RADIUSによるダイナミックなサービスサービス管理
加入者アクセス管理のための RADIUS 動的要求の使用
RADIUS 動的要求は、加入者セッションを集中管理する効率的な方法を提供します。AAA サービス フレームワークの RADIUS 動的要求サポートにより、RADIUS サーバは、未承諾の要求メッセージをルーターに送信することで、終了操作などのユーザ関連操作を開始できます。RADIUS 動的要求機能を使用しない場合、RADIUS ユーザーの接続を切断する唯一の方法はルーターから切断することであり、これは大規模なネットワークでは面倒で時間がかかる可能性があります。
一般的なクライアントサーバーRADIUS環境では、ルーターはクライアントとして機能し、リモートRADIUSサーバーに送信された要求を開始します。ただし、RADIUS 動的要求を使用する場合は、役割が逆になります。例えば、切断操作中、リモートRADIUSサーバーはクライアントとして動作し、要求を開始します(切断アクション)。ルーターは関係のサーバーとして機能します。
アクセスプロファイルを作成して、RADIUS 動的要求をサポートするルーターを設定します。この設定により、ルーターはリモートRADIUSサーバから次のタイプのメッセージを受信し、処理することができます。
Access-Acceptメッセージ—加入者のログイン時に受信したRADIUS Access-Acceptメッセージの属性に基づいて、サービスを動的にアクティブ化します。
Change-of-Authorization(CoA)メッセージ—CoAメッセージの属性に基づいて、アクティブセッションを動的に変更します。CoAメッセージには、サービス作成リクエスト、削除リクエスト、RADIUS属性、およびジュニパーネットワークスVSAが含まれることがあります。
切断メッセージ—特定の加入者セッションを直ちに終了します。
デフォルトでは、ルーターはRADIUSサーバーからのCoA要求のUDPポート3799を監視します。また、RADIUSサーバー用にデフォルト以外のポートを設定することもできます。すべてのRADIUSサーバーにデフォルトポートを使用するか、すべてのRADIUSサーバーに同じデフォルト以外のポートを設定する必要があります。このルールは、グローバルアクセスレベルとアクセスプロファイルレベルの両方に適用されます。
その他の設定はコミットチェック失敗となります。複数のポート番号、つまり、サーバーごとに異なるポート番号はサポートされていません。
RADIUS ダイナミック要求のメリット
属性の変更、サービスの有効化、サービスの無効化、セッションの終了など、加入者セッションに未承諾の変更を送信することで、加入者セッションの簡素化された一元管理を可能にします。
参照
RADIUS 開始動的要求サポートの設定
ルーターは、指定されたRADIUS認証サーバーのリストを、認証と動的リクエスト操作の両方に使用します。デフォルトでは、ルーターはUDPポート3799の動的リクエスト(認可変更(CoA)リクエストとしても知られる)を監視します。
RADIUS 動的要求サポートを構成するには:
RADIUS サーバーの IP アドレスを指定します。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3
複数の RADIUS サーバーからの動的要求をサポートするようにルーターを構成するには:
複数のRADIUSサーバーのIPアドレスを指定します。
[edit access profile isp-bos-metro-fiber-basic radius] user@host# set authentication-server 192.168.1.3 192.168.10.15
動的リクエストポートを設定する場合は、次のいずれかを実行する必要があります。
グローバルアクセスレベルとすべてのアクセスプロファイルの両方で、すべてのRADIUSサーバーにデフォルトポートを使用します。
グローバルアクセスレベルとすべてのアクセスプロファイルの両方で、すべてのサーバーに同じ非デフォルトポートを設定します。
その他の設定はコミットチェック失敗となります。複数のポート番号、つまり、サーバーごとに異なるポート番号はサポートされていません。
グローバル動的要求ポートを指定するには、次のようにします。
[edit access] user@host# set radius-server server-address dynamic-request-port port-number
特定のアクセスプロファイルの動的リクエストポートを指定するには、以下を行います。
[edit access] user@host# set profile profile-name radius-server server-address dynamic-request-port port-number
以下のようなシナリオを考えてみましょう:
次の設定では、グローバルのサーバーとアクセス プロファイル内の別のサーバーの両方にデフォルト ポートを使用します。これは有効な設定です。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set profile ap1 radius-server 192.0.2.3
以下の設定では、グローバルのサーバーとアクセス プロファイル内の別のサーバーの両方に、デフォルト以外のポート 50201 を指定します。これは有効な設定です。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.3 dynamic-request-port 50201
以下の設定では、ap1アクセスプロファイルで、サーバーに対してグローバルにポート50201を指定し、同じサーバーに対してポート51133を指定します。これは無効な設定であり、複数の非デフォルトポートがサポートされていないため、コミットチェックは失敗します。
[edit access] user@host# set radius-server 192.0.2.1 dynamic-request-port 50201 user@host# set profile ap1 radius-server 192.0.2.1 dynamic-request-port 51133
次の構成では、1 つのサーバーにグローバルに既定のポート 3799 を使用し、別のサーバーにポート 51133 をグローバルに使用します。これは無効な設定であり、コミットチェックは失敗します。なぜなら、すべてのサーバーに対して、デフォルトポートまたは同じ非デフォルトポートのいずれかを設定する必要があるからです。
[edit access] user@host# set radius-server 192.0.2.1 user@host# set radius-server 192.0.2.3 dynamic-request-port 51133
参照
RADIUSが開始する認可変更(CoA)の概要
AAA サービス フレームワークは、CoA メッセージを使用して、アクティブな加入者セッションを動的に変更します。たとえば、CoAメッセージ内のRADIUS属性は、加入者サービスの作成、変更、または終了をフレームワークに指示する場合があります。また、CoAメッセージを使用して、現在の加入者サービスの使用しきい値を設定または変更することもできます。
CoAメッセージ
動的リクエストのサポートにより、ルーターは外部RADIUSサーバーからの未承諾のCoAメッセージを受信して処理できます。RADIUS 発信の CoA メッセージでは、リクエスト メッセージとレスポンス メッセージで次のコードが使用されます。
CoAリクエスト (43)
CoA-ACK(44)
CoA-NAK(45)
認可変更の資格
ユーザーの許可の変更を完了するには、識別属性とセッション属性を指定します。識別属性は加入者を識別します。セッション属性は、加入者のセッションで実行する操作(アクティブ化または非アクティブ化)を指定し、セッションのクライアント属性(QoS 属性など)も含みます。実際の要求は AAA サービス フレームワークが処理します。
表 1 は、CoA 操作の識別属性を示しています。
属性 |
形容 |
|---|---|
User-Name [RADIUS 属性 1] |
加入者のユーザー名。 |
Acct-Session-ID [RADIUS属性 44] |
特定の加入者セッション。 |
Acct-Session-ID属性を使用して加入者セッションを識別することは、User-Name属性を使用するよりも明示的です。User-Nameを識別子として使用すると、指定されたユーザー名でログインした最初のセッションにCoA操作が適用されます。ただし、加入者は同じユーザー名に複数のセッションが関連付けられている場合があるため、最初のセッションがCoA操作の正しいセッションではない可能性があります。
Acct-Session-ID属性を使用すると、特定の加入者セッションを識別し、潜在的なエラーを回避します。Acct-Session-ID属性には、セッションIDに加えてインターフェイス指定子を含めることができますが(属性が記述形式の場合)、加入者の照合に使用されるのはセッションIDのみです。例えば、加入者の加入者セッションIDが 54785の場合、Acct-Session-ID属性が 54785 (10進数形式)、 jnpr demux0.1073759682:54785 (記述形式)、または実際に any value:54785 (記述形式)の場合、加入者は一致します。
表 2 は、CoA 操作のセッション属性を示しています。インクルードする追加のクライアント属性は、特定のセッション要件によって異なります。
属性 |
形容 |
|---|---|
アクティブ化サービス [ジュニパーネットワークス VSA 26-65] |
サブスクライバーに対してアクティブ化するサービス。 |
サービスの非アクティブ化 [ジュニパーネットワークス VSA 26-66] |
加入者に対して非アクティブ化するサービス。 |
Service-Volume [ジュニパーネットワークス VSA 26-67] |
サービスを使用できるトラフィック量 (MB 単位)。ボリュームを超えると、サービスは非アクティブ化されます。 |
Service-Timeout [ジュニパーネットワークス VSA 26-68] |
サービスをアクティブにできる秒数。タイムアウトの期限が切れると、サービスは非アクティブ化されます。 |
Service-Volume-Gigawords [ジュニパーネットワークス VSA 26-179] |
サービスを使用できるトラフィック量(4GB単位)。ボリュームを超えると、サービスは非アクティブ化されます。 |
アップデートサービス [ジュニパーネットワークス VSA 26-180] |
既存のサービスに対するサービスと時間クォータの新しい値。 |
メッセージ交換
ルーター上の RADIUS サーバーと AAA サービス フレームワークは、UDP を使用してメッセージを交換します。RADIUSサーバーから送信されるCoA-Requestメッセージは、切断操作のために送信されるDisconnect-Requestパケットと同じ形式です。
応答は、CoA-ACKまたはCoA-NAKメッセージのいずれかです。
AAAサービスフレームワークが認証を正常に変更した場合、応答はCoA-ACKメッセージを含むRADIUS形式のパケットとなり、データフィルタがセッションに適用されます。
AAAサービスフレームワークが失敗した場合、要求の形式が正しくない場合、または属性が欠落している場合、応答はCoA-NAKメッセージを含むRADIUS形式のパケットです。
AAA サービス フレームワークは、加入者ごとに一度に 1 つの動的要求を処理します。フレームワークが、同じ加入者に対する以前のリクエストを処理中に2つ目の動的リクエスト(別のCoAまたはDisconnect-Request)を受信した場合、フレームワークはCoA-NAKメッセージを返します。Junos OS リリース15.1R5以降、CoA-Requestの再試行メッセージは無視され、応答としてCoA-NAKは送信されません。
一括CoAトランザクション
Junos OS リリース 17.2R1 以降、バルク CoA 要求がサポートされ、BNG 上の RADIUS ベースの加入者サービスの処理効率が向上します。一括CoA機能では、一連のCoAリクエストを蓄積し、それらすべてを一括で自動的にコミットできます。
一括CoAリクエスト内のすべてのサービスは、同じ加入者セッション用である必要があります。
バルクCoAトランザクションは、ビジネスサービスにとって特に価値があります。RADIUSベースの加入者サービスは、ジュニパーネットワークスのVSAであるActivate-Service(26-65)とDeactivate-Service(26-66)を使用します。VSAは、ログイン時のRADIUS-Acceptメッセージまたはログイン後のCoAリクエストで提供されます。
従来の動的なサービス プロファイル ベースのサービスでは、どちらの RADIUS メッセージにも最大 12 個のサービス アクティブ化を簡単に設定できます。ただし、企業が使用する op-script ベースのサービスには、通常、いずれかのメッセージの容量を超えるスケーリング要件があります。つまり、特定の加入者セッションで必要なすべてのサービスを指定してアクティブ化するには、Accept-Access メッセージと複数の CoA 要求の使用が必要になる場合があります。
各CoAリクエストメッセージは、同じ加入者セッション内の以前および将来のCoAリクエストから独立しています。メッセージ内のすべてのサービス有効化および無効化は、CoA応答が提供される前に処理されます。CoAリクエストは、すでに存在する既存のサービスに影響を与えることなく、加入者セッションを段階的に変更する方法を提供します。
op-scriptベースのサービスの場合、サービスセッションはauthdプロセスとessmdプロセスによって共同で作成され、最後の操作でコミットが開始され、CoAリクエストから結果として得られるすべての静的ビジネス論理インターフェイスが適用されます。コミット時間は一般的に静的なビジネス サービスを適用する場合の最も大きな部分であるため、コミット ウィンドウを効率的に使用するには、RADIUS メッセージ内に収まるだけ多くのサービス アクティブ化または非アクティブ化をパックする方が利点があります。コミット操作が完了するまで、BNGは、同じ加入者セッションに追加のビジネスサービスを適用するための後続のCoA要求を受け入れることができません。
