このページで
加入者アクセスに対するRADIUSアカウンティング
このトピックでは、RADIUSアカウンティング統計、加入者セッションアカウンティング、重複レポート、サービスアカウンティングに関する詳細な情報を提供します。RADIUSアカウンティング用のサーバー設定については、 RADIUS認証とアカウンティングの基本設定を参照してください。
加入者アクセスのRADIUSアカウンティング統計の概要
AAA サービス フレームワークでは、ルーターがアカウンティング統計を収集して、加入者管理に使用する方法を設定できます。
例えば、統計収集を終了するタイミング、異なるアカウンティング・メソッドを使用する順序、収集される統計のタイプ、統計を収集する頻度を指定できます。また、加入者がログインするときや認証変更(CoA)が発生した場合など、特定のイベントが発生したときに、RADIUSサーバーがアカウンティング統計を直ちに更新するようにルーターを設定することもできます。
加入者管理には、加入者セッションとサービスセッションという2つのレベルの加入者アカウンティングが用意されています。加入者セッションアカウンティングでは、ルーターは加入者セッション全体の統計を収集します。サービスセッションアカウンティングでは、ルーターは加入者の特定のサービスセッションの統計を収集します。
加入者管理は、転送されたパケットのみをカウントします。ドロップしたトラフィック(フィルターアクションの結果など)と制御トラフィックは、アカウンティング統計には含まれません。
ルーターは、 表1 に記載されているRADIUS属性とジュニパーネットワークスのVSAを使用して、加入者とサービスセッションのアカウンティング統計を提供します。セッションでIPv4とIPv6の両方が有効になっている場合、ルーターは両方のファミリーの統計を報告します。
RADIUSは、IPv4統計とIPv6統計の両方の集合として加入者統計を報告します。
IPv4のみの設定の場合、標準RADIUS属性はIPv4統計を報告し、IPv6 VSA結果はすべて0として報告されます。
IPv6のみの設定では、標準のRADIUS属性とIPv6 VSA統計は同一で、どちらもIPv6統計を報告します。
IPv4とIPv6の両方が設定されている場合、標準RADIUS属性はIPv4とIPv6の組み合わせの統計情報を報告します。IPv6 VSAレポートIPv6統計。
属性番号 |
属性名 |
統計のタイプ |
---|---|---|
26-151 |
IPv6-Acct-Input-Octets |
IPv6 |
26-152 |
IPv6-Acct-Output-Octets |
IPv6 |
26-153 |
IPv6-Acct-input-packets |
IPv6 |
26-154 |
IPv6-Acct-output-packets |
IPv6 |
26-155 |
IPv6-Acct-Input-Gigawords |
IPv6 |
26-156 |
IPv6-Acct-Output-Gigawords |
IPv6 |
47 |
Acct-input-packets |
IPv4 および IPv6 アグリゲーション |
48 |
Acct-output-packets |
IPv4 および IPv6 アグリゲーション |
52 |
Acct-Input-Gigawords |
IPv4 および IPv6 アグリゲーション |
53 |
Acct-Output-Gigawords |
IPv4 および IPv6 アグリゲーション |
「」も参照
RADIUS Acct-Onおよび Acct-Offメッセージ
加入者管理は、RADIUS Acct-Onおよび Acct-Offメッセージをサポートし、RADIUSアカウンティングサポートの現在の状態を示します。
RADIUS Acct-Onメッセージは、アカウンティングがサポートされていることを示しています。加入者管理は、以下の状況で Acct-On メッセージを発行します。
アカウンティングは、設定によって有効になります(アカウンティングサーバーが設定されている場合など)。
新しいアクセスプロファイルは、論理システム/ルーティングインスタンスコンテキストに対して設定され、コミットされます。ただし、アクセス プロファイルの前にアカウンティング サーバーが存在し、単純に変更された場合は、Acct-On メッセージは送信されなくなります。
ルーターはコールド リブートを実行します。
ルーターはウォーム リブートを実行し、現在ログインしている加入者はいません。
Authd プロセスが再起動し、アクティブな加入者はいません。
RADIUS Acct-Offメッセージは、 のアカウンティングがサポートされていないことを示します。加入者管理は、以下の状況で Acct-Off メッセージを発行します。
Authd プロセスは終了し、アクティブな加入者はいません。
ルーターがシャットダウンされ、アカウンティングサーバーが現在設定されています(このアクションはまた、現在のすべての加入者をログアウトします)。
ルーターが再起動され、冗長性が無効になっています。
「」も参照
加入者ごとのセッションアカウンティングの設定
加入者セッションのアカウンティングを設定するには、アクセスプロファイルを使用し、加入者アクセス管理機能がアカウンティング統計をどのように収集して使用するかを指定します。ルーターは、加入者アクセスのRADIUS アカウンティング統計概要 で説明されているRADIUS属性とジュニパーネットワークスVSAを使用して、加入者セッションのアカウンティング統計を提供します。
加入者セッションのアカウンティングを設定するには:
「」も参照
正確な加入者アカウンティング統計の CLI へのレポートの有効化
動的インターフェイス上の加入者セッションの正確な統計を表示するようにルーターを設定できます。デフォルトでは、 コマンドで show interfaces extensive
表示されるインターフェイスの集約統計(バイト数とパケット数)は、顧客のトラフィックを正確に反映しません。これらのカウンターには、実際の加入者データバイトに追加されるカプセル化オーバーヘッドを表すオーバーヘッドバイトが含まれます。集約カウンターには、合計でドロップされたパケットも含まれるため、値はインターフェイス上の実際の加入者トラフィックではなく、トランジット統計を表します。
オーバーヘッド バイトとドロップされたパケットを含めることは、最後に報告された値に大きな影響を与える可能性があります。インターフェイスに ステートメントを interface-transmit-statistics
含めることで、カウントからドロップしたパケットを除外できますが、オーバーヘッド バイトには影響しません。
正確な加入者統計を表示するには、動的プロファイルに actual-transmit-statistics
論理インターフェイスの ステートメントを含めます。このステートメントを使用すると、 show subscribers
指定された加入者セッションまたは指定されたインターフェイス上のすべての加入者セッションの集約バイト数とパケット数を表示できます。表示される統計情報は、加入者の RADIUS に報告された値と一致します。統計情報は、トラフィックシェーピングが適用された後に収集され、オーバーヘッドバイト、制御パケット、またはパケットのドロップは含まれません。
Junos OS リリース 18.4R1 以降、加入者統計の収集を有効にする actual-transit-statistics
必要があります。このステートメントを設定しない場合、加入者統計は収集されません。コマンドは show subscribers accounting-statistics
、加入者統計の値 0 を表示し、値が 0 の RADIUS に加入者統計が報告されます。
サービスアカウンティング統計は含まれません。
正確な加入者セッション統計のレポートを設定するには:
実際のトランジット統計を有効にします。
[edit dynamic-profiles profile-name interfaces $junos-interface-ifd-name unit $junos-interface-unit] user@host# set actual-transit-statistics
加入者アカウンティング統計は、2 つの方法で表示できます。
コマンドを使用して、セッションID別に加入者統計を
show subscribers id session-id accounting-statistics
表示します。コマンドを使用して、すべてのセッション ID の動的インターフェイス別に加入者統計を
show subscribers interfaces interface-name accounting-statistics
表示します。
RADIUSアカウンティング重複レポートについて
RADIUSアカウンティングを設定すると、デフォルトでは、ルーターは、加入者が最後に認証されたコンテキストで、アカウンティングレポートをアカウンティングサーバーに送信します。RADIUSアカウンティングを設定して、同じコンテキストまたは他のコンテキストで他のサーバーに重複したアカウンティングレポートを送信できます。
レイヤー 3 ホールセール シナリオ
レイヤー 3 ホールセール ネットワーク環境では、卸売業者と小売業者が異なる RADIUS アカウンティング サーバーを使用し、両方ともアカウンティング レポートを受け取りたいと思う場合があります。この場合、RADIUSアカウンティング重複レポートを設定し、卸売業者と小売業者の両方のアカウンティングサーバーにレポートを送信できます。重複するアカウンティング レコードが送信されるターゲットは、default:default logical system:routing instance combination(LS:RI)( デフォルト VRF とも呼ばれます)にある必要があります。
表 2 は、重複レポートを有効にすると、加入者管理がアカウンティング レポートを送信する場所を示しています。加入者管理は、 階層レベルで [edit access profile profile-name accounting]
ステートメントを設定duplication
するアクセスプロファイル、加入者が常駐する場所、および加入者の認証方法に基づいて、重複したレポートを送信します。
また、ドメインマップ設定に基づいてアカウンティング重複レポートを有効にすることもできます。デフォルト以外のルーティングインスタンスとターゲット論理システム:defaultのルーティングインスタンスで認証するように加入者を設定します。その後、アカウンティングレポートは、認証コンテキストと default:default コンテキストの両方に送信されます。
重複が設定されているアクセス プロファイル |
加入者の認証場所 |
加入者のターゲット論理システム/ルーティング インスタンス |
アカウンティング・レポートが送信されるアカウンティング・サーバー |
---|---|---|---|
小売業者A |
卸売 業者 |
小売業者A |
卸売業者と小売業者A |
小売業者A |
小売業者A |
小売業者A |
卸売業者(デフォルト/デフォルトコンテキスト)
メモ:
これは、この表の前のメモで説明したドメイン マップの構成です。 |
卸売 業者 |
卸売業者と小売業者A |
小売業者A |
卸売業者と小売業者A |
卸売業者および小売業者 B |
卸売業者と小売業者A |
小売業者B |
卸売業者、小売業A、小売業者B |
未構成(デフォルト) |
任意 |
任意 |
加入者が最後に認証されたコンテキストでアカウンティングサーバーに単一のレポートを送信 |
その他のシナリオ
レイヤー 3 ホールセール ネットワーク環境にないシナリオでは、同じルーティング コンテキストまたは異なるルーティング コンテキストに存在する別の RADIUS サーバー セットに重複したアカウンティング レコードを送信することができます。レイヤー3ホールセールシナリオとは異なり、重複するRADIUSアカウンティングレコードのターゲットがデフォルトのVRFである必要はありません。デフォルト以外の VRF(デフォルト:デフォルト LS:RI の組み合わせ以外)をターゲットとして指定できます。さらに、重複するレポートを受信するRADIUSアカウンティングサーバーをリストする、ターゲットVRFで最大5つのアクセスプロファイルを指定できます。
たとえば、デフォルト ドメインで加入者が認証される合法的な傍受シナリオがある場合などです。許可された法執行組織は、非デフォルトの VRF にある組織のネットワーク ドメインに常駐する仲介デバイスに加入者の重複したアカウンティング レコードを送信する必要があります。
加入者管理は、 階層レベルの ステートメントで指定したVRFに vrf-name
重複するレポートを [edit access profile profile-name accounting duplication-vrf]
送信します。同じレベルに ステートメントを access-profile-name
含め、重複するレポートを受信するRADIUSサーバーを指定するアクセスプロファイルを指定します。
重複アカウンティング レポートのフィルター
加入者管理には重複フィルター機能が用意されており、これにより、RADIUSアカウンティングの重複レポートがアクティブである場合に、RADIUSアカウンティング暫定レポートを受信するアカウンティングサーバーを指定できます。AAA アクセス プロファイルでフィルターを設定し、ルーターがそのプロファイルに関連付けられた加入者にフィルターを適用します。
加入者管理は、RADIUSアカウンティング重複レポートの以下のフィルタリングをサポートしています。
重複したアカウンティング暫定メッセージ- ルーターは、重複するアカウンティングメッセージをフィルタリングします。アカウンティングメッセージは、加入者のアクセスプロファイル内のRADIUSアカウンティングサーバーにのみ送信されます。
元のアカウンティング暫定メッセージ-ルーターは、加入者のアクセスプロファイル内のアカウンティングサーバーである元のRADIUSアカウンティングサーバー宛てのアカウンティングメッセージをフィルタリングします。アカウンティングメッセージは、重複アカウンティングサーバー(加入者のアクセスプロファイル以外の重複アクセスプロファイル内のサーバー)にのみ送信されます。
除外されたRADIUS属性—ルーターは、重複コンテキストの下で、アクセスプロファイルのステートメント設定に
exclude
基づいて、アカウンティングメッセージ内のRADIUS属性をフィルタリングします。除外フィルターは単独で使用することも、重複または元のアカウンティングメッセージフィルターと一緒に使用することもできます。
RADIUSアカウンティング重複レポートの重複フィルターの設定
重複フィルターを使用して、アカウンティング重複レポートが有効になっているときにRADIUSアカウンティング暫定レポートを受信するRADIUSアカウンティングサーバーを指定できます。AAAアクセスプロファイルにフィルターを設定し、ルーターはそのプロファイルに関連付けられた加入者にフィルターを適用します。
アカウンティング重複レポートに重複フィルターを設定するには:
サービスごとのセッションアカウンティングの設定
加入者管理では、加入者のサービスセッションごとに統計を収集するようにルーターを設定できます。サービスごとのセッションアカウンティングには、2つの操作が必要です。まず、サービスの名前、使用するアカウンティング間隔、および収集する統計のタイプ(時間統計または時間統計とボリューム統計の組み合わせのいずれか)を提供するために、RADIUSを設定する必要があります。第 2 に、RADIUS VSA 26-69 が時間およびボリューム統計用に設定されている場合、サービス パケットをカウントするファイアウォール または高速更新ファイアウォール フィルターも設定する必要があります。サービス パケット情報はボリューム統計を提供します。
ルーターは、加入者アクセスのRADIUS アカウンティング統計概要 で説明されているRADIUS属性とジュニパーネットワークスVSAを使用して、加入者セッションのアカウンティング統計を提供します。
時間のみのサービス統計の収集は、すべてのサービスセッションでサポートされています。ただし、時間とボリュームの統計情報は、ファイアウォールと高速更新ファイアウォール サービス セッションに対してのみ提供されます。
サービス単位のアカウンティング統計を提供するようにルーターを設定するには:
属性番号 |
属性名 |
説明 |
値 |
---|---|---|---|
26-69 |
サービス統計 |
サービスの統計を有効または無効にする |
|
26-83 |
サービスセッション |
アカウンティングストップおよび開始メッセージでルーターからRADIUSサーバーに送信されたサービス文字列 |
文字列:属性26-65でRADIUSサーバーから送信されるパラメーター値を持つservice-name。 |
26-140 |
サービス- Interim-Acct-Interval |
このサービスの中間会計更新までの時間 |
メモ:
値は、10 分の次の高い倍数に切り上げられます。たとえば、900 秒(15 分)の設定は 20 分(1200 秒)に切り上げられます。 |
「」も参照
サービスプロビジョニングのためのRADIUSメッセージでのCisco VSAの処理
RADIUSメッセージでCisco VSAを使用して、加入者アクセスネットワーク内のサービスをプロビジョニングおよび管理できます。この導入のトポロジーでは、ブロードバンド ネットワーク ゲートウェイ(BNG)は以下に接続されています。
認証とアカウンティングに使用される Steel-Belted Radius Carrier(SBRC)などの RADIUS サーバー。
RADIUS変更(CoA)メッセージを使用してサービスをプロビジョニングするためのポリシー制御および課金ルール機能(PCRF)サーバーとして使用されるCisco BroadHopアプリケーション。
Cisco BroadHop は、ジュニパーの VSA をサポートしていません。Cisco VSA、Cisco-AVPair(26-1、IANAプライベートエンタープライズ番号9)を異なる値で使用して、サービスをアクティブ化および非アクティブ化します。
サービスをアクティブ化するには、以下の各値で Cisco-AVPair VSA(26-1)を使用します。
の値。subscriber:command=activate-service パラメーターです。
加入者の値 :service-name=service-name パラメーター。
サービスを無効化するには、以下の各値で Cisco-AVPair VSA(26-1)を使用します。
subscriber:command=deactivate-service パラメーターの値。
加入者の値 :service-name=service-name パラメーター。
BNGが送信するRADIUSメッセージの認証、アカウンティング、またはCoA応答の属性を変更することはできません。サービスのプロビジョニングに使用されたもの以外の Cisco VSA は、サポートされていない属性と見なされます。
加入者のアクセスプロファイルのサービスアカウンティングを設定するには:
また、UDP ポート番号を定義して、RADIUS ダイナミックリクエスト サーバーとして機能するルーターが RADIUS サーバーからリクエストを受信する必要があるポートを設定することもできます。デフォルトでは、ルーターはUDPポート3799でリモートRADIUSサーバーからの動的要求をリッスンします。特定のアクセス プロファイルまたはルーター上のすべてのアクセス プロファイルに対する動的リクエストに使用する UDP ポート番号を設定できます。UDP ポート番号を定義するには、 または 階層レベルで [edit access profile profile-name radius-server server-address]
ステートメントを[edit access radius-server server-address]
含めますdynamic-request-port port-number
。
すべてのアクセス プロファイルに対して UDP ポートをグローバルに指定するには、
[edit access radius-server server-address] user@host# set dynamic-request-port port-number
特定のアクセス プロファイルの UDP ポートを指定するには、
[edit access profile profile-name radius-server server-address] user@host# set dynamic-request-port port-number
「」も参照
ボリューム統計のサービス パケット カウントの設定
加入者管理では、サービスパケットカウントを使用して、加入者のボリューム統計をサービスセッションごとに報告します。サービスパケットカウントを設定するには、アカウンティングアクションを指定し、加入者管理はその結果をRADIUSで使用する特定の名前付きカウンター(__junos-dyn-service-counter)に適用します。
設定するアカウンティングアクションは、加入者管理が統計をキャプチャする際に使用するカウントメカニズム(インラインカウンターまたは遅延カウンター)を指定します。インライン カウンターは、イベント発生時にキャプチャされ、イベント後に発生する可能性のある追加のパケット処理は含まれません。遅延カウンター(正確なアカウンティングとも呼ばれます)は、パケットが送信のためにキューに入れるまで増分されないため、パケット処理全体が含まれます。遅延カウンターは、インライン カウンターよりも正確なパケット数を提供し、加入者のアカウンティングと課金に役立ちます。
アカウンティングメカニズムを設定するには、 階層レベルで[edit firewall family family-name filter filter-name term term-name then]
アクション(遅延カウンターの場合)またはservice-accounting
アクション(インラインカウンターの場合)のいずれかをservice-accounting-deferred
指定します。
2 つの会計メカニズムは相互に排他的で、期間ごととフィルター単位の両方で行われます。また、どちらの会計アクションも、期間ごとにカウントアクションと相互に排他的です。
inet および inet6 ファミリーの据え置きカウンターは、クラシック・フィルターの場合のみ定義できます。高速更新フィルターは、遅延カウンターをサポートしていません。
サービスパケットカウントを有効にするには:
フィルターの一致条件が満たされると、RADIUSサーバーが使用する既知のサービスカウンター(__junos-dyn-service-counter)にパケットがカウントされ、適用されます。このカウンターは、サービスごとのアカウンティングのボリューム統計を提供します。
アクションまたはservice-accounting-deferred
アクションはservice-accounting
、アクションとcount
同じ条件では使用できません。
「」も参照
サービスアカウンティングの設定
サービスアカウンティングはデフォルトで無効になっています。外部RADIUSサーバーから受信したRADIUS属性を使用するか、ルーターでローカルにCLIトップ設定アカウンティングを使用して、サービスアカウンティングを設定できます。両方を設定した場合、RADIUS 設定が CLI 設定よりも優先されます。
一部のネットワークでは、サービスアカウンティングを有効/無効にし、暫定アカウンティング間隔を指定するには、CLIを使用する必要があります。たとえば、アプリケーションがサービスプロビジョニングにRADIUS CoAを使用して、BNGをRADIUSサーバーとサードパーティデバイスの両方に接続しても、ジュニパーネットワークスのVSAはサポートされていません。このユースケースの詳細については、 サービスプロビジョニングのためのRADIUSメッセージでのCisco VSAの処理を参照してください。
表 4 は、ローカル CLI と RADIUS サービス アカウンティング設定のさまざまな組み合わせが存在する場合に収集されるサービス アカウンティング統計のタイプを示しています。
サービス統計に存在するCLI設定 |
サービス統計に存在するRADIUS設定 |
収集されたサービス統計 |
---|---|---|
– |
– |
なし |
– |
✓ |
RADIUS 設定 |
✓ |
– |
CLI 設定 |
✓ |
✓ |
RADIUS 設定 |
✓ |
値が 0 の明示的な無効化 |
なし |
表 5 は、ローカル CLI と RADIUS サービス アカウンティング設定のさまざまな組み合わせが存在する場合に使用されるサービス暫定アカウンティング間隔値を示しています。
サービス暫定アカウンティング間隔に存在するCLI設定 |
サービス暫定アカウンティング間隔に存在するRADIUS設定 |
使用されるサービス暫定アカウンティング間隔値 |
---|---|---|
– |
– |
サービス暫定会計なし |
– |
✓ |
RADIUS値 |
✓ |
– |
CLI 値 |
✓ |
✓ |
RADIUS値 |
✓ |
値が 0 の明示的な無効化 |
サービス暫定会計なし |
表 6 は、CLI と RADIUS の設定の 2 つの例の組み合わせの結果を示しています。
Cli |
半径 |
使用される値 |
---|---|---|
|
Acct-Interim-Interval(85)= 600 サービス統計(26-69)は設定されていません |
600 時間 |
|
Acct-Interim-Interval(85)は設定されていません サービス統計(26-69)= 2、時間とボリューム |
400 時間と量 |
加入者のアクセスプロファイルのサービスアカウンティングを設定するには:
アカウンティングサーバー障害時のRADIUSアカウンティング情報の保持
図 1 に示すように、ルーターが RADIUS アカウンティング サーバーとの接続を失うと、サーバーの停止やサーバーに接続するネットワークの問題により、サーバーが受信していた課金情報がすべて失われる可能性があります。RADIUSアカウンティングバックアップは、障害時に蓄積されたアカウンティングデータを保持します。RADIUSアカウンティングバックアップを設定していない場合、ルーターがRADIUSサーバーとのコンタクト再開の試みを使い果たした時点から、障害が発生した間、アカウンティングデータは失われます。設定可能な再試行回数は、ルーターがサーバーへのコンタクトを試みる回数を決定します。
デフォルトでは、ルーターは、復元タイマーが期限切れになるまで待機する必要があります。その後、応答しないサーバーに再度コンタクトを試みることができます。ただし、アカウンティングバックアップを設定すると、元に戻すタイマーが無効になり、ルーターがアカウンティング確認応答を受信できないとすぐに、ルーターはすぐにアカウンティング要求を再試行します。アカウンティング バックアップは、次の順序で行われます。
ルーターがサーバーからアカウンティング確認応答を受信できない。
ルーターは、再試行回数を使い果たす前に確認応答を受信しない場合、すぐにアカウンティングサーバーへのコンタクトを試み、サーバーをオフラインとしてマークします。
ルーターは次に、RADIUSプロファイルで設定された追加のアカウンティングサーバーごとに、順番にコンタクトを試みます。
サーバーに到達した場合、ルーターはこのサーバーへのアカウンティング要求の送信を再開します。
どのサーバーも応答しない場合、またはプロファイルに他のサーバーがない場合、ルーターはタイムアウトを宣言し、アカウンティングデータのバックアップを開始します。すべてのアカウンティング停止メッセージを保留し、新しいアカウンティング要求をサーバーに転送しません。
障害時に、ルーターは1つの保留中のアカウンティングストップメッセージを定期的にサーバーに送信します。
サーバーの1つが受信を確認すると、ルーターはすべての保留中のストップメッセージを、保存されているすべてのストップメッセージが送信されるまで同じ間隔でバッチで送信します。ただし、新しいアカウンティング要求はすべて、保留するのではなく、直ちに送信され、定期的に送信されます。
ルーターは、アカウンティングストップメッセージを正しい順序でサーバーに再生します。これは、加入者間の一時的な順序と、各加入者のサービス停止要求とセッション停止要求間の因果関係の順序の両方を保持するためです。アカウンティング停止メッセージのみがバックアップされます。これは、セッションの開始時間と時間、およびすべてのアカウンティング統計が含まれるためです。これにより、アカウンティング開始メッセージを保留する必要がなく、最終的にはタイムアウトになります。臨時のアップデートはバックアップされず、タイムアウトします。セッションがアクティブなままである場合、サーバー接続が復元された後の次回の暫定更新は、暫定アカウンティング情報を提供します。
ルーターがアカウンティング サーバーとのコンタクトの復元を保留してキューに入ることができるアカウンティング 停止メッセージの数を設定できます。新しいアカウンティング データの収集に優先して現在のアカウンティング データを保持するために、最大メッセージ数を保留するとすぐに加入者ログインは失敗します。保留中のキューがキュー制限を下回ると、加入者ログインが直ちに再開されます。
サービス アカウンティング ストップ メッセージは、加入者 1 人あたり最大 10 個のサービスに対して保留されます。アカウンティング サーバーがオフラインのときに加入者が 11 番目のサービスをアクティブ化しようとすると、アクティベーションは失敗します。
ルーターは、保留中のアカウンティングメッセージを最大24時間保持できます。設定可能な最大保持期間が経過しても、アカウンティングサーバーがオンラインに戻ったとしても、保留中のキュー内のすべてのアカウンティング停止メッセージがフラッシュされます。その結果、最大保留制限に達したために障害が発生した場合、すぐに加入者ログインが再開されます。
保留中のすべてのメッセージは、次のいずれかの状況でもフラッシュされます。
最後のアカウンティング サーバーをアクセス プロファイルから削除すると、メッセージを送信する場所がないためです。
アカウンティングバックアップ設定を削除する場合。
ルーターがアカウンティング停止メッセージを差し控えている間、ルーターが定期的な間隔が切れるまで待機するのではなく、すぐにアカウンティングサーバーへのコンタクトを試みることを強制できます。この場合、ルーターは最初にストップメッセージのバッチをサーバーに再生し、次のいずれかの結果を得ます。
ルーターが受信確認応答を受信すると、サーバーをオンラインとしてマークし、残りの保留中のストップメッセージすべてをバッチで再生し始めます。
ルーターが確認応答を受信しない場合、ルーターは定期的に1つの保留中のアカウンティング停止メッセージの送信を再開します。
アカウンティング サーバーがオフラインのときに加入者がログアウトすると、アカウンティング停止要求は加入者に対して行われます。また、セッションはオンラインになるとキューに入れられ、サーバーに再生されます。この場合、加入者セッションとサービスセッション情報が保持されるため、ルーターはサーバーがオンラインに戻ったときに正しいアカウンティング要求を送信できます。
アカウンティング サーバーがオフライン中に グレースフル ルーティング エンジン スイッチオーバー が発生した場合、サーバーが再びオンラインになると、保留中の停止メッセージをアクティブなルーティング エンジンから再生できます。
RADIUSアカウンティングバックアップが設定されている場合、RADIUS認証とアカウンティングに異なるサーバーを使用する必要があります。同じサーバーが認証とアカウンティングの両方に設定されている場合、加入者の認証は失敗します。
RADIUSサーバーが他のバックエンドのRADIUSアカウンティングまたは認証サーバーに代わって動作し、リクエストをそれらに転送する場合、加入者は認証できますが、アカウンティング要求は送信されません。
バックアップ アカウンティング統計を表示するには 、 show network-access aaa statistics コマンドを使用します。
RADIUSアカウンティングのバックアップオプションの設定
RADIUSアカウンティングバックアップを設定することで、サーバーやネットワークの停止によりアカウンティングサーバーが利用できない場合に、アカウンティングデータを保持することができます。バックアップが設定されている場合、RADIUSアカウンティング停止メッセージは保留され、接続が復元されたときに送信されるキューに入れられます。キューに入れる停止メッセージの最大数を指定できます。この最大に達すると、新しいセッションのアカウンティングデータを保持する容量が残っていないため、後続の新しい加入者ログインは失敗します。
また、キューに入ったメッセージを保持する時間を設定することもできます。この期間が終了すると、アカウンティング サーバーがオンラインに戻ったとしても、すべての保留中のアカウンティング ストップがキューからフラッシュされます。
RADIUSアカウンティングバックアップを設定する前に、RADIUSアカウンティングとRADIUS認証が異なるサーバー上で設定されていることを確認してください。同じサーバーが認証とアカウンティングの両方に設定されている場合、加入者の認証は失敗します。
例えば、以下のステートメントは、すべての加入者アカウンティングのバックアップオプションを設定します。これらのステートメントは、ルーターが32,000を超える保留中のアカウンティングストップを保持せず(その時点で、後続のすべての加入者ログインが失敗した時点で)、6時間以内にそれらを保持し、その時点ですべての保留中のメッセージがフラッシュされ、障害が発生した場合に加入者ログインが再開することを指定します。
[edit access accounting-backup-options] user@host# set max-pending-accounting-stops 32000 user@host# set max-withhold-time 360
バックアップ アカウンティング統計を表示するには 、 show network-access aaa statistics コマンドを使用します。
ルーターがすぐにアカウンティングサーバーに接続するように強制する
RADIUSアカウンティングバックアップが有効になっている間にアカウンティングサーバーが停止した場合、デフォルトでは、ルーターはオフラインサーバーに連絡する前に、一定時間の間隔を待ちます。その間隔が経過するのを待つ代わりに、 コマンドを発行してルーターに直ちにサーバーに request network-access aaa replay pending-accounting-stops
接続するように強制できます。ルーターは、保留中のアカウンティング停止要求のバッチをサーバーに送信します。ルーターがサーバーから確認応答を受信した場合、ルーターは保留メッセージを定期的にバッチで再生し続けます。ルーターがその確認応答を受け取らない場合、ルーターは定期的に1つの保留中のアカウンティング停止メッセージの送信を再開します。
ルーターがオフラインのアカウンティング サーバーにすぐに接続するように強制するには、以下の手順にしたがっています。
メッセージの再生を要求します。
user@host> request network-access aaa replay pending-accounting-stops
保留中の RADIUS アカウンティング ストップ メッセージの監視
目的
RADIUSアカウンティングサーバーに接続できないために保留されているRADIUSアカウンティングストップメッセージに関する情報を表示します。
アクション
保留中のアカウンティング停止メッセージの数が最大に近いかを知りたい場合は、保留中の要求の単純な数を表示できます。
user@host> show network-access aaa statistics pending-accounting-stops Pending accounting stops: 10,000
他のコマンドを使用して、アカウンティングメッセージの詳細を表示できます。次の例では、ユーザー(vjshah29@example.com)のアカウンティングセッション内のすべてのサービスの情報を表示します。この例では 1 人のユーザーしか表示されませんが、このコマンドは、アカウンティングがバックアップされているすべての加入者の情報を実際に表示します。
user@host> show accounting pending-accounting-stops detail Type: pppoe Username: vjshah29@example.com AAA Logical system/Routing instance: default:default Access-profile: ce-ppp-profile Session ID: 84 Accounting Session ID: 84 IP Address: 192.168.0.25 IPv6 Prefix: 2001:db8:2010:9999:18::/48 Authentication State: AuthAcctStopAckWait Accounting State: Acc-Stop-Stats-Pending Service name: cos-service Service State: SvcInactive Session ID: 94 Session uptime: 00:08:02 Accounting status: on/time Service accounting session ID: 84:94-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600 Service name: filter-service Service State: SvcInactive Session ID: 93 Session uptime: 00:08:02 Accounting status: on/volume+time Service accounting session ID: 84:93-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600 Service name: filter-service6 Service State: SvcInactive Session ID: 95 Session uptime: 00:08:02 Accounting status: on/volume+time Service accounting session ID: 84:95-1352294677 Service accounting state: Acc-Stop-Stats-Pending Accounting interim interval: 600
特定のアクセス プロファイルを持つすべてのユーザーの概要情報を表示できます。以下の例では、vjshah29@example.com の単一ユーザーのみが、指定されたアクセス・プロファイルである ce-ppp-profile を持っています。
user@host> show accounting pending-accounting-stops ce-ppp-profile Type: Username: Session ID: Service ID: Service pppoe vjshah29@example.com 84 pppoe vjshah29@example.com 84 94 cos-service pppoe vjshah29@example.com 84 93 filter-service pppoe vjshah29@example.com 84 95 filter-service6
また、アクセスプロファイルに関係なく、アカウンティングストップメッセージが保留されているすべての加入者の概要情報を表示することもできます。次の例では、2 人のユーザーの情報を表示します。前の例では加入者 larry@example.com が表示されていないため、同じサービスを受けたにもかかわらず、vjshah29@example.com とは異なるアクセス プロファイルが必要です。
user@host> show accounting pending-accounting-stops terse Type: Username: Session ID: Service ID: Service pppoe vjshah29@example.com 84 pppoe vjshah29@example.com 84 94 cos-service pppoe vjshah29@example.com 84 93 filter-service pppoe vjshah29@example.com 84 95 filter-service6 pppoe larry@example.com 85 pppoe larry@example.com 85 94 cos-service pppoe larry@example.com 85 93 filter-service pppoe larry@example.com 85 95 filter-service6
RADIUSアカウンティングとベースライニングアカウンティング統計の中断の概要
一部のエンタープライズ プロバイダの導入では、RADIUS アカウンティング サーバーのコントロール プレーン アップグレード中、加入者向け課金システムのアップグレード中、または保守のために RADIUS サーバーが停止した場合に、アカウンティング レコードの維持と保存が必要になる場合があります。RADIUSアカウンティング加入者およびサービスアカウンティングは、通常、加入者トラフィックのボリュームベースの使用とコストの計算のために、このような顧客トポロジーで使用されます。また、加入者には、使用量に関係なく設定レートを請求するのではなく、サービスレベルと使用量に基づいて課金される場合もあります。
Junos OS リリース 15.1R4 以降、手動でアカウンティングを再開するまで、システム全体のアカウンティングを一時的に停止できます。中断期間中は、現在の加入者はログインしたままですが、加入者はログアウトして、新しい加入者セッションを開始できます。RADIUS Acct-Start、Interim-Update、Acct-Stopアカウンティング要求メッセージは、アカウンティングが中断されている間は生成されません。ルーターは、RADIUSサーバーにアカウンティングメッセージを送信しません。たとえば、中断中に加入者がログアウトすると、Acct-Stopリクエストはサーバーに送信されなくなります。
アカウンティングが中断された後、ルーターが保留中のアカウンティングメッセージを最大24時間保持するように設定されている場合でも、すべてのアカウンティング要求が破棄されます。アカウンティングが再開されると、新しいアカウンティング要求が保留中のキューに入る場合がありますが、アカウンティングが停止された際に保留されている要求は使用できなくなります。
システム アップグレードの標準的なプラクティスとして、運用担当者がアカウンティングを停止することは推奨しません。ただし、サービス プロバイダ環境では、サーバー インフラストラクチャのアップグレードが重要で、すぐに必要な場合に役立つと思うオペレーターもいます。
アカウンティングが中断されている間、統計情報カウンターは更新され続けます。オプションで、加入者とサービスのセッション時間とボリュームカウンターに対してベースライン操作の実行を要求することができます。この場合、アカウンティングが再開されると、ベースライン値に対して統計が報告されます。基本ライニング操作は、中断が開始された後とアップグレードが開始される前に開始できます。ベースライン要求は、中断ごとに 1 回だけ正常に発行できます。コマンドを再度発行すると、CLI からエラーが報告されます。
統計のベースラインは、暫定アカウンティングが有効になっている加入者に対してのみ行われます。
ベースラインの要求時にログインし、アカウンティングが再開してもログインしている加入者には、以下のRADIUS属性が影響を受ける可能性があります。
Acctセッションタイム
Acct-Input-Octets
Acct-Output-Octets
Acct-input-packets
Acct-output-packets
Acct-Input-Gigawords
Acct-Output-Gigawords
IPv6-Acct-Input-Octets
IPv6-Acct-Output-Octets
IPv6-Acct-input-packets
IPv6-Acct-output-packets
IPv6-Acct-Input-Gigawords
IPv6-Acct-Output-Gigawords
中断、ベースライニング、アカウンティング再開中の一連のイベント
アカウンティングを中断し、ベースラインを生成し、アカウンティングプロセスを再起動すると、以下の一連のイベントが発生します。
コマ ンドを
request network-access aaa accounting suspend
発行して、アカウンティングを停止します。アカウンティングが一時停止されたことを示すシステム ロギング メッセージが生成されます。
アカウンティングバックアップオプションを含むすべてのアカウンティングは、すべてのルーティングコンテキストにおいて、すべてのアカウンティングサーバーに対して一時停止されます。
コマンドを
request network-access aaa accounting baseline
発行してベースラインを生成します。アカウンティング統計のベースライニングが開始されたことを示すシステム ロギング メッセージが生成されます。
各加入者の時間およびボリューム統計は、ベースライン値に設定されます。ベースライン プロセスの完了に要する時間は、統計詳細の数に応じて不確定になります。
ベースライニングが完了したことを示すシステム ロギング メッセージが生成されます。
ベースライニングが
request network-access aaa accounting resume
完了してアカウンティングプロセスを再起動する場合、 コマンドを発行します。アカウンティングが再開されたことを示すシステム ロギング メッセージが生成されます。
以前に設定されたすべてのアカウンティング オプションが再びイネーブルになります。
ベースライン操作は、各加入者の時間とボリュームカウンターのベースライン化を試みます。加入者カウンターは、 階層レベルで ステートメントを使用して加入者に対して暫定アカウンティングが有効になっている場合にのみ、 set update-interval minutes
ベースライン値に [edit access profile profile-name accounting]
設定されます。加入者に対して暫定アカウンティングが有効になっていない場合、対応する加入者のカウンターはベースライン値にマッピングされません。
ベースライン要求が実行されると、指定されていない時間が経過して、すべての加入者レコードのベースラインが作成されます。この間隔の間、ある加入者の統計は、別の加入者の統計情報がベースライン化されている場合に蓄積される可能性があります。ベースライニング開始後、一部のサービスのカウンターは、その加入者のカウンターがベースライン化されている間に加入者に配信されるトラフィックによって不正確で一貫性がない場合があります。ベースライン コマンドが実行されると、ベースラインが完了するまでアカウンティングを再開できません。アカウンティングが中断されていない間、またはベースライニング進行中に コマンドを発行すると、コマンドは失敗します。アカウンティング ライセンスがインストールされていない場合、コマンドはエラーを報告します。
会計中断および統計ベースライニングのガイドライン
アカウンティングを停止し、統計のベースラインを指定する場合は、以下の点に留意してください。
しきい値(またはクォータ)が適用されない環境でのアカウンティングの中断はサポートされていません。これには、Gx-Plus およびジュニパーネットワークスのセッションおよびリソース制御(SRC)のしきい値または RADIUS セッション ボリューム クォータが任意の加入者に対して有効な環境が含まれます。加入者にしきい値またはクォータがある場合、アカウンティングは要求を中断します。
アカウンティングが中断されている間、しきい値(またはクォータ)サービスのアクティベーションは許可されません。
アカウンティングが一時停止されていない場合、アカウンティングベースライニングはサポートされていません。
会計中断中は、複数のベースライン要求を指定することはできません。
暫定アカウンティングで設定されていない加入者のベースライニングはサポートされていません。
ベースライン操作が完了するまでの時間は、終了します。これは、収集される統計の量と深さに依存し、ベースラインの開始時にアクティブな加入者およびサービス セッションの数に比例します。ベースライニングがまだ進行中の間にアカウンティングを再開しようとすると、コマンドは失敗します。
コマンドを使用して、統合型 ISSU プロセス中にアカウンティングを中断、ベースライン化、再開することはできません。ベースラインの実行中に統合型 ISSU を実行しようとすると、シャーシ デーモンの状態が DAEMON_ISSU_PREPARE 状態に変更されると、認証とパケット転送エンジンのプロセスはセッション境界でのベースライニングを停止し、ルーティング エンジンスイッチがデバイスがアップグレードされたリリースに戻った後に再開されます。
アカウンティングの中断中またはベースライニングの進行中にグレースフルルーティングエンジンスイッチオーバー(GRES)が発生した場合、ルーター再起動後、中断またはベースライニングの状態は維持されます。このようなシナリオでは、ルーターの再起動後にアカウンティングが中断され、カウンターのベースラインが残っている加入者は、ルーターがオンラインになった後にベースラインが設定されます。
加入者アカウンティング中断とベースライニングのシナリオ例
以下のシナリオを検討してください。
加入者Xに対して暫定アカウンティングが設定されています。加入者 Y および Z 向けに設定されていません。
アカウンティングが一時停止される前に最後に送信された暫定アカウンティング要求には、加入者 X の統計が含まれます。これまでのところ、この加入者には50,000オクテットのトラフィックが送信されています。加入者 Z に対して 20,000 オクテットが加入者 Y および 10,000 オクテットに送信されていますが、暫定アカウンティングが設定されていないため、その情報はまだ報告されていません。
アカウンティングは一時停止されます。
ベースライニングが開始されます。加入者 X の現在のカウントは 50,000 オクテットです。これが加入者のベースライン値になります。加入者XとYのベースライン値は、暫定アカウンティングが設定されていないため、確立されません。
ベースライニングが進行中の間、3 人の加入者に対して、加入者 X の場合は 150,000 オクテット、加入者 Y の場合は 80,000 オクテット、加入者 Z には 20,000 オクテットのトラフィックが送信され続けます。
加入者 Z がログアウトします。アカウンティングが一時停止するため、Acct-Stop要求は送信されない。その結果、この加入者の最終的なアカウンティング統計は失われます。
ベースライニングが完了しました。
アカウンティングが再開されます。
加入者 X がログアウトします。加入者 X に対して 200,000 のオクテットが送信されましたが、Acct-Stop レコードのレポートの数は 150,000 オクテットのみです。合計オクテットは 200,000 オクテットから 50,000 オクテット ベースラインを引いた値です。
加入者 Y がログアウトします。加入者 Y に対して 100,000 のオクテットが送信され、ベースライン値がないため、Acct-Stop レコードは合計 100,000 オクテットを報告します。
表 7 は 、このシナリオをまとめたものです。
サブスクライバー |
設定された暫定アカウンティング |
停止前オクテット |
ベースライニング開始後のオクテット |
オクテット総数 |
アカウンティング再開時の Acct-Stop のオクテット |
---|---|---|---|---|---|
X |
はい |
50,000 |
150,000 |
200,000 |
150,000 |
Y |
いいえ |
20,000 |
80,000 |
100,000 |
100,000 |
Z |
いいえ |
10,000 |
20,000 |
30,000 |
N/a |
RADIUSアカウンティングの中断とアカウンティング統計のベースライニングの設定
手動でアカウンティングを再開するまで、システム全体のアップグレードまたは保守アクションの間、システム全体のアカウンティングを一時的に停止することができます。中断期間中は、現在の加入者はログインしたままですが、加入者はログアウトして、新しい加入者セッションを開始できます。アカウンティングが中断されている間、RADIUS Acct-Start、Interim-Update、Acct-Stopメッセージは生成されません。ルーターは、RADIUSサーバーにアカウンティングメッセージを送信しません。たとえば、中断中に加入者がログアウトすると、Acct-Stopはサーバーに送信されなくなります。
システム アップグレードの標準的なプラクティスとして、運用担当者がアカウンティングを停止することは推奨しません。ただし、サービス プロバイダ環境では、サーバー インフラストラクチャのアップグレードが重要で、すぐに必要な場合に役立つと思うオペレーターもいます。
アカウンティングプロセスの停止を設定するには、アカウンティングが停止した後に統計のベースラインを作成し、ベースライニングプロセスが完了した後にアカウンティングを再開します。