Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

加入者アクセス用のRADIUSサーバーとパラメーター

RADIUSサーバーのパラメーターとオプションの設定は、加入者管理設定の主要な部分です。認証サーバーとアカウンティングサーバーを定義した後、すべてのRADIUSサーバーのオプションを設定します。また、加入者または加入者グループに対して、加入者アクセス、認証、許可、およびアカウンティングの設定パラメーターを指定できるアクセス プロファイルも設定します。プロファイル設定はグローバル設定よりも優先されます。グローバルレベルとアクセスプロファイルレベルの両方で使用できるオプションもありますが、多くのオプションはアクセスプロファイルでのみ使用できます。

アクセスプロファイルを作成した後、 access-profile ステートメントでプロファイルを使用する場所を指定する必要があります。これは、プロファイルのアタッチと呼ばれます。アクセスプロファイルは、さまざまなレベルで割り当てることができます。たとえば、アクセスプロファイルを添付できる場所の一部などです

  • グローバル(ルーティング インスタンス用)。

  • 動的プロファイル内。

  • ドメイン マップでは、加入者セッションのアクセス オプションとセッション パラメーターをマップします。

  • 動的 VLAN および動的スタック VLAN のインターフェイス上。

  • 動的なサービスプロビジョニング用に静的に設定されたインターフェイスを持つ加入者のインターフェイスまたは加入者グループ内。

  • DHCPリレーエージェント上、およびDHCPクライアントまたは加入者用のDHCPローカルサーバー上。

アクセスプロファイルは多くのレベルでアタッチできるため、競合を避けるために、最も具体的なアクセスプロファイルが他のプロファイル割り当てよりも優先されます。認証とアカウンティングは、プロファイルをアタッチしない限り実行されません。

RADIUS 認証とアカウンティング サーバーの定義

加入者管理に RADIUS を使用する場合、加入者の認証とアカウンティングのためにルーターが通信する外部 RADIUS サーバーを 1 つ以上定義する必要があります。サーバーのIPv4またはIPv6アドレスを指定する以外に、ルーターが指定したサーバーとどのように対話するかを決定するオプションと属性を設定できます。

RADIUSサーバーと接続オプションは、 [edit access radius-server] 階層レベル、 [edit access profile name radius-server] 階層レベル、または両方のレベルで定義できます。

手記:

AAA プロセス(authd)は、使用するサーバ定義を次のように決定します。

  • RADIUS サーバー定義が [edit access radius-server] にのみ存在する場合、authd はそれらの定義を使用します。

  • RADIUS サーバー定義がアクセス プロファイルにのみ存在する場合、authd はその定義を使用します。

  • RADIUS サーバー定義が [edit access radius-server] とアクセス プロファイルの両方に存在する場合、authd はアクセス プロファイル定義のみを使用します。

RADIUSサーバーを使用するには、アクセスプロファイルで認証サーバー、アカウンティングサーバー、またはその両方として指定する必要があります。これは、サーバーがアクセスプロファイルで定義されているか、 [edit access radius-server] 階層レベルで定義されているかに関係なく、サーバーに対して行う必要があります。

RADIUS サーバーを定義し、ルーターとサーバーとの対話方法を指定するには:

手記:

