Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

静的インターフェイス上のJSRCと加入者

静的インターフェイスの加入者の概要

加入者を静的に設定されたインターフェイスに関連付け、これらの加入者に動的なサービスアクティブ化と非アクティブ化を提供できます。静的インターフェイスが立ち上がると、イベントは加入者ログインとして扱われます。インターフェイスがダウンすると、加入者ログアウトとして扱われます。

静的加入者が RADIUS によって認証および承認されるように設定できます。この場合、RADIUSはChange of Authorization(CoA)メッセージを使用してサービスを有効化および無効化できます。ただし、この設定は、インターフェイスが立ち上がってトラフィックを転送することを妨げるものではありません。さらに、認証パラメーターは加入者インターフェイスに課されません。

または、JSRC を使用して、これらのサブスクライバーの動的なサービス・アクティブ化および非アクティブ化を行うこともできます。加入者がセッションデータベース(SDB)に存在すると、JSRC は加入者を SAE に報告し、SRC ソフトウェアが後で加入者を管理できるようになります。

静的加入者には、次のガイドラインが適用されます。

  • 静的加入者は、イーサネットインターフェイス、静的デモックスインターフェイス、および論理トンネル(PS/LT)上の疑似回線インターフェイスでのみサポートされます。Junos OSリリース18.3R1で導入されたPS/LTサポートにより、トラフィックがIP/MPLSアクセスモデルを介して転送される静的にプロビジョニングされた加入者に対して、完全な加入者管理(動的加入者と同等)が可能になります。

  • 特定のインターフェイス上に存在できる静的加入者は1つだけです。

  • インターフェイスを複数のグループに表示することはできません。

  • 静的加入者は、動的インターフェイス上で作成できません。

静的サブスクライバは、JSRC で動作することを意図しています。JSRCがSRCソフトウェアの方向で加入者を処理できるように、[edit access profile profile-name] 階層レベルにprovisioning-order jsrcステートメントを含めます。

静的加入者に対する認証要求が失敗した場合、60分間の設定不可能なタイマーがカウントダウンを開始します。タイマーが終了すると、リクエストが再発行されます。このアクションは、インターフェイスが動作上稼働している限り繰り返されます。

request services static-subscribers logout interface interface-nameコマンドを発行することで、静的加入者を強制的にログアウトできます。静的加入者は、AAAまたは外部ポリシーマネージャーによってログアウトすることもできます。いずれの場合も、request services static-subscribers login interface interface-nameコマンドを発行して状態をリセットするか、ルーターまたはプロセスを再起動するまで、基礎となるインターフェイスで後続のログインは実行できません。

request services static-subscriber logout group group-nameコマンドを発行することで、インターフェイスグループからログアウトできます。その後、request services static-subscriber login group group-nameコマンドを発行することで、インターフェイスのグループにログインできます。

静的加入者の動的プロファイルを設定するために新しいCLIステートメントは必要ありません。動的プロファイルは非常に単純です。ログイン時にアクティブ化され、ログアウト時に非アクティブ化されます。プロファイルを設定しない場合、 junos-default-profile は自動的に有効になります。

グレースフルルーティングエンジンスイッチオーバー(GRES)イベントの間、アクティブな静的加入者が回復され、非アクティブな加入者がクリーンアップされ、ログアウトのプロセス中の加入者はログアウトが続行されます。

[edit system services]階層レベルでstatic-subscribersステートメントを含めて、静的加入者を設定します。静的加入者に対するトレース操作を設定するために、[edit system processes static-subscribers]階層レベルでtraceoptionsステートメントを含めます。

すべての静的加入者または特定の静的加入者グループに対して、アクセスプロファイル、動的プロファイル、サービスプロファイル、および認証パラメーターを設定できます。

  • すべての静的加入者に対して静的加入者のAAAサービスをトリガーするアクセスプロファイルを設定するには、[edit system services static-subscribers]階層レベルにaccess-profileステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、プロファイルを特定のグループに適用し、トップレベルの設定を上書きすることもできます。

  • すべての静的加入者に対して静的加入者がログインしたときにインスタンス化される動的プロファイルを設定するには、[edit system services static-subscribers]階層レベルでdynamic-profileステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、プロファイルを特定のグループに適用し、トップレベルの設定を上書きすることもできます。動的インターフェイスを作成する動的プロファイルは指定しないでください。

  • グローバルレベルおよびグループレベルですべての静的加入者に対してサービスプロファイルを設定するには、[edit system services static-subscribers group group-name] hierarchy levelservice-profileステートメントを含めます。

  • すべての静的加入者に対してAAAするようにAccess-Requestメッセージをトリガーする認証パラメーターを設定するには、[edit system services static-subscribers]階層レベルでauthenticationステートメントを含めます。または、[edit system services static-subscribers group group-name]階層レベルにステートメントを含めて、特定のグループに対して認証を設定し、トップレベルの設定を上書きすることもできます。認証を設定しない場合、デフォルトではインターフェイス名が変更され、加入者セッションと認証要求のデフォルトユーザー名として使用されます。

設定可能な認証パラメーターには、パスワードとユーザー名形成方法の詳細が含まれます。[edit system services static-subscribers authentication]階層レベルでpasswordステートメントを含め、すべての静的加入者の認証パスワードを設定します。または、[edit system services static-subscribers group group-name authentication]階層レベルにステートメントを含めて、特定のグループに対して認証を設定し、トップレベルの設定を上書きします。

認証のためにAAAに送信されるユーザー名には、以下の属性の少なくとも1つが含まれている必要があります。

  • ドメイン名

  • ユーザープレフィックス

  • インターフェイス名

  • 論理システム名

  • ルーティングインスタンス名

すべての静的加入者に対してユーザー名がどのように形成されるかを設定するには、 [edit system services static-subscribers authentication] 階層レベルで目的のステートメント( domain-nameuser-prefixlogical-system-name、または routing-instance-name)を含めます。または、 [edit system services static-subscribers group group-name authentication] 階層レベルで目的のステートメントを含めて、特定のグループのユーザー名を設定し、トップレベルの設定を上書きします。

既存のグループまたは静的加入者の認証設定をグローバルに変更した場合、その変更は既存の静的加入者には影響しません。変更は、変更をコミットした後に試行された新しいログインにのみ適用されます。

グループ設定では、静的加入者をサポートすると思われるすべてのインターフェイスを指定する必要があります。インターフェイスを指定するために、[edit system services static-subscribers group group-name]階層レベルにinterfaceステートメントを含めます。このステートメントにより、単一のインターフェイスまたはインターフェイスの範囲を指定できます。

また、静的加入者をサポートする前に、これらのインターフェイスを静的に設定する必要があります。インターフェイスを含むグループと同じ論理システムおよびルーティングインスタンス内に静的インターフェイスを設定する必要があります。

既存のインターフェイスグループに含まれているインターフェイスを変更した場合、既存の静的加入者は自動的にログアウトされ、変更をコミットすると再びログインします。ただし、インターフェイス自体の設定に変更を加えても、そのインターフェイスに関連付けられた静的加入者のログインまたはログアウト状態には影響しません。

デフォルトでは、同じ VLAN論理インターフェイス上で複数の加入者はサポートされません。この動作をサポートしたい場合は、次の2つの方法のいずれかで、単一の論理インターフェイス上で複数の加入者を管理できます。複数の加入者のファイアウォールフィルターやCoS属性などの属性をマージするか、新しい加入者が基盤となるVLAN論理インターフェイスにログインするたびに現在の加入者の属性を新しい加入者の属性に置き換えることができます。

  • すべての静的インターフェイスで属性マージを有効にするには、[edit system services static-subscribers]階層レベルでaggregate-clients mergeステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めることで、静的インターフェイスの特定のグループに対して属性のマージを有効にし、トップレベルの設定を上書きすることができます。

  • すべての静的インターフェイスで属性置換を有効にするには、[edit system services static-subscribers]階層レベルでaggregate-clients replaceステートメントを含めます。または、このステートメントを[edit system services static-subscribers group group-name]階層レベルに含めて、特定の静的インターフェイスグループの属性置換を有効にし、トップレベルの設定を上書きします。

静的インターフェイス上の加入者のメリット

  • 静的加入者にサービスプロファイルの設定機能を提供します。

  • 静的に設定されたインターフェイスを持つ関連加入者に対して、動的なサービスアクティベーションを提供します。

  • RFCに準拠することで競争上の優位性を提供します。

静的インターフェイス上の加入者設定の概要

このトピックでは、静的インターフェイス上で加入者(静的加入者)を設定する手順について説明します。

静的インターフェイス上で加入者を設定する前に、以下のタスクを実行します。

  • 加入者を作成および管理する静的インターフェイスを設定します。

  • 静的加入者向けのAAAサービスをトリガーするアクセスプロファイルを作成します。

  • 静的加入者がログインしたときにインスタンス化される動的プロファイルを作成します。

静的加入者を設定するには:

  1. 静的加入者に対してAAAサービスをトリガーするグローバルアクセスプロファイルを指定します。

    静的加入者グローバルアクセスプロファイルの指定を参照してください。

  2. 静的加入者がログインするときにインスタンス化されるグローバル動的プロファイルを指定します。

    静的加入者グローバル動的プロファイルの指定を参照してください。

  3. VLAN論理インターフェイス上の複数の加入者を処理するためのグローバルメソッドを設定します。

    すべての静的加入者に対するVLAN論理インターフェイス上での複数加入者の有効化を参照してください

  4. 静的加入者のグローバル認証パスワードを設定します。

    静的加入者グローバル認証パスワードの設定を参照してください。

  5. 静的加入者のグローバルユーザー名を設定します。

    静的加入者グローバルユーザー名の設定を参照してください。

  6. グローバル設定とは異なる値を共有する加入者グループを設定します。

    静的加入者グループの作成を参照してください。

  7. 静的加入者グループのアクセスプロファイルを指定します。

    静的加入者グループアクセスプロファイルの指定を参照してください。

  8. 静的加入者グループの動的プロファイルを指定します。

    静的加入者グループの動的プロファイルの指定を参照してください。

  9. 静的加入者グループのサービスプロファイルを指定します。

    静的加入者グループサービスプロファイルの指定を参照してください。

  10. 静的加入者グループのVLAN論理インターフェイス上で複数の加入者を処理する方法を設定します。

    静的加入者グループのVLAN論理インターフェイス上での複数加入者の有効化を参照してください。

  11. 静的加入者グループの認証パスワードを設定します。

    静的加入者グループ認証パスワードの設定を参照してください。

  12. 静的加入者グループのユーザー名を設定します。

    静的加入者グループユーザー名の設定を参照してください。

  13. (オプション)静的加入者をインターフェイスから強制的にログアウトさせます。

    静的加入者を強制的にログアウトするを参照してください

  14. (オプション)インターフェイスが静的加入者ログインを受け入れるようにします。

    静的加入者ログインのためのインターフェイスの状態のリセットを参照してください。

  15. (オプション)静的加入者をインターフェイスのグループから強制的にログアウトさせます。

    静的加入者のグループを強制的にログアウトするを参照してください

  16. (オプション)インターフェイスのグループが静的加入者ログインを受け入れるようにします。

    静的加入者ログインのためのインターフェイスグループの状態のリセットを参照してください。

  17. 設定のトラブルシューティングのためのトレース オプションを設定します。

    トラブルシューティングについては、静的加入者イベントのトレースを参照してください。

例:加入者アクセス用の静的加入者の設定

この例では、静的な加入者設定を示しています。

  1. 静的加入者に使用するアクセスプロファイルを設定します。

  2. 静的加入者に使用する動的プロファイルを設定します。

    このプロファイルを設定しない場合、デフォルトのプロファイルであるjunos-default-profileが使用されます。

  3. 静的加入者をレイヤー化する静的インターフェイスを設定します。

  4. 設定コンテキストで、すべての静的加入者にグローバルに適用されるパラメーターを設定します。

  5. 特定の静的加入者のグローバルパラメーターを上書きしたい場合は、それらの加入者用の静的インターフェイスのグループを作成し、そのグループに適用するパラメーターを設定します。必要な数のグループに対してこの手順を繰り返します。

  6. 静的な加入者イベントのトレースオプションを設定します。

静的加入者グローバルアクセスプロファイルの指定

すべての静的加入者に対してAAAサービスをトリガーする、以前に作成したアクセスプロファイルを指定します。静的加入者のグループに対して異なるプロファイルが設定されている場合、この値を上書きできます。

すべての静的加入者に使用するアクセスプロファイルを指定するには:

  • プロファイル名を指定します。

静的加入者グローバル動的プロファイルの指定

静的加入者がログインしたときにインスタンス化される、以前に作成した動的プロファイルを指定します。このプロファイルは、すべての静的加入者に使用されます。静的加入者のグループに対して異なるプロファイルが設定されている場合、この値を上書きできます。

すべての静的加入者に使用される動的プロファイルを指定するには:

  • プロファイル名を指定します。

すべての静的加入者に対して、VLAN論理インターフェイス上で複数の加入者を有効にする

特定のインターフェイスでは、1つの静的加入者(またはグループ)のみがログインします。この方法は推奨されませんが、DHCPアプリケーションによって管理されるDHCP加入者など、同じインターフェイス上に他の種類の加入者が設定されている場合があります。 aggregate-clients ステートメントを使用して、すべての静的加入者の動的プロファイルを拡張し、複数の加入者が同じVLAN論理インターフェイスを共有できるようにすることができます。

複数の加入者の属性(CoSやファイアウォールなど)を論理インターフェイス用にマージするように指定できます。つまり、異なるタイプの複数の加入者のプロファイルがインターフェイス上でインスタンス化されますが、それぞれのプロファイル属性はマージされます。または、現在の加入者に対してインスタンス化されたプロファイルを、同じ論理インターフェイスを使用してログインする新しい加入者のプロファイルに置き換えるように指定することもできます。この設定は、静的加入者のグループに異なる設定が適用されている場合に上書きできます。

注:

aggregate-clientsステートメントは、拡張加入者管理ではサポートされていません。

複数の加入者がすべての静的加入者に対して同じVLAN論理インターフェイスを共有できるようにするには、以下のいずれかを実行します。

  • 論理インターフェイスに対して複数の加入者属性がマージされることを指定します。

  • 新しい加入者が同じVLAN論理インターフェイスを使用してネットワークにログインしたときに、論理インターフェイス全体が置き換えられることを指定します。

静的加入者グローバル認証パスワードの設定

AAAに送信されるAccess-Requestメッセージに含まれるパスワードを設定して、すべての静的加入者を認証します。静的加入者のグループに対して異なるパスワードが設定されている場合、この値を上書きできます。

すべての静的加入者に使用される認証パスワードを指定するには:

  • パスワードを指定します。

静的加入者のグローバルユーザー名の設定

ユーザー名の形成方法を設定します。ユーザー名は、作成されたすべての静的加入者のユーザー名として機能し、すべての静的加入者を認証するために AAA に送信される Access-Request メッセージに含まれます。この値は、静的加入者のグループに対して異なるユーザー名が設定されている場合に上書きできます。

ユーザー名には、使用可能な要素の少なくとも1つを含める必要があります。各要素の値は特定の順序で連結されます。結果の文字列がユーザー名です。これらを含めることを指定した場合、インターフェイス名、論理システム名、ルーティングインスタンス名、VLANタグは設定コンテキストから派生します。要素は次のように順序付けられています(デフォルトの区切り文字で表示されます)。

user-prefix.interface.outer-taginner-tag.logical-system-name.routing-instance-name@domain-name

すべての静的加入者のユーザー名を設定するには:

  1. (オプション)ユーザー名のプレフィックスを指定します。
  2. (オプション)インターフェイス名がユーザー名に含まれることを指定します。
  3. (オプション)静的インターフェイスに関連付けられたVLANタグ(VLAN ID)がユーザー名に含まれることを指定します。単一タグ付き VLAN の場合、コンポーネントが outer-tagです。デュアルタグ付き(スタック型)VLAN の場合、コンポーネントは outer-tag-inner-tagです。静的加入者用に設定されたIP demuxインターフェイスの場合、基盤となるインターフェイスに設定されたVLANタグが使用されます。
  4. (オプション)論理システム名がユーザー名に含まれることを指定します。
  5. (オプション)ルーティングインスタンス名がユーザー名に含まれることを指定します。
  6. (オプション)ユーザー名に含めるドメイン名を指定します。
  7. (オプション)ドメイン名以外のユーザー名要素を区切る区切り文字を指定します。ドメイン名の前には常に @ 文字が付きます。デフォルトの区切り文字はピリオド(.)です。

次の設定を考えてみましょう。

インターフェイスge-0/1/1.100のデフォルトの論理システムとマスタールーティングインスタンスで設定されたこのサンプル設定は、以下のユーザー名を生成します。

Building5.ge-0-1-1-100.default.master@campus.example.com

ここで、静的インターフェイスに、外部 VLAN ID 4040、内部 VLAN ID 3000 のデュアルタグ付き VLAN がある別の設定を考えてみましょう。

このサンプル設定では、以下のユーザー名が生成されます。

Floor12$4040-3000@Bldg5.example.com

$の区切り記号が設定されていても、外部と内部のVLAN IDは常に-で区切られ、ドメイン名は常に前の要素から常に@で区切られます。

静的加入者グループの作成

静的に設定された一連のインターフェイスで構成される静的加入者グループを作成することで、静的加入者にグローバルに適用される加入者グループを上書きできます。その後、アクセスおよび動的プロファイル、パスワード、ユーザー名のグローバル値とは異なる値で、グループに共通の設定を適用できます。

静的加入者用のインターフェイスグループを設定するには:

  1. [edit system services static-subscribers]階層レベルにアクセスします。
  2. グループを作成し、名前を割り当てます。
  3. 静的加入者を作成できる1つ以上のインターフェイスの名前を指定します。 interface interface-name ステートメントを繰り返してグループ内の複数のインターフェイスを指定することはできますが、複数のグループで同じインターフェイスを使用することはできません。
  4. (オプション) upto upto-interface-name オプションを使用して、グループのインターフェイスの範囲を指定できます。
  5. (オプション) exclude オプションを使用して、特定のインターフェイスまたは指定した範囲のインターフェイスをグループから除外できます。例えば:

静的加入者グループアクセスプロファイルの指定

静的加入者のグループに別のプロファイルを指定することで、設定されたグローバルアクセスプロファイルを上書きできます。アクセスプロファイルは、その静的加入者グループに対してAAAサービスをトリガーします。

静的加入者のグループに使用するアクセスプロファイルを指定するには:

  • プロファイル名を指定します。

静的加入者グループの動的プロファイルの指定

静的加入者のグループに別のプロファイルを指定することで、設定されたグローバル動的プロファイルを上書きできます。動的プロファイルは、グループ内の静的加入者がログインするとインスタンス化されます。

静的加入者のグループに使用する動的プロファイルを指定するには:

  • プロファイル名を指定します。

静的加入者グループサービスプロファイルの指定

外部ポリシーサーバーが利用できない場合、Junos OSリリース17.4R1以降のサービスプロファイルを指定することで、静的加入者セッションに適用するデフォルトの動的サービスプロファイルを割り当てることができます。サービスプロファイルは、グループレベルとグローバルレベルで指定できます。で service-profile ステートメントを指定します。 [edit system services static-subscribers group group-name] hierarchy level

静的加入者のグループに使用するサービスプロファイルを指定するには:

  • 動的サービスプロファイル名を指定します。

静的加入者グループの VLAN 論理インターフェイスで複数の加入者を有効にする

特定のインターフェイスでは、1つの静的加入者グループ(または静的加入者)のみがログインします。この方法は推奨されませんが、DHCPアプリケーションによって管理されるDHCP加入者など、同じインターフェイス上に他の種類の加入者が設定されている場合があります。 aggregate-clients ステートメントを使用して、静的加入者グループの動的プロファイルを拡張し、複数の加入者が同じVLAN論理インターフェイスを共有できるようにすることができます。

