Cisco CNS Access Registrar

技術資料

• Cisco Access Registarの製品情報ページ

[目次]

◆[はじめに]

◆[RADIUSのAAA管理]

◆[Cisco Access Registrar]

◆[拡張ポイント]

◆[ディレクトリの統合]

◆[AAAプロキシ]

◆[アドレスとセッションの管理]

◆[Cisco Access Registrarのアプリケーション]

◆[ホールセールダイヤル]

◆[仮想プライベートネットワークによる企業ダイヤルインのアウトソーシング]

◆[CSRCによるテレコリターンとローミング]

◆[まとめ]

New Worldにおいてサービスプロバイダーが収益を上げるためには、顧客のニーズに合わせた新しいサービスを迅速に導入できるかどうかがカギとなります。これを実現するに当たっては、New Worldに向けて設計され、かつ最適化された、柔軟でマルチサービスのOSS（Operations Support System）が決定的な意味を持つことになります。インターネットOSSは、シスコによる広範なイニシアティブであり、オープンな標準ベースの参照アーキテクチャを通じて、New Worldオペレーションのビジョンを実現します。New Worldオペレーションは、社会全体が新しいネットワーク情報構造に移行していくなかで、サービスプロバイダーに対して、市場シェアを拡大するための機会を提供します。

　インターネットへのダイヤルインアクセスは、およそ30年ほど前に初めて、大学の研究者や大学院生の間で行われるようになりました。当時のインターネットは、主として大学、軍隊、および研究所のコンピュータを結ぶためのネットワークであり、パーソナルコンピュータは存在すらしていませんでした。ユーザーは、ダイヤルイン接続を介してさまざまなシステムに単純な端末アクセスを行っていました。このように単純な環境から、初期のアクセス管理システムが開発されました。これらのシステムはその後発展を遂げ、大学や研究機関へのリモートアクセスを管理していたのと同じ技術が、インターネットへのアクセスや企業ネットワークへのアクセスを提供するようになっています。

　RADIUS（Remote Authentication Dial-In User Service）は、リモートアクセスユーザーの認証、認可、およびアカウント管理（AAA）に関するニーズに対処するために開発されました。RADIUSは、リモートユーザーによる中央のデータベースへのアクセスと認可されたサービスをサポートし、ネットワークアクセスサーバから使用状況やアカウント情報を得るための手段を提供します。RADIUSは、当初はアナログおよびデジタルダイヤルインのサポートに使用されていましたが、現在ではサービスプロバイダーによって、xDSL（xDigital Subscriber Line）、ケーブル、無線、およびVoIP（Voice over IP）サービスのサポートのために使用されています。

　多くのサービスプロバイダーは、AAAサービスを実現するために、パブリックドメインのRADIUSサーバソースコードを利用していました。ビジネス上の課題がより高度なものになるのに従って、サービスプロバイダーは自らのニーズを満たし、かつそのニーズをサポートするだけの拡張性を備えた商業製品を求めるようになりました。技術とサービスがきわめて急速に変化する環境にあっては、自社独自のAAAシステムを維持することはもはや得策とは言えなくなったのです。

　こうしたニーズに応えるため、シスコは特にサービスプロバイダー向けとして設計された、Cisco Access RegistrarというRADIUSサーバを提供しています。Cisco Access Registrarは、シスコのサービス管理アーキテクチャのインフラストラクチャコンポーネントとして、新しいサービスを迅速にサポートし、サービスプロバイダーが必要とするパフォーマンスと拡張性を提供します。

　RADIUSの仕様は、IETF（Internet Engineering Task Force）RFC 2138（認証と認可）およびRFC 2139（アカウント管理）で規定されています。これらの文書は、NASと中央のAAAサーバ（RADIUSサーバ）の間のプロトコルを定義しています。RADIUSは、ネットワークアクセスサーバ（NAS）を製造しているすべてのベンダーがサポートしているAAAプロトコルです。ネットワークアクセスサーバとRADIUSサーバは、両サーバ間のトランザクションの整合性を保つために、認証に関する情報を共有します。

　RADIUSサーバのクライアントとして機能するNASは、接続要求を受け取った後、ユーザーからID情報（ユーザー名、パスワード）を入手し、続いてRADIUSサーバに対して標準化された認証要求を発行します。RADIUSサーバはID情報とその他のNAS情報を受け取り、ユーザーの認証を行います。RADIUSサーバはまた、使用するIPアドレスなどの接続設定パラメータ、ネットワークアクセスを制限するためのフィルタ、およびセッションとアイドルタイムアウト値をNASに送ります。認証および認可プロトコルの定義に加え、RADIUSはNASからAAAサーバへ使用状況とアカウント情報を送信するためのプロトコルも定義しています。これらの情報は、課金、モニタリング、およびレポート機能などを処理するバックエンドシステムに送られます。

　RADIUSでは、ベンダーが自らのネットワークアクセスサーバやその他のネットワークアクセス機器に新しい機能を追加できるように、IETFによって定義された「辞書」属性だけでなく、ベンダーごとの属性（VSA）を使用することも許されています。主要ベンダー各社は、自社製機器の付加価値機能をサポートし、製品を差別化するためにVSAを使用しています。したがって、RADIUSサーバには拡張可能な辞書が必要であり、またマルチベンダーをサポートできるようになっている必要もあります。

　しかし、VSAと拡張可能な辞書だけでは、今日の運営環境のニーズを満たすことはできません。サービスプロバイダーは、AAAに対する要求レベルをさらに高いものへと推し進めてきました。RADIUSシステムには、マルチベンダーのサポートだけでなく、このような環境において必要とされるパフォーマンスと拡張性を備え、サービス管理システムの他の項目と統合でき、かつ新しいサービスを迅速にサポートできることが求められているのです。従来から「自社製」のRADIUSシステムを開発していたサービスプロバイダーは、そのようなシステムの維持と拡張を行うことはもはや不可能であることに気づいています。

　Cisco Access Registrarは、AAAに対するサービスプロバイダーの厳しい要求に応えられるように設計されたRADIUSサーバです。これはパブリックドメインのRADIUS「フリーウェア」を拡張あるいは移植しただけのものではありません。常に変化し続ける環境に適した、拡張可能なパフォーマンスとプラットフォームを提供できるように、基本から設計されています。Cisco Access Registrarは、マルチスレッドアーキテクチャをベースとしたもので、ロジックを追加するための多数の拡張ポイントを備えており、バックエンドのディレクトリシステムとの統合を行えるようLDAP（Directory Access Protocol）に対応しています。Cisco Access Registrarは、Solarisオペレーティングシステムが稼働しているSPARCサーバ上で実行され、1秒あたり数百件単位のAAAトランザクションを実行できます。これによって、サービスインフラストラクチャのサポートに必要なサーバの数を削減することができます。

　Cisco Access Registrarの拡張ポイントは、RADIUSサーバロジックの追加をサポートすることにより、基本機能の強化あるいはカスタマイズを可能にします。この拡張には、C/C++共有ライブラリまたはTclスクリプトを使います。これにより、機能拡張のプロトタイプをTclによって簡単に作成でき、その機能を最大限に発揮するためにCまたはC++でコーディングすることができます。機能拡張は、10カ所以上のあらかじめ定義されたポイントにおいて、パケット処理に対するサーバの動作を変更できます。具体的には、入力/出力RADIUSパケットの変更やパケット処理をコントロールするためのCisco Access Registrar環境変数の変更に使用することができます。たとえば、特定のユーザーやユーザーコミュニティに対し、カスタマイズされた認証サービスを使用するための機能拡張を作成できます。

　ディレクトリシステムは急速に、サービス管理システムとOSS（Operations Support System）全体を統合するための仕組みとなりつつあります。ディレクトリはユーザー情報、サービスプロファイル、課金プロファイル、およびその他のサービス情報のための、中央のリポジトリとして機能します。マルチマスターの複製されたディレクトリは、この情報を任意の場所に迅速に配付したり、あるいはこの情報に任意の場所からアクセスするための手段となります。ディレクトリがX.500、マクロソフト社のActive Directory、またはノベル社のNDSのいずれであっても、Cisco Access RegistrarはそのLDAP機能を使用してこの情報にアクセスできます（図1参照）。

　Cisco Access Registrarは、ユーザーをLDAPディレクトリと照合して認証し、さまざまなディレクトリ設定に対応できるようにします。Cisco Access Registrarは、すべてのユーザーに関して単一のディレクトリを参照するようにも、あるいは特定のユーザーコミュニティに関して別のディレクトリ（またはディレクトリのブランチ）を参照するようにも設定できます。Cisco Access Registrarは、ユーザーレコードを探すためにLDAPルックアップを実行し、ディレクトリ中に保存されているユーザーパスワードを検証します。Cisoc Access Registrarはまた、LDAPユーザーレコードの属性をRADIUSの属性に対してマッピングすることもできます。したがって、ユーザーのRADIUSプロファイルを対応するLDAPユーザーレコード中に設定することができ、システムはAccess Registrarによって認証および認可されるユーザーを直接設定するためにLDAPを使用できます。

　インターネットの成長とサービスプロバイダーの増加に伴い、AAAシステムの統合を必要とする合併や提携などが増加しています。リモートアクセスによるアウトソーシングを企業向けに提供するサービスプロバイダーには、エンドユーザーの顧客AAAシステムを統合する必要も生じています。Cisco Access RegistrarはRADIUSプロキシをサポートしているため、サーバはユーザーの認証と認可を直接ディレクトリに対して行う代わりに、他のディレクトリやデータベースに対してユーザーの認証と認可を行う他のサービスプロバイダー（または顧客）のRADIUSサーバに、AAA要求を選択的に送ることができます。

　Access Registrarでは、ダイヤルされた番号（DNIS）、または要求パケット中の一部（たとえばbill@isp_a.comの中の「isp_a」）に基づいて、サーバがRADIUS要求を代理送信するようにサービスフィルタを設定できます。拡張ポイントを経由すれば、要求パケット中の他の任意の情報に基づいて代理送信することも可能です。なお、RADIUSプロキシについては、この後にある「Cisco Access Registrarのアプリケーション」の節を参照してください。

　RADIUSサーバは受信する要求を受信ごとに処理する、ステートレスのサーバです。これはベーシックなAAAには十分ですが、今日のアクセスネットワークを効率的に運営し、活用するためには、IPプール管理やアドレス割り当てのような「ステートフル」の処理や、セッション制限の設定などが必要です。これらの処理は、従来は個々のNASによって行われていましたが、ベンダーから独立した形で集中管理を行う必要があります。Cisco Access Registrarは、IPまたはIPXの動的な割り当てを処理し、ユーザーとグループ両方のセッション制限を複数のネットワークアクセスサーバに対して適用する、リソースマネージャを提供します。ちなみに、Cisco Access Registrar機能拡張を選択したり、デフォルトのIPアドレスプールまたはセッションマネージャをその機能拡張によって置き換えたりすることもできます。

　CNS（Cisco Network Services）のConcurrency Control Servicesを用いれば、必要な箇所にさらなるセッション管理機能を追加することができます。CNS Concurrency Control Servicesは分散型のSolarisアプリケーションなので、複数のAccess Registrarサーバにわたってセッション制限を管理でき、単一障害点の発生を回避できます。

　インターネットサービスプロバイダー（ISP）、アプリケーションサービスプロバイダー（ASP）、およびコンテンツプロバイダー（または「ポータル」）の多くは、サービスパッケージの一環として、ダイヤルアップによるインターネットアクセスを提供しなければなりません。しかし、これらのプロバイダーの多くは、ダイヤルアップアクセスのためのインフラストラクチャ構築に時間を費やしたくなかったり、あるいはインフラストラクチャ構築を迅速に行うことができなかったりします（新しい地域への拡大を行っているときにはとくにそうです）。また、小売企業の場合も、ブランド戦略の一環として「プライベートブランド」によるインターネットアクセスの提供を行いたいと考えてはいても、なかなか自らサービスを構築するまでには至らないものです。

　ホールセールダイヤルは、ホールセールサービスプロバイダーにダイヤルアップの管理を委ねることにより、コスト削減と効率改善をもたらすとともに、運用に至るまでに必要な時間を短縮します。このモデルを用いれば、関与するすべての企業は、それぞれが最も得意とする分野に集中できるようになります。つまり、ホールセール業者はインフラストラクチャに集中して、ポートアクセスをサービスプロバイダーに販売します。一方サービスプロバイダーは、コンテンツとそのサービスの販売およびマーケティングに集中するのです。

　ホールセール業者のダイヤルインフラストラクチャ（図2参照）において、Cisco Access Registrarは次のような機能を提供します。

1. NASからRADIUS認証および認可要求を受信する。
2. ホールセール顧客の身元（たとえばISP A）をダイヤルされた番号（DNIS）、ユーザー名の一部（たとえば「bill@isp_a.com」）、またはその他の基準により識別する。
3. AAAトランザクションを、ホールセール顧客に指定されたRADIUSサーバに、必要であればユーザー名を変更して（「bill@isp_a.com」を「bill」に）代理送信する。
4. 有効な認証とユーザーのサービス認可パラメータ（または拒否された認証）を受け取る。
5. IPアドレスを発行し、設定されたセッション制限をチェックする。
6. ホールセール業者のアクセス機器との互換性、または顧客との間に締結されているサービスレベル契約に従うため、必要であれば応答を修正する。
7. 応答をNASに戻す。
8. RADIUSアカウントレコードをNASから受け取り、そのレコードを顧客のRADIUSサーバに代理送信し、また課金のためにローカルなコピーを維持する。

　サービスプロバイダーにとってのもう１つの大きなビジネスチャンスは、企業ダイヤルインネットワークのアウトソーシングです。企業のネットワーク管理者は、ダイヤルインモデムやISDNアダプタをワールドワイドで取り扱えるようなサービスをサービスプロバイダーに求めています。また彼らは、こうしたダイヤルイントラフィックがすべて、主要な企業内サイトにおいて高速リンク経由で伝送されることを望んでいます。さらに彼らは、サービスプロバイダーに対しては、可用性が高くセキュアなVPN（仮想プライベートネットワーク）サービスを求める一方で、その所有権は自社で確保し、さらに社員やその他の正規スタッフを識別するための認証データベースの運用も自社で行いたいと考えています。

　サービスプロバイダーは、特定のネットワークアクセスサーバやモデムのセットを特定の企業専用とするのではなく、資源を共有することによってスケールメリットを得るようにするべきです。ホールセールダイヤルの場合と同様、Cisco Access Registrarはそれぞれのアクセス要求をリアルタイムで検証し、そのコミュニティ（つまり、その要求を出した企業）を判断します。続いて、プロキシRADIUS経由で該当する適切なAAAサーバが参照され、認証が成功してかつセッション制限を超えていなければ、NASから宛先のホームゲートウェイまでの間にセキュアなトンネルを確立することが可能となります。

　ケーブル経由のデータサービスは、ケーブル業界にとっての新たなビジネスチャンスとなります。データ、音声、およびビデオオンデマンドなどのサービスを効率的に提供しようと考えているケーブル多重システムオペレータ（MSO）やケーブルサービスプロバイダーには、管理コストを削減でき、加入者の急速な成長に対応できるようなシステムが必要です。このようなニーズに応えるために、シスコではCSRC（Cisco Subscriber Registration Center）を提供しています。これは、ブロードバンドモデムの設定や管理を行うための製品で、加入者のセルフサービスによる登録や管理もサポートしています。

　Cisco Access RegistrarはCSRCのコンポーネントの１つで、DOCSIS対応モデムにRADIUSサービスを提供します。これにより、アップストリームデータにテレコリターンを必要とする単方向ケーブルプラントにおいても、高速データサービスの配備が可能となります。ケーブルのサービス区域外からのローミングをユーザーに提供したいMSOやケーブルサービスプロバイダーは、ダイヤルサービスにAAAサポートを提供するためにCisco Access Registrarを使用することができます。

　サービスプロバイダーは、マルチベンダーをサポートし、既存および今後のシステムとの統合が可能な、拡張性に富んだインフラストラクチャコンポーネントを必要としています。AAAシステムは、ダイヤルのみにとどまらない、広範なアクセスサービスに対するアクセスポリシーの適用を実現するためのカギとなるインフラストラクチャコンポーネントです。シスコは、サービスプロバイダーの特殊なニーズに応える先進的な管理ソリューションの提供を約束します。Cisco Access Registrarは、キャリアクラスのAAAプラットフォームを提供することにより、新しいサービスの迅速な配備と効率的な運営を実現します。

更新日：2000年11月21日