Cisco SCMS SM LEGs ユーザ ガイド Release 3.1.6
用語および概念
用語および概念
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

用語および概念

一般的な概念

ケーブル/サテライト モデム

Customer Premise Equipment(CPE)

LEG

pull 要求

未加工のデータ(RDR)

サブスクライバ ドメイン

サブスクライバ ID

サブスクライバ マッピング

CNR の概念

通信リンク障害の処理

DHCP DoS 攻撃フィルタ

リモート プロシージャ コール(PRPC)

SM C++ API

SM ケーブル サポート モジュール

サブスクライバの自動ログアウト

サブスクライバ モード

DHCP の概念

DHCP ACK パケット

DHCP リース延長トランザクション(更新)

DHCP Lease Query トランザクション

DHCP リリース トランザクション

DHCP スニファ

サブスクライバ ポリシー

RADIUS の概念

ネットワーク アクセス システム(NAS)

RADIUS アカウンティング トランザクション

RADIUS アカウンティングの開始/暫定/停止

RADIUS 認証トランザクション

RADIUS スニファ

VPN 上でのサブスクライバ マッピング

サブスクライバ ポリシー

MPLS/VPN BGP の概念

ボーダー ゲートウェイ プロトコル(BGP)

カスタマー エッジ(CE)

マルチプロトコル ラベル スイッチング(MPLS)

プロバイダー エッジ(PE)

ルート識別子(RD)

ルート リフレクタ(RR)

ルート ターゲット(RT)

VPN ID

バーチャル プライベート ネットワーク(VPN)

Virtual Routing and Forwarding(VRF)

SOAP の概念

SOAP

UsernameToken プロファイル

WSDL

WSS

用語および概念

ここでは、Login Event Generator(LEG)および Subscriber Manager(SM)の設定および動作を理解するのに必要な用語と概念について説明します。項目の詳細については、『 Cisco SCMS Subscriber Manager User Guide 』を参照してください。

「一般的な概念」

「CNR の概念」

「DHCP の概念」

「RADIUS の概念」

「MPLS/VPN BGP の概念」

「SOAP の概念」

一般的な概念

「ケーブル/サテライト モデム」

「Customer Premise Equipment(CPE)」

「LEG」

「pull 要求」

「未加工のデータ(RDR)」

「サブスクライバ ドメイン」

「サブスクライバ ID」

「サブスクライバ マッピング」

ケーブル/サテライト モデム

ケーブル ネットワークまたはサテライト ネットワーク経由での、インターネット アクセスを提供するデータ モデム。モデムは通常、Internet Service Provider(ISP; インターネット サービス プロバイダー)の 1 つのサブスクライバに相当します。

Customer Premise Equipment(CPE)

エンドユーザがネットワークに接続する際、モデムを使用する機器のタイプ。エンドユーザは通常、1 つのモデムを介してインターネット接続に使用する、複数の CPE デバイスを所有します。

LEG

SM/SCE 上でサブスクライバのログインおよびログアウトを実行するソフトウェア コンポーネント。LEG はダイナミックなサブスクライバ統合を処理します。

pull 要求

ネットワークで新しいサブスクライバ IP アドレスが使用されたことを SCE プラットフォームが認識したとき、SM または LEG に送信するメッセージ。SM はこのメッセージで提供された IP アドレスを使用してデータベースを照会し、このアドレスに関連付けられたサブスクライバのデータを取得して、そのデータを SCE に送信します。

未加工のデータ(RDR)

SCE デバイスがネットワーク トランザクションに関するレポートを外部収集装置にエクスポートできるクライアント/サーバのデータ プロトコル。これはシスコ独自のプロトコルです。

サブスクライバ ドメイン

SM では、SCE プラットフォームとサブスクライバを、サブスクライバ ドメインに分配するオプションがあります。サブスクライバ ドメインは、サブスクライバのグループを共有する SCE プラットフォームのグループです。サブスクライバ ドメインは、SM コンフィギュレーション ファイルを使用して設定し、SM コマンド ライン ユーティリティ(CLU)を使用して表示できます。

また、ドメイン エイリアスを設定することもできます。ドメイン エイリアスは、SM の実際のドメイン名と同じです。ドメイン エイリアスは、SM コンフィギュレーション ファイルで設定されます。

ドメインおよびドメイン エイリアスの詳細については、『 Cisco SCMS Subscriber Manager User Guide 』の「 Configuration File Options 」を参照してください。

サブスクライバ ID

Service Control ソリューションはサブスクライバごとに Unique Identifier(UID; 固有識別情報)を必要とします。サブスクライバ ID は、サービス プロバイダーの観点からみた論理的なサブスクライバ エンティティを示します。

サブスクライバ マッピング

SCE プラットフォームは、フローのネットワーク ID(IP アドレス)とサブスクライバ ID の間でマッピングする必要があります。サブスクライバ ID にマップするネットワーク ID は、SM データベースに保管されます。SCE ネットワーク ID/サブスクライバのマッピングは、SM データベースから継続的にアップデートされます。

SM LEG の主な機能は、SM/SCE にネットワーク ID/サブスクライバのマッピングをリアルタイムで提供します。

SCE プラットフォームの詳細については、『 Cisco SCE 1000 2xGBE Installation and Configuration Guide 』および『 Cisco SCE 2000 4xGBE Installation and Configuration Guide 』を参照してください。

CNR の概念

「通信リンク障害の処理」

「DHCP DoS 攻撃フィルタ」

「リモート プロシージャ コール(PRPC)」

「SM C++ API」

「SM ケーブル サポート モジュール」

「サブスクライバの自動ログアウト」

「サブスクライバ モード」

通信リンク障害の処理

キープアライブ メカニズムは、CNR LEG と SM の間の通信リンク(ソケット)を定期的に確認します。ソケットが停止している、またはキープアライブがタイムアウトすると通信リンクに障害が発生します。SM コンフィギュレーション ファイルにキープアライブ タイムアウトを設定できます。

LEG から SM リンクに障害が発生した場合、障害の発生した LEG がアップデートしたサブスクライバすべてのマッピングを消去するよう SM を設定できます。

通信リンク障害の処理の詳細については、『 Cisco SCMS Subscriber Manager User Guide 』の「 Configuration File Options 」を参照してください。

DHCP DoS 攻撃フィルタ

CNR LEG と SM の間の接続は、DoS 攻撃(サービス拒絶攻撃)から保護されるリソースです。DoS 攻撃は、特定のサブスクライバから大量の DHCP 要求を送信することで発生します。これにより、短い間に大量のログイン メッセージが到着するので、接続がオーバーフローします。CNR LEG により、管理者は、複数の同一の DHCP 要求のイベントを識別し、イベントをフィルタリングしてログイン メッセージのレートを事前に設定したレートに下げるフィルタを使用できます。フィルタは攻撃から CNR を保護しませんが、SM への接続を保護します。

リモート プロシージャ コール(PRPC)

CNR LEG は、シスコが開発した独自の Remote Procedure Call(RPC; リモート プロシージャ コール)プロトコルを使用して、SM と通信します。SM Java、C、および C++ API も PRPC を使用します。CNR LEG は通信レイヤとして C++ API を使用します。

SM C++ API

SM C++ API は、サブスクライバとシスコのシステムを統合できるよう設計された動作をエクスポーズします。CNR LEG は基本的な通信レイヤとして SM C++ API を使用します。

C++ API の詳細については、『 Cisco SCMS SM C/C++ API Programmer Guide 』を参照してください。

SM ケーブル サポート モジュール

ケーブル サポート モジュールは、ケーブル環境の統合に適した API を実行する SM コンポーネントです。ケーブル サポート モジュールは、ケーブル サブスクライバの用語(CPE、CM、および CMTS)と、Cisco Service Control Managementシステムが使用する一般的なサブスクライバの用語の間で変換を行います。CNR LEG は PRPC を使用して、ケーブル サポート モジュール API が実行する cableLogin および cableLogout 動作を呼び出します。

SM ケーブル サポート モジュールは、CPE as Subscriber モードでのみ使用できます。

ケーブル サポート モジュールの詳細については、『 Cisco SCMS Subscriber Manager User Guide 』の「 CPE as Subscriber in Cable Environment 」を参照してください。

サブスクライバの自動ログアウト

SM は、サブスクライバごとに自動ログアウト タイマー(リース期限)を設定できます。タイマーは、サブスクライバの cableLogin または login 動作を実行するときに設定されます。CNR LEG は、DHCP IP リース有効期限オプションから自動ログアウト値を抽出し、設定します。

サブスクライバ モード

サブスクライバ モードは、LEG および SM 内のサブスクライバと呼ぶエンティティを定義します。

ケーブル プロバイダーは通常、Cable Modem(CM; ケーブル モデム)を、複数の IP アドレスが割り当てられたサブスクライバ エンティティとして使用します(Customer Premises Equipment[CPE; 宅内装置]ごとに 1 つ)。

CNR LEG は、設定で定義されたとおり、CPE as Subscriber モードおよび CM as Subscriber (デフォルト)モードをサポートします。

「CPE as Subscriber」モードで動作する場合、CNR LEG は SM ケーブル サポート モジュールと連動します。ケーブル環境サブスクライバ モードの詳細については、『 Cisco SCMS Subscriber Manager User Guide 』の「 CPE as Subscriber in Cable Environment 」を参照してください。

DHCP の概念

「DHCP ACK パケット」

「DHCP リース延長トランザクション(更新)」

「DHCP Lease Query トランザクション」

「DHCP リリース トランザクション」

「DHCP スニファ」

「サブスクライバ ポリシー」

DHCP ACK パケット

各 DHCP トランザクション(リリース トランザクションは除く)で DHCP サーバから送信された最終パケット。DHCP ACK パケットを転送すると、トランザクション結果が最終になります。

DHCP リース延長トランザクション(更新)

エンティティ リース期限の更新のための DHCP トランザクション。リース期限に到達すると、ネットワーク エンティティがネットワークから削除されます。LEG はこのクエリーを使用すれば、新しいリース期限を使用したサブスクライバをログインさせます。

DHCP Lease Query トランザクション

DHCP Lease Query トランザクションは、クライアントが IP アドレスの所有者と lease-expiration-time に関して DHCP サーバに照会できる特別なメッセージ タイプを使用する DHCP トランザクションです。

IETF 標準は、DHCP Lease-Query トランザクションを定義します。詳細については、 IETF Web サイト を参照してください。

DHCP リリース トランザクション

IP アドレスをリリースする DHCP トランザクション。このトランザクションは、ネットワークからネットワーク エンティティをログアウトするのに使用されます。DHCP リリース トランザクションはほとんど使用されません。ログアウトは通常、リース期限が満了したときに実行されます。リリース トランザクションでは直接実行されません。LEG はリリース クエリーを使用して、SM からサブスクライバをログアウトします。

DHCP スニファ

DHCP トラフィックを解析し、RDR プロトコルを使用してSCE-Sniffer DHCP LEG にその情報を送信する、SCE デバイス内部のソフトウェア ロジックです。

サブスクライバ ポリシー

サブスクライバ ポリシー パッケージは通常、各サブスクライバの Cisco SCMS ソリューションによって実行されるポリシーを定義します。DHCP Lease Query LEG および SCE-Sniffer DHCP LEG は、次のいずれかの方法でパッケージ ID を処理できます。

DHCP イニシャル ログイン トランザクションまたはリース延長トランザクションの設定可能なオプションに従って、ポリシーを設定します。

一定のデフォルト値を使用してポリシーを設定します。

ポリシーの設定を解除します。

詳細については、『 Cisco Service Control Application for Broadband User Guide 』を参照してください。

RADIUS の概念

「ネットワーク アクセス システム(NAS)」

「RADIUS アカウンティング トランザクション」

「RADIUS アカウンティングの開始/暫定/停止」

「RADIUS 認証トランザクション」

「RADIUS スニファ」

「VPN 上でのサブスクライバ マッピング」

「サブスクライバ ポリシー」

ネットワーク アクセス システム(NAS)

リモート ユーザのアクセス ポイントとして機能するネットワーク デバイス。リモート ユーザを認証するため、RADIUS サーバに対する RADIUS トランザクションを開始します。

RADIUS Listener LEG は、プロキシまたは転送メッセージとして機能する RADIUS サーバであっても、すべての RADIUS クライアントを NAS デバイスとして扱います。

RADIUS アカウンティング トランザクション

RADIUS アカウンティング トランザクションは、管理目的でユーザが使用するサービスを追跡するのに使用されます。LEG は、RFC 2866 に基づいて RADIUS アカウンティングをサポートします。LEG が使用する RADIUS アカウンティング パケットは、ACCOUNTING-REQUEST だけです。

RADIUS アカウンティングの開始/暫定/停止

RADIUS アカウンティング メッセージは、Acct-Status-Type というアトリビュートを保持する必要があります。このアトリビュートは、 start interim-update stop 、または他の RADIUS アカウンティング メッセージの値を受信できます。Accounting-Start メッセージには、Acct-Status-Type と start 値が含まれます。

詳細については、関連する RADIUS RFC マニュアルを参照してください。

RADIUS 認証トランザクション

RADIUS トランザクションは、リモート ユーザを認証し、ネットワークのリソースへのアクセスを許可するのに使用されます。LEG は、RFC 2865 に基づいて RADIUS 認証をサポートします。LEG が使用する認証 RADIUS パケットは、ACCESS-REQUEST および ACCESS-ACCEPT です。

RADIUS スニファ

RADIUS トラフィックを解析し、RDR プロトコルを使用してSCE-Sniffer RADIUS LEG にその情報を送信する、SCE デバイス内部のソフトウェア ロジックです。

VPN 上でのサブスクライバ マッピング

バージョン 3.1.5 以降、RADIUS Listener LEG は VPN 上でのサブスクライバ マッピングのためのダイナミックな統合をサポートします。RADIUS アトリビュートから VLAN-ID を抽出し、抽出した IP アドレスとともに使用するよう LEG を設定できます。


) LEG は現在、VLAN-ID によって定義された VPN に対してのみ、VPN 上でのサブスクライバ マッピングをサポートします(「タイプ VLAN の VPN」とも呼ばれる)。



) SM は VLAN VPN を自動的に学習できます。SM にとって未知の VLAN-ID を使用して、サブスクライバがログインすると、SM は VLAN-ID を VPN 名として使用し、VPN を自動的に追加します。


サブスクライバ ポリシー

サブスクライバ ポリシー パッケージは通常、各サブスクライバの Cisco SCMS ソリューションによって実行されるポリシーを定義します。RADIUS Listener LEG および SCE-Sniffer RADIUS LEG は、次のいずれかの方法でパッケージ ID を処理できます。

RADIUS トランザクションの設定可能なアトリビュートに従ってポリシーを設定します。

一定のデフォルト値を使用してポリシーを設定します。

ポリシーの設定を解除します。

詳細については、『 Cisco Service Control Application for Broadband User Guide 』を参照してください。

MPLS/VPN BGP の概念

「ボーダー ゲートウェイ プロトコル(BGP)」

「カスタマー エッジ(CE)」

「マルチプロトコル ラベル スイッチング(MPLS)」

「プロバイダー エッジ(PE)」

「ルート識別子(RD)」

「ルート リフレクタ(RR)」

「ルート ターゲット(RT)」

「VPN ID」

「バーチャル プライベート ネットワーク(VPN)」

「Virtual Routing and Forwarding(VRF)」

ボーダー ゲートウェイ プロトコル(BGP)

異なる Autonomous System(AS; 自律システム)の間でループフリー ルーティングを提供するため、インターネットで使用する Exterior Gateway Protocol(EGP; エクステリア ゲートウェイ プロトコル)。

MPLS/VPN のコンテキストでは、BGP プロトコルは、PE ルータの MPLS/VPN ルートを隣接する PE ルータに配信するのに使用されます。

カスタマー エッジ(CE)

MPLS コアの 「プロバイダー エッジ(PE)」 ルータに接続するサービス プロバイダー側のルータ。CE ルータは、IP アドレスのあるメッセージ パケットのみを送信します。MPLS/VPN ラベルとの関連はありません。

マルチプロトコル ラベル スイッチング(MPLS)

ラベルを使用して IP トラフィックを転送するスイッチング方式。このラベルは事前に確立された IP ルーティング情報に基づいて、ネットワーク内のルータおよびスイッチにパケットの転送先を指示します。

プロバイダー エッジ(PE)

カスタマー ルータと MPLS/VPN ネットワークの間のルーティング情報を提供するサービス プロバイダー MPLS コアのルータ。PE ルータは、パケットのルーティング方法を決定するため、各カスタマー側の 「Virtual Routing and Forwarding(VRF)」 テーブルを維持します。

ルート識別子(RD)

一意な VPN IPv4 プレフィクスを作成するため、IPv4 プレフィクスと連結した 8 バイトの値。

RD は PE ルータ内の VPN VRF を一意に識別します。

ルート リフレクタ(RR)

BGP ルートをサービス プロバイダーの BGP 対応ルータへ配信するのに使用する、サービス プロバイダー ネットワークのネットワークエレメント。ルート リフレクタは、AS 内で送信されたアップデート メッセージの数を最小限にし、各メッセージで伝播されるデータの量を削減します。

ルート ターゲット(RT)

ルーティング プロトコルを使用して、インポートおよびエクスポート ポリシーを制御し、カスタマー用に任意の VPN トポロジを構築します。

VPN ID

Service Control ソリューションは VPN ごとに UID を必要とします。VPN ID は、サービス プロバイダーの観点からみた論理的な VPN エンティティを示します。

バーチャル プライベート ネットワーク(VPN)

中間ネットワーク(インターネットなど)を介して、コンピュータまたはネットワークとリモート ネットワークを安全に接続する技術。

VPN は、安全ではないパブリック ネットワーク(インターネットなど)を使用して、2 つのネットワークを接続できます。また、安全ではないパブリック ネットワークを使用してネットワークとリモート コンピュータを接続したり、トンネリング、暗号化、および認証などの技術を使用して安全に接続することができます。

Virtual Routing and Forwarding(VRF)

一般的にVRF には、PE ルータに接続された VPN サイトを定義するルーティング情報が含まれます。VRF は、IP ルーティング テーブル、転送テーブル、転送テーブルを使用するインターフェイス、転送テーブルに送信するものを決定するルールおよびルーティング プロトコルで構成されます。

SOAP の概念

「SOAP」

「UsernameToken プロファイル」

「WSDL」

「WSS」

SOAP

SOAP は、非集中型の分散環境で構造化した情報を交換するためのライトウェイト プロトコルです。このプロトコルは XML 技術を使用して、さまざまな基本プロトコルで交換できるメッセージ構築を提供する拡張メッセージ フレームワークを定義します。フレームワークは、特定のプログラミング モデルや他の実装固有の動作とは無関係です。

UsernameToken プロファイル

<wsse:UsernameToken> は、ユーザ名を提供する方法として WSS SOAP Message Security マニュアルで導入さました。

WSDL

WSDL は、マニュアル指向または手順指向の情報を含んだメッセージで動作するエンドポイントとしてネットワーク サービスを記述する XML 形式です。動作およびメッセージは抽象的に記述されます。その後、具体的なネットワーク プロトコルとメッセージ形式にバインドされ、エンドポイントを定義します。関連する具体的なエンドポイントは抽象的なエンドポイント(サービス)に結合されます。

WSS

WS-Security(Web サービス セキュリティ)は、Web サービスにセキュリティを適用する手段を提供する通信プロトコルです。IBM、Microsoft、および VeriSign によって最初に開発されたプロトコルで、現在では正式に WSS と呼ばれます。Oasis-Open の委員会を通じて開発され、維持されます。

プロトコルには、整合性と機密保持を Web サービス メッセージで実行する方法に関する仕様が含まれます。WS-Security は、セキュリティ機能を SOAP メッセージのヘッダーに組み込んでいるので、アプリケーション レイヤで動作します。従って、エンドツーエンドのセキュリティを保証します。