Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

加入者管理用の動的プロファイル

動的プロファイルの概要

動的プロファイルは、ブロードバンド アプリケーションの動的加入者アクセスとサービスを提供するために使用できる設定を作成、更新、または削除できる一種のテンプレートとして機能する一連の特性です。これらのプロファイルを使用すると、クライアントまたはクライアントグループのすべての共通の属性を統合し、属性または動的に作成されたオブジェクトを同時に適用できます。プロファイルを作成すると、プロファイル ライブラリ内のルーターに保存されます。

加入者は、 クライアントプロファイルサービスプロファイルの2種類の動的プロファイルを使用して動的に管理できます。どちらのプロファイルタイプも [edit dynamic-profiles] 階層レベルで設定され、互いに独立しています。動的クライアントプロファイルに加えて動的サービスプロファイルを使用するかどうかは、加入者間の差別化をサポートする方法と、加入者サービスをパッケージ化する方法によって異なります。

動的クライアントプロファイルは、正しくは動的加入者プロファイルとも呼ばれます。

動的クライアントプロファイルは、クライアントアクセスプロファイルとも呼ばれます。ただし、 [edit access profile profile-name] 階層レベルで設定されたアクセスプロファイルとは異なります。アクセスプロファイルは、加入者アクセスの認証、アカウンティング、および承認パラメーター、一部のセッション属性、L2TPおよびPPPセッションのクライアント固有プロパティを設定するために使用されます。アクセスプロファイルは、access-profileステートメントを使用して様々な設定レベルで適用されます。

動的クライアントプロファイルと動的サービスプロファイル

ダイナミッククライアントプロファイルとダイナミックサービスプロファイルの主な違いは次のとおりです。

  • 動的クライアントプロファイルがプロビジョニングされ、クライアントアプリケーション設定に適用されます。たとえば、DHCP、DHCPv6、L2TP LNS、PPPoE、静的加入者、VLANなどです。プロファイルのコンテンツは、加入者セッションの論理インターフェイスに適用されます。ほとんどの場合、動的クライアントプロファイルは、プロファイルが適用される論理インターフェイスの動的なインスタンス化を可能にしますが、クライアントプロファイルは静的加入者論理インターフェイスにも適用できます。

    動的クライアント・プロファイルには、variables variable-nameを除く、[edit dynamic-profiles profile-name]の下にあるスタンザを含めることができます。

  • 動的サービスプロファイルには、動的クライアントプロファイルで使用可能な設定のサブセットであるサービス関連の設定のみが含まれます。これらには、加入者セッションのその他の設定属性は含まれません。サービスプロファイルを使用して論理インターフェイスを作成または変更することはできません。動的サービスプロファイルは、論理インターフェイスの作成後に使用される動的クライアントプロファイルの補足として機能します。

    動的サービスプロファイルには、 [edit dynamic-profiles profile-name]の下に次のスタンザを含めることができます: class-of-servicefirewallprotocolsservices、および variables

動的クライアントプロファイルと動的サービスプロファイルは、使用できる変数のタイプも異なります。

  • 動的クライアントプロファイルには、プロファイルに含まれるジュニパーネットワークス事前定義変数のデフォルト値を定義する定義済み変数デフォルトを含めることができます。プロファイルのデフォルト値は、RADIUSが変数の値を返さない場合に使用されます。定義済み変数の詳細については、「 動的変数の概要 」および 「動的プロファイルでの定義済み変数のデフォルト値の設定 」を参照してください。

  • 動的サービスプロファイルには、関数呼び出しのパラメーターとして機能するユーザー定義変数を含めることができます。変数値はRADIUSサーバーから提供され、加入者ごとのより特殊なカスタマイズをサポートすることができます。また、RADIUS が値を提供しない場合に使用するこれらの変数のデフォルト値を設定することもできます。ユーザー定義変数の詳細については、 動的プロファイルのユーザー定義変数 を参照してください。

  • 動的クライアントプロファイルには、ユーザー定義の変数は含まれません。動的サービスプロファイルには、事前定義された変数デフォルトは含まれません。

表1 は、アクセスプロファイルとサービスプロファイルでサポートされている変数のタイプを示しています。

表1:動的プロファイルでサポートされている変数の種類

動的プロファイルのタイプ

Junos OS事前定義された変数(ローカル)

Junos OS定義済み変数(RADIUS)

ユーザー定義変数

アクセスプロファイル

はい

はい

はい

サービスプロファイル

はい

いいえ

はい

表2 は、アクセスプロファイルとサービスプロファイルでサポートされているデフォルト値、式、および一意の識別子を示しています。

表2:動的プロファイルでサポートされるデフォルト値と式

動的プロファイルのタイプ

デフォルト値

一意の識別子

アクセスプロファイル

はい(RADIUS定義済み変数のみ)

いいえ

はい(スケジューラとスケジューラマップのみ)

サービスプロファイル

はい(ユーザー定義変数のみ)

はい(サービスアクティベーションのみ)

はい(ファイアウォールフィルターのみ)

加入者セッションにサービスを動的に適用

加入者セッションに適用するサービスを設定するには、いくつかの方法があります。

  • 動的クライアントプロファイルに加入者セッションのサービス設定を含めます。例えば、サービスクラス(CoS)などのレイヤー2サービスや、ダイナミックファイアウォールフィルターなどのレイヤー3サービスを設定できます。レイヤー 3 サービスは、DHCP、DHCPv6、PPPoE 加入者のネゴシエートされたアドレス ファミリーに適用されます。 CoSサービスの変更の概要を参照してください。

    注:

    動的クライアントプロファイルは、動的サービスプロファイルを参照できません。直接含めることができるのは、サービス設定のみです。

  • RADIUS設定を使用して動的サービスプロファイルを適用します。加入者の認証時にRADIUS Access-Acceptメッセージで返されるジュニパーネットワークスActivate-Service VSA(26-65)は、動的サービスプロファイルを参照し、オプションでサービスの追加パラメーターを渡すことができます。DHCPおよびPPPoEセッションでは、このサービスプロファイルは、セッションのアドレスファミリーがアクティブ化されたときに適用されます。 RADIUSを使用したダイナミックサービス管理を参照してください。

    別のジュニパーネットワークスVSA、Deactivate-Service(26-66)を使用して、Access Acceptメッセージ内のサービスを非アクティブ化できます。

  • RADIUS Change of Authorization(CoA)メッセージにジュニパーネットワークス VSA を使用したサービスプロファイルを適用します。CoAメッセージを使用して、サービスをアクティブ化(VSA 26-65)または非アクティブ化(VSA 26-66)できます。たとえば、加入者はセッションの確立後にサービスをオプトインまたはオプトアウトできます。 「RADIUS開始の認可変更(CoA)の概要」を参照してください。

  • DHCP ローカル サーバー、DHCP リレー エージェント、L2TP、または静的加入者の設定でプロファイルを参照する service-profile ステートメントを含めて、動的サービス プロファイルを適用します。例えば、 静的加入者グループサービスプロファイルの指定インラインサービスインターフェイスを使用したLNSセッションのL2TPトンネルグループの設定LNSでのL2TPアクセスプロファイルの設定を参照してください。

動的プロファイルの上書き

Junos OSリリース14.1以降、RADIUS Client-Profile-Name VSA [26-174]で異なる動的プロファイルを指定して、設定されたクライアント動的プロファイルをRADIUSで上書きさせることができます。RADIUS は、この VSA を Access-Accept メッセージ内の他のクライアント セッション属性とともに AAA に返します。その後、AAAはクライアントのセッションデータベースエントリー内の対応するプロファイル名属性を上書きし、この新しいプロファイルは、最初に設定されたプロファイルの代わりにインスタンス化されます。

動的プロファイルバージョンの作成

現在加入者が使用している動的プロファイルの新しいバージョンを作成できます。プロファイルバージョンの動的作成は、 [edit system] 階層レベルで有効になります。有効にすると、ルーター上で動的プロファイルの複数のバージョンを作成できます。動的プロファイルの変更後にログインする加入者は、最新バージョンの動的プロファイルを使用します。すでにアクティブな加入者は、ログアウトするかセッションが終了するまで、古いバージョンの動的プロファイルを使用し続けます。

動的プロファイルのバージョンを作成するときは、次の点に留意してください。

  • ルーターで動的プロファイルを作成または使用する前に、動的プロファイルバージョンの作成を有効または無効にする必要があります。動的プロファイルを設定した後の動的プロファイルバージョン作成の有効化または無効化はサポートされていません。

    注:

    動的プロファイルが設定されているルーターの動的プロファイルバージョンの作成を有効または無効にする前に、まずルーター設定からすべての動的プロファイルを削除する必要があります。

  • 動的プロファイルの各バージョンは、新しいプロファイルとしてプロファイルデータベースに保存されます。

  • 新しいプロファイルバージョンの名前は、元のベース動的プロファイル名に文字列を追加することで派生します。この文字列には、プロファイル名のバージョンフィールドを識別するための2つのドル記号($)文字が含まれています。これらの2文字の後に、動的プロファイルの「バージョン番号」を表す数字が続きます(例:01)。

  • 動的プロファイルのバージョン番号は、システムによって自動的に生成されます。

  • 変更する動的プロファイルは、常に最新バージョンとして保存されます。変更した動的プロファイルを作成して、以前のバージョンとして保存することはできません。例えば、使用中の動的プロファイルのバージョン3を変更した場合、動的プロファイルはバージョン4として保存されます。

  • 変更できるのは、最新バージョンの動的プロファイルのみです。

  • バージョン番号の最大値は 99999 です。ただし、各プロファイルでは、一度にサポートされるアクティブバージョンは10個だけです。

  • 変更した動的プロファイルバージョンが加入者によって使用されていない場合、プロファイルは新しいバージョンを作成せずにコミットされた変更で上書きされます。

  • 動的プロファイルの 99999 番目の修正バージョンに達すると、動的プロファイルをさらに変更すると、その最終バージョンが上書きされます。最終バージョンが使用されている場合、コミット時に変更の試行は失敗します。

  • 動的プロファイルは、どのバージョンも使用されていない場合にのみ削除できます。

  • 動的プロファイルバージョン機能は、グレースフルリスタートと統合型ISSUをサポートします。

動的プロファイルセマンティックチェック

変数は動的プロファイルに動的に適用されるため、既存のCLIコマンドでは確認できません。セマンティック チェックは、動的プロファイルの一部の変数を検証し、潜在的な設定エラーの特定に役立てます。

セマンティックチェックは、コミット中およびプロファイルのインスタンス化中に実行されます。コミット時間チェックにより、変数が動的プロファイル内の正しい位置に表示されることを確認します。プロファイルのインスタンス化前にチェックを行い、変数を置き換える値が正しいことを確認します。値に対して実行されるチェックには、次のものがあります。

  • 範囲の検証

  • 変数タイプの検証

  • 必須の変数の存在

  • 正規表現への変数マッチング

コミット時間チェックに失敗すると、エラーメッセージが表示され、 /var/log/messages ファイルに記録され、コミットに失敗します。インスタンス化に失敗すると、エラーが /var/log/messages ファイルに記録され、プロファイルのインスタンス化に失敗します。

基本的な動的プロファイルの設定

このトピックでは、基本的な動的プロファイルを作成する方法について説明します。基本プロファイルにはプロファイル名が含まれ、[edit dynamic-profiles profile-name interfaces階層レベルにインターフェイス変数名($junos-interface-ifd-nameなど)が含まれ、[edit dynamic-profiles profile-name interfaces variable-interface-name unit]階層レベルに論理インターフェイス変数名($junos-underlying-interface-unit$junos-interface-unitなど)の両方が含まれている必要があります。

初期クライアントアクセス用の動的プロファイルを設定する前に:

  1. DHCPクライアントがネットワークにアクセスする際に使用するために必要なルーターインターフェイスを設定します。

    動的プロファイルで使用できるインターフェイスのタイプとその設定方法については、 DHCP加入者インターフェイスの概要 を参照してください。

  2. マルチキャストネットワークへのアクセスについてDHCPクライアントを検証する際にプロファイルで使用するすべてのRADIUS値を設定します。

    加入者アクセス用のRADIUSサーバーとパラメータを参照してください

基本的な動的プロファイルを設定するには:

  1. プロファイルに名前を付けます。
  2. 受信インターフェイスのインターフェイス名と一致するように、ルーターが使用する内部$junos-interface-ifd-name変数でinterface-nameステートメントを定義します。
  3. 内部変数で unit ステートメントを定義します。

    • 既存のインターフェイスを参照する場合は、受信インターフェイスの単位値と一致するように、ルーターが使用する $junos-underlying-interface-unit 変数を指定します。

    • 動的インターフェイスを作成する場合は、インターフェイスの単位値を生成するためにルーターが使用する $junos-interface-unit 変数を指定します。

    または

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
14.1
Junos OSリリース14.1以降、RADIUS Client-Profile-Name VSA [26-174]で異なる動的プロファイルを指定して、設定されたクライアント動的プロファイルをRADIUSで上書きさせることができます。