Diameterベースプロトコル
Diameterベースプロトコルの概要
Diameterプロトコルは、 RFC 3588、Diameterベースプロトコルで定義されており、より柔軟で拡張可能なRADIUSの代替手段を提供します。Diameterベースプロトコルは、別のDiameterインスタンスで実行される1つ以上のアプリケーション(関数とも呼ばれます)に基本サービスを提供します。個々のアプリケーションは、拡張AAA機能を提供します。Diameterを使用するアプリケーションには、Gx-Plus、JSRC、NASREQ、PTSP、S6aなどがあります。Junos OSリリース13.1R1以降、パケットトリガーによる加入者およびポリシー制御(PTSP)機能はサポートされなくなりました。
Diameterピアは、標準のDiameter AVPとアプリケーション固有のAVPを使用して、ステータス、リクエスト、確認を伝えるDiameterメッセージを交換することで、信頼性の高いTCPトランスポート層接続を介して通信します。Diameterトランスポート層の構成は、Diameterネットワーク要素(DNE)に基づいています。Diameterインスタンスごとに複数のDNEがサポートされています。現在、事前定義された マスター 直径インスタンスのみがサポートされていますが、マスター直径インスタンス値の多くに代替値を設定できます。
各DNEは、ピアの優先順位付けされたリストと、トラフィックの転送方法を定義するルートのセットで構成されています。各ルートは、宛先を関数(アプリケーション)、関数パーティション、およびメトリックに関連付けます。アプリケーションがルーティングされた宛先にメッセージを送信すると、Diameterプロトコルインスタンス内のすべてのルートが一致するかどうか調べられます。宛先への最適なルートが選択されると、そのルートを含むDNEを介してメッセージが転送されます。
同じ宛先への複数のルートが、特定のDNE内および異なるDNE内に存在できます。転送の要求に一致するルートが複数ある場合、以下のように最適なルートが選択されます。
メトリックが最も低いルートが選択されます。
同点の場合は、仕様スコアが最も高いルートが選択されます。
別の同点の場合は、DNEの名前が辞書順に比較されます。DNE内の値が最も小さいルートが選択されます。例えば、dne-austin は dne-boston よりも低い値を持っています。
ルートが同じDNE内で結ばれている場合、ルート名は辞書順に比較されます。値が最も小さいルートが選択されます。
ルートの仕様スコアは、デフォルトでは0です。ポイントは次のようにスコアに加算されます。
宛先レルムがリクエストに一致する場合は、1を追加します。
宛先ホストがリクエストに一致する場合は、2を追加します。
関数が要求に一致する場合は、3を追加します。
関数パーティションが要求に一致する場合は、4を追加します。
同じ宛先への複数のルートが、特定のDNE内および異なるDNE内に存在できます。転送の要求に一致するルートが複数ある場合、Diameterは次のように最適なルートを選択します。
Diameterは、ルートのメトリックを比較し、メトリックが最も低いルートを選択します。
複数のルートに同じ最小メトリックがある場合、Diameterは最も適格なルートを選択します。Diameterは、ルートの複数の属性を評価して、各ルートがリクエストにどの程度具体的に一致するかを反映するスコアを決定します。デフォルトでは、ルートのスコアは0です。ポイントは次のようにスコアに加算されます。
宛先レルムがリクエストに一致する場合は、1を追加します。
宛先ホストがリクエストに一致する場合は、2を追加します。
関数が要求に一致する場合は、3を追加します。
関数パーティションが要求に一致する場合は、4を追加します。
複数のルートが等しく修飾されている場合、DiameterはDNEの名前を辞書順に比較し、DNEの中で値が最も小さいルートを選択します。例えば、dne-austin は dne-boston よりも低い値を持っています。
ルートが同じDNE内で結ばれている場合、Diameterはルート名を辞書順に比較し、値が最も小さいルートを選択します。
DNE の状態が変化すると、すべての宛先のルート ルックアップが再評価されます。ルーティングされた宛先への未処理のメッセージはすべて、必要に応じて再ルーティングされるか、破棄されます。
Diameterネットワーク要素を設定するには、[edit diameter]階層レベルにnetwork-elementステートメントを含め、[edit diameter network-element element-name forwarding]階層レベルにrouteステートメントを含めます。
DNEのルートを設定するには、[edit diameter network-element element-name forwarding route dne-route-name]階層レベルでdestination(オプション)、function(オプション)、およびmetricステートメントを含めます。
[edit diameter network-element element-name]階層レベルで1つ以上のpeerステートメントを含めて、DNEに関連付けられたDiameterピアを指定します。
[edit diameter network-element element-name peer peer-name]階層レベルでpriorityステートメントを使用して、各ピアの優先度を設定します。
Diameterでは、オリジンノードに関する情報を設定する必要があります。これは、DiameterインスタンスのDiameterを発生させるエンドポイントノードです。[edit diameter]階層レベルでhostステートメントとrealmステートメントを含めて、Diameterの原点を設定します。
オプションで、1つ以上のトランスポートを設定して、トランスポート層接続の送信元(ローカル)アドレスを指定できます。Diameterトランスポートを設定するには、[edit diameter]階層レベルでtransportステートメントを含めます。次に、[edit diameter transport transport-name]階層レベルにaddressステートメントを含めます。
オプションで、[edit diameter transport transport-name]階層レベルでlogical-systemおよびrouting-instanceステートメントを含めることで、接続の論理システムとルーティングインスタンスを指定することができます。デフォルトでは、Diameterはデフォルトの論理システムとデフォルトのルーティングインスタンスを使用します(メインのinet.0ルーティングテーブルを使用)。トランスポート接続の論理システムとルーティングインスタンスがピアの論理システムとルーティングインスタンスと一致しないと、設定エラーが報告されます。
各Diameterピアは名前で指定されます。ピア属性には、このピアへのアクティブな接続で使用されるアドレスと宛先TCPポートが含まれます。Diameterピアを設定するには、[edit diameter]階層レベルにpeerステートメントを含め、[edit diameter peer peer-name]階層レベルにaddressステートメントとconnect-activelyステートメントを含めます。
アクティブな接続を設定するには、[edit diameter peer peer-name connect-actively]階層レベルでportおよびtransportステートメントを含めます。割り当てられたトランスポートは、ピアへのアクティブな接続の確立に使用されるトランスポート層の送信元アドレスを識別します。transportステートメント。
直径を使用する利点
Diameterは、RADIUSと比較してはるかに低い頻度で使用情報を報告することで、ネットワークとサーバーへの負荷を軽減できます。RADIUSには、使用状況の変更とは無関係に定期的な更新が含まれます。GxなどのDiameterアプリケーションでは、ルーターからPCRFへの使用統計の相関的なプッシュを使用してしきい値を設定できます。その後、PCRF はサービスとコストを適切に調整できます。
無線サービスと充電は通常、Diameterアプリケーションで実行されますが、有線サービスでは一般的にRADIUSベースのインフラストラクチャが使用されています。有線と無線の両方のサービスを所有するお客様は、有線運用を既存のDiameterベースの無線インフラストラクチャに移行することで、個別のインフラストラクチャを維持する複雑さとコストを削減できます。
Diameter上で実行されるアプリケーションはステートフルである傾向がありますが(NASREQなど、その両方である場合もあります)、RADIUSはステートフルではありません。
Diameterでは、NASREQ、Gx、Gy、JSRC、S6aなど、複数のアプリケーションプロトコルを実行できます。
RADIUSよりも大きな属性スペースにより、RADIUSよりも多くの標準属性およびベンダー固有属性(AVP)を使用できます。Diameterは、RADIUS標準属性もサポートしており、AVP 1から255を予約します。
Diameterアプリケーションで使用されるメッセージ
Junos OSは、以下のDiameterアプリケーションをサポートしています。
JSRC—IANA(http://www.iana.org)に Policy-Control-JSRC として登録され、ID 16777244ジュニパー の ジュニパーネットワークス Diameter アプリケーション。SAE(リモートSRCピア)と通信します。
PTSP—IANA(http://www.iana.org)に ジュニパー JGx として登録され、ID が 16777273 の ジュニパーネットワークス Diameter アプリケーション。SAE(リモートSRCピア)と通信します。Junos OSリリース13.1R1以降、パケットトリガーによる加入者およびポリシー制御(PTSP)機能はサポートされなくなりました。
Gx-Plus—有線ユースケース向けに3GPP Gxインターフェイスを拡張するアプリケーション。3GPP GxがIANA(http://www.iana.org)に登録されています。PCRFと通信します。
メッセージに含まれる特定のAVPのデータがルーターで利用できない場合、Gx-PlusはPCRFに送信するメッセージからAVPを省略します。PCRF が決定を下すのに十分な情報がないと判断した場合、要求を拒否する場合があります。Diameterの回答メッセージには、結果コードAVP(AVP 268)が含まれます。この AVP の値は、成功、失敗、またはエラーをリクエスターに伝えます。
NASREQ—RFC 7155で定義されたDiameterベースの認証、許可、アカウンティングプロトコル。Junos OSは、認証と許可のみをサポートしています。
また、ジュニパーネットワークスは、ジュニパー-Session-Recoveryアプリケーション(16777296)と2つの新しいコマンドコード(ジュニパー-Session-Events用の8388628とジュニパー-Session-Discovery用の8388629)をIANA(http://www.iana.org)に登録しました。
表1は 、アプリケーションが使用するDiameterメッセージを示しています。
Diameterメッセージ |
コード |
アプリケーション |
説明 |
|---|---|---|---|
AAリクエスト(AAR) |
265 |
JSRC、NASREQ、PTSP |
新規加入者ログイン時、またはSAEアプリケーション同期中にアプリケーションからSAEにリクエストします。リクエストは、アドレス承認、プロビジョニングリクエスト、同期の3つのタイプのいずれかです。 |
AA-Answer(AAA) |
265 |
JSRC、NASREQ、PTSP |
アプリケーションのAA-Requestメッセージに対するSAEからの応答。 |
セッションリクエストの中止(ASR) |
274 |
JSRC、NASREQ、PTSP |
SAEからアプリケーションに、プロビジョニングされた加入者をログアウトするようにリクエストします。 |
Abort-Session-Answer(ASA) |
274 |
JSRC、NASREQ、PTSP |
SAEのASRメッセージに対するアプリケーションからの応答。アプリケーションがログアウト要求を AAA に送信した場合、ASA メッセージには成功通知(ACK)が含まれます。ログアウトに失敗した場合、ASA メッセージには失敗通知(NAK)が含まれます。 |
アカウンティングリクエスト(ACR) |
271 |
JSRC、PTSP |
SAEからアプリケーションへ、またはアプリケーションからSAEへ統計情報をリクエストします。 |
Accounting-Answer(ACA) |
271 |
JSRC、PTSP |
ACR メッセージに応答して、インストールされている各ポリシー (サービス) の統計情報を提供します。 |
CER(機能交換リクエスト) |
257 |
Gxプラス |
ピアがトランスポート接続を確立したときに、あるピアから別のピアにリクエストします。機能ネゴシエーションを開始します。CERは、ピアのアイデンティティと機能(サポートされるアプリケーションやセキュリティメカニズムなど)をアナウンスします。 |
Capability Exchange Answer(CEA) |
257 |
Gxプラス |
このピアの機能をアナウンスするためのCERメッセージへの応答。このピアにCERを送信したピアと共通の機能がない場合は、結果コードAVPをDIAMETER_NO_COMMON_APPLICATIONに設定し、接続をドロップする必要があります。それ以外の場合、CEA の詳細はピア間の共通機能を確立し、ピアが通信をさらに確立できるようにします。 |
与信管理リクエスト(CCR) |
272 |
Gxプラス |
加入者ログイン、ログアウト、または更新時に、Gx-PlusからPCRFにリクエストします。 加入者がログインし、AAAに加入者のセッションのアクティブ化が要求されると、初期リクエスト(CCR-I)が送信されます。10秒以内にPCRFからCCA-Iメッセージを受信しない場合、Gx-PlusはCCR-Iメッセージを再試行します。CCR-Iメッセージは最大3回再試行されます。 CCR-Iメッセージには、Subscription-Id-TypeのDiameter AVPサブ属性(450)が4(END_USER_PRIVATE)に設定され、Subscription-Id-DataのDiameter AVPサブ属性(444)が 4つのCCR-Iメッセージ(最初のメッセージと3回の再試行)が送信された後、CCA-Iが受信されなかった場合、Gx-PlusはCCR-Nメッセージの送信を開始します。CCR-Nメッセージは、PCRFから成功または失敗の応答を受信するまで、永久に再試行されます。CCR-Nメッセージには、加入者サービスのアクティベーションに関してローカルの決定を下す権限があることをルーターに通知するために、ローカルに設定されたジュニパープロビジョニングソースAVP(AVPコード2101)が含まれます。 使用状況のしきい値に達すると、更新リクエスト(CCR-U)メッセージが送信されます。CCR-Uは、すべての統計の実際の使用状況をレポートします。PCRF は、新しい監視しきい値、サービスのアクティブ化、サービスの非アクティブ化を含む CCA-U メッセージを返す場合があります。 CCR-UレポートでPCRFがタイムアウトした場合、ルーターはしきい値のデフォルトを10分に設定します。しきい値の変化が最小値より小さい場合、値は最小値に調整されます。例えば、継続時間の最小増加は10分です。 CCR-Uも送信され、サービスの有効化または無効化のステータスを報告します。監視対象サービスが加入者のログアウトとは別に非アクティブ化されると、CCR-Uはサービスがアクティブでなくなったことを示し、サービスの使用状況データを含めます。 終了リクエスト(CCR-T)は、加入者のログアウト時に送信され、プロビジョニングされた加入者セッションが終了することをPCRFに通知します。CCR-T メッセージは、PCRF から成功応答を受信するまで永久に再試行されます。 加入者ログアウトの一部として監視対象サービスが非アクティブ化されると、CCR-Tメッセージには、使用バイト数など、サービスの監視対象の使用状況データが含まれます。 |
クレジットコントロールアンサー(CCA) |
272 |
Gxプラス |
PCRFからCCRメッセージへの応答。 CCR-Iに応答して、PCRFは、加入者が要求されたサービスに対して十分なクレジットを持っているかどうかに応じて、成功(DIAMETER_SUCCESS)または失敗(DIAMETER AUTHORIZATION REJECTED)を示すCCA-Iメッセージを返します。その他の応答はすべて無視され、CCR-I が再試行されます。 CCR-Tに応答して、PCRFは、結果コードAVPの値2001(DIAMETER SUCCESS)で終了の成功を示すCCA-Tメッセージを返します。その他の応答はすべて無視され、CCR-T が再試行されます。 CCA-NはCCR-Nへの応答です。 |
ジュニパーセッションディスカバリーリクエスト(JSDR) |
8388629 |
Gxプラス |
ルーター上の加入者セッションを検出するためのPCRFからGx-Plusへの検出リクエスト。 |
ジュニパーセッションディスカバリーアンサー(JSDA) |
8388629 |
Gxプラス |
ルーターから JSDR メッセージへの返信。セッション情報について説明します。結果コード AVP には、次のいずれかの値またはエラー値が含まれています。
|
ジュニパーセッションイベントリクエスト(JSER) |
8388628 |
Gxプラス |
ルーターで発生するイベントに関してルーターからPCRFにリクエストします。ジュニパーイベントタイプAVP(AVPコード2103)を含めることで、ルーター上の特定のイベントをPCRFに通知します。報告されるイベントには、コールドブートまたはウォームブート、明示的なディスカバリー要求、大幅な設定変更、PCRFからの無応答またはエラー応答、フォールトトレラントリソースの枯渇などが含まれます。 |
ジュニパーセッションイベントアンサー(JSEA) |
8388628 |
Gxプラス |
PCRF から JSER メッセージへの応答。 |
プッシュプロファイルリクエスト(PPR) |
288 |
JSRC、PTSP |
SAEからルーターに、加入者向けのサービスを有効化または無効化するようにリクエストします。 |
プッシュプロファイルアンサー(PPA) |
288 |
JSRC、PTSP |
SAE の PPR メッセージに対するルーターからの応答。要求内の各サービスアクティベーションまたは非アクティベーションコマンドの成功または失敗通知が含まれます。 |
再認証リクエスト(RAR) |
258 |
Gxプラス |
PCRF からルーターへのリクエストを監査して、特定の加入者がまだ存在するかどうかを判断します。 監視キーとしきい値は、RARで受信されると、ルーターが更新されます。 |
再認証応答(RAA) |
258 |
Gxプラス |
ルーターからRARメッセージへの返信。加入者がアクティブかどうかを示します。結果コード AVP には、次のいずれかの値が含まれます。
|
セッションリソースクエリ(SRQ) |
277 |
JSRC、PTSP |
ルーターからSAEに、またはSAEからルーターにリクエストして、ルーターとSAE間の同期を開始します。 |
SRR(セッションリソース応答) |
277 |
JSRC、PTSP |
SRQメッセージに応答して同期を開始します。 |
セッション終了リクエスト(STR) |
275 |
JSRC、NASREQ、PTSP |
プロビジョニングされた加入者がログアウトしたことをルーターからSAEに通知します。 |
セッション終了応答(STA) |
275 |
JSRC、NASREQ、PTSP |
SAEからルーターのSTRメッセージへの応答。成功または失敗の通知が含まれます。 |
Diameter AVPとDiameterアプリケーション
Diameterは、標準IETF RADIUS属性とVSA(ベンダー固有属性)の両方で情報を伝えるのと同じように、Diameterメッセージにさまざまな属性値ペア(AVP)を含めることでRADIUS情報を伝えます。 表2は 、サポートされているDiameterアプリケーションとの対話で使用される標準Diameter AVPの一覧です。Diameterは、Diameterに実装されているRADIUS属性用にAVP属性番号0から255を予約します。「直径」(Diameter) 属性番号は、対応する標準 RADIUS 属性と同じです。255 より上の番号の属性には、対応する標準 RADIUS 属性はありません。Junos OSリリース13.1R1以降、パケットトリガーによる加入者およびポリシー制御(PTSP)機能はサポートされなくなりました。
属性番号 |
直径AVP |
アプリケーション |
説明 |
タイプ |
|---|---|---|---|---|
1 |
ユーザー名 |
Gx-Plus、JSRC、NASREQ |
ユーザー名を指定します。AAAによって管理されている加入者の場合、値は加入者のログイン名です。静的インターフェイスの場合、値は加入者のログイン名として使用されるインターフェイス名です。 |
UTF8文字列 |
2 |
ユーザーパスワード |
NASREQ |
認証されるユーザーのパスワード、またはマルチラウンド認証交換におけるユーザーの認証入力を指定します。 |
オクテット文字列 |
4 |
NAS-IPアドレス |
NASREQ |
ユーザーを認証するNASのIPアドレスを指定します。 |
IPアドレス |
6 |
サービスタイプ |
NASREQ |
ユーザーが要求したサービスの種類または提供するサービスの種類を指定します。このようなAVPの1つが、認証または許可の要求または応答に存在する場合があります。これらのサービスタイプのすべてを実装するためにNASは必要ではありません。 |
列挙済み |
8 |
フレーム化されたIPアドレス |
Gx-Plus、JSRC、NASREQ、PTSP |
加入者に設定されたIPv4アドレスを識別します。これは、RADIUS Framed-IP-Address属性[8]の値と同じです。 |
オクテット文字列 |
9 |
フレーム化されたIP-ネットマスク |
NASREQ |
IPv4ネットマスクの4つのオクテットを識別します。 |
オクテット文字列 |
11 |
フィルターID |
NASREQ |
ユーザーのフィルターリストの名前を指定します。人間が読めるように意図されています。0個以上のフィルターID AVPを認証応答メッセージで送信できます。 |
UTF8文字列 |
12 |
フレーム付き-MTU |
NASREQ |
他の手段(PPPなど)によってネゴシエートされない場合に、ユーザーに設定する最大送信単位(MTU)を指定します。 |
符号なし32 |
22 |
フレームルート |
NASREQ |
7 ビットの US-ASCII ルーティング情報を指定します。 |
UTF8文字列 |
25 |
クラス |
NASREQ |
Diameterサーバーからアクセスデバイスに状態情報を返します。 |
オクテット文字列 |
27 |
セッションタイムアウト |
NASREQ |
セッションが終了する前にユーザーに提供されるサービスの最大秒数を指定します。 |
符号なし32 |
28 |
アイドルタイムアウト |
NASREQ |
セッションの終了前またはプロンプトが発行されるまでに、ユーザーが許可できる連続アイドル接続の最大秒数を指定します。 |
符号なし32 |
32 |
NAS識別子 |
NASREQ |
ユーザーにサービスを提供するNASのIDを指定します。 |
直径 |
44 |
Acct-Session-ID |
NASREQ |
RADIUS Acct-Session-Id属性の内容を指定します。 |
オクテット文字列 |
50 |
Acct-Multi-Session-ID |
NASREQ |
複数の関連するアカウンティングセッションをリンクします。各セッションは固有のセッションIDを持ちますが、同じAcct-Multi-Session-Id AVPを持ちます。 |
UTF8文字列 |
55 |
イベントタイムスタンプ |
Gx-Plus、JSRC、PTSP |
この AVP が含まれているメッセージをトリガーしたイベントの時刻を指定します。時刻は、1900年1月1日00:00 UTCからの秒単位で示されています。 |
時間 |
60 |
チャップチャレンジ |
NASREQ |
NASからCHAPピアに送信されるPPPチャレンジ-ハンドシェイク認証プロトコル(CHAP)チャレンジを指定します。 |
オクテット文字列 |
61 |
NASポートタイプ |
NASREQ |
NASがユーザーを認証するポートのタイプを指定します。 |
列挙済み |
62 |
ポート制限 |
NASREQ |
NASがユーザーに提供するポートの最大数を指定します。 |
符号なし32 |
78 |
設定トークン |
NASREQ |
使用されるユーザープロファイルのタイプを示します。 |
オクテット文字列 |
85 |
Acct-Interim-Interval |
JSRC、PTSP |
このセッションの各中間アカウンティング更新間の秒数を指定します。 ルーターは、暫定アカウンティングに以下のガイドラインを使用します。
|
符号なし32 |
87 |
NASポートID |
Gx-Plus、JSRC、NASREQ、PTSP |
ユーザーを認証するNASのポートを識別します。これは、RADIUS NAS-Port-Id属性[87]と同じ値です。 |
UTF8文字列 |
88 |
フレームプール |
NASREQ |
ユーザーのアドレス割り当てに使用する割り当て済みアドレスプールの名前を指定します。NASが複数のアドレスプールをサポートしていない場合、NASはこのAVPを無視します。アドレスプールは通常IPアドレスに使用されますが、NASが他のプロトコルのプールをサポートしている場合は、それらのプロトコルに使用できます。 |
オクテット文字列 |
97 |
Framed-IPv6-Prefix |
NASREQ |
ユーザーに設定されたIPv6プレフィックスを指定します。 |
オクテット文字列 |
99 |
Framed-IPv6-ルート |
NASREQ |
NAS上のユーザーに対して設定されたUS-ASCIIルーティング情報を指定します。 |
UTF8文字列 |
100 |
フレームIPv6プール |
NASREQ |
ユーザーにIPv6プレフィックスを割り当てるために使用する割り当てプールの名前を指定します。アクセスデバイスが複数のプレフィックスプールをサポートしていない場合、このAVPを無視する必要があります。 |
オクテット文字列 |
258 |
認証アプリケーションID |
NASREQ |
アプリケーションの認証と承認部分のサポートを指定します。 |
符号なし32 |
263 |
セッションID |
Gx-Plus、JSRC、NASREQ、PTSP |
加入者セッション識別子を指定します。ルーターは、加入者セッションを一意に識別するために値を割り当てます。 |
UTF8文字列 |
264 |
オリジン-ホスト |
NASREQ |
Diameterメッセージを発信するホストを指定します。 |
直径 |
268 |
結果コード |
Gx-Plus、JSRC、NASREQ、PTSP |
要求が正常に完了したかどうかを示します。要求が失敗した場合のエラーコードを提供します。 Diameterでは、次のクラスが認識されます。
数字 6 から 9 または 0 で始まる認識されないクラスは、永久的な失敗として処理されます。 JSRC と PTSP は、以下の値をサポートしています。成功しない値はすべて永久的な失敗として扱われます。
JSRC は、永続的な障害として扱われる以下の値もサポートしています。
Gx-Plusは、PCRF応答のエラーに対して以下の値をサポートしています。これらの値を受信した場合、または応答の形式が正しくないか認識できない場合、リクエストが再試行されます。
|
符号なし32 |
269 |
製品名 |
Gxプラス |
機能交換リクエスト(CER)および機能交換応答(CEA)メッセージのProduct-Nameフィールドの値を指定します。 製品名を変更すると、ルーターはDiameterピアへの既存の接続をすべて切断し、新しい名前を使用して再接続します。 |
UTF8文字列 |
277 |
Authセッション状態 |
JSRC、NASREQ、PTSP |
AAAセッション状態が維持されているかどうかを示します。
|
列挙済み |
279 |
失敗-AVP |
NASREQ |
特定のAVPの情報に誤りがあるためにリクエストが拒否されたり、完全に処理されなかったりした場合のデバッグ情報を指定します。Result-Code AVPの値は、Failed-AVP AVPの理由に関する情報を提供します。 |
グループ化済み |
281 |
エラーメッセージ |
NASREQ |
結果コードAVPに付随する可能性のある人間が読めるエラーメッセージを指定します。エラーメッセージAVPは、リアルタイムで役立つことを意図したものではありません。ネットワークエンティティがメッセージを解析することを期待しないでください。 |
UTF8文字列 |
283 |
宛先レルム |
NASREQ |
Diameter メッセージがルーティングされる Diameter レルムを指定します。 |
直径 |
293 |
宛先ホスト |
NASREQ |
直径メッセージがルーティングされるホストを指定します。 |
直径 |
295 |
終了原因 |
JSRC、NASREQ、PTSP |
アクセスデバイスでセッションが終了した理由を示します。
|
列挙済み |
296 |
オリジン-レルム |
NASREQ |
Diameterメッセージの発信元のDiameterレルムを識別します。 |
直径 |
402 |
CHAP-Auth |
NASREQ |
CHAPを使用してユーザーを認証するために必要な情報を指定します。 |
グループ化済み |
415 |
CCリクエスト番号 |
Gxプラス |
セッション内のリクエストを特定します。Session-IdとCC-Request-Typeの組み合わせは、グローバルに一意です。この数は、セッション中にリクエストごとに増加します。この番号は、ルーターの高可用性イベントが発生するとリセットされます。 |
符号なし32 |
416 |
CCリクエストタイプ |
Gxプラス |
与信管理要求のタイプを指定します。
|
列挙済み |
431 |
付与されたサービスユニット |
Gxプラス |
クライアントが指定した CC-Input-Octets、CC-Output-Octets、CC-Time、または CC-Total-Octets の 1 つ以上の要求ユニットの提供できる量が含まれます。CCA-I メッセージに含まれ、CCA-U メッセージに含まれる場合があります。 |
グループ化済み |
443 |
サブスクリプションID |
Gxプラス |
単独では表示されない以下のサブ属性が含まれます。
|
グループ化済み |
446 |
使用済みサービスユニット |
Gxプラス |
実際に使用された、要求されたユニットの量が含まれます。サービスがアクティブ化されたときの4から測定されます。単位は、クライアントによって指定された次の要求された単位のうちの1つ以上です:CC-Input-Octets、CC-Output-Octets、CC-Time、またはCC-Total-Octets。CCR-Uメッセージに含まれています。 |
グループ化済み |
480 |
アカウンティングレコードタイプ |
JSRC、PTSP |
サービスアカウンティングのアカウントレコードのタイプを指定します。
|
列挙済み |
1001 |
充電ルールインストール |
Gx-Plus、NASREQ |
付属のCharging-Rule-Name AVP(1005)で指定されたルール(サービスのアクティベーション)のインストールを要求します。このAVPのベンダーIDは10415(3GPP)です。 |
グループ化済み |
1002 |
充電ルール削除 |
Gxプラス |
付属のCharging-Rule-Name AVP(1005)で指定されたルールの削除(サービスの非アクティブ化)をリクエストします。このAVPのベンダーIDは10415(3GPP)です。 |
グループ化済み |
1005 |
充電ルール名 |
Gx-Plus、NASREQ |
インストール、変更、または削除された特定のルールの名前を指定します。 |
オクテット文字列 |
1066 |
モニタリングキー |
Gxプラス |
使用する監視構造を指定します。Charging-Rule-Install AVP(1001)に含まれています。MXルーターはサービス間の統計情報の集計をサポートしていないため、このAVPの値はサービスごとに異なる必要があります。このAVPのベンダーIDは10415(3GPP)です。 |
オクテット文字列 |
1067 |
使用状況監視情報 |
Gxプラス |
監視しきい値を設定します。サービス統計が付与されたサービス値の少なくとも1つに一致する場合、ルーターは現在の統計情報を含むCCR-UレポートをPCRFに送信します。監視キー AVP(1066)と付与されたサービスユニット AVP(431)が含まれます。このAVPのベンダーIDは10415(3GPP)です。 |
グループ化済み |
標準のDiameter AVPに加えて、ジュニパーネットワークスAVPが使用されます。これらのAVPのベンダーID(企業番号)は2636または4874で、概念はRADIUSのVSA(ベンダー固有属性)と類似しています。 表3は 、サポートされているDiameterアプリケーションが使用するジュニパーネットワークスAVPの一覧です。
属性番号 |
直径AVP |
ベンダーID |
アプリケーション |
説明 |
タイプ |
|---|---|---|---|---|---|
213 |
インターフェイスセットターゲティングウェイト |
4874 |
NASREQ |
インターフェイスセットの重みを指定して、そのインターフェイスとそのメンバーリンクを、ターゲットディストリビューション用の集合型イーサネットメンバーリンクに関連付けます。 |
符号なし32 |
214 |
インターフェイスターゲティングウェイト |
4874 |
NASREQ |
インターフェイスの重みを指定して、インターフェイスをインターフェイスセットに関連付け、ターゲットディストリビューション用にセットの集合型イーサネットメンバーリンクに関連付けます。インターフェイスセットに重みがない場合、最初に許可された加入者インターフェイスのインターフェイスの重み値がセットに使用されます。 |
符号なし32 |
2004 |
ジュニパーサービスバンドル |
2636 |
JSRC |
サービスバンドルの名前を指定します。 |
オクテット文字列 |
2010 |
ジュニパーDHCP-オプション |
2636 |
JSRC |
クライアントのDHCPオプションを指定します。 |
オクテット文字列 |
2011 |
ジュニパーDHCP-GIアドレス |
2636 |
JSRC |
DHCPリレーエージェントのIPアドレスを指定します。 |
オクテット文字列 |
2020 |
ジュニパーポリシーインストール |
2636 |
JSRC、PTSP |
加入者に対してアクティブ化するポリシーを指定します。ジュニパーポリシー名とジュニパーポリシー定義を含む |
グループ化済み |
2021 |
ジュニパーポリシー名 |
2636 |
JSRC、PTSP |
ポリシー決定の名前を定義します。 |
オクテット文字列 |
2022 |
ジュニパーポリシー定義 |
2636 |
JSRC、PTSP |
ポリシー決定を定義します。ジュニパー-ポリシー名、ジュニパー-テンプレート名、ジュニパー-置換が含まれます。 |
グループ化済み |
2023 |
ジュニパーテンプレート名 |
2636 |
JSRC、PTSP |
ルーターによって定義されたプロファイル名を指定します。PTSPは、 |
UTF8文字列 |
2024 |
ジュニパーの代替 |
2636 |
JSRC、PTSP |
置換属性を定義します。ジュニパー-Substitution-Nameとジュニパー-Substitution-Valueが含まれます。 |
オクテット文字列 |
2025 |
ジュニパーの代替名 |
2636 |
JSRC、PTSP |
置換する変数の名前を定義します。 |
オクテット文字列 |
2026 |
ジュニパー代替値 |
2636 |
JSRC、PTSP |
置換する変数の値を定義します。 |
オクテット文字列 |
2027 |
ジュニパーポリシー削除 |
2636 |
JSRC、PTSP |
加入者に対して非アクティブ化するポリシーを指定します。ジュニパーポリシー名が含まれます。 |
グループ化済み |
2035 |
ジュニパーポリシー失敗 |
2636 |
JSRC、PTSP |
失敗したポリシーのアクティブ化または非アクティブ化の名前を指定します。 |
オクテット文字列 |
2038 |
ジュニパーポリシーサクセス |
2636 |
JSRC、PTSP |
成功したポリシーのアクティブ化または非アクティブ化の名前を指定します。 |
オクテット文字列 |
2046 |
ジュニパー論理システム |
2636 |
JSRC、PTSP |
論理システムを指定します。 |
UTF8文字列 |
2047 |
ジュニパールーティングインスタンス |
2636 |
JSRC、PTSP |
ルーティングインスタンスを指定します。 |
UTF8文字列 |
2048 |
ジュニパー-JSRC-パーティション |
2636 |
JSRC、PTSP |
加入者またはリクエストの論理システムとルーティングインスタンスを指定します。ジュニパー論理システムとジュニパールーティングインスタンスを含む |
グループ化済み |
2050 |
ジュニパーリクエストタイプ |
2636 |
JSRC、PTSP |
要求のタイプについて説明します。
|
列挙済み |
2051 |
ジュニパー同期タイプ |
2636 |
JSRC、PTSP |
同期のタイプについて説明します。
|
列挙済み |
2052 |
ジュニパー同期 |
2636 |
JSRC、PTSP |
同期の状態について説明します。
|
列挙済み |
2053 |
ジュニパーアカウントレコード |
2636 |
JSRC、PTSP |
この加入者にインストールされている各ポリシーの統計データを指定します。ジュニパーポリシー名が含まれます。 |
グループ化済み |
2054 |
ジュニパーアカウントコレクト |
2636 |
JSRC、PTSP |
ジュニパーポリシーインストールAVPに含まれている場合、インストールされたポリシー(サービス)のアカウンティングデータを収集するかどうかを指定します。
|
列挙済み |
2058 |
ジュニパー州ID |
2636 |
JSRC、PTSP |
破棄するメッセージを識別するために、各同期サイクルに割り当てられる値を指定します。同じ
注:
要求された同期要求の場合、SRQメッセージには増分された |
符号なし32 |
2100 |
ジュニパー仮想ルーター |
2636 |
GX-Plus、JSRC |
セッションに関連付けられている仮想ルーターの名前を指定します。 |
UTF8文字列 |
2101 |
ジュニパープロビジョニングソース |
2636 |
Gxプラス |
CCR-NおよびJSDAメッセージでセッションのプロビジョニングソースを指定します。
|
列挙済み |
2102 |
ジュニパープロビジョニング記述子 |
2636 |
Gxプラス |
セッションIDと、オプションでジュニパープロビジョニングソースと加入者データを含むJSDAメッセージで使用されるグループを定義します。 |
グループ化済み |
2103 |
ジュニパーイベントタイプ |
2636 |
Gxプラス |
JSERメッセージでイベントタイプを伝達します。
|
列挙済み |
2104 |
ジュニパーディスカバリー記述子 |
2636 |
Gxプラス |
検出リクエストのパラメーター(検出タイプ、リクエスト文字列、詳細度、最大結果)を含むJSDRおよびJSDAメッセージで使用されるグループを定義します。 |
グループ化済み |
2105 |
ジュニパーディスカバリータイプ |
2636 |
Gxプラス |
JSDRおよびJSDAメッセージのディスカバリーサブコマンドを指定します。
|
列挙済み |
2106 |
ジュニパー詳細レベル |
2636 |
Gxプラス |
JSDRおよびJSDAメッセージの詳細レベルを指定します。
|
列挙済み |
2107 |
ジュニパー-String-A |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用文字列を指定します。 |
UTF8文字列 |
2108 |
ジュニパー-String-B |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用文字列を指定します。 |
UTF8文字列 |
2109 |
ジュニパー-String-C |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用文字列を指定します。 |
UTF8文字列 |
2110 |
ジュニパー-Unsigned32-A |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用の符号なし 32 ビット整数を指定します。 |
符号なし32 |
2111 |
ジュニパー-Unsigned32-B |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用の符号なし 32 ビット整数を指定します。 |
符号なし32 |
2112 |
ジュニパー-Unsigned32-C |
2636 |
Gxプラス |
コンテキストに従って解釈される汎用の符号なし 32 ビット整数を指定します。 |
符号なし32 |
2200 |
ジュニパー-IPv6-Ndraプレフィックス |
2636 |
JSRC |
加入者のセッションデータベースIPv6Prefixエントリーで利用可能な場合、このAVPはSAEに送信されるAARプロビジョニングリクエストメッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
IPv6プレフィックス |
2201 |
ジュニパーフレームIPv6ネットマスク |
2636 |
JSRC |
加入者のセッションデータベースIPv6Addressエントリで利用可能な場合、このAVPはSAEに送信されるAARプロビジョニングリクエストメッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
IPv6アドレス |
2202 |
ジュニパーエージェントサーキットID |
2636 |
JSRC |
アクセスノードと加入者回線で加入者を識別します。加入者のセッションデータベースエントリーで利用可能な場合、このAVPはSAEに送信されるAARプロビジョニングリクエストメッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
オクテット文字列 |
2203 |
ジュニパーエージェントリモートID |
2636 |
JSRC |
アクセスノードで加入者を特定します。加入者のセッションデータベースエントリーで利用可能な場合、このAVPはSAEに送信されるAARプロビジョニングリクエストメッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
オクテット文字列 |
2204 |
ジュニパー-acct-IPv6-入力オクテット |
2636 |
JSRC |
インターフェイス上で受信したIPv6オクテットの数。この AVP は、値がゼロの場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
2205 |
ジュニパー-acct-IPv6-出力オクテット |
2636 |
JSRC |
インターフェイス上で送信されたIPv6オクテットの数。この AVP は、値がゼロの場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
2206 |
ジュニパー-acct-IPv6-input-pkts |
2636 |
JSRC |
インターフェイス上で受信したIPv6パケット数。この AVP は、値がゼロの場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
2207 |
ジュニパー-acct-IPv6-output-pkts |
2636 |
JSRC |
インターフェイス上で送信されたIPv6パケット数。この AVP は、値がゼロの場合でも、SAE に送信される ACR アカウンティング要求メッセージに含まれます。 このAVPは、JSRCデュアルスタックサポートを有効にした場合にのみ使用されます。 |
符号なし64 |
Tekelec AVPはGx-Plusにのみ使用されます。これらのAVPの企業番号は21274です。 表4は 、Tekelec AVPの一覧です。これら 4 つの変数は、ユーザー定義の CoS サービス変数の置換値を提供するために使用されます。
属性番号 |
直径AVP |
アプリケーション |
説明 |
タイプ |
|---|---|---|---|---|
5555 |
tekelec-charging-rule-argument-name |
Gxプラス |
置換するサービス変数の名前を定義します。 |
オクテット文字列 |
5556 |
tekelec-charging-rule-argument-value |
Gxプラス |
置換するサービス変数の値を定義します。 |
オクテット文字列 |
5557 |
tekelec-charging-rule-argument |
Gxプラス |
サービス変数の置換に使用する置換属性を定義します。tekelec-charging-rule-argument-name AVP(5555)およびtekelec-charging-rule-argument-value AVP(5556)が含まれます。 |
グループ化済み |
5558 |
Tekelec-Charging-Rule-with-Arguments |
Gxプラス |
付属のCharging-Rule-Name AVP(1005)で指定されたルール(サービスのアクティベーション)のインストールを要求します。要求されたサービス変数の置換は、オプションで組み込まれている Tekelec-Charging-Rule-Argument AVP (5557) によって提供されます。 |
グループ化済み |
直径の設定
Diameterを設定するには、エンドポイントの起点、リモートピア、トランスポート層接続、およびルートをピアに関連付けるネットワーク要素を指定します。現在、マスター Diameter インスタンスのみがサポートされています。このDiameterインスタンスの代替値を設定できるのは、デフォルトのルーティングインスタンスのコンテキスト内でのみです。
Diameterベースプロトコルを設定するには:
Diameter インスタンスの原点属性の設定
DiameterインスタンスのDiameterメッセージを発信するエンドポイントノードの識別特性を設定できます。ホスト名は、Diameterインスタンスによって送信元ホストAVPの値として提供されます。レルムは、DiameterインスタンスによってOrigin-Realm AVPの値として提供されます。
Diameterインスタンスのオリジン属性を設定するには:
Diameterピアの設定
Diameterがメッセージを送信するピアを設定できます。Diameterは、デフォルトの論理システムとルーティングインスタンスを使用します。ポート3868は、デフォルトでピアへのアクティブな接続に使用されます。
Diameterインスタンスのリモートピアを設定するには:
例えば、以下のピア p3 の設定では、IPv4 アドレス、ルーティング インスタンス ri8、宛先ポート 49152、トランスポート t6、ホスト 1 の発信元を example.com で指定し、メッセージに送信元状態 AVP を含めています。
[edit diameter] user@host# edit peer p3 [edit diameter peer p3] user@host# set address 192.168.23.10 user@host# set routing-instance ri8 user@host# set connect-actively port 49152 user@host# set connect-actively transport t6 user@host# set peer-origin host host1 realm example.com user@host# set send-origin-state-id
直径トランスポートの設定
Diameterインスタンスに1つ以上のトランスポートを設定して、ローカル接続のIPv4またはIPv6アドレスを設定し、オプションで論理システムまたはルーティングインスタンスコンテキストを設定できます。Diameterは、デフォルトの論理システムとルーティングインスタンスを使用します。トランスポート接続の論理システムとルーティングインスタンスがピアの論理システムとルーティングインスタンスと一致しないと、設定エラーが報告されます。複数のピアが同じトランスポートを共有できます。
Diameterインスタンスのトランスポートを設定するには:
例えば、以下のトランスポートt1の設定では、IPv6アドレス、論理システムls5、ルーティングインスタンスri10を指定します。
[edit diameter] user@host# edit transport t1 [edit diameter transport t1] user@host# set address 2001:db8::113:200 user@host# set logical-system ls5 user@host# set routing-instance ri10
Diameterネットワーク要素の設定
Diameterネットワーク要素(DNE)は、関連するアプリケーション(CLIでは関数と呼ばれます)、優先順位付けされたピアのリスト、および一連の転送ルールで構成されています。転送ルールは、関連する宛先、アプリケーション、およびメトリックのセットを通じて個々のルートを定義します。Diameterプロセス(jdiameterd)を開始するには、シャーシごとに少なくとも1つのDNEを設定する必要があります。
Diameter ネットワーク要素を設定する前に、次のタスクを実行します。
直径ピアを定義します。 直径ピアの設定を参照してください。
Diameterネットワーク要素を設定するには:
例:S6a アプリケーションの設定
この例では、SRXシリーズファイアウォールで直径ベースの認証 S6aアプリケーションを設定し、加入者サーバーから認証情報を取得する方法を示します。
要件
概要
この例では、S6a パーティションを作成し、エンドポイントの送信元、リモートピア、およびルートをピアに関連付けるネットワーク要素を指定して、S6a メッセージの直径転送を制御します。また、S6a パーティションを作成して 現在、マスター Diameter インスタンスのみがサポートされています。 master Diameterインスタンスの代替値を設定できるのは、デフォルトのルーティングインスタンスのコンテキスト内でのみです。
設定
- アクセスプロファイルとDiameterアプリケーションパラメータの設定
- 冗長イーサネットインターフェイスの設定
- セキュリティゾーンとセキュリティポリシーを設定して、S6a Diameterアプリケーションを許可します。
アクセスプロファイルとDiameterアプリケーションパラメータの設定
CLIクイックコンフィグレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set access-profile s6a_test authentication-order s6a set access profile s6a_test authentication-order s6a set access s6a partition partition_name set access s6a partition partition_name destination-realm zzz.com set access s6a partition partition_name destination-host s6b.zzz.com set access s6a partition partition_name diameter-instance master set access s6a partition partition_name max-outstanding-requests 40 set access s6a partition partition_name response-timeout 20 set diameter origin realm zzz.com set diameter origin host s6a.zzz.com set diameter network-element ne3 set diameter network-element peer p3 set diameter network-element peer p3 priority 100 set diameter network-element ne3 forwarding route r0 set diameter network-element ne3 forwarding route r0 metric 100 set diameter peer p3 address 192.0.0.244 set diameter peer p3 connect-actively port 63101
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
アクセスプロファイルと直径アプリケーションパラメータを設定するには:
認証順序に使用するアクセスプロファイルを指定します。
[edit access-profile] user@host# set s6a_test
認証方法が使用される順序を指定します。
[edit access profile] user@host# set s6a_test authentication-order s6a
パーティションを作成するか、既存のパーティションの名前を指定します。
[edit access] user@host# set s6a partition partition_name
s6a パーティションの宛先レルムを設定します。
[edit access] user@host# set s6a partition partition_name destination-realm zzz.com
s6aパーティションの宛先ホストを設定します。
[edit access] user@host# set s6a partition partition_name destination-host s6b.zzz.com
s6a パーティションの Diameter インスタンスを指定します。
[edit access] user@host# set s6a partition partition_name diameter-instance master
注:現在、デフォルトのDiameterインスタンスである
masterのみがサポートされています。未処理のリクエストの数に制限を設定します。
[edit access] user@host# set s6a partition partition_name max-outstanding-requests 40
s6aが加入者ログアウトメッセージの送信を停止するまでの時間を秒単位で設定します。
[edit access] user@host# set s6a partition partition_name response-timeout 20
Diameterメッセージを発信するレルムの名前を含めます。
[edit diameter] user@host# set origin realm zzz.com
Diameterメッセージを発信するホストの名前を含めます。
[edit diameter] user@host# set origin host s6a.zzz.com
ネットワーク要素の名前を指定します。
[edit diameter] user@host# set network-element ne3
Diameterピアをネットワーク要素に関連付けます。
[edit diameter] user@host# set network-element peer p3
ピアの優先度を設定します。
[edit diameter] user@host# set network-element peer p3 priority 100
定義した転送ルールに基づいて、ネットワーク要素を介して到達可能なルートを指定します。
[edit diameter] user@host# set network-element ne3 forwarding route r0
ルートのメトリックを指定します。
[edit diameter] user@host# set network-element ne3 forwarding route r0 metric 100
DiameterピアのIPアドレスを指定します。
[edit diameter] user@host# set peer p3 address 192.0.0.244
Diameterがピアへのアクティブな接続に使用するポートを指定します。
[edit diameter] user@host# set peer p3 connect-actively port 63101
結果
設定モードから、 show access および show diameter コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show access
s6a {
partition partition_name {
destination-realm zzz.com;
destination-host s6b.zzz.com;
diameter-instance master;
max-outstanding-requests 40;
response-timeout 20;
}
}
[edit]
user@host# show diameter
origin {
realm zzz.com;
host s6a.zzz.com;
}
network-element ne3 {
forwarding {
route r0 {
metric 100;
}
}
}
peer p3 {
address 192.0.0.244;
connect-actively {
port 63101;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
冗長イーサネットインターフェイスの設定
CLIクイックコンフィグレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-7/0/0 gigether-options redundant-parent reth0 set interfaces ge-7/0/1 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth0 unit 0 family inet address 192.0.0.254/8 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth1 unit 0 family inet address 198.51.100.254/8
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
冗長イーサネットインターフェイスを設定するには:
冗長イーサネットインターフェイスを設定します。
[edit interfaces] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-7/0/0 gigether-options redundant-parent reth0 user@host# set ge-7/0/1 gigether-options redundant-parent reth1 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth0 unit 0 family inet address 192.0.0.254/8 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth1 unit 0 family inet address 198.51.100.254/8
結果
設定モードから、 show interfaces コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 192.0.0.254/8;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family inet {
address 198.51.100.254/8;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
セキュリティゾーンとセキュリティポリシーを設定して、S6a Diameterアプリケーションを許可します。
CLIクイックコンフィグレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set security zones security-zone Outside host-inbound-traffic system-services all set security zones security-zone Outside host-inbound-traffic protocols all set security zones security-zone Outside interfaces reth1.0 set security zones security-zone Inside host-inbound-traffic system-services all set security zones security-zone Inside host-inbound-traffic protocols all set security zones security-zone Inside interfaces reth0.0 set security policies from-zone Inside to-zone Outside policy policy0 match source-address any set security policies from-zone Inside to-zone Outside policy policy0 match destination-address any set security policies from-zone Inside to-zone Outside policy policy0 match application any set security policies from-zone Inside to-zone Outside policy policy0 then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
セキュリティポリシーとゾーンを設定するには:
reth1.0インターフェイスでシステムサービスとプロトコルを設定します。
[edit security] user@host# set zones security-zone Outside host-inbound-traffic system-services all user@host# set zones security-zone Outside host-inbound-traffic protocols all user@host# set zones security-zone Outside interfaces reth1.0
reth0.0インターフェイスでシステムサービスとプロトコルを設定します。
[edit security] user@host# set zones security-zone Inside host-inbound-traffic system-services all user@host# set zones security-zone Inside host-inbound-traffic protocols all user@host# set zones security-zone Inside interfaces reth0.0
セキュリティポリシーを設定します。
[edit security ] user@host# set policies from-zone Inside to-zone Outside policy policy0 match source-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match destination-address any user@host# set policies from-zone Inside to-zone Outside policy policy0 match application any user@host# set policies from-zone Inside to-zone Outside policy policy0 then permit
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security policies
from-zone Inside to-zone Outside {
policy policy0 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
[edit]
user@host# show security zones
security-zone Outside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.0;
}
}
security-zone Inside {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth0.0;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
S6a ステータスの確認
目的
設定が正常に機能していることを確認するには、以下のタスクを実行します。
アクション
動作モードから、 show network-access s6a state、 show network-access s6a statistics、 show network-access s6a statistics extensive コマンドを入力して、s6aアプリケーションのネットワークアクセス状態と統計情報を確認します。
user@host> show network-access s6a state S6a state: Component Value active-configuration yes queue-state normal request-count 0
user@host> show network-access s6a statistics S6a general counters: Counter ............Value aia-grant ..........1
user@host> show network-access s6a statistics extensive S6a general counters: Counter Value air 0 air-retry 0 air-failures 0 aia 0 aia-grant 0 aia-deny 0 aia-timeout 0 aia-failure 0 aia-late-response 0 aia-parse-errors 0 aia-drops-no-session 0 aia-drops-bad-orealm 0 aia-drops-bad-ohost 0 aia-drops-no-result 0 aia-drops-other 0 aia-bad-result 0 aia-bad-data 0 rx-unsupported-resp-cmd 0 rx-bad-experimental-result 0 rx-bad-authentication-info 0 rx-bad-utran-vector 0 rx-bad-eutran-vector 0 rx-bad-geran-vector 0 rx-parse-errors 0 S6a diameter event counters: Diameter event Value bad data message 0 good data message 0 bad flags 0 bad fixed destination 0 bad routed destination 0 tx is over limit 0 bad end-to-end id 0 no peer for tx 0 peer down while waiting for answer 0 timeout while waiting for answer 0 tx timeout 0 tx try limit 0 tx failure 0 discarded 0 received answer is over limit 0 tx failure: no memory 0 base-app-tx-timeout 0 base-app-rx-timeout 0 base-app-tx-discard 0 base-app-rx-discard 0
意味
show network-access s6a state、show network-access s6a statistics、およびshow network-access s6a statistics extensive コマンドは、S6aのアプリケーション状態と、サブスクライブされたサーバーから取得した認証情報の統計を表示します。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。