Cisco Mobile Wireless Home Agent 機能ガイド Cisco IOS Release 12.4(15)XM Cisco Mobile Wireless Home Agent 4.0
ユーザ トラフィックのモニタリング
ユーザ トラフィックのモニタリング
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ユーザ トラフィックのモニタリング

ホットライニング

新規セッションのホットライニング

アクティブ セッションのホットライニング

ホットライニングの HSRP-HA 冗長性サポート

ホットライン対応 HA の要件

ホットライニング時間の制限

ホットライニングの制約事項

ホットライニングの設定

設定の確認

ユーザ トラフィックのモニタリング

ここでは、ホットライン機能を使用してアップストリームおよびダウンストリームのユーザ トラフィックをモニタする方法、および Cisco Mobile Wireless Home Agent でこの機能を設定する方法について詳しく説明します。

ここで説明する内容は、次のとおりです。

「ホットライニング」

「新規セッションのホットライニング」

「アクティブ セッションのホットライニング」

「ホットライニングの HSRP-HA 冗長性サポート」

「ホットライン対応 HA の要件」

「ホットライニング時間の制限」

「ホットライニングの制約事項」

「ホットライニングの設定」

「設定の確認」

ホットライニング

ワイヤレス オペレータはホットライニングを使用することで、パケット データ サービスに不正アクセスしようとするユーザに関する問題に、効果的に対処できます。ユーザのパケット データ サービスの使用許可が失効してしまったといった問題が生じた場合、この機能を使用するワイヤレス オペレータは、ユーザにホットラインを適用します。問題が無事に解決すると、ホットライン条件が解除された時点で、ユーザのパケット データ サービスは通常モードに戻ります。ユーザにホットラインを適用すると、このユーザに対するパケット データ サービスはホットライン アプリケーションにリダイレクトされます。このアプリケーションにより、ホットラインが適用された理由がユーザに通知され(可能な場合)、ホットラインの理由となった問題を解決するための手段が提示されます。この間、通常のパケット データ サービスへのアクセスはブロックされます。

Home Agent Release 3.1 では、IP リダイレクションのみによるプロファイル ベースのホットライニングがサポートされます。Home Agent Release 4.0 では、ルール ベースおよびプロファイル ベースのホットライニングがサポートされ、IS 835-D に準拠したすべてのリダイレクションおよびフィルタ ルールが有効です。

また、Cisco Mobile Wireless Home Agent Release 4.0 は以下の 3 つのフィルタをサポートすることで、IS.835D 標準に準拠します。

HTTP リダイレクション

IP リダイレクション

IP フィルタ

また、Home AAA(HAAA)では、ユーザに対してホットラインが適用されたことを示す、次の 2 つのスタイルが使用されます。

プロファイルベースのホットライニングでは、Home Agent(HA)のプロファイルとして IP、HTTP、またはその両方のリダイレクション ルールが設定されます。HA は Access-Accept または COA のいずれかによって HAAA から Filter-ID を受信すると、ホットライニングを実行します。HA は hotline capability パラメータを Access-Request メッセージに含めて送信します。


) Filter-ID は、HA のいずれかのプロファイルと一致します。


ルールベースのホットライニングでは、HAAA は登録時に Access-Request によって HA から受信した hotline capability パラメータに基づき、実際のリダイレクション ルール(HTTP または IP)を Access-Accept メッセージまたは COA RADIUS メッセージに含めて送信します。Access-Accept または COA RADIUS メッセージ内で受信したルールが HA によって有効とみなされると、MN パケット データ セッションに対するホットラインが実行され、ユーザのデータ トラフィックにこのルールが適用されます。

ファイアウォールに対するホットライニングは、ルールベースとプロファイルベースのどちらでも可能です。ルールベースのホットラインでは、HA は Access-Request 内に hotline capability パラメータを含めて送信することで、HAAA から IP-Filter-Rule を受信します(Access-Accept または COA メッセージ内)。

プロファイルベースのホットラインでは、特定のプロファイルに対し、IP-Filter-Rule が事前に設定されます。HA は Access-Request に hotline capability パラメータを含めて送信することで、HAAA から Filter-Id を受信し(Access-Accept または COA メッセージ内)、ホットライニングを実行します。


) Filter-ID は、HA のいずれかのプロファイルと一致します。


その他のホットライニング機能

HA では、HA CHAP 中にホットライニング ポリシーがダウンロードされた場合にかぎり、ホットライニング ポリシーが適用されます。ユーザからリバース トンネルが要求されていない場合に、このユーザに対してホットライニング ポリシーがダウンロードされると、HA は RRQ を拒否します。


