RADIUSによるダイナミックサービス管理
加入者アクセス管理のための RADIUS 動的リクエストの使用
RADIUS の動的リクエストは、加入者セッションを一元的に管理する効率的な方法を提供します。AAAサービスフレームワークのRADIUS動的リクエストサポートにより、RADIUSサーバーは、未承諾のリクエストメッセージをルーターに送信することで、終了操作などのユーザー関連の操作を開始できます。RADIUS動的リクエスト機能がない場合、RADIUSユーザーの接続を切断する唯一の方法はルーターからです。これは大規模なネットワークでは面倒で時間がかかる場合があります。
一般的なクライアントサーバー RADIUS 環境では、ルーターがクライアントとして機能し、リモート RADIUS サーバーに送信された要求を開始します。ただし、RADIUS動的リクエストを使用する場合は、ロールが逆になります。例えば、切断操作中、リモート RADIUS サーバーはクライアントとして動作し、リクエスト(切断アクション)を開始します。ルーターは関係内のサーバーとして機能します。
アクセスプロファイルを作成して、RADIUS動的リクエストをサポートするようにルーターを設定します。この設定により、ルーターはリモート RADIUS サーバーから以下のタイプのメッセージを受信して処理できます。
Access-Acceptメッセージ—加入者がログインしたときに受信したRADIUS Access-Acceptメッセージの属性に基づいて、サービスを動的にアクティブ化します。
Change of-Authorization(CoA)メッセージ—CoAメッセージの属性に基づいてアクティブなセッションを動的に変更します。CoAメッセージには、サービス作成リクエスト、削除リクエスト、RADIUS属性、ジュニパーネットワークスVSAが含まれます。
切断メッセージ—特定の加入者セッションを直ちに終了します。
デフォルトでは、ルーターは UDP ポート 3799 で RADIUS サーバーからの CoA 要求を監視します。RADIUSサーバーにデフォルト以外のポートを設定することもできます。すべてのRADIUSサーバーにデフォルトポートを使用するか、すべてのRADIUSサーバーに同じ非デフォルトポートを設定する必要があります。このルールは、グローバルアクセスレベルとアクセスプロファイルレベルの両方に適用されます。
それ以外の設定では、コミットチェックに失敗します。複数のポート番号(つまりサーバーごとに異なるポート番号)はサポートされていません。
Radius動的リクエストのメリット
属性の変更、サービスの有効化、サービスの非アクティブ化、セッションの終了など、加入者セッションに未承諾の変更を送信することで、加入者セッションの一元管理を簡素化できます。
関連項目
RADIUS開始動的リクエストサポートの設定
ルーターは、認証操作と動的認証操作の両方で、指定されたRADIUS認証サーバーのリスト認証を使用します。デフォルトでは、ルーターは UDP ポート 3799 で、Change of Authorization(CoA)要求としても知られる動的リクエストを監視します。
RADIUS動的リクエストサポートを設定するには:
RADIUSサーバーのIPアドレスを指定します。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3
複数のRADIUSサーバーからの動的要求をサポートするようにルーターを設定するには:
複数のRADIUSサーバーのIPアドレスを指定します。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3 192.168.10.15
動的リクエストポートを設定する場合、以下のいずれかを実行する必要があります。
グローバルアクセスレベルとすべてのアクセスプロファイルの両方で、すべてのRADIUSサーバーにデフォルトポートを使用します。
グローバルアクセスレベルとすべてのアクセスプロファイルの両方で、すべてのサーバーに同じ非デフォルトポートを設定します。
それ以外の設定では、コミットチェックに失敗します。複数のポート番号(つまりサーバーごとに異なるポート番号)はサポートされていません。
グローバルな動的リクエストポートを指定するには:
[edit access] user@host# set radius-server server-address dynamic-request-port port-number
特定のアクセスプロファイルの動的リクエストポートを指定するには:
[edit access] user@host# set profile profile-name radius-server server-address dynamic-request-port port-number
