キャプティブポータル認証
いくつかの異なる認証を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。スイッチでキャプティブ ポータル認証を設定して、ユーザがユーザ名とパスワードの入力を要求するログイン ページに Web ブラウザ要求をリダイレクトできます。詳細については、このトピックを参照してください。
例:EXシリーズスイッチでのキャプティブポータル認証の設定
スイッチでキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、Webブラウザ要求を、ユーザがユーザ名とパスワードの入力を要求するログインページにリダイレクトできます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
この例では、EXシリーズスイッチでキャプティブポータルを設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
キャプティブポータルをサポートするEXシリーズスイッチ
EXシリーズスイッチ向けJunos OSリリース10.1以降
開始する前に、以下を満たしているか確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
SSL証明書を生成してスイッチにインストールしていること。セキュアなWebアクセスに使用するSSL証明書の生成(EXシリーズスイッチ)を参照してください。
キャプティブポータルのログインページをデザインしました。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
概要とトポロジー
この例では、インターフェイスでキャプティブ ポータルを有効にするためにスイッチで必要な設定を示します。キャプティブ ポータル インターフェイスに接続されたプリンターがキャプティブ ポータルを経由せずに LAN にアクセスできるようにするには、その MAC アドレスを認証許可リストに追加します。このリストの MAC アドレスは、キャプティブ ポータルなしでインターフェイス上でのアクセスが許可されます。
トポロジー
この例のトポロジーは、RADIUS認証サーバーに接続された1台のEXシリーズスイッチで構成されています。スイッチの 1 つのインターフェイスは、キャプティブ ポータル用に設定されています。この例では、インターフェイスはマルチ サプリカント モードで設定されています。
設定
スイッチでキャプティブポータルを設定するには:
CLIクイック構成
要件セクションのタスクを完了した後、スイッチでキャプティブポータルをすばやく設定するには、次のコマンドをコピーしてスイッチターミナルウィンドウに貼り付けます。
[edit] set access radius-server 10.204.96.165 port 1812 set access radius-server 10.204.96.165 secret "ABC123" set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server 10.204.96.165 set system services web-management http set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set services captive-portal authentication-profile-name profile1 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
手順
ステップバイステップでの手順
スイッチでキャプティブ ポータルを設定するには、次の手順に従います。
サーバーのIPアドレスとサーバー認証ポート番号を定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。
[edit] user@switch# set access radius-server 10.204.96.165 port 1812 [edit] user@switch# set access radius-server 10.204.96.165 secret "ABC123"
認証順序を設定し、
radius
を最初の認証方法にします。[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントを認証するために試行するサーバIPアドレスを設定します。
[edit] user@switch# set access profile profile1 radius authentication-server 10.204.96.165
スイッチで HTTP アクセスを有効にします。
[edit] user@switch# set system services web-management http
スイッチへのWebアクセス用のセキュアチャネルを作成するには、HTTPS用のキャプティブポータルを設定します。
注:HTTPS を有効にしなくても HTTP を有効にできますが、セキュリティ上の理由から HTTPS をお勧めします。
ステップバイステップでの手順
セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS アクセスを有効にします。
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
HTTPS を使用するようにキャプティブ ポータルを設定します。
[edit] user@switch# set services captive-portal secure-authentication https
キャプティブ ポータルのインターフェイスを有効にします。
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
キャプティブポータル認証に使用するアクセスプロファイルの名前を指定します。
[edit] user@switch# set services captive-portal authentication-profile-name profile1
(オプション)特定のクライアントがキャプティブ ポータルをバイパスすることを許可します。
注:クライアントがすでにスイッチに接続されている場合は、MAC アドレスを許可リストに追加した後、
clear captive-portal mac-address mac-address
コマンドを使用して、キャプティブ ポータル認証から MAC アドレスをクリアする必要があります。そうしないと、MAC アドレスの新しいエントリがイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
注:オプションで、を使用してスコープをインターフェイスに制限できます 。
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
(オプション)最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後 URL を構成します。
[edit] user@switch# set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
結果
設定の結果の表示:
[edit] user@switch> show system { services { web-management { http; https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----ABC123 ... ABC123-----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } services { captive-portal { interface { ge-0/0/10.0 { supplicant multiple; } } secure-authentication https; } } ethernet-switching-options { authentication-whitelist { 00:10:12:e0:28:22/48; } }
検証
キャプティブポータルが設定され、正常に動作していることを確認するには、次のタスクを実行します。
キャプティブポータルがインターフェイスで有効になっていることを確認する
目的
キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。
アクション
以下の show captive-portal interface interface-name detail
動作モードコマンドを使用します。
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意味
出力では、キャプティブ ポータルがインターフェイス ge-0/0/10 で、再試行回数、quiet 期間、CP セッション タイムアウト、およびサーバ タイムアウトのデフォルト設定で設定されていることを確認します。
トラブルシューティング
キャプティブ ポータルのトラブルシューティングを行うには、次のタスクを実行します。
キャプティブポータルのトラブルシューティング
問題点
スイッチ上のキャプティブ ポータル インターフェイスに接続しているユーザが Web ページを要求した場合、スイッチはキャプティブ ポータル ログイン ページを返しません。
ソリューション
ARP、DHCP、HTTPS、DNS の各カウンターを調べることができます。これらのカウンターのうち 1 つ以上が増加していない場合は、問題がどこにあるかがわかります。たとえば、クライアントが IP アドレスを取得できない場合、スイッチのインターフェイスをチェックして、DHCP カウンタが増加しているかどうかを判断します。カウンタが増加している場合は、DHCP パケットがスイッチによって受信されました。
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
キャプティブポータル認証の設定(CLI手順)
EXシリーズスイッチにキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、スイッチに接続されているユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーがWebページを要求すると、ユーザー名とパスワードの入力を求めるログインページが表示されます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
開始する前に、以下を満たしているか確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
SSL証明書を生成してスイッチにインストールしていること。セキュアなWebアクセスに使用するSSL証明書の生成(EXシリーズスイッチ)を参照してください。
EX シリーズ スイッチと RADIUS サーバー間の構成済み基本アクセス。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
キャプティブポータルのログインページをデザインしました。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
このトピックは、次のタスクで構成されています。
キャプティブポータルへのセキュアアクセスの設定
キャプティブポータルのセキュアアクセスを設定するには:
キャプティブ ポータルのインターフェイスの有効化
キャプティブ ポータルのインターフェイスを有効にするには:
[edit] user@switch# set services captive-portal interface interface-name
例えば、インターフェイスge-0/0/10でキャプティブポータルを有効にするには:
[edit] user@switch# set services captive-portal interface ge-0/0/10
キャプティブ ポータル認証のバイパスの設定
特定のクライアントがキャプティブ ポータルをバイパスできるようにするには:
[edit] user@switch# set ethernet-switching-options authentication-whitelist mac-address
たとえば、特定のクライアントがキャプティブ ポータルをバイパスできるようにするには、次のようにします。
[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
オプションで、を使用してスコープをインターフェイスに制限できます 。set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
クライアントがすでにスイッチに接続されている場合は、MAC アドレスを許可リストに追加した後、 clear captive-portal mac-address mac-address
コマンドを使用して、キャプティブ ポータル認証から MAC アドレスをクリアする必要があります。そうしないと、MAC アドレスの新しいエントリがイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。
スイッチでのキャプティブポータル認証ログインページの設計
スイッチでキャプティブ ポータル認証を設定して、すべての Web ブラウザ要求を、ユーザがアクセスを許可される前にユーザ名とパスワードの入力を要求するログイン ページにリダイレクトできます。認証に成功すると、ユーザーはネットワークへのアクセスを許可され、要求された元のページにリダイレクトされます。
Junos OS には、キャプティブ ポータル ログイン ページの外観を簡単に設計および変更できるカスタマイズ可能なテンプレートが用意されています。テンプレートの設計要素を変更して、キャプティブ ポータル ログイン ページの外観を変更したり、ページに指示や情報を追加したりできます。また、キャプティブポータルログインページの任意の設計要素を変更することもできます。
キャプティブ ログイン ページの前に表示される最初の画面では、ユーザは使用条件を読む必要があります。[Agree] ボタンをクリックすると、ユーザはキャプティブ ポータルのログイン ページにアクセスできます。
図 1 キャプティブ ポータル ログイン ページの例を示します。
表 1 は、キャプティブポータルログインページの設定可能な要素をまとめています。
要素 | CLIステートメント | 説明 |
---|---|---|
フッターの背景色 |
footer-bgcolor hex-color |
キャプティブポータルログインページフッターの背景色のHTML16進コード。 |
フッターメッセージ |
footer-message text-string |
キャプティブポータルログインページのフッターに表示されるテキスト。著作権情報、リンク、およびヘルプ手順、法的通知、プライバシー ポリシーなどの追加情報を含めることができます フッターに表示されるデフォルトのテキストは Copyright @2010, Juniper Networks Inc. |
フッターのテキストの色 |
footer- text-color color |
フッターのテキストの色。デフォルトの色は白です。 |
フォームヘッダーの背景色 |
form-header-bgcolor hex-color |
キャプティブポータルログインページのフォームエリアの上部にあるヘッダーバーの背景色のHTML16進コード。 |
フォームヘッダーメッセージ |
form-header-message text-string |
キャプティブポータルログインページのヘッダーに表示されるテキスト。デフォルトのテキストは Captive Portal User Authentication です。 |
フォームヘッダーのテキストの色 |
form-header- text- color color |
フォームヘッダー内のテキストの色。デフォルトの色は黒です。 |
フォームリセットボタンのラベル |
form-reset-label label-name |
[ Reset ] ボタンを使用して、ユーザーはフォームのユーザー名とパスワードのフィールドをクリアできます。 |
フォーム送信ボタンのラベル |
form-submit-label label-name |
Loginボタンを使用して、ユーザーはログイン情報を送信できます。 |
ヘッダーの背景色 |
header-bgcolor hex-color |
キャプティブポータルログインページヘッダーの背景色のHTML16進コード。 |
ヘッダーロゴ |
header-logo filename |
キャプティブ ポータル ログイン ページのヘッダーに表示するロゴのイメージを含むファイルのファイル名。画像ファイルは、GIF、JPEG、またはPNG形式にすることができます。 ロゴ画像ファイルをスイッチにアップロードできます。スイッチの /var/tmp ディレクトリにロゴをコピーします(コミット中、ファイルは永続的な場所に保存されます)。 ロゴ画像を指定しない場合は、ジュニパーネットワークスのロゴが表示されます。 |
ヘッダー メッセージ |
header-message text-string |
ページ ヘッダーに表示されるテキスト。デフォルトのテキストは User Authentication です。 |
ヘッダーテキストの色 |
header-text- colorcolor |
ヘッダー内のテキストの色。デフォルトの色は白です。 |
認証後 URL |
post-authentication-url url |
認証が成功した場合にユーザーに誘導される URL。既定では、ユーザーは最初に要求したページに移動します。 |
キャプティブ ポータルのログイン ページをデザインするには、次の手順を実行します。
これで、設定をコミットできます。
指定しないカスタム・オプションには、デフォルト値が使用されます。
関連項目
ELSをサポートするEXシリーズスイッチでのキャプティブポータル認証の設定(CLI手順)
このタスクでは、拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチで Junos OS を使用します。ご使用のスイッチがELSをサポートしていないソフトウェアを実行している場合は、 キャプティブポータル認証の設定(CLI手順)を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
スイッチにキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、スイッチに接続されているユーザーがネットワークへのアクセスを許可される前に認証されるようにします。ユーザーが Web ページを要求すると、ユーザー名とパスワードの入力を求めるログイン ページが表示されます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
開始する前に、以下を満たしているか確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :ELSをサポートするEXシリーズスイッチで基本的なブリッジングとVLANを設定するを参照してください。
SSL証明書を生成してスイッチにインストールしていること。セキュアなWebアクセスに使用するSSL証明書の生成(EXシリーズスイッチ)を参照してください。
スイッチとRADIUSサーバー間に設定された基本アクセス。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
キャプティブポータルのログインページをデザインしました。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
このトピックは、次のタスクで構成されています。
キャプティブポータルへのセキュアアクセスの設定
キャプティブポータルのセキュアアクセスを設定するには:
キャプティブ ポータルのインターフェイスの有効化
インターフェイスをキャプティブポータル認証で使用できるようにするには、次の手順に従います。
[edit] user@switch# set services captive-portal interface interface-name
キャプティブ ポータル認証のバイパスの設定
特定のクライアントがキャプティブポータル認証をバイパスすることを許可できます。
[edit] user@switch# set switch-options authentication-whitelist mac-address
オプションで、を使用してスコープをインターフェイスに制限できます 。set switch-options authentication-whitelist mac-address interface interface-name
クライアントがすでにスイッチに接続されている場合は、MAC アドレスを許可リストに追加した後、 clear captive-portal mac-address session-mac-addr
コマンドを使用して、キャプティブ ポータル認証から MAC アドレスをクリアする必要があります。それ以外の場合、MAC アドレスの新しいエントリはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。
例:ELSをサポートするEXシリーズスイッチでキャプティブポータル認証を設定する
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。EXシリーズスイッチでキャプティブポータル認証を設定するを参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
スイッチでキャプティブポータル認証(以降、キャプティブポータルと呼びます)を設定して、Webブラウザ要求を、ユーザがユーザ名とパスワードの入力を要求するログインページにリダイレクトできます。認証が成功すると、ユーザーは元のページ要求とその後のネットワークへのアクセスを続行できます。
この例では、EXシリーズスイッチでキャプティブポータルを設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
EX シリーズスイッチの Junos OS リリース 13.2X50 以降
ELSをサポートするEXシリーズスイッチ
開始する前に、以下を満たしているか確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。「例 :ELSをサポートするEXシリーズスイッチで基本的なブリッジングとVLANを設定するを参照してください。
SSL証明書を生成してスイッチにインストールしていること。セキュアなWebアクセスに使用するSSL証明書の生成(EXシリーズスイッチ)を参照してください。
EX シリーズ スイッチと RADIUS サーバー間の構成済み基本アクセス。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
キャプティブポータルのログインページをデザインしました。スイッチでのキャプティブ ポータル認証ログイン ページの設計を参照してください。
概要とトポロジー
この例では、インターフェイスでキャプティブ ポータルを有効にするためにスイッチで必要な設定を示します。キャプティブ ポータル インターフェイスに接続されたプリンターに LAN へのアクセスを許可するには、その MAC アドレスを認証許可リストに追加し、VLAN(vlan1)に割り当てます。このリストの MAC アドレスは、キャプティブ ポータル認証なしでインターフェイス上でのアクセスが許可されます。
トポロジー
この例のトポロジーは、RADIUS認証サーバーに接続された1台のEXシリーズスイッチで構成されています。スイッチの 1 つのインターフェイスは、キャプティブ ポータル用に設定されています。この例では、インターフェイスはマルチ サプリカント モードで設定されています。
設定
スイッチでキャプティブポータルを設定するには:
CLIクイック構成
要件セクションのタスクを完了した後、スイッチでキャプティブポータルをすばやく設定するには、次のコマンドをコピーしてスイッチターミナルウィンドウに貼り付けます。
[edit] set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 set custom-options post-authentication-url http://www.my-home-page.com
手順
ステップバイステップでの手順
スイッチへのWebアクセス用のセキュアチャネルを作成するには、HTTPS用のキャプティブポータルを設定します。
ステップバイステップでの手順
セキュリティ証明書を Web サーバーに関連付け、スイッチで HTTPS を有効にします。
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
注:HTTPS の代わりに HTTP を有効にすることもできますが、セキュリティ上の理由から HTTPS を有効にすることをお勧めします。
HTTPS を使用するようにキャプティブ ポータルを設定します。
[edit] user@switch# set services captive-portal secure-authentication https
キャプティブ ポータルのインターフェイスを有効にします。
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
(オプション)特定のクライアントがキャプティブポータル認証をバイパスできるようにします。
注:クライアントがすでにスイッチに接続されている場合は、MAC アドレスを許可リストに追加した後、
clear captive-portal mac-address mac-address
コマンドを使用して、キャプティブ ポータル認証から MAC アドレスをクリアする必要があります。それ以外の場合、MAC アドレスの新しいエントリはイーサネット スイッチング テーブルに追加されず、認証バイパスは許可されません。[edit] user@switch# set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1
注:オプションで、を使用してスコープをインターフェイスに制限できます 。set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0
(オプション)最初に要求したページではなく、指定されたページにクライアントをリダイレクトするには、認証後 URL を構成します。
[edit services captive-portal] user@switch# set custom-options post-authentication-url http://www.my-home-page.com
結果
設定の結果の表示:
[edit] user@switch# show system { services { web-management { https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----\ABC123 ABC123ABC123ABC123 ... ABC123 ----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } services { captive-portal { interface { ge-0/0/10.0 { supplicant multiple; } } secure-authentication https; custom-options { post-authentication-url http://www.my-home-page.com; } } } switch-options { authentication-whitelist { 00:10:12:e0:28:22/48 { vlan-assignment vlan1; } } }
検証
キャプティブ ポータル認証が設定され、正しく動作していることを確認するには、次のタスクを実行します。
キャプティブポータルがインターフェイスで有効になっていることを確認する
目的
キャプティブ ポータルがインターフェイス ge-0/0/10 で設定されていることを確認します。
アクション
以下の show captive-portal interface interface-name detail
動作モードコマンドを使用します。
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
意味
出力では、キャプティブ ポータルがインターフェイス ge-0/0/10
で設定されており、再試行回数、待機時間、CP セッション タイムアウト、およびサーバ タイムアウトがデフォルト設定されていることを確認します。
トラブルシューティング
キャプティブ ポータルのトラブルシューティングを行うには、次のタスクを実行します。
キャプティブポータルのトラブルシューティング
問題点
スイッチ上のキャプティブ ポータル インターフェイスに接続しているユーザが Web ページを要求した場合、スイッチはキャプティブ ポータル ログイン ページを返しません。
ソリューション
ARP、DHCP、HTTPS、DNS の各カウンターを調べることができます。これらのカウンターのうち 1 つ以上が増加していない場合は、問題がどこにあるかがわかります。たとえば、クライアントが IP アドレスを取得できない場合、スイッチのインターフェイスをチェックして、DHCP カウンタが増加しているかどうか(カウンタが増加している場合は、DHCP パケットがスイッチによって受信された)を判断できます。
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0