) この機能に対しては、MIB サポートは予定されていません。


Home Agent Release 2.0 以上では、Nortel X31-20031013-0xx(2003 年 10 月)に基づき、モバイル ノードに対するホットライニングがサポートされます。ホットライニング機能を使用すると、アクティブ セッション、新規セッションの 2 つのシナリオにおいて、アップストリームのユーザ トラフィックをモニタできます。特定のユーザに対してホットライニングがアクティブになると、このモバイル端末からのアップストリーム IP パケットは、この特定のレルムに設定されたリダイレクト サーバにリダイレクトされます。リダイレクションは、IP パケットの宛先アドレスをリダイレクト サーバのアドレスに変更することで行われます。HAAA からの Change of Authorization(CoA)メッセージで唯一サポートされている必須属性は、HA 上の特定のユーザを識別するための User-Name 属性です。オプションとして、CoA メッセージに IP アドレスも含めて送信することで、特定ユーザに対する特定のバインディングを指定できます。

新規セッションのホットライニング

ここでは、新規セッションに対してホットライニングを適用する場合のプロセスを説明します。


ステップ 1 HAAA はホットライン アプリケーションから、ユーザのパケット データ サービスに対するホットラインの適用を示すシグナルを受信します。

ステップ 2 HAAA はこの情報を、自身のユーザ プロファイル ストアに記録します。ユーザがアクティブでない場合は、HAAA はユーザがパケット データ サービスを開始するまで待機し、サービスが開始されるとただちにホットラインを適用します。また、ホットライン アプリケーションがユーザのホットライン ステータスを通常に戻すこともあります。この場合、HAAA はユーザのプロファイルを更新し、その内容を保存します。

ステップ 3 ホットライン適用対象となるユーザがパケット データ セッションを開始すると、HAAA は HA のホットライン機能を示す RADIUS Access-Request を受信します。

ステップ 4 HAAA はローカル ポリシー、および受信した hotline capability パラメータを使用して、ホットライニング VSA を受信した HA を判断します。HAAA は RADIUS Access-Accept メッセージ内にホットライニング VSA を含めて送信することで、ホットライニング デバイスに対してユーザのホットライン ステータスを通知します。HAAA は、hot-line accounting indication VSA を RADIUS Access-Accept メッセージ内に含める場合もあります。

ステップ 5 HA でアカウンティングが有効にされている場合は、HA は RADIUS Accounting-Request (start) パケットを生成し、RADIUS Access-Accept メッセージ内で hot-line accounting indication VSA を受信している場合は、これをパケットに含めます。HA が RADIUS Access-Accept パケットで受信したホットライニング VSA を処理できない場合は、HA は RADIUS Access-Accept を RADIUS Access-Reject パケットと見なし、セッションの確立を終了します。

ステップ 6 ホットライン セッションが開始されると、トラフィックはブロックされるか、またはホットライン アプリケーションに転送されます。


 

アクティブ セッションのホットライニング

アクティブ セッションのホットライニングで発生するイベントは、次のとおりです。


ステップ 1 現在ユーザは、ホットラインが適用されていないパケット データ セッションに携わっています。

ステップ 2 HAAA は、パケット データ セッションをすでに開始しているユーザに対してホットライン アプリケーションからホットライン シグナルを受信すると、アクティブ セッション ホットライニング手順を開始します。

ステップ 3 HAAA はユーザのホットライン状態を、ユーザのプロファイル内に保存します。

ステップ 4 HAAA はローカル ポリシー、および受信した hotline capability パラメータを使用して、ホットライニング VSA を受信した HA を判断します。HAAA は RADIUS Change of Authorization(CoA)メッセージ内にホットライニング VSA または RADIUS filter-id (11) 属性を含めて送信することで、HA に対してユーザのホットライン ステータスを通知します。HAAA は、hot-line accounting indication VSA を RADIUS CoA メッセージ内に含める場合もあります。

ステップ 5 HA が要求を処理できる場合は、COA ACK パケットで応答します。HA がホットライニング要求を処理できない場合は、COA NAK メッセージで応答します。受信した COA NAK メッセージに、管理者による禁止(Administratively Prohibited (501))を示す error-cause (101) が含まれる場合は、HAAA はローカル ポリシーに基づき、ホットライニング シグナルの HA への送信を再試行するか、HA に RADIUS disconnect-request メッセージを送信するか、または別のデバイスに対してセッションの廃棄を指示します。

ステップ 6 また、アカウンティング パケットを生成可能な HA は(アカウンティングが有効にされている場合)、RADIUS accounting-request (stop) メッセージを生成して、現在のアカウンティング セッションを終了します。リリース インジケータ(F13)は 14(ホットライン ステータスの変更)に設定されます。

ステップ 7 また、アカウンティング パケットを生成可能な HA は、COA パケットで受信した hot-line accounting indication VSA を含む RADIUS accounting-request (start) メッセージを生成します。

ステップ 8 これに対し、ホットライニング デバイスは、COA パケットに指定されたホットライニング ルールをただちに実行します。

ステップ 9 ユーザにホットラインが適用されると、ホットライン アプリケーションは必要に応じてユーザにホットライン状態を通知し、ホットラインが適用された理由となる問題を修正するための処理を支援します。それでもなお、処理結果がホットライン アプリケーションの規定に適合しない場合は、ユーザのホットライン状態が維持されるか、またはユーザ セッションが終了されます。問題が正しく修正された場合は、ユーザのセッションは通常モードに戻されます。

ステップ 10 ホットライン アプリケーションは、通常状態への復帰を HAAA に通知します。ホットライン アプリケーションとユーザとの相互動作については、このマニュアルの範囲外です。

ステップ 11 HAAA はユーザのプロファイルを更新します。

ステップ 12 セッションがアクティブの場合は、HAAA は現在ホットライン ルールを適用している HA に対し、COA パケットを送信します。これは、セッションのホットライン状態を最初に設定したデバイスと同じであるとはかぎりません(ハンドオフが行われている可能性があります)。ステップ 9 で説明した受信通知が、ホットライン アプリケーションからのセッションの終了を示すものであれば、HAAA はユーザの終了ステータスをユーザのポリシー ストアに記録します。この時点でセッションがまだアクティブである場合は、HAAA は適切なデバイスに対して RADIUS disconnect-request メッセージを送信します。これは、ホットライン ルールを適用していないデバイスとなる可能性もあります。

RADIUS disconnect-request メッセージを受信したデバイスは、セッションを終了します。アカウンティング メッセージを生成できるデバイスの場合は、リリース インジケータ(F13)を 6(リソース管理による終了)に設定した RADIUS accounting-request (stop) メッセージを生成します。

ステップ 13 ユーザを通常モードに戻すシグナルを受信した場合、この要求を処理できない HA は、COA NAK パケットで応答します。HAAA は COA NAK を受信すると、状況に応じて、RADIUS disconnect-request メッセージを送信してユーザのセッションを終了します。または、ホットライニング デバイス、またはセッションの終了を処理できる別のデバイスに対し、RADIUS disconnect-request メッセージを送信します。一方、ユーザを通常の状態に戻すことができるホットライニング デバイスの場合は、COA ACK パケットを送信します。

ステップ 14 アカウンティング メッセージを生成可能なホットライニング デバイスは、ホットライニング セッションの終了を示す RADIUS accounting-request (stop) メッセージを生成し、COA メッセージ内で受信した hot-line-accounting indication VSA を含めます。リリース インジケータ(F13)は 14(ホットライン ステータスの変更)に設定されます。

ステップ 15 RADIUS accounting-request (stop) メッセージのあとには、通常のパケット データ セッションの開始を示す RADIUS accounting-request (start) メッセージが生成されます。

ステップ 16 この時点で、ユーザのセッションは通常モードに戻されます。


 

ホットライニングの HSRP-HA 冗長性サポート

Cisco Home Agent Release 3.1 は、ホットライニング機能の HSRP-HA 冗長性をサポートしていません。Cisco Home Agent Release 4.0 では、ルールベースのホットライニングに対する冗長性のサポートが有効です。しかし、HSRP-HA には Session Redundancy(SR; セッション冗長性)機能がないため、プロファイルベースのホットラインの同期はサポートされません。

ルールベースのホットラインでは、アクティブ HA は COA メッセージを受信して内容を検証したあと、COA 関連情報の一部をスタンバイ HA と同期します。また、AAA サーバによって COA の内容でルールが更新されるたびに、スタンバイとの中間同期が実行されます。

スタンバイと同期できるのは、以下の情報です。

User-Name:ルールをスタンバイ HA に同期する場合の必須属性。

MN Address:MN セッション(バインディング)がすでに確立されている場合に使用。

Hot-Line Accounting Indication:このフィールドは、フェールオーバーが発生した場合にアカウンティング メッセージに含めて送信されます。

Filter-Id:特定のユーザに対するホットライン状態を指定。1 人のユーザに対して複数の filter-id を受信したアクティブ HA は、スタンバイ HA と同期する必要があります。各 filter-id は、IP または HTTP リダイレクション ルールを指定します。

Filter-Rules:IP および HTTP フィルタ ルールを指定。複数のフィルタ ルールを指定することもできます。

IP-Redirection-Rules:IP リダイレクション ルールを指定。複数のリダイレクション ルールを指定することもできます。

HTTP-Redirection-Rules:HTTP リダイレクション ルールを指定。複数のリダイレクション ルールを指定することもできます。

Accounting-Session-Id:セッションが作成され、ユーザに対してホットラインが適用されると指定されます。ユーザに対してホットラインが適用されるたびに、新規の "accounting session id" が作成されます。

Session-Timeout:セッションまたはプロンプトの終了までに、ユーザにサービスの使用が許可される最大秒数を指定。

フェールオーバーが発生し、スタンバイがアクティブに切り替わると、ユーザに対してこの同期ルールが適用されます。セッションが確立し、照合が行われると、ユーザに対してホットラインが適用されます。セッションが確立されない場合は、HA は特定のユーザに対し、セッションの確立まで待機します。

冗長フェールオーバーでは、新たにアクティブとなった HA は、フェールオーバー前に同期されたものと同じ Accounting-Session-Id を使用します。

ホットライン対応 HA の要件

ここでは、登録、再登録、および COA 中に、加入者の MIP フローに対するホットライン情報を処理するために適用可能な HA の各要件について説明します。

1. HA は、新規セッションおよびアクティブ セッションの両方のホットラインをサポートする必要があります。

2. ホットラインの実行により、パケット データ セッションの確立が干渉を受けないようにしてください。HA がパケット データ セッションの完了、および MIP シグナリングの再登録を中断させないようにしてください。HA はリレー エージェント機能を使用して、ホットライン ルールを DNS トラフィックおよび DHCP トラフィックに適用します。

a. MIP 加入者の登録中、HA が無効なホットライン情報を受信した場合は、HA は "HA-CHAP Failure" を示す Registration-Reject を送信することで、この RRQ を拒否できます。

b. MIP 加入者の再登録中は、HA は Access-Accept によって無効な情報を受信した場合であっても、加入者の MIP セッション、およびホットライン セッションを維持する必要があります。また、"HA-CHAP Failure" を送信してこの RRQ を拒否します。

3. HA は MIP 加入者に対するホットラインをサポートする機能を示すため、RADIUS Access-Request メッセージに Hot-line Capability VSA を含める必要があります。

4. HA は以下を含む RADIUS Access-Accept メッセージまたは COA メッセージを受信した場合、RADIUS Access-Accept メッセージを Access-Reject メッセージとして扱うか、または Error-Cause (101) によって "Administratively Prohibited"(501) を示す COA NAK メッセージを使用して応答する必要があります。

a. デコードできない RADIUS Filter-Id(11) 属性。または、

b. RADIUS Filter-Id(11) 属性に加え、Filter-Rule VSA または HTTP/IP Redirection-Rule VSA。または、

c. デコードできない Filter-Rule(VSA)または HTTP/IP Redirection-Rule(VSA)。

5. RADIUS Filter-Id(11) 属性を含む RADIUS Access-Accept メッセージを受信した HA は、RADIUS Filter-Id(11) 属性によって指定されたルールと一致する、ローカルにプロビジョニングされたホットライン ルールをただちに適用する必要があります。

6. RADIUS Filter-Id(11) 属性を含む COA メッセージを受信した HA は、RADIUS Filter-Id(11) 属性によって指定されたプロファイルと一致するホットライン ルールを特定します。この処理に成功した場合、HA は HAAA に COA ACK メッセージで応答します。HA は以前に指定された RADIUS Filter-Id(11) 属性、HTTP リダイレクション ルール、IP リダイレクション ルール、およびフィルタ ルールをすべて削除し、新たに受信した RADIUS Filter-Id(11) 属性に関連付けられたルールの適用を開始します。HA はRelease 3.1 のコール フローのセクションで説明されているように、アカウンティング メッセージ accounting stop および accounting start を送信します。新たに受信した RADIUS Filter-Id(11) 属性が該当のルールに一致しない場合は、HA は Error-Cause (101) が "Administratively Prohibited"(501) を示す COA NAK を送信します。この場合は、ホットライン状態、および既存のすべてのルールは変更されません。

7. HA が受信した RADIUS Access Accept メッセージの中に、適格な(解析可能な)HTTP
Redirection-Rule VSA、IP Redirection-Rule VSA、および Filter Rule VSA が含まれている場合は、HA はまず HTTP リダイレクション ルールを適用し(存在する場合)、次に IP リダイレクション ルール(存在する場合)を、最後にフィルタ ルール(存在する場合)を適用します。各タイプのルールは、パケット内に記述されている順序で処理されます。HA はルール(フィルタ ルール、HTTP/IP リダイレクション ルール)を適用する際、すべてのセキュリティ ポリシーに照合して各ルールを検証します。いずれかのセキュリティ ポリシーに違反があった場合は、HA はこのユーザのパケット データ セッションをティアダウンします。

8. 受信した COA メッセージの中に適格な HTTP Redirection Rule VSA、IP Redirection-Rule VSA、または Filter-Rule VSA が含まれている場合は、HA はローカル システム全体のポリシーに対して有効な、ローカルにプロビジョニングされたすべてのフィルタリングを検証します。いずれかのルールがローカル ポリシーに違反している場合、または HA が COA メッセージを受け入れられない場合は、HA は Error-Cause (101) が "Administratively Prohibited" (50) を示す COA NAK メッセージを送信します。この場合は、ホットライン状態、および既存のすべてのルールは変更されません。一方、ローカル セキュリティ ポリシーに対する違反が存在しない場合は、HA は以下を行います。

a. HA が現在、以前に受信した RADIUS Filter-Id(11) 属性に関連付けられたルールを適用している場合は、HA は以前に受信した RADIUS Filter-Id(11) 属性に関連付けられたルールの適用を中止し、新たに受信した HTTP リダイレクション ルール、IP リダイレクション ルール、またはフィルタ ルールの適用を開始します。HA は HAAA に対して COA ACK で応答し、Release 3.1 のコール フローのセクションで説明されているように、アカウンティング メッセージの送信を開始します。

b. HA が現在、以前に受信した HTTP リダイレクション ルール、IP リダイレクション ルール、またはフィルタ ルールに関連付けられたルールを適用している場合は、古いルールを同じ種類の新たなルールで上書きします(旧 HTTP に対しては新規 HTTP、旧 IP に対しては新規 IP、旧フィルタに対しては新規フィルタ)。同じ種類の古いルールが存在しない場合は、その種類の新規ルールが適用されます。HA は HAAA に対して COA ACK で応答し、Release 3.1 のコール フローのセクションで説明されているように、アカウンティング メッセージの送信を開始します。

9. Session-Timeout (27) 属性を受信した場合は、HA はセッションに規定されたタイムアウト時間(秒)が経過したあと、セッションを終了します。RADIUS アカウンティングに対応している HA の場合は、RADIUS Accounting-Request (Stop) メッセージを送信します。受信した RADIUS Access-Accept または COA メッセージに Hot-Lining Accounting Indication VSA が含まれていた場合は、この VSA もメッセージに含めます。

10. HTTP-Redirection VSA を受信した HA は、IP フローをモニタします。"src" および "dst" フィールドの一致する IP フローに対しては、HTTP-Redirection VSA に指定されたルールを適用します。ルールに指定されたアクションがリダイレクトである場合は、HA はトラフィックをブロックし、認識したすべての HTTP 要求に対し、一致する HTTP-Redirection Rule VSA の URL を指定した HTTP リダイレクト応答(RFC 2616)を返します。

11. 以下の説明は、ホットラインでの HTTP リダイレクション ルールにおけるループに関するものです。

a. "ホットラインでの HTTP リダイレクション ルールにおけるループ" が生じる状況としては、最初に HA が "redirect www.cisco.com from 10.1.1.0/8 to 192.168.1.0/8" という HTTP リダイレクション ルールを受信します。上記のルール条件と一致した場合、HA は Redirect 302 メッセージを MN 加入者に送信し、www.cisco.com 宛の HTTP パケットをリダイレクトします。MN は、受信したリダイレクト先 URL を含めた新たな HTTP Request Get メッセージを送信します。しかし、リダイレクト URL はサブネット アドレス 192.168.1.0/8 の 1 つ、192.168.1.100 などにマッピングされます。したがって、HA は受信した HTTP-302 メッセージに対し、MN に再度 HTTP-302 メッセージを送信します。この流れは、MN および HTTP サーバ間に HA 経由で TCP セッションが確立されているかぎり、MN と HA 間で繰り返されます。このループ状態を回避するには、HTTP リダイレクション ルールとともに、AAA から以下のルールをダウンロードする必要があります。

"pass from 10.1.1.0/8 to 192.168.1.100/0"

"redirect www.cisco.com from 10.1.1.0/8 to 192.168.1.0/8"

ループ状態を回避するため、"HTTP-Redirection Rule" は常に "HTTP-Pass Rule" に先行します。

12. IP-Redirection rule VSA を受信した HA は、IP フローをモニタします。IP フローがルールと一致した場合、HA は一致したルールに指定されたアドレスにフローをリダイレクトします。

13. IP-Filter rule VSA を受信した HA は、IP フローをモニタします。IP フローがルールと一致した場合、HA は指定されたアクションに従い、フローをブロックするか、または通過を許可します。

14. "flush" というキーワードを含む HTTP Redirection Rule、IP-Filter-Rule、または IP-Redirection-Rule VSA を受信した HA は、このセッションにおいてこれまで受信した、この種類の属性をすべてフラッシュします。

15. HA が受信した Access-Accept または COA に、ホットライン アカウンティング属性は含まれるが、RADIUS FIlter-Id(11) 属性、HTTP Redirection Rule VSA、IP Redirection Rule VSA、Filter Rule VSA のいずれも含まれない場合は、このホットライン アカウンティング属性によってユーザのホットライン状態は影響されません。RADIUS アカウンティング メッセージを生成可能な HA は、以降のすべてのアカウンティング メッセージに、新たに受信したホットライン アカウンティング インジケータを含めます。

ホットライニング時間の制限

ホットラインを適用したセッションであっても、高価なネットワーク リソースが消費される可能性があります。このため、AAA ではセッションにホットラインを適用する時間を制限することができます。これには、COA または Access-Accept に Session-Timeout 属性を含めて送信します。オペレータは、次の 2 つの方法を使用できます。

1 つには、Disconnect Message を送信することで、セッション(ホットラインを適用/非適用)をただちに終了する方法です。Disconnect Message は、HA を対象とする必要はありません。

もう 1 つの方法は、Home RADIUS サーバがホットライン インジケータを HA に送信する際、Session-Timeout (27) 属性を含めるように Home RADIUS サーバを設定する方法です。Session-Timeout には、ユーザにセッションの続行を許可する時間を 1~(232 - 1)秒の範囲で指定します。Session-Timeout に指定した時間が経過すると、パケット データ セッションは終了します。この機能は、プロファイル ベースおよびルール ベースの両方のホットラインでサポートされます。

ホットライニングの制約事項

ホットライニングには、以下の制限があります。

アップストリーム トラフィックでは、HA はトラフィックを代行受信し、ユーザに HTTP リダイレクション、IP リダイレクション、または IP フィルタ ルールを適用します。ダウンストリーム トラフィックの場合は、HA は IP リダイレクションおよび IP フィルタ ルールによる検証をサポートします。HA では、ダウンストリーム トラフィックでの HTTP リダイレクションはサポートされません。

ルータでホットラインを有効にするには、ルータが mobileip および HA 機能をサポートする必要があります。ルータがこれらをサポートしていない場合は、ルータで router mobile をイネーブルにし、グローバル コンフィギュレーション モードで ip mobile home-agent を設定します。

特定のユーザに対するホットライニング機能と設定は、ホットライニング CLI を入力した順序に応じて上書きされることがあります。新たに追加したホットライニング CLI は、以前のものより優先されます。たとえば、プロファイル ベースのホットラインに "mip1@cisco.com" というユーザを設定したとします。このあと、ルールベースのホットラインを設定すると、先の設定は上書きされます。

最初にレルムを設定して、このレルム内のすべてのユーザにホットライン機能を適用するとします。あとから特定のユーザに対してホットライン機能を設定すると、このユーザの設定によってレルムの設定が上書きされます。

IOS では、CLI の設定および設定解除に制限があります。CLI の設定では、使用可能な文字数は最大 249 文字です。CLI の設定解除では、使用可能な文字数は最大 252 文字です。


) HA MIB は、ホットライン情報によって更新されません。


ホットライニングの設定

ホットラインを設定するには、グローバル コンフィギュレーション モードで以下のタスクを実行します。

コマンド
目的

Router(config)# [no] ip mobile home-agent hotline ?

profile defines hotline profiles

Router(config)# [no] ip mobile home-agent hotline profile word

Router(hotline-rules)#

 

Router(hotline-rules)#?

