キャプティブ ポータル認証
複数の異なる認証を使用して、スイッチを通じてネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。スイッチ上でキャプティブ ポータル認証を設定して、ユーザーがユーザー名とパスワードを入力することを要求する Web ブラウザー要求をログイン ページにリダイレクトできます。詳細については、このトピックをお読みください。
例:EXシリーズスイッチでキャプティブポータル認証を設定する
スイッチ上でキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定して、ユーザーがユーザー名とパスワードを入力する必要があるログインページにWebブラウザリクエストをリダイレクトできます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
この例では、EXシリーズスイッチ上でキャプティブポータルを設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
キャプティブ ポータルをサポートする EX シリーズ スイッチ
EX シリーズ スイッチの Junos OS リリース 10.1 以降
開始する前に、以下を確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されている。例 : EXシリーズスイッチの基本的なブリッジングとVLANを設定します。
SSL 証明書を生成し、スイッチにインストールしました。セキュア Web アクセス(EX シリーズ スイッチ)に使用する SSL 証明書の生成を参照してください。
キャプティブ ポータル ログイン ページを設計します。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
概要とトポロジー
この例では、インターフェイス上でキャプティブ ポータルを有効にするためにスイッチで必要な設定を示しています。キャプティブポータルインターフェイスに接続されたプリンターがキャプティブポータルを通過せずにLANにアクセスできるようにするには、MACアドレスを認証許可リストに追加します。このリストの MAC アドレスは、キャプティブ ポータルを使用せずにインターフェイス上でアクセスできます。
トポロジ
この例のトポロジーは、RADIUS認証サーバーに接続された1つのEXシリーズスイッチで構成されています。スイッチ上の 1 つのインターフェイスがキャプティブ ポータル用に設定されています。この例では、インターフェイスが複数のサプリカントモードで設定されています。
設定
スイッチでキャプティブ ポータルを設定するには:
CLI クイックコンフィギュレーション
[Requirements](要件)セクションでタスクを完了した後にスイッチ上でキャプティブ ポータルを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set access radius-server 10.204.96.165 port 1812 set access radius-server 10.204.96.165 secret "ABC123" set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server 10.204.96.165 set system services web-management http set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set services captive-portal authentication-profile-name profile1 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
手順
手順
スイッチ上でキャプティブ ポータルを設定するには:
サーバーIPアドレス、サーバー認証ポート番号を定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致する必要があります。
[edit] user@switch# set access radius-server 10.204.96.165 port 1812 [edit] user@switch# set access radius-server 10.204.96.165 secret "ABC123"
認証順序を設定し、最初の認証方法を作成
radius
します。[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントを認証するために試行するサーバーIPアドレスを設定します。
[edit] user@switch# set access profile profile1 radius authentication-server 10.204.96.165
スイッチで HTTP アクセスを有効にします。
[edit] user@switch# set system services web-management http
スイッチへの Web アクセス用のセキュア なチャネルを作成するには、HTTPS のキャプティブ ポータルを設定します。
注:HTTPSを有効にすることなくHTTPを有効にすることはできますが、セキュリティ目的でHTTPSを有効にすることをお勧めします。
手順
セキュリティー証明書を Web サーバーに関連付け、スイッチで HTTPS アクセスを有効にします。
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
HTTPSを使用するようにキャプティブポータルを設定します。
[edit] user@switch# set services captive-portal secure-authentication https
キャプティブポータルのインターフェイスを有効にします。
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
キャプティブ ポータル認証に使用するアクセス プロファイルの名前を指定します。
[edit] user@switch# set services captive-portal authentication-profile-name profile1
(オプション)特定のクライアントがキャプティブ ポータルをバイパスできるようにします。
注:クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用
clear captive-portal mac-address mac-address
して、キャプティブポータル認証からMACアドレスをクリアする必要があります。そうでない場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
注:オプションで、インターフェイスへのスコープを制限するために使用
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
できます。(オプション)クライアントが最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後の URL を設定します。
[edit] user@switch# set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
結果
設定の結果を表示します。
[edit] user@switch> show system { services { web-management { http; https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----ABC123 ... ABC123-----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } services { captive-portal { interface { ge-0/0/10.0 { supplicant multiple; } } secure-authentication https; } } ethernet-switching-options { authentication-whitelist { 00:10:12:e0:28:22/48; } }
検証
キャプティブ ポータルが設定され、正常に動作していることを確認するには、次のタスクを実行します。
インターフェイスでキャプティブ ポータルが有効になっていることを確認する
目的
キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。
対処
動作モードコマンドを使用します show captive-portal interface interface-name detail
。
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意味
出力では、キャプティブ ポータルがインターフェイス ge-0/0/10 で、再試行回数、静かな期間、CP セッション タイムアウト、サーバー タイムアウトのデフォルト設定で構成されていることを確認します。
トラブルシューティング
キャプティブ ポータルをトラブルシューティングするには、次のタスクを実行します。
キャプティブ ポータルのトラブルシューティング
問題
スイッチ上のキャプティブポータルインターフェイスに接続されたユーザーがWebページを要求しても、スイッチはキャプティブポータルログインページを返しません。
ソリューション
ARP、DHCP、HTTPS、DNS カウンターを調べることができます。これらのカウンターの 1 つ以上が増加していない場合、問題がどこにあるかを示します。例えば、クライアントがIPアドレスを取得できない場合、スイッチインターフェイスをチェックして、DHCPカウンターが増加しているかどうかを確認します。カウンターが増加している場合、DHCPパケットはスイッチによって受信されました。
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
キャプティブポータル認証の設定(CLI手順)
EXシリーズスイッチでキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定し、スイッチに接続されたユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが Web ページを要求すると、ユーザー名とパスワードの入力を必要とするログイン ページが表示されます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
開始する前に、以下を確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されている。例 : EXシリーズスイッチの基本的なブリッジングとVLANを設定します。
SSL 証明書を生成し、スイッチにインストールしました。セキュア Web アクセス(EX シリーズ スイッチ)に使用する SSL 証明書の生成を参照してください。
EX シリーズ スイッチと RADIUS サーバー間で構成された基本的なアクセス。例 : 802.1X用RADIUSサーバーをEXシリーズスイッチに接続します。
キャプティブ ポータル ログイン ページを設計します。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
このトピックでは、以下のタスクを行います。
キャプティブ ポータルのセキュア アクセスの設定
キャプティブ ポータルのセキュア アクセスを設定するには:
キャプティブ ポータルのインターフェイスの有効化
キャプティブ ポータルのインターフェイスを有効にするには:
[edit] user@switch# set services captive-portal interface interface-name
例えば、インターフェイスge-0/0/10でキャプティブポータルを有効にするには:
[edit] user@switch# set services captive-portal interface ge-0/0/10
キャプティブ ポータル認証のバイパスの設定
特定のクライアントがキャプティブ ポータルをバイパスできるようにするには:
[edit] user@switch# set ethernet-switching-options authentication-whitelist mac-address
例えば、特定のクライアントがキャプティブポータルをバイパスできるようにするには:
[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
オプションで、インターフェイスへのスコープを制限するために使用 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
できます。
クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用 clear captive-portal mac-address mac-address
して、キャプティブポータル認証からMACアドレスをクリアする必要があります。そうでない場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。
スイッチでのキャプティブ ポータル認証ログイン ページの設計
スイッチでキャプティブ ポータル認証を設定して、すべての Web ブラウザー要求をログイン ページにリダイレクトできます。ユーザーはアクセスを許可される前にユーザー名とパスワードを入力する必要があります。認証に成功すると、ユーザーはネットワークへのアクセスが許可され、要求された元のページにリダイレクトされます。
Junos OSにはキャプティブポータルウィンドウ用のカスタマイズ可能なテンプレートが用意されており、キャプティブポータルログインページの外観を簡単に設計および変更できます。テンプレートのデザイン要素を変更して、キャプティブ ポータル ログイン ページの外観を変更したり、ページにインストラクションや情報を追加したりできます。キャプティブ ポータル ログイン ページのデザイン要素を変更することもできます。
キャプティブ ログイン ページの前に表示される最初の画面では、ユーザーが使用条件を読み取る必要があります。[同意する] ボタンをクリックすると、キャプティブ ポータル ログイン ページにアクセスできます。
図 1 は、キャプティブ ポータル ログイン ページの例を示しています。

表 1 は、キャプティブ ポータル ログイン ページの設定可能な要素を要約しています。
要素 | CLI ステートメント | 説明 |
---|---|---|
フッターの背景色 |
footer-bgcolor hex-color |
キャプティブ ポータル ログイン ページのフッターの背景色の HTML 16 進コードです。 |
フッター メッセージ |
footer-message text-string |
キャプティブ ポータル ログイン ページのフッターにテキストが表示されます。著作権情報、リンク、およびヘルプ手順、法律上の注意事項、プライバシポリシーなどの追加情報を含めることができます。 フッターに表示されるデフォルトのテキストは Copyright @2010, Juniper Networks Inc. |
フッター テキストの色 |
footer- text-color color |
フッターのテキストの色。デフォルトの色は白です。 |
フォーム ヘッダーの背景色 |
form-header-bgcolor hex-color |
キャプティブ ポータル ログイン ページのフォーム 領域の上部にあるヘッダー バーの背景色の 16 進 HTML コードです。 |
フォーム ヘッダー メッセージ |
form-header-message text-string |
キャプティブ ポータル ログイン ページのヘッダーに表示されるテキスト。デフォルトのテキストは.Captive Portal User Authentication |
フォーム ヘッダー テキストの色 |
form-header- text- color color |
フォームヘッダーのテキストの色。デフォルトの色は黒です。 |
フォーム リセット ボタン ラベル |
form-reset-label label-name |
ボタンを Reset 使用すると、ユーザーはフォームのユーザー名とパスワードフィールドをクリアできます。 |
フォーム送信ボタンのラベル |
form-submit-label label-name |
このボタンを Login 使用して、ユーザーはログイン情報を送信できます。 |
ヘッダー背景色 |
header-bgcolor hex-color |
キャプティブ ポータル ログイン ページヘッダーの背景色を設定する HTML 16 進コードです。 |
ヘッダーロゴ |
header-logo filename |
キャプティブ ポータル ログイン ページのヘッダーに表示するロゴの画像を含むファイルのファイル名。画像ファイルは GIF、JPEG、PNG 形式です。 ロゴイメージファイルをスイッチにアップロードできます。スイッチ上の /var/tmp ディレクトリにロゴをコピーします(コミット中、ファイルは永続的な場所に保存されます)。 ロゴ画像を指定しない場合は、ジュニパーネットワークスのロゴが表示されます。 |
ヘッダー メッセージ |
header-message text-string |
ページヘッダーに表示されるテキスト。デフォルトのテキストは.User Authentication |
ヘッダー テキストカラー |
header-text- colorcolor |
ヘッダーのテキストの色。デフォルトの色は白です。 |
認証後の URL |
post-authentication-url url |
成功した認証にユーザーが誘導される URL。デフォルトでは、ユーザーは当初要求されたページに誘導されます。 |
キャプティブ ポータル ログイン ページを設計するには、次の手順にしたがっています。
これで、設定をコミットできます。
指定しないカスタム オプションでは、デフォルト値が使用されます。
関連項目
ELSをサポートするEXシリーズスイッチでのキャプティブポータル認証(CLI手順)の設定
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチで Junos OS を使用します。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、 キャプティブ ポータル認証の設定(CLI 手順)を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
スイッチ上でキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定し、スイッチに接続されたユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが Web ページを要求すると、ユーザー名とパスワードの入力を要求するログイン ページが表示されます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
開始する前に、以下を確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されている。例 : ELS をサポート する EX シリーズ スイッチの基本的なブリッジングと VLAN の設定
SSL 証明書を生成し、スイッチにインストールしました。セキュア Web アクセス(EX シリーズ スイッチ)に使用する SSL 証明書の生成を参照してください。
スイッチとRADIUSサーバー間の基本的なアクセスを設定します。例 : 802.1X用RADIUSサーバーをEXシリーズスイッチに接続します。
キャプティブ ポータル ログイン ページを設計します。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
このトピックでは、以下のタスクを行います。
キャプティブ ポータルのセキュア アクセスの設定
キャプティブ ポータルのセキュア アクセスを設定するには:
キャプティブ ポータルのインターフェイスの有効化
キャプティブ ポータル認証でインターフェイスの使用を有効にするには:
[edit] user@switch# set services captive-portal interface interface-name
キャプティブ ポータル認証のバイパスの設定
特定のクライアントにキャプティブポータル認証をバイパスさせることができます。
[edit] user@switch# set switch-options authentication-whitelist mac-address
オプションで、インターフェイスへのスコープを制限するために使用 set switch-options authentication-whitelist mac-address interface interface-name
できます。
クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用 clear captive-portal mac-address session-mac-addr
して、キャプティブポータル認証からMACアドレスをクリアする必要があります。それ以外の場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。
例:ELSをサポートするEXシリーズスイッチでキャプティブポータル認証を設定する
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EX シリーズ スイッチで Junos OS を使用します。ご使用のスイッチが ELS をサポートしていないソフトウェアを実行している場合は 、 例: EXシリーズスイッチでキャプティブポータル認証を設定する。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
スイッチ上でキャプティブポータル認証(以下キャプティブポータルと呼ばれる)を設定して、ユーザーがユーザー名とパスワードを入力する必要があるログインページにWebブラウザリクエストをリダイレクトできます。認証に成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
この例では、EXシリーズスイッチ上でキャプティブポータルを設定する方法を説明します。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
EX シリーズ スイッチの Junos OS リリース 13.2X50 以降
ELS をサポートする EX シリーズ スイッチ
開始する前に、以下を確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されている。例 : ELS をサポート する EX シリーズ スイッチの基本的なブリッジングと VLAN の設定
SSL 証明書を生成し、スイッチにインストールしました。セキュア Web アクセス(EX シリーズ スイッチ)に使用する SSL 証明書の生成を参照してください。
EX シリーズ スイッチと RADIUS サーバー間で構成された基本的なアクセス。例 : 802.1X用RADIUSサーバーをEXシリーズスイッチに接続します。
キャプティブ ポータル ログイン ページを設計します。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
概要とトポロジー
この例では、インターフェイス上でキャプティブ ポータルを有効にするためにスイッチで必要な設定を示しています。キャプティブ ポータル インターフェイスに接続されたプリンターが LAN にアクセスできるようにするには、MAC アドレスを認証許可リストに追加し、VLAN vlan1 に割り当てます。このリストの MAC アドレスは、キャプティブ ポータル認証なしでインターフェイス上でのアクセスが許可されます。
トポロジ
この例のトポロジーは、RADIUS認証サーバーに接続された1つのEXシリーズスイッチで構成されています。スイッチ上の 1 つのインターフェイスがキャプティブ ポータル用に設定されています。この例では、インターフェイスが複数のサプリカントモードで設定されています。
設定
スイッチでキャプティブ ポータルを設定するには:
CLI クイックコンフィギュレーション
[Requirements](要件)セクションでタスクを完了した後にスイッチ上でキャプティブ ポータルを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 set custom-options post-authentication-url http://www.my-home-page.com
手順
手順
スイッチへの Web アクセス用のセキュア なチャネルを作成するには、HTTPS のキャプティブ ポータルを設定します。
手順
セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS を有効にします。
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
注:HTTPS ではなく HTTPS を有効にすることもできますが、セキュリティ目的で HTTPS を有効にすることをお勧めします。
HTTPSを使用するようにキャプティブポータルを設定します。
[edit] user@switch# set services captive-portal secure-authentication https
キャプティブポータルのインターフェイスを有効にします。
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
(オプション)特定のクライアントがキャプティブ ポータル認証をバイパスできるようにします。
注:クライアントがすでにスイッチに接続されている場合は、MACアドレスを許可リストに追加した後、 コマンドを使用
clear captive-portal mac-address mac-address
して、キャプティブポータル認証からMACアドレスをクリアする必要があります。そうでない場合、MAC アドレスの新しいエントリーはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。[edit] user@switch# set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1
注:オプションで、インターフェイスへのスコープを制限するために使用 set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0 できます。
(オプション)クライアントが最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後の URL を設定します。
[edit services captive-portal] user@switch# set custom-options post-authentication-url http://www.my-home-page.com
結果
設定の結果を表示します。
[edit] user@switch# show system { services { web-management { https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----\ABC123 ABC123ABC123ABC123 ... ABC123 ----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } services { captive-portal { interface { ge-0/0/10.0 { supplicant multiple; } } secure-authentication https; custom-options { post-authentication-url http://www.my-home-page.com; } } } switch-options { authentication-whitelist { 00:10:12:e0:28:22/48 { vlan-assignment vlan1; } } }
検証
キャプティブ ポータル認証が構成され、正常に動作していることを確認するには、次のタスクを実行します。
インターフェイスでキャプティブ ポータルが有効になっていることを確認する
目的
キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。
対処
動作モードコマンドを使用します show captive-portal interface interface-name detail
。
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意味
出力では、キャプティブポータルがインターフェイス上で、再試行回数、静かな期間、CPセッションタイムアウト、サーバータイムアウトのデフォルト設定で構成されていることを確認します ge-0/0/10
。
トラブルシューティング
キャプティブ ポータルをトラブルシューティングするには、次のタスクを実行します。
キャプティブ ポータルのトラブルシューティング
問題
スイッチ上のキャプティブポータルインターフェイスに接続されたユーザーがWebページを要求しても、スイッチはキャプティブポータルログインページを返しません。
ソリューション
ARP、DHCP、HTTPS、DNS カウンターを調べることができます。これらのカウンターの 1 つ以上が増加していない場合、問題がどこにあるかを示します。例えば、クライアントがIPアドレスを取得できない場合、スイッチインターフェイスをチェックして、DHCPカウンターが増加しているかどうかを確認できます。カウンターが増加している場合、DHCPパケットはスイッチによって受信されました。
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0