Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

認証と許可のNASREQ

Diameter ネットワーク アクセス サーバ アプリケーション(NASREQ)

Diameter ネットワーク アクセス サーバ要件(NASREQ)プロトコルは、RFC 7155、 Diameter ネットワーク アクセス サーバ アプリケーションで定義されている Diameter ベースの認証、許可、およびアカウンティング プロトコルです。これは、Diameter 環境で RADIUS AAA を使用する代わりに使用できます。Junos OSは、認証および許可機能をサポートしますが、アカウンティングはサポートしていません。認証は、加入者IDを確認するための初期加入者ログインに使用されます。同様に、認証はログイン時に使用され、加入者に必要な初期条件またはサービス、あるいはその両方を設定します。NASREQ プロトコルは、加入者の再認証または再許可には使用されません。

Junos OSは、以下のNASREQプロトコル交換をサポートしています。

  • [AA-Request/Answer]:ログイン時の認証/許可要求。

  • Session-Termination-Request/Answer—加入者のセッションが終了したことを通知します。

  • Abort-Session-Request/Answer—NASREQ サーバからの加入者セッションの終了要求。

手記:

AA-Request、Session-Termination-Request、および Abort-Session-Request メッセージでは、Auth-Application-Id AVP を値 1 に設定する必要があります。

NASREQ クライアントには、送信キューと応答キューの 2 つのキューがあります。送信キューは、送信パケットが Diameter に送信されるまで保存され、要求と応答が含まれます。応答キューは、Diameter が要求に応答するまでパケットを保存し、応答を待っている要求のみが含まれます。

次の構成変数は、転送フローとキューの使用を制御します。

  • outstanding-requests:有線伝送のために Diameter に送信される要求の最大数(AAR と STR を含む):実質的には、応答キュー上の要求の最大数(応答またはタイムアウトが発生していないインフライト要求の最大数)です。送信された応答は含まれません。

  • request-retry- 特定の要求が最初の要求でタイムアウトした後、その要求を Diameter に再送信する回数。この値は、応答キュー内の要求にのみ適用されます。

  • timeout- アウトバウンドパケットがタイムアウトと宣言されるまでに送信キューに残る秒数。タイムアウト値を超えるパケットは送信されません。Diameter は、送信後にタイムアウトするパケットを管理します。タイムアウト値は、送信するリクエストとレスポンスの両方を含む、送信キュー内のすべてのパケットに適用されます。

交換フローは次のように行われます。

  1. 加入者がログインを試みると、NASREQ クライアントとして機能する authd が、加入者と認証情報に関する情報を含む Diameter AA-Request(AAR)メッセージを NASREQ サーバに送信します。

    • 未処理の要求の数が構成された未処理の要求の最大値よりも少ない場合、authd は要求を NASREQ サーバーに送信して送信し、その要求を応答キューに入れます。

    • 未処理の要求の数が構成済みの未処理要求の最大値以上である場合、authd はその要求を送信キューに格納します。

  2. NASREQ サーバから Diameter AA-Answer(AAA)メッセージの形式で応答を受信すると、authd は応答キューで一致する要求(AAR)を確認します。

    • 一致する要求が見つかった場合、その要求はキューから取り出され、応答の処理に使用されます。

    • 一致する要求が見つからない場合、応答は無視され、破棄されます。

要求がタイムアウトしたことを Diameter が NASREQ クライアントに通知すると、次のいずれかのアクションが発生します。

  • 要求が応答キューにない場合、タイムアウトは無視されます。

  • このリクエストの再試行カウンターが設定された request-retry 値よりも小さい場合、authd はリクエストを再送信し、そのリクエストの再試行カウンターをインクリメントします。

  • この要求の再試行カウンターが設定値以上の場合、authd は要求タイムアウトを処理し、送信キューにある次の要求を NASREQ サーバーに送信します。

設定されたタイムアウト期間が終了すると、authd は期限切れのアウトバウンドパケットを送信キューから削除し、タイムアウトしたものとして処理します。

Diameter NASREQ プロトコルを使用する利点

  • RADIUS サーバーを使用するのではなく、外部の NASREQ サーバーを使用して、加入者に認証と許可を提供できるようにします。一部のカスタマー モデルは、RADIUS サーバを採用していない場合や、Diameter 加入者プロビジョニング モデルへの移行時に RADIUS サーバの使用を停止したい場合があります。

Diameter ネットワーク アクセス サーバ アプリケーション(NASREQ)の設定

加入者のログイン時に、加入者の認証と許可のために、RADIUS の代替として NASREQ クライアントを設定します。

認証と許可のために NASREQ を設定するには、次の手順を実行します。

  1. ネットワーク エレメントに関連付けられた Diameter アプリケーション(関数)として NASREQ を指定します。
  2. Diameter ネットワーク要素転送関数およびパーティションとして NASREQ を指定します。
  3. 加入者の認証と許可に NASREQ を指定します。
  4. 加入者許可のみに NASREQ を指定します(認証なし)。
    手記:

    authentication-orderauthorization-orderの両方を設定した場合、動作は加入者のタイプによって異なります。DHCP加入者の場合、authorization-orderauthentication-orderよりも優先されます。他のすべての加入者タイプでは、authentication-orderauthorization-orderよりも優先されます。
  5. NASREQ パーティションの宛先 ID を指定します。
  6. 送信のために Diameter エンジンに送信する要求の最大数を指定します。これは、応答キュー内の要求の最大数でもあります。
  7. 要求のタイムアウトを Diameter から受信した場合に、Diameter エンジンへの要求の送信を再試行する回数を指定します。
  8. アウトバウンドパケットがタイムアウトと宣言されるまでに送信キューに残る秒数を指定します。

関連資料