Cisco SCMS SM LEGs ユーザ ガイド Release 3.1.6
SCE-Sniffer RADIUS LEG の機能
SCE-Sniffer RADIUS LEG の機能
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

SCE-Sniffer RADIUS LEG の機能

SCE-Sniffer RADIUS 機能

RADIUS 属性の情報

サブスクライバ ID の関連付け

ドメインの関連付け

ポリシーの関連付け

サブスクライバ IP の関連付け

RADIUS パケットの情報

Accounting-Start パケット

Accounting-Interim-Update パケット

Accounting-Stop パケット

Access-Accept パケット

SCE-Sniffer RADIUS LEG の機能

ここでは、ログインおよびログアウト動作の SCE-Sniffer RADIUS LEG トランザクションについて説明します。

Service Control Engine(SCE) デバイスは、RADIUS トランザクションを解析し、Subscriber Manager(SM)上にある SCE-Sniffer RADIUS LEG に情報を送信します。LEG は、SCE デバイスから送信された情報を使用して、SM へのログインまたはログアウト動作を実行します。

「SCE-Sniffer RADIUS 機能」

「RADIUS 属性の情報」

「RADIUS パケットの情報」

SCE-Sniffer RADIUS 機能

LEG は、RADIUS トランザクションと次の統合をサポートします。

RADIUS アカウンティング トランザクションとの統合

このモードでは、ログイン動作に Accounting-Start パケットと(任意で)Accounting-Interim-Update パケットが使用され、ログアウト動作には(任意で)Accounting-Stop パケットが使用されます。この統合モードは、最も単純なので、ネットワークでアカウンティング トランザクションが使用されている場合、この統合モードを使用することを推奨します。

RADIUS 認証トランザクションとの統合

このモードでは、ログイン動作に Access-Request パケットと Access-Accept パケットが使用されます。このモードでは、ログアウト動作はサポートされていません。ネットワークで RADIUS アカウンティングが使用されない場合は、この統合モードを使用してください。

RADIUS アカウンティング トランザクションと RADIUS 認証トランザクションとの統合

上記の 2 つのモードを組み合わせたモードです。ログイン動作には認証トランザクションを使用し、ログアウト動作にはアカウンティング トランザクションを使用します。

RADIUS 属性の情報

ここでは、RADIUS 属性からサブスクライバ プロパティがどのように抽出されるかについて説明します。

「サブスクライバ ID の関連付け」

「ドメインの関連付け」

「ポリシーの関連付け」

「サブスクライバ IP の関連付け」

サブスクライバ ID の関連付け

デフォルトで、サブスクライバ ID の関連付けに使用される属性は、User-Name 属性(#1)ですが、Vendor-Specific attribute(VSA; ベンダー固有属性)(#26)を含むその他の属性に設定することも可能です。

要件は、設定された属性のデータ タイプが string でなければならないという点だけです。

ログイン動作を成功させるためには、RADIUS トラフィックにこの属性が必要です。ID がないとサブスクライバが SM を認識できないためです。

ログアウト動作の場合は、Accounting-Stop パケットのみによって開始されるので、この属性は必須ではありません。ログアウトはマッピング情報を使用して実行できるからです。

ドメインの関連付け


) ドメインの関連付けは、ログイン動作のみに該当し、実行は任意です。


ドメインの関連付けは、その RADIUS トランザクションを開始した Network Access System(NAS)に基づいて行われます。NAS を識別する RADIUS 属性は、NAS-Identifier(#32)と NAS-IP-Address(#4)です。属性が 1 つもないと、LEG は UDP パケットから取得した NAS の IP アドレスを使用して NAS を識別します。

ログイン動作が発生する前に、NAS のプロパティ、すなわち NAS-Identifier および NAS-IP-Address が設定されている SM のドメインまたはドメイン エイリアスと照合されます。一致したドメインまたはドメイン エイリアスがサブスクライバ ドメインとしてログイン動作に使用されます。

ドメインの関連付けは次のように実行されます。

1. NAS-Identifier 属性があり、同じ NAS-Identifier に対応するドメインまたはドメイン エイリアスが SM に設定されている場合は、ドメイン名またはエイリアスがサブスクライバ ドメインとして使用されます。

2. 上記のステップでエラーになると、NAS-IP-Address 属性上で同じテストが実行されます。

3. NAS-IP-Address が存在しない場合、NAS 上の IP アドレス上で同じテストが実行されます。

4. NAS-Identifier および NAS-IP-Address の属性が両方ともない場合またはこれらが既存の SM ドメインまたはエイリアスと一致しない場合、デフォルトのサブスクライバ ドメインが使用されます。

ポリシーの関連付け


) ポリシーの関連付けは、ログイン動作のみに該当し、実行は任意です。


ユーザはポリシーの関連付けを設定することができます。ポリシーの関連づけには、VSA を含め、すべての RADIUS 属性を使用できます。

「ポリシーの関連付け」とは、RADIUS パケットから抽出された情報に基づいてサブスクライバのプロパティを設定することです。たとえば、サブスクライバのネットワーク サービス レベルを制御する Service Control Application for Broadband (SCA BB)ソリューションの packageld プロパティの設定は、ポリシーの関連付けの一例です。

RADIUS 属性からポリシーを関連付けるには、設定されている属性のタイプが string または integer でなければなりません。サブスクライバのプロパティ値は常に整数だけです。ただし、関連付けがストリングの RADIUS 属性に基づいている場合は、マッピング テーブルの設定が必要です。関連付けが整数の RADIUS 属性に基づいている場合、マッピング テーブルは必要ありませんが、使用できます。マッピング テーブルの設定に関する詳細については、「 ポリシーの設定に関する情報 」を参照してください。

設定済みの RADIUS 属性がパケットにない場合は、ポリシーにデフォルト値を定義できます。デフォルト値が有効なのは、他の LEG または SM などによって事前にポリシーが設定されていない場合のみです。

ポリシーの設定方法については、「 ポリシーの設定に関する情報 」のセクションで説明しています。

サブスクライバ IP の関連付け

サブスクライバ IP アドレスは、通常、Frame-IP-Address 属性に関連付けられていますが、RADIUS 属性に関連付けることも可能です。トポロジによっては、サブスクライバ IP アドレスの仕様が Framed-IP-Address 属性ではなく、RADIUS 属性として送信される場合もあります。

この LEG では、次のアルゴリズムによって IP アドレスが抽出されます。

1. ユーザが IP 抽出元の属性を設定した場合、LEG は RDR 内でその属性を探します。属性が存在すれば、LEG はその属性をサブスクライバ IP アドレスとして使用します。

2. 属性が存在しない場合や属性が設定されていない場合、LEG は Framed-Route 属性を探します。Framed-Route 属性はいくつか存在することもあります。何らかの Framed-Route 属性が存在すれば、LEG はこれらの属性をサブスクライバ IP アドレスとして使用します。

3. Framed-Route 属性が 1 つも存在しない場合、LEG は Framed-IP-Address 属性と
Framed-IP-Netmask 属性を探します。Framed-IP-Address 属性が存在すれば、LEG はこの属性をサブスクライバ IP アドレスとして使用します。Framed-IP-Address と Framed-IP-Netmask の両方の属性がある場合は、その IP アドレスと IP ネットマスクで表される IP 範囲で操作が実行されます。

4. 上記のいずれでもない場合、LEG は IP アドレスなしでログインを実行します。


) 属性には、通常の RADIUS 属性と VSA のどちらかを設定できます。単一 IP アドレスの場合には属性を整数としてエンコードすることができます。また、ストリングとしてエンコードし、IP-Address/IP-Range 値とすることも可能です。値は、A.B.C.D/E または A.B.C.D の形式にしなければいけません。



) サポートされている Framed-Route 属性の形式は、RFC-2865 に記述されているものと同じです。A.B.C.D/E 形式でルートそのものから始まるストリングで開始し、後ろにスペースを 1 つ入れます。その他の値はスペースの後ろに続けますが、LEG はこのような値を無視します。


RADIUS パケットの情報

ここでは、SCE-Sniffer RADIUS LEG がサポートしている RADIUS パケットと SM に対する影響について説明します。

「Accounting-Start パケット」

「Accounting-Interim-Update パケット」

「Accounting-Stop パケット」

「Access-Accept パケット」

Accounting-Start パケット

Accouting-Start パケットは、次のサブスクライバ プロパティでログイン動作を開始します。

サブスクライバ ID ― 「サブスクライバ ID の関連付け」を参照してください。

サブスクライバ IP ― 「サブスクライバ IP の関連付け」を参照してください。

ドメイン ― 「ドメインの関連付け」を参照してください。

ポリシー ― 「ポリシーの関連付け」を参照してください。

Accounting-Start パケットにサブスクライバ ID がないと、ログイン動作は実行されず、ユーザ ログにエラー メッセージが書き込まれます。その他のプロパティ(サブスクライバ IP、ドメイン、ポリシー)はすべて任意です。


) すべてのサブスクライバ プロパティを有するパケットは、Accounting-Start および
Accounting-Interim-Update パケットのみです。可能な限り、これらのパケットを使用してください。


Accounting-Interim-Update パケット

Accouting-Interim-Update パケットは、Acounting-Start パケットと全く同じプロパティでログイン動作を開始します。

Accounting-Iterim-Update パケットにサブスクライバ ID がないと、ログイン動作は実行されず、ユーザ ログにエラー メッセージが書き込まれます。その他のプロパティ(サブスクライバ IP、ドメイン、ポリシー)はすべて任意です。


) サブスクライバが単一セッションで長時間ネットワークに接続される場合にはこのパケットを使用します。


Accounting-Stop パケット

Accouting-Stop パケットは、次のサブスクライバ プロパティでログアウト動作を開始します。

サブスクライバ ID ― 「サブスクライバ ID の関連付け」を参照してください。

サブスクライバ IP ― 「サブスクライバ IP の関連付け」を参照してください。

Accounting-Start パケットとは異なり、Accounting-Stop パケットではサブスクライバ ID は必須ではありません。サブスクライバ ID がない場合、マッピング情報のみに基づいてログアウトが実行されます。Accounting-Stop パケットにサブスクライバ ID があって、マッピングがない場合、そのサブスクライバのすべてのマッピングがログアウトされます。両方のプロパティがない場合、ログアウト動作は実行されず、ユーザ ログにエラー メッセージが書き込まれます。


) Accounting-Stop はログアウト動作を開始する唯一のパケットです。ログアウトを実行する必要がある場合は、統合にこのパケットを使用しなければいけません。


Access-Accept パケット

Access-Accept パケットは、次のサブスクライバ プロパティでログイン動作を開始します。

サブスクライバ ID ― 「サブスクライバ ID の関連付け」を参照してください。

サブスクライバ IP ― 「サブスクライバ IP の関連付け」を参照してください。

ポリシー ― 「ポリシーの関連付け」を参照してください。

サブスクライバ ID は必須ですが、サブスクライバ IP とポリシーは必須ではありません。サブスクライバ ID がない場合、ログイン動作は実行されず、ユーザ ログにエラー メッセージが書き込まれます。


) Access-Accept パケットには、ドメインの関連付けに必要な情報はありません。ドメインを使用する場合は、ドメインの統合にアカウンティング パケットの使用を検討してみてください。