このページ
加入者アクセスの RADIUS アカウンティング
このトピックでは、RADIUS アカウンティング統計、加入者セッション アカウンティング、重複レポート、サービス アカウンティングに関する詳細情報を提供します。RADIUS アカウンティング用のサーバーの設定の詳細については、「 RADIUS 認証およびアカウンティングの基本設定」を参照してください。
加入者アクセスの RADIUS アカウンティング統計情報の概要
AAA サービス フレームワークを使用すると、加入者管理にアカウンティング統計情報を収集して使用する方法を設定できます。
たとえば、統計収集がいつ終了するか、異なるアカウンティング方法を使用する順序、収集される統計のタイプ、統計の収集頻度を指定できます。また、加入者がログインするときや、許可変更(CoA)が発生した場合など、特定のイベントが発生したときに RADIUS サーバーがアカウンティング統計情報を直ちに更新するようルーターを要求するように設定することもできます。
加入者管理では、加入者のセッションとサービス セッションという 2 つのレベルの加入者アカウンティングが提供されます。加入者セッション アカウンティングでは、ルーターは加入者セッション全体の統計情報を収集します。サービス セッション アカウンティングでは、ルーターはサブスクライバの特定のサービス セッションの統計情報を収集します。
加入者管理は、転送されたパケットのみをカウントします。トラフィックのドロップ(フィルター アクションの結果など)と制御トラフィックは、アカウンティング統計には含まれません。
ルーターは、 表 1 に示す RADIUS 属性とジュニパーネットワークスの VSA を使用して、加入者およびサービス セッションのアカウンティング統計を提供します。セッションで IPv4 と IPv6 の両方のファミリーが有効になっている場合、ルーターは両方のファミリの統計情報を報告します。
RADIUS は、IPv4 統計と IPv6 統計の両方の集約として加入者統計情報を報告します。
IPv4 のみの設定の場合、標準 RADIUS 属性は IPv4 統計を報告し、IPv6 VSA 結果はすべて 0 として報告されます。
IPv6 のみの設定の場合、標準の RADIUS 属性と IPv6 VSA 統計情報は同一で、どちらも IPv6 統計情報を報告します。
IPv4 と IPv6 の両方が設定されている場合、標準 RADIUS 属性は IPv4 と IPv6 の統計を組み合わせて報告します。IPv6 VSA レポート IPv6 統計。
属性番号 |
属性名 |
統計のタイプ |
|---|---|---|
26-151 |
IPv6-Acct-Input-Octets |
IPv6 |
26-152 |
IPv6-Acct-Output-Octets |
IPv6 |
26-153 |
IPv6-Acct-input-packets |
IPv6 |
26-154 |
IPv6-Acct-output-packets |
IPv6 |
26-155 |
IPv6-Acct-Input-Gigawords |
IPv6 |
26-156 |
IPv6-Acct-Output-Gigawords |
IPv6 |
47 |
Acct-Input-Packets |
IPv4 および IPv6 アグリゲーション |
48 |
Acct-output-packets |
IPv4 および IPv6 アグリゲーション |
52 |
Acct-Input-Gigawords |
IPv4 および IPv6 アグリゲーション |
53 |
Acct-Output-Gigawords |
IPv4 および IPv6 アグリゲーション |
「」も参照
RADIUS Acct-On および Acct-Off メッセージ
加入者管理は RADIUS Acct-On および Acct-Off メッセージをサポートし、RADIUS アカウンティング サポートの現在の状態を示します。
RADIUS Acct-On メッセージは、アカウンティングがサポートされていることを示します。加入者管理では、次の状況で Acct-On メッセージが発生します。
アカウンティングは、設定によって有効になります(アカウンティング サーバーが設定されている場合など)。
新しいアクセス プロファイルは、論理システム/ルーティング インスタンス コンテキストに対して設定され、コミットされます。ただし、アクセス プロファイルの前にアカウンティング サーバーが存在し、単純に変更された場合は、Acct-On メッセージは送信されません。
ルーターがコールド リブートを実行します。
ルーターはウォーム リブートを実行し、現在ログインしている加入者はいません。
Authd プロセスが再起動し、アクティブな加入者はいません。
RADIUS Acct-Off メッセージは、アカウンティングがサポートされていないことを示します。加入者管理は、次の状況で Acct-Off メッセージを発行します。
認証プロセスは終了し、アクティブな加入者はいません。
ルーターがシャットダウンされ、アカウンティング サーバーが現在設定されています(このアクションでは、現在の加入者もすべてログアウトします)。
ルーターが再起動され、冗長性が無効になります。
「」も参照
加入者ごとのセッション アカウンティングの設定
加入者セッションのアカウンティングを設定するには、アクセス プロファイルを使用し、サブスクライバ アクセス管理機能がアカウンティング統計情報を収集して使用する方法を指定します。ルーターは、 加入者アクセスの RADIUS アカウンティング統計の概要 で説明されている RADIUS 属性とジュニパーネットワークスの VSA を使用して、加入者セッションのアカウンティング統計情報を提供します。
サブスクライバ セッションのアカウンティングを設定するには、次の手順に関する手順に関する手順を実行します。
「」も参照
正確な加入者アカウンティング統計の CLI へのレポート作成の有効化
動的インターフェイス上の加入者セッションの正確な統計情報を表示するようにルーターを設定できます。デフォルトでは、コマンドによって show interfaces extensive 表示されるインターフェイスの集約統計(バイト数とパケット数)は、顧客のトラフィックを正確に反映しません。これらのカウンターには、実際の加入者データ バイトに追加されるカプセル化オーバーヘッドを表すオーバーヘッド バイトが含まれます。アグリゲート カウンターには合計にドロップしたパケットも含まれるため、値はインターフェイス上の実際の加入者トラフィックではなくトランジット統計情報を表します。
オーバーヘッド バイトと破棄されたパケットを含めることは、最終的に報告された値に大きな影響を与える可能性があります。インターフェイスのステートメントを含 interface-transmit-statistics めてカウントからドロップしたパケットを除外することはできますが、オーバーヘッド バイトには影響しません。
正確な加入者統計を表示するには、動的プロファイルに actual-transmit-statistics 論理インターフェイスのステートメントを含めます。このステートメントを使用すると、 show subscribers 指定された加入者セッションまたは指定されたインターフェイス上のすべての加入者セッションの集約バイト数とパケット数を表示できます。表示された統計情報は、サブスクライバの RADIUS に報告される値と一致します。トラフィック シェーピングが適用された後に統計情報が収集され、オーバーヘッド バイト、制御パケット、または破棄されたパケットは含まれません。
Junos OS リリース 18.4R1 以降では、加入者統計情報の収集を有効にする actual-transit-statistics 必要があります。このステートメントを設定しないと、サブスクライバ統計情報は収集されません。コマンドは show subscribers accounting-statistics サブスクライバ統計情報の値 0 を表示し、サブスクライバ統計情報はゼロの値を持つ RADIUS に報告されます。
サービス アカウンティング統計は含まれません。
正確な加入者セッション統計のレポート作成を設定するには、次の手順にしたがってください。
実際のトランジット統計を有効にします。
[edit dynamic-profiles profile-name interfaces $junos-interface-ifd-name unit $junos-interface-unit] user@host# set actual-transit-statistics
加入者アカウンティング統計情報は、次の 2 つの方法で表示できます。
コマンドを使用して、セッション ID 別にサブスクライバ統計情報を
show subscribers id session-id accounting-statistics表示します。コマンドを使用して、すべてのセッション ID の動的インターフェイスでサブスクライバ統計情報を
show subscribers interfaces interface-name accounting-statistics表示します。
RADIUS アカウンティング重複レポートについて
RADIUS アカウンティングを設定すると、デフォルトでは、加入者が最後に認証されたコンテキストで、ルーターがアカウンティング レポートをアカウンティング サーバーに送信します。RADIUS アカウンティングを設定して、同じコンテキストまたは他のコンテキストで他のサーバーに重複アカウンティング レポートを送信できます。
レイヤー 3 ホールセールシナリオ
レイヤー 3 ホールセール ネットワーク環境では、卸売業者と小売業者が異なる RADIUS アカウンティング サーバーを使用する場合があり、両方ともアカウンティング レポートを受け取りたいと思う場合があります。このような場合は、卸売業者と小売業者の両方のアカウンティング サーバーにレポートを送信する RADIUS アカウンティング重複レポートを設定できます。重複するアカウンティング レコードが送信されるターゲットは、デフォルト VRF とも呼ばれる default:default 論理システム:ルーティング インスタンスの組み合わせ(LS:RI)にある必要があります。
表 2 は、重複レポートを有効にしたときにサブスクライバ管理がアカウンティング レポートを送信する場所を示しています。サブスクライバ管理は、階層レベル、サブスクライバが常駐する場所、サブスクライバの duplication 認証方法で [edit access profile profile-name accounting] ステートメントを設定するアクセス プロファイルに基づいて、重複するレポートを送信します。
ドメイン マップの設定に基づいてアカウンティング重複レポートを有効にすることもできます。つまり、デフォルト以外のルーティング インスタンスと、default:default のターゲット論理システム:routing インスタンスを使用して加入者を認証するように加入者を設定します。その後、アカウンティング レポートは認証コンテキストと default:default コンテキストの両方に送信されます。
重複が設定されているアクセス プロファイル |
加入者の認証場所 |
加入者のターゲット論理システム/ルーティング インスタンス |
アカウンティング レポートが送信されるアカウンティング サーバー |
|---|---|---|---|
小売業者A |
卸売 業者 |
小売業者A |
卸売業者と小売業者A |
小売業者A |
小売業者A |
小売業者A |
卸売業者(デフォルト/デフォルトコンテキスト)
メモ:
これは、この表の前のメモで説明されているドメイン マップ設定です。 |
卸売 業者 |
卸売業者と小売業者A |
小売業者A |
卸売業者と小売業者A |
卸売業者と小売業者B |
卸売業者と小売業者A |
小売業者B |
卸売業者、小売業者A、小売業者B |
未構成(デフォルト) |
任意の |
任意の |
加入者が最後に認証されたコンテキストでアカウンティング サーバーに送信される単一のレポート |
その他のシナリオ
レイヤー 3 ホールセール ネットワーク環境ではないシナリオでは、同じルーティング コンテキストまたは異なるルーティング コンテキストに存在する別の RADIUS サーバー セットに重複するアカウンティング レコードを送信できます。レイヤー 3 ホールセール シナリオとは異なり、重複する RADIUS アカウンティング レコードのターゲットをデフォルト VRF にする必要はありません。デフォルト以外の VRF(default:default LS:RI の組み合わせ以外)をターゲットとして 1 つ指定できます。さらに、重複レポートを受信する RADIUS アカウンティング サーバーをリストする、ターゲット VRF に最大 5 つのアクセス プロファイルを指定できます。
たとえば、加入者がデフォルト ドメインで認証される合法的な傍受シナリオがあるとします。許可された法執行組織は、非デフォルト VRF にある組織のネットワーク ドメインに常駐する仲介デバイスに加入者を送信するために、重複するアカウンティング レコードを必要とします。
サブスクライバ管理は、指定した VRF に、階層レベルでステートメントを使用して vrf-name 重複するレポートを [edit access profile profile-name accounting duplication-vrf] 送信します。ステートメントを access-profile-name 同じレベルに含め、重複するレポートを受信する RADIUS サーバーを指定するアクセス プロファイルを指定します。
重複アカウンティング レポートのフィルター
加入者管理は重複フィルタ機能を提供し、RADIUS アカウンティング重複レポートがアクティブな場合に RADIUS アカウンティング中間レポートを受信するアカウンティング サーバーを指定できます。AAA アクセス プロファイルでフィルタを設定すると、ルーターはそのプロファイルに関連付けられたサブスクライバにフィルタを適用します。
加入者管理では、RADIUS アカウンティング重複レポートに対する次のフィルタリングがサポートされています。
重複アカウンティング中間メッセージ: ルーターは重複するアカウンティング メッセージをフィルター処理します。アカウンティング メッセージは、加入者のアクセス プロファイル内の RADIUS アカウンティング サーバーにのみ送信されます。
元のアカウンティング中間メッセージ:ルーターは、加入者のアクセス プロファイル内のアカウンティング サーバーである元の RADIUS アカウンティング サーバー宛てのアカウンティング メッセージをフィルタリングします。アカウンティング・メッセージは、重複アカウンティング・サーバー (加入者のアクセス・プロファイル以外の重複アクセス・プロファイル内のサーバー) にのみ送信されます。
除外された RADIUS 属性—ルーターは重複コンテキストの下でアクセス プロファイルのステートメント設定に
exclude基づいてアカウンティング メッセージの RADIUS 属性をフィルタリングします。除外フィルタは単独で使用することも、重複またはオリジナルのアカウンティング メッセージ フィルタと併用することもできます。
RADIUS アカウンティング重複レポートの重複フィルタの設定
重複フィルタを使用して、アカウンティング重複レポートが有効になっている場合に RADIUS アカウンティング中間レポートを受信する RADIUS アカウンティング サーバーを指定できます。AAA アクセス プロファイルでフィルタを設定すると、ルーターはそのプロファイルに関連付けられた加入者にフィルタを適用します。
アカウンティング重複レポート用に重複フィルタを設定するには、次の手順に示します。
サービス単位のセッション アカウンティングの設定
加入者管理では、加入者のサービスごとに統計を収集するようにルーターを設定できます。サービス単位のセッション アカウンティングには、2 つの操作が必要です。まず、RADIUS は、サービスの名前、使用するアカウンティング間隔、収集する統計のタイプ(時間統計または時間とボリューム統計の組み合わせ)を提供するように設定する必要があります。2 つ目は、RADIUS VSA 26-69 が時間とボリュームの統計情報に対して設定されている場合、サービス パケットをカウントするファイアウォール フィルターまたは高速更新ファイアウォール フィルタも設定する必要があります。サービス パケット情報はボリューム統計情報を提供します。
ルーターは、 加入者アクセスの RADIUS アカウンティング統計の概要 で説明されている RADIUS 属性とジュニパーネットワークスの VSA を使用して、加入者セッションのアカウンティング統計情報を提供します。
時間のみのサービス統計の収集は、すべてのサービス セッションでサポートされています。ただし、時間とボリュームの統計は、ファイアウォールと高速更新ファイアウォール サービス セッションに対してのみ提供されます。
サービス単位のアカウンティング統計を提供するようにルーターを設定するには、以下の手順に従います。
属性番号 |
属性名 |
説明 |
値 |
|---|---|---|---|
26-69 |
サービス統計 |
サービスの統計を有効または無効にする |
|
26-83 |
サービスセッション |
ルーターから RADIUS サーバーにメッセージを停止および開始するアカウンティングで送信されるサービス文字列 |
文字列: 属性 26-65 で RADIUS サーバーから送信されるパラメーター値を持つサービス名。 |
26-140 |
サービス-暫定-Acct間隔 |
このサービスのアカウンティング中間更新間隔の長さ |
メモ:
値は、10 分の次の上位の倍数に切り上げられます。たとえば、900 秒(15 分)の設定は、20 分(1200 秒)まで丸められます。 |
「」も参照
サービス プロビジョニングのための RADIUS メッセージでの Cisco VSA の処理
RADIUS メッセージで Cisco VSA を使用して、加入者アクセス ネットワーク内のサービスをプロビジョニングおよび管理できます。この導入のトポロジーでは、BNG(ブロードバンド ネットワーク ゲートウェイ)は次の接続に接続されています。
認証とアカウンティングに使用される Steel-Belted Radius Carrier(SBRC)などの RADIUS サーバー。
RADIUS CoA(許可変更)メッセージを使用してサービスをプロビジョニングするための、ポリシー制御および課金ルール機能(PCRF)サーバーとして使用される Cisco BroadHop アプリケーション。
Cisco BroadHop は、ジュニパーの VSA をサポートしていません。Cisco VSA、Cisco-AVPair(26-1、IANA プライベート エンタープライズ番号 9)と異なる値を使用して、サービスをアクティブ化および非アクティブ化します。
サービスをアクティブ化するには、Cisco-AVPair VSA(26-1)を使用して、次の各値を使用します。
の値。subscriber:command=activate-service パラメータ。
subscriber:service-name=service-name パラメータの値。
サービスを非アクティブにするには、Cisco-AVPair VSA(26-1)を使用して、次の各値を使用します。
subscriber:command=deactivate-service パラメーターの値。
subscriber:service-name=service-name パラメータの値。
BNG が送信する RADIUS メッセージの認証、アカウンティング、または CoA 応答の属性は変更できません。サービスのプロビジョニングに使用した以外の Cisco VSA は、サポートされていない属性と見なされます。
加入者のアクセス プロファイルに対してサービス アカウンティングを設定するには、次の手順に基います。
また、UDP ポート番号を定義して、RADIUS 動的要求サーバーとして機能するルーターが RADIUS サーバーから要求を受信する必要があるポートを設定することもできます。デフォルトでは、ルーターは UDP ポート 3799 でリモート RADIUS サーバーからの動的要求をリッスンします。特定のアクセス プロファイルまたはルーター上のすべてのアクセス プロファイルの動的リクエストに使用する UDP ポート番号を設定できます。UDP ポート番号を定義するには、ステートメント[edit access profile profile-name radius-server server-address]をdynamic-request-port port-number階層レベルまたは階層レベルに[edit access radius-server server-address]含めます。
すべてのアクセス プロファイルに対して UDP ポートをグローバルに指定するには、以下の手順にしたがっています。
[edit access radius-server server-address] user@host# set dynamic-request-port port-number
特定のアクセス プロファイルの UDP ポートを指定するには、以下の手順にしたがっています。
[edit access profile profile-name radius-server server-address] user@host# set dynamic-request-port port-number
「」も参照
ボリューム統計のサービス パケット カウントの設定
加入者管理では、サービス パケットカウントを使用して、加入者のボリューム統計をサービスごとに報告します。サービス パケット カウントを設定するには、アカウンティング アクションを指定し、サブスクライバ管理によって結果が RADIUS で使用される特定の名前付きカウンタ(__junos-dyn-service-counter)に適用されます。
設定するアカウンティング アクションは、インライン カウンターまたは遅延カウンターのいずれか、統計のキャプチャ時に加入者管理が使用するカウント メカニズムを指定します。インライン カウンターは、イベントが発生したときにキャプチャされ、イベントの後に発生する可能性のある追加のパケット処理は含まれません。遅延カウンター(正確なアカウンティングとも呼ばれます)は、パケットが送信のためにキューに入れるまで増加しないため、パケット処理全体が含まれます。遅延カウンターは、インライン カウンターよりもパケットの正確なカウントを提供し、加入者のアカウンティングと課金に役立ちます。
アカウンティング メカニズムを設定するには、階層レベルで[edit firewall family family-name filter filter-name term term-name then]アクション (繰延カウンターの場合) またはservice-accountingアクション (インライン カウンターの場合) のいずれかをservice-accounting-deferred指定します。
2 つのアカウンティング メカニズムは、期間ごととフィルター単位の両方で、相互に排他的です。また、両方のアカウンティング アクションは、期間ごとにカウント アクションと相互に排他的です。
従来のフィルターに対してのみ、inet および inet6 ファミリーの繰延カウンターを定義できます。高速更新フィルターは、繰り延べカウンターをサポートしていません。
サービス パケットカウントを有効にするには、次の手順に関する手順に関する情報を提供します。
フィルターの照合条件が満たされると、パケットがカウントされ、RADIUS サーバーが使用する既知のサービス カウンター(__junos-dyn-service-counter)に適用されます。このカウンターは、サービスごとのアカウンティングのボリューム統計を提供します。
アクションまたはservice-accounting-deferredアクションをservice-accountingアクションとcount同じ条件で使用することはできません。
「」も参照
サービス アカウンティングの設定
サービス アカウンティングはデフォルトで無効になっています。サービス アカウンティングを設定するには、外部 RADIUS サーバーから受信した RADIUS 属性を使用するか、CLI top を使用してルーター上でローカルにアカウンティングを設定します。両方を設定すると、RADIUS 設定が CLI 設定よりも優先されます。
一部のネットワークでは、CLI を使用してサービス アカウンティングを有効/無効にし、中間アカウンティング間隔を指定する必要があります。たとえば、アプリケーションを使用して RADIUS サーバーとサードパーティー 製デバイスの両方に BNG が接続されている場合、サービス プロビジョニングに RADIUS CoA が使用されますが、ジュニパーネットワークスの VSA はサポートされていません。このユース ケースの詳細については、「 サービス プロビジョニングのための RADIUS メッセージでの Cisco VSA の処理」を参照してください。
表 4 は、ローカル CLI と RADIUS サービス アカウンティング設定のさまざまな組み合わせがある場合に収集されるサービス アカウンティング統計のタイプを示しています。
サービス統計に存在する CLI 設定 |
サービス統計情報に存在する RADIUS 設定 |
収集されたサービス統計 |
|---|---|---|
– |
– |
なし |
– |
✓ |
RADIUS 設定 |
✓ |
– |
CLI 設定 |
✓ |
✓ |
RADIUS 設定 |
✓ |
0 の値を使用して明示的に無効にする |
なし |
表 5 は、ローカル CLI と RADIUS サービス アカウンティング設定のさまざまな組み合わせがある場合に使用されるサービス中間アカウンティング間隔値を示しています。
サービス中間アカウンティング 間隔に存在する CLI 設定 |
サービス中間アカウンティング 間隔に存在する RADIUS 設定 |
使用されるサービス中間アカウンティング間隔値 |
|---|---|---|
– |
– |
サービス中間アカウンティングなし |
– |
✓ |
RADIUS 値 |
✓ |
– |
CLI 値 |
✓ |
✓ |
RADIUS 値 |
✓ |
0 の値を使用して明示的に無効にする |
サービス中間アカウンティングなし |
表 6 は、CLI と RADIUS の設定の 2 つの例の組み合わせの結果を示しています。
CLI |
半径 |
使用される値 |
|---|---|---|
|
Acct-暫定間隔(85) = 600 サービス統計(26~69)未設定 |
600 時間 |
|
Acct-暫定間隔(85)未設定 サービス統計(26~69)= 2、時間、量 |
400 時間と量 |
加入者のアクセス プロファイルに対してサービス アカウンティングを設定するには、次の手順に基います。
アカウンティング サーバー停止中の RADIUS アカウンティング情報の保持
図 1 に示すように、ルーターが RADIUS アカウンティング サーバーとの接続を失うと、サーバーの停止やサーバーに接続するネットワークの問題が原因で、サーバーが受信したすべての課金情報が失われる可能性があります。RADIUS アカウンティング バックアップは、障害発生時に蓄積されるアカウンティング データを保持します。RADIUS アカウンティング バックアップを設定していない場合、ルーターが RADIUS サーバーとの接続を再開しようとする試みを使い果たした時点から、障害が発生した間、アカウンティング データは失われます。構成可能な再試行値は、ルーターがサーバーに接続しようとする回数を決定します。
