Diameter ベース プロトコル
Diameter ベース プロトコルの概要
Diameterプロトコルは 、RFC 3588、Diameterベースプロトコルで定義されており、より柔軟で拡張可能なRADIUSの代替手段を提供します。Diameter ベース プロトコルは、異なる Diameter インスタンスで実行される 1 つ以上のアプリケーション(関数とも呼ばれる)に基本的なサービスを提供します。個々のアプリケーションは、拡張 AAA 機能を提供します。Diameterを使用するアプリケーションには、Gx-Plus、JSRC、NASREQ、PTSP、S6aなどがあります。Junos OS リリース 13.1R1 以降、パケットトリガー加入者とポリシー制御(PTSP)機能はサポートされなくなりました。
Diameter ピアは、標準の Diameter AVP およびアプリケーション固有の AVP を使用して、ステータス、要求、および確認応答を伝達する Diameter メッセージを交換することにより、信頼性の高い TCP トランスポート層接続を介して通信します。Diameter トランスポート層の設定は、Diameter ネットワーク要素(DNE)に基づいています。Diameter インスタンスごとに複数の DNE がサポートされます。現在、事前定義された マスター Diameter インスタンスのみがサポートされていますが、多くのマスター Diameter インスタンス値に代替値を設定できます。
各DNEは、ピアの優先順位付きリストと、トラフィックの転送方法を定義するルートのセットで構成されています。各ルートは、宛先を関数 (アプリケーション)、関数パーティション、およびメトリクスに関連付けます。アプリケーションがルーティングされた宛先にメッセージを送信すると、Diameter プロトコル インスタンス内のすべてのルートが一致するかどうかが調べられます。宛先への最適なルートが選択されると、メッセージはそのルートを含む DNE によって転送されます。
同じ宛先への複数のルートが、特定の DNE 内および異なる DNE 内に存在できます。転送のリクエストに一致するルートが複数ある場合、最適なルートが次のように選択されます。
メトリックが最も低いルートが選択されます。
同数の場合は、規格スコアが最も高いルートが選択されます。
別の同点の場合、DNEの名前は辞書式順序で比較されます。DNE 内で値が最も小さいルートが選択されます。たとえば、dne-austin の値は dne-boston よりも低くなります。
ルートが同じDNE内で結び付いている場合、ルート名は辞書式順序で比較されます。値が最も小さいルートが選択されます。
ルートの仕様スコアは、デフォルトで0です。ポイントは次のようにスコアに加算されます。
宛先レルムが要求と一致する場合は、1 を追加します。
宛先ホストが要求と一致する場合は、2 を追加します。
関数が要求と一致する場合は、3 を追加します。
関数パーティションが要求と一致する場合は、4 を追加します。
同じ宛先への複数のルートが、特定の DNE 内および異なる DNE 内に存在できます。転送の要求に一致するルートが複数ある場合、Diameter は次のように最適なルートを選択します。
Diameter はルートのメトリックを比較し、メトリックが最も低いルートを選択します。
複数のルートが同じ最低メトリックを持つ場合、Diameter は最も適格なルートを選択します。Diameter は、ルートの複数の属性を評価して、各ルートがどの程度具体的に要求に一致するかを反映したスコアを決定します。デフォルトでは、ルートのスコアは 0 です。ポイントは次のようにスコアに加算されます。
宛先レルムが要求と一致する場合は、1 を追加します。
宛先ホストが要求と一致する場合は、2 を追加します。
関数が要求と一致する場合は、3 を追加します。
関数パーティションが要求と一致する場合は、4 を追加します。
複数のルートが等しい場合、Diameter は DNE の名前を辞書順に比較し、DNE の中で値が最も小さいルートを選択します。たとえば、dne-austin の値は dne-boston よりも低くなります。
ルートが同じ DNE 内で同じ場合、Diameter はルート名を辞書順に比較し、値が最も小さいルートを選択します。
DNEの状態が変化すると、すべての宛先のルート検索が再評価されます。ルーティングされた宛先への未処理のメッセージはすべて、必要に応じて再ルーティングされるか、破棄されます。
Diameter ネットワーク要素を設定するには、[edit diameter]階層レベルで network-element ステートメントを記述し、次に [edit diameter network-element element-name forwarding]階層レベルで route ステートメントを記述します。
DNEのルートを設定するには、[edit diameter network-element element-name forwarding route dne-route-name]階層レベルでdestination(オプション)、function(オプション)、およびmetricステートメントを含めます。
[edit diameter network-element element-name]階層レベルで 1 つ以上の peer ステートメントを含めて、DNE に関連する Diameter ピアを指定します。
[edit diameter network-element element-name peer peer-name]階層レベルでpriority ステートメントを使用して、各ピアの優先度を設定します。
Diameter では、送信元ノードに関する情報を設定する必要があります。これは、Diameter インスタンスの Diameter を起点とするエンドポイント ノードです。[edit diameter]階層レベルで host および realm ステートメントを含めて、Diameter の起点を設定します。
オプションで、1 つ以上のトランスポートを構成して、トランスポート層接続の送信元 (ローカル) アドレスを指定できます。Diameter トランスポートを設定するには、[edit diameter]階層レベルで transport ステートメントを含めます。次に、[edit diameter transport transport-name]階層レベルで address ステートメントを含めます。
オプションで、[edit diameter transport transport-name]階層レベルでlogical-systemおよびrouting-instanceステートメントを含めることで、接続の論理システムとルーティング インスタンスを指定することができます。デフォルトでは、Diameter はデフォルトの論理システムとデフォルトのルーティング インスタンスを使用します(メインの inet.0 ルーティングテーブルを使用)。トランスポート接続の論理システムとルーティング インスタンスがピアの論理システムとと一致していなければならず、一致しない場合、設定エラーが報告されます。
各 Diameter ピアは名前で指定されます。ピア属性には、このピアへのアクティブな接続で使用されるアドレスと宛先TCPポートが含まれます。Diameterピアを設定するには、[edit diameter]階層レベルでpeerステートメントを記述し、次に[edit diameter peer peer-name]階層レベルでaddressおよびconnect-activelyステートメントを含めます。
アクティブな接続を設定するには、[edit diameter peer peer-name connect-actively]階層レベルでportおよびtransportステートメントを含めます。割り当てられたトランスポートは、ピアへのアクティブな接続を確立するために使用されるトランスポート層の送信元アドレスを識別します。transportステートメント。
直径を使用する利点
Diameterは、RADIUSに比べてはるかに低い頻度で使用状況情報を報告することにより、ネットワークとサーバーの負荷を軽減します。RADIUSでは、使用状況の変更とは無関係に、定期的な更新が行われます。GxなどのDiameterアプリケーションでは、ルーターからPCRFへの使用統計のプッシュを相関させてしきい値を設定できます。その後、PCRFはサービスとコストを適切に調整できます。
ワイヤレス サービスと充電は通常 Diameter アプリケーションで実行されますが、有線サービスでは一般的に RADIUS ベースのインフラストラクチャを使用してきました。有線と無線の両方を提供しているお客様は、有線運用を既存の Diameter ベースの無線インフラストラクチャに移行することで、個別のインフラストラクチャを維持する複雑さとコストを削減できます。
Diameter で実行されるアプリケーションはステートフルになる傾向があります(NASREQ など、いずれかになる場合もあります)。一方、RADIUS はステートフルではありません。
NASREQ、Gx、Gy、JSRC、S6aなど、複数のアプリケーションプロトコルをDiameter上で実行できます。
RADIUSよりも属性スペースが広いため、RADIUSよりも多くの標準属性とベンダー固有属性(AVP)を使用できます。Diameter は RADIUS 標準属性もサポートしており、AVP 1 〜 255 を予約しています。
Diameter アプリケーションで使用されるメッセージ
Junos OS は、以下の Diameter アプリケーションをサポートしています。
JSRC—Juniper Policy-Control-JSRC(http://www.iana.org)に Juniper Policy-Control-JSRC として ID 16777244 で登録されたジュニパーネットワークス Diameter アプリケーション。これは、SAE(リモートSRCピア)と通信します。
PTSP—IDが16777273のJuniper JGxとしてIANA(http://www.iana.org)に登録されたジュニパーネットワークスDiameterアプリケーション。これは、SAE(リモートSRCピア)と通信します。Junos OS リリース 13.1R1 以降、パケットトリガー加入者とポリシー制御(PTSP)機能はサポートされなくなりました。
Gx-Plus—有線使用事例向けに 3GPP Gx インターフェイスを拡張するアプリケーション。3GPP Gx は IANA (http://www.iana.org) に登録されています。PCRFと通信します。
メッセージに含まれる特定の AVP のデータがルータで利用できない場合、Gx-Plus は PCRF に送信するメッセージから AVP を省略します。PCRFは、判断するのに十分な情報がないと判断した場合、要求を拒否することができます。Diameter 応答メッセージには、結果コード AVP(AVP 268)が含まれます。この AVP の値は、成功、失敗、またはエラーをリクエスターに伝えます。
NASREQ—RFC 7155 で定義された Diameter ベースの認証、許可、およびアカウンティング プロトコル。Junos OSは、認証と許可のみをサポートします。
また、ジュニパーネットワークスは、Juniper-Session-Recoveryアプリケーション(16777296)と2つの新しいコマンドコード(Juniper-Session-Eventsの場合は8388628、Juniper-Session-Discoveryの場合は8388629)をIANA(http://www.iana.org)に登録しています。
表 1 では、アプリケーションが使用する Diameter メッセージについて説明します。
Diameter メッセージ |
コード |
アプリケーション |
形容 |
|---|---|---|---|
AA-Request(AAR) |
265 |
JSRC、NASREQ、PTSP |
新規サブスクライバーのログイン時または SAE アプリケーションの同期中に、アプリケーションから SAE への要求。要求は、address-authorization、provisioning-request、synchronizationの3つのタイプのいずれかです。 |
AA-Answer(AAA) |
265 |
JSRC、NASREQ、PTSP |
アプリケーションの AA-Request メッセージに対する SAE からの応答。 |
中止セッション要求(ASR) |
274 |
JSRC、NASREQ、PTSP |
プロビジョニングされたサブスクライバーをログアウトするための SAE からアプリケーションへの要求。 |
Abort-Session-Answer(ASA) |
274 |
JSRC、NASREQ、PTSP |
SAE の ASR メッセージに対するアプリケーションからの応答。アプリケーションがログアウト要求を AAA に送信する場合、ASA メッセージには成功通知(ACK)が含まれます。ログアウトに失敗した場合、ASA メッセージには失敗通知(NAK)が含まれます。 |
アカウンティング要求 (ACR) |
271 |
JSRC、PTSP |
SAE からアプリケーションへ、またはアプリケーションから SAE への統計の要求。 |
アカウンティング・アンサー(ACA) |
271 |
JSRC、PTSP |
インストールされている各ポリシー (サービス) の統計情報を提供するための ACR メッセージへの応答。 |
機能交換要求(CER) |
257 |
Gxプラス |
ピアがトランスポート接続を確立したときの、あるピアから別のピアへの要求。機能ネゴシエーションを開始します。CERは、ピアのIDと機能(サポートされるアプリケーションやセキュリティメカニズムなど)を通知します。 |
Capability Exchange Answer (CEA) (機能交換アンサー(CEA) |
257 |
Gxプラス |
このピアの機能をアナウンスする CER メッセージへの応答。このピアに CER を送信したピアと共通の機能がない場合は、結果コード AVP を DIAMETER_NO_COMMON_APPLICATION に設定し、接続をドロップする必要があります。それ以外の場合、CEA の詳細によってピア間の共通機能が確立され、ピアが通信をさらに確立できるようになります。 |
クレジット管理リクエスト(CCR) |
272 |
Gxプラス |
加入者のログイン、ログアウト、または更新時に、Gx-PlusからPCRFに要求します。 初期要求(CCR-I)は、加入者がログインし、AAAが加入者のセッションをアクティブ化するよう要求されたときに送信されます。Gx-Plus は、CCA-I メッセージが 10 秒以内に PCRF から受信されない場合、CCR-I メッセージを再試行します。CCR-I メッセージは、最大 3 回再試行されます。 CCR-I メッセージには、Diameter AVP サブスクリプション ID 属性(443)が含まれ、Subscription-Id-Type Diameter AVP サブ属性(450)が 4(END_USER_PRIVATE)に設定され、Subscription-Id-Data Diameter AVP サブ属性(444)が 4 つの CCR-I メッセージ(最初のメッセージと 3 回の再試行)が送信された後、CCA-I が受信されない場合、Gx-Plus は CCR-N メッセージの送信を開始します。CCR-N メッセージは、PCRF から成功または失敗の応答を受信するまで永久に再試行されます。CCR-Nメッセージには、ルーターが加入者サービスのアクティベーションに関してローカルな決定を下す権限を持っていることをPCRFに通知するためにローカルに設定されたJuniper-Provisioning-Source AVP(AVPコード2101)が含まれます。 使用しきい値に達すると、更新要求(CCR-U)メッセージが送信されます。CCR-U は、すべての統計の実際の使用状況を報告します。PCRF は、新しいモニターしきい値、サービス活動化、およびサービス非活動化を含む CCA-U メッセージを返す場合があります。 CCR-U レポートで PCRF がタイムアウトした場合、ルータはしきい値のデフォルトを 10 分に設定します。しきい値の変化が最小値より小さい場合、値は最小値に調整されます。たとえば、期間の最小増加は 10 分です。 CCR-U は、サービスの有効化または無効化のステータスを報告するためにも送信されます。サブスクライバのログアウトとは別に監視対象サービスが非アクティブ化されると、CCR-Uはサービスがアクティブでなくなったことを示し、サービスの使用状況データを含みます。 終了要求(CCR-T)は、加入者のログアウト時に送信され、プロビジョニングされた加入者セッションが終了されることを PCRF に通知します。CCR-T メッセージは、PCRF から成功応答を受信するまで永久に再試行されます。 サブスクライバのログアウトの一部として監視対象サービスが非アクティブ化されると、CCR-T メッセージには、使用されたバイト数など、サービスの監視対象の使用状況データが含まれます。 |
クレジット・コントロール・アンサー(CCA) |
272 |
Gxプラス |
PCRF から CCR メッセージに応答します。 CCR-I に応答して、PCRF は、加入者が要求されたサービスに対して十分なクレジットを持っているかどうかに応じて、成功(DIAMETER_SUCCESS)または失敗(DIAMETER AUTHORIZATION REJECTED)を示す CCA-I メッセージを返します。その他の応答はすべて無視され、CCR-I が再試行されます。 CCR-T に応答して、PCRF は Result-Code AVP の値が 2001(DIAMETER SUCCESS)の正常な終了を示す CCA-T メッセージを返す。その他の応答はすべて無視され、CCR-T が再試行されます。 CCA-N は、CCR-N に対する応答です。 |
Juniper-Session-Discovery-Request(JSDR) |
8388629 |
Gxプラス |
ルーター上の加入者セッションを検出するための、PCRFからGx-Plusへのディスカバリー要求。 |
Juniper-Session-Discovery-Answer(JSDA) |
8388629 |
Gxプラス |
ルータから JSDR メッセージに応答します。セッション情報について説明します。結果コード AVP には、以下のいずれかの値、またはエラー値が含まれます。
|
Juniper-Session-Event-Request(JSER) |
8388628 |
Gxプラス |
ルーターで発生するイベントに関するルーターからPCRFへのリクエスト。Juniper-Event-Type AVP(AVPコード2103)を含めて、ルーター上の特定のイベントをPCRFに通知します。報告されるイベントには、コールドブートまたはウォームブート、明示的な検出要求、大幅な設定変更、PCRFからの無応答またはエラー応答、フォールトトレラントリソースの枯渇が含まれます。 |
Juniper-Session-Event-Answer(JSEA) |
8388628 |
Gxプラス |
PCRF から JSER メッセージに応答します。 |
プッシュプロファイルリクエスト(PPR) |
288 |
JSRC、PTSP |
SAE からルーターに、加入者向けのサービスを有効化または無効化するよう要求します。 |
プッシュ・プロファイル・アンサー(PPA) |
288 |
JSRC、PTSP |
SAE の PPR メッセージに対するルーターからの応答。要求内の各サービス アクティブ化または非アクティブ化コマンドの成功または失敗の通知を含めます。 |
再認証要求(RAR) |
258 |
Gxプラス |
PCRF からルーターへの監査要求で、特定の加入者がまだ存在するかどうかを判断します。 ルーターは、監視キーとしきい値を RAR で受信すると、それらを更新します。 |
再認証-アンサー(RAA) |
258 |
Gxプラス |
ルータからRARメッセージに応答します。は、サブスクライバーがアクティブかどうかを示します。結果コード AVP には、次のいずれかの値が含まれます。
|
セッションリソースクエリー(SRQ) |
277 |
JSRC、PTSP |
ルーターから SAE へ、または SAE からルーターへのリクエストで、ルーターと SAE 間の同期を開始します。 |
セッションリソース応答(SRR) |
277 |
JSRC、PTSP |
同期を開始するための SRQ メッセージへの応答。 |
セッション終了要求(STR) |
275 |
JSRC、NASREQ、PTSP |
プロビジョニングされた加入者がログアウトしたことを知らせるルーターから SAE への通知。 |
STA(Session-Termination-Answer) |
275 |
JSRC、NASREQ、PTSP |
ルーターの STR メッセージに対する SAE からの応答。成功または失敗の通知が含まれます。 |
Diameter AVP と Diameter アプリケーション
RADIUS が標準の IETF RADIUS 属性とベンダー固有属性(VSA)の両方で情報を伝達するのと同じ方法で、Diameter メッセージにさまざまな属性値ペア(AVP)を含めることで情報を伝達します。 表 2 に、サポートされている Diameter アプリケーションとの相互作用で使用される標準の Diameter AVP を示します。Diameter は、Diameter に実装されている RADIUS 属性用に AVP 属性番号 0 〜 255 を予約します。Diameter属性番号は、対応する標準RADIUS属性と同じです。255より大きい番号の属性には、対応する標準RADIUS属性がありません。Junos OS リリース 13.1R1 以降、パケットトリガー加入者とポリシー制御(PTSP)機能はサポートされなくなりました。
属性番号 |
直径 AVP |
アプリケーション |
形容 |
種類 |
|---|---|---|---|---|
1 |
User-Name (ユーザー名) |
Gx-Plus、JSRC、NASREQ |
ユーザー名を指定します。AAA によって管理される加入者の場合、値は加入者のログイン名です。静的インターフェイスの場合、値は加入者のログイン名として使用されるインターフェイス名です。 |
UTF8文字列 |
2 |
ユーザーパスワード |
NASREQ |
認証するユーザーのパスワード、またはマルチラウンド認証交換でのユーザーの入力を指定します。 |
オクテット文字列 |
4 |
NAS-IPアドレス |
NASREQ |
ユーザーを認証するNASのIPアドレスを指定します。 |
IPアドレス |
6 |
サービスタイプ |
NASREQ |
ユーザーが要求したサービスの種類、または提供するサービスの種類を指定します。そのようなAVPの1つは、認証または認可の要求または応答中に存在し得る。NASは、これらすべてのサービスタイプを実装する必要はありません。 |
列挙 |
8 |
フレーム付き IP アドレス |
Gx-Plus、JSRC、NASREQ、PTSP |
加入者に設定されている IPv4 アドレスを識別します。これは、RADIUS Framed-IP-Address 属性 [8] と同じ値です。 |
オクテット文字列 |
9 |
フレーム付き IP ネットマスク |
NASREQ |
IPv4 ネットマスクの 4 つのオクテットを識別します。 |
オクテット文字列 |
11 |
フィルターID |
NASREQ |
ユーザーのフィルター リストの名前を指定します。人間が読めるように意図されています。0 個以上のフィルター ID AVP が認証応答メッセージで送信される場合があります。 |
UTF8文字列 |
12 |
Framed-MTU |
NASREQ |
他の手段(PPP など)でネゴシエートされていない場合に、ユーザーに対して構成される最大送信単位(MTU)を指定します。 |
符号なし32 |
22 |
フレームルート |
NASREQ |
7 ビットの US-ASCII ルーティング情報を指定します。 |
UTF8文字列 |
25 |
クラス |
NASREQ |
Diameter サーバからアクセス デバイスに状態情報を返します。 |
オクテット文字列 |
27 |
セッションタイムアウト |
NASREQ |
セッションが終了するまでにユーザーに提供されるサービスの最大秒数を指定します。 |
符号なし32 |
28 |
アイドルタイムアウト |
NASREQ |
セッションが終了する前、またはプロンプトが発行されるまでに、ユーザーに許容されるアイドル接続の連続秒数の最大秒数を指定します。 |
符号なし32 |
32 |
NAS識別子 |
NASREQ |
ユーザーにサービスを提供するNASのIDを指定します。 |
ダイアムアイデント |
44 |
Acct-Session-ID |
NASREQ |
RADIUS Acct-Session-Id属性の内容を指定します。 |
オクテット文字列 |
50 |
Acct-Multi-Session-ID |
NASREQ |
各セッションのセッションIDは一意だが、Acct-Multi-Session-Id AVPが同じである、複数の関連するアカウンティングセッションをリンクします。 |
UTF8文字列 |
55 |
イベントタイムスタンプ |
Gx-Plus、JSRC、PTSP |
この AVP が含まれているメッセージをトリガーしたイベントの時刻を指定します。時間は 1900 年 1 月 1 日 00:00 UTC からの秒単位で示されます。 |
時間 |
60 |
CHAP-チャレンジ |
NASREQ |
NAS から CHAP ピアに送信される PPP チャレンジ ハンドシェイク認証プロトコル(CHAP)チャレンジを指定します。 |
オクテット文字列 |
61 |
NAS-ポートタイプ |
NASREQ |
NAS がユーザーを認証するポートのタイプを指定します。 |
列挙 |
62 |
ポート制限 |
NASREQ |
NAS がユーザーに提供するポートの最大数を指定します。 |
符号なし32 |
78 |
構成トークン |
NASREQ |
使用されるユーザー・プロファイルのタイプを示します。 |
オクテット文字列 |
85 |
Acct-Interim-Interval |
JSRC、PTSP |
このセッションの各暫定アカウンティング更新間の秒数を指定します。 ルーターでは、暫定アカウンティングに次のガイドラインを使用します。
|
符号なし32 |
87 |
NAS-Port-Id |
Gx-Plus、JSRC、NASREQ、PTSP |
ユーザーを認証するNASのポートを識別します。これは、RADIUS NAS-Port-Id属性[87]と同じ値です。 |
UTF8文字列 |
88 |
フレーム付きプール |
NASREQ |
ユーザーにアドレスを割り当てるために使用する、割り当てられたアドレスプールの名前を指定します。NAS が複数のアドレス プールをサポートしていない場合、NAS はこの AVP を無視します。アドレスプールは通常、IPアドレスに使用されますが、NASが他のプロトコルのプールをサポートしている場合は、それらのプロトコルにも使用できます。 |
オクテット文字列 |
97 |
フレームドIPv6プレフィックス |
NASREQ |
ユーザーに設定された IPv6 プレフィックスを指定します。 |
オクテット文字列 |
99 |
フレームドIPv6ルート |
NASREQ |
NAS上のユーザーに設定されたUS-ASCIIルーティング情報を指定します。 |
UTF8文字列 |
100 |
フレーム付きIPv6プール |
NASREQ |
ユーザーに IPv6 プレフィックスを割り当てるために使用する、割り当てられたプールの名前を指定します。アクセス デバイスが複数のプレフィックス プールをサポートしていない場合、この AVP を無視する必要があります。 |
オクテット文字列 |
258 |
認証アプリケーションID |
NASREQ |
アプリケーションの認証と承認部分のサポートを指定します。 |
符号なし32 |
263 |
セッションID |
Gx-Plus、JSRC、NASREQ、PTSP |
加入者セッション識別子を指定します。ルーターは、加入者セッションを一意に識別するために値を割り当てます。 |
UTF8文字列 |
264 |
オリジンホスト |
NASREQ |
Diameter メッセージを発信するホストを指定します。 |
ダイアムアイデント |
268 |
結果コード |
Gx-Plus、JSRC、NASREQ、PTSP |
要求が正常に完了したかどうかを示します。要求が失敗した場合のエラー コードを表示します。 次のクラスは Diameter で認識されます。
6 から 9 または 0 で始まる認識されないクラスは、永続的な失敗として扱われます。 JSRC と PTSP は、次の値をサポートしています。成功以外の値はすべて永続的な失敗として扱われます。
JSRC は、永続的な障害として扱われる次の値もサポートしています。
Gx-Plusは、PCRF応答のエラーに対して次の値をサポートしています。これらの値を受信した場合、または応答の形式が正しくないか認識できない場合、要求は再試行されます。
|
符号なし32 |
269 |
製品名 |
Gxプラス |
機能交換要求 (CER) メッセージおよび機能交換応答 (CEA) メッセージの Product-Name フィールドの値を指定します。 製品名を変更すると、ルータは Diameter ピアへの既存の接続をすべて切断し、新しい名前を使用して再接続します。 |
UTF8文字列 |
277 |
認証セッション状態 |
JSRC、NASREQ、PTSP |
AAA セッション状態が維持されるかどうかを示します。
|
列挙 |
279 |
障害:AVP |
NASREQ |
特定の AVP の情報に誤りがあるために要求が拒否された場合や、完全に処理されなかった場合のデバッグ情報を指定します。Result-Code AVP の値は、Failed-AVP AVP の理由に関する情報を提供します。 |
分類 |
281 |
エラーメッセージ |
NASREQ |
Result-Code AVP に付随する、人間が判読できるエラー メッセージを指定します。Error-Message AVP は、リアルタイムで役立つことを意図したものではありません。ネットワークエンティティがメッセージを解析することを期待しないでください。 |
UTF8文字列 |
283 |
宛先レルム |
NASREQ |
Diameter メッセージのルーティング先の Diameter レルムを指定します。 |
ダイアムアイデント |
293 |
宛先ホスト |
NASREQ |
Diamter メッセージがルーティングされるホストを指定します。 |
ダイアムアイデント |
295 |
終了原因 |
JSRC、NASREQ、PTSP |
アクセス デバイスでセッションが終了した理由を示します。
|
列挙 |
296 |
オリジンレルム |
NASREQ |
Diameter メッセージの発信元の Diameter レルムを識別します。 |
ダイアムアイデント |
402 |
CHAP-認証 |
NASREQ |
CHAP を使用してユーザーを認証するために必要な情報を指定します。 |
分類 |
415 |
CC-リクエスト番号 |
Gxプラス |
セッション内の要求を識別します。Session-Id と CC-Request-Type の組み合わせは、グローバルに一意です。この数は、セッション中にリクエストごとに増加します。ルーターの高可用性イベントが発生すると、番号はリセットされます。 |
符号なし32 |
416 |
CC-リクエストタイプ |
Gxプラス |
与信管理要求のタイプを指定します。
|
列挙 |
431 |
granted-service-unit |
Gxプラス |
クライアントによって指定された CC-Input-Octets、CC-Output-Octets、CC-Time、または CC-Total-Octets の 1 つ以上の要求された単位を指定できる量が含まれます。CCA-I メッセージに含まれ、CCA-U メッセージに含まれる場合があります。 |
分類 |
443 |
サブスクリプション ID |
Gxプラス |
単独では表示されない以下のサブ属性が含まれます。
|
分類 |
446 |
使用済みサービスユニット |
Gxプラス |
実際に使用された要求された単位の量が含まれます。サービスがアクティブ化されている場合の 4 から測定されます。単位は、クライアントによって指定された要求された単位 (CC-Input-Octets、CC-Output-Octets、CC-Time、または CC-Total-Octets) の 1 つ以上です。CCR-U メッセージに含まれます。 |
分類 |
480 |
アカウンティングレコードタイプ |
JSRC、PTSP |
サービスアカウンティングのアカウントレコードのタイプを指定します。
|
列挙 |
1001 |
課金ルールのインストール |
Gx-Plus、NASREQ |
含まれているCharging-Rule-Name AVP(1005)で指定されたルールのインストール(サービスの有効化)を要求します。この AVP のベンダー ID は 10415(3GPP)です。 |
分類 |
1002 |
充電ルール削除 |
Gxプラス |
含まれているCharging-Rule-Name AVP(1005)で指定されたルールの削除(サービスの非アクティブ化)を要求します。この AVP のベンダー ID は 10415(3GPP)です。 |
分類 |
1005 |
課金ルール名 |
Gx-Plus、NASREQ |
インストール、変更、または削除された特定のルールの名前を指定します。 |
オクテット文字列 |
1066 |
モニタリングキー |
Gxプラス |
使用するモニター構造を指定します。Charging-Rule-Install AVP(1001)に含まれています。MX ルーターはサービス間での統計情報の集約をサポートしていないため、この AVP の値はサービスごとに異なっている必要があります。この AVP のベンダー ID は 10415(3GPP)です。 |
オクテット文字列 |
1067 |
使用状況監視情報 |
Gxプラス |
監視しきい値を設定します。サービス統計情報が付与されたサービス値の少なくとも 1 つと一致する場合、ルータは現在の統計情報を含む CCR-U レポートを PCRF に送信します。モニタリング キー AVP(1066)と付与サービス ユニット AVP(431)を含みます。この AVP のベンダー ID は 10415(3GPP)です。 |
分類 |
標準の Diameter AVP に加えて、ジュニパーネットワークスの AVP が使用されます。これらのAVPのベンダーID(企業番号)は2636または4874で、VSA(RADIUSベンダー固有属性)と概念が似ています。 表 3 は、サポートされている Diameter アプリケーションが使用するジュニパーネットワークスの AVP を示しています。
属性番号 |
直径 AVP |
ベンダーID |
アプリケーション |
形容 |
種類 |
|---|---|---|---|---|---|
213 |
インターフェイス-セット-ターゲティング-ウェイト |
4874 |
NASREQ |
インターフェイスセットの重みを指定して、そのインターフェイスとそのメンバーリンクを集約されたイーサネットメンバーリンクに関連付けて、ターゲットディストリビューションにします。 |
符号なし32 |
214 |
インターフェイス ターゲティング ウェイト |
4874 |
NASREQ |
インターフェイスの重みを指定して、インターフェイスセットに関連付け、ターゲットディストリビューションのセットの集約されたイーサネットメンバーリンクに関連付けます。インターフェイスセットに重みがない場合、最初に承認された加入者インターフェイスのインターフェイス重み値がセットに使用されます。 |
符号なし32 |
2004 |
ジュニパーサービスバンドル |
2636 |
JSRC |
サービスバンドルの名前を指定します。 |
オクテット文字列 |
2010 |
Juniper-DHCP-オプション |
2636 |
JSRC |
クライアントのDHCPオプションを指定します。 |
オクテット文字列 |
2011 |
Juniper-DHCP-GI-アドレス |
2636 |
JSRC |
DHCP リレー エージェントの IP アドレスを指定します。 |
オクテット文字列 |
2020 |
Juniper-Policy-Install |
2636 |
JSRC、PTSP |
加入者に対してアクティブ化するポリシーを指定します。Juniper-Policy-NameとJuniper-Policy-Definitionが含まれます |
分類 |
2021 |
Juniper-Policy-Name |
2636 |
JSRC、PTSP |
ポリシー決定の名前を定義します。 |
オクテット文字列 |
2022 |
Juniper-Policy-Definition |
2636 |
JSRC、PTSP |
ポリシー決定を定義します。Juniper-Policy-Name、Juniper-Template-Name、Juniper-Substitutionが含まれます。 |
分類 |
2023 |
Juniper-Template-Name |
2636 |
JSRC、PTSP |
ルーターで定義されたプロファイル名を指定します。PTSPは、 |
UTF8文字列 |
2024 |
ジュニパーの代替 |
2636 |
JSRC、PTSP |
代替属性を定義します。Juniper-Substitution-NameとJuniper-Substitution-Valueを含めます。 |
オクテット文字列 |
2025 |
Juniper-Substitution-Name |
2636 |
JSRC、PTSP |
置換する変数の名前を定義します。 |
オクテット文字列 |
2026 |
Juniper-Substitution-Value |
2636 |
JSRC、PTSP |
置換する変数の値を定義します。 |
オクテット文字列 |
2027 |
Juniper-Policy-Remove |
2636 |
JSRC、PTSP |
サブスクライバーに対して非アクティブ化するポリシーを指定します。Juniper-Policy-Name を含めます。 |
分類 |
2035 |
Juniper-Policy-Failed(Juniper-Policy-Failed) |
2636 |
JSRC、PTSP |
失敗したポリシーのアクティブ化または非アクティブ化の名前を指定します。 |
オクテット文字列 |
2038 |
Juniper-Policy-Success |
2636 |
JSRC、PTSP |
成功したポリシーのアクティブ化または非アクティブ化の名前を指定します。 |
オクテット文字列 |
2046 |
ジュニパーの論理システム |
2636 |
JSRC、PTSP |
論理システムを指定します。 |
UTF8文字列 |
2047 |
Juniperルーティングインスタンス |
2636 |
JSRC、PTSP |
ルーティング インスタンスを指定します。 |
UTF8文字列 |
2048 |
juniper-jsrc-パーティション |
2636 |
JSRC、PTSP |
加入者またはリクエストの論理システムおよびルーティング インスタンスを指定します。Juniper-Logical-SystemとJuniper-Routing-Instanceを含む |
分類 |
2050 |
Juniper-Request-Type |
2636 |
JSRC、PTSP |
要求のタイプを記述します。
|
列挙 |
2051 |
Juniper-Synchronization-Type |
2636 |
JSRC、PTSP |
同期のタイプを記述します。
|
列挙 |
2052 |
ジュニパーの同期 |
2636 |
JSRC、PTSP |
は、同期の状態を次のように記述します。
|
列挙 |
2053 |
Juniper-Acct-Record |
2636 |
JSRC、PTSP |
この加入者にインストールされている各ポリシーの統計データを指定します。Juniper-Policy-Name を含めます。 |
分類 |
2054 |
ジュニパーアカクトコレクト |
2636 |
JSRC、PTSP |
Juniper-Policy-Install AVPにインストールされているポリシー(サービス)が含まれている場合に、そのポリシーのアカウンティングデータを収集するかどうかを指定します。
|
列挙 |
2058 |
Juniper-State-ID |
2636 |
JSRC、PTSP |
破棄するメッセージを識別するために、各同期サイクルに割り当てられる値を指定します。同じ
手記:
送信請求された同期要求の場合、SRQ メッセージには増分された |
符号なし32 |
2100 |
Juniper仮想ルーター |
2636 |
Gx-Plus、JSRC |
セッションに関連付けられている仮想ルーターの名前を指定します。 |
UTF8文字列 |
2101 |
Juniper-Provisioning-Source |
2636 |
Gxプラス |
CCR-N および JSDA メッセージでセッションのプロビジョニング ソースを指定します。
|
列挙 |
2102 |
Juniper-Provisioning-Descriptor |
2636 |
Gxプラス |
セッションIDと、オプションでJuniper-Provisioning-Sourceと加入者データを含むJSDAメッセージで使用されるグループを定義します。 |
分類 |
2103 |
Juniper-Event-Type |
2636 |
Gxプラス |
JSERメッセージでイベント・タイプを伝達します。
|
列挙 |
2104 |
Juniper-Discovery-Descriptor |
2636 |
Gxプラス |
ディスカバリ要求のパラメータ(ディスカバリタイプ、リクエスト文字列、詳細度、最大結果)を含むJSDRおよびJSDAメッセージで使用されるグループを定義します。 |
分類 |
2105 |
Juniper-Discovery-Type |
2636 |
Gxプラス |
JSDRおよびJSDAメッセージのdiscoveryサブコマンドを指定します。
|
列挙 |
2106 |
Juniper-Verbosity-Level |
2636 |
Gxプラス |
JSDRおよびJSDAメッセージの詳細レベルを指定します。
|
列挙 |
2107 |
Juniper-String-A |
2636 |
Gxプラス |
コンテキストに従って解釈されるジェネリック文字列を指定します。 |
UTF8文字列 |
2108 |
Juniper-String-B |
2636 |
Gxプラス |
コンテキストに従って解釈されるジェネリック文字列を指定します。 |
UTF8文字列 |
2109 |
Juniper-String-C |
2636 |
Gxプラス |
コンテキストに従って解釈されるジェネリック文字列を指定します。 |
UTF8文字列 |
2110 |
Juniper-Unsigned32-A |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用の符号なし 32 ビット整数を指定します。 |
符号なし32 |
2111 |
Juniper-Unsigned32-B |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用の符号なし 32 ビット整数を指定します。 |
符号なし32 |
2112 |
Juniper-Unsigned32-C |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用の符号なし 32 ビット整数を指定します。 |
符号なし32 |
2200 |
juniper-IPv6-ndra-prefix |
2636 |
JSRC |
この AVP は、加入者のセッション データベースの IPv6Prefix エントリで使用可能な場合、SAE に送信される AAR プロビジョニング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
IPv6プレフィックス |
2201 |
Juniper-Framed-IPv6-ネットマスク |
2636 |
JSRC |
この AVP は、加入者のセッション データベースの IPv6Address エントリで使用可能な場合、SAE に送信される AAR プロビジョニング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
IPv6アドレス |
2202 |
Juniper-Agent-Circuit-ID |
2636 |
JSRC |
アクセスノードおよび加入者回線で加入者を識別します。サブスクライバのセッション データベース エントリで使用可能な場合、この AVP は SAE に送信される AAR プロビジョニング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
オクテット文字列 |
2203 |
Juniper-Agent-Remote-ID |
2636 |
JSRC |
アクセスノード上の加入者を識別します。サブスクライバのセッション データベース エントリで使用可能な場合、この AVP は SAE に送信される AAR プロビジョニング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
オクテット文字列 |
2204 |
Juniper-Acct-IPv6-入力オクテット |
2636 |
JSRC |
インターフェイス上で受信した IPv6 オクテットの数。この AVP は、値が 0 の場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
2205 |
Juniper-Acct-IPv6-出力オクテット |
2636 |
JSRC |
インターフェイス上で送信された IPv6 オクテットの数。この AVP は、値が 0 の場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
2206 |
Juniper-Acct-IPv6-Input-Pkts |
2636 |
JSRC |
インターフェイス上で受信した IPv6 パケットの数。この AVP は、値が 0 の場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
2207 |
Juniper-Acct-IPv6-Output-Pkts |
2636 |
JSRC |
インターフェイス上で送信された IPv6 パケットの数。この AVP は、値が 0 の場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
Tekelec AVP は Gx-Plus にのみ使用されます。これらの AVP の企業番号は 21274 です。 表 4 に Tekelec AVP を示します。これら4つの変数は、ユーザー定義のCoSサービス変数の代替値を提供するために使用されます。
属性番号 |
直径 AVP |
アプリケーション |
形容 |
種類 |
|---|---|---|---|---|
5555 |
Tekelec-充電ルール-引数名 |
Gxプラス |
置換するサービス変数の名前を定義します。 |
オクテット文字列 |
5556 |
Tekelec-充電-ルール-引数-値 |
Gxプラス |
置換するサービス変数の値を定義します。 |
オクテット文字列 |
5557 |
Tekelec-充電-ルール-引数 |
Gxプラス |
サービス変数の置換に使用する代替属性を定義します。Tekelec-Charging-Rule-Argument-Name AVP(5555)とTekelec-Charging-Rule-Argument-Value AVP(5556)を含みます。 |
分類 |
5558 |
Tekelec-充電ルール-引数付き |
Gxプラス |
含まれているCharging-Rule-Name AVP(1005)で指定されたルールのインストール(サービスの有効化)を要求します。要求されたサービス変数の置換は、オプションに含まれる Tekelec-Charging-Rule-Argument AVP(5557)によって提供されます。 |
分類 |
Diameter の設定
Diameter を設定するには、エンドポイントの起点、リモート ピア、トランスポート層の接続、およびルートとピアを関連付けるネットワーク要素を指定します。現在サポートされているのは、マスター Diameter インスタンスのみです。この Diameter インスタンスの代替値は、デフォルトのルーティング インスタンスのコンテキストでのみ設定できます。
Diameter ベース プロトコルを設定するには、次の手順を実行します。
Diameter インスタンスの起点属性の設定
Diameter インスタンスの Diameter メッセージを発信するエンドポイント ノードの識別特性を設定できます。ホスト名は、Diameterインスタンスによって送信元ホストAVPの値として提供されます。レルムは、Diameter インスタンスによって送信元レルム AVP の値として提供されます。
Diameter インスタンスの送信元属性を設定するには:
Diameter ピアの設定
Diameter がメッセージを送信するピアを設定できます。Diameter は、デフォルトの論理システムとルーティング インスタンスを使用します。ポート 3868 は、デフォルトでピアへのアクティブな接続に使用されます。
Diameterインスタンスのリモートピアを設定するには:
例えば、ピア p3 の以下の設定では、IPv4 アドレス、ルーティング インスタンス ri8、宛先ポート 49152、トランスポート t6、example.com のホスト 1 の発信元を指定し、メッセージに発信元状態の AVP が含まれています。
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
Diameter トランスポートの設定
Diameter インスタンスの 1 つまたは複数のトランスポートを設定して、ローカル接続の IPv4 または IPv6 アドレスを設定し、オプションで論理システムまたはルーティング インスタンス コンテキストを設定できます。Diameter は、デフォルトの論理システムとルーティング インスタンスを使用します。トランスポート接続の論理システムとルーティング インスタンスがピアの論理システムとと一致していなければならず、一致しない場合、設定エラーが報告されます。複数のピアが同じトランスポートを共有できます。
Diameter インスタンスのトランスポートを設定するには、次の手順を実行します。
例えば、トランスポート t1 の以下の設定では、IPv6 アドレス、論理システム ls5、およびルーティング インスタンス ri10 を指定しています。
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Diameter ネットワーク要素の設定
Diameter ネットワーク要素(DNE)は、関連するアプリケーション(CLI では と呼ばれる機能)、優先順位付けされたピアのリスト、および転送ルールのセットで構成されています。転送ルールは、関連付けられた一連の宛先、アプリケーション、およびメトリックを通じて、個々のルートを定義します。直径プロセス(jdiameterd)を開始するには、シャーシごとに少なくとも 1 つの DNE を設定する必要があります。
Diameter ネットワーク要素を設定する前に、次のタスクを実行します。
Diameter ピアを定義します。 Diameter ピアの設定を参照してください。
Diameter ネットワーク要素を設定するには:
例: S6a アプリケーションの設定
この例では、SRXシリーズファイアウォールで直径ベースの認証S6aアプリケーションを設定し、加入者サーバーから認証情報を取得する方法を示しています。
必要条件
概要
この例では、S6a パーティションを作成し、エンドポイントの起点、リモート ピア、およびルートをピアに関連付けるネットワーク要素を指定して、S6a メッセージの直径転送を制御します。また、S6a パーティションを 現在サポートされているのは、マスター Diameter インスタンスのみです。 master Diameter インスタンスの代替値は、デフォルト ルーティング インスタンスのコンテキストでのみ設定できます。
構成
- アクセス プロファイルと Diameter アプリケーション パラメータの設定
- 冗長イーサネットインターフェイスの設定
- セキュリティゾーンとセキュリティポリシーを設定して、S6a Diameterアプリケーションを許可します
アクセス プロファイルと Diameter アプリケーション パラメータの設定
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
アクセス プロファイルと Diameter アプリケーション パラメータを設定するには、次の手順を実行します。
認証順序に使用するアクセスプロファイルを指定します。
[edit access-profile] user@host# set s6a_test
認証方法を使用する順序を指定します。
[edit access profile] user@host# set s6a_test authentication-order s6a
パーティションを作成するか、既存のパーティションの名前を指定します。
[edit access] user@host# set s6a partition partition_name
s6aパーティションの宛先レルムを設定します。
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
s6a パーティションの宛先ホストを構成します。
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
s6a パーティションの Diameter インスタンスを指定します。
[edit access] user@host# set s6a partition partition_name diameter-instance master
手記:現在、デフォルトの Diameter インスタンスである
masterのみがサポートされています。未処理の要求の数に制限を設定します。
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
s6a が加入者のログアウト メッセージの送信を停止するまでの時間を秒単位で設定します。
[edit access] user@host# set s6a partition partition_name response-timeout 20
Diameter メッセージを発信したレルムの名前を含めます。
[edit diameter] user@host# set origin realm zzz.com
Diameter メッセージを発信したホストの名前を含めます。
[edit diameter] user@host# set origin host s6a.zzz.com
ネットワーク要素の名前を指定します。
[edit diameter] user@host# set network-element ne3
Diameter ピアをネットワーク要素に関連付けます。
[edit diameter] user@host# set network-element peer p3
ピアのプライオリティを設定します。
[edit diameter] user@host# set network-element peer p3 priority 100
定義した転送ルールに基づいて、ネットワーク要素を介して到達可能なルートを指定します。
[edit diameter] user@host# set network-element ne3 forwarding route r0
ルートのメトリックを指定します。
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
DiameterピアのIPアドレスを指定します。
[edit diameter] user@host# set peer p3 address 192.0.0.244
Diameter がピアへのアクティブな接続に使用するポートを指定します。
[edit diameter] user@host# set peer p3 connect-actively port 63101
業績
設定モードから、 show access コマンドと show diameter コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
冗長イーサネットインターフェイスの設定
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
冗長イーサネットインターフェイスを設定するには:
冗長イーサネットインターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
業績
設定モードから、 show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
セキュリティゾーンとセキュリティポリシーを設定して、S6a Diameterアプリケーションを許可します
CLIクイック構成
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
セキュリティポリシーとゾーンを設定するには、次の手順に従います。
reth1.0インターフェイスにシステムサービスとプロトコルを設定します。
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
reth0.0インターフェイスにシステムサービスとプロトコルを設定します。
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
セキュリティポリシーを設定します。
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
業績
設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
S6aステータスの確認
目的
設定が正常に機能していることを確認するには、次のタスクを実行します。
アクション
動作モードから、 show network-access s6a state、 show network-access s6a statistics、および show network-access s6a statistics extensive コマンドを入力して、s6aアプリケーションのネットワークアクセス状態と統計を確認します。
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
意味
show network-access s6a state、show network-access s6a statistics、および show network-access s6a statistics extensive コマンドは、S6a アプリケーションの状態と、サブスクライブされたサーバーから取得した認証情報の統計を表示します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。