Cisco CNS Access Registrar

Cisco Access Registrar 1.7

Hierarchical Navigation


PDF GET ACROBAT データシート

Cisco Access Registrar 1.7

[目次]
[製品の特長]
[利点]
[キャリアクラスのアーキテクチャ]
[プロキシ RADIUS]
[あらゆるサービスへの対応]
[システム要件]
[機能のまとめ]
Cisco Access Registrar は、ダイヤル、ISDN、DSL のほか、3G ワイヤレスやワイヤレス LAN といった新しいサービスや、MPLS VPN などのアプリケーションの提供もサポートするように設計された RADIUS 準拠のアクセスポリシーサーバです。Cisco Access Registrar はサービスプロバイダーの運用上のニーズに対応するように設計されており、キャリアクラスのパフォーマンスとスケーラビリティに加え、進化するサービス管理システムとの統合に必要な拡張性も備えています。
製品の特長
  • ワイヤレスサービス --- CDMA 2000(Code-Division Multiple Access 2000)、GPRS (General Packet Radio Service)、および EAP (Extensible Authentication Protocol) をサポートする 802.x セキュリティ プロトコルといった最先端のワイヤレス テクノロジをサポート
  • 拡張性 --- サーバの動作を変更したりカスタムの認証、認可、およびアカウンティング (AAA) サービスを提供するために、C/C++ または TCL スクリプトのコールアウトをサポート。フルに拡張可能な RADIUS 属性辞書も提供
  • プロキシ RADIUS --- 外部 RADIUS サーバに対する信頼性あるプロキシ AAA をサポート
  • LDAP 準拠 --- LDAP (Lightweight Directory Access Protocol) 準拠のディレクトリに対するユーザの認証をサポート
  • パフォーマンスとスケーラビリティ --- 毎秒数百件単位の AAA トランザクションを処理し、LDAP のサポートと構成の複製によってスケーラビリティを提供することで、トランザクションあたりのコストを最適化(ローエンドの Netra T1 サーバで毎秒 500 トランザクション)
  • スクリプトの記述が可能なコマンド行インターフェイス (CLI) による管理 --- リモートでのアクセスが可能なコマンド行インターフェイスにより、インタラクティブな管理やスクリプトによる管理をサポート
  • IP アドレスの管理 --- 柔軟なポリシー定義により、特定の IP アドレスやプール(オンデマンドやオーバラッピング)を使った IP アドレスの割り当てをサポート
  • セッション管理 --- 遠距離のアクセスサーバ上で、ユーザ、グループ、またはカスタムのセッション制限を適用
  • 管理性 --- 標準ベースの RADIUS SNMP (Simple Network Management Protocol) MIB およびトラップにより、主要なサーバ統計情報とステータスのリモートモニタリングをサポート
  • Cisco LEAP (Light Extensible Authentication Protocol) のサポート --- 802.11 クライアントとアクセスポイント (AP) 間の動的な WEP (Wired Equivalent Privacy) キー交換とマニュアル認証をサポートおよび管理
  • 回復力 --- 他の Access Registrar サーバに構成を自動的に複製
  • 高可用性 --- Sun Cluster 3.0 での動作を保証し、サービスプロバイダーが必要とするキャリアクラスの高可用性と堅牢性をサポート
return to top
利点
  • 1 台の AAA プラットフォームで複数サービス(ダイヤル、ホールセール ダイヤル、DSL、3G ワイヤレス、ワイヤレス LAN)をサポート
  • サービスプロバイダーは最新のワイヤレス テクノロジを迅速に展開することで競争優位性を強化することが可能
  • 以前はパブリックドメイン RADIUS ソフトウェアの「自家製」バージョンを維持することでのみ利用できた柔軟性と拡張性も備えた、標準ベースの既製 RADIUS サーバをサービスプロバイダーに提供
  • プロキシ RADIUS によって付加的なホールセール、アウトソーシング、およびローミングサービスのシナリオをサポートすることにより、サービスプロバイダーは特定領域のサービスの提供に事業の焦点をあてることが可能
  • ディレクトリサポートとスクリプトを記述できる構成インターフェイスによって、設定や請求処理などのサービス管理コンポーネントと統合することで、運用費を削減してサービスの展開をスピードアップ
  • 各地にわたって配備されているアクセスデバイスに対し、中央で IP アドレスを割り当ててセッション制限を実施することができ、リソースの使用を効率的に管理可能
  • 予定された停止および予定外の停止も含めて、99.999 % のネットワーク可用性というゴールをサポート
return to top
キャリアクラスのアーキテクチャ
 Cisco Access Registrar はマルチスレッド アーキテクチャ上に構築されており、マルチプロセッサ システムを利用して最高の AAA パフォーマンスを提供します。

 Cisco Access Registrar の中心は、RADIUS リクエスト パケットの発信元やパケットのコンテンツに応じて処理を決める「ポリシー」エンジンです(図 1)。ポリシーエンジンは次のような決定をします。
  • LDAP ディレクトリに対する認証は必要か
  • リクエストを外部 RADIUS サーバにフォワーディングすべきか
  • どのようなアカウンティングが必要か
  • セッション制限は適用されるか
  • IP アドレスプールは割り当てられたか
 サーバの基本的な動作は構成によって決定されますが、サーバ内には複数の拡張ポイントがあって、カスタムコードに対するオプションのコールアウトを提供します。拡張ポイントは、ポリシーエンジンの意思決定を左右する、特定の要件に合わせて着信⁄発信するパケットを変更する、またはカスタムの AAA サービスを呼び出す、といった様々な目的に使用できます。

図 1:機能のダイアグラム
図 1:機能のダイアグラム return to top
プロキシ RADIUS
 Cisco Access Registrar はダイヤルサービスのホールセール、アウトソーシング、およびローミングをサポートするために、先進的なプロキシ RADIUS 機能を備えています(図 2)。リクエスト パケットは、ダイヤルされた番号 (DNIS)、レルム、または他のカスタム基準に基づいて、特定の外部 RADIUS サーバにフォワーディングされます。また、Cisco Access Registrar は相互運用性を保証してサービス契約を実施するために、プロキシ属性のフィルタリングをサポートします。追加、削除、または代用以上のことが要求される場合は、拡張ポイントを使って拡張属性フィルタリングを実行できます。

 Cisco Access Registrar のプロキシ フェイルオーバ メカニズムはバックアップの宛先サーバをサポートして、サービスが中断されないようにします。また、Cisco Access Registrar は複数の宛先 RADIUS サーバ上でリクエストの負荷を分散するように構成することができ、これによってトランザクション レートを改善できます。

 Cisco Access Registrar は、同じリクエストを複数の宛先にプロキシすることができるので、ユーザデータと複数アカウンティングの宛先のパーティショニングを行うことが可能です。

図 2:RADIUS プロキシ
図 return to top
あらゆるサービスへの対応
 Cisco Access Registrar は、ワイヤレス、VPN、ホールセールダイヤル、VoIP、DSL、WLAN のどのサービス展開であっても、サービスプロバイダーが必要とするエンドユーザ認証に適応できます(図 3 参照)。サービスプロバイダーのニーズに合致するように設計された Cisco Access Registrar は、サービス管理システムとの統合が可能な拡張性に加えて、キャリアクラスのパフォーマンスとスケーラビリティを提供します。

図 3:Cisco Access Registrar (サービスプロバイダー環境)
図 return to top
システム要件
 Cisco Access Registrar では、ハードウェアの冗長性に Sun の高可用性クラスタ ソリューションを利用しています。このクラスタは、GI (Global Interface) を共有する 2 つのノードで構成され、マルチホスト ディスク アレイと一緒に使用します。マルチホスト ディスクのデータ冗長性については、Veritas ボリューム マネージャを使ってミラーリング構成を提供します。

 Sun クラスタは、フェイルオーバによって実装されています。クラスタでは 2 つのエージェントが動作しており、プライマリ ノードで稼働している AAA アプリケーションを監視しています。エージェントが障害を検知すると、セカンダリ ノードにフェイルオーバする処理が開始されます。フェイルオーバが発生すると、セカンダリ ノードがプライマリとなり、障害のあったノードが復活時にセカンダリとして構成されます。

 Sun クラスタとともに Cisco Access Registrar を購入するときには、AR の基本ライセンスに加えて、フェイルオーバ エージェントを 2 ライセンス購入する必要があります。フェイルオーバ エージェントは、アプリケーションを監視して、アプリケーションがフェイルオーバされるべきであることをクラスタ ソフトウェアに通知します。

 Cisco Access Registrar は、Solaris 2、6、7、8 が稼働する Sun Solaris/SPARC ハードウェアのスタンドアロン構成で使用します。また、Solaris 8 Sun クラスタ構成で利用することもできます。シスコでは、128MB 以上のRAMと 153MB 以上のディスク容量を推奨しています。ローカルに格納するアカウンティング レコード数によっては、さらにディスク容量が必要になる場合もあります。

 Cisco Access Registrar 1.7 は、さまざまなハードウェア プラットフォームで認定されています。Solaris ベースのネットワーク管理製品のハードウェア要件の最新情報については、ハードウェアと発注情報に対応する「サン/シスコ 最適プラットフォームの推奨」の表を参照してください。 return to top
機能のまとめ
ポリシーエンジン CLI による構成、拡張ポイント、「ホット」な構成変更のサポート、スクリプトの記述による構成
プロキシ RADIUS ダイヤルされた番号 (DNIS) 、ワイルドカードを使ったレルム、または再試行⁄タイムアウト期間を設定したカスタム基準を使用
認証と認可 高速な内部データベースにユーザとユーザ プロファイルを格納して、ローカル AAA をフルサポート
アカウンティング ローカルのフラットファイルおよびプロキシ RADIUS アカウンティング、カスタム アカウンティング、複数宛先に対する同時プロキシ、リモートサーバの障害を克服するためにアカウンティング ACK を無視するオプション、システム アカウンティング
ディレクトリの統合 複数 LDAP ディレクトリに対するユーザ認証、LDAP によるユーザ プロファイル属性の取り出し、LDAP パスワード暗号化、SSL 接続、内部変数へのユーザ属性のマッピング、動的な検索パスによる検索の最適化
アドレスおよびセッション管理 IP プールからの IP アドレスの割り当てとユーザ⁄グループ別のセッション制限の実施、IP プールとセッション制限を中央で定義することで他の Access Registrar サーバからのクエリーに対応
VPN トンネリング IETF (Internet Engineering Task Force) L2TP (Layer 2 Tunneling Protocol)、L2F (Layer 2 Fowarding) トンネリング、MPLS VPN のオンデマンド アドレスプール (ODAP)
負荷分散とフェイルオーバ プロキシ RADIUS と LDAP の負荷分散とフェイルオーバ
トラブルシューティングとモニタリング 複数トレースレベルによるローカルログと syslog のサポート、サーバヘルスの統計情報、SNMP MIB とトラップのサポート
互換性 フルに拡張可能な RADIUS 辞書とベンダー独自の処理のサポート
回復能力 他の Access Registrar サーバへの構成の複製、例外状況後のサーバの自動再起動
3G ワイヤレス 動的ホーム エージェント割り当て、ローミングユーザのためのセッション相関付けと複数アカウントのストップ⁄スタート、3GPP2 ベンダー固有の属性用に更新された属性辞書
ワイヤレス LAN LEAP (Lightweight Extensible Authentication Protocol) のサポートによって WEP キーを動的に生成し、クライアントとアクセスポイント間で相互に認証

return to top 更新日:2002年3月22日


お問い合わせ