CoA: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 21: Строка 21:
 
==Тестирование переключения тарифов==
 
==Тестирование переключения тарифов==
 
===создание нескольких тарифов===
 
===создание нескольких тарифов===
  +
Для тестирования я решил создать 6 различных сервисов - KH-IX с 2 скоростями (5 и 10 мбит), UA-IX с 2 скоростями (2 и 4 мбита) и "мир" с 2 скоростями (1 и 2 мбита).
  +
Тарифы можно применять к пользователю в любых сочитаниях.
  +
  +
Траффик входящий разделяю по TOS, исходящий - никак не разделяю. Маркирую на пограничном маршрутизаторе в зависимости от того с какого интерфейсп получен пакет
  +
<PRE>
  +
# UA-IX
  +
-A PREROUTING --in-interface eth1.XXX1 -j TOS --set-tos 0x02
  +
# KH-IX
  +
-A PREROUTING --in-interface eth1.XXX2 -j TOS --set-tos 0x02
  +
# Peer
  +
-A PREROUTING --in-interface eth1.XXX2 -j TOS --set-tos 0x02
  +
# World
  +
-A PREROUTING -j TOS --set-tos 0x16
  +
COMMIT
  +
*nat
  +
  +
</PRE>
  +
  +
  +
<PRE>
  +
access-list 193 remark UA-IX
  +
access-list 193 permit ip any any tos max-throughput
  +
</PRE>
  +
  +
<PRE>
  +
access-list 194 remark KH-IX
  +
access-list 194 permit ip any any tos max-reliability
  +
<PRE>
  +
 
===тестирование работы тарифов===
 
===тестирование работы тарифов===
 
===переключение тарифов===
 
===переключение тарифов===

Версия 12:41, 12 января 2009

CoA - Change Of Authorization

Назначение CoA

Цитата: (cisco.com)
ISG offers a standard RADIUS interface that is typically used in a pulled model where the request originates from ISG and the response come from the queried servers. ISG also supports the RADIUS Change of Authorization (CoA) extensions defined in RFC 3576 that are typically used in a pushed model and allow for the dynamic reconfiguring of services from external authentication, authorization, and accounting (AAA) or policy servers.

Использование CoA

Настройка поддержки CoA на Cisco 7201

Поддержка CoA настраивается очень просто

aaa server radius dynamic-author
 client 172.16.30.144 server-key 7 1511021F07257C737F
 client 172.16.30.50 server-key 7 0822455D0A16524045
 auth-type any
 ignore session-key
 ignore server-key
!

Можно указать сколько угодно клиентов, каждый из которых сможет посылать CoA-пакеты со своими ключами.

Тестирование CoA

Тестирование переключения тарифов

создание нескольких тарифов

Для тестирования я решил создать 6 различных сервисов - KH-IX с 2 скоростями (5 и 10 мбит), UA-IX с 2 скоростями (2 и 4 мбита) и "мир" с 2 скоростями (1 и 2 мбита). Тарифы можно применять к пользователю в любых сочитаниях.

Траффик входящий разделяю по TOS, исходящий - никак не разделяю. Маркирую на пограничном маршрутизаторе в зависимости от того с какого интерфейсп получен пакет

# UA-IX
-A PREROUTING --in-interface eth1.XXX1  -j TOS --set-tos 0x02
# KH-IX
-A PREROUTING --in-interface eth1.XXX2  -j TOS --set-tos 0x02
# Peer
-A PREROUTING --in-interface eth1.XXX2  -j TOS --set-tos 0x02
# World
-A PREROUTING  -j TOS --set-tos 0x16
COMMIT
*nat


access-list 193 remark UA-IX
access-list 193 permit ip any any tos max-throughput
access-list 194 remark KH-IX
access-list 194 permit ip any any tos max-reliability                                                                                                                                                        

тестирование работы тарифов

переключение тарифов

Заключение