RADIUS 認証およびアカウンティング

機能の概要と変更履歴

要約データ

Table 1. 要約データ
該当製品または機能エリア SMF
該当プラットフォーム SMI
機能のデフォルト設定 無効:設定が必要
このリリースでの関連する変更点 N/A
関連資料 該当なし

更新履歴

Table 2. マニュアルの変更履歴
改訂の詳細 リリース

RADIUS エンドポイントの動的な構成変更のサポートが追加されました。

2023.03.0

RADIUS アクセス応答属性のセキュリティ グループ タグのサポートが追加されました。

2023.01.4

次に対するサポートが追加されました。

  • 3GPP ディクショナリ

  • Allow-auth

  • 連続的障害

  • 最大転送数

2023.03.0

ISE とのインターワーキングのサポートが追加されました。

2021.02.2.t1.0

TFT の変更時に RADIUS アカウンティングトリガーを生成するために、課金プロファイルに新しい CLI オプションが導入されました。

2021.02.0

RADIUS でのインスタンス認識をサポートするために、SMF では次の作業が可能です。

  • RADIUS プロファイルでのインスタンス レベルの設定

  • NAS-IP-Address および NAS-Identifier 属性は、RADIUS プロファイル構成で instance-id ごとに構成できます。

  • RADIUS エンドポイント設定のインスタンス ID ごとの RADIUS 切断要求 VIP 設定

2021.02.0

次のサポートが追加されました

  • PAP、CHAP および MSCHAP ベースの RADIUS 認証

  • 複数の RADIUS NAS-IP 送信元アドレス

  • RADIUS 切断および CoA 要求の処理

  • SMF の RADIUS アカウンティング

  • RADIUS アクセス応答メッセージの新しい属性

2020.02.5.t1

最初の導入。

2020.02.0 より前

機能説明

リモート認証ダイヤルイン ユーザー サービス(RADIUS)は、クライアントとサーバのプロトコルです。通常、RADIUS クライアントはネットワーク アクセス サーバ(NAS)で、RADIUS サーバは UNIX または Windows NT マシンで実行されているデーモン プロセスです。クライアントは指定された RADIUS サーバにユーザ情報を渡し、返された応答に応じた動作をします。RADIUS サーバはユーザ接続要求を受信し、ユーザを認証してから、このユーザへのサービス提供にクライアントが必要とする設定情報を返します。

RADIUS は、ユーザーに認証サービスとアカウンティング サービスを提供します。SMF では、次の構成に対し最大 2048 がサポートされます。

  • RADIUS サーバの詳細を追加します。

  • RADIUS アカウンティングおよび認証を有効にします。

  • DNN プロファイル内で仮想 APN 構成のオプションとして RADIUS インターフェイスを追加します。

  • CC トリガ レポートを有効にします。

  • ボリュームと時間の制限を定義します。

RADIUS クライアントは、次の機能をサポートしています。

  • サーバの選択

    RADIUS サーバは、キーとして [IP: Port] を使用して設定されています。 algorithm CLI は、認証またはアカウンティング要求を送信する RADIUS サーバを選択するためのフェールオーバーまたはロード バランシング アルゴリズムを指定します。「デッド」とマークされたサーバは、「アライブ」とマークされるまで選択対象として考慮されません。サポートされているアルゴリズムは、ファーストサーバとラウンドロビンです。

    • ファーストサーバ:要求を最も優先順位の高い RADIUS サーバに送信する必要があることを指定します。サーバが到達不能になった場合、要求は構成されている次に高い優先順位を持つサーバに送信されます。これはデフォルトのアルゴリズムです。

    • ラウンドロビン:要求を循環キュー方式のロードバランシングに基づいて送信する必要があることを指定します。最後に使用されたサーバが保存され、ラウンドロビン選択が維持されます。リストの順序は、構成シーケンスにのみ基づいています。

  • サーバ検出とデッドサーバ検出の監視

    AAA Dead-Server Detection 機能を使用すると、RADIUS サーバをデッド状態と指定するための条件を構成できます。デッド サーバを識別するために設定できる 2 種類のパラメータは次のとおりです。

    • Response-timeout:モニタ サーバはサーバ データベースを再アクセスし、最初の要求が送信された後、構成されている「response-timeout」値を超える応答を受信していないサーバをマークします。サーバは「デッド」とマークされ、「デッドタイム」として構成された分数の間デッド状態のままになります。「デッドタイム」の時間が経過すると、サーバのデッド変数が再度リセットされ、要求を処理する準備ができているとマークされます。それでもサーバに到達できない場合は、次の要求応答タイムアウトの一部として「デッド」とマークされます。

    • 連続した失敗:RADIUS サーバがデッド状態と指定されるまでにコントローラで発生する必要がある連続タイムアウト回数を構成することもできます。要求が再試行要求か通常の要求かにかかわらず、サーバが応答を返さない場合(つまり、要求のタイムアウト)、失敗数は増加します。サーバの障害数が連続障害のしきい値に達すると、当該サーバはデッド サーバとして宣言されます。

  • タイムアウトと再試行

    サーバが選択され、要求がサーバに送信されると、RADIUS サーバから応答が受信されるまで、またはタイムアウトが発生するまで、エントリは要求キューに保持されます。[要求のモニタ(Monitor Requests)] が呼び出されると、要求キューの応答タイムアウトがチェックされ、再試行されます。すべてのエントリを順を追って調べ、「タイムアウト」として構成された要求タイムアウト値がヒットしているかどうかをチェックします。このような要求では、再試行回数が構成された「max-retries」値未満の場合、要求は RADIUS サーバに再送信されます。または、「max-retries」カウントに達すると、要求は要求キューから削除されます。要求が削除されると、その要求に対する応答があった場合でも、応答は破棄され、ユーザーに送信されません。

  • 最大伝送

    最大伝送では、使用可能なすべてのサーバの伝送パラメータを構成できます。この機能は、要求の再試行サイクルが終了した後に、送信回数が再試行回数を超えているかどうかをクロスチェックするのに役立ちます。その場合、使用可能な時は別のサーバーで後続の再試行サイクルが開始されます。サーバが利用できない場合、または maxtransimissions 制限に達した場合、タイムアウト応答が送信されます。

    :max-transmissions 値が 5 に設定されている場合、最大再試行値は 2 であり、使用可能なサーバが 2 つあります。したがって、最初のサーバで 3 回の試行(実際の試行が 1 回、再試行が 2 回)、残りの 2 回(実際の試行が 1 回、再試行が 1 回)が 2 番目のサーバにあります。

RADIUS 認証

認証とキー管理は、ユーザーとネットワークの間に相互認証を提供するため、モバイル ネットワークのセキュリティの基本です。

5G では、ユーザーを認証するためのさまざまな認証方法が定義されています。5G アーキテクチャでは、サービスを提供するネットワークは、プライマリ認証メカニズムを使用してサブスクリプション永久識別子(SUPI)を認証し、UE とネットワーク間のキー契約を認証します。

RADIUS クライアント機能をイネーブルにする方法については、 RADIUS クライアントの構成を参照してください。

アイデンティティ サービス エンジン

Identity Services Engine(ISE)は、5G およびその他のエンタープライズ デバイスのポリシー定義の共通ポイントです。5G as a Service(5GaaS)アーキテクチャでは、ISE は認証とアカウンティングのみを実行します。Control Center は 5G 認証を処理します。RADIUS Authorize-Only フローを使用して 5G 認証を実装できます。

SMF は、Cisco private 5G の ISE との通信をサポートしています。SMF が ISE から受信するポリシーに基づいて、Cisco Private 5G はエンタープライズ側でのさまざまな動作をサポートします。ISEは、サブスクライバの識別、サブスクライバのグループの定義、ポリシーの割り当てなどのタスクを実行するためのメカニズムをエンタープライズ カスタマーに提供します。

Allow-auth

構成で allow-auth が有効になっている場合、認証の成功、タイムアウト、またはエラー メッセージの受信に関係なく、進行中のコールを続行できます。デフォルト値は false ですが、allow-auth を有効にするには構成が必要です。

スループットの制限

SMF でセカンダリ認証を構成している場合、SMF は、構成されている RADIUS サーバ アドレスに基づいて RADIUS アクセス要求を ISE に送信します。SMF はアクセス要求に PEI を追加します(可能な場合)。構成された IMEI ベースの ISE には、スループット制限を実現するためにプライベート 5G ネットワークに適用されるルールの名前が含まれています。


(注)  

スループット制限では、IMEI または IMSI のいずれかを使用できます。

ISE は、アクセス承認要求の 3GPP-Policy-Reference 属性にルール名を入力します。このルールベースは SMF で構成できます。SMF は、3GPP-Policy-Reference 属性に含まれるオクテット文字列から ASCII 値を派生させます。次に、SMF はこの値を構成済みのルールベースと照合します。

次の表に、3GPP-Policy-Reference AVP のオクテット値を示します。

表 3. 3GPP-Policy-Reference AVP

ビット

Octets

8

7

6

5

4

3

2

1

1

3GPP Type = 113

2

3GPP Length = m

3-m

ポリシー データ参照先(オクテット文字列)

(注)  

 
DN AAA はポリシー データ参照値を送信します。SMF はこの値を使用して、PCF の SM および QoS ポリシー データを取得します。

ISE はルールベースを SMF に送信します。SMF は、構成されていないルールベースを受信しても無視します。SMF でデフォルトの帯域幅ポリシーを設定していない場合、帯域幅ポリシーは無視されます。

UE が 4G RAT または 5G RAT を介して接続する場合、SMF で帯域幅制限を構成できます。4G RAT によって構成された帯域幅制限に基づいて、SMF はセッション応答の作成に BearerQoS 値を入力します。5G RAT によって構成された帯域幅制限に基づいて、SMF は N1 PDU Establishment Accept 要求の QosFlowDescription 値を入力します。

帯域幅制限は、SMF から送信される事前定義済みのルールに基づいて、UPF 上でローカルに構成されます。

RADIUS アカウンティング

アカウンティングは、請求、監査、および報告のために使用される加入者の利用状況およびアクセス情報を収集し、送信します。たとえば、ユーザーは開始時刻と終了時刻、実行されたアクション、パケット数、バイト数を識別します。アカウンティングを使用すると、オペレータはユーザーが利用するサービスと、そのサービスが消費するネットワーク リソースの量を分析することができます。アカウンティング レコードは、アカウンティング属性値ペア(AVP)で構成され、アカウンティング サーバに格納されます。このアカウンティング情報を分析すると、ネットワーク管理、クライアント課金、監査の 3 つすべて、または監査に利用できます。

SMF は CLI 構成を使用して RADIUS アカウンティング機能を実装します。構成の詳細については、「RADIUS クライアントの構成」を参照してください。

RADIUS アカウンティングが有効で、DNN プロファイル内でサーバ グループが構成されている場合、SMF は N4 セッション確立要求の課金パラメータでサーバ グループを AAA グループとして送信します。SMF が UPF に存在しない AAA グループを送信すると、RADIUS URR の静的ルールと事前定義済みルールのトラフィックが考慮されず、レポートに失敗します。このシナリオでは、SMF は RADIUS URR のアカウンティングでダイナミック ルール トラフィックのみを考慮します。

RADIUS 切断要求メッセージの処理

動的認可クライアント(DAC)は、UDP ポートを介して RADIUS エンドポイント(radius-ep)に接続解除要求パケットを送信します。DAC は、このパケットを送信して、ネットワーク アクセス サーバ(NAS)上のユーザー セッションを終了させます。また、関連付けられているすべてのセッション コンテキストが破棄されます。

切断要求パケットには、終了するセッションを識別する次のセッション識別属性が含まれます。

  • 3GPP-IMSI + 3GPP-NSAPI

  • ACCT-SESSION-ID

  • CALLED-STATION-ID (DNN) + FRAMED-IP-ADDR

  • CALLED-STATION-ID (DNN) + FRAMED-IPV6-PREFIX

RADIUS エンドポイントは、Disconnect-Request パケットを検証します。検証が失敗した場合、エンドポイントはパケットを拒否し、適切な原因コードを含む Disconnect-NAK メッセージを DAC に送信します。検証が成功すると、エンドポイントはセッション識別キーまたは属性に基づいてアフィニティ検索を実行します。その後、エンドポイントは切断要求パケットを特定の SMF サービス インスタンスに転送します。SMF はパケットを処理し、PDU リリースまたは PDN 切断手順をトリガします。セッションが識別され、削除され、無効になった場合、SMF は適切な原因コードを含む切断 ACK 応答を送信します。セッション コンテキストが見つからない場合、SMF は適切な原因コードを含む Disconnect-NAK メッセージを送信します。SMF は、切断 ACK または NAK 応答を送信するための解放手順の完了を待機しません。

ローミング シナリオでは、ローミング ステータスがローミングの場合、ホームルーティング サブスクライバに対して RADIUS 接続解除要求がサポートされます。hSMF は SMF サービスとして機能し、セッションの解放手順を開始します。


(注)  

4G および EpsInterworkingIndication でのローミングはサポートされていません。そのため、IMSI キーと NSAPI キーの組み合わせはサポートされていません。

この機能は、セッション識別キーまたは属性の組み合わせを使用して、終了すべきセッションを識別します。


重要

複数のキーの組み合わせが同じセッションに対して指定された場合、それは受け入れられます。ただし、複数のキーの組み合わせが複数のセッション コンテキストまたは存在しないセッション コンテキストになる場合、動作は非決定的です。

SMF は、Disconnect-Message(DM)要求ごとに 1 つのセッション コンテキストだけをサポートします。SMF では、DM 要求で次の属性を使用して、終了する NAS およびユーザーセッションを特定できます。

属性 参考仕様 エンコード タイプ
3GPP-IMSI 3GPP 29.061 - 16.4.7.2-1 文字列
3GPP-NSAPI

3GPP 29.061 - 16.4.7.2-10

3GPP 29.561 – 11.3

 文字列
Accounting-Session-Id RFC 2866 文字列
FRAMED-IP RFC 2865 - 5.1 IPv4 アドレス(IPv4 Address)

FRAMED-IPV6-PREFIX

RFC 3162

PrefixLen および String

CALLED-STATION-ID (DNN)

RFC 2865 - 5.30

文字列

NAS-IP-Address

RFC 2865 – 5.4 (optional)

文字列

NAS-Identifier

RFC 2864 – 5.32 (optional)

文字列

パケットのデコードが成功すると、SMF は DM 要求に存在する他の属性をサイレントに廃棄します。

SMF は、DM ACK または NAK 応答で次の属性をサポートします。

属性 参考仕様 エンコード タイプ
ERROR-CAUSE RFC 5176 – 3.5 整数(Integer)
REPLY-MESSAGE RFC 2865 – 5.18 文字列

切断要求が radius-ep によって拒否された場合、RADIUS エンドポイント ポッドは次のエラー コードをサポートします。

  • 402(属性の欠落):無効なキーの組み合わせが原因でトリガされます。

  • 403(NAS IDの不一致):DM 要求の NAS-IP 属性がエンドポイントの COA-NAS VIP-IP と一致しない場合、または要求の NAS-Identifier 属性が RADIUS ダイナミック認可内または CoA 構成内で NAS 識別子構成を行う場合にトリガされます。

  • 407(無効な属性):フォーマット エラー、エンコード エラーなどが原因でトリガされます。

  • 405(サポートされていないサービス):要求が接続解除要求でない場合にトリガされます。

  • 503(見つかっていないセッション コンテキスト):セッションが見つからない場合にトリガされます。

この機能の構成の詳細については、セッション切断機能の構成 のセクションを参照してください。

アーキテクチャ

SMF での RADIUS クライアント統合

RADIUS クライアントポッドは、5G アーキテクチャのプロトコル層に存在します。

次の図は、SMF での RADIUS クライアントの統合を示しています。

Figure 1. RADIUS クライアントの統合

Radius-EP アプリ(RADIUS-Client Pod):RADIUS クライアント機能が新しいポッドに追加されました。認証やアカウンティングなど、RADIUS プロトコル固有の機能を処理します。

SMF サービス アプリ(SMF サービスポッド):SMF サービス アプリは、PDU セッション サービスを提供します。SMF サービスは、セッションの確立中にセカンダリ認証が必要かどうかを判断し、それに応じて動作します。

UDP プロキシ アプリケーション(UDP-Proxy Pod):UDP プロキシ アプリケーションは、ホスト ネットワーキングで有効になっており、外部仮想 IP を使用してパケットを通信します。すべての RADIUS パケットは、このアプリケーションを使用して外部クラスタと送受信されます。

機能の仕組み

このセクションでは、SMF が RADIUS 認証およびアカウンティングの機能をサポートする方法について説明します。

認証のための RADIUS インタラクション

RADIUS サーバがユーザーを認証するために、さまざまな方法をサポートします。サーバがユーザーのユーザー名と元のパスワードを受け取った場合、ポイントツーポイント プロトコル(PPP)、パスワード認証プロトコル(PAP)、チャレンジハンドシェイク認証プロトコル(CHAP)、またはMicrosoft CHAP(MSCHAP)、UNIX ログイン、その他の認証方式をサポートできます。

SMF は、PAP、CHAP、または MSCHAP プロトコルを使用したユーザー認証をサポートしています。SMF の構成は、ユーザー認証のプロトコルの選択に役立ちます。DNN プロファイルでセカンダリ認証が有効になっている場合、SMF は RADIUS サーバと対話して RADIUS 認証を実行します。認証を実装するために、SMF 内に存在する RADIUS クライアントは、Access-Request メッセージで User-Name 属性と User-Password 属性を RADIUS サーバに送信します。

SMF は、RADIUS 認証機能を容易にするために、より多くの属性を使用します。サポートされている属性の完全なリストについては、 RADIUS 属性定義 セクションを参照してください。

RADIUS サーバは、認証情報を使用してユーザーを検証します。検証が成功すると、サーバは Access-Accept 応答を SMF に送信します。

PAP、CHAP、または MSCHAP ベースの認証の構成

SMF は、UE から受信したプロトコル コンフィギュレーション オプション(PCO)、拡張 PCO(ePCO)、または追加 PCO(APCO)IE をデコードします。次に、SMF は IE から PAP(ユーザー名とパスワード)、CHAP(チャレンジ/レスポンス)、または MSCHAP(チャレンジ/レスポンス)に関連する値を取得します。いずれかのプロトコルの DNN での構成優先順位が高い場合、SMF は RADIUS Access-Request メッセージで受信した値を RADIUS サーバに送信します。


Note

SMF は、プライオリティが構成されていない場合、UE から受信した認証情報を RADIUS Access-Request メッセージに含めません。

デフォルトでは、SMF は PCO、ePCO、または APCO で受信したパスワードを使用するように追加の構成が有効になるまで、DNN の下で構成されたホストパスワードを認証に使用します。SMF を使用すると、オペレータは DNN プロファイルのホスト パスワードをプレーンテキストまたは暗号化形式のいずれかで構成でき、可能な場合は常に同じ暗号化形式でのみ表示されます。

SMF は、UE が PAP ベースの認証のために PCO IE で明示的にユーザー名を提供しない場合、ユーザー名として MSISDN を送信します。

CHAP ベースの認証の場合、convert-to-mschap コマンド オプションが有効で、CHAP が有効で、受信した CHAP 応答の長さが 49 バイトの場合、SMF は、受信した CHAP チャレンジと応答を MSCHAP に変換します。デフォルトでは、SMF は認証アルゴリズムとして MSCHAPv1 を使用します。

MSCHAP ベースの認証において、プロトコル ID が LCP であり、かつ LCP コンテナが RFC 2433 に基づく CHAP/MSCHAPv1 (128) または RFC 2795 に基づく CHAP/MSCHAPv2 (129) をアルゴリズムとして指定している場合、SMF は PCO で受信したユーザー名、チャレンジ、および応答を RADIUS サーバに送信します。

SMF は、4G/Wi-Fi セッションの場合は Create-Session-Response PCO/EPCO/APCO IE、5G セッションの場合は N1 Container EPCO IE で、RADIUS サーバから UE に認証情報を転送します。

RADIUS 認証機能を実装する場合は、次の重要な点を考慮してください。

  • RFC 2865 に基づいて、この機能に適用可能なさまざまな AVP の長さ検証を実行します。また、違反が識別された場合、認証を拒否します。

    • CHAP チャレンジの最小長は 5 バイトです(ただし、RFC 1334 および RFC 1994 で 1 バイトです)。

  • SMF は、構成された認証アルゴリズムに基づいて、DNN レベルで受信した認証情報を UE から RADIUS サーバに送信します。SMF は UE から受信したデータを操作せず、情報を RADIUS サーバに送信する前に、認証に関連する構成のみを適用します。

  • SMF は IPv4 または IPv6 アドレスをセッションに割り当て、RADIUS アカウンティング メッセージを介して RADIUS サーバに FRAMED-IP または FRAMED-IPv6-PREFIX 属性を送信します。RADIUS サーバは、この属性情報を使用して電話番号と IP アドレスを関連付けます。

  • SMF では、PDU セッションのライフタイム中に複数の認証を許可しないため、すべての認証の ID 値を増加させるユースケースを検証しません。

  • SMF は、UE から空のパスワードを受信し、SMF で構成されたホスト レベルのパスワードが構成されていない場合、または password-use-pco オプションが有効になっていない場合、Access-Request で暗号化された NULL(空の)パスワードを送信します。

  • SMF は、次のシナリオで、Access-Request が構成されたサーバ シークレットをユーザー パスワードとして伝送するデフォルト認証にフォールバックします。

    • アルゴリズム設定のいずれも優先順位とともに有効になっていない場合

    • UE によって提供された情報が、構成されたアルゴリズムの構成に適用できない場合(存在する場合)

    • UE がデータなしで空の PAP または CHAP コンテナを送信した場合(コンテナの長さは 0)

  • SMF は、次のシナリオで認証を拒否します。

    • 他の認証アルゴリズムが構成されていない場合

    • CHAP チャレンジ コンテナと CHAP 応答コンテナの両方で受信した CHAP 識別子に不一致がある場合(SMF は現在、CHAP チャレンジ コンテナから CHAP ID をコピーします)

      • CHAP パスワードの CHAP-ID は、RFC 2865 に従って CHAP 応答から取得する必要があります。

      • 応答識別子は、RFC 1334 に従ってチャレンジ応答の [識別子(Identifier)] フィールドからコピーする必要があります。

      • 現在のアルゴリズムの検証基準が失敗したとき

  • 明示的に 0 を構成すると構成が無効になるため、SMF では、CLI を通して異なるアルゴリズムに対して同じ優先順位を構成できます。このシナリオでは、アルゴリズムのいずれかが考慮され、選択は純粋に実装に依存します。UE が SMF に複数の認証コンテナを送信するたびに、競合を解決するために、異なるアルゴリズムに異なる優先順位を構成するのは、オペレータの責任です。

  • SMF では、YANG 定義の構文形式の制限により、PAP を設定せずに password-use-pco オプションを構成できます。同じことが convert-to-mschap オプションにも適用されます。ただし、この機能は、対応するアルゴリズムが有効な優先順位で有効になっている場合にのみ機能します。

  • デフォルトでは、SMF はオペレータがホスト レベルで設定したパスワードを、平文の場合 AES-128-CFB 暗号化アルゴリズムを用いて暗号化します。オペレータが AES-128-CFB 暗号化標準を満たす必要があるすでに暗号化されたパスワードを指定した場合、暗号化は無視されます。

  • デフォルトでは、受信した CHAP 応答の長さが 49 バイトで、 convert-to-mschap オプションが有効の場合、SMF は受信した CHAP チャレンジと応答が MSCHAP に変換されるたびに、認証アルゴリズムを MSCHAPv1(128) と見なします。

  • 以下は、SMF でサポートされる MSCHAP 固有の AVP とその RFC リファレンスのリストです。

    • MSCHAP-CHALLENGE(MSCHAP)(RFC2548 セクション 2.1.2)

    • MSCHAP-RESPONSE(RFC2548 セクション 2.1.3)

    • MSCHAP2-RESPONSE(RFC2548 セクション 2.3.2)

    • MSCHAP-ERROR RFC2548(セクション 2.1.5)

    • MS-CHAP2-Success(RFC 2548、セクション 2.3.3)は、RFC 2548 に v1 の MS-CHAP 成功 AVP に関する明確な情報がないため、サポートされていません。

  • RADIUS サーバが Access-Reject メッセージで MSCHAP-Error と Reply-Message AVP の両方を送信すると、PCO/APCO/EPCO で NACK の CHAP コンテナを埋めるときに、MSCHAP-ERROR が優先されます。MSCHAP-Error は、MSCHAPv1 アルゴリズムと MSCHAPv2 アルゴリズムの両方に共通であり、CHAP Failure コンテナの [メッセージ(Message)] フィールドにカプセル化されます。

  • MSCHAP では、認証機能だけがサポートされています。


Important

SMF は、組み込みの暗号化アルゴリズム「AES-128-CFB」を使用して、NETCONF-YANG データ モデルによって提供されるホスト レベルのパスワード(アウトバウンド パスワード)を暗号化します。SMF Ops Center は、AES-128-CFB 暗号化のグローバル キーを作成します。これは、プレーン テキスト パスワードが与えられたオペレータの暗号化に使用されます。それぞれのポッドで暗号化されたデータを復号化するために、SSH を介してすべてのポッドとキーを共有します。キーは、SMF-SERVICE ポッドに ENV 変数「CONFD_AES_KEY」としてエクスポートされます。オペレータがすでに暗号化されたパスワードを構成する場合は、AES-CFB-128 暗号化文字列の先頭に「$8$」を「$8$<encrypted-data> 」のように追加する必要があります。指定された入力がすでに NETCONF-YANG モデルに対する AES-128-CFB 暗号化文字列であることを示します。

認証に関連する CLI の詳細については、RADIUS クライアントの構成 の項を参照してください。

RADIUS 認証属性

RADIUS アクセス リクエスト属性

次のテーブルは、RADIUS アクセス リクエスト メッセージでサポートされている属性をリストします。

属性 参考仕様 エンコード タイプ
USER-NAME RFC2865 - 5.1 文字列
PASSWORD RFC2865 - 5.2 暗号化された文字列
CALLING-STATION-ID RFC2865 - 5.31 文字列
CALLED-STATION-ID RFC2865 - 5.30 文字列
NAS-IP-ADDRESS RFC2865 - 5.4 IPv4 アドレス(IPv4 Address)
NAS-IDENTIFIER RFC2865 - 5.32 文字列
SERVICE-TYPE RFC2865 - 5.6 オクテット - 4 バイト
FRAMED-PROTOCOL RFC2865 - 5.7 オクテット - 4 バイト
NAS-PORT-TYPE RFC2865 - 5.41 オクテット - 4 バイト
NAS-PORT RFC2865 - 5.5 オクテット - 4 バイト
SERVING-NETWORK-NAME 3GPP TS 29.561 - 16.4.0、RFC2865 文字列
3GPP-IMSI 3GPP 29.061 - 16.4.7.2-1 文字列
3GPP-CHARGING-ID 3GPP 29.061 - 16.4.7.2-2 オクテット - 4 バイト
3GPP-PDP-TYPE 3GPP 29.061 - 16.4.7.2-3 オクテット - 4 バイト
3GPP-CHARGING-GATEWAY-ADDR 3GPP 29.061 - 16.4.7.2-4 IPv4 アドレス(IPv4 Address)
3GPP-GPRS-NEG-QOS-PROFILE 3GPP 29.061 - 16.4.7.2-5 特別エンコード オクテット
3GPP 29.274 - 8.7
3GPP-SGSN-ADDRESS 3GPP 29.061 - 16.4.7.2-6 IPv4 アドレス(IPv4 Address)
3GPP-GGSN-ADDRESS 3GPP 29.061 - 16.4.7.2-7 IPv4 アドレス(IPv4 Address)
3GPP-IMSI-MCC-MNC 3GPP 29.061 - 16.4.7.2-8 文字列
3GP-GGSN-MCC-MNC 3GPP 29.061 - 16.4.7.2-9 文字列
3GPP-NSAPI

3GPP 29.061 - 16.4.7.2-10

3GPP 29.561 – 11.3

 文字列
3GPP-SELECTION-MODE 3GPP 29.061 - 16.4.7.2-12 文字列
3GPP-CHARGING-CHARACTERISTICS 3GPP 29.061 - 16.4.7.2-13 文字列
3GPP-SGSN-MCC-MNC 3GPP 29.061 - 16.4.7.2-18 文字列
3GPP-IMEISV 3GPP 29.061 - 16.4.7.2-20 文字列
3GPP-RAT-TYPE 3GPP 29.061 - 16.4.7.2-21 オクテット - 1 バイト

3GPP-USER-LOCATION

3GPP 29.061 - 16.4.7.2-22

3GPP 29.274 - 8.21-4、8.21-5

3GPP 38.413 – 9.3.1.7、9.3.3.10

 特別エンコード オクテット
3GPP-MS-TIMEZONE 3GPP 29.061 - 16.4.7.2-23 特別エンコード オクテット
3GPP 29.274 - 8.44
3GP-NEGOTIATED-DSCP 3GPP 29.061 - 16.4.7.2-26 オクテット - 1 バイト

CHAP-PASSWORD(CHAP)

RFC2865 – 5.3

文字列

CHAP-CHALLENGE(CHAP)

RFC2865 – 5.40

文字列

MSCHAP-CHALLENGE(MSCHAP)

RFC2548 - 2.1.2

文字列

MSCHAP-RESPONSE

RFC2548 - 2.1.3

オクテット

MSCHAP2-RESPONSE

RFC2548 - 2.3.2

オクテット

MSCHAP-ERROR

RFC2548 - 2.1.5

文字列

REPLY-MESSAGE

RFC2865 – 5.18

文字列

(注)  

Wi-Fi 通話の属性は、4G 通話と同じです。
RADIUS アクセス応答属性

次のテーブルは、RADIUS アクセス応答メッセージでサポートされている属性をリストします。

属性 参考仕様 エンコード タイプ

クラス

RFC 2865

文字列
FRAMED-IP RFC2865 - 5.1 IPv4 アドレス(IPv4 Address)
FRAMED-IPv6-PREFIX RFC3162 PrefixLen および String

Framed-IP-Netmask

RFC 2865

オクテット
IDLE-TIMEOUT RFC2865 - 5.28 整数(Integer)

3GPP-POLICY-REFERENCE

3GP TS 29.061

オクテット

MS プライマリ DNS サーバー

RFC 2548

オクテット

MS-Secondary-DNS-Server

RFC 2548

オクテット

SN-VIRTUAL-APN-NAME

Starent ディクショナリ

不透明

SESSION-TIMEOUT

RFC2865 - 5.27

整数(Integer)

cts :security-group-tag

Cisco ディクショナリ

不透明

(注)  

Wi-Fi 通話の属性は、4G 通話と同じです。

RADIUS 認証属性の詳細については、このガイドの RADIUS 属性定義 の項を参照してください。

コール フロー

RADIUS 認証 コール フロー

次の図は、SMF サーバと RADIUS エンドポイント間のエンドツーエンドのコール フローを示しています。

Figure 2. RADIUS 認証 コール フロー
Table 4. RADIUS 認証コール フローの説明
ステップ 説明

1

RADIUS ポッドの起動:プロトコル EP VIP-IP と同様の VIP-IP で、それぞれのエンドポイント構成を追加します。RADIUS サーバ情報を RADIUS プロファイル構成に追加します。

2

必要な DNN プロファイルにセカンダリ認証構成を追加します。

3

セッションの起動中、DNN プロファイルは、UDM 検証が成功した後、セカンダリ認証が有効になっているかどうかを確認します。

  • 認証が有効になっていない場合は、PCF で続行します。

  • 認証が有効になっている場合は、プロセス間通信(IPC)メッセージを RADIUS ポッドに送信して、サブスクライバを認証します。
4 RADIUS ポッドは、構成された RADIUS サーバ宛てのアクセス要求パケットを準備し、そのパケットを UDP プロキシ ポッドに送信してパケットをプロキシします。
6 UPD プロキシ ポッドはソケットを作成し(まだ存在しない場合)、パケットを RADIUS サーバに送信します。
7 RADIUS サーバはアクセス要求を検証します。受け入れられると、アクセス承認メッセージで応答されます。それ以外の場合は、アクセス拒否メッセージで応答します。
8 UDP プロキシは、それぞれの RADIUS-EP インスタンスに応答します。
9 RADIUS-EP インスタンスは応答を検証し、Framed-IP(存在する場合)を取得して、SMF サービスを更新します。
10 SMF サービスは、RADIUS-EP からの正常な応答時に PCF フローを続行します。そうでない場合、SMF サービスはサブスクライバから切断されます。

アカウンティングのための RADIUS 相互作用

SMF は、RADIUS クライアント RADIUS-EP を介して RADIUS サーバと次のメッセージを交換します。

  • Accounting-Request:このメッセージは、次のいずれかのパケットを伝送して、RADIUS サーバにアカウンティング情報をリレーします。

    • アカウンティング開始パケット: このパケットは、配信されるサービスのタイプと配信先であるユーザーが記述されています。

      SMF は、セッション確立手順中にアカウンティング開始パケットを送信します。RADIUS アカウンティング サーバは、accounting-start パケットを受信すると、確認応答を返します。

      RADIUS アカウンティングの構成の詳細については、RADIUS クライアントの構成 の項を参照してください。

    • アカウンティング終了パケット: このパケットは、配信されたサービスのタイプと、必要に応じて経過時間、入力および出力オクテット、または入出力パケットなどの統計情報を記述します。

      サービス提供の最後に、SMF は、すべてのセッション削除シナリオについて、およびコール設定中に RADIUS アカウンティングが有効になった場合に、アカウンティング停止パケットを送信します。

    • Accounting-Request Interim-Update: セッション中、SMF は更新された累積使用率レポートを RADIUS アカウンティング サーバに送信します。

  • Accounting-Response:正常に処理されたアカウンティング要求ごとに、RADIUS サーバは情報の受信を確認するアカウンティング確認応答を返します。

アカウンティングに関連付けられている CLI の詳細については、「RADIUS クライアントの構成」セクションを参照してください。

RADIUS アカウンティング属性

次の表に、アカウンティング要求メッセージでサポートされる RADIUS アカウンティング属性を示します。

[Attribute] 参考仕様 エンコード タイプ(Encoding Type) サポートされるアカウンティング タイプ
USER-NAME RFC 2865 - 5.1 文字列 開始、停止、暫定アップデート
CALLING-STATION-ID RFC 2865 - 5.31 文字列 開始、停止、暫定アップデート
CALLED-STATION-ID RFC 2865 - 5.30 文字列 開始、停止、暫定アップデート

クラス

 RFC 2865 - 5.25 文字列 開始、停止、暫定アップデート
NAS-IP-ADDRESS RFC 2865 - 5.4 IPv4 アドレス 開始、停止、暫定アップデート
NAS-IDENTIFIER RFC 2865 - 5.32 文字列 開始、停止、暫定アップデート
SERVICE-TYPE RFC 2865 - 5.6 オクテット - 4 バイト 開始、停止、暫定アップデート
FRAMED-PROTOCOL RFC 2865 - 5.7 オクテット - 4 バイト 開始、停止、暫定アップデート
FRAMED-IP RFC2865 - 5.1 IPv4 アドレス(IPv4 Address) 開始、停止、暫定アップデート
FRAMED-IPv6-PREFIX RFC3162 PrefixLen および String 開始、停止、暫定アップデート

Framed-IP-Netmask

 RFC 2865 - 5.9 オクテット - 4 バイト 開始、停止、暫定アップデート
NAS-PORT-TYPE RFC 2865 - 5.41 オクテット - 4 バイト 開始、停止、暫定アップデート
NAS-PORT RFC 2865 - 5.5 オクテット - 4 バイト 開始、停止、暫定アップデート
3GPP-IMSI 3GPP 29.061 - 16.4.7.2-1 文字列 開始、停止、暫定アップデート
3GPP-CHARGING-ID 3GPP 29.061 - 16.4.7.2-2 オクテット - 4 バイト 開始、停止、暫定アップデート
3GPP-PDP-TYPE 3GPP 29.061 - 16.4.7.2-3 オクテット - 4 バイト 開始、停止、暫定アップデート

3GPP-CHARGING-

GATEWAY-ADDR

 3GPP 29.061 - 16.4.7.2-4 IPv4 アドレス 開始、停止、暫定アップデート

3GPP-GPRS-NEG-

QOS-PROFILE

3GPP 29.061 - 16.4.7.2-5

3GPP 29.274 - 8.7

 特別エンコード オクテット 開始、停止、暫定アップデート
3GPP-SGSN-ADDRESS 3GPP 29.061 - 16.4.7.2-6 IPv4 アドレス

開始、停止、暫定アップデート

この属性は、5G アカウンティング開始メッセージには含まれません。
3GPP-GGSN-ADDRESS 3GPP 29.061 - 16.4.7.2-7 IPv4 アドレス 開始、停止、暫定アップデート

3GPP-IMSI-

MCC-MNC

 3GPP 29.061 - 16.4.7.2-8 文字列 開始、停止、暫定アップデート

3GPP-GGSN-

MCC-MNC

 3GPP 29.061 - 16.4.7.2-9 文字列 開始、停止、暫定アップデート
3GPP-NSAPI 3GPP 29.061 - 16.4.7.2-10 文字列 開始、停止、暫定アップデート

3GPP-SELECTION

-MODE

 3GPP 29.061 - 16.4.7.2-12 文字列 開始、停止、暫定アップデート

3GPP-CHARGING

-CHARACTERISTICS

 3GPP 29.061 - 16.4.7.2-13 文字列 開始、停止、暫定アップデート

3GPP-SGSN

- MCC - MNC

 3GPP 29.061 - 16.4.7.2-18 文字列 開始、停止、暫定アップデート
3GPP-IMEISV 3GPP 29.061 - 16.4.7.2-20 文字列 開始、停止、暫定アップデート
3GPP-RAT-TYPE 3GPP 29.061 - 16.4.7.2-21 オクテット - 1 バイト 開始、停止、暫定アップデート

3GP-USER

-LOCATION

3GPP 29.061 - 16.4.7.2-22

3GPP 29.274 - 8.21-4

3GPP 29.274 - 8.21-5

 特別エンコード オクテット 開始、停止、暫定アップデート
3GPP-MS-TIMEZONE

3GPP 29.061 - 16.4.7.2-23

3GPP 29.274 - 8.44

 特別エンコード オクテット 開始、停止、暫定アップデート

3GP-NEGOTIATED

-DSCP

 3GPP 29.061 – 16.4.7.2-26 オクテット:1 バイト

開始、停止、暫定アップデート

この属性は、関連する構成が存在する場合にのみ送信されます。
Acct-Status-Type RFC 2866 開始/停止/暫定 開始、停止、暫定アップデート
Accounting-Session-Id RFC 2866 文字列 開始、停止、暫定アップデート
Acct-Delay-time RFC 2866 オクテット 開始、停止、暫定アップデート
Acct-Input-Octets RFC 2866 整数(Integer) 開始、停止、暫定アップデート
Acct-Output-Octets RFC 2866 整数(Integer) 開始、停止、暫定アップデート
Acct-Input-Gigawords RFC 2869 整数(Integer) 開始、停止、暫定アップデート
Acct-Output-Gigawords RFC 2869 整数(Integer) 開始、停止、暫定アップデート
Acct-Input-packets RFC 2866 整数(Integer) 開始、停止、暫定アップデート
Acct-Output-Packets RFC 2866 整数(Integer) 開始、停止、暫定アップデート
Acct-Session-Time RFC 2866 整数(Integer) 開始、停止、暫定アップデート
Acct-Terminate-Cause RFC 2866 文字列 停止
Framed-MTU RFC 2866 文字列 開始、停止、暫定アップデート

3GPP-Session

-Stop-Indicator

 3GPP 29.061 ビット文字列 停止
Framed-Ip-Addr RFC 2866 IPv4 アドレス 開始、停止、暫定アップデート
Acct-Authentic RFC 2866 文字列 開始、停止、暫定アップデート
EventTimeStamp RFC 2869 文字列 開始、停止、暫定アップデート

(注)  

WiFi 通話の属性は、4G 通話と同じです。

RADIUS アカウンティング属性の詳細については、このガイドの RADIUS 属性定義 の項を参照してください。

コール フロー

このセクションでは、次のコールフローについて説明します。

RADIUS アカウンティング開始コール フロー
ここでは、RADIUS アカウンティング手順の開始に関連するコール フローについて説明します。
図 3. RADIUS アカウンティング開始コール フロー
RADIUS アカウンティング終了コール フロー

ここでは、RADIUS アカウンティング手順の終了に関連するコール フローについて説明します。

図 4. RADIUS アカウンティング終了コール フロー
非同期アカウンティングの暫定更新コール フロー

ここでは、非同期の中間更新要求に関連付けられたコール フローについて説明します。

図 5. 非同期アカウンティングの暫定更新コール フロー
同期アカウンティング暫定更新コール フロー

ここでは、同期中間アップデート要求に関連付けられたコール フローについて説明します。

図 6. 同期アカウンティング暫定更新コール フロー

ご利用明細レポートルールの処理

RADIUS アカウンティングを有効にすると、SMF は使用状況レポートルール(URR)を作成し、Create URR 情報要素(IE)を介して UPF にルールをリレーします。Create URR IE は N4 セッション確立要求内に存在し、構成に従ってボリュームと時間制限が含まれます。

SMF では、RADIUS URR が動的なパケット検出ルール(PDR)にのみ関連付けられ、静的ルールや定義済みのルールには関連付けられません。N4 セッション確立要求の AAA グループ名により、UPF は静的で事前定義された PDR を RADIUS URR に関連付けます。ボリューム制限または時間制限に達すると、UPF は RADIUS URR の使用状況レポートを送信します。次に、SMF は、中間アカウンティング要求メッセージの使用状況を RADIUS サーバーに送信します。

SMF は、次の条件のいずれかが満たされた場合に、N4 変更応答または N4 削除応答で RADIUS URR の使用状況レポートを受信します:

  • CC イベント条件がヒットし、SMF がクエリ URR を実行します

  • セッション削除応答は、送信されました

SMF は、前のセッションで報告されたボリュームと時間のしきい値の値を保存し、保存されている値に現在報告された値を加算することによって累積使用量をレポートします。SMF は、Accounting-Request Interim-Update および Accounting-Stop メッセージで累積使用状況レポートを送信します。

UPF から使用状況レポートを受信すると、SMF は CHF サーバーと RADIUS サーバーに送信する URR ID を識別します。たとえば、URR ID が「0x80 00 00 09」に関連付けられている場合、SMF はこの URR ID を RADIUS サーバーに送信し、他の URR ID を CHF サーバーに送信します。

構成の動的な更新

SMF を使用すると、既存のセッションに影響を与えずに、RADIUS アカウンティング構成を動的に変更できます。

次の表に、さまざまな RADIUS アカウンティング構成に対するダイナミック アップデートの影響を示します。

表 5. RADIUS アカウンティング構成の動的な更新

設定(Configuration)

ダイナミックな変更

既存のセッションへの影響

RADIUS アカウンティング構成の有効化と無効化

システム レベルで許可

既存のセッションは古い値を引き続き使用します。

CC トリガー更新

現在のポッド レプリカごとに許可

既存のセッションは新しい値を使用します。

ボリュームと時間制限の変更

システム レベルで許可

既存のセッションは古い値を引き続き使用します。

グローバル レベルとグループ レベルの構成

(注)  

 

グループレベルの構成を使用できない場合、デフォルトでは、グローバルレベルの構成が考慮されます。

システム レベルで許可

既存の要求は、引き続き古い値を使用します。新しい要求には、新しく構成された値が使用されます。

RADIUS 属性定義

次のセクションでは、各属性について詳しく説明します。属性値の大部分は、ISE ディクショナリと 3GPP ディクショナリに共通です。この値は、特に、ISE および 3GPP ディクショナリの異なる属性値を持つ属性の属性説明セクションに含まれています:

  • USER-NAME

    説明:RFC 2865 に従ってエンコードされる文字列値。

    • 5G 通話:「msidn-」を削除した GPSI 値が使用される

    • 4G コール:電話番号の値が使用され、「msidn-」が削除されます。

    • 3GPP ディクショナリの属性値は imsi@apn です。


    Note

    2020.02.x より前のリリースでは、PAP、CHAP、および MSCHAP の認証方法はサポートされていません。

    リリース 2020.02.x 以降では、PAP、CHAP、および MSCHAP 認証方式がサポートされています。

  • PASSWORD

    説明:RFC 2865 に従ってエンコードされた暗号化された文字列値。

    5G コールと 4G コールの両方で、選択した RADIUS サーバーの「シークレット」がユーザー パスワードとして設定されます。

  • CALLING-STATION-ID

    説明:RFC 2865 に従ってエンコードされる文字列値。

    5G 通話:「msidn-」を削除した GPSI 値が使用されます

    4G コール:「msidn-」を削除した電話番号値が使用されます。

  • CALLED-STATION-ID

    説明:RFC 2865 に従ってエンコードされる文字列値。

    5G コールと 4G コールの両方で、DNN 値は called-station-id に設定されます。

  • NAS-IP-ADDRESS

    説明:RFC 2865 に従ってエンコードされた IPv4 アドレス値。

    5G コールと 4G コールの両方で、ユーザー構成の RADIUS クライアント インターフェイス タイプの VIP-IP が使用されます。

  • NAS-IDENTIFIER

    説明:RFC 2865 に従ってエンコードされる文字列値。

    5G コールと 4G コールの両方で、ユーザー構成の nas-identifier 属性値が使用されます。

  • SERVICE-TYPE

    説明:RFC 2865 に従ってエンコードされる 4 バイト オクテット(int)値。

    5G コールと 4G コールの両方で「FRAMED (2)」の値が設定されます。

  • FRAMED-PROTOCOL

    説明:RFC 2865 に従ってエンコードされる 4 バイト オクテット(int)値。

    5G コールと 4G コールの両方で「GPRS-PDP-CONTEXT (7)」の値が設定されます。

  • NAS-PORT-TYPE

    説明:RFC 2865 に従ってエンコードされる 4 バイト オクテット(int)値。

    5G コールと 4G コールの両方で「WIRELESS-OTHER(18)」の値が設定されます。

  • NAS-PORT

    説明:RFC 2865 に従ってエンコードされる 4 バイト オクテット(int)値。

    5G コールと 4G コールの両方で、それぞれのインスタンスのベース値が使用されます。つまり、以下のようになります。

    0x4000... 0x407F は replica-0 に設定されます

    0x4080... 0x40FF が replica-1 に設定される

  • 3GPP-IMSI

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    5G コール:SUPI 値が使用されます。

    4G コール:IMSI 値が使用されます。

  • 3GPP-CHARGING-ID

    説明3GPP TS 29.061に従ってエンコードされた 4 バイトオクテット(int)値。

    5G コールと 4G コールの両方に、Charging-ID が設定されます。

  • 3GPP-PDP-TYPE

    説明3GPP TS 29.061に従ってエンコードされた 4 バイトオクテット(int)値。

    5G コールと 4G コールの両方の場合、pdp-type は次のように設定されます:

    • 0 = IPv4

    • 2 = IPv6

    • 3 = IPv4v6

  • 3GPP-CHARGING-GATEWAY-ADDR

    説明3GPP TS 29.061に従ってエンコードされた 4 バイト オクテット(IPv4 アドレス)値。

    5G コールと 4G コールの両方に対して、課金ゲートウェイアドレスが設定されます。

  • 3GPP-GPRS-NEG-QOS-PROFILE

    説明3GPP TS 29.061 および 29.274に従ってエンコードされたオクテット(特殊エンコーディング)値。

    5G コールの場合、システムの default-qos プロファイルの値が使用され、エンコードは次のように実行されます。

    Table 6. Non-GBR case
    1 ~ 2 <Release indicator>- = "15" (UTF-8 encoded)
    3 "-" (UTF-8 encoded)
    4 ~ 5 ARP (UTF-8 encoded)
    (6 ~ 7 ページ)を参照 5QI (UTF-8 encoded)
    8 ~ 9 UL Session-AMBR length (UTF-8 encoded)
    10-m UL Session-AMBR (UTF-8 encoded)
    (m+1) - (m+2) DL Session-AMBR length (UTF-8 encoded)
    (m+3) – n DL Session-AMBR (UTF-8 encoded)
    Table 7. GBR case
    1 ~ 2 <Release indicator> = "15" (UTF-8 encoded)
    3 "-" (UTF-8 encoded)
    4 ~ 5 ARP (UTF-8 encoded)
    (6 ~ 7 ページ)を参照 5QI (UTF-8 encoded)
    8 ~ 9 UL MFBR length (UTF-8 encoded)
    10-m UL MFBR (UTF-8 encoded)
    (m+1)-(m+2) DL MFBR length (UTF-8 encoded)
    (m+3)-n DL MFBR (UTF-8 encoded)
    (n+1)-(n+2) UL GFBR length (UTF-8 encoded)
    (n+3)-o UL GFBR (UTF-8 encoded)
    (o+1) – (o+2) UL GFBR length (UTF-8 encoded)
    (o+3) - p DL GFBR (UTF-8 encoded)

    4G コールの場合、システムの default-qos プロファイルの値が使用され、エンコードは次のように実行されます:

    Table 8. Non-GBR case
    1 ~ 2 <Release indicator>- = "08" (UTF-8 encoded)
    3 "-" (UTF-8 encoded)
    4 ~ 5 ARP (UTF-8 encoded)
    (6 ~ 7 ページ)を参照 5QI (UTF-8 encoded)
    8-11 UL Session-AMBR (UTF-8 encoded)
    12-15 DL Session-AMBR (UTF-8 encoded)
    Table 9. GBR case
    1 ~ 2 <Release indicator> = "08" (UTF-8 encoded)
    3 "-" (UTF-8 encoded)
    4 ~ 5 ARP (UTF-8 encoded)
    (6 ~ 7 ページ)を参照 5QI (UTF-8 encoded)
    8-11 UL MBR (UTF-8 encoded)
    12-15 DL MBR (UTF-8 encoded)
    16-19 UL GBR (UTF-8 encoded)
    20-23 DL GBR (UTF-8 encoded)

  • 3GPP-SGSN-ADDRESS

    説明3GPP TS 29.061に従ってエンコードされた 4 バイト オクテット(IPv4 アドレス)値。

    5G通話の場合、AMF アドレスが設定されます。

    4G コールの場合、S-GW アドレスが設定されます。

  • 3GPP-GGSN-ADDRESS

    説明3GPP TS 29.061に従ってエンコードされた 4 バイト オクテット(IPv4 アドレス)値。

    5G と 4G の両方のコールに対して、SMF サービス IP が設定されます。

    3GPP ディクショナリの場合、CSRsp で送信された PGW 制御 IP アドレス。

  • 3GPP-IMSI-MCC-MNC

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    5G コールの場合、SUPI の MCC と MNC の値が設定されます。

    4G コールの場合、IMSI MCC と MNC の値が設定されます。

    MCC は最初の 3 バイト、MNC は次の 2 バイトまたは 3 バイトです。

    MCC 値が次のいずれかの場合、MNC は 3 バイトになります。それ以外の場合は MNC は 2 バイトになります。

    300 302 310 311 312 313 316 334 338 342 344 346 348 354 356 358 360 365 376 405 708 722 732

  • 3GP-GGSN-MCC-MNC

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    5G コールと 4G コールの両方で、SMF の構成された MCC および MNC 値が使用されます。

    MCC は最初の 3 バイトで、MNC は次の 2 バイトまたは 3 バイトです。

  • 3GPP-SGSN-MCC-MNC

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    5G コールの場合、AMF の MCC と MNC の値が設定されます。

    4G コールの場合、SGW の MCC と MNC の値が設定されます。

    MCC は最初の 3 バイトで、MNC は次の 2 バイトまたは 3 バイトです。

  • 3GPP-NSAPI

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    5G コールの場合、defaultQos プロファイルの QFI 値が設定されます。

    4G コールの場合、EPS ベアラー ID が設定されます。

  • 3GPP-SELECTION-MODE

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    4G コールと 5G コールの両方で、値は「0」に設定されます。

    3GPP ディクショナリの場合、選択モード値は CSReq で受信されます。

  • 3GPP-CHARGING-CHARACTERISTICS

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    4G コールと 5G コールの両方で、一般的な課金の文字が設定されます。

  • 3GPP-IMEISV

    説明3GPP TS 29.061に従ってエンコードされた文字列値。

    5G コールの場合、PEI 値は設定されます。

    4G コールの場合、IMEI 値が設定されます。

  • 3GPP-RAT-TYPE

    説明3GPP TS 29.061に従ってエンコードされた 1 バイトのオクテット。

    5G コールの場合、値「NR(51)」が設定されます。

    4G コールの場合、値「EUTRAN (6)」が設定されます。

    WLAN コールの場合、値「WLAN(3)」が設定されます。

  • 3GPP-USER-LOCATION

    説明:3GPP TS 29.061に従ってエンコードされた特別なオクテット値。

    5G コールの場合、次のエンコーディング ロジックが使用されます。

    1

    Location-Type

    Only TAI = 136

    Only NCGI = 135

    Both TAI + NCGI =137

    2-7

    TAI エンコーディング(存在する場合)
    8 ~ 15

    NCGI エンコーディング(存在する場合)

    TAI エンコーディング ヘッダー:

    1 MCC 桁 2 MCC 桁 1
    2 MNC 桁 3 MCC 桁 3
    3 MNC 桁 2 MNC 桁 1
    4-6 TAC 値

    NCGI エンコーディング ヘッダー:

    1 MCC 桁 2 MCC 桁 1
    2 MNC 桁 3 MCC 桁 3
    3 MNC 桁 2 MNC 桁 1
    4 SPARE NCI
    5 ~ 8 NR セル識別子(NCI)

    4G コールの場合、次のエンコーディング ロジックが使用されます。

    1 Location-Type
    Only TAI = 128
    Only ECGI = 129
    Both TAI + ECGI =130
    2 ~ 6 TAI エンコーディング(存在する場合)
    7-13 ECGI 7-13(存在する場合)

    TAI エンコーディング ヘッダー:

    1 MCC 桁 2 MCC 桁 1
    2 MNC 桁 3 MCC 桁 3
    3 MNC 桁 2 MNC 桁 1
    4 ~ 5 TAC 値

    ECGI エンコーディング ヘッダー:

    1 MCC 桁 2 MCC 桁 1
    2 MNC 桁 3 MCC 桁 3
    3 MNC 桁 2 MNC 桁 1
    4 予備 ECI
    5-7 EUTRAN セル識別子(ECI)

  • 3GPP-MS-TIMEZONE

    説明3GPP TS 29.061に従ってエンコードされた特別なオクテット値。

    タイムゾーン文字列(例:-07:00+1)は、次の表に示すように、2 バイト値としてエンコードされます。

    1

    タイムゾーン

    最初のバイトのタイムゾーンは、3GPP 29.061、3GPP 29.274、3GPP 24.008、および 3GPP 23.040(セクション 9.2.3.11)に従ってエンコードされます。
    2

    夏時間 0、または、+1 あるいは、+2

    第 2 バイトのデイライトは、使用される 2 ビット(00-0、01-+1、10-+2、11:未使用)で構成されます。

  • 3GP-NEGOTIATED-DSCP

    説明3GPP TS 29.061に従ってエンコードされた 1 バイトのオクテット。

    5G コールと 4G コールの両方で、DNN qos-profile 構成の DSCP 構成が使用されます。

    サブ -> DNNプロファイル -> QosProfile -> DSCPMap -> Qi5 値チェック -> ARP 優先順位チェック

  • Acct-Status-Type

    説明:RFC 2866 に従ってエンコードされる列挙値。この属性の値は次のいずれかになります。

    • 1 - 開始

    • 2 - 停止

    • 3 - 暫定アップデート

  • Acct-Delay-Time

    説明:RFC 2866 に従ってエンコードされる整数値。この属性は、クライアントがアカウンティング レコードを送信しようとしている時間を表します。

  • Acct-Input-Octets

    説明:RFC 2866 に従ってエンコードされる整数値。この属性は、受信したバイト数を表します。この属性には 4 バイトが含まれています。

    SMF では、数値が最大値を超えると、値がラップされます。

  • Acct-Output-Octets

    説明:RFC 2866 に従ってエンコードされる整数値。この属性は、送信されたバイト数を表します。この属性には 4 バイトが含まれています。

    SMF では、数値が最大値を超えると、値がラップされます。

  • Acct-Input-Packets

    説明:RFC 2866 に従ってエンコードされる整数値。この属性は、受信されたパケットの量を表します。この属性には 4 バイトが含まれています。

    SMF では、数値が最大値を超えると、値がラップされます。

  • Acct-Output-Packets

    説明:RFC 2866 に従ってエンコードされる整数値。この属性は、送信されたパケットの量を表します。この属性には 4 バイトが含まれています。

    SMF では、数値が最大値を超えると、値がラップされます。

  • Acct-Input-Gigawords

    説明:RFC 2869 に従ってエンコードされる整数値。この属性は、このサービスの提供中に Acct-Input-Octets カウンタが一周(2 の 32 乗)した回数を示します。この値は、Acct-Input-Octets がラップされるたびに増分されます。

  • Acct-Output-Gigawords

    説明:RFC 2869 に従ってエンコードされる整数値。この属性は、このサービスの提供中に Acct-Output-Octets カウンタが一周(2 の 32 乗)した回数を示します。この値は、Acct-Output-Octets がラップされるたびに増加します。

  • Acct-Session-Id

    説明:RFC 2866 に従ってエンコードされる文字列値。この属性は、サブスクライバの一意のアカウンティング ID を表します。アカウンティング ID は、一意であり、ログ ファイル内の開始レコードと停止レコードを簡単に対応付けることができるようにします。あるセッションの開始レコードと停止レコードには同じ same Acct-Session-Id があるはずです。Accounting-Request パケットには、Acct-Session-Id が必要です。

    Access-Request パケットには Acct-Session-Id が含むことができますが、含まれている場合、NAS はこのセッションの Accounting-Request パケットで同じ Acct-Session-Id を使用しなければなりません。Acct-Session-Id には UTF-8 エンコードされた 10646 文字が含まれます。

  • Acct-Session-Time

    説明:RFC 2866 に従ってエンコードされる整数値。この属性は、サブスクライバがアクティブである合計時間を表します。

  • Framed-MTU

    説明:他の手段(PPP など)で交渉されていない場合、この属性は、ユーザーのために構成されるべき最大伝送ユニット(MTU)示します。デフォルト値は 1500 です

    It MAY be used in Access-Accept packets. これは、その値を優先する NAS がサーバーにヒントとしてアクセスリクエスト パケットに使用される場合があります。しかしサーバーは、ヒントを受け入れる必要はありません。

  • Acct-Terminate-Cause

    説明:RFC 2866 に従ってエンコードされる列挙値。この属性は、サブスクライバの終了理由を表します。

  • FRAMED-IP

    RFC 2865 に従ってデコードされた IPv4 アドレス値。

    4G コールと 5G コールの両方で、受信した値はサブスクライバの IPv4 アドレスとして設定されます。

  • FRAMED-IPv6-PREFIX

    RFC 3162 に従ってデコードされた IPv6 プレフィックス + 長さの値。

    4G コールと 5G コールの両方で、受信した値はサブスクライバの IPv6 プレフィックスとして設定されます。


    Important

    受信した prefix-length が !=64 の場合、SMF は 64 にオーバーライドします。

  • IDLE-TIMEOUT

    RFC 2865 に従ってエンコードされる 4 バイト オクテット(整数)値。この属性は、着信 RADIUS パケットでサポートされています。

    4G コールと 5G コールの両方で、受信された値が、NAS によって切断される前にユーザに許可されるアイドル時間の最大連続秒数として使用されます。

  • SESSION-TIMEOUT

    RFC 2865 に従ってエンコードされる 4 バイト オクテット(整数)値。この属性は、着信 RADIUS パケットでサポートされています。

    4G コールと 5G コールの両方で、受信済みの値が、NAS がユーザの接続を維持できる最大秒数として使用されます。

  • 3GPP ネゴシエート QoS プロファイル

    • Access-request

      ISE またはデフォルトのディクショナリの場合:ARP PCI と ARP PVI が誤って送信され、CSReq で受信した値と一致しませんでした。また、APN AMBR が Kbps ではなく bps で送信されました。

      3GPP ディクショナリの場合:ARP PCI および ARP PVI 値は固定され、CSReq で受信したものと同期します。また、APN AMBR は Kbps で送信されます。

    • アカウンティング要求

      ISE またはデフォルトのディクショナリの場合:ARP PCI および ARP PVI が誤って送信され、CSReq/Gx CCA-I で受信した値と一致しませんでした。また、APN AMBR が Kbps ではなく bps で送信されました。

    • 3GPP ディクショナリの場合:ARP PCI および ARP PVI 値は固定され、CSReq/Gx-CCA-I で受信されるものと同期します。また、APN AMBR は Kbps で送信されます。

  • 3GPP-IMEI-SV

    • Access-request

      ISEまたはデフォルトディクショナリの場合: 16 ビットIMEIの場合:imisv-1122334455667788、15 ビットIMEIの場合:112233445566778。

      3GPP ディクショナリの場合:16 ビット IMEI では 1122334455667788、15 ビット IMEI では 112233445566778。

    • アカウンティング要求

      ISEまたはデフォルトディクショナリの場合:16ビットIMEIの場合: 1122334455667788、15ビットIMEIの場合:112233445566778。

    • 3GPP ディクショナリの場合:16 ビット IMEI では 1122334455667788、15 ビット IMEI では 112233445566778。

  • 3GPP-UE-Location

    • Access-request

      ISE またはデフォルト ディクショナリの場合:ECI 値は 0 になります。

      3GPP ディクショナリの場合:値は CSReq で受信されます。

    • アカウンティング要求

      ISEまたはデフォルトディクショナリの場合:16ビットIMEIの場合: 1122334455667788、15ビットIMEIの場合:112233445566778。

    • 3GPP ディクショナリの場合:16 ビット IMEI では 1122334455667788、15 ビット IMEI では 112233445566778。


Note

WiFi 通話の属性は、4G 通話と同じです。

標準準拠

RADIUS クライアント機能は、以下の基準に準拠しています:

  • RFC 2865:RADIUS

  • RFC 2866:RADIUS アカウンティング

  • RFC 3162:RADIUS および IPv6

  • 3GP TS 29.061

  • 3GPP TS 29.274

  • 3GPP TS 29.561、バージョン 16.4.0

制限事項と制約事項

SMF には次の制限があります。

  • SMF は、1 つの RADIUS 属性プロファイルのみをサポートし、ディクショナリの選択をサポートしません。

  • RADIUS アカウンティングが有効で、DNN プロファイル内でサーバー グループが構成されている場合、SMF は N4 セッション確立の課金パラメータでサーバー グループを AAA グループとして送信します。SMF と UPF の間にサーバー グループの不一致があると、UPF はエラーを表示します。

    このシナリオでは、静的および事前定義された使用法は RADIUS URR に考慮されません。ただし、ダイナミック ルール トラフィックは RADIUS URR で考慮されます。

RADIUS クライアントの構成

RADIUS クライアントは、RADIUS 認証機能とアカウンティング機能の両方を提供します。これらの機能を使用するには、関連付けられた CLI 構成を介して RADIUS 認証およびアカウンティング フレームワークを有効にすることが重要です。

ここでは、RADIUS クライアントの構成方法について説明します。


Important

RADIUS クライアントが動作するには、RADIUS クライアント インターフェイスの VIP-IP の構成が必須です。また、VIP-IP は UDP プロキシ ポッドの IP と同じである必要があります。

RADIUS クライアントの構成には、次の作業が含まれます:

RADIUS サーバーの構成

RADIUS サーバーを構成するには、次の構成例を使用します。

config 
   profile radius 
      server ipv4_address port_num 
         secret secret_key 
         priority priority_value 
         type { acct | auth } 
         commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • server ipv4_address port_num : インターフェイスの IPv4 アドレスと RADIUS サーバーのポートを指定します。

  • secret_key:<<Secret_Key>>secret

  • priority priority_value :サーバー優先順位の値を指定します。

  • type { acct | auth } :RADIUS サーバーのタイプを指定します。サーバーは次のいずれかになります。

    • acct :アカウンティング要求に使用される RADIUS サーバー

    • auth 認証要求を使用する RADIUS サーバー

  • commit :次の構成をコミットします。

次に、RADIUS サーバーの設定例を示します。

profile radius 
 server 209.165.200.238 1812 
  secret   $8$73a0i4G3ILj0Np+8tn2QOoWDj3QkB+oefPc2ZK6RE6A= 
  priority 1 
 exit 
 server 209.165.200.240 1812 
  secret   $8$VccEEUVou7m5ptA9WZRPR7KDmxQ/L3KlJ3QqgHjexkk= 
  priority 2 
 exit 
exit

RADIUS 設定の確認

show radius コマンドを使用して、システムに構成されている RADIUS サーバー(アカウンティングと認証の両方)に関する情報を表示します。

以下の構成は、 show radius コマンドの出力例です: 

bng# show radius 
radius
--------------------------------------------------------
 Server: 209.165.200.231, port: 1812, status: up, port-type: Auth
 2 requests, 0 pending, 0 retransmits
 1 accepts, 1 rejects, 0 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 4 ms latest rtt
--------------------------------------------------------
--------------------------------------------------------
 Server: 209.165.200.231, port: 1813, status: up, port-type: Acct
 3 requests, 0 pending, 0 retransmits
 3 responses, 0 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 1 ms latest rtt
-------------------------------------------------------

RADIUS サーバー選択ロジックの構成

RADIUS サーバ選択ロジックを構成するには、次の構成例を使用します。

config 
   profile radius 
      algorithm { first-server | round-robin } 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • algorithm { first-server | round-robin } :RADIUS サーバを選択するためのアルゴリズムを定義します。

    • first-server :選択ロジックを最初に最も高い優先順位に設定します。これはデフォルトの動作です。

    • round-robin :選択ロジックをサーバのラウンドロビン順に設定します。

  • commit :次の構成をコミットします。

RADIUS サーバ選択ロジックの構成例を次に示します。

config 
   profile radius 
      algorithm round-robin 
      exit

RADIUS 属性の構成

認証およびアカウンティングの RADIUS 属性を構成するには、次の構成例を使用します:

config 
   profile radius 
      attribute [  [ instance gr_instance_id ]   [ nas-identifier nas_id ] [ nas-ip ipv4_address ] ] 
      end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • attribute [ [ instance gr_instance_id ] [ nas-identifier nas_id ] [ nas-ip ipv4_address ] ] :RADIUS 識別パラメータを構成します。

    • instance gr_instance_id :地理的冗長性(GR)インスタンス ID を指定します。 gr_instance_id は 整数である必要があります。

    • nas-identifier nas_id :アカウンティング要求メッセージでシステムを識別する属性名を指定します。 nas_id は 英数字の文字列である必要があります。

    • nas-ip ipv4_address :NAS の IPv4 アドレスを指定します。 ipv4_address は 、ドット付き 10 進表記の IPv4 アドレスである必要があります。

  • NAS-IP-Address および NAS-Identifier 属性は、RADIUS プロファイル構成で instance-id ごとに構成できます。この場合、インスタンス構成下の NAS-IP-Address および NAS-Identifier 属性は、非インスタンス ベースの属性構成よりも高い優先順位として扱われます。

次に、RADIUS 属性の構成例を示します。

config 
   profile radius 
      attribute 
         instance 1 
            nas-identifier CiscoSmf 
         exit 
      exit 
   exit 
exit

RADIUS 認証許可パラメータの有効化

次の構成を使用して、RADIUS サーバーで allow-auth を有効にします。

config 
   profile radius 
      enable-allow-auth 
      end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • enable-allow-auth : 構成で allow-auth が有効になっている場合、認証の成功、タイムアウト、またはエラーメッセージの受信に関係なく、進行中のコールを続行できます。デフォルト値は false ですが、allow-auth を有効にするには構成が必要です。

次の構成を使用して、RADIUS サーバー グループで allow-auth を有効にします。

config 
   profile radius 
      server-group group_name 
         enable-allow-auth 
         end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • server-group group_name :allow-auth を有効にするサーバー グループを入力します。

  • enable-allow-auth : 構成で allow-auth が有効になっている場合、認証の成功、タイムアウト、またはエラー メッセージの受信に関係なく、進行中のコールを続行できます。デフォルト値は false です。allow-auth を有効にするには構成が必要です。

連続的障害の構成

RADIUS サーバで連続する障害を構成するには、次の構成を使用します。dead-server-detection のオプションがない場合でも、consecutive-failure はデフォルトで有効になっており、そのデフォルト値は 10 です。オフにするには、ユーザーは値を 0 に設定する必要があります。 

config 
   profile radius 
      detect-dead-server consecutive-failures value 
      end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • detect-dead-server consecutive-failures value :サーバの障害数が連続障害のしきい値に達すると、当該サーバはデッド サーバとして宣言されます。

    value:1 ~ 1000 の範囲の整数である必要があります。デフォルトは 10 です。

  • セットアップでは、要求の maxTransmissions 値よりも大きい値を連続エラー値に構成することを推奨します。

    :maxRetry = 2 および maxTransmissions = 6 の場合、maxtransmissions が原因でサーバ スイッチに影響を与えないように、連続障害数が 6 より大きくなる場合があります。さらに、同じサーバに対して連続した要求が行われると、連続失敗と呼ばれるサーバ レベルの値が増加します。

プロトコル エンド ポイントの内部仮想 IP の構成

プロトコル エンドポイントは、UDP-Proxy ポッドの構成です。UDP-Proxy ポッドは、RADIUS-EP ポッドから UDP メッセージを送信するための IPC 要求を受信します。UDP-Proxy ポッドは、メッセージを適切な UDP パケットに変換し、RADIUS サーバに送信します。RADIUS サーバが UDP パケットを SMF に送信している場合、UDP-Proxy ポッドは TCP 接続でパケットを受信して RADIUS-EP ポッドに転送します。 

config 
   instance instance-idgr_instance_id 
      endpoint protocol 
         replicasreplica_id 
         nodesnode_id 
         internal-vip{ SMF_UDP_PROXY_INTERNAL_VIP } 
         vip-ip{ client_ipv4_address } 
      exit 
   exit

注:

  • instance instance-idgr_instance_id :GR インスタンス ID を指定します。

  • endpoint protocol :GTP エンドポイント構成を入力します。

  • replicasreplica_id :レプリカ サーバの ID を指定します。

  • nodesnode_id :SMF ピア ノードのノード ID を指定します。値は文字列である必要があります。

  • internal-VIP\n SMF_UDP_PROXY_INTERNAL_VIP :内部 SMF 通信用の UDP プロキシの IP アドレスを指定します。Radius-ep はこの IP アドレスを使用して、発信 AAA メッセージの UDP プロキシに到達します。

  • VIP-ipclient_ipv4_address ) :ダイナミック認証クライアントの IP アドレスを指定します。ipv4_address は 、標準の IPv4 ドット付き 10 進表記にする必要があります。

次に、設定例を示します。

config
   instance instance-id 1
      endpoint protocol
         replicas 1
         nodes 2
         internal-vip {SMF_UDP_PROXY_INTERNAL_VIP}
         vip-ip { client_ipv4_address}
      exit
   exit

RADIUS 検出デッド サーバの構成

次の構成例を使用して、RADIUS 検出デッド サーバを構成します。

config 
   profile radius 
      detect-dead-server response-timeout value 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • detect-dead-server response-timeout value :パケットが指定された秒数の間受信されなかった場合にサーバーを「デッド」とマークするタイムアウト値を設定します。

    value は 1 ~ 65535 の範囲の整数である必要があります。デフォルト:10 秒

  • commit :次の構成をコミットします。

次に、RADIUS 検出デッド サーバ構成の例を示します。

config 
   profile radius 
      detect-dead-server response-timeout 100 
      exit

RADIUS デッド タイムの構成

次の構成例を使用して、RADIUS デッドタイムを構成します。

config 
   profile radius 
      deadtime value 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • deadtime value :RADIUSサーバーが到達不能とマークされてから、再び接続を試みることができるよ うになるまでの経過時間を設定します。

    value は 1 ~ 65535 の範囲の整数である必要があります。デフォルト: 10分。

  • commit :次の構成をコミットします。

次に、RADIUS デッド タイムの構成例を示します。

config 
   profile radius 
     deadtime 15 
     exit

RADIUS ディクショナリの構成

次の構成例を使用して、RADIUS ディクショナリを構成します。

config 
   profile radius 
      dictionary { ISE dictionary | 3GPP dictionary } 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • dictionary { ISE dictionary | 3GPP dictionary } :SMF サービスは RADIUS 構成をレンダリングし、選択された ISE または 3GPP 固有のパラメータを含む要求メッセージを入力します。

  • commit :次の構成をコミットします。

RADIUS ディクショナリの構成例を次に示します。

config 
   profile radius 
      dictionary { ISE dictionary | 3GPP dictionary } 
      exit

RADIUS DTLS 接続再試行回数の設定

次の構成例を使用して、最大 RADIUS 再試行数を構成します。

config 
   profile radius 
      max-retry value 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • max-retry value :システムが RADIUS サーバとの接続を再試行する最大回数を設定します。

    value :0 〜 65535 の範囲の整数である必要があります。デフォルト:2

  • commit :次の構成をコミットします。

次に、RADIUS 再試行構成の例を示します。

config 
   profile radius 
      max-retry 2 
      exit

最大送信数の構成

RADIUS サーバーの最大伝送数を構成するには、次の構成を使用します。

config 
   profile radius 
      max-transmissions value 
      end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • max-transmissions value :最大伝送では、使用可能なすべてのサーバーの伝送パラメータを構成できます。この機能は、要求の再試行サイクルが終了した後に、送信回数が再試行回数を超えているかどうかをクロスチェックするのに役立ちます。その場合、使用可能な時は別のサーバーで後続の再試行サイクルが開始されます。使用可能なサーバーがない場合、または maxtransimissions の制限に達した場合、サーバー データベースはタイムアウト応答を送信します。

    value:0 〜 65535 の範囲の整数である必要があります。デフォルト: 6。

  • 最大伝送値は、最大再試行回数 + 1 よりも常に高い値にする必要があります。maxTransmissions の数値を(maxRetries + 1)の倍数として使用することを推奨します。

  • maxTransmissions に基づいて、単一の要求に費やされる時間が増加し、他のサーバーで再試行しても応答が提供されないままシステムに残ります。その結果、システム リソースが使用され、パフォーマンスが低下する可能性があります。

RADIUS サーバー グループの最大伝送数を構成するには、次の構成を使用します。

config 
   profile radius 
      server-group group_name 
         max-transmissions value 
         end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • server-group group_name :最大転送数を構成するサーバーグループを入力します。

  • max-transmissions value :最大伝送では、使用可能なすべてのサーバーの伝送パラメータを構成できます。この機能は、要求の再試行サイクルが終了した後に、送信回数が再試行回数を超えているかどうかをクロスチェックするのに役立ちます。その場合、使用可能な時は別のサーバーで後続の再試行サイクルが開始されます。使用可能なサーバーがない場合、または maxtransimissions の制限に達した場合、サーバー データベースはタイムアウト応答を送信します。

    value:0 〜 65535 の範囲の整数である必要があります。デフォルト: 6。

  • 最大伝送値は、最大再試行回数 + 1 よりも常に高い値にする必要があります。maxTransmissions の数値を(maxRetries + 1)の倍数として使用することを推奨します。

  • maxTransmissions に基づいて、単一の要求に費やされる時間が増加し、他のサーバーで再試行しても応答が提供されないままシステムに残ります。その結果、システム リソースが使用され、パフォーマンスが低下する可能性があります。

RADIUS タイムアウトの構成

次の構成例を使用して、RADIUS タイムアウトを構成します。

config 
   profile radius 
      timeout value_in_seconds 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • timeout value_in_seconds :再送信する前に RADIUS サーバからの応答を待機する時間を設定します。

    value_in_seconds は 1 ~ 65535 の範囲の整数である必要があります。デフォルト:2 秒。

  • commit :次の構成をコミットします。

次に、RADIUS タイムアウトの構成例を示します。

config 
   profile radius 
      timeout 4 
      exit

RADIUS POD の構成

次の構成例を使用して、RADIUS ディクショナリを構成します。

config 
   instance instance-id gr_instance_id 
      endpoint radius 
         replicas number_of_replicas 
         commit

注:

  • endpoint radius :RADIUS エンドポイント構成モードに入ります。

  • replicas number_of_replicas :必要なレプリカの数を設定します。

  • commit :次の構成をコミットします。

RADIUS ポッドの構成例を次に示します。

config 
   instance instance-id 1 
      endpoint radius 
         replicas 3 
         exit

RADIUS NAS-IP の構成

ここでは、RADIUS NAS-IP の構成方法について説明します。

複数の RADIUS NAS-IP 構成


Note

NAS-Identifier 属性の構成は、RADIUS プロファイル構成の instance-id ごとに定義できます。この場合、インスタンス構成の下の NAS-Identifier 属性は、非インスタンス ベースの NAS-Identifier 属性構成よりも高い優先順位として扱われます。

複数の RADIUS NAS-IP アドレスをさまざまなレベルで構成するには、次の構成例を使用します。

config 
   profile radius 
      attribute [ [ instance gr_instance_id ]  [ nas-ip ipv4_address ]  ] 
      accounting attribute [ [ instance gr_instance_id ]  [ nas-ip ipv4_address ]  ] 
      server-group group_name attribute [ [ instance gr_instance_id ]  [ nas-ip ipv4_address ]  ] 
      server-group group_name accounting attribute [ [ instance gr_instance_id ]  [ nas-ip ipv4_address ]  ] 
      end

注:

  • profile radius :RADIUS 構成モードに入ります。

  • attribute [ [ instance gr_instance_id ] [ nas-ip ipv4_address ] ] :グローバル NAS-IP アドレス値を設定します。

    • instance gr_instance_id :地理的冗長性(GR)インスタンス ID を指定します。 gr_instance_id は 整数である必要があります。

    • nas-ip ipv4_address :NAS の IPv4 アドレスを指定します。 ipv4_address は 、ドット付き 10 進表記の IPv4 アドレスである必要があります。

  • accounting attribute [ [ instance gr_instance_id ] [ nas-ip ipv4_address ] ] :グローバル アカウンティング NAS-IP アドレス値を設定します。

    • instance gr_instance_id :地理的冗長性(GR)インスタンス ID を指定します。 gr_instance_id は 整数である必要があります。

    • nas-ip ipv4_address :NAS の IPv4 アドレスを指定します。 ipv4_address は 、ドット付き 10 進表記の IPv4 アドレスである必要があります。

  • server-group group_name attribute [ [ instance gr_instance_id ] [ nas-ip ipv4_address ] ] :サーバーグループごとの共通 NAS-IP アドレス値を設定します。

    • instance gr_instance_id :地理的冗長性(GR)インスタンス ID を指定します。 gr_instance_id は 整数である必要があります。

    • nas-ip ipv4_address :NAS の IPv4 アドレスを指定します。 ipv4_address は 、ドット付き 10 進表記の IPv4 アドレスである必要があります。

  • server-group group_name accounting attribute [ [ instance gr_instance_id ] [ nas-ip ipv4_address ] ] :サーバ グループごとのアカウンティング NAS-IP アドレス値を設定します。

    • instance gr_instance_id :地理的冗長性(GR)インスタンス ID を指定します。 gr_instance_id は 整数である必要があります。

    • nas-ip ipv4_address :NAS の IPv4 アドレスを指定します。 ipv4_address は 、ドット付き 10 進表記の IPv4 アドレスである必要があります。

例:

次に、複数 RADIUS NAS-IP の構成例を示します。 


config
 profile radius
  attribute
   instance 1
    nas-ip 209.165.200.225 
    nas-identifier  smf1  
   exit
   instance 2
    nas-ip 209.165.201.2
          
    nas-identifier  smf2  
   exit
  exit
  accounting
   attribute
    instance 1
     nas-ip 209.165.200.225 
     nas-identifier  smf1 
    exit
    instance 2
     nas-ip 209.165.201.2
          
     nas-identifier  smf2 
    exit
   exit
  exit
 exit
 server-group g1
  attribute
   instance 1
    nas-ip 209.165.200.225 
    nas-identifier  smf1 
   exit
   instance 2
    nas-ip 209.165.201.2
       
    nas-identifier  smf2 
   exit
  exit
 exit
 accounting
  attribute
   instance 1
    nas-ip 209.165.200.225 
    nas-identifier  smf1 
   exit
   instance 2
    nas-ip 209.165.201.2
    
    nas-identifier  smf2 
   exit
  exit
 exit
exit

セカンダリ認証メソッドの構成

次の構成例を使用して、セカンダリ認証方式を構成します。

config 
   profile dnn dnn_name 
      authentication secondary radius [ group group_name ] 
      commit

注:

  • profile dnn dnn_name :DNN プロファイル構成モードを開始します。

  • authentication secondary radius [ group group_name ] :DNN プロファイルでセカンダリ認証を有効にし、方式を RADIUS に設定します。

    group group_name :このキーワードはオプションです。このキーワードは RADIUS サーバー グループ名を定義します。

  • commit :次の構成をコミットします。

次に、セカンダリ認証方式の構成例を示します:

config 
   profile dnn intershat 
   ... 
   authentication secondary radius 
   exit

RADIUS 認証構成の確認

RADIUS 認証サーバおよびポートの詳細な統計情報を表示するには、 show radius auth-server コマンドを使用します。

以下の構成は、 show radius auth-server コマンドの出力例です: 

bng# show radius auth-server 
--------------------------------------------------------
 Server: 209.165.200.232, port: 1812, status: up, port-type: Auth
 2 requests, 0 pending, 0 retransmits
 1 accepts, 1 rejects, 0 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 4 ms latest rtt
---------------------------------------------------------

PAP、CHAP、または MSCHAP ベースの認証の構成

このセクションでは、PAP、CHAP、および MSCHAP ベースの RADIUS 認証を有効にするための構成について説明します。この構成は、PCO IE で受信した CHAP チャレンジ/レスポンスを MSCHAP チャレンジ/レスポンスとして変換するのに役立ちます。

認証アルゴリズムの優先順位の定義

次の構成例を使用して、SMF の RADIUS ベースの認証のさまざまな認証アルゴリズム(PAP、CHAP、または MSCHAP)の優先順位を定義します。

config 
   profile dnn profile_name 
      authentication { { secondary radius [ group group_name  ] | { algorithm { pap priority_value [ password-use-pco ] | chap priority_value [ convert-to-mschap ] | mschap priority_value } } 
      end

注:

  • password-use-pco :このキーワードは、DNN で構成されたパスワードを PCO パスワードで上書きします。デフォルト設定では無効になっています。

    ホストレベルのパスワードが DNN で構成されていない場合、SMF は、この構成が無効になっていても、PAP ベースの認証に UE が指定したパスワードを使用します。

  • convert-to-mschap :このキーワードは、CHAP 応答の長さが 49 バイトの場合に、受信した CHAP チャレンジと応答を MSCHAP に変換します。それ以外の場合は、この構成が明示的に有効になっている場合でも、SMF は CHAP として送信します。

  • PAP、CHAP、および MSCHAP アルゴリズムのデフォルトの優先順位は 0 であり、構成が無効であることを意味します。有効な値は 1、2、3 です。値が小さいほど、優先順位が高くなります。UE が PCO、EPCO、または APCO IE で複数の認証パラメータを送信する場合に、競合を解決するために使用されます。

ホスト パスワードの構成

次の構成例を使用して、PAP ベースの認証のパスワードとして使用される DNN レベルでホスト パスワードを指定します。 

config 
   profile dnn profile_name 
      outbound password password 
      end

注:

  • profile dnn profile_name :DNN コンフィギュレーション モードを開始する英数字の文字列として DNN プロファイル名を指定します。

  • outbound password password :認証用の DNN ホスト パスワードを指定します。デフォルトでは、 password-use-pco オプションを使用して明示的に上書きされていない場合、SMF は PAP ユーザー パスワードでこのパスワードを送信します。

    デフォルトでは、SMF は AES-128-CFB 暗号化アルゴリズムを使用して指定されたパスワードを暗号化します。

RADIUS アカウンティングの有効化

次の構成例を使用して、SMF で RADIUS アカウンティングを有効にし、RADIUS アカウンティング固有のパラメータを構成します。

config 
   profile charging charging_profile_name 
      accounting limit { duration value | volume { downlink value | total value | uplink value } } 
      accounting triggers [ ambr-change | plmn-change | qos-change | rat-change | serv-node-change |  tft-change |  ue-time-change | user-loc-change ] 
      commit

注:

  • profile charging charge_profile_name :課金プロファイル名を指定します。 charge_profile_name は 英数字の文字列である必要があります。

  • accounting :このオプションを指定すると、サブスクライバの SMF で RADIUS アカウンティングが有効になります。

  • limit { duration value | volume { downlink value | total value | uplink value } } :RADIUS アカウンティングのボリュームと時間の上限を指定します。

    duration value :継続時間の値を 0 ~ 2147483647 の範囲の整数で指定します。

    downlink value :中間生成のダウンリンク ボリューム制限をバイト単位で 100000 ~ 4000000000 の範囲の整数で指定します。

    total value :中間生成の合計ボリューム制限を 100000 ~ 4000000000 の範囲の整数で指定します(バイト単位)。

    uplink value :中間生成のアップリンクボリューム制限を 100000 ~ 4000000000 の範囲の整数でバイト単位で指定します。

  • accounting triggers [ ambr-change | plmn-change | qos-change | rat-change | serv-node-change | tft-change | ue-time-change | user-loc-change ] :次の条件に従って、適切な RADIUS アカウンティング トリガーをイネーブルにします。

    • AMBR の変更

    • PLMN の変更

    • Quality of Service(QoS)の変更

    • ルーティング エリア情報の変更

    • サービング ノードの変更

    • トラフィック フロー テンプレート(TFT)の変更

    • UE 時間の変更

    • ユーザーの場所情報の変更:PGW-C および GGSN にのみ適用されます。


    重要

    これらのトリガーのいずれかを有効にすると、残りのトリガーがオフになります。

  • commit :次の構成をコミットします。

DNN プロファイルでの RADIUS サーバー グループの定義

次の構成例を使用して、DNN プロファイルのアカウンティングに使用する RADIUS サーバグループを設定します。

指定された DNN のすべてのサブスクライバで、RADIUS アカウンティングが有効になります。

config 
   profile dnn dnn_profile_name 
      accounting server-group group_name 
      commit

注:

  • profile dnn profile_name :DNN コンフィギュレーション モードを開始する DNN プロファイル名を指定します。dnn_profile_name は英数字の文字列である必要があります。

  • accounting server-group group_name :構成済みの DNN プロファイルのアカウンティングで使用する RADIUS サーバ グループの名前を指定します。 group_name は 英数字の文字列である必要があります。

  • commit :次の構成をコミットします。

RADIUS アカウンティング オプションの構成

RADIUS アカウンティング オプションを構成するには、次の構成例を使用します:

config 
   profile radius accounting 
      algorithm { first-server | round-robin } 
      attribute [  [ instance gr_instance_id ]   [ nas-identifier nas_id ] [ nas-ip ipv4_address ] ] 
      deadtime value 
      detect-dead-server response-timeout value 
      max-retry value 
      timeout value 
      end

注:

  • profile radius accounting :RADIUS アカウンティング構成モードを開始します。

  • algorithm { first-server | round-robin } :RADIUS サーバを選択するためのアルゴリズムを定義します。

    • first-server :選択ロジックを最初に最も高い優先順位に設定します。これはデフォルトの動作です。

    • round-robin :選択ロジックをサーバのラウンドロビン順に設定します。

  • attribute [ [ instance gr_instance_id ] [ nas-identifier nas_id ] [ nas-ip ipv4_address ] ] :RADIUS 識別パラメータを構成します。

    • instance gr_instance_id :地理的冗長性(GR)インスタンス ID を指定します。 gr_instance_id は 整数である必要があります。

    • nas-identifier nas_id :アカウンティング要求メッセージでシステムを識別する属性名を指定します。 nas_id は 英数字の文字列である必要があります。

    • nas-ip ipv4_address :NAS の IPv4 アドレスを指定します。 ipv4_address は 、ドット付き 10 進表記の IPv4 アドレスである必要があります。

  • deadtime value :RADIUS サーバが到達不能とマークされてから、再び接続を試みることができるようになるまでの経過時間を設定します。

    value は 0 ~ 65535 の整数である必要があります。デフォルト: 10分。

  • detect-dead-server response-timeout value :パケットが指定された秒数の間受信されなかった場合にサーバーを「デッド」とマークするタイムアウト値を設定します。

    value は 1 から 65535 までの整数値です。デフォルト:10 秒

  • max-retry value :システムが RADIUS サーバとの接続を再試行する最大回数を設定します。

    value は 0 〜 65535 の範囲の整数である必要があります。デフォルト:2

  • timeout value :再送信する前に RADIUS サーバからの応答を待機する時間を設定します。

    value は 1 ~ 65535 の範囲の整数である必要があります。デフォルト:2 秒。

  • RADIUS アカウンティング コンフィギュレーション モードのすべての キーワード オプションは、RADIUS コンフィギュレーション モードでも使用できます。

RADIUS アカウンティング サーバー グループの構成

RADIUS サーバー グループを構成するには、次の構成例を使用します。

config 
   profile radius 
      server-group group_name 
      commit

注:

  • profile radius :RADIUS 構成モードに入ります。

  • server group group_name :RADIUS アカウンティングで使用するサーバーグループの名前を指定します。 group_name は 英数字の文字列である必要があります。

  • commit :次の構成をコミットします。

RADIUS アカウンティング 構成の確認

RADIUS アカウンティング サーバおよびポートの統計情報を表示するには、 show radius acct-server コマンドを使用します。

以下の構成は、 show radius acct-server コマンドの出力例です: 

bng# show radius acct-server
--------------------------------------------------------
 Server: 209.165.200.228, port: 1813, status: up, port-type: Acct
 3 requests, 0 pending, 0 retransmits
 3 responses, 0 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 1 ms latest rtt
--------------------------------------------------------

セッション切断機能の構成

ここでは、セッション切断機能の構成方法について説明します。

SMF のセッション切断機能の構成には、次の手順が含まれます:

動的認可サービスの構成

次の構成例を使用して、NAS をダイナミック認証サービスの認証、承認、および会計(AAA)サーバとして有効にします。このサービスは、RADIUS 切断および認可変更(CoA)機能をサポートしています。

config 
   profile radius-dynamic-author 
      client ipv4_address [ secret shared_secret ] 
      nas-identifier value 
      secret shared_secret 
      end

注:

  • profile radius-dynamic-author :パッケージ承認コンフィギュレーション モードを開始します。

  • client ipv4_address [ secret shared_secret ] :ダイナミック認証クライアントの IP アドレスを指定します。ipv4_address は 、標準の IPv4 ドット付き 10 進表記にする必要があります。

    切断メッセージが受け入れられるクライアント IP のリストを追加できます。

    secret shared_secret :これはオプションのキーワードです。クライアント レベルで秘密キーを指定します。


    重要

    クライアント レベルでサーバー キーを設定すると、グローバル レベルで設定されたサーバー キーが上書きされます。

  • nas-identifier value :ダイナミック認可固有の NAS-Identifier の値を指定します。 value は、1 ~ 64 文字の英数字の文字列である必要があります。

    このキーワードが構成されると、DM 要求で受信した値に対して検証されます。このキーワードが構成されていない場合、入力値はサイレントに無視されます。つまり、リストされていないクライアントまたは認証されていないクライアントからの DM 要求は、サイレントに廃棄されます。

  • secret shared_secret :サーバのグローバル共有秘密キーを指定します。

セッション切断機能構成の確認

ここでは、セッション切断機能の構成方法について説明します。

システムに構成されている RADIUS ダイナミック認可クライアントに関する情報を表示するには、 show radius-dyn-auth コマンドを使用します。

次に、show radius-dyn-auth コマンドの出力例を示します。 

[unknown] smf# show radius-dyn-auth 
radius-dyn-auth
--------------------------------------------------------
 IP: 209.165.200.227
 ------------------
 COA:
 0 total-requests     0 inprocess-requests
     0 retry-request-drops  0 invalid-requests
     0 bad-authenticators   0 internal-errors
 0 ack-sent             0 nak-sent
 ------------------
 DISCONNECT:
 0 total-requests     0 inprocess-requests
     0 retry-request-drops  0 invalid-requests
     0 bad-authenticators   0 internal-errors
 0 ack-sent             0 nak-sent
 ------------------
 UnknownTypesRcvd: 0
--------------------------------------------------------

CoA-NAS インターフェイスの構成

次の構成例を使用して、RADIUS エンドポイントで認可変更(CoA)NAS インターフェイスを定義します。

config 
   instance instance-id gr_instance_id 
      endpoint radius 
         interface coa-nas 
            vip-ip ipv4_address vip-port port_number 
            end

注:

  • endpoint radius :RADIUS エンドポイント構成モードを開始します。

  • interface coa-nas :インターフェイス コンフィギュレーション モードを開始します。このキーワードは、新しいインターフェイス「coa-nas」を定義します。

  • vip-ip ipv4_address vip-port port_number :ホストの IP アドレスを指定します。ipv4_address は、標準的なドット付き 10 進表記の IPv4 アドレスである必要があります。

    インバウンド CoA 要求または DM 要求をリッスンするための VIP-IP のリストを構成できます。

    vip-port port_number :仮想ホストのポート番号を指定します。デフォルトでは、ポート番号は 3799 です。このデフォルト値は、VIP-IP が指定されている場合にのみ使用されます。


    重要

    この構成では、IP ごとにポートのみを指定できます。

    SMF(udp-pxy)は、これらのポートで着信 CoA または DM 要求メッセージをリッスンし、それぞれの送信元 IP とポートで送信された ACK または NAK メッセージをリッスンします。

RADIUS クライアント OA&M サポート

ここでは、この機能の操作、管理、およびメンテナンスに関して説明します。

統計情報サポート

RADIUS 認証統計

この機能は、RADIUS 認証に関連する次の統計をサポートしています:

  • SMF-Service:

    • 送信されたセカンダリ認証要求の数

    • 受信されたセカンダリ認証応答の数

  • RADIUS-EP:

    • 送信されたセカンダリ認証要求の数

    • 受信されたセカンダリ認証応答の数

    • 送信された RADIUS パケットの数

    • 受信された RADIUS パケットの数。

RADIUS 統計情報

SMF は次の統計情報を保持して、試行された、成功した、または失敗した RADIUS アカウンティングの開始、アカウンティングの更新の中間、およびアカウンティングの終了の要求と応答の合計数を追跡します。

  • SMF_SERVICE_STATS(次の手順タイプの場合)。

    • radius_initial:このカウンタは、アカウンティング開始要求と応答で増分されます。

    • radius_update:このカウンタは、アカウンティングの中間更新要求と応答に対して増加します。

    • radius_terminate:このカウンタは、アカウンティング終了要求と応答に対して増分されます。

RADIUS アクセス管理

次の統計情報は、SMF で RADIUS Access-Accept メッセージで AVP を受信した回数を追跡します。

  • SmfRadiusMessageStats

    着信:

    • radius_access_accept

      • radius_avp_session_timeout

      • radius_avp_idle_timeout

PAP、CHAP、または MSCHAP ベースの認証統計

SMF は、AVP が Access-Request メッセージで送信した回数を追跡するために、次の統計情報をサポートします。

Group: smf_radius_message_stats

Format: {app_name, cluster, data_center, direction, instance_id, message_type, radius_avp_type, rat_type, service_name}

message_type: radius_access_request

radius_avp_type:

  • radius_avp_pap_user_password

  • radius_avp_pap_username

  • radius_avp_chap_challenge

  • radius_avp_chap_response

  • radius_avp_mschap_challenge

  • radius_avp_mschap_response

例:

smf_radius_message_stats{app_name="SMF",cluster="Local",data_center="DC",direction="outbound",
instance_id="0",message_type="radius_access_request",radius_avp_type="radius_avp_pap_user_password",
rat_type="NR",service_name="smf-service"} 1
smf_radius_message_stats{app_name="SMF",cluster="Local",data_center="DC", 
direction="outbound",instance_id="0",message_type="radius_access_request", 
radius_avp_type="radius_avp_pap_username",rat_type="NR",service_name="smf-service"} 1

SMF はこれらの追加の統計情報をサポートして、PAP、CHAP、および MSCHAP 認証によって受信された、試行された応答、成功した応答、および失敗した応答の数を追跡します。

Group: radius_authentication_message_stats

Format: {app_name, cluster, data_center, dnn, instance_id, radius_auth_algorithm, rat_type, reason, service_name, status}

radius_auth_algorithm:

  • radius_auth_algorithm_default

  • radius_auth_algorithm_pap

  • radius_auth_algorithm_chap

  • radius_auth_algorithm_mschap

rat_type:

  • NR

  • EUTRA

  • WLAN

status:

  • decode_failed

  • encode_failed

  • attempted

  • success

  • 失敗しました

  • タイムアウト

reason:

  • parse_error

  • invalid_code

  • invalid_option

  • invalid_pco

  • invalid_epco

  • invalid_apco

  • write_error

例:

radius_authentication_message_stats{app_name="SMF",cluster="Local",
data_center="DC",dnn="intershat2",instance_id="0",
radius_auth_algorithm="radius_auth_algorithm_default",rat_type="NR",reason="",
service_name="smf-service",status="attempted"} 2
 radius_authentication_message_stats{app_name="SMF",cluster="Local",
data_center="DC",dnn="intershat2",instance_id="0",radius_auth_algorithm="radius_auth_algorithm_default",
rat_type="NR",reason="",service_name="smf-service",status="success"} 2
radius_authentication_message_stats{app_name="SMF",cluster="Local",data_center="DC",
dnn="intershat",instance_id="0",radius_auth_algorithm="radius_auth_algorithm_chap",
rat_type="EUTRA",reason="",service_name="smf-service",status="attempted"} 2
radius_authentication_message_stats{app_name="SMF",cluster="Local", 
data_center="DC",dnn="intershat",instance_id="0",radius_auth_algorithm="radius_auth_algorithm_chap", 
rat_type="EUTRA",reason="",service_name="smf-service",status="failed"} 2

RADIUS 切断と CoA 要求に関連する統計情報

RADIUS エンドポイント (radius-ep) ポッドは、次の統計情報をサポートしています。

Radius_Server_Status

説明:RADIUS サーバのアクティブまたは非アクティブ ステータスを表示します。

Metrics-Type: Gauge

Metrics-値: 1 – ActiveServer, 0 – Inactive Server

ラベル

  • ラベル: radSvrIP

    • 説明:サーバ IP アドレス

    • 値: <any-ip-address>

  • ラベル: radSvrPort

    • 説明:サーバ ポート

    • 値: <any-port>

  • ラベル: radSvrPortType

    • 説明:認証またはアカウンティング タイプ

    • 値: Auth, Acct

Radius_Requests_Current

説明:未処理の認証およびアカウンティング要求を表示します。

Metrics-Type: Gauge

ラベル

  • ラベル: radMsgCode

    • 説明:RADIUS メッセージ タイプ

    • Values: SecondaryAuthenReq, RadiusAcctReq, TestAuth, TestAcct

  • ラベル: radSvrIP

    • 説明:サーバ IP アドレス

    • 値: <any-ip-address>

  • ラベル: radSvrPort

    • 説明:サーバ ポート

    • 値: <any-port>

  • ラベル: radSvrPortType

    • 説明:認証またはアカウンティング タイプ

    • 値: Auth, Acct

  • ラベル:dnn

    • 説明:サブスクライバの DNN

    • 値:<string>

  • ラベル:procType

    • 説明:Procedure-type

    • 値: <string>

  • ラベル: ratType

    • 説明:サブスクライバの RAT タイプ

    • 値:<string>

  • ラベル: sessType

    • 説明:サブスクライバのセッション タイプ

    • 値:<string>

  • ラベル:grInstId

    • 説明:地理的冗長性(GR)インスタンス ID

    • 値:<string>

Radius_Requests_Statistics

説明:送信、再送信、および受信された応答の総数を表示します。

Metrics-Type:カウンタ

ラベル

  • ラベル: radMsgCode

    • 説明:Radius メッセージ タイプ

    • 値:SecondaryAuthenReq、RadiusAcctReq、TestAuth、TestAcct

  • ラベル:radPacketType

    • 説明:パケットの方向

    • 値:Tx、Rx、Retry_Tx

  • ラベル:radResult

    • 説明:操作の結果

    • 値:Success, Failed, Timeout, Failure_Reject, ...

  • ラベル:radSvrIP

    • 説明:サーバ IP アドレス

    • 値:<any-ip-address>

  • ラベル:radSvrPort

    • 説明:サーバ ポート

    • 値:<any-port>

  • ラベル:radSvrPortType

    • 説明:認証またはアカウンティング タイプ

    • 値:Auth, Acct

  • ラベル:dnn

    • 説明:サブスクライバの DNN

    • 値:<string>

  • ラベル:procType

    • 説明:Procedure-type

    • 値:<string>

  • ラベル: rat_type

    • 説明:サブスクライバの RAT タイプ

    • 値:<string>

  • ラベル: sessType

    • 説明:サブスクライバのセッションタイプ

    • 値:<string>

  • ラベル:grInstId

    • 説明:地理的冗長性(GR)インスタンス ID

    • 値:<string>

Radius_CoaDM_Requests_Current

説明:処理中の未処理の CoA 要求と DM 要求を表示します。

Metrics-Type: Gauge

ラベル

  • ラベル:radMsgCode

    • 説明:RADIUS メッセージ タイプ

    • 値:DisconnectRequest、CoARequest

  • ラベル:radSvrIP

    • 説明:サーバ IP アドレス

    • 値:<any-ip-address>

  • ラベル:grInstId

    • 説明:地理的冗長性(GR)インスタンス ID

    • 値:<string>

Radius_CoaDM_Requests_Statistics

説明:受信および処理された CoA および DM 要求の総数を表示します。

Metrics-Type:カウンタ

ラベル

  • ラベル:radMsgCode

    • 説明:Radius メッセージ タイプ

    • 値:DisconnectRequest、DisconnectACK、DisconnectNAK、CoARequest、CoaDMReq、CoAACK

  • ラベル:radPacketType

    • 説明:パケットの方向

    • 値:Tx、Rx

  • ラベル:radResult

    • 説明:操作の結果

    • 値:Success, Failure_Invalid_Request, Failure_Drop_Retry_Coa, Failure_Unknown_Error...

  • ラベル:radSvrIP

    • 説明:サーバ IP アドレス

    • 値:<any-ip-address>

  • ラベル:nakErrorCause

    • 説明:COA-NAK / DM-NAK 中に設定されたエラー原因(他のケースには適用されません)

    • 値:Missing-Attribute、NAS-Identification-Mismatch、Unsupported-Service、Invalid-Attribute-Value、Session-Context-Not-Found、Internal-Error

  • ラベル:grInstId

    • 説明:地理的冗長性(GR)インスタンス ID

    • 値:<string>

トラブルシューティング情報

このセクションでは、システムの動作中に発生する可能性のある RADIUS 関連の問題をトラブルシューティングするために、コマンド ライン インターフェイス(CLI)コマンド、アラート、ログとメトリックスの使用に関する情報について説明します。

RADIUS バルク統計情報

次のバルク統計情報を使用して、RADIUS 認証、RADIUS アカウンティング、および切断メッセージ要求に関連する障害または問題をモニターします。

表 10. RADIUS アカウンティング メッセージ(エンドポイントごと)
バルク統計名

[Query(クエリ)]

 説明

Radius_EP_Acct_Establish _Attempt

bulk-stats query Radius_EP_Acct_Establish_Attempt expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDN Connect|PDU Session Establishment', radPacketType='Tx'}) by (namespace,dnn)"

label dnn

exit

 セッションの確立中に MVNO サブスクライバによって試行されたアカウンティング要求の合計数。

Radius_EP_Acct_Establish _Success

bulk-stats query Radius_EP_Acct_Establish_Success expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDN Connect|PDU Session Establishment', radPacketType='Rx', radResult='Success',dnn!=""}) by (namespace,dnn)"

label dnn

exit

 セッションの確立中に MVNO サブスクライバから成功したアカウンティング要求の合計数。

Radius_EP_Acct_Establish_Failure

bulk-stats query Radius_EP_Acct_Establish_Failure expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDN Connect|PDU Session Establishment', radPacketType='Rx', radResult!='Success'}) by (namespace,dnn)"

label dnn

exit

 セッション確立中に MVNO サブスクライバから送信された失敗したアカウンティング要求の合計数。

Radius_EP_Acct_Release_Attempt

bulk-stats query Radius_EP_Acct_Release_Attempt expression "sum (Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Tx'}) by (namespace,dnn)"

label dnn

exit

 セッション解放中に MVNO サブスクライバによって試行されたアカウンティング要求の合計数。

Radius_EP_Acct_Release_Success

bulk-stats query Radius_EP_Acct_Release_Success expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Rx', radResult='Success'}) by (namespace,dnn)"

label dnn

exit

 セッション解放中に MVNO サブスクライバから成功したアカウンティング要求の合計数。

Radius_EP_Acct_Release_Failure

bulk-stats query Radius_EP_Acct_Release_Failure expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Rx', radResult!='Success'}) by (namespace,dnn)"

label dnn

exit

 セッション解放中に MVNO サブスクライバから送信された失敗したアカウンティング要求の合計数。

Radius_EP_Acct_Release_Type _Attempt

bulk-stats query Radius_EP_Acct_Release_Type_Attempt expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Tx'}) by (namespace, procType)"

label procType

exit

 特定のリリース タイプに対して MVNO サブスクライバによって試行されたアカウンティング要求の合計数。

Radius_EP_Acct_Release_Type _Success

bulk-stats query Radius_EP_Acct_Release_Type_Success expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Rx', radResult!='Success'}) by (namespace, procType)"

label procType

exit

 特定のリリース タイプに対する MVNO サブスクライバからの成功したアカウンティング要求の合計数。

Radius_EP_Acct_Release_Type _Failure

bulk-stats query Radius_EP_Acct_Release_Type_Failure expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Rx', radResult!='Success'}) by (namespace, procType)"

label procType

exit

 特定のリリース タイプに対する MVNO サブスクライバからの失敗したアカウンティング要求の合計数。

Radius_EP_Acct_Establish _Retry_Attempt

bulk-stats query Radius_EP_Acct_Establish _Retry_Attempt expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDN Connect|PDU Session Establishment', radPacketType='Retry_Tx'}) by (namespace,dnn)"

label dnn

exit

 セッション確立中に MVNO サブスクライバによって試行されたアカウンティング再試行要求の合計数。

Radius_EP_Acct_Release_Retry _Attempt

bulk-stats query Radius_EP_Acct_Release _Retry_Attempt expression "sum(Radius_Requests_Statistics {radMsgCode='RadiusAcctReq', procType=~'PDU Session Release.*|PDN Disconnect', radPacketType='Retry_Tx'}) by (namespace,dnn)"

label dnn

exit

 セッションの解放中に MVNO サブスクライバによって試行されたアカウンティング再試行要求の合計数。
表 11. RADIUS アカウンティング メッセージ(SMF サービスごと)
バルク統計名

[Query(クエリ)]

 説明

Radius_Acct_Initial_Attempt_Svc

bulk-stats query Radius_Acct_Initial_Attempt _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_initial', status='attempted'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティングの初期/開始試行を伴うサブスクライバの合計数。

Radius_Acct_Initial_Success_Svc

bulk-stats query Radius_Acct_Initial_Success_Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_initial', status='success'}) by (namespace)"

exit

 サービス エンドポイントから RADIUS アカウンティングの初期/開始が成功したサブスクライバの合計数。

Radius_Acct_Initial_Failure_Svc

bulk-stats query Radius_Acct_Initial_Failure_Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_initial', status!~'success|attempted'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティングの初期/開始失敗が発生したサブスクライバの合計数。

Radius_Acct_Terminate _Attempt_Svc

bulk-stats query Radius_Acct_Terminate_Attempt _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_terminate', status='attempted'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティング終了/停止試行を使用したサブスクライバの合計数。

Radius_Acct_Terminate _Success_Svc

bulk-stats query Radius_Acct_Terminate _Success _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_terminate', status='success'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティング終了/停止が成功したサブスクライバの合計数。

Radius_Acct_Terminate _Failure_Svc

bulk-stats query Radius_Acct_Terminate_Failure _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_terminate', status!~'success|attempted'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティング終了/停止失敗を伴うサブスクライバの合計数。

Radius_Acct_Update _Attempt_Svc

bulk-stats query Radius_Acct_Update_Attempt _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_update', status='attempted'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティング更新/中間試行を使用したサブスクライバの合計数。

Radius_Acct_Update _Success_Svc

bulk-stats query Radius_Acct_Update_Success _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_update', status='success'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティング更新/中間成功のサブスクライバの合計数。

Radius_Acct_Update _Failure_Svc

bulk-stats query Radius_Acct_Update_Failure _Svc expression "sum (radius_accounting_message_stats {procedure_type='radius_update', status!~'success|attempted'}) by (namespace)"

exit

 サービス エンドポイントからの RADIUS アカウンティング更新/中間失敗があるサブスクライバの合計数。
表 12. 切断メッセージ
バルク統計名

[Query(クエリ)]

 説明
Radius_EP_DM_Attempt

bulk-stats query Radius_EP_DM_Attempt expression "sum (Radius_CoaDM_Requests_Statistics {radMsgCode='DisconnectRequest', radPacketType='Rx'}) by (namespace,radSvrIP)"

label radSvrIP

exit

 RADIUS 切断メッセージ試行の合計数
Radius_EP_DM_Success

bulk-stats query Radius_EP_DM_Attempt expression "sum (Radius_CoaDM_Requests_Statistics {radMsgCode='DisconnectRequest', radPacketType='Rx'}) by (namespace,radSvrIP)"

label radSvrIP

exit

 成功した RADIUS 切断メッセージの合計数
Radius_EP_DM_Failure

bulk-stats query Radius_EP_DM_Failure expression "sum (Radius_CoaDM_Requests_Statistics {radMsgCode='DisconnectNAK', radPacketType='Tx', radResult='Success'}) by (namespace,radSvrIP)"

label radSvrIP

exit

 失敗した RADIUS 切断メッセージの合計数
表 13. RADIUS アクセス要求(セカンダリ認証)
バルク統計名

[Query(クエリ)]

 説明

Radius_EP_AccessReq_Attempt

bulk-stats query Radius_EP_AccessReq_Attempt expression "sum(Radius_Requests_Statistics {radMsgCode='SecondaryAuthenReq', procType!='', radPacketType='Tx', radResult='Success'}) by (namespace,dnn)"

label dnn

exit

 アクセス要求(セカンダリ認証)が試行された MVNO サブスクライバの合計数

Radius_EP_AccessReq_Success

bulk-stats query Radius_EP_AccessReq_Success expression "sum(Radius_Requests_Statistics {radMsgCode='SecondaryAuthenReq', procType!='', radPacketType='Rx', radResult='Success'}) by (namespace,dnn)"

label dnn

exit

 アクセス要求に成功した MVNO サブスクライバの合計数(セカンダリ認証)

Radius_EP_AccessReq_Failure

bulk-stats query Radius_EP_AccessReq_Failure expression "sum(Radius_Requests_Statistics {radMsgCode='SecondaryAuthenReq', radPacketType='Rx', radResult!='Success'}) by (namespace,dnn)"

label dnn

exit

 アクセス要求に失敗した MVNO サブスクライバの総数(セカンダリ認証)

RADIUS 固有の情報のサブスクライバの詳細

show subscriber supi supi_id nf-service smf full CLI コマンドは、RADIUS 固有の使用例のサブスクライバの詳細を表示します。 

[unknown] smf# show subscriber supi imsi-123456789012345 nf-service smf full  
subscriber-details 
{
…
"alwaysOn": "None",
        "dcnr": "None",
        "wps": "Wps Session",
        "ratType": "NR",
        "idleTimeout": 600,      << can be overwritten from Radius in Auth Resp 
        "sessTimeout": 1200,     << can be overwritten from Radius in Auth Resp 
        "radiusEpInfo": "209.165.200.228:1812", 
        "authAlg": "pap-default", 
        "authStatus": "Authenticated" 
…
…
        "accountingEnabled": "true", 
        "n40ChargingEnabled": "true",
        "acctSessId": "198.15.1.40016777221" 
…
…
"upfServData": {
        "numberOfTunnels": 2,
        "smfSeid": 72057615828912656,
        "UPState": "Activated",
        "urrInfo": [
          {
            "id": 2147483657,
            "chgName": "radiusurr",
            "method": {
              "duration": "false",
              "volume": "true",
              "event": "false"
            },

RADIUS エンドポイントの認証とアカウンティングの統計情報

show radius CLI コマンドは、RADIUS エンドポイントからの RADIUS 認証とアカウンティングの統計情報を表示します。 

[unknown] smf# show radius 
radius
--------------------------------------------------------
 Server: 209.165.200.240, port: 1812, status: up, port-type: Auth
 3 requests, 0 pending, 0 retransmits
 2 accepts, 0 rejects, 1 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 1 ms latest rtt
--------------------------------------------------------
--------------------------------------------------------
 Server: 209.165.200.234, port: 1813, status: up, port-type: Acct
 3 requests, 0 pending, 6 retransmits
 0 responses, 3 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 0 ms latest rtt
--------------------------------------------------------
 Server: 209.165.200.245, port: 1813, status: up, port-type: Acct
 5 requests, 0 pending, 3 retransmits
 3 responses, 2 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 6 ms latest rtt
--------------------------------------------------------
[unknown] smf# 

[unknown] smf# show radius acct-server  
--------------------------------------------------------
 Server: 209.165.200.234, port: 1813, status: up, port-type: Acct
 3 requests, 0 pending, 6 retransmits
 0 responses, 3 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 0 ms latest rtt
--------------------------------------------------------
 Server: 209.165.200.240, port: 1813, status: up, port-type: Acct
 5 requests, 0 pending, 3 retransmits
 3 responses, 2 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 6 ms latest rtt
--------------------------------------------------------
[unknown] smf#  
[unknown] smf# show radius auth-server  
--------------------------------------------------------
 Server: 209.165.200.243, port: 1812, status: up, port-type: Auth
 3 requests, 0 pending, 0 retransmits
 2 accepts, 0 rejects, 1 timeouts
 0 bad responses, 0 bad authenticators
 0 unknown types, 0 dropped, 1 ms latest rtt
--------------------------------------------------------
[unknown] smf#

RADIUS エンドポイント切断メッセージおよび CoA 統計情報

show radius-dyn-auth CLI コマンドは、RADIUS エンドポイントからの RADIUS 切断メッセージと CoA の統計を表示します。 

[unknown] smf# show radius-dyn-auth
radius-dyn-auth
--------------------------------------------------------
 IP: 209.165.201.20
 ------------------
 COA:
 0 total-requests       0 inprocess-requests
     0 retry-request-drops  0 invalid-requests
     0 bad-authenticators   0 internal-errors
 0 ack-sent             0 nak-sent
 ------------------
 DISCONNECT:
 2 total-requests       0 inprocess-requests
     0 retry-request-drops  0 invalid-requests
     0 bad-authenticators   0 internal-errors
 1 ack-sent             1 nak-sent
 ------------------
 UnknownTypesRcvd: 0
--------------------------------------------------------
[unknown] smf#

外部インバウンドおよびアウトバウンド接続

show peers all CLI コマンドは、SMF によって確立された外部の着信および発信接続のリストを取得します。 

[unknown] smf# show peers all | include radius 
RadiusServer  -     209.165.202.145:1813   Outbound   radius-ep-0    Udp   18 hours   Radius  Status: Active,Type: Acct  1 
RadiusServer  -     209.165.201.20:1812    Outbound   radius-ep-0    Udp   17 hours   Radius  Status: Active,Type: Auth  1 
RadiusServer  -     209.165.201.20:1813    Outbound   radius-ep-0    Udp   17 hours   Radius  Status: Active,Type: Acct  1 
[unknown] smf#

重要

アプリケーションのスタートアップ中または構成の更新中に、RADIUS エンドポイントはテスト認証およびアカウンティング要求を送信して、RADIUS サーバー ピアのステータスを確認します。 show peers コマンドの出力に、ピア ステータスの結果が表示されます。

それらのダミー要求の結果は、実際の認証要求とアカウンティング要求の結果によって上書きされます。

内部および外部の接続

show endpoint info CLI コマンドは、SMF によって確立された内部および外部の接続のリストを取得します。 

[unknown] smf# show endpoint all | include radius 
Radius:209.165.201.4:     209.165.201.1:3799     Udp   Started  RADIUS     false     18 hours  <none>   1
[unknown] smf#

ポッドのステータス

show running-status CLI コマンドは、ポッドの現在のステータスを取得します。この機能は、 K8 kubectl get pods –n <> CLI コマンドに似ています。 

[unknown] smf# show running-status | include radius 
radius-ep-0      Started      19 hours  
[unknown] smf#

設定エラー

show config-error CLI コマンドは、検証基準(成功または失敗)を表示します。エントリがない場合は、[Pass] 基準が表示されます。 

[unknown] smf# show config-error | include radius 
[unknown] smf#

アラートの表示

このセクションでは show alerts 、 CLI コマンドのさまざまな変数の出力例を示します。

show alerts | include radius

alerts history radius_test cfb253587397
alerts history radius_test 911f84aff47c
alerts history radius_test 3ed7a5112905
alerts history radius_test 292af807b299
 source      radius-ep-n0-0
 labels      [ "namespace: smf" "pod: radius-ep-n0-0" ]
 annotations [ "summary: Container:  of pod: radius-ep-n0-0 in namespace: smf has been restarted." ]
 source      radius-ep-n0-0
 labels      [ "name: k8s_radius-ep_radius-ep-n0-0_smf_7f9e968a-39dc-11eb-ba84-0050569cb367_0" "namespace: smf" "pod: radius-ep-n0-0" ]
 annotations [ "summary: Container: k8s_radius-ep_radius-ep-n0-0_smf_7f9e968a-39dc-11eb-ba84-0050569cb367_0 of pod: radius-ep-n0-0 in namespace: smf has been restarted." ]
 source      radius-ep-n0-0
 labels      [ "name: k8s_POD_radius-ep-n0-0_smf_7f9e968a-39dc-11eb-ba84-0050569cb367_0" "namespace: smf" "pod: radius-ep-n0-0" ]
 annotations [ "summary: Container: k8s_POD_radius-ep-n0-0_smf_7f9e968a-39dc-11eb-ba84-0050569cb367_0 of pod: radius-ep-n0-0 in namespace: smf has been restarted." ]
alerts history radius_test 1c17e31c13f9
alerts history radius_test ffaabfce0929
 source      radius-ep-n0-0
 labels      [ "name: k8s_POD_radius-ep-n0-0_smf_cd16807a-2f0b-11eb-ba84-0050569cb367_0" "namespace: smf" "pod: radius-ep-n0-0" ]
 annotations [ "summary: Container: k8s_POD_radius-ep-n0-0_smf_cd16807a-2f0b-11eb-ba84-0050569cb367_0 of pod: radius-ep-n0-0 in namespace: smf has been restarted." ]
 source      radius-ep-n0-0
 labels      [ "namespace: smf" "pod: radius-ep-n0-0" ]
 annotations [ "summary: Container:  of pod: radius-ep-n0-0 in namespace: smf has been restarted." ]
 source      radius-ep-n0-0
 labels      [ "name: k8s_radius-ep_radius-ep-n0-0_smf_cd16807a-2f0b-11eb-ba84-0050569cb367_0" "namespace: smf" "pod: radius-ep-n0-0" ]
 annotations [ "summary: Container: k8s_radius-ep_radius-ep-n0-0_smf_cd16807a-2f0b-11eb-ba84-0050569cb367_0 of pod: radius-ep-n0-0 in namespace: smf has been restarted." ]
[unknown] cee#

show alerts active detail | include radius

alerts active detail Radius_Server_Down 0fe030aba3ce
 summary  "Radius Server: 209.165.201.20, Port: 1813 in namespace: smf is DOWN for more than 15min."
alerts active detail Radius_Server_Down 6f41c340311c
 summary  "Radius Server: 209.165.202.145, Port: 1813 in namespace: smf is DOWN for more than 15min."
alerts active detail Radius_Server_Down 8a290c5ed1de
 summary  "Radius Server: 209.165.201.20, Port: 1812 in namespace: smf is DOWN for more than 15min."
[unknown] cee#
[unknown] cee# 
alerts active detail Radius_Server_Down 0fe030aba3ce
 severity major
 type     "Processing Error Alarm"
 startsAt 2020-12-11T13:30:16.874Z
 source   System
 summary  "Radius Server: 209.165.201.20, Port: 1813 in namespace: smf is DOWN for more than 15min."
 labels   [ "namespace: smf" "radSvrIP: 209.165.201.20" "radSvrPort: 1813" ]
alerts active detail Radius_Server_Down 6f41c340311c
 severity major
 type     "Processing Error Alarm"
 startsAt 2020-12-11T13:30:16.874Z
 source   System
 summary  "Radius Server: 209.165.202.145, Port: 1813 in namespace: smf is DOWN for more than 15min."
 labels   [ "namespace: smf" "radSvrIP: 209.165.202.145" "radSvrPort: 1813" ]
alerts active detail Radius_Server_Down 8a290c5ed1de
 severity major
 type     "Processing Error Alarm"
 startsAt 2020-12-11T13:30:16.874Z
 source   System
 summary  "Radius Server: 209.165.201.20, Port: 1812 in namespace: smf is DOWN for more than 15min."
 labels   [ "namespace: smf" "radSvrIP: 209.165.201.20" "radSvrPort: 1812" ]

[unknown] cee# show alerts active summary | include RTT 
Radius_Server_RTT      1d0353b3db82  major     12-11T15:10:16  System   RTT for Radius Server: 209.165.201.20, Port: 1812 in namespace: smf is more than 5 ms.
[unknown] cee#

show alerts active summary | include RTT

Radius_Server_RTT      1d0353b3db82  major     12-11T15:10:16  System RTT for Radius Server: 209.165.201.20, Port: 1812 in namespace: smf is more than 5 ms.
[unknown] cee#

show alerts active summary | include radius

Radius_Server_RTT      1d0353b3db82  major     12-11T15:10:16  System                 RTT for Radius Server: 209.165.201.20, Port: 1812 in namespace: smf is more than 5 ms.
Radius_Acct_Establish  520d9943d53f  major     12-11T15:05:16  System                 This alert is fired when the percentage of successful Radius Accounting Establish responses received is lesser than threshold
Radius_Server_Down     0fe030aba3ce  major     12-11T13:30:16  System                 Radius Server: 209.165.201.20, Port: 1813 in namespace: smf is DOWN for more than 15min.
Radius_Server_Down     6f41c340311c  major     12-11T13:30:16  System                 Radius Server: 209.165.202.145, Port: 1813 in namespace: smf is DOWN for more than 15min.
Radius_Server_Down     8a290c5ed1de  major     12-11T13:30:16  System                 Radius Server: 209.165.201.20, Port: 1812 in namespace: smf is DOWN for more than 15min.

RADIUS アラート

MVNO または PAPN フローの RADIUS エンドポイントは、新しいアラートをサポートします。次の項では、いくつかの基本的なアラートについて説明します。これらのアラートは、RAT に基づいて、またはユーザーの必要性に応じて強化できます。


重要

これらのアラートは、CEE Ops-center CLI を介してのみ構成できます。

RADIUS EP ダウン アラート

次の例を使用して、RADIUS EP ダウンに関連するアラートを構成します。

alerts rules group RadiusEP
 rule Radius_Server_Down 
  expression "sum by (namespace, radSvrIP, radSvrPort) (Radius_Server_Status{radSvrPortType=~\"Auth|Acct\"} < 1)"
  duration   15m
  severity   major
  type       "Processing Error Alarm"
  annotation summary
  value "\"Radius Server: {{ $labels.radSvrIP }}, Port: {{ $labels.radSvrPort }} in namespace: {{ $labels.namespace }} is DOWN for more than 15min.\""
  exit
 exit

RADIUS アカウンティング確立の失敗しきい値アラート

RADIUS アカウンティングの確立の失敗しきい値に関連するアラートを構成するには、次の例を使用します。

alerts rules group RadiusEP
 rule Radius_Acct_Establish_SR 
   expression "sum by (namespace) (increase(Radius_Requests_Statistics{radMsgCode=\"RadiusAcctReq\", procType=\"PDU Session Establishment\", radPacketType=\"Rx\", radResult=\"Success\"}[5m])) / sum by (namespace) (increase(Radius_Requests_Statistics{radMsgCode=\"RadiusAcctReq\", procType=\"PDU Session Establishment\", radPacketType=\"Tx\"}[5m])) < 0.80"
   severity   major
   type       "Communications Alarm"
   annotation summary
     value "This alert is fired when the percentage of successful Radius Accounting Establish responses received is lesser than threshold"
   exit
  exit

RADIUS アカウンティングのリリースの失敗しきい値アラート

RADIUS アカウンティングのリリース失敗しきい値に関連するアラートを構成するには、次の例を使用します。 

rule Radius_Acct_Release_SR 
   expression "sum by (namespace) (increase(Radius_Requests_Statistics{radMsgCode=\"RadiusAcctReq\", procType=\"PDU Session Release\", radPacketType=\"Rx\", radResult=\"Success\"}[5m])) / sum by (namespace) (increase(Radius_Requests_Statistics{radMsgCode=\"RadiusAcctReq\", procType=\"PDU Session Release\", radPacketType=\"Tx\"}[5m])) < 0.80"
   severity   major
   type       "Communications Alarm"
   annotation summary
     value "This alert is fired when the percentage of successful Radius Accounting Release responses received is lesser than threshold"
   exit
  exit

RADIUS 認証失敗しきい値アラート

次の例を使用して、RADIUS 認証失敗しきい値に関連するアラートを構成します。

rule Radius_Auth_SR 
   expression "sum by (namespace) (increase(Radius_Requests_Statistics{radMsgCode=\"SecondaryAuthenReq\", procType=\"PDU Session Establishment\", radPacketType=\"Rx\", radResult=\"Success\"}[5m])) / sum by (namespace) (increase(Radius_Requests_Statistics{radMsgCode=\"SecondaryAuthenReq\", procType=\"PDU Session Establishment\", radPacketType=\"Tx\"}[5m])) < 0.80"
   severity   major
   type       "Communications Alarm"
   annotation summary
     value "This alert is fired when the percentage of successful Radius Authentication Request responses received is lesser than threshold"
   exit
  exit

RADIUS 接続解除メッセージの失敗しきい値アラート

RADIUS 切断メッセージ障害しきい値に関連するアラートを構成するには、次の例を使用します。 

rule Radius_Disconnect_Message_SR 
   expression "sum by (namespace) (increase(Radius_CoaDM_Requests_Statistics{radMsgCode=\"DisconnectACK\", radPacketType=\"Tx\", radResult=\"Success\"}[5m])) / sum by (namespace)(increase(Radius_CoaDM_Requests_Statistics{radMsgCode=\"DisconnectRequest\", radPacketType=\"Rx\"}[5m])) < 0.80"
   severity   major
   type       "Communications Alarm"
   annotation summary
     value "This alert is fired when the percentage of successful Disconnect Message (DM) responses sent is lesser than threshold"
   exit
  exit
exit

RADIUS サーバ RTT アラート

次の例を使用して、RADIUS サーバ RTT に関連するアラートを構成します。

rule Radius_Server_RTT 
  expression "sum by (namespace, radSvrIP, radSvrPort) (Radius_Server_Rtt_ms{radSvrPortType=~\"Auth|Acct\"} > 5)"
duration   15m
  severity   warning
  type       "Communications Alarm"
  annotation summary
   value "\"RTT for Radius Server: {{ $labels.radSvrIP }}, Port: {{ $labels.radSvrPort }} in namespace: {{ $labels.namespace }} is more than 5 ms.\""
  exit
 exit

RADIUS アカウンティング開始初期メッセージの失敗しきい値アラート

次の例を使用して、RADIUS アカウンティングの開始初期メッセージの失敗しきい値に関連するアラートを構成します。

rule Radius_Acct_Start_SR 
   expression "sum by (namespace) (increase(radius_accounting_message_stats{procedure_type=\"radius_initial\", status=\"success\"}[5m])) / sum by (namespace) (increase(radius_accounting_message_stats{procedure_type=\"radius_initial\", status=\"attempted\"}[5m])) < 0.80"
   severity   major
   type       "Processing Error Alarm"
   annotation summary
     value "This service based alert is fired when the percentage of successful Radius Accounting Start successful response received is lesser than threshold"
   exit
  exit

RADIUS アカウンティング暫定/更新メッセージ失敗しきい値アラート

次の例を使用して、RADIUS アカウンティングの中間/更新メッセージの失敗しきい値に関連するアラートを構成します。

rule Radius_Acct_Interim_SR 
   expression "sum by (namespace) (increase(radius_accounting_message_stats{procedure_type=\"radius_update\", status=\"success\"}[5m])) / sum by (namespace) (increase(radius_accounting_message_stats{procedure_type=\"radius_update\", status=\"attempted\"}[5m])) < 0.80"
   severity   major
   type       "Processing Error Alarm"
   annotation summary
     value "This service based alert is fired when the percentage of successful Radius Accounting Interim Update successful response received is lesser than threshold"
   exit
  exit

RADIUS アカウンティングの停止/終了メッセージの失敗しきい値アラート

次の例を使用して、RADIUS アカウンティングの停止/終了メッセージの失敗しきい値に関連するアラートを構成します。 

rule Radius_Acct_Stop_SR 
   expression "sum by (namespace) (increase(radius_accounting_message_stats{procedure_type=\"radius_terminate\", status=\"success\"}[5m])) / sum by (namespace) (increase(radius_accounting_message_stats{procedure_type=\"radius_terminate\", status=\"attempted\"}[5m])) < 0.80"
   severity   major
   type       "Processing Error Alarm"
   annotation summary
     value "This service based alert is fired when the percentage of successful Radius Accounting Stop successful response received is lesser than threshold"
   exit
  exit

RADIUS 認証タイプ メッセージ失敗しきい値アラート

次の例を使用して、RADIUS 認証タイプのメッセージ失敗しきい値に関連するアラートを構成します。

rule Radius_Auth_Type_SR 
   expression "sum by (namespace, radius_auth_algorithm) (increase(radius_authentication_message_stats{radius_auth_algorithm=\"radius_auth_algorithm_.*\", status=\"success\"}[1m])) / sum by (namespace) (increase(radius_authentication_message_stats{radius_auth_algorithm=\"radius_auth_algorithm_.*\", status=\"attempted\"}[1m])) < 0.80"
   severity   major
   type       "Processing Error Alarm"
   annotation summary
     value "This alert is fired when the percentage of successful Radius Auth Type response received is lesser than threshold"
   exit
  exit

Grafana チャート

Grafana チャートは、RADIUS エンドポイントまたはサービス エンドポイントに基づくモニタリングに使用されます。

  • RADIUS 認証、アカウンティング、および接続解除メッセージを含むコール フロー用の RADIUS エンドポイント。

  • アカウンティング初期、中間、または終了パケットに固有のアカウンティング フローのサービス エンドポイント。

エラー ログ

このセクションでは、基本的なエラー状態と、障害をデバッグするための関連ログについて説明します。

RADIUS 認証

サーバが認証要求に応答しませんでした

次に、RADIUS サーバーによって応答されなかった RADIUS 認証要求に関するエラー ログを示します。

[smf-service-n0-0] 2020/09/17 07:14:52.921 smf-service [ERROR] [GenericAAA.go:786] [smf-service0.smf-app.aaa] [imsi-123456789012345:5] [imsi-123456789012345:5] [16] Secondary Authentication Failed: TIMEOUT 
[smf-service-n0-0] *errors.errorString Secondary Authentication Failed: TIMEOUT 
[smf-service-n0-0] /opt/workspace/smf-service/src/smf-service/vendor/wwwin-github.cisco.com/
mobile-cnat-golang-lib/app-infra.git/src/app-infra/infra/Transaction.go:621 (0xd89cae) 
[smf-service-n0-0] /opt/workspace/smf-service/src/smf-service/procedures/generic/GenericAAA.go:786 (0x144fa52)
認証段階でのコールの失敗

次に、RADIUS 認証段階でのコール失敗のエラー ログの例を示します。

[smf-service-n0-0]  
[smf-service-n0-0] 2020/09/17 07:14:52.921 smf-service [ERROR] [idlestate.go:504] [smf-service0.smf-app.aaa] [imsi-123456789012345:5] [imsi-123456789012345:5] [16] USER_AUTHENTICATION_OR_AUTHORIZATION_FAILED 
[smf-service-n0-0] *errors.errorString USER_AUTHENTICATION_OR_AUTHORIZATION_FAILED 
[smf-service-n0-0] /opt/workspace/smf-service/src/smf-service/vendor/wwwin-github.cisco.com/
mobile-cnat-golang-lib/app-infra.git/src/app-infra/infra/Transaction.go:621 (0xd89cae) 
[smf-service-n0-0] /opt/workspace/smf-service/src/smf-service/vendor/wwwin-github.cisco.com/
mobile-cnat-golang-lib/app-infra.git/src/app-infra/infra/Transaction.go:580 (0x15d7ddc) 
[smf-service-n0-0] /opt/workspace/smf-service/src/smf-service/procedures/4g/pdnsetup/idlestate.go:537 (0x15bc4f5)
RADIUS サーバーが認証要求を拒否しました

次に、RADIUS サーバーによって拒否された RADIUS 認証要求に関するエラー ログを示します。

[smf-service-n0-0] 2020/12/09 09:20:14.047 smf-service [INFO] [idlestate.go:649] [smf-service.smf-app.aaa] [imsi-123456789012345:5] [imsi-123456789012345:5] [1] Processing Secondary Authentication Response 
[smf-service-n0-0] 2020/12/09 09:20:14.047 smf-service [ERROR] [GenericAAA.go:1173] [smf-service.smf-app.aaa] [imsi-123456789012345:5] [imsi-123456789012345:5] [1] Secondary Authentication Failed: REJECT 
[smf-service-n0-0] 2020/12/09 09:20:14.047 smf-service [DEBUG] [Genericutil.go:681] [smf-service.smf-app.gen] Internal Transaction Submit with BP for MessageType: 118, SLA: 0 
[smf-service-n0-0] 2020/12/09 09:20:14.047 smf-service [DEBUG] [idlestate.go:169] [smf-service.smf-app.gen] inCallStatus:9 

***********************************************
Transaction Log received from Instance: smf.radius-ep.ajay-smf1.smf.0
************* TRANSACTION: 00004 *************
TRANSACTION SUCCESS:
    Txn Type             : SecondaryAuthenReq(2004)
    Priority             : 1
    Session State        : No_Session
LOG MESSAGES:
    2020/12/09 09:20:13.756 [TRACE] [infra.message_log.core] >>>>>>>>

    2020/12/09 09:20:13.757 [DEBUG] [Radius.smf.AAA] Starting smf AccessRequest
    2020/12/09 09:20:13.757 [DEBUG] [Radius.smf.AAA] Starting smf AccessRequest for User [msisdn-9884886688]
    2020/12/09 09:20:13.757 [DEBUG] [Radius.smf.AAA] Created new Radius Message for smf AccessRequest
    2020/12/09 09:20:13.757 [DEBUG] [Radius.smf.AAA] Selected server: 209.165.200.229:1812 , nasIP: 209.165.200.237 PID: 4194304
    2020/12/09 09:20:13.757 [DEBUG] [Radius.smf.AAA] Sending an IPC Message to UDP proxy [198.18.1.4]
    2020/12/09 09:20:13.763 [DEBUG] [Radius.smf.AAA] PID: 4194304 - Response received on channel
    2020/12/09 09:20:13.763 [DEBUG] [Radius.smf.AAA] Authentication Result for user [8899776655] = [REJECT]
    2020/12/09 09:20:13.764 [TRACE] [infra.message_log.core] <<<<<<<<

***********************************************
不正な認証者による認証応答

以下の内容は、不正な認証者を使用した RADIUS 認証応答のエラー ログです。

[radius-ep-n0-0] ************* TRANSACTION: 00044 ************* 
[radius-ep-n0-0] TRANSACTION SUCCESS: 
[radius-ep-n0-0]     Txn Type             : RadiusUdpProxyMsg(2002) 
[radius-ep-n0-0]     Priority             : 1 
[radius-ep-n0-0]     Session State        : No_Session 
[radius-ep-n0-0] LOG MESSAGES: 
[radius-ep-n0-0]     2020/12/09 13:20:38.874 [TRACE] [infra.message_log.core] >>>>>>>> 
[radius-ep-n0-0]  
[radius-ep-n0-0]     2020/12/09 13:20:38.874 [DEBUG] [Radius.smf.AAA] Response received from udp proxy 
[radius-ep-n0-0]     2020/12/09 13:20:38.874 [DEBUG] [Radius.smf.AAA] SrcIp: 209.165.201.20 SrcPort: 1812 DestIp: 209.165.201.4 DestPort: 16384 
[radius-ep-n0-0]     2020/12/09 13:20:38.874 [ERROR] [Radius.smf.AAA] PID: 4194310 - Packet dropped due to invalid authenticator 
[radius-ep-n0-0]     2020/12/09 13:20:38.874 [TRACE] [infra.message_log.core] <<<<<<<< 
[radius-ep-n0-0]  
[radius-ep-n0-0] ***********************************************

RADIUS アカウンティング

アカウンティング要求タイムアウト

次に、RADIUS アカウンティング要求タイムアウトのエラー ログを示します。

[radius-ep-n0-0] ************* TRANSACTION: 00027 ************* 
[radius-ep-n0-0] TRANSACTION SUCCESS: 
[radius-ep-n0-0]     Txn Type             : IntSmfAcctReqMsg(3) 
[radius-ep-n0-0]     Priority             : 1 
[radius-ep-n0-0]     Session State        : No_Session 
[radius-ep-n0-0] LOG MESSAGES: 
[radius-ep-n0-0]     2020/12/09 13:09:10.247 [TRACE] [infra.message_log.core] >>>>>>>> 
[radius-ep-n0-0]  
[radius-ep-n0-0]     2020/12/09 13:09:10.247 [DEBUG] [Radius.smf.AAA] Starting smf AccountingRequest 
[radius-ep-n0-0]     2020/12/09 13:09:10.247 [DEBUG] [Radius.smf.AAA] Starting smf AccountingRequest for User [msisdn-9884886688] 
[radius-ep-n0-0]     2020/12/09 13:09:10.247 [DEBUG] [Radius.smf.AAA] Created new Radius Message for smf AccountingRequest 
[radius-ep-n0-0]     2020/12/09 13:09:10.247 [DEBUG] [Radius.smf.AAA] Selected server: 209.165.201.20:1813 , nasIP: 209.165.201.4 PID: 4194304 
[radius-ep-n0-0]     2020/12/09 13:09:10.247 [DEBUG] [Radius.smf.AAA] Sending an IPC Message to UDP proxy [209.165.201.4] 
[radius-ep-n0-0]     2020/12/09 13:09:15.091 [DEBUG] [Radius.smf.AAA] PID: 4194304 - Response received on channel 
[radius-ep-n0-0]     2020/12/09 13:09:15.091 [ERROR] [Radius.smf.AAA] Retried MaxNumber of times without success 
[radius-ep-n0-0]     2020/12/09 13:09:15.092 [DEBUG] [Radius.smf.AAA] Int-txn Accounting Result for user [9884886688] = [TIMEOUT] 
[radius-ep-n0-0]     2020/12/09 13:09:15.092 [TRACE] [infra.message_log.core] <<<<<<<< 
[radius-ep-n0-0]  
[radius-ep-n0-0] ***********************************************

アイドル タイムアウトに基づくリリース

RADIUS から受信したアイドル タイムアウト

次に、RADIUS から受信したアイドル タイムアウトのエラー ログの例を示します。

[smf-service-n0-0] 2020/09/23 16:10:11.965 smf-service [DEBUG] 
[Genericutil.go:7158] [smf-service.smf-app.gen] Idle timeout value received from Radius: 10 
[smf-service-n0-0] 2020/09/23 16:10:11.965 smf-service [DEBUG] 
[Genericutil.go:7168] [smf-service.smf-app.gen] Starting cp idle timer with timeout value: 10
RADIUS から絶対セッション タイムアウトを受信しました

次に、RADIUS から受信した絶対セッション タイムアウトのエラー ログの例を示します。 

[smf-service-n0-0] 2020/09/23 16:10:11.964 smf-service [DEBUG] 
[Genericutil.go:7200] [smf-service.smf-app.gen] Session absolute timeout value 
received from Radius: 200
セッション クリーンアップ

セッション クリーンアップのエラー ログの例を次に示します。

[smf-service-n0-0] 2020/09/23 16:10:21.966 smf-service [WARN] [stateHandler.go:187]
[smf-service.smf-app.gen] [imsi-123456789012345:5] [imsi-123456789012345:5] [21] 
TIMEOUT -- Cp Idle Session Timer Expired, Triggering release

切断メッセージ

不明なクライアントから受信した切断メッセージ

次に、不明なクライアントから切断メッセージを受信した場合のエラー ログの例を示します。 

[radius-ep-n0-0] 2020/11/25 10:30:02.960 radius-ep [INFO] [processor.go:157] [Radius.smf.Ipc] Process continue - 2003
[radius-ep-n0-0] 2020/11/25 10:30:02.960 radius-ep [DEBUG] [coa.go:23] [Radius.smf.AAA] [] [] [11] Coa/Disconnect Req received from udp proxy
[radius-ep-n0-0] 2020/11/25 10:30:02.960 radius-ep [DEBUG] [coa.go:43] [Radius.smf.AAA] [] [] [11] SrcIp: 209.165.201.20 SrcPort: 3799 DestIp: 209.165.201.4 DestPort: 3799
[radius-ep-n0-0] 2020/11/25 10:30:02.960 radius-ep [ERROR] [coa.go:253] [Radius.smf.Ipc] Bng Coa/Disconnect req failed - Invalid Coa Client 209.165.201.20
.
.
.
[radius-ep-n0-0] LOG MESSAGES:
[radius-ep-n0-0] 2020/11/25 10:30:02.960 [TRACE] [infra.message_log.core] >>>>>>>>
[radius-ep-n0-0]
[radius-ep-n0-0] 2020/11/25 10:30:02.960 [DEBUG] [Radius.smf.AAA] Coa/Disconnect Req received from udp proxy
[radius-ep-n0-0] 2020/11/25 10:30:02.960 [DEBUG] [Radius.smf.AAA] SrcIp: 209.165.201.20 SrcPort: 3799 DestIp: 209.165.201.4 DestPort: 3799
[radius-ep-n0-0] 2020/11/25 10:30:02.960 [ERROR] [Radius.smf.AAA] Unable to process Coa/Disconnect request - Error during init of Radius Message Invalid Coa Client 209.165.201.20
[radius-ep-n0-0] 2020/11/25 10:30:02.960 [TRACE] [infra.message_log.core] <<<<<<<<
[radius-ep-n0-0]
[radius-ep-n0-0] ***********************************************
無効なセッション ID キーを含む切断メッセージを受信しました

次に、無効なセッション ID キーが指定された切断メッセージを受信した場合のサンプル エラー ログを示します。 

[radius-ep-n0-0] ************* TRANSACTION: 00009 ************* 
[radius-ep-n0-0] TRANSACTION SUCCESS: 
[radius-ep-n0-0]     Txn Type             : RadiusUdpProxyCoaMsg(2003) 
[radius-ep-n0-0]     Priority             : 1 
[radius-ep-n0-0]     Session State        : No_Session 
[radius-ep-n0-0] LOG MESSAGES: 
[radius-ep-n0-0]     2020/11/25 10:49:43.942 [TRACE] [infra.message_log.core] >>>>>>>> 
[radius-ep-n0-0]  
[radius-ep-n0-0]     2020/11/25 10:49:43.942 [DEBUG] [Radius.smf.AAA] Coa/Disconnect Req received from udp proxy 
[radius-ep-n0-0]     2020/11/25 10:49:43.942 [DEBUG] [Radius.smf.AAA] SrcIp: 209.165.201.20 SrcPort: 3799 DestIp: 209.165.201.4 DestPort: 3799 
[radius-ep-n0-0]     2020/11/25 10:49:43.942 [DEBUG] [Radius.smf.AAA] Decoded coa message type is DisconnectRequest 
[radius-ep-n0-0]     2020/11/25 10:49:43.942 [ERROR] [Radius.smf.AAA] Unable to process DisconnectRequest - Error during construct Invalid DNN/IPv4Addr/IPv6Pfx value 
[radius-ep-n0-0]     2020/11/25 10:49:43.942 [TRACE] [infra.message_log.core] <<<<<<<< 
[radius-ep-n0-0]  
[radius-ep-n0-0] ***********************************************

RADIUS テスト CLI サポート

RADIUS テスト CLI には、RADIUS 認証およびアカウンティング サーバとのネットワーク接続と、それらのサーバの構成をテストするためのメカニズムが用意されています。

この機能は、システムの RADIUS 構成の精度、RADIUS サーバ上のサブスクライバ プロファイルの構成、サーバの応答時間のトラブルシューティングに役立ちます。

RADIUS アカウンティング サーバのテスト

RADIUS アカウンティング サーバーのテストに使用される場合、このツールは特定のユーザー名のアカウンティング要求メッセージを生成します。


(注)  

テストを実行する前に、RADIUS 認証サーバーでユーザー名を構成しておく必要があります。

RADIUS 認証テスト ツールを実行するには、次のコマンドを入力します。 
test-radius accounting { all | server-group group_name | server server_ip_address port server_port } { client-nas client_nas_ip_address | grinstanceid gr_instanceID | username user_name }

注:

  • all :構成されているすべての RADIUS アカウンティング サーバーをテストするように指定します。

  • server-group group_name :サーバーグループ機能用に、 group_name という名前の RADIUS サーバーグループに構成された RADIUS 認証サーバーを指定します。

  • server server_ip_address :テストする特定の RADIUS アカウンティングサーバーの IP アドレスを指定します。

  • server_port :システムがテストする RADIUS アカウンティング サーバーとの通信時に使用する必要がある TCP ポートを指定します。

  • username user_name :アカウンティング用に RADIUS サーバーに提供されるユーザー名を指定します。

  • client-nas client_nas_ip_address :アカウンティング用に RADIUS サーバーに提供される送信元 NAS の IP アドレスを指定します。

  • grinstanceid gr_instanceID :GR インスタンス ID を指定します。デフォルト値はローカル インスタンス ID です。


    重要

    grinstanceid は、非ネイティブ インスタンスには必須です。

次のコマンドは、すべての RADIUS サーバーを確認します。 
test-radius accounting all
次のコマンドは、IP アドレスが 192.0.2.0 の RADIUS サーバーについて、user user1 の RADIUS アカウンティングを確認します。 
test-radius accounting server 192.0.2.0 port 5000 username user1
次のコマンドは、ユーザー user1 の RADIUS アカウンティング サーバー グループ star1 を 確認します。 
test-radius accounting server-group star1 username user1

RADIUS 認証サーバのテスト

RADIUS 認証サーバのテストに使用される場合、このツールは特定のユーザー名の認証要求メッセージを生成します。


(注)  

テストを実行する前に、RADIUS 認証サーバーでユーザー名を構成しておく必要があります。

RADIUS 認証テスト ツールを実行するには、Exec モードで、次のコマンドを入力します。 
test-radius authentication { all | server-group group_name | server server_ip_address port server_port } { client-nas client_nas_ip_address | grinstanceid gr_instanceID | username user_name | password password }

注:

  • all :構成されているすべての RADIUS 認証サーバをテストするように指定します。

  • server-group group_name :サーバーグループ機能用に、 group_name という名前の RADIUS サーバーグループに構成された RADIUS 認証サーバーを指定します。

  • server server_ip_address :テストする特定の RADIUS 認証サーバの IP アドレスを指定します。

  • server_port :システムがテストする RADIUS 認証サーバとの通信時に使用する必要がある TCP ポートを指定します。

  • username user_name :認証用に RADIUS サーバに提供されるユーザー名を指定します。デフォルトのユーザー名は test です。

  • password password :認証のために RADIUS サーバに提供されるユーザー名に関連付けるパスワードを指定します。デフォルトのパスワードは test です。

  • client-nas client_nas_ip_address :アカウンティング用に RADIUS サーバーに提供される送信元 NAS の IP アドレスを指定します。

  • grinstanceid gr_instanceID :GR インスタンス ID を指定します。デフォルト値はローカル インスタンス ID です。


    重要

    grinstanceid は、非ネイティブ インスタンスには必須です。

次のコマンドは、すべての RADIUS サーバーを確認します。 
test-radius authentication all
次のコマンドは、IP アドレスが 192.0.2.0 の RADIUS サーバーについて、user user1 の RADIUS アカウンティングを確認します。 
test-radius authentication server 192.0.2.0 port 5000 username user1 password dummyPwd
次のコマンドは、ユーザー user1 の RADIUS 認証サーバー グループ star1 を「確認します。 
test-radius authentication server-group star1 username user1