Cisco ISG

Постановка задачи

В небольшом интернет-провайдере отказаться от использования VPN (pptp) для контроля сессий.
Траффик контролировать непосредсвенно на уровне IP. Контроль валидность src-IP осуществляется на уровне сети доступа (DHCP-snooping + ACL), любой клиент который попадает на роутер с ISG имеет верефицированный src-IP.

Требуется поддреживать следующие пакеты:

1. Volume-Based Prepaid (помегобайтный пакет)
2. Безлимитные пакеты с ограничением по траффику.
3. (опционально) Пакеты с ограничением по скорости и времени. (Lagacy-тариы, который был предназначен для создания альтернативы диалапу, пока не реализовано.)

• Внимание: Volume-monitor работает только с суммарным траффиком. Возможно, это ограничение можно обойти созданием 2-х сервисов на входящий и исходящий траффик, однако я не вижу в этом смысла для себя на данный момент.

Вот цитата с cisco.com

Restrictions for ISG Prepaid Billing Support

• ISG volume-based prepaid billing is not supported on the Cisco 10000-PRE2. не важно для меня
• ISG prepaid billing support can only be applied to traffic flows that have been defined by an ISG traffic class.
• Quotas are measured in seconds for time and in bytes for volume. There is no way to change the unit of measure. не важно для меня, непонятно кому может быть нужно что то другое
• The volume quota is for combined upstream and downstream traffic.

Технология (feature) Cisco ISG предназначена для управления сервисами пользователей.

Для управления пользователями используются полиси-мап (policy-map) которые применяются на интерфейсы маршрутизатора.

Пример (для VLAN 613 )

Router#sh run in gig0/1.613
Building configuration...

Current configuration : 235 bytes
!
interface GigabitEthernet0/1.613
 description "ISG-Test"
 encapsulation dot1Q 613
 ip address 195.69.244.193 255.255.255.248
 service-policy type control ISG-TEST-POLICY
 ip subscriber routed
  initiator unclassified ip-address
end

В примере
1. При получени пакета, который не может быть отнесен ни к одной сесиии
<PRE>
initiator unclassified ip-address

В качестве инициатора сессии может выступать DHCP-пакет или мак-адрес (я - не использую)

Строка

ip subscriber routed

Обозначает что подписчики подключены через L3 маршрутизируюмую сеть.

Для определения того, что делать с пакетом (какую политику применить на сессию) используется

service-policy type control ISG-TEST-POLICY

Для классификации используется class-map

В этот class-map попадут только неаутентифицированные пользователи

class-map type control match-all ISG-IP-UNAUTH
 match timer UNAUTH-TIMER
 match authen-status unauthenticated

Для определения пользователей препейд-пакетов использую следующий class-map

class-map type control match-all CLASS_PREPAID_INTERNET
 match service-name PREPAID_INTERNET

PREPAID_INTERNET - имя сервиса, описанное в радиусе, и может быть любым (вероятно)

Задать приоритет откужа брать "сервисