RADIUS論理回線識別
RADIUS論理回線識別子(LLID)の概要
論理回線識別(LLID)機能は、サービス プロバイダが物理回線間を頻繁に移動する加入者のために、信頼性の高い最新の顧客データベースを維持するのに役立ちます。LLID は、サービス プロバイダーに加入者アクセス回線の設定可能な発信ステーション ID を提供するように設計されています。発信ステーションIDは、物理回線の場所と加入者クライアントの情報から取得されます。サービスプロバイダの施設から取得された回線情報は、加入者が頻繁に物理的な場所を移動する場合、アクセス回線ホールセール業者がアクセス回線の所有権を管理するには適していません。LLID 機能は、加入者が使用する物理回線ではなく、仮想ポートである LLID に基づいています。LLID は、サービス プロバイダー (通常は卸売業者) とともに AAA 駆動の回線情報管理を提供します。
LLID は、加入者のユーザー名と回線 ID に基づく英数字の文字列です。LLID は加入者回線を論理的に識別し、サービス プロバイダ顧客データベース内の加入者の物理回線にマッピングされます。加入者が別の場所や別の物理回線に移動すると、データベースが更新され、LLID が新しい物理回線にマッピングされます。加入者の LLID は一定に保たれているため、サービス プロバイダーは、加入者を追跡し、正確な顧客データベースを維持するための安全で信頼性の高い手段を提供します。加入者管理は、PPPoE、PPPoA、およびLAC上のPPP加入者向けのLLID機能をサポートしています。
LLID を加入者に割り当てるために、ルーターは 2 つの RADIUS アクセス要求を発行します。最初のリクエストは事前認証リクエストで、RADIUS 事前認証サーバーから LLID を取得します。2 番目の要求は、RADIUS 認証サーバーに送信される標準の認証要求です。
次の一連の手順では、加入者管理が LLID を取得して使用する方法について説明します。この手順は、ルーターで事前認証が有効で、RADIUSの事前認証および認証サーバーが設定されていることを前提としています。
PPP 加入者は、Authentication-Request メッセージをルーターに送信します。
ルーターは、加入者のLLIDを取得するために、Access-RequestメッセージをRADIUS事前認証サーバーに送信します。
事前認証サーバーは、Access-AcceptメッセージのCalling-Station-ID属性(RADIUS属性31)のLLIDをルーターに返します。
注:このステップには、Calling-Station-Id属性の非標準的な使用が含まれます。この属性は、通常、応答メッセージではなく、Access-RequestなどのRADIUSリクエストメッセージに存在します。また、ルーターは、事前認証のAccess-Acceptメッセージで返されるRADIUS属性(Calling-Station-Id)以外のすべてのRADIUS属性を無視します。さらに、calling-station-id-formatなど、ルーターで設定されたradius optionsは、事前認証要求のCalling-Station-Id属性には影響しません。
ルーターは、2 つ目の Access-Request メッセージで Calling-Station-ID(LLID)をエンコードし、そのメッセージを RADIUS 認証サーバーに送信します。この認証要求は、Calling-Station-Id属性の標準的な使用法です。
RADIUS 認証サーバーは、Access-Accept メッセージをルーターに返します。Access-Acceptメッセージには、加入者セッションの属性が含まれています。
注:事前認証された加入者がRADIUS認証サーバーによって正常に認証されると、Accounting-Requestメッセージなど、後続のすべてのRADIUS要求メッセージのCalling-Station-Id属性にLLIDが含まれます。
トンネル化されたPPP加入者の場合、L2TPアクセスコンセントレータ(LAC)として機能するルーターが、LLIDを発信者番号AVP(L2TP属性22)にエンコードし、その属性をIncoming-Call-Request(ICRQ)パケットとしてL2TPネットワークサーバー(LNS)に送信します。事前認証リクエストが成功すると、ルーターは常にL2TP発信者番号AVPでLLIDをエンコードします。
LLID 事前認証要求の RADIUS 属性
表1は、加入者のLLIDを取得するための事前認証要求で使用されるRADIUS IETF属性を示し、属性に含まれる情報を示しています。場合によっては、事前認証では、IETFの説明とは異なる情報に対する属性が使用されます。表は、RADIUS属性の非標準的な使用を示しています。
属性番号 |
属性名 |
説明 |
|---|---|---|
1 |
ユーザー名 |
(属性の非標準的な使用。LLID に関連付けられたユーザーの識別情報(次の形式)。
例:
注:
ルーターは、事前認証中にUser-Name属性から動的に生成された情報を削除します。 |
2 |
ユーザーパスワード |
(属性の非標準的な使用。認証するユーザーのパスワード。 例:常に |
4 |
NAS-IPアドレス |
ユーザーの認証を要求しているネットワークアクセスサーバー(NAS)のIPアドレス 例: |
5 |
NASポート |
ユーザーを認証するNASの物理ポート番号。常にビットフィールドとして解釈されます |
6 |
サービスタイプ |
ユーザーが要求したサービスの種類、または提供するサービスの種類 例: |
61 |
NASポートタイプ |
NASがユーザーの認証に使用する物理ポートのタイプ。 |
77
|
コネクトインフォ |
(属性の非標準的な使用。ユーザー名。 例: |
87 |
NASポートID |
ユーザーを認証するNASの物理インターフェイスを識別するテキスト文字列。動的に生成された情報が含まれます。 例: |
論理回線識別(LLID)事前認証の設定
LLID(論理回線識別)機能により、サービスプロバイダは、加入者が使用する物理ポートではなく、仮想ポート(LLID)に基づいて加入者を追跡できます。LLID は、アクセス プロファイルで設定する RADIUS 事前認証サーバーによって割り当てられます。
LLID 機能の事前認証をサポートするようにルーターを設定するには:
Access-RequestメッセージからCalling-Station-ID属性を除外するように radius attributes exclude ステートメントを設定している場合RADIUS、この手順で事前認証ステートメントを設定することはできません。
加入者の事前認証サポートに使用するアクセスプロファイルを指定します。
[edit]user@host# edit access profile profile-nameルーターがサポートされている事前認証方法を使用する順序を指定します。 radius は、サポートされている唯一の認証方法です。
[edit access profile profile-name]user@host# set preauthentication-order radiusRADIUS サポートを設定することを指定します。
[edit access profile profile-name]user@host# edit radius事前認証に使用するRADIUSサーバーのIPアドレスを指定します。
[edit access profile profile-name radius]user@host# set preauthentication-server 192.168.100.10注:事前認証機能では、RADIUS認証サーバーに設定された
retryパラメーターとtimeoutパラメーターを使用します。(オプション)AAA事前認証統計情報を表示します。
user@host>
show network-access aaa statistics preauthenticationPreauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(オプション)RADIUS事前認証サーバーの設定を検証します。
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
LLID 事前認証リクエスト用のポートとパスワードの設定
RADIUSクライアントとして動作するルーターを設定して、2つの異なるUDPポートで、異なる秘密パスワードを使用して、RADIUSサーバーに接続して、認証および事前認証要求を行うことができます。認証およびアカウンティング要求のポート番号の設定と同様に、ルーターが論理回線識別(LLID)の事前認証要求のためにRADIUSサーバーに接続するために使用する一意のポート番号を定義できます。事前認証要求用に一意のパスワードを定義することもできます。事前認証用に別のUDPポートまたはシークレットを設定しない場合、認証メッセージ用に設定したものと同じUDPポートとシークレットが使用されます。
事前認証要求のためにRADIUSサーバーに接続するために使用する一意のUDPポート番号を設定するには、[edit access radius-server server-address]または[edit access profile profile-name radius-server server-address]階層レベルでpreauthentication-port port-numberステートメントを含めます。
すべてのアクセスプロファイルのUDPポートを指定するには:
[edit access] radius-server server-address { preauthentication-port port-number; }特定のアクセスプロファイルのUDPポートを指定するには:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
RADIUS事前認証サーバーへの連絡に使用するパスワードを設定するには、[edit access radius-server server-address]または[edit access profile profile-name radius-server server-address]階層レベルでpreauthentication-secret passwordステートメントを含めます。
すべてのアクセスプロファイルのパスワードを指定するには:
[edit access] radius-server server-address { preauthentication-secret password; }特定のアクセスプロファイルのパスワードを指定するには:
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }