ICAP インターフェイスサポートの概要
この機能は、合理化された ICAP インターフェイスをサポートし、ディープ パケット インスペクション(DPI)を活用して、外部アプリケーションサーバーが DPI 機能を実行せずに、またデータフローに挿入されることなく、そのサービスを提供できるようにします。たとえば、外部のアクティブコンテンツフィルタリング(ACF)プラットフォームの使用時などが該当します。

ECS を使用するシステムは、DPI をサポートするように構成されており、システムはこの機能をコンテンツ課金にも使用します。WAP および HTTP トラフィックは、ICAP インターフェイスを介してコンテンツがフィルタリングされます。アダルトコンテンツを含む RTSP トラフィックも ICAP インターフェイスでコンテンツをフィルタリングできます。RTSP 要求パケットだけが、ICAP インターフェイスを介したコンテンツフィルタリングの対象となります。
-
要求が受け入れられる場合、200 OK メッセージ。
-
リダイレクトの場合、302 リダイレクトメッセージ。このリダイレクトメッセージには、サブスクライバのリダイレクト先となる URL が含まれます。
-
RTSP 要求の拒否応答コード 200 はサポートされていません。403 "Forbidden" 拒否応答コードのみがサポートされます。
受信した応答に応じて、ECS を備えたシステムは要求を変更なしで渡すか、またはメッセージを破棄して、適切なリダイレクトメッセージまたはブロックメッセージでサブスクライバに応答します。
コンテンツの課金は、要求がアプリケーションサーバーによって制御された後にのみ、アクティブ課金サービス(ACS)によって実行されます。これにより、外部アプリケーションとコンテンツベースの課金との間の適切なインターワーキングが保証されます。特に、これにより、リダイレクトの場合に課金が適切な要求に適用されることが保証され、発生する可能性がある課金ベースのリダイレクト(課金通知、追加課金ページなど)が、アプリケーションサーバーによって行われる決定と干渉しないことが保証されます。
-
ICAP メッセージで渡されたサブスクライバのアイデンティティに基づくサブスクライバポリシーの取得
-
サブスクライバのプロファイルに基づいた、コンテンツのタイプに応じて実行する適切なアクション(許可、拒否、リダイレクト)の決定
-
URL に対するアクション(許可、拒否、またはリダイレクト)決定を ACS モジュールに戻す
サポート対象のネットワークとプラットフォーム
この機能は、システムで設定されているコアネットワークサービス用の Cisco ASR 5500 プラットフォームをサポートします。
プラットフォームの詳細については、該当する『System Administration Guide』[英語] を参照するか、シスコのアカウント担当者にお問い合わせください。
ライセンス要件
Internet Content Adaptation Protocol(ICAP)インターフェイスによる外部コンテンツ フィルタリング サーバーのサポートは、シスコのライセンス機能です。別の機能ライセンスが必要になる場合があります。特定のライセンス要件の詳細については、シスコのアカウント担当者にお問い合わせください。
ライセンスのインストールと確認の詳細については、『システム管理ガイド』の「ソフトウェア管理操作」の「ライセンスキーの管理」の項を参照してください。
再送信されたパケットでの障害アクション
再送信パケットのフローの ICAP 要求に対してデフォルトの ICAP 障害アクションが実行された場合、再送信パケットに対して ICAP 評価が有効になります。接続をリセットする必要があり、他に使用可能な冗長接続がない場合、ICAP デフォルト障害アクションは、接続で保留中の ICAP 要求に対して実行されます。たとえば、ICAP 要求タイムアウトのシナリオや、ICAP 接続タイムアウトのシナリオの場合があります。これらの場合、アップリンク方向に再送信されたパケットは、ICAP 評価のために再送信されます。
WAP CO の場合、ICAP 障害アクションが実行された WAP トランザクションのアップリンク再送信パケットが、ICAP 評価のために送信されます。再送信パケットの WSP ヘッダーは、WSP アナライザによって解析されません。そのトランザクションの前のパケットで受信した URL が、ICAP 評価に使用されます。同じフローの複数の WTP トランザクションで障害アクションが実行された場合(WTP 連結 GET 要求の場合など)、各トランザクションのアップリンク再送信パケットが評価のために再送信されます。
HTTP の場合、ICAP 障害アクションが実行された HTTP フローのアップリンク再送信パケットが、ICAP 評価のために送信されます。現在のセカンダリセッション(最後のアップリンク要求)に存在する URL が、ICAP 評価に使用されます。ただし、同じフロー(パイプライン処理された要求)に対して複数の未処理の ICAP 要求がある場合、再送信パケットについては、評価のために送信される URL は、最後の GET 要求の URL になります。
-
WSP CO:
-
Permit:アップリンクパケットが ICAP 評価のために送信され、ICAP 応答に応じて、WTP トランザクションが許可またはブロックされます。WAP ゲートウェイが、許可された GET 要求に対する応答を送信する可能性があります。そのため、競合状態が発生し、サブスクライバは、評価が redirect または content insert であった場合でも、Web ページを表示できる可能性があります。
-
Content Insert:再送信パケットは、ICAP 評価のために送信されません。
-
Redirect:再送信パケットは、ICAP 評価のために送信されません。
-
Discard:アップリンクパケットが ICAP 評価のために送信され、ICAP 応答に応じて、WTP トランザクションが許可またはブロックされます。
-
Terminate flow:アップリンクパケットが ICAP 評価のために送信され、ICAP 応答に応じて、WTP トランザクションが許可またはブロックされます。フローの終了中に送信された WSP 切断パケットが WAP ゲートウェイによって受信された場合、WAP ゲートウェイは、この GET 要求の中止トランザクションを送信する場合があります。
-
-
[HTTP]:
-
Permit:アップリンクパケットが ICAP 評価のために送信され、ICAP 応答に応じて、最後の HTTP GET 要求が送信されます。HTTP サーバーが、許可された GET 要求に対する応答を送信する可能性があります。そのため、競合状態が発生し、サブスクライバは、評価が redirect または content insert であった場合でも、Web ページを表示できる可能性があります。
-
Content Insert:再送信パケットはドロップされ、課金されません。
-
Redirect:再送信パケットはドロップされ、課金されません。
-
Discard:アップリンクパケットが ICAP 評価のために送信され、ICAP 応答に応じて、WTP トランザクションが許可またはブロックされます。
-
Terminate flow:再送信パケットはドロップされ、課金されません。
-
-
RTSP:
次のシナリオでは、クライアントから RTSP 要求を受信した場合の障害アクションについて説明します。ICAP が有効になっている場合、要求は、コンテンツフィルタリングのために ICAP サーバーに送信されます。
-
Allow:設定されている障害アクションが「allow」である場合、RTSP 要求パケットは、適切な判定結果アクションの適用後に送信されます。この場合、フローは、受信した ICAP 応答が 200 OK のときと同じであるままになります。
-
Content Insert:設定された障害アクションが「content-insertion <string of size 1 to 128>」である場合、RTSP 要求に対するこの障害アクションはサポートされません。代わりに、このような RTSP 要求に対して障害アクション「Discard」がサポートされます。
-
Redirect-URL:設定された障害アクションが「redirect-url <string of size 1 to 128>」である場合、RTSP「302 Moved Temporarily」応答ヘッダーを含む TCP FIN_ACK パケットが、リダイレクト用に指定された URL を含むクライアントに向けて挿入されます。TCP RST パケットがサーバーに向けて挿入されます。そのため、基礎となる TCP 接続が閉じられます。RTSP クライアントが、リダイレクトされた URL を再試行する場合は、新しい TCP 接続を開くことが開始される必要があります。
-
Discard:設定された障害アクションが「discard」である場合、クライアントから受信した RTSP 要求パケットはサイレントに廃棄され、クライアントに通知は送信されません。
-
Terminate flow:設定された障害アクションが「terminate-flow」である場合、クライアントに向けて TCP FIN-ACK を挿入し、サーバーに向けて RST パケットを挿入することによって、TCP 接続が切断されます。ただし、このフローの終了に関しては、RTSP クライアントおよびサーバーに通知が送信されません。
-
RFC 3507 準拠の ICAP クライアント通信
ICAP コンテンツ フィルタリング ソリューションは、RFC 3507(Internet Content Adaptation Protocol(ICAP))に準拠して、Cisco ASR 5500 P-GW および HA 上の ICAP サーバーとの ICAP クライアント通信をサポートするように拡張されています。このリリースでは、RFC 3507 に基づく HTTP 要求の変更とエラーコードの部分的な拡張にのみ対応しています。P-GW/HA で実行されている ICAP クライアントは、ICAP プロトコルを介して外部 ICAP サーバーと通信します。サブスクライバのコンテンツフィルタリングが有効になっている場合、そのサブスクライバからのすべての HTTP GET 要求がコンテンツフィルタリングサーバー(ICAP サーバー)によって検証され、コンテンツ分類要求に応じて、許可、拒否、またはリダイレクトされます。
コンテンツフィルタリングは、事前定義された静的ルールのオーバーライド制御(OC)機能、または L7 ダイナミックルールのアクティブ化機能のいずれかによって、サブスクライバに対して有効になります。設定可能なオプションがコンテンツ フィルタリングのサーバー グループ コンフィギュレーション モードに追加されました。これにより、サブスクライバの番号情報と CIPA(児童インターネット保護法)カテゴリの 2 つのパラメータを含む ICAP ヘッダーが設定されます。
![]() 重要 |
オーバーライド制御と L7 ダイナミックルールの有効化は、ライセンスにより制御される機能です。これらの機能を設定する前に、有効な機能ライセンスをインストールする必要があります。詳細については、シスコのアカウント担当者にお問い合わせください。 |
-
サブスクライバ番号:「Subscription ID」AVP は、CCR メッセージでゲートウェイから PCRF に送信されます。AVP 値は、HSS からゲートウェイに送られます。ゲートウェイでは、CCI-A メッセージでこの AVP を受信しません。
-
CIPA カテゴリ:カテゴリ文字列は PCRF によって提供され、ICAP 要求変更メッセージの拡張ヘッダーとして組み込まれます。AVP は、CCA-I または RAR で PCRF から受信されます。
ディクショナリおよび AVP のサポート
-
Override-Content-Filtering-State:この属性は、ルールまたは課金アクションのコンテンツ フィルタリング ステータス(CF 状態)に関する情報を伝送します。この AVP は、静的ルールや事前定義されたルールのコンテンツ フィルタリング ステータスを上書きするために使用されます。この属性は Override-Control grouped AVP に含まれます。
-
CIPA:この属性には、ICAP プランの識別子として扱われる児童インターネット保護法(CIPA)カテゴリの文字列値が含まれます。この識別子は、ICAP サーバーが正しいコンテンツ フィルタリング プラン(パケットの処理に基づく CIPA カテゴリ)を特定するのに役立ちます。
この属性値は Gx インターフェイスを介して PCRF から受信され、ICAP 要求の送信時に ICAP ヘッダーに追加されます。
-
L7-Content-Filtering-State:この属性は、L7 ルールのコンテンツ フィルタリング ステータス(CF 状態)に関する情報を伝送します。この属性は、PCRF からのインストールで受信した L7 課金ルール定義に対して ICAP 機能が有効か無効かを示します。この属性値に基づいて、ダイナミックルールに一致するトラフィックが ICAP サーバーに送信されます。
L7 ルール処理のために、この属性が L7-Application-Description grouped AVP に追加されます。これは、HTTP プロトコルにのみ適用されます。
![]() 重要 |
OC および L7 ダイナミックルール機能を介してコンテンツフィルタリングを制御するための CIPA およびフラグは、r8-gx-standard ディクショナリにのみ適用されます。 |
新しい AVP のサポートに加えて、L7-Application-Description grouped AVP の L7-Field AVP は、ANY-MATCH を入力データとして受け入れるようにエンコードされます。現在のフレームワークは、課金アクション内にあるオーバーライド制御の既存の「vlan-id」フィールドをサポートしていません。したがって、Override-Content-Filtering-State AVP で Override-VLAN-ID を置き換えて OC をサポートします。
サブスクライバがセッション作成要求を開始すると、P-GW/HA は CCR-I メッセージを PCRF に送信してサブスクライバプロファイルを取得します。このサブスクライバの ICAP 機能が有効になっている場合、PCRF は CIPA と OC の情報を含む CCA-I メッセージで応答します。
L7 ダイナミックルールの場合、L7-Application-Description grouped AVP で L7-Content-Filtering-State AVP を送信すると、コンテンツフィルタリング機能が有効になります。ダイナミックルールの L7-Content-Filtering-State を受信した場合は、少なくとも 1 つの L7 フィルタが存在するはずです。L7-Content-Filtering-state AVP が L7 フィルタ情報 AVP とともに送信された場合、Content-Filtering の状態は考慮されません。したがって、L7-Content-Filtering-State で受信したフィルタは処理されず、L7 ルールが破棄されます。
オーバーライド制御の場合、サブスクライバに対してコンテンツフィルタリングが有効になっていると、PCRF は Override-Control AVP を介して ICAP フラグを送信します。この AVP は、そのサブスクライバの ICAP 機能を有効にするために課金アクションを上書きします。
サポートされる AVP の詳細については、『AAA Interface Administration and Reference』[英語] を参照してください。
制限事項
この機能の制限事項は次のとおりです。
-
IPv4 アドレス方式のみがサポートされています。
-
ICAP コンテンツフィルタリングは HTTP トラフィックにのみ適用されます。HTTPS トラフィックは、ICAP クライアントではサポートされていません。
-
高速パスは、この機能ではサポートされていません。