一括CoAは、一括トランザクションのすべてのサービスに対して単一のコミットアクションを使用することで、コミット処理の効率を向上させます。一括トランザクションには、一連の要求を 1 つのメタ要求として管理する効果があります。一括トランザクションの最後のCoA要求を受信するまで、コミット処理を延期します。
バルクCoAでは、個々のリクエストに、ジュニパーネットワークスのBulk-CoA-Transaction-Id VSA(26–194)のインスタンスを1つ含める必要があります。このVSAは、リクエストを同じバルクトランザクションに属するものとして識別します。26〜194は、バルクシリーズのすべてのCoA要求で同じ値を持つ必要があります。セッション内の連続する一括トランザクションには、それぞれ異なる識別子が必要です。たとえば、3 つの連続する一括トランザクションの ID は 1、2、1 の ID を持つことができますが、1、1、2 の連続した ID を持つことはできません。実際には、Bulk-CoA-Transaction-Id値は通常、複数の一括トランザクションに対して増分されますが、これは必須ではありません。特定の加入者セッションで使用される ID 値は、異なる加入者セッションでも使用できます。
バルクトランザクション内の各CoAリクエストには、各CoAのBulk-CoA-Identifier VSA(26〜195)の単一のインスタンスによって提供される独自の意の識別子があります。ID の値の増加系列は一般的ですが、強制ではありません。値は、特定のセッション内およびセッション間で再利用できます。シリーズの最後のCoAリクエストは、Bulk-CoA-Identifierの値が0xFFFFFFFFであることで識別されます。
RADIUS によって開始される承認変更の利点
属性値の変更を加入者セッションに動的にプッシュできるほか、加入者サービスを動的に有効化および無効化できます。
参照
RADIUSが開始する切断の概要
この項では、RADIUS が開始する切断動的要求に対する AAA サービス フレームワークのサポートについて説明します。AAA サービス フレームワークは、切断メッセージを使用して、アクティブな加入者セッションを動的に終了します。
切断メッセージ
リモート アクセス 加入者の切断を一元的に制御するために、ルーターの RADIUS 動的要求機能は、RADIUS サーバーからの未承諾メッセージを受信して処理します。
動的要求機能では、既存の形式の RADIUS 切断要求および応答メッセージを使用します。RADIUS initiated disconnect は、RADIUS 要求メッセージと応答メッセージで次のコードを使用します。
切断要求 (40)
Disconnect-ACK(41)
Disconnect-NAK(42)
切断の資格
AAA サービス フレームワークがユーザを切断するには、Disconnect-Request メッセージにアカウンティング セッション ID を持つ属性が含まれている必要があります。Disconnect-Requestメッセージには、セッションIDのAcct-Session-Id(44)属性またはAcct-Multi-Session-Id(50)属性、あるいはその両方を含めることができます。Acct-Session-Id属性とAcct-Multi-Session-Id属性の両方が要求に存在する場合、ルーターは両方の属性を使用します。User-Name(1)属性も要求に存在する場合、ユーザー名とアカウンティングセッションIDを使用して切断が実行されます。実際の要求は AAA サービス フレームワークが処理します。
メッセージ交換
RADIUS サーバーと AAA サービス フレームワークは、UDP を使用してメッセージを交換します。RADIUSサーバーから送信されるDisconnect-Requestメッセージは、認証変更操作のために送信されるCoA-Requestパケットと同じ形式です。
切断応答は、Disconnect-ACKまたはDisconnect-NAKメッセージのいずれかです。
AAA サービス フレームワークがユーザの接続切断に成功した場合、応答は Disconnect-ACK メッセージを含む RADIUS 形式のパケットです。
AAA サービス フレームワークがユーザを切断できない場合、要求の形式が正しくない場合、または要求に属性がない場合、応答は Disconnect-NAK メッセージを含む RADIUS 形式のパケットです。
AAA サービス フレームワークは、加入者ごとに一度に 1 つの動的要求を処理します。フレームワークは、同じ加入者に対する以前の要求(CoA または別の Disconnect-Request)を処理中に 2 つ目の動的要求を受信した場合、Disconnect-NAK メッセージを返します。
RADIUSによる切断の利点
RADIUS サーバーが加入者セッションを動的に終了できるようにします。この集中加入者管理機能により、多数の加入者の処理が簡素化されます。そうでなければ、オペレータの終端にはルーターでのアクションが必要になるためです。
参照
加入者サービスの使用しきい値
Junos OS リリース 14.1 以降、加入者管理では、サービスが動的にアクティブ化されたとき、または RADIUS CoA アクションによって既存のサービスが変更されたときに、使用しきい値を設定して加入者サービスを管理できます。指定されたしきい値に達すると、サービスは非アクティブ化されます。
加入者管理では、トラフィック量と時間の 2 種類の使用量しきい値がサポートされます。使用しきい値は、ジュニパーネットワークスVSAを使用して設定します。VSAは、動的に起動されたサービスに対してはRADIUS Access-Acceptメッセージで、また既存サービスに対してはRADIUSが開始するCoA-Requestメッセージ内で送信されます。ボリュームしきい値は、サービスが非アクティブ化される前にサービスを使用できる入出力トラフィックの合計の最大量を設定します。時間しきい値は、サービスをアクティブにできる最大時間を設定します。 表 3 は、ボリュームと時間のしきい値に使用される VSA を示しています。
属性番号 |
属性名 |
形容 |
価値 |
|---|---|---|---|
26-67 |
サービスボリューム |
サービスを使用できる入力および出力トラフィックの量 (MB 単位)。ボリュームを超えると、サービスは非アクティブ化されます。タグ付き VSA は、8 つのタグ (1-8) をサポートします。ルーターは 10 分間隔でトラフィックをポーリングします。 |
|
26-68 |
サービスタイムアウト |
サービスをアクティブにできる秒数。タイムアウトの期限が切れると、サービスは非アクティブ化されます。タグ付き VSA は、8 つのタグ (1-8) をサポートします。 |
|
26-179 |
サービスボリュームギガワード |
サービスを使用できる入出力トラフィックの量(4GB単位)。ボリュームを超えると、サービスは非アクティブ化されます。タグ付き VSA は、8 つのタグ (1-8) をサポートします。ルーターは 10 分間隔でトラフィックをポーリングします。 |
|
26-180 |
更新サービス |
既存のサービスのサービスと時間クォータの新しい値。タグ付き VSA は、8 つのタグ (1-8) をサポートします。 |
糸: service-name |
参照
加入者のセッションログインとサービスアクティベーションの失敗の概要
加入者がログインを試み、RADIUSによって認証されると、Access-Acceptメッセージには、特定のネットワークファミリーに対してアクティブ化されるRADIUS Activate-Service VSA(26-65)のサービスが含まれる場合があります。設定とサービスの種類によっては、サービスをアクティブ化しないと、加入者のログインが拒否される場合があります。
[edit access profile profile-name radius options]階層レベルでservice activationステートメントを使用して、アクティベーション失敗後の動作を設定することができます。
次のオプションを使用して、この動作を 2 種類のサービスに対して個別に構成します。
dynamic-profile- このサービス タイプは、加入者アクセス プロファイルによって適用される動的プロファイルで設定されます。extensible-service- このサービス タイプは、Extensible Subscriber Services Manager(ESSM)操作スクリプトで設定されます。これらのサービスは、多くの場合、ビジネス加入者向けに新しいインターフェイスを設定します。
次のオプションを使用して、加入者のログイン アクセスにこれらのサービスの正常なアクティベーションが必要かオプションかを指定します。
required-at-login- アクティベーションが必要です。何らかの理由で障害が発生すると、そのネットワーク ファミリの Network-Family-Activate-Request が失敗します。サブスクライバーに対して他のネットワーク ファミリがまだアクティブでない場合、クライアント アプリケーションはサブスクライバーをログアウトします。これは、dynamic-profileサービスタイプのデフォルトの動作です。optional-at-login- アクティベーションはオプションです。設定エラーによる障害があっても、アドレスファミリーのアクティベーションが妨げられることはありません。これにより、加入者はアクセスできるようになります。その他の理由で障害が発生すると、ネットワーク ファミリのアクティベーションが失敗します。サブスクライバーに対して他のネットワーク ファミリがまだアクティブでない場合、クライアント アプリケーションはサブスクライバーをログアウトします。これは、extensible-serviceサービスタイプのデフォルトの動作です。
加入者セキュア・ポリシー(メディエーション・デバイスへのトラフィックのミラーリング用)のアクティブ化に関連する障害は、ポリシーの対象となる加入者によるアクセスには影響しません。
この設定は、RADIUS CoAリクエスト、JSRC Push-Profile-Request(PPR)メッセージ、または加入者の安全ポリシーによって起動されるサービスには適用されません。
dynamic-profileサービスタイプの場合、設定エラーには次のものが含まれます。
動的プロファイルとその属性の解析エラー。
必須のユーザー変数がありません。
存在しない動的プロファイルへの参照。
動的プロファイルのセマンティック チェックの失敗。
extensible-serviceサービスタイプの場合、設定エラーには次のものが含まれます。
操作スクリプトのエラーを解析します。
コミットの失敗。
サービスをアクティブ化するために、authd は適切なサービスのアクティブ化要求を加入者管理インフラストラクチャー(SMI)に送信します。例えば、リクエストがIPv4ファミリー向けのものである場合、IPv4サービスのみのアクティベーションを要求します。次に、SMI は、cosd や filterd などのサービスに関連付けられたサーバーデーモンに要求を送信します。デーモンによって返された結果によって、サービスのアクティブ化が成功したか失敗したかが決まります。
すべてのサーバーデーモンが成功を報告すると、SMI は authd に成功を報告し、サービスがアクティブ化されます。
いずれかのサーバーデーモンが構成エラーを報告し、非構成エラーを報告するデーモンがない場合、SMI は構成エラーを authd に報告します。サービスはアクティブ化されていませんが、構成によっては、ネットワーク ファミリのアクティブ化が成功する場合があります。
いずれかのサーバー・デーモンが非構成エラーを報告すると、SMI は authd に失敗を報告し、サービスは活動化されません。
サービスとネットワークファミリーのアクティベーションプロセス
加入者がログインすると、加入者が認証された後、authd は対応するアドレスファミリーを有効化する必要があります。DHCP や PPP などのクライアントアプリケーションは、IPv4 または IPv6 という 1 つのネットワーク ファミリのアクティベーションを要求することも、両方のファミリのアクティベーションを順次要求することもできます。ネットワーク ファミリのアクティベーションの成功は、関連するサービスのアクティベーションに関連しています。次の手順では、認証に RADIUS を使用するように authd が構成されている場合のプロセスを説明します。
サブスクライバーがログインを試みます。
クライアント アプリケーションは authd からの認証を要求します。
authd は、RADIUS サーバーに Access-Request メッセージを送信します。
RADIUS サーバーは、RADIUS Activate-Service VSA(26-65)を含む Access-Accept メッセージを authd に送信します。
authd は、サービスアクティベーション属性をキャッシュし、クライアントアプリケーションにグラントを送信します。
クライアントアプリケーションは、IPv4 または IPv6 アドレスファミリーに対して、最初の Network-Family-Activate リクエストを送信します。この要求は、クライアントアクティブ化要求と呼ばれることもあります。
authd は、キャッシュされたサービスアクティベーション属性を確認し、適切なサービスのアクティベーション要求を加入者管理インフラストラクチャ(SMI)に送信します。例えば、リクエストがIPv4ファミリー向けのものである場合、IPv4サービスのみのアクティベーションを要求します。次に、SMI は、cosd や filterd などのサービスに関連付けられたサーバーデーモンに要求を送信します。
authd が次に行うことは、サービス アクティベーション要求が失敗するかどうか、およびサービスがオプションか必須かによって異なります。
設定エラーが原因でサービスのアクティベーションに失敗し、サービスがオプションの場合:
authd は、サービスのキャッシュされたサービスアクティベーション属性を削除します。
手記:この削除により、障害が発生したサービスに干渉されることなく、RADIUS Change of Authorization(CoA)リクエストまたはCLIコマンドを使用して、サービスリクエストを再発行することができます。
authd はファミリのアクティベーション要求に応答して ACK を送信し、ファミリがアクティベートされます。
加入者のログインが続行されます。
設定エラーが原因でサービスのアクティベーションに失敗し、サービスが必要な場合:
authd は、サービスのキャッシュされたサービスアクティベーション属性を削除します。
手記:この削除により、障害が発生したサービスに干渉されることなく、RADIUS Change of Authorization(CoA)リクエストまたはCLIコマンドを使用して、サービスリクエストを再発行することができます。
authd は、ファミリーのアクティベーションに応答して NACK を送信し、クライアントアプリケーションが加入者のログインを終了します。
非設定エラーが原因でサービスのアクティベーションに失敗し、サービスがオプションまたは必須の場合:
authd は、サービスのキャッシュされたサービスアクティベーション属性を削除します。
手記:この削除により、障害が発生したサービスに干渉されることなく、RADIUS Change of Authorization(CoA)リクエストまたはCLIコマンドを使用して、サービスリクエストを再発行することができます。
authd は、ファミリーのアクティベーションに応答して NACK を送信し、クライアントアプリケーションが加入者のログインを終了します。
サービスのアクティベーションが成功すると、次のようになります。
authd がサービスをアクティブ化します。
authd はファミリのアクティベーション要求に応答して ACK を送信し、ファミリがアクティベートされます。
加入者のログインが続行されます。
サービスのアクティベーションが必要で失敗し、ファミリのアクティベーションが最初の要求で失敗しない限り、クライアント アプリケーションは 2 番目の要求を送信できますが、1 回目に要求されなかったファミリに対してのみ送信されます。最初の要求が IPv4 用だった場合、2 番目の要求は IPv6 用のみです。最初の要求が IPv6 用だった場合、2 番目の要求は IPv4 用のみです。
authd は、キャッシュされたサービスアクティベーション属性を確認し、リクエストされたアドレスファミリーに関連付けられたサービスのアクティベーションを要求します。
authd が次に行うことは、サービス アクティベーション要求が失敗するかどうか、およびサービスがオプションか必須かによって異なります。
設定エラーが原因でサービスのアクティベーションに失敗し、サービスがオプションの場合:
authd は、サービスのキャッシュされたサービスアクティベーション属性を削除します。
手記:この削除により、障害が発生したサービスに干渉されることなく、RADIUS Change of Authorization(CoA)リクエストまたはCLIコマンドを使用して、サービスリクエストを再発行することができます。
authd はファミリのアクティベーション要求に応答して ACK を送信し、ファミリがアクティベートされます。
加入者のログインが続行されます。
設定エラーが原因でサービスのアクティベーションに失敗し、サービスが必要な場合:
authd は、サービスのキャッシュされたサービスアクティベーション属性を削除します。
手記:この削除により、障害が発生したサービスに干渉されることなく、RADIUS Change of Authorization(CoA)リクエストまたはCLIコマンドを使用して、サービスリクエストを再発行することができます。
authd は、ファミリーのアクティベーションに応答して NACK を送信します。これは 2 番目のファミリ ライセンス認証要求であるため、最初のファミリ ライセンス認証の結果によって、次に何が起こるかが決まります。
最初のファミリのアクティベーションが成功し、その加入者がログインした場合、2番目の要求が失敗しても、現在の加入者のログインは停止しません。また、このイベントによって、authdが以前の(最初のリクエスト)サブスクライバーをログアウトすることもありません。
最初のファミリのアクティベーションが失敗した場合、2番目のリクエストが失敗すると、クライアントアプリケーションは現在のサブスクライバーログインを終了します。
非設定エラーが原因でサービスのアクティベーションに失敗し、サービスがオプションまたは必須の場合:
authd は、サービスのキャッシュされたサービスアクティベーション属性を削除します。
手記:この削除により、障害が発生したサービスに干渉されることなく、RADIUS Change of Authorization(CoA)リクエストまたはCLIコマンドを使用して、サービスリクエストを再発行することができます。
authd は、ファミリーのアクティベーションに応答して NACK を送信し、クライアントアプリケーションが加入者のログインを終了します。
サービスのアクティベーションが成功すると、次のようになります。
authd がサービスをアクティブ化します。
authd はファミリのアクティベーション要求に応答して ACK を送信し、ファミリがアクティベートされます。
加入者のログインが続行されます。
サービス アクティベーションの失敗による加入者ログインへの影響の設定
加入者ログイン中にオプションサービスの有効化に失敗した場合、ログインの結果にどのような影響があるかを設定することができます。これらのオプション サービスは、加入者の初期ログイン時に RADIUS Access-Accept メッセージに表示される RADIUS Activate-Service VSA(26-65)によって参照されるサービスです。
これら 2 つのサービスアクティベーションタイプは、必須またはオプションとして構成できます。
dynamic-profile—これらのサービスは、ブロードバンド アプリケーションに加入者アクセスとサービスを提供するために、加入者アクセス プロファイルによって適用される動的プロファイルで設定されます。デフォルトでは、ログインを成功させるにはサービスのアクティベーションが必要です。サービスのアクティベーション中に設定エラーがあると、ネットワークファミリーがアクティベートされず、加入者のログインが失敗します。extensible-service—これらのサービスは、ビジネス加入者向けのESSM(Extensible Subscriber Services Manager)デーモン(essmd)が処理する操作スクリプトによって適用されます。デフォルトでは、サービスの有効化は、加入者が正常にログインするためのオプションです。
service-activation ステートメントの設定は、動的プロファイルまたは ESSM 操作スクリプトの設定エラーによるアクティベーションの失敗にのみ影響します。非設定エラーによる障害は、常に加入者のアクセス拒否とログイン試行の終了につながります。
動的プロファイル サービスの動作を設定するには、次のいずれかを実行します。
サービスのアクティブ化がオプションであることを指定します。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile optional-at-login
サービスのアクティベーションが必要であることを指定します(デフォルト)。
[edit access profile profile-name radius options service-activation] user@host# set dynamic-profile required-at-login
ESSM サービスの動作を設定するには、次のいずれかを実行します。
サービスのアクティブ化が必要であることを指定します。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service required-at-login
サービスのアクティブ化がオプション(デフォルト)であることを指定します。
[edit access profile profile-name radius options service-activation] user@host# set extensible-service optional-at-login
参照
動的リクエストのエラー原因コード(RADIUS属性101)
RADIUSが開始したCoAまたは切断操作が失敗した場合、ルーターは、RADIUSサーバーに返送するCoA-NAKまたはDisconnect-NAKメッセージにエラー原因属性(RADIUS属性101)を含めます。検出されたエラーがサポート対象のエラー原因属性のいずれにも割り当てられていない場合、ルーターはエラー原因の属性を使用せずにそのメッセージを送信します。 表 4 に、エラー原因コードを示します。
コード |
価値 |
形容 |
|---|---|---|
401 |
非対応な属性 |
この要求には非対応な属性(サードパーティーの属性など)が含まれています。 |
402 |
属性の欠損 |
重要な属性(セッション識別属性など)が要求に含まれていません。 |
404 |
無効な要求 |
1つ以上の属性のフォーマットが正しくない場合など、要求の他のアスペクトが無効です。 |
503 |
セッションコンテキストが見つかりません |
要求で指定されたセッション コンテキストがルーター上に存在しません。 |
504 |
セッションコンテキストが削除できません |
要求内の属性によって識別される加入者は、非対応のコンポーネントが所有しています。 |
506 |
無効なリソース |
利用可能なNASリソース(メモリなど)が不足しているため、要求に応じることができません。 |
参照
RADIUS 動的要求統計情報の確認
目的
RADIUS 動的要求の統計情報と情報を表示します。
アクション
RADIUS 動的要求の統計情報を表示するには:
user@host>show network-access aaa statistics dynamic-requests
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。