RADIUS の認可変更メッセージと切断メッセージ
このセクションでは、システムに CoA および DM RADIUS メッセージを導入する方法と、CoA および DM メッセージを使用して応答するようにシステムを設定する方法について説明します。
CoA の概要
システムは、AAA サーバーからの CoA メッセージをサポートして、サブスクライバセッションに関連付けられているデータフィルタを変更します。AAA サーバーからの CoA 要求メッセージには、NAS とサブスクライバセッションを識別する属性と、サブスクライバセッションに適用するデータフィルタのデータフィルタ ID が含まれている必要があります。filter-id 属性(属性 ID 11)には、アクセス制御リスト(ACL)の名前が含まれます。ACL の設定の詳細については、『System Administration Guide』の「IP Access Control Lists」の章を参照してください。
システムで CoA 要求が正常に実行されると、CoA-ACK メッセージが RADIUS サーバーに返送され、データフィルタがサブスクライバセッションに適用されます。それ以外の場合は、サブスクライバセッションに変更を加えずに、error-cause 属性付きの CoA-NAK メッセージが送信されます。
![]() 重要 |
単一の CoA で ACL とルールベースを同時に変更することはサポートされていません。この場合、要求ごとに 1 つの属性変更を要求する AAA サーバーを介して 2 つの個別の CoA 要求を送信できます。 |
DM の概要
DM メッセージは、RADIUS サーバーからのサブスクライバセッションをシステム内で切断するために使用されます。DM 要求メッセージには、サブスクライバセッションを識別するために必要な属性が含まれている必要があります。システムがサブスクライバセッションを正常に切断すると、DM-ACK メッセージが RADIUS サーバーに返送されます。切断に失敗した場合は、適切なエラー理由とともに DM-NAK メッセージが送信されます。
ライセンス要件
RADIUS 認可変更(CoA)と接続解除メッセージ(DM)は、ライセンスが必要なシスコの機能です。別の機能ライセンスが必要になる場合があります。特定のライセンス要件の詳細については、シスコのアカウント担当者にお問い合わせください。ライセンスのインストールと確認の詳細については、『システム管理ガイド』の「ソフトウェア管理操作」の「ライセンスキーの管理」の項を参照してください。
CoA および DM の有効化
RADIUS の認可変更メッセージと切断メッセージを有効にするには、次の手順を実行します。
手順
ステップ 1 |
CoA および DM の有効化 の説明に従って、システムが RADIUS サーバーからの CoA メッセージと DM メッセージを受信して応答できるようにします。 |
||
ステップ 2 |
EXEC モードコマンド save configuration を使用して、フラッシュメモリ、外部メモリデバイス、またはネットワークの場所に設定を保存します。構成ファイルを検証して保存する方法の詳細については、『System Administration Guide』および『Command Line Interface Reference』を参照してください。 |
||
ステップ 3 |
CoA および DM 統計の表示 の説明に従って、CoA メッセージおよび DM メッセージの統計を表示します。
|
CoA および DM の有効化
次の例に示すコマンドを使用して、システムが RADIUS サーバーからの CoA メッセージと DM メッセージを受信して応答できるようにします。
configure
context <context_name>
radius change-authorize-nas-ip <ipv4/ipv6_address>
end
-
<context_name> は、CoA と DM を有効にする AAA コンテキストの名前です。
詳細については、『AAA Interface Administration and Reference』[英語] を参照してください。
-
radius change-authorize-nas-ip コマンドでは、オプションのキーワードと変数をいくつか使用できます。このコマンドに関する詳細については、『Command Line Interface Reference』を参照してください。
CoA と DM の属性
CoA および DM メッセージを受け入れて対応するには、対象のシステムとサブスクライバセッションを正しく識別する必要があります。
-
NAS-IP-Address:CoA/DM 要求に NAS IP アドレスが存在する場合は、NAS IP アドレスと一致する必要があります。
-
NAS-Identifier:この属性が存在する場合、属性値がサブスクライバセッションで生成された nas-identifier と一致する必要があります。
-
3GPP2 サービスが設定されている場合、相関識別子に次の属性が使用されます。
-
3GPP2-Correlation-ID:この値は、サブスクライバセッションの 3GPP2-correlation-id と完全に一致する必要があります。これは、サブスクライバセッション識別で推奨される方法の 1 つです。
-
-
3GPP サービスが設定されている場合、次の属性が各種識別子に使用されます。 -
3GPP-IMSI:International Mobile Subscriber Identification(IMSI)番号を検証し、特定の PDP コンテキストで指定された IMSI と一致する必要があります。
-
3GPP-NSAPI:Network Service Access Point Identifier(NSAPI)は、特定の PDP コンテキストで指定された NSAPI と一致する必要があります。
-
-
User-Name:この値は、セッションのサブスクライバ名と完全に一致する必要があります。これは、サブスクライバセッション識別で推奨される方法の 1 つです。
-
Framed-IP-Address:この値は、セッションのフレーム IP アドレスと完全に一致する必要があります。
-
Calling-station-id:この値はモバイルステーション ID と一致する必要があります。
-
Filter-ID:CoA のみ。これは、既存のアクセス制御リストの名前にする必要があります。CoA 要求に Filter-ID が存在する場合、指定された ACL は指定されたサブスクライバセッションにすぐに適用されます。コンテキスト コンフィギュレーション モードのコマンド radius attribute filter-id direction は、フィルタを適用する方向を制御します。
-
Event-Timestamp:この属性は、ログに記録されているイベントが発生したときのタイムスタンプです。
-
3GPP2 サービスが設定されている場合、次の追加属性がサポートされます。 -
3GPP2-Disconnect-Reason:この属性は、ユーザーの接続を切断する理由を示します。この属性は、ホーム RADIUS サーバーから PDSN への RADIUS 接続解除要求メッセージ内に存在する場合があります。
-
3GPP2-Session-Termination-Capability:radius change-authorize-nas-ip コマンドを発行して CoA および DM を有効にすると、この属性はホーム RADIUS サーバーへの RADIUS Access-Request メッセージに含まれます。この値が 3 の場合は、システムが RADIUS による動的な許可とモバイル IPv4 の登録失効の両方をサポートしていることを示します。この属性は RADIUS Access-Accept メッセージにも含まれており、ホームネットワークによって優先されるリソース管理メカニズムを搭載します。これはセッションで使用され、値は 1 ~ 3 になります。
-
CoA および DM Error-Cause 属性
Error-Cause 属性は、システムに要求の結果を伝えるために使用されます。RADIUS サーバーに返送される CoA、DM NAK、ACK メッセージ内にこの属性が存在します。
-
0 ~ 199、300 ~ 399 を予約済み
-
200-299:正常終了
-
400 ~ 499:RADIUS サーバーのエラー
-
500-599:NAS/プロキシのエラー
-
201:削除された残留セッションコンテキスト
-
401:Uサポートされていない属性
-
402:属性が見つからない
-
403:NAS 識別情報のミスマッチ
-
404:無効な要求
-
405:サポートされていないサービス
-
406:サポートされていない拡張子
-
501:管理上の禁止
-
503:セッションコンテキストが検出されない
-
504:セッションコンテキストが削除できない
-
506:リソースが使用不可能
CoA および DM 統計の表示
次のコマンドを入力して、CoA および DM メッセージの統計を表示します。
show session subsystem facility aaamgr
1 AAA Managers
807 Total aaa requests 0 Current aaa requests
379 Total aaa auth requests 0 Current aaa auth requests
0 Total aaa auth probes 0 Current aaa auth probes
0 Total aaa auth keepalive 0 Current aaa auth keepalive
426 Total aaa acct requests 0 Current aaa acct requests
0 Total aaa acct keepalive 0 Current aaa acct keepalive
379 Total aaa auth success 0 Total aaa auth failure
0 Total aaa auth purged 0 Total aaa auth cancelled
0 Total auth keepalive success 0 Total auth keepalive failure
0 Total auth keepalive purged
0 Total aaa auth DMU challenged
367 Total radius auth requests 0 Current radius auth requests
2 Total radius auth requests retried
0 Total radius auth responses dropped
0 Total local auth requests 0 Current local auth requests
12 Total pseudo auth requests 0 Current pseudo auth requests
0 Total null-username auth requests (rejected)
0 Total aaa acct completed 0 Total aaa acct purged
0 Total acct keepalive success 0 Total acct keepalive timeout
0 Total acct keepalive purged
0 Total aaa acct cancelled
426 Total radius acct requests 0 Current radius acct requests
0 Total radius acct requests retried
0 Total radius acct responses dropped
0 Total gtpp acct requests 0 Current gtpp acct requests
0 Total gtpp acct cancelled 0 Total gtpp acct purged
0 Total null acct requests 0 Current null acct requests
54 Total aaa acct sessions 5 Current aaa acct sessions
3 Total aaa acct archived 0 Current aaa acct archived
0 Current recovery archives 0 Current valid recovery records
2 Total aaa sockets opened 2 Current aaa sockets open
0 Total aaa requests pend socket open
0 Current aaa requests pend socket open
0 Total radius requests pend server max-outstanding
0 Current radius requests pend server max-outstanding
0 Total aaa radius coa requests 0 Total aaa radius dm requests
0 Total aaa radius coa acks 0 Total aaa radius dm acks
0 Total aaa radius coa naks 0 Total aaa radius dm naks
2 Total radius charg auth 0 Current radius charg auth
0 Total radius charg auth succ 0 Total radius charg auth fail
0 Total radius charg auth purg 0 Total radius charg auth cancel
0 Total radius charg acct 0 Current radius charg acct
0 Total radius charg acct succ 0 Total radius charg acct purg
0 Total radius charg acct cancel
357 Total gtpp charg 0 Current gtpp charg
357 Total gtpp charg success 0 Total gtpp charg failure
0 Total gtpp charg cancel 0 Total gtpp charg purg
0 Total prepaid online requests 0 Current prepaid online requests
0 Total prepaid online success 0 Current prepaid online failure
0 Total prepaid online retried 0 Total prepaid online cancelled
0 Current prepaid online purged
0 Total aaamgr purged requests
0 SGSN: Total db records
0 SGSN: Total sub db records
0 SGSN: Total mm records
0 SGSN: Total pdp records
0 SGSN: Total auth records