加入者アクセス用のRADIUSサーバーとパラメーター
RADIUSサーバーのパラメーターとオプションの設定は、加入者管理設定の主要な部分です。認証およびアカウンティング サーバーを定義した後、すべての RADIUS サーバーのオプションを設定します。また、加入者または加入者のグループの加入者アクセス認証、許可、アカウンティング設定パラメーターを指定できるアクセスプロファイルを設定します。プロファイル設定はグローバル設定よりも優先されます。一部のオプションはグローバル レベルとアクセス プロファイル レベルの両方で利用できますが、多くのオプションはアクセス プロファイルでのみ使用できます。
アクセスプロファイルを作成した後、そのプロファイルがステートメントで使用される場所を access-profile
指定する必要があります。これはプロファイルのアタッチと呼ばれます。アクセス プロファイルは、さまざまなレベルで割り当てることができます。例えば、アクセスプロファイルを添付できる場所もあれば、
ルーティングインスタンスに対してグローバルに。
動的プロファイルの場合。
ドメインマップでは、加入者セッションのアクセスオプションとセッションパラメーターをマッピングします。
動的 VLAN および動的スタック VLAN のインターフェイス上。
動的サービス プロビジョニング用に静的に設定されたインターフェイスを持つ加入者のインターフェイスまたは加入者グループ。
DHCP クライアントまたは加入者向けの DHCP リレー エージェントと DHCP ローカル サーバー。
多くのレベルでアクセスプロファイルをアタッチできるため、最も具体的なアクセスプロファイルが他のプロファイル割り当てよりも優先され、競合を回避します。プロファイルをアタッチしない限り、認証とアカウンティングは実行されません。
RADIUS認証とアカウンティングサーバーの定義
加入者管理にRADIUSを使用する場合、ルーターが加入者認証およびアカウンティングのために通信する1つ以上の外部RADIUSサーバーを定義する必要があります。サーバーのIPv4またはIPv6アドレスを指定する以外に、ルーターが指定されたサーバーとどのように対話するかを決定するオプションと属性を設定できます。
RADIUS サーバーと接続オプション [edit access radius-server]
は、 階層レベル、階層レベル、または両方の [edit access profile name radius-server]
レベルで定義できます。
AAA プロセス(認証)により、次のように使用するサーバー定義が決定されます。
RADIUS サーバー定義が で
[edit access radius-server]
だけ存在する場合、認証はそれらの定義を使用します。RADIUSサーバー定義がアクセスプロファイルにのみ存在する場合、認証はそれらの定義を使用します。
RADIUSサーバー定義がアクセスプロファイルとアクセスプロファイルの両方
[edit access radius-server]
に存在する場合、認証はアクセスプロファイル定義のみを使用します。
RADIUSサーバーを使用するには、アクセスプロファイルで認証サーバー、アカウンティングサーバー、またはその両方として指定する必要があります。サーバーは、アクセス プロファイルで定義されているか、 階層レベルで定義されているかに関係なく、サーバーに対して [edit access radius-server]
行う必要があります。
RADIUSサーバーを定義し、ルーターがサーバーとどのように対話するかを指定するには、以下を行います。
この手順では、 [edit access radius-server]
階層レベルのみを表示します。オプションで、 階層レベルで [edit access profile profile-name] radius-server]
これらのパラメーターのいずれかを設定できます。これは、グローバル設定に加えて、またはグローバル設定の代わりに行うことができます。プロファイルを適用すると、そのプロファイル設定がグローバル設定よりも優先されます。
すべてのRADIUSサーバーに適用するオプションの設定
すべてのRADIUSサーバーに適用されるRADIUSオプションをグローバルに設定できます。
RADIUSオプションをグローバルに設定するには:
RADIUSサーバーがダウンまたは到達不能と見なされる場合に指定するタイムアウト猶予期間の設定
RADIUS認証サーバーが特定の認証要求の試行に応答できず、タイムアウトすると、認証は参照の時間をメモしますが、すぐにサーバーがダウン(他のサーバーが利用可能な場合)または到達不能(唯一の構成済みサーバーの場合)にはマークされません。代わりに、設定可能な猶予期間タイマーは、基準時間から開始します。猶予期間は、期間が終了する前にサーバーが後続の要求に応答した場合にクリアされます。
猶予期間、サーバーはダウンまたは到達不能とマークされません。サーバーがそのサーバーに対する後続の要求のためにタイムアウトするたびに、認証は猶予期間が期限切れかどうかチェックします。このチェックで猶予期間が期限切れで、サーバーがまだ要求に応答していないと判断された場合、サーバーは到達不能またはダウンとマークされます。
短い猶予期間を使用すると、応答しないサーバーをより迅速に放棄し、他の利用可能なサーバーに認証要求を直接することができます。長い猶予期間は、サーバーに応答する機会を与え、不必要にリソースを放棄することを避けることができます。サーバーの数が 1 台または数が少ない場合は、より長い猶予期間を指定できます。
応答しない RADIUS サーバーが到達不能またはダウンとマークされない猶予期間を設定するには、
猶予期間の長さを指定します。
[edit access radius-options] user@host# set timeout-grace seconds
RADIUSサーバーとの対話のためのアクセスプロファイルオプションの設定
アクセスプロファイルを使用して、加入者アクセス用のRADIUS認証およびアカウンティングサーバーと通信する際にルーターが使用するオプションを指定できます。この手順では、アクセス プロファイルでのみ使用可能なオプションについて説明します。アクセスプロファイルとグローバルレベルの両方で使用可能なオプションについては、 加入者アクセス用のRADIUSサーバーとパラメーターを参照してください。
RADIUS認証およびアカウンティングサーバーオプションを設定するには:
追加オプションを使用した呼び出し元ステーション ID の設定
このセクションを使用して、MX シリーズ ルーターのアクセス プロファイルの Calling-Station-ID(RADIUS IETF 属性 31)の代替値を設定します。
[] 階層で、以下のオプションのうち 1 つ以上を任意の組み合わせで含むように、Calling-Station-ID をedit access profile profile-name radius options calling-station-id-format
構成できます。
エージェント回線識別子(
agent-circuit-id
)—アクセスノード上の加入者のアクセスノードとデジタル加入者回線(DSL)の識別子。エージェント回線識別子(ACI)文字列は、DHCP トラフィックの DHCP メッセージの DHCP オプション 82 フィールド、または PPPoE アクティブ検出開始(PADI)および PPPoE アクティブ検出リクエスト(PADR)制御パケットの DSL フォーラム エージェント回線 ID VSA [26-1] のいずれかに格納されます。エージェントリモート識別子(
agent-remote-id
)—サービスリクエストを開始したデジタル加入者回線アクセスマルチプレクサ(DSLAM)インターフェイス上の加入者の識別子。エージェントリモート識別子(ARI)文字列は、DHCPトラフィックのDHCPオプション82フィールド、PPPoEトラフィックのDSLフォーラムエージェントリモートID VSA [26-2]のいずれかに格納されます。インターフェイスの説明(
interface-description
)—インターフェイスの値。インターフェイステキスト記述(
interface-text-description
)—インターフェイスのテキスト記述。インターフェイステキスト記述は、 ステートメントまたは ステートメントのいずれかをset interfaces interface-name description description
使用して、個別にset interfaces interface-name unit unit-number description description
設定されます。MAC アドレス(
mac-address
)—加入者の送信元デバイスの MAC アドレス。NAS識別子(
nas-identifier
)—認証またはアカウンティング要求を発信したNASの名前。NAS-Identifier は、RADIUS IETF 属性 32 です。スタック VLAN
(stacked-vlan)
—スタック VLAN ID。VLAN
(vlan)
—VLAN ID。
Calling-Station-ID の形式に複数のオプション値を設定した場合、ハッシュ文字 (#) は、結果として生成される Calling-Station-ID 文字列の連結値間の区切り記号としてルーターが使用するデフォルトの区切り文字です。必要に応じて、使用する呼び出し側ステーション ID の代替区切り文字を設定できます。以下の例では、複数のオプション値を設定する場合の出力順序を示しています。
nas-identifier#interface description#interface text description#agent-circuit-id#agent-remote-id#mac address#stacked vlan#vlan
アクセスプロファイルを設定して、Calling-Station-IDにオプション情報を提供するには:
例:アクセス プロファイルの追加オプションを使用した呼び出し-Station-ID
次の例では、NAS-Identifier(fox
)、インターフェイス説明、エージェント回線識別子、およびエージェントリモート識別子オプションを含む Calling-Station-ID文字列を設定する、retailer01という名前のアクセスプロファイルを作成します。
[edit access profile retailer01 radius options] nas-identifier "fox"; calling-station-id-delimiter "*"; calling-station-id format { nas-identifier; interface-description; agent-circuit-id; agent-remote-id; }
結果として得られる Calling-Station-ID 文字列は次のようにフォーマットされます。
fox*ge-1/2/0.100:100*as007*ar921
どこ:
NAS識別子の値は.
fox
Calling-Station-ID 区切り文字は(アスタリスク)です
*
。インターフェイスの説明値は.
ge-1/2/0.100:100
エージェント回線識別子の値は.
as007
エージェントのリモート識別子値は.
ar921
すべてのオプションが設定されていても、エージェント回線ID、エージェントリモートID、またはスタックVLAN識別子に使用できる値がない例を考えてみましょう。その他の値は次のとおりです。
NAS識別子—サンルーム
インターフェイスの説明—ge-1/0/0.1073741824:101
インターフェイステキストの説明—example-interface
MAC アドレス—00:00:5E:00:53:00
VLAN 識別子—101
これらの値の結果、次の Calling-Station-ID になります。
solarium#ge-1/0/0.1073741824:101#example-interface###00-00-5E-00-53-00##101
RADIUSメッセージからのRADIUS属性とVSAのフィルタリング
RADIUSメッセージで受信した標準属性とベンダー固有属性(VSA)は、内部でプロビジョニングされた属性値よりも優先されます。属性のフィルタリングは、Access Acceptパケットで受信された特定の属性を 無視 し 、特定の 属性がRADIUSサーバーに送信されないようにする選択で構成されています。RADIUSサーバーから受信した属性を無視すると、代わりにローカルでプロビジョニングされた値を使用できます。属性を送信から除外することは、例えば、加入者のライフタイムに変化しない属性の場合に便利です。これにより、情報を失うことなくパケット サイズを縮小できます。
RADIUS Access-Acceptメッセージで受信した場合、ルーターまたはスイッチが 無視する 標準RADIUS属性とVSAを指定できます。また、ルーターまたはスイッチが指定されたRADIUSメッセージタイプから 除外する 属性とVSAを指定することもできます。除外とは、ルーターまたはスイッチがRADIUSサーバーに送信する指定されたメッセージに属性を含まないことを意味します。
Junos OSリリース18.1R1以降、標準属性番号またはIANAに割り当てられたベンダーIDとVSA番号をそれぞれ指定することで、RADIUS標準属性とVSAを無視または除外するようにルーターまたはスイッチを設定できます。この柔軟な構成方法により、プラットフォームでサポートされている任意の標準属性と VSA を無視または除外するように設定できます。サポートされていない属性、ベンダー、VSAを設定しても、設定には影響しません。
従来の方法では、ステートメント構文に特定のオプションが含まれる属性とVSAのみを設定できます。そのため、従来の方法を使用して、Access-Accept メッセージで受信できるすべての属性のサブセットのみを無視できます。
ルーターまたはスイッチによって無視または除外された属性を設定するには:
次の例では、標準的な RADIUS 属性、Framed-IP-Netmask(9)、Juniper Networks VSA、Ingress-Policy-Name(26-10)、Egress-Policy-Name(26-11)を無視する従来の柔軟な構成方法を比較しています。
従来の方法:
[edit access profile prof-ign radius attributes] user@host# set ignore framed-ip-netmask input-filter output-filter
柔軟な方法:
[edit access profile prof-ign radius attributes] user@host# set ignore standard-attribute 9 user@host# set ignore vendor-id 4874 vendor-attribute [ 10 11 ]
次の例では、従来の柔軟な構成方法を比較して、標準 RADIUS 属性、Framed-IP-Netmask(9)、Juniper Networks VSA、Ingress-Policy-Name(26-10)、Egress-Policy-Name(26-11)を除外しています。
従来の方法:
[edit access profile prof-exc radius attributes] user@host# set exclude framed-ip-netmask accounting-stop user@host# set exclude input-filter [ accounting-start accounting-stop ] user@host# set exclude output-filter [ accounting-start accounting-stop ]
柔軟な方法:標準属性番号または IANA によって割り当てられたベンダー ID、VSA 番号、メッセージ タイプを指定します。
[edit access profile prof-exc radius attributes] user@host# set exclude standard-attribute 9 packet-type accounting-stop user@host# set exclude vendor-id 4874 vendor-attribute 10 packet-type [ accounting-start accounting-stop ] user@host# set exclude vendor-id 4874 vendor-attribute 11 packet-type [ accounting-start accounting-stop ]
同じプロファイルで両方のメソッドで属性を指定するとどうなりますか?効果的な設定は、2 つの方法の論理 OR です。標準属性であるアカウンティング遅延時間(41)の次の例を考えてみましょう。
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on ] user@host# set exclude standard-attribute 41 packet-type [ accounting-start accounting-stop ]
その結果、属性は、アカウンティングオフ、アカウンティングオン、アカウンティング開始、アカウンティングストップの4つのメッセージタイプすべてから除外されます。この効果は、以下のいずれかの設定を使用する場合と同じです。
-
[edit access profile prof-3 radius attributes] user@host# set exclude accounting-delay-time [ accounting-off accounting-on accounting-start accounting-stop ]
-
[edit access profile prof-3 radius attributes] user@host# set exclude standard-attribute 41 packet-type [ accounting-off accounting-on accounting-start accounting-stop ]