この手順では、 [edit access radius-server] 階層レベルのみを示します。オプションで、これらのパラメータを [edit access profile profile-name] radius-server] 階層レベルで設定できます。これは、グローバル設定に追加することも、グローバル設定の代わりに行うこともできます。プロファイルを適用すると、プロファイル設定によってグローバル設定が上書きされます。
  1. RADIUS サーバーの IPv4 または IPv6 アドレスを指定します。
  2. (オプション)RADIUSサーバーのアカウンティングポート番号を設定します。
  3. (オプション)ルーターがRADIUSサーバーへの接続に使用するポート番号を設定します。
  4. ローカルルーターがRADIUSクライアントに渡す必要なシークレット(パスワード)を設定します。引用符で囲まれたシークレットには、スペースを含めることができます。
  5. (オプション)RADIUS サーバーが維持できる未処理の要求の最大数を構成します。未処理の要求とは、RADIUS サーバーがまだ応答していない要求です。
  6. RADIUSサーバーの送信元アドレスを設定します。RADIUSサーバーに送信される各RADIUS要求は、指定された送信元アドレスを使用します。送信元アドレスは、ルーター インターフェイスの 1 つに設定された有効な IPv4 または IPv6 アドレスです。
  7. (オプション)認証およびアカウンティング メッセージの再試行とタイムアウトの値を設定します。
    1. ルーターが応答を受信しなかった場合に、RADIUSサーバーにコンタクトを試みる回数を設定します。
    2. ルーターがコンタクトを再試行する前に、RADIUSサーバーからの応答を受信するまで待機する時間を設定します。
    手記:

    最大再試行時間(再試行回数にタイムアウトの長さを掛けたもの)は、2700秒を超えることはできません。より長い期間を設定すると、エラーメッセージが表示されます。
    手記:

    retrytimeoutの設定は、accounting-retryステートメントとaccounting-timeoutステートメントの両方を設定しない限り、認証メッセージとアカウンティングメッセージの両方に適用されます。その場合、retrytimeoutの設定は認証メッセージにのみ適用されます。
  8. (オプション)アカウンティングメッセージの再試行とタイムアウトの値は、認証メッセージの設定とは別に設定します。
    手記:

    accounting-retry ステートメントと accounting-timeout ステートメントの両方を設定する必要があります。そうしない場合、設定した値は無視され、retryおよびtimeoutステートメントで設定された値に置き換えられます。
    1. ルーターが応答を受信しなかった場合に、RADIUSアカウンティングサーバーにアカウンティングメッセージを送信しようとする回数を設定します。
    2. ルーターが要求を再試行する前に、RADIUSアカウンティングサーバーからの応答を受信するまで待機する時間を設定します。
  9. (オプション)LLID(論理回線識別)事前認証要求について RADIUS サーバーに接続するようにルーターを構成します。 「RADIUS 論理回線識別」を参照してください。
  10. (オプション)指定したサーバーからの動的(CoA)要求に対してルーターが監視するポートを設定します。 RADIUSによるダイナミックサービス管理を参照してください。

すべてのRADIUSサーバーに適用されるオプションの設定

世界中のすべてのRADIUSサーバーに適用されるRADIUSオプションを設定できます。

RADIUS オプションをグローバルに設定するには:

  1. RADIUSオプションを設定することを指定します。
  2. (オプション)RADIUS 仮更新要求がサーバーに送信されるレートを構成します。
  3. (オプション)ルーターが暫定的なアカウンティング更新をRADIUSサーバーに送信する、設定された更新間隔からの最大許容偏差を設定します。許容値は、構成された更新間隔に対する相対値です。

    例えば、許容範囲が 60 秒に設定されている場合、ルーターは設定された更新間隔より 30 秒早くから暫定的なアカウンティング更新を送信します。加入者がログインすると、最初の暫定アカウンティング更新が最大30秒早く(平均15秒早く)送信される場合があります。

    更新間隔は、[edit access profile profile-name accounting]階層レベルの update-interval ステートメントで設定します。

  4. (オプション)ルーターが設定されているすべてのRADIUSサーバーにまとめて送信できる1秒あたりの要求数を設定します。ルーターからRADIUSサーバーへのリクエストフローを制限することで、RADIUSサーバーにリクエストが殺到するのを防ぐことができます。
  5. (オプション)サーバーが到達不能になってから接続を再確認するまでルーターが待機する秒数を設定します。復帰間隔の期限が切れたときにルーターがサーバーに到達すると、サーバー リストの順序に従ってサーバーが使用されます。
    手記:

    また、アクセスプロファイルで revert-interval を設定して、このグローバル値を上書きすることもできます。 RADIUS サーバーとの相互作用に関するアクセス プロファイル オプションの設定を参照してください。
  6. (オプション)応答しないRADIUS認証サーバーが到達不能またはダウンしていると見なされない期間を設定します。この期間は、認証リクエストをより迅速に別のサーバーにリダイレクトするか、応答しないサーバーの回復と応答により多くの時間を与えるかによって異なります。