へのアクセス損失を伴うトポロジ
デフォルトでは、応答しないサーバーに再度接続しようとする前に、復帰タイマーが期限切れになるまでルーターは待機する必要があります。ただし、アカウンティング バックアップを設定すると、復帰タイマーは無効になり、ルーターはアカウンティング確認応答の受信に失敗するとすぐに、すぐにアカウンティング要求を再試行します。アカウンティング バックアップは、次の順序に従います。
ルーターは、サーバーからアカウンティング確認応答を受信できません。
ルーターは即座にアカウンティング サーバーへの接続を試み、再試行回数を使い果たす前にルーターが確認応答を受け取らない場合、サーバーをオフラインとしてマークします。
ルーターは次に、RADIUS プロファイルに設定された各追加のアカウンティング サーバーに順番に接続しようとします。
サーバーに到達すると、ルーターはこのサーバーにアカウンティング要求の送信を再開します。
どのサーバーも応答しない場合、または他のサーバーがプロファイルに存在しない場合、ルーターはタイムアウトを宣言し、アカウンティング・データのバックアップを開始します。すべてのアカウンティング停止メッセージを保留し、新しいアカウンティング要求をサーバーに転送しません。
停止中、ルーターは、1 つの保留中のアカウンティング停止メッセージを定期的にサーバーに送信します。
いずれかのサーバーが受信確認を受信すると、ルーターはすべての保留中の停止メッセージを同じ間隔でサーバーに送信し、保存されたすべての停止メッセージが送信されるまで同じ間隔で送信します。ただし、新しいアカウンティング要求は、保持されるのではなく即座に送信され、定期的に送信されます。
ルーターは、サブスクライバ間の一時的な順序と、各加入者のサービスとセッション停止要求間の因果関係の順序の両方を保持するため、サーバーへのアカウンティング停止メッセージを正しい順序で再生します。アカウンティング停止メッセージのみがバックアップされます。これは、セッションの開始時間と継続時間、およびすべてのアカウンティング統計が含まれているためです。これにより、アカウンティング開始メッセージを保留する必要が生じ、最終的にはタイムアウトになります。暫定更新はバックアップされず、タイムアウトも行われます。セッションがアクティブのままの場合、サーバー接続が復元された後の次回の暫定更新により、中間アカウンティング情報が提供されます。
ルーターがアカウンティング・サーバーとの接触の復元を保留してキューに入れるアカウンティング停止メッセージの数を設定できます。新しいアカウンティング データの収集に優先して現在のアカウンティング データを保持するため、最大メッセージ数が保留されるとすぐに加入者ログインが失敗します。保留中のキューがキュー制限を下回ると、加入者ログインは直ちに再開されます。
サービス アカウンティング停止メッセージは、加入者ごとに最大 10 個のサービスに対して保留されます。アカウンティング サーバーがオフラインの間に加入者が 11 番目のサービスをアクティブ化しようとすると、アクティベーションは失敗します。
ルーターは、保留中のアカウンティング メッセージを最大 24 時間保持できます。設定可能な最大保留期間が経過すると、アカウンティング・サーバーがオンラインに戻った場合でも、保留中のキューに残っているすべてのアカウンティング停止メッセージがフラッシュされます。その結果、最大保留中の制限に達したために障害が発生した場合、加入者ログインは直ちに再開されます。
保留中のすべてのメッセージは、次のいずれかの状況でもフラッシュされます。
アクセス プロファイルから最後のアカウンティング サーバーを削除すると、メッセージを送信する場所がないためです。
アカウンティング バックアップ設定を削除した場合。
ルーターがアカウンティング停止メッセージを源泉徴収している間に、ルーターが定期的な間隔が切れるまで待機するのではなく、アカウンティング サーバーとの接触を即座に試みることを強制できます。これを行うと、ルーターは最初にサーバーに対する停止メッセージのバッチを再生し、次のいずれかの結果を出します。
ルーターが受信確認を受け取った場合、サーバーはオンラインとしてマークし、保留中のすべての停止メッセージの再生をバッチで開始します。
ルーターが確認応答を受け取らない場合、ルーターは定期的な間隔で 1 つの保留中のアカウンティング停止メッセージの送信を再開します。
アカウンティング サーバーがオフラインの間にサブスクライバがログアウトすると、サブスクライバとセッションに対するアカウンティング停止要求は、オンラインになったときにキューに入れられ、サーバーに再生されます。この場合、加入者セッションおよびサービス セッション情報が保持されるため、サーバーがオンラインに戻ったときにルーターが正しいアカウンティング要求を送信できるようになります。
アカウンティング サーバーがオフラインの間に グレースフル ルーティング エンジンスイッチオーバー が発生した場合、サーバーが再びオンラインになったときに、保留中の停止メッセージをアクティブなルーティング エンジンから再生できます。
RADIUS アカウンティング バックアップが設定されている場合、RADIUS 認証とアカウンティングに異なるサーバーを使用する必要があります。同じサーバーが認証とアカウンティングの両方に対して設定されている場合、加入者認証は失敗します。
RADIUS サーバーが他のバックエンドの RADIUS アカウンティング サーバーまたは認証サーバーに代わって動作し、そのサーバーに要求を転送した場合、加入者は認証できますが、アカウンティング要求は送信されません。
バックアップ アカウンティング統計情報を表示するには、 show network-access aaa statistics コマンドを使用します。
RADIUS アカウンティングのバックアップ オプションの設定
RADIUS アカウンティング バックアップを設定して、サーバーまたはネットワーク障害が原因でアカウンティング サーバーが使用できない場合にアカウンティング データを保持できます。バックアップが設定されている場合、RADIUSアカウンティング停止メッセージは保留され、接続が復元されたときに送信されるキューに入れられます。キューに入くことができる停止メッセージの最大数を指定できます。この最大数に達すると、新しいセッションのアカウンティング データを保持するための容量が残らないため、後続の新しい加入者ログインは失敗します。
また、キューに入れたメッセージを保持する期間を設定することもできます。この期間が期限切れになると、アカウンティング・サーバーがオンラインに戻った場合でも、すべての保留中のアカウンティング停止がキューからフラッシュされます。
RADIUS アカウンティング バックアップを設定する前に、RADIUS アカウンティングと RADIUS 認証が異なるサーバーで設定されていることを確認します。同じサーバーが認証とアカウンティングの両方に対して設定されている場合、加入者認証は失敗します。
たとえば、次のステートメントは、すべての加入者アカウンティングのバックアップ オプションを設定します。これらのステートメントは、ルーターが 32,000 を超える保留中のアカウンティング 停止を保持していないことを指定します。この時点で、後続のすべての加入者ログインが失敗し、6 時間を超えなければ、保留中のすべてのメッセージがフラッシュされ、障害が発生した場合に加入者ログインが再開されます。
[edit access accounting-backup-options] user@host# set max-pending-accounting-stops 32000 user@host# set max-withhold-time 360
バックアップ アカウンティング統計情報を表示するには、 show network-access aaa statistics コマンドを使用します。
ルーターを強制的にアカウンティング サーバーに直ちに接続させる
RADIUSアカウンティングバックアップが有効になっている間にアカウンティングサーバーが停止した場合、デフォルトでは、ルーターはオフラインサーバーに接続する前に、時間間隔が期限切れになるのを待ちます。その間隔が過ぎるのを待つのではなく、コマンドを発行してルーターに即座にサーバーに request network-access aaa replay pending-accounting-stops 接続するように強制できます。ルーターは、保留中のアカウンティング停止要求のバッチをサーバーに送信します。ルーターがサーバーから確認応答を受信した場合、ルーターは保留中のメッセージを定期的な間隔でバッチで再生し続けます。ルーターがその確認応答を受け取らない場合は、定期的な間隔で 1 つの保留中のアカウンティング停止メッセージの送信を再開します。
ルーターを強制的にオフライン のアカウンティング サーバーに直ちに接続するには、以下の手順にしたがってください。
メッセージの再生を要求します。
user@host> request network-access aaa replay pending-accounting-stops
保留中の RADIUS アカウンティング停止メッセージの監視
目的
RADIUS アカウンティング・サーバーに接続できないことが原因で保留されている RADIUS アカウンティング停止メッセージに関する情報を表示します。
アクション
保留中のアカウンティング停止メッセージの数が最大に近いかどうかを知りたい場合は、保留中の要求の単純なカウントを表示できます。
user@host> show network-access aaa statistics pending-accounting-stops Pending accounting stops: 10,000
他のコマンドを使用して、アカウンティング メッセージに関する詳細情報を表示できます。次の例では、ユーザーのアカウンティング セッションのすべてのサービスの情報を表示 vjshah29@example.com。この例では 1 人のユーザーしか表示されませんが、このコマンドは実際にアカウンティングがバックアップされているすべての加入者の情報を表示します。
user@host> show accounting pending-accounting-stops detail Type: pppoe Username: vjshah29@example.com AAA Logical system/Routing instance: default:default Access-profile: ce-ppp-profile Session ID: 84 Accounting Session ID: 84 IP Address: 192.168.0.25 IPv6 Prefix: 2001:db8:2010:9999:18::/48 Authentication State: AuthAcctStopAckWait Accounting State: Acc-Stop-Stats-Pending Service name: cos-service Service State: SvcInactive Session ID: 94 Session uptime: 00:08:02 Accounting status: on/time Service accounting session ID: 84:94-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600 Service name: filter-service Service State: SvcInactive Session ID: 93 Session uptime: 00:08:02 Accounting status: on/volume+time Service accounting session ID: 84:93-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600 Service name: filter-service6 Service State: SvcInactive Session ID: 95 Session uptime: 00:08:02 Accounting status: on/volume+time Service accounting session ID: 84:95-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600
特定のアクセス プロファイルを持つすべてのユーザーの概要情報を表示できます。次の例では、指定されたアクセス・プロファイル ce-ppp-profile を持っているのは、vjshah29@example.com 1 人のユーザーのみです。
user@host> show accounting pending-accounting-stops ce-ppp-profile Type: Username: Session ID: Service ID: Service pppoe vjshah29@example.com 84 pppoe vjshah29@example.com 84 94 cos-service pppoe vjshah29@example.com 84 93 filter-service pppoe vjshah29@example.com 84 95 filter-service6
また、アクセス プロファイルに関係なく、保留中のアカウンティング停止メッセージを持つすべての加入者の要約情報を表示することもできます。次の例では、2 人のユーザーの情報を表示します。加入者 larry@example.com は前の例では表示されていないため、同じサービスを受け取ったにもかかわらず、vjshah29@example.com とは異なるアクセス プロファイルを持っている必要があります。
