Cisco IOS と NX-OS ソフトウェア : Cisco IOS ソフトウェア リリース 11.2

Cisco Mobile Wireless Home Agent コマ ンド リファレンス for IOS リリース 12.4(22)YD2

Cisco Mobile Wireless Home Agent コマンド リファレンス for IOS リリース 12.4(22)YD2
発行日;2012/01/21 | 英語版ドキュメント(2011/01/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Mobile Wireless Home Agent コマンド リファレンス for IOS リリース 12.4(22)YD2

aaa accounting

aaa accounting update

aaa authorization ipmobile

access list

access-type 3gpp2 mhae optional

access-type 3gpp2 suppress aaa access-request

clear ip mobile binding

clear ip mobile host-counters

clear ip mobile secure

clear ip mobile traffic

debug aaa accounting

debug aaa authentication

debug aaa pod

debug ccm

debug condition

debug ip mobile

debug ip mobile host

debug ip mobile redundancy

debug radius

debug tacacs

firewall ip access-group

ip fragment first minimum size

ip l

ip mobile cdma ha-chap send attribute

ip mobile debug include username

ip mobile home-agent

ip mobile home-agent accounting

ip mobile home-agent author-fail send-response

ip mobile home-agent binding-overwrite

ip mobile home-agent congestion

ip mobile home-agent dynamic-address

ip mobile home-agent foreign-agent

ip mobile home-agent host-config url

ip mobile home-agent hotline

ip mobile home-agent ipredirect nat-enable

ip mobile home-agent max-binding

ip mobile home agent options

ip mobile home-agent redundancy

ip mobile home-agent reject-static-addr

ip mobile home-agent resync-sa

ip mobile home-agent revocation

ip mobile home-agent revocation ignore

ip mobile home-agent switchover aaa swact-notification

ip mobile home-agent template tunnel

ip mobile host

ip mobile options

ip mobile radius disconnect

ip mobile realm

ip mobile secure

ip mobile tunnel

ip mobile tunnel ip-ip conserve-ip-id threshold

ip mobile virtual-network

match flow mip-bind

match flow pdp

om-metric-interval

police rate mip-binding

police rate pdp

radius-server attribute 32 include-in-access-req

radius-server attribute 55 access-request include

radius-server host

radius-server snmp-trap

radius-server vsa send accounting wimax

radius-server vsa send authentication wimax

realm case-insensitive

redirect ip access-group

redundancy ip address

redundancy periodic-sync

redundancy unit1

router mobile

show ccm

show ip access-lists

show ip mobile binding

show ip mobile binding vrf

show ip mobile binding vrf realm

show ip mobile globals

show ip mobile home-agent congestion

show ip mobile host

show ip mobile hotline

show ip mobile ipc

show ip mobile option

show ip mobile redundancy

show ip mobile secure

show ip mobile traffic

show ip mobile tunnel

show ip mobile violation

show ip route vrf

show policy-map apn realm

show redundancy inter-dev

snmp-server enable traps ipmobile

standby track decrement priority

subscriber redundancy

track id application home-agent

virtual

Cisco Mobile Wireless Home Agent コマンド リファレンス for IOS リリース 12.4(22)YD2

OL-21463-01-J

 

ここでは、新しいコマンドおよび変更されたコマンドについて説明します。この機能で使用されるその他すべてのコマンドについては、Cisco IOS リリース 12.5T コマンド リファレンスに関する資料を参照してください。

「aaa accounting」

「aaa accounting update」

「aaa authorization ipmobile」

「access list」

「access-type 3gpp2 mhae optional」

「access-type 3gpp2 suppress aaa access-request」

「clear ip mobile binding」

「clear ip mobile host-counters」

「clear ip mobile secure」

「clear ip mobile traffic」

「debug aaa accounting」

「debug aaa authentication」

「debug aaa pod」

「debug ccm」

「debug condition」

「debug ip mobile」

「debug ip mobile host」

「debug ip mobile redundancy」

「debug radius」

「debug tacacs」

「firewall ip access-group」

「ip fragment first minimum size」

「ip local pool」

「ip mobile cdma ha-chap send attribute」

「ip mobile debug include username」

「ip mobile home-agent」

「ip mobile home-agent accounting」

「ip mobile home-agent author-fail send-response」

「ip mobile home-agent binding-overwrite」

「ip mobile home-agent congestion」

「ip mobile home-agent dynamic-address」

「ip mobile home-agent foreign-agent」

「ip mobile home-agent host-config url」

「ip mobile home-agent hotline」

「ip mobile home-agent ipredirect nat-enable」

「ip mobile home-agent max-binding」

「ip mobile home-agent redundancy」

「ip mobile home-agent reject-static-addr」

「ip mobile home-agent resync-sa」

「ip mobile home-agent revocation」

「ip mobile home-agent revocation ignore」

「ip mobile home-agent template tunnel」

「ip mobile host」

「ip mobile options」

「ip mobile radius disconnect」

「ip mobile realm」

「ip mobile secure」

「ip mobile tunnel」

「ip mobile tunnel ip-ip conserve-ip-id threshold」

「ip mobile virtual-network」

「match flow mip-bind」

「match flow pdp」

「om-metric-interval」

「police rate mip-binding」

「police rate pdp」

「radius-server attribute 32 include-in-access-req」

「radius-server attribute 55 access-request include」

「radius-server host」

「radius-server snmp-trap」

「radius-server vsa send accounting wimax」

「radius-server vsa send authentication wimax」

「realm case-insensitive」

「redirect ip access-group」

「redundancy ip address」

「redundancy periodic-sync」

「redundancy unit1」

「router mobile」

「show ccm」

「show ip access-lists」

「show ip mobile binding」

「show ip mobile binding vrf」

「show ip mobile binding vrf realm」

「show ip mobile globals」

「show ip mobile home-agent congestion」

「show ip mobile host」

「show ip mobile hotline」

「show ip mobile ipc」

「show ip mobile option」

「show ip mobile redundancy」

「show ip mobile secure」

「show ip mobile traffic」

「show ip mobile tunnel」

「show ip mobile violation」

「show ip route vrf」

「show policy-map apn realm」

「show redundancy inter-dev」

「snmp-server enable traps ipmobile」

「standby track decrement priority」

「subscriber redundancy」

「track id application home-agent」

「virtual」

aaa accounting

RADIUS または TACACS+ を使用する場合に、課金またはセキュリティ上の目的で、要求されたサービスに対する AAA(認証、認可、アカウンティング)アカウンティングを有効にするには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。AAA アカウンティングを無効にするには、このコマンドの no 形式を使用します。

aaa accounting { auth-proxy | system | network | exec | connection | commands level | delay-start | dot1x | gigawords | multicast | nested | send | session-duration | suppress | update } { default | list-name | guarantee-first } [ vrf vrf-name ] { start-stop | stop-only | none } [ broadcast ] group groupname

no aaa accounting { auth-proxy | system | network | exec | connection | commands level | delay-start | dot1x | gigawords | multicast | nested | send | session-duration | suppress | update } { default | list-name | guarantee-first } [ vrf vrf-name ] { start-stop | stop-only | none } [ broadcast ] group groupname

 
シンタックスの説明

auth-proxy

すべての認証済みプロキシ ユーザ イベントに関する情報を提供します。

system

ユーザと関連付けられていないすべてのシステムレベル イベント(リロードなど)を実行します。

network

SLIP1、PPP2、PPP NCPs3、および ARAP4 を含むすべてのネットワーク関係のサービス要求に対してアカウンティングを実行します。

exec

EXEC シェル セッションのアカウンティングを実行します。このキーワードは、 autocommand コマンドで生成されたものなどのユーザ プロファイル情報を返すことがあります。

connection

ネットワーク アクセス サーバから確立された Telnet、LAT5、TN3270、PAD6、および rlogin などのすべての送信接続に関する情報を提供します。

commands level

すべてのコマンドに対し、指定した特権レベルでアカウンティングを実行します。有効な特権レベルのエントリとして、0 ~ 15 の間の整数が許可されます。

default

この引数のあとにリストされるアカウンティング方式を、アカウンティング サービスのデフォルト リストとして使用します。

delay-start

ピア IP アドレスがわかるまで、PPP ネットワークの開始レコードを遅らせます。

dot1x

dot1x セッションのために使用します。

gigawords

RADIUS アトリビュート 52 および 53 をサポートするための、64 ビット インターフェイス カウンタです。

list-name

表 3 に記述されているアカウンティング方式のうち、少なくとも 1 つを含むリストの名前を付けるために使用する文字列です。

multicast

マルチキャスト アカウンティングのために使用します。

nested

PPP を EXEC モードから開始する際、EXEC-STOP レコードの前にネットワーク レコードを生成します。

none

この回線またはインターフェイス上のアカウンティング サービスを無効にします。

send

レコードをアカウンティング サーバに送信します。

session-duration

セッション時間の計算のプリファレンスを設定します。

start-stop

プロセスの開始時にアカウンティング「開始」通知、プロセスの終了時にアカウンティング「停止」通知を送信します。アカウンティング「開始」レコードは、バックグラウンドで送信されます。要求したユーザ プロセスは、アカウンティング サーバがアカウンティング「開始」通知を受信したかどうかに関係なく、開始されます。

stop-only

要求したユーザ プロセスの終了時にアカウンティング「停止」通知を送信します。

suppress

特定のタイプのユーザにアカウンティング レコードを生成しません。

update

アカウンティング アップデート レコードを有効にします。

broadcast

(オプション)複数の AAA サーバに対するアカウンティング レコードの送信を有効にします。各グループの最初のサーバに対し、アカウンティング レコードを同時に送信します。最初のサーバが使用できない場合、そのグループ内で定義されたバックアップ サーバを使用してフェールオーバーが発生します。

group groupname

表 2 に記述されているキーワードの 1 つ以上を使用します。

1.SLIP = シリアル ライン インターネット プロトコル

2.PPP = ポイントツーポイント プロトコル

3.PPP NCPs = ポイントツーポイント プロトコル ネットワーク コントロール プロトコル

4.ARAP = AppleTalk リモート アクセス プロトコル

5.LAT = ローカルエリア トランスポート

6.PAD = パケット アセンブラ/ディスアセンブラ

 
デフォルト

AAA アカウンティングは無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

10.3

このコマンドが導入されました。

12.0(5)T

グループ サーバのサポートが追加されました。

12.1(1)T

broadcast キーワードが Cisco AS5300 および Cisco AS5800 の各ユニバーサル アクセス サーバに追加されました。

12.1(5)T

auth-proxy キーワードが追加されました。

12.4(22)YD

delay-start、dot1x、gigawords、multicast、nested、send、session-duration、suppress、および update キーワードが追加されました。

 
使用上のガイドライン

アカウンティングを有効にし、回線別またはインターフェイス別に特定のアカウンティング方式を定義する名前付き方法リストを作成するには、 aaa accounting コマンドを使用します。

表 2 に、アカウンティング方式のキーワードについての説明を示します。

 

表 2 AAA アカウンティング方式

キーワード
説明

group radius

aaa group server radius コマンドで定義したように、すべての RADIUS サーバのリストを認証のために使用します。

group tacacs+

aaa group server tacacs+ コマンドで定義したように、認証のためのすべての TACACS+ サーバのリストを使用します。

group group-name

group-name サーバ グループで定義したように、アカウンティングのための RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

表 1 に、以前定義済みの RADIUS サーバまたは TACACS+ サーバのセットを参照する group radius 方式および group tacacs + 方式を示します。ホスト サーバを設定するには、 radius-server host コマンドおよび tacacs-server host コマンドを使用します。サーバの名前付きグループを作成するには、 aaa group server radius コマンドおよび aaa group server tacacs+ コマンドを使用します。

Cisco IOS ソフトウェアは、次の 2 種類のアカウンティング方式をサポートしています。

RADIUS:ネットワーク アクセス サーバでは、ユーザのアクティビティが RADIUS セキュリティ サーバに対してアカウンティング レコードの形式で報告されます。各アカウンティング レコードはアカウンティングのアトリビュートと値(AV)のペアを格納しており、セキュリティ サーバに保存されます。

TACACS+:ネットワーク アクセス サーバでは、ユーザのアクティビティが TACACS+ セキュリティ サーバに対してアカウンティング レコードの形式で報告されます。各アカウンティング レコードはアカウンティングのアトリビュートと値(AV)のペアを格納しており、セキュリティ サーバに保存されます。

アカウンティングの実行方法はアカウンティング方式リストで定義します。名前付きアカウンティング方式リストを使用すると、特定の回線またはインターフェイス上で特定のタイプのアカウンティング サービスに使用するセキュリティ プロトコルを指定できます。 list-name および method を入力してリストを作成します。 list-name にはこのリストの名前として使用する任意の文字列(radius や tacacs+ などの方式名を除く)を指定し、 method には指定されたシーケンスで試行する方式を指定します。

特定のタイプのアカウンティングに対し、名前付き方式リストを指定せずに aaa accounting コマンドが実行された場合、名前付き方式リストが明示的に適用されているインターフェイスおよび回線を除き、このアカウンティング タイプの適用対象のすべてのインターフェイスまたは回線に対してデフォルトの方式リストが自動的に適用されます(定義された方式リストは、デフォルトの方式リストよりも優先されます)。デフォルトの方式リストが定義されていない場合、アカウンティングは実行されません。

名前付きアカウンティング方式リストは、指定したタイプのアカウンティングに固有です。方式リストのキーワードを 表 3 に説明します。

 

表 3 AAA アカウンティング方式リスト

キーワード
説明

auth-proxy

認証プロキシ サービスを使用する、認証されたすべてのホストについてのアカウンティング情報を提供するための方式リストを作成します。

commands

特定の特権レベルと関連付けられた特定の個別の EXEC コマンドについてのアカウンティング情報を提供するための方式リストを作成します。

connection

ネットワーク アクセス サーバから実行されるすべての送信接続についてのアカウンティング情報を提供するための方式リストを作成します。

exec

ユーザ名、日付、および開始時間と停止時間を含む、ネットワーク アクセス サーバ上でのユーザ EXEC ターミナル セッションについてのアカウンティング レコードを提供するための方式リストを作成します。

network

SLIP、PPP、NCP、および ARA の各セッションについてのアカウンティング情報を提供するための方式リストを作成します。

resource

ユーザ認証を受けたコールまたは認証に失敗したコールに関するアカウンティング レコードを提供するための方式リストを作成します。


) システム アカウンティングでは名前付きアカウンティング リストは使用されず、システム アカウンティングのためのデフォルトのリストだけを定義できます。


必要最低限のアカウンティングを行う場合は、 stop-only キーワードを使用し、要求したユーザ プロセスの終了時にアカウンティング「停止」通知を送信します。より詳細なアカウンティングを行う場合は、 start-stop キーワードを使用し、要求したユーザ プロセスの開始時にアカウンティング「開始」通知、プロセスの終了時にアカウンティング「停止」通知を RADIUS または TACACS+ で送信します。アカウンティングは RADIUS サーバまたは TACACS+ サーバ上でだけ保存されます。 none キーワードを使用すると、指定した回線またはインターフェイスに対するアカウンティング サービスが無効になります。

AAA アカウンティングが有効な場合、実装したセキュリティ方式に応じ、ネットワーク アクセス サーバは接続に関する RADIUS アカウンティング アトリビュートまたは TACACS+ の AV ペアのどちらかを監視します。ネットワーク アクセス サーバはこれらのアトリビュートをアカウンティング レコードとして報告します。これらのレコードは、セキュリティ サーバ上のアカウンティング ログに保存されます。サポートされる RADIUS アカウンティング アトリビュートの一覧については、『 Cisco IOS Security Configuration Guide 』の付録「RADIUS Attributes」を参照してください。サポートされる TACACS+ アカウンティングの AV ペアの一覧については、『 Cisco IOS Security Configuration Guide 』の付録「TACACS+ Attribute-Value Pairs」を参照してください。


) このコマンドは、TACACS または拡張 TACACS には使用できません。


次の例では、アカウンティング サービスが TACACS+ セキュリティ サーバで提供され、stop-only 制限がある特権レベルの 15 個のコマンドに対して設定される、デフォルトのコマンド アカウンティング方式リストの定義を示します。

aaa accounting commands 15 default stop-only group tacacs+
 

次の例では、アカウンティング サービスが TACACS+ セキュリティ サーバで提供され、stop-only 制限があるデフォルトの auth-proxy アカウンティング方式リストの定義を示します。aaa accounting コマンドは、認証プロキシ アカウンティングを有効にします。

aaa new-model
aaa authentication login default group tacacs+
aaa authorization auth-proxy default group tacacs+
aaa accounting auth-proxy default start-stop group tacacs+
 

 
関連コマンド

コマンド
説明

aaa authentication ppp

PPP を実行するシリアル インターフェイス上で使用する 1 つ以上の AAA 認証方式を指定します。

aaa authorization

ネットワークへのユーザ アクセスを制限するパラメータを設定します。

aaa group server radius

異なる RADIUS サーバ ホストを別個のリストと別個の方式にグループ化します。

aaa group server tacacs+

異なるサーバ ホストを別個のリストと別個の方式にグループ化します。

aaa new-model

AAA アクセス コントロール モデルを有効にします。

radius-server host

RADIUS サーバ ホストを指定します。

tacacs-server host

TACACS+ サーバ ホストを指定します。

aaa accounting update

アカウンティング サーバへの定期的な中間アカウンティング レコードの送信を有効にするには、グローバル コンフィギュレーション モードで aaa accounting update コマンドを使用します。中間アカウンティングのアップデートを無効にするには、このコマンドの no 形式を使用します。

aaa accounting update [newinfo] [periodic number]

no aaa accounting update

 
シンタックスの説明

newinfo

(オプション)対象ユーザに関して報告する必要のある新しいアカウンティング情報が発生するたびに、中間アカウンティング レコードがアカウンティング サーバに送信されるようにします。

periodic

(オプション)引数番号によって定義されたように、中間アカウンティング レコードが定期的にアカウンティング サーバに送信されるようにします。

number

分数を指定する整数です。

 
デフォルト

無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

11.3

このコマンドが導入されました。

 
使用上のガイドライン

aaa accounting update が有効な場合、Cisco IOS ソフトウェアは中間アカウンティング レコードをシステム上のすべてのユーザに対して発行します。newinfo キーワードを使用する場合、新しいアカウンティング情報が報告されるたびに、中間アカウンティング レコードがアカウンティング サーバに送信されます。たとえば、IP コントロール プロトコル(IPCP)がリモート ピアとの IP アドレスのネゴシエーションを完了したときにこれが発生します。中間アカウンティング レコードには、リモート ピアが使用するネゴシエーション済みの IP アドレスが含まれます。

periodic キーワードを使用する場合、中間アカウンティング レコードは、引数番号によって定義されたように定期的に送信されます。中間アカウンティング レコードには、アカウンティング レコードの送信時までにそのユーザに対して記録されたすべてのアカウンティング情報が含まれます。

newinfo キーワードと periodic キーワードの両方を使用する場合、報告する新しいアカウンティング情報が発生するごとに、中間アカウンティング レコードがアカウンティング サーバに送信され、引数番号によって定義されたように、アカウンティング サーバに対してアカウンティング レコードが定期的に送信されます。たとえば、aaa accounting update newinfo periodic number を設定する場合、現在ログインしているすべてのユーザに対して定期的な中間アカウンティング レコードが生成され、新しいユーザに対しては、newinfo のアルゴリズムに基づいてアカウンティング レコードが生成されます。


注意 aaa accounting update periodic コマンドを使用すると、ネットワークにログインしているユーザが多い場合に輻輳が発生する可能性があります。

次の例では、PPP アカウンティング レコードをリモート RADIUS サーバに対して送信します。IPCP でのネゴシエーションが完了すると、このコマンドによって、このユーザのネゴシエーション済みの IP アドレスを含む中間アカウンティング レコードが RADIUS サーバに送信されます。また、定期的な中間アカウンティング レコードが 30 分間隔で RADIUS サーバに送信されます。

aaa accounting network default start-stop group radius
aaa accounting update newinfo periodic 30
 

 
関連コマンド

コマンド
説明

aaa accounting

課金またはセキュリティ上の目的で、要求されたサービスの AAA アカウンティングを有効にします。

aaa authorization ipmobile

TACACS+ または RADIUS を使用して AAA サーバからセキュリティ アソシエーションを取得するために、複数の AAA グループを設定したり、モバイル IP を認可するには、aaa authorization ipmobile グローバル コンフィギュレーション コマンドを使用します。認可を削除するには、このコマンドの no 形式を使用します。

aaa authorization ipmobile {tacacs+ | radius}

no aaa authorization ipmobile {tacacs+ | radius}

 
シンタックスの説明

tacacs+

TACACS+ を使用します。

radius

RADIUS を使用します。

 
デフォルト

AAA は認証のためのセキュリティ アソシエーションの取得には使用されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

 
使用上のガイドライン

モバイル IP には、登録認証のためのセキュリティ アソシエーションが必要です。セキュリティ アソシエーションはルータまたは AAA サーバ上で設定されます。このコマンドは前者のケースでは必要ありませんが、後者のケースでは必要です。このコマンドによって、AAA サーバからセキュリティ アソシエーションを取得するためのモバイル IP が認可されます。


) AAA サーバはユーザを認証しません。AAA サーバは、登録を認証するためにルータが取得したセキュリティ アソシエーションを保存します。


このコマンドは、複数の AAA グループを設定するために使用します。このグループが、異なるレルムを異なる AAA サーバ グループに送信するためのキーになります。

次の例では、TACACS+ を使用してセキュリティ アソシエーションを AAA サーバから取得します。

aaa new-model
aaa authorization ipmobile tacacs+
tacacs-server host 1.2.3.4
tacacs-server key mykey
ip mobile host 10.0.0.1 10.0.0.5 virtual-network 10.0.0.0 255.0.0.0 aaa

 
関連コマンド

コマンド
説明

show ip mobile host

モビリティ ホスト情報を表示します。

access list

プロトコル タイプまたはベンダー コードごとにフレームをフィルタリングするためのアクセス リストのメカニズムを設定するには、access-list グローバル コンフィギュレーション コマンドを使用します。指定した単一のエントリをアクセス リストから削除するには、このコマンドの no 形式を使用します。

access-list access-list-number {permit | deny | remark } {type-code wild-mask | address mask} [ compiled reuse | dynamic-extended | rate-limit {ACL index}]

no access-list access-list-number

 
シンタックスの説明

access-list-number

アクセス リストを識別する整数です。type-code 引数および wild-mask 引数が使用されている場合、この整数は、プロトコル タイプでフィルタリングすることを示す 200 ~ 299 の範囲になります。address 引数と mask 引数が使用されている場合、この整数は、ベンダー コードでフィルタリングすることを示す 700 ~ 799 の範囲になります。

permit

転送するパケットを指定します。

deny

拒否するパケットを指定します。

remark

アクセス リスト エントリ コメントを指定します。

type-code

先頭に 0x を付けた 16 ビットの 16 進数を指定します。たとえば 0x6000 とします。802 カプセル化パケットの Link Service Access Point(LSAP)のタイプ コードまたは SNAP カプセル化パケットの SNAP タイプコードを指定します(SAP とも呼ばれる LSAP は、802 ヘッダーの DSAP フィールドおよび SSAP フィールドにあるタイプ コードを参照します)。

wild-mask

16 ビットの 16 進数を指定します。このビットは type-code 引数のビットに対応します。wild-mask は、比較時の type-code 引数内で無視されるビットを示します(DSAP/SSAP ペアに対するマスクは、これらの 2 ビットが SAP コードの識別以外の目的で使用されるため、常に 0x0101 になります)。

address

ドット区切りの 3 ビット バイト形式で記述された 48 ビットのトークン リング アドレスです。このフィールドは、ベンダー コードによるフィルタリングで使用されます。

mask

ドット区切りの 3 ビット バイト形式で記述された 48 ビットのトークン リング アドレスです。マスク内のこのビットは、アドレス内で無視されるビットです。このフィールドは、ベンダー コードによるフィルタリングで使用されます。

compiled

IP アクセス リストのコンパイルを有効にします。

dynamic-extended

ダイナミック ACL 絶対タイマーを拡張します。

rate-limit

レート制限固有の単純なアクセス リストです。

 
デフォルト

番号付き暗号化アクセス リストは定義されず、そのためトラフィックは暗号化/復号化されません。定義後は、すべての暗号化アクセス リストの末尾に暗黙的な「deny」文(「do not encrypt/decrypt」)が追加されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

11.2

このコマンドが導入されました。

12.4(22)YD

rate-limit キーワードが追加されました。

 
使用上のガイドライン

インターフェイス上で暗号化/複合化するパケットを制御するために暗号化アクセス リストを使用します。これらのリストは、暗号化されないプレーンテキストとして送信されます。

パケットに対してアクセス リストとの一致の確認が行われる際、暗号化アクセス リストの文は、文の作成順にチェックされます。パケットが文の条件と一致した場合、それ以降の文はチェックされません。そのため、文の入力順は注意深く検討する必要があります。

暗号化アクセス リストを使用するには、クリプト マップ内でアクセス リストを指定し、crypto map(CET グローバル コンフィギュレーション)コマンドおよび crypto map(CET インターフェイス コンフィギュレーション)コマンドを使用してそのクリプト マップをインターフェイスに適用しておく必要があります。

初期断片化以外の断片化された IP パケットは、任意の拡張 IP アクセス リストによって即時に受け入れられます。仮想端末回線アクセスの制御またはルーティング アップデートの内容を制限するために使用される拡張アクセス リストは、TCP の発信元ポート、サービス値のタイプ、またはパケットの優先順位と一致させることはできません。


) 初期アクセス リストの作成後の追加分(端末から入力できる)は、リストの末尾に配置されます。アクセス リストのコマンドラインを特定のアクセス リストから選択して追加または削除することはできません。



注意 暗号化アクセス リストの作成の際、発信元アドレスまたは宛先アドレスの指定に any キーワードを使用することはお勧めしません。permit 文に any キーワードを使用すると、暗号化が設定されていないルータを宛先とするパケットがルータに入ったときに重大な問題が発生する可能性があります。これにより、ルータは暗号化されないルータとの間で暗号化セッションの確立を試行することになります。deny 文に誤った方法で any キーワードを使用すると、気付かずにすべてのパケットが暗号化されないようにしてしまい、セキュリティ上のリスクを引き起こす可能性があります。


) show ip access-list などのコマンドを使用してルータのアクセス リストを表示する場合、すべての拡張 IP アクセス リストがコマンド出力に表示されます。これには、トラフィックのフィルタリングの目的で使用されている拡張 IP アクセス リストと、暗号化の目的で使用されている拡張 IP アクセス リストが含まれます。show コマンドの出力時に、これらの 2 種類の用途の拡張アクセス リストは区別されません。


次の例では、IP パケットの発信元のためのクラス C サブネットと、宛先のサブネットのためのクラス C サブネットを指定する番号付き暗号化アクセス リストを作成します。ルータでこの暗号化リストを使用する際、発信元と宛先のサブネットの間で交換されるすべての TCP トラフィックは暗号化されます。

access-list 101 permit tcp 172.21.3.0 0.0.0.255 172.22.2.0 0.0.0.255
 

次に、Cisco IOS リリース 12.4(22)YD の新しいコマンド オプションを示します。

Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1100-1199> Extended 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list
compiled Enable IP access-list compilation
dynamic-extended Extend the dynamic ACL absolute timer
rate-limit Simple rate-limit specific access list
 
Router(config)#access-list 1 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
 
Router(config)#access-list 1 deny ?
Hostname or A.B.C.D Address to match
any Any source host
host A single host address
 
Router(config)#access-list 1 permit ?
Hostname or A.B.C.D Address to match
any Any source host
host A single host address
 
Router(config)#access-list 1 remark ?
LINE Comment up to 100 characters
<cr>
 
Router(config)#access-list 100 ?
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
permit Specify packets to forward
remark Access list entry comment
 
Router(config)#access-list 1100 ?
deny Specify packets to reject
permit Specify packets to forward
 
Router(config)#access-list compiled ?
reuse Reuse tables when compiling (for reduced memory requirements)
<cr>
 
Router(config)#access-list dynamic-extended ?
<cr>
Router(config)#access-list rate-limit ?
<0-99> Precedence ACL index
<100-199> MAC address ACL index
 
Router(config)#access-list rate-limit 0 ?
<0-7> Precedence
mask Use precedence bitmask

access-type 3gpp2 mhae optional

3GPP2 アクセス タイプに対して Mobile Node-Home Agent オーセンティケータ拡張(MHAE)をオプションにするには、IP Mobile Home Agent オプション コンフィギュレーション モードで access-type 3gpp2 mhae optional コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

access-type 3gpp2 mhae optional

no access-type 3gpp2 mhae optional

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

MHAE は 3GPP2 アクセス タイプで必須です。

 
コマンド モード

IP Mobile Home Agent オプション コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

次の例では、MHAE を 3GPP2 アクセス タイプに対してオプションにする方法を示します。

HA(config)# ip mobile home-agent options
HA(config-ipmobile-ha-options)# access-type 3gpp2 mhae optional

 
関連コマンド

コマンド
説明

access-type 3gpp2 suppress aaa access-request

Home Agent が、AAA(認証、認可、アカウンティング)サーバに、3GPP2 アクセス タイプのアクセス要求を送信しないようにします。

ip mobile home-agent

ルータ上での Home Agent サービスを有効にし、制御します。

access-type 3gpp2 suppress aaa access-request

Home Agent が、AAA(認証、許可、アカウンティング)サーバに 3GPP2 アクセス タイプのためのアクセス要求を送信しないようにするには、IP Mobile Home Agent オプション コンフィギュレーション モードで access-type 3gpp2 suppress aaa access-request コマンドを使用します。Home Agent がアクセス要求を送信できるようにするには、このコマンドの no 形式を使用します。

access-type 3gpp2 suppress aaa access-request

no access-type 3gpp2 suppress aaa access-request

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト

Home Agent は 3GPP2 アクセス タイプのアクセス要求を AAA サーバに送信できます。

 
コマンド モード

IP Mobile Home Agent オプション コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

次の例では、Home Agent が 3GPP2 アクセス タイプのアクセス要求を AAA サーバに送信できるようにする方法を示します。

HA(config)# ip mobile home-agent options
HA(config-ipmobile-ha-options)# access-type 3gpp2 suppress aaa access-request

 
関連コマンド

コマンド
説明

access-type 3gpp2 mhae optional

Mobile Node-Home Agent オーセンティケータ拡張(MHAE)を、3GPP2 アクセス タイプのオプションにします。

ip mobile home-agent

ルータ上での Home Agent サービスを有効にし、制御します。

clear ip mobile binding

モビリティ バインディングを削除するには、 clear ip mobile binding EXEC コマンドを使用します。

clear ip mobile binding { all | ip - address | nai string | realm word | vrf realm | mac address } [ coa | session-id | synch ]]

 
シンタックスの説明

all

すべてのモビリティ バインディングをクリアします。

ip-address

モバイル ノードの IP アドレスです。

vrf realm

バインディングが属する VRF レルムです。

nai string

モバイル ノードのネットワーク アクセス識別子です。

synch

(オプション)アクティブ HA 上で管理上クリアされたバインディングがスタンバイ HA と同期し、このバインディングがスタンバイ HA 上で削除されることを指定します。スタンバイ上のバインディングをクリアするために synch オプションを使用する必要はありません。デフォルトでは、スタンバイ上でもクリアされます。

mac address

(オプション)指定した MAC アドレスのホストに対するモビリティ バインディング エントリを削除します。

coa

CoA バインディングをクリアします。

session-id

指定したセッション ID のバインディングをクリアします。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.1(3)T

次のキーワードと引数が追加されました。

all

load

standby-group-name

12.2(2)XC

nai キーワードおよび関連する変数が追加されました。

12.3(7)XJ

vrf realm キーワードそれに関連付けられた変数が追加されました。

12.3(7)XJ1

synch オプションが追加されました。

12.4(22)YD

coa、session-id、および mac address オプションが追加されました。

 
使用上のガイドライン

Home Agent で各ローミング モバイル ノードのモビリティ バインディングが作成されます。モビリティ バインディングによって、モバイル ノードが対応するノードとの間でパケットを交換するようにできます。モビリティ バインディングと関連付けられるのは、モバイル ノード宛にパケットを転送するための、移動先のネットワークとホスト ルートに対するトンネルです。バインディングは、継続時間が終わる、またはモバイル ノードの登録が解除されるときに期限切れになるため、クリアする必要はありません。

モバイル バインディングが削除された場合、トンネル上のユーザ数はデクリメントし、ホスト ルートはルーティング テーブルから削除されます。モバイル ノードは通知されません。


) Home Agent リリース 5.0 は、synch オプションをサポートしていません。



) このコマンドは、そのモバイル ノードで使用されるすべてのセッションを終了するため、注意して使用してください。このコマンドの使用後、ビジターはローミングを続行するために登録する必要があります。


次の例では、管理上、モバイル ノード 10.0.0.1 のローミングを停止します。

Router# clear ip mobile binding 10.0.0.1
 
Router# show ip mobile binding
 
Mobility Binding List:
Total 1
10.0.0.1:
Care-of Addr 68.0.0.31, Src Addr 68.0.0.31,
Lifetime granted 02:46:40 (10000), remaining 02:46:32
Flags SbdmGvt, Identification B750FAC4.C28F56A8,
Tunnel100 src 66.0.0.5 dest 68.0.0.31 reverse-allowed
Routing Options - (G)GRE

 
関連コマンド

コマンド
説明

show ip mobile binding

モビリティ バインディング テーブルを表示します。

clear ip mobile host-counters

各モバイル ステーションに固有のモビリティ カウンタをクリアするには、 clear ip mobile host-counters EXEC コマンドを使用します。

clear ip mobile host-counters [[ ip - address | nai string ] undo]]

 
シンタックスの説明

ip-address

(オプション)モバイル ノードの IP アドレスです。

nai string

(オプション)モバイル ノードのネットワーク アクセス識別子です。

undo

(オプション)以前にクリアされたカウンタを復元します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

nai キーワードおよび関連する変数が追加されました。

12.4(15)XM

HA ポリシング統計情報のサポートが追加されました。

 
使用上のガイドライン

このコマンドでは、show ip mobile host コマンドの使用時に表示されたカウンタがクリアされます。 undo キーワードを使用すると、カウンタが復元されます(デバッグ時に役立ちます)。

次の例では、デバッグにカウンタを使用する方法を示し、バインディングのカウンタの総数を表示します。

Router# show ip mobile host
Mobile Host List:
 
Total 1
cisco_user1@cisco.com:
Dynamic address from local pool acct_pool1
Static authorization using pool local acct_pool1
Allowed lifetime 10:00:00 (36000/default)
Roam status -Registered-, Home link on interface Null0
Bindings
1.1.1.56
Accepted 0, Last time -never-
Overall service time 01:14:58
Denied 0, Last time -never-
Last code '-never- (0)'
Total violations 0
Acct-Session-Id: 0x00000015
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
 
Router# clear ip mobile host-counters
 
20.0.0.1:
Allowed lifetime 10:00:00 (36000/default)
Roaming status -Unregistered-, Home link on virtual network 20.0.0.0/8
Accepted 0, Last time -never-
Overall service time -never-
Denied 0, Last time -never-
Last code ‘-never- (0)’
Total violations 0
Tunnel to MN - pkts 0, bytes 0
Reverse tunnel from MN - pkts 0, bytes 0

 
関連コマンド

コマンド
説明

show ip mobile host

モバイル ステーションのカウンタおよび情報を表示します。

 

clear ip mobile secure

リモートのセキュリティ アソシエーションをクリアするには、 clear ip mobile secure EXEC コマンドを使用します。

clear ip mobile secure { host lower [ upper ] string | empty | all } [ load ] [ home-agent ha-rk A.B.C.D]

 
シンタックスの説明

host

モバイル ノード ホストです。

lower

モバイル ノードの IP アドレスです。単独で使用するか、またはアドレス範囲の下端として使用できます。

upper

(オプション)IP アドレスの上端です。

string

モバイル ノードのネットワーク アクセス識別子です。

empty

セキュリティ アソシエーションがないモバイル ノードだけをロードします。 load キーワードと一緒に使用する必要があります。

all

モバイル ノードをクリアします。

load

(オプション)セキュリティ アソシエーションのクリア後に、セキュリティ アソシエーションを AAA サーバからリロードします。

home-agent ha-rk

Home Agent ha-rk キーをクリアします。

A.B.C.D

IP アドレスです。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

nai キーワードおよび関連する変数が追加されました。

 
使用上のガイドライン

セキュリティ アソシエーションは、登録認証のために必要です。これらは AAA サーバ上に保存できます。登録の間、これらは AAA サーバから取得されたあとにローカルで保存される場合があります。ルータ上のセキュリティ アソシエーションは、AAA サーバ上のセキュリティ アソシエーションが変更された場合に古くなる、または期限切れになることがあります。

このコマンドでは、AAA サーバからダウンロードされたセキュリティ アソシエーションがクリアされます。


) Home Agent 5.0 は、load オプションをサポートしていません。



) ルータ上に手動で設定された、または AAA サーバからの取得後にルータ上で保存されていないセキュリティ アソシエーションは適用されません。


clear ip mobile secure all コマンドを使用すると、生成されて AAA からダウンロードされたすべての MN、FA、および HA-RK の各キーをクリアできます。


) このコマンドをアクティブ HA 上で使用する場合、このコマンドでアクティブ HA 上のセキュリティ アソシエーションだけがクリアされます。スタンバイ HA 上のセキュリティ アソシエーションは、スタンバイ HA とは別にクリアする必要があります。


次の例では、登録後に AAA サーバにユーザ 10.0.0.1 のセキュリティ アソシエーションがあります。

Router# show ip mobile secure host 10.0.0.1
 
Security Associations (algorithm,mode,replay protection,key):
10.0.0.1:
SPI 300, MD5, Prefix-suffix, Timestamp +/- 7,
Key ‘oldkey’ 1230552d39b7c1751f86bae5205ec0c8
 

 

AAA サーバのセキュリティ アソシエーションは次のように変更されます。

Router# clear ip mobile secure host 10.0.0.1 load
 
Router# show ip mobile secure host 10.0.0.1
 
10.0.0.1:
SPI 300, MD5, Prefix-suffix, Timestamp +/- 7,
Key ‘newkey’ 1230552d39b7c1751f86bae5205ec0c8

 
関連コマンド

コマンド
説明

ip mobile secure

モバイル ホスト、ビジター、Home Agent、および Foreign Agent に対してモビリティ セキュリティ アソシエーションを指定します。

clear ip mobile traffic

カウンタをクリアするには、clear ip mobile traffic 特権 EXEC コマンドを使用します。

clear ip mobile traffic

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.3(7)XJ

このコマンドでは、カウンタに関連する MIPv4 登録失効と、統計情報に関連する RADIUS 切断のクリアが追加されます。

12.4(15)XM

ホットライン カウンタおよび MIP-LAC カウンタをクリアする機能が追加されました。

 
使用上のガイドライン

モバイル IP カウンタは、動作中に累積されます。モバイル IP カウンタはデバッグとモニタリングに役立ちます。

このコマンドでは、すべてのモバイル IP カウンタがクリアされます。undo キーワードではカウンタが復元されます(デバッグに役立ちます)。すべてのカウンタの一覧と説明については、show ip mobile traffic コマンドを参照してください。

次の例では、デバッグにカウンタを使用する方法を示します。

Router# show ip mobile traffic
 
IP Mobility traffic:
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register 8, Deregister 0 requests
Register 7, Deregister 0 replied
Accepted 6, No simultaneous bindings 0
Denied 1, Ignored 1
Unspecified 0, Unknown HA 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0
Bad identification 1, Bad request form 0
.
.
Router# clear ip mobile traffic
 
Router# show ip mobile traffic
 
IP Mobility traffic:
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register 0, Deregister 0 requests
Register 0, Deregister 0 replied
Accepted 0, No simultaneous bindings 0
Denied 0, Ignored 0
Unspecified 0, Unknown HA 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0
Bad identification 0, Bad request form 0

 
関連コマンド

コマンド
説明

show ip mobile traffic

プロトコル カウンタを表示します。

debug aaa accounting

アカウンティング可能なイベントの発生時に情報を表示するには、特権 EXEC モードで debug aaa accounting コマンドを使用します。デバッグの出力を無効にするには、このコマンドの no 形式を使用します。

debug aaa accounting

no debug aaa accounting

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

特権 EXEC

 
使用上のガイドライン

debug aaa accounting コマンドで表示される情報は、アカウンティング情報をサーバに転送するために使用されるアカウンティング プロトコルとは別です。プロトコル レベルの問題に関する詳細情報を取得するには、debug tacacs および debug radius の各プロトコル固有のコマンドを使用します。

また、show accounting コマンドを使用し、アクティブなすべてのセッションについて、アカウンティングされたアクティブな機能についてのすべてのアカウンティング レコードを出力することもできます。show accounting コマンドを使用すると、システム上でアクティブな「アカウンティング可能なイベント」を表示できます。これにより、システム管理者は何が起きているかをひと目で確認できます。また、アカウンティング サーバ上でなんらかのデータ損失イベントが発生した際の情報を収集するためにも役立ちます。show accounting コマンドでは、debug aaa accounting もオンになっている場合の AAA(認証、許可、アカウンティング)セキュリティ システムの内部状態に関する追加データが表示されます。

次に、debug aaa accounting コマンドからの出力例を示します。

Router# debug aaa accounting
16:49:21: AAA/ACCT: EXEC acct start, line 10
16:49:32: AAA/ACCT: Connect start, line 10, glare
16:49:47: AAA/ACCT: Connection acct stop:
task_id=70 service=exec port=10 protocol=telnet address=172.31.3.78 cmd=glare bytes_in=308 bytes_out=76 paks_in=45 paks_out=54 elapsed_time=14

debug aaa authentication

AAA(認証、許可、アカウンティング)TACACS+ 認証に関する情報を表示するには、特権 EXEC モードで debug aaa authentication コマンドを使用します。デバッグの出力を無効にするには、このコマンドの no 形式を使用します。

debug aaa authentication

no debug aaa authentication

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

特権 EXEC

 
使用上のガイドライン

このコマンドは、使用される認証方式とそれらの方式の結果を調べるために使用します。

次に、 debug aaa authentication コマンドからの出力例を示します。「デフォルト」の方式リストおよび最初の方式である TACACS+ を使用する単一の EXEC ログインが表示されます。TACACS+ サーバは、ユーザ名のためのプロンプトを表示する GETUSER 要求、次にパスワードのためのプロンプトを表示する GETPASS 要求、最後に正常にログインしたことを示す PASS 応答を送信します。50996740 という番号はセッション ID を示し、この ID は各認証に固有です。この ID 番号は、いくつかの認証が同時に発生しているときに、認証を識別するために使用します。

Router# debug aaa authentication
 
6:50:12: AAA/AUTHEN: create_user user='' ruser='' port='tty19' rem_addr='172.31.60.15' authen_type=1 service=1 priv=1
6:50:12: AAA/AUTHEN/START (0): port='tty19' list='' action=LOGIN service=LOGIN
6:50:12: AAA/AUTHEN/START (0): using “default” list
6:50:12: AAA/AUTHEN/START (50996740): Method=TACACS+
6:50:12: TAC+ (50996740): received authen response status = GETUSER
6:50:12: AAA/AUTHEN (50996740): status = GETUSER
6:50:15: AAA/AUTHEN/CONT (50996740): continue_login
6:50:15: AAA/AUTHEN (50996740): status = GETUSER
6:50:15: AAA/AUTHEN (50996740): Method=TACACS+
6:50:15: TAC+: send AUTHEN/CONT packet
6:50:15: TAC+ (50996740): received authen response status = GETPASS
6:50:15: AAA/AUTHEN (50996740): status = GETPASS
6:50:20: AAA/AUTHEN/CONT (50996740): continue_login
6:50:20: AAA/AUTHEN (50996740): status = GETPASS
6:50:20: AAA/AUTHEN (50996740): Method=TACACS+
6:50:20: TAC+: send AUTHEN/CONT packet
6:50:20: TAC+ (50996740): received authen response status = PASS
6:50:20: AAA/AUTHEN (50996740): status = PASS

 

debug aaa pod

AAA サブシステム レベルで処理される RADIUS 切断メッセージに関するデバッグ情報を表示するには、特権 EXEC モードで debug aaa pod コマンドを使用します。デバッグの出力を無効にするには、このコマンドの no 形式を使用します。

debug aaa pod

no debug aaa pod

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

次に、debug aaa pod コマンドからの出力例を示します。

Router#sh debugging
General OS:
AAA POD packet processing debugging is on
 
 

このシナリオでは、RADIUS 17.17.17.18 からの POD 要求が次に示すアトリビュート セットと一緒に受信され、処理後に PDSN が ACK を返します。

 
Router#
03:30:05: POD: 17.17.17.18 request queued
03:30:05: ++++++ POD Attribute List ++++++
03:30:05: 63ECE94C 0 00000009 username(336) 12 sri-sip-user
03:30:05: 65FCEB50 0 00000009 clid(27) 11 00000000001
03:30:05: 65FCEB64 0 00000021 cdma-disconnect-reason(420) 4 1(1)
03:30:05: 65FCEB78 0 00000029 cdma-correlation-id(374) 8 00000002
03:30:05:
03:30:05: POD: Sending ACK from port 1700 to 17.17.17.18/1700

debug ccm

CCM イベントとエラーに関するデバック情報を表示するには、特権 EXEC モードで debug ccm コマンドを使用します。デバッグを無効にするには、コマンドの no 形式を使用します。

debug ccm { event | detail }

no debug ccm { event | detail }

 
シンタックスの説明

event

アクセス リストです。値は 1 ~ 99 です。

detail

NAI で識別されるモバイル ホストです。

 
デフォルト

デフォルト値はありません。

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次に、debug ccm コマンドからの出力例を示します。

Active#deb ccm [event][detail]
SAMI 6/3: Oct 24 09:23:39.597: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
SAMI 6/3: Oct 24 09:23:39.601: CCM: New State[Not Ready]
SAMI 6/3: Oct 24 09:23:39.601: CCM: ipmobile ccm Required
SAMI 6/3: Oct 24 09:23:39.601: CCM: ipmobile ccm is Initiator
SAMI 6/3: Oct 24 09:23:39.601: CCM: ipmobile ccm Ready
SAMI 6/3: Oct 24 09:23:39.601: CCM: ipmobile ccm Old State[Not Ready] Event[All Ready]
SAMI 6/3: Oct 24 09:23:39.601: CCM: New State[Ready]
SAMI 6/3: Oct 24 09:23:39.601: CCM: ipmobile ccm Adding Data Type[0] Length[322]
SAMI 6/3: Oct 24 09:23:39.601: CCM: ipmobile ccm Adding Data Type[2] Length[80]
SAMI 6/3: Oct 24 09:23:39.601: CCM: Send[Sync Session] Length[402] NumItems[2] Flags[0]
SAMI 6/3: Oct 24 09:23:39.601: Client[ipmobile ccm] Type[0] Length[322]
SAMI 6/3: Oct 24 09:23:39.601: 86 0E 00 00 00 00 00 09 00 43 01 00 01 00 00 00
SAMI 6/3: Oct 24 09:23:39.601: 86 0E 00 00 00 00 00 09 00 3C 00 00 0E 00 00 01
SAMI 6/3: Oct 24 09:23:39.601: 86 0E 00 00 00 00 00 09 00 3D 00 00 0D 02 02 09
SAMI 6/3: Oct 24 09:23:39.601: 86 0C 00 00 00 00 00 09 00 3E 00 00 8C A0 86 0C
SAMI 6/3: Oct 24 09:23:39.601: ...
SAMI 6/3: Oct 24 09:23:39.601: Client[ipmobile ccm] Type[2] Length[80]
SAMI 6/3: Oct 24 09:23:39.601: 86 0E 00 00 00 00 00 09 00 43 01 00 01 00 00 00
SAMI 6/3: Oct 24 09:23:39.601: 86 3E 00 00 00 00 00 09 00 42 00 00 00 00 00 00
SAMI 6/3: Oct 24 09:23:39.601: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SAMI 6/3: Oct 24 09:23:39.601: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SAMI 6/3: Oct 24 09:23:39.601: ...
SAMI 6/3: Oct 24 09:23:39.601: CCM: New State[Dyn Sync]
 
Standby#debug ccm [event][detail]
 
SAMI 7/3: Oct 24 09:23:38.402: CCM: Receive[Sync Session] Length[402] NumItems[2] Flags[0]
SAMI 7/3: Oct 24 09:23:38.402: CCM: New State[Not Ready]
SAMI 7/3: Oct 24 09:23:38.402: Client[ipmobile ccm] Type[0] Length[322]
SAMI 7/3: Oct 24 09:23:38.402: 86 0E 00 00 00 00 00 09 00 43 01 00 01 00 00 00
SAMI 7/3: Oct 24 09:23:38.402: 86 0E 00 00 00 00 00 09 00 3C 00 00 0E 00 00 01
SAMI 7/3: Oct 24 09:23:38.402: 86 0E 00 00 00 00 00 09 00 3D 00 00 0D 02 02 09
SAMI 7/3: Oct 24 09:23:38.402: 86 0C 00 00 00 00 00 09 00 3E 00 00 8C A0 86 0C
SAMI 7/3: Oct 24 09:23:38.402: ...
SAMI 7/3: Oct 24 09:23:38.402: Client[ipmobile ccm] Type[2] Length[80]
SAMI 7/3: Oct 24 09:23:38.402: 86 0E 00 00 00 00 00 09 00 43 01 00 01 00 00 00
SAMI 7/3: Oct 24 09:23:38.402: 86 3E 00 00 00 00 00 09 00 42 00 00 00 00 00 00
SAMI 7/3: Oct 24 09:23:38.402: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SAMI 7/3: Oct 24 09:23:38.402: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SAMI 7/3: Oct 24 09:23:38.402: ...
SAMI 7/3: Oct 24 09:23:38.402: CCM:ipmobile ccm Recreate Session Active[0x7B000004] Standby[0x65000002]
SAMI 7/3: Oct 24 09:23:38.402: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
SAMI 7/3: Oct 24 09:23:38.402: CCM: ipmobile ccm Required
SAMI 7/3: Oct 24 09:23:38.402: CCM: ipmobile ccm is Initiator
SAMI 7/3: Oct 24 09:23:38.402: CCM: ipmobile ccm Ready
SAMI 7/3: Oct 24 09:23:38.402: CCM: ipmobile ccm Old State[Not Ready] Event[All Ready]
SAMI 7/3: Oct 24 09:23:38.402: CCM: New State[Ready]
 

debug condition

指定する条件に基づいていくつかのデバッグ コマンドの出力を制限するには、特権 EXEC モードで debug condition コマンドを使用します。指定した条件を削除するには、このコマンドの no 形式を使用します。

debug condition { called called number | calling calling | glbp interface group | interface interface | ip ip_address | mac-address mac_address | standby interface group | username username | vcid vc_id }

no debug condition { called called number | calling calling | glbp interface group | interface interface | ip ip_address | mac-address mac_address | standby interface group | username username | vcid vc_id }

 
シンタックスの説明

username username

指定するユーザ名のインターフェイスに対するデバッグ メッセージを生成します。

called called number

着番号のインターフェイスに対するデバッグ メッセージを生成します。

calling calling

発番号のインターフェイスに対するデバッグ メッセージを生成します。

vcid vc-id

指定する VC ID に対するデバッグ メッセージを生成します。

ip ip-address

指定する IP アドレスに対するデバッグ メッセージを生成します。

mac-address mac_address

指定する MAC アドレスに対するデバッグ メッセージを生成します。

glbp interface group

指定するインターフェイス グループに対するデバッグ メッセージを生成します。

standby interface group

指定するスタンバイ インターフェイス グループに対するデバッグ メッセージを生成します。

interface

指定するインターフェイスに対するデバッグ メッセージを生成します。

 
デフォルト

有効に設定されているプロトコル固有のデバッグ コマンドのためのすべてのデバッグ メッセージが生成されます。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

11.3(2)AA

このコマンドが導入されました。

12.0(23)S

このコマンドが Cisco IOS リリース 12.0(23)S に組み込まれました。このコマンドは、Any Transport over MPLS(AToM)メッセージのデバッグをサポートするため、vcid キーワードおよび ip キーワードが追加されてアップデートされました。

12.2(14)S

このコマンドが Cisco IOS リリース 12.2(14)S に組み込まれました。

12.2(15)T

このコマンドが Cisco IOS Relese 12.2(15)T に組み込まれました。

12.3(2)XB

このコマンドが GGSN に導入されました。

12.3(8)T

calling キーワードと tid/imsi string 引数が追加されました。

12.4(22)YD

mac-address mac_address、 glbp interface group、および standby interface group の各オプションが追加されました。

 
使用上のガイドライン

一部のコマンドのデバック出力を制限するには、debug condition コマンドを使用します。任意の debug condition コマンドが有効に設定されている場合、出力は、指定するキーワードと関連するインターフェイスに対してだけ生成されます。さらに、このコマンドでは、条件付きデバッグ イベントのデバッグ出力が有効になります。別のインターフェイスが特定の条件に一致したときにメッセージが表示されます。

複数の debug condition コマンドが有効に設定されている場合、1 つ以上の条件が一致したときに出力が表示されます。すべての条件が一致する必要はありません。

このコマンドの no 形式を使用すると、条件識別番号で指定したデバッグ条件が削除されます。条件識別番号は、debug condition コマンドの使用後、または show debug condition コマンドの出力の中で表示されます。最後の条件が削除された場合、デバッグ出力はすべてのインターフェイスに対してレジュームされます。最後の条件またはすべての条件を削除する前に、確認を求められます。

debug condition コマンドですべてのデバッグ出力が影響を受けるわけではありません。一部のコマンドでは、これらが有効に設定されている場合でも、条件に一致するかどうかにかかわらず出力が生成されます。一般に、 debug condition コマンドの対象となるコマンドは、多量の出力があると考えられるダイヤル アクセス機能に関連するものです。次のコマンドからの出力は、 debug condition コマンドによって制御されます。

debug aaa {accounting | authorization | authentication}

debug dialer events

debug isdn {q921 | q931}

debug modem {oob | trace}

debug ppp {all | authentication | chap | error | negotiation | multilink events | packet}

debug gprs gtp および debug gprs charging を設定する前に、debug condition calling を開始して TID/IMSI ベースの条件付きデバッグを有効に設定していることを確認します。さらに、no debug condition コマンドを使用して条件付きデバッグを無効に設定する前に、no debug all コマンドを使用して debug gprs gtp コマンドおよび debug gprs charging コマンドを無効に設定していることを確認します。これにより、条件付きデバッグを無効に設定しても、デバッグ メッセージが大量に発生するのを防げます。

例 1

次の例では、ルータはユーザ名が fred のインターフェイスに対するデバッグ メッセージだけを表示します。コマンドのあとに表示される条件識別番号は、この特定の条件を識別するために入力されます。

Router# debug condition username fred
 
Condition 1 set
 

例 2

次の例では、ルータが VC 1000 に対するデバッグ メッセージだけを表示する必要があることを指定します。

Router# debug condition vcid 1000
 
Condition 1 set
 
01:12:32: 1000 Debug: Condition 1, vcid 1000 triggered, count 1
 
01:12:32: 1000 Debug: Condition 1, vcid 1000 triggered, count 1
 

他のデバッグ コマンドは有効に設定されますが、これらのコマンドで VC 1000 に対するデバッグだけが表示されます。

Router# debug mpls l2transport vc event
 
AToM vc event debugging is on
 
Router# debug mpls l2transport vc fsm
 
AToM vc fsm debugging is on
 

次のコマンドは、VC 1000 が確立されているインターフェイスをシャットダウンします。

Router(config)# interface s3/1/0
 
Router(config-if)# shut
 

デバッグ出力に VC 1000 が確立されたインターフェイスへの変更が表示されます。

01:15:59: AToM MGR [13.13.13.13, 1000]: Event local down, state changed from established
to remote ready
 
01:15:59: AToM MGR [13.13.13.13, 1000]: Local end down, vc is down
 
01:15:59: AToM SMGR [13.13.13.13, 1000]: Processing imposition update, vc_handle 6227BCF0,
update_action 0, remote_vc_label 18
 
01:15:59: AToM SMGR [13.13.13.13, 1000]: Imposition Disabled
 
01:15:59: AToM SMGR [13.13.13.13, 1000]: Processing disposition update, vc_handle
6227BCF0, update_action 0, local_vc_label 755
 
01:16:01:%LINK-5-CHANGED: Interface Serial3/1/0, changed state to administratively down
 
01:16:02:%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial3/1/0, changed state to
down
 

次に、Cisco IOS リリース 12.4(22)YD の新しいオプションの例を示します。

Router#debug condition called ?
WORD Called number
 
Router#debug condition calling ?
WORD Calling number
Router#debug condition glbp ?
GigabitEthernet GigabitEthernet IEEE 802.3z
Router#debug condition glbp gigabitEthernet ?
<0-1> GigabitEthernet interface number
Router#debug condition interface ?
Async Async interface
Auto-Template Auto-Template interface
BVI Bridge-Group Virtual Interface
CDMA-Ix CDMA Ix interface
CTunnel CTunnel interface
Dialer Dialer interface
GigabitEthernet GigabitEthernet IEEE 802.3z
Group-Async Async Group interface
Lex Lex interface
Loopback Loopback interface
Multilink Multilink-group interface
Null Null interface
Tunnel Tunnel interface
Vif PGM Multicast Host interface
Virtual-PPP Virtual PPP interface
Virtual-Template Virtual Template interface
Virtual-TokenRing Virtual TokenRing
vmi Virtual Multipoint Interface
 
Router#debug condition ip ?
A.B.C.D IP address
 
Router#debug condition mac-address ?
H.H.H MAC address
Router#debug condition standby ?
GigabitEthernet GigabitEthernet IEEE 802.3z
Router#debug condition standby gigabitEthernet ?
<0-1> GigabitEthernet interface number
Router#debug condition username ?
WORD Username for debug filtering
Router#debug condition vcid ?
<1-4294967295> VC ID
 

debug ip mobile

IP モビリティ アクティビティを表示するには、特権 EXEC モードで debug ip mobile コマンドを使用します。

debug ip mobile [advertise | dfp | host | local-area | redundancy | router | upd-tunneling | vpdn-tunneling | ipc | mib ]

 
シンタックスの説明

advertise

(オプション)モビリティ エージェントのアドバタイズメント情報です。

dfp

(オプション)DFP エージェントです。

host

(オプション)モバイル ホストのアクティビティです。

local-area

(オプション)ローカル エリア モビリティです。

ipc

(オプション)分散 HA モバイル アクティビティです。

mib

(オプション)モバイル MIB イベントです。

redundancy

(オプション)モバイル冗長性アクティビティです。

router

(オプション)モバイル ルータ アクティビティです。

upd-tunneling

(オプション)UDP トンネリングです。

vpdn-tunneling

(オプション)VPDN トンネリングです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.0(2)T

standby キーワードが追加されました。

12.2(13)T

このコマンドは、Foreign Agent のリバース トンネルに関する情報と、モバイル ルータに接続されたモバイル ネットワークに関する情報を表示するように拡張されました。

12.3(7)XJ

このコマンドは、リスソース管理機能を組み込むように拡張されました。

12.4(22)YD

ipc キーワードと mib キーワードが追加されました。

 
使用上のガイドライン

冗長性の問題のトラブルシューティングを行うには、debug ip mobile redundancy コマンドを使用します。

ネットワーク アクセス識別子(NAI)を使用するモバイル ノードに対するユーザごとのデバッグ出力は、debug ip mobile host コマンドで表示されません。特定のモバイル ノードのデバッグは、アクセス リストに IP アドレスを使用することで行えます。

次に、Foreign Agent のリバース トンネルが有効に設定されている場合の debug ip mobile コマンドのデバッグの出力例を示します。

MobileIP:MN 14.0.0.30 deleted from ReverseTunnelTable of Ethernet2/1(Entries 0)
 

次に、debug ip mobile コマンドからの出力例を示します。

Router# debug ip mobile ?
advertise Mobility Agent advertisements
dfp DFP Agent
host Mobile host activities
local-area Local area mobility
redundancy Mobile redundancy activities
router Mobile router activities
udp-tunneling UDP Tunneling
vpdn-tunneling VPDN Tunneling
 

次に、debug ip mobile advertise コマンドからの出力例を示します。

debug ip mobile advertise
MobileIP: Agent advertisement sent out Ethernet1/2: type=16, len=10, seq=1, lifetime=36000,
flags=0x1400(rbhFmGv-rsv-),
Care-of address: 68.0.0.31
Prefix Length ext: len=1 (8 )
FA Challenge value:769C808D
 

 

表 4 Debug IP Mobile Advertise フィールドの説明

フィールド
説明

type

アドバタイズメントのタイプです。

len

バイト数での拡張子の長さです。

seq

このアドバタイズメントのシーケンス番号です。

lifetime

継続時間(秒単位)です。

flags

大文字はセットされているビット数を表し、小文字はセットされていないビット数を表します。

Care-of address

IP アドレスです。

Prefix Length ext

アトバタイズされたプレフィクスの長さの数です。このビット数は、このアドバタイズメントを送信するインターフェイスのマスク内のビット数です。ローミングの検出に使用します。

次に、debug ip mobile udp-tunneling コマンドからの出力例を示します。

Router# debug ip mobile udp-tunneling
 
MobileIP: Received UDP Keep-Alive message from tunnel 7.0.0.2:434 - 7.0.0.15:16
MobileIP: Sending UDP Keep-Alive message for tunnel 7.0.0.2:434 - 7.0.0.15:16
MobileIP: MN 40.0.0.101 - HA rcv BindUpdAck accept from 7.0.0.67 HAA 7.0.0.2
MobileIP: UDP Keep-Alive check point time for tunnel 7.0.0.2:434 - 7.0.0.15:16
 

次に、debug ip mobile ipc コマンドからの出力例を示します。

コントロール プロセッサ(CP)上での次のデバッグ トレースは、設定された DNS サーバのいずれかが利用可能な状態から利用できない状態に変化したか、またはこの逆のときに発生します。このデバッグは、CP からのすべてのトラフィック プロセッサ(TP)について検出されます。

 
SAMI 2/3: Apr 3 09:59:42.226: HA-IPMOBILE-IPC: CP sent DNSSwitchReq to TP 4 for DNS 172.20.212.113 with state 1
SAMI 2/3: Apr 3 09:59:42.226: HA-IPMOBILE-IPC: CP sent DNSSwitchReq to TP 5 for DNS 172.20.212.113 with state 1
SAMI 2/3: Apr 3 09:59:42.226: HA-IPMOBILE-IPC: CP sent DNSSwitchReq to TP 6 for DNS 172.20.212.113 with state 1
SAMI 2/3: Apr 3 09:59:42.226: HA-IPMOBILE-IPC: CP sent DNSSwitchReq to TP 7 for DNS 172.20.212.113 with state 1
SAMI 2/3: Apr 3 09:59:42.226: HA-IPMOBILE-IPC: CP sent DNSSwitchReq to TP 8 for DNS 172.20.212.113 with state 1
 
 

さらに、設定された DNS サーバのいずれかが利用可能な状態から利用できない状態に変化したか、またはこの逆のときに、すべての TP 上で次のデバッグ トレースが発生します。

 
SAMI 2/4: Apr 3 09:59:42.207: HA-IPMOBILE-IPC: TP 4 rcv DNSSwitchReq from CP for DNS 172.20.212.113 with state 1
SAMI 2/5: Apr 3 09:59:42.207: HA-IPMOBILE-IPC: TP 5 rcv DNSSwitchReq from CP for DNS 172.20.212.113 with state 1
SAMI 2/6: Apr 3 09:59:42.219: HA-IPMOBILE-IPC: TP 6 rcv DNSSwitchReq from CP for DNS 172.20.212.113 with state 1
SAMI 2/7: Apr 3 09:59:42.221: HA-IPMOBILE-IPC: TP 7 rcv DNSSwitchReq from CP for DNS 172.20.212.109 with state 1
SAMI 2/8: Apr 3 09:59:42.221: HA-IPMOBILE-IPC: TP 8 rcv DNSSwitchReq from CP for DNS 172.20.212.113 with state 1
 

debug ip mobile host

IP モビリティ イベントを表示するには、debug ip mobile host EXEC コマンドを使用します。

debug ip mobile host [ acl | mac H.H.H ]

no debug ip mobile host [ acl | mac H.H.H ]

 
シンタックスの説明

acl

(オプション)アクセス リストです。値は 1 ~ 99 です。

mac H.H.H

(オプション)指定した MAC アドレスのホストに対するデバッグ イベントを表示します。メッセージには、該当する場合に MAC アドレスが含まれます。

 
デフォルト

デフォルト値はありません。

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.4(22)YD

mac キーワードが追加されました。

次に、debug ip mobile host コマンドからの出力例を示します。

 
Router# debug ip mobile host
 
MobileIP: HA received registration for MN 20.0.0.6 on interface Ethernet1 using COA
68.0.0.31 HA 66.0.0.5 lifetime 30000 options sbdmgvT
MobileIP: Authenticated FA 68.0.0.31 using SPI 110 (MN 20.0.0.6)
MobileIP: Authenticated MN 20.0.0.6 using SPI 300
 
MobileIP: HA accepts registration from MN 20.0.0.6
MobileIP: Mobility binding for MN 20.0.0.6 updated
MobileIP: Roam timer started for MN 20.0.0.6, lifetime 30000
MobileIP: MH auth ext added (SPI 300) in reply to MN 20.0.0.6
MobileIP: HF auth ext added (SPI 220) in reply to MN 20.0.0.6
 
MobileIP: HA sent reply to MN 20.0.0.6

debug ip mobile redundancy

IP モビリティ冗長性イベントを表示するには、debug ip mobile redundancy EXEC コマンドを使用します。

debug ip mobile redundancy { events | error | detail | periodic-sync }

no debug ip mobile redundancy { events | error | detail | periodic-sync }

 
シンタックスの説明

events

IP ステートフル セッション冗長性に関連する詳細デバッグ情報を表示します。

error

モバイル IP ステートフル セッション冗長性に関連するエラー デバッグ情報を表示します。

detail

モバイル IP ステートフル セッション冗長性に関連する詳細デバッグ情報を表示します。

periodic-sync

モバイル IP ステートフル セッション冗長性に関連する定期的な同期のデバッグ情報を表示します。

 
デフォルト

デフォルト値はありません。

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.4(22)YD

events、error、detail、および periodic-sync の各キーワードが追加されました。

次に、debug ip mobile redundancy コマンドからの出力例を示します。

Active#debug ip mobile redundancy [events][errors][details]
 
 
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding Mobile IP SR Version NVSE, length 14.
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN home agent address NVSE(60) home agent ip address: 14.0.0.1
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding CoA address NVSE(61) CoA address: 13.2.2.9
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN lifetime NVSE(62) MN lifetime: 36000
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN lifetime-left NVSE(68) MN lifetime left: 36000
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN flags NVSE(62) MN flags :
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN identification NVSE(62) MN identification CCAACD2F1
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding NAI extension Type(131) NAI derath1@cisco.com
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding ip address extension Type(10) binding ip address type 7
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN home address NVSE(59) MN home address: 65.0.0.1
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding Accounting NVSE, length 14 Acct-Sess-Id: 23
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding Class NVSE, length 8.
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN service flags 0x8001
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding HA-RK for HA IP 14.0.0.1
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding MN CDMA STC NVSE
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding UDP Tunnel End Point CVSE 13.2.2.9:434 14.0.0.1:0x2
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Sending MobileIP SR Session Create Event with 322 bytes data
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding Mobile IP SR Version NVSE, length 14.
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Adding Accounting Attributes NVSE
SAMI 6/3: Oct 23 10:15:08.939: MobileIP: SR: Sending MobileIP SR Session Update Periodic Sync with 80 bytes data
SAMI 6/3: Oct 23 10:20:38.943: MobileIP: UDP Keep-Alive failure for tunnel 14.0.0.1:434 - 13.2.2.9:434
 
Standby#debug ip mobile redundancy [events][errors][details]
 
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Received MobileIP SR Session Create Event with 285 bytes data
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing SR Version NVSE(67), length 14.Major Version 1, Minor Version 0, Edit version 1
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN Home Agent Address 14.0.0.1 NVSE(60) length 16
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN CoA Address 13.2.2.9 NVSE(61) length 16
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN lifetime 36000 NVSE(62) length 14
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN lifetime-left 36000 NVSE(68) length 14
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN flags 2 NVSE(63) length 14
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN identificationNVSE(64) CCAC12F91 length 20
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN NAI derath1@cisco.com Exttype (131) length 19
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing binding Address type CVSE(10) Addr type: 7length (12)
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN Home Address 65.0.0.1 NVSE(59) length 16
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN GSA NVSE(32) length 60
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing HA Accounting NVSE(34)length (16) Acct-Sess-Id: 27
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN service flags CVSE(11) MN service flags: 8001length (12)
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN Revoc Exttype (137) length 8
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing MN CDMA STCNVSE(8194) length (11)
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing UDP Tunnel End Point CVSE(12)
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Mobility binding for MN derath1@cisco.com created
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Adding Binding Registration Revocation flags 0x8000 and timestamp 2760709096 for MN derath1@cisco.com
SAMI 7/3: Oct 24 09:25:10.206: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Tunnel0 (MIPUDP/IP) created with src 14.0.0.1 dst 13.2.2.9
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Setting up UDP Keep-Alive Timer for tunnel 14.0.0.1:0 - 13.2.2.9:0 with keep-alive 110
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Starting the tunnel keep-alive timer
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com MN derath1@cisco.com Insert route for 65.0.0.1/255.255.255.255 via gateway 13.2.2.9 (metric 1) on Tunnel0
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Roam timer started for MN derath1@cisco.com using 65.0.0.1, lifetime 36000
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Allocated AAA unique ID 0x00000004 for MN derath1@cisco.com. Acct-Session-Id=0x0000001B.
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com Replacing Acct-Session-ID with 0x0000001B
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: derath1@cisco.com AAA: Start record sent for MN 65.0.0.1 using ID 0x00000004 and method list "default"
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: Converting GSA Extension to 1 SPI(s) and key(s)
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Binding synced from activeNAI derath1@cisco.com HA 65.0.0.1 CoA 14.0.0.1
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: Adding UDP Tunnel End Point CVSE 13.2.2.9:434 14.0.0.1:0x2
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Successfuly set CCM session in READY state
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Received MobileIP SR Session Update Periodic Sync Event with 80 bytes data
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Parsing SR Version NVSE(67), length 14.Major Version 1, Minor Version 0, Edit version 1
SAMI 7/3: Oct 24 09:25:10.206: MobileIP: SR: Decoding Accounting Attributes NVSE
 

定期的な同期のデバッグ出力の例

SAMI 1/3: Oct 31 21:26:15.280: MobileIP: SR: Adding Mobile IP SR Version NVSE, length 14.
SAMI 1/3: Oct 31 21:26:15.280: MobileIP: SR: Adding Accounting Attributes NVSE
o/p packets = 0, i/p packets = 0,
o/p octets = 0, i/p octets = 0,
elapsed_time = 45356
SAMI 1/3: Oct 31 21:26:15.280: MobileIP: SR: Sending MobileIP SR Session Update Periodic Sync with 68 bytes data

 

debug radius

RADIUS 関連の情報を表示するには、特権 EXEC モードで debug radius コマンドを使用します。デバッグの出力を無効にするには、このコマンドの no 形式を使用します。

debug radius [accounting | authentication | brief | elog | failover | periodic-sync | retransmit | verbose ]

no debug radius [accounting | authentication | brief | elog | failover | retransmit | verbose ]

 
シンタックスの説明

accounting

(オプション)RADIUS アカウンティング パケットだけです。

authentication

(オプション)RADIUS 認証パケットだけです。

brief

(オプション)省略形のデバッグ出力を表示します。簡潔な I/O だけのトランザクションが記録されます。

elog

(オプション)RADIUS イベント ロギングです。

failover

(オプション)フェールオーバー時に送信されたパケットです。

periodic-sync

(オプション)スロットリングと定期的な同期メッセージを有効にします。

retransmit

(オプション)パケットの再送信です。

verbose

(オプション)重要でない RADIUS デバッグを含めます。

 
デフォルト

ASCII 形式でのデバッグ出力が有効に設定されます。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

11.2(1)T

このコマンドが導入されました。

12.2(11)T

brief および hex の各キーワードが追加されました。デフォルトの出力形式は、16 進数でなく ASCII になります。

12.4(22)YD

「Acct-Terminate-Cause」情報が出力に追加され、periodic-sync キーワードが追加されました。

 
使用上のガイドライン

RADIUS とは、ネットワークを不正アクセスから保護する分散セキュリティ システムです。シスコでは AAA(認証、許可、アカウンティング)セキュリティ システムで RADIUS をサポートしています。RADIUS がルータ上で使用されている場合、debug radius コマンドを使用し、詳細デバッグ情報とトラブルシューティング情報を ASCII 形式で表示できます。debug radius brief コマンドを使用すると、クライアント/サーバ間の対話と最小限のパケット情報を省略形で出力できます。省略形でないパケットのダンプ情報を 16 進数で表示するには、debug radius hex コマンドを使用します。

次に、debug radius コマンドからの出力例を示します。

Router# debug radius
SAMI 5/4: Aug 30 19:19:53.575: RADIUS(00000003): Send Accounting-Request to 100.100.0.101:1646 id 1646/2, len 255
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: authenticator 4B 84 16 7F 79 8C E9 8B - 3D BB 51 D4 C9 47 98 CC
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Session-Id [44] 10 "00000003"
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Framed-IP-Address [8] 6 65.1.0.1
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Tunnel-Client-Endpoi[66] 11 "4.0.11.15"
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Vendor, Cisco [26] 30
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Cisco AVpair [1] 24 "mobileip-mn-flags=0x42"
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: User-Name [1] 30 "dgudimet-mip1@term-cause.com"
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Authentic [45] 6 RADIUS [1]
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Vendor, Cisco [26] 32
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Cisco AVpair [1] 26 "connect-progress=Call Up"
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Vendor, 3GPP2 [26] 12
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: cdma-ha-ip-addr [7] 6 4.0.11.16
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Session-Time [46] 6 45
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Input-Octets [42] 6 0
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Output-Octets [43] 6 0
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Input-Packets [47] 6 0
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Output-Packets [48] 6 0
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Terminate-Cause[49] 6 nas-request [10]
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Vendor, Cisco [26] 38
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Cisco AVpair [1] 32 "disc-cause-ext=Call Disconnect"
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Status-Type [40] 6 Stop [2]
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Service-Type [6] 6 Framed [2]
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: NAS-IP-Address [4] 6 100.100.2.117
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Acct-Delay-Time [41] 6 0
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: Received from id 1646/2 100.100.0.101:1646, Accounting-response, len 20
SAMI 5/4: Aug 30 19:19:53.575: RADIUS: authenticator 85 E1 2B 52 56 66 5D 3C - 12 A0 4F 45 52 AB 4C 60
 
 

debug tacacs

TACACS 関連の情報を表示するには、特権 EXEC モードで debug tacacs コマンドを使用します。デバッグの出力を無効にするには、このコマンドの no 形式を使用します。

debug tacacs [accounting | authentication | authorization | events | packet]

no debug tacacs [accounting | authentication | authorization | events | packet]

 
シンタックスの説明

accounting

(オプション)TACACS+ プロトコル アカウンティングです。

authentication

(オプション)TACACS+ プロトコル認証です。

authorization

(オプション)TACACS+ プロトコル許可です。

events

(オプション)TACACS+ プロトコル イベントです。

packet

(オプション)TACACS+ パケットです。

 
コマンド モード

特権 EXEC

 
使用上のガイドライン

TACACS とは、ネットワークを不正アクセスから保護する分散セキュリティ システムです。シスコでは AAA(認証、許可、アカウンティング)セキュリティ システムで TACACS をサポートしています。

ログイン アクティビティの高レベルのビューを取得するには、debug aaa authentication コマンドを使用します。TACACS がルータ上で使用されている場合、debug tacacs コマンドを使用し、より詳細なデバッグ情報を表示できます。

次に、成功した TACACS ログインの試行についての debug aaa authentication コマンドからの出力例を示します。この情報には、TACACS+ が認証方式として使用されていることが示されています。

Router# debug aaa authentication
14:01:17: AAA/AUTHEN (567936829): Method=TACACS+
14:01:17: TAC+: send AUTHEN/CONT packet
14:01:17: TAC+ (567936829): received authen response status = PASS
14:01:17: AAA/AUTHEN (567936829): status = PASS

次に、ステータスが PASS と示されている成功した TACACS ログインの試行についての debug tacacs コマンドからの出力例を示します。

Router# debug tacacs
14:00:09: TAC+: Opening TCP/IP connection to 192.168.60.15 using source 10.116.0.79
14:00:09: TAC+: Sending TCP/IP packet number 383258052-1 to 192.168.60.15 (AUTHEN/START)
14:00:09: TAC+: Receiving TCP/IP packet number 383258052-2 from 192.168.60.15
14:00:09: TAC+ (383258052): received authen response status = GETUSER
14:00:10: TAC+: send AUTHEN/CONT packet
14:00:10: TAC+: Sending TCP/IP packet number 383258052-3 to 192.168.60.15 (AUTHEN/CONT)
14:00:10: TAC+: Receiving TCP/IP packet number 383258052-4 from 192.168.60.15
14:00:10: TAC+ (383258052): received authen response status = GETPASS
14:00:14: TAC+: send AUTHEN/CONT packet
14:00:14: TAC+: Sending TCP/IP packet number 383258052-5 to 192.168.60.15 (AUTHEN/CONT)
14:00:14: TAC+: Receiving TCP/IP packet number 383258052-6 from 192.168.60.15
14:00:14: TAC+ (383258052): received authen response status = PASS
14:00:14: TAC+: Closing TCP/IP connection to 192.168.60.15
 

次に、ステータスが FAIL と示されている失敗した TACACS ログインの試行についての debug tacacs コマンドからの出力例を示します。

Router# debug tacacs
13:53:35: TAC+: Opening TCP/IP connection to 192.168.60.15 using source
192.48.0.79
13:53:35: TAC+: Sending TCP/IP packet number 416942312-1 to 192.168.60.15
(AUTHEN/START)
13:53:35: TAC+: Receiving TCP/IP packet number 416942312-2 from 192.168.60.15
13:53:35: TAC+ (416942312): received authen response status = GETUSER
13:53:37: TAC+: send AUTHEN/CONT packet
13:53:37: TAC+: Sending TCP/IP packet number 416942312-3 to 192.168.60.15
(AUTHEN/CONT)
13:53:37: TAC+: Receiving TCP/IP packet number 416942312-4 from 192.168.60.15
13:53:37: TAC+ (416942312): received authen response status = GETPASS
13:53:38: TAC+: send AUTHEN/CONT packet
13:53:38: TAC+: Sending TCP/IP packet number 416942312-5 to 192.168.60.15
(AUTHEN/CONT)
13:53:38: TAC+: Receiving TCP/IP packet number 416942312-6 from 192.168.60.15
13:53:38: TAC+ (416942312): received authen response status = FAIL
13:53:40: TAC+: Closing TCP/IP connection to 192.168.60.15

 

firewall ip access-group

IP ファイアウォールがプロファイルベースであることを指定するには、firewall ip access-group コマンドをホットラインルールのサブコマンド コンフィギュレーション モードで使用します。この機能を無効にするには、no 形式を使用します。

firewall ip access-group { acl-no | word } { in | out }

no firewall ip access-group { acl-no | word } { in | out }

 
シンタックスの説明

acl-no

ACL 番号を指定します。範囲は 100 ~ 199 および 2000 ~ 2699 です。

word

プロファイル名を指定します。

in

out

 
デフォルト

デフォルト値はありません。

 
コマンド モード

ホットラインルールのサブコマンド モードです。

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

次に、firewall ip access-group コマンドの例を示します。

router (hotline-rules) # firewall ip access-group 199

ip fragment first minimum size

ネットワークでの 2 番目のフラグメントによるフラグメンテーションが起こるのを防止するため、最初のフラグメント サイズを設定するには、ip fragment first minimum size グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip fragment first minimum size size

no ip fragment first minimum size size

 
シンタックスの説明

size

ネットワークでの 2 番目のフラグメントによるフラグメンテーションが起こるのを防止するため、最初のフラグメント サイズを設定します。範囲は 8 ~ 560 バイトです。size に含まれるのはペイロードだけで、ヘッダーは含まれません。ペイロードのサイズは、8 バイトの倍数である必要があります。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

 
使用上のガイドライン

size に含まれるのはペイロードだけで、ヘッダーは含まれません。ペイロードのサイズは、8 バイトの倍数である必要があります。それ以外の場合、コマンドは次のエラーが出力されて拒否されます。

エラー メッセージ Error Message %% First fragment payload size is not in multiples of 8 bytes

コマンド設定には、最初のフラグメントのペイロードに対する最小値だけが示されます。

CEF 内の既存のフラグメント メカニズムによって、設定値を超える最初のフラグメントが選択され、設定は強制されません。それ以外の場合、予期する数を超えるフラグメントが CEF で生成されます。

設定された最初のフラグメント サイズが出力インターフェイスの MTU を超える場合、設定値は強制されません。

次のパケット キャプチャは、ip fragment first minimum size 80 が設定されている場合に IP および IP-IP トンネル パケットに対するパケットがどうなるかを示しています。

IP パケット:

 
10:27:59.660 IST Mon Apr 13 2009 Relative Time: 2.990258
Packet 8 of 26 In: FastEthernet0/1
 
Ethernet Packet: 114 bytes
Dest Addr: 0003.FEAB.D871, Source Addr: 001F.6C89.0D74
Protocol: 0x0800
 
IP Version: 0x4, HdrLen: 0x5, TOS: 0x00
Length: 100, ID: 0x0092, Flags-Offset: 0x2000 (more fragments)
TTL: 255, Protocol: 1 (ICMP), Checksum: 0x582D (OK)
Source: 50.1.1.200, Dest: 13.2.2.15
 
ICMP Type: 8, Code: 0 (Echo Request)
Checksum: 0x1A45 ERROR: C661
Identifier: 006A, Sequence: 0000
Echo Data:
0 : 0000 0000 E794 B5A4 ABCD ABCD ABCD ABCD ABCD ABCD ....................
20 : ABCD ABCD ABCD ABCD ABCD ABCD ABCD ABCD ABCD ABCD ....................
40 : ABCD ABCD ABCD ABCD ABCD ABCD ABCD ABCD ABCD ABCD ....................
60 : ABCD ABCD ABCD ABCD ABCD ABCD ............
 

IP-IP トンネル パケット:

 
====================================================================
20:39:40.394 IST Sun Apr 12 2009 Relative Time: 2.967188
Packet 7 of 22 In: FastEthernet0/1
 
Ethernet Packet: 114 bytes
Dest Addr: 0003.FEAB.D871, Source Addr: 001F.6C89.0D74
Protocol: 0x0800
 
IP Version: 0x4, HdrLen: 0x5, TOS: 0x00
Length: 100, ID: 0x8008, Flags-Offset: 0x2000 (more fragments)
TTL: 255, Protocol: 4 (IP-IP), Checksum: 0xD9F5 (OK)
Source: 14.0.0.1, Dest: 50.1.1.150
 
IP Version: 0x4, HdrLen: 0x5, TOS: 0x00
Length: 1500, ID: 0x0086, Flags-Offset: 0x0000
TTL: 255, Protocol: 1 (ICMP), Checksum: 0x40D0 (OK)
Source: 50.1.1.200, Dest: 65.0.0.2
 
ICMP Type: 8, Code: 0 (Echo Request)
Checksum: 0x72CB ERROR: 7C6A
Identifier: 005E, Sequence: 0000
Echo Data:
0 : 0000 0000 E49E 6020 ABCD ABCD ABCD ABCD ABCD ABCD
 

ip l ocal pool

リモート ピアのポイントツーポイント インターフェイスへの接続時に使用される IP アドレスのローカル プールを設定し、プール利用率がパーセンテージでの上限または下限のしきい値に達したときにトラップが生成されるようにするには、グローバル コンフィギュレーション モードで ip local pool コマンドを使用します。アドレス範囲をプールから削除する(このコマンドの no 形式より長い)、またはアドレス プールを削除する(このコマンドの no 形式より短い)には、このコマンドのいずれかの no 形式を使用します。

ip local pool { default | poolname } [ low-ip-address [ high-ip-address ]] [ group group-name ] [ cache-size size ] [ priority 0-255 ] [theshold low-threshold high-threshold] [ recycle ]

no ip local pool poolname low-ip-address [ high-ip-address ]

no ip local pool { default | poolname }

 
シンタックスの説明

default

名前付きプールが他にない場合に使用されるデフォルト ローカル IP アドレス プールを作成します。

poolname

ローカル IP アドレス プールです。

low-IP-address [ high-IP-address ]

IP アドレス範囲の最初のアドレスと、オプションで最後のアドレスを指定します。

group group-name

(オプション)プール グループを作成します。

cache-size size

(オプション)新しい IP アドレスの割り当て前にシステムがチェックするフリー リスト上の IP アドレス エントリ数を設定します。戻される IP アドレスは、フリー リストの最後に追加されます。新しい IP アドレスをユーザに割り当てる前に、システムはこのリストの最後からエントリ数をチェックし( cache-size size オプションに定義されるとおり)、そのユーザに対して返された IP アドレスがないことを判断します。キャッシュ サイズの範囲は 0 ~ 100 です。デフォルトのキャッシュ サイズは 20 です。

low-threshold は、プール利用率トラップ生成用の下限しきい値です。この値は、high threshold の値以下にしなければなりません。

high threshold は、プール利用率トラップ生成用の上限しきい値です。この値は、lowthreshold 以上の値にしなければなりません。

priority 0-255

(オプション)新しく作成されたプールに対して優先順位を割り当て、同じ優先順位を IP アドレスの割り当てにも使用します。

recycle

(オプション)再利用の前に、再利用アドレスを設定します。

 
デフォルト

アドレス プールは設定されません。オプションの group キーワードなしで作成されたプールは、ベース システム グループのメンバになります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

11.0

このコマンドが導入されました。

11.3 AA

このコマンドは、アドレス範囲を追加および削除できるように拡張されました。

12.1(5)DC

このコマンドは、プール グループを作成できるように拡張されました。

12.2(13)T

このコマンドは、Cisco IOS リリース 12.2(13)T に組み込まれ、Cisco 6400 ノード ルート プロセッサ 25v (NRP-25v) および Cisco 7400 プラットフォームに対するサポートが追加されました。

12.3(14)YX5

low-threshold および high-threshold 引数が追加されました。

12.4(22)YD

recycle キーワードが追加されました。

 
使用上のガイドライン

ピアの接続時の IP アドレスの割り当て元になる 1 つ以上のローカル アドレス プールを作成するには、 ip local pool コマンドを使用します。また、別の IP アドレス範囲を既存のプールに追加することもできます。名前付き IP アドレス プールをインターフェイス上で使用するには、 peer default ip address pool インターフェイス コンフィギュレーション コマンドを使用します。プール名は、認証、許可、アカウンティング(AAA)RADIUS および TACACS 機能を使用して特定のユーザに割り当てることもできます。

名前付きローカル IP アドレス プールが作成されていない場合、 ip address-pool local グローバル コンフィギュレーション コマンドの発行後、デフォルトのアドレス プールがすべてのポイントツーポイント インターフェイス上で使用されます。明示的に IP アドレス プールが割り当てられておらず、 ip address-pool local コマンドの使用によってプールの使用が要求される場合、「default」という名前の特別なプールが使用されます。

オプションの group キーワードと、関連するグループ名を使用して、IP アドレス プールと名前付きグループとを関連付けることができます。 group キーワード なし で作成された任意の IP アドレス プールは、自動的に ベース システム グループのメンバになります。

IP アドレス プール名は、1 つのグループとだけ関連付けられます。そのあとに同じプール名をプール グループ内で使用すると、そのプールの拡張として扱われ、既存のローカル IP アドレス プール名を別のプール グループと関連付けようとすると拒否されます。そのため、各プール名の使用時は、関連付けられたプール グループを明示的に選択することになります。


) 重複したアドレスを不注意に生成してしまう可能性を減らすため、ベース システム グループ内でだけ「default」という名前の特別なプールの作成がシステムで許可されています。そのため、「default」というプール名を使用してグループ名を指定することはできません。


プール グループ内のすべての IP アドレス プールは、アドレスが重複しないようにチェックされますが、任意のグループ プール メンバと、グループ外のプールとの間のチェックはありません。プール グループ内の名前付きプールを指定すると、他のグループ内のプール、およびベース システム グループ内のプールと重複する IP アドレスをプール内に作成できますが、グループ内のプール間で重複させることはできません。そうしないと、IP アドレス プールの処理がグループ内のメンバシップによって変更されません。特に、これらのプール名は、 peer コマンド内で指定でき、特別な処理は必要なく RADIUS および AAA 機能で返すことができます。

IP アドレス プールはバーチャル プライベート ネットワーク(VPN)と関連付けることができます。関連付けることで、VPN および VPN ルーティングおよび転送インスタンス(VRF)と互換性がある、柔軟な IP アドレス プールの指定が可能になります。

IP アドレス プールは、ワンステップの vty 同期接続のために translate コマンドと一緒に使用でき、特定の AAA または TACACS+ 許可機能で使用できます。詳細については、『 Cisco IOS Terminal Services Configuration Guide 』の「Configuring Protocol Translation and Virtual Asynchronous Devices」の章と、『 Cisco IOS Configuration Fundamentals Configuration Guide 』の「System Management」の部分を参照してください。

上限および下限のしきい値

Cisco Mobile Wireless Home Agent リリース 3.1 では CISCO-IP-LOCAL-POOL-MIB が強化され、プールの利用率が上限または下限のしきい値に達すると、トラップが生成されます。下限および上限のしきい値を定義するのは、それぞれ cIpLocalPoolPercentAddrThldLo オブジェクトと cIpLocalPoolPercentAddrThldHi オブジェクトです。

IP ローカル プール内の使用アドレスのパーセンテージが上限しきい値以上になると、cilpPercentAddrUsedHiNotif 通知が生成されます。いったん通知が生成されると、その通知は解除され、使用アドレスの数が cIpLocalPoolPercentAddrThldLo に指定された値を下回るまで生成されません。

IP ローカル プール内の使用アドレスのパーセンテージが下限しきい値未満になると、cilpPercentAddrUsedLoNotif 通知が生成されます。いったん通知が生成されると、その通知は解除され、使用アドレスの数が cIpLocalPoolPercentAddrThldHi に指定された値以上になるまで生成されません。

IP アドレス プールは show ip local pool EXEC コマンドを使用して表示されます。

次の例では、「XYZPool」という名前のローカル IP アドレス プールを作成します。このプールには、100.1.1.1 ~ 100.1.1.10 の範囲のすべての IP アドレスが保存されます。このグループには「MWG」という名前が付けられ、コマンドでキャッシュ サイズは 50 と指定され、下限しきい値と上限しきい値はそれぞれ 50 と 90 です。

Router(config)# ip local pool XYZPool 100.1.1.1 100.1.1.10 group MWG cache-size 50 threshold 50 90
 

次の例では、「pool」という名前のローカル IP アドレス プールを作成します。このプールには、172.16.23.0 ~ 172.16.23.255 の範囲のすべての IP アドレスが保存されます。

ip local pool pool2 172.16.23.0 172.16.23.255
 

次の例では、1024 IP アドレスのプールを設定します。

no ip local pool default
ip local pool default 10.1.1.0 10.1.4.255

) 任意の既存のプールを削除するため、このコマンドの no 形式を使用してローカル プールの定義より優先させることは、必須ではありませんがお勧めします。これは、既存のプール名の指定は、新しい IP アドレスを使用してそのプールを拡張するための要求として扱われるからです。プールの拡張を意図している場合、このコマンドの no 形式は適切ではありません。


次の例では、複数の IP アドレス範囲を 1 つのプールに設定します。

ip local pool default 10.1.1.0 10.1.9.255
ip local pool default 10.2.1.0 10.2.9.255
 

次の例では、2 つのプール グループと IP アドレス プールをベース システム グループに設定する方法を示します。

ip local pool p1_g1 10.1.1.1 10.1.1.50 group grp1
ip local pool p2_g1 10.1.1.100 10.1.1.110 group grp1
ip local pool p1_g2 10.1.1.1 10.1.1.40 group grp2
ip local pool lp1 10.1.1.1 10.1.1.10
ip local pool p3_g1 10.1.2.1 10.1.2.30 group grp1
ip local pool p2_g2 10.1.1.50 10.1.1.70 group grp2
ip local pool lp2 10.1.2.1 10.1.2.10

 

この例の前提は次のとおりです。

grp1 グループは p1_g1、p2_g1、および p3_g1 の各プールから構成されています。

grp2 グループは p1_g2 および p2_g2 の各プールから構成されています。

プール lp1 および lp2 はグループに関連付けられていないため、これらはベース システム グローバルのメンバではありません。

IP アドレス 10.1.1.1 は grp1、grp2、およびベース システム グループとオーバーラップします。また、名前が指定されていないベース システム グループを含むどのグループ内にもオーバーラップはありません。

次の例では、VPN および VRF で使用するための IP アドレス プールとグループの設定を示します。

ip local pool p1_vpn1 10.1.1.1 10.1.1.50 group vpn1
ip local pool p2_vpn1 10.1.1.100 10.1.1.110 group vpn1
ip local pool p1_vpn2 10.1.1.1 10.1.1.40 group vpn2
ip local pool lp1 10.1.1.1 10.1.1.10
ip local pool p3_vpn1 10.1.2.1 10.1.2.30 group vpn1
ip local pool p2_vpn2 10.1.1.50 10.1.1.70 group vpn2
ip local pool lp2 10.1.2.1 10.1.2.10

 

この例では、次に示すように、ベース システム グループ内のプールを含む 2 つのプール グループの設定を示します。

vpn1 グループは p1_vpn1、p2_vpn1、および p3_vpn1 の各プールから構成されています。

vpn2 グループは p1_vpn2 および p2_vpn2 の各プールから構成されています。

プール lp1 および lp2 はグループに関連付けられていないため、これらはベース システム グローバルのメンバではありません。

IP アドレス 10.1.1.1 は vpn1、vpn2、およびベース システム グループとオーバーラップします。また、名前が指定されていないベース システム グループを含むどのグループ内にもオーバーラップはありません。

VPN のために、リモート ユーザ データに基づいて適切なプールを選択することで、適切なグループを選択する設定が必要です。そのため、特定の VPN 内の各ユーザは、その VPN に適したプールと関連グループを使用してアドレス スペースを選択できます。VPN のアドレス スペースはその VPN に固有のため、他の VPN(他のグループ名)内の重複したアドレスは考慮する必要がありません。

この例では、vpn1 グループ内のユーザは p1_vpn1、p2_vpn1、および p3_vpn1 のプールいくつかの組み合わせと関連付けられており、アドレス領域からアドレスが割り当てられています。アドレスは割り当て元の同じプールから返されます。

次に、recycle キーワードを示す Cisco IOS リリース 12.4(22)YD の出力を示します。

Router(config)#ip local pool xyz 1.1.1.1 ?
A.B.C.D Last IP address of range
cache-size Number of free entries to search
group Create ip local pool group
priority Priority metric
recycle recycle address before reuse
threshold Threshod percentage for pool group range
<cr>
 
Router(config)#ip local pool xyz 1.1.1.1 1.1.1.11 ?
cache-size Number of free entries to search
group Create ip local pool group
priority Priority metric
recycle recycle address before reuse
threshold Threshod percentage for pool group range
<cr>
 
Router(config)#ip local pool xyz 1.1.1.1 1.1.1.11 recycle ?
delay Delay before address is available for reassignment
 
Router(config)#ip local pool xyz 1.1.1.1 1.1.1.11 recycle delay ?
<0-65535> recycle delay in Seconds
 
 
mwtbg28-6500a-5-3(config)#ip local pool xyz 1.1.1.1 1.1.1.11 recycle delay 3 ?
cache-size Number of free entries to search
threshold Threshod percentage for pool group range
<cr>
 

 
関連コマンド

コマンド
説明

debug ip peer

IP アドレス プール グループが定義されている場合の追加の出力を表示します。

ip address-pool

非同期、同期、または ISDN ポイントツーポイントの各インターフェイスで IP アドレスをダイヤルするための IP アドレスの提供に使用する、アドレスのプーリング メカニズムを有効にします。

peer default ip address

このインターフェイスに接続するリモート ピアに対して返される IP アドレス、特定の IP アドレス プールからのアドレス、または DHCP メカニズムからのアドレスを指定します。

show ip local pool

定義済みの IP アドレス プールすべての統計情報を表示します。

translate lat

LAT 接続要求を自動的に別の発信プロトコル接続タイプに変換します。

translate tcp

TCP 接続要求を自動的に別の発信プロトコル接続タイプに変換します。

ip mobile cdma ha-chap send attribute

Mobile Equipment Identifier(MEID)を HA-CHAP アクセス要求に含めるには、グローバル コンフィギュレーション モードで ip mobile cdma ha-chap send attribute コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile cdma ha-chap send attribute [A1 | A2 | A3]

no ip mobile cdma ha-chap send attribute [A1 | A2 | A3]

 
シンタックスの説明

A1

(オプション)HA-CHAP 内の A1(呼び出し側のステーション ID)を送信します。

A2

(オプション)HA-CHAP 内の A2(ESN)を送信します。

A3

(オプション)HA-CHAP 内の A3(MEID)を送信します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(14)YX1

このコマンドが導入されました。

 
使用上のガイドライン

Mobile Equipment Identifier(MEID; 移動体識別番号)は、IS-835D で導入された新しいアトリビュートで、最終的には ESN に置き換わります。暫定的に、両方のアトリビュートが Home Agent でサポートされます。

MEID NVSE は、PDSN ノードによって Mobile IP RRQ に付加されます。HA で MEID NVSE が受信される際に、ip mobile cdma ha-chap send attribute A3 コマンドが設定されていると、その MEID 値が HA-CHAP アクセス要求に含められます。

次に、ip mobile cdma ha-chap send attribute A3 コマンドの例を示します。

ip mobile cdma ha-chap send attribute A3

ip mobile debug include username

各デバッグ文でユーザ名または IMSI 条件を表示するには、ip mobile debug include username コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile debug include username

no ip mobile debug include username

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

このコマンドにデフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(14)YX

このコマンドが導入されました。

 
使用上のガイドライン

次に、ip mobile debug include username コマンドの例を示します。

Router# ip mobile debug include username

 

ip mobile home-agent

Home Agent サービスをルータ上で有効にして制御するには、 ip mobile home-agent グローバル コンフィギュレーション コマンドを使用します。これらのサービスを無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent [ home-agent address ] [ accounting ] [ binding overwrite ] [ broadcast ] [ care-of-access acl ] [ data-path-idle minutes ] [ dynamic-address ] [ lifetime number ] [ aaa | attribute framed-pool ] [message-string] [ nat-detect ] [ non-hotline profile profile-id ] [[options [ access-type] | [ cvse gre-key ] | [rrq reject framed-ip-addr in-use] | [mn-identifier calling-station-id]] [ redundancy ] [ reject-static-addr ] [ revocation [ exclude-nai]] [ replay seconds ] [ resync-sa ] [ reverse-tunnel off ] [ roam-access acl ] [ hotline profile profile-id ] [ strip-realm ] [ suppress-unreachable ] [ local-timezone ] [ nat ] [ unknown-ha [ accept | deny ]] [ send-mn-address ]

no ip mobile home-agent [ home-agent address ] [ accounting ] [ binding overwrite ] [ broadcast ] [ care-of-access acl ] [ data-path-idle ] [ dynamic-address ] [ lifetime number ] [ aaa | attribute framed-pool ] [message-string] [ nat-detect ] [ non-hotline profile profile-id ] [[options [ access-type ] | [ cvse gre-key ] | [rrq reject framed-ip-addr in-use] | [mn-identifier calling-station-id]] [ redundancy ] [ reject-static-addr ] [ revocation ] [ replay seconds ] [ resync-sa ] [ reverse-tunnel off ] [ roam-access acl ] [ hotline profile profile-id ] [ strip-realm ] [ suppress-unreachable ] [ local-timezone ] [ nat ] [ unknown-ha [ accept | deny ]] [ send-mn-address ]

 
シンタックスの説明

home-agent address

(オプション)仮想ネットワークの IP アドレスです。

accounting

(オプション)Home Agent のアカウンティングを有効にします。

binding overwrite

(オプション)登録要求内のホーム アドレス、MAC アドレス、および NAI 情報で識別される古いバインディングの削除を有効または無効にします。

broadcast

(オプション)ブロードキャスト データグラム ルーティングを有効にします。デフォルトでは、ブロードキャストは無効に設定されています。

care-of-access acl

(オプション)登録要求内のどの気付アドレスが Home Agent で許可されるかを制御します。デフォルトでは、気付アドレスは許可されます。アクセス コントロール リストには、文字列または 1 ~ 99 の数値を使用できます。

data-path-idle minutes

(オプション)グローバル アイドル時間を分単位で設定し、一定時間にトラフィックがない場合(アイドル時間)にモビリティ バインディング エントリを削除します。範囲は 1 ~ 65535 分です。

dynamic-address

(オプション)ダイナミック HA 割り当てアドレスを設定します。

lifetime number

(オプション)モバイル ノードに対するグローバル登録継続時間を指定します。これにより、個別のモバイル ノード設定が無効になる場合があります。範囲は 3 ~ 65535(無限大)です。デフォルトは 36000 秒(10 時間)です。この値を超える継続時間を要求する登録も受け付けられますが、その場合はこの継続時間が使用されます。

aaa

(オプション)HA AAA アクセス設定を指定します。

attribute framed-pool

(オプション)認証の間にダウンロードされる、RADIUS フレーム化されたプール名をサポートします。

message-string

(オプション)メッセージ拡張のサポートと、AAA サーバからユーザへのテキストの送信を有効または無効にします。

redundancy

(オプション)Home Agent 冗長オペレーションを指定します。

reject-static-addr

(オプション)使用されているモバイル ノードのスタティック IP アドレス要求を拒否します。

revocation

(オプション)登録失効を有効にします。

exclude-nai

(オプション)NAI 拡張機能を除外します。

nat

(オプション)NAT トラバーサル設定です。

nat-detect

(オプション)NAT が有効に設定されたデバイスのトラバーサルを行うモバイル ノードからの登録要求を Home Agent が検出できるようにし、そのモバイル ノードに到達するためのトンネルを適用できるようにします。デフォルトでは、NAT 検出は無効に設定されています。

non-hotline profile profile-id

(オプション)サブコンフィギュレーション モードを開始します。ホットラインでないプロファイルに IP リダイレクト アドレスおよび ACL を使用して設定できるようにします。このコマンドは、ホットライン以外に設定されたバインディングのため、ホットラインでないプロファイル名を表示するようにアップデートされています。

options

(オプション)IP Mobile Home Agent オプション コンフィギュレーションを有効にし、IP Mobile Home Agent オプション コンフィギュレーション サブモードを開始します。

access-type

(オプション)アクセス タイプのオプションです。

cvse gre-key

(オプション)GRE キーを使用する GRE トンネリングを有効にします。システム上にアクティブなバインディングがある場合、このコマンドを有効または無効にすることはできません。

rrq reject framed-ip-addr in-use

(オプション)有効に設定されていると、このサブコマンドでは、Access-Accept の「Framed IP Address」がすでにバインディングに割り当てられている場合の RRQ を拒否します。

mn-identifier calling-station-id

(オプション)CLID を代替モバイル ノード識別子として使用できるようにします。システム上にアクティブなバインディングがある場合、この CLI を有効または無効にすることはできません。

replay seconds

(オプション)再送保護のタイムスタンプ値を設定します。この時間内に受信した登録が有効になります。

resync-sa

(オプション)障害後のセキュリティ アソシエーションの再同期を有効にします。

reverse-tunnel-private address

(オプション)Home Agent でのリバース トンネルのサポートを有効にします。デフォルトでは、リバース トンネルのサポートは有効に設定されています。リバース トンネルの使用はプライベート モバイル IP アドレスに必須です。

roam-access acl

(オプション)ローミングを許可または拒否するモバイル ノードを制御します。デフォルトでは、指定するすべてのモバイル ノードがローミングできます。

hotline profile profile-id

(オプション)プロファイル ベースまたはルール ベースのホットラインを各ユーザ(MN)に対して設定します。このコマンドは、ルール セットを設定するためのサブコンフィギュレーション モードとして動作します。

exit ホットライン プロファイル コンフィギュレーション モードの終了
firewall ファイアウォール ルール
no ホットライン ルールの無効化
redirect リダイレクション ルール

strip-nai-realm

(オプション)認証の実行前に、NAI のレルム部分を取り除きます。

suppress-unreachable

(オプション)仮想ネットワーク上のモバイル ノードが登録されていない場合、またはパケットが Home Agent で作成されたトンネル インターフェイスから送信されている場合(リバース トンネルの場合)、発信元への ICMP 到達不能なメッセージの送信を無効にします。デフォルトでは、ICMP 到達不能なメッセージは送信されます。

local-timezone

(オプション)設定された現地時間帯に基づいて UTC 時間を調整し、調整された時間をプロキシ モバイル IP 登録に使用します。

unknown-ha [ accept | deny ]

unknown-ha accept が設定されている場合、Home Agent は、モバイル IP 登録要求の IP の宛先とユニキャストが異なる Home Agent アドレスのモバイル IP 登録要求を受け入れ、登録応答内に設定される Home Agent アドレスは、IP 宛先のアドレスになります。

unknown-ha deny が設定されている場合、Home Agent は、モバイル IP 登録要求の IP の宛先とユニキャストが異なる Home Agent アドレスを使用し、エラー コードが不明である、Home Agent のモバイル IP 登録要求を拒否し、拒否登録応答内に設定される Home Agent アドレスは、IP 宛先のアドレスになります。

send-mn-address

モバイル IP 登録要求で受信したとおりに、HA-CHAP に対するアクセス要求メッセージ内のホーム アドレスを送信します。

(注) このキーワードは、radius-server vsa send authentication 3gpp2 アトリビュートを送信するために Home Agent に設定する必要があります。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。ブロードキャストはデフォルトで無効に設定されています。リバース トンネルのサポートはデフォルトで有効に設定されています。ICMP 到達不能メッセージはデフォルトで送信されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

strip-nai-realm キーワードおよび local-timezone キーワードが追加されました。

12.2(8)ZB6

unknown [ accept | deny] キーワードおよび send-mn-address キーワードが追加されました。

12.3(14)YX

accounting、dynamic-address、redundancy、 reject-static-addr および resync-sa の各キーワードが追加されました。

12.4(15)XL

attribute framed-pool キーワードが追加されました。

12.4(15)XM

hotline profile キーワードが追加されました。

12.4(22)YD

binding overwrite、 data-path-idle minutes および message-string の各オプションが追加されました。

12.4(22)YD1

options キーワードと non-hotline profile キーワードが追加されました。

 
使用上のガイドライン

このコマンドは、ルータ上で Home Agent サービスを有効にし、制御します。サービスへの変更は即時に有効になりますが、以前に登録したモバイル ノードへのブロードキャスト設定と継続時間設定に影響はありません。トンネルは同じエンドポイントに登録されたモバイル ノードで共有されるため、 reverse-tunnel-off キーワードも登録されたモバイル ノードに適用されます。

Home Agent はモバイル ノードからの登録要求を処理し、気付アドレスへのトンネルとルートを設定する役割を担います。モバイル ノードへのパケットは、移動先のネットワークに転送されます。

ブロードキャスト パケットがサービスに登録されている場合、Home Agent はそのパケットをモバイル ノードに転送します。しかし、ブロードキャスト トラフィックの負荷が高いと、ルータの CPU が使用されます。Home Agent はモバイル ノードのローミング先を care-of-access パラメータによって制御し、ローミングを許可するモバイル ノードを roam-access パラメータによって許可します。

登録要求が届いたときに、Home Agent サービスが有効になっていないか、モバイル ノードのセキュリティ アソシエーションが設定されていないと、要求は拒否されます。後者の条件で拒否されるのは、応答内の MH 認証拡張でセキュリティ アソシエーションが必要になるためです。Foreign Agent(要求内の IP 送信元アドレスまたは気付アドレス)に対するセキュリティ アソシエーションがある場合、Foreign Agent は認証され、続いてモバイル ノードが認証されます。再送攻撃から保護するため、識別番号フィールドが確認されます。Home Agent で要求の妥当性がチェックされ( 表 5 を参照)、応答が送信されます(再送コードの一覧は 表 6 に挙げられています)。Foreign Agent の認証、Home Agent の認証、または識別番号の確認に失敗すると、セキュリティ違反がログに記録されます(違反の理由は 表 7 に挙げられています)。

登録が受け付けられると、Home Agent は、有効期限のタイマーを含むモバイル ノードのモビリティ バインディングを作成およびアップデートします。この登録以前にバインディングがない場合は、仮想トンネルが作成され、気付アドレスを介したモバイル ノードへのホスト ルートがルーティング テーブルに追加され、gratuitous ARP が送信されます。登録解除の場合、ホスト ルートはルーティング テーブルから削除され、仮想トンネル インターフェイスが削除され(モバイル ノードで使用していない場合)、モバイル ノードがホームに戻ったときに gratuitous ARP が送信されます。登録継続時間が期限切れになったか、または登録解除が受け入れられた場合、モビリティ バインディングは関連するホスト ルートとトンネルと一緒に削除されます。

デフォルトでは、HA は NAI 文字列全体を認証用のユーザ名として使用します(ローカル セキュリティ アソシエーションと一緒にある、または AAA サーバから取得されます)。strip-nai-realm パラメータは、NAI のレルム部分(ある場合)を認証の実行前に取り除くよう HA に指示します。基本的に、モバイル ステーションは NAI のユーザ名部分だけで識別されます。

モバイル ノード宛てのパケットが Home Agent に到達すると、Home Agent でそのパケットが気付アドレスにカプセル化されます。断片化しないビットがパケットに設定されている場合、IP ヘッダーの外側のビットも設定されます。これにより、パス MTU 検出でトンネルの MTU を設定できるようになります。トンネルの MTU を超える後続のパケットは破棄され、ICMP データグラムが大きすぎることを示すメッセージが発信元に送信されます。Home Agent がトンネル エンドポイントへのルートを失った場合、トンネル ルートが使用できるようになるまで、モバイル ノードへのホスト ルートはルーティング テーブルから削除されます。ホスト ルートがないモバイル ノード宛てのパケットがインターフェイス(ホーム リンク)または仮想ネットワークに送信されます( suppress-unreachable キーワードの説明を参照してください)。ホーム リンクへのサブネット ダイレクト ブロードキャストで、ブロードキャスト ルーティング オプションに登録されたすべてのモバイル ノードにコピーが送信されます。

表 5 では、認証および識別子が渡されたあと、Home Agent でさまざまなビット セットの登録がどのように扱われるかを説明します。

 

表 5 Home Agent 登録ビットフラグ

ビット セット
登録応答

S

コード 1 と共に受諾します(同時バインディングはありません)。

B

受諾します。ブロードキャストは有効または無効に設定できます。

D

受諾します。トンネル エンドポイントはコロケーション気付アドレスです。

M

拒否します。最小 IP カプセル化はサポートされません。

G

受諾します。GRE カプセル化がサポートされます。

V

無視します。Van Jacobsen ヘッダーはサポートされません。

T

reverse-tunnel-off パラメータが設定されていない場合は受諾します。

予約済み

拒否します。予約済みビットを設定することはできません。

表 6 に、Home Agent 登録応答コードの一覧を示します。

 

表 6 Home Agent 登録応答コード

コード
理由

0

受諾します。

1

受諾します。同時バインディングはありません。

128

理由は指定されていません。

129

管理上禁止されています。

130

リソースが十分ではありません。

131

モバイル ノードの認証に失敗しました。

132

Foreign Agent の認証に失敗しました。

133

登録識別子が一致していません。

134

要求の形式が正しくありません。

136

不明な Home Agent アドレスです。

137

リバース トンネルは使用できません。

139

サポートされていないカプセル化です。

表 7 に、セキュリティ違反コードを示します。

 

表 7 セキュリティ違反コード

コード
理由

1

モビリティ セキュリティ アソシエーションがありません。

2

オーセンティケータが無効です。

3

識別子が無効です。

4

SPI が無効です。

5

セキュリティ拡張がありません。

6

その他の理由です。

次の例では、ブロードキャスト ルーティングを有効にし、グローバル登録継続時間に 7200 秒(2 時間)を指定します。

ip mobile home-agent ?
aaa HA AAA access settings
accounting Enable Home Agent accounting
address HA address for virtual networks
broadcast Enable forwarding of broadcast packets
care-of-access Care-of roaming capability access-list
data-path-idle Allowed idle time (in minutes)<1-65535>
dynamic-address Configure Dynamic HA assignment address
lifetime Global lifetime for mobile hosts
local-timezone Use Local Time Zone to generate Identification Fields
nat NAT traversal settings
nat-detect Enable NAT detect on Home Agent
redundancy Home Agent redundancy operation
reject-static-addr Reject Used Mobile Node Static IP Addr Request
replay Set replay protection timestamp value for all SAs
resync-sa Turn on resync of SA after failure
reverse-tunnel Reverse Tunneling for Mobile IP
revocation Enable Registration Revocation
roam-access Mobile host roaming capability access-list
send-mn-address Send MN address as Framed-IP-Address in HA-CHAP
strip-realm Strip off NAI realm part
suppress-unreachable Disable sending ICMP unreachable
template Configure a tunnel template for tunnels to the Home Agent
unknown-ha Unknown HA address in registration request
 

次に、framed-pool アトリビュートの例を示します。

 
ip mobile home-agent aaa attribute Framed-Pool
ip local pool haPool 70.1.1.1 70.1.1.254
ip mobile home-agent
ip mobile virtual-network 70.1.1.0 255.255.255.0
ip mobile host nai @cisco.com interface FastEthernet1/0 aaa load-sa
 

次に、60 分に指定した ip mobile home-agent data-path-idle コマンドの例を示します。

Router(config)#ip mobile home-agent data-path-idle 60
 

次に、binding-overwrite オプションで既存のバインディングを上書きする方法の例を示します。

router(config)# ip mobile home-agent binding-overwrite
 
ip local pool cisco-pool 5.1.0.1 5.1.1.0
 
ip mobile host nai @cisco.com address pool local cisco-pool
interface Null0 aaa load-sa
 

次に、ip mobile home agent options [access-type 3gpp2 suppress aaa access-request | access-type 3gpp2 mhae optional] コマンドの例を示します。

Router#conf terminal
Router(config)# ip mobile home agent options
Router(config-ipmobile-ha-options)#access-type 3gpp2 suppress aaa access-request
 

 
関連コマンド

コマンド
説明

show ip mobile globals

モバイル エージェントのグローバル情報を表示します。

access-type 3gpp2 suppress aaa access-request

Home Agent が、AAA(認証、認可、アカウンティング)サーバに、3GPP2 アクセス タイプのアクセス要求を送信しないようにします。

access-type 3gpp2 mhae optional

Mobile Node-Home Agent オーセンティケータ拡張(MHAE)を、3GPP2 アクセス タイプのオプションにします。

ip mobile home-agent accounting

Home Agent のアカウンティング機能を有効にするには、グローバル コンフィギュレーション モードで ip mobile home-agent accounting コマンドを使用します。

ip mobile home-agent accounting {method name| default}

 
シンタックスの説明

method name

アカウンティング レコードを生成するために使用する名前付きアカウンティング リストを指定します。アカウンティング方式は、aaa accounting network コマンドを使用して設定されます。

default

デフォルトのアカウンティング リストを指定します。

 
デフォルト

このコマンドにデフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(8)ZB7

このコマンドが導入されました。

 
使用上のガイドライン

Home Agent では、HA アカウンティング機能が有効に設定されている場合、100k 個を超えるバインディングを開けません。

次に、ip mobile home-agent accounting コマンドの例を示します。

Router# ip mobile home-agent accounting method name

ip mobile home-agent author-fail send-response

AAA が Access-Reject を送信する場合も、AAA が応答しない場合も、HA が RRP を FA に送信するように設定するには、ip mobile home-agent author-fail send-response グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent author-fail send-response

no ip mobile home-agent author-fail send-response

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドが設定されている場合、AAA が Access-Reject を送信する場合も、AAA が応答しない場合も、HA は RRP を FA に送信します。この RRP には、オール 0 の MHAE と、MN が認証に失敗したことを示すエラー コードが含まれます。この RRP には、FHAE は(FA に対して FHAE が有効になっている場合であっても)含まれません。

次に、ip mobile home-agent author-fail send-response コマンドの例を示します。

Router(config)#ip mobile home-agent author-fail send-response

ip mobile home-agent binding-overwrite

登録要求内のホーム アドレス、MAC アドレス、および NAI 情報で識別される古いバインディングを削除できるようにするには、ip mobile home-agent binding-overwrite グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent binding-overwrite

no ip mobile home-agent binding-overwrite

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

この機能はデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次に、ip mobile home-agent binding-overwrite コマンドの例を示します。

既存のバインディング HA 設定の上書き

ip mobile home-agent binding-overwrite
ip local pool cisco-pool 5.1.0.1 5.1.1.0
ip mobile host nai @cisco.com address pool local cisco-pool
interface Null0 aaa load-sa
 

FA 設定

simulator mip mn profile 3
registration lifetime 65535
registration retries 0
registration flags 42
revocation flags 00
home-agent 81.81.81.81
secure home-agent spi 100 key ascii cisco
secure aaa spi 2 key ascii cisco
nai cisco-%f@cisco.com
pmip skip subtype 2 idtype mac
no extension mn-aaa
no extension mn-fa
no extension nat traversal
extension revocation
simulator mip mn profile 4
registration lifetime 65535
registration retries 0
registration flags 42
revocation flags 00
home-agent 81.81.81.81
home-address 5.0.0.2 0
secure home-agent spi 100 key ascii cisco
secure aaa spi 2 key ascii cisco
nai pepsi-%f@cisco.com
pmip skip subtype 2 idtype mac
no extension mn-aaa
no extension mn-fa
no extension nat traversal
extension revocation
 
simulator mip scenario 3
mn profile 3
fa 2.2.2.200
mn id 20
simulator mip scenario 4
mn profile 4
fa 2.2.2.200
mn id 21

ip mobile home-agent congestion

輻輳が定義済みのしきい値に達した場合に、HA が定義済みのアクションを実行するように設定するには、ip mobile home-agent congestion グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent congestion dfp_weight action reject | abort | redirect HA-address | drop data-path-idle minutes

no ip mobile home-agent congestion

 
シンタックスの説明

reject

新しい発呼を拒否します。これが Home Agent 4.0 の動作であり、この機能のデフォルトの動作です。

abort

新しい発呼を拒否し、任意の進行中のコールを中断します。進行中とは、登録要求が受信されたが、登録応答がまだ送信されていない状態の任意の MIP 登録を意味します。拒否は、十分なリソースがないことを示すエラー コード 130 と共に MIP 登録応答が送信されることで示されます。

redirect

新しい発呼を拒否し、不明な HA アドレスであることを示すエラー 136 を RRP で返して任意の進行中のコールを中断します。RRP 中の HA アドレスには、発呼のリダイレクト先の HA のアドレスが含まれます。

drop

アイドル パス タイマーが期限切れの場合に既存のコールを破棄します。失効が設定されている場合、HA では失効メッセージも送信されます。

 
デフォルト

デフォルトの DFP 値は、70% の輻輳状態に対応する値です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

輻輳アクション設定は二者択一です。輻輳と対応する重みは明示的に設定する必要があります。

輻輳発生時の DFP 重み値を設定できます。デフォルトの DFP 値は、70% の輻輳状態に対応します。デフォルト値は 0 です。

使用される DFP 値は、単一の IP モデル内のコントロール プロセッサに対して単独で計算されます。

輻輳状態に達した場合、次の 4 種類のアクションが発生します。

1. 拒否:任意の新しい発呼を拒否します。これが Home Agent 4.0 の動作であり、この機能のデフォルトの動作です。

2. 拒否と中断:任意の新しい発呼を拒否し、任意の進行中のコールを中断します。進行中とは、登録要求が受信されたが、登録応答がまだ送信されていない状態の任意の MIP 登録を意味します。拒否は、十分なリソースがないことを示すエラー コード 130 と共に MIP 登録応答が送信されることで示されます。

3. 拒否、中断、リダイレクト:任意の新しい発呼を拒否し、任意の進行中のコールを中断します。進行中とは、登録要求が受信されたが、登録応答がまだ送信されていない状態の任意の MIP 登録を意味します。拒否は、不明な Home Agent アドレスであることを示すエラー コード 136 と共に MIP 登録応答が送信されることで示されます。Home Agent アドレス フィールドには、発呼のリダイレクト先の Home Agent のアドレスが含まれます。to-be-redirected-to-address は Home Agent でグローバルに設定できます。

4. 破棄:データ パス アイドル タイマーの評価に基づいて既存のコールを破棄します。データ パス アイドル時間が設定値を超えたバインディングはリリースされます。このイベントは、リソース失効が設定されている場合、リソース失効メッセージが送信されます。リソース失効が設定されていない場合、バインディングは、ローカル バインディングのクリアが要求されたようにメッセージなく削除されます。

次に、輻輳状態を示す出力例を示します。

router#show ip mobile home-agent congestion
Home Agent congestion information :
Current congestion level: Congested
Configured Action : Abort
Configured threshold : 10
Current DFP value = 9
 

ip mobile home-agent dynamic-address

Home Agent Address フィールドを登録応答パケットに設定するには、ip mobile home-agent dynamic-address コマンドをグローバル コンフィギュレーションで使用します。この機能を無効にするか、またはフィールドをリセットするには、コマンドの no 形式を使用します。

ip mobile home-agent dynamic-address ip address

no ip mobile home-agent dynamic-address ip address

 
シンタックスの説明

ip address

Home Agent の IP アドレスです。

 
デフォルト

Home Agent Address フィールドを ip address に設定します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(14)YX

このコマンドが導入されました。

次に、ip mobile home-agent dynamic address コマンドの例を示します。

Router# ip mobile home-agent dynamic address 1.1.1.1

ip mobile home-agent foreign-agent

要求が通過してくる Foreign Agent の IP アドレスに基づいて、加入者に 3gpp2 または WiMax アクセス タイプを選択する、またはその FA に対して FA 認証を有効または無効に設定するには、ip mobile home-agent foreign-agent グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent foreign-agent { default | { ip-address mask }} access-type { 3gpp2 | wimax } { disable-fhae | enable-fhae }

no ip mobile home-agent foreign-agent { default | { ip-address mask }} access-type { 3gpp2 | wimax } { disable-fhae | enable-fhae }

 
シンタックスの説明

default

Foreign Agent が設定されていない場合に、デフォルトのアクセス タイプと見なされることを示します。デフォルトのアクセス タイプが設定されていない場合、3gpp2 アクセス タイプがデフォルトと見なされます。

ip-address mask

アクセス タイプが使用される必要がある Foreign Agent IP アドレスのサブセットです。

disable-fhae

ip-address と mask(または default キーワードのすべての FA)で定義する FA からの FHAE を含む RRQ および失効メッセージを拒否します。FHAE を含む RRQ を受信した場合、FA との RRP の認証が失敗したことを示すエラーが送信されます。

enable-fhae

ip-address と mask(または default キーワードのすべての FA)で定義する FA とのすべてのコントロール メッセージ(RRQ、RRP、および失効メッセージ)に FHAE があることを保障します。

access-type

アクセス タイプ設定を示します。

3gpp2

3gpp2 アクセス タイプ設定を示します。

wimax

WiMax アクセス タイプ設定を示します。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

12.4(22)YD

enable-fhae キーワードおよび disable-fhae キーワードが追加されました。

 
使用上のガイドライン

該当するアクセス タイプが RADIUS で設定されていない場合、この設定は考慮されません。たとえば、radius vsa send authentication 3gpp2/wimax が認証に設定されているか、または radius vsa send accounting 3gpp2/wimax がアカウンティングに設定されている場合が該当します。

Cisco Home Agent リリース5.0 では、HA 4.0 で導入され、ローカルで設定された Foreign Agent のアクセス タイプごとの設定よりも、tech-type の値に基づいて実行されるアクションが優先されます。たとえば、ローカルで設定された値が 3GPP2 を示し、tech-type の値が wimax を示す場合、WiMax のアクションが実行されます。

enable-fhae は、ip-address と mask で定義する FA(または default キーワードのすべての FA)と交換するすべてのコントロール メッセージ(RRQ、RRP、および失効メッセージ)に FHAE が含まれることを保障します。例外は、AAA が Access-Reject を送信するか、または AAA が応答を返さない場合の RRP であり、この機能が有効になります。

disable-fhae は、ip-address および mask で定義された FA(または default キーワードのすべての FA)からの、FHAE を含む RRQ および失効メッセージを拒否します。FHAE を含む RRQ を受信した場合、FA との RRP の認証が失敗したことを示すエラーが送信されます。

Wimax FA が enable-fhae または disable-fhae を使用して設定されておらず、FA からの RRQ に FHAE がある場合、認証の成功後に FHAE が FA に対して必須となり、これが現在の動作になります。

次に、ip mobile home-agent foreign-agent access-type コマンドの例を示します。

router(config)#ip mobile home-agent foreign-agent ?
A.B.C.D Foreign Agent address
default Default Access-type
 
router(config)#ip mobile home-agent foreign-agent default ?
access-type Access-Type
 
router(config)#ip mobile home-agent foreign-agent 10.109.1.1 ?
A.B.C.D Foreign Agent mask
 
router(config)#$ome-agent foreign-agent 10.109.1.1 255.255.255.0 ?
access-type Access-Type
 
router(config)#$ome-agent foreign-agent 10.109.1.0 255.255.255.0 ac
router(config)#$foreign-agent 10.109.1.0 255.255.255.0 access-type ?
3gpp2 3GPP2 Access-type
wimax WIMAX Access-type
 
router(config)#$foreign-agent 10.109.1.0 255.255.255.0 access-type
 

ip mobile home-agent host-config url

MN による設定パラメータのダウンロードが可能な、HA 上の URL を設定するには、グローバル コンフィギュレーション モードで ip mobile home-agent host-config url コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent host-config url

no ip mobile home-agent host-config url

 
シンタックスの説明

url

MN による設定パラメータのダウンロードを許可するように設定できる一般的な url です。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、MN が要求する設定を HA が提供できないことがあるために必要です。このコマンドを使用すると、MN が設定パラメータをダウンロードするために使用できる URL で指定された一般的なサイトを構成できます。

次に、ip mobile home-agent host-config コマンドの例を示します。

Router(config)# ip mobile home-agent host-config http://www.cisco.com

ip mobile home-agent hotline

各ユーザ(MN)に対するホットラインに基づくプロファイルまたはルールを識別し、ホットライン ルール サブ コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ip mobile home-agent hotline コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent hotline { profile word }

no ip mobile home-agent hotline { profile word }

 
シンタックスの説明

profile word

ホットラインがプロファイル ベースかルール ベースかを示します。設定されていない場合、ホットラインはルール ベースになります。

 
デフォルト

デフォルト値はルール ベースのホットラインです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

次に、ip mobile home-agent hotline コマンドの例を示します。

Router(config)# [no] ip mobile home-agent hotline profile word
Router(hotline-rules)#
 
Router(hotline-rules)#?
exit Exit from hotline profile configuration mode
firewall Firewall Rules
no Negate the hotline rules
redirect Redirection Rules

 

ip mobile home-agent ipredirect nat-enable

パケットのリダイレクションに対するネットワーク アドレス変換(NAT)を有効にするには、グローバル コンフィギュレーション モードで ip mobile home-agent ipredirect nat-enable コマンドを使用します。パケットのリダイレクションに対する NAT を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent ipredirect nat-enable

no ip mobile home-agent ipredirect nat-enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト

NAT はパケットのリダイレクションに対して有効に設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD2

このコマンドが導入されました。

次の例は、パケットのリダイレクションに対して NAT を有効にする方法を示します。

HA(config)# ip mobile home-agent ipredirect nat-enable
 

ip mobile home-agent max-binding

HA 上で開始できるバインディング数を制限するには、グローバル コンフィギュレーション モードで ip mobile home-agent max-binding コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent max-binding max-binding value

no ip mobile home-agent max-binding max-binding value

 
シンタックスの説明

max-binding value

HA 上で開始できるバインディング数を制限します。デフォルト値は 500,000 で、設定可能な最大値は 1,000,000 です。max-binding-value の範囲は、1 ~ 1,000,000 です。

 
デフォルト

この CLI は、HA 上で開始できるバインディング数を制限します。デフォルト値は 500,000 で、設定可能な最大値は 1,000,000 です。max-binding-value の範囲は、1 ~ 1,000,000 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

12.4(22)YD

デフォルト値および最大バインディング数は 500,000 および 1,000,000 に変更されました。

次に、ip mobile home-agent max-binding コマンドの例を示します。

Router# ip mobile home-agent max-binding 500000

ip mobile home agent options

HA が次のさまざまなオプションを実行できるように構成するには、ip mobile home agent options グローバル コンフィギュレーション コマンドを使用します。すべてのオプションを無効にするには、このコマンドの no 形式を使用します。

ip mobile home agent options [ access-type | cvse | mn-identifier | rrq ]

no ip mobile home agent options [ access-type | cvse | mn-identifier | rrq ]

 
シンタックスの説明

access-type

アクセス タイプのオプションです。

cvse

重要なベンダー固有の拡張です。

mn-identifier

NAI の代わりの代替識別子を設定します。CLID を代替モバイル ノード識別子として有効にします。

rrq

RRQ 関連オプションです。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、異なる HA オプションを有効にするために使用します。

次に、ip mobile home agent options [ access-type 3gpp2 suppress aaa access-request | access-type 3gpp2 mhae optional command コマンドの例を示します。

Router(config)# ip mobile home agent options
access-type 3gpp2 suppress aaa access-request
 

ip mobile home-agent redundancy

冗長性のために Home Agent を設定するには、ip mobile home-agent redundancy サブコマンドを ip mobile home-agent グローバル コンフィギュレーション コマンドで使用します。アドレスを削除するには、このコマンドの no 形式を使用します。

ip mobile home-agent redundancy

no ip mobile home-agent redundancy

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

ip mobile home-agent グローバル コンフィギュレーション コマンドのサブコマンドです。

 
コマンドの履歴

リリース
変更内容

12.0(2)T

このコマンドが導入されました。

12.3(7)XJ1

mode active-standby オプションが追加されました。

12.4(22)YD

すべてのキーワードおよび引数が削除されました。

 
使用上のガイドライン

このサブコマンドを使用するには、ip mobile home-agent コマンドを設定する必要があります。

次に、SanJoseHA の HSRP グループ名を指定する ip mobile home-agent redundancy コマンドからの出力例を示します。

Router# ip mobile home-agent redundancy

ip mobile home-agent reject-static-addr

HA が特定の条件下で MN からの登録要求を拒否するように設定するには、ip mobile home-agent reject-static-addr サブコマンドを ip mobile home-agent グローバル コンフィギュレーション コマンドで使用します。

ip mobile home-agent reject-static-addr

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

ip mobile home-agent グローバル コンフィギュレーション コマンドのサブコマンドです。

 
コマンドの履歴

リリース
変更内容

12.2(8)BY

このコマンドが導入されました。

 
使用上のガイドライン

このサブコマンドを使用するには、ip mobile home-agent コマンドを設定する必要があります。

MN にスタティック アドレスで HA とのバインディングがある場合、同じスタティック アドレスで登録を再試行すると、MN からの 2 番目の RRQ は HA で拒否されます。

次に、ip mobile home-agent reject-static-addr コマンドの例を示します。

Router# ip mobile home-agent reject-static-addr

ip mobile home-agent resync-sa

HA がキャッシュされた古いセキュリティ アソシエーションを削除して AAA サーバに対するクエリーを再実行するように設定するには、グローバル コンフィギュレーション コマンドで ip mobile home-agent resync-sa コマンドを使用します。

ip mobile home-agent resync-sa x

 
シンタックスの説明

x

HA が再同期を開始するために使用する時間を指定します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.1

このコマンドが導入されました。

 
使用上のガイドライン

MN が HA への再登録を試行すると、元のタイムスタンプから変更された時間がチェックされます。その時間が x 未満であり、MN が認証に失敗した場合、HA は別の SA について AAA サーバに対するクエリーを再実行しません。

MN が HA に再登録する場合、登録の間の時間が x を超えていると、MN は登録に失敗し、HA は古い SA をクリアして AAA サーバに対するクエリーを再実行します。

次に、ip mobile home-agent resync-sa コマンドの例を示します。

Router# ip mobile home-agent resync-sa 10

ip mobile home-agent revocation

HA 上での MIPv4 登録失効のサポートを有効にするには、グローバル コンフィギュレーション モードで ip mobile home-agent revocation コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent revocation [ exclude-nai ][timeout 1-100] [retransmit 0-100] [timestamp msec] [ ignore 1-99 | 1300-1999 | word fa access-list name ]

no ip mobile home-agent revocation [ exclude-nai ][timeout 1-100] [retransmit 0-100] [timestamp msec] [ ignore 1-99 | 1300-1999 | word fa access-list name ]

 
シンタックスの説明

exclude-nai

(オプション) 失効メッセージの NAI 拡張機能を除外します。

ignore

(オプション)FA アクセス リスト数を設定します。範囲は 1 ~ 99 です。

1300-1999

FA 標準拡張アクセス リスト数です。

timeout 1-100

(オプション)MIPv4 登録失効メッセージの再送信の間隔を秒数で設定します。no バージョンを使用すると、MIPv4 登録失効メッセージの再送信の間隔としてデフォルト値が復元されます。デフォルト値は 3 秒です。

retransmit 0-100

(オプション)MIPv4 登録失効メッセージの再送信回数を設定します。このコマンドの no バージョンを使用すると、再送信回数としてデフォルト値が復元されます。デフォルトの再送信は 3 回です。

timestamp msec

(オプション)失効サポート拡張のタイムスタンプ値の単位であり、失効メッセージが符号化される値を設定します。デフォルトでは、タイムスタンプ値は秒数で送信されます。msec オプションが指定されている場合、値はミリ秒で符号化されます。

word

(オプション)FA アクセス リスト名を設定します。

 
デフォルト

デフォルト設定は no ip mobile home-agent revocation です。timeout のデフォルト設定は 3 秒、retransmit のデフォルト設定は 3 回の再送信、timestamp のデフォルト設定は秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

12.4(22)YD2

exclude-nai オプションが追加されました。

次に、ip mobile home-agent revocation コマンドの例を示します。

Router# (config)#ip mobile home-agent revoc timeout ?

<1-100> Wait time (default 3 secs)

Router# (config)#ip mobile home-agent revoc retransmit ?

<0-100> Number of retries for a transaction (default 3)

ip mobile home-agent revocation ignore

HA での PDSN/FA への失効受信応答の送信を有効にして、バインディングは削除しないようにするには、ip mobile home-agent revocation ignore グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent revocation ignore fa acl

no ip mobile home-agent revocation ignore fa acl

 
シンタックスの説明

fa-acl

ACL 番号 1 ~ 99、FA 標準拡張アクセス リスト番号 1300 ~ 1999、または FA アクセス リスト名を指定します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(14)YX5

このコマンドが導入されました。

 
使用上のガイドライン

サブスクライバが自分のサービス プロバイダーのネットワークと他のパートナーのサービス プロバイダーのネットワークの間でローミングすると、PDSN ゲートウェイはリソース失効メッセージを Home Agent に送信してサブスクライバを削除します。これによりタイミング問題が発生します。したがって、Selective FA Revocation はこれらの「remove subscriber」要求を選択して無視します。失効は FA に基づいて実行されます。そのため、所定の HA は、「remove subscriber」メッセージを無視する FA のリストをスタティックに設定します。Selectable FA Revocation ならば、Hybrid PDSN/FA は上記の条件を通り、Revocation を HA に送信します。ただし、HA が失効を無視すると、RR 応答を PDSN に送信します。

この結果、MN と HA にはまだバインディング ステートがありますが、PDSN/FA には PPP セッション/ビジター テーブル エントリはありません。実際にモバイルはアクティブになり、Data Ready to Send があります。これには 1x RF チャネル DRS=1 が含まれます。このシナリオでは、VLR はクエリーされず、PDSN への OpenRP メッセージでは MEI が 1 に設定されています。MEI 値に関係なく、PDSN は PPP を開始し、事前に割り当てられたホーム アドレスがある RRQ を送信します。この場合、HA は Re-registration を受信します。

次に、ip mobile home-agent revocation ignore コマンドの例を示します。

standard access-list 番号または standard access-list 名を指定することで、FA からの失効を無視できます。

COA 5.1.1.4 からの要求を無視するよう access-list 名を設定

 
Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name
Router(config)#ip access-list standard fa_acl1
Router(config-std-nacl)#permit 5.1.1.4
 
 

COA 5.1.1.5 からの要求を無視するよう access-list 番号を設定

Router(config)#ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-list name
Router(config)#ip access-list standard 1
Router(config-std-nacl)#permit 5.1.1.5
 
 

FA 5.1.1.4 からの要求を選択して、無視するよう access-list 名を設定。これは、上記で作成した ACL と ip mobile home-agent revocation ignore コマンドを関連付けます。

 
Router((config)#ip mobile home-agent revocation ignore ?
<1-99> fa Access-list number
WORD fa Access-list name
Router(config)#ip mobile home-agent revocation ignore fa_acl1
 

FA 5.1.1.5 からの要求を選択して、無視するよう access-list 番号を設定

Router(config)#ip mobile home-agent revocation ignore 1

ip mobile home-agent switchover aaa swact-notification

各 MIP セッションに対するアカウンティング ウォッチドッグ/停止メッセージ内のスイッチオーバー後、スイッチオーバー アクション(swact)通知を送信するには、ip mobile home-agent switchover aaa swact-notification グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile home-agent switchover aaa swact-notification

no ip mobile home-agent switchover aaa swact-notification

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次の例では、HA が各 MIP セッションで swact 通知を送信するように設定します。

router(config)# ip mobile home-agent switchover aaa swact-notification

ip mobile home-agent template tunnel

Home Agent がテンプレート トンネルを使用するように設定するには、グローバル コンフィギュレーション モードで ip mobile home-agent template tunnel コマンドを使用します。この機能を無効にするには、no 形式を使用します。

ip mobile home-agent template tunnel interface id address home agent address

no ip mobile home-agent template tunnel interface id address home agent address

 
シンタックスの説明

interface id

ACL の割り当て元になるテンプレート トンネル インターフェイス ID を指定します。

address home agent address

Home Agent アドレスを指定します。ACL は、home agent address を使用してローカル エンド ポイントとしてトンネルに適用されます。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(8)XJW

このコマンドが導入されました。

次に、ip mobile home-agent template tunnel コマンドの例を示します。

Router(config)# interface tunnel 10

ip access-group 150 in -------> apply access-list 150

Router (config)# access-list 150 deny any 10.10.0.0 0.255.255.255

access-list permit any any

------> permit all but traffic to 10.10.0.0 network

Router (config)# ip mobile home-agent template tunnel 10 address 10.0.0.1

ip mobile host

モバイル ホストまたはモバイル ノード グループを設定するには、 ip mobile host グローバル コンフィギュレーション コマンドを使用します。PDSN の場合、このコマンドは、同じ NAI の複数のフローに対するスタティック IP アドレスまたはアドレス プールを設定するために使用します。

ip mobile host { lower [ upper ] | nai string { static-address { addr1 [ addr2 ] [ addr3 ] [ addr4 ] [ addr5 ] | local-pool name } | address { addr | pool { local name | vpdn-tunnel | dhcp-proxy-client [dhcp-server addr ]} { interface name | virtual-network network_address mask } [ skip-chap | aaa [ load-sa permanent ] ] [ authorized-pool pool ] [ skip-aaa-reauthentication [reregistration | deregistration] ] [ care-of-access acl ] [ lifetime number ]

no ip mobile host { lower [ upper ] | nai string { static-address { addr1 [ addr2 ] [ addr3 ] [ addr4 ] [ addr5 ] | local-pool name } | address { addr | pool { local name | vpdn-tunnel | dhcp-proxy-client [dhcp-server addr ]} { interface name | virtual-network network_address mask } [ skip-chap | aaa [ load-sa permanent ] ] [ authorized-pool pool ] [ skip-aaa-reauthentication [reregistration | deregistration] ] [ care-of-access acl ] [ lifetime number ]

 
シンタックスの説明

lower [ upper ]

モバイル ホストまたはモバイル ノード グループの 1 つまたは一定の範囲内の IP アドレスです。範囲の上端の指定はオプションです。

nai string

ネットワーク アクセス識別子です。NAI は固有の識別子(username@realm)またはグループ識別子(realm)の場合があります。

static-address

スタティック IP アドレスをこの NAI 上のフローに割り当てることを示します。このパラメータは、NAI がレルムの場合は有効ではありません。

addr1, addr2, ...

(オプション)static-address キーワードを使用して割り当てる 1 つまたは複数の IP アドレスです。

local-pool name

スタティック IP アドレスをこの NAI に割り当てるために使用する、アドレスのローカル プール名です。

address

ダイナミック IP アドレスをこの NAI 上のフローに割り当てることを示します。

addr

address キーワードを使用して割り当てられる IP アドレスです。

pool

ダイナミック IP アドレスの割り当てにアドレスのプールを使用することを示します。

local name

アドレスの割り当てに使用するローカル プール名です。

vpdn-tunnel

MIP-LAC トンネルを始動するために必須の設定です。MIP-LAC 機能を使用し、モバイル IP クライアントに対するアドレスを LNS サーバから取得する必要があることを示します。

dhcp-proxy-client

DHCP クライアントのプールを使用することを示します。

dhcp-server addr

DHCP サーバの IP アドレスです。

interface name

指定したインターフェイスに属するモバイル ノードです。DHCP と一緒に使用する場合、これにより、DHCP サーバがアドレスを選択するアドレス プールを指定します。

virtual-network network_address mask

指定した仮想ネットワーク内にあるモバイル ステーションを示します。このネットワークは、 ip mobile virtual-network コマンドを使用して作成されています。

skip chap

skip-chap が設定されている場合、モバイル IP 登録要求のためのアクセス要求は Home Agent から AAA に送信されません。

aaa

(オプション)AAA(TACACS+ または RADIUS)サーバからセキュリティ アソシエーションを取得します。

load-sa

(オプション)取得後にメモリ内のセキュリティ アソシエーションを保存します。

permanent

(オプション)取得したあとに、メモリ内のセキュリティ アソシエーションを恒久的にキャッシュします。このオプション キーワードを NAI ホストに対してだけ使用します。

authorized-pool pool

モバイルに割り当てられた IP アドレスが pname で指定されたプール内にある場合に、その IP アドレスが確認されます。

skip-aaa-reauthentication

設定した場合、モバイル IP 再登録要求および登録解除要求を認証するためのアクセス要求は、Home Agent から送信されません。無効に設定した場合、すべてのモバイル IP 登録要求に対するアクセス要求が Home Agent から送信されます。

reregistration

設定された場合、AAA 認証は登録時および登録解除時にだけ発生します。

deregistration

設定された場合、AAA 認証は登録時および再登録時にだけ発生します。

care-of-access acl

(オプション)アクセス リストです。これには、文字列または 1 ~ 99 の数値を使用できます。モバイル ノードのローミング場所(許容される気付アドレス)を制御します。

lifetime number

(オプション)秒数での継続時間です。各モバイル ノード(グループ)の継続時間は、グローバル値を上書きするように設定できます。使用可能な値は 3 ~ 65535 です。

 
デフォルト

ホストが設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

nai キーワードおよび関連するパラメータが追加されました。

12.2(8)ZB6

skip-aaa-reauthentication キーワードおよび authorized-pool キーワードが追加されました。

12.4(15)XM

vpdn-tunnel キーワードが導入されました。

12.4(22)YD

reregistration キーワードおよび deregistration キーワードが追加されました。

 
使用上のガイドライン

このコマンドは、モバイル ホストまたはモバイル ノード グループ( lower アドレスから upper アドレスの範囲)を設定し、Home Agent でサポートされるようにします。これらのモバイル ノードは、インターフェイス上のネットワークまたは仮想ネットワーク上に属します( ip mobile virtual-network コマンドを使用)。各モバイル ホストのセキュリティ アソシエーションは、 ip mobile secure コマンドを使用するか、AAA サーバからダウンロードして設定します。AAA サーバを使用する場合、ルータは、コマンドが入力されると、すべてのセキュリティ アソシエーションをダウンロードしようとします。セキュリティ アソシエーションが取得されない場合は、登録要求が到着したとき、または clear ip mobile secure コマンドが入力されたときに取得が試みられます。

すべてのホストには、登録認証のセキュリティ アソシエーションが必要です。モバイル ノードは、複数のセキュリティ アソシエーションを持つことができます。 表 8 に示すメモリ消費の計算は、モバイル ノードあたりの 1 つのセキュリティ アソシエーションの推定値に基づいています。

nai キーワードを使用すると、特定のモバイル ステーションまたはモバイル ステーションの範囲を指定できます。モバイル ステーションでは、スタティック IP アドレス(static-address キーワード)を要求できます。これは、addr1 変数(特定のアドレスの場合)または local-pool キーワード(アドレス プールからの IP アドレスの場合)を使用して設定します。モバイル ステーションでは、ダイナミック アドレス(address キーワード)も要求できます。これは、addr 変数(特定のアドレスの場合)または pool キーワード(プールまたは DHCP サーバからの IP アドレスの場合)を使用して設定します。このコマンドを PDSN プロキシ モバイル IP 機能と共に使用し、ip mobile proxy-host nai コマンドでレルムが指定されると、このコマンドではアドレス プールだけを指定できます。

ip mobile host コマンドには、vpdn-tunnel オプションが追加されました。このキーワードは MIP-LAC トンネルを始動するために必要です。MIP-LAC 機能を有効にするため、 ip mobile realm コマンドの vpdn-tunnel virtual-template オプションを設定する必要もあります。このレルムと一致するすべての MIP セッションが、対応する L2TP セッションとマップされます。ユーザの MIP-LAC が有効になっていて、HA が認証または認可用の AAA に到達できない場合は、ローカル設定で VPDN パラメータが確認されます。

アドレス プールは、ローカル プールまたは DHCP プロキシ クライアントを使用することで定義できます。DHCP の場合、interface name で DHCP サーバの選択元となるアドレス プールを指定し、dhcp-server で DHCP サーバ アドレスを指定します。

セキュリティ アソシエーションは、次の 3 つの方法のうちいずれかを使用して保存できます。

ルータ上で取得

AAA サーバ上で、登録が行われるたびにセキュリティ アソシエーションを取得

AAA サーバ上で、セキュリティ アソシエーションを取得および格納

どの方法にもメリットとデメリットがあり、 表 8 ではこれについて説明します。

表 8 セキュリティ アソシエーションの保存方法

保存方法
メリット
デメリット

ルータ上

セキュリティ アソシエーションがルータ メモリにあるため、高速な検索を実現できます。

1500 個より少ないモバイル ノードをサポートする Home Agent の場合は、これによって最適な認証性能とセキュリティが提供されます(キーがルータを離れないため)。

ルータの NVRAM が限定されているため、セキュリティ アソシエーションを多数保存することはできません。セキュリティ アソシエーションの設定は、それぞれ約 80 バイトになります。125 KB の NVRAM では、Home Agent に約 1500 個のセキュリティ アソシエーションを保存できます。

AAA サーバ上で、登録が行われるたびにセキュリティ アソシエーションを取得

AAA サーバ上でのセキュリティ アソシエーションの中央管理場所およびストレージとなります。

キーが頻繁に変わるときも、管理が 1 つのサーバに簡素化され、登録中に最新のキーが常に取得されます。

ルータ メモリ(DRAM)は維持されます。ルータは、セキュリティ アソシエーションをロードするメモリだけを必要とし、それが完了するとメモリを解放します。ルータでサポートされるモバイル ノードの数には制限がありません。

セキュリティ アソシエーションを取得するネットワークが必要です。また、他の格納方法より実行が遅く、ネットワークとサーバのパフォーマンスに依存します。

複数の Home Agent が 1 つの AAA サーバを使用するため、ボトルネックになって応答が遅くなる可能性があります。

AAA からの取得に使用されるパケットが暗号化されない場合(RADIUS または暗号化されない TACACS+ モードを使用する場合など)、キーをスヌープできます。

AAA サーバ上で、セキュリティ アソシエーションを取得および格納

AAA はオフロードのコンフィギュレーション サーバとして機能し、セキュリティ アソシエーションは、最初の登録が到着したときに、よりサイズの大きいルータ DRAM(16 MB、32 MB、64 MB など)にロードされます。各セキュリティ アソシエーションは 50 バイトの DRAM だけを使用するため、モバイル ノードが 10,000 あっても最大 0.5 MB にしかなりません。

キーがほとんど一定のままであっても、セキュリティ アソシエーションが一度ロードされると、Home Agent はルータ上に格納される場合と同等の速さで認証します。

必要とされるセキュリティ アソシエーションだけが、ルータ メモリにロードされます。登録を行わないモバイル ノードはメモリを消費しません。

モバイル ノードの登録後に AAA サーバ上でキーが変わった場合、 clear ip mobile secure コマンドを使用してクリアし、新しいセキュリティ アソシエーションを AAA からロードする必要があります。そうしないと、ルータのセキュリティ アソシエーションが古くなります。


) load-sa を使用すると、AAA からダウンロードされたセキュリティ アソシエーションはキャッシュされ、HA に格納されるため、モバイルの更新用にセキュリティ アソシエーションをダウンロードするための RADIUS 要求は不要になります。モバイル IP 再登録要求メッセージ(RRQ)を受信したとき、または RRQ(0) の受信時にセッションを終了中に、AAA にアクセスして認証しないようにするには、skip-aaa-reauthentication オプションを使用します。



) Mobile Wireless Home Agent では、次の条件が適用されます。

aaa load-sa オプションが設定されている場合、Home Agent は最初の登録で SA をローカルにキャッシュします。このとき、Home Agent は、再登録時に RADIUS 認証手順を開始しません。

aaa load-sa skip-aaa-reauthentication が設定されている場合、Home Agent は最初の登録時に SA をローカルにキャッシュしますが、Home Agent は再登録のための HA-CHAP 手順を開始しません。

aaa load-sa permanent オプションは、Mobile Wireless Home Agent ではサポートされておらず、これは設定しないでください。



) リリース 5.0 では、MN の NAI が、設定済みの NAI と一致する場合にだけ ip mobile host nai string aaa load-sa skip-aaa-reauth [ reregistration | deregistration] 設定が適用されます。

デフォルトでは、認証は、設定内でリストされている 3 つのすべてのイベントで発生します。上記の CLI が設定されていない場合は、登録、再登録、および登録解除のイベント時に認証が行われます。ただし、MN に新しい SPI がある場合、そのユーザについての skip-aaa-reauth の設定は無視される点に注意してください。
レルム単位(VRF ベース)で行われる可能性のある、再登録および登録解除のイベントの設定があります。ip mobile host nai string aaa load-sa skip-aaa-reauth [ reregistration | deregistration]

デフォルト設定では、認証が 3 つのすべてのイベントで発生します。つまり、ip mobile host nai string aaa load-sa です。デフォルト設定を ip mobile host nai string aaa load-sa skip-aaa-reauth と仮定する例では、AAA 認証は登録時にだけ発生します。

ip mobile host nai string aaa load-sa skip-aaa-reauth deregistration では、AAA 認証は登録時と再登録時に発生します。

ip mobile host nai string aaa skip-chap では、最初の登録、再登録、および登録解除のイベントで認証は発生しません。

ip mobile host nai string aaa load-sa skip-aaa-reauth reregistration では、AAA 認証は登録時および登録解除時にだけ発生します。



) 注:「load-sa」により、HA は、セッション全体を通じて、mobile-home 認証のセキュリティ アトリビュートをダウンロードしてローカルに格納します。このパラメータがないと、HA は、mobile-home 認証のセキュリティ アトリビュートをローカルに格納しないため、その後の再登録または登録解除でこれらを AAA から取得する必要が生じます。



) リリース 5.1 では、フル NAI に対して ip mobile host コマンドが設定されると、対応するレルムに対してローカルに設定された SA は適用されません。ローカルの SA を適用する必要がある場合、フル NAI に対して別途設定する必要があります。たとえば、次の場合を考えます。
-ip mobile host nai @cisco.com virtual-network ip1 mask1 aaa
-ip mobile host nai user1@cisco.com virtual-network ip2 mask2 aaa
-ip mobile secure host nai @cisco.com spi 100 key ascii CISCO

ここで、@cisco.com に設定された SA は user1@cisco.com に適用されません。このユーザに対してローカル SA を適用する必要がある場合は、1 つの SA を別途設定する必要があります。
ip mobile secure host nai user1@cisco.com spi 100 key ascii YAHOO

この機能は、3GPP2 ユーザに対してだけサポートされ、Wimax ユーザに対してはサポートされません。



) リリース 5.1 では、ip mobile host nai コマンドで aaa キーワードを設定できるようになりました。対応する NAI には引き続き ip mobile secure host コマンドを設定します。同じ NAI とレルムを両方のコマンドに設定できます。


このコマンドは、load-sa が設定されている場合、ローカルに設定した SA を使用しているときでも SA のキャッシュをサポートします。したがって、load-sa が設定されていると、ローカルに設定した SA を使用しているときでも再認可は行われません。さらに、skip-aaa-reauth が設定されていると、ローカルに設定した SA を使用しているときは AAA に対する再認証は行われません。

[rereg | dereg] オプションを指定すると、再登録か登録解除の場合に限り、再認証と再認可を行わないようにできます。

次に、モバイル ノード グループを仮想ネットワーク 20.0.0.0 に配置し、そのセキュリティ アソシエーションを AAA サーバに格納する設定例を示します。

ip mobile host 20.0.0.1 20.0.0.3 virtual-network 20.0.0.0 aaa
 

次に、cisco.com ドメインのモバイル ステーションに IP アドレスを割り当てるために使用する、ローカルなダイナミック アドレス プールの設定例を示します。

ip mobile host nai @cisco.com address pool local mobilenodes virtual-network 9.0.0.0 255.0.0.0 aaa lifetime 65535
 

次に、cisco.com ドメインのモバイル ステーションに IP アドレスを割り当てるために使用する、ローカルなスタティック アドレス プールの設定例を示します。

ip mobile host nai @cisco.com static-address local-pool mobilenodes
 

 
関連コマンド

コマンド
説明

aaa authorization ipmobile

AAA サーバからセキュリティ アソシエーションを取得するため、TACACS+ または RADIUS を使用してモバイル IP を認可します。

ip mobile secure

モバイル ホスト、ビジター、Home Agent、および Foreign Agent に対してモビリティ セキュリティ アソシエーションを指定します。

show ip mobile host

モバイル ステーションのカウンタおよび情報を表示します。

ip mobile proxy-host

PDSN のプロキシ モバイル IP のアトリビュートを設定します。

ip mobile options

モバイル IP オプションの設定を有効にし、モバイル IP コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ip mobile options コマンドを使用します。モバイル IP コンフィギュレーション モードを終了するには、このコマンドの no 形式を使用します。

ip mobile options [realm case-insensitive] [om-metric-interval]

no ip mobile options [realm case-insensitive] [om-metric-interval]

 
シンタックスの説明

realm case-insensitive

(オプション)Realm Case-Insensitive 機能を有効にします。

om-metric-interval

(オプション)OM メトリックの収集間隔を設定します。

 
コマンド モード

グローバル コンフィギュレーション

 
関連コマンド

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

 
使用上のガイドライン

Realm Case Insensitive 機能により、case insensitive realm パラメータを使用して、設定済みのコマンドを RRQ NAI と一致させることができます。ただし、ユーザ名の大文字と小文字は引き続き区別されます。

次に、例を示します。

HA(config)# ip mobile options

 
関連コマンド

コマンド
説明

om-metric-interval

OM メトリックの収集間隔を設定します。

realm case-insensitive

Realm Case-Insensitive 機能を有効にします。

ip mobile radius disconnect

HA で RADIUS 切断メッセージの処理を有効にするには、グローバル コンフィギュレーション モードで ip mobile radius disconnect コマンドを使用します。HA で RADIUS 切断メッセージの処理を無効にするには、このコマンドの no 形式を使用します。

ip mobile radius disconnect

no ip mobile radius disconnect

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定では、RADIUS 切断メッセージは処理されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

 
使用上のガイドライン


) POD 要求が AAA で処理されるようにするには、aaa server radius dynamic-author コマンドを設定する必要があります。



) HA に対して radius-server attribute 32 include-in-access-req を設定し、アクセス要求で FQDN を送信する必要があります。


次に、ip mobile radius disconnect コマンドの例を示します。

Router# ip mobile radius disconnect

ip mobile realm

特定のセッション アトリビュートが提示されたときにインバウンド ユーザ セッションの切断を有効にし、Home Agent でポリシー パラメータを設定して、それらを APN インターフェイスから QoS にアタッチおよび識別するには、グローバル コンフィギュレーション モードで ip mobile realm グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile realm { realm | nai } [in-acl in-acl-name] [ out-acl out-acl-name] {vrf vrf-name [ha-addr ip-address] [aaa-group [accounting aaa-acct-group | authentication aaa-auth-group]]} periodic minutes accounting [ data-path-idle timer value] [dns dynamic-update method word] [dns server primary dns server address secondary dns server address [ redirect ] [assign]] [hotline [ capability [all | httpredir | ipfilter | ipredir | profile ] redirec t [ ip | http ] | [ non-hotline profile profile-id ] | rule-based flag ]] [ vpdn-tunnel virtual-template number [ setup-time number ]] [ service-policy { input policy-name [ peak-rate rate ] | output policy-name [ peak-rate rate ]}] [ any-traffic | next-hop next-hop-ipadress ] [ mip-udp-tunnel template-num] [ absolute-time interval-in-seconds]

no ip mobile realm { realm | nai } [in-acl in-acl-name ] [ out-acl out-acl-name] [ vrf vrf-name ha-addr ip-address] [aaa-group [accounting aaa-acct-group | authentication aaa-auth-group]] periodic minutes accounting [ data-path-idle timer value] [dns dynamic-update method word] [dns server primary dns server address secondary dns server address [ redirect ] [assign]] [[hotline [ capability [all | httpredir | ipfilter | ipredir | profile ] redirec t [ ip | http ] [ non-hotline profile profile-id ] | rule-based flag ]] [ vpdn-tunnel virtual-template number [ setup-time number ]] [ service-policy { input policy-name [ peak-rate rate ] | output policy-name [ peak-rate rate ]}] [ any-traffic | next-hop next-hop-ipadress ] [ mip-udp-tunnel template-num] [ absolute-time interval-in-seconds]

 
シンタックスの説明

realm

指定したレルムの名前です。

nai

指定した NAI の名前です。

in-acl in-acl-name

(オプション)アップストリーム データ トラフィックの拡張アクセス リストの名前です。

out-acl out-acl-name

(オプション)ダウンストリーム データ トラフィックの拡張アクセス リストの名前です。

vrf vrf name

(オプション)指定したグループの VRF サポートを有効にします。

ha-addr ip-address

(オプション)Home Agent の IP アドレスです。ha-addr は下位互換用のオプションであり、これにより、一部の VRF で固有の HA のアドレスを使用し、一部の VRF で共通の HA アドレスを使用する設定になります。

aaa-group

(オプション)AAA グループを示します。

accounting aaa-acct-group

(オプション)AAA アカウンティング グループを指定します。

authentication aaa-auth-group

(オプション)AAA 認証グループを指定します。

periodic minutes accounting

(オプション)このコマンドを使用すると、ドメイン単位のアカウンティングの定期的な間隔のアップデート(VRF 機能あり、またはなし)が有効になり、アカウンティング用に AAA グループが設定されます。minutes の値に対応する間隔で、AAA アカウンティング メッセージが AAA サーバに送信されます。

アカウンティングは、定期的な間隔のあとのキーワード accounting を設定することにより、レルム単位で有効にできます。

data-path-idle timer value

ip mobile realm x@y data-path-idle minutes:一定期間(アイドル期間)に、指定したレルムに一致する、モビリティ ホストと NAI とのトラフィックが発生しない場合に、ドメイン内のモビリティ バインディング エントリを削除します。範囲は 1 ~ 65535 です。

dns dynamic-update method word

(オプション)指定したレルムの DNS アップデート手順を有効にします。word は、ダイナミック DNS アップデート方式名です。

dns server primary dns server address secondary dns server address

(オプション)DNS サーバのアドレスをローカルで設定できます。

redirect

(オプション)このレルムについて、DNS リダイレクション機能を有効にします。

assign

(オプション)指定したレルムについて、この機能を有効にします。

hotline

(オプション)モバイル ホストのホットラインを有効にします。

capability profile-based redirect ip

(オプション)ユーザに対し、IP リダイレクション ルールを使用したプロファイルベースのホットラインを設定します。realm には NAI またはレルムを指定します。

all すべてのホットライン機能をサポート
httpredir HTTPRedir ルール ベースのホットライン
ipfilter IPFilter ルール ベースのホットライン
ipredir IPRedir ルール ベースのホットライン
profile プロファイル ベースのホットライン

non-hotline profile profile-id

(オプション)レルムは、ローカルで設定済みプロファイルと関連付けられる必要があります。レルムとプロファイルは 1 対 1 でだけ関連付けることができます。複数のプロファイル値を設定する場合、HA は現在の値を、設定されている最新のプロファイル ID で上書きします。

capability profile-based redirec t http

(オプション)ユーザに対し、HTTP リダイレクション ルールを使用したプロファイルベースのホットラインを設定します。realm には NAI またはレルムを指定します。

rule-based flag

(オプション)ユーザに対し、ルールベースのホットラインを設定します。realm には NAI またはレルムを指定します。

vpdn-tunnel virtual-template number

(オプション)vpdn-tunnel virtual-template number を設定できます。

setup-time number

(オプション)セットアップ時間を設定できます。setup-time の値の範囲は、5 ~ 300 秒です。setup-time のデフォルト値は 60 秒です。setup-time オプションを明示的に指定しない場合は、デフォルト値が使用されます。

service-policy

(オプション)NAI またはレルム単位で、ポリシーに関連付けられた 1 つ以上のユーザ バインディングに対し、ポリシーおよび対応レートを設定します。

input policy-name [ peak-rate rate ]

入力方向(ダウンストリーム)でポリシー マップをアタッチします。 peak-rate は、ポリシング レート値(bps 単位)です。範囲は 8000 ~ 2000000000 です。

output policy-name [ peak-rate rate ]}]

出力方向(アップストリーム)でポリシー マップをアタッチします。 peak-rate は、ポリシング レート値(bps 単位)です。範囲は 8000 ~ 2000000000 です。

any-traffic next-hop next-hop-ipadress

そのレルムのネクストホップ アドレスを設定します。

any-traffic は、そのモバイル ノードからのアップストリームのすべてのトラフィックがリダイレクトされるように指示します。

next-hop はネクストホップ機能を指定します。

next-hop-ip-address は、ネクストホップの IP アドレスです。パケットはこのアドレスにリダイレクトされます。

mip-udp-tunnel template-num

(オプション) template-num は、すでにグローバルに設定されている Virtual-Template の数で、ipmobile HWIDB の作成に使用する必要があります。

absolute-time interval-in-seconds

(オプション)「absolute-time」を HA にローカルで設定します。ただし、Session- Timeout [27] が AAA からダウンロードされると、その方が優先度が高くなり、ローカルで設定された absolute-time value が上書きされます。

 
デフォルト

setup-time が指定されない場合、デフォルト値は 60 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

12.3(14)YX

dns server assign および dns dynamic-update method の各変数が導入されました。

12.4(15)XM

capability、redirect [ip | http]、rule-based flag、 vpdn-tunnel virtual-template、setup-time、service policy、input、output、peak-rate および any traffic next hop の各オプションが導入されました。

12.4(22)YD

periodic minutes accounting、 mip-udp-tunnel template-num、および data-path-idle minutes の各オプション が追加されました。

12.4(22)YD1

redirect と non-hotline profile、および absolute-time value の各キーワードが追加されました。

 
使用上のガイドライン

このコマンドでは、ドメイン「@xyz.com」の VRF を定義します。また、MOIP トンネルの終端となる、VRF に対応する Home Agent の IP アドレスも定義します。Home Agent の IP アドレスは、ボックス上のルーティング可能な IP アドレスにする必要があります。オプションで、VRF 単位の AAA アカウンティングおよび認証サーバ グループを定義できます。AAA アカウンティング サーバ グループを定義すると、レルムのユーザのすべてのアカウンティング レコードが、指定したグループに送信されます。AAA 認証サーバ グループを定義すると、HA-CHAP が、そのグループに定義されているサーバに送信されます。

word 引数は nai/realm として指定し、@cisco.com/username@cisco.com という形式を使用する必要があります。そうしないと、このコマンドを実行するとエラー メッセージが表示されます。最低限 1 つの形式のホットラインを選択する必要があります。ユーザに対してルールベースのホットラインを有効にするデフォルト ルールはありません。この CLI を設定しないと、ユーザに対するルールベースのホットライン機能は消去されます。上記のコマンドの値はフラグとして指定します。フラグの値の説明は次のとおりです。

0x00000001 プロファイルベースのホットラインがサポートされます(RADIUS Filter-Id アトリビュートを使用)。
0x00000002 フィルタ ルールを使用したルールベースのホットラインがサポートされます。
0x00000004 HTTP リダイレクション ルールを使用したルールベースのホットラインがサポートされます。
0x00000008 IP リダイレクション ルールを使用したルールベースのホットラインがサポートされます。

[ service-policy { input policy-name [ peak-rate rate ] | output policy-name [ peak-rate rate ]}] 変数により、ポリシーおよび対応レートを、そのポリシーに属する 1 つ以上のユーザ バインディングに対して、NAI またはレルム単位で設定できます。これは、アップストリームおよびダウンストリーム両方のトラフィックに対して設定できます。バーストおよびピークバーストは、policy-map 設定で設定できます。

vpdn-tunnel 設定の setup-time は省略してもかまいません。setup-time の値の範囲は、5 ~ 300 秒です。setup-time のデフォルト値は 60 秒です。setup-time オプションを明示的に指定しない場合は、デフォルト値が使用されます。

setup-time の設定値は、PPP IDB 作成時を起点とした最大許容時間です。この時間内に、再生成された PPP セッションが完全に起動される必要があります。この期間が経過しても L2TP トンネルが起動していない場合、モバイル IP モジュールはこのセッションの L2TP セッション(PPP IDB とモバイルのバインディング)を破棄します。また、tunnel vtemplate number の number オプションは、対応する interface virtual-template コマンドで設定される数値と一致していなければなりません。この点にも注意してください。

periodic キーワードは、値 minutes に対応する間隔での中間アカウンティング レコードの送信を定義します。

VRF 単位の設定は、レルム単位の設定より優先され、aaa accounting update periodic 設定より優先されます。


) ip mobile realm x@y data-path-idle minutes は、ip mobile home-agent data-path-idle minutes より優先されます。


リリース 5.1 の情報

特定のレルムに対する DNS リダイレクション機能を有効にするには、次のコマンドを設定します。

ip mobile realm word dns server primary DNS ip secondary DNS ip
ip mobile realm word dns server redirect
 

最初のコマンドの前に 2 番目のコマンドが設定されると、HA で次のエラー メッセージが表示されます。

Error: Primary and Secondary DNS not configured for realm

DNS リダイレクション機能はレルムベースのため、有効なレルムは @ または @domain だけです。たとえば、xyz@domain、xyz または xyz@ は有効なレルムのオプションではありません。エラーがあると、HA で次のエラー メッセージが表示されます。

DNS Redirection is allowed for realm only (e.g. @word)

 

特定のレルムに対して、プライマリ DNS サーバおよびセカンダリ DNS サーバを設定解除するコマンドが設定されていない場合、これにより、そのレルムに対する DNS リダイレクションは自動的に無効になります。

DNS リダイレクション機能を設定解除する際、CLI の no コマンドを発行しても、そのレルムの既存のバインディングは HA から削除されません。DNS リダイレクション機能だけが無効になります。

DNS サーバのモニタリングを有効にして可用性を確認するには、次の IP SLA CLI を設定します。この一連の IP SLA コンフィギュレーション コマンドは、HA によるモニタリングが必要なすべての DNS サーバ ノードで必須です。

ip sla 番号を割り当て、モニタリングが必要な IP アドレスを設定します。

[no] ip sla ipsla-number
icmp-echo ip-addr
frequency freq
 

上記の設定済みの DNS サーバが使用不能な場合に通知されるように ip sla を設定します。

[no] ip sla reaction-configuration ipsla-number react timeout threshold-type immediate action-type trapAndTrigger
 

上記の設定済みの DNS サーバが使用可能な場合に通知されるように ip sla を設定します。

[no] ip sla reaction-configuration ipsla-number react connectionLoss threshold-type immediate action-type trapAndTrigger

 

上記で設定した DNS サーバの可用性に関する通知を生成するように ip sla を設定します。

[no] ip sla enable reaction-alerts
 

上記で設定した DNS サーバのモニタリングを開始するように ip sla を設定します。

[no] ip sla sch ipsla-number start-time now life forever
 

次はそれぞれの説明です。

ipsla-number: DNS サーバをチェックするために割り当てられている IP SLA 番号です。

ip-addr: DNS サーバの IP アドレスです。

freq:秒単位のプローブの頻度です(デフォルトは 60)。

5.2 リリース の情報

VRF 間で HA アドレスを共有するには、GRE cvse キーをサポートするためのグローバル コンフィギュレーションが有効にされている必要があります。

VRF 間で HA アドレスを共有するには、PDSN が、MN フローを決定するための GRE キーを含める機能を備えている必要があります。

GRE_CVSE キーをサポートしない PDSN で処理されるレルムまたはドメインの場合、VRF 設定では、ha-addr を ip mobile realm vrf vrf1 ha-addr ip1 で指定する必要があります(異なる VRF に別々の ha-address を使用する古い方法)。

GRE_CVSE キーをサポートするが、MN フローに GRE キーを含める機能はサポートしない PDSN で処理されるレルムまたはドメインの場合、VRF 設定では、ha-address を ip mobile realm vrf vrf1 ha-addr ip1 で指定する必要があります(異なる VRF に別々の HA アドレスを使用する古い方法)。

GRE CVSE 拡張と、MN フローに GRE キーを含める機能の両方をサポートする PDSN で処理されるレルムまたはドメインの場合、VRF 設定では、ip mobile realm vrf vrf1 aaa のように HA アドレスを省略できます。

次の例では、DNS dynamic update キーワードを示します。

router(config)#ip mobile realm @ispxyz1.com dns ?
dynamic-update Enable 3GPP2 IP reachability
server DNS server configuration
 

次の例では、hotlining キーワードと vrf キーワードを示します。

router(config)# ip mobile realm @ispxyz1.com ?
dns Configure DNS details
hotline Hotlining of the mobile hosts
vrf VRF for the realm
 
Router(config)#ip mobile realm {realm | nai} hotline ?
capability Hotlining Capability of the mobile hosts
redirect Redirect ip address for upstream traffic
 
Router(config)#[no] ip mobile realm {realm | nai} hotline capability ?
all Support all Hotline Capabilities
httpredir HTTPRedir Rule-based Hot-Lining
ipfilter IPFilter Rule-based Hot-Lining
ipredir IPRedir Rule-based Hot-Lining
profile Profile-based Hot-Lining
Router(config)#
 

次に、ポリシー マップの設定例を示します。

Router(config)#ip mobile realm <nai | realm> ?
dns Configure DNS details
hotline Hotlining of the mobile hosts
service-policy QoS service policy attachment
vrf VRF for the realm
 
 
Router(config)#ip mobile realm <nai | realm> service-policy ?
input Attach policy-map in input direction (downstream)
output Attach policy-map in output direction (upstream)
<cr>
 
Router(config)#ip mobile realm <nai | realm> service-policy input ?
WORD Policy-map name in input direction
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> ?
output Attach policy-map in output direction (upstream)
peak-rate Police rate
<cr>
 
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> peak-rate ?
<8000-2000000000> Police rate value in bps
 
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> peak-rate <rate> ?
output Attach policy-map in output direction (upstream)
<cr>
 
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> peak-rate <rate> output ?
WORD Policy-map name in output direction
 
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> peak-rate <rate> output <policyname> ?
peak-rate Police rate
 
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> peak-rate <rate> output <policyname> peak-rate ?
<8000-2000000000> Police rate value in bps
 
Router(config)#ip mobile realm <nai | realm> service-policy input <policyname> peak-rate <rate> output <policyname> peak-rate <rate>
 

次に、data-path-idle timer-value オプションの例を示します。

cisco-1@cisco.com (Bindings 1):
MAC Addr 0000.0001.0000
Home Addr 5.1.0.1
Care-of Addr 2.2.2.200, Src Addr 2.2.2.200
Lifetime granted 10:00:00 (36000), remaining 09:52:39
IdleTime granted 00:10:00 (10 min), remaining 00:09:24
Flags sBdmg-T-, Identification CCA7F408.1
Tunnel0 src 81.81.81.81 dest 2.2.2.200 reverse-allowed
Routing Options - (T)Reverse-tunnel
Access-tech Type: 3GPP2 (3GPP2 1xRTT/HRPD)
Revocation negotiated - I-bit not set

ip mobile secure

モバイル ホスト、ビジター、Home Agent、Foreign Agent、およびプロキシ ホストのモビリティ セキュリティ アソシエーションを指定するには、 ip mobile secure グローバル コンフィギュレーション コマンドを使用します。モビリティ セキュリティ アソシエーションを削除するには、このコマンドの no 形式を使用します。

ip mobile secure { host lower-address [upper-address] | visitor address | home-agent address | foreign-agent address} { inbound-spi spi-in | outbound-spi spi-out | spi spi } key hex string [ replay timestamp [ number ] algorithm md5 mode prefix-suffix ]

no ip mobile secure { host lower-address [upper-address] | visitor address | home-agent address | foreign-agent address} { inbound-spi spi-in | outbound spi-out | spi spi } key hex string [ replay timestamp [ number ] algorithm md5 mode prefix-suffix ]

 
シンタックスの説明

host

Home Agent 上にある、モバイル ホストのセキュリティ アソシエーションです。

lower address

ホスト、ビジター、またはモビリティ エージェントの IP アドレス、あるいは IP アドレス プールの下位の範囲です。

upper-address

(オプション)IP アドレス プールの上位の範囲です。

visitor

Foreign Agent 上にある、モバイル ホストのセキュリティ アソシエーションです。

home-agent

Foreign Agent 上にある、リモート Home Agent のセキュリティ アソシエーションです。

foreign-agent

Home Agent 上にある、リモート Foreign Agent のセキュリティ アソシエーションです。

address

ビジターまたはモビリティ エージェントの IP アドレスです。

inbound-spi spi-in

着信登録パケットの認証に使用されるセキュリティ パラメータ インデックスです。範囲は、0x100 から 0xffffffff までです。

outbound-spi spi-out

送信登録パケットのオーセンティケータの計算に使用されるセキュリティ パラメータ インデックスです。範囲は、0x100 から 0xffffffff までです。

spi spi

双方向 SPI です。範囲は、0x100 から 0xffffffff までです。

key hex string

ASCII または 16 進数の文字列の値です。スペースは使用できません。

replay

(オプション)登録パケットで使用される再送保護です。

timestamp

(オプション)timestamp メソッドを使用したスプーファーによって着信パケットが「再送」されないよう、着信パケットを検証するために使用されます。

number

(オプション)秒数です。登録は、指定された時間内に受信されると有効です。つまり、送信側と受信側の時間が同期されているという意味です(NTP 使用可能)。

algorithm

(オプション)登録中に、メッセージの認証に使用されるアルゴリズムです。

md5

(オプション)Message Digest 5 です。

mode

(オプション)登録中に、認証に使用されるモードです。

prefix-suffix

(オプション)認証の登録情報(キー登録情報キーなど)をラップするためにキーが使用され、メッセージ ダイジェストが計算されます。

 
デフォルト

セキュリティ アソシエーションは指定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2

lower-address 引数および upper-address 引数が追加されました。

 
使用上のガイドライン

セキュリティ アソシエーションは、エンティティ アドレス、SPI、キー、再送保護の方式、認証アルゴリズム、およびモードで構成されます。

SPI は、ピアの認証に使用される、特定のセキュリティ パラメータを選択する 4 バイトのインデックスです。セキュリティ パラメータは、認証アルゴリズムとモード、リプレイ アタック保護の方式、タイムアウト、および IP アドレスで構成されます。

Home Agent では、モバイル ホストのセキュリティ アソシエーションは、モバイル ホスト認証で必須です。必要に応じて、Home Agent 上で Foreign Agent のセキュリティ アソシエーションを設定してください。Foreign Agent では、ビジティング モバイル ホストのセキュリティ アソシエーションと、Home Agent のセキュリティ アソシエーションは省略できます。各エンティティに、複数のセキュリティ アソシエーションを設定できます。

timestamp 値が範囲を超えていることが原因で登録に失敗すると、Home Agent のタイムスタンプが返されるため、必要に応じて、モバイル ノードに Home Agent に近い time-stamp 値を登録できます。


) NTP を使用してすべてのパーティの時間を同期できます。



) HA リリース 5.0 以降では、home-agent オプションを設定する必要はありません。さらに、WiMax では、foreign-agent オプションを設定する必要はありません。


次に、文字列の MD5 ハッシュで生成されるキーを持つモバイル ノード 20.0.0.1 の例を示します。

Router# ip mobile secure host 20.0.0.1 spi 100 key hex 12345678123456781234567812345678

 
関連コマンド

コマンド
説明

ip mobile host

モバイル ホストまたはモバイル ノード グループを設定します。

ntp server

タイム サーバによるシステム クロックの同期を許可します。

show ip mobile secure

モバイル ホスト、モバイル ビジター、Foreign Agent、または Home Agent のモビリティ セキュリティ アソシエーションを表示します。

ip mobile proxy-host

PDSN のプロキシ モバイル IP のアトリビュートを設定します。

ip mobile tunnel

モバイル IP によって作成されるトンネルの設定を指定するには、ip mobile tunnel インターフェイス コンフィギュレーション コマンドを使用します。

ip mobile tunnel {crypto map map-name | route-cache | path-mtu-discovery | nat {inside | outside}}

 
シンタックスの説明

crypto map

新しいトンネルでの暗号化と復号化を有効にします。

map-name

クリプト マップの名前を指定します。

route-cache

トンネルをデフォルトまたはプロセス スイッチング モードに設定します。

path-mtu-discovery

トンネル MTU の有効期限が切れるタイミング(Path MTU Discovery で設定される場合)を指定します。

nat

トンネル インターフェイスでネットワーク アドレス変換(NAT)を適用します。

inside

ダイナミック トンネルを NAT の内部インターフェイスとして設定します。

outside

ダイナミック トンネルを NAT の外部インターフェイスとして設定します。

 
デフォルト

無効に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

 
使用上のガイドライン

Path MTU Discovery は、端末間でのフラグメンテーションが不要なパケット サイズを検出するために、端末で使用されます。トンネルでは、これを実現するため、MTU を最小の MTU インテリアに調整する必要があります。これは、RFC 2003 で説明されています。

検出されたトンネル MTU は定期的にエージング アウトし、検出時に次善の MTU が存在した場合に回復できるようにする必要があります。発信インターフェイスの MTU にリセットされます。

次の例では、検出されたトンネル MTU が 10 分で期限切れになるよう設定しています。

Router# ip mobile tunnel reset-mtu-time 600

ip mobile tunnel ip-ip conserve-ip-id threshold

FA-HA IP-in-IP トンネルの固有 IP ID を維持するには、ip mobile tunnel ip-ip conserve-ip-id threshold グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

ip mobile tunnel ip-ip conserve-ip-id threshold value

no ip mobile tunnel ip-ip conserve-ip-id threshold value

 
シンタックスの説明

value

しきい値 value は、外側の IP パケット サイズを示します。範囲は 576 ~ 1500 です。

 
デフォルト

この機能は、デフォルトでは有効ではなく、デフォルトのしきい値もありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを設定する際、パケット サイズがしきい値 value より大きい場合は、外側の IP ヘッダーに固有 IP ID が指定されて送信されます。それ以外の場合、ID フィールドは 0 に設定されます。しきい値を 1400 バイトに設定すると、サイズが 1401 以上のパケットは、固有 IP ID とともに送信されます。

ip mobile virtual-network

仮想ネットワークを定義するには、ip mobile virtual-network グローバル コンフィギュレーション コマンドを使用します。仮想ネットワークを削除するには、このコマンドの no 形式を使用します。

ip mobile virtual-network net mask [address addr]

no ip mobile virtual-network net mask [address addr]

 
シンタックスの説明

net

仮想ネットワークの IP アドレスと関連付けられたネットワークです。

mask

仮想ネットワークの IP アドレスと関連付けられたマスクです。

address addr

(オプション)仮想ネットワーク上の Home Agent の IP アドレスです。

 
デフォルト

Home Agent のアドレスは指定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.0(2)T

address キーワードが追加されました。

 
使用上のガイドライン

このコマンドは、仮想ネットワークをルーティング テーブルに挿入して、モバイル ノードが仮想ネットワークをホーム ネットワークとして使用できるようにします。ネットワークは、他のルーティング プロトコルに再分散されるときに伝播されます。


) ルーティング プロトコルを設定するときに、仮想ネットワークを含めることが必要になる場合があります。その場合、redistribute mobile router コンフィギュレーション コマンドを使用して、ルートを 1 つのルーティング ドメインから別のルーティング ドメインに再分散します。


次の例では、仮想ネットワーク 20.0.0.0 をルーティング テーブルに追加し、仮想ネットワークに対して HA IP アドレスがループバック インターフェイスで設定されるように指定します。

Router# ip mobile virtual-network

int e0
ip addr 1.0.0.1 255.0.0.0
standby ip 1.0.0.10
standby name SanJoseHA
 
int lo0
ip addr 20.0.0.1 255.255.255.255
 
ip mobile home-agent
ip mobile virtual-network 20.0.0.0 255.255.0.0 20.0.0.1
ip mobile home-agent standby SanJoseHA virtual-network

match flow mip-bind

指定したレートで、MN ユーザのクラスに属する各バインディングのパケットを分類するには、MQC class-map コンフィギュレーション モードで match flow mip-bind コマンドを使用します。分類を削除するには、このコマンドの no 形式を使用します。

match flow mip-bind

no match flow mip-bind

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

MQC class-map コンフィギュレーション サブモード

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

次に、match flow mip-bind コマンドの例を示します。

Router(config-cmap)# match flow mip-bind

match flow pdp

HA フローを分類するには、global class-map コンフィギュレーション モードで match flow pdp コマンドを使用します。

match flow pdp

no match flow pdp

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

global class-map コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

次に、match flow pdp コマンドの例を示します。

Router(conf t)# class-map <class-name>
Router(config-cmap)#match flow ?
pdp PDP context of flow
Router(config-cmap)# match flow pdp
Router(config-cmap)# end

om-metric-interval

OM メトリックの収集間隔を設定するには、モバイル IP コンフィギュレーション モードで om-metric-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

om-metric-interval {15 | 30 | 60}

no om-metric-interval

 
シンタックスの説明

15

OM メトリックの間隔を 15 分に設定します。

30

OM メトリックの間隔を 30 分に設定します。これはデフォルト設定です。

60

OM メトリックの間隔を 60 分に設定します。

 
デフォルト

om-metric-interval コマンドを設定しない場合、デフォルトの間隔は 30 分です。

 
コマンド モード

モバイル IP コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD2

このコマンドが導入されました。

 
使用上のガイドライン

OM メトリックの間隔は、アクティブなバインディング、アクティブな 3GPP2 バインディング、およびアクティブな WIMAX バインディングの最大数を確認するために、Home Agent がデータを収集する期間です。

次の例では、OM メトリックの間隔を 60 分に設定する方法を示します。

HA(config)# ip mobile options
HA(config-ipmobile-options)# om-metric-interval 60

 
関連コマンド

コマンド
説明

ip mobile options

モバイル IP オプションの設定を有効にし、モバイル IP コンフィギュレーションモードを開始します。

realm case-insensitive

Realm Case-Insensitive 機能を有効にします。

police rate mip-binding

すでに MQC で識別された個々の MN バインディングを指定のレートに基づいてポリシングするには、設定済みのクラスに固有の、policy-map コンフィギュレーション モードで指定された police rate mip-binding コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

police rate mip-binding [ bc bytes ] [ peak-rate mip-binding [ be bytes ]]

no police rate mip-binding [ bc bytes ] [ peak-rate mip-binding [ be bytes ]]

 
シンタックスの説明

bc bytes

bc バイトを指定します。

peak-rate mip-binding

ピーク レート mip バインディングを指定します。

be bytes

be バイトを指定します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

policy-map コンフィギュレーション サブモード

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

次に、police rate mip-binding コマンドの例を示します。

Router (config-pmap-c)# class-map class-mip
match flow mip-binding
policy-map policy-mip-flow
class class-mip
police rate mip-binding [bc bytes] [peak-rate mip-binding [be byes]] conform-action action exceed-action action violate-action action

 

 

police rate pdp

バインディング フローでポリシング アクションを呼び出すには、global policy-map コンフィギュレーション モードで police rate pdp コマンドを使用します。

police rate pdp [ burst bytes ] [ peak-rate pdp [ peak-burst bytes ]] conform-action action [ exceed-action action [ violate-action action]]

no police rate pdp [ burst bytes ] [ peak-rate pdp [ peak-burst bytes ]] conform-action action [ exceed-action action [ violate-action action]]

 
シンタックスの説明

burst

バースト パラメータを指定します。

peak-rate pdp

ピーク レート pdp バインディングを指定します。

peak-burst

peak-rate の peak-burst パラメータを指定します。

conform-action

レートが適合バースト未満の場合のアクションを指定します。

exceed-action

レートが適合バースト、および適合バーストと超過バーストの場合のアクションを指定します。

violate-action

レートが適合バーストと超過バーストを超える場合のアクションを指定します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

policy-map コンフィギュレーション サブモード

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

peak-rate pdp パラメータにより、各バインディング フローに対して指定されたレートに基づいてポリシングが確実に実行されます。実際のレートは、上記で説明した mobile ip コマンドを使用して指定します。

peak-rate pdp パラメータには次の制約事項があります。

入力および出力の両方のポリシーを設定している場合は、どちらか 1 つを削除することはできません。

レルムに対して既存のサービス ポリシーを変更するには、設定をいったん解除してから、新たに設定し直す必要があります。

出力ポリシーを設定してから入力ポリシーを設定することはできません。

次に、police rate pdp コマンドの例を示します。

Router(config)# policy-map <policyname>
Router(config)# class <class-name>
Router(config-pmap-c)# ?
police Police
Router(config-pmap-c)#police ?
<8000-2000000000> Bits per second
cir Committed information rate
rate Specify police rate
Router(config-pmap-c)#police rate ?
pdp APN PDP context
Router(config-pmap-c)#police rate pdp ?
burst Specify 'burst' parameter
conform-action action when rate is less than conform burst
peak-burst Specify 'peak-burst' parameter for 'peak-rate'
peak-rate Specify peak rate
<cr>
Router(config-pmap-c)#police rate pdp burst 1000 peak-rate ?
pdp APN PDP context
Router(config-pmap-c)#police rate pdp burst 1000 peak-rate pdp ?
conform-action action when rate is less than conform burst
peak-burst Specify 'peak-burst' parameter for 'peak-rate'
Router(config-pmap-c)#police rate pdp burst 1000 peak-rate pdp peak-burst 5000 ?
conform-action action when rate is less than conform burst
<cr>
Router(config-pmap-c)#police rate pdp burst 1000 peak-rate pdp peak-burst 5000 conform-action <transmit> ?
exceed-action action when rate is within conform and conform + exceed burst
<cr>
Router(config-pmap-c)#police rate pdp burst 1000 peak-rate pdp peak-burst 5000 conform-action <transmit> exceed-action <drop> ?
violate-action action when rate is greater than conform + exceed burst
<cr>
 

 

radius-server attribute 32 include-in-access-req

access-request または accounting-request 内の RADIUS アトリビュート 32(NAS-Identifier)を送信するには、radius-server attribute 32 include-in-access-req グローバル コンフィギュレーション コマンドを使用します。RADIUS アトリビュート 32 の送信を無効にするには、このコマンドの no 形式を使用します。

radius-server attribute 32 include-in-access-req [format]

no radius-server attribute 32 include-in-access-req

 
シンタックスの説明

format

(オプション)IP アドレス(%i)、ホスト名(%h)、またはドメイン名(%d)を含む、アトリビュート 32 で送信される文字列です。

 
デフォルト

RADIUS アトリビュート 32 は、access-request または accounting-request のパケットでは送信されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.1T

このコマンドが導入されました。

 
使用上のガイドライン

radius-server attribute 32 include-in-access-req を使用すると、access-request または accounting-request 内の RADIUS アトリビュート 32(NAS-Identifier)を送信することにより、RADIUS サーバでネットワーク アクセス サーバ(NAS)の製造元を識別できます。format 引数を設定すると、アトリビュート 32 で送信された文字列には、IP アドレス、ホスト名、またはドメイン名が含まれます。それ以外の場合は、デフォルトで完全修飾ドメイン名(FQDN)が送信されます。

次は、設定可能なその他のアトリビュート オプションです。

11 Filter-Id アトリビュート設定

188 Num-In-Multilink アトリビュート設定

218 Address-Pool アトリビュート

25 Class アトリビュート

30 DNIS アトリビュート

31 Calling Station ID

32 NAS-Identifier アトリビュート

4 NAS IP アドレス アトリビュート

44 Acct-Session-Id アトリビュート

55 Event-Timestamp アトリビュート

6 Service-Type アトリビュート

69 Tunnel-Password アトリビュート

77 Connect-Info アトリビュート

8 Framed IP アドレス アトリビュート

87 Nas Port ID

list アトリビュート タイプの一覧

nas-port NAS-Port アトリビュート設定

次の例では、Cisco NAS を識別するために設定された形式で、access-request 内の RADIUS アトリビュート 32 を送信する設定を示します。

router (config)# radius-server attribute 32 include-in-access-req format cisco %h.%d %i
 
! The following string will be sent in attribute 32 (NAS-Identifier).
 
“cisco router.nlab.cisco.com 10.0.1.67”

 

radius-server attribute 55 access-request include

Access-Request 内の RADIUS アトリビュート 55 Event-Timestamp を送信するには、radius-server attribute 55 access-request include グローバル コンフィギュレーション コマンドを使用します。このアトリビュートの送信を無効にするには、このコマンドの no 形式を使用します。

radius-server attribute 55 access-request include

no radius-server attribute 55 access-request include

 
シンタックスの説明

キーワードまたは引数はありません。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

次は、設定可能なその他のアトリビュート オプションです。

11 Filter-Id アトリビュート設定

188 Num-In-Multilink アトリビュート設定

218 Address-Pool アトリビュート

25 Class アトリビュート

30 DNIS アトリビュート

31 Calling Station ID

32 NAS-Identifier アトリビュート

4 NAS IP アドレス アトリビュート

44 Acct-Session-Id アトリビュート

55 Event-Timestamp アトリビュート

6 Service-Type アトリビュート

69 Tunnel-Password アトリビュート

77 Connect-Info アトリビュート

8 Framed IP アドレス アトリビュート

87 Nas Port ID

list アトリビュート タイプの一覧

nas-port NAS-Port アトリビュート設定

次に、radius-server attribute 55 access-request include コマンドの設定方法の例を示します。

router (config)# radius-server attribute 55 access-request include

radius-server host

RADIUS サーバ ホストを指定するには、グローバル コンフィギュレーション モードで radius-server host コマンドを使用します。指定した RADIUS ホストを削除するには、このコマンドの no 形式を使用します。

radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] [alias {hostname | ip-address}]

no radius-server host {hostname | ip-address} [auth-port port-number] [acct-port port-number] [timeout seconds] [retransmit retries] [key string] [alias {hostname | ip-address}]

 
シンタックスの説明

hostname

RADIUS サーバ ホストのドメイン ネーム システム(DNS)名です。

ip-address

RADIUS サーバ ホストの IP アドレスです。

auth-port

(オプション)認証要求用の UDP 宛先ポートを指定します。

port-number

(オプション)認証要求用のポート番号です。0 に設定されている場合、認証にホストは使用されません。指定されない場合、ポート番号のデフォルト値は 1645 です。

acct-port

(オプション)アカウンティング要求用の UDP 宛先ポートを指定します。

port-number

(オプション)アカウンティング要求用のポート番号です。0 に設定されている場合、アカウンティングにホストは使用されません。指定されない場合、ポート番号のデフォルト値は 1646 です。

timeout

(オプション)再送信までに RADIUS サーバからの応答をルータが待機する間隔(秒単位)です。この設定は、radius-server timeout コマンドのグローバル値を上書きします。タイムアウト値が指定されていない場合は、グローバル値が使用されます。1 ~ 1000 の値を入力します。

seconds

(オプション)タイムアウト値を指定します。1 ~ 1000 の値を入力します。タイムアウト値が指定されていない場合は、グローバル値が使用されます。

retransmit

(オプション)サーバが応答しない場合、またはサーバの応答が遅い場合に、RADIUS 要求がサーバに再送信される回数です。この設定は、radius-server retransmit コマンドのグローバル値を上書きします。

retries

(オプション)再送信値を指定します。範囲は 0 ~ 100 で、「0」は再送信されないことを示します。再送信値が指定されていない場合は、グローバル値が使用されます。

key

(オプション)この RADIUS サーバで実行されるルータと RADIUS デーモンの間で使用される認証および暗号キーを指定します。このキーは、radius-server key コマンドのグローバル値を上書きします。キー文字列が指定されていない場合は、グローバル値が使用されます。

このキーは、RADIUS サーバで使用される暗号キーと一致する必要のある文字列です。このキーは常に、radius-server host コマンド構文の最後の項目として設定してください。先頭のスペースは無視されますが、キー内およびキーの末尾のスペースは使用されるためです。キー内でスペースを使用する場合は、引用符自体がキーの一部である場合を除き、キーを引用符で囲まないでください。

string

(オプション)ルータと RADIUS サーバ間でのすべての RADIUS 通信に対する認証および暗号キーを指定します。このキーは、RADIUS デーモンで使用される暗号化と一致する必要があります。先頭のすべてのスペースは無視されますが、キー内およびキーの末尾のスペースは使用されます。キー内でスペースを使用する場合は、引用符自体がキーの一部である場合を除き、キーを引用符で囲まないでください。

alias

(オプション)指定した RADIUS サーバについて、1 行につき最大 8 つのエイリアスを許可します。

 
デフォルト

auth-port ポート番号のデフォルト値は 1645 です。acct-port ポート番号のデフォルト値は 1646 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.2(2)XC

このコマンドが導入されました。

次に、radius-server host コマンドの例を示します。

Router# radius server host 20.1.1.1

radius-server snmp-trap

ラウンドトリップ時間または再送信値が上限しきい値を超え、標準しきい値を下回った場合に、トラップ(SNMP 通知)を生成するには、radius-server snmp-trap グローバル コンフィギュレーション コマンドを使用します。トラップは、ラウンドトリップ時間または再送信カウントのいずれかに対して生成されます。この機能を無効にするには、このコマンドの no 形式を使用します。

radius server snmp [ retrans-threshold normal high | timeout-threshold normal high ]

no radius server snmp [ retrans-threshold normal high | timeout-threshold normal high ]

 
シンタックスの説明

retrans-threshold normal high

(オプション)再送信時のトラップを生成するための、標準しきい値および上限しきい値(パーセンテージ)です。

timeout-threshold normal high

(オプション)ラウンドトリップ時間のトラップを生成するための標準しきい値(パーセンテージ)です。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次に、radius server snmp コマンドの出力例を示します。

router(config)#radius-server snmp-trap timeout-threshold 50 80
router(config)#radius-server snmp-trap retrans-threshold 50 80

radius-server vsa send accounting wimax

WiMAX VSA が、HA が生成する RADIUS アカウンティング メッセージに含まれるように設定するには、グローバル コンフィギュレーション モードで radius-server vsa send accounting wimax コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

radius-server vsa send accounting wimax

no radius-server vsa send accounting wimax

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドが有効に設定されていると、HA が生成するアカウンティング メッセージに次の RADIUS アトリビュートが含まれます。

Acct-Terminate-Cause (49)

Acct-Multi-Session-Id(50)

Acct-Session-Time (46)

Chargeable-User-Identity(89)

Acct-Input-Gigawords (52)

Acct-Output-Gigawords (53)

HA-IP-MIP4 (26/2)

GMT-Time-Zone-Offset (26/3)

次に、radius-server vsa send accounting wimax コマンドの例を示します。

Router# radius-server vsa send accounting wimax

radius-server vsa send authentication wimax

RADIUS Access-Request メッセージに含まれる WiMAX VSA を設定するには、グローバル コンフィギュレーション モードで radius-server vsa send authentication wimax コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

radius-server vsa send authentication wimax

no radius-server vsa send authentication wimax

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドが有効に設定されていると、HA が生成する Access-Request メッセージに次の RADIUS アトリビュートが含まれます。

Acct-Interim-Interval(85)

Message-Authenticator(80)

Chargeable-User-Identity(89)

WiMAX Capability (26/1)

HA-IP-MIP4 (26/2)

RRQ-HA-IP (26/18)

MN-HA-MIP4-SPI (26/11)

RRQ-MN-HA-SPI (26/20)

次に、radius-server vsa send authentication wimax コマンドの例を示します。

Router# radius-server vsa send authentication wimax

realm case-insensitive

Realm Case-Insensitive 機能を有効にするには、モバイル IP コンフィギュレーション モードで realm case-insensitive コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

realm case-insensitive

no realm case-insensitive

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト

Realm Case-Insensitive 機能は有効ではありません。

 
コマンド モード

モバイル IP コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

 
使用上のガイドライン

Realm Case-Insensitive 機能を使用すると、設定済みのコマンドを、case-insensitive realm パラメータを指定して、登録要求(RRQ)のネットワーク アクセス識別子(NAI)と照合できます。ただし、ユーザ名の大文字と小文字は引き続き区別されます。

次の例では、Realm Case-Insensitive 機能を有効にする方法を示します。

HA(config)# ip mobile options
HA(config-ipmobile-options)# realm case-insensitive

 
関連コマンド

コマンド
説明

ip mobile options

モバイル IP オプションの設定を有効にし、モバイル IP コンフィギュレーション モードを開始します。

om-metric-interval

OM メトリックの収集間隔を設定します。

redirect ip access-group

IP を、リダイレクト先のプロファイルベースでの設定に指定するには、hotline-rules sub-command コンフィギュレーション モードで redirect ip access-group コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

redirect ip access-group { acl-no | word } { in | out } {redirect ip-addr [ port ]}

no redirect ip access-group { acl-no | word } { in | out } {redirect ip-addr [ port ]}

 
シンタックスの説明

acl-no

ACL 番号を指定します。ACL 番号は、100 ~ 199 および 2000 ~ 2699 の範囲です。

word

nai realm を username@cisco.com という形式で指定します。指定しない場合、このコマンドを実行するとエラー メッセージが返されます。

in

 

out

 

redirect ip-addr

リダイレクト先ユーザの IP アドレスを指定します。

port

リダイレクト先ユーザのポート番号を指定します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

設定する ACL は、拡張 ACL である必要があります。ACL 番号は、100 ~ 199 および 2000 ~ 2699 の範囲です。

1 つの profile-id について、ACL、redirect-ip-address、および redirect-port を指定して、複数のリダイレクション ルールを設定できます。

次に、redirect ip access-group コマンドの例を示します。

router(non-hotline-rules)#redirect ip access-group 100 in redirect 20.20.20.20 1

redundancy ip address

パケットの外部ルーティングに使用される物理インターフェイスに IP アドレスを割り当て、アクティブおよびスタンバイに正しいアドレスを設定するには、redundancy ip address per-interface コマンドを使用します。config-sync 機能を無効にするには、このコマンドを no 形式で使用します。

redundancy ip address { unit1 ip1 mask1 unit2 ip2 mask2 }

no redundancy ip address { unit1 ip1 mask1 unit2 ip2 mask2 }

 
シンタックスの説明

unit1 ip1 mask1

HSRP ネゴシエーションに設定された IP アドレスです。

 
デフォルト

このコマンドは、デフォルトでは設定されません。

 
コマンド モード

インターフェイスおよびサブインターフェイス モードです。

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、インターフェイス単位で設定するコマンドです。HSRP プロトコルは、ネゴシエーション用に設定された IP アドレスを使用し、通常の ip address コマンドで使用されるアドレスは使用しません。ip address の設定は、ピアとの HSRP ネゴシエーション専用のサブインターフェイスでは必須ではありません。

セカンダリでは、設定コマンドは使用できません。プライマリだけが設定可能であり、これがセカンダリを動かします。

Home Agent の同期機能の初回設定時は、冗長ユニットのうち 1 つだけを始動し、必要な設定を行って保存してから他のユニットを始動します。これにより、スタンバイ ユニットで最初に設定する必要がなくなります。

次に、redundancy ip address コマンドの例を示します。

Router(int)#redundancy ip address unit1

 

redundancy periodic-sync

バインディング統計と、冗長設定でのバインディングの残りのアイドル時間の定期的な同期(アクティブとスタンバイの間)を制御するには、redundancy periodic-sync グローバル コンフィギュレーション コマンドを使用します。間隔をデフォルト値の 5 分に設定するには、このコマンドの no 形式を使用します。

redundancy periodic-sync interval minutes [ limit cpu percentage cpu threshold [ rate rate#]]

no redundancy periodic-sync inverval minutes [ limit cpu percentage cpu threshold [ rate rate#]]

 
シンタックスの説明

interval minutes

interval は、ある定期的な同期の実行の終わりから、次の定期的な同期の開始までの遅延間隔です。デフォルト値は 5 分です。設定可能な範囲は 0 ~ 35791 です。

limit cpu p ercentage cpu threshold

limit cpu は測定された CPU(平均 5 秒)の割合で、これを超える場合、同期レートは 5 秒につき 500 に制限される必要があります。CPU がこのしきい値より低い場合、デフォルト値または指定した rate が適用されます。デフォルト値は 70% です。設定可能な範囲は 1 ~ 100 です。

rate rate#

rate は、同期処理で予定されている 1 秒あたりのバインディングです。デフォルト値は、同期間隔の間に発生する、分散したアクティブなバインディングの合計数です。これは、1 秒あたり 5000 が対象です。設定可能な範囲は 1 ~ 20000 です。

(注) 頻繁な計算を避けるため、CPU、メモリ、およびレートの計測は 500 バインディングごとに行われます。また、10% の IOmem が残っている場合、同期レートは 5 秒あたり 500 に制限されます。

間隔を 0 分に設定すると、冗長同期が無効になります。

 
デフォルト

デフォルトの interval value は 5 分です。デフォルトの limit cpu p ercentage cpu threshold は 70% です 。 このコマンドを no 形式で使用すると、値が 5 分のデフォルト値にリセットされます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

次のセッションごとのフィールドは、スタンバイ Home Agent に定期的に同期されます。

Input octets

Output octets

Input bytes

Output bytes

Input octets gigawords

Output octets gigawords

Input packet gigawords

Output packet gigawords

Idle Timer as described in Data Path Idle Timer

このコマンドの目的は、一定期間内に同期メッセージを拡散し、期間内に負荷を均一に分散することです。CPU 負荷またはメモリのしきい値を超えたために、指定したレートに到達しない可能性もあります。

デフォルトの同期レートを実現するため、最大バインディングと合う間隔を選択することをお勧めします。そうすると、計算されたレート(必須レートは 8500/秒だが最大レートは 5000/秒)では、レートが CLI でも指定されない限り、500K のバインディングに対して 1 分間隔を選択することは適しません。

更新間隔は分単位で設定可能であり、これは中間アカウンティングのアップデート RADIUS メッセージの送信設定には依存しません。

入力/出力カウントの値のいずれかに変更があった場合、情報はスタンバイにだけ送信されます。

間隔がデフォルトの 5 分でない場合、show running コマンドの出力には、設定済みの定期的な同期の間隔が表示されます。

現在の定期的な同期の間隔の値が、show redundancy inter-device コマンドで表示されます。出力は更新され、定期的な同期の間隔、CPU 制限、および次の同期の繰り返しの開始時刻が表示されます。

この機能のトラブルシューティングを行うには、debug ip mobile redundancy events コマンドおよび debug ip mobile redundancy detail コマンドを使用します。

スロットリングおよび定期的な同期メッセージを有効または無効にするには、debug redundancy periodic-sync コマンドを使用します。

次に、redundancy periodic-sync コマンドの例を示します。

Router(config)#redundancy periodic-sync interval 3
Router(config)#end

redundancy unit1

同じシャーシ内のピア スロットを特定し、設定するには、redundancy unit1 グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

redundancy unit1 slot x unit2 slot y

no redundancy unit1 slot x unit2 slot y

 
シンタックスの説明

unit1 slot x

シャーシとアドレスを特定し、ピアを設定します。

unit2 slot y

ユニットのアドレスを特定します。

 
デフォルト

このコマンドはデフォルトで無効に設定されています

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次に、redundancy unit1 コマンドの例と、その他の設定の詳細を示します。

ipc zone default
association <no>
protocol sctp
unit1-port <port1>
unit1-ip <ip1>
unit2-port <port2>
unit2-ip <ip2>
 
 
.....
interface GigabitEthernet0/0.88
encapsulation dot1Q 88
redundancy ip address unit1 88.105.128.2 255.255.255.0 unit2 88.105.128.100 255.255.255.0
 
=================
 
Followings are for HA inter-chassis corresponding's CLIs:
=====================
 
ipc zone default
association 1
no shutdown
protocol sctp
local-port 5000
local-ip 88.105.129.2
remote-port 5000
remote-ip 88.105.129.5
.....
interface GigabitEthernet0/0.88
encapsulation dot1Q 88
ip address 88.105.128.2 255.255.255.0

router mobile

ルータ上のモバイル IP を有効にするには、router mobile グローバル コンフィギュレーション コマンドを使用します。モバイル IP を無効にするには、このコマンドの no 形式を使用します。

router mobile

no router mobile

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、ルータ上でモバイル IP を Home Agent または Foreign Agent として実行するために使用する必要があります。処理が始まり、カウンタが開始されます。モバイル IP を無効にすると、関連するすべてのコンフィギュレーション コマンド(グローバル コンフィギュレーション コマンドとインターフェイス コンフィギュレーション コマンドの両方)が削除されます。

次の例では、モバイル IP を有効にします。

Router# router mobile

 
 

show ccm

Cluster Component Manager(CCM)のさまざまな側面に関する情報を表示するには、show ccm EXEC コマンドを使用します。出力を無効にするには、no 形式を使用します。

show ccm [ clients | queues | sessions ]

no show ccm [ clients | queues | sessions ]

 
シンタックスの説明

clients

(オプション)各クライアントに関連する情報を表示します。

queues

(オプション)Event Manager の要求キューを表示します。

sessions

(オプション)CCM セッションに関連する情報を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次に、show ccm コマンドの出力例を示します。

Router#show ccm clients
CCM bundles sent since peer up:
Sync Session 0
Update Session 0
Active Bulk Sync 0
Session Down 0
Standby Bulk Syn 0
Client events sent since peer up:
ipmobile ccm 0
 
router#show ccm que
router#show ccm queues
 
5 Event Queues
size max kicks starts false suspends ticks(ms)
4 CCM 0 1 1 2 1 0 20
 
Event Names
Events Queued MaxQueued Suspends usec/evt max/evt
0 UNREGISTERED
1 4 Sync Session 0 0 0 0 0 0
2 4 Sync Client 0 0 0 0 0 0
3 4 Update 0 0 0 0 0 0
4 4 Session Down 0 0 0 0 0 0
5 4 Bulk Sync Begi 0 0 0 0 0 0
6 4 Bulk Sync Cont 0 0 0 0 0 0
7 4 Bulk Sync End 0 0 0 0 0 0
8 4 Dynamic Sync C 0 0 0 0 0 0
9 4 Going Active 1 0 1 0 62 62
10 4 Going Standby 0 0 0 0 0 0
11 4 Standby Presen 0 0 0 0 0 0
12 4 Standby Gone 0 0 0 0 0 0
13 UNREGISTERED
14 4 RF Message 0 0 0 0 0 0
15 4 CP Message 0 0 0 0 0 0
16 4 Recr Session 0 0 0 0 0 0
17 4 Recr Update 0 0 0 0 0 0
18 4 Recr Sess Down 0 0 0 0 0 0
 
router#show ccm sessions
Global CCM state: CCM HA Active - Collecting
Number of sessions in state Error: 0
Number of sessions in state Not Ready: 0
Number of sessions in state Ready: 0
Number of sessions in state Dyn Sync: 0
 

show ip access-lists

現在のすべての IP アクセス リストの内容を表示するには、特権 EXEC モードで show ip access-lists コマンドを使用します。

show ip access-lists [ access-list-number | name ]

 
シンタックスの説明

access-list-number

(オプション)表示する IP アクセス リストの数です。

name

(オプション)表示する IP アクセス リストの名前です。

 
デフォルト

デフォルトでは、標準の IP アクセス リストおよび拡張 IP アクセス リストがすべて表示されます。

 
コマンド モード

特権 EXEC(#)

 
コマンドの履歴

リリース
変更内容

12.2(33)SXH

このコマンドが導入されました。

 
使用上のガイドライン

show ip access-lists コマンドの出力は、IP 固有のもの以外は show access-lists コマンドの出力と同じです。また、特定のアクセス リストを指定できます。

次の例は、現在のすべての IP アクセス リストの設定内容の表示方法を示しています。

Active-HA#sh ip access-lists
Extended IP access list 100
10 permit ip 60.0.2.0 0.0.0.255 5.1.1.0 0.0.0.255
20 deny ip any any
Extended IP access list 150
10 permit ip 5.1.1.0 0.0.0.255 60.0.2.0 0.0.0.255
20 deny ip any any
Extended IP access list bangalore
Extended IP access list cisco
Extended IP access list mn-network
10 permit ip host 60.0.2.1 host 100.100.200.100
20 permit ip 60.0.2.0 0.0.0.255 host 100.100.200.0
30 permit ip host 60.0.2.1 host 100.100.200.90
40 permit ip 60.0.2.0 0.0.0.255 100.100.200.0 0.0.0.255
Extended IP access list network-mn
10 permit ip 5.1.1.0 0.0.0.255 host 60.0.2.1
20 deny ip 7.1.1.0 0.0.0.255 60.0.2.0 0.0.0.255
30 permit ip 100.100.200.0 0.0.0.255 60.0.2.0 0.0.0.255
Extended IP access list tunnel_in_acl
10 permit ip any any
Extended IP access list tunnel_out_acl
10 permit ip any any
Active-HA#
 

show ip mobile binding

モビリティ バインディング テーブルを表示するには、 show ip mobile binding EXEC コマンドを使用します。

show ip mobile binding [ip address | acl | care-of-address | home-agent address | idle-time | lifetime | nai string | realm string | summary | all | vrf | police @example.com | mac address| non-hotline profile name | absolute-time value ]

 
シンタックスの説明

ip address

Home Agent の IP アドレスです。

acl

ユーザの ACL です。

care-of-address

特定の気付アドレスのモビリティ バインディングです(FA)。

home-agent address

(オプション)モバイル ノードの IP アドレスです。

idle-time

バインディングのアイドル時間です。

lifetime

バインディングの継続時間です。

nai string

(オプション)ネットワーク アクセス識別子です。

realm string

このレルムのバインディングです。

summary

(オプション)テーブル内のバインディングの総数です。

all

(オプション)すべてのモバイル バインディングです。

vrf

(オプション)ユーザの VRF です。

police

(オプション)QoS ポリシングを有効にするタイミングと、個々のバインディングの統計情報を表示します。

mac address

(オプション)ホストのバインディング情報を、指定した MAC アドレスと共に表示します。出力には、MAC アドレスが含まれます。

non-hotline profile name

(オプション)ホットライン化されていないプロファイルの名前を表示します。

absolute-time value

(オプション)付与されている NAI の残りの絶対時間の値を表示します。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.0(2)T

次のキーワードおよび引数が追加されました。

home-agent address

12.1(2)T

summary キーワードが追加されました。

12.2(2)XC

nai キーワードが追加されました。

12.3(7)XJ

このコマンドは、NAI のレルムが VRF にある場合に VRF 関連情報が表示されるように変更されました。

12.4(15)XM

police キーワードが導入されました。

12.4(22)YD

mac address acl care-of-address、idle-time、および lifetime の各キーワードが追加され、出力には access tech-type が表示されるようになりました。

12.4(22)YD1

non-hotline profile name 、および absolute-time value の各オプションが導入されました。

 
使用上のガイドライン

Home Agent により、モバイル ノードからの登録イベントに対する応答として登録モビリティ バインディング テーブルが更新されます。 address 引数が指定されると、そのモバイル ノードについてだけバインディングが表示されます。

次に、 show ip mobile binding コマンドの出力例を示します。

Router# show ip mobile binding
 
Mobility Binding List:
Total 1
Total VPDN Tunnel'ed 1
mip-lac-user1@ispxyz.com (Bindings 1):
Home Addr 30.0.0.5
Care-of Addr 7.0.0.1, Src Addr 7.0.0.1
Lifetime granted 00:30:00 (1800), remaining 00:28:56
Flags sBdmg-T-, Identification CA932143.10000
Tunnel0 src 7.0.0.2 dest 7.0.0.1 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Service Options:
VPDN Tunnel (setup-time 90 secs)
Revocation negotiated - I-bit set
 

ローカルで設定された DNS サーバ設定が指定されると、show コマンドの出力には次が含まれます。

router# show ip mobile binding
Mobility Binding List:
Total 1
mwts-mip-r20sit-haslb@ispxyz20.com (Bindings 1):
Home Addr 40.0.0.2
Care-of Addr 20.20.210.10, Src Addr 20.20.210.10
Lifetime granted 00:03:00 (180), remaining 00:02:32
Flags sBdmg-T-, Identification C6ACD1D7.10000
Tunnel0 src 20.20.202.102 dest 20.20.210.10 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Service Options:
Dynamic HA assignment
Revocation negotiated - I-bit set
Acct-Session-Id: 23
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
DNS Address primary 10.77.155.10 secondary 5.5.5.5
DNS Address Assignment enabled with entity Configured at Homeagent(3)
 

HAAA から、DNS サーバの VSA を使用して DNS サーバ アドレスがダウンロードされると、出力には次が含まれます。

router# show ip mobile binding
Mobility Binding List:
Total 1
mwts-mip-r20sit-haslb@ispxyz30.com (Bindings 1):
Home Addr 40.0.0.3
Care-of Addr 20.20.210.10, Src Addr 20.20.210.10
Lifetime granted 00:03:00 (180), remaining 00:02:05
Flags sBdmg-T-, Identification C6ACD910.10000
Tunnel0 src 20.20.202.102 dest 20.20.210.10 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Service Options:
Dynamic HA assignment
Revocation negotiated - I-bit set
Acct-Session-Id: 31
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
DNS Address primary 10.77.155.10 secondary 10.77.155.9
DNS Address Assignment enabled with entity From Home AAA(1)
 

) DNS サーバのアドレスがローカルで設定されていて、かつ AAA からもダウンロードされた場合には、HA 上のローカル設定アドレスが優先されます。


モビリティ バインディングに適用された ACL、アカウンティング セッション ID、およびアカウンティング カウンタ

 
router# show ip mobile binding 44.0.0.1
Mobility Binding List:
44.0.0.1:
Care-of Addr 55.0.0.11, Src Addr 55.0.0.11
Lifetime granted 00:01:30 (90), remaining 00:00:51
Flags sbDmg-T-, Identification C661D5A0.4188908
Tunnel1 src 46.0.0.3 dest 55.0.0.11 reverse-allowed
Tunnel1 Input ACL: inaclname
Tunnel1 Output ACL: outaclname - Empty list or not configured.
MR Tunnel1 src 46.0.0.3 dest 55.0.0.11 reverse-allowed
Routing Options - (D)Direct-to-MN (T)Reverse-tunnel
Mobile Networks: 111.0.0.0/255.0.0.0 (S)
Acct-Session-Id: 0
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
 
router# show ip mobile tunnel
 
Mobile Tunnels:
Total mobile ip tunnels 1
Tunnel0:
src 46.0.0.3, dest 55.0.0.11
encap IP/IP, mode reverse-allowed, tunnel-users 1
Input ACL users 1, Output ACL users 1
IP MTU 1480 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface Ethernet1/0
HA created, fast switching enabled, ICMP unreachable enabled
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 drops
0 packets output, 0 bytes
 

次に、show ip mobile binding police nai コマンドの例を示します。

Router#show ip mobile binding police nai <@example.com>
Mobility Binding List:
user1@cisco.com (Bindings 1):
DOWNLINK POLICING STATISTICS
 
police:
rate 8000 , bc 1400 bytes
peak-rate 8000, be 1700 bytes
conformed 1 packets, 204 bytes; actions:
transmit
exceeded 0 packets, 0 bytes; actions:
transmit
violated 0 packets, 0 bytes; actions:
drop
 

リリース 5.0 では、加入者単位の show 出力に、アクセス タイプおよびバインディングの上書き情報が含まれます。

router#show ip mob bind all
Mobility Binding List:
Total 2
Total VPDN Tunnel'ed 0
cisco-1@cisco.com (Bindings 1):
Home Addr 65.1.0.1
Care-of Addr 4.0.11.15, Src Addr 4.0.11.15
Lifetime granted 00:03:20 (200), remaining 00:02:17
Idle timer disabled
Flags sBdmg-T-, Identification C11AAFFF.1
Tunnel0 src 4.0.11.16 dest 4.0.11.15 reverse-allowed
Routing Options - (T)Reverse-tunnel
Access-Type: WiMAX (802.16e)
Acct-Session-Id: 0x00000008
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled
 
cisco mip2@term-cause.com (Bindings 1):
Home Addr 65.1.0.2
Care-of Addr 4.0.11.15, Src Addr 4.0.11.15
Lifetime granted 00:15:00 (900), remaining 00:14:54
Idle timer disabled
Flags sBdmg-T-, Identification C11AB039.2
Tunnel1 src 4.0.11.16 dest 4.0.11.15 reverse-allowed
Routing Options - (T)Reverse-tunnel
Service Options:
NAT detect
Access-Type: 3GPP2 (3GPP2 1xRTT/HRPD)
Acct-Session-Id: 0x00000009
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled

MAC アドレスを指定した show ip mobile binding コマンドの例

cisco-1@cisco.com (Bindings 1):
MAC Addr 0000.0001.0000
Home Addr 5.1.0.1
Care-of Addr 2.2.2.200, Src Addr 2.2.2.200
Lifetime granted 10:00:00 (36000), remaining 09:52:39
Flags sBdmg-T-, Identification CCA7F408.1
Tunnel0 src 81.81.81.81 dest 2.2.2.200 reverse-allowed
Routing Options - (T)Reverse-tunnel
Access-tech Type: 3GPP2 (3GPP2 1xRTT/HRPD)
Revocation negotiated - I-bit not set

Access tech-type の例

router#sh ip mobile binding
Mobility Binding List:
Total 1
Total VPDN Tunnel'ed 0
cisco_user1@cisco.com (Bindings 1):
Home Addr 1.1.1.10
Care-of Addr 10.109.1.2, Src Addr 10.109.1.2
Lifetime granted 00:08:20 (500), remaining 00:07:45
Flags sBDmg-T-, Identification CC8CE445.1
Tunnel0 src 86.6.6.6 dest 10.109.1.2 reverse-allowed
Routing Options - (D)Direct-to-MN (T)Reverse-tunnel
Access-tech Type: WiMAX (802.16e)
Acct-Session-Id: 0x00000000
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Traffic Plane Id:5

ユーザのホットライン ステータスを表示します。

Active-HA#sh ip mob binding
Mobility Binding List:
Total 1
wimax-mip1@wimax.com (Bindings 1):
Home Addr 60.0.2.1
Care-of Addr 4.0.11.22, Src Addr 4.0.11.22
Lifetime granted 05:33:20 (20000), remaining 04:01:06
Flags sBdmg-T-, Identification C23C36EF.00000001
Tunnel0 src 80.0.11.20 dest 4.0.11.22 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Access-tech Type: WiMAX(802.16e)
Revocation negotiated - I-bit set
Acct-Session-Id: 0x00000001
Sent on tunnel to MN: 311 packets, 31100 bytes
Received on reverse tunnel from MN: 316 packets, 31600 bytes
Hotline status Active
Radius Disconnect Enabled
Traffic Plane Id:7
 

Cisco HA リリース 5.1 の新しい出力例は次のとおりです。

3GPP2 バインディングの出力は次のようになります。

# show ip mobile binding
 
Mobility Binding List:
Total 1
derath5@cisco.com (Bindings 1):
Home Addr 65.0.0.2
Care-of Addr 50.1.1.92, Src Addr 50.1.1.92
Lifetime granted 02:00:00 (7200), remaining 01:59:52
Flags sBdmg-T-, Identification CD735149.00000005
Tunnel0 src 14.0.0.2 dest 50.1.1.92 reverse-allowed
Tunnel0 Output ACL: p1_test - ACL is empty or not configured
Routing Options - (B)Broadcast (T)Reverse-tunnel
Access-tech Type: 3GPP2 (3GPP2 1xRTT/HRPD)
Acct-Session-Id: 0x00000002
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled
Absolute session time granted 00:01:00 (60), remaining 00:00:52
Traffic Plane Id:6
 

WiMAX バインディングの出力は次のようになります。

 
HA-Slot3#show ip mobile binding
Mobility Binding List:
Total 1
sony6@cisco.com (Bindings 1):
Home Addr 65.0.0.3
Care-of Addr 50.1.1.90, Src Addr 50.1.1.90
Lifetime granted 02:00:00 (7200), remaining 01:59:07
Flags sBdmg-T-, Identification CD7352EA.00000006
Tunnel0 src 14.0.0.2 dest 50.1.1.90 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Access-tech Type: WiMAX(802.16e)
Acct-Session-Id: 0x00000004
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled
Absolute session time granted 00:02:00 (120), remaining 00:01:07
Traffic Plane Id:5
 

バインディングに対してホットライン タイマーと絶対タイマーがある場合、出力は次のようになります。

HA-Slot3#show ip mobile binding
Mobility Binding List:
Total 1
derath5@cisco.com (Bindings 1):
Home Addr 65.0.0.2
Care-of Addr 50.1.1.92, Src Addr 50.1.1.92
Lifetime granted 02:00:00 (7200), remaining 01:59:49
Flags sBdmg-T-, Identification CD7358E6.00000005
Tunnel1 src 14.0.0.2 dest 50.1.1.92 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Access-tech Type: 3GPP2 (3GPP2 1xRTT/HRPD)
Acct-Session-Id: 0x00000009
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Hotline status Active
Hotline session granted 00:01:00 (60), remaining 00:00:49
Radius Disconnect Enabled
Absolute session time granted 00:01:00 (60), remaining 00:00:49
Traffic Plane Id:6
 

次は、3gpp2 および Wimax のバインディングを示しています。

router#show ip mobile binding summary
Mobility Binding List:
Total 262140
3ggp2 Bindings 0
Wimax Bindings 262140
 

次の例は、出力での CLID を示しています。

HA-Active#sh ip mob binding
Mobility Binding List:
Total 2
000000100000062 (Bindings 1):
Home Addr 8.0.0.1
Care-of Addr 2.1.1.1, Src Addr 2.1.1.1
Lifetime granted 00:30:00 (1800), remaining 00:29:28
Flags sbdmG-T-, Identification CE2BE4CE.00020000
Tunnel0 src 2.1.1.2 dest 2.1.1.1 reverse-allowed
Routing Options - (G)GRE (T)Reverse-tunnel
Access-tech Type: 3GPP2 (3GPP2 1xRTT/HRPD)
Acct-Session-Id: 0x00000000
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled
Calling Station Id 000000100000062
NAI mipuser1@ispxyz.com
 
 

表 9 は、画面に表示される重要なフィールドを説明しています。

 

表 9 show ip mobile binding のフィールドの説明

フィールド
説明

Total

モビリティ バインディングの総数です。

IP address

モバイル ノードのホーム IP アドレスです。

Care-of Addr

モバイル ノードの気付アドレスです。

Src Addr

Home Agent で受信される登録要求の IP ソース アドレスです。モバイル ノードのコロケーション気付アドレスまたは Foreign Agent のアドレスになります。

Lifetime granted

この登録のモバイル ノードに付与された継続時間です。かっこ内は秒数です。

Lifetime remaining

登録の有効期限が切れるまでの時間です。初期値は lifetime granted と同じで、Home Agent によってカウントされます。

Flags

モバイル ノードによって送信される登録フラグです。大文字は、ビット セットを表します。

Identification

モバイル ノードによってそのバインディングで使用される ID です。このフィールドには、各要求に対する固有の識別子、および再送保護という 2 つの目的があります。

Tunnel

モバイル ノードで使用されるトンネルには、発信元アドレスと宛先アドレス、および reverse-allowed または reverse-off のリバース トンネリングという特徴があります。デフォルトは IPIP カプセル化です。それ以外の場合、GRE が Routing Options フィールドに表示されます。

Routing Options

Routing Options では、Home Agent で受け付けるすべてのサービスがリストされます。たとえば、モバイル ノードによって V ビットが要求される場合がありますが(Flags フィールドに表示)、Home Agent ではそのようなサービスは提供されません。使用可能なオプションは、B(broadcast)、D(direct-to-mobile ノード)、G(GRE)、および T(reverse-tunnel)です。

show ip mobile binding vrf

VRF が有効に設定されている、HA のすべてのバインディングを表示するには、show ip mobile binding vrf EXEC コマンドを使用します。

show ip mobile binding vrf [summary]

 
シンタックスの説明

summary

(オプション)VRF が有効に設定されいるバインディングの総数を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、デフォルトのルーティング テーブルにあるバインディングは表示しません。

次に、show ip mobile binding vrf コマンドの出力例を示します。

Router#show ip mobile binding vrf
Mobility Binding List:
Total number of VRF bindings is 1
mwts-mip-r20sit-haslb1@ispxyz1.com (Bindings 1):
Home Addr 50.0.0.2
Care-of Addr 20.20.210.10, Src Addr 20.20.210.10
Lifetime granted 00:05:00 (300), remaining 00:03:02
Flags sBdmg-T-, Identification C6DEF608.10000
Tunnel0 src 20.20.204.2 dest 20.20.210.10 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
 
Service Options:
Dynamic HA assignment
Revocation negotiated - I-bit set
VRF ispxyz-vrf1
Acct-Session-Id: 11
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled
DNS Address primary 10.77.155.10 secondary 1.1.1.1
DNS Address Assignment enabled with entity Configured at Homeagent(3)
Dynamic DNS update to server enabled
 

次に、show ip mobile binding vrf summary コマンドの出力例を示します。

router# show ip mobile binding vrf summary
Mobility Binding List:
Total number of VRF bindings is 1
 

HAAA からダウンロードされた VRF 名と、ローカルで設定されたものが一致する場合、show ip mobile binding realm コマンドを実行すると次の出力が表示されます。

 
router# show ip mobile binding vrf realm @ispxyz1.com
Mobility Binding List:
Total bindings for realm @ispxyz1.com under VRF ispxyz-vrf1 is 1
mwts-mip-r20sit-haslb1@ispxyz1.com (Bindings 1):
Home Addr 50.0.0.2
Care-of Addr 20.20.210.10, Src Addr 20.20.210.10
Lifetime granted 00:05:00 (300), remaining 00:03:59
Flags sBdmg-T-, Identification C6DF047C.10000
Tunnel0 src 20.20.204.2 dest 20.20.210.10 reverse-allowed
Routing Options - (B)Broadcast (T)Reverse-tunnel
Service Options:
Dynamic HA assignment
Revocation negotiated - I-bit set
VRF ispxyz-vrf1
Acct-Session-Id: 17
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Radius Disconnect Enabled
DNS Address primary 10.77.155.10 secondary 1.1.1.1
DNS Address Assignment enabled with entity Configured at Homeagent(3)
Dynamic DNS update to server enabled
 
 

VRF がローカルで設定されない場合、show の出力は次のようになります。

 
router# show ip mobile binding vrf realm @ispxyz1.com summary
Mobility Binding List:
%VRF is not enabled locally for realm @ispxyz1.com
 

show ip mobile binding vrf realm

VRF が有効に設定されている、レルムのすべてのバインディングを表示するには、show ip mobile binding vrf realm EXEC コマンドを使用します。

show ip mobile binding vrf realm realm-name [summary]

 
シンタックスの説明

summary

(オプション)VRF が有効に設定されている、レルムのバインディングの総数を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

次に、show ip mobile binding vrf realm コマンドの出力例を示します。

Router#show ip mobile binding vrf realm @cisco.com
Mobility Binding List:
Total bindings for realm @cisco.com under VRF moip-vrf is 1
cisco-moip1@cisco.com (Bindings 1):
Home Addr 5.5.5.5
Care-of Addr 92.92.92.1, Src Addr 92.92.92.1
Lifetime granted 00:25:00 (1500), remaining 00:11:05
Flags sbdmg-T-, Identification C3BC05F8.10000
Tunnel0 src 192.168.11.1 dest 92.92.92.1 reverse-allowed
Routing Options - (T)Reverse-tunnel
VRF moip-vrf (id=1)
 

show ip mobile globals

Mobile Agent のグローバル情報を表示するには、show ip mobile globals EXEC コマンドを使用します。

show ip mobile globals

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.3(7)XJ

RADIUS 切断および MIP 失効の統計情報が追加されました。

 
使用上のガイドライン

このコマンドは、Home Agent と Foreign Agent の双方またはいずれかによって提供されるサービスを示します。RFC 2006 とは異なり、Foreign Agent は、ビジーであること、または登録が必要であることを示す情報を表示しません。これらは両方ともインターフェイス単位で処理され(show ip mobile interface コマンドを参照)、グローバル Foreign Agent レベルでは処理されません。

次は、RADIUS 切断および MIP 失効が両方とも HA で有効になっている場合の show ip mobile globals コマンドの出力例です。

Router# show ip mobile globals
 
IP Mobility global information:
 
Home Agent
 
Registration lifetime: 10:00:00 (36000 secs)
Broadcast enabled
Replay protection time: 7 secs
Reverse tunnel enabled
ICMP Unreachable enabled
Strip realm disabled
NAT Traversal disabled
HA Accounting enabled using method list: mylist
NAT UDP Tunneling support enabled
UDP Tunnel Keepalive 600
Forced UDP Tunneling disabled
Address 7.0.0.2 -------->>>>>> Redundant HA information
Standby groups
cisco
Virtual networks
40.0.0.0 /8
 
Foreign Agent is not enabled, no care-of address
 
0 interfaces providing service
Encapsulations supported: IPIP and GRE
Tunnel fast switching enabled, cef switching enabled
Tunnel path MTU discovery aged out after 10 min
Radius Disconnect Capability disabled
Multi-path for Mobile Router disabled
Maximum Bindings: 235000
 

次に、フィールドが追加された、HA 5.1 での完全な出力例を示します。

router#show ip mob globals
IP Mobility global information:
 
Home Agent
 
Registration lifetime: 10:00:00 (36000 secs)
Broadcast disabled
Replay protection time: 255 secs
Reverse tunnel enabled
ICMP Unreachable enabled
Strip realm disabled
NAT Traversal disabled
NAT enabled for ipredirect packets <------Added as part of NAT feature of IP redirect in HA 5.1
HA Accounting enabled using method list: default
NAT UDP Tunneling support enabled
UDP Tunnel Keepalive 100
Forced UDP Tunneling disabled
Multi-path for Mobile Router disabled
Maximum Bindings: 235000
3GPP2 Access-type: <----------------Added in HA 5.1
Access Request is not suppressed <-----Added as part of "Local Authentication for 3GPP2" in HA 5.1
MHAE is not Optional <-----------Added as part of "3GPP2 RRQ without MHAE"
 
Foreign Agent is not enabled, no care-of address
 
1 interface providing service
Encapsulations supported: IPIP and GRE
Tunnel cef switching enabled
Tunnel path MTU discovery aged out after 10 min
Registration Revocation enabled - I bit negotiation set
Radius Disconnect Capability disabled
Mobile IP Debug Include Username Enabled
 

表 10 は、画面に表示される重要なフィールドを説明しています。

 

表 10 show ip mobile globals のフィールドの説明

フィールド
説明

Home Agent

Registration lifetime

すべてのモバイル ノードに対するデフォルトの継続時間です。かっこ付きで示された秒数です。

Roaming access list

ローミングを許可されたモバイル ノードを判別します。定義されている場合に表示されます。

Care-of access list

どの気付アドレスが受け付けられるかを判別します。定義されている場合に表示されます。

Broadcast

有効または無効のブロードキャストです。

Reverse tunnel

有効または無効のリバース トンネルです。

ICMP Unreachable

仮想ネットワークに対し、ICMP Unreachable(ICMP 到達不能)の有効化または無効化を送信します。

Virtual networks

Home Agent によってサービスを提供される仮想ネットワークをリストします。定義されている場合に表示されます。

Foreign Agent

Care-of addresses advertised

気付アドレスをリストします(インターフェイスはアップまたはダウン)。定義されている場合に表示されます。

Mobility Agent

Number of interfaces providing service

アドバタイジングの詳細については、ip mobile interface コマンドを参照してください。IRDP が有効な場合、エージェントのアドバタイズメンントが送信されます。

Encapsulation supported

IPIP および GRE です。

Tunnel fast switching

有効または無効のトンネル ファースト スイッチングです。

Discovered tunnel MTU

一定の時間が経過したあとにエージング アウトします。

show ip mobile home-agent congestion

Home Agent の輻輳状態のさまざまな側面を表示するには、show ip mobile home-agent congestion EXEC コマンドを使用します。

show ip mobile home-agent congestion

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドの出力では、次が表示されます。

輻輳が発生しているときと発生していないときの輻輳状態。

設定される輻輳のしきい値 = CLI 設定からの dfp_weight

現在の dfp-value:現在の dfp-value は、5 分前からの DFP 平均値です。

次に、show ip mobile home-agent congestion コマンドの出力例を示します。

Router SLOT4#show ip mobile home-agent congestion
Home Agent congestion information :
Current congestion level: Congested
Configured Action : Reject
Configured threshold : 10
Current DFP value = 7

show ip mobile host

モバイル ノード情報を表示するには、 show ip mobile host EXEC コマンドを使用します。

show ip mobile host [ address | interface interface | network address | nai string | group | summary ]

 
シンタックスの説明

address

(オプション)特定のモバイル ノードの IP アドレスです。指定しない場合は、すべてのモバイル ノードの情報が表示されます。これは、非 NAI ノードだけが対象です。NAI オプションを指定してモバイル ノードを使用している場合、address オプションを使用してもホスト情報は表示されません。

interface interface

(オプション)このインターフェイスにホーム ネットワークを持つすべてのモバイル ノードを表示します。

network address

(オプション)このネットワークまたは仮想ネットワークにあるすべてのモバイル ノードを表示します。

nai string

(オプション)ネットワーク アクセス識別子です。

group

(オプション) ip mobile host コマンドを使用して設定されたすべてのモバイル ノード グループを表示します。

summary

(オプション)テーブル内のすべての値を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

nai キーワードが追加されました。

 
使用上のガイドライン


) NAI ホストとして設定されている場合、show ip mobile host xxx を実行しても出力は表示されません。NAI の代わりに IP アドレス(NAI 以外)を使用して、ホストを明示的に設定する必要があります。


次に、 show ip mobile host コマンドの出力例を示します。

Router# show ip mobile host
Mobile Host List:
 
Total 5
mwts-mip-r20sit-haslb@ispxyz.com:
Dynamic address from AAA pool mobilenodes
Allowed lifetime 00:10:00 (600)
Roam status -Registered-, Home link on virtual network 40.0.0.0 /8
Bindings
40.0.0.2
Accepted 0, Last time -never-
Overall service time 00:00:39
Denied 0, Last time -never-
Last code '-never- (0)'
Total violations 0
Acct-Session-Id: 43
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
Input ACL: mipinacl
Output ACL: mipoutacl
mwts-pmp-r20sit-base-user1@ispxyz.com:
Dynamic address from local pool mobilenodes
Allowed lifetime 00:08:20 (500)
Roam status -Unregistered-, Home link on virtual network 40.0.0.0 /8
router#
 

show ip mobile host コマンドの次の出力例では、CUI および AAA-session-id を表示しています。

 
MWTBHA13-SUP-10-3#sh ip mobile host
Mobile Host List:
 
Total 1
cisco_user_wimax_1@cisco.com:
Dynamic address from local pool cisco_pool
Static authorization using pool local cisco_pool
Allowed lifetime INFINITE/default)
Roam status -Registered-, Home link on interface Null0
Bindings
1.1.1.1
Accepted 1, Last time 01/08/03 23:31:57
Overall service time 00:00:33
Denied 0, Last time -never-
Last code '-never- (0)'
Total violations 0
CUI: abcdef123456
AAA-Session-ID: aaa_session_id:1
Class:
HA-R5.0-EFT
Acct-Session-Id: 0x00000002
Sent on tunnel to MN: 0 packets, 0 bytes
Received on reverse tunnel from MN: 0 packets, 0 bytes
 
MWTBHA13-SUP-10-3#
 
 

表 11 は、画面に表示される重要なフィールドを説明しています。

 

表 11 show ip mobile host のフィールドの説明

フィールド
説明

IP address

モバイル ノードのホーム IP アドレスです。

Allowed lifetime

設定可能なモバイル ノードの継続時間です。デフォルトでは、グローバル継続時間に設定されます( ip mobile home-agent lifetime コマンド)。この継続時間を設定すると、グローバル値が上書きされます。

Roaming status

モバイル ノードが登録されると、ローミング ステータスが - Registered - になります。それ以外の場合は、- Unregistered - になります。ユーザが登録された場合の詳細については、 show ip mobile binding コマンドを参照してください。

Home link

インターフェイスまたは仮想ネットワークです。

Accepted

Home Agent で受け付ける、モバイル ノードのサービス リクエストの総数です(Code 0 + Code 1)。

Last time

このモバイル ノードに対して、Home Agent で受け付けた直前の登録要求の時刻です。

Overall service time

前回の Home Agent の再起動以降に、モバイル ノードに累積されたサービス時間の合計です。

Denied

Home Agent によって拒否された、モバイル ノードのサービス リクエストの総数(Code 128 から Code 159 と共に拒否されたすべての登録の合計)です。

Last time

このモバイル ノードに対して、Home Agent が拒否した直前の登録要求の時刻です。

Last code

このモバイル ノードに対する直前の登録要求が Home Agent によって拒否された理由を示すコードです。

Total violations

セキュリティ違反の総数です。

CUI

課金ユーザの ID です。料金を支払うユーザを示す、固有または一時的な識別子です。

AAA-Session-ID

認証が成功したときに、Access-Accept で AAA によって設定されるセッションの固有の識別子です。

Tunnel to mobile station

モバイル ノードにトンネリングされるパケットおよびバイトの数です。

Reverse tunnel from mobile station

モバイル ノードからリバース トンネリングされるパケットおよびバイトの数です。

次に、 ip mobile host コマンドで設定されたグループに対する、 show ip mobile host group コマンドの出力例を示します。

Router# show ip mobile host group
 
mwtr-pmp-user1
Dynamic address from AAA server
Dynamic address from local pool mobilenodes
Static address authorization by AAA server
Static address authorization using local pool mobilenodes
Home link on virtual network 30.0.0.0 /8, Care-of ACL -none-
Security associations on AAA server, stored remotely
 
Allowed lifetime (INFINITE)
 

表 12 は、画面に表示される重要なフィールドを説明しています。

表 12 show ip mobile host group のフィールドの説明

フィールド
説明

IP address

モバイル ホストの IP アドレスまたはアドレスのグループです。

Home link

インターフェイスまたは仮想ネットワークです。

Care-of ACL

気付アドレスのアクセス リストです。

Security association

ルータまたは AAA サーバです。

Allowed lifetime

設定可能な、モバイル ホストまたはグループの継続時間です。

 
関連コマンド

コマンド
説明

show ip mobile binding

モビリティ バインディング テーブルを表示します。

clear ip mobile host-counters

モバイル ステーション固有のカウンタをクリアします。

show ip mobile hotline

ホットライン プロファイルの一覧または特定のプロファイルを表示するには、show ip mobile hot-line EXEC コマンドを使用します。

show ip mobile hotline { profile [ profile-id ] | summary | users [nai id ] }

 
シンタックスの説明

profile

HA でホットライン化された、特定のプロファイルに関する情報を表示します。

summary

特定のプロファイルまたはプロファイル グループの情報を表示します。

users

nai id で指定された MN を表示します。

nai id

特定のユーザの nai id を表示します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

次に、show ip mobile hotline コマンドの例を示します。

show ip mobile hotline users ?
nai MN identified by NAI
| Output modifiers
<cr>
 

次に、出力例を示します。

 
HA#show ip mobile hotline users nai mip1@cisco.com
blrmip1@cisco.com (Bindings 1):
Rule Based HotLining (Rules 1)
RuleType HTTPPRedir, Dynamic ACL Number 10
Direction - in
Redirect url - www.cisco.com
 
HA#show ip mobile hotline users
Hotline Binding List:
blrmip1@cisco.com (Bindings 1):
Rule Based HotLining (Rules 1)
RuleType HTTPPRedir, Dynamic ACL Number 10
Direction - in
Redirect url - www.cisco.com
 
blrmip2@cisco.com (Bindings 1):
Rule Based HotLining (Rules 1)
RuleType HTTPPRedir, Dynamic ACL Number 10
Direction - in
Redirect url - www.cisco.com
 

次のコマンドは、ホットライン プロファイルの一覧または特定のプロファイルを表示します。

show ip mobile hotline profile ?
WORD Profile-Id
| Output modifiers
<cr>
 

次に、出力例を示します。

HA#Show ip mobile hotline profile cisco
Hotline Profile List:
Profile: cisco (Rules 1)
RuleType HTTPRedir, Extended ACL Number 100
Direction - in
Redirected Url - cisco.com
 
HA#show ip mobile hotline profile
Hotline Profile List:
Total 2
Profile: cisco (Rules 1)
RuleType HTTPRedir, Extended ACL Number 100
Direction - in
Redirected Url - cisco.com
 
Profile: ht-prof1 (Rules 3)
RuleType IPRedir, Extended ACL Name ht-acl1
Direction - in
Redirected IPAddr 16.1.1.102
 
RuleType IPRedir, Extended ACL Number 100
Direction - in
Redirected IPAddr 1.1.1.1
 
RuleType IPFilter, Extended ACL Name cisco
Direction - out
HA#
 

次のコマンドは、現在のホットライン統計を表示します。

show ip mobile hotline profile ?
| Output modifiers
<cr
 
HA#sh ip mob hot summary
HomeAgent Hotlining Summary:
Number of Sessions Hotlined 2
Number of Profile-Based Hotlined 0
Number of Rule-Based Hotlined 2
HA#
 

ユーザ ホットライン情報の表示

 
Active-HA#sh ip mobile hotline users
Hotline Binding List:
Total Sessions Hotlined 1
wimax-mip1@wimax.com (Bindings 1):
Profile Based HotLining (Rules 2)
RuleType IPRedir, Extended ACL Name mn-network
Direction - in
Redirected IPAddr 120.0.1.15
RuleType IPFilter, Extended ACL Number 100
Direction - in

show ip mobile hotline profile は、Home Agent 上の設定済みのプロファイル情報を表示します。

 
Active-HA#sh ip mob hot prof
Hotline Profile List:
Total 2
Profile: mn-network (Rules 2)
RuleType IPRedir, Extended ACL Name mn-network
Direction - in
Redirected IPAddr 120.0.1.15
 
RuleType IPFilter, Extended ACL Number 100
Direction - in
 
Profile: network-mn (Rules 2)
RuleType IPFilter, Extended ACL Name network-mn
Direction - out
 
RuleType IPFilter, Extended ACL Number 150
Direction - out
 

この出力には、ホットライン セッションに基づいた設定済みのプロファイル情報が表示されます。

router#show ip mobile hot summary
HomeAgent Hotlining Summary:
Number of Sessions Hotlined 262140
Number of Profile-Based Hotlined 262140
Number of Rule-Based Hotlined 0

show ip mobile ipc

CP-TP の相互運用に関連する統計情報を表示するには、show ip mobile ipc EXEC コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

show ip mobile ipc

no show ip mobile ipc

 
シンタックスの説明

このコマンドには、キーワードまたは引数はありません。

 
デフォルト

このコマンドはデフォルトで無効に設定されています。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

次に、show ip mobile ipc コマンドの出力例を示します。

Router#show ip mobile ipc

Distributed HA IPC Traffic:

Binding Updates received 0, sent 51 fail 0 timeout 0

Binding Update Ack received 51, sent 0 fail 0

Binding Delete Req received 0, sent 4 fail 0

Binding Interim Req received 0, sent 5 fail 0 timeout 0

Binding Interim Ack received 5, sent 0 fail 0

Binding Bulk Req received 0, sent 0 fail 0 timeout 0

Binding Bulk Ack received 0, sent 0 fail 0

show ip mobile option

OM メトリック関連の統計情報を表示するには、show ip mobile option EXEC コマンドを使用します。

show ip mobile option [ ommetrics output-modifiers ]

 
シンタックスの説明

ommetrics

OM メトリック関連の統計情報を表示します。

output- modifiers

出力修飾子を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.4(22)YD1

このコマンドが導入されました。

次に、show ip mobile option コマンドの出力例を示します。

router#show ip mobile options
IP Mobility Options information:
 
Realm (Domain) match is case insenstive
 
router#show ip mobile options ommetrics
OM Metric Statistics:
 
Peak Active bindings in the elapsed (previous) interval 0
Peak Active 3GPP2 binding in the elapsed (previous) interval 0
Peak Active Wimax binding in the elapsed (previous) interval 0
Elapsed configured interval size is 0 minutes

show ip mobile redundancy

Home Agent の冗長性のステータスを表示するには、show ip mobile redundancy EXEC コマンドを使用します。

show ip mobile redundancy [ statistics ]

no show ip mobile redundancy [ statistics ]

 
シンタックスの説明

statistics

Home Agent の冗長性の統計情報を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、Home Agent の冗長性のステータスを表示します。ルータの RF ステータスおよびそのピアのステータスが表示されます。さらに、同期されたバインディングの数も表示されます。

次に、show ip mobile redundancy コマンドの出力例を示します。

Router#show ip mob redundancy
MobileIP Home Agent Session Redundancy system status: Enabled
Home Agent state = ACTIVE
Home Agent peer state = STANDBY HOT
 
Router#show ip mobile redundancy statistics
 
MobileIP Home Agent Session Redundancy statistics:
Bulk sync successful 3 times
 
Binding sync creations, sent 1, received 2
Binding sync updates, sent 3, received 3
Binding sync deletes, sent 1, received 1
 
Binding sync creation errors during, send 0, receive 0
Binding sync update errors during, send 0, receive 3
Binding sync delete errors during, send 0, receive 0
 

show ip mobile secure

モバイル ホスト、モバイル ビジター、Foreign Agent、Home Agent、またはプロキシ モバイル IP ホストのモビリティ セキュリティ アソシエーションを表示するには、 show ip mobile secure EXEC コマンドを使用します。

show ip mobile secure { host | visitor | foreign-agent | home-agent [ ha-rk ] | proxy-host | summary } {ip-address | nai string}

 
シンタックスの説明

host

Home Agent 上のモバイル ホストのセキュリティ アソシエーションを表示します。

visitor

Foreign Agent 上のモバイル ビジターのセキュリティ アソシエーションを表示します。

foreign-agent

Foreign Agent 上にある、リモート Home Agent のセキュリティ アソシエーションを表示します。

home-agent

Foreign Agent 上にある、リモート Home Agent のセキュリティ アソシエーションを表示します。

ha-rk

(オプション)Home Agent の ha-rk セキュリティ アソシエーションを表示します。

proxy-host

プロキシ モバイル ユーザのセキュリティ アソシエーションを表示します。このキーワードは、特定の PDSN コード イメージを実行する Packet Data Serving Node(PDSN)プラットフォームでだけ使用できます。

summary

テーブル内のセキュリティ アソシエーションの数を表示します。

ip-address

非 NAI モバイル ノードの IP アドレスです。NAI オプションを使用したモバイル ノードについては、ip-address オプションを使用してもホスト情報は表示されません。

nai string

ネットワーク アクセス識別子(NAI)です。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

nai キーワードおよび proxy-host キーワードが追加されました。

12.2(13)T

このコマンドは、Cisco IOS リリース 12.2(13)T に組み込まれました。

12.3(4)T

PDSN プラットフォーム用に proxy-host キーワードが追加されました。

12.4(22)YD

ha-rk キーワードが追加されました。

12.4(22)YD1

aaa セキュリティおよび local セキュリティ アソシエーションが出力に表示されます。

 
使用上のガイドライン

各エンティティに対して、複数のセキュリティ アソシエーションが存在することは可能です。

proxy-host キーワードは、特定の PDSN コード イメージを実行する PDSN プラットフォームでだけ使用できます。お使いの Cisco IOS ソフトウェア リリースについては、Feature Navigator にご確認ください。

次に、 show ip mobile secure コマンドの出力例を示します。

Router# show ip mobile secure home-agent
 
Security Associations (algorithm,mode,replay protection,key):
20.0.0.6
SPI 300, MD5, Prefix-suffix, Timestamp +/- 7,
Key 00112233445566778899001122334455
 

表 13 は、画面に表示される重要なフィールドを説明しています。

表 13 show ip mobile secure のフィールドの説明

フィールド
説明

IP address

IP アドレスです。

In/Out SPI

SPI は、ピアを認証するために使用される特定のセキュリティ パラメータを選択する、モビリティ セキュリティ アソシエーション内の、4 バイトのオペーク インデックスです。「SPI」または「In/Out SPI」を許可します。後者は、着信と送信の SPI ペアを指定します。着信 SPI を受信すると、応答の送信時に送信 SPI が使用されます。

MD5

Message Digest 5 認証アルゴリズムです。

Prefix-suffix

認証モードです。

Timestamp

再送保護の方式です。

Key

16 進数形式で表す、セキュリティ アソシエーションの共有秘密鍵です。

ダウンロードされた HA-RK キー、SPI、および継続時間は、次のコマンドを使用して表示できます。

Router#show ip mobile secure home-agent ha-rk [ha-ip]
HomeAgent HA-RK List:
15.1.1.80:
SPI 102, Lifetime 00:10:30 (630), Remaining 00:10:24
Key 3132333435363738393031323334353637383930
 

生成された FA-HA キーは、次のコマンドを使用して表示できます。

Router#show ip mobile secure foreign-agent [fa-ip]
 
e.g. Router#show ip mobile secure foreign-agent
 
Security Associations (algorithm,mode,replay protection,key):
14.1.1.28:(local SA)
SPI 102, HMAC-MD5, Timestamp +/- 7, HA-IP 15.1.1.80
Key b932c46406dcfe411f8bd147103ac53ca0c7fe65
 

HA-RK の継続時間が期限切れになるか、同じ HA-IP に対して新しい HA-RK キーがダウンロードされると、上記のダウンロードされた HA-RK および生成された FA-HA キーは削除されます。

リリース 5.1 では、SA が AAA からダウンロードされたか、またはローカルで設定されたかを表示するように show ip mobile secure host コマンドが変更されています。次では、HA 5.1 で導入された新しいキーワードが強調表示されています。次はその例です。

Router#show ip mobile secure host
Security Associations (algorithm,mode,replay protection,key):
@cisco.com:(local SA)
SPI 106, MD5, Prefix-suffix, Timestamp +/- 7,
Key 'sas06'
sas1@yahoo.com:(AAA SA)
SPI 130, MD5, Prefix-suffix, Timestamp +/- 11,
Key 'sas30'
 
Router#show ip mobile secure foreign-agent
Security Associations (algorithm,mode,replay protection,key):
14.1.1.28:(local SA)
SPI 102, HMAC-MD5, Timestamp +/- 7, HA-IP 15.1.1.80
Key b932c46406dcfe411f8bd147103ac53ca0c7fe65
 

 

show ip mobile traffic

Home Agent プロトコル カウンタを表示し、ホットライン化されたセッションの累積カウンタを組み合わせるには、show ip mobile traffic EXEC コマンドを使用します。

show ip mobile traffic [ since ]

 
シンタックスの説明

since

ホットライン化されたセッションの累積カウンタを表示します。

このコマンドには、引数またはキーワードはありません。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.3(7)XJ

統計情報に関連する MIPv4 登録失効メッセージが追加されました。

12.3(7)XJ1

Bind Delete Request メッセージと Ack メッセージに対する新しいカウンタが導入されました。

12.4(15)XM

このコマンドは、ホットライン カウンタが表示されるように拡張されました。

12.4(22)YD

このコマンドは、受信した RRQ の数が、無効な Access tech type 拡張と共に、表示されるように拡張されました。

 
使用上のガイドライン

カウンタは、clear ip mobile traffic コマンドを使用してゼロ(0)にリセットできます。このコマンドを使用すると、リセットのやり直しも実行できます。

次に、show ip mobile traffic コマンドの出力例を示します。

Router# show ip mobile traffic
 
sh ip mob traffic
IP Mobility traffic:
Time since last cleared: 1d06h
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register requests rcvd 2, denied 0, ignored 0, dropped 0, replied 2
Register requests accepted 2, No simultaneous bindings 0
Register requests rcvd initial 1, re-register 0, de-register 1
Register requests accepted initial 1, re-register 0, de-register 1
Register requests replied 1, de-register 1
Register requests denied initial 0, re-register 0, de-register 0
Register requests ignored initial 0, re-register 0, de-register 0
Registration Request Errors:
Unspecified 0, Unknown HA 0, NAI check failures 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0, active HA 0
Bad identification 0, Bad request form 0
Unavailable encap 0, reverse tunnel 0
Reverse tunnel mandatory 0
Unrecognized VendorID or CVSE-Type in CVSE sent by MN to HA 0
Unrecognized VendorID or CVSE-Type in CVSE sent by FA to HA 0
 
Gratuitous 0, Proxy 0 ARPs sent
Route Optimization Binding Updates sent 0, acks received 0 neg acks received 0
Registration Revocation msg sent 0 rcvd 0 ignored 0
Registration Revocation acks sent 0 rcvd 0 ignored 0
Total incoming registration requests using NAT detect 0
 
RADIUS DISCONNECT:
Disconnect Request rcvd 0, accepted 0
Disconnect Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS Id Mismatch 0
Session Cxt Not Found 0, Administratively Prohibited 0
 
 
Change of Authorization:
Request rcvd 0, accepted 0
Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS Id Mismatch 0
Session Cxt Not Found 0, Session Cxt Not Removable 0
Unsupported Service 0
 
Dynamic DNS Update (IP Reachability):
Number of DDNS Update Add request sent 2
Number of DDNS Update Delete request sent 2
 
router#
 

次の例では、ホットライン カウンタが表示されています。

 
HA# show ip mobile traffic
IP Mobility traffic:
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register requests rcvd 1351, denied 0, ignored 0, dropped 0, replied 1
Register requests accepted 1351, No simultaneous bindings 0
Register requests rcvd initial 149, re-register 1132, de-register 70
Register requests accepted initial 149, re-register 113, de-register 7
Register requests replied 1281, de-register 70
Register requests denied initial 0, re-register 0, de-register 0
Register requests ignored initial 0, re-register 0, de-register 0
Registration Request Errors:
Unspecified 0, Unknown HA 0, NAI check failures 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0, active HA 0
Bad identification 0, Bad request form 0
Unavailable encap 0, reverse tunnel 0
Reverse tunnel mandatory 0
Unrecognized VendorID or CVSE-Type in CVSE sent by MN to HA 0
Unrecognized VendorID or CVSE-Type in CVSE sent by FA to HA 0
Binding Updates received 14, sent 0 total 0 fail 1351
Binding Update acks received 0 sent 14
Binding info requests received 0, sent 1 total 2 fail 1
Binding info reply received 1 drop 0, sent 0 total 0 fail 0
Binding info reply acks received 0 drop 0, sent 1
Binding Delete Req received 0, sent 0 total 0 fail 0
Binding Delete acks received 0 sent 0
Binding Sync Req received 0, sent 0 total 0 fail 0
Binding Sync acks received 0 sent 0
Gratuitous 0, Proxy 0 ARPs sent
Route Optimization Binding Updates sent 0, acks received 0 neg acks received 0
Registration Revocation msg sent 0 rcvd 0 ignored 0
Registration Revocation acks sent 0 rcvd 0 ignored 0
Total incoming registration requests using NAT detect 0
 
Total VPDN Tunnel sessions attempted: 1 success: 1 fail: 0 pending: 0
PPP IDBS: 1 no resource: 0 deleted: 0
 
 
Change of Authorization:
Request rcvd 0, accepted 0
Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS 0
Session Cxt Not Found 0, Session Cxt Not Removable 0
Unsupported Service 0
Dynamic DNS Update (IP Reachability):
Number of DDNS Update Add request sent 0
Number of DDNS Update Delete request sent 0
Home Agent Hotlining:
Number of Hotline Sessions 6
Number of Active-Session Hotlined 0
Number of New-Session Hotlined 6
Number of Active-Sessions Reconciled 0
Number of New-Sessions Reconciled 0
 
HA#
 

リリース 5.0 では、出力には、受信した RRQ の数が、無効な Access tech type 拡張と共に表示されます。

 
Router#show ip mob traffic
IP Mobility traffic:
UDP:
Port: 434 (Mobile IP) input drops: 0
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register requests rcvd 0, denied 0, ignored 0, dropped 0, replied 0
Register requests accepted 0, No simultaneous bindings 0
Register requests rcvd initial 0, re-register 0, de-register 0
Register requests accepted initial 0, re-register 0, de-register 0
Register requests replied 0, de-register 0
Register requests denied initial 0, re-register 0, de-register 0
Register requests ignored initial 0, re-register 0, de-register 0
Requests result in existing binding overwrite 0, Bindings overwritten 0
Registration Request Errors:
Unspecified 0, Unknown HA 0, NAI check failures 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0, active HA 0
Bad identification 0, Bad request form 0
Requests rejected due to congestion 0
Requests aborted due to congestion 0
Requests redirected due to congestion 0
Bindings dropped due to congestion 0
Idle bindings dropped 0
Unavailable encap 0, reverse tunnel 0
Reverse tunnel mandatory 0
Unrecognized VendorID or CVSE-Type in CVSE sent by MN to HA 0
Unrecognized VendorID or CVSE-Type in CVSE sent by FA to HA 0
Unrecognized Access-tech type extn rcvd 0
Binding Updates received 0, sent 0 total 0 fail 0
Binding Update acks received 0 sent 0
Binding info requests received 0, sent 0 total 0 fail 0
Binding info reply received 0 drop 0, sent 0 total 0 fail 0
Binding info reply acks received 0 drop 0, sent 0
Binding Delete Req received 0, sent 0 total 0 fail 0
Binding Delete acks received 0 sent 0
Binding Sync Req received 0, sent 0 total 0 fail 0
Binding Sync acks received 0 sent 0
Gratuitous 0, Proxy 0 ARPs sent
Route Optimization Binding Updates sent 0, acks received 0 neg acks received 0
Registration Revocation msg sent 0 rcvd 0 ignored 0
Registration Revocation acks sent 0 rcvd 0 ignored 0
Total incoming registration requests using NAT detect 0
Total VPDN Tunnel sessions attempted: 0 success: 0 fail: 0 pending: 0
PPP IDBs: 0 no resource: 0 deleted: 0
 
Change of Authorization:
Request rcvd 0, accepted 0
Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS Id Mismatch 0
Session Cxt Not Found 0, Session Cxt Not Removable 0
Administratively Prohibited 0
Unsupported Service 0
 
Dynamic DNS Update (IP Reachability):
Number of DDNS Update Add request sent 0
Number of DDNS Update Delete request sent 0
 
Home Agent Hotlining:
Number of Hotline Sessions 0
Number of Active-Session Hotlined 0
Number of New-Session Hotlined 0
Number of Active-Sessions Reconciled 0
Number of New-Sessions Reconciled 0
 

次に、HA リリース 5.0 でのその他の例を示します。

Router#show ip mob traffic
IP Mobility traffic:
UDP:
Port: 434 (Mobile IP) input drops: 0
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register requests rcvd 1, denied 0, ignored 0, dropped 0, replied 1
Register requests accepted 1, No simultaneous bindings 0
Register requests rcvd initial 1, re-register 0, de-register 0
Register requests accepted initial 1, re-register 0, de-register 0
Register requests replied 284, de-register 0
Register requests denied initial 60, re-register 0, de-register 0
Register requests ignored initial 0, re-register 0, de-register 0
Requests result in existing binding overwrite 0, Bindings overwritten 0
Registration Request Errors:
Unspecified 0, Unknown HA 0, NAI check failures 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0, active HA 0
Requests rejected due to author fail 0
Bad identification 0, Bad request form 0
Requests rejected due to congestion 0
Requests aborted due to congestion 0
Requests redirected due to congestion 0
Bindings dropped due to congestion 0
Idle bindings dropped 2
Unavailable encap 0, reverse tunnel 0
Reverse tunnel mandatory 0
Unrecognized VendorID or CVSE-Type in CVSE sent by MN to HA 0
Unrecognized VendorID or CVSE-Type in CVSE sent by FA to HA 0
Unrecognized Access-tech type extn rcvd 0
Gratuitous 0, Proxy 0 ARPs sent
Route Optimization Binding Updates sent 0, acks received 0 neg acks received 0
Registration Revocation msg sent 8 rcvd 0 ignored 0
Registration Revocation acks sent 0 rcvd 0 ignored 0
Total incoming registration requests using NAT detect 0
Total VPDN Tunnel sessions attempted: 0 success: 0 fail: 0 pending: 0
PPP IDBs: 0 no resource: 0 deleted: 0
 
RADIUS DISCONNECT:
Disconnect Request rcvd 0, accepted 0
Disconnect Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS Id Mismatch 0
Session Cxt Not Found 0, Administratively Prohibited 0
 
 
Change of Authorization:
Request rcvd 0, accepted 0
Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS Id Mismatch 0
Session Cxt Not Found 0, Session Cxt Not Removable 0
Administratively Prohibited 0
Unsupported Service 0
 
Dynamic DNS Update (IP Reachability):
Number of DDNS Update Add request sent 0
Number of DDNS Update Delete request sent 0
 
Home Agent Hotlining:
Number of Hotline Sessions 0
Number of Active-Session Hotlined 0
Number of New-Session Hotlined 0
Number of Active-Sessions Reconciled 0
Number of New-Sessions Reconciled 0
 
Router#

) 「received」は受信したメッセージ数、「sent」は送信したメッセージの総数です。「Total」には再送信が含まれ、「fail」は送信に失敗したメッセージ数を示します。


表 14 は、画面に表示される重要なフィールドを説明しています。

表 14 show ip mobile traffic のフィールドの説明

フィールド
説明

Solicitations received

Advertisements sent

モビリティ エージェントによって送信されるアドバタイズメントの総数です。

Response to solicitation

モバイル ノードの送信要求に対する応答として、モビリティ エージェントによって送信されるアドバタイズメントの総数です。

Home Agent

Register requests

Home Agent によって受信される登録要求の総数です。

Deregister requests

Home Agent によって受信される、継続時間ゼロ(登録解除の要求)の登録要求の総数です。

Register replied

Home Agent によって送信される登録応答の総数です。

Deregister replied

登録解除の要求に対する応答として、Home Agent によって送信される登録応答の総数です。

Accepted

Home Agent で受け付ける登録要求の総数です(Code 0)。

No simultaneous binding

Home Agent で受け付ける登録要求の総数です。モビリティの同時バインディングはサポートされません(Code 1)。

Denied

Home Agent によって拒否される登録要求の総数です。

Ignored

Home Agent によって無視される登録要求の総数です。

Unspecified

Home Agent によって拒否される登録要求の総数です。理由は指定されません(Code 128)。

Unknown HA

Home Agent によって拒否される登録要求の総数です。Home Agent アドレスは不明です(Code 136)。

Administrative prohibited

Home Agent によって拒否される登録要求の総数です。管理上禁止されています(Code 129)。

No resource

Home Agent によって拒否される登録要求の総数です。十分なリソースがありません(Code 130)。

Authentication failed MN

Home Agent によって拒否される登録要求の総数です。モバイル ノードは認証に失敗しました(Code 131)。

Authentication failed FA

Home Agent によって拒否される登録要求の総数です。Foreign Agent の認証に失敗しました(Code 132)。

Bad identification

Home Agent によって拒否される登録要求の総数です。登録識別子が一致していません(Code 133)。

Bad request form

Home Agent によって拒否される登録要求の総数です。要求の形式が正しくありません(Code 134)。

Unavailable encapsulation

Home Agent によって拒否される登録要求の総数です。使用できないカプセル化です(Code 139)。

Unavailable reverse tunnel

Home Agent によって拒否される登録要求の総数です。リバース トンネルは使用できません(Code 137)。

Gratuitous ARP

モバイル ノードの代わりに Home Agent によって送信される gratuitous ARP の総数です。

Proxy ARPs sent

モバイル ノードの代わりに Home Agent によって送信されるプロキシ ARP の総数です。

Foreign Agent

Request in

Foreign Agent によって受信される登録要求の総数です。

Forwarded

Foreign Agent によって Home Agent にリレーされる登録要求の総数です。

Denied

Foreign Agent によって拒否される登録要求の総数です。

Ignored

Foreign Agent によって無視される登録要求の総数です。

Unspecified

Foreign Agent によって拒否される登録要求の総数です。理由は指定されません(Code 64)。

HA Unreachable

Foreign Agent によって拒否される登録要求の総数です。Home Agent に到達不能です(Codes 80 ~ 95)。

Administrative prohibited

Foreign Agent によって拒否される登録要求の総数です。管理上禁止されています(Code 65)。

No resource

Home Agent によって拒否される登録要求の総数です。十分なリソースがありません(Code 66)。

Bad lifetime

Foreign Agent によって拒否される登録要求の総数です。要求された継続時間が長すぎます(Code 69)。

Bad request form

Home Agent によって拒否される登録要求の総数です。要求の形式が正しくありません(Code 70)。

Unavailable encapsulation

Home Agent によって拒否される登録要求の総数です。使用できないカプセル化です(Code 72)。

Unavailable compression

Foreign Agent によって拒否される登録要求の総数です。要求された Van Jacobson ヘッダーの圧縮を使用できません(Code 73)。

Unavailable reverse tunnel

Home Agent によって拒否される登録要求の総数です。リバース トンネルは使用できません(Code 74)。

Replies in

Foreign Agent によって受信される、正しい形式の登録応答の総数です。

Forwarded

Foreign Agent によってモバイル ノードにリレーされる、有効な登録応答の総数です。

Bad

Foreign Agent によって拒否される登録応答の総数です。応答の形式が正しくありません(Code 71)。

Ignored

Foreign Agent によって無視される登録要求の総数です。

Authentication failed MN

Home Agent によって拒否される登録要求の総数です。モバイル ノードは認証に失敗しました(Code 67)。

Authentication failed HA

Foreign Agent によって拒否される登録要求の総数です。Home Agent の認証に失敗しました(Code 68)。

show ip mobile tunnel

モバイル IP トンネルの情報を表示するには、show ip mobile tunnel EXEC コマンドを使用します。

show ip mobile tunnel [tunnel interface | brief | mip-udp aggregate-statistics | summary]

 
シンタックスの説明

tunnel

トンネル インターフェイスを表示します。

summary

(オプション)トンネルの概要を表示します。

brief

(オプション)IP/IP および GRE/IP トンネルの簡単な概要だけを表示します。

mip-udp aggregate-statistics

(オプション)すべてのトンネルの合計統計情報を表示します。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

12.4(22)YD1

summary、brief、および mip-udp aggregate-statisitcs の各キーワードが追加されました。

 
使用上のガイドライン

MIP/UDP トンネルに対してだけ、show ip mobile tunnel の出力が変更されています。次は、MIP/UDP トンネルに適用される 2 つの変更点です。

すべての MIP/UDP トンネルが単一の IDB を使用するため、すべての MIP/UDP トンネルのトンネル番号は同じです。

トンネルの統計情報は、IDB データ構造に保存されます。すべての MIP/UDP トンネルに対して IDB が 1 つなので、MIP/UDP トンネルの各トンネル カウンタは表示されません。ただし、新しい show CLI コマンド(show ip mobile tunnel mip-udp aggregate-statistics)を使用すると、すべてのトンネルの aggregate-statistics が表示されます。


) トンネルの発信元 IP アドレスは、VRF に対応して設定された IP アドレスです。トンネルの IDB で適用された VRF も表示されます。


次に、show ip mobile tunnel コマンドの出力例を示します。

router#show ip mobile tunnel
Mobile Tunnels:
Total mobile ip tunnels 2
Tunnel0:
src 14.0.0.2, dest 55.84.33.2
encap GRE/IP, mode reverse-allowed, tunnel-users 1
Input ACL users 0, Output ACL users 0
IP MTU 1476 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface GigabitEthernet0/0.500
HA created, CEF switching enabled, ICMP unreachable enabled
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 drops
155 packets output, 6820 bytes
Tunnel1:
src 14.0.0.2, dest 55.84.33.1
encap IP/IP, mode reverse-allowed, tunnel-users 3
Input ACL users 0, Output ACL users 0
IP MTU 1480 bytes
Path MTU Discovery, mtu: 0, ager: 10 mins, expires: never
outbound interface GigabitEthernet0/0.500
HA created, CEF switching enabled, ICMP unreachable enabled
5 minute input rate 1000 bits/sec, 6 packets/sec
5 minute output rate 2000 bits/sec, 3 packets/sec
30761 packets input, 1237816 bytes, 0 drops
20229 packets output, 1520736 bytes
 
router# show ip mobile tunnel brief
Mobile Tunnels:
Total mobile ip tunnels 2
SrcAddr DestAddr Encap Users Data Interval PktRt In/Out BitRt In/Out Pkts In/Out Bytes In/Out
14.0.0.2 55.84.33.2 GRE/IP 1 5 minute 0/0 0/0 0/155 0/6820
14.0.0.2 55.84.33.1 IP/IP 3 5 minute 3/1 0/0 2291/1374 99016/87756
 
router#show ip mob tunnel mip-udp aggregate-statistics
Tunnel0 Aggregate Counters:
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
300 packets input, 45600 bytes, 0 drops
300 packets output, 39600 bytes
 

show ip mobile violation

セキュリティ違反に関する情報を表示するには、 show ip mobile violation EXEC コマンドを使用します。

show ip mobile violation [ address | nai string ]

 
シンタックスの説明

address

(オプション)特定の IP アドレスからの違反を表示します。

nai string

(オプション)ネットワーク アクセス識別子です。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.0(1)T

このコマンドが導入されました。

12.2(2)XC

nai キーワードおよび関連するパラメータが追加されました。

 
使用上のガイドライン

すべてのモバイル ノードについて、最新の違反が保存されます。循環ログには、最大 50 の不明な要求者および違反者が、セキュリティ アソシエーションなしで記録されます。新たに発生した不明な要求者をログに記録する空きを作るため、最も古い違反はログの制限に達すると消去されます。

セキュリティ違反メッセージは、情報提供レベルでログに記録されます( logging グローバル コンフィギュレーション コマンドを参照)。この重大度レベルを含めるようにログが設定されている場合は、 show logging コマンドを使用して違反履歴を表示できます。

次に、 show ip mobile violation コマンドの出力例を示します。

Router# show ip mobile violation
Security Violation Log:
 
Mobile Hosts:
20.0.0.1:
Violations: 1, Last time: 06/18/97 01:16:47
SPI: 300, Identification: B751B581.77FD0E40
Error Code: MN failed authentication (131), Reason: Bad authenticator (2)
 

表 15 は、画面に表示される重要なフィールドを説明しています。

 

表 15 show ip mobile violation のフィールドの説明

フィールド
説明

20.0.0.1

違反者の IP アドレスです。

Violations

このピアのセキュリティ違反の総数です。

Last time

直近に発生した、このピアのセキュリティ違反のタイミングです。

SPI

直近に発生した、このピアのセキュリティ違反の SPI です。識別子の不一致がセキュリティ違反の原因である場合、これは Mobile-Home 認証拡張からの SPI です。無効なオーセンティケータがセキュリティ違反の原因である場合、これは問題が発生している認証拡張からの SPI です。それ以外の場合は、ゼロに設定する必要があります。

Identification

最も最近に発生した、このピアのセキュリティ違反の要求または応答で使用される識別子です。

Error Code

要求または応答のエラー コードです。

Reason

最も最近に発生した、このピアのセキュリティ違反の理由です。考えられる理由は次のとおりです。

モビリティ セキュリティ アソシエーションがない

オーセンティケータが無効である

ID が無効である

SPI が無効である

セキュリティ拡張がない

その他

show ip route vrf

VRF に対応するルーティング テーブル情報をチェックおよび表示するには、show ip route vrf EXEC コマンドを使用します。

show ip route vrf vrf-name

 
シンタックスの説明

vrf-name

特定の VRF の名前です。

 
コマンド モード

EXEC

 
コマンドの履歴

リリース
変更内容

12.3(7)XJ

このコマンドが導入されました。

次に、show ip route vrf コマンドの出力例を示します。

Router#show ip route vrf moip-vrf
 
Routing Table: moip-vrf
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
 
Gateway of last resort is not set
 
4.0.0.0/32 is subnetted, 1 subnets
M 4.4.4.100 [3/1] via 92.92.92.1, 00:00:45, Tunnel0
C 192.168.10.0/24 is directly connected, Tunnel0
 

show policy-map apn realm

APN インターフェイスのフローに関するポリシング統計情報の合計を表示するには、特権 EXEC モードで show policy-map apn コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

show policy-map apn realm example.com

no show policy-map apn realm example.com

 
シンタックスの説明

example.com

モバイル レルムの名前です。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.4(15)XM

このコマンドが導入されました。

 
使用上のガイドライン

HA リリース 5.0 では、show policy-map apn realm を設定した場合、適合、超過、または違反したすべてのカウンタは増分されず、CP と TP の両方で 0 のままになります。

これは、クラス マップとポリシー マップを使用して HA を設定し、アップリンクとダウンリンクの両方に service-policy を適用した場合に発生します。次に、双方向トラフィックをバインディングに送信します。

CP と TP で、show policy-map apn realm realm を設定します。

TP では、適合したパケットと違反したパケットが show ip mobile binding policy の出力に表示されますが、show policy-map の出力には表示されません。

次に、show policy-map apn realm コマンドの例を示します。

Router#show policy-map apn realm @cisco.com
Realm @cisco.com
Service-policy input: perbindingpolice
 
Class-map: class-mip (match-all)
0 packets, 0 bytes
Match: flow pdp
police:
rate pdp
peak-rate pdp, be 1000 bytes
conformed 0 packets, 0 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
violated 0 packets, 0 bytes; actions: drop
 
Class-map: class-default (match-any)
0 packets, 0 bytes
Match: any
 

 

show redundancy inter-dev

現在の定期的な同期間隔の値を表示するには、show redundancy inter-dev 特権 EXEC コマンドを使用します。表示を無効にするには、no 形式を使用します。

show redundancy inter-dev

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは無効に設定されています。

 
コマンド モード

特権 EXEC

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

snmp-server enable traps ipmobile

モバイル IP の簡易ネットワーク管理プロトコル(SNMP)セキュリティ通知を設定するには、グローバル コンフィギュレーション モードで snmp-server enable traps ipmobile コマンドを使用します。モバイル IP の SNMP 通知を無効にするには、このコマンドの no 形式を使用します。

snmp-server enable traps ipmobile

no snmp-server enable traps ipmobile

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

SNMP 通知はデフォルトで無効に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.1(2)T

このコマンドが導入されました。

 
使用上のガイドライン

SNMP モバイル IP 通知は、トラップ(traps)要求または通知(inform)要求として送信できます。このコマンドは、トラップ要求と通知要求の両方を有効にします。

この通知と、MIB のその他の機能の詳細については、Cisco.com の http://www.cisco.com/public/mibs/v2/ にある RFC2006-MIB.my ファイルを参照してください。

snmp-server enable traps ipmobile コマンドは、snmp-server host コマンドと共に使用します。SNMP 通知を受信するホストを指定するには、snmp-server host グローバル コンフィギュレーション コマンドを使用します。SNMP 通知を送信するには、少なくとも 1 つの snmp-server host コマンドを設定する必要があります。

次の例では、ルータが、アドレス myhost.cisco.com で、パブリックとして定義されたコミュニティ ストリングを使用して、モバイル IP の通知をホストに送信できるようにしています。

snmp-server enable traps ipmobile
snmp-server host myhost.cisco.com informs version 2c public

standby track decrement priority

冗長性のシナリオで、特定の HA の優先度を下げるには、グローバル コンフィギュレーション モードで standby track tracking object id decrement priority コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

standby track tracking object id decrement priority

no standby track tracking object id decrement priority

 
シンタックスの説明

tracking object id

特定のトラッキング オブジェクトの名前です。

priority

優先度のレベルを指定します。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(14)YX

このコマンドが導入されました。

 

subscriber redundancy

バルク同期処理によって CPU に負担がかかりすぎないようにするには、subscriber redundancy rate グローバル コンフィギュレーション コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

subscriber redundancy [ bulk | delay | dynamic | rate number of sessions Per Unit Time ]

no subscriber redundancy rate number of sessions Per Unit Time

 
シンタックスの説明

bulk

バルク同期のための、加入者の冗長性ポリシーを設定します。

delay

各セッションの同期での遅延を設定します。

dynamic

動的同期のための、加入者の冗長性ポリシーです。

rate number of sessions Per Unit Time

セッションを同期するためのレートを設定します。デフォルトは 500 です。

 
コマンドのデフォルト

このコマンドはデフォルトで無効に設定されています。number of sessions Per Unit Time のデフォルト値は 500 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.4(22)YD

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、バルク同期処理を制御します。バルク同期処理時に同期されるバインディングの数が多すぎる場合、number of Sessions Per unit time より多い数のセッションは同期されません。

次に、subscriber redundancy rate コマンドの例を示します。

router(config)# subscriber redundancy rate

track id application home-agent

home-agent の状態をトラッキングするトラッキングオブジェクトを作成するには、グローバル コンフィギュレーション モードで track tracking object id application home-agent コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

track tracking object id application home-agent

no track tracking object id application home-agent

 
シンタックスの説明

tracking object id

特定のトラッキング オブジェクトの名前です。

 
デフォルト

デフォルト値はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.3(14)YX

このコマンドが導入されました。

次に、track application home-agent コマンドの例を示します。

router# track tracking object id application home-agent

 

virtual

仮想サーバのアトリビュートを設定するには、仮想サーバ コンフィギュレーション コマンドを使用します。アトリビュートを削除するには、このコマンドの no 形式を使用します。

virtual ip-address {tcp | udp} port-number [service service-name]

no virtual

 
シンタックスの説明

ip-address

この仮想サーバ インスタンスの IP アドレスです。クライアントにより、サーバ ファームに接続するために使用されます。

tcp

TCP 接続だけを対象にロード バランシングを実行します。

udp

UDP 接続だけを対象にロード バランシングを実行します。

port-number

(オプション)IOS SLB 仮想ポート(TCP または UDP のポート番号またはポート名)です。指定される場合、サーバ上の指定したポートに対する接続だけがロード バランシングされます。ポートおよび port-number 引数の有効な名前または番号は次のとおりです。

ドメイン ネーム システム: dns 53

ファイル転送プロトコル: ftp 21

HTTP over Secure Socket Layer: https 443

Airline Traffic over IP, Type A: matip-a 350

Network News Transport Protocol: nntp 119

Post Office Protocol v2: pop2 109

Post Office Protocol v3: pop3 110

Simple Mail Transport Protocol: smtp 25

Telnet: telnet 23

World Wide Web(HTTP): www 80

オールポート仮想サーバ(すべてのポートを宛先としたフローを受け付ける仮想サーバ)を設定するには、ポート番号 0 を指定します。

service

(オプション)HTTP や Telnet などの、指定したサービスに関連付けられたカップリング接続です。これで、同じクライアントから発生する、関連性のあるすべての接続は、同じ実サーバを使用します。

service-name

(オプション)接続のカップリングの種類です。現在、選択できるのは ftp だけです。FTP データ接続を、これを作成したコントロール セッションにカップリングしてください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

SLB 仮想サーバ コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

12.0(7)XE

このコマンドが導入されました。

12.1(5)T

このコマンドは、Cisco IOS リリース 12.1(5)T に組み込まれました。

 
使用上のガイドライン

no virtual コマンドは、no inservice コマンドによって仮想サーバがサービスから削除された場合にだけ使用できます。

一部のアプリケーションでは、IOS SLB 機能で、すべての仮想サーバに TCP または UDP ポート番号を設定することは適していません。このようなアプリケーションをサポートするには、すべてのポートを宛先とするフローを受け付ける IOS SLB 仮想サーバを設定します。オールポート仮想サーバを設定するには、ポート番号 0 を設定します。


) 一般的には、オールポート仮想サーバではなく、ポートバインド仮想サーバを使用する必要があります。オールポート仮想サーバを使用する場合、フローは、アプリケーション ポートを持たないサーバに渡されます。サーバがこれらのフローを拒否すると、IOS SLB はサーバを拒否し、ロード バランシングから外す場合があります。


次の例では、IP アドレス 10.0.0.1 の仮想サーバが、www という名前のポートの TCP 接続に対し、ロード バランシングを実行することを指定します。仮想サーバは、HTTP 要求を処理します。

ip slb vserver PUBLIC_HTTP
virtual 10.0.0.1 tcp www
 

次に、モバイル IP の SLB 機能を有効にする例を示します。ip address は、PDSN/FA からの登録要求の送信先である仮想 Home Agent のアドレスです。このコマンドは SLB スーパーバイザで設定されます。

Router(config)# ip slb vserver <name>
Router(config-slb-vserver)# virtual ip address udp 434 service ip mobile

 
関連コマンド

 
関連コマンドvirtual 10.0.0.1 tcp www

コマンド
説明

ip slb vserver

仮想サーバを特定します。

show ip slb vservers

仮想サーバに関する情報を表示します。


 

© 2009 Cisco Systems, Inc.
All rights reserved.

Copyright © 2009-2010, シスコシステムズ合同会社.
All rights reserved.