    詳細については、 RADIUS サーバーがダウンしている、または到達不能と見なされるタイミングを指定するタイムアウト猶予期間の設定 を参照してください。

  7. (オプション)ネットワーク内のすべてのMXシリーズルーターで一意のNAS-Port値を設定します。NAS-Port 値は、ルーター内でのみ一意にすることも、ネットワーク内の異なる MX ルーター間で一意の値を構成することもできます。

    詳細については、加入者に対して一意のNAS-Port Attributes(RADIUS属性5)を有効にするを参照してください。

RADIUSサーバーがダウンしている、または到達不能と見なされるタイミングを指定するタイムアウト猶予期間を構成する

RADIUS 認証サーバーが特定の認証要求のいずれにも応答できず、タイムアウトした場合、authd は参照用に時間を記録しますが、すぐにそのサーバーをダウン(他のサーバーが利用可能な場合)または到達不能(設定された唯一のサーバーの場合)としてマークしません。代わりに、設定可能な猶予期間タイマーが基準時刻に開始されます。猶予期間が満了する前にサーバーが後続の要求に応答すると、猶予期間はクリアされます。

猶予期間中、サーバーはダウンまたは到達不能としてマークされません。そのサーバーへの後続の要求でサーバーがタイムアウトするたびに、authd は猶予期間が切れたかどうかをチェックします。チェックの結果、猶予期間が満了したにもかかわらずサーバーがまだ要求に応答しない場合、サーバーは到達不能またはダウンとしてマークされます。

短い猶予期間を使用すると、応答しないサーバーをより迅速に破棄し、他の利用可能なサーバーに認証リクエストを転送できます。猶予期間を長くすると、サーバーが応答する機会が増え、リソースを不必要に放棄することを回避できます。構成済みサーバーが 1 つまたは少ない場合は、より長い猶予期間を指定できます。

応答しないRADIUSサーバーが到達不能またはダウンとしてマークされない猶予期間を設定するには:

  • 猶予期間を指定します。

RADIUS サーバーとの通信のためのアクセス プロファイル オプションの設定

アクセスプロファイルを使用して、加入者アクセスのためにRADIUS認証およびアカウンティングサーバーと通信する際にルーターが使用するオプションを指定できます。この手順では、アクセスプロファイルでのみ使用可能なオプションについて説明します。アクセス プロファイルとグローバル レベルの両方で使用できるオプションについては、 加入者アクセスのための RADIUS サーバーとパラメーターを参照してください。

RADIUS認証およびアカウンティングサーバーのオプションを設定するには:

  1. RADIUSオプションを設定することを指定します。
  2. (オプション)ルーターがアカウンティングセッションを識別するために使用する形式を設定します。識別子は、次のいずれかの形式にすることができます。

    • decimal- デフォルトの形式です。例えば 435264

    • description—形式では、 jnpr interface-specifier:subscriber-session-id.例えば jnpr fastEthernet 3/2.6:1010101010101

  3. (オプション)ルーターがRADIUS属性31(Calling-Station-Id)の値の間に挿入する区切り文字を設定します。
  4. (オプション)ルーターがRADIUS属性31(Calling-Station-Id)に含める情報を設定します。

    詳細については、 追加オプションを使用したCalling-Station-IDの設定 を参照してください。

  5. (オプション)Access-RequestパケットでランダムチャレンジをCHAP-Challenge属性(RADIUS属性60)として送信するのではなく、NASが生成したランダムチャレンジをAccess-RequestパケットのRequest Authenticatorフィールドに挿入するオプション動作を使用するようルーターを設定します。このオプションの動作では、チャレンジの値が 16 バイトである必要があります。それ以外の場合、ステートメントは無視され、チャレンジは CHAP-Challenge 属性として送信されます。
  6. (オプション)複数のサーバーが設定されている場合に、ルーターがRADIUS認証およびアカウンティングサーバーへのアクセスに使用する方法を設定します。

    • direct- ロードバランシングが行われないデフォルトの方式。最初に設定されたサーバがプライマリサーバです。サーバーは、構成順にアクセスされます。プライマリサーバーが到達できない場合、ルーターは2番目に設定されたサーバーに到達しようと試みます。

    • round-robin- 設定されたRADIUSサーバのリストの中でルータ要求をローテーションすることで、ロードバランシングを提供する方法。アクセス用に選択されたサーバーは、最後に使用されたサーバーに基づいてローテーションされます。リストの最初のサーバーは、最初の認証要求ではプライマリとして扱われますが、2 番目の要求では、2 番目に構成されたサーバーがプライマリとして扱われます。この方法では、構成されたすべてのサーバーが平均してほぼ同じ数の要求を受信するため、1 つのサーバーがすべての要求を処理する必要はありません。

      手記:

      ラウンドロビンリスト内のRADIUSサーバーが到達不能になると、ラウンドロビンリスト内の次に到達可能なサーバーが現在の要求に使用されます。その同じサーバーは、使用可能なサーバーのリストの一番上にあるため、次の要求にも使用されます。その結果、サーバーに障害が発生すると、使用されるサーバーが 2 つのサーバーの負荷を占有します。

    • ルーターがRADIUSアカウンティングサーバーへのアクセスに使用する方法を設定するには:

    • ルーターがRADIUS認証サーバーへのアクセスに使用する方法を設定するには:

  7. (オプション)CoA操作がクライアントプロファイルの動的変数に要求された変更を適用できない場合に、オプション動作を使用するようにルーターを設定します。

    オプション動作としては、加入者管理はCoAリクエストのクライアントプロファイル動的変数に変更を適用せず、NACKで応答します。デフォルトの動作では、加入者管理は誤った更新を適用せず、他の変更をクライアントプロファイルの動的変数に適用し、確認メッセージで応答します。

  8. (オプション)クライアントの認証に物理ポートタイプの virtual を使用するようにルーターを設定します。ポートタイプは、RADIUS属性61(NAS-Port-Type)で渡されます。デフォルトでは、ルーターはRADIUS属性61でポートタイプ ethernet を渡します。
    手記:

    同じアクセスプロファイルに両方を含めると、このステートメントは nas-port-type ステートメントよりも優先されます。
  9. (オプション)ルーターがRADIUS属性87(NAS-Port-ID)に含めるためにRADIUSに渡すインターフェイス記述から除外される情報を指定します。デフォルトでは、インターフェイスの説明には、アダプター、チャネル、およびサブインターフェイス情報が含まれます。
  10. (オプション)デュアルスタックPPP加入者の場合、オンデマンドIPアドレス割り当て中に送信されるAccess-Requestと、アドレス変更を報告するために送信される暫定アカウンティングメッセージに、IPv4-Release-Control VSA(26–164)を含めます。

    オプションで、RADIUS サーバーに送信される際に IPv4-Release-Control VSA(26–164)に含まれるメッセージを設定します

    オンデマンドIPアドレスの割り当てまたは割り当て解除が設定されていない場合、このステートメントの設定は効果がありません。

  11. (オプション)ジュニパーネットワークス アクセス ライン VSA を、加入者向けの RADIUS 認証およびアカウンティング要求メッセージに追加します。ルータがアクセス ノードから対応する ANCP 属性を受信および処理していない場合、AAA はこれらの RADIUS メッセージで次のもののみを提供します。

    • Downstream-Calculated-QoS-Rate(IANA 4874、26-141):デフォルトで設定されたアドバイザリ送信速度。

    • Upstream-Calculated-QoS-Rate(IANA 4874、26-142):デフォルトで設定されたアドバイザリ受信速度。

    Junos OS リリース 19.2R1以降、 juniper-access-line-attributes オプションが juniper-dsl-attributes オプションに置き換わりました。既存のスクリプトとの下位互換性を保つために、 juniper-dsl-attributes オプションは新しい juniper-access-line-attributes オプションにリダイレクトされます。 juniper-access-line-attributesの使用をお勧めします。

    手記:

    juniper-access-line-attributes オプションは、Junos OS リリース 19.1 以前のリリースとの下位互換性はありません。つまり、Junos OS リリース 19.2 以降juniper-access-line-attributesリリースで オプションを設定している場合、Junos OS リリース 19.1 以前のリリースにダウングレードするには、次の手順を実行する必要があります。

    1. juniper-access-line-attributes オプションを含むすべてのアクセス プロファイルからそのオプションを削除します。

    2. ソフトウェアのダウングレードを実行します。

    3. 影響を受けるアクセスプロファイルに juniper-dsl-attributes オプションを追加します。
  12. (オプション)認証およびアカウンティング要求に使用されるクライアントRADIUS属性32(NAS識別子)の値を設定します。
  13. (オプション)RADIUS属性5(NAS-Port)の拡張フォーマットを使用するようにRADIUSクライアントを設定し、ユーザーを認証するNASの物理ポート番号を指定するNAS-Port属性のフィールドの幅を指定します。

    • イーサネット加入者の場合:

    • ATM加入者の場合:

  14. (オプション)ルーターがRADIUS属性87(NAS-Port-Id)の値の間に挿入する区切り文字を設定します。
  15. (オプション)ルーターがRADIUS属性87(NAS-Port-Id)に含めるオプション情報を設定します。1 つ以上のオプションを指定して、デフォルトの順序で表示することができます。または、オプションと表示順序の両方を指定することもできます。順序は相互に排他的であり、両方のタイプの順序の値を含むNAS-Port-IDを設定すると、設定は失敗します。

    詳細については、 追加オプションを使用したNAS-Port-IDの設定 および NAS-Port-IDにオプション値が表示される順序の設定 を参照してください。

  16. (オプション)RADIUS属性61(NAS-Port-Type)に含まれるポートタイプを設定します。これは、ルーターが加入者の認証に使用するポートタイプを指定します。
    手記:

    同じアクセスプロファイルに ethernet-port-type-virtual を設定した場合、このステートメントは無視されます。
  17. (オプション)L2TP 発信者番号 AVP 22 で送信された値に対して設定された Calling-Station-ID 形式を上書きするように LAC を設定します。Calling-Station-ID 形式をオーバーライドし、PADR パケットで L2TP クライアントから受信した ACI、ARI、または ACI と ARI の両方を使用するように LAC を設定できます。また、AVP 文字列のコンポーネント間で使用する区切り文字や、設定されたオーバーライド コンポーネントが PADR パケットで受信されない場合に使用するフォールバック値を指定することもできます。
    手記:

    詳細については、「 発信者番号 AVP の発信ステーション ID 形式の上書き 」を参照してください。
  18. (オプション)LNS の RADIUS NAS-IP-Address 属性(4)の値を、セッションの LAC エンドポイント IP アドレスの値で上書きします(セッション データベースに存在する場合)。存在しない場合は、元の属性値が使用されます。
  19. (オプション)LAC NAS ポート情報が Cisco Systems NAS Port Info AVP(100)で LNS に伝達された場合は、LNS の RADIUS NAS-Port 属性(5)の値をセッション データベースの値で上書きします。存在しない場合は、元の属性値が使用されます。
  20. (オプション)LAC NAS ポート情報が Cisco Systems NAS Port Info AVP(100)で LNS に伝達された場合は、LNS の RADIUS NAS-Port-Type 属性(61)の値をセッション データベースの値で上書きします。存在しない場合は、元の属性値が使用されます。
  21. (オプション) remote-circuit-id-format ステートメントを使用して、L2TP 発信者番号 AVP 22 の発信ステーション ID の代わりに使用する文字列を設定する場合、リモート回線 ID 文字列の区切り文字を設定します。リモート回線ID形式に複数の値が設定されている場合、区切り文字は、結果のリモート回線ID文字列の連結された値間の区切り文字として使用されます。
    手記:

    発信者番号 AVP で使用されるリモート回線 ID 形式に対して、 override calling-circuit-id remote-circuit-id ステートメントを設定する必要があります。
  22. (オプション)設定されたCalling-Station-IDまたはデフォルトの基盤となるインターフェイスのいずれかであるL2TP発信者番号AVP 22で送信するLACのフォールバック値を設定します。フォールバック値の使用は、 remote-circuit-id-format ステートメントで設定したオーバーライド文字列のコンポーネント(ACI、ARI、または ACI と ARI の両方)が PPPoE Active Discovery Request(PADR)パケットの LAC で受信されない場合にトリガーされます。
  23. (オプション)L2TP 発信者番号 AVP の Calling-Station-ID 形式を上書きする文字列の形式を設定します。ACI、ARI、または ACI と ARI の両方を指定できます。
    手記:

    発信者番号 AVP で使用されるリモート回線 ID 形式に対して、 override calling-circuit-id remote-circuit-id ステートメントを設定する必要があります。
  24. (オプション)サーバーが到達不能になってからサーバーへの到達を再試行するまでルーターが待機する秒数を設定します。サーバーが到達可能な場合は、サーバーリストの順序に従って使用されます。
    手記:

    また、すべてのRADIUSサーバーに対してこのオプションを設定できます。 RADIUS サーバーのオプションの設定を参照してください。
  25. (オプション)加入者のアドレスファミリーに対するアクティベーションリクエストの認証処理中に、設定エラーに関連するサービスアクティベーションエラーが発生した場合に、新たに認証された加入者が正常にログインできるかどうかを設定します。動的プロファイルまたは ESSM(Extensible Subscriber Services Manager)操作スクリプトで設定されたサービスに対して、この動作を指定できます。

    • optional-at-login- サービスのアクティベーションはオプションです。設定エラーによるアクティベーション失敗は、アドレスファミリーのアクティベーションを妨げるものではありません。これにより、加入者はアクセスできるようになります。設定エラー以外の原因によるサービスアクティベーションの失敗により、ネットワークファミリーのアクティベーションが失敗します。加入者に対して別のアドレスファミリーがすでにアクティブでない限り、ログイン試行は終了します。

    • required-at-login—サービスのアクティベーションが必要です。何らかの理由でアクティベーションに失敗すると、ネットワークファミリーのアクティベーションが失敗します。加入者に対して別のアドレスファミリーがすでにアクティブでない限り、ログイン試行は終了します。

  26. (オプション)RADIUS属性5(NASポート)に、イーサネットインターフェイス上の加入者のS-VLAN IDに加えて、VLAN IDが含まれることを指定します。

追加オプションによるCalling-Station-IDの設定

このセクションを使用して、MXシリーズルーターのアクセスプロファイルのCalling-Station-ID(RADIUS IETF 属性31)の代替値を設定します。

Calling-Station-IDを設定して、[edit access profile profile-name radius options calling-station-id-format]階層に次のオプションの1つ以上を任意の組み合わせで含めることができます。

  • エージェント回線識別子(agent-circuit-id)—加入者のアクセスノードとアクセスノード上のデジタル加入者線(DSL)の識別子。エージェント回線識別子(ACI)文字列は、DHCPトラフィックのDHCPメッセージのDHCPオプション82フィールド、またはPPPoEトラフィックのPPPoE Active Discovery Initiation(PADI)およびPPPoEアクティブ検出要求(PADR)制御パケットのDSLフォーラムAgent-Circuit-ID VSA [26-1]に保存されます。

  • エージェントリモート識別子(agent-remote-id)—サービスリクエストを開始したデジタル加入者ラインアクセスマルチプレクサ(DSLAM)インターフェイス上の加入者の識別子。エージェントリモート識別子(ARI)文字列は、DHCPトラフィックの場合はDHCPオプション82フィールド、またはPPPoEトラフィックの場合はDSLフォーラムAgent-Remote-ID VSA [26-2]に保存されます。

  • インターフェイスの説明(interface-description)—インターフェイスの値。

  • インターフェイステキスト記述(interface-text-description)—インターフェイスのテキスト説明。インターフェイスのテキスト記述は、 set interfaces interface-name description description ステートメントまたは set interfaces interface-name unit unit-number description description ステートメントのいずれかを使用して、個別に設定されます

  • MACアドレス(mac-address)—加入者の送信元デバイスのMACアドレス。

  • NAS識別子(nas-identifier)—認証またはアカウンティング要求を発信したNASの名前。NAS-IdentifierはRADIUS IETF属性32です。

  • スタックVLAN (stacked-vlan)—スタックVLAN ID。

  • VLAN (vlan)—VLAN ID。

Calling-Station-IDの形式に複数のオプション値を設定した場合、ハッシュ文字(#)はデフォルトの区切り文字であり、ルーターは結果のCalling-Station-ID文字列の連結値間の区切り文字として使用します。オプションで、Calling-Station-IDが使用する代替区切り文字を設定できます。以下の例は、複数のオプション値を設定した場合の出力順序を示しています。

Calling-Station-IDにオプション情報を提供するようにアクセスプロファイルを設定するには、次の手順に従います。

  1. 設定するアクセスプロファイルを指定します。
  2. RADIUSオプションを設定することを指定します。
  3. Calling-Station-IDの連結された値間の区切り文字として使用するデフォルト以外の文字を指定します。

    デフォルトでは、加入者管理は、複数のオプション値を含むCalling-Station-ID文字列の区切り文字としてハッシュ文字(#)を使用します。

  4. 認証およびアカウンティング要求に使用されるNAS-Identifier(RADIUS属性32)の値を設定します。
  5. Calling-Station-IDの形式を設定することを指定します。
  6. (オプション)インターフェイスのテキスト記述をCalling-Station-IDに含めます。
  7. (オプション)インターフェイス記述値をCalling-Station-IDに含めます。
  8. (オプション)Calling-Station-IDにエージェント回線識別子を含めます。
  9. (オプション)エージェントのリモート識別子をCalling-Station-IDに含めます。
  10. (オプション)設定されたNAS識別子値をCalling-Station-IDに含めます。
  11. (オプション)スタックされた VLAN ID を Calling-Station-ID に含めます。
  12. (オプション)Calling-Station-IDにVLAN IDを含めます。
  13. (オプション)Calling-Station-IDにMACアドレスを含めます。

例:アクセス プロファイルの追加オプションを使用した Calling-Station-ID

次に、NAS-Identifier(fox)、インターフェイス記述、エージェント回線識別子、およびエージェントリモート識別子オプションを含むCalling-Station-ID文字列を設定するretailer01という名前のアクセスプロファイルを作成する例を示します。

結果のCalling-Station-ID文字列は、次の形式になります。

fox*ge-1/2/0.100:100*as007*ar921

どこ:

  • NAS-Identifier値は foxです。

  • Calling-Station-ID区切り文字は * (アスタリスク)です。

  • インターフェイス記述値は ge-1/2/0.100:100 です。

  • エージェント回線識別子の値は as007です。

  • エージェントのリモート識別子の値は ar921です。

すべてのオプションが設定されているが、Agent-Circuit-ID、Agent-Remote-Id、またはスタックVLAN識別子に使用可能な値がないという例を考えてみましょう。その他の値は次のとおりです。

  • NAS識別子:solarium

  • インターフェイスの説明—ge-1/0/0.1073741824:101

  • インターフェイステキスト記述—example-interface

  • MACアドレス—00:00:5E:00:53:00

  • VLAN識別子—101

これらの値の結果は、次のCalling-Station-IDになります。

RADIUSメッセージからのRADIUS属性とVSAのフィルタリング

RADIUSメッセージで受信した標準属性とベンダー固有属性(VSA)は、内部でプロビジョニングされた属性値よりも優先されます。属性のフィルタリングは、Access Acceptパケットで受信した特定の属性 を無視する ことと、RADIUSサーバーへの送信から特定の属性を 除外 することで構成されます。RADIUSサーバーから受信した属性を無視することで、ローカルでプロビジョニングされた値を代わりに使用できます。属性を送信対象から除外すると、たとえば、加入者の存続期間中に変更されない属性の場合に便利です。これにより、情報を失うことなくパケットサイズを縮小できます。

標準のRADIUS属性およびVSAを指定して、RADIUS Access-Acceptメッセージで受信した際にルーターまたはスイッチが 後に無視 することができます。また、ルーターまたはスイッチが指定されたRADIUSメッセージタイプから 除外する 属性やVSAを指定することもできます。除外とは、ルーターまたはスイッチが RADIUS サーバーに送信する指定されたメッセージに属性を含めないことを意味します。

Junos OS リリース 18.1R1 以降では、標準属性番号または IANA が割り当てたベンダー ID と VSA 番号をそれぞれ指定することで、RADIUS 標準属性と VSA を無視または除外するようにルーターまたはスイッチを設定できます。この柔軟な設定方法では、プラットフォームでサポートされている標準属性とVSAを無視または除外するように設定できます。サポートされていない属性、ベンダー、VSAを設定した場合、設定は無効です。

従来の方法では、ステートメント構文に特定のオプションが含まれる属性とVSAのみを設定することができます。したがって、従来の方法を使用して、Access-Acceptメッセージで受信できるすべての属性のサブセットのみを無視できます。

ルーターまたはスイッチによって無視または除外される属性を設定するには:

  1. アクセスプロファイルでRADIUSを設定することを指定します。
  2. RADIUS属性のフィルタリング方法を設定することを指定します。
  3. (オプション)属性が Access-Accept メッセージに含まれている場合に、ルーターまたはスイッチで無視する属性を 1 つ以上指定します。

    • 従来の方法: 属性に専用オプションを指定します。

    • 柔軟な方法: 標準の属性番号、または IANA が割り当てたベンダー ID と VSA 番号を指定します。

  4. (オプション)ルーターまたはスイッチが1つ以上の指定されたRADIUSメッセージタイプから除外する属性を設定します。属性のリストは設定できませんが、各属性のメッセージタイプのリストを指定することはできます。

    • 従来の方法: 属性とメッセージ・タイプに専用オプションを指定します。

    • 柔軟な方法: 標準の属性番号または IANA が割り当てたベンダー ID、VSA 番号、メッセージタイプを指定します。

次の例では、標準のRADIUS属性であるFramed-IP-Netmask(9)と、ジュニパーネットワークスのVSA、Ingress-Policy-Name(26-10)とEgress-Policy-Name(26-11)を無視する従来の設定方法と柔軟な設定方法を比較しています。

  • 従来の方法:

  • 柔軟な方法:

次の例では、標準のRADIUS属性であるFramed-IP-Netmask(9)と、ジュニパーネットワークスのVSA、Ingress-Policy-Name(26-10)とEgress-Policy-Name(26-11)を除外するように、従来の設定方法と柔軟な設定方法を比較しています。

  • 従来の方法:

  • 柔軟な方法: 標準の属性番号または IANA が割り当てたベンダー ID、VSA 番号、メッセージタイプを指定します。

同じプロファイルで両方の方法を持つ属性を指定するとどうなりますか?有効な設定は、2 つの方式の論理 OR です。標準属性の accounting-delay-time (41) について、次の例を考えてみます。

その結果、属性は 4 つのメッセージ・タイプ (Accounting-Off、Accounting-On、Accounting-Start、および Accounting-Stop) すべてから除外されます。効果は、次のいずれかの構成を使用した場合と同じです。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
18.1R1
Junos OS リリース 18.1R1 以降では、標準属性番号または IANA が割り当てたベンダー ID と VSA 番号をそれぞれ指定することで、RADIUS 標準属性と VSA を無視または除外するようにルーターまたはスイッチを設定できます。