user@host> show accounting pending-accounting-stops terse Type: Username: Session ID: Service ID: Service pppoe vjshah29@example.com 84 pppoe vjshah29@example.com 84 94 cos-service pppoe vjshah29@example.com 84 93 filter-service pppoe vjshah29@example.com 84 95 filter-service6 pppoe larry@example.com 85 pppoe larry@example.com 85 94 cos-service pppoe larry@example.com 85 93 filter-service pppoe larry@example.com 85 95 filter-service6
RADIUS アカウンティングおよびベースライニング アカウンティング統計の中断の概要
特定のエンタープライズ プロバイダの導入では、RADIUS アカウンティング サーバーのコントロール プレーン アップグレード中、加入者向け課金システムのアップグレード中、または保守のために RADIUS サーバーがダウンした場合に、アカウンティング レコードの保守と保存が必要になる場合があります。RADIUS アカウンティング 加入者およびサービス アカウンティングは、通常、加入者トラフィックのボリュームベースの使用やコストの計算のために、このような顧客トポロジーで使用されます。また、使用量に関係なく設定レートを課金するのではなく、サービス レベルと使用状況に基づいて加入者に課金される場合もあります。
Junos OS リリース 15.1R4 以降では、手動でアカウンティングを再開するまで、システム全体のアカウンティングを一時的に中断できます。一時停止期間中は、現在の加入者はログインしたままですが、加入者はログアウトして、新しい加入者セッションを開始できます。RADIUS Acct-Start、暫定更新、Acct-Stop アカウンティング要求メッセージは、アカウンティングが中断されている間は生成されません。ルーターはアカウンティング メッセージを RADIUS サーバーに送信しません。たとえば、一時停止中に加入者がログアウトした場合、Acct-Stop 要求はサーバーに送信されません。
アカウンティングが中断されると、ルーターが保留中のアカウンティング メッセージを最大 24 時間保持するように設定されている場合でも、すべてのアカウンティング要求が破棄されます。アカウンティングが再開されると、新しいアカウンティング要求が保留中のキューに入る場合がありますが、アカウンティング停止時に保留中の要求は使用できなくなります。
運用担当者は、システム アップグレードの標準的なプラクティスとしてアカウンティングを中断することはお勧めできません。ただし、一部の通信事業者は、サーバー インフラストラクチャのアップグレードが重要で、即座に必要な場合に、サービス プロバイダ環境で役立つと思う場合があります。
アカウンティングが中断されている間、統計カウンターは更新を続けます。必要に応じて、加入者とサービスのセッション時間とボリューム カウンターに対して実行するベースライン操作を要求できます。この場合、アカウンティングが再開されると、ベースライン値に対して統計が報告されます。基本ライニング操作は、一時停止の開始後とアップグレードの開始前にのみ開始できます。ベースライン要求の発行は、中断ごとに 1 回のみ正常に実行できます。コマンドを再度発行すると、CLI からエラーが報告されます。
統計のベースラインは、中間アカウンティングが有効になっている加入者に対してのみ行われます。
ベースラインの要求時にログインし、アカウンティングが再開してもログインしている加入者には、次の RADIUS 属性が影響を受ける可能性があります。
Acct-Session-Time
Acct-Input-Octets
Acct-Output-Octets
Acct-Input-Packets
Acct-output-packets
Acct-Input-Gigawords
Acct-Output-Gigawords
IPv6-Acct-Input-Octets
IPv6-Acct-Output-Octets
IPv6-Acct-input-packets
IPv6-Acct-output-packets
IPv6-Acct-Input-Gigawords
IPv6-Acct-Output-Gigawords
アカウンティングの中断、ベースライニング、再開中のイベントシーケンス
アカウンティングを中断し、ベースラインを生成し、アカウンティング プロセスを再起動すると、次の一連のイベントが発生します。
コマンドを
request network-access aaa accounting suspend発行してアカウンティングを中断します。アカウンティングが中断されたことを示すシステム ロギング メッセージが生成されます。
アカウンティング バックアップ オプションを含むすべてのアカウンティングは、すべてのルーティング コンテキストですべてのアカウンティング サーバーに対して一時停止されます。
コマンドを
request network-access aaa accounting baseline発行してベースラインを生成します。アカウンティング統計のベースライニングが開始されたことを示すシステム・ロギング・メッセージが生成されます。
各加入者の時間とボリュームの統計は、ベースライン値に設定されます。ベースライン プロセスの完了に要する時間は、統計の詳細の数に応じて不定です。
ベースライニングが完了したことを示すシステム ロギング メッセージが生成されます。
ベースライニングが
request network-access aaa accounting resume完了してアカウンティング・プロセスを再始動する場合は、コマンドを発行します。アカウンティングが再開されたことを示すシステム ロギング メッセージが生成されます。
以前に設定されたすべてのアカウンティング オプションが再び適用されます。
ベースライン操作は、各加入者の時間カウンターとボリューム カウンターのベースライン作成を試みます。サブスクライバカウンタは、階層レベルでステートメントを使用してサブスクライバに対して中間アカウンティングが有効になっている場合にのみ、 set update-interval minutes ベースライン値に [edit access profile profile-name accounting] 設定されます。一時アカウンティングがサブスクライバに対して有効になっていない場合、対応するサブスクライバのカウンターはベースライン値にマッピングされません。
ベースライン要求が実行されると、未指定の時間がすべての加入者レコードのベースラインに経過します。この間隔の間、あるサブスクライバの統計情報は、別のサブスクライバの統計情報がベースライン化されている場合に蓄積されます。場合によっては、ベースライニングが開始されると、一部のサービスのカウンターが不正確で、加入者に配信されるトラフィックによって不整合が発生し、その加入者のカウンターがベースライン化されている場合があります。ベースライン コマンドが実行されると、ベースラインが完了するまでアカウンティングを再開できません。アカウンティングが中断されていない間、またはベースライニングの進行中にコマンドを発行すると、コマンドは失敗します。アカウンティング ライセンスがインストールされていない場合、コマンドはエラーを報告します。
アカウンティング中断および統計ベースライニングのガイドライン
アカウンティングを中断し、統計のベースラインを指定する場合は、次の点に注意してください。
しきい値(または割り当て)が適用される環境でのアカウンティングの一時停止はサポートされていません。これには、Gx-PlusとジュニパーネットワークスのSession and Resource Control(SRC)しきい値またはRADIUSセッションボリューム割り当てがあらゆる加入者に有効な環境が含まれます。加入者にしきい値または割り当てがある場合、アカウンティング中断要求は失敗します。
アカウンティングが中断されている間、しきい値(または割り当て)サービスのアクティブ化は許可されません。
アカウンティングが中断されていない場合、アカウンティングベースライニングはサポートされていません。
アカウンティング中断中に複数のベースライン要求を指定することはできません。
中間アカウンティングで構成されていない加入者のベースライニングはサポートされていません。
ベースライン操作の完了に要する時間は不定です。収集される統計の量と深さに依存し、ベースラインの開始時点でアクティブな加入者およびサービス セッションの数に比例します。ベースライニングの実行中にアカウンティングを再開しようとすると、コマンドは失敗します。
コマンドを使用して、統合型 ISSU プロセス中にアカウンティングの中断、ベースライン化、再開を行うことはできません。ベースラインの処理中に統合型 ISSU を実行しようとすると、シャーシ デーモンの状態がDAEMON_ISSU_PREPARE状態に変わると、認証とパケット転送エンジンのプロセスはセッション境界でのベースライニングを中断し、ルーティング エンジンのスイッチオーバー後にデバイスがアップグレードされるリリースに再開されます。
アカウンティングの中断中またはベースライニングの進行中にグレースフル ルーティング エンジン スイッチオーバー(GRES)が発生した場合、ルーターの再起動後も一時停止またはベースライニングの状態が維持されます。このようなシナリオでは、ルーターの再起動後にアカウンティングが中断され、カウンターがベースラインに残っているサブスクライバは、ルーターがオンラインになった後にベースラインが作成されます。
加入者アカウンティングの中断とベースライニングのサンプル シナリオ
以下のシナリオを検討してください。
加入者 X に対して中間アカウンティングが設定されています。加入者 Y および Z 用に設定されていません。
アカウンティングが中断される前に最後に送信された中間アカウンティング要求には、加入者 X の統計が含まれます。この加入者には、これまでに 50,000 オクテットのトラフィックが送信されています。加入者 Y に対して 20,000 オクテットが送信され、加入者 Z 用に 10,000 オクテットが送信されましたが、中間アカウンティングが設定されていないため、この情報はまだ報告されていません。
アカウンティングは中断されます。
ベースライニングが始まります。加入者 X の現在のカウントは 50,000 オクテットです。これが加入者のベースライン値になります加入者 X および Y のベースライン値は、中間アカウンティングが設定されていないため、確立されません。
ベースライニングの進行中は、加入者 X の場合は 150,000 オクテット、加入者 Y の場合は 80,000 オクテット、加入者 Z の場合は 20,000 オクテットの 3 人の加入者にトラフィックが送信され続けます。
加入者 Z はログアウトします。アカウンティングが中断されるため、Acct-Stop 要求は送信されません。その結果、この加入者の最終的なアカウンティング統計は失われます。
ベースライニングが完了しました。
アカウンティングが再開されます。
加入者 X がログアウトします。加入者 X に対して合計 200,000 のオクテットが送信されましたが、Acct-Stop レコードは 150,000 オクテットのみ報告します。合計オクテットは 200,000 オクテットから 50,000 オクテット ベースラインを引いたものです。
加入者 Y がログアウトします。加入者 Y に対して合計 100,000 オクテットが送信され、ベースライン値がないため、Acct-Stop レコードは合計 100,000 オクテットを報告します。
表 7 は 、このシナリオをまとめたものです。
サブスクライバー |
暫定アカウンティングの設定 |
中断前オクテット |
ベースライニング開始後のオクテット |
合計オクテット |
アカウンティングの再開時に Acct-Stop のオクテット |
|---|---|---|---|---|---|
X |
はい |
50,000 |
150,000 |
200,000 |
150,000 |
Y |
いいえ |
20,000 |
80,000 |
100,000 |
100,000 |
Z |
いいえ |
10,000 |
20,000 |
30,000 |
N/a |
RADIUS アカウンティングの一時停止とベースライニング アカウンティング統計情報の設定
手動でアカウンティングを再開するまで、システム全体のアカウンティングをシステム全体で一時的に中断することができます。一時停止期間中は、現在の加入者はログインしたままですが、加入者はログアウトして、新しい加入者セッションを開始できます。アカウンティングが中断されている間、RADIUS Acct-Start、暫定更新、Acct-Stop メッセージは生成されません。ルーターはアカウンティング メッセージを RADIUS サーバーに送信しません。たとえば、一時停止中に加入者がログアウトした場合、Acct-Stop はサーバーに送信されません。
運用担当者は、システム アップグレードの標準的なプラクティスとしてアカウンティングを中断することはお勧めできません。ただし、一部の通信事業者は、サーバー インフラストラクチャのアップグレードが重要で、即座に必要な場合に、サービス プロバイダ環境で役立つと思う場合があります。
アカウンティング プロセスの一時停止を設定するには、アカウンティングが停止した後に統計のベースラインを作成し、ベースライニング プロセスが完了した後にアカウンティングを再開します。