- Intelligent Services Gateway(ISG)機能 のロードマップ
- ISG の概要
- ISG 制御ポリシーの設定
- PPP セッションのための ISG アクセスの設定
- IP 加入者セッションのための ISG アクセスの 設定
- IP セッションのための MQC サポートの設定
- ISG ポートバンドル ホスト キーの設定
- RADIUS プロキシとしての ISG の設定
- RADIUS ベースのポリシング
- 自動加入者ログインのための ISG ポリシーの設定
- DHCP Option 60 and Option 82 with VPN-ID Support for Transparent Automatic Logon の設定
- ISG と外部ポリシー サーバとの相互動作のイ ネーブル化
- ISG 加入者サービスの設定
- ISG: Subscriber Aware Ethernet
- ISG ネットワーク転送ポリシーの設定
- ISG アカウンティングの設定
- プリペイド課金のための ISG サポートの設定
- セッション メンテナンスのための ISG ポリ シーの設定
- ISG レイヤ 4 リダイレクトを使用した加入者 トラフィックのリダイレクト
- ネットワーク アクセスを制限するための ISG ポリシーの設定
- SAMI ブレードの ISG サポート
- SCE との ISG 統合の設定
- Service Gateway Interface
- セッション モニタリングと分散型条件付きデ バッグによる ISG のトラブルシューティング
Intelligent Services Gateway コンフィギュレー ション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月4日
章のタイトル: ISG 加入者サービスの設定
ISG 加入者サービスの設定
Intelligent Services Gateway(ISG)は、エッジ デバイスが柔軟で拡張性の高いサービスを加入者に提供できる、構造化フレームワークを提供する Cisco IOS ソフトウェアの機能セットです。ISG では サービス が、加入者セッションに対して適用できるポリシーの集合として定義されています。このモジュールでは、ISG 加入者サービスの概要、サービスおよびトラフィック クラス(サービス内に定義されたポリシーを限定するために使用するもの)の設定方法、およびサービスのアクティブ化方法について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ISG 加入者サービスの機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
ISG 加入者サービス設定の前提条件
リリースおよびプラットフォーム サポートの詳細については、「ISG 加入者サービスの機能情報」を参照してください。
ISG 加入者サービス設定に関する制約事項
各サービスに、デフォルト以外のトラフィック クラスは 1 つしか設定できません。
1 つのセッションで複数のサービスがアクティブになっている場合、最初に一致したクラスについてのみクラス ベース アクションは実行されます。つまり、クラスが 1 つ一致すると、そのクラスに関連付けられているアクションが実行され、他のクラスとの照合は行われません。
ISG デバイスに定義されているサービスは、ポータルにはアドバタイズされないため、外部から選択できません。
ISG 加入者サービスに関する情報
ISG サービス
ISG サービスは、加入者セッションに適用できるポリシーの集合です。ISG サービスは、加入者のアクセス メディアまたはプロトコルにかかわらず、任意のセッションに適用できます。また、単一のサービスを複数のセッションに適用できます。ISG サービスに、宛先ゾーンまたは特定のアップリンク インターフェイスを関連付けることは必須ではありません。
サービスを定義する方法には、CLI を使用して ISG デバイス上に設定されるサービス ポリシー マップに定義する方法と、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバなどの外部デバイス上に設定されるサービス プロファイルに定義する方法の 2 つがあります。設定は異なりますが、サービス ポリシー マップおよびサービス プロファイルは同じ目的で使用され、どちらにも、加入者セッションに適用できるトラフィック ポリシーの集合とその他の機能が含まれています。トラフィック ポリシーとは、どのセッション トラフィックにどの機能を適用するか定義するものです。また、サービス ポリシー マップまたはサービス プロファイルには、ネットワーク転送ポリシーという、セッション データ パケットをネットワークに転送する方法を指定する、特定のタイプのトラフィック ポリシーが含まれています。
プライマリ サービス
ネットワーク転送ポリシーがサービス プロファイルまたはサービス ポリシー マップに含まれている場合、そのサービスは プライマリ サービス と呼ばれます。複数のプライマリ サービスは相互に排他的で、同時にアクティブ化できません。新しいプライマリ サービスをアクティブ化すると、既存のプライマリ サービスおよびサービス グループでの関連付けによって、ISG は既存のプライマリ サービスに依存しているその他のサービスを削除します。
プライマリ サービスが非アクティブ化されると、セッションはネットワーク転送ポリシーがない状態になり、パケットをルーティングまたは転送する手段がなくなります。他のすべてのサービス(または他のすべてのプライマリ サービス)が非アクティブ化された場合に特定のサービスをアクティブ化するようなポリシーを適用すると、このような状態を防止できます。このバックアップ サービスによってネットワーク転送ポリシーがセッションに戻されると、加入者は Web ポータルに到達できるようになります。ポリシーを定義して適用しておかない限り、すべてのサービスが非アクティブ化されても IP セッションは自動的に終了されるわけではないことに注意してください。
トラフィック クラスとトラフィック クラスの優先度
トラフィックをフローに分類するには、フローを分類する Access Control List(ACL; アクセス コントロール リスト)、およびその ACL を適用するトラフィックの方向(インバウンドまたはアウトバウンド)を定義する必要があります。オプションで、トラフィック クラスの優先度を指定することもできます。
トラフィックがトラフィック クラスの仕様に適合することは、トラフィック クラスとの 一致 と呼ばれます。一致した場合、そのトラフィック クラスに対して、トラフィック ポリシーに定義された機能が実行されます。
トラフィック クラスを持つサービスが複数ある場合、デフォルトでは、サービスのインストール順にパケットの照合が行われます。トラフィック クラスには優先度を割り当ることもできます。トラフィック クラスの優先度によって、指定された照合でどのクラスを最初に使用するかが決まります。つまり、複数のトラフィック クラスと一致するパケットは、優先度が高いクラスに分類されます。
いずれの ACL とも一致しないパケットは、デフォルト トラフィックの一部と見なされ、セッションにトラフィック ポリシーが適用されない場合と同じように処理されます。デフォルト クラスはサービスごとに存在します。デフォルト クラスのデフォルト アクションは、トラフィックを渡すアクションです。デフォルト クラスを、トラフィックをドロップするように設定できます。デフォルトのトラフィックは、メイン セッションのアカウンティングと見なされます。
トラフィック ポリシー
トラフィック ポリシーは、データ パケットの処理方法を定義します。1 つのトラフィック ポリシーには、1 つのトラフィック クラスと 1 つ以上の機能が含まれます。ISG 制御ポリシーをトリガーするイベントは指定できますが、トラフィック ポリシーのトリガーは暗黙的であり、データ パケットの到着がトリガーとなります。
トラフィック ポリシー内に設定された機能は、そのトラフィック クラスで定義されるトラフィックに対してのみ適用されます。さまざまな機能を持つ複数のトラフィック ポリシーを、1 つのセッションに適用することができます。
ISG の機能
ISG 機能とは、セッションのデータ ストリームに対して特定の操作を実行する機能コンポーネントです。機能はトラフィック クラスに関連付けても、関連付けなくても構いません。ただし、機能をトラフィック クラスに関連付けると、そのトラフィック クラスと一致するパケットにしか適用できなくなります。関連付けない場合は、機能をセッションのすべてのパケットに適用できます。
図 5 に、加入者セッションおよびそのセッション内のトラフィック フローに、どのように機能が適用されるかを示します。
(注) 同じ機能を指定していて、特定のトラフィック フローではなくセッション全体に適用される 2 つ以上のサービスを、同時に 1 つのセッションに対してアクティブ化してはいけません。1 つのセッションに対してこのようなサービスが 2 つ以上アクティブ化されると、いずれかのサービスの非アクティブ化によって、その機能はセッションから除去されます。
同じ機能を指定していて、特定のフローではなくセッションに適用される複数のサービスを、加入者に提供する必要がある場合は、それらのサービスを相互に排他的になるように設定します。つまり、このようなサービスを加入者が一度に複数アクティブ化できてはいけません。同様に、制御ポリシーでも、このようなサービスを一度に複数アクティブ化できてはいけません。
サービス グループ
サービス グループ とは、特定のセッションに対して同時にアクティブにできるサービスをグループ化したものです。一般的なサービス グループには、1 つのプライマリ サービスと 1 つ以上のセカンダリ サービスが含まれます。
サービス グループ内のセカンダリ サービスは、プライマリ サービスに依存するため、プライマリ サービスがすでにアクティブである場合以外、アクティブ化してはいけません。プライマリ サービスがアクティブ化された後、同じグループを参照している他のサービスもアクティブ化できます。ただし、他のグループに属するサービスは、プライマリである場合に限りアクティブ化できます。別のサービス グループのプライマリ サービスがアクティブ化されると、現行のサービス グループのすべてのサービスは、前のプライマリ サービスに依存するものであるため非アクティブ化されます。
サービスのアクティブ化方式
サービスをアクティブ化する方式には、次の 3 つがあります。
自動サービス アトリビュートは、ユーザ プロファイルに設定できるアトリビュートであり、ユーザ プロファイルのダウンロード時(通常は認証後)に、加入者が指定のサービスに自動的にログインできるようにします。ユーザ プロファイルに自動サービス アトリビュートが指定されている機能は、 自動サービス と呼ばれます。複数のサービスを自動サービスとしてユーザ プロファイルに指定できます。
ISG 制御ポリシーを設定すると、特定の状況およびイベントに応答してサービスをアクティブ化できます。
加入者起動のサービス アクティブ化は、加入者がポータルで手動によりサービスを選択したときに実行されます。
加入者からのサービス アクティブ化要求をシステムが受信すると、ISG ポリシー エンジンは、イベント「service-start」と一致するポリシーを検索します。一致するポリシーが見つからない場合、デフォルトではポリシー エンジンは、デフォルトの AAA ネットワークの承認メソッド リストを使用してサービスをダウンロードします。このデフォルトの動作は、次のポリシー設定の場合の動作と同じです。
これと同じデフォルトの動作が、加入者のログオフにも適用され、ISG ポリシー エンジンはイベント「service-stop」と一致するポリシーを検索します。
ルータでの ISG サービスの設定方法
ISG サービスを設定する方法は 2 つあります。1 つは、CLI を使用してローカル デバイス上にサービス ポリシー マップを設定する方法です。もう 1 つは、リモート AAA サーバ上にサービス プロファイルを設定する方法です。直接 ISG 上にサービス ポリシーを設定するには、次の作業を実行します。
•
「トラフィック ポリシーを持つ ISG サービスの設定」
• 「ISG サービス ポリシー マップでのデフォルト クラスの設定」
セッション単位の機能を持つ ISG サービスの設定
サービス内に設定された機能のうち、特定のタイプの機能は、特定のトラフィック フローではなく加入者セッション全体に対して適用する必要があります。このようなセッション単位の機能を持つよう設定するサービスに、トラフィック クラスを含めてはいけません。トラフィック クラスを含まないサービス ポリシー マップを ISG に設定するには、次の作業を実行します。
(注) サービス ポリシー マップに設定できるコマンドの中には、他の設定も行わないと正しく動作しないものがあります。実際の ISG 機能の設定方法の詳細については、『Cisco IOS Intelligent Services Gateway Configuration Guide』の他のモジュールに説明があります。
制約事項
手順の概要
3. policy-map type service policy-map-name
4. authenticate aaa list name-of-list
7. ip unnumbered interface-type interface-number
8. ip vrf forwarding name-of-vrf
10. service relay pppoe vpdn group VPDN-group-name
11. service vpdn group VPDN-group-name
手順の詳細
トラフィック ポリシーを持つ ISG サービスの設定
ISG トラフィック ポリシーには、1 つのトラフィック クラスと 1 つ以上の ISG 機能が含まれます。トラフィック クラスによって、機能を適用するトラフィックを定義します。トラフィック ポリシーを持つ ISG サービスをルータに設定するには、次の作業を実行します。
ISG トラフィック クラス マップの定義
トラフィック クラス マップを設定するには、次の作業を実行します。通常、トラフィック クラス マップには、フローを分類する Access Control List(ACL; アクセス コントロール リスト)と、その ACL を適用するトラフィックの方向(インバウンドまたはアウトバウンド)を指定します。
(注) 空のトラフィック クラス マップを設定することもでき、アクセス リストの指定がないトラフィック クラス マップを設定して、トラフィック ポリシーを含むサービスを、すべてのセッション トラフィックに適用するように設定できます。
前提条件
この作業は、トラフィックの分類に使用する Access Control List(ACL; アクセス コントロール リスト)は設定済みであることが前提になっています。
手順の概要
3. class-map type traffic match-any class-map-name
4. match access-group input { access-list-number | name access-list-name }
5. match access-group output { access-list-number | name access-list-name }
手順の詳細
トラフィック ポリシーを持つ ISG サービス ポリシー マップの設定
ISG サービスを設定するには、ISG 上にサービス ポリシー マップを作成するか、または外部 AAA サーバ上にサービス プロファイルを作成します。ISG 上のサービス ポリシー マップにトラフィック ポリシーを設定するには、次の作業を実行します。
(注) サービス ポリシー マップに設定できるコマンドの中には、他の設定も行わないと正しく動作しないものがあります。実際の ISG 機能の設定方法の詳細については、『Cisco IOS Intelligent Services Gateway Configuration Guide』の他のモジュールに説明があります。
手順の概要
3. policy-map type service policy-map-name
4. [ priority ] class type traffic class-map-name
5. accounting aaa list AAA-method-list
6. police { input | output } committed-rate normal-burst excess-burst
7. prepaid config name-of-configuratio n
8. redirect [ list access-list-number ] to { group server-group-name | ip ip-address [ port port-number ]} [ duration seconds ] [ frequency seconds ]
9. timeout absolute duration-in-seconds
手順の詳細
ISG サービス ポリシー マップでのデフォルト クラスの設定
いずれのトラフィック クラスとも一致しないパケットは、デフォルト トラフィックの一部と見なされ、セッションにトラフィック ポリシーが適用されない場合と同じように処理されます。デフォルトでは、サービスごとにデフォルト クラスが存在します。デフォルト クラスのデフォルト アクションは、トラフィックを渡すアクションです。デフォルト クラスを設定するには、次の作業を実行します。
手順の概要
3. policy-map type service policy-map-name
手順の詳細
ISG 加入者サービスのアクティブ化
ISG 加入者サービスをアクティブ化するには、加入者のユーザ プロファイルに自動アクティブ化サービスとしてサービスを指定する方法、サービスをアクティブ化する制御ポリシーを設定する方法、および加入者起動サービス ログインを使用する方法という、3 つの方法があります。加入者のサービスへのログインをイネーブルにするために、特別な設定は必要ありません。
サービスに自動アクティブ化を設定する場合、およびサービスをアクティブ化する制御ポリシーを設定する場合は、次の作業を実行します。
ユーザ プロファイルでの自動サービス アクティブ化の設定
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
サービスをアクティブ化する ISG 制御ポリシーの設定
前提条件
制御ポリシー マップに名前付き制御クラス マップを指定する場合は、制御クラス マップを設定する必要があります。制御ポリシーの設定の詳細については、「 Configuring ISG Control Policies 」モジュールを参照してください。
手順の概要
3. policy-map type control policy-map-name
4. class type control { always | map-class-name } [ event account-logon | credit-exhausted | quota-depleted | service-start | service-stop | session-default-service | session-service-found | session-start | timed-policy-expiry ]
5. action-number service-policy type service {name | unapply } policy-map-name
手順の詳細
ISG サービスの確認
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
ISG サービスの設定例
• 「例:絶対タイムアウトおよびアイドル タイムアウト用のサービス」
• 「例:レイヤ 4 加入者トラフィックのリダイレクト用のサービス」
• 「例:認可後のレイヤ 4 リダイレクト サービスの非アクティブ化」
例:フロー単位のアカウンティング用のサービス
次の例では、サービス「SERVICE1」にフロー単位のアカウンティングを設定します。アクセス リスト「SERVICE1_ACL_IN」および「SERVICE1_ACL_OUT」を使用して、トラフィック クラスを定義します。これらの例は同等で、ISG 上に直接設定されるサービス ポリシー マップに設定する方式と、AAA サーバ上に設定されるサービス プロファイルに設定する方式という、2 つのサービス設定方法を示しています。
例:絶対タイムアウトおよびアイドル タイムアウト用のサービス
次の例では、サービス「SERVICE1」にフロー単位のアカウンティング、絶対タイムアウト、およびアイドル タイムアウトを設定します。アクセス リスト「SERVICE1_ACL_IN」および「SERVICE1_ACL_OUT」を使用して、トラフィック クラスを定義します。これらの例は同等で、ISG 上に直接設定されるサービス ポリシー マップに設定する方式と、AAA サーバ上に設定されるサービス プロファイルに設定する方式という、2 つのサービス設定方法を示しています。
例:ISG ポリシング用のサービス
次の例では、サービス「BOD1M」にフロー単位のアカウンティングおよび ISG ポリシングを設定します。アクセス リスト「BOD1M_IN_ACL_IN」および「BOD1M_ACL_OUT」を使用して、トラフィック クラスを定義します。これらの例は同等で、ISG 上に直接設定されるサービス ポリシー マップに設定する方式と、AAA サーバ上に設定されるサービス プロファイルに設定する方式という、2 つのサービス設定方法を示しています。
例:加入者単位のファイアウォール用のサービス
次の例では、サービス「SERVICE2」に加入者単位のファイアウォールを設定します。このサービスはトラフィック クラスを含まないため、セッション全体に適用されます。これらの例は同等で、ISG 上に直接設定されるサービス ポリシー マップに設定する方式と、AAA サーバ上に設定されるサービス プロファイルに設定する方式という、2 つのサービス設定方法を示しています。
例:レイヤ 4 加入者トラフィックのリダイレクト用のサービス
次の例は、「UNAUTHORIZED_REDIRECT_SVC」という名前のサービスの設定を示しています。セッションの開始時にサービスを適用するように、制御ポリシー「UNAUTHEN_REDIRECT」を設定します。
例:認可後のレイヤ 4 リダイレクト サービスの非アクティブ化
次の例では、レイヤ 4 リダイレクトを設定したサービスを、トラフィックの承認後、つまり該当サービスのアクティブ化後に非アクティブ化します。
その他の参考資料
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco ソフトウェア リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
新しい RFC または変更された RFC はサポートされていません。また、既存の RFC に対するサポートに変更はありません。 |
シスコのテクニカル サポート
ISG 加入者サービスの機能情報
表 20 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 20 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連のソフトウェア リリースの以降のリリースでもサポートされます。
フィードバック