Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

認証と許可のためのNASREQ

Diameterネットワークアクセスサーバーアプリケーション(NASREQ)

Diameterネットワークアクセスサーバー要件(NASREQ)プロトコルは、RFC 7155、 Diameterネットワークアクセスサーバーアプリケーションで定義されているDiameterベースの認証、許可、およびアカウンティングプロトコルです。これは、Diameter環境でRADIUS AAAを使用する代替手段です。Junos OSは、認証と許可機能をサポートしますが、アカウンティングはサポートしていません。認証は、加入者本人を確認するために、加入者の最初のログインに使用されます。同様に、認証はログイン時に使用され、加入者が必要となる可能性のある初期条件またはサービス、またはその両方を設定します。NASREQプロトコルは、加入者の再認証または再承認には使用されません。

Junos OSは、以下のNASREQプロトコル交換をサポートしています。

  • AA-Request/Answer—ログイン時の認証/認可要求。

  • Session-Termination-Request/Answer—加入者のセッションが終了したことを通知します。

  • Abort-Session-Request/Answer—NASREQサーバーから加入者のセッションを終了するようリクエストします。

注:

Auth-Application-ID AVPは、AA-Request、Session-Termination-Request、およびAbort-Session-Requestメッセージで値1に設定する必要があります。

NASREQ クライアントには、送信キューと応答キューの 2 つのキューがあります。送信キューには、Diameterに送信されるまでアウトバウンドパケットが保存され、リクエストとレスポンスが含まれます。レスポンスキューには、Diameterがリクエストに応答するまでパケットが保存され、レスポンスを待機しているリクエストのみが含まれます。

以下の設定変数は、キューの伝送フローと使用を制御します。

  • outstanding-requests—有線送信用にDiameterに送信されるリクエストの最大数(AARおよびSTRを含む)。これは、事実上、レスポンスキュー上のリクエストの最大数(レスポンスまたはタイムアウトが発生していないインフライトリクエストの最大数)です。送信された応答は含まれません。

  • request-retry—最初のリクエストがタイムアウトした後、特定のリクエストをDiameterに再送信する回数。この値は、応答キュー内の要求にのみ適用されます。

  • timeout—アウトバウンドパケットがタイムアウトと宣言されるまでに送信キューに残っている秒数。タイムアウト値を超えるパケットは送信されません。Diameterは、送信後にタイムアウトするパケットを管理します。タイムアウト値は、送信するリクエストとレスポンスの両方を含む、送信キュー内のすべてのパケットに適用されます。

交換フローは次のように行われます。

  1. 加入者がログインを試みると、NASREQクライアントとして機能する認証が、加入者に関する情報と認証情報を含むDiameter AA-Request(AAR)メッセージをNASREQサーバーに送信します。

    • 未処理のリクエスト数が設定された未処理の最大リクエスト値より少ない場合、authd は送信のためにリクエストを NASREQ サーバーに送信し、リクエストをレスポンス キューに入れます。

    • 未処理のリクエストの数が設定された未処理のリクエストの最大値以上の場合、authd はリクエストを送信キューに保存します。

  2. NASREQサーバーからDiameter AA-Answer(AAA)メッセージの形式で応答を受信すると、authdは応答キューに一致するリクエスト(AAR)がないか確認します。

    • 一致する要求が見つかった場合、その要求はキューから取り出され、応答の処理に使用されます。

    • 一致するリクエストが見つからない場合、応答は無視され、ドロップされます。

DiameterがリクエストがタイムアウトしたことをNASREQクライアントに通知すると、次のいずれかのアクションが発生します。

  • リクエストがレスポンスキューにない場合、タイムアウトは無視されます。

  • このリクエストの再試行カウンターが設定された request-retry 値より小さい場合、authd はリクエストを再送信し、そのリクエストの再試行カウンターをインクリメントします。

  • このリクエストの再試行カウンターが設定値以上の場合、authd はリクエストのタイムアウトを処理し、送信キューにある次のリクエストを NASREQ サーバーに送信します。

設定されたタイムアウト期間が終了すると、authd は期限切れのアウトバウンドパケットを送信キューから削除し、タイムアウトしたものとして処理します。

Diameter NASREQプロトコルを使用するメリット

  • RADIUSサーバーを使用するのではなく、外部NASREQサーバーを使用して加入者に認証と承認を提供することを可能にします。お客様のモデルによっては、RADIUSサーバーを採用していない場合や、Diameterの加入者プロビジョニングモデルに移行したときにRADIUSサーバーの使用を停止したい場合があります。

Diameterネットワークアクセスサーバーアプリケーション(NASREQ)の設定

NASREQクライアントは、加入者がログインする際の加入者認証と認証のためにRADIUSの代替として設定します。

認証と許可のためにNASREQを設定するには:

  1. ネットワーク要素に関連付けられたDiameterアプリケーション(機能)としてNASREQを指定します。
  2. Diameterネットワーク要素転送機能およびパーティションとしてNASREQを指定します。
  3. 加入者の認証と許可にNASREQを指定します。
  4. 加入者認証のみにNASREQを指定します(認証なし)。
    注:

    authentication-orderauthorization-orderの両方を設定する場合、動作は加入者タイプによって異なります。DHCP 加入者の場合、authorization-orderauthentication-order よりも優先されます。他のすべての加入者タイプでは、authentication-orderauthorization-orderよりも優先されます。
  5. NASREQ パーティションの宛先 ID を指定します。
  6. 送信用にDiameterエンジンに送信するリクエストの最大数を指定します。これは、応答キュー内のリクエストの最大数でもあります。
  7. リクエストに対してDiameterからタイムアウトを受信した場合に、Diameterエンジンへのリクエスト送信を再試行する回数を指定します。
  8. アウトバウンドパケットがタイムアウトと宣言されるまでの送信キューに残る秒数を指定します。

関連ドキュメント