Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

加入者アクセス用のRADIUSサーバーとパラメーター

RADIUSサーバーのパラメーターとオプションの設定は、加入者管理設定の主要な部分です。認証およびアカウンティング サーバーを定義した後、すべての RADIUS サーバーのオプションを設定します。また、加入者または加入者のグループの加入者アクセス認証、許可、アカウンティング設定パラメーターを指定できるアクセスプロファイルを設定します。プロファイル設定はグローバル設定よりも優先されます。一部のオプションはグローバル レベルとアクセス プロファイル レベルの両方で利用できますが、多くのオプションはアクセス プロファイルでのみ使用できます。

アクセスプロファイルを作成した後、そのプロファイルがステートメントで使用される場所を access-profile 指定する必要があります。これはプロファイルのアタッチと呼ばれます。アクセス プロファイルは、さまざまなレベルで割り当てることができます。例えば、アクセスプロファイルを添付できる場所もあれば、

  • ルーティングインスタンスに対してグローバルに。

  • 動的プロファイルの場合。

  • ドメインマップでは、加入者セッションのアクセスオプションとセッションパラメーターをマッピングします。

  • 動的 VLAN および動的スタック VLAN のインターフェイス上。

  • 動的サービス プロビジョニング用に静的に設定されたインターフェイスを持つ加入者のインターフェイスまたは加入者グループ。

  • DHCP クライアントまたは加入者向けの DHCP リレー エージェントと DHCP ローカル サーバー。

多くのレベルでアクセスプロファイルをアタッチできるため、最も具体的なアクセスプロファイルが他のプロファイル割り当てよりも優先され、競合を回避します。プロファイルをアタッチしない限り、認証とアカウンティングは実行されません。

RADIUS認証とアカウンティングサーバーの定義

加入者管理にRADIUSを使用する場合、ルーターが加入者認証およびアカウンティングのために通信する1つ以上の外部RADIUSサーバーを定義する必要があります。サーバーのIPv4またはIPv6アドレスを指定する以外に、ルーターが指定されたサーバーとどのように対話するかを決定するオプションと属性を設定できます。

RADIUS サーバーと接続オプション [edit access radius-server] は、 階層レベル、階層レベル、または両方の [edit access profile name radius-server] レベルで定義できます。

メモ:

AAA プロセス(認証)により、次のように使用するサーバー定義が決定されます。

  • RADIUS サーバー定義が で [edit access radius-server]だけ存在する場合、認証はそれらの定義を使用します。

  • RADIUSサーバー定義がアクセスプロファイルにのみ存在する場合、認証はそれらの定義を使用します。

  • RADIUSサーバー定義がアクセスプロファイルとアクセスプロファイルの両方 [edit access radius-server] に存在する場合、認証はアクセスプロファイル定義のみを使用します。

RADIUSサーバーを使用するには、アクセスプロファイルで認証サーバー、アカウンティングサーバー、またはその両方として指定する必要があります。サーバーは、アクセス プロファイルで定義されているか、 階層レベルで定義されているかに関係なく、サーバーに対して [edit access radius-server] 行う必要があります。

RADIUSサーバーを定義し、ルーターがサーバーとどのように対話するかを指定するには、以下を行います。

メモ:

この手順では、 [edit access radius-server] 階層レベルのみを表示します。オプションで、 階層レベルで [edit access profile profile-name] radius-server] これらのパラメーターのいずれかを設定できます。これは、グローバル設定に加えて、またはグローバル設定の代わりに行うことができます。プロファイルを適用すると、そのプロファイル設定がグローバル設定よりも優先されます。
  1. RADIUSサーバーのIPv4またはIPv6アドレスを指定します。
  2. (オプション)RADIUSサーバーアカウンティングポート番号を設定します。
  3. (オプション)ルーターがRADIUSサーバーへの接続に使用するポート番号を設定します。
  4. ローカルルーターがRADIUSクライアントに渡す必要なシークレット(パスワード)を設定します。引用符で囲まれた秘密にはスペースを含めることができます。
  5. (オプション)RADIUSサーバーが維持できる未解決のリクエストの最大数を設定します。未処理の要求とは、RADIUS サーバーがまだ応答していない要求です。
  6. RADIUSサーバーの送信元アドレスを設定します。RADIUSサーバーに送信された各RADIUSリクエストには、指定された送信元アドレスが使用されます。送信元アドレスは、ルーターインターフェイスの1つに設定された有効なIPv4またはIPv6アドレスです。
  7. (オプション)認証とアカウンティングメッセージの再試行とタイムアウト値を設定します。
    1. ルーターが応答を受信しなかったときに、RADIUS サーバーへの接続を試行する回数を設定します。
    2. コンタクトを再試行する前に、ルーターがRADIUSサーバーから応答を受信するまでの待機時間を設定します。
    メモ:

    最大再試行時間(タイムアウトの長さの再試行回数)は2700秒を超えることはできません。長い期間を設定すると、エラーメッセージが表示されます。
    メモ:

    および timeout の設定はretry、 ステートメントと ステートメントの両方を構成しない限り、認証とアカウンティングメッセージのaccounting-retry両方にaccounting-timeout適用されます。この場合、 と timeout の設定はretry認証メッセージにのみ適用されます。
  8. (オプション)アカウンティングメッセージの再試行とタイムアウト値を、認証メッセージの設定とは別に設定します。
    メモ:

    と の両方のステートメントをaccounting-retry設定するaccounting-timeout必要があります。そうでない場合、 および timeout ステートメントで設定された値を優先して設定したretry値は無視されます。
    1. ルーターが応答を受信しなかったときに、RADIUSアカウンティングサーバーにアカウンティングメッセージを送信しようと試みる回数を設定します。
    2. 要求を再試行する前に、ルーターがRADIUSアカウンティングサーバーから応答を受信するまでの待機時間を設定します。
  9. (オプション)LLID(論理回線識別)事前認証要求のために RADIUS サーバーに接続するようにルーターを設定します。 RADIUS論理ライン識別を参照してください。
  10. (オプション)指定されたサーバーからの動的(CoA)要求に対してルーターが監視するポートを設定します。 RADIUSによる動的サービス管理を参照してください。

すべてのRADIUSサーバーに適用するオプションの設定

すべてのRADIUSサーバーに適用されるRADIUSオプションをグローバルに設定できます。

RADIUSオプションをグローバルに設定するには:

  1. RADIUS オプションを設定することを指定します。
  2. (オプション)RADIUS中間更新要求がサーバーに送信されるレートを設定します。
  3. (オプション)ルーターがRADIUSサーバーに暫定アカウンティング更新を送信する設定された更新間隔からの最大許容偏差を設定します。許容値は、設定した更新間隔に対する相対値です。

    例えば、許容値が 60 秒に設定されている場合、ルーターは設定された更新間隔よりも 30 秒早く中間アカウンティング更新を送信します。加入者がログインすると、最初の暫定アカウンティング更新が最大 30 秒早く送信される場合があります(平均 15 秒早い)。

    更新間隔は、 階層レベルで update-interval ステートメントで設定します [edit access profile profile-name accounting]

  4. (オプション)ルーターが設定されたすべてのRADIUSサーバーに一括で送信できる1秒あたりのリクエスト数を設定します。ルーターからRADIUSサーバーへのリクエストフローを制限することで、RADIUSサーバーが要求であふれるのを防ぐことができます。
  5. (オプション)サーバーが接続を再検査する前に、ルーターが到達可能になった後に待機する秒数を設定します。元に戻す間隔が切れたときにルーターがサーバーに到達した場合、サーバーはサーバーリストの順序に従って使用されます。
    メモ:

    また、アクセスプロファイルで の を revert-interval 設定して、このグローバル値を上書きすることもできます。 RADIUSサーバーとのやり取りについては、 アクセスプロファイルオプションの設定を参照してください
  6. (オプション)応答しない RADIUS 認証サーバーがまだ到達不能またはダウンしていると見なされない期間を設定します。認証要求をより迅速に別のサーバーにリダイレクトするか、応答しないサーバーに回復と応答の時間を増やしたいかによって、期間を変えることができます。

    詳細については 、 タイムアウト猶予期間の設定を参照して、RADIUSサーバーがダウンまたは到達不能と見なされるタイミングを指定 します。

  7. (オプション)ネットワーク内のすべてのMXシリーズルーターで一意のNASポート値を設定します。ルーター内でのみ一意のNASポート値を設定することも、ネットワーク内の異なるMXルーター間で一意に設定することもできます。

    詳細については、 加入者の一意のNASポート属性(RADIUS属性5)を有効にする を参照してください。

RADIUSサーバーがダウンまたは到達不能と見なされる場合に指定するタイムアウト猶予期間の設定

RADIUS認証サーバーが特定の認証要求の試行に応答できず、タイムアウトすると、認証は参照の時間をメモしますが、すぐにサーバーがダウン(他のサーバーが利用可能な場合)または到達不能(唯一の構成済みサーバーの場合)にはマークされません。代わりに、設定可能な猶予期間タイマーは、基準時間から開始します。猶予期間は、期間が終了する前にサーバーが後続の要求に応答した場合にクリアされます。

猶予期間、サーバーはダウンまたは到達不能とマークされません。サーバーがそのサーバーに対する後続の要求のためにタイムアウトするたびに、認証は猶予期間が期限切れかどうかチェックします。このチェックで猶予期間が期限切れで、サーバーがまだ要求に応答していないと判断された場合、サーバーは到達不能またはダウンとマークされます。

短い猶予期間を使用すると、応答しないサーバーをより迅速に放棄し、他の利用可能なサーバーに認証要求を直接することができます。長い猶予期間は、サーバーに応答する機会を与え、不必要にリソースを放棄することを避けることができます。サーバーの数が 1 台または数が少ない場合は、より長い猶予期間を指定できます。

応答しない RADIUS サーバーが到達不能またはダウンとマークされない猶予期間を設定するには、

  • 猶予期間の長さを指定します。

RADIUSサーバーとの対話のためのアクセスプロファイルオプションの設定

アクセスプロファイルを使用して、加入者アクセス用のRADIUS認証およびアカウンティングサーバーと通信する際にルーターが使用するオプションを指定できます。この手順では、アクセス プロファイルでのみ使用可能なオプションについて説明します。アクセスプロファイルとグローバルレベルの両方で使用可能なオプションについては、 加入者アクセス用のRADIUSサーバーとパラメーターを参照してください。

RADIUS認証およびアカウンティングサーバーオプションを設定するには:

  1. RADIUS オプションを設定することを指定します。
  2. (オプション)ルーターがアカウンティング セッションを識別するために使用する形式を設定します。識別子は、以下のいずれかの形式で指定できます。

    • decimal—デフォルトのフォーマット。例えば 435264

    • description形式では、 jnpr interface-specifier:subscriber-session-id例えば jnpr fastEthernet 3/2.6:1010101010101

  3. (オプション)ルーターが RADIUS 属性 31(Calling-Station-Id)の値の間に挿入する区切り文字を設定します。
  4. (オプション)ルーターが RADIUS 属性 31(Calling-Station-Id)に含める情報を設定します。

    詳細については 、 追加オプションを使用した呼び出し元ステーション ID の設定 を参照してください。

  5. (オプション)アクセスリクエストパケットでCHAP-Challenge属性(RADIUS属性60)としてランダムチャレンジを送信するのではなく、NASによって生成されたランダムなチャレンジをアクセス要求パケットのリクエストオーセンティケータフィールドに挿入するオプション動作を使用するようにルーターを設定します。このオプションの動作では、チャレンジの値は 16 バイトにする必要があります。そうでない場合、 ステートメントは無視され、チャレンジは CHAP-Challenge 属性として送信されます。
  6. (オプション)複数のサーバーが設定されている場合、ルーターがRADIUS認証とアカウンティングサーバーにアクセスするために使用する方法を設定します

    • direct— ロード バランシングがないデフォルトの方法。構成された最初のサーバーはプライマリ サーバーです。構成順にサーバーにアクセスします。プライマリ サーバーに到達できない場合、ルーターは 2 番目に設定されたサーバーへの到達を試みます。などです。

    • round-robin設定されたRADIUSサーバーのリスト間でルーターリクエストを回転させることによってロードバランシングを提供する方法。アクセス用に選択されたサーバーは、最後に使用されたサーバーに基づいて回転されます。リスト内の最初のサーバーは、最初の認証要求のプライマリとして扱われますが、2 番目のリクエストでは、構成された 2 番目のサーバーはプライマリとして扱われます。この方法では、構成されたすべてのサーバーが平均でほぼ同じ数の要求を受信するため、すべての要求を処理する必要のあるサーバーは 1 台もありません。

      メモ:

      ラウンドロビンリスト内のRADIUSサーバーが到達不能になると、ラウンドロビンリスト内の次の到達可能なサーバーが現在のリクエストに使用されます。同じサーバーは、次のリクエストにも使用されます。これは、使用可能なサーバーのリストの最上位にあるためです。その結果、サーバーに障害が発生すると、使用されるサーバーが 2 台のサーバーの負荷を発生させます。

    • ルーターがRADIUSアカウンティングサーバーへのアクセスに使用する方法を設定するには:

    • ルーターがRADIUS認証サーバーへのアクセスに使用する方法を設定するには:

  7. (オプション)CoA操作が要求された変更をクライアントプロファイルの動的変数に適用できない場合に、オプションの動作を使用するようにルーターを設定します。

    オプションの動作は、加入者管理が CoA 要求でクライアント プロファイルの動的変数に変更を適用せず、NACK で応答することです。デフォルトの動作では、加入者管理は不正な更新を適用せず、その他の変更をクライアント プロファイルの動的変数に適用してから、ACK メッセージを返します。

  8. (オプション)の物理ポートタイプ virtual を使用してクライアントを認証するようにルーターを設定します。ポートタイプは、RADIUS属性61(NAS-Port-Type)で渡されます。デフォルトでは、ルーターはRADIUS属性61のポートタイプ ethernet を渡します。
    メモ:

    同じアクセス プロファイルに両方を含める場合、 nas-port-type このステートメントが ステート メントよりも優先されます。
  9. (オプション)RADIUS属性87(NAS-Port-ID)に含めるために、ルーターがRADIUSに渡すインターフェイスの説明から除外される情報を指定します。デフォルトでは、インターフェイスの説明には、アダプタ、チャネル、サブインターフェイスの情報が含まれます。
  10. (オプション)デュアルスタックPPP加入者の場合、オンデマンドIPアドレス割り当て中に送信されるアクセスリクエストと、アドレス変更を報告するために送信される暫定アカウンティングメッセージに、IPv4-Release-Control VSA(26-164)を含めます。

    オプションで、RADIUS サーバーに送信される IPv4-Release-Control VSA(26~164)に含まれるメッセージを設定します。

    このステートメントの設定は、オンデマンド IP アドレス割り当てまたは deallocation が設定されていない場合は影響を受けません。

  11. (オプション)加入者のRADIUS認証およびアカウンティング要求メッセージに、ジュニパーネットワークスのアクセスラインVSAを追加します。ルーターがアクセス ノードから対応する ANCP 属性を受信および処理していない場合、AAA はこれらの RADIUS メッセージで以下の情報のみを提供します。

    • ダウンストリーム計算された QoS-Rate(IANA 4874、26-141)—デフォルトで設定されたアドバイザリ送信速度。

    • アップストリーム計算された QoS-Rate(IANA 4874、26-142)—デフォルトで設定されたアドバイザリ受信速度。

    Junos OS リリース 19.2R1 以降、 オプションは juniper-access-line-attributes オプションに juniper-dsl-attributes 置き換えられます。既存のスクリプトとの下位互換性のために、 オプションは juniper-dsl-attributes 新しい juniper-access-line-attributes オプションにリダイレクトされます。私たちは、あなたが使用 juniper-access-line-attributesすることをお勧めします.

    メモ:

    このオプションは juniper-access-line-attributes 、Junos OSリリース19.1以前のリリースとの下位互換性がありません。これは、Junos OSリリース19.2以上のリリースでオプションを設定している juniper-access-line-attributes 場合、Junos OSリリース19.1以前のリリースにダウングレードするには、以下の手順を実行する必要があることを意味します。

    1. オプションを juniper-access-line-attributes 含むすべてのアクセス プロファイルから削除します。

    2. ソフトウェアダウングレードを実行します。

    3. 影響を juniper-dsl-attributes 受けるアクセス プロファイルに オプションを追加します。
  12. (オプション)認証とアカウンティングの要求に使用されるクライアントRADIUS属性32(NAS-Identifier)の値を設定します。
  13. (オプション)RADIUSクライアントがRADIUS属性5(NAS-Port)の拡張フォーマットを使用するように設定し、ユーザーを認証するNASの物理ポート番号を指定するNASポート属性のフィールドの幅を指定します。

    • イーサネット加入者の場合:

    • ATM 加入者の場合:

  14. (オプション)RADIUS属性87(NAS-Port-Id)の値の間にルーターが挿入する区切り文字を設定します。
  15. (オプション)ルーターに含まれるオプション情報をRADIUS属性87(NAS-Port-Id)に設定します。1 つ以上のオプションをデフォルトの順序で指定できます。または、オプションと表示される順序の両方を指定できます。両方のタイプの順序の値を含むNAS-Port-IDを設定すると、注文は相互に排他的であり、設定が失敗します。

    詳細については 、「 追加オプションを使用したNASポートID設定」および「 NAS-Port-IDにオプション値が表示される順序の設定 」を参照してください。

  16. (オプション)RADIUS属性61(NAS-Port-Type)に含まれるポートタイプを設定します。これは、ルーターが加入者の認証に使用するポートタイプを指定します。
    メモ:

    同じアクセスプロファイルで を設定すると、 ethernet-port-type-virtual このステートメントは無視されます。
  17. (オプション)L2TP 呼び出し番号 AVP 22 で送信された値の設定された Calling-Station-ID 形式を上書きするように LAC を設定します。Calling-Station-ID フォーマットを上書きし、PADR パケット内の L2TP クライアントから受信した ACI、ARI、または ACI と ARI の両方を使用するように LAC を設定できます。また、AVP 文字列のコンポーネント間で使用する区切り文字を指定し、設定されたオーバーライド コンポーネントが PADR パケットで受信されない場合に使用するフォールバック値を指定することもできます。
    メモ:

    詳細については、 呼び出し元番号 AVP の「呼び出し元ステーション ID 形式を上書き する」を参照してください。
  18. (オプション)セッションデータベースに存在する場合は、LNS の RADIUS NAS-IP-Address 属性(4)の値を、セッションの LAC エンドポイント IP アドレスの値で上書きします。存在しない場合は、元の属性値が使用されます。
  19. (オプション)LAC NAS ポート情報を Cisco Systems NAS Port Info AVP(100)の LNS に伝達した場合、RADIUS NAS-Port 属性(5)の値をセッション データベースの値で上書きします。存在しない場合は、元の属性値が使用されます。
  20. (オプション)CISCO Systems NAS Port Info AVP(100)で LAC NAS ポート情報を LNS に伝えた場合、LNS の RADIUS NAS-Port-Type 属性(61)の値をセッション データベースの値で上書きします。存在しない場合は、元の属性値が使用されます。
  21. (オプション)L2TP呼び出し番号AVP 22の呼び出し元ステーションIDの代わりに 使用する文字列を設定するステートメントを使用 remote-circuit-id-format する場合、リモート回線ID文字列に区切り文字を設定します。リモート回線 ID フォーマットに複数の値が構成されている場合、その区切り文字は、結果として得られるリモート回線 ID ストリング内の連結値間の区切り文字として使用されます。
    メモ:

    発信番号AVPで override calling-circuit-id remote-circuit-id 使用するリモート回線ID形式の ステートメントを設定する必要があります。
  22. (オプション)設定された Calling-Station-ID またはデフォルトの基本インターフェイスのいずれかである L2TP 呼び出し番号 AVP 22 で送信する LAC のフォールバック値を設定します。フォールバック値の使用は、 ステートメントで remote-circuit-id-format 設定した上書き文字列のコンポーネント(ACI、ARI、またはACIとARIの両方)がPPPoEアクティブディスカバリーリクエスト(PADR)パケットで LAC によって受信されない場合にトリガーされます。
  23. (オプション)L2TP コール番号 AVP の Calling-Station-ID 形式を上書きする文字列の形式を設定します。ACI、ARI、またはACIとARIの両方を指定できます。
    メモ:

    発信番号AVPで override calling-circuit-id remote-circuit-id 使用するリモート回線ID形式の ステートメントを設定する必要があります。
  24. (オプション)サーバーに到達できないようにしてから、ルーターが待機する秒数を設定します。その後、サーバーに到達可能であれば、サーバーリストの順序に従って使用されます。
    メモ:

    すべてのRADIUSサーバーに対してこのオプションを設定することもできます。 すべてのRADIUSサーバーに適用されるオプションの設定を参照してください
  25. (オプション)加入者のアドレスファミリーのアクティベーション要求の認証処理中に設定エラーに関連するサービスアクティベーションエラーが発生した場合に、新しく認証された加入者が正常にログインできるかどうかを設定します。動的プロファイルまたは ESSM(Extensible Subscriber Services Manager)運用スクリプトで構成されたサービスに対して、この動作を指定できます

    • optional-at-login—サービスのアクティベーションはオプションです。設定エラーによるアクティベーション失敗は、アドレスファミリーのアクティベーションを妨げるものではありません。加入者のアクセスを可能にします。設定エラー以外の原因によるサービスアクティベーションエラーにより、ネットワークファミリーのアクティベーションが失敗します。ログイン試行は、加入者に対して別のアドレスファミリーが既にアクティブでない限り、終了します。

    • required-at-login—サービスのアクティベーションが必要です。何らかの理由でアクティベーションが失敗すると、ネットワークファミリーのアクティベーションが失敗します。ログイン試行は、加入者に対して別のアドレスファミリーが既にアクティブでない限り、終了します。

  26. (オプション)イーサネット インターフェイス上の加入者に対して、VLAN ID に加えて、RADIUS 属性 5(NAS-Port)に S-VLAN ID が含まれることを指定します。

追加オプションを使用した呼び出し元ステーション ID の設定

このセクションを使用して、MX シリーズ ルーターのアクセス プロファイルの Calling-Station-ID(RADIUS IETF 属性 31)の代替値を設定します。

[] 階層で、以下のオプションのうち 1 つ以上を任意の組み合わせで含むように、Calling-Station-ID をedit access profile profile-name radius options calling-station-id-format構成できます。

  • エージェント回線識別子(agent-circuit-id)—アクセスノード上の加入者のアクセスノードとデジタル加入者回線(DSL)の識別子。エージェント回線識別子(ACI)文字列は、DHCP トラフィックの DHCP メッセージの DHCP オプション 82 フィールド、または PPPoE アクティブ検出開始(PADI)および PPPoE アクティブ検出リクエスト(PADR)制御パケットの DSL フォーラム エージェント回線 ID VSA [26-1] のいずれかに格納されます。

  • エージェントリモート識別子(agent-remote-id)—サービスリクエストを開始したデジタル加入者回線アクセスマルチプレクサ(DSLAM)インターフェイス上の加入者の識別子。エージェントリモート識別子(ARI)文字列は、DHCPトラフィックのDHCPオプション82フィールド、PPPoEトラフィックのDSLフォーラムエージェントリモートID VSA [26-2]のいずれかに格納されます。

  • インターフェイスの説明(interface-description)—インターフェイスの値。

  • インターフェイステキスト記述(interface-text-description)—インターフェイスのテキスト記述。インターフェイステキスト記述は、 ステートメントまたは ステートメントのいずれかを set interfaces interface-name description description 使用して、個別に set interfaces interface-name unit unit-number description description 設定されます。

  • MAC アドレス(mac-address)—加入者の送信元デバイスの MAC アドレス。

  • NAS識別子(nas-identifier)—認証またはアカウンティング要求を発信したNASの名前。NAS-Identifier は、RADIUS IETF 属性 32 です。

  • スタック VLAN (stacked-vlan)—スタック VLAN ID。

  • VLAN (vlan)—VLAN ID。

Calling-Station-ID の形式に複数のオプション値を設定した場合、ハッシュ文字 (#) は、結果として生成される Calling-Station-ID 文字列の連結値間の区切り記号としてルーターが使用するデフォルトの区切り文字です。必要に応じて、使用する呼び出し側ステーション ID の代替区切り文字を設定できます。以下の例では、複数のオプション値を設定する場合の出力順序を示しています。

アクセスプロファイルを設定して、Calling-Station-IDにオプション情報を提供するには:

  1. 設定するアクセスプロファイルを指定します。
  2. RADIUS オプションを設定することを指定します。
  3. Calling-Station-ID で連結された値間の区切り文字として使用する非デフォルト文字を指定します。

    デフォルトでは、加入者管理は、複数のオプション値を含む Calling-Station-ID 文字列の区切り文字としてハッシュ文字(#)を使用します。

  4. 認証およびアカウンティング要求に使用されるNAS識別子(RADIUS属性32)の値を設定します。
  5. Calling-Station-ID の形式を設定することを指定します。
  6. (オプション)Calling-Station-IDにインターフェイステキストの説明を含めます。
  7. (オプション)Calling-Station-IDにインターフェイス記述値を含めます。
  8. (オプション)コールステーションIDにエージェント回線識別子を含めます。
  9. (オプション)エージェントのリモート識別子を呼び出し側ステーション ID に含めます。
  10. (オプション)設定された NAS 識別子値を Calling-Station-ID に含めます。
  11. (オプション)呼び出しステーション ID にスタックされた VLAN ID を含めます。
  12. (オプション)[Calling-Station-ID]にVLAN IDを含めます。
  13. (オプション)Calling-Station-IDにMACアドレスを含めます。

例:アクセス プロファイルの追加オプションを使用した呼び出し-Station-ID

次の例では、NAS-Identifier(fox)、インターフェイス説明、エージェント回線識別子、およびエージェントリモート識別子オプションを含む Calling-Station-ID文字列を設定する、retailer01という名前のアクセスプロファイルを作成します。

結果として得られる Calling-Station-ID 文字列は次のようにフォーマットされます。

fox*ge-1/2/0.100:100*as007*ar921

どこ:

  • NAS識別子の値は.fox

  • Calling-Station-ID 区切り文字は(アスタリスク)です *

  • インターフェイスの説明値は.ge-1/2/0.100:100

  • エージェント回線識別子の値は.as007

  • エージェントのリモート識別子値は.ar921

すべてのオプションが設定されていても、エージェント回線ID、エージェントリモートID、またはスタックVLAN識別子に使用できる値がない例を考えてみましょう。その他の値は次のとおりです。

  • NAS識別子—サンルーム

  • インターフェイスの説明—ge-1/0/0.1073741824:101

  • インターフェイステキストの説明—example-interface

  • MAC アドレス—00:00:5E:00:53:00

  • VLAN 識別子—101

これらの値の結果、次の Calling-Station-ID になります。

RADIUSメッセージからのRADIUS属性とVSAのフィルタリング

RADIUSメッセージで受信した標準属性とベンダー固有属性(VSA)は、内部でプロビジョニングされた属性値よりも優先されます。属性のフィルタリングは、Access Acceptパケットで受信された特定の属性を 無視、特定の 属性がRADIUSサーバーに送信されないようにする選択で構成されています。RADIUSサーバーから受信した属性を無視すると、代わりにローカルでプロビジョニングされた値を使用できます。属性を送信から除外することは、例えば、加入者のライフタイムに変化しない属性の場合に便利です。これにより、情報を失うことなくパケット サイズを縮小できます。

RADIUS Access-Acceptメッセージで受信した場合、ルーターまたはスイッチが 無視する 標準RADIUS属性とVSAを指定できます。また、ルーターまたはスイッチが指定されたRADIUSメッセージタイプから 除外する 属性とVSAを指定することもできます。除外とは、ルーターまたはスイッチがRADIUSサーバーに送信する指定されたメッセージに属性を含まないことを意味します。

Junos OSリリース18.1R1以降、標準属性番号またはIANAに割り当てられたベンダーIDとVSA番号をそれぞれ指定することで、RADIUS標準属性とVSAを無視または除外するようにルーターまたはスイッチを設定できます。この柔軟な構成方法により、プラットフォームでサポートされている任意の標準属性と VSA を無視または除外するように設定できます。サポートされていない属性、ベンダー、VSAを設定しても、設定には影響しません。

従来の方法では、ステートメント構文に特定のオプションが含まれる属性とVSAのみを設定できます。そのため、従来の方法を使用して、Access-Accept メッセージで受信できるすべての属性のサブセットのみを無視できます。

ルーターまたはスイッチによって無視または除外された属性を設定するには:

  1. アクセスプロファイルでRADIUSを設定することを指定します。
  2. RADIUS属性のフィルタリング方法を設定することを指定します。
  3. (オプション)Access-Acceptメッセージに属性がある場合に、ルーターまたはスイッチで無視する属性を1つ以上指定します。

    • 従来の方法: 属性に専用オプションを指定します。

    • 柔軟な方法:標準属性番号または IANA によって割り当てられたベンダー ID と VSA 番号を指定します。

  4. (オプション)1つ以上の指定されたRADIUSメッセージタイプからルーターまたはスイッチを除外する属性を設定します。属性のリストは設定できませんが、各属性のメッセージ・タイプのリストを指定することができます。

    • 従来の方法:属性とメッセージタイプに対して専用オプションを指定します。

    • 柔軟な方法:標準属性番号または IANA によって割り当てられたベンダー ID、VSA 番号、メッセージ タイプを指定します。

次の例では、標準的な RADIUS 属性、Framed-IP-Netmask(9)、Juniper Networks VSA、Ingress-Policy-Name(26-10)、Egress-Policy-Name(26-11)を無視する従来の柔軟な構成方法を比較しています。

  • 従来の方法:

  • 柔軟な方法:

次の例では、従来の柔軟な構成方法を比較して、標準 RADIUS 属性、Framed-IP-Netmask(9)、Juniper Networks VSA、Ingress-Policy-Name(26-10)、Egress-Policy-Name(26-11)を除外しています。

  • 従来の方法:

  • 柔軟な方法:標準属性番号または IANA によって割り当てられたベンダー ID、VSA 番号、メッセージ タイプを指定します。

同じプロファイルで両方のメソッドで属性を指定するとどうなりますか?効果的な設定は、2 つの方法の論理 OR です。標準属性であるアカウンティング遅延時間(41)の次の例を考えてみましょう。

その結果、属性は、アカウンティングオフ、アカウンティングオン、アカウンティング開始、アカウンティングストップの4つのメッセージタイプすべてから除外されます。この効果は、以下のいずれかの設定を使用する場合と同じです。

リリース履歴テーブル
リリース
説明
18.1R1
Junos OSリリース18.1R1以降、標準属性番号またはIANAに割り当てられたベンダーIDとVSA番号をそれぞれ指定することで、RADIUS標準属性とVSAを無視または除外するようにルーターまたはスイッチを設定できます。