG と SCE を連携するように設定すると、次の機能を持つツールを利用できるようになります。
• 加入者マッピング:加入者認識情報を ISG と SCE との間に配布します。共有の加入者セッションは、ISG によって割り当てられた固有のセッション ID を使用して、両方のデバイスから参照されます。IP アドレス、IP サブネット、Network Access Server(NAS; ネットワーク アクセス サーバ)ID、NAS ポートなどの識別キーも、セッションに割り当てられます。セッションに対してイネーブルにする必要がある SCE ポリシーは、ポリシー名によって特定されます。
加入者管理での ISG と SCE の役割
表 31 に、加入者管理での ISG と SCE の固有の役割を示します。
|
|
|
|---|---|
加入者の集約(Broadband Remote Access Service:BRAS) • • |
ISG は、RADIUS の Change of Authorization(CoA)メッセージの形式で、特定の加入者セッションに関するポリシー(または外部サービス)を SCE にプッシュします。外部サービスのアクティブ化は、ISG 内部のポリシー管理コンポーネント、または外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバによってトリガーすることができます。SCE は ISG をポリシー マネージャと見なします。ISG は、外部 AAA サーバから SCE へのサービス アクティブ化要求のプロキシとして機能します。SCE はアカウンティング レコードを ISG に送信します。ISG は、そのアカウンティング レコードを外部 AAA サーバに送信するプロキシとして機能します(設定されている場合)。また、SCE は、プロビジョニングされていないセッションのセッション情報について ISG に問い合わせることもできます。RADIUS の Packet of Disconnect(PoD; パケット オブ ディスコネクト)によってセッションが終了すると、ISG は SCE に通知します。
SCE との ISG 統合の設定方法
SCE との ISG 統合を設定する前に、制御ポリシーとアクセス ポリシー、アカウンティング、セッション メンテナンス、およびネットワーク アクセス規定が ISG に設定されていることを確認してください。これらの設定の詳細については、『 Cisco IOS Intelligent Services Gateway Configuration Guide 』に説明があります。
また、SCE も正しく設定されている必要があります。SCE の設定方法については、『 Cisco Service Control Engine (SCE) Software Configuration Guide, Release 3.1 』に説明があります。
SCE との ISG 統合を設定するには、次の作業を実行します。
SCE と ISG との間の通信の設定
SCE と ISG デバイスとの間の通信は、Cisco IOS ソフトウェアの External Policy Delegation(EPD)ハンドラ モジュールによって管理されます。EPD は ISG 上に制御バスを実装して、ISG デバイスと SCE の間のすべてのメッセージングを処理します。ISG と AAA サーバとの間の通信の詳細については、『 Cisco IOS Intelligent Services Gateway Configuration Guide 』に説明があります。この作業は、ISG デバイスと SCE との間の通信に関する次のようなパラメータを設定するために必須です。
• ISG デバイスおよび SCE からの CoA メッセージの送信先となるポート
手順の概要
3. aaa server radius { sesm | proxy | policy-device }
4. client ipaddress [ port coa destination port ] [ key shared secret ]
5. authentication port port number
手順の詳細
ISG での SCE 接続パラメータの設定
手順の概要
3. policy-peer address ip-address keepalive seconds
手順の詳細
ポリシー マネージャでの制御ポリシーの設定
Cisco IOS コマンドで設定されたルールに従ってサービスをダウンロードするようにポリシー マネージャを設定するには、次の手順に従います。
ISG での制御ポリシーの設定
手順の概要
3. policy-map type control policy-map-name
4. class type control { class-map-name | always } event session-start
5. action-number service-policy type service name service-name
手順の詳細
AAA サーバでの自動サービスの設定
手順の概要
1. Cisco-Avpair="subscriber: auto-logon-service=sce-service"
手順の詳細
ステップ 1 Cisco-Avpair="subscriber: auto-logon-service=sce-service"
SCE から ISG デバイスにサービス名をダウンロードします。
サービスの設定
サービスを設定するには、次の手順を実行します。この機能の設定は、Cisco IOS の Command Line Interface(CLI; コマンドライン インターフェイス)コマンドを使用して ISG デバイス上で実行することも、AAA サーバ上で実行することもできます。
ISG でのサービスの設定
アカウンティング機能を含むサービスを設定する手順、および SCE デバイス上の外部ポリシーをアクティブ化するには、次の手順に従います。
手順の概要
3. policy-map type service service-map-name
4. class-map type traffic class-map-name
5. accounting aaa list listname
手順の詳細
AAA サービスでのサービスの設定
手順の概要
1. Cisco:Avpair="subscriber:sg-service-type=external-policy"
2. Cisco:Avpair="subscriber:policy-name=gold"
手順の詳細
ステップ 1 Cisco:Avpair="subscriber:sg-service-type=external-policy"
ステップ 2 Cisco:Avpair="subscriber:policy-name=gold"
ステップ 3 Cisco:Avpair="subscriber:service-monitor=1"
外部ポリシー デバイスに対するサービス モニタリングをイネーブルにします。
ステップ 4 Cisco:Avpair="accounting-list=list1"
トラブルシューティングのヒント
次のコマンドを使用すると、SCE との ISG 統合に関するトラブルシューティングを行えます。
• show subscriber policy peer { address ip-address | handle connection-handle | id | all }
例
ここでは、 show subscriber policy peer コマンドの出力例を示します。
show subscriber policy peer all
次に、このコマンドに all キーワードを使用した場合の出力例を示します。
show subscriber policy peer all detail
次に、 show subscriber policy peer コマンドに detail キーワードを追加した場合の出力例を示します。
SCE との ISG 統合の設定例
ISG 制御バスの設定:例
次の例は、ISG 制御バスを、SCE 管理 IP アドレスおよび共有認証キーを指定して設定する方法を示しています。
SCE との ISG 統合:例
次の例は、2 つの SCE を、同じ認証ポートおよびアカウンティング ポートを使用して設定する方法を示しています。ISG は、一方の SCE に関する CoA メッセージの処理にポート 1700 を使用し、もう一方の SCE に関してはデフォルト ポート 3799 を使用します。ISG との各 SCE のピアリングは、異なるキープアライブ間隔で維持されます。
ユーザ セッションが開始されると、POLICY-LOCAL が適用されます。AAA サーバのユーザ プロファイルに自動ログインの指定がある場合、セッションは SCE-SERVICE-LOCAL サービスの使用を開始します。このサービスは、SCE サービス モニタ機能をイネーブルにします。ユーザ プロファイルに SCE-SERVICE-LOCAL サービスに対する自動ログインの指定がない場合、SCE は、 policy-name の引数および service-monitor コマンドに、SCE のデフォルト値設定を使用します。
SCE 制御バスの設定:例
PUSH モードに設定された SCE 制御バス セットアップ
次の例は、PUSH モードの SCE 制御バスの設定方法を示しています。
PULL モードに設定された SCE 制御バス セットアップ
次の例は、PULL モードの SCE 制御バスの設定方法を示しています。
その他の参考資料
関連資料
|
|
|
|---|---|
『 Cisco IOS Security Configuration Guide 』の「 Authentication, Authorization, and Accounting (AAA) 」の項 |
|
『 Cisco IOS Security Configuration Guide 』の「 Authentication, Authorization, and Accounting (AAA) 」の項 |
|
『 Cisco Service Control Engine (SCE) Software Configuration Guide , Release 3.1』 |
シスコのテクニカル サポート
SCE との ISG 統合の設定の機能情報
表 32 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 32 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック