Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

加入者管理用の動的プロファイル

動的プロファイルの概要

動的プロファイルは、ブロードバンド アプリケーションに加入者アクセスとサービスを提供するために使用できる設定を作成、更新、または削除できる一種のテンプレートとして機能する一連の特性です。これらのプロファイルを使用すると、クライアントまたはクライアント グループの共通の属性をすべて統合し、属性または動的に作成されたオブジェクトを同時に適用できます。プロファイルを作成すると、ルーター上のプロファイル ライブラリに保存されます。

クライアントプロファイルサービスプロファイルの 2 種類の動的プロファイルを使用して、サブスクライバーを動的に管理できます。どちらのプロファイル タイプも[edit dynamic-profiles]階層レベルで設定され、互いに独立しています。動的クライアント プロファイルに加えて動的サービス プロファイルを使用するかどうかは、加入者間の差別化をサポートする方法と、加入者サービスをパッケージ化する方法によって異なります。

手記:

動的プロファイルの用語は、混乱を招く可能性があります。

  • 動的クライアントプロファイルは、動的加入者プロファイルとも呼ばれます。

  • 動的クライアントプロファイルはクライアントアクセスプロファイルと呼ばれることもありますが、この用語は[edit access profile profile-name]階層レベルで設定されたアクセスプロファイルと混同の原因となります。アクセスプロファイルは、加入者アクセス用の認証、アカウンティング、許可パラメーター、一部のセッション属性、L2TPおよびPPPセッション用のクライアント固有プロパティを設定するために使用されます。アクセスプロファイルは、 access-profile ステートメントを使用して、さまざまな設定レベルで適用されます。

動的クライアントプロファイルと動的サービスプロファイル

ダイナミック クライアント プロファイルとダイナミック サービス プロファイルの主な違いは次のとおりです。

  • 動的クライアントプロファイルがプロビジョニングされ、クライアントアプリケーション構成に適用されます。たとえば、DHCP、DHCPv6、L2TP LNS、PPPoE、静的加入者、VLAN などです。プロファイルの内容は、加入者セッションの論理インターフェイスに適用されます。多くの場合、動的クライアントプロファイルを使用すると、プロファイルが適用される論理インターフェイスの動的インスタンス化が可能になりますが、クライアントプロファイルは静的加入者論理インターフェイスにも適用できます。

    動的クライアント・プロファイルには、variables variable-nameを除く任意のスタンザを[edit dynamic-profiles profile-name]下に含めることができます。

  • 動的サービス プロファイルには、動的クライアント プロファイルで使用可能な設定のサブセットであるサービス関連の設定のみが含まれます。加入者セッションの他の設定属性は含まれていません。サービス プロファイルを使用して論理インターフェイスを作成または変更することはできません。動的サービス プロファイルは、論理インターフェイスの作成後に使用される動的クライアント プロファイルの補足として機能します。

    動的サービス プロファイルには、class-of-servicefirewallprotocolsservices、および variables の各スタンザを [edit dynamic-profiles profile-name] の下に含めることができます。

動的クライアントプロファイルと動的サービスプロファイルでも、使用できる変数のタイプが異なります。

  • 動的クライアントプロファイルには、プロファイルに含まれるジュニパーネットワークスの事前定義済み変数のデフォルト値を定義するpredefined-variable-defaultsを含めることができます。プロファイルのデフォルト値は、RADIUS が変数の値を返さない場合に使用されます。事前定義変数については、 動的変数の概要 および 動的プロファイル内の事前定義変数のデフォルト値の設定 を参照してください。

  • 動的サービス プロファイルには、関数呼び出しのパラメータのように動作するユーザ定義変数を含めることができます。RADIUSサーバーは変数値を指定して、加入者ごとのより専門的なカスタマイズをサポートできます。また、RADIUS が値を提供しない場合に使用されるこれらの変数のデフォルト値を設定することもできます。ユーザー定義変数の詳細は、 動的プロファイルのユーザー定義変数 を参照してください。

  • 動的クライアント・プロファイルには、ユーザー定義変数は含まれません。動的サービス プロファイルには、predefined-variable-defaults は含まれません。

表 1 に、アクセス プロファイルとサービス プロファイルでサポートされる変数のタイプを示します。

表 1: 動的プロファイルでサポートされる変数のタイプ

動的プロファイルのタイプ

Junos OS 定義済み変数(ローカル)

Junos OS 定義済み変数(RADIUS)

ユーザー定義変数

アクセス プロファイル

はい

はい

はい

サービス プロファイル

はい

いいえ

はい

表 2 に、アクセス プロファイルとサービス プロファイルでサポートされるデフォルト値、式、および一意の識別子を示します。

表 2: 動的プロファイルでサポートされるデフォルト値と式

動的プロファイルのタイプ

デフォルト値

一意の識別子

アクセス プロファイル

○(RADIUS事前定義変数のみ)

いいえ

はい (スケジューラおよびスケジューラ マップのみ)

サービス プロファイル

はい (ユーザー定義変数のみ)

はい (サービスのアクティブ化のみ)

はい (ファイアウォール フィルターのみ)

加入者セッションへのサービスの動的適用

加入者セッションに適用されるサービスを設定するには、いくつかの方法があります。

  • 動的クライアントプロファイルに加入者セッションのサービス設定を含めます。例えば、サービスクラス(CoS)などのレイヤー2サービスや、動的ファイアウォールフィルターなどのレイヤー3サービスを設定できます。レイヤー 3 サービスは、DHCP、DHCPv6、および PPPoE 加入者のネゴシエートされたアドレス ファミリーに適用されます。 「CoS サービスの変更の概要」を参照してください。

    手記:

    動的クライアント・プロファイルは、動的サービス・プロファイルを参照できません。直接含めることができるのは、サービス構成のみです。

  • RADIUS 設定を使用して、動的なサービス プロファイルを適用します。加入者の認証時にRADIUS Access-Acceptメッセージで返されるジュニパーネットワークスのActivate-Service VSA(26-65)は、動的なサービスプロファイルを参照し、オプションでサービスの追加パラメーターを渡すことができます。DHCP および PPPoE セッションでは、セッションのアドレス ファミリーがアクティブになると、このサービス プロファイルが適用されます。 RADIUSによるダイナミックサービス管理を参照してください。

    別のジュニパーネットワークスVSA、Deactivate-Service(26-66)を使用して、Access Acceptメッセージでサービスを非アクティブ化できます。

  • RADIUS Change of Authorization(CoA)メッセージで、ジュニパーネットワークスVSAを使用してサービスプロファイルを適用します。CoAメッセージを使用して、サービスを有効化(VSA 26-65)または無効化(VSA 26-66)できます。たとえば、加入者は、セッションの確立後にサービスをオプトインまたはオプトアウトできます。 RADIUS-Initiated Change of Authorization(CoA)の概要を参照してください。

  • DHCP ローカル サーバ、DHCP リレー エージェント、L2TP、または静的加入者の設定でプロファイルを参照する service-profile ステートメントを含めて、動的サービス プロファイルを適用します。たとえば、 静的加入者グループサービスプロファイルの指定インラインサービスインターフェイスを使用したLNSセッション用のL2TPトンネルグループの設定およびLNSでのL2TPアクセスプロファイルの設定を参照してください。

動的プロファイルの上書き

Junos OS リリース 14.1 以降、RADIUS Client-Profile-Name VSA [26-174] に異なる動的プロファイルを指定して、RADIUS が設定されたクライアント動的プロファイルを上書きすることができます。RADIUS は、この VSA を AAA に返し、他のクライアント セッション属性を Access-Accept メッセージに含めます。その後、AAA はクライアントのセッション データベース エントリーの対応するプロファイル名属性を上書きし、この新しいプロファイルが最初に設定されたプロファイルの代わりにインスタンス化されます。

動的プロファイルバージョン作成

購読者が現在使用している動的プロファイルの新しいバージョンを作成できます。プロファイルバージョンの動的作成は、 [edit system] 階層レベルで有効になります。有効にすると、ルーター上で任意の動的プロファイルの複数のバージョンを作成できます。動的プロファイルの変更後にログインするすべてのサブスクライバーは、最新バージョンの動的プロファイルを使用します。すでにアクティブなサブスクライバーは、ログアウトするかセッションが終了するまで、古いバージョンの動的プロファイルを引き続き使用します。

動的プロファイルのバージョンを作成するときは、次の点に注意してください。

  • ルーターで動的プロファイルを作成または使用する前に、動的プロファイル バージョンの作成を有効または無効にする必要があります。動的プロファイルを構成した後の動的プロファイル バージョン作成の有効化または無効化はサポートされていません。

    手記:

    動的プロファイルが設定されているルーターの動的プロファイル バージョン作成を有効または無効にする前に、まずルーター設定からすべての動的プロファイルを削除する必要があります。

  • 動的プロファイルの各バージョンは、新しいプロファイルとしてプロファイル データベースに保存されます。

  • 新しいプロファイル バージョンの名前は、元のベース動的プロファイル名に文字列を追加することによって取得されます。このストリングには、プロファイル名のバージョン・フィールドを識別するための 2 つのドル記号 ($) 文字が入ります。この 2 文字の後には、動的プロファイルの「バージョン番号」を表す数字 (01 など) が続きます。

  • 動的プロファイルのバージョン番号は、システムによって自動的に生成されます。

  • 変更した動的プロファイルは、常に最新バージョンとして保存されます。変更した動的プロファイルを作成して、以前のバージョンとして保存することはできません。例えば、動的プロファイルのバージョン 3 を使用中に変更すると、動的プロファイルはバージョン 4 として保存されます。

  • 動的プロファイルの最新バージョンのみを変更できます。

  • バージョン番号の最大値は 99999 です。ただし、各プロファイルでは、一度に 10 個のアクティブなバージョンのみがサポートされます。

  • 変更した動的プロファイル バージョンがどのサブスクライバーによっても使用されていない場合、プロファイルはコミットされた変更で上書きされ、新しいバージョンは作成されません。

  • 動的プロファイルの 99999 番目の修正バージョンに達した後、動的プロファイルにさらに変更を加えると、その最終バージョンが上書きされます。最終バージョンが使用中の場合、コミット時に変更の試行は失敗します。

  • 動的プロファイルは、どのバージョンも使用されていない場合にのみ削除できます。

  • 動的プロファイル バージョン機能は、グレースフル リスタートと統合型 ISSU をサポートします。

動的プロファイル セマンティック チェック

変数は動的プロファイルに動的に適用され、既存のCLIコマンドでは確認できません。セマンティック・チェックは、動的プロファイルの一部の変数を検証し、潜在的な構成エラーの特定に役立てます。

セマンティック・チェックは、コミット中およびプロファイルのインスタンス化中に実行されます。コミット時間チェックにより、変数が動的プロファイル内の正しい場所に表示されるようになります。プロファイルのインスタンス化の前に実行されるチェックは、変数を置き換える値が正しいことを確認します。値に対して実行されるチェックには、次のものがあります。

  • 範囲の検証

  • 変数の型の検証

  • 変数が必須の場合の変数の存在

  • 正規表現にマッチする変数

コミットタイムチェックに失敗すると、エラーメッセージが表示され、 /var/log/messages ファイルに記録され、コミットが失敗します。インスタンシエーションに失敗すると、エラーが /var/log/messages ファイルに記録され、プロファイルのインスタンシエーションが失敗します。

基本的な動的プロファイルの設定

このトピックでは、基本的な動的プロファイルを作成する方法について説明します。基本プロファイルには、プロファイル名が含まれ、[edit dynamic-profiles profile-name interfaces階層レベルでのインターフェイス変数名($junos-interface-ifd-nameなど)と、[edit dynamic-profiles profile-name interfaces variable-interface-name unit]階層レベルでの論理インターフェイス変数名($junos-underlying-interface-unit$junos-interface-unitなど)の両方が含まれている必要があります。

初期クライアント・アクセス用に動的プロファイルを構成する前に、以下を行ってください。

  1. DHCP クライアントがネットワークにアクセスするときに使用する必要なルーター インターフェイスを構成します。

    動的プロファイルで使用できるインターフェイスの種類とその設定方法については、 DHCP加入者インターフェイスの概要 を参照してください。

  2. マルチキャスト ネットワークへのアクセスについて、DHCP クライアントを検証するときにプロファイルで使用するすべての RADIUS 値を構成します。

    加入者アクセス用のRADIUSサーバーとパラメーターを参照してください

基本的な動的プロファイルを構成するには:

  1. プロファイルに名前を付けます。
  2. ルーターが使用する内部$junos-interface-ifd-name変数でinterface-nameステートメントを定義し、受信インターフェイスのインターフェイス名と一致させます。
  3. 内部変数で unit ステートメントを定義します。
    • 既存のインターフェースを参照する場合、ルーターが使用する $junos-underlying-interface-unit 変数を、受信インターフェースのユニット値と一致するよう指定します。

    • 動的インターフェイスを作成する場合は、ルーターがインターフェイスのユニット値を生成するために使用する $junos-interface-unit 変数を指定します。

    又は

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
14.1
Junos OS リリース 14.1 以降、RADIUS Client-Profile-Name VSA [26-174] に異なる動的プロファイルを指定して、RADIUS が設定されたクライアント動的プロファイルを上書きすることができます。