Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

加入者管理用の動的プロファイル

動的プロファイルの概要

動的プロファイルとは、一種のテンプレートとして機能する一連の特性で、ブロードバンド アプリケーションに動的加入者アクセスとサービスを提供するために使用できる構成の作成、更新、または削除を可能にします。これらのプロファイルを使用すると、クライアントまたはクライアントのグループのすべての共通属性を統合し、属性または動的に作成されたオブジェクトを同時に適用できます。プロファイルを作成すると、プロファイル ライブラリ内のルーターに存在します。

加入者を動的に管理できるのは、 クライアント プロファイル とサービス プロファイルという 2 種類の動的 プロファイルです。どちらのプロファイル タイプも 階層 [edit dynamic-profiles] レベルで設定され、相互に独立しています。動的クライアント プロファイルに加えて動的サービス プロファイルを使用する場合は、加入者間の差別化をどのようにサポートするか、および加入者サービスをどのようにパッケージ化するかによって異なります。

メモ:

動的プロファイル用語は、混乱する可能性があります。

  • 動的クライアントプロファイルは、動的加入者プロファイルと正しく呼び出すことができます。

  • 動的クライアントプロファイルはクライアントアクセスプロファイルと呼ばれることもありますが、この条件は[アクセスプロファイルの編集]階層レベルで設定されたアクセス profile-nameプロファイルと混乱します。アクセスプロファイルは、加入者アクセスの認証、アカウンティング、認証パラメーター、一部のセッション属性、L2TPおよびPPPセッションのクライアント固有のプロパティを設定するために使用されます。アクセスプロファイルは、 ステートメントを使用してさまざまな設定レベルで access-profile 適用されます。

動的クライアント プロファイルと動的サービス プロファイル

動的クライアントプロファイルと動的サービスプロファイルの主な違いは次のとおりです。

  • 動的クライアントプロファイルがプロビジョニングされ、クライアントアプリケーション構成に適用されます。たとえば、DHCP、DHCPv6、L2TP LNS、PPPoE、静的加入者、VLANなどです。プロファイルの内容は、加入者セッションの論理インターフェイスに適用されます。多くの場合、動的クライアントプロファイルは、プロファイルが適用される論理インターフェイスの動的インスタンス化を有効にしますが、クライアントプロファイルは静的加入者論理インターフェイスに適用することもできます。

    動的クライアント プロファイルには、 を除くvariables variable-nameすべてのスタンザを[edit dynamic-profiles profile-name]含めることができます。

  • 動的サービス プロファイルには、動的クライアント プロファイルで使用可能な構成のサブセットであるサービス関連の設定のみが含まれます。加入者セッションの他の設定属性は含まれていません。サービスプロファイルを使用して論理インターフェイスを作成または変更することはできません。動的サービス プロファイルは、論理インターフェイスの作成後に使用される動的クライアント プロファイルの補足として機能します。

    動的サービス プロファイルには、 、および の下[edit dynamic-profiles profile-name]class-of-serviceprotocolsfirewallservicesに以下のスタンザをvariables含めることができます。

動的クライアント プロファイルと動的サービス プロファイルは、使用できる変数のタイプも異なります。

  • 動的クライアントプロファイルには、プロファイルに含まれるジュニパーネットワークス定義済み変数のデフォルト値を定義する、事前定義された変数デフォルトを含めることができます。RADIUS が変数の値を返さない場合、プロファイルのデフォルト値が使用されます。事前定義変数の詳細については、「 動的変数の概要 」および「 動的プロファイルの事前定義変数のデフォルト値の設定 」を参照してください。

  • 動的サービス プロファイルには、関数呼び出しでパラメーターのように動作するユーザー定義変数を含めることができます。変数値は、RADIUS サーバーによって提供され、加入者ごとにさらに特殊なカスタマイズをサポートできます。RADIUS が値を提供しない場合に使用するこれらの変数のデフォルト値を設定することもできます。 ユーザー定義変数については、動的プロファイル内の ユーザー定義変数を参照してください。

  • 動的クライアント プロファイルには、ユーザー定義変数は含まれません。動的サービス プロファイルには、事前定義された変数デフォルトは含まれません。

表 1 は、アクセス プロファイルとサービス プロファイルでサポートされる変数のタイプを示しています。

表 1: 動的プロファイルでサポートされる変数のタイプ

動的プロファイルのタイプ

Junos OS定義済み変数(ローカル)

Junos OS定義済み変数(RADIUS)

ユーザー定義変数

プロファイルへのアクセス

はい

はい

はい

サービス プロファイル

はい

いいえ

はい

表 2 は、アクセス プロファイルとサービス プロファイルでサポートされるデフォルト値、式、一意の識別子を示しています。

表 2: 動的プロファイルでサポートされるデフォルト値と式

動的プロファイルのタイプ

デフォルト値

一意の識別子

プロファイルへのアクセス

はい(RADIUS定義済み変数のみ)

いいえ

○(スケジューラとスケジューラ マップのみ)

サービス プロファイル

○(ユーザー定義変数のみ)

はい(サービスアクティベーションのみ)

○(ファイアウォール フィルターのみ)

加入者セッションにサービスを動的に適用

加入者セッションに適用されるサービスを設定するには、いくつかの方法があります。

  • 動的クライアントプロファイルに加入者セッションのサービス設定を含めます。たとえば、サービス クラス(CoS)などのレイヤー 2 サービスや、動的ファイアウォール フィルターなどのレイヤー 3 サービスを設定できます。レイヤー 3 サービスは、DHCP、DHCPv6、PPPoE 加入者のネゴシエートされたアドレス ファミリーに適用されます。 CoSサービスの変更の概要をご覧ください

    メモ:

    動的クライアントプロファイルは、動的サービスプロファイルを参照できません。サービス設定のみを直接含めることができます。

  • RADIUS 設定を使用して動的サービス プロファイルを適用します。加入者の認証時に RADIUS Access-Accept メッセージで返される Juniper Networks Activate-Service VSA(26-65)は、動的サービス プロファイルを参照でき、オプションでサービスの追加パラメーターを渡すことができます。DHCPおよびPPPoEセッションでは、セッションのアドレスファミリーがアクティブになると、このサービスプロファイルが適用されます。 RADIUSによる動的サービス管理を参照してください。

    別のジュニパーネットワークスVSA、非アクティブサービス(26-66)を使用して、アクセスアクセスメッセージ内のサービスを無効にすることができます。

  • RADIUS Change of Authorization(CoA)メッセージに、ジュニパーネットワークスのVSAを使用してサービスプロファイルを適用します。CoAメッセージを使用して、サービスのアクティブ化(VSA 26-65)または非アクティブ化(VSA 26-66)を行うことができます。例えば、加入者はセッション確立後にサービスをオプトインまたはオプトアウトできます。 RADIUS開始のCoA(Change of Authorization)の概要を参照してください。

  • DHCPローカルサーバー、DHCPリレーエージェント、L2TP、または静的加入者の設定でプロファイルを参照する ステートメントを含service-profileめることで、動的サービスプロファイルを適用します。例えば、静的加入者グループサービスプロファイルの指定インラインサービスインターフェイスを使用した LNS セッションのL2TPトンネルグループの設定、および LNS でのL2TPアクセスプロファイルの設定を参照してください。

動的プロファイルの上書き

Junos OS リリース 14.1 以降、RADIUS クライアントプロファイル名 VSA [26-174] で別の動的プロファイルを指定して、構成済みのクライアント動的プロファイルを RADIUS に上書きさせることができます。RADIUS は、Access-Accept メッセージ内の他のクライアント セッション属性と共に、この VSA を AAA に返します。その後、AAA はクライアントのセッション データベース エントリで対応するプロファイル名属性を上書きし、この新しいプロファイルは元に設定されたプロファイルの代わりにインスタンス化されます。

動的プロファイル バージョンの作成

現在加入者が使用している動的プロファイルの新しいバージョンを作成できます。動的プロファイル バージョンの作成は、 [edit system] 階層レベルで有効です。有効にすると、ルーター上で任意の動的プロファイルの複数バージョンを作成できます。動的プロファイル変更の後にログインする加入者は、動的プロファイルの最新バージョンを使用します。すでにアクティブになっている加入者は、ログアウトするか、セッションが終了するまで、古いバージョンの動的プロファイルを引き続き使用します。

動的プロファイルのバージョンを作成する場合は、次の事項に留意してください。

  • ルーターで動的プロファイルを作成または使用する前に、動的プロファイルバージョンの作成を有効または無効にする必要があります。動的プロファイルが構成された後の動的プロファイル・バージョン作成の有効化または無効化はサポートされていません。

    メモ:

    動的プロファイルが設定されているルーターの動的プロファイルバージョン作成を有効または無効にする前に、まずルーター設定からすべての動的プロファイルを削除する必要があります。

  • 動的プロファイルの各バージョンは、プロファイル データベースに新しいプロファイルとして保存されます。

  • 新しいプロファイル バージョンの名前は、元の基本動的プロファイル名に文字列を付加することによって派生します。この文字列には、プロファイル名のバージョン フィールドを識別するための 2 つのドル記号($)文字が含まれています。これらの 2 つの文字の後には、動的プロファイルの「バージョン番号」を表す数値文字が続きます(例:01)。

  • 動的プロファイルのバージョン番号は、システムによって自動的に生成されます。

  • 変更する動的プロファイルは、常に最新バージョンとして保存されます。変更された動的プロファイルを作成して以前のバージョンとして保存することはできません。たとえば、使用中に動的プロファイルのバージョン 3 を変更した場合、動的プロファイルはバージョン 4 として保存されます。

  • 動的プロファイルの最新バージョンのみを変更できます。

  • バージョン番号の最大値は99999です。ただし、各プロファイルでは、一度に 10 個のアクティブなバージョンのみがサポートされます。

  • 変更した動的プロファイルバージョンが加入者によって使用されていない場合、そのプロファイルは、新しいバージョンを作成せずにコミットされた変更で上書きされます。

  • 動的プロファイルの99999番目の修正バージョンに達した後、動的プロファイルをさらに変更すると、その最終バージョンが上書きされます。最終バージョンが使用されている場合、変更試行はコミット時に失敗します。

  • 動的プロファイルを削除できるのは、そのバージョンが使用されていない場合のみです。

  • 動的プロファイル バージョン機能は、グレースフル リスタートと統合型 ISSU をサポートします。

動的プロファイル セマンティックチェック

変数は動的プロファイルに動的に適用され、既存の CLI コマンドでは確認できません。セマンティックチェックは、動的プロファイルの一部の変数を検証し、潜在的な設定エラーを特定するのに役立ちます。

セマンティックチェックは、コミット時とプロファイルのインスタンス化中に実行されます。コミット時間チェックでは、動的プロファイル内の正しい場所に変数が表示されていることを確認します。プロファイルのインスタンス化の前に実行されたチェックにより、変数を置き換える値が正しいことを確認します。値に対して実行されるチェックには、以下のものがあります。

  • 範囲の検証

  • 変数型の検証

  • 変数が必須の場合の存在

  • 正規表現への変数一致

コミットタイムチェック失敗の結果、エラーメッセージが表示され、ファイルに /var/log/messages ログインし、コミットが失敗します。インスタンス化失敗により、ファイルに /var/log/messages エラーが記録され、プロファイルのインスタンス化に失敗します。

基本的な動的プロファイルの設定

このトピックでは、基本的な動的プロファイルの作成方法について説明します。基本プロファイルにはプロファイル名が含まれ、階層レベルにインターフェイス変数名(など$junos-interface-ifd-name)と 階層レベルの[edit dynamic-profiles profile-name interfaces論理インターフェイス変数名(または $junos-interface-unitなど$junos-underlying-interface-unit)の両方が[edit dynamic-profiles profile-name interfaces variable-interface-name unit]含まれている必要があります。

初期クライアントアクセス用に動的プロファイルを設定する前に、以下を実行します。

  1. ネットワークにアクセスする際に DHCP クライアントに使用する必要なルーター インターフェイスを設定します。

    動的プロファイルで使用できるインターフェイスのタイプと設定方法については、 DHCP加入者インターフェイスの概要 を参照してください。

  2. マルチキャスト ネットワークへのアクセス用に DHCP クライアントを検証する際に、プロファイルで使用するすべての RADIUS 値を設定します。

    加入者アクセスの RADIUS サーバーとパラメーターを参照してください。

基本的な動的プロファイルを設定するには:

  1. プロファイルに名前を付けます。
  2. 受信インターフェイスの interface-name インターフェイス名と一致させるためにルーターが使用する内部 $junos-interface-ifd-name 変数で ステートメントを定義します。
  3. 内部変数で unit ステートメントを定義します。

    • 既存のインターフェイスを参照する場合、受信インターフェイスの $junos-underlying-interface-unit ユニット値に一致するルーターで使用される変数を指定します。

    • 動的インターフェイスを作成する場合、ルーターがインターフェイスの $junos-interface-unit ユニット値を生成するために使用する変数を指定します。

    または

関連ドキュメント

リリース履歴テーブル
リリース
説明
14.1
Junos OS リリース 14.1 以降、RADIUS クライアントプロファイル名 VSA [26-174] で別の動的プロファイルを指定して、構成済みのクライアント動的プロファイルを RADIUS に上書きさせることができます。