Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

静的インターフェイス上の JSRC と加入者

スタティック インターフェイスの加入者の概要

加入者を静的に設定されたインターフェイスに関連付け、これらの加入者に動的なサービスアクティベーションおよび非アクティベーションを提供できます。静的インターフェイスが立ち上がると、イベントは加入者ログインとして扱われます。インターフェイスがダウンすると、加入者のログアウトとして扱われます。

静的加入者は、RADIUS によって認証および許可されるように設定できます。この場合、RADIUSは、認証の変更(CoA)メッセージを使用してサービスをアクティブ化および非アクティブ化できます。ただし、この設定では、インターフェイスが立ち上がってトラフィックを転送することを防ぐことはできません。さらに、認証パラメータは加入者インターフェイスに課されません。

あるいは、JSRC を使用して、これらのサブスクライバーの動的なサービスアクティブ化および非アクティブ化を行うことができます。サブスクライバーがセッション・データベース (SDB) に存在した後、JSRC はサブスクライバーを SAE に報告して、SRC ソフトウェアがサブスクライバーを管理できるようにします。

静的加入者には、次のガイドラインが適用されます。

  • 静的加入者は、イーサネット インターフェイス、静的デモックス インターフェイス、および論理トンネル(PS/LT)上の疑似回線インターフェイスでのみサポートされます。Junos OS リリース 18.3R1 で導入された PS/LT サポートにより、トラフィックが IP/MPLS アクセス モデルで転送される静的にプロビジョニングされた加入者の完全な加入者管理(動的加入者に相当)が可能になります。

  • 1つのインターフェイス上に存在できる静的加入者は1人だけです。

  • 1つのインターフェイスを複数のグループに含めることはできません。

  • 静的加入者は、動的インターフェイス上では作成できません。

静的サブスクライバーは、JSRC と連携するためのものです。[edit access profile profile-name] 階層レベルに provisioning-order jsrc ステートメントを含めることで、JSRC が SRC ソフトウェアの指示で加入者を処理できるようにします。

静的加入者に対する認証要求が失敗すると、60 分の設定不可能なタイマーがカウントダウンを開始します。タイマーが切れると、要求は再発行されます。このアクションは、インターフェイスが動作上アップしている限り繰り返されます。

request services static-subscribers logout interface interface-name コマンドを発行することで、静的サブスクライバを強制的にログアウトできます。スタティック サブスクライバは、AAA または外部ポリシー マネージャによってログアウトすることもできます。いずれの場合も、request services static-subscribers login interface interface-name コマンドを発行して状態をリセットするか、ルーターまたはプロセスを再起動するまで、基盤となるインターフェイスで後続のログインを行うことはできません。

インターフェイスグループをログアウトするには、 request services static-subscriber logout group group-name コマンドを発行します。その後、 request services static-subscriber login group group-name コマンドを発行することで、インターフェイスのグループにログインできます。

静的加入者向けの動的プロファイルを設定するために、新しいCLIステートメントは必要ありません。動的プロファイルは非常にシンプルです。ログイン時に有効化され、ログアウト時に無効化されます。プロファイルを設定しない場合は、 junos-default-profile が自動的にアクティブ化されます。

グレースフル ルーティングエンジン スイッチオーバー(GRES)イベント中、アクティブな静的加入者は回復し、非アクティブな加入者はクリーンアップされ、ログアウト処理中だった加入者のログアウトが続行されます。

static-subscribers ステートメントを[edit system services]階層レベルに含めて、静的加入者を設定します。traceoptions ステートメントを [edit system processes static-subscribers] 階層レベルに含めて、静的加入者のトレース操作を設定します。

すべての静的加入者または静的加入者の特定のグループに対して、アクセスプロファイル、動的プロファイル、サービスプロファイル、および認証パラメータを設定できます。

  • すべての静的加入者に対して、静的加入者向けにAAAサービスをトリガーするアクセスプロファイルを設定するには、[edit system services static-subscribers]階層レベルでaccess-profileステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、プロファイルを特定のグループに適用し、トップレベルの設定を上書きします。

  • すべての静的加入者に対して、静的加入者がログインしたときにインスタンス化される動的プロファイルを設定するには、[edit system services static-subscribers]階層レベルでdynamic-profileステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、プロファイルを特定のグループに適用し、トップレベルの設定を上書きします。動的インターフェイスを作成する動的プロファイルは指定しないでください。

  • グローバルレベルおよびグループレベルですべての静的加入者のサービスプロファイルを設定するには、[edit system services static-subscribers group group-name] hierarchy levelservice-profileステートメントを含めます。

  • すべての静的加入者に対してAAAへのAccess-Requestメッセージをトリガーする認証パラメーターを設定するには、[edit system services static-subscribers]階層レベルでauthenticationステートメントを含めます。または、[edit system services static-subscribers group group-name]階層レベルで ステートメントを含めて、特定のグループの認証を設定し、トップレベルの設定を上書きします。認証を設定しない場合、デフォルトではインターフェイス名が変更され、加入者セッションおよび認証要求のデフォルトユーザー名として使用されます。

設定可能な認証パラメーターには、パスワードとユーザー名の形成方法の詳細が含まれます。 password ステートメントを [edit system services static-subscribers authentication] 階層レベルに含めて、すべての静的加入者の認証パスワードを設定します。または、 [edit system services static-subscribers group group-name authentication] 階層レベルで ステートメントを含めて、特定のグループの認証を設定し、トップレベルの設定を上書きします。

認証のために AAA に送信されるユーザ名には、次の属性の少なくとも 1 つが含まれている必要があります。

  • ドメイン名

  • ユーザープレフィックス

  • インターフェース名

  • 論理システム名

  • ルーティング インスタンス名

すべての静的加入者に対してユーザー名の形成方法を設定するには、 [edit system services static-subscribers authentication] 階層レベルで目的のステートメント( domain-nameuser-prefixlogical-system-name、または routing-instance-name)を含めます。または、 [edit system services static-subscribers group group-name authentication] 階層レベルで必要なステートメントを含めて、特定のグループのユーザー名を設定し、トップレベルの設定を上書きします。

既存のグループまたは静的加入者の認証設定をグローバルに変更した場合、その変更は既存の静的加入者には影響しません。変更は、変更をコミットした後に試行される新しいログインにのみ適用されます。

グループ設定では、静的加入者をサポートすると想定されるすべてのインターフェイスを指定する必要があります。インターフェイスを指定するには、[edit system services static-subscribers group group-name]階層レベルで interface ステートメントを含めます。このステートメントでは、単一のインターフェイスまたはインターフェイスの範囲を指定できます。

また、これらのインターフェイスで静的加入者をサポートする前に、これらのインターフェイスを静的に設定する必要があります。静的インターフェイスは、インターフェイスを含むグループと同じ論理システムおよびルーティング インスタンスで設定する必要があります。

既存のインターフェイスグループに含まれるインターフェイスを変更した場合、既存の静的加入者は自動的にログアウトされ、変更をコミットすると再びログインします。ただし、インターフェイス自体の設定を変更しても、そのインターフェイスに関連付けられた静的加入者のログインまたはログアウト状態には影響しません。

デフォルトでは、同じVLAN 論理インターフェイス上で複数の加入者をサポートすることはできません。この動作をサポートしたい場合は、次の2つの方法のいずれかで、単一の論理インターフェイス上で複数の加入者を管理できます。複数の加入者のファイアウォールフィルターやCoS属性などの属性を統合するか、新しい加入者が基盤となるVLAN論理インターフェイスにログインするたびに現在の属性を新しい加入者の属性に置き換えることができます。

  • すべての静的インターフェイスで属性マージを有効にするには、[edit system services static-subscribers]階層レベルでaggregate-clients mergeステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、静的インターフェイスの特定のグループの属性マージを有効にし、トップレベルの設定を上書きします。

  • すべての静的インターフェイスで属性置換を有効にするには、[edit system services static-subscribers]階層レベルでaggregate-clients replaceステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、静的インターフェイスの特定のグループの属性置換を有効にし、トップレベルの設定を上書きします。

スタティック インターフェイスの加入者の利点

  • 静的加入者にサービスプロファイルを設定する機能を提供します。

  • 静的に設定されたインターフェイスを持つ加入者に対して、動的なサービスアクティベーションを提供します。

  • RFCに準拠し、競争上の優位性を提供します。

静的インターフェイス上の加入者の設定の概要

このトピックでは、静的インターフェイス(静的加入者)上で加入者を設定する手順について説明します。

静的インターフェイス上の加入者を設定する前に、以下のタスクを実行してください。

  • 加入者を作成および管理する静的インターフェイスを設定します。

  • 静的加入者に対して AAA サービスをトリガーするアクセス プロファイルを作成します。

  • 静的加入者のログイン時にインスタンス化される動的プロファイルを作成します。

静的加入者を設定するには:

  1. 静的加入者に対して AAA サービスをトリガーするグローバル アクセス プロファイルを指定します。

    静的加入者のグローバルアクセスプロファイルの指定を参照してください。

  2. 静的加入者のログイン時にインスタンス化されるグローバル動的プロファイルを指定します。

    静的加入者のグローバル動的プロファイルの指定を参照してください。

  3. VLAN 論理インターフェースで複数の加入者を処理するために、グローバルな方式を設定します。

    すべてのスタティック加入者に対する VLAN 論理インターフェース上の複数加入者の有効化を参照してください

  4. 静的加入者向けのグローバル認証パスワードを設定します。

    静的加入者のグローバル認証パスワードの設定を参照してください。

  5. 静的加入者向けのグローバルユーザー名を設定します。

    静的加入者のグローバル ユーザー名の設定を参照してください。

  6. グローバル設定とは異なる値を共有する加入者のグループを設定します。

    静的加入者グループの作成を参照してください。

  7. 静的加入者グループのアクセスプロファイルを指定します。

    静的加入者グループアクセスプロファイルの指定を参照してください。

  8. 静的加入者グループの動的プロファイルを指定します。

    静的加入者グループ動的プロファイルの指定を参照してください。

  9. 静的加入者グループのサービスプロファイルを指定します。

    静的加入者グループサービスプロファイルの指定を参照してください。

  10. 静的加入者グループのVLAN論理インターフェースで複数の加入者を処理する方法を設定します。

    静的加入者グループに対する VLAN 論理インターフェース上の複数加入者の有効化を参照してください。

  11. 静的加入者グループの認証パスワードを設定します。

    静的加入者グループ認証パスワードの設定を参照してください。

  12. 静的加入者グループのユーザー名を設定します。

    静的加入者グループユーザー名の設定を参照してください。

  13. (オプション)静的加入者をインターフェイスから強制的にログアウトします。

    「静的加入者のログアウトの強制」を参照してください。

  14. (オプション)インターフェイスが静的加入者ログインを受け付けられるようにします。

    静的加入者ログイン用のインターフェイスの状態のリセットを参照してください。

  15. (オプション)静的加入者をインターフェイスのグループから強制的にログアウトします。

    静的加入者のグループのログアウトの強制を参照してください

  16. (オプション)インターフェイスのグループが静的加入者ログインを受け取れるようにします。

    静的加入者ログインのためのインターフェイスグループの状態のリセットを参照してください。

  17. 設定のトラブルシューティングのためのトレースオプションを設定します。

    トラブルシューティングのための静的加入者イベントのトレースを参照してください。

例:加入者アクセスのための静的加入者の設定

この例では、静的加入者設定を示しています。

  1. 静的加入者に使用するアクセスプロファイルを設定します。

  2. 静的加入者に使用する動的プロファイルを設定します。

    このプロファイルを設定しない場合は、デフォルト プロファイルの junos-default-profile が使用されます。

  3. 静的加入者を階層化する静的インターフェイスを設定します。

  4. 設定コンテキストで、すべての静的加入者にグローバルに適用されるパラメーターを設定します。

  5. 特定のスタティック加入者のグローバル パラメータを上書きする場合は、それらの加入者に対してスタティック インターフェイスのグループを作成し、そのグループに適用するパラメータを設定します。必要な数のグループに対して、この手順を繰り返します。

  6. 静的加入者イベントのトレースオプションを設定します。

静的加入者のグローバルアクセスプロファイルの指定

すべてのスタティック加入者に対して AAA サービスをトリガーする、以前に作成したアクセス プロファイルを指定します。静的加入者のグループに異なるプロファイルが設定されている場合、そのグループに対してこの値を上書きできます。

すべての静的加入者に使用するアクセスプロファイルを指定するには:

  • プロファイル名を指定します。

静的加入者のグローバル動的プロファイルの指定

静的加入者のログイン時にインスタンス化される、以前に作成した動的プロファイルを指定します。このプロファイルは、すべての静的加入者に使用されます。静的加入者のグループに異なるプロファイルが設定されている場合、そのグループに対してこの値を上書きできます。

すべての静的加入者に使用する動的プロファイルを指定するには:

  • プロファイル名を指定します。

すべての静的加入者に対して VLAN 論理インターフェース上で複数の加入者を有効にする

特定のインターフェイスでは、単一の静的加入者(またはグループ)のみがログインします。この方法は推奨されませんが、DHCP アプリケーションによって管理される DHCP 加入者など、同じインターフェイス上に他の種類の加入者が設定されている場合があります。 aggregate-clients ステートメントを使用すると、すべての静的加入者の動的プロファイルを拡張し、複数の加入者が同じVLAN論理インターフェイスを共有できるようにすることができます。

複数の加入者の属性(CoSやファイアウォールなど)を論理インターフェイスでマージするように指定することができます。つまり、異なるタイプの複数の加入者のプロファイルはインターフェイス上でインスタンス化されますが、それぞれのプロファイル属性はマージされます。または、現在の加入者のインスタンス化されたプロファイルを、同じ論理インターフェイスを使用してログインする新しい加入者のプロファイルに置き換えるように指定することもできます。この設定は、静的加入者のグループに異なる設定が適用されている場合に、そのグループに対して上書きできます。

手記:

aggregate-clients ステートメントは、拡張加入者管理ではサポートされていません。

複数の加入者がすべての静的加入者に対して同じVLAN論理インターフェイスを共有できるようにするには、次のいずれかを実行します。

  • 論理インターフェイスに対して、複数の加入者属性をマージすることを指定します。

  • 新しい加入者が同じVLAN論理インターフェイスを使用してネットワークにログインするときに、論理インターフェイス全体が置き換えられるように指定します。

静的加入者のグローバル認証パスワードの設定

すべてのスタティック加入者を認証するために、AAAに送信されるAccess-Requestメッセージに含まれるパスワードを設定します。静的加入者のグループに異なるパスワードが設定されている場合、そのグループに対してこの値を上書きできます。

すべての静的加入者に使用する認証パスワードを指定するには:

  • パスワードを指定します。

スタティック サブスクライバ グローバル ユーザ名の設定

ユーザー名の形成方法を設定します。ユーザ名は、作成されるすべてのスタティック加入者のユーザ名として機能し、すべてのスタティック加入者を認証するためにAAAに送信されるAccess-Requestメッセージに含まれます。静的加入者のグループに異なるユーザー名が設定されている場合、そのグループに対してこの値を上書きできます。

ユーザー名には、指定可能な要素の少なくとも 1 つを含める必要があります。各要素の値は、特定の順序で連結されます。結果の文字列はユーザー名です。含めるように指定した場合、インターフェイス名、論理システム名、ルーティング インスタンス名、および VLAN タグは構成コンテキストから派生します。要素は次のように順序付けられます(デフォルトの区切り文字で表示)。

user-prefix.interface.outer-taginner-tag.logical-system-name.routing-instance-name@domain-name

すべての静的加入者のユーザー名を設定するには:

  1. (オプション)ユーザー名のプレフィックスを指定します。
  2. (オプション)ユーザー名にインターフェイス名が含まれることを指定します。
  3. (オプション)静的インターフェイスに関連付けられたVLANタグ(VLAN ID)がユーザー名に含まれることを指定します。単一タグ付きVLANの場合、コンポーネントが outer-tagになります。デュアルタグ付き(スタックVLAN)の場合、コンポーネントは outer-tag-inner-tagです。静的加入者用に設定されたIP demuxインターフェイスの場合、基盤となるインターフェイスに設定されたVLANタグが使用されます。
  4. (オプション)ユーザー名に論理システム名が含まれることを指定します。
  5. (オプション)ユーザー名にルーティング インスタンス名が含まれることを指定します。
  6. (オプション)ユーザー名に含めるドメイン名を指定します。
  7. (オプション)ドメイン名以外のユーザー名要素を区切る区切り文字を指定します。ドメイン名の前には、常に @ 文字が付きます。デフォルトの区切り文字はピリオド(.)です。

次の構成について考えてみます。

この設定例は、インターフェイス ge-0/1/1.100 のデフォルトの論理システムおよびマスター ルーティング インスタンスで設定され、次のユーザー名を生成します。

Building5.ge-0-1-1-100.default.master@campus.example.com

ここで、静的インターフェイスにデュアルタグ付きVLANがあり、外部VLAN IDが4040、内部VLAN IDが3000である別の構成を考えてみましょう。

この設定例では、次のユーザー名が生成されます。

Floor12$4040-3000@Bldg5.example.com

$ の区切り文字が設定されていても、外部と内部の VLAN ID は常に-で区切られ、ドメイン名は常に@で区切られます。

静的加入者グループの作成

静的に設定された一連のインターフェイスで構成される静的加入者グループを作成することで、静的加入者にグローバルに適用される設定を上書きできます。その後、アクセスおよび動的プロファイル、パスワード、およびユーザー名のグローバル値とは異なる値で、グループに共通の設定を適用できます。

静的加入者向けのインターフェイスグループを設定するには:

  1. [edit system services static-subscribers] 階層レベルにアクセスします。
  2. グループを作成し、名前を割り当てます。
  3. 静的加入者を作成できる 1 つ以上のインターフェイスの名前を指定します。 ステートメントを interface interface-name 繰り返してグループ内の複数のインターフェイスを指定できますが、同じインターフェイスを複数のグループで使用することはできません。
  4. (オプション) upto upto-interface-name オプションを使用して、グループのインターフェイスの範囲を指定できます。
  5. (オプション) exclude オプションを使用して、特定のインターフェイスまたは指定した範囲のインターフェイスをグループから除外できます。例えば:

静的加入者グループアクセスプロファイルの指定

静的加入者のグループに異なるプロファイルを指定することで、設定されたグローバルアクセスプロファイルを上書きできます。アクセス プロファイルは、そのスタティック サブスクライバ グループに対して AAA サービスをトリガーします。

静的加入者のグループに使用するアクセスプロファイルを指定するには:

  • プロファイル名を指定します。

静的加入者グループ動的プロファイルの指定

静的加入者のグループに異なるプロファイルを指定することで、設定されたグローバル動的プロファイルを上書きできます。動的プロファイルは、グループ内のいずれかの静的加入者がログインするとインスタンス化されます。

静的加入者のグループに使用する動的プロファイルを指定するには:

  • プロファイル名を指定します。

静的加入者グループサービスプロファイルの指定

外部ポリシー サーバが利用できない場合、Junos OS リリース 17.4R1 以降のサービス プロファイルを指定することで、デフォルトの動的サービス プロファイルを静的加入者セッションに割り当てることができます。サービス プロファイルは、グループ レベルおよびグローバル レベルで指定できます。で service-profile ステートメントを指定します。 [edit system services static-subscribers group group-name] hierarchy level

静的加入者のグループに使用するサービス プロファイルを指定するには:

  • 動的サービス プロファイル名を指定します。

静的加入者グループに対する VLAN 論理インターフェース上の複数加入者の有効化

特定のインターフェイスでは、単一の静的加入者グループ(または静的加入者)のみがログインされます。この方法は推奨されませんが、DHCP アプリケーションによって管理される DHCP 加入者など、同じインターフェイス上に他の種類の加入者が設定されている場合があります。 aggregate-clients ステートメントを使用して、静的加入者グループの動的プロファイルを拡張し、複数の加入者が同じVLAN論理インターフェイスを共有できるようにすることができます。

複数の加入者の属性(CoSやファイアウォールなど)を論理インターフェイスでマージするように指定することができます。つまり、異なるタイプの複数の加入者のプロファイルはインターフェイス上でインスタンス化されますが、それぞれのプロファイル属性はマージされます。または、現在の加入者グループ用にインスタンス化されたプロファイルを、同じ論理インターフェイスを使用してログインする新しい加入者のプロファイルに置き換えるように指定することもできます。この設定は、グループのメンバーではないすべての静的加入者に適用される設定を上書きします。

複数の加入者が静的加入者グループに対して同じVLAN論理インターフェイスを共有できるようにするには、次のいずれかを実行します。

  • 論理インターフェイスに対して、複数の加入者属性をマージすることを指定します。

  • 新しい加入者が同じVLAN論理インターフェイスを使用してネットワークにログインするときに、論理インターフェイス全体が置き換えられるように指定します。

静的加入者グループ認証パスワードの設定

静的加入者のグループに別のパスワードを指定することで、設定されたグローバル認証パスワードを上書きできます。このパスワードは、グループ内のすべてのスタティック加入者を認証するために AAA に送信される Access-Request メッセージに含まれます。

静的加入者のグループに使用する認証パスワードを指定するには:

  • パスワードを指定します。

静的加入者グループユーザー名の設定

静的加入者のグループに別のユーザー名を指定することで、設定されたグローバル ユーザー名を上書きできます。ユーザ名は、作成され、そのグループを認証するために AAA に送信される Access-Request メッセージに含まれるスタティック加入者グループのユーザ名として機能します。

ユーザー名には、指定可能な要素の少なくとも 1 つを含める必要があります。各要素の値は、特定の順序で連結されます。結果の文字列はユーザー名です。含めるように指定した場合、インターフェイス名、論理システム名、ルーティング インスタンス名、および VLAN タグは構成コンテキストから派生します。要素は次のように順序付けられます(デフォルトの区切り文字で表示)。

user-prefix.interface.outer-taginner-tag.logical-system-name.routing-instance-name@domain-name

静的加入者のグループのユーザー名を設定するには:

  1. (オプション)ユーザー名のプレフィックスを指定します。
  2. (オプション)ユーザー名にインターフェイス名が含まれることを指定します。
  3. (オプション)静的インターフェイスに関連付けられたVLANタグ(VLAN ID)がユーザー名に含まれることを指定します。単一タグ付きVLANの場合、コンポーネントが outer-tagになります。デュアルタグ(スタック)VLANの場合、コンポーネントが outer-tag-inner-tagになります。静的加入者用に設定されたIP demuxインターフェイスの場合、基盤となるインターフェイスに設定されたVLANタグが使用されます。
  4. (オプション)ユーザー名に論理システム名が含まれることを指定します。
  5. ユーザー名にルーティング インスタンス名が含まれることを指定します。
  6. ユーザー名に含めるドメイン名を指定します。
  7. (オプション)ドメイン名以外のユーザー名要素を区切る区切り文字を指定します。ドメイン名の前には、常に @ 文字が付きます。デフォルトの区切り文字はピリオド(.)です。

加入者グループ shipping について、次の構成を考えてみましょう。

この設定例は、デフォルトの論理システムとインターフェイス ge-0/1/2.50 のルーティング インスタンス R5 で設定され、次のユーザー名を生成します。

warehouse3.ge-0-1-2-50.default.R5@campus.example.com

ここで、同じ加入者グループに対して、静的インターフェイスに外部VLAN IDが 2101 の単一タグ付き VLAN がある別の構成を考えてみましょう。

この設定例では、次のユーザー名が生成されます。

warehouse3%2101@Bldg5.example.com

% の区切り文字が構成されていても、ドメイン名は常に@で区切られます。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
18.3R1
Junos OS リリース 18.3R1 で導入された PS/LT サポートにより、トラフィックが IP/MPLS アクセス モデルで転送される静的にプロビジョニングされた加入者の完全な加入者管理(動的加入者に相当)が可能になります。