次のシナリオを考えてみましょう。
以下の設定では、グローバルなサーバーとアクセスプロファイル内の異なるサーバーの両方にデフォルトポートを使用しています。これは有効な設定です。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set profile ap1 radius-server 192.0.2.3
以下の設定では、アクセスプロファイル内のサーバーと異なるサーバーの両方に対して、デフォルト以外のポート50201をグローバルに指定しています。これは有効な設定です。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.3 dynamic-request-port 50201
以下の設定では、ap1アクセスプロファイルの同じサーバーに対してポート50201をグローバルに指定し、ポート51133を指定します。これは無効な設定であり、デフォルト以外の複数のポートがサポートされていないため、コミットチェックは失敗します。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.1 dynamic-request-port 51133
以下の設定では、1つのサーバーに対してグローバルにデフォルトポート3799を使用し、別のサーバーに対してグローバルにポート51133を使用します。これは無効な設定であり、すべてのサーバーに対してデフォルトポートまたは同じ非デフォルトポートのいずれかを設定する必要があるため、コミットチェックは失敗します。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set radius-server 192.0.2.3 dynamic-request-port 51133
関連項目
RADIUS開始の認可変更(CoA)の概要
AAAサービスフレームワークは、CoAメッセージを使用してアクティブな加入者セッションを動的に変更します。例えば、CoAメッセージのRADIUS属性は、加入者サービスの作成、変更、または終了をフレームワークに指示する場合があります。また、CoAメッセージを使用して、現在の加入者サービスの使用しきい値を設定または変更することもできます。
CoAメッセージ
動的リクエストサポートにより、ルーターは外部の RADIUS サーバーから未承諾の CoA メッセージを受信して処理できます。RADIUS が開始する CoA メッセージでは、要求メッセージと応答メッセージに以下のコードが使用されます。
CoAリクエスト (43)
CoA-ACK (44)
CoA-NAK (45)
認可変更の資格
ユーザーの認証の変更を完了するには、識別属性とセッション属性を指定します。識別属性は加入者を識別します。セッション属性は、加入者のセッションで実行する操作(アクティブ化または非アクティブ化)を指定し、セッションのクライアント属性(例えば、QoS属性)も含めます。実際のリクエストは、AAAサービスフレームワークが処理します。
表1は 、CoA操作の識別属性を示しています。
属性 |
説明 |
|---|---|
ユーザー名 [RADIUS属性1] |
加入者ユーザー名。 |
Acct-Session-ID [RADIUS属性44] |
特定の加入者セッション。 |
Acct-Session-ID属性を使用して加入者セッションを特定することは、User-Name属性を使用するよりも明示的です。User-Nameを識別子として使用すると、指定されたユーザー名でログインした最初のセッションにCoA操作が適用されます。ただし、加入者は同じユーザー名で複数のセッションを関連付けている場合があるため、最初のセッションがCoA操作に適したセッションではない可能性があります。
Acct-Session-ID属性を使用すると、特定の加入者セッションが識別され、潜在的なエラーを回避できます。Acct-Session-ID属性には、セッションIDに加えてインターフェイス指定子を含めることができますが(属性が記述形式の場合)、セッションIDのみが加入者マッチングに使用されます。例えば、加入者の加入者セッションIDが 54785の場合、Acct-Session-ID属性が 54785 (10進形式)、 jnpr demux0.1073759682:54785 (説明形式)、または実際に any value:54785 (説明形式)の場合、加入者が一致します。
表2は 、CoA操作のセッション属性を示しています。含める追加のクライアント属性は、特定のセッション要件によって異なります。
属性 |
説明 |
|---|---|
サービスアクティベーション [ジュニパーネットワークス VSA 26-65] |
加入者向けにアクティブ化するサービス。 |
非アクティブ化サービス [ジュニパーネットワークス VSA 26-66] |
加入者向けに非アクティブ化するサービス。 |
サービスボリューム[ジュニパーネットワークス VSA 26-67] |
サービスを使用できるトラフィックの量(MB)。ボリュームを超えると、サービスは非アクティブ化されます。 |
サービスタイムアウト[ジュニパーネットワークス VSA 26-68] |
サービスがアクティブにできる秒数。タイムアウトが終了すると、サービスは非アクティブ化されます。 |
サービスボリュームギガワード [ジュニパーネットワークス VSA 26-179] |
サービスを使用できるトラフィック量(4GB単位)。ボリュームを超えると、サービスは非アクティブ化されます。 |
アップデートサービス[ジュニパーネットワークス VSA 26-180] |
既存のサービスのサービス値と時間クォータの新しい値。 |
メッセージ交換
ルーター上のRADIUSサーバーとAAAサービスフレームワークは、UDPを使用してメッセージを交換します。RADIUSサーバーから送信されるCoA-Requestメッセージは、切断操作のために送信されるDisconnect-Requestパケットと同じ形式です。
応答は、CoA-ACKまたはCoA-NAKメッセージのいずれかです。
AAAサービスフレームワークが認証の変更に成功した場合、応答はCoA-ACKメッセージを含むRADIUS形式のパケットであり、データフィルターがセッションに適用されます。
AAAサービスフレームワークが失敗した場合、リクエストの形式が正しくない場合、または属性が欠落している場合、応答はCoA-NAKメッセージを含むRADIUS形式のパケットです。
AAAサービスフレームワークは、加入者ごとに一度に1つの動的リクエストを処理します。同じ加入者に対する以前の要求の処理中に、フレームワークが 2 つ目の動的要求(別の CoA または Disconnect-Request)を受信した場合、フレームワークは CoA-NAK メッセージを返します。Junos OS リリース 15.1R5 以降、CoA-Request 再試行メッセージは無視され、それに対する CoA-NAK は送信されません。
一括CoAトランザクション
Junos OS リリース 17.2R1 以降、BNG 上の RADIUS ベースの加入者サービスの処理効率を向上させるために、一括 CoA リクエストがサポートされています。一括CoA機能により、一連のCoAリクエストを蓄積し、それらすべてを一括で自動的にコミットできます。
一括 CoA リクエストのすべてのサービスは、同じ加入者セッション用である必要があります。
一括 CoA トランザクションは、ビジネス サービスにとって特に価値があります。RADIUSベースの加入者サービスは、ジュニパーネットワークスのVSA、アクティブサービス(26-65)とサービス解除(26-66)を使用します。VSAは、ログイン中のRADIUS-Acceptメッセージまたはログイン後のCoAリクエストで提供されます。
従来の動的なサービスプロファイルベースのサービスでは、いずれかのRADIUSメッセージ内に最大12のサービスアクティベーションを簡単に収めることができます。ただし、企業で使用される op-script ベースのサービスには、通常、どちらのメッセージの容量もカバーする拡張要件があります。つまり、特定の加入者セッションで必要なすべてのサービスを指定してアクティブ化するには、Accept-Accessメッセージと複数のCoAリクエストを使用する必要がある場合があります。
各CoA要求メッセージは、同じ加入者セッション内の以前および将来のCoA要求とは独立しています。メッセージ内のすべてのサービスアクティベーションと非アクティベーションは、CoA応答が提供される前に処理されます。CoA リクエストは、すでに存在する既存のサービスに影響を与えることなく、加入者セッションを段階的に変更する方法を提供します。
op-scriptベースのサービスの場合、サービスセッションは、authdプロセスとessmdプロセスによって協調して作成され、最後の操作でCoAリクエストから結果として生じるすべての静的ビジネス論理インターフェイスを適用するコミットを開始します。一般に、コミット時間は静的なビジネス サービスを適用する上で最大の部分を占めるため、コミット ウィンドウを効率的に使用するために、RADIUS メッセージ内に収まるだけ多くのサービス アクティブ化または非アクティブ化をパックする利点があります。コミット操作が完了するまで、BNGは、同じ加入者セッションに追加ビジネスサービスを適用するための後続のCoAリクエストを受け入れることができません。
バルクCoAは、バルクトランザクション内のすべてのサービスに対して単一のコミットアクションを使用することで、コミット処理の効率を向上させます。バルク トランザクションには、一連のリクエストを 1 つのメタリクエストとして管理する効果があります。バルクトランザクションの最終CoAリクエストを受信するまで、コミット処理を延期します。
バルクCoAでは、個々のリクエストにジュニパーネットワークスのBulk-CoA-Transaction-Id VSA(26–194)のインスタンスが1つ含まれている必要があります。このVSAは、リクエストを同じバルクトランザクションに属するものとして識別します。26 から 194 は、バルク シリーズのすべての CoA 要求で同じ値を持つ必要があります。セッション内の連続する各バルク トランザクションには、異なる識別子が必要です。例えば、3 つの連続したバルク トランザクションの ID は 1、2、1 にすることができますが、連続した ID に 1、1、2 を持つことはできません。実際には、Bulk-CoA-Transaction-Id値は通常、複数のバルクトランザクションに対してインクリメントされますが、これは必須ではありません。特定の加入者セッションで使用されるID値は、別の加入者セッションでも使用できます。
バルク トランザクション内の各 CoA リクエストには、各 CoA の Bulk-CoA-Identifier VSA(26-195)の 1 つのインスタンスによって提供される独自の一意の識別子があります。ID の一連の値の増加は一般的ですが、強制されません。値は、特定のセッション内およびセッション間で再使用できます。シリーズの最後のCoAリクエストは、Bulk-CoA-Identifierの値が0xFFFFFFFFを持つことで識別されます。
Radiusが開始する認証変更のメリット
属性値の変更を加入者セッションに動的にプッシュしたり、加入者サービスの動的なアクティブ化と非アクティブ化を有効にします。
関連項目
RADIUS開始切断の概要
このセクションでは、AAAサービスフレームワークによるRADIUS開始の切断動的リクエストのサポートについて説明します。AAAサービスフレームワークは、切断メッセージを使用してアクティブな加入者セッションを動的に終了します。
切断メッセージ
リモートアクセス加入者の切断を一元的に制御するために、ルーターのRADIUS動的リクエスト機能は、RADIUSサーバーからの未承諾メッセージを受信して処理します。
動的リクエスト機能では、既存の形式のRADIUS切断リクエストとレスポンスメッセージを使用します。RADIUSが開始する切断では、RADIUSリクエストおよび応答メッセージで以下のコードを使用します。
切断要求 (40)
切断-ACK (41)
切断-NAK (42)
切断の条件
AAAサービスフレームワークがユーザーの接続を切断するには、Disconnect-RequestメッセージにアカウンティングセッションIDを持つ属性が含まれている必要があります。Disconnect-Requestメッセージには、セッションIDのAcct-Session-Id(44)属性またはAcct-Multi-Session-Id(50)属性、またはその両方を含めることができます。Acct-Session-Id属性とAcct-Multi-Session-Id属性の両方がリクエストに存在する場合、ルーターは両方の属性を使用します。User-Name(1)属性も要求に存在する場合は、ユーザー名とアカウンティングセッションIDを使用して切断を実行します。実際のリクエストは、AAAサービスフレームワークが処理します。
メッセージ交換
RADIUSサーバーとAAAサービスフレームワークは、UDPを使用してメッセージを交換します。RADIUSサーバーから送信されるDisconnect-Requestメッセージは、認証変更操作のために送信されるCoA-Requestパケットと同じ形式です。
切断応答は、Disconnect-ACKまたはDisconnect-NAKメッセージのいずれかです。
AAAサービスフレームワークがユーザーの接続を切断に成功した場合、応答はDisconnect-ACKメッセージを含むRADIUS形式のパケットです。
AAAサービスフレームワークがユーザーの接続を切断できない場合、リクエストの形式が正しくない場合、またはリクエストに属性が欠落している場合、応答はDisconnect-NAKメッセージを含むRADIUS形式のパケットです。
AAAサービスフレームワークは、加入者ごとに一度に1つの動的リクエストを処理します。同じ加入者に対する以前の要求(CoAまたは別のDisconnect-Request)の処理中にフレームワークが2つ目の動的要求を受信した場合、フレームワークはDisconnect-NAKメッセージを返します。
RADIUS開始切断のメリット
RADIUSサーバーが加入者セッションを動的に終了できるようにします。この一元的な加入者管理機能により、運用担当者が終端する際にルーターでのアクションが必要になるため、多数の加入者の処理が簡素化されます。
関連項目
加入者サービスの使用しきい値
Junos OSリリース14.1以降、加入者管理では、サービスが動的にアクティブ化されたとき、または既存のサービスがRADIUS CoAアクションによって変更されたときに、使用しきい値を設定して加入者サービスを管理できます。指定されたしきい値に達すると、サービスは非アクティブ化されます。
加入者管理では、トラフィック量と時間の2種類の使用しきい値をサポートしています。使用しきい値の設定には、ジュニパーネットワークスのVSAを使用します。VSA は、動的にアクティブ化されたサービスの RADIUS Access-Accept メッセージ、または既存のサービスの RADIUS 開始 CoA-Request メッセージで送信されます。ボリュームしきい値は、サービスが非アクティブ化されるまでにサービスを使用できる入出力トラフィックの合計の最大量を設定します。時間しきい値は、サービスがアクティブになることができる最大時間を設定します。 表3は 、ボリュームと時間のしきい値に使用されるVSAを示しています。
属性番号 |
属性名 |
説明 |
値 |
|---|---|---|---|
26-67 |
サービスボリューム |
サービスを使用できる入出力トラフィックの量(MB)。ボリュームを超えると、サービスは非アクティブ化されます。タグ付きVSAは、8つのタグ(1-8)をサポートします。ルーターは、10 分間隔でトラフィックをポーリングします。 |
|
26-68 |
サービスタイムアウト |
サービスがアクティブにできる秒数。タイムアウトが終了すると、サービスは非アクティブ化されます。タグ付きVSAは、8つのタグ(1-8)をサポートします。 |
|
26-179 |
サービスボリュームギガワード |
サービスを使用できる入出力トラフィックの量(4GB単位)。ボリュームを超えると、サービスは非アクティブ化されます。タグ付きVSAは、8つのタグ(1-8)をサポートします。ルーターは、10 分間隔でトラフィックをポーリングします。 |
|
26-180 |
アップデートサービス |
既存のサービスのサービスと時間クォータの新しい値。タグ付きVSAは、8つのタグ(1-8)をサポートします。 |
文字列: service-name |
関連項目
加入者セッションログインとサービスアクティベーション失敗の概要
加入者がログインを試み、RADIUSによって認証されると、Access-Acceptメッセージには、特定のネットワークファミリー用にアクティブ化するRADIUS Activate-Service VSA(26-65)内のサービスが含まれる場合があります。設定やサービスの種類によっては、サービスを有効にしないと、加入者のログインが拒否される場合があります。
[edit access profile profile-name radius options]階層レベルでservice activationステートメントを使用して、アクティベーション失敗後の動作を設定できます。
以下のオプションを使用して、2つのタイプのサービスに対してこの動作を個別に設定します。
dynamic-profile—このサービスタイプは、加入者アクセスプロファイルによって適用される動的プロファイルで設定されます。extensible-service—このサービスタイプは、ESSM(Extensible Subscriber Services Manager)操作スクリプトで設定されます。これらのサービスは、多くの場合、ビジネス加入者向けに新しいインターフェイスを設定します。
以下のオプションを使用して、これらのサービスのアクティベーションを加入者ログインアクセスに必須かオプションかを指定します。
required-at-login—アクティベーションが必要です。何らかの理由で障害が発生すると、そのネットワークファミリーのNetwork-Family-Activate-Requestが失敗します。加入者に対して他のネットワークファミリーがまだアクティブでない場合、クライアントアプリケーションは加入者をログアウトします。これは、dynamic-profileサービスタイプのデフォルトの動作です。optional-at-login—アクティベーションはオプションです。設定エラーによる障害は、アドレスファミリーのアクティブ化を妨げるものではありません。これにより、加入者アクセスが許可されます。その他の理由で障害が発生すると、ネットワーク ファミリーのアクティベーションに失敗します。加入者に対して他のネットワークファミリーがまだアクティブでない場合、クライアントアプリケーションは加入者をログアウトします。これは、extensible-serviceサービスタイプのデフォルトの動作です。
