- play_arrow 加入者管理向け AAA
- play_arrow 加入者管理向け AAA
- play_arrow 加入者管理のための RADIUS
- 加入者アクセス用のRADIUSサーバーとパラメーター
- 加入者を一意に識別するためのインターフェイス記述の保存とレポート
- 加入者アクセスのセッションオプション
- RADIUS NASポートの属性とオプション
- RADIUS 論理回線識別
- RADIUS 認証とアカウンティングの基本設定
- DHCP 加入者向けの RADIUS CoA の代替としての RADIUS 再認証
- DHCP 加入者の RADIUS 再認証の設定
- 加入者アクセスのRADIUSアカウンティング
- 加入者の AAA 情報の確認と管理
- セッション終了の原因とRADIUS終了の原因コード
- AAA 終了の原因とコード値
- DHCP 終端の原因とコード値
- L2TP終了の原因とコード値
- PPP 終了の原因とコード値
- VLAN終端の原因とコード値
- play_arrow 加入者管理用のドメインマップ
- play_arrow AAA のテストとトラブルシューティング
- play_arrow RADIUS 辞書ファイル
- Junos OS リリース 15.1 加入者管理 RADIUS ディクショナリ [DCT]
- Junos OS リリース 16.1 加入者管理RADIUS辞書 [DCT]
- Junos OS リリース 16.2 加入者管理 RADIUS ディクショナリ [DCT]
- Junos OS リリース 17.1 加入者管理 RADIUS ディクショナリ [DCT]
- Junos OS リリース 17.4 加入者管理 RADIUS ディクショナリ [DCT]
- Junos OS リリース 18.2 加入者管理 RADIUS ディクショナリ [DCT]
- Junos OS リリース 18.4 加入者管理 RADIUS ディクショナリ [DCT]
-
- play_arrow 加入者管理のためのDHCPとDHCPv6
- play_arrow 加入者管理のためのDHCP
- DHCP の概要
- 加入者認証およびアカウンティングパラメータのDHCPアクセスプロファイル
- デフォルトのDHCPローカルサーバーおよびDHCPリレー構成設定の上書き
- 負荷分散DHCPサーバーへのDHCPオファーおよびアドバタイズ応答の遅延
- DHCP オプションと選択的トラフィック処理
- DHCP オプション 82 の情報の使用
- DHCP加入者向けのデフォルトサービス
- DHCP クライアント属性とアドレスの割り当て
- IPアドレスのDHCPリース期間
- DHCP リースクエリ メソッド
- 外部AAA認証サービスによるDHCPクライアント認証
- RADIUSサーバーからのDHCPオプションの受信
- インターフェイスグループとサーバーグループに共通するDHCP設定
- インターフェイスあたりのDHCPクライアント数
- インターフェイス削除イベント中のDHCP加入者の維持
- DHCP ローカル サーバーからのクライアントの動的再構成
- DHCP 自動ログアウトを使用して IP アドレスを保存する
- DHCPショートサイクル保護
- DHCP の監視と管理
-
- play_arrow 加入者管理のための DHCPv6
- play_arrow パケットトリガー加入者サービス
- play_arrow パケットトリガー加入者サービス
-
- play_arrow 加入者管理のためのアドレス割り当てプール
- play_arrow 加入者管理のためのアドレス割り当てプール
-
- play_arrow 加入者管理用の DNS アドレス
- play_arrow 加入者管理用の DNS アドレス
-
- play_arrow M:N 加入者冗長性
- play_arrow アクセス ノード制御プロトコルと加入者サービス用 ANCP エージェント
- play_arrow アクセス ノード制御プロトコルと加入者サービス用 ANCP エージェント
-
- play_arrow Diameterベースプロトコルとそのアプリケーション
- play_arrow Diameterベースプロトコルとそのアプリケーション
-
- play_arrow 設定ステートメントと運用コマンド
DHCPネットワークのデュアルスタックアクセスモデル
DHCP アクセス ネットワークにおける IPv4 および IPv6 デュアル スタック
図 1 は、DHCP アクセス ネットワークのデュアルスタック インターフェイス スタックを示しています。IPv4ファミリー(inet)とIPv6ファミリー(inet6)は、同じVLANインターフェイス上に配置できます。
同じDHCPインターフェイス上でIPv4とIPv6のデュアルスタックを使用する場合、IPv4とIPv6の両方の加入者に対して1つの動的プロファイルを設定する必要があります。IPv4 と IPv6 に別々の動的プロファイルを設定した場合、IPv4 と IPv6 の加入者セッションを同じインターフェイス上で実行することはできません。
インターフェイスの逆多重化のサポート
IPv4およびIPv6のデュアルスタックは、VLANデモレイシング(デモックス)インターフェイスでサポートされています。デュアル スタックは、IP demux インターフェイスではサポートされていません。
参照
DHCPアクセスネットワーク上のデュアルスタックのAAAサービスフレームワーク
AAA サービス フレームワークは、BNG がネットワーク アクセスに使用するすべての認証、許可、アカウンティング、アドレス割り当て、およびダイナミック リクエスト サービスに使用できます。このフレームワークは、外部RADIUSサーバーを介した認証と許可をサポートします。また、外部サーバーを介したアカウンティングおよび動的要求の認可変更(CoA)および切断操作、およびローカルアドレス割り当てプールとRADIUSサーバーの組み合わせによるアドレス割り当てもサポートします。
BNGは外部サーバーと対話して、個々の加入者がブロードバンドネットワークにアクセスする方法を決定します。また、BNGは、外部サーバから以下の情報を取得することもできます。
サブスクライバーの認証方法。
アカウンティング統計の収集方法と使用方法。
CoAなどの動的なリクエストの処理方法。
DHCPアクセスネットワークを介したデュアルスタックの実装である 図2に示すように、IPv4とIPv6の認証とアカウンティング用に個別のAAAセッションがあります。
DHCP アクセス ネットワークでのアカウンティング統計の収集
AAA は、個別のアカウンティング セッションで IPv4 および IPv6 の統計情報をサポートします。
以下のRADIUS属性は、Acct-Start、Interim、Acct-Stopメッセージにデフォルトで含まれています(使用可能な場合)。
フレームドIPv6プレフィックス
フレーム付きIPv6プール
委任されたIPv6プレフィックス
フレーム IPv4 ルート
フレームドIPv6ルート
BNG を設定して、アカウンティングの Acct-Start メッセージと Acct-Stop メッセージからこれらの属性を除外できます。
認可変更(CoA)
RADIUS サーバーは、BNG に対して動的な要求を開始できます。動的リクエストには、VSAの変更やサービスの変更を指定するCoAリクエストが含まれます。
アクセスプロファイル設定では、ルータへの動的要求を開始できるRADIUS認証サーバのIPアドレスを指定します。認証サーバーのリストは、加入者ログイン時のRADIUSベースの動的なサービスアクティベーションおよび非アクティベーションも提供します。
DHCPホールセールネットワークにおけるデュアルスタックインターフェイススタック
図 3 は、DHCP ホールセール ネットワークのデュアル スタック インターフェイス スタックを示しています。このシナリオでは、IPv4 と IPv6 の demux インターフェースは、同じ VLAN インターフェース上で設定されています。デモックスインターフェイスは、別の論理システム:ルーティング インスタンスで設定されます。
シングルセッションDHCPデュアルスタックの概要
Junos OSは、シングルセッションDHCPデュアルスタックをサポートしています。これにより、従来のデュアルスタックサポートと比較して、デュアルスタック加入者の管理が簡素化され、パフォーマンスとセッション要件が改善されます。
DHCPデュアルスタック環境では、DHCPサーバーはDHCPv4とDHCPv6の両方の加入者をサポートします。DHCPサーバは、デュアルスタックのDHCPv4とDHCPv6の両方のレッグに対して、認証やアカウンティングなどのサービスを提供します。従来の実装では、デュアルスタックレッグの2つのレッグは独立していると見なされます。DHCPv4 と DHCPv6 に別々のレッグが存在すると、デュアルスタックの各レッグに同様のサポートを提供するために個別の複数のセッションが必要になる可能性があるため、非効率が生じます。たとえば、ダイナミック VLAN 上で従来のデュアルスタックの認証を提供するには、DHCPv4 用、DHCPv6 用、認証済みダイナミック VLAN 用の 3 つの個別のセッションが必要です。同様に、デュアルスタックのアカウンティング操作にも複数のセッションが必要になる場合があります。
動的VLANを介したデュアルスタックでは、従来のデュアルスタック構成では3つのセッションが必要であったのに対し、シングルセッションデュアルスタックでは認証に1つのセッションのみが必要です。デュアルスタックのアカウンティングサポートも、単一のセッションを使用します。シングルセッション機能は、必要なセッション数を減らすだけでなく、ルーターの設定を簡素化し、RADIUSメッセージの負荷を軽減し、デュアルスタック環境を持つ世帯の会計セッションのパフォーマンスを向上させます。
単一セッションのデュアルスタック環境では、ネゴシエートされた最初のDHCPセッションがダイナミックVLAN作成をトリガーし(必要な場合)、DHCPアプリケーションで承認されます。デュアルスタックの 2 番目のレグは、認証ポイントが完了するまで保留されます。デュアルスタックの2番目のレッグが確立されると、DHCPクライアントは、回線ID、リモートID、ユーザー名、インターフェイス名などのすべての共通加入者データベース値を最初のレッグから継承します。
図 4 では、デュアルスタック ユーザー向けにシングル サブスクライバー セッションが確立されています。
DHCP リレー エージェントと DHCP ローカル サーバーの単一セッション デュアルスタック サブスクライバを設定できます。 dual-stack-group
ステートメントを使用して、デュアルスタックサブスクライバーの値を指定する名前付きグループを作成します。次に、 dual-stack
ステートメントを使用してデュアルスタックグループの名前を指定し、グローバル、グループ、またはインターフェイスレベルでグループを加入者に割り当てます。
DHCPリレーエージェントの場合、これらのステートメントをそれぞれ
[edit forwarding-options dhcp-relay]
階層レベルと[edit forwarding-options dhcp-relay ... overrides]
階層レベルで設定します。DHCPローカルサーバーの場合、これらのステートメントをそれぞれ
[edit system services dhcp-local-server]
階層レベルと[edit system services dhcp-local-server ... overrides]
階層レベルで設定します。
シングルセッションデュアルスタックモデルでは、以下の共通のDHCP設定を構成できます。ほとんどの場合、これらの設定は、従来のデュアルスタック構成で個別の DHCPv4 および DHCPv6 レッグに使用される設定と類似しています。設定および参照されると、デュアルスタック設定が、それぞれのファミリーで設定された同じ項目よりも優先されます。
access-profile
—グローバル アクセス プロファイルまたは DHCP リレー エージェントまたは DHCP ローカル サーバー用に設定されたプロファイルで設定されたパラメータよりも優先されるデュアルスタック グループの認証およびアカウンティング パラメータを提供するアクセス プロファイル。authentication
- ルータが外部 AAA サーバに送信する認証関連パラメータ(パスワードやユーザ名など)。dual-stack authentication
スタンザは、v4 および v6 アドレスファミリーで別々に使用可能なスタンザと似ています。デュアルスタックの DHCPv4 レッグにusername-include
設定構文を使用する場合、オプションrelay-agent-interface-id
は DHCPv4relay-option-82 circuit-id
ステートメントに相当し、relay-agent-remote-id
オプションは DHCPv4relay-option-82 remote-id
ステートメントに相当します。2 つの DHCPv4 オプションを個別に設定する必要はありません。classification-key
- 分類キーは、デュアルスタック世帯の識別に使用するメカニズムを定義します。dual-stack-interface-client-limit
- インターフェイスごとにログインするデュアルスタックサブスクライバーの数を制限します。手記:デュアルスタックサブスクライバーの場合は、
interface-client-limit
ステートメントではなく、常にこのステートメントを使用します。dynamic-profile
—すべてのインターフェイス、インターフェイスの名前付きグループ、または特定のインターフェイスにアタッチされる動的プロファイル。liveness-detection
- サブスクライバーが設定された数の連続したライブネス検出要求に応答しなかった場合、バインディングを削除してリソースを解放するアクティブなライブネス検出プロトコル(加入者)を設定します。on-demand-address-allocation
—(DHCP ローカル サーバ)デュアルスタック加入者に対してオンデマンド アドレス割り当てモードを強制するかどうかを指定します。この設定がない場合、デュアルスタック加入者のIPv4およびIPv6ファミリーのすべてのIPアドレスとプレフィックスは、デュアルスタック加入者の最初のレグが最初にログインしたときに事前に割り当てられます。
デュアルスタック加入者の最初のレッグが最初にログインしたときにこの設定が存在する場合、RADIUS認証が実行され(設定されている場合)、この最初のファミリーのIPアドレスとプレフィックスのみが割り当てられます。もう一方のファミリーのIPアドレスとプレフィックスは、もう一方のファミリーレッグが最初にログインしない限り割り当てられません。
手記:セカンドファミリーへのIPアドレスの割り当ては、ファーストファミリーのログイン時に実行されたRADIUS認証によって通知されます。
Junos OS リリース 18.4R1 以降では、アドレス プールが削除されたことまたはドレインされていることを authd が DHCP プロセスに通知した場合、アドレス割り当ての方法をチェックして、その後の動作を決定します。 表 1 に動作を示します。
表 1:アドレスプールが削除またはドレインされた場合の動作 アドレス割り当て方法
アドレスプールがドレインされています
アドレスプールが削除される
オンデマンド
プール内のアドレスを持つファミリーは、DHCP更新または再バインドメッセージを受信すると正常にログアウトされます。
プール内のアドレスを持つ家族は、すぐにログアウトされます。
割り当て
両ファミリーのアドレスは、DHCP更新または再バインドメッセージを受信すると正常に削除されます。
両方のファミリーのアドレスはすぐに削除されます。
protocol-master
—この条件は、IPv4 または IPv6 ファミリーをデュアル スタック サブスクライバのプライマリ ファミリーとして指定します。セカンダリ ファミリのクライアント バインディングのログインは、プライマリ ファミリに有効なクライアント バインディングが設定されるまで拒否されます。注意:なんらかの理由でセカンダリファミリバインディングがログアウトされた場合、セカンダリファミリバインディングのみが破棄されます。
プライマリファミリーバインディングが何らかの理由でログアウトされた場合、プライマリファミリーとセカンダリファミリーの両方に対応するバインディングは破棄されます。
reauthenticate
—(DHCP ローカル サーバー)サービスのアクティブ化/非アクティブ化や属性の変更などの特性変更を開始するために、加入者の再認証を設定します。relay-agent-interface-id
—(DHCP リレー エージェント)DHCPv6 サーバー宛ての DHCPv6 パケットにリレー エージェント インターフェイス ID(オプション 18)を含めます。回線ID値に含まれるものを指定するために、多数のオプションを設定できます。デュアルスタックのDHCPv4レッグの場合、このステートメントには、DHCPv4サーバー宛てのパケットにDHCPv4
relay-option-82 circuit-id
が含まれます。relay-agent-remote-id
—(DHCP リレー エージェント)DHCPv6 サーバー宛ての DHCPv6 パケットにリレー エージェント リモート ID(オプション 37)を含めます。多数のオプションを設定して、リモート ID 値に含める内容を指定できます。デュアルスタックのDHCPv4レッグの場合、このステートメントには、DHCPv4サーバー宛てのパケットにDHCPv4
relay-option-82 remote-id
が含まれます。service-profile
- 加入者(またはクライアント)のログイン時にアクティブになる、デフォルト加入者サービス(またはデフォルトのDHCPクライアント管理サービス)の動的プロファイル。short-cycle protection
—短期間のクライアントセッションと、セッションネゴシエーションに繰り返し失敗するクライアントを検出してロックアウトし、高度に拡張されたネットワークでの接続と認証処理に関連するリソース使用量を削減します。
参照
単一セッション DHCP デュアルスタック サポートの設定
単一セッションのデュアルスタックサポートの設定は、2段階のプロセスです。まず、DHCP デュアルスタックの DHCPv4 レッグと DHCPv6 レッグ間で共有される設定パラメータを指定するデュアルスタックグループを作成します。次に、DHCPv4およびDHCPv6加入者のデフォルトのDHCP設定を上書きして、デュアルスタックグループをDHCP加入者インターフェイスに接続します。デュアルスタックの両方のレッグのデュアルスタックグループを参照する必要があります。グループを片方のレッグにのみアタッチすると、ルーターはもう片方のレッグを拒否します。デュアルスタックグループは、グローバル、指定されたインターフェイスのDHCPグループ、または特定のインターフェイスにアタッチできます。
シングルセッションのデュアルスタックグループサポートを設定します。
DHCP デュアルスタック構成の検証と管理
目的
DHCPシングルセッションデュアルスタック設定に関連する情報を表示します。
アクション
デュアルスタッククライアントのDHCPリレーエージェントバインディング情報を表示するには、次の手順に従います。
content_copy zoom_out_mapuser@host> show dhcp relay binding
detail
デュアルスタック クライアントの DHCPv6 リレー エージェント バインディング情報を表示するには、次の手順に従います。
content_copy zoom_out_mapuser@host> show dhcpv6 relay binding
detail
DHCP デュアルスタッククライアントに割り当てられた IP4 および IPv6 アドレスを表示するには、次の手順に従います。
content_copy zoom_out_mapuser@host>show subscribers
特定のセッションの IPv4 および IPv6 アドレスを表示するには:
content_copy zoom_out_mapuser@host>show network-access aaa subscribers session-id session-id session-id detail
デフォルト ルーティング インスタンスのデュアルスタックの DHCPv4 リレー バインディングと関連する DHCPv6 バインディングをすべてクリアします。このコマンドは、デュアルスタックに関連付けられていない DHCPv6 専用スタックには影響しません。
content_copy zoom_out_mapuser@host>clear dhcp relay binding dual-stack all
または、アドレス、VLAN インターフェイス、論理システム、またはルーティング インスタンスにクリアリングを制限することもできます。
デフォルトのルーティング インスタンスのデュアルスタックのすべての DHCPv6 リレー バインディングと関連する DHCPv4 バインディングをクリアするには。このコマンドは、デュアルスタックに関連付けられていない DHCPv4 専用スタックには影響しません。
content_copy zoom_out_mapuser@host>clear dhcpv6 relay binding dual-stack all
または、アドレス、VLAN インターフェイス、論理システム、またはルーティング インスタンスにクリアリングを制限することもできます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。