exit Exit from hotline profile configuration mode

firewall Defines Firewall filter Rules

no Negate the hotline rules

redirect Redirection Rules

各ユーザ(MN)に対し、プロファイル ベースまたはルール ベースのホットラインを設定および指定します。

profile キーワードは、一式のルールを設定するためのサブコンフィギュレーション モードを指定します。

Router(hotline-rules)# [no] Redirect ip access-group {acl-no | word} {in|out} {redirect ip-addr [port]}

IP が、リダイレクトされるプロファイルベースの設定であることを指定します。設定する ACL は、拡張 ACL である必要があります。ACL 番号は 100 ~ 199 および 2000 ~ 2699 となります。

Router(hotline-rules)# [no] Redirect http access-group {acl-no | word} {redir-url url}

HTTP が、リダイレクトされるプロファイルベースの設定であることを指定します。設定する ACL は、拡張 ACL である必要があります。ACL 番号は 100 ~ 199 および 2000 ~ 2699 となります。

Router(hotline-rules)#[no] firewall ip access-group {acl-no | word} {in|out}

IP ファイアウォールがプロファイルベースの設定であることを指定します。設定する ACL は、拡張 ACL である必要があります。ACL 番号は 100 ~ 199 および 2000 ~ 2699 となります。

Router(config)#[no] ip mobile realm {realm | nai} hotline ?

capability Hotlining Capability of the mobile hosts

redirect Redirect ip address for upstream traffic

 

Router(config)#[no] ip mobile realm { realm | nai} hotline capability ?

all Support all Hotline Capabilities

httpredir HTTPRedir Rule-based Hot-Lining

ipfilter IPFilter Rule-based Hot-Lining

ipredir IPRedir Rule-based Hot-Lining

profile Profile-based Hot-Lining

 

Router(config)# ip mobile realm realm hotline capability ipredir

ユーザに対し、IP リダイレクション ルールを使用したプロファイルベースのホットラインを設定します。realm には NAI またはレルムを指定します。

Router(config)#ip mobile realm realm hotline capability httpredir

ユーザに対し、HTTP リダイレクション ルールを使用したプロファイルベースのホットラインを設定します。realm には NAI またはレルムを指定します。

Router(config)# ip mobile realm realm hotline capability rule-based flag

ユーザに対し、ルールベースのホットラインを設定します。realm には NAI またはレルムを指定します。

router# clear ip mobile traffic

トラフィックに対し、IP モバイル関連のカウンタをすべて消去し、ホットライン関連のカウンタも消去します。

1.各フラグ値の意味は次のとおりです。
0x00000001 プロファイルベースのホットラインがサポートされます(RADIUS Filter-Id 属性を使用)。
0x00000002 フィルタ ルールを使用したルールベースのホットラインがサポートされます。
0x00000004 HTTP リダイレクション ルールを使用したルールベースのホットラインがサポートされます。
0x00000008 IP リダイレクション ルールを使用したルールベースのホットラインがサポートされます。

ダイナミック ACL の設定に関する詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/partner/products/ps6350/products_configuration_guide_chapter09186a0080430e5b.html

設定の確認

HA のホットライニングに関するさまざまな情報を表示するには、以下のタスクを実行します。

コマンド
目的

Router# show ip mobile hotline[profile profile-id] | summary | users [nai id]

ホットラインを適用した特定のユーザ、またはホットラインの対象となる全ユーザに対する情報を表示します。

Router# show ip mobile hotline users ?

nai MN identified by NAI

ホットラインを適用した特定のユーザ、またはホットラインの対象となる全ユーザに対する情報を表示します。

Router# show ip mobile hotline profile ?

WORD Profile-Id

Output modifiers

全ホットライン プロファイルのリスト、または特定のホットライン プロファイルを表示します。

router# show ip mob hot summary

ホットラインを適用した加入者の現在の統計情報を一覧表示します。このコマンドを実行すると、ホットラインの対象となる MIP セッションが 1 つ以上存在する場合に各カウンタが表示されます。

router# show ip mobile traffic [since]

ホットライン セッション関連の各カウンタを組み合わせて表示します(ホットラインの対象となるセッション数、ホットラインの対象となるアクティブ セッション数、ホットラインの対象となる新規セッション数の累積カウンタ)。

次に、ホットライン ユーザ情報の出力例を示します。

HA#show ip mobile hotline users nai mip1@cisco.com
blrmip1@cisco.com (Bindings 1):
Rule Based HotLining (Rules 1)
RuleType HTTPPRedir, Dynamic ACL Number 10
Direction - in
Redirect url - www.cisco.com
 
HA#show ip mobile hot-lined users
Hotline Binding List:
blrmip1@cisco.com (Bindings 1):
Rule Based HotLining (Rules 1)
RuleType HTTPPRedir, Dynamic ACL Number 10
Direction - in
Redirect url - www.cisco.com
 
blrmip2@cisco.com (Bindings 1):
Rule Based HotLining (Rules 1)
RuleType HTTPPRedir, Dynamic ACL Number 10
Direction - in
Redirect url - www.cisco.com
 

次に、ホットライン プロファイル情報の出力例を示します。

HA#Show ip mobile hotline profile cisco
Hotline Profile List:
Profile: cisco (Rules 1)
RuleType HTTPRedir, Extended ACL Number 100
Direction - in
Redirected Url - cisco.com
 
HA#show ip mobile hotline profile
Hotline Profile List:
Total 2
Profile: cisco (Rules 1)
RuleType HTTPRedir, Extended ACL Number 100
Direction - in
Redirected Url - cisco.com
 
Profile: ht-prof1 (Rules 3)
RuleType IPRedir, Extended ACL Name ht-acl1
Direction - in
Redirected IPAddr 16.1.1.102
 
RuleType IPRedir, Extended ACL Number 100
Direction - in
Redirected IPAddr 1.1.1.1
 
RuleType IPFilter, Extended ACL Name cisco
Direction - out
HA#

 

次に、ホットラインに関する統計情報の出力例を示します。

HA#sh ip mob hot summary
HomeAgent Hotlining Summary:
Number of Sessions Hotlined 2
Number of Profile-Based Hotlined 0
Number of Rule-Based Hotlined 2
HA#
 

次に、ホットライン セッション カウンタの出力例を示します。

HA# show ip mobile traffic
IP Mobility traffic:
Advertisements:
Solicitations received 0
Advertisements sent 0, response to solicitation 0
Home Agent Registrations:
Register requests rcvd 1351, denied 0, ignored 0, dropped 0, replied 1
Register requests accepted 1351, No simultaneous bindings 0
Register requests rcvd initial 149, re-register 1132, de-register 70
Register requests accepted initial 149, re-register 113, de-register 7
Register requests replied 1281, de-register 70
Register requests denied initial 0, re-register 0, de-register 0
Register requests ignored initial 0, re-register 0, de-register 0
Registration Request Errors:
Unspecified 0, Unknown HA 0, NAI check failures 0
Administrative prohibited 0, No resource 0
Authentication failed MN 0, FA 0, active HA 0
Bad identification 0, Bad request form 0
Unavailable encap 0, reverse tunnel 0
Reverse tunnel mandatory 0
Unrecognized VendorID or CVSE-Type in CVSE sent by MN to HA 0
Unrecognized VendorID or CVSE-Type in CVSE sent by FA to HA 0
Binding Updates received 14, sent 0 total 0 fail 1351
Binding Update acks received 0 sent 14
Binding info requests received 0, sent 1 total 2 fail 1
Binding info reply received 1 drop 0, sent 0 total 0 fail 0
Binding info reply acks received 0 drop 0, sent 1
Binding Delete Req received 0, sent 0 total 0 fail 0
Binding Delete acks received 0 sent 0
Binding Sync Req received 0, sent 0 total 0 fail 0
Binding Sync acks received 0 sent 0
Gratuitous 0, Proxy 0 ARPs sent
Route Optimization Binding Updates sent 0, acks received 0 neg acks received 0
Registration Revocation msg sent 0 rcvd 0 ignored 0
Registration Revocation acks sent 0 rcvd 0 ignored 0
Total incoming registration requests using NAT detect 0
 
Total VPDN Tunnel sessions attempted: 1 success: 1 fail: 0 pending: 0
PPP SW IDBs: 1 no resource: 0 deleted: 0
 
 
Change of Authorization:
Request rcvd 0, accepted 0
Request Errors:
Unsupported Attribute 0, Missing Attribute 0
Invalid Request 0, NAS 0
Session Cxt Not Found 0, Session Cxt Not Removable 0
Unsupported Service 0
Dynamic DNS Update (IP Reachability):
Number of DDNS Update Add request sent 0
Number of DDNS Update Delete request sent 0
Home Agent Hotlining:
Number of Hotline Sessions 6
Number of Active-Session Hotlined 0
Number of New-Session Hotlined 6
Number of Active-Sessions Reconciled 0
Number of New-Sessions Reconciled 0