RADIUS論理ラインの識別
RADIUS LLID(論理回線識別子)の概要
論理回線識別(LLID)機能により、サービス プロバイダは、頻繁に物理回線から別の回線に移動する加入者の信頼性の高い最新の顧客データベースを維持できます。LLID は、サービス プロバイダに加入者アクセス回線用に構成可能な呼び出しステーション ID を提供するように設計されています。コール ステーション ID は、物理回線の場所と加入者クライアントの情報から取得されます。サービスプロバイダの施設から取得した回線情報は、加入者が頻繁に物理的な場所を移動する際に、アクセスラインの所有権を管理するアクセスライン卸売業者にとってフレンドリーではありません。LLID機能は、加入者が使用する物理回線ではなく、仮想ポート(LLID)に基づいています。LLID は、サービス プロバイダ(通常は卸売業者)に AAA 駆動の回線情報管理を提供します。
LLIDは、加入者ユーザー名と回線IDに基づく英数字文字列です。LLID は加入者回線を論理的に識別し、サービス プロバイダの顧客データベース内の加入者の物理回線にマッピングされます。加入者が別の場所と異なる物理回線に移動すると、データベースが更新され、LLID が新しい物理回線にマッピングされます。加入者のLLIDは常に維持されるため、サービスプロバイダは加入者を追跡し、正確な顧客データベースを維持するための安全で信頼性の高い手段を提供します。加入者管理は、PPPoE、PPPoA、および LAC を介した PPP 加入者の LLID 機能をサポートします。
加入者にLLIDを割り当てるには、ルーターが2つのRADIUSアクセスリクエストを発行します。最初のリクエストは事前認証リクエストで、RADIUS事前認証サーバーからLLIDを取得します。2 つ目のリクエストは、RADIUS 認証サーバーに送信される標準認証要求です。
以下の一連の手順では、加入者管理が LLID を取得して使用する方法について説明します。この手順では、ルーターで事前認証が有効になっており、RADIUS 事前認証および認証サーバーが構成されていることを前提としています。
PPP加入者は、認証要求メッセージをルーターに送信します。
ルーターは、RADIUS 事前認証サーバーに Access-Request メッセージを送信して、加入者の LLID を取得します。
事前認証サーバーは、Access-Accept メッセージの RADIUS 属性 31(Calling-Station-Id 属性 31)内のルーターに LLID を返します。
メモ:このステップには、Calling-Station-Id 属性の標準以外の使用が含まれています。この属性は通常、応答メッセージではなく、アクセスリクエストなどのRADIUSリクエストメッセージに存在します。また、ルーターは、事前認証 Access-Accept メッセージで返される Calling-Station-Id 以外のすべての RADIUS 属性を無視します。さらに、 などcalling-station-id-format、ルーターで設定された任意radius optionsのデバイスは、事前認証要求の Calling-Station-Id 属性には影響しません。
ルーターは、2 番目の Access-Request メッセージで Calling-Station-Id(LLID)をエンコードし、RADIUS 認証サーバーにメッセージを送信します。この認証要求は、Calling-Station-Id属性の標準的な使用です。
RADIUS 認証サーバーは、ルーターに Access-Accept メッセージを返します。Access-Acceptメッセージには、加入者セッションの属性が含まれています。
メモ:事前認証された加入者がRADIUS認証サーバーによって正常に認証されると、アカウンティングリクエストメッセージなどの後続のすべてのRADIUSリクエストメッセージには、Calling-Station-Id属性にLLIDが含まれます。
トンネリングPPP加入者の場合、L2TPアクセスコンセントレータ(LAC)として機能するルーターは、LLIDを呼び出し番号AVP(L2TP属性22)にエンコードし、受信コールリクエスト(ICRQ)パケット内のL2TPネットワークサーバー(LNS)に属性を送信します。事前認証要求に成功した後、ルーターは常に L2TP 呼び出し番号 AVP の LLID をエンコードします。
LLID事前認証要求のRADIUS属性
表 1 は、加入者の LLID を取得するために事前認証要求で使用される RADIUS IETF 属性と、属性に含まれる情報を示しています。場合によっては、事前認証は IETF 記述とは異なる情報に属性を使用します。この表は、RADIUS 属性を標準外で使用していることを示しています。
属性番号 |
属性名 |
説明 |
---|---|---|
1 |
ユーザー名 |
(属性の非標準的な使用。)LLID に関連付けられたユーザーの識別情報を次の形式で示します。
例:
メモ:
ルーターは、事前認証時に、ユーザー名属性から動的に生成された情報を除去します。 |
2 |
ユーザーパスワード |
(属性の非標準的な使用。)認証するユーザーのパスワード。 例:常に に設定する |
4 |
NAS-IPアドレス |
ユーザーの認証を要求するネットワークアクセスサーバー(NAS)のIPアドレス 例: |
5 |
NASポート |
ユーザーを認証するNASの物理ポート番号。常にビット フィールドとして解釈 |
6 |
サービスタイプ |
ユーザーが要求したサービスのタイプまたは提供されるサービスのタイプ。 例: |
61 |
NASポートタイプ |
NASがユーザーの認証に使用している物理ポートのタイプ。ステートメントを |
77
|
接続情報 |
(属性の非標準的な使用。)ユーザー名。 例: |
87 |
NASポートID |
ユーザーを認証するNASの物理インターフェイスを識別するテキスト文字列。動的に生成された情報を含みます。 例: |
論理回線識別(LLID)事前認証の設定
論理ライン識別(LLID)機能により、サービスプロバイダは、加入者が使用する物理ポートではなく、仮想ポート(LLID)に基づいて加入者を追跡できます。LLIDは、アクセスプロファイルで設定するRADIUS事前認証サーバーによって割り当てられます。
LLID機能の事前認証をサポートするようにルーターを設定するには:
RADIUSアクセス要求メッセージから Calling-Station-ID属性を除外するように ステートメントを設定した radius attributes exclude
場合、この手順では事前認証ステートメントを設定できません。
加入者事前認証サポートに使用するアクセスプロファイルを指定します。
[edit]
user@host# edit access profile profile-name
ルーターがサポートされている事前認証方法を使用する順序を指定します。 radius は、唯一サポートされている認証方法です。
[edit access profile profile-name]
user@host# set preauthentication-order radius
RADIUSサポートを設定することを指定します。
[edit access profile profile-name]
user@host# edit radius
事前認証に使用する RADIUS サーバーの IP アドレスを指定します。
[edit access profile profile-name radius]
user@host# set preauthentication-server 192.168.100.10
メモ:事前認証機能では、RADIUS認証サーバーに
retry
設定されている およびtimeout
パラメーターを使用します。(オプション)AAA 事前認証統計を表示します。
user@host>
show network-access aaa statistics preauthentication
Preauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(オプション)RADIUS事前認証サーバーの設定を検証します。
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
LLID事前認証要求のポートとパスワードの設定
RADIUSクライアントとして動作するルーターを設定して、2つの異なるUDPポートで認証と事前認証要求を行い、異なる秘密パスワードを使用してRADIUSサーバーに接続できます。認証およびアカウンティング要求のポート番号を設定するのと同様に、ルーターが論理ライン識別(LLID)事前認証要求のためにRADIUSサーバーに接続するために使用する一意のポート番号を定義できます。また、事前認証要求に一意のパスワードを定義することもできます。事前認証の目的で個別のUDPポートまたはシークレットを設定しない場合、認証メッセージに設定したのと同じUDPポートとシークレットが使用されます。
事前認証要求の RADIUS サーバーへの接続に使用する一意の UDP ポート番号を構成するには、 または [edit access profile profile-name radius-server server-address]
階層レベルに ステートメントを[edit access radius-server server-address]
含preauthentication-port port-number
めます。
すべてのアクセス プロファイルに UDP ポートを指定するには、
[edit access] radius-server server-address { preauthentication-port port-number; }
特定のアクセス プロファイルの UDP ポートを指定するには、
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
RADIUS事前認証サーバーに接続するために使用するパスワードを設定するには、 [edit access radius-server server-address]
または [edit access profile profile-name radius-server server-address]
階層レベルに ステートメントを含めますpreauthentication-secret password
。
すべてのアクセス プロファイルのパスワードを指定するには、
[edit access] radius-server server-address { preauthentication-secret password; }
特定のアクセス プロファイルのパスワードを指定するには、
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }