この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
BNG で設定される加入者機能によって、サービス プロバイダーは、特定のネットワーク リソースの使用制限、司法当局(LEA)への電子機器を使用した情報収集の許可、加入者へのマルチキャスト サービスの提供などの特定の固有機能を導入できます。 この章で説明する加入者機能は、次のとおりです。
過剰なパント フロー トラップ機能は、制御パケット トラフィックに割り当てられた共有よりも多く送信するリモート デバイスからの制御パケット トラフィックを識別して緩和しようとします。 リモート デバイスは、加入者デバイス、VLAN インターフェイス上のデバイス、または送信元 MAC アドレスで識別されるデバイスの場合があります。
リモート デバイスが制御パケット トラフィックをルータに送信すると、制御パケットは、ルータの CPU を保護するために Local Packet Transport Services(LPTS)キューによってパントされ、ポリシングされます。 1 台のデバイスが過剰なレートの制御パケット トラフィックを送信する場合、ポリサーのキューがいっぱいになり、多くのパケットがドロップされます。 1 台の「不良」デバイスからのレートが他のデバイスのレートを大幅に超える場合、他のデバイスのほとんどはルータへの制御パケットを取得しません。 過剰なパント フロー トラップ機能は、この状況に対処します。
(注) |
過剰なパント フロー トラップ機能がイネーブルではない場合でも、「不良」は他のデバイスのサービスのみに影響を与えます。ルータをダウンさせることはありません。 |
過剰なパント フロー トラップ機能は、加入者インターフェイスと、L2 および L3 VLAN サブインターフェイスおよびバンドル仮想インターフェイス(BVI)などの非加入者インターフェイスの両方でサポートされます。 パケットでパントのキューをフラッディングする送信元がインターフェイス ハンドルを使用するデバイスの場合、その不良インターフェイスのすべてのパントはペナルティ ポリシングされます。 各プロトコルのデフォルトのペナルティ レートは、10 プロトコル/秒(pps)です。 そうしないと、送信元がインターフェイス ハンドルのないデバイスの場合、この不良からのすべてのパケットがドロップされます。
(注) |
リリース 4.2.x では、過剰なパント フロー トラップ機能は、加入者インターフェイスでのみ動作する「加入者コントロール プレーン ポリシング(CoPP)」と呼ばれていました。 |
物理インターフェイスは、VLAN サブインターフェイスがあるため、常に親インターフェイスになります。 BVI は、L2 インターフェイスの「親」であるため、常に親インターフェイスになります。 L3 VLAN サブインターフェイスは、親または非親インターフェイスのいずれかになります。 VLAN サブインターフェイスが加入者に対してイネーブルな場合、親インターフェイスになります。それ以外の場合は、非親インターフェイスです。 加入者インターフェイス(IPoE または PPPoE)は、常に非親インターフェイスです。
フローがトラップされると、過剰なパント フロー トラップ機能は、フローの送信元を識別しようとします。 最初に判断することは、フローが発信されたインターフェイスです。 このインターフェイスが「親」インターフェイスでない場合、この機能では、インターフェイスがフローのエンドポイントの送信元で、ペナルティ ポリシングが適用されるものと仮定します。 トラップされたインターフェイスが「親」インターフェイスの場合、すべてのインターフェイスにペナルティを科す(その下のすべてのインターフェイスにペナルティを科す)のではなく、この機能は不正なフローの送信元 MAC アドレスを取得し、親の下の MAC アドレスからすべてのパケットをドロップします。 プラットフォームの制限により、ペナルティのポリサーを MAC アドレスで適用することはできません。したがって、すべてのパケットがドロップされます。
過剰なパント フロー トラップ機能をイネーブルにする方法の詳細については、過剰なパント フロー トラップ処理のイネーブル化を参照してください。
(注) |
過剰なパント フロー トラップ機能は、すべてのパント トラフィックをモニタします。 初期のモニタリングから特定のインターフェイスを除外することはなく、インターフェイスが過剰フローの送信元の場合、インターフェイスに不良というフラグを付けないようにすることもできません。 |
不良は、各プロトコルにポリシングされます。 過剰なパント フロー トラップ機能でサポートされるプロトコルは、ブロードキャスト、マルチキャスト、ARP、DHCP、PPP、PPPoE、ICMP、IGMP、L2TP、および IP(多くのタイプの L3 ベース パントや IPv4 と IPv6 の両方を含む)です。 各プロトコルには、静的なパント レートとペナルティ レートがあります。 たとえば、リモート デバイスからのすべての ICMP パントの合計は、ルータの CPU に対して 1500 パケット/秒(pps)でポリシングされます。 1 台のリモート デバイスが過剰なレートの ICMP トラフィックを送信してトラップされた場合、その不良からの ICMP トラフィックは 10 pps でポリシングされます。 残りの(非不良)リモート デバイスは、ICMP に静的な 1500 pps のキューを使用し続けます。
(注) |
インターフェイスをトラップさせるために必要な過剰なレートは、静的なパント レート(ICMP の場合 1500 pps)とは関係ありません。 過剰なレートは、パントされている他の制御パケットの現在の平均レートよりもかなり大きくなります。 過剰なレートは固定レートではなく、現在の全体的なパント パケット アクティビティによって異なります。 |
不良がトラップされると、不良と特定したプロトコルとは関係なく、すべてのパント プロトコル(ARP、DHCP、PPP など)でペナルティ ポリシングされます。 10 pps のペナルティ レートによって、他のプロトコルは十分に正常に動作できます。 ただし、不良が送信元 MAC アドレスによってトラップされると、すべてのパケットはドロップされます。
インターフェイスはトラップされると、しばらく「ペナルティ ボックス」に置かれます(デフォルトでは 15 分)。 ペナルティのタイムアウトの最後に、ペナルティ ポリシングから削除(またはドロップ)されます。 リモート デバイスからの制御パケット トラフィックのレートが依然として過剰な場合、インターフェイスは再度トラップされます。
次の制約事項が、過剰なパント フロー トラップ機能の実装に適用されます。
加入者および非加入者の両方のインターフェイスで過剰なパント フロー トラップ機能をイネーブルにするには、次の作業を実行します。 この作業によって、プロトコルのペナルティ ポリシング レートとペナルティ タイムアウトも設定できます。
1. configure
2. lpts punt excessive-flow-trap subscriber-interfaces
3. lpts punt excessive-flow-trap non-subscriber-interfaces
4. lpts punt excessive-flow-trap penalty-rate protocol penalty_policer_rate
5. lpts punt excessive-flow-trap penalty-timeout protocol time
configure lpts punt excessive-flow-trap subscriber-interfaces lpts punt excessive-flow-trap penalty-rate ppp 20 lpts punt excessive-flow-trap penalty-rate pppoe 20 end !!
configure lpts punt excessive-flow-trap non-subscriber-interfaces lpts punt excessive-flow-trap penalty-timeout arp 2 end !!
アクセス コントロール リスト(ACL)は、加入者のアクセス権を定義するために使用されます。 また、コンテンツのフィルタリング、さまざまなネットワーク リソースへのアクセスのブロックなどにも使用されます。
特定のサービス プロバイダーは、ルーティング プロトコルによって計算されたパスを使用する代わりに、特定のパスを介してルーティングされる特定のトラフィックをルーティングする必要があります。 たとえば、サービス プロバイダーは、音声トラフィックは特定の高価なルートを通過する一方で、データ トラフィックは通常のルーティング パスを使用することを必要とする場合があります。 これは、宛先にパケットを転送するために使用される ACL 設定でネクスト ホップ アドレスを指定することによって実現されます。 パケット転送のために ACL を使用するこの機能は、ACL ベース転送(ABF)と呼ばれます。
(注) |
セキュリティ ACL および ABF は、PPPoE PTA セッションにのみ適用できます。 |
ACL は CLI または XML によって定義されます。ただし、動的なテンプレート、または RADIUS からの VSA によって加入者セッションに適用できます。 ABF の導入(ACL の使用)には、次の段階があります。
アクセス コントロール リストを作成するには、次の作業を実行します。 たとえば、このアクセス リストは ABF を導入するために作成されます。したがって、ネクスト ホップ アドレスを定義します。
1. configure
2. {ipv4 | ipv6} access-list access-list-name
3. sequence-number permit tcp any any
4. sequence-number permit {ipv4 | ipv6} host source_address nexthop source_address destination_address
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | {ipv4 | ipv6} access-list access-list-name 例:
RP/0/RSP0/CPU0:router(config)# ipv4 access-list foo_in
または
RP/0/RSP0/CPU0:router(config)# ipv6 access-list foo_in
|
アクセスリストを設定します。 |
||
ステップ 3 | sequence-number permit tcp any any 例:
RP/0/RSP0/CPU0:router(config)# 10 permit tcp any any
|
TCP トラフィックにアクセス コントロール リストのルールを入力します。 |
||
ステップ 4 | sequence-number permit {ipv4 | ipv6} host source_address nexthop source_address destination_address 例:
RP/0/RSP0/CPU0:router(config)# 10 permit ipv4 host 9.8.8.9 nexthop 6.6.6.6 7.7.7.7
または
RP/0/RSP0/CPU0:router(config)# 10 permit ipv6 host 192:2:1:9 nexthop 192:2:6:8
|
送信元 IP アドレスから宛先 IP アドレスに IPv4 プロトコルで転送するパケットを指定します。
|
||
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
//For IPv4 configure ipv4 access-list foo_in 10 permit tcp any any 10 permit ipv4 host 9.8.8.9 nexthop 6.6.6.6 7.7.7.7 ! ! end
//For IPv6 configure ipv6 access-list foo_in 10 permit tcp any any 10 permit ipv4 host 192:2:1:9 nexthop 192:2:6:8 ! ! end
アクセスコントロール リストをアクティブ化するために使用される動的なテンプレートを定義するには、次の作業を実行します。
1. configure
2. dynamic-template
3. type{ipsubscriber |ppp |service} dynamic-template-name
4. {ipv4 | ipv6} access-group access-list-name ingress
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | dynamic-template 例:
RP/0/RSP0/CPU0:router(config)# dynamic-template
|
動的テンプレート コンフィギュレーション モードを開始します。 |
||
ステップ 3 | type{ipsubscriber |ppp |service} dynamic-template-name 例:
RP/0/RSP0/CPU0:router(config-dynamic-template)# type service foo
|
サービスの動的なテンプレート タイプを作成します。 |
||
ステップ 4 | {ipv4 | ipv6} access-group access-list-name ingress 例:
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv4 access-group foo_in ingress
または
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# ipv6 access-group foo_in ingress
|
着信パケットに対してアクセスコントロールを指定します。
|
||
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
//For IPv4 configure dynamic-template type service foo ipv4 access-group foo_in ingress ! ! end
//For IPv6 configure dynamic-template type service foo ipv6 access-group foo_in ingress ! ! end
合法的傍受によって、司法当局(LEA)は、司法命令または行政命令で許可された電子機器を使用した情報収集を実行できます。 ますます多くの法律が採択され、規制が施行されるのに伴い、サービス プロバイダー(SP)やインターネット サービス プロバイダー(ISP)は、許可された電子監視を明示的にサポートするネットワークを実装する必要性に迫られています。 合法的傍受の指令に従う SP または ISP の種類は、国によって大きく異なります。 米国の合法的傍受のコンプライアンスは、Communications Assistance for Law Enforcement Act(CALEA)によって指定されています。
Cisco ASR 9000 シリーズ ルータでは、Cisco Service Independent Intercept(SII)アーキテクチャと PacketCableTM をサポートします。1 合法的傍受アーキテクチャ。 合法的傍受コンポーネントだけでは、該当する規制に準拠できませんが、SP および ISP が合法的傍受準拠のネットワークを構築するために使用可能なツールを提供します。
BNG は、加入者のセッション単位の合法的傍受および RADIUS ベースの合法的傍受をサポートします。 セッション単位および RADIUS ベースの両方の合法的傍受が、BNG の IPoE、PPPoE、および PPPoE LAC 加入者セッションで実行されます。
注意 |
このガイドは、合法的傍受の実装の法的義務に対応するものではありません。 サービス プロバイダーは、ネットワークが適切な合法的傍受の法令および規制に従うことを保障する責任があります。 義務を決定するために法的助言を求めることが推奨されます。 |
(注) |
合法的傍受関連のルータの設定の詳細については、『Cisco ASR 9000 Series Aggregation Services Router System Security Configuration Guide』の「Implementing Lawful Intercept」の章を参照してください。 |
入力方向と出力方向の両方で、複製されたストリームをメディエーション デバイスに送信する、指定された加入者インターフェイス上のすべてのレイヤ 2 またはレイヤ 3 トラフィックの合法的傍受は、セッション単位の合法的傍受と呼ばれます。 この合法的傍受は、シスコが定義する MIB を使用して、IPv4、IPv6、およびマルチキャスト トラフィックの傍受を実装します。 デフォルトでは、SNMP ベースの合法的傍受機能は、Cisco ASR 9000 シリーズ ルータでイネーブルになっており、タップを設定できます。 SNMP ベースの合法的傍受のディセーブル化の詳細については、SNMP ベースの合法的傍受のディセーブル化を参照してください。
加入者セッションは、アカウント セッション ID によって識別されます。この ID は、トラフィックが傍受される加入者ユーザに指定された加入者インターフェイスを識別するキーとして機能します。
合法的傍受は通常、SII アーキテクチャまたは PacketCableTM 仕様を使用して実装できます。 SNMP ベースの合法的傍受の Cisco IOS-XR 実装は、サービスに依存しない傍受(SII)のアーキテクチャに基づいています。 SNMPv3 は、データ送信元を認証し、Cisco ASR 9000 シリーズ ルータからメディエーション デバイスへの接続が安全であることを保障します。 これにより、許可されていないパーティが傍受のターゲットを偽造できないようにします。
(注) |
合法的傍受を実装するには、SNMP サーバの機能を理解する必要があります。 このため、 『Cisco ASR 9000 Series Aggregation Services Router System Management Configuration Guide』の「Implementing SNMP」モジュールに説明されている情報をよく確認してください。 合法的傍受は、明示的にディセーブルにする必要があります。 これは、プロビジョニングされたルータで自動的にイネーブルになります。 ただし、進行中のアクティブなタップがある場合、タップは削除されるため、LI をディセーブルにしないてください。 管理プレーンは、SNMPv3 をイネーブルにするように設定される必要があります。 コマンドがルータ上のインターフェイス(できれば、ループバック)に機能するように、管理プレーンによる SNMP コマンドの受け入れを可能にします。 これにより、メディエーション デバイス(MD)が物理インターフェイスと通信できるようになります。 管理プレーン保護機能の詳細については、インバンド管理プレーン保護機能の設定を参照してください。メディエーション デバイスのイネーブル化の詳細については、VoIP およびデータ セッションを傍受するためのメディエーション デバイスのイネーブル化を参照してください。 |
コレクタとしても知られている外部メディエーション デバイスは、IP-TAP-MIB を使用する IPv4 または IPv6 アドレス ベースのタップを作成できます。 SNMPv3 プロトコルは、メディエーション デバイス(CISCO-TAP2-MIB で定義)、およびタップ(CISCO-USER-CONNECTION-TAP-MIB で定義)のプロビジョニングに使用されます。 Cisco ASR 9000 シリーズ ルータは、SNMP および RADIUS の両方を含む合計 511 の同時タップをサポートします。
合法的傍受は、傍受に次の MIB を使用します。
(注) |
SNMP タップと RADIUS タップを同時に設定することはできません。 また、同一のセッションを同時に複数回傍受することもできません。 |
合法的傍受は、Cisco ASR 9000 シリーズ ルータではデフォルトでイネーブルになっています。
RP/0/RSP0/CPU0:router# configure RP/0/RSP0/CPU0:router(config)# lawful-intercept disable
(注) |
すべての SNMP ベースのタップは、合法的傍受がディセーブルのときはドロップします。 |
別のプロトコルを使用するように MPP を設定していない場合、合法的傍受用途で SNMP サーバにメディエーション デバイスとの通信を許可するように MPP 機能も設定されていないことを確認します。 このような場合、指定したインターフェイスまたはすべてのインターフェイスを使用して SNMP コマンドがルータで許可されるように、MPP が明確にインバンド インターフェイスとして設定される必要があります。
(注) |
Cisco IOS から Cisco IOS XR ソフトウェアに最近移行し、MPP を所定のプロトコルに設定した場合でも、このタスクを必ず実行します。 |
合法的傍受では、多くの場合にループバック インターフェイスが SNMP メッセージに適しています。 このインターフェイス タイプを選択した場合、インバンド管理設定にこれを含める必要があります。
次の SNMP サーバ設定作業では、MD による VoIP またはデータ セッションの傍受を許可することで、Cisco IOS XR ソフトウェアを実行しているルータ上で Cisco SII 機能をイネーブルにします。
1. configure
2. snmp-server view view-name ciscoTap2MIB included
3. snmp-server view view-name ciscoUserConnectionTapMIB included
4. snmp-server group group-name v3auth read view-name write view-name notify view-name
5. snmp-server host ip-address traps version 3 auth username udp-port port-number
6. snmp-server user mduser-id groupname v3 auth md5 md-password
8. show snmp users
9. show snmp group
10. show snmp view
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | snmp-server view view-name ciscoTap2MIB included 例: RP/0//CPU0:router(config)# snmp-server view TapName ciscoTap2MIB included |
ビュー レコードを作成または変更し、ビューに CISCO-TAP2-MIB ファミリを含めます。 合法的傍受を制御する CISCO-TAP2-MIB 内の SNMP 管理オブジェクトが含まれます。 ルータを通してトラフィックを送信するターゲットで合法的傍受を設定および実行するため、メディエーション デバイスによってこの MIB が使用されます。 |
ステップ 3 | snmp-server view view-name ciscoUserConnectionTapMIB included 例: RP/0//CPU0:router(config)# snmp-server view TapName ciscoUserConnectionTapMIB included |
ビュー レコードを作成または変更し、ユーザ接続用のシスコの傍受機能を管理するために CISCO-USER-CONNECTION-TAP-MIB ファミリを含めます。 この MIB は、CISCO-TAP2-MIB とともに、ユーザ トラフィックを傍受およびフィルタリングするために使用されます。 |
ステップ 4 | snmp-server group group-name v3auth read view-name write view-name notify view-name 例: RP/0//CPU0:router(config)# snmp-server group TapGroup v3 auth read TapView write TapView notify TapView |
SNMP ビューに SNMP ユーザをマッピングする新しい SNMP グループを設定します。 このグループは SNMP ビューの読み取り、書き込み、および通知権限を持っています。 |
ステップ 5 | snmp-server host ip-address traps version 3 auth username udp-port port-number 例: RP/0//CPU0:router(config)# snmp-server host 223.255.254.224 traps version 3 auth bgreen udp-port 2555 |
SNMP トラップ通知、使用する SNMP のバージョン、通知のセキュリティ レベル、通知の受信者(ホスト)を指定します。 |
ステップ 6 | snmp-server user mduser-id groupname v3 auth md5 md-password 例: RP/0//CPU0:router(config)# snmp-server mduser-id TapGroup v3 auth md5 mdpassword |
MD パスワードと関連付ける v3 セキュリティ モデルと HMAC MD5 アルゴリズムを使用して、MD ユーザが SNMP グループに属するように設定します。
|
ステップ 7 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 8 | show snmp users 例: RP/0//CPU0:router# show snmp users |
SNMP ユーザ テーブルの各 SNMP ユーザ名に関する情報を表示します。 |
ステップ 9 | show snmp group 例: RP/0//CPU0:router# show snmp group |
ネットワークの各 SNMP グループに関する情報を表示します。 |
ステップ 10 | show snmp view 例: RP/0//CPU0:router# show snmp view |
関連する MIB ビュー ファミリー名、ストレージ タイプ、ステータスなど、設定されたビューに関する情報を表示します。 |
configure snmp-server view TapName ciscoTap2MIB included snmp-server view TapName ciscoUserConnectionTapMIB included snmp-server group TapGroup v3 auth read TapView write TapView notify TapView snmp-server host 223.255.254.224 traps version 3 auth bgreen udp-port 2555 snmp-server mduser-id TapGroup v3 auth md5 mdpassword end ! !
RADIUS ベースの合法的傍受機能は、BNG の加入者トラフィックの傍受に RADIUS 属性を使用して機能を提供します。 これは、IP アドレスがセッションに割り当てられるまで、SNMP ベースの方法はタップされるセッションを回避するため、SNMP ユーザ接続の MIB 上で推奨される方法です。 RADIUS ベースの LI メカニズムでは、セッションが確立されるとすぐにタップが可能になります。
RADIUS ベースの合法的傍受ソリューションによって、RADIUS サーバからネットワーク アクセス サーバ(NAS)またはレイヤ 2 トンネル プロトコル アクセス コンセントレータ(LAC)に(Access-Accept パケットまたは許可変更(CoA)要求パケットを介して)傍受要求を送信できます。 PPP または L2TP セッションとやり取りされるすべてのトラフィック データは、メディエーション デバイスに渡されます。 RADIUS ベースの合法的傍受ソリューションのもう 1 つの利点は、すべてのターゲットのトラフィックを同時に傍受できる Access-Accept パケットを使用してタップを設定することです。
(注) |
デフォルトでは、RADIUS ベースの合法的傍受機能は、イネーブルになっていません。 RADIUS ベースの合法的傍受のイネーブル化の詳細については、RADIUS ベースの合法的傍受のイネーブル化を参照してください。 |
RADIUS ベースの合法的傍受機能をイネーブルにするには、次の作業を実行します。
1. configure
2. aaa intercept
3. aaa server radius dynamic-author
4. port port_number
5. server-key [0|7] word
6. client hostname{ vrf vrf_name | server-key [0|7] word }
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | aaa intercept 例: RP/0/RSP0/CPU0:router(config)# aaa intercept |
RADIUS ベースの合法的傍受機能をイネーブルにします。
|
||
ステップ 3 | aaa server radius dynamic-author 例: RP/0/RSP0/CPU0:router(config)# aaa server radius dynamic-author |
合法的傍受を AAA サーバとして設定し、動的許可ローカル サーバ コンフィギュレーション モードを開始します。 |
||
ステップ 4 | port port_number 例: RP/0/RSP0/CPU0:router(config-Dynamic Author)# port 1600 |
RADIUS サーバ ポートを指定します。 デフォルト ポート番号は、1700 です。 |
||
ステップ 5 | server-key [0|7] word 例: RP/0/RSP0/CPU0:router(config-Dynamic Author)# server-key cisco |
RADIUS クライアントと共有される暗号キーを指定します。 |
||
ステップ 6 | client hostname{ vrf vrf_name | server-key [0|7] word } 例: RP/0/RSP0/CPU0:router(config-Dynamic Author)# client 3.0.0.28 vrf default server-key cisco |
AAA サーバが通信するクライアントを指定します。
|
||
ステップ 7 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure aaa intercept aaa server radius dynamic-author port 1600 server-key cisco client 3.0.0.28 vrf default server-key cisco end ! !
xyz_user1@domain.com Password == "cisco" Cisco-avpair = "md-ip-addr=192.1.1.4", Cisco-avpair += "md-port=203", Cisco-avpair += "md-dscp=3", Cisco-avpair += "intercept-id=abcd0003", Cisco-avpair += "li-action=1"
TCP MSS 調整機能によって、Cisco ASR 9000 シリーズ ルータを通過する一時的なパケットの最大セグメント サイズ(MSS)を設定できます。
PPPoE または L2TP のケースでは、TCP セッションを開始するクライアントが気づかないことがある追加ヘッダーがパケットに追加されます。 これにより、追加されたヘッダーが原因でパケット サイズが最大伝送単位(MTU)を超えた場合に、損失パケット、破損した送信、またはフラグメンテーションが生じる可能性があります。
(注) |
これは、PPPoE または L2TP なしのサンプル シナリオです。 |
HTTP サーバは大きなファイルを選択すると、それを 1460 バイトのチャンクに分割します(現時点で HTTP ヘッダーは存在しないと想定します)。 HTTP サーバがパケットを送信すると、最初の Cisco ASR 9000 シリーズ ルータ(右)は、MTU がクライアントに対して 576 ダウンストリームであることを検出し、1300 バイトのパケットをフラグメント化するよう要求します。
サーバが DF(「フラグメント化しない」)ビットを設定すると、パケットはドロップされます。 また、パケットに DF ビットが設定されていない場合、パケットはフラグメント化され、パケットを再構成するようクライアントに要求します。 デジタル加入者線(DSL)または Fibre-to-the-Home(FTTH)のようなアクセスでは、CPE がセキュリティ メカニズムとして着信フラグメントをブロックし、この送信が失われることがあります。
一般的なシナリオでは、ドロップされるパケットがあると、Web ページでイメージを表示するときに、部分的なダウンロード、障害、または遅延が発生します。 MSS 調整は、サーバが設定されたサイズよりも大きなパケット(およびヘッダー)を送信しないように、TCP SYN パケットの傍受、MSS オプションの読み取り、および値の調整を行うことによってこのシナリオを克服します。
TCP MSS 値のみが下方調整されることに注意してください。 クライアントが設定値よりも小さい MSS 値を要求する場合、実行されるアクションはありません。
PPPoE の場合は余分な 8 バイト、L2TP の場合は余分な 40 バイトが、パケットに追加されます。 推奨される MSS 調整値は、PPPoE の場合は 1452、L2TP の場合は 1420 で、1500 エンドツーエンドの最小 MTU を想定しています。
PTA と L2TP に対して異なる一意のグローバル値がサポートされています。これが一度設定されると、今後すべてのセッションを TCP MSS 調整できます。ただし、すでに確立されたセッションは TCP 調整されません。 グローバル値が変更されると、すべての新しい TCP 加入者セッションは、新しいグローバル値を取得します。
パケットの TCP MSS 値の設定の詳細については、TCP パケットの TCP MSS 値の設定を参照してください。
(注) |
セッションでこの機能をディセーブルにするには、まずグローバル コンフィギュレーションをディセーブルにしてから、セッションを削除し、再作成します。 |
IPv4 と IPv6 の両方でカプセル化された TCP がサポートされます。
次の制約事項が、TCP MSS 調整に適用されます。
TCP パケットの TCP MSS 値を TCP セッションがドロップされるのを防ぐように設定するには、次の作業を実行します。
1. configure
2. subscriber
3. pta tcp mss-adjust max-segment-size
5. configure
6. vpdn
7. l2tp tcp-mss-adjust max-segment-size
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | subscriber 例:
RP/0/RSP0/CPU0:router(config)# subscriber
|
加入者コンフィギュレーション モードをイネーブルにします。 |
||
ステップ 3 | pta tcp mss-adjust max-segment-size 例:
RP/0/RSP0/CPU0:router(config-subscriber)# pta tcp mss-adjust 1300
|
PTA 加入者用の Cisco ASR 9000 シリーズ ルータを介して送信される TCP パケットの MSS 値を設定します。 TCP MSS 調整の最大セグメント サイズの範囲は、1280 ~ 1536(バイト単位)です。
|
||
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
||
ステップ 5 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 6 | vpdn 例:
RP/0/RSP0/CPU0:router(config)# vpdn
|
VPDN コンフィギュレーション モードをイネーブルにします。 |
||
ステップ 7 | l2tp tcp-mss-adjust max-segment-size 例:
RP/0/RSP0/CPU0:router(config-vpdn)# l2tp tcp-mss-adjust 1300
|
LAC 加入者用の Cisco ASR 9000 シリーズ ルータを介して送信される TCP パケットの MSS 値を設定します。 TCP MSS 調整の最大セグメント サイズの範囲は、1280 ~ 1460(バイト単位)です。 |
||
ステップ 8 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
//Example for configuring the TCP MSS value of TCP packets for a PPPoE PTA subscriber session: configure subscriber pta tcp mss-adjust 1280 !! // Example for configuring the TCP MSS value of TCP packets for a PPPoE LAC subscriber session: configure vpdn l2tp tcp-mss-adjust 1460 !!
あいまいな VLAN によって、単一のアクセスインターフェイスで複数の加入者セッションを作成できます。 結果として、アクセスインターフェイスの拡張性が向上します。 あいまいな VLAN は、VLAN ID の範囲、または個々の VLAN ID のグループのいずれかが指定されている L3 インターフェイスです。 VLAN に各加入者を個々にマッピングする代わりに、あいまいな VLAN 設定ではグループのマッピングを実行します。 複数の加入者は、一意の MAC アドレスがある限り、あいまいな VLAN でマッピングできます。 あいまいな VLAN に作成された加入者セッションは、通常の VLAN に作成されているものと同じで、ポリシーマップ、VRF、QoS、アクセスコントロール リストなどのすべての通常設定をサポートしています。
あいまいな VLAN での IPoE 加入者セッションの作成をイネーブルにするには、あいまいな VLAN での加入者セッションの確立を参照してください。
あいまいな VLAN は、ユニキャスト クライアントを使用しません。
あいまいな VLAN を定義し、そこでの IP 加入者セッションの作成をイネーブルにするには、次の作業を実行します。
(注) |
あいまいな VLAN に必要な DHCP 固有の設定はありません。 |
1. configure
2. interface type interface-path-id
3. 次のコマンドのいずれかを使用して、カプセル化されたあいまいな VLAN を設定します。
4. ipv4 | ipv6address source-ip-address destination-ip-address
5. service-policy type control subscriber policy_name
6. ipsubscriber ipv4 l2-connected
7. initiator dhcp
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | interface type interface-path-id 例: RP/0/RSP0/CPU0:router(config)# interface GigabitEthernet0/1/0/0.12 |
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 | 次のコマンドのいずれかを使用して、カプセル化されたあいまいな VLAN を設定します。
例: RP/0/RSP0/CPU0:router(config-if)# encapsulation ambiguous dot1q any RP/0/RSP0/CPU0:router(config-if)# encapsulation ambiguous dot1q 14 second-dot1q 100-200 RP/0/RSP0/CPU0:router(config-if)# encapsulation ambiguous dot1q any second-dot1q any RP/0/RSP0/CPU0:router(config-if)# encapsulation ambiguous dot1ad 14 dot1q 100,200,300-400 |
IEEE 802.1Q VLAN を設定します。 vlan-range は、例に示すように、カンマ区切りまたはハイフン区切りの形式、またはその両方の組み合わせで指定されます。 |
ステップ 4 | ipv4 | ipv6address source-ip-address destination-ip-address 例: RP/0/RSP0/CPU0:router(config-if)# ipv4 address 2.1.12.1 255.255.255.0 RP/0/RSP0/CPU0:router(config-if)# ipv6 address 1:2:3::4 128 |
IPv4 または IPv6 プロトコル アドレスを設定します。 |
ステップ 5 | service-policy type control subscriber policy_name 例: RP/0/RSP0/CPU0:router(config-if)# service-policy type control subscriber PL1 |
指定された PL1 の policy_name でポリシーマップが前に定義された、アクセス インターフェイスにポリシーマップを適用します。 |
ステップ 6 | ipsubscriber ipv4 l2-connected 例: RP/0/RSP0/CPU0:router(config-if)# ipsubscriber ipv4 l2-connected |
L2 接続された IPv4 IP 加入者をイネーブルにします。 |
ステップ 7 | initiator dhcp 例: RP/0/RSP0/CPU0:router(config-if)# initiator dhcp |
IP 加入者の発信側 DHCP をイネーブルにします。 |
ステップ 8 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure interface Bundle-Ether100.10 encapsulation ambiguous dot1q 14 second-dot1q any ipv4 address 2.1.12.12 55.255.255.0 service-policy type control subscriber PL1 ipsubscriber ipv4 l2-connected ! ! end
ユニキャスト リバース パス転送(uRPF)は、加入者インターフェイスで受信されるパケットが有効な加入者から送信されているかどうかを確認する BNG の機能です。 uRPF は、L3 サービスを使用する加入者にのみ適用されます。
PPPoE 加入者の場合、uRPF チェックで、着信パケットの送信元アドレスが加入者に関連付けられたアドレス セットに一致することを確認します。 加入者アドレスは、IPCP の割り当てられたアドレス、または RADIUS を介してフレーム化され、ルーティングされ、割り当てられたアドレスです。 PPPoE 加入者は、セッション ID と VLAN キーで識別されます。 BNG は、着信パケットの送信元 IP アドレスが予期されたセッション ID と VLAN キーに一致することを確認する uRPF チェックを実行します。
IPoE 加入者の場合、加入者アドレスは DHCP によって割り当てられたものです。 IPoE 加入者は、着信 MAC アドレスで識別されます。 uRPF チェックでは、送信元 IP アドレスが DHCP によって送信元 MAC アドレスに割り当てられたものであることを確認します。
uRPF は、IPv4 および IPv6 の両方の加入者でサポートされ、動的なテンプレートを使用できます。 uRPF をイネーブルにする動的なテンプレートを定義するには、IPv4 または IPv6 加入者セッションの動的なテンプレートの作成を参照してください。
マルチキャスト サービスにより、複数の加入者を 1 つの送信元からの単一送信の受信者にすることができます。 たとえば、リアルタイム音声およびビデオ会議では、マルチキャスト サービスが有効活用されます。 BNG の PPPoE インターフェイスで適用されるマルチキャスト機能は、次のとおりです。
BNG で、マルチキャスト サービスは、通常のユニキャスト サービスと共存します。 BNG のマルチキャスト機能は、Cisco ASR 9000 シリーズ ルータでサポートされている既存の L3 マルチキャスト機能と同じです。 BNG では、マルチキャストはトランク インターフェイス、および物理インターフェイスおよびバンドルで作成された VLAN でイネーブルになります。 マルチキャストの共存は PPPoE PTA 加入者セッションに対して機能します。 ASR9k でのマルチキャストの実装の詳細については、『Implementing Layer 3 Multicast Routing on Cisco ASR 9000 Series Routers』を参照してください。
BNG でマルチキャスト機能をイネーブルにするには、VRF のアドレス ファミリのイネーブル化を参照してください。
必要なアドレス ファミリのマルチキャスト機能をイネーブルにするには、次の作業を実行します。
1. configure
2. multicast-routing
3. vrf vrf_name
4. address-family ipv4
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | multicast-routing 例: RP/0/RSP0/CPU0:router(config)# multicast routing |
マルチキャストルーティングを設定します。 |
ステップ 3 | vrf vrf_name 例: RP/0/RSP0/CPU0:router(config)# vrf vrf1 |
VRF 名を設定します。 |
ステップ 4 | address-family ipv4 例: RP/0/RSP0/CPU0:router(config)# address-family ipv4 |
IPv4 アドレス ファミリのマルチキャスト機能をイネーブルにします。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
multicast-routing vrf vrf1 address-family ipv4 ! ! end
BNG は、PPPoE インターフェイスのマルチキャスト パケットのレプリケーションをサポートします。 また、加入者インターフェイス上のマルチキャスト転送、マルチキャスト IP ビデオ コンテンツの送信もサポートします。 マルチキャスト レプリケーションが加入者でイネーブルになっている場合、BNG はその加入者に対して IGMP 統計情報の収集を実行し、その情報をエクスポートできます。 マルチキャスト レプリケーションは、パッシブ モードで設定された加入者インターフェイスでサポートされます。
階層型 Quality of Service(HQoS)の相関機能は、各加入者の PPPoE セッションで受信した IGMP レポートで加入者のマルチキャスト帯域幅の使用状況をモニタし、マルチキャスト トラフィックに十分な帯域幅を残すようにユニキャスト帯域幅の使用を制限します。 これは、マルチキャストおよびユニキャスト トラフィックが異なるデバイスによってラスト マイル リンク上で転送される場合に、マルチキャスト トラフィックとユニキャスト トラフィックがラスト マイルの加入者への同一物理リンクを共有するときに便利です。 この機能は、加入者にユニキャスト トラフィックを転送する BNG で設定されます。 受信された IGMP レポートに基づいて、BNG は、PPPoE セッションでユニキャスト QoS シェーパーを通知し、ユニキャスト トラフィック フローに許可された帯域幅制限を変更します。 この HQoS 相関機能を使用して、サービス プロバイダーは、集中的なユニキャスト トラフィックから PPPoE 加入者へのマルチキャスト トラフィックを保護できます。 マルチキャスト フローの帯域幅プロファイルは、BNG で設定される必要があります。
帯域幅プロファイルを定義するには、最小ユニキャスト帯域幅の設定を参照してください。
マルチキャスト HQoS のモードを指定するには、マルチキャスト HQOS 相関モードまたはパッシブ モードの設定を参照してください。
ユニキャスト トラフィックがオーバーサブスクライブ マルチキャスト トラフィックによって完全に切断されないように、最小ユニキャスト帯域幅を設定できます。 QoS を使用して加入者に対して保証される最小ユニキャスト帯域幅を設定するには、次の作業を実行します。
1. configure
2. dynamic-template
3. type [ppp|ip-subscriber|service]name
4. qos output minimum-bandwidth range
5. exit
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | dynamic-template 例:
RP/0/RSP0/CPU0:router(config)# dynamic-template
|
動的テンプレート コンフィギュレーション モードを開始します。 |
ステップ 3 | type [ppp|ip-subscriber|service]name 例:
RP/0/RSP0/CPU0:router(config-dynamic-template)# type ppp p1
|
. 適用する必要がある動的なテンプレートのタイプを指定します。 3 つの使用可能なタイプは、次のとおりです。 |
ステップ 4 | qos output minimum-bandwidth range 例:
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# qos output minimum-bandwidth 10
|
加入者に対して保証される最低帯域幅を kBps 単位で設定します。 範囲は 1 ~ 4294967295 です。 |
ステップ 5 | exit 例:
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# exit
|
現在のモードを終了します。 |
ステップ 6 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure dynamic-template type ppp p1 service-policy output pmap multicast ipv4 qos-correlation qos output minimum-bandwidth 10 end
HQoS 相関モードまたはパッシブ モードでマルチキャスト設定し、PPPoE インターフェイス上でマルチキャスト レプリケーションをイネーブルにするには、次の作業を実行します。
1. configure
2. dynamic-template
3. type ppp dynamic-template name
4. multicast ipv4 <qos-correlation | passive>
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | dynamic-template 例: RP/0/RSP0/CPU0:router(config)# dynamic-template |
動的テンプレート コンフィギュレーション モードを開始します。 |
ステップ 3 | type ppp dynamic-template name 例: RP/0/RSP0/CPU0:router(config-dynamic-template)# type ppp foo |
PPP タイプ モードを開始し、加入者インターフェイスの IGMP を設定します。 |
ステップ 4 | multicast ipv4 <qos-correlation | passive> 例: RP/0/RSP0/CPU0:router(config-dynamic-template-type)# multicast ipv4 qos-correlation |
QoS 相関モード(IGMP-HQOS 相関)またはパッシブ モード(マルチキャスト転送)のいずれかで加入者を設定します。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
dynamic-template type ppp foo multicast ipv4 qos-correlation ! ! end
ユニキャスト QoS シェーパーの相関機能は、マルチキャスト フローの帯域幅プロファイルを設定し、IGMP メッセージによって各加入者のマルチキャスト帯域幅の使用状況を推測できます。 PPPoE 加入者セッションで、加入者が使用するマルチキャスト帯域幅は、最小しきい値に到達するまでユニキャスト QoS シェーパーから差し引かれます。
IGMP QoS シェーパーの設定の詳細については、VRF での IGMP - HQoS 相関機能の設定を参照してください。 加入者インターフェイスの IGMP の設定の詳細については、加入者インターフェイスの IGMP パラメータの設定を参照してください。
IGMP は、ルートポリシーを使用して、すべてのマルチキャスト フローの絶対レートを分散します。 ユニキャスト QoS シェーパーのルートポリシーの設定の詳細については、ユニキャスト QoS シェーパーのルートポリシーの設定を参照してください。
VRF で IGMP - HQoS 相関機能を設定するには、次の作業を実行します。
1. configure
2. router igmp
3. unicast-qos-adjust adjustment-delay time
4. unicast-qos-adjust download-interval time
5. unicast-qos-adjust holdoff time
6. vrf vrf-name
7. traffic profile profile-name
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | router igmp 例: RP/0/RSP0/CPU0:router(config)# router igmp |
IGMP コンフィギュレーション モードのルータ プロセスを開始します。 |
ステップ 3 | unicast-qos-adjust adjustment-delay time 例: RP/0/RSP0/CPU0:router(config-igmp)# unicast-qos-adjust adjustment-delay 1 |
加入者のユニキャスト トラフィックに対して、IGMP QoS シェーパーでレートをプログラミングするまで待機する時間を設定します。 待機時間の範囲は 0~10 秒です。 |
ステップ 4 | unicast-qos-adjust download-interval time 例: RP/0/RSP0/CPU0:router(config-igmp)# unicast-qos-adjust download-interval 10 |
加入者のユニキャスト トラフィックに対して、IGMP QOS シェーパーにインターフェイスのバッチをダウンロードするまでの時間を設定します。 ダウンロード間隔の範囲は 10~500 ミリ秒です。 |
ステップ 5 | unicast-qos-adjust holdoff time 例: RP/0/RSP0/CPU0:router(config-igmp)# unicast-qos-adjust holdoff 5 |
QoS が IGMP QoS シェーパーの失効したエントリを消去するまでのホールドオフ時間を設定します。 ホールドオフ時間の範囲は 5 ~ 1800 秒です。 |
ステップ 6 | vrf vrf-name 例: RP/0/RSP0/CPU0:router(config-igmp)# vrf vrf1 |
VRF コンフィギュレーション モードを開始します。 |
ステップ 7 | traffic profile profile-name 例: RP/0/RSP0/CPU0:router(config-igmp-vrf1)# traffic profile routepolicy1 |
ルートポリシーが帯域幅プロファイルのマッピングに使用されるように設定します。 |
ステップ 8 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure router igmp unicast-qos-adjust adjustment-delay 1 unicast-qos-adjust download-interval 10 unicast-qos-adjust holdoff 5 vrf vrf1 traffic profile routepolicy1 ! ! end
ユニキャスト QoS シェーパーのルートポリシーを設定するには、次の作業を実行します。
1. configure
2. router igmp
3. vrf vrf-name
4. traffic profile profile-name
6. show igmp unicast-qos-adjust statistics
7. show igmp unicast-qos-adjust statistics interface interface-name
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | router igmp 例: RP/0/RSP0/CPU0:router(config)# router igmp |
IGMP コンフィギュレーション モードのルータ プロセスを開始します。 |
ステップ 3 | vrf vrf-name 例: RP/0/RSP0/CPU0:router(config-igmp)# vrf vrf1 |
VRF コンフィギュレーション モードを開始します。 |
ステップ 4 | traffic profile profile-name 例: RP/0/RSP0/CPU0:router(config-igmp-vrf1)# traffic profile routepolicy1 |
ルートポリシーが帯域幅プロファイルのマッピングに使用されるように設定します。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 6 | show igmp unicast-qos-adjust statistics 例: RP/0/RSP0/CPU0:router# show igmp unicast-qos-adjusted statistics |
(任意)調整下のインターフェイス グループの総数、前回の clear コマンドからの稼働時間、およびユニキャスト QoS シェーパーのレート調整コールの総数など、機能の内部統計情報を表示します。 |
ステップ 7 | show igmp unicast-qos-adjust statistics interface interface-name 例: RP/0/RSP0/CPU0:router# show igmp unicast-qos-adjusted statistics interface interface1 |
(任意)インターフェイス名、調整されたフロー数、調整された合計レート、ユニキャスト QoS シェーパーの初期調整後の稼働時間を表示します。 |
#Adding a route-policy for profile1 route-policy profile1 if destination in (239.0.0.0/8 le 32) then set weight 1000 endif end-policy # Configuring profile1 for Unicast QoS Shaper router igmp vrf vrf1 traffic profile profile1 ! ! end
加入者インターフェイスの IGMP パラメータを設定するには、次の作業を実行します。
1. configure
2. dynamic-template
3. type ppp dynamic-template name
4. igmp explicit-tracking
5. igmp query-interval value
6. igmp query-max-response-time query-response-value
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | dynamic-template 例:
RP/0/RSP0/CPU0:router(config)# dynamic-template
|
動的テンプレート コンフィギュレーション モードを開始します。 |
||
ステップ 3 | type ppp dynamic-template name 例:
RP/0/RSP0/CPU0:router(config-dynamic-template)# type ppp foo
|
PPP タイプ モードを開始し、加入者インターフェイスの IGMP を設定します。 |
||
ステップ 4 | igmp explicit-tracking 例:
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# igmp explicit-tracking
|
IGMPv3 の明示的ホスト トラッキングをイネーブルにします。 |
||
ステップ 5 | igmp query-interval value 例:
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# igmp query-interval 60
|
IGMP の query-interval を秒単位で設定します。
|
||
ステップ 6 | igmp query-max-response-time query-response-value 例:
RP/0/RSP0/CPU0:router(config-dynamic-template-type)# igmp query-max-response-time 4
|
IGMP の query-max-response-time を秒単位で設定します。
|
||
ステップ 7 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
dynamic-template type ppp foo igmp explicit-tracking igmp query-interval 60 igmp query-max-response-time 4 ! ! end
インターネット グループ管理プロトコル(IGMP)アカウンティング機能によって、BNG でマルチキャスト グループに加入する加入者または消去される加入者のインスタンスをログ記録する統計情報ファイルを維持できます。 ファイル形式は、次のとおりです。
harddisk:/usr/data/igmp/accounting.dat.<Node ID>.<YYMMDD>
値は次のとおりです。
統計情報のファイル名の例は、次のとおりです。
harddisk:/usr/data/igmp/accounting.dat.RP_0_RSP0_CPU0.101225
統計情報ファイルは、アクティブなルート プロセッサ(RP)に保存されます。 フェールオーバー イベントが発生すると、新しいファイルが新しいアクティブ RP で作成され、アクティブ RP とスタンバイ RP 間でデータをミラーリングする試行は行われません。 したがって、統計情報ファイルはアクティブ RP とスタンバイ RP の両方から取得される必要があります。
デフォルトでは、IGMP アカウンティング機能は、毎日 1 ファイルを追加します。 ディスク領域の枯渇を防ぐために、データを保持するファイル数または日数を指定できます。IGMP アカウンティングの設定を参照してください。 指定された期間よりも古いファイルは削除され、データは BNG から廃棄されます。 各ファイルの最大サイズが 250 MB を超えることはできません。
IGMP アカウンティングを設定するには、次の作業を実行します。
1. configure
2. router igmp
3. accounting [ max-history ] days
5. show igmp interface
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | router igmp 例: RP/0/RSP0/CPU0:router(config)# router igmp |
IGMP コンフィギュレーション モードのルータ プロセスを開始します。 |
ステップ 3 | accounting [ max-history ] days 例: RP/0/RSP0/CPU0:router(config-igmp-vrf1)# accounting max-history 50 |
IGMP アカウンティングを設定します。 最大履歴パラメータは任意であり、保持されるファイル数を指定します。この数値は、履歴日数と等しくなります。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 5 | show igmp interface 例: RP/0/RSP0/CPU0:router# show igmp interface |
(任意)IGMP インターフェイス情報を表示します。 |
configure router igmp accounting max-history 45 ! ! end
分散アドレス プール サービス(DAPS)によって、ラインカード(LC)およびルート プロセッサ(RP)で実行される DHCP プロセス間でアドレス プールを共有できます。 DHCP サーバおよび PPPoE 加入者は、DAPS に対するクライアントであり、DAPS クライアントと呼ばれます。 RADIUS 属性に属性「プール名」が含まれる場合にのみ、クライアントに IP アドレスを返すために DAPS が使用されます。 加入者の RADIUS 属性に固定アドレスが含まれる場合、クライアントはその IP アドレスを DAPS に送信しません。
DAPS は、RP の DAPS サーバ、および LC の DAPS プロキシの 2 つの形式で実行されます。 RP には、組み込み式の DAPS プロキシ モジュールがあります。 このモデルでは、すべての DAPS クライアントが常に DAPS プロキシと通信します。 DAPS プロキシ インスタンスは、アドレス割り当てや他の要求について RP の中央 DAPS サーバと通信します。 DAPS プロキシは、システム内のすべての LC で動作します。 LC 上で動作する DAPS プロキシは、その LC から複数のクライアントを提供できます(PPP、DHCPv6、IPv6ND など)。 DAPS は、2 つ以上のノードで複数の DAPS クライアントを提供します。 異なる DAPS プロキシ プロセスは、各ノードで実行され、各 DAPS クライアントにローカルに接続します。
DAPS は、プール名による動的な IPv4 および IPv6 アドレス割り当てをサポートします。 IPv4 DAPS の設定の詳細については、IPv4 分散アドレス プール サービスの設定を参照してください。 IPv6 の設定プールを作成するには、設定プール サブモードの作成を参照してください。
IPv6 コンフィギュレーション サブモードでさまざまな DAPS IPv6 パラメータを設定できます。 IPv6 アドレス プールのサブネット番号とマスクを設定できます。詳細については、アドレス プールのサブネット番号およびマスクの設定を参照してください。 IPv6 アドレスの範囲などのパラメータを指定できます。 詳細については、「IPv6 アドレスの範囲の指定」を参照してください。 使用率のしきい値を指定するには、使用率のしきい値の指定を参照してください。 1 つのサブネット内で一連のプレフィックスまたはアドレスを指定するには、サブネット内の一連のアドレスまたはプレフィックスの指定を参照してください。 プレフィックスの長さも指定できます。 詳細については、「プレフィックスの長さの指定」を参照してください。
IPv4 分散アドレス プール サービス(DAPS)を設定するには、次の作業を実行します。
1. configure
2. pool ipv4 ipv4-pool-name
3. address-range first_address second_address
4. pool vrf vrf-name ipv4 ipv4-pool-name{address-range address-range}
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | pool ipv4 ipv4-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool ipv4 pool1
|
IPv4 プール名を設定します。 |
ステップ 3 | address-range first_address second_address 例:
RP/0/RSP0/CPU0:router(config-pool-ipv4)# address-range 1.1.1.1 9.8.9.8
|
割り当てのアドレス範囲を設定します。 |
ステップ 4 | pool vrf vrf-name ipv4 ipv4-pool-name{address-range address-range} 例:
RP/0/RSP0/CPU0:router(config)# pool vrf vrf1 ipv4 pool1 address-range 1.1.1.1 9.8.9.8
|
IPv4 プール名を設定します。 |
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
pool ipv4 pool1 address-range 1.1.1.1 9.8.9.8 pool vrf vrf1 ipv4 pool1 address-range 1.1.1.1 9.8.9.8 ! ! end
デフォルトの VRF および特定の VRF の IPv6 設定プール サブモードを作成し、イネーブルにするには、次の作業を実行します。
1. configure
2. pool ipv6 ipv6-pool-name
4. configure
5. pool vrf vrf_name ipv6 ipv6-pool-name
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | pool ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool ipv6 pool1
|
デフォルトの VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
ステップ 3 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
ステップ 4 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 5 | pool vrf vrf_name ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool vrf vrf1 ipv6 pool1
|
特定の VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
ステップ 6 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure pool ipv6 pool1 (default vrf) ! ! configure pool vrf vrf1 ipv6 pool1 (for a specific vrf) ! ! end
IPv6 アドレス プールのサブネット番号およびマスクを作成するには、次の作業を実行します。
1. configure
2. pool vrf vrf_name ipv6 ipv6-pool-name
3. prefix-length value
4. network subnet
5. utilization-mark high value low value
6. exclude low_ip_address high_ip_address
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | pool vrf vrf_name ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool vrf default ipv6 test
|
特定の VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
||
ステップ 3 | prefix-length value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# prefix-length 120
|
クライアントに割り当てられたプレフィックスの長さを指定します。 プレフィックス長の値の範囲は 1 ~ 128 です。 |
||
ステップ 4 | network subnet 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# network 1101:1::/114
|
サブネット内の一連のアドレスまたはプレフィックスを指定します。
|
||
ステップ 5 | utilization-mark high value low value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# utilization-mark high 70 low 30
|
プール IPv6 サブモードで使用率のしきい値を指定します。 高い値および低い値は 0 ~ 100 のパーセンテージとして表されます。 |
||
ステップ 6 | exclude low_ip_address high_ip_address 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# exclude 1101:1::100 ::
|
DAPS がクライアントに割り当てることはできない IPv6 アドレスまたはプレフィックスの範囲を指定します。 高い値および低い値は 0 ~ 100 のパーセンテージとして表されます。
|
||
ステップ 7 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure pool vrf default ipv6 test prefix-length 120 network 1101:1::/114 utilization-mark high 70 low 30 exclude 1101:1::100 :: ! ! end
プール内の IPv6 アドレスの範囲を指定するには、次の作業を実行します。
1. configure
2. pool vrf vrf_name ipv6 ipv6-pool-name
3. address-range low_ip_address high_ip_address
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | pool vrf vrf_name ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool vrf vrf1 ipv6 addr_vrf
|
特定の VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
ステップ 3 | address-range low_ip_address high_ip_address 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# address-range 1234::2 1234::3e81
|
プール内の IPv6 アドレスの範囲を指定します。 プール内では複数のアドレス範囲が許可されます。 |
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure pool vrf vrf1 ipv6 addr_vrf address-range 1234::2 1234::3e81 ! ! end
プール IPv6 サブモードで特定の VRF に使用率のしきい値を指定するには、次の作業を実行します。
1. configure
2. pool vrf vrf_name ipv6 ipv6-pool-name
3. prefix-length value
4. network subnet
5. utilization-mark high value low value
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | pool vrf vrf_name ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool vrf default ipv6 test
|
特定の VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
||
ステップ 3 | prefix-length value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# prefix-length 120
|
クライアントに割り当てられたプレフィックスの長さを指定します。 プレフィックス長の値の範囲は 1 ~ 128 です。 |
||
ステップ 4 | network subnet 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# network 1101:1::/114
|
サブネット内の一連のアドレスまたはプレフィックスを指定します。
|
||
ステップ 5 | utilization-mark high value low value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# utilization-mark high 70 low 30
|
プール IPv6 サブモードで使用率のしきい値を指定します。 高い値および低い値は 0 ~ 100 のパーセンテージとして表されます。 |
||
ステップ 6 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure pool vrf default ipv6 test prefix-length 120 network 1101:1::/114 utilization-mark high 70 low 30 ! ! end
クライアントに割り当てられるプレフィックスの長さを指定するには、次の作業を実行します。
1. configure
2. pool vrf vrf_name ipv6 ipv6-pool-name
3. prefix-length value
4. prefix-range low_ipv6_prefix high_ipv6_prefix
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | pool vrf vrf_name ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool vrf vrf1 ipv6 prefix_vrf
|
特定の VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
||
ステップ 3 | prefix-length value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# prefix-length 64
|
クライアントに割り当てられたプレフィックスの長さを指定します。 プレフィックス長の値の範囲は 1 ~ 128 です。 |
||
ステップ 4 | prefix-range low_ipv6_prefix high_ipv6_prefix 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# prefix-range 9fff:1:: 9fff:1:0:3e7f::
|
プール IPv6 コンフィギュレーション モードで特定の VRF の IPv6 アドレス プレフィックスの範囲を指定します。
|
||
ステップ 5 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure pool vrf vrf1 ipv6 prefix_vrf prefix-length 64 prefix-range 9fff:1:: 9fff:1:0:3e7f:: ! ! end
プール IPv6 コンフィギュレーション サブモードでサブネット内の一連のアドレスまたはプレフィックスを指定するには、次の作業を実行します。
1. configure
2. pool vrf vrf_name ipv6 ipv6-pool-name
3. prefix-length value
4. network subnet
5. utilization-mark high value low value
6. exclude low_ip_address high_ip_address
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | pool vrf vrf_name ipv6 ipv6-pool-name 例:
RP/0/RSP0/CPU0:router(config)# pool vrf default ipv6 test
|
特定の VRF の IPv6 プール名を作成し、プール IPv6 コンフィギュレーション サブモードを開始します。 |
||
ステップ 3 | prefix-length value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# prefix-length 120
|
クライアントに割り当てられたプレフィックスの長さを指定します。 プレフィックス長の値の範囲は 1 ~ 128 です。 |
||
ステップ 4 | network subnet 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# network 1101:1::/114
|
サブネット内の一連のアドレスまたはプレフィックスを指定します。
|
||
ステップ 5 | utilization-mark high value low value 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# utilization-mark high 70 low 30
|
プール IPv6 サブモードで使用率のしきい値を指定します。 高い値および低い値は 0 ~ 100 のパーセンテージとして表されます。 |
||
ステップ 6 | exclude low_ip_address high_ip_address 例:
RP/0/RSP0/CPU0:router(config-pool-ipv6)# exclude 1101:1::100 ::
|
DAPS がクライアントに割り当てることはできない IPv6 アドレスまたはプレフィックスの範囲を指定します。 高い値および低い値は 0 ~ 100 のパーセンテージとして表されます。
|
||
ステップ 7 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure pool vrf default ipv6 test prefix-length 120 network 1101:1::/114 utilization-mark high 70 low 30 exclude 1101:1::100 :: ! ! end
HTTP リダイレクト(HTTPR)機能は、最初に指定された宛先以外の宛先に加入者トラフィックをリダイレクトするために使用されます。 HTTPR 機能は、ルーティング プロトコルの代わりに、ポリシー設定に基づいてパケットの転送先を決定するポリシー ベース ルーティング(PBR)を使用して実装されます。 HTTPR 機能は、リダイレクト URL を含む HTTP リダイレクト応答を最初に要求を送信した HTTP クライアントに返信することによって実装されます。 その後、HTTP クライアントは、リダイレクトされた URL に要求を送信します。 HTTPR は、IPv4 および IPv6 加入者の両方でサポートされます。
HTTPR 機能の最も一般的な用途は、最初のログイン用です。 場合によっては、加入者を一意に識別し、許可することはできません。 これは、加入者がネットワークに接続するために、共有ネットワーク アクセス メディアを使用している場合に発生します。 このような場合、加入者は、ネットワークにアクセスできますが、「オープンガーデン」と呼ばれる機能に制限されます。 オープンガーデンは、加入者がネットワークへの物理アクセス権を持つ限りアクセスできるネットワーク リソースの集まりです。 加入者は、オープンガーデンの Web サイトにアクセスする前に、認証情報を入力する必要はありません。
加入者がオープンガーデン外のリソース(「ウォールドガーデン」と呼ばれます)にアクセスを試みると、Web のログイン ポータルにリダイレクトされます。 ウォールドガーデンは、加入者が最小の認証情報を入力してアクセスできる Web サイトまたはネットワークの集まりです。 Web のログイン ポータルでは、加入者はユーザ名とパスワードを使用してログインする必要があります。 その後、Web のログイン ポータルは、ユーザ クレデンシャルとともに BNG にアカウントログイン CoA を送信します。 これらのクレデンシャルの認証に成功すると、BNG はリダイレクトをディセーブルにし、直接のネットワーク アクセスに対して適切な加入者ポリシーを適用します。 HTTPR のその他の用途には、広告のための Web ポータルへの定期的なリダイレクション、課金サーバへのリダイレクションなどがあります。
PBR 機能は、独自の動的なテンプレートで設定されます。 動的なテンプレートに他の機能も含まれている場合、CoA を使用して、パケットをリダイレクトする PBR ポリシーを非アクティブ化する必要があります。
BNG は、リダイレクトまたはドロップされるパケット数を追跡する HTTP リダイレクト統計情報カウンタを維持します。 HTTP プロトコルは、いくつかのステータス コードを使用して HTTPR を実装します。 現在、リダイレクト コード 302(HTTP バージョン 1.0 の場合)および 307(HTTP バージョン 1.1 の場合)が BNG でサポートされています。
(注) |
|
HTTPR の設定プロセスには、次の段階があります。
認証を実行する時間制限を指定する Web ログインを設定するには、Web ログインの設定を参照してください。
リダイレクションを必要とするか、オープンガーデンの一部である HTTP の宛先を識別するアクセス リストを定義するには、次の作業を実行します。
1. configure
2. {ipv4 | ipv6}access-list redirect_acl_name
3. 次のいずれかを実行します。
4. 必要に応じてステップ 3 を繰り返し、シーケンス番号順にステートメントを追加します。 エントリを削除するには、no sequence-number コマンドを使用します。
5. {ipv4 | ipv6}access-list open_garden_acl
6. 次のいずれかを実行します。
7. 必要に応じてステップ 6 を繰り返し、シーケンス番号順にステートメントを追加します。 エントリを削除するには、no sequence-number コマンドを使用します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | {ipv4 | ipv6}access-list redirect_acl_name 例:
RP/0/RSP0/CPU0:router(config)# ipv4 access-lists redirect_acl
または
RP/0/RSP0/CPU0:router(config)# ipv6 access-lists redirect_acl
|
IPv4 または IPv6 アクセス リスト コンフィギュレーション モードを開始し、名前付きアクセス リストを設定します。 |
||
ステップ 3 | 次のいずれかを実行します。
例: RP/0/RSP0/CPU0:router(config-ipv4-acl)# 10 permit 172.16.0.0 0.0.255.255 RP/0/RSP0/CPU0:router(config-ipv4-acl)# 20 deny 192.168.34.0 0.0.0.255 または RP/0/RSP0/CPU0:router(config-ipv6-acl)# 20 permit icmp any any RP/0/RSP0/CPU0:router(config-ipv6-acl)# 30 deny tcp any any gt 5000 |
IPv4 または IPv6 アクセス リストの redirect_acl で許可または拒否される 1 つまたは複数の条件を指定します。
または IPv6 アクセス リストの redirect_acl で許可または拒否される 1 つまたは複数の条件を指定します。
|
||
ステップ 4 | 必要に応じてステップ 3 を繰り返し、シーケンス番号順にステートメントを追加します。 エントリを削除するには、no sequence-number コマンドを使用します。 | アクセス リストは変更できます。 |
||
ステップ 5 | {ipv4 | ipv6}access-list open_garden_acl 例:
RP/0/RSP0/CPU0:router(config)# ipv4 access-lists open_garden_acl
または
RP/0/RSP0/CPU0:router(config)# ipv6 access-lists open_garden_acl
|
IPv4 または IPv6 アクセス リスト コンフィギュレーション モードを開始し、オープンガーデンの名前付きアクセス リストを設定します。 |
||
ステップ 6 | 次のいずれかを実行します。
例: RP/0/RSP0/CPU0:router(config-ipv4-acl)# 10 permit 172.16.0.0 0.0.255.255 RP/0/RSP0/CPU0:router(config-ipv4-acl)# 20 deny 192.168.34.0 0.0.0.255 または RP/0/RSP0/CPU0:router(config-ipv6-acl)# 20 permit icmp any any RP/0/RSP0/CPU0:router(config-ipv6-acl)# 30 deny tcp any any gt 5000 |
IPv4 アクセス リストの open_garden_acl で許可または拒否される 1 つまたは複数の条件を指定します。
または IPv6 アクセス リストの open_garden_acl で許可または拒否される 1 つまたは複数の条件を指定します。
|
||
ステップ 7 | 必要に応じてステップ 6 を繰り返し、シーケンス番号順にステートメントを追加します。 エントリを削除するには、no sequence-number コマンドを使用します。 | アクセス リストは変更できます。 |
||
ステップ 8 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure ipv4 access-list <redirect-acl> 10 permit tcp any any syn eq www 20 permit tcp any any ack eq www 30 permit tcp any any eq www ipv4 access-group <allow-acl> 10 permit tcp any 10.1.1.0 0.0.0.255 eq www 20 permit tcp any 20.1.1.0 0.0.0.255 eq www 30 permit tcp any 30.1.1.0 0.0.0.255 eq www 40 permit udp any any eq domain ! ! ! end
configure ipv6 access-list <redirect-acl> 10 permit tcp any any syn eq www 20 permit tcp any any ack eq www 30 permit tcp any any eq www ipv6 access-group <allow-acl> 10 permit tcp any 10.1.1.0 0.0.0.255 eq www 20 permit tcp any 20.1.1.0 0.0.0.255 eq www 30 permit tcp any 30.1.1.0 0.0.0.255 eq www 40 permit udp any any eq domain ! ! ! end
HTTP リダイレクションのクラス マップを設定するには、次の作業を実行します。 以前に定義した ACL を使用します。
リダイレクションに対する HTTP の宛先の識別で説明される設定手順は、HTTPR クラス マップの設定を実行する前に完了する必要があります。
1. configure
2. class-map type traffic match-all open-garden-class_name
3. match [not] access-group{ipv4 | ipv6} open_garden_acl
4. end-class-map
5. class-map type traffic match-all http_redirect-class_name
6. match [not] access-group {ipv4 | ipv6} redirect_acl
7. end-class-map
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | class-map type traffic match-all open-garden-class_name 例:
RP/0/RSP0/CPU0:router(config)# class-map type traffic match-all CL1
|
トラフィック クラスと、パケットをオープン ガーデン クラスのクラスに一致させる関連ルールを定義します。 |
||
ステップ 3 | match [not] access-group{ipv4 | ipv6} open_garden_acl 例:
RP/0/RSP0/CPU0:router(config-cmap)# match not access-group ipv4 open_garden_acl
または
RP/0/RSP0/CPU0:router(config-cmap)# match not access-group ipv6 open_garden_acl
|
指定したアクセス コントロール リスト(ACL)番号をクラス マップの一致基準として識別します。
|
||
ステップ 4 | end-class-map 例:
RP/0/RSP0/CPU0:router(config-cmap)# end-class-map
|
クラスの一致基準の設定を終了し、クラス マップ コンフィギュレーション モードを終了します。 |
||
ステップ 5 | class-map type traffic match-all http_redirect-class_name 例:
RP/0/RSP0/CPU0:router(config)# class-map type traffic match-all RCL1
|
トラフィック クラスと、パケットをオープン ガーデン クラスのクラスに一致させる関連ルールを定義します。 |
||
ステップ 6 | match [not] access-group {ipv4 | ipv6} redirect_acl 例:
RP/0/RSP0/CPU0:router(config-cmap)# match not access-group ipv4 redirect-acl
または
RP/0/RSP0/CPU0:router(config-cmap)# match not access-group ipv6 redirect-acl
|
指定したアクセス コントロール リスト(ACL)番号をクラス マップの一致基準として識別します。
|
||
ステップ 7 | end-class-map 例:
RP/0/RSP0/CPU0:router(config-cmap)# end-class-map
|
クラスの一致基準の設定を終了し、クラス マップ コンフィギュレーション モードを終了します。 |
||
ステップ 8 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure class-map type traffic [match-any | match-all] <open-garden-class> match [not] access-group ipv4 allow-acl end-class-map class-map type traffic [match-any | match-all] <http-redirect-class> match [not] access-group ipv4 redirect-acl end-class-map ! ! ! end
configure class-map type traffic [match-any | match-all] <open-garden-class> match [not] access-group ipv6 allow-acl end-class-map class-map type traffic [match-any | match-all] <http-redirect-class> match [not] access-group ipv6 redirect-acl end-class-map ! ! ! end
HTTP リダイレクトのポリシー マップを設定するには、次の作業を実行します。
リダイレクションに対する HTTP の宛先の識別およびHTTP リダイレクションのクラス マップの設定で説明される設定手順は、HTTPR のポリシーマップの設定を実行する前に完了する必要があります。
1. configure
2. policy-map type pbr http-redirect_policy_name
3. class type traffic open_garden_class_name
4. transmit
5. class type traffic http_redirect-class_name
6. http-redirect redirect_url
7. class class-default
8. drop
9. end-policy-map
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | policy-map type pbr http-redirect_policy_name 例:
RP/0/RSP0/CPU0:router(config)# policy-map type pbr RPL1
|
1 つまたは複数のインターフェイスに接続してサービス ポリシーを指定できるポリシーベース ルーティング タイプのポリシー マップを作成します。 |
||
ステップ 3 | class type traffic open_garden_class_name 例:
RP/0/RSP0/CPU0:router(config-pmap)# class type traffic CL1
|
ポリシーを作成または変更するクラスの名前を指定します。
|
||
ステップ 4 | transmit 例:
RP/0/RSP0/CPU0:router(config-pmap)# transmit
|
元の宛先にパケットを転送します。 |
||
ステップ 5 | class type traffic http_redirect-class_name 例:
RP/0/RSP0/CPU0:router(config-pmap)# class type traffic RCL1
|
ポリシーを作成または変更するクラスの名前を指定します。
|
||
ステップ 6 | http-redirect redirect_url 例:
RP/0/RSP0/CPU0:router(config-pmap-c)# http-redirect redirect_url
|
HTTP 要求がリダイレクトされる必要がある URL を指定します。 |
||
ステップ 7 | class class-default 例:
RP/0/RSP0/CPU0:router(config-pmap)# class class-default
|
ユーザ定義クラスでは使用できないデフォルト クラスを設定します。 |
||
ステップ 8 | drop 例:
RP/0/RSP0/CPU0:router(config-pmap)# drop
|
パケットをドロップします。 |
||
ステップ 9 | end-policy-map 例:
RP/0/RSP0/CPU0:router(config-cmap)# end-policy-map
|
ポリシー マップの設定を終了し、ポリシー マップ コンフィギュレーション モードを終了します。 |
||
ステップ 10 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure policy-map type pbr <http-redirect-policy> class type traffic <open-garden-class> transmit ! class type traffic <http-redirect-class> http-redirect <redirect-url> ! class class-default drop ! end-policy-map ! ! ! end
加入者セッションに HTTPR ポリシーを適用するための動的なテンプレートを設定するには、次の作業を実行します。
HTTP リダイレクトのポリシー マップの設定で説明される設定手順は、以前定義したポリシーマップを使用する動的なテンプレートを定義する前に完了する必要があります。
(注) |
動的なテンプレートにポリシー ベース ルーティング ポリシーのみが含まれているため、Web ログインの後に容易に非アクティブにできることを確認します。 |
1. configure
2. dynamic-template type ipsubscriber redirect_template_name
3. service-policy type pbr http-redirect-policy
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | dynamic-template type ipsubscriber redirect_template_name 例:
RP/0/RSP0/CPU0:router(config)# dynamic-template type ipsubscriber RDL1
|
「ipsubscriber」タイプの動的なテンプレートを作成します。 |
||
ステップ 3 | service-policy type pbr http-redirect-policy 例:
RP/0/RSP0/CPU0:router(config-pmap)# service-policy type pbr RPL1
|
以前の設定で作成されたポリシー マップ内の pbr タイプとしてサービス ポリシーを適用します。
|
||
ステップ 4 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
configure dynamic-template type ip <redirect-template> service-policy type pbr <http-redirect-policy> ! ! ! end
Web ログイン設定するには、次の作業を実行します。 たとえば、タイマーは認証に許可される最大時間を定義します。
1. configure
2. class-map type control subscriber match-all classmap_name
3. match timer name
4. match authen-status authenticated
5. policy-map type control subscriber policymap_name
6. event session-start match-all
7. class type control subscriber class_name do-until-failure
8. sequence_number activate dynamic-template dt_name
9. sequence_number activate dynamic-template dt_name
10. sequence_number set-timer timer_name value
11. event account-logon match-all
12. class type control subscriber class_name do-until-failure
13. sequence_number authenticate aaa list default
14. sequence_number deactivate dynamic-templatedt_name
15. sequence_number stop-timer timer_name
16. event time-expiry match-all
17. class type control subscriber class_name do-all
18. sequence_number disconnect
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure 例:
RP/0/RSP0/CPU0:router# configure |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | class-map type control subscriber match-all classmap_name 例: RP/0/RSP0/CPU0:router(config)# class-map type control subscriber match-all IP_UNATH_COND |
match-all 一致基準で加入者のコントロール クラスマップを設定します。 |
ステップ 3 | match timer name 例: RP/0/RSP0/CPU0:router(config-cmap)# match timer AUTH_TIMER |
タイマーの詳細とともにクラスの一致基準を設定します。 |
ステップ 4 | match authen-status authenticated 例: RP/0/RSP0/CPU0:router(config-cmap)# match timer AUTH_TIMER |
認証ステータスの詳細とともにクラスの一致基準を設定します。 |
ステップ 5 | policy-map type control subscriber policymap_name 例: RP/0/RSP0/CPU0:router(config)# class-map type control subscriber match-all RULE_IP_WEBSESSION |
加入者コントロール ポリシーマップを設定します。 |
ステップ 6 | event session-start match-all 例: RP/0/RSP0/CPU0:router(config-pmap)# event session-start match-all |
一致したクラスのすべてを実行するセッションの開始ポリシー イベントを設定します。 |
ステップ 7 | class type control subscriber class_name do-until-failure 例: RP/0/RSP0/CPU0:router(config-pmap-e)# class type control subscriber class-default do-until-failure |
加入者が一致するクラスを設定します。 一致があると、障害が見つかるまですべてのアクションを実行します。 |
ステップ 8 | sequence_number activate dynamic-template dt_name 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 10 activate dynamic-template DEFUALT_IP_SERVICE |
指定された動的なテンプレート名を使用して CLI でローカルに定義される動的なテンプレートをアクティブ化します。 |
ステップ 9 | sequence_number activate dynamic-template dt_name 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 10 activate dynamic-template HTTP_REDIRECT |
指定された動的なテンプレート名を使用して CLI でローカルに定義される動的なテンプレートをアクティブ化します。 |
ステップ 10 | sequence_number set-timer timer_name value 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 10 set-timer AUTH_TIMER 4567 |
期限切れでルールを実行するようにタイマーを設定します。 分単位で指定されたタイマーの値の範囲は 0 ~ 4294967295 です。 |
ステップ 11 | event account-logon match-all 例: RP/0/RSP0/CPU0:router(config-pmap)# event session-start match-all |
一致したクラスのすべてを実行するアカウント ログイン ポリシー イベントを設定します。 |
ステップ 12 | class type control subscriber class_name do-until-failure 例: RP/0/RSP0/CPU0:router(config-pmap-e)# class type control subscriber class-default do-until-failure |
加入者が一致するクラスを設定します。 一致があると、障害が見つかるまですべてのアクションを実行します。 |
ステップ 13 | sequence_number authenticate aaa list default 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 10 authenticate aaa list default |
デフォルトの AAA 方式リストを指定し、認証します。 |
ステップ 14 | sequence_number deactivate dynamic-templatedt_name 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 10 deactivate dynamic-template HTTP_REDIRECT |
期限切れになる前にタイマーをディセーブルにします。 |
ステップ 15 | sequence_number stop-timer timer_name 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 20 stop-timer AUTH_TIMER |
期限切れになる前にタイマーをディセーブルにします。 |
ステップ 16 | event time-expiry match-all 例: RP/0/RSP0/CPU0:router(config-pmap)# event session-start match-all |
一致したクラスのすべてを実行するタイマーの期限切れポリシー イベントを設定します。 |
ステップ 17 | class type control subscriber class_name do-all 例: RP/0/RSP0/CPU0:router(config-pmap-e)# class type control subscriber IP_UNAUTH_COND do-all |
加入者が一致する必要があるクラスを設定します。 一致があると、すべてのアクションを実行します。 |
ステップ 18 | sequence_number disconnect 例: RP/0/RSP0/CPU0:router(config-pmap-c)# 10 disconnect |
セッションを切断します。 |
ステップ 19 | 次のいずれかのコマンドを使用します。
例:
RP/0/RSP0/CPU0:router(config)# end または
RP/0/RSP0/CPU0:router(config)# commit |
設定変更を保存します。 |
class-map type control subscriber match-all IP_UNAUTH_COND match timer AUTH_TIMER match authen-status unauthenticated policy-map type control subscriber RULE_IP_WEBSESSION event session-start match-all class type control subscriber class-default do-until-failure 10 activate dynamic-template DEFAULT_IP_SERVICE 20 activate dynamic-template HTTP_REDIRECT 30 set-timer AUTH_TIMER 5 event account-logon match-all class type control subscriber class-default do-until-failure 10 authenticate aaa list default 15 deactivate dynamic-template HTTP_REDIRECT 20 stop-timer AUTH_TIMER event timer-expiry match-all class type control subscriber IP_UNAUTH_COND do-all 10 disconnect
ここでは、BNG の加入者機能の実装に関連する参考資料を示します。
MIB | MIB のリンク |
---|---|
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |