項目一覧
加入者アクセスのRADIUSアカウンティング
このトピックでは、RADIUSアカウンティング統計、加入者セッションアカウンティング、重複レポート、およびサービスアカウンティングについて詳しく説明します。RADIUS アカウンティング用のサーバーの設定については、 RADIUS 認証およびアカウンティングの基本設定を参照してください。
加入者アクセスの RADIUS アカウンティング統計の概要
AAA サービス フレームワークでは、加入者管理のためにルーターがアカウンティング統計情報を収集して使用する方法を設定できます。
例えば、統計収集を終了するタイミング、異なるアカウンティング方式を使用する順序、収集する統計のタイプ、および統計を収集する頻度を指定できます。また、加入者のログイン時や認証変更(CoA)の発生時など、特定のイベントが発生した場合に、RADIUSサーバがアカウンティング統計情報を直ちに更新するよう要求するようにルーターを設定することもできます。
加入者管理には、加入者セッションとサービスセッションの2つのレベルの加入者アカウンティングがあります。加入者セッションアカウンティングでは、ルーターは加入者セッション全体の統計情報を収集します。サービス セッション アカウンティングでは、ルーターは、加入者の特定のサービス セッションに関する統計情報を収集します。
加入者管理では、転送されたパケットのみがカウントされます。ドロップされたトラフィック(例えば、フィルタ動作の結果として)および制御トラフィックは、会計統計情報に含まれません。
ルーターは、 表 1 に示す RADIUS 属性とジュニパーネットワークス VSA を使用して、加入者とサービス セッションのアカウンティング統計を提供します。セッションでIPv4とIPv6の両方のファミリーが有効になっている場合、ルーターは両方のファミリーの統計情報を報告します。
RADIUS は、IPv4 統計情報と IPv6 統計情報の両方の集合体として加入者の統計情報を報告します。
IPv4のみの設定では、標準のRADIUS属性はIPv4統計を報告し、IPv6 VSAの結果はすべて0として報告されます。
IPv6のみの設定では、標準のRADIUS属性とIPv6 VSAの統計情報は同一で、どちらもIPv6の統計情報を報告します。
IPv4とIPv6の両方が設定されている場合、標準RADIUS属性は、IPv4とIPv6を組み合わせた統計情報を報告します。IPv6 VSAは、IPv6の統計情報を報告します。
属性番号 |
属性名 |
統計の種類 |
---|---|---|
26-151 |
IPv6-Acct-入力オクテット |
IPv6 |
26-152 |
IPv6-Acct-出力オクテット |
IPv6 |
26-153 |
IPv6-Acct-Input-Packets |
IPv6 |
26-154 |
IPv6-Acct-出力パケット |
IPv6 |
26-155 |
IPv6-Acct-Input-Gigawords |
IPv6 |
26-156 |
IPv6-Acct-Output-Gigawords |
IPv6 |
47 |
Acct-Input-Packets |
IPv4 および IPv6 アグリゲーション |
48 |
acct-output-packets |
IPv4 および IPv6 アグリゲーション |
52 |
Acct-Input-Gigawords |
IPv4 および IPv6 アグリゲーション |
53 |
Acct-Output-Gigawords |
IPv4 および IPv6 アグリゲーション |
参照
RADIUSアカクトオンおよびアカクトオフメッセージ
加入者管理は、RADIUSアカウンティングサポートの現在の状態を示すために、RADIUS Acct-OnおよびAcct-Offメッセージをサポートします。
RADIUS Acct-On メッセージは、アカウンティングがサポートされていることを示します。加入者管理は、以下の状況で Acct-On メッセージに問題を引き起こします。
アカウンティングは、設定によって有効になります(たとえば、アカウンティングサーバーが設定されます)。
新しいアクセスプロファイルが、論理システム/ルーティング インスタンス コンテキストに対して設定され、コミットされます。ただし、アクセスプロファイルの前にアカウンティングサーバが存在し、単に変更されている場合は、Acct-Onメッセージは送信されません。
ルーターはコールドリブートを実行します。
ルーターがウォームリブートを実行し、現在ログインしている加入者がいない。
認証プロセスが再起動し、アクティブな加入者がいない。
RADIUS接続オフメッセージは、でアカウンティングがサポートされていないことを示します。加入者管理は、以下の状況で Acct-Off メッセージを発行します。
認証プロセスが中断され、アクティブな加入者がいない。
ルーターはシャットダウンされ、アカウンティング サーバーが現在設定されています(このアクションにより、現在のすべての加入者もログアウトされます)。
ルーターが再起動され、冗長性が無効になります。
参照
加入者単位のセッション アカウンティングの設定
加入者セッションのアカウンティングを設定するには、アクセスプロファイルを使用し、加入者アクセス管理機能がアカウンティング統計情報を収集して使用する方法を指定します。ルーターは、 加入者アクセスのRADIUSアカウンティング統計の概要で説明したRADIUS 属性とジュニパーネットワークスVSAを使用して、加入者セッションのアカウンティング統計を提供します。
加入者セッションのアカウンティングを設定するには、次の手順に従います。
参照
加入者の正確なアカウンティング統計情報を CLI に報告できるようにする
ルーターを設定して、動的インターフェイス上の加入者セッションの正確な統計情報を表示できます。デフォルトでは、 show interfaces extensive
コマンドで表示されるインターフェイスの集約統計情報(バイト数およびパケット数)は、お客様のトラフィックを正確に反映していません。これらのカウンターには、実際の加入者データ バイトに追加されたカプセル化オーバーヘッドを表すオーバーヘッド バイトが含まれます。集約カウンターには、ドロップされたパケットも合計に含まれるため、値はインターフェイス上の実際の加入者トラフィックではなく、トランジット統計を表します。
オーバーヘッド バイトとドロップされたパケットを含めると、最終的なレポート値に大きな影響を与える可能性があります。インターフェイスに interface-transmit-statistics
ステートメントを含めることで、ドロップされたパケットをカウントから除外できますが、これはオーバーヘッド バイトには影響しません。
正確な加入者統計を表示するには、動的プロファイルに論理インターフェイスの actual-transmit-statistics
ステートメントを含めます。このステートメントを使用すると、 show subscribers
コマンドで、指定された加入者セッションまたは指定されたインターフェイス上のすべての加入者セッションの集約バイト数とパケット数を表示できます。表示される統計情報は、加入者の RADIUS に報告される値と一致します。統計情報は、トラフィックシェーピングが適用された後に収集され、オーバーヘッドバイト、制御パケット、またはドロップされたパケットは含まれません。
Junos OS リリース 18.4R1以降では、 actual-transit-statistics
が加入者の統計情報を収集できるようにする必要があります。このステートメントを設定しない場合、加入者の統計情報は収集されません。 show subscribers accounting-statistics
コマンドでは、加入者統計情報に値0が表示され、加入者統計情報は値ゼロでRADIUSに報告されます。
サービスアカウンティングの統計情報は含まれません。
正確な加入者セッション統計のレポートを構成するには:
実際のトランジット統計を有効にします。
[edit dynamic-profiles profile-name interfaces $junos-interface-ifd-name unit $junos-interface-unit] user@host# set actual-transit-statistics
加入者のアカウンティング統計情報は、次の 2 つの方法で表示できます。
show subscribers id session-id accounting-statistics
コマンドを使用して、セッション ID 別の加入者統計情報を表示します。show subscribers interfaces interface-name accounting-statistics
コマンドを使用して、すべてのセッションIDの加入者統計情報を動的インターフェイス別に表示します。
RADIUSアカウンティングの重複レポートについて
RADIUSアカウンティングを設定すると、デフォルトでルーターは、加入者が最後に認証されたコンテキストで、アカウンティングサーバーにアカウンティングレポートを送信します。RADIUSアカウンティングを設定して、同じコンテキストまたは別のコンテキスト内の他のサーバーに重複するアカウンティングレポートを送信できます。
レイヤー 3 ホールセール シナリオ
レイヤー3ホールセールネットワーク環境では、ホールセールと小売業者が異なるRADIUSアカウンティングサーバーを使用し、両者がアカウンティングレポートを受信したい場合があります。この状況では、卸売業者と小売業者のアカウンティング サーバーの両方にレポートを送信する RADIUS アカウンティング重複レポートを設定できます。重複するアカウンティングレコードの送信先は、default:default 論理システム:ルーティング インスタンスの組み合わせ(LS:RI)( デフォルト VRF とも呼ばれる)にある必要があります。
表 2 は、重複レポートを有効にした場合に、加入者管理がアカウンティング レポートを送信する場所を示しています。加入者管理は、[edit access profile profile-name accounting]
階層レベルでduplication
ステートメントを設定するアクセスプロファイル、加入者が存在する場所、および加入者の認証方法に基づいて、レポートを複製して送信します。
また、ドメイン マップの設定に基づいて、アカウンティング重複レポートを有効にすることもできます。加入者は、デフォルト以外のルーティング インスタンスと、default:default のターゲット論理システム:ルーティング インスタンスで認証するように設定します。その後、アカウンティング レポートは、認証コンテキストと default:default コンテキストの両方に送信されます。
複製が設定されているアクセスプロファイル |
加入者が認証される場所 |
加入者のターゲット論理システム/ルーティングインスタンス |
アカウンティング レポートが送信されるアカウンティング サーバ |
---|---|---|---|
小売業者A社 |
卸売業者 |
小売業者A社 |
卸売業・小売業A |
小売業者A社 |
小売業者A社 |
小売業者A社 |
wholesaler (デフォルト/デフォルトコンテキスト)
手記:
これは、この表の前の「注」で説明したドメイン マップの設定です。 |
卸売業者 |
卸売業・小売業A |
小売業者A社 |
卸売業・小売業A |
卸売業・小売業B |
卸売業・小売業A |
小売業者B |
卸売業者、小売業者A、小売業者B |
(既定値) |
任意 |
任意 |
加入者が最後に認証されたコンテキストでアカウンティングサーバーに送信される単一のレポート |
その他のシナリオ
レイヤ 3 ホールセール ネットワーク環境にない場合、同一または異なるルーティング コンテキストに存在する別の RADIUS サーバ セットに、重複したアカウンティング レコードを送信することができます。レイヤー 3 ホールセール シナリオとは異なり、重複する RADIUS アカウンティング レコードのターゲットは、デフォルトの VRF である必要はありません。デフォルト以外の VRF(つまり、default:default LS:RI の組み合わせ以外)を 1 つターゲットとして指定できます。さらに、ターゲット VRF で最大 5 つのアクセス プロファイルを指定して、重複レポートを受信する RADIUS アカウンティング サーバーをリストできます。
たとえば、加入者がデフォルト ドメインで認証される合法的な傍受シナリオがあるとします。認可された法執行機関は、加入者が組織のネットワーキングドメインに存在するメディエーションデバイス(デフォルト以外のVRFにある)に送信するために、重複したアカウンティングレコードを必要とします。
加入者管理は、[edit access profile profile-name accounting duplication-vrf]
階層レベルの vrf-name
ステートメントで指定した VRF に重複したレポートを送信します。同じレベルに access-profile-name
ステートメントを含め、重複レポートを受信するRADIUSサーバーを指定するアクセスプロファイルを指定します。
重複アカウンティングレポートのフィルター
加入者管理には、RADIUSアカウンティング重複レポートがアクティブな場合に、RADIUSアカウンティング中間レポートを受信するアカウンティングサーバーを指定できる重複フィルター機能が用意されています。AAA アクセス プロファイルでフィルターを設定すると、ルーターは、そのプロファイルに関連付けられた加入者にフィルターを適用します。
加入者管理は、RADIUSアカウンティング重複レポートについて、以下のフィルタリングをサポートしています。
重複アカウンティング中間メッセージ:ルーターは、重複するアカウンティングメッセージをフィルタリングします。アカウンティングメッセージは、加入者のアクセスプロファイル内のRADIUSアカウンティングサーバーにのみ送信されます。
元のアカウンティング中間メッセージ—ルーターは、加入者のアクセスプロファイル内のアカウンティングサーバーである元のRADIUSアカウンティングサーバー宛てのアカウンティングメッセージをフィルタリングします。アカウンティングメッセージは、重複アカウンティングサーバー(加入者のアクセスプロファイル以外の重複アクセスプロファイル内のサーバー)にのみ送信されます。
除外されたRADIUS属性—ルーターは、複製コンテキスト下のアクセスプロファイルの
exclude
ステートメント設定に基づいて、アカウンティングメッセージ内のRADIUS属性をフィルタリングします。除外フィルターは、単独で使用することも、複製されたアカウンティング メッセージ フィルターまたは元のアカウンティング メッセージ フィルターと組み合わせて使用することもできます。
RADIUSアカウンティング重複レポート用の重複フィルターの設定
アカウンティング重複レポートが有効になっている場合に、重複フィルターを使用して、RADIUSアカウンティング中間レポートを受信するRADIUSアカウンティングサーバーを指定できます。AAA アクセス プロファイルでフィルターを設定すると、ルーターは、そのプロファイルに関連付けられた加入者にフィルターを適用します。
重複レポートを会計処理するための重複フィルターを設定するには:
サービス単位のセッション アカウンティングの設定
加入者管理では、加入者のサービスセッションごとに統計情報を収集するようにルーターを設定できます。サービスごとのセッション アカウンティングには、2 つの操作が必要です。まず、サービスの名前、使用するアカウンティング間隔、および収集する統計情報の種類(時間統計、または時間とボリュームの統計情報の組み合わせ)を提供するように RADIUS を構成する必要があります。次に、RADIUS VSA 26-69 が時間とボリュームの統計用に設定されている場合は、サービス パケットをカウントするファイアウォールまたは高速更新ファイアウォール フィルターも構成する必要があります。
ルーターは、 加入者アクセスのRADIUSアカウンティング統計の概要で説明したRADIUS 属性とジュニパーネットワークスVSAを使用して、加入者セッションのアカウンティング統計を提供します。
時間のみのサービス統計の収集は、すべてのサービスセッションでサポートされます。ただし、時間とボリュームの統計は、ファイアウォールおよび高速更新ファイアウォール サービス セッションについてのみ提供されます。
サービスごとのアカウンティング統計を提供するようにルーターを設定するには:
属性番号 |
属性名 |
形容 |
価値 |
---|---|---|---|
26-69 |
サービス統計 |
サービスの統計情報を有効または無効にする |
|
26-83 |
サービスセッション |
ルーターから RADIUS サーバにアカウンティング、停止、開始メッセージで送信されるサービス文字列 |
string:属性26-65のRADIUSサーバーから送信されるパラメーター値を持つservice-name。 |
26-140 |
サービス中間接続間隔 |
このサービスの暫定的なアカウンティング更新間の時間 |
手記:
値は、次に大きい 10 分の倍数に切り上げられます。たとえば、900 秒 (15 分) の設定は 20 分 (1200 秒) に切り上げられます。 |
参照
サービス プロビジョニングのための RADIUS メッセージでの Cisco VSA の処理
RADIUS メッセージで Cisco VSA を使用して、加入者アクセス ネットワークでサービスをプロビジョニングおよび管理できます。この展開のトポロジーでは、ブロードバンド ネットワークゲートウェイ(BNG)は以下に接続されています。
認証とアカウンティングに使用される Steel-Belted Radius Carrier(SBRC)などのRADIUSサーバー。
RADIUS Change of Authorization(CoA)メッセージを使用してサービスをプロビジョニングするための Policy Control and Charging Rules Function(PCRF)サーバとして使用される Cisco BroadHop アプリケーション。
Cisco BroadHopは、ジュニパーVSAをサポートしていません。さまざまな値を持つ Cisco VSA、Cisco-AVPair(26-1、IANA プライベート エンタープライズ番号 9)を使用して、サービスをアクティブ化および非アクティブ化します。
サービスをアクティブにするには、次の各値で Cisco-AVPair VSA(26-1)を使用します。
の値。subscriber:command=activate-service パラメーターを使用します。
subscriber:service-name=service-name パラメーターの値。
サービスを非アクティブ化するには、次の各値で Cisco-AVPair VSA(26-1)を使用します。
subscriber:command=deactivate-service パラメーターの値。
subscriber:service-name=service-name パラメーターの値。
BNGが送信するRADIUSメッセージ内の認証、アカウンティング、CoA応答の属性を変更することはできません。サービスのプロビジョニングに使用されるもの以外の Cisco VSA は、サポートされていない属性と見なされます。
加入者のアクセスプロファイルのサービスアカウンティングを設定するには、次の手順に従います。
また、UDP ポート番号を定義して、RADIUS 動的要求サーバーとして機能するルーターが RADIUS サーバーからの要求を受信するポートを構成することもできます。デフォルトでは、ルーターはUDPポート3799でリモートRADIUSサーバーからの動的要求をリッスンします。UDP ポート番号は、特定のアクセス プロファイルまたはルーター上のすべてのアクセス プロファイルの動的要求に使用するように設定できます。UDPポート番号を定義するには、[edit access profile profile-name radius-server server-address]
または[edit access radius-server server-address]
階層レベルでdynamic-request-port port-number
ステートメントを含めます。
すべてのアクセスプロファイルの UDP ポートをグローバルに指定するには:
[edit access radius-server server-address] user@host# set dynamic-request-port port-number
特定のアクセスプロファイルのUDPポートを指定するには:
[edit access profile profile-name radius-server server-address] user@host# set dynamic-request-port port-number
参照
ボリューム統計情報のサービス パケット カウントの設定
加入者管理では、サービスパケットカウントを使用して、サービスセッションごとに加入者のボリューム統計を報告します。サービスパケットカウントを設定するには、アカウンティングアクションを指定します。加入者管理は、RADIUSで使用する特定の名前付きカウンター(__junos-dyn-service-counter)に結果を適用します。
設定するアカウンティングアクションによって、加入者管理が統計情報をキャプチャする際に使用するカウントメカニズム(インラインカウンターまたは遅延カウンター)が指定されます。インライン カウンターは、イベント発生時にキャプチャされ、イベント後に発生する可能性のある追加のパケット処理は含まれません。遅延カウンター(正確なアカウンティングとも呼ばれます)は、パケットが送信のためにキューイングされるまでインクリメントされないため、パケット処理全体が含まれます。遅延カウンターは、インライン カウンターよりも正確なパケット数を提供し、加入者のアカウンティングおよび課金に便利です。
アカウンティングメカニズムを設定するには、[edit firewall family family-name filter filter-name term term-name then]
階層レベルでservice-accounting-deferred
アクション(遅延カウンターの場合)またはservice-accounting
アクション(インラインカウンターの場合)のいずれかを指定します。
この 2 つのアカウンティング メカニズムは、期間ごと、フィルターごとの両方で相互に排他的です。また、両方のアカウンティングアクションは、期間ごとのカウントアクションと相互に排他的です。
遅延カウンターは、クラシック フィルターの inet および inet6 ファミリーに対してのみ定義できます。高速更新フィルターは、遅延カウンターをサポートしていません。
サービス パケット カウントを有効にするには:
フィルターの一致条件が満たされると、パケットがカウントされ、RADIUS サーバーで使用するために既知のサービス カウンター(__junos-dyn-service-counter)に適用されます。このカウンターは、サービスごとのアカウンティングのボリューム統計を提供します。
service-accounting
アクションまたは service-accounting-deferred
アクションをcount
アクションと同じ条件で使用することはできません。
参照
サービス アカウンティングの設定
サービスアカウンティングはデフォルトで無効になっています。サービスアカウンティングを設定するには、外部RADIUSサーバーから受信したRADIUS属性を使用するか、CLIトップを使用して、ルーター上でローカルにアカウンティングを設定します。両方を設定した場合、RADIUSの設定がCLIの設定よりも優先されます。
一部のネットワークでは、CLIを使用してサービスアカウンティングを有効または無効にし、暫定的なアカウンティング間隔を指定する必要があります。たとえば、BNGが、サービスのプロビジョニングにRADIUS CoAを使用するが、ジュニパーネットワークスのVSAをサポートしていないアプリケーションを使用して、RADIUSサーバーとサードパーティ製デバイスの両方に接続できます。この使用例の詳細については、 サービス プロビジョニングのための RADIUS メッセージ内の Cisco VSA の処理を参照してください。
表 4 は、ローカル CLI と RADIUS サービス アカウンティング設定のさまざまな組み合わせが存在する場合に収集されるサービス アカウンティング統計のタイプを示しています。
サービス統計情報用のCLI設定あり |
サービス統計情報に存在するRADIUS設定 |
収集されるサービス統計 |
---|---|---|
– |
– |
何一つ |
– |
✓ |
RADIUS 設定 |
✓ |
– |
CLI設定 |
✓ |
✓ |
RADIUS 設定 |
✓ |
値 0 で明示的に無効になります |
何一つ |
表 5 は、ローカル CLI と RADIUS サービス アカウンティング設定のさまざまな組み合わせが存在する場合に使用されるサービス暫定アカウンティング間隔値を示しています。
サービス暫定アカウンティング間隔の CLI 設定が存在する |
サービス暫定アカウンティング間隔に存在するRADIUS設定 |
使用されたサービス暫定アカウンティング間隔値 |
---|---|---|
– |
– |
サービス中間アカウンティングなし |
– |
✓ |
RADIUS値 |
✓ |
– |
CLI値 |
✓ |
✓ |
RADIUS値 |
✓ |
値 0 で明示的に無効になります |
サービス中間アカウンティングなし |
表 6 は、CLI と RADIUS 構成の 2 つの組み合わせ例の結果を示しています。
CLI |
半径 |
使用される値 |
---|---|---|
|
中間間隔(85)= 600 service-statistics(26-69)未設定 |
600 時間 |
|
Acct-Interim-Interval(85)未設定 サービス統計(26-69)= 2、時間とボリューム |
400 時間と量 |
加入者のアクセスプロファイルのサービスアカウンティングを設定するには、次の手順に従います。
アカウンティングサーバー停止時のRADIUSアカウンティング情報の保持
図 1 に示すように、ルーターが RADIUS アカウンティング サーバーとの接続を失った場合、サーバーの停止またはサーバーに接続するネットワークの問題が原因で、サーバーが受信するはずだったすべての課金情報が失われる可能性があります。RADIUSアカウンティングバックアップは、停止中に蓄積されたアカウンティングデータを保持します。RADIUSアカウンティングバックアップを設定していない場合、ルーターがRADIUSサーバーとの接続を再開する試みを使い果たした時点から、停止期間中はアカウンティングデータが失われます。設定可能な再試行値によって、ルーターがサーバーへの接続を試みる回数が決まります。

デフォルトでは、ルーターは復帰タイマーが切れるまで待ってから、応答しないサーバーへの接続を再試行する必要があります。ただし、アカウンティング バックアップを設定すると、復帰タイマーは無効になり、ルーターがアカウンティング確認応答を受信できないとすぐに、ルーターはアカウンティング要求を再試行します。アカウンティングのバックアップは、次の順序に従います。
ルーターは、サーバーからのアカウンティング確認応答の受信に失敗します。
ルーターはただちにアカウンティング サーバーへの接続を試み、再試行回数を使い切る前にルーターが確認応答を受信しない場合、サーバーをオフラインとしてマークします。
次に、ルーターは、RADIUSプロファイルで構成された追加の各アカウンティングサーバーに順番に接続しようとします。
サーバーに到達すると、ルーターはこのサーバーへのアカウンティング要求の送信を再開します。
どのサーバーも応答しない場合、またはプロファイル内に他のサーバーがない場合、ルーターはタイムアウトを宣言し、会計データのバックアップを開始します。すべてのアカウンティング停止メッセージを保留し、新しいアカウンティング要求をサーバーに転送しません。
停止状態の間、ルーターは 1 つの保留中のアカウンティング停止メッセージを定期的にサーバーに送信します。
サーバーの 1 つが受信を確認すると、ルーターは、保存されているすべての停止メッセージが送信されるまで、保留中のすべての停止メッセージを同じ間隔でそのサーバーにバッチで送信します。しかし、新しいアカウンティング要求は、定期的に保留されて送信されるのではなく、ただちに送信されます。
ルーターは、加入者間の時間的順序と、各加入者に対するサービスとセッション停止要求間の因果関係の両方を保持するため、サーバーへのアカウンティング停止メッセージを正しい順序で再生します。セッションの開始時刻と期間、およびすべてのアカウンティング統計情報が含まれているため、アカウンティング停止メッセージのみがバックアップされます。これにより、アカウンティング開始メッセージを保留する必要がなくなり、最終的にはタイムアウトします。暫定更新はバックアップされず、タイムアウトも発生します。セッションがアクティブなままの場合、サーバー接続が復元された後の次の仮更新で、暫定アカウンティング情報が提供されます。
アカウンティング サーバとの接続が回復するまでルータがキューに入れることができるアカウンティング停止メッセージの数を設定できます。新しいアカウンティング データを収集するよりも現在のアカウンティング データを保持するために、メッセージの最大数が保留されるとすぐに、加入者ログインは失敗します。加入者のログインは、保留中のキューがキュー制限を下回るとすぐに再開されます。
サービス アカウンティング停止メッセージは、加入者ごとに最大 10 個のサービスに対して保留されます。アカウンティングサーバーがオフラインのときに、加入者が11番目のサービスをアクティブ化しようとすると、アクティブ化は失敗します。
ルーターは、保留中のアカウンティングメッセージを最大24時間保持できます。設定可能な最大保留期間が経過すると、アカウンティング サーバがオンラインに戻った場合でも、保留キューに残っているすべてのアカウンティング停止メッセージがフラッシュされます。この結果、加入者のログインは、保留中の上限に達したために失敗した場合、すぐに再開されます。
保留中のすべてのメッセージは、以下のいずれかの状況でもフラッシュされます。
最後のアカウンティング サーバをアクセス プロファイルから削除すると、メッセージを送信する場所がなくなるためです。
アカウンティング バックアップ設定を削除した場合。
ルータがアカウンティング停止メッセージを保留している間に、ルータにアカウンティングサーバとのコンタクトを直ちに試行させるのではなく、強制的にアカウンティングサーバとのコンタクトを直ちに試行させることができます。これを行うと、ルーターは最初に停止メッセージのバッチをサーバーに再生し、次のいずれかの結果をもたらします。
ルーターが受信確認を受信すると、サーバーをオンラインとしてマークし、残りの保留中のすべてのストップメッセージをバッチで再生し始めます。
ルーターが確認応答を受信しない場合、ルーターは定期的な間隔で単一の保留中のアカウンティング停止メッセージの送信を再開します。
アカウンティング サーバがオフラインのときに加入者がログアウトすると、加入者とセッションのアカウンティング停止要求がキューに入れられ、オンラインになったときにサーバに再生されます。この場合、加入者セッションとサービスセッションの情報は保持されるため、サーバーがオンラインに戻ったときにルーターは正しいアカウンティング要求を送信できます。
アカウンティング サーバーがオフラインのときに グレースフル ルーティングエンジン スイッチオーバー が行われた場合、サーバーが再びオンラインになったときに、アクティブなルーティングエンジンから保留中のストップ メッセージを再生できます。
RADIUSアカウンティングバックアップが設定されている場合は、RADIUS認証とアカウンティングに異なるサーバーを使用する必要があります。認証とアカウンティングの両方に同じサーバーが設定されている場合、加入者認証は失敗します。
RADIUSサーバーが他のバックエンドRADIUSアカウンティングサーバーまたは認証サーバーに代わって動作し、要求を転送する場合、加入者は認証できますが、アカウンティング要求は送信されません。
バックアップ アカウンティング統計情報を表示するには、 show network-access aaa statistics コマンドを使用します。
RADIUSアカウンティングのバックアップオプションの設定
サーバーやネットワークの停止によりアカウンティングサーバーが利用できない場合、RADIUSアカウンティングバックアップを設定して、アカウンティングデータを保持することができます。バックアップが設定されている場合、RADIUSアカウンティング停止メッセージは保留され、接続が回復したときに送信されるようにキューに入れられます。キューに入れることができる停止メッセージの最大数を指定できます。この最大数に達すると、新しいセッションのアカウンティングデータを保持する容量がなくなるため、後続の新規加入者ログインは失敗します。
また、キューに入れられたメッセージを保持できる期間を構成することもできます。この期間が終了すると、アカウンティングサーバーがオンラインに戻った場合でも、保留中のすべてのアカウンティングストップがキューからフラッシュされます。
RADIUSアカウンティングバックアップを設定する前に、RADIUSアカウンティングとRADIUS認証が異なるサーバー上で設定されていることを確認してください。認証とアカウンティングの両方に同じサーバーが設定されている場合、加入者認証は失敗します。
例えば、以下のステートメントは、すべての加入者アカウンティングのバックアップオプションを設定します。これらのステートメントは、ルータが保留中のアカウンティング停止を 32,000 回以下(その時点で後続の加入者ログインはすべて失敗)とし、6 時間以内(保留中のメッセージがすべてフラッシュされ、加入者ログインが失敗した場合は再開される)を指定するものです。
[edit access accounting-backup-options] user@host# set max-pending-accounting-stops 32000 user@host# set max-withhold-time 360
バックアップ アカウンティング統計情報を表示するには、 show network-access aaa statistics コマンドを使用します。
ルータがアカウンティングサーバに即時に接続するように強制する
RADIUSアカウンティングバックアップが有効になっているときにアカウンティングサーバーが停止した場合、デフォルトでは、ルーターはオフラインサーバーに接続する前に時間間隔が切れるのを待ちます。その間隔が経過するのを待つのではなく、 request network-access aaa replay pending-accounting-stops
コマンドを発行することで、ルータが直ちにサーバにコンタクトするように強制することができます。ルーターは、保留中のアカウンティング停止要求のバッチをサーバーに送信します。ルーターがサーバーから確認応答を受信すると、ルーターは保留中のメッセージを定期的にバッチで再生し続けます。ルーターがその確認応答を受け取らない場合、ルーターは定期的な間隔で単一の保留中のアカウンティング停止メッセージの送信を再開します。
ルーターがオフラインのアカウンティングサーバーにすぐに接続するように強制するには:
メッセージの再生を要求します。
user@host> request network-access aaa replay pending-accounting-stops
保留中のRADIUSアカウンティング停止メッセージの監視
目的
RADIUSアカウンティングサーバーに接続できないために保留されているRADIUSアカウンティング停止メッセージに関する情報を表示します。
アクション
保留中のアカウンティング停止メッセージの数が最大数に近づいているかどうかを知りたい場合は、保留中の要求の単純な数を表示できます。
user@host> show network-access aaa statistics pending-accounting-stops Pending accounting stops: 10,000
他のコマンドを使用して、アカウンティングメッセージに関する詳細情報を表示することができます。次の例では、vjshah29@example.com のアカウンティングセッションのすべてのサービスに関する情報を表示しています。この例では 1 人のユーザしか示していませんが、このコマンドは実際には、アカウンティングがバックアップされているすべての加入者の情報を表示します。
user@host> show accounting pending-accounting-stops detail Type: pppoe Username: vjshah29@example.com AAA Logical system/Routing instance: default:default Access-profile: ce-ppp-profile Session ID: 84 Accounting Session ID: 84 IP Address: 192.168.0.25 IPv6 Prefix: 2001:db8:2010:9999:18::/48 Authentication State: AuthAcctStopAckWait Accounting State: Acc-Stop-Stats-Pending Service name: cos-service Service State: SvcInactive Session ID: 94 Session uptime: 00:08:02 Accounting status: on/time Service accounting session ID: 84:94-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600 Service name: filter-service Service State: SvcInactive Session ID: 93 Session uptime: 00:08:02 Accounting status: on/volume+time Service accounting session ID: 84:93-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600 Service name: filter-service6 Service State: SvcInactive Session ID: 95 Session uptime: 00:08:02 Accounting status: on/volume+time Service accounting session ID: 84:95-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600
特定のアクセス プロファイルを持つすべてのユーザーのサマリー情報を表示できます。次の例では、1 人のユーザー vjshah29@example.com のみが、指定されたアクセス プロファイル ce-ppp-profile を持っています。
user@host> show accounting pending-accounting-stops ce-ppp-profile Type: Username: Session ID: Service ID: Service pppoe vjshah29@example.com 84 pppoe vjshah29@example.com 84 94 cos-service pppoe vjshah29@example.com 84 93 filter-service pppoe vjshah29@example.com 84 95 filter-service6
また、アクセス プロファイルに関係なく、アカウンティング停止メッセージを保留しているすべての加入者の概要情報を表示することもできます。次の例では、2 人のユーザーの情報を表示しています。前の例では加入者 larry@example.com が表示されていないため、加入者は同じサービスを受けていても、vjshah29@example.com とは異なるアクセスプロファイルを持っている必要があります。
user@host> show accounting pending-accounting-stops terse Type: Username: Session ID: Service ID: Service pppoe vjshah29@example.com 84 pppoe vjshah29@example.com 84 94 cos-service pppoe vjshah29@example.com 84 93 filter-service pppoe vjshah29@example.com 84 95 filter-service6 pppoe larry@example.com 85 pppoe larry@example.com 85 94 cos-service pppoe larry@example.com 85 93 filter-service pppoe larry@example.com 85 95 filter-service6
RADIUS アカウンティングおよびベースライン アカウンティング統計情報の一時停止の概要
特定のエンタープライズプロバイダの導入環境では、RADIUSアカウンティングサーバーのコントロールプレーンのアップグレード中、加入者の課金システムのアップグレード中、またはメンテナンスのためにRADIUSサーバーが停止した場合に、アカウンティングレコードの維持と保存が必要になる場合があります。RADIUSアカウンティング、加入者アカウンティング、およびサービスアカウンティングは、通常、加入者トラフィックのボリュームベースの使用量とコストの計算のために、このような顧客トポロジーで使用されます。サブスクライバーは、使用量に関係なく設定されたレートが課金されるのではなく、サービス レベルと使用量に基づいて課金される場合もあります。
Junos OS リリース 15.1R4 以降では、手動でアカウンティングを再開するまで、システム全体のアカウンティングを一時的に中断することができます。停止期間中、現在の加入者はログインしたままになりますが、加入者はログアウトして新しい加入者セッションを開始できます。RADIUS Acct-Start、Interim-Update、およびAcct-Stopアカウンティング要求メッセージは、アカウンティングが中断されている間は生成されません。ルーターは、RADIUSサーバーにアカウンティングメッセージを送信しません。たとえば、中断中にサブスクライバーがログアウトした場合、Acct-Stop リクエストはサーバーに送信されません。
アカウンティングが中断されると、ルーターが保留中のアカウンティングメッセージを最大24時間保持するように設定されている場合でも、すべてのアカウンティング要求が破棄されます。アカウンティングが再開されると、新しいアカウンティング要求が保留キューに入る場合がありますが、アカウンティング停止時に保留されていた要求は使用できなくなります。
オペレータがシステム アップグレードの標準的な方法としてアカウンティングを一時停止することはお勧めしません。ただし、一部のオペレータは、サーバーインフラストラクチャのアップグレードが重要であり、すぐに必要なサービスプロバイダ環境では、これが役立つと考えるかもしれません。
アカウンティングが中断されている間、統計情報カウンターは更新され続けます。必要に応じて、加入者およびサービス セッションの時間とボリュームのカウンターに対して実行されるベースライン操作を要求できます。この場合、アカウンティングが再開されると、ベースライン値に対する相対的な統計情報が報告されます。ベースライン操作は、中断の開始後、アップグレードの開始前にのみ開始できます。ベースライン要求は、中断ごとに 1 回だけ正常に発行できます。コマンドを再発行すると、CLIからエラーが報告されます。
統計は、暫定アカウンティングが有効になっている加入者についてのみベースライン化されます。
以下のRADIUS属性は、ベースラインが要求されたときにログインしていて、アカウンティングが再開されたときもログインしている加入者に影響を与える可能性があります。
Acct-Session-Time (セッション時間)
Acct-Input-オクテット
acct-output-octets(acct-output-octets)
Acct-Input-Packets
acct-output-packets
Acct-Input-Gigawords
Acct-Output-Gigawords
IPv6-Acct-入力オクテット
IPv6-Acct-出力オクテット
IPv6-Acct-Input-Packets
IPv6-Acct-出力パケット
IPv6-Acct-Input-Gigawords
IPv6-Acct-Output-Gigawords
アカウンティングの中断、ベースライン化、および再開中のイベントの順序
アカウンティングを中断し、ベースラインを生成し、アカウンティング・プロセスを再開すると、次の一連のイベントが発生します。
request network-access aaa accounting suspend
コマンドを発行して、アカウンティングを一時停止します。アカウンティングが中断されたことを示すシステム ロギング メッセージが生成されます。
accounting-backup-optionsを含むすべてのアカウンティングは、すべてのルーティングコンテキストのすべてのアカウンティングサーバーに対して中断されます。
request network-access aaa accounting baseline
コマンドを発行してベースラインを生成します。アカウンティング統計のベースラインが開始されたことを示すために、システム ロギング メッセージが生成されます。
各加入者の時間とボリュームの統計は、ベースライン値に設定されます。ベースライン プロセスを完了するのにかかる時間は、統計の詳細の数に応じて不確定です。
ベースライニングが完了したことを示すシステムロギングメッセージが生成されます。
ベースライン完了時に
request network-access aaa accounting resume
コマンドを発行して、会計処理を再開します。アカウンティングが再開されたことを示すシステム ロギング メッセージが生成されます。
以前に設定されたすべてのアカウンティング オプションが再び有効になります。
ベースライン操作は、各加入者の時間とボリュームのカウンターのベースライン化を試みます。加入者カウンターは、[edit access profile profile-name accounting]
階層レベルで set update-interval minutes
ステートメントを使用して、加入者に対して暫定アカウンティングが有効になっている場合にのみベースライン値に設定されます。加入者に対して暫定アカウンティングが有効になっていない場合、その対応する加入者のカウンターはベースライン値にマッピングされません。
ベースライン要求が実行された後、すべてのサブスクライバー レコードのベースライン化に不特定の時間が経過します。この間隔の間に、別の加入者の統計情報がベースライン化されているときに、ある加入者の統計が蓄積される可能性があります。場合によっては、ベースラインの開始後、一部のサービスのカウンターが不正確で一貫性のないものになることがあります。これは、サブスクライバーのカウンターがベースライン化されている間にサブスクライバーに配信されるトラフィックが原因です。baseline コマンドが実行されると、ベースラインが完了するまでアカウンティングを再開することはできません。アカウンティングが中断されていないとき、またはベースライン化の進行中に コマンドを発行すると、コマンドは失敗します。アカウンティングライセンスがインストールされていない場合、コマンドはエラーを報告します。
統計の会計処理の停止と基調に関するガイドライン
アカウンティングを中断し、統計のベースラインを指定するときは、次の点に注意してください。
閾値(またはクォータ)が適用される環境でのアカウンティング停止はサポートされていません。これには、Gx-PlusおよびジュニパーネットワークスのSRC(セッションおよびリソース制御)しきい値またはRADIUSセッションボリュームクォータがすべての加入者に有効な環境が含まれます。アカウンティング中断要求は、いずれかの加入者にしきい値またはクォータがある場合、失敗します。
アカウンティングが中断されている間は、しきい値(またはクォータ)サービスの有効化は許可されません。
アカウンティングが中断されていない場合、アカウンティングベースラインはサポートされません。
アカウンティングの中断中に複数のベースライン要求を指定することはできません。
暫定アカウンティングが設定されていない加入者のベースライニングはサポートされていません。
ベースライン操作の完了にかかる時間は不確定です。これは、収集される統計の量と深さに依存し、ベースラインの開始時にアクティブな加入者とサービス セッションの数に比例します。ベースライン化の進行中にアカウンティングを再開しようとすると、コマンドは失敗します。
統合型ISSUプロセス中に、コマンドを使用してアカウンティングを中断、ベースライン化、または再開することはできません。ベースラインの処理中に統合型 ISSU を実行しようとすると、シャーシデーモンの状態がDAEMON_ISSU_PREPARE状態に変わると、認証およびパケット転送エンジンプロセスはセッション境界のベースライニングを中断し、デバイスがアップグレードされたリリースへの ルーティングエンジン スイッチオーバー後に再開されます。
アカウンティングの中断中またはベースライン化の進行中に GRES(グレースフル ルーティングエンジン スイッチオーバー)が発生した場合、ルーター再起動後も中断またはベースライニングの状態が維持されます。このようなシナリオでは、ルーターの再起動後にアカウンティングが中断され、カウンターのベースライン化が残っている加入者は、ルーターがオンラインになった後にベースライン化されます。
加入者アカウンティングの一時停止とベースライン化のシナリオ例
次のシナリオについて考えてみます。
加入者Xに対して暫定アカウンティングが設定されています。加入者 Y および Z には設定されていません。
アカウンティングが中断される前に送信された最後の暫定アカウンティング要求には、加入者 X の統計情報が含まれています。この加入者には、これまでに 50,000 オクテットのトラフィックが送信されています。加入者Yには20,000オクテット、加入者Zには10,000オクテットが送信されていますが、暫定アカウンティングが設定されていないため、その情報はまだ報告されていません。
アカウンティングが中断されます。
ベースラインが開始します。加入者 X の現在のカウントは 50,000 オクテットです。これがサブスクライバーのベースライン値になります。加入者XとYには暫定アカウンティングが設定されていないため、ベースライン値は設定されません。
ベースライン化の進行中も、トラフィックは 3 つの加入者(加入者 X に 150,000 オクテット、加入者 Y に 80,000 オクテット、加入者 Z に 20,000 オクテット)に送信され続けます。
購読者 Z がログアウトします。アカウンティングが中断されているため、Acct-Stopリクエストは送信されません。その結果、この加入者の最終的なアカウンティング統計は失われます。
ベースライン化が完了します。
アカウンティングが再開されます。
サブスクライバーXがログアウトします。加入者Xには合計200,000オクテットが送信されましたが、Acct-Stopレコードは150,000オクテットのみを報告します:合計200,000オクテットから50,000オクテットベースラインを引いた値です。
サブスクライバー Y がログアウトします。加入者Yに合計100,000オクテットが送信され、ベースライン値がないため、Acct-Stopレコードは合計100,000オクテットを報告します。
表 7 は、このシナリオをまとめたものです。
加入者 |
暫定アカウンティング設定 |
中断前のオクテット |
ベースライン開始後のオクテット |
合計オクテット |
アカウンティング再開時の Acct-Stop のオクテット |
---|---|---|---|---|---|
X |
はい |
50,000 |
150,000 |
200,000 |
150,000 |
Y |
いいえ |
20,000 |
80,000 |
100,000 |
100,000 |
Z |
いいえ |
10,000 |
20,000 |
30,000 |
該当なし |
RADIUS アカウンティングの中断とアカウンティング統計のベースラインの設定
手動でアカウンティングを再開するまで、システムアップグレードまたはメンテナンスアクションの間、システム全体のアカウンティングを一時的に中断することができます。停止期間中、現在の加入者はログインしたままになりますが、加入者はログアウトして新しい加入者セッションを開始できます。RADIUS Acct-Start、Interim-Update、および Acct-Stop メッセージは、アカウンティングが中断されている間は生成されません。ルーターは、RADIUSサーバーにアカウンティングメッセージを送信しません。たとえば、中断中にサブスクライバーがログアウトした場合、Acct-Stop はサーバーに送信されません。
オペレータがシステム アップグレードの標準的な方法としてアカウンティングを一時停止することはお勧めしません。ただし、一部のオペレータは、サーバーインフラストラクチャのアップグレードが重要であり、すぐに必要なサービスプロバイダ環境では、これが役立つと考えるかもしれません。
アカウンティング プロセスの中断を設定するには、アカウンティングの停止後に統計のベースラインを作成し、ベースライン プロセスの完了後にアカウンティングを再開します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。