ISGv2 Intro: различия между версиями
Sirmax (обсуждение | вклад) |
Sirmax (обсуждение | вклад) |
||
Строка 61: | Строка 61: | ||
=Subscriber Services= |
=Subscriber Services= |
||
+ | |||
+ | Сервис (или услуга) - это набор политик которые применяются к абонентской сессии |
||
+ | <BR> |
||
+ | Сервис сожет быть активирован в 3 случаях |
||
+ | * As a result of control policy execution - самый интересный и важный, подводит к понятию control policy |
||
+ | * By receipt of a CoA service-logon command - понятно что по CoA пакету можно что-то триггернуть |
||
+ | * By reference in a user profile, where the service is flagged for automatic activation - что написано понятно, как это написать в конфиге - пока нет |
||
+ | |||
=Policies= |
=Policies= |
||
=Dynamic Policy Updates= |
=Dynamic Policy Updates= |
Версия 14:22, 8 мая 2023
Введение в ISG
- Intelligent Services Gateway (ISG) — это набор функций программного обеспечения Cisco и есть только у Cisco, аналогичный функционал у других вендоров называется иначе.
Шлюз интеллектуальных служб (ISG) представляет собой решение для терминирования абонентов/подписчиков для гибкой настройки услуг (не очень понятное определение с сайта)
ISG занимается следующими ключевыми аспектами управления подписчиками:
- Идентификация абонента
- Определение службы и политики
- Применение политики сеанса
- Управление жизненным циклом сеанса
- Учет доступа и использования услуг
- Мониторинг состояния сеанса
- CoA (Radius) для изменения состояния "не лету"
По картинке немного яснее
- по первому пакету сходить за авторизацией, потом за политиками и сделать или доступ в интернет или редирект на портал или еще что-то по желанию
- сервисы (набор правил для абонента) можно при желании хранить и полностью локально в конфигурации устройства
Ключевые термины которые нужно разобрать
- Subscriber Sessions
- Subscriber Access
- Subscriber Identification
- Subscriber Services
- Policies
- Dynamic Policy Updates
Subscriber Sessions
Сессия (иногда переводят как сеанс) ISG — это общий системный контекст, который создается для каждого подписчика, взаимодействующего с пограничным устройством.
По сути - это какой-то объект в памяти устройства который имеет собственный идентификатор и создается при первом взаимодействии абонента с шлюзом - по сути по первому пакету.
И этот программный объект содержит информацию по авторизации, службам (ограничение скорости или файрволл и прочее)
Так как мы живем в мире победившего ethernet то сессия это абстракция, в отличии от PPP где сессия изначально подразумевало наличие телефонного соединения
Subscriber Access
Пока что совершенно непонятный термин
Under ISG, the provisioning and handling of specific access media and protocols is decoupled as far as possible from the functionality that is applicable to all session types. This model has the following benefits: * A common set of subscriber services may be used on an ISG at which heterogeneous subscriber networks are aggregated. * A common set of subscriber services may be used for multiple ISGs, even when the access technology differs. * For a given subscriber, the access method may be altered (through provisioning or roaming) without any need to change the service provisioning. As new access protocols become available, they can be leveraged by existing edge deployments without requiring changes to the service content; new access protocols plug into the ISG framework.
Subscriber Identification
По событиям (первый пакет как самый частый пример) - сходить с запросом с тем что есть на RADIUS
А есть обычно IP адрес и МАК опционально
Пишут что стартом сессии может быть и DHCP
Для IP-сеанса, когда начало сеанса сигнализируется событием протокола DHCP, может быть активирована политика перенаправления TCP. Эта политика облегчит сбор имени пользователя и учетных данных на внешнем веб-портале.
Subscriber Services
Сервис (или услуга) - это набор политик которые применяются к абонентской сессии
Сервис сожет быть активирован в 3 случаях
- As a result of control policy execution - самый интересный и важный, подводит к понятию control policy
- By receipt of a CoA service-logon command - понятно что по CoA пакету можно что-то триггернуть
- By reference in a user profile, where the service is flagged for automatic activation - что написано понятно, как это написать в конфиге - пока нет