Cisco機器(ASR1000シリーズ)をBASとし、Radiusサーバーを認証構成を組んだ際、PPPoE dead-criteriaの動作が不明だったため、忘れないうちにまとめておきます。
これ、絶対記録しておかないと後々絶対に忘れちゃう。。。
また、こんなことがあったり、誰かがこの問題にぶち当たった時に参考にしてください。
BAS ~ Radiusへの再送を整理する
PPPoE設定時にすごく悩んだところ。
retransmit、timeout とdead-criteriaの違いがごちゃごちゃになったので
違いを以下にメモっとく。
メモはdead-criteriaで設定時の動作
radius-server dead-criteria time 90 tries 10
- 正常にセッションが張れた直後90秒以内に、サーバに障害が発生し、リトランスミット10回が失敗した際、正常にセッションが張れた直後から90秒後からの認証要求で対象のサーバをDEAD判定とする。
- また、セッションが張れ、90秒以内にサーバーの障害が発生し、リトランスミット10回が失敗した際、その90秒以内に正常にセッションが張れると、deadのカウントはクリアされる。
- ユーザー単位ではなく、総タイムアウト回数(リトランスミット10回)で判断する。
timeがtriesより短いときは再送回数だけ頭に入れておけばよし
※以下の設定場合。
radius-server dead-criteria time 1 tries 3
上記での設定ではセッションが確立後、1秒経過かつ連続3回応答がない場合DEAD判定とみなす。
なお、セッション確立後、1秒以内にセッションが成立するとクリア(0カウント)となる。
設定しても動作確認をしないとわからない。
デバックコマンドで、PPPoEと認証サーバ(radius)の動きを確認しながら見てくこと。
まとめ
PPPoEを設定するにあたり、dead-criteriaは頭がこんがらがっちゃいますよね。
BASでデバックを走らせながら見ていくことでしか、わからないです。
ようは実際に動かして確認しろってことっすね。
以下の記事はRadiusで認証するための構築手順を記載しています。
ご参考にどうぞ。
- CiscoでBASの設定
CiscoASR1000シリーズでPPPoE(IPv6)の設定手順 - JuniperでBASの設定
【JunosE】PPPoEデュアルスタック設定(完成バージョン) - Radiusサーバー構築手順
FreeRadius構築。初心者に優しい5つの手順まとめ
それでは!
エンジニアのオンライン学習
ITエンジニアにおすすめの教材、オンラインスクールです。
無料からエンジニアの学習ができる教材などまとめているので参考にしてください。
| おすすめオンライン教材 | |
| 自宅で学習ができるオンラインスクール | |
ITエンジニアの開発・検証・学習としてインターネット上で専用のサーバ(VPS)を利用しましょう!
実務経験はVPSで学べます。
コメントを残す