Cisco SCMS SM LEGs ユーザ ガイド Release 3.1.6
CNR LEG および SM の設定
CNR LEG および SM の設定
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

CNR LEG および SM の設定

CNR LEG の設定の概要

SM IP アドレスおよびポートの設定の概要

SM IP アドレスおよびポートの設定

SM IP アドレスおよびポートの例

サブスクライバ モードの設定の概要

サブスクライバ モードの設定

サブスクライバ モードの例

攻撃フィルタ パラメータの設定の概要

攻撃フィルタ パラメータの設定

攻撃フィルタの例

リース期限オプションの設定の概要

リース期限オプションの設定

リース期限オプションの例

SM の設定の概要

SM-LEG 障害処理の設定の概要

SM-LEG 障害処理のアクティブ化の概要

LEG/ドメインの関連付けの設定の概要

ドメイン エイリアスの設定の概要

ドメイン エイリアスの設定

ドメイン エイリアスの例

自動ログアウトの設定の概要

自動ログアウトの設定

自動ログアウトの例

PRPC サーバの設定

CNR LEG および SM の設定

ここでは、Cisco Network Registrar(CNR; Cisco ネットワーク レジストラ)Login Event Generator(LEG)を設定する方法と、Subscriber Manager(SM)を設定して CNR LEG モジュールを使用する方法について説明します。

「CNR LEG の設定の概要」

「SM の設定の概要」

CNR LEG の設定の概要

CNR コンフィギュレーション ファイルでは、次の設定オプションを提供します。

SM IP アドレス ― SM の IP アドレス

SM ポート ― SM PRPC サーバが待ち受ける TCP ポート

サブスクライバ モード ― LEG が使用するサブスクライバ エンティティ。CM as subscriber(デフォルト)または CPE as subscriber になります。

リース期限オプション ― SM に送信されるリース有効期限の抽出元となる、DHCP オプション番号

攻撃フィルタ パラメータ ― DHCP DoS 攻撃(サービス拒絶攻撃)からの保護を有効にするかどうか、およびフィルタリングの実行方法を指定します。

SM IP アドレスおよびポートの設定の概要

「SM IP アドレスおよびポートの設定」

「SM IP アドレスおよびポートの例」

SM IP アドレスおよびポートの設定

LEG を操作するには、SM の IP アドレスを正しく設定する必要があります。

一般的に、デフォルトの PRPC TCP ポート番号を変更する必要はありません。デフォルトの SM ポートは TCP 14374 です。

SM PRPC ポートは SM コンフィギュレーション ファイルから取得できます。詳細については、『 Cisco SCMS Subscriber Manager User Guide 』の「 Configuration File Options 」を参照してください。

SM IP アドレスおよびポートの例

次に、SM の IP アドレスおよびポートの設定方法を示す CNR コンフィギュレーション ファイルの例を示します。

[sm]
# SM IP address
ip_address= 216.239.37.99
# SM PRPC Server port. default 14374
#port=14374

サブスクライバ モードの設定の概要

「サブスクライバ モードの設定」

「サブスクライバ モードの例」

サブスクライバ モードの設定

LEG は、次の 2 種類のモードで動作します。

CM as Subscriber ― 各 Customer Premise Equipment(CPE; 顧客宅内機器)のログイン/ログアウト/リース延長機能は、サブスクライバ ID として対応する CM Media Access Control(MAC; メディア アクセス制御)を使用して、SM へのログイン動作を実行します。

CPE as Subscriber ― 各 CPE は個別のサブスクライバ エンティティです。各 CPE のログイン/ログアウト/リース延長機能は、サブスクライバ ID として対応する CPE MAC および CM MAC を両方使用して、SM へのログイン動作を実行します。

サブスクライバ モードの例

次に、サブスクライバ モードの設定方法を示す CNR コンフィギュレーション ファイルの例を示します。

CM as Subscriber:

[general]
# defines who is the subscriber to refer to the CM or the CPE.
# default: cm_as_subscriber optional values: cm_as_subscriber \
# cpe_as_subscriber
subscriber_mode=cm_as_subscriber
 

CPE as Subscriber:

[general]
# defines who is the subscriber to refer to the CM or the CPE.
# default: cm_as_subscriber optional values: cm_as_subscriber \
# cpe_as_subscriber
subscriber_mode=cpe_as_subscriber

攻撃フィルタ パラメータの設定の概要

「攻撃フィルタ パラメータの設定」

「攻撃フィルタの例」

攻撃フィルタ パラメータの設定

DHCP DoS 攻撃からの保護を有効にするには、enabled オプションを設定する必要があります。攻撃フィルタには、動作を定義する 2 つのパラメータがあります。

timeout パラメータは、同一の DHCP 要求(ログイン/更新トランザクション)の最小インターバルを秒単位で定義します。このパラメータで指定した時間内に同一の要求が CNR に 2 回到達すると、LEG は 2 番めの要求を無視します。CNR は SM への 2 番めのログインを実行しません。

num_of_entries パラメータは、攻撃フィルタが所定の時間に保持できる DHCP トランザクション情報エントリの数を定義します。このパラメータは、DoS 攻撃保護フィルタに対して LEG が割り当てるメモリの量に影響を与えます。LEG が大量のトランザクションをサポートする場合にのみ、このパラメータを変更してください。

攻撃フィルタの例

次に、攻撃フィルタ パラメータの設定方法を示す CNR コンフィギュレーション ファイルの例を示します。

[attack filter]
# enable or disable the attack filtering mechanism in the LEG
# can be set to true or false. default true.
enabled=true
# minimum time in seconds between DHCP login/renew transactions of
# the same subscriber with the same IP. default = 10 seconds
timeout=10
# the number of attack transactions detected on this user that
# should generate a log message. setting 0 disables this logging.
# note: the first attack detection is always logged (unless
# logging is disabled)
# default: log every 100 attack transactions.
log_interval=100

リース期限オプションの設定の概要

「リース期限オプションの設定」

「リース期限オプションの例」

リース期限オプションの設定

SM のリースの有効期限で、サブスクライバの自動ログアウトをイネーブルにするには、lease_time オプションを設定する必要があります。CNR LEG は、次のいずれかの DHCP オプション番号から、IP アドレスのリースの有効期限を抽出できます。

51(デフォルト)

58

59

自動ログアウト メカニズムの詳細については、「自動ログアウトの設定の概要」を参照してください。

リース期限オプションの例

次に、リース期限オプションの設定方法を示す CNR コンフィギュレーション ファイルの例を示します。

lease_time_option=51

SM の設定の概要

SM コンフィギュレーション ファイルを使用して SM を設定します。詳細については、『 Cisco SCMS Subscriber Manager User Guide 』の「 Configuration File Options 」を参照してください。

「SM-LEG 障害処理の設定の概要」

「ドメイン エイリアスの設定の概要」

「自動ログアウトの設定の概要」

「PRPC サーバの設定」

SM-LEG 障害処理の設定の概要


) SM に SM-LEG 障害処理を正しく設定してから CNR LEG を設定することが重要です。SM の設定の詳細については、『Cisco SCMS Subscriber Manager User Guide』の「Configuration File Options 」を参照してください。


障害処理を設定するには、コンフィギュレーション ファイルで次の手順を実行する必要があります。

SM-LEG 障害処理をアクティブにします。

LEG/ドメインの関連付けを設定します。

SM-LEG 障害処理のアクティブ化の概要

「SM-LEG 障害処理のアクティブ化」

「SM-LEG 障害処理の例」

SM-LEG 障害処理のアクティブ化

デフォルトでは、SM-LEG 障害処理はアクティブではありません。この処理をアクティブ化するには、 clear_all_mappings パラメータを true に設定する必要があります。必要に応じて、 timeout 値を変更することもできます。

SM-LEG 障害処理の例

次に、SM-LEG 障害処理の設定方法を示す p3sm.cfg コンフィギュレーション ファイルの例を示します。

[SM-LEG Failure Handling]
# The following parameter defines the behavior of the SM in case of
# LEG-SM connection failure.
# This parameter is relevant only for cases SM and LEG are running
# on different machines.
# Note that this parameter defines a behavior that is similar for
# ALL connected LEGs. If the parameter is set to true then in case
# of LEG-SM connection failure that is not recovered within the
# defined timeout, the mappings of all subscribers in the domains
# defined in the 'LEG-Domains Association' section for the LEG
# that was disconnected, will be removed.
#
# IMPORTANT: LEG Domains must be defined in the following section
# in case this parameter is set to 'true'.
#
# Optional values: [true/false]. Default: false.
clear_all_mappings=true
# The following parameter defines the time in seconds from a LEG-SM
# connection failure until clearing the mappings in the SM database.
# Default value: 60.
timeout=60
 

LEG/ドメインの関連付けの設定の概要

「LEG/ドメインの関連付けの設定」

「LEG/ドメインの関連付けの例」

LEG/ドメインの関連付けの設定

SM-LEG 障害処理を動作するには、LEG/ドメインの関連付けを設定する必要があります。ここで使用する CNR-LEG 名は、LEG をインストールしたマシンのホスト名と、サフィックス「 .CNR.LEG 」を合わせたものです。

CNR-LEG 名を取得する別の方法は、p3rpc ユーティリティを使用することです。このユーティリティは、PRPC サーバに現在接続しているすべてのクライアント(CNR を含む)を表示します。

p3rpc CLU を使用して、CNR LEG 名を取得します。

>p3rpc -show-client-names

LEG/ドメインの関連付けの例

LEG がインストールされたマシンのホスト名が netserv5 である場合、コンフィギュレーション ファイルの LEG 名に netserv5.CNR.LEG を使用します。次の例では、CNR LEG に関連付けられたサブスクライバ ドメインの名前が subscribers であることを前提としています。

次に、LEG/ドメインの関連付けの設定方法を示す p3sm.cfg コンフィギュレーション ファイルの例を示します。

[LEG-Domains Association]
# The following parameter defines domains that the mapping of all
# subscribers that belong to them will be cleared on LEG-SM
# connection failure. The key is the LEG NAME and the value is a
# comma separated list of domain names.
# A value of * in domain names stands for all the subscriber domains
# in the system.
# A value of * in LEG name means all the LEGs that are connected to
# the SM.
# LEG NAME1 = domain_name1,domain_name2
# LEG NAME2 = domain_name2,domain_name3
netserv5.CNR.LEG=subscribers

ドメイン エイリアスの設定の概要

「ドメイン エイリアスの設定」

「ドメイン エイリアスの例」

ドメイン エイリアスの設定

CNR LEG を正しく動作するには、ドメイン エイリアスを設定する必要があります。

CNR LEG は、CMTS の IP アドレスをサブスクライバ ドメイン名に使用します。すべての CMTS の IP アドレスが、ただ 1 つのサブスクライバ ドメインに対するエイリアスとして表示されていることを確認してください。SM コンフィギュレーション ファイルを使用して ドメイン エイリアス を設定します。


) 各 CMTS が 1 つのサブスクライバ ドメインを更新し、さらに、一致する CMTS の IP アドレスになるよう SM のサブスクライバ ドメイン名を設定していた場合、ドメインのエイリアスを設定する必要はありません。


ドメイン エイリアスの例

この例では、SM は次のように設定されています。

subscribers という 1 つのサブスクライバ ドメイン

次の IP アドレスを持った 4 つの CMTS デバイス

209.247.228.201

209.247.228.202

69.42.72.147

69.42.72.148

次に、ドメイン エイリアスの設定方法を示す p3sm.cfg コンフィギュレーション ファイルの例を示します。

[Domain.subscribers]
# The following parameter defines domain aliases. When subscriber
# information is received from the LEG with certain alias the
# information will be distributed to the domain that matches this
# alias - domain that contains this alias in its aliases list.
#
# A typical alias could be a network device IP address. For example,
# each string in the values can be the IP address of a NAS or a
# CMTS.
#
# In order to distribute all subscriber operations on all unmapped
# domains to a certain domain use aliases=*. Note that only one
# domain section may include this alias.
aliases=209.247.228.201,209.247.228.202,69.42.72.147,69.42.72.148

自動ログアウトの設定の概要

「自動ログアウトの設定」

「自動ログアウトの例」

自動ログアウトの設定

リース期限が満了したときにサブスクライバを自動的にログアウトするには、SM 自動ログアウト インターバルを設定する必要があります。自動ログアウト インターバルごとに、SM は、リース期限が満了しているサブスクライバの IP アドレスを調べ、これらの IP アドレスをシステムから自動的に削除します。

リース期限 とは、リース期限オプションに基づいて、IP アドレスごとのログイン動作時に LEG が定義するタイムアウト設定です。すべてのサブスクライバのログイン イベントにより、 lease_time の秒数タイマーが起動します。このタイマーが満了し、別の設定パラメータである grace_period も経過すると、サブスクライバの IP アドレスが削除されます(これにより、サブスクライバが SCE プラットフォーム データベースから削除されます)。カウントダウン中にサブスクライバが既存の IP アドレスでログインすると、タイマーがリセットされ、カウントダウンは再開されます。

自動ログアウト値がゼロ(0)に設定されている場合、SM の自動ログアウト メカニズムはディセーブルです。

自動ログアウト インターバルがゼロより大きい値に設定されている場合、SM の自動ログアウト メカニズムはイネーブルです。


) サブスクライバ レコード(マッピングなし)がSM データベースに残り、サブスクライバの状態が維持されます。


自動ログアウトの例

次に、自動ログアウト インターバルを 6 分に設定する方法を示す p3sm.cfg コンフィギュレーション ファイルの例を示します。

[Auto Logout]
# The following parameter configures the time between each run of
# the auto-logout mechanism. After every “auto-logout” time
# interval, the SM checks which subscriber IP addresses have a lease
# time that has expired, and begins to automatically remove these IP
# addresses from the system (causing it to be removed from the SCE
# platform's database).
# Auto-logout should be activated when the LEG/API cannot provide
# logout indications.
auto_logout_interval=360
# The following parameter defines the grace period in seconds for
# subscriber auto logout. A subscriber will be logged out only after
# timeout period + grace period seconds.
grace_period=10
# The following parameter defines the maximum rate (logouts per
# second) that the auto-logout task will perform logouts from the
# system. This enables to spread the load of the logout operations
# over time, and reduce the performance impact on other operations.
# the value should be calculated so it spreads the logouts over at
# least half of 'auto_logout_interval' time. (default 50)
max_rate=50

PRPC サーバの設定

CNR LEG が SM と通信するには、PRPC サーバがアップ状態で稼働している必要があります。デフォルトではこの RPC サーバは起動しているので、特別な設定は必要ありません。

次に、PRPC サーバの設定方法を示す p3sm.cfg コンフィギュレーション ファイルの例を示します。

[RPC.Server]
# RPC server port (default 14374)
port=14374
 

SM の PRPC サーバのステータスを表示するには、 p3rpc CLU を使用します。

>p3rpc --show