CoA: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 149: Строка 149:
 
</PRE>
  
</PRE>
   
 
"Сброс с линии"
 
 
<PRE>
  
<PRE>
 
/bin/echo "User-Name=\"195.69.244.145\",Cisco-Account-Info=\"S195.69.244.194\",cisco-avpair=\"subscriber:command=account-logoff\"" | /usr/bin/radclient -x 172.16.32.117:1700 coa cisco777
#
  
# "Запрос информации"
  
#/bin/echo "User-Name=\"195.69.244.144\",Cisco-Account-Info=\"S195.69.244.194\",cisco-avpair=\"subscriber:command=account-status-query\"" | /usr/bin/radclient -x 172.16.32.117:1700 coa cisco777
  
</PRE>
  
 
<PRE>
  
# "Сброс с линии"
  
# /bin/echo "User-Name=\"195.69.244.144\",Cisco-Account-Info=\"S195.69.244.194\",cisco-avpair=\"subscriber:command=account-logoff\"" | /usr/bin/radclient -x 172.16.32.117:1700 coa cisco777
  
 
</PRE>
  
</PRE>
   

Версия 08:39, 13 января 2009

CoA - Change Of Authorization

Назначение CoA

Цитата: (cisco.com)
ISG offers a standard RADIUS interface that is typically used in a pulled model where the request originates from ISG and the response come from the queried servers. ISG also supports the RADIUS Change of Authorization (CoA) extensions defined in RFC 3576 that are typically used in a pushed model and allow for the dynamic reconfiguring of services from external authentication, authorization, and accounting (AAA) or policy servers.

Использование CoA

Настройка поддержки CoA на Cisco 7201

Поддержка CoA настраивается очень просто 

aaa server radius dynamic-author
 client 172.16.30.144 server-key 7 1511021F07257C737F
 client 172.16.30.50 server-key 7 0822455D0A16524045
 auth-type any
 ignore session-key
 ignore server-key
!

Можно указать сколько угодно клиентов, каждый из которых сможет посылать CoA-пакеты со своими ключами.

Тестирование CoA

Тестирование переключения тарифов

создание нескольких тарифов

Для тестирования я решил создать 6 различных сервисов - KH-IX с 2 скоростями (5 и 10 мбит), UA-IX с 2 скоростями (2 и 4 мбита) и "мир" с 2 скоростями (1 и 2 мбита). Тарифы можно применять к пользователю в любых сочитаниях.

Траффик входящий разделяю по TOS, исходящий - никак не разделяю. Маркирую на пограничном маршрутизаторе в зависимости от того с какого интерфейсп получен пакет 

# UA-IX
-A PREROUTING --in-interface eth1.XXX1  -j TOS --set-tos 0x04
# KH-IX
-A PREROUTING --in-interface eth1.XXX2  -j TOS --set-tos 0x02
# Peer
-A PREROUTING --in-interface eth1.XXX2  -j TOS --set-tos 0x02
# World
-A PREROUTING  -j TOS --set-tos 0x08
COMMIT
*nat

Соответвие "имен" и значений: 

max-reliability    Match packets with max reliable TOS (2)
max-throughput     Match packets with max throughput TOS (4)
min-delay          Match packets with min delay TOS (8)
min-monetary-cost  Match packets with min monetary cost TOS (1)
normal             Match packets with normal TOS (0)

"Мир": 

access-list 192 remark world
access-list 192 permit ip any any tos min-delay
access-list 192 permit ip any any

"Украина": 

access-list 193 remark UA-IX
access-list 193 permit ip any any tos max-throughput

"Харьков": 

access-list 194 remark KH-IX
access-list 194 permit ip any any tos max-reliability


Соответвенно, сервисы ы радиусе будут выглядеть следующим образом: 

WORLD_1_MBIT    Password == "cisco"
                Cisco-AVPair += "ip:traffic-class=in access-group 192 priority 10",
                Cisco-AVPair += "ip:traffic-class=out access-group 192 priority 10",
                Cisco-Service-Info += "QU;1024000;512000;D;1024000;512000"

WORLD_2_MBIT    Password == "cisco"
                Cisco-AVPair += "ip:traffic-class=in access-group 192 priority 10",
                Cisco-AVPair += "ip:traffic-class=out access-group 192 priority 10",
                Cisco-Service-Info += "QU;2048000;1024000;D;2048000;1024000"

UA-IX_2_MBIT    Password == "cisco"
                Cisco-AVPair += "ip:traffic-class=in access-group 193 priority 10",
                Cisco-AVPair += "ip:traffic-class=out access-group 193 priority 10",
                Cisco-Service-Info += "QU;2048000;1024000;D;2048000;1024000"

UA-IX_4_MBIT    Password == "cisco"
                Cisco-AVPair += "ip:traffic-class=in access-group 193 priority 10",
                Cisco-AVPair += "ip:traffic-class=out access-group 193 priority 10",
                Cisco-Service-Info += "QU;4096000;2048000;D;4096000;2048000"

KH-IX_5_MBIT    Password == "cisco"
                Cisco-AVPair += "ip:traffic-class=in access-group 194 priority 10",
                Cisco-AVPair += "ip:traffic-class=out access-group 194 priority 10",
                Cisco-Service-Info += "QU;5120000;2048000;D;5120000;2048000"

KH-IX_10_MBIT   Password == "cisco"
                Cisco-AVPair += "ip:traffic-class=in access-group 194 priority 10",
                Cisco-AVPair += "ip:traffic-class=out access-group 194 priority 10",
                Cisco-Service-Info += "QU;10240000;5120000;D;10240000;5120000"

тестирование работы тарифов

Для того что бы протестировать работу тарифов, создаем нескольких пользователей с разными сочетаниями тарифных планов: 

INSERT into radcheck(UserName,Attribute,op, Value) values('195.69.244.195','User-Password','==','ISG' );
INSERT into radreply(UserName,Attribute,op, Value) values('195.69.244.195','Cisco-Account-Info','+=','AKH-IX_5_MBIT');
INSERT into radreply(UserName,Attribute,op, Value) values('195.69.244.195','Cisco-Account-Info','+=','AUA-IX_2_MBIT');
INSERT into radreply(UserName,Attribute,op, Value) values('195.69.244.195','Cisco-Account-Info','+=','AWORLD_1_MBIT');

Префикс "А" перед именем сервиса значит "Авто", т.е стартовать сервис при авторизации абонента.

При авторизации абонента можно наблюдать в логах радиуса загрузку всех сервисов, и наблюдать их по 

#sh sss subscr detail

При этом одновременно качаем с "Украины", "Харькова" и "Мира" с заявленными скоростями. Внимание: нужно уточнить метод рассчета значений burst!

переключение тарифов

Для переключения тарифов я решил использовать самый простой из возможных вариантов - деавторизовывать пользователя с помощью CoA-запроса, а потом его авторизоввывать заново но уже с новыми параметрами сесии.

Вообще 

/bin/echo  "User-Name=\"195.69.244.195\",cisco-avpair=\"subscriber:command=service-status-query\",cisco-avpair+=\"subscriber:service-name=SERVICE_402_INTERNET\",Cisco-Account-Info=\"S195.69.244.194\""  |/usr/bin/radclient -x 172.16.32.117:1700 coa cisco777

Sending CoA-Request of id 103 to 172.16.32.117 port 1700
        User-Name = "195.69.244.195"
        Cisco-AVPair = "subscriber:command=service-status-query"
        Cisco-AVPair += "subscriber:service-name=SERVICE_402_INTERNET"
        Cisco-Account-Info = "S195.69.244.195"
CoA-ACK packet from host 172.16.32.117:1700, id=103, length=179
        Cisco-Account-Info = "N0SERVICE_402_INTERNET"
        Cisco-Command-Code = "\0041"
        Cisco-Account-Info = "S195.69.244.195"
        Cisco-AVPair = "sg-version=1.0"
        Cisco-NAS-Port = "nas-port:0.0.0.0:0/0/1/613"
        NAS-Port = 0
        NAS-Port-Id = "nas-port:0.0.0.0:0/0/1/613"
        Framed-IP-Address = 195.69.244.195

"Сброс с линии" 

/bin/echo "User-Name=\"195.69.244.145\",Cisco-Account-Info=\"S195.69.244.194\",cisco-avpair=\"subscriber:command=account-logoff\""  | /usr/bin/radclient -x 172.16.32.117:1700 coa cisco777

Заключение

Источник — https://noname.com.ua/mediawiki/index.php?title=CoA&oldid=101