複数の加入者の属性(CoSやファイアウォールなど)を論理インターフェイス用にマージするように指定できます。つまり、異なるタイプの複数の加入者のプロファイルがインターフェイス上でインスタンス化されますが、それぞれのプロファイル属性はマージされます。または、現在の加入者グループのインスタンス化されたプロファイルを、同じ論理インターフェイスを使用してログインする新しい加入者のプロファイルに置き換えるように指定することもできます。この設定は、グループのメンバーではないすべての静的加入者に適用される設定を上書きします。

複数の加入者が静的加入者グループに対して同じVLAN論理インターフェイスを共有できるようにするには、次のいずれかの加入者を実行します。

  • 論理インターフェイスに対して複数の加入者属性がマージされることを指定します。

  • 新しい加入者が同じVLAN論理インターフェイスを使用してネットワークにログインしたときに、論理インターフェイス全体が置き換えられることを指定します。

静的加入者グループ認証パスワードの設定

静的加入者のグループに異なるパスワードを指定することで、設定されたグローバル認証パスワードを上書きできます。このパスワードは、グループ内のすべての静的加入者を認証するためにAAAに送信されるAccess-Requestメッセージに含まれています。

静的加入者のグループに使用する認証パスワードを指定するには:

  • パスワードを指定します。

静的加入者グループユーザー名の設定

静的加入者のグループに異なるユーザー名を指定することで、設定されたグローバルユーザー名を上書きできます。ユーザー名は、作成される静的加入者のグループのユーザー名として機能し、そのグループを認証するためにAAAに送信されるAccess-Requestメッセージに含まれます。

ユーザー名には、使用可能な要素の少なくとも1つを含める必要があります。各要素の値は特定の順序で連結されます。結果の文字列がユーザー名です。これらを含めることを指定した場合、インターフェイス名、論理システム名、ルーティングインスタンス名、VLANタグは設定コンテキストから派生します。要素は次のように順序付けられています(デフォルトの区切り文字で表示されます)。

user-prefix.interface.outer-taginner-tag.logical-system-name.routing-instance-name@domain-name

静的加入者のグループのユーザー名を設定するには:

  1. (オプション)ユーザー名のプレフィックスを指定します。
  2. (オプション)インターフェイス名がユーザー名に含まれることを指定します。
  3. (オプション)静的インターフェイスに関連付けられたVLANタグ(VLAN ID)がユーザー名に含まれることを指定します。単一タグ付き VLAN の場合、コンポーネントが outer-tagです。デュアルタグ(スタック)VLANの場合、コンポーネントが outer-tag-inner-tagです。静的加入者用に設定されたIP demuxインターフェイスの場合、基盤となるインターフェイスに設定されたVLANタグが使用されます。
  4. (オプション)論理システム名がユーザー名に含まれることを指定します。
  5. ルーティングインスタンス名がユーザー名に含まれるように指定します。
  6. ユーザー名に含めるドメイン名を指定します。
  7. (オプション)ドメイン名以外のユーザー名要素を区切る区切り文字を指定します。ドメイン名の前には常に @ 文字が付きます。デフォルトの区切り文字はピリオド(.)です。

加入者グループ shippingについて、以下の設定を考えてみましょう。

インターフェイスge-0/1/2.50のデフォルトの論理システムとルーティングインスタンスR5で設定されたこのサンプル設定では、以下のユーザー名を生成します。

warehouse3.ge-0-1-2-50.default.R5@campus.example.com

ここで、同じ加入者グループに対して、静的インターフェイスに、外部 VLAN ID が 2101 の単一タグ付き VLAN があるという、異なる設定を考えてみましょう。

このサンプル設定では、以下のユーザー名が生成されます。

warehouse3%2101@Bldg5.example.com

%の区切り記号が設定されていても、ドメイン名は常に先行する要素から@で区切られます。

関連ドキュメント

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース
説明
18.3R1
Junos OSリリース18.3R1で導入されたPS/LTサポートにより、トラフィックがIP/MPLSアクセスモデルを介して転送される静的にプロビジョニングされた加入者に対して、完全な加入者管理(動的加入者と同等)が可能になります。