加入者セキュアポリシー(トラフィックを仲介デバイスにミラーリングするため)の有効化に関連する障害は、ポリシーの対象となる加入者のアクセスには影響しません。
この設定は、RADIUS CoA リクエスト、JSRC Push-Profile-Request(PPR)メッセージ、または加入者セキュアポリシーによってアクティブ化されたサービスには適用されません。
dynamic-profileサービスタイプでは、設定エラーには次のようなものがあります。
動的プロファイルとその属性の解析エラー
必須のユーザー変数がありません。
存在しない動的プロファイルへの参照。
動的プロファイルのセマンティック チェックに失敗します。
extensible-serviceサービスタイプでは、設定エラーには次のようなものがあります。
操作スクリプトの解析エラー
コミットに失敗します。
サービスをアクティブ化するために、authdは適切なサービスのアクティベーションリクエストを加入者管理インフラストラクチャ(SMI)に送信します。例えば、リクエストがIPv4ファミリー向けの場合、IPv4サービスのみのアクティベーションをリクエストします。次に、SMI は、cosd や filterd などの、サービスに関連付けられたサーバーデーモンに要求を送信します。デーモンによって返される結果によって、サービス・アクティベーションの成功か失敗かが判別されます。
すべてのサーバーデーモンが成功を報告すると、SMI が authd に成功を報告し、サービスがアクティブになります。
いずれかのサーバーデーモンが設定エラーを報告し、デーモンが非設定エラーを報告しない場合、SMI は設定エラーを authd に報告します。サービスはアクティベートされませんが、設定によってはネットワークファミリーのアクティベーションに成功する場合があります。
サーバーデーモンが非設定エラーを報告する場合、SMI は認証への失敗を報告し、サービスはアクティブ化されません。
サービスとネットワークファミリーのアクティベーションプロセス
加入者がログインすると、authdは、加入者が認証された後、対応するアドレスファミリーを有効にする必要があります。DHCPやPPPなどのクライアントアプリケーションは、IPv4またはIPv6の単一のネットワークファミリーのアクティベーションをリクエストしたり、両方のファミリのアクティベーションを順次リクエストしたりできます。ネットワークファミリーのアクティベーションの成功は、関連サービスのアクティベーションに関係します。以下の手順では、認証に RADIUS を使用するように authd が設定されている場合のプロセスを説明します。
加入者がログインを試みます。
クライアントアプリケーションは、authdに認証を要求します。
authd は、Access-Request メッセージを RADIUS サーバーに送信します。
RADIUSサーバーは、RADIUS Activate-Service VSA(26-65)を含むAccess-Acceptメッセージをauthdに送信します。
authd は、サービス アクティベーション属性をキャッシュし、クライアント アプリケーションに許可を送信します。
クライアントアプリケーションは、IPv4またはIPv6アドレスファミリーに対して、最初のNetwork-Family-Activateリクエストを送信します。この要求は、クライアントアクティベーション要求とも呼ばれます。
Authdは、キャッシュされたサービスアクティベーション属性を確認し、適切なサービスのアクティベーションリクエストを加入者管理インフラストラクチャ(SMI)に送信します。例えば、リクエストがIPv4ファミリー向けの場合、IPv4サービスのみのアクティベーションをリクエストします。次に、SMI は、cosd や filterd などの、サービスに関連付けられたサーバーデーモンに要求を送信します。
authd が次に何をするかは、サービスアクティベーションリクエストが失敗するかどうか、およびサービスがオプションか必須かによって異なります。
設定エラーによりサービスのアクティベーションに失敗し、サービスがオプションである場合:
authdは、キャッシュされたサービスのサービスアクティベーション属性を削除します。
注:この削除により、障害が発生したサービスからの干渉を受けることなく、RADIUS Change of Authorization(CoA)リクエストまたは CLI コマンドを使用してサービスリクエストを再発行できるようになります。
authd はファミリーのアクティベーションリクエストに応答して ACK を送信し、ファミリーがアクティブになります。
加入者ログインが続行されます。
設定エラーによりサービスアクティベーションに失敗し、サービスが必要な場合:
authdは、キャッシュされたサービスのサービスアクティベーション属性を削除します。
注:この削除により、障害が発生したサービスからの干渉を受けることなく、RADIUS Change of Authorization(CoA)リクエストまたは CLI コマンドを使用してサービスリクエストを再発行できるようになります。
authd はファミリーのアクティベーションに応答して NACK を送信するため、クライアントアプリケーションは加入者のログインを終了します。
非設定エラーが原因でサービスアクティベーションに失敗し、サービスがオプションまたは必須の場合:
authdは、キャッシュされたサービスのサービスアクティベーション属性を削除します。
注:この削除により、障害が発生したサービスからの干渉を受けることなく、RADIUS Change of Authorization(CoA)リクエストまたは CLI コマンドを使用してサービスリクエストを再発行できるようになります。
authd はファミリーのアクティベーションに応答して NACK を送信するため、クライアントアプリケーションは加入者のログインを終了します。
サービスアクティベーションが成功した場合:
authd がサービスを有効にします。
authd はファミリーのアクティベーションリクエストに応答して ACK を送信し、ファミリーがアクティブになります。
加入者ログインが続行されます。
サービス アクティブ化が必要で失敗し、最初の要求でファミリーのアクティブ化が失敗しない限り、クライアント アプリケーションは 2 番目の要求を送信することができますが、これは最初に要求されなかったファミリに対してのみです。最初のリクエストが IPv4 用の場合、2 番目のリクエストは IPv6 用のみです。最初のリクエストがIPv6の場合、2番目のリクエストはIPv4用のみです。
Authd は、キャッシュされたサービスアクティベーション属性を確認し、リクエストされたアドレスファミリーに関連するサービスのアクティベーションをリクエストします。
authd が次に何をするかは、サービスアクティベーションリクエストが失敗するかどうか、およびサービスがオプションか必須かによって異なります。
設定エラーによりサービスのアクティベーションに失敗し、サービスがオプションである場合:
authdは、キャッシュされたサービスのサービスアクティベーション属性を削除します。
注:この削除により、障害が発生したサービスからの干渉を受けることなく、RADIUS Change of Authorization(CoA)リクエストまたは CLI コマンドを使用してサービスリクエストを再発行できるようになります。
authd はファミリーのアクティベーションリクエストに応答して ACK を送信し、ファミリーがアクティブになります。
加入者ログインが続行されます。
設定エラーによりサービスアクティベーションに失敗し、サービスが必要な場合:
authdは、キャッシュされたサービスのサービスアクティベーション属性を削除します。
注:この削除により、障害が発生したサービスからの干渉を受けることなく、RADIUS Change of Authorization(CoA)リクエストまたは CLI コマンドを使用してサービスリクエストを再発行できるようになります。
authd は、ファミリーのアクティブ化に応答して NACK を送信します。これは 2 番目のファミリー アクティブ化要求であるため、最初のファミリー アクティブ化の結果によって、次に何が起こるかが決まります。
最初のファミリーアクティベーションが成功し、その加入者がログインした場合、2番目のリクエストが失敗しても、現在の加入者ログインは停止しません。また、このイベントによって、authdが前の(最初のリクエスト)加入者をログアウトすることはありません。
最初のファミリーアクティベーションが失敗した場合、2番目のリクエストが失敗すると、クライアントアプリケーションは現在の加入者ログインを終了します。
非設定エラーが原因でサービスアクティベーションに失敗し、サービスがオプションまたは必須の場合:
authdは、キャッシュされたサービスのサービスアクティベーション属性を削除します。
注:この削除により、障害が発生したサービスからの干渉を受けることなく、RADIUS Change of Authorization(CoA)リクエストまたは CLI コマンドを使用してサービスリクエストを再発行できるようになります。
authd はファミリーのアクティベーションに応答して NACK を送信するため、クライアントアプリケーションは加入者のログインを終了します。
サービスアクティベーションが成功した場合:
authd がサービスを有効にします。
authd はファミリーのアクティベーションリクエストに応答して ACK を送信し、ファミリーがアクティブになります。
加入者ログインが続行されます。
サービスアクティベーション失敗が加入者ログインに与える影響の設定
加入者ログイン中にオプションサービスのアクティベーションに失敗した場合、ログイン結果に与える影響を設定できます。これらのオプション サービスは、加入者の初期ログイン時に表示される RADIUS Access-Accept メッセージに表示される RADIUS Activate-Service VSA(26-65)で参照されるものです。
これら2つのサービスアクティベーションタイプは、必須またはオプションに設定できます。
dynamic-profile—これらのサービスは、ブロードバンドアプリケーションの加入者アクセスとサービスを提供するために、加入者アクセスプロファイルによって適用される動的プロファイルで設定されます。デフォルトでは、ログインに成功するにはサービスのアクティベーションが必要です。サービスアクティベーション中に設定エラーが発生すると、ネットワークファミリーがアクティベートできず、加入者ログインに失敗します。extensible-service—これらのサービスは、ビジネス加入者向けのESSM(Extensible Subscriber Services Manager)デーモン(essmd)によって処理される操作スクリプトによって適用されます。デフォルトでは、サービスアクティベーションは加入者ログインの成功のためにオプションです。
service-activationステートメントの設定は、動的プロファイルまたはESSM操作スクリプトの設定エラーによるアクティベーション失敗にのみ影響します。非設定エラーによる障害は、常に加入者のアクセスを拒否し、ログイン試行を中止する結果につながります。
動的プロファイルサービスの動作を設定するには、以下のいずれかを実行します。
サービスのアクティベーションがオプションであることを指定します。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile optional-at-login
サービスのアクティベーションが必要であることを指定します(デフォルト)。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile required-at-login
ESSM サービスの動作を設定するには、次のいずれかを実行します。
サービスのアクティベーションが必要であることを指定します。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service required-at-login
サービスのアクティベーションをオプション(デフォルト)に指定します。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service optional-at-login
関連項目
動的リクエストのエラー原因コード(RADIUS属性101)
RADIUS が開始した CoA または切断操作が失敗した場合、ルーターは RADIUS サーバーに送り返す CoA-NAK または Disconnect-NAK メッセージにエラー原因属性(RADIUS 属性 101)を含めます。検出されたエラーがサポートされているエラー原因属性のいずれにもマッピングされない場合、ルーターはエラー原因属性を使用せずにメッセージを送信します。 表4に エラー原因コードを示します。
コード |
値 |
説明 |
|---|---|---|
401 |
非対応な属性 |
この要求には、サポートされていない属性(サードパーティーの属性など)が含まれています。 |
402 |
属性の欠損 |
重要な属性(セッション識別属性など)が要求に含まれていません。 |
404 |
無効な要求 |
1つ以上の属性のフォーマットが正しくない場合など、要求の他の側面が無効です。 |
503 |
セッションコンテキストが見つかりません |
要求で指定されたセッションコンテキストがルーター上に存在しません。 |
504 |
セッションコンテキストが削除できません |
要求内の属性によって識別される加入者は、サポートされていないコンポーネントによって所有されています。 |
506 |
無効なリソース |
使用可能な NAS リソース (メモリなど) が不足しているため、要求に応じることができませんでした。 |
関連項目
RADIUS動的リクエスト統計の検証
目的
RADIUS動的リクエストの統計と情報を表示します。
アクション
RADIUS動的リクエスト統計情報を表示するには:
user@host>show network-access aaa statistics dynamic-requests
関連項目
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。