ANCP エージェントと AAA
ANCP エージェントと AAA との対話
ANCPエージェントは、加入者セッションのRADIUS認証とアカウンティングのために、加入者トラフィックの未調整(正味)データレートと調整済みデータレートの両方をAAAに報告します。調整されたデータレートにより、RADIUSは認証中に適切なサービス( サービスクラスを含む)をPPPoEセッションに割り当てることができます。また、レート レポートでは、RADIUS アカウンティングが PPPoE セッションに実際に提供されたサービス クラスを追跡できるようになり、加入者サービスの正確な課金が可能になります。
アクセスノードは、ANCP メッセージ内の ANCP DSL 属性をルーターに送信し、そこで共有データベースに保存されます。AAAは、ANCP DSL属性をジュニパーネットワークスDSL VSA(RADIUSで使用)とDSLフォーラムVSAサブ属性(DSLフォーラムVSAとも呼ばれる)の両方にマッピングします。RADIUS は、加入者アクセス回線上での PPPoE セッションの認証およびアカウンティング時に、これらの属性を使用します。属性は、特定のノードへのANCPセッションが終了した後も持続するため、RADIUSは後でこれらの属性をその加入者アクセス回線上の新しいセッションに適用することができます。属性を削除するには、ANCP エージェント設定からアクセス回線のインターフェイスまたはインターフェイス セットを削除する必要があります。
RADIUSプロファイルは、 juniper-access-line-attributes オプションを含むように設定する必要があります。さもなければ、AAAは属性をRADIUSに報告しません。ANCP DSL属性が利用できない場合、AAAは、セッションのアドバイザリアップストリームとダウンストリームのデータレート(セッションの基盤となるインターフェイスで設定されたデータレート)を、ジュニパーネットワークスのVSAであるアップストリーム計算QoSレート[26-142]とダウンストリーム計算QoSレート[26-141]にそれぞれマッピングします。その後、AAAはこれらのVSAのみをRADIUSに提供します。
RADIUS による認証とアカウンティングを成功させるために、AAA は PPPoE および DHCP IP デモックス セッションを、アクセス ラインおよび関連する DSL 属性と関連付ける必要があります。一部のアクセスノードは、PPPoEセッションのPADI/PADRパケットまたはDHCP IP demuxセッションのDHCPディスカバリーパケットでACIを提供します。
インターフェイスセットを備えた1:1 VLANモデルでACIが提供されていない場合、セッションの基盤となるインターフェイスを識別子とインターフェイスセットに関連付ける必要があります。この関連付けを設定しない場合、アドバイザリトラフィックレートのみがRADIUSに提供されます。この設定は、識別子がアクセスノードから提供されている場合は効果がありません。
インターフェイスセットを持つN:1 VLANモデルの場合、アクセスノードはACIを提供する必要があります。アクセスノードが識別子を提供しないときにこのモデルの基盤となるインターフェイスを設定すると、加入者セッションがアクセス回線と誤って相関される可能性があります。
AAA は、以下のスキームに従って、ジュニパーネットワークス VSA 26-141 および 26-142 の値を RADIUS に報告します。
PPPoE または DHCP IP デモックス 加入者セッションをアクセス回線と関連付けることができる場合、ANCP エージェントは、ANCP エージェントの CoS 設定に従って、アクセス ノードから報告されるダウンストリームおよびアップストリームのトラフィックレートを調整します。次に、エージェントは調整されたレートをUpstream-Calculated-Qos-Rate [26-142]とDownstream-Calculated-Qos-Rate [26-141]にマッピングします。
セッションをアクセス回線と関連付けることができないが、PPPoEまたはDHCPディスカバリーパケットにDSLフォーラムVSAが含まれていて、Access-Loop-Encapsulationサブ属性にAAL5データリンクの値が含まれている場合、ANCPエージェントは、ATM 48/53セル税を考慮してActual-Data-Rate-DownstreamおよびActual-Data-Rate-Upstreamサブ属性を調整します。調整後のレートは、Upstream-Calculated-Qos-Rate [26-142] と Downstream-Calculated-Qos-Rate [26-141] にマッピングされています。
上記の条件のいずれも満たされない場合、ANCP エージェントは、推奨されるダウンストリームとアップストリームのデータレートを Upstream-Calculated-Qos-Rate [26-142] と Downstream-Calculated-Qos-Rate [26-141] にマッピングします。推奨レートは、VLANまたはVLAN demuxインターフェイス用に静的に設定されるか、インターフェイスをクレートする動的プロファイルに設定されます。
