RADIUS 論理回線識別
RADIUS論理回線識別子(LLID)の概要
論理回線識別(LLID)機能は、ある物理回線から別の物理回線に頻繁に移動する加入者のために、サービス プロバイダが信頼性の高い最新の顧客データベースを維持するのに役立ちます。LLID は、加入者アクセス回線の設定可能な発信ステーション ID をサービス プロバイダーに提供するように設計されています。発信側ステーション ID は、回線の物理的な位置と加入者クライアントの情報から取得されます。サービス プロバイダーの施設から派生した回線情報は、加入者が頻繁に物理的な場所を移動する場合、アクセス ライン ホールセールラーがアクセス ラインの所有権を管理するのに適していません。LLID機能は、加入者が使用する物理回線ではなく、仮想ポート(LLID)に基づいています。LLID は、サービス プロバイダー(通常はホールセラー)に AAA ドリブン回線情報管理を提供します。
LLID は、加入者のユーザー名と回線 ID に基づく入力しますです。LLID は加入者回線を論理的に識別し、サービス プロバイダの顧客データベース内の加入者の物理回線にマッピングされます。加入者が別の場所および別の物理回線に移動すると、データベースが更新され、LLID が新しい物理回線にマッピングされます。加入者のLLIDは一定に保たれるため、サービスプロバイダは加入者を追跡し、正確な顧客データベースを維持するための安全で信頼性の高い手段を得ることができます。加入者管理は、PPPoE、PPPoA、および LAC を介した PPP 加入者の LLID 機能をサポートします。
加入者にLLIDを割り当てるために、ルーターは2つのRADIUSアクセス要求を発行します。最初の要求は事前認証要求で、RADIUS事前認証サーバーからLLIDを取得します。2つ目の要求は、RADIUS認証サーバーに送信される標準認証要求です。
次の一連の手順では、加入者管理が LLID を取得して使用する方法について説明します。この手順は、ルーターで事前認証が有効になっており、RADIUS 事前認証および認証サーバーが設定されていることを前提としています。
PPP加入者は、ルーターにAuthentication-Requestメッセージを送信します。
ルーターは、RADIUS事前認証サーバーにAccess-Requestメッセージを送信し、加入者のLLIDを取得します。
事前認証サーバーは、Access-AcceptメッセージのCalling-Station-ID属性(RADIUS属性31)でLLIDをルーターに返します。
手記:このステップには、Calling-Station-Id属性の非標準の使用が含まれます。この属性は通常、応答メッセージではなく、Access-RequestなどのRADIUSリクエストメッセージに存在します。また、ルータは、事前認証のAccess-Acceptメッセージで返されるCalling-Station-Id以外のすべてのRADIUS属性を無視します。また、calling-station-id-formatなどのルーターで設定されているradius optionsは、事前認証リクエストのCalling-Station-Id属性には影響しません。
ルータは、Calling-Station-Id(LLID)を2番目のAccess-Requestメッセージにエンコードし、RADIUS認証サーバにメッセージを送信します。この認証要求は、Calling-Station-Id属性の標準的な使用法です。
RADIUS 認証サーバーがルーターに Access-Accept メッセージを返します。Access-Acceptメッセージには、加入者セッションの属性が含まれています。
手記:事前認証された加入者がRADIUS認証サーバーによって正常に認証されると、後続のすべてのRADIUS要求メッセージ(Accounting-Requestメッセージなど)のCalling-Station-ID属性にLLIDが含まれるようになります。
トンネルPPP加入者の場合、ルーターはL2TPアクセスコンセントレータ(LAC)として機能し、LLIDを発信者番号AVP(L2TP属性22)にエンコードし、Incoming-Call-Request(ICRQ)パケットでL2TPネットワークサーバー(LNS)に属性を送信します。事前認証要求が成功すると、ルータは常に L2TP 発信者番号 AVP で LLID をエンコードします。
LLID事前認証要求のRADIUS属性
表 1 は、加入者の LLID を取得するために事前認証要求で使用される RADIUS IETF 属性を示し、属性に含まれる情報について説明します。場合によっては、事前認証でIETFの説明と異なる情報の属性が使用されることがあります。表にはRADIUS属性の非標準的な使用が示されています。
属性番号 |
属性名 |
形容 |
---|---|---|
1 |
User-Name (ユーザー名) |
(属性の非標準使用)次の形式で、LLID に関連付けられたユーザーの識別情報。
例:
手記:
ルーターは、事前認証時にUser-Name属性から動的に生成された情報をすべて除去します。 |
2 |
ユーザーパスワード |
(属性の非標準使用)認証するユーザーのパスワード。 例: 常に |
4 |
NAS-IPアドレス |
ユーザーの認証を要求しているネットワークアクセスサーバー(NAS)のIPアドレス 例: |
5 |
NASポート |
ユーザーを認証するNASの物理ポート番号。常にビットフィールドとして解釈される |
6 |
サービスタイプ |
ユーザーが要求したサービスの種類、または提供するサービスの種類。 例: |
61 |
NAS-ポートタイプ |
NASがユーザーの認証に使用している物理ポートのタイプ。 |
77
|
接続情報 |
(属性の非標準使用)ユーザー名。 例: |
87 |
NAS-Port-Id |
ユーザーを認証するNASの物理インターフェイスを識別するテキスト文字列。動的に生成されたすべての情報を含めます。 例: |
論理回線識別(LLID)事前認証の設定
論理回線識別(LLID)機能を使用すると、サービス プロバイダーは、加入者が使用する物理ポートではなく、仮想ポート(LLID)に基づいて加入者を追跡できます。LLIDは、アクセスプロファイルで設定するRADIUS事前認証サーバによって割り当てられます。
LLID 機能の事前認証をサポートするようにルーターを設定するには:
RADIUS Access-RequestメッセージからCalling-Station-ID属性を除外するように radius attributes exclude
ステートメントを構成している場合は、この手順で事前認証ステートメントを設定できません。
加入者の事前認証サポートに使用するアクセスプロファイルを指定します。
[edit]
user@host# edit access profile profile-name
ルーターがサポートされている事前認証方法を使用する順序を指定します。 radius がサポートされている唯一の認証方法です。
[edit access profile profile-name]
user@host# set preauthentication-order radius
RADIUS サポートを構成することを指定します。
[edit access profile profile-name]
user@host# edit radius
事前認証に使用するRADIUSサーバーのIPアドレスを指定します。
[edit access profile profile-name radius]
user@host# set preauthentication-server 192.168.100.10
手記:事前認証機能は、RADIUS 認証サーバに設定された
retry
およびtimeout
パラメータを使用します。(オプション)AAA 事前認証の統計情報を表示します。
user@host>
show network-access aaa statistics preauthentication
Preauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(オプション)RADIUS事前認証サーバーの設定を確認します。
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
LLID 事前認証要求のポートとパスワードの設定
RADIUS クライアントとして動作するルーターを設定して、2 つの異なる UDP ポートで、異なる秘密パスワードを使用して、認証と事前認証の要求のために RADIUS サーバーに接続することができます。認証およびアカウンティング要求のポート番号を設定するのと同様に、ルーターが論理回線識別(LLID)事前認証要求のためにRADIUSサーバーに接続するために使用する一意のポート番号を定義できます。また、事前認証要求に固有のパスワードを定義することもできます。事前認証の目的で個別の UDP ポートまたはシークレットを構成しない場合は、認証メッセージ用に構成したものと同じ UDP ポートおよびシークレットが使用されます。
事前認証要求のためにRADIUSサーバーに接続するために使用される一意のUDPポート番号を構成するには、[edit access radius-server server-address]
または[edit access profile profile-name radius-server server-address]
階層レベルでpreauthentication-port port-number
ステートメントを含めます。
すべてのアクセス プロファイルの UDP ポートを指定するには:
[edit access] radius-server server-address { preauthentication-port port-number; }
特定のアクセスプロファイルのUDPポートを指定するには:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
RADIUS事前認証サーバーへの接続に使用するパスワードを構成するには、[edit access radius-server server-address]
または[edit access profile profile-name radius-server server-address]
階層レベルでpreauthentication-secret password
ステートメントを含めます。
すべてのアクセス プロファイルのパスワードを指定するには、次の手順に従います。
[edit access] radius-server server-address { preauthentication-secret password; }
特定のアクセスプロファイルのパスワードを指定するには、次の手順に従います。
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }