サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

close
keyboard_arrow_left
list Table of Contents

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

DHCP 加入者向けの RADIUS CoA の代替としての RADIUS 再認証

date_range 06-Dec-23

RFC 5176, Dynamic Authorization Extensions to Remote Authentication Dial In User Service(RADIUS)で規定されているRADIUS Change of Authorization(CoA)メッセージは、クライアントサービスを有効化または無効化したり、クライアントをログアウトせずに特定のクライアントセッション特性を変更したりするために使用されるため、加入者の中断を回避します。状況によっては、クライアントセッションのサービスおよび特性を中断することなく変更する方法として、加入者の 再認証 を使用することが望ましい場合があります。

たとえば、次の顧客デプロイメント・モードはどちらも、セッションの存続期間中に属性を変更する必要があります。

  • 一般家庭の加入者—一般の加入者は、オンラインサービスの選択またはプロバイダーへの直接の通話により、セッションの存続期間中、サービスプランを変更することができます。サービスプランの変更は、DHCPクライアントエージェントリモートIDの値を変更することで、DHCPローカルサーバーに反映されます。エージェント リモート ID は、DHCPv4 クライアントの場合はオプション 82、サブオプション 2 で、DHCPv6 クライアントの場合はオプション 37 で伝達されます。

    再認証が設定されると、サービス プランの変更が検出され、再認証がトリガーされます。新しいサービス プランと変更された属性は、RADIUS サーバーから返され、加入者に対して実装されます。

  • ビジネス加入者—ビジネス加入者は、特定のセッション中に属性(特にフレームルート)の変更を必要とすることがよくあります。属性の望ましい変更は、サービス プランの変更によって開始されるわけではありません。

    再認証が設定されている場合、リース更新のネゴシエーションにより再認証がトリガーされます。属性またはサービスの変更は、RADIUSサーバーからのAccess-Acceptメッセージで提供され、加入者に実装されます。

再認証を使用する代わりに 2 つの方法を使用すると、どちらも再認証よりも多くのセッション特性を変更することができます。CoAは、加入者を中断することなく、特性の変更を要求します。サブスクライバーをログアウトしてから再度ログインすると、さらに多くのセッション特性が変更される可能性がありますが、明らかに中断を伴います。

再認証の利点

  • CoA 要求を使用せずに、加入者のセッション属性とサービス プランを更新または変更します。

  • 加入者が頻繁に行う変更によって生じるサービスのアクティベーションを簡素化します。

  • デュアルスタック、シングルセッション構成で、ファミリーごとの再認証を有効にします。

  • CLI設定またはRADIUS VSAを使用して、再認証を制御します。

機能

再認証は、DHCPv4 と DHCPv6 の両方でサポートされています。これは、DHCPローカルサーバーがDHCPクライアントから更新、再バインド、検出、または送信請求メッセージを受信したときにトリガーできます。検出メッセージと送信請求メッセージは、Junos OS リリース 18.1R1 以降の再認証をサポートしています。検出メッセージと送信請求メッセージのサポートは、バインドされたクライアントを持つCPEが再起動し、クライアントがこれらのメッセージの1つを送信してセッションをバックアップする場合、再認証により、認証によって加入者に対して行われた更新を取得できることを意味します。

再認証の動作は、次のように決定されます。

  • reauthenticate lease-renewal ステートメントは、サポートされている 4 つのメッセージのいずれかを受信したときに再認証がトリガーされることを指定します。

  • reauthenticate remote-id-mismatch ステートメントは、受信したメッセージに DHCP クライアントのエージェントリモート ID の値の変更が含まれている場合にのみ、再認証がトリガーされることを指定します。属性値には加入者サービスプランの名前が含まれているため、値の変化は加入者に対するサービスの変更を意味します。

  • ジュニパーネットワークス reauthentication-on-renew VSA(26-206)は、ログイン時に加入者向けのRADIUSサーバーからAccess-Acceptメッセージに値1が返されると、4つのメッセージのいずれかを受信すると再認証をトリガーします。値を 0 にすると、再認証は無効になります。VSA 値は、受信されるたびにセッション データベースに保存されます。この VSA で再認証が有効になると、再認証が試行されるたびにチェックされます。値が 0 に変更された場合、つまり、後続の Access-Accept が値 0 の VSA を返した場合、その加入者の再認証プロセスは停止します。

    CLI設定(reauthenticate ステートメント)とReauthenticate-On-Renewの動作は追加的です。VSA による再認証の無効化は、 reauthenticate ステートメントが設定されていない場合のみ有効です。 reauthenticate ステートメントがいずれかのオプションで設定されている場合、VSA値0を上書きします。CLI設定がない場合、VSAはそれ自体で再認証を有効にすることができます。

再認証のプロセスは、元の認証プロセスとほぼ同じです。再認証がトリガーされると、ローカルサーバー上のjdhcpdプロセスが認証要求をauthdに送信し、認証要求がRADIUSサーバーにAccess-Requestメッセージを送信して2回目の認証を要求します。

手記:

再認証要求は、 radius または none 以外の認証順序では失敗します。認証プロセスは、そのような要求に対して否定肯定応答(NAK)を返します。

このAccess-Requestには、元のAccess-Acceptメッセージで返されたRADIUS状態とクラス属性が含まれています。これらの属性により、RADIUSサーバーは、再認証要求とログイン(認証)要求を区別できます。

RADIUS サーバーは、加入者の新しい属性を持つ Access-Accept メッセージを authd に返します。authdプロセスはjdhcpdに変更を含む確認応答(ACK)を送信し、jdhcpdは属性を変更したDHCPオファーをDHCPクライアントに送信します。 図 1 に示すように、DHCP ネゴシエーションは通常どおり続行され、加入者セッションは新しい属性値で続行されます。再認証にサービス プランの変更が含まれる場合、RADIUS サーバーは、 図 2 に示すように、要求を受け入れると、他の変更された属性を持つ新しいプランを返します。サービス プランの変更プロセス中に DHCP クライアントをホストしている CPE が再起動した場合、新しいプランによる再認証は、サービスを中断することなくサポートされます。

RADIUSサーバーが再認証要求を拒否するか、タイムアウトした場合、authdはNAKをjdhcpdに送信し、jdhcpdは含まれたエラーコードを確認します。エラーコードがタイムアウトを示している場合、jdhcpdはDHCPクライアントにACKを送信し、加入者セッションは元の属性とサービスで維持されます。その他のエラーコードの場合、jdhcpdはDHCPv4 NAKまたはDHCPv6 REPLY(ライフタイム値を0に設定)を論理NAKとして送信し、加入者のログアウトを開始して、セッションデータベースから加入者を削除します。

表 1 は、同じ加入者に対して別の要求タイプが既に進行中の場合に、authd が要求を処理する方法を示しています。

表 1: 複数の要求タイプの処理

要求が進行中です

同じサブスクライバーに対して追加の要求を受信しました

アクション

再認証の頻度を選択します。再認証

CoA(英語)

authd は NAK で CoA に応答します。

CoA(英語)

再認証の頻度を選択します。再認証

authdは、CoAが処理されるまで再認証要求をキューに入れ、その後、再認証要求を処理します。

再認証の頻度を選択します。再認証

切る

authd は NAK で切断に応答します。

切る

再認証の頻度を選択します。再認証

authd は NAK で再認証要求に応答し、加入者のログアウトを続行します。

ベスト プラクティス:

ネットワーク ファミリは再認証の一部として終了または再開されないため、加入者の安全ポリシー ミラーリングに関して、加入者のコンテンツが再評価されることはありません。再認証処理中に変更される可能性のある属性を、加入者の安全ポリシーミラーリングのトリガーとして使用しないでください。

クライアントがバインドされた後、再認証の結果、DHCPv6 加入者の IP アドレスまたは IPv6 アドレスが変更された場合、DHCPv6 サーバーはアドレス変更要求を評価します。サーバーは、応答 PDU の ID アソシエーション (IA) でクライアントに状況コードを返します。Junos OS リリース 18.4R1 以降、DHCPv6 サーバーがアドレスの問題を検出すると、以前サポートされていた NoAddrsAvail と NoPrefixAvail のコードに加えて、NotOnLink のステータス コードがサポートされるようになりました。これらの状態コードは次のように定義されます。

  • NoAddrsAvail (2) - サーバはクライアント要求で IA のアドレスを割り当てることができません。アドレスと NoAddrsAvail のない IA を返します。

  • NotOnLink(4)—サーバーは、クライアントリクエスト内の任意の IA の 1 つ以上のアドレスのプレフィックスが、クライアントに接続するリンクに適していないと判断します。このコードは、再認証に失敗した場合(RADIUS Access-Reject)にも使用されます。

  • NoPrefixAvail(6):サーバには、クライアントリクエストの IA で使用できるプレフィックスがありません。

クライアントは、NotOnLink 状態コードを受信した場合、アドレスなしで別の要求を送信するか、ネゴシエーション プロセスを再開できます。リクエストを送信した場合、DHCPv6ローカルセラはリクエストを無視し、新しい再ネゴシエーションが開始されることを期待します。

デュアルスタック加入者

Junos OS リリース 18.1R1 より前のリリースでは、デュアルスタック DHCP 加入者は独立したクライアント セッションとして扱われます。各スタックは独立して新しいサービスを更新し、取得します。

Junos OS リリース 18.1R1 以降、デュアルスタック、シングルセッションの加入者に対して、ファミリーごとの認証と再認証がサポートされています。デュアルスタック、シングルセッションの加入者は、通常、1:1アクセスモデルで独自のVLANを持つ世帯です。世帯は、セッション データベースでは 1 つのセッションを持つ 1 つの加入者として表されますが、DHCPv4 と DHCPv6 の 2 つの個別の DHCP バインディングがあります。その結果、authdは、セッション内の各ファミリーがログインするか、再認証を試みるたびに、個別のAccess-Requestを送信します。

  • ファミリー単位の認証は、加入者セッションが DHCP init 状態のときに検出メッセージまたは送信要求メッセージを受信したときに行われます。

  • ファミリー単位の再認証は、再認証とオンデマンドアドレス割り当ての両方が設定されていて、DHCPバインド状態のファミリーセッションの更新、再バインド、検出、または要請メッセージを受信した場合に発生します。

手記:

オンデマンドアドレス割り当てでは、ログイン時にアドレスがファミリーごとに個別に割り当てられます。オンデマンドアドレスの割り当ては、デュアルスタック、シングルセッションの加入者に対して設定する必要があります。そうでなければ、ファミリーごとの認証と再認証を有効にすることはできません。再認証については、CLIまたはReauthenticate-On-Renew VSA(26-206)で設定されていても、これは当てはまります。

認証と再認証は、どちらもファミリーごとに処理されます。プロセスをトリガーする最初のファミリーは、他の(2番目の)ファミリーが認証または再認証をトリガーする前に処理されます。2 番目のファミリーからのメッセージは、最初のファミリーがバインドされるまで無視されます。次に、2 番目のファミリ要求が処理されます。

デュアルスタックの単一セッションの 1 つのファミリのみがログインした場合、1 つの認証のみが処理されます。再認証は、1 つのクライアントファミリーに対してのみ処理されます。

認証プロセスは、DHCPv4 または DHCPv6 ファミリーに属するものとして属性を分類し、それに応じてタグ付けします。認証と再認証の両方で、どちらのファミリーが要求を開始するかに応じて、authd は DHCP-Options VSA(26-55)または DHCPv6-Options VSA(26-65)のいずれかを含めます。設定に応じて、RADIUS サーバーは、要求を開始したファミリ( 要求元のファミリ)のみの情報を返す場合と、両方のファミリの情報を返す場合があります。

authd が Access-Accept メッセージで属性を受信すると、ファミリー タグにより、authd はどの属性が要求元のファミリーか他の(非要求の)ファミリーに対応するかを判断できます。要求元のファミリの属性のみがセッション データベースに書き込まれます。

再認証要求の場合、authd は返された属性とセッション データベースを比較して、RADIUS サーバーで変更が加えられたかどうかを判断します。この場合も、要求元のファミリに対応する変更のみがセッション データベースに書き込まれ、古い値が上書きされます。

再認証中の変更は、以下のように処理されます。

  • 属性(アドレス以外)—認証dは、これらの属性の1つ以上が要求側ファミリに対して変更されたと判断した場合、新しい値をセッションデータベースに保存します。authd は jdhcpd に通知した後、新しい属性値を持つ ACK を DHCP クライアントに送信します。

  • アドレスまたはアドレス プール:authd は要求側ファミリの変更を検出すると、DHCP ローカル サーバに通知し、DHCP ローカル サーバは NAK(DHCPv4)または論理 NAK(DHCPv6)を DHCP クライアントに送信します。

    要求元のファミリーがバインドされている唯一のファミリーである場合、jdhcpdは加入者を正常にログアウトします。非要求ファミリもバインドされている場合、jdhcpd は要求ファミリを非アクティブ化しますが、非要求ファミリの結合はそのまま残し、非要求ファミリへのサービスを中断しません。要求ファミリーを非アクティブ化しても、要求していないファミリーによる再認証のその後の起動には影響しません。

    その後、非アクティブ化されたファミリが、再ログインするための検出メッセージまたは送信要求メッセージを送信すると、通常どおり再認証のためにAccess-Requestが送信され、Access-Acceptで受信した新しいアドレスが加入者に適用されます。

RADIUS サーバーが認証または再認証の要求に Access-Reject メッセージで応答すると、authd は DHCP ローカル サーバーに通知し、DHCP ローカル サーバーは NAK(DHCPv4)または論理 NAK(DHCPv6)を DHCP クライアントに送信します。要求している家族は正常に終了します。ファミリーが非アクティブ化され、サブスクライバーがログアウトされます。その後、要求していないファミリは非アクティブ化され、ログアウトされますが、クライアントには終了が通知されません。

非要求ファミリで活性検出が実行されている場合、クライアントはファミリの終了時に接続の損失を検出し、その後、検出メッセージまたは送信請求メッセージを DHCP ローカル サーバーに送信します。ただし、活性検出が実行されていない場合、クライアントは、再バインド時間(T2、オプション 59)が経過してサービスが失われるまで、接続の損失を検出しません。リース期間によっては、これには長い時間がかかる場合があります。

ベスト プラクティス:

両方のアドレスファミリーの活性検出を設定して、接続の損失を検出する時間を短縮します。活性検出の設定については、 DHCP Liveness Detectionの概要 を参照してください。

パケットフロー

次の図は、DHCPクライアント、DHCPサーバー、およびRADIUSサーバー間の加入者セッションの初期ネゴシエーションのシーケンスを示しています。クライアントのサービス プランは、DHCPv4 オプション 82、サブオプション 2、または DHCPv6 オプション 37 に含まれるリモート ID の 2 番目の部分文字列で指定されます。

初期ネゴシエーション

図 1 は、DHCP クライアント、DHCP サーバー、および RADIUS サーバー間の初期ネゴシエーションの一連の手順を示しています。この図では、次の用語が使用されています。

CPE—カスタマー構内機器(DHCP クライアントまたは加入者として機能)。

OLT—光回線ターミネーター—DSLAM(DSLアクセスマルチプレクサ)やその他のアグリゲーションデバイスなど。

MXシリーズデバイス—DHCPサーバーとして機能します。

図 1: 初期ネゴシエーション Initial Negotiation

サービスプラン変更

図 2 は、100 Mbps プランから 1 Gbps プランへのサービス プラン変更の一連の手順を示しています。

図2:サービスプラン Service Plan

再認証でサポートされる RADIUS 属性

表 2 は、RADIUS Access-Accept メッセージで受信した再認証時に処理できる RADIUS 標準属性と VSA を示し、認証が属性の変更を処理する方法を説明しています。属性の処理は、CoAのリクエスト処理と一致しています。再認証する加入者セッションの特性は、Access-Acceptメッセージで新しい値または新しい属性を受信した場合にのみ変更されます。

表 2:再認証でサポートされる RADIUS 属性

属性番号

属性名

処理結果

8

フレーム付き IP アドレス

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

22

フレームルート

新しい値が加入者セッション データベースに格納されます。古いデータが追加されます。

24

状態

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

25

クラス

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

26-4

プライマリ-DNS

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

26-5

セカンダリ-DNS

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

26-6

プライマリ - WINS

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

26-7

セカンダリ - WINS

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

26-55

DHCP-オプション

値は、加入者のDHCP設定への変更を処理するためにDHCPローカルサーバーに送信されます。

26-65

アクティベーションサービス

認証プロセスは、VSA 内のサービスのリストを、その加入者セッションで既にアクティブになっているサービスと比較します。

  • VSA のリストにまだアクティブでないサービスが含まれている場合、authd は加入者に対してそれらのサービスを有効にします。

  • 加入者セッションですでにアクティブなサービスがVSAにリストされていない場合、authdはそのサービスを無効化します。

例えば、サービスAとBがセッションでアクティブであるが、VSAにはサービスBとCしか含まれていないとします。サービスAはVSAリストに載っていないため、無効化されているとします。サービス C はリストに載っていますが、現在はアクティブではないため、authd は C をアクティブにします。サービス B はすでにアクティブで、かつリストに載っているため、アクティブなままです。

26-161

IPv6-Delegated-Pool-Name

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

26-206

更新時に再認証

値が 1(有効)の場合、authd は加入者セッションデータベースに値を追加します (まだ存在しない場合)。

値が 0 (無効) で、値 1 がデータベースにすでに存在する場合、authd はデータベース値を 0 に設定します。

メッセージ内の値が欠落しているか無効で、値がすでにデータベースに存在する場合、authd はデータベースから値を削除します。

26-207

DHCPv6-オプション

値は、加入者のDHCP設定への変更を処理するために、DHCPv6ローカルサーバーに送信されます。

88

フレーム付きプール

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

97

フレームドIPv6プレフィックス

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

100

フレーム付きIPv6プール

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

123

委任された IPv6 プレフィックス

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

168

フレーム付きIPv6アドレス

新しい値が加入者セッション データベースに格納されます。古いデータは上書きされます。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
18.4R1
Junos OS リリース 18.4R1 以降、DHCPv6 サーバーがアドレスの問題を検出すると、以前サポートされていた NoAddrsAvail と NoPrefixAvail のコードに加えて、NotOnLink のステータス コードがサポートされるようになりました。
18.1R1
検出メッセージと送信請求メッセージは、Junos OS リリース 18.1R1 以降の再認証をサポートしています。
external-footer-nav