ACIを静的VLAN demuxインターフェイスにマッピングするには、[edit protocols ancp interfaces demux0.logical-unit-number]階層レベルでaccess-identifier identifierステートメントを含めます。
静的VLAN demuxインターフェイスでアドバイザリアップストリームおよびダウンストリームのデータレートを設定するには、[edit interfaces demux0 unit logical-unit-number]階層レベルでupstream-rate rateまたはdownstream-rate rateステートメントを含めます。
インターフェイスセット内のPPPoEセッションの基盤となるインターフェイスを設定するには、[edit protocols ancp interfaces interface-set interface-set-name]階層レベルでunderlying-interface interface-nameステートメントを含めます。
ACI、ひいては加入者アクセス回線がインターフェイスまたはインターフェイスセットにマッピングされている場合、ACIを別のインターフェイスまたはセットに再マッピングできます。この場合、トラフィックシェーピングは、関係するインターフェイスまたはインターフェイス セットに応じて調整されます。この機能は、最初は住宅世帯として分類されていたPPPoEセッションが、Junos OS ICE AAAフレームワークOp-Scriptアプリケーションを使用することで、RADIUS認証中にビジネス加入者として再分類できるビジネスサービスモデルに役立ちます。
ビジネス サービス モデルでは、PPPoE セッションは、RADIUS の認証と承認が行われるまで、最初は住宅世帯を表します。ANCP エージェントは、世帯のアクセス回線を適切な加入者インターフェイスに動的にマッピングし、インターフェイスに CoS トラフィックシェーピングを適用します。認証および承認の際に、Op-ScriptアプリケーションはPPPoEセッションを住宅加入者ではなくビジネス加入者として分類する場合があります。この場合、アプリケーションは複数の静的VLANを作成し、それらをインターフェイスセットにグループ化します。次に、ANCPエージェントの設定に基づいて、アプリケーションは加入者のアクセス回線をこの静的インターフェイスセットに静的にマッピングします。このインターフェイスセットには、静的インターフェイスのみを含めることができます。
ANCP エージェントは、加入者が以前に使用していたインターフェイスから CoS トラフィックシェーピングを元に戻し、代わりにシェーピングをインターフェイス セットに適用します。この復帰は、CoSプロセスが、調整制御プロファイルの次のシェーピングレートをインターフェイスに適用することを意味します。
ジュニパーネットワークスおよびブロードバンドフォーラムのベンダー固有属性にマッピングされたANCP TLV
一部のブロードバンドアクセス回線情報は、標準のRADIUS属性でサポートされていません。DSLフォーラムは、RFC 4679の DSLフォーラムのベンダー固有RADIUS属性で、DSLアクセス回線のRADIUSベンダー固有属性を定義しました。VSAには、アクセス回線、回線を使用する加入者、および回線上のデータレートに関する情報が含まれています。
DSLフォーラムはブロードバンドフォーラムに名称を変更し、G.fast(DSL)およびPONアクセス技術用の新しいRADIUS VSAを定義しました。これまでDSLネットワークにのみ使用されていたVSAの一部は、PONネットワークにも使用されています。アクセス テクノロジに関係なく、これらすべての VSA は DSL フォーラム VSA に含まれるサブ属性であるため、DSL フォーラム VSA と呼ばれます。
ANCPアクセスノードは、以下の方法でこの情報をルーターに提供できます。
ANCP アクセス回線 TLV(Type-Length-Value 属性)を伝送する ANCP メッセージ内
PPPoE 加入者検出中の PPPoE PADI メッセージ内
元の ANCP DSL TLV は、RFC 6320、 ブロードバンドネットワークにおけるアクセスノード制御メカニズムのプロトコルで定義されています。RFC 6320 Draft Extension, Access Extensions for the Access Node Control Protocolでは、DSL G.fastとPON VSAの新しいTLVが追加されています。ANCP アクセス回線 TLV は、DSL フォーラム VSA(IANA ベンダー ID 3561)とジュニパーネットワークス(IANA ベンダー ID 4874)の両方のアクセス回線 VSA にマッピングされます。
ルーターがアクセスノードからANCP TLVを受信しても、情報を解析または操作することはありません。代わりに、TLV からマッピングされた対応する RADIUS VSA 内の RADIUS サーバーにアクセス回線とトラフィック情報を渡すだけです。RADIUS 認証またはアカウンティング メッセージには、DSL フォーラム VSA とジュニパーネットワークス VSA の任意の組み合わせを含めることができます。RADIUS アクセスプロファイルを設定して、1 つ以上の個々の属性、またはすべての DSL フォーラム VSA を RADIUS メッセージに含めないようにすることができます。
PPPoEおよびDHCPクライアント検出中にルーターが受信したDSLフォーラムVSAは検出後に更新されませんが、アクセス回線に変更があるたびに同等のANCP属性が更新されます。
表1は 、ANCP TLV、ジュニパーネットワークスVSA、DSLフォーラムVSAの関係を示しています。
ANCP TLV 番号と名前 |
ジュニパーネットワークスVSA 番号と名前 |
DSLフォーラムVSA 番号と名前 |
|---|---|---|
0x01 アクセスループ回線ID |
26–4874–110 acc-loop-cir-id |
26–3561–1 エージェント回線ID |
0x02 アクセスループリモートID |
26–4874–182 acc-loop-remote-id |
26–3561–2 エージェントリモートID |
0x03 アクセスアグリゲーション回線ID-ASCII |
26–4874–112 acc-aggr-cir-id-asc |
26–3561–3 アクセスアグリゲーション回線ID-ASCII |
0x06 アクセスアグリゲーション回線ID-バイナリ |
26–4874–111 acc-aggr-cir-id-bin |
26–3561–6 アクセスアグリゲーション回線ID-バイナリ |
0x81 実際のネットデータレートアップストリーム |
|
26–3561–129 実際のデータレートアップストリーム |
0x82 実際のネットデータレートダウンストリーム |
|
26–3561–130 実際のデータレートダウンストリーム |
0x83 最小ネットデータレートアップストリーム |
26–4874–115 最小データレートアップ |
26–3561–131 最小データレートアップストリーム |
0x84 最小ネットデータレートダウンストリーム |
26–4874–116 最小データレートdn |
26–3561–132 最小データレートダウンストリーム |
0x85 達成可能なネットデータレートアップストリーム |
26–4874–117 att-data-rate-up |
26–3561–133 達成可能なデータレートアップストリーム |
0x86 達成可能なネットデータレートダウンストリーム |
26–4874–118 att-data-rate-dn |
26–3561–134 達成可能なデータレートダウンストリーム |
0x87 最大正味データレートアップストリーム |
26–4874–119 最大データレートアップ |
26–3561–135 最大データレートアップストリーム |
0x88 最大正味データレートダウンストリーム |
26–4874–120 最大データレートdn |
26–3561–136 最大データレートダウンストリーム |
0x89 最小ネット低電力データレートアップストリーム |
26–4874–121 最小LPデータレートアップ |
26–3561–137 最小データレートアップストリーム低電力 |
0x8A 最小ネット低電力データレートダウンストリーム |
26–4874–122 最小LPデータレートdn |
26–3561–138 最小データレートダウンストリーム低電力 |
0x8B 最大インターリービング遅延アップストリーム |
26–4874–123 最大インタールフ遅延アップ |
26–3561–139 最大インターリービング遅延アップストリーム |
0x8C 実際のインターリービング遅延アップストリーム |
26–4874–124 アクトインタールフディレイアップ |
26–3561–140 実際のインターリービング遅延アップストリーム |
0x8D 最大インターリービング遅延ダウンストリーム |
26–4874–125 max-interlv-delay-dn |
26–3561–141 最大インターリービング遅延ダウンストリーム |
0x8E 実際のインターリービング遅延ダウンストリーム |
26–4874–126 act-interlv-delay-dn |
26–3561–142 実際のインターリービング遅延ダウンストリーム |
0x8F DSLラインステート |
26–4874–127 DSLラインステート |
該当なし |
0x90 アクセスループカプセル化 |
26–4874–183 acc-loop-encap |
26–3561–144 アクセスループカプセル化 |
0x91 DSLタイプ |
26–4874–128 DSLタイプ |
26–3561–145 DSLタイプ |
0x92 PONアクセスタイプ |
26–4874–219 PONアクセスタイプ |
26–3561–146 PONアクセスタイプ |
0x93 ONT/ONU-平均データレート-ダウンストリーム |
26–4874–220 ONT/ONU-平均データレート-ダウンストリーム |
26–3561–147 ONT/ONU-平均データレート-ダウンストリーム |
0x94 ONT/ONU-ピークデータレート-ダウンストリーム |
26–4874–221 ONT/ONU-ピークデータレート-ダウンストリーム |
26–3561–148 ONT/ONU-ピークデータレート-ダウンストリーム |
0x95 ONT/ONU-最大データレート-アップストリーム |
26–4874–222 ONT/ONU-最大データレート-アップストリーム |
26–3561–149 ONT/ONU-最大データレート-アップストリーム |
0x96 ONT/ONU-Assured-Data-Rate-Upstream |
26–4874–223 ONT/ONU-Assured-Data-Rate-Upstream |
26–3561–150 ONT/ONU-Assured-Data-Rate-Upstream |
0x97 PON-tree-maximum-data-rate-upstream |
26–4874–224 PON-tree-maximum-data-rate-upstream |
26–3561–151 PON-tree-maximum-data-rate-upstream |
0x98 PONツリー最大データレートダウンストリーム |
26–4874–225 PONツリー最大データレートダウンストリーム |
26–3561–152 PONツリー最大データレートダウンストリーム |
0x9B 予想されるスループット |
26–4874–226 期待スループットアップストリーム |
26–3561–155 期待スループットアップストリーム |
0x9C L2での予想スループット |
26–4874–227 予想スループットダウンストリーム |
26–3561–156 予想スループットダウンストリーム |
0x9D 達成可能な期待スループット |
26–4874–228 達成可能な期待スループットアップストリーム |
26–3561–157 達成可能な期待スループットアップストリーム |
0x9E L2で達成可能な期待スループット |
26–4874–229 達成可能な期待スループットダウンストリーム |
26–3561–158 達成可能な期待スループットダウンストリーム |
0x9F ガンマデータレートアップストリーム |
26–4874–230 ガンマデータレートアップストリーム |
26–3561–159 ガンマデータレートアップストリーム |
0xA0 ガンマ データ レート ダウンストリーム |
26–4874–231 ガンマデータレートダウンストリーム |
26–3561–160 ガンマデータレートダウンストリーム |
0xA1 アップストリームで達成可能なガンマデータレート |
26–4874–232 達成可能なガンマデータレートアップストリーム |
26–3561–161 達成可能なガンマデータレートアップストリーム |
0xA2 下流で達成可能なガンマデータレート |
26–4874–233 達成可能なガンマデータレートダウンストリーム |
26–3561–162 達成可能なガンマデータレートダウンストリーム |
表2は 、ANCP TLVの一覧と、TLVがDSLまたはPON加入者アクセス回線のどちらに使用されるかをチェックマークで示しています。
ANCP TLV 番号と名前 |
DSLアクセスに使用 |
PONアクセスに使用 |
|---|---|---|
0x01 アクセスループ回線ID |
✓ |
✓ |
0x02 アクセスループリモートID |
✓ |
✓ |
0x03 アクセスアグリゲーション回線ID-ASCII |
✓ |
✓ |
0x06 アクセスアグリゲーション回線ID-バイナリ |
✓ |
✓ |
0x81 実際のネットデータレートアップストリーム |
✓ |
– |
0x82 実際のネットデータレートダウンストリーム |
✓ |
– |
0x83 最小ネットデータレートアップストリーム |
✓ |
– |
0x84 最小ネットデータレートダウンストリーム |
✓ |
– |
0x85 達成可能なネットデータレートアップストリーム |
✓ |
– |
0x86 達成可能なネットデータレートダウンストリーム |
✓ |
– |
0x87 最大正味データレートアップストリーム |
✓ |
– |
0x88 最大正味データレートダウンストリーム |
✓ |
– |
0x89 最小ネット低電力データレートアップストリーム |
✓ |
– |
0x8A 最小ネット低電力データレートダウンストリーム |
✓ |
– |
0x8B 最大インターリービング遅延アップストリーム |
✓ |
– |
0x8C 実際のインターリービング遅延アップストリーム |
✓ |
– |
0x8D 最大インターリービング遅延ダウンストリーム |
✓ |
– |
0x8E 実際のインターリービング遅延ダウンストリーム |
✓ |
– |
0x8F DSLラインステート |
✓ |
– |
0x90 アクセスループカプセル化 |
✓ |
– |
0x91 DSLタイプ |
✓ |
– |
0x92 PONアクセスタイプ |
– |
|
0x93 ONT/ONU-平均データレート-ダウンストリーム |
– |
✓ |
0x94 ONT/ONU-ピークデータレート-ダウンストリーム |
– |
✓ |
0x95 ONT/ONU-最大データレート-アップストリーム |
– |
✓ |
0x96 ONT/ONU-Assured-Data-Rate-Upstream |
– |
✓ |
0x97 PON-tree-maximum-data-rate-upstream |
– |
✓ |
0x98 PONツリー最大データレートダウンストリーム |
– |
✓ |
0x9B 予想されるスループット |
✓ |
– |
0x9C L2での予想スループット |
✓ |
– |
0x9D 達成可能な期待スループット |
✓ |
– |
0x9E L2で達成可能な期待スループット |
✓ |
– |
0x9F ガンマデータレートアップストリーム |
✓ |
– |
0xA0 ガンマ データ レート ダウンストリーム |
✓ |
– |
0xA1 アップストリームで達成可能なガンマデータレート |
✓ |
– |
0xA2 下流で達成可能なガンマデータレート |
✓ |
– |
AAAを設定してジュニパーネットワークスアクセスラインVSAをRADIUSメッセージに含める
juniper-access-line-attributesステートメントを含めることで、ジュニパーネットワークスアクセス回線VSAのセットを加入者向けのRADIUS認証およびアカウンティング要求メッセージに追加するAAAを設定することができます。デフォルトでは、これらのVSAはRADIUSメッセージに追加されません。ジュニパーネットワークスのDSL VSAの表については、ジュニパーネットワークスとブロードバンドフォーラムのベンダー固有属性にマッピングされたANCP TLVをご覧ください。
ジュニパーネットワークスアクセス回線VSAを含める設定が完了したら、1つ以上のVSAの送信を除外することができます。そのためには、[edit access profile profile-name radius attributes]階層レベルにexcludeステートメントを含め、除外するVSAを指定します。
ジュニパーネットワークスアクセスラインVSA(ベンダーID 4874)とは異なり、DSLフォーラムVSA(ベンダーID 3561)はデフォルトですべてのRADIUSメッセージに追加されます。DSL フォーラム VSA は、個々の DSL フォーラム属性を伝えます。これらのVSAの表については、DSLフォーラムのベンダー固有の属性を参照してください。[edit access profile profile-name radius attributes]階層レベルでexcludeステートメントを使用することで、このVSAがRADIUSメッセージに含まれないようにすることができます。
ジュニパーネットワークスアクセス回線VSAをRADIUSメッセージに追加するには:
インクルージョントリガーを設定します。
[edit access profile profile-name radius options] user@host# set juniper-access-line-attributes
特定のジュニパーネットワークス DSL VSA を RADIUS メッセージから除外するには:
除外トリガーを設定します。
[edit access profile profile-name radius attributes] user@host# set exclude vsa-option
例えば、インターリーブ遅延VSAを除外するには、以下のステートメントを設定します。
[edit access profile profile-name radius attributes] user@host# set exclude max-interlv-delay-dn user@host# set excludemax-interlv-delay-up
DSLフォーラム(RFC 4679)VSAをRADIUSメッセージから除外するには:
除外トリガーを設定します。
[edit access profile profile-name radius attributes] user@host# set exclude dsl-forum-attributes
ANCP 通知に応答して RADIUS の即時暫定アカウンティング更新を構成する
アクセス回線のアップストリームトラフィックレートまたはダウンストリームトラフィックレートの変化をANCPネイバーから報告されると、ANCPエージェントは直ちにその情報をAAAに渡します。デフォルトでは、AAAは次回のアカウンティング更新までこの情報をRADIUSサーバーに渡しません。ただし、レートの変更をすぐに報告するように AAA を設定することはできます。
加入者セッションアクセスプロファイルに ancp-speed-change-immediate-update ステートメントを含めると、ANCPエージェントからの通知を受信すると、そのアクセス回線に関連付けられたPPPoEおよびDHCP IP demux加入者に対して、AAAがRADIUSサーバーに暫定的な更新Accounting-Requestメッセージを送信するようにトリガーされます。暫定更新リクエストには、新しいアクセス回線パラメータと、調整後のアップストリームおよびダウンストリームのトラフィックレートが含まれています。
暫定的なアカウンティング更新とともに、レート変更情報をANCPエージェントからRADIUSサーバーに即座に送信するようにAAAを設定するには:
即時更新を指定します。
[edit access profile profile-name accounting] user@host# set ancp-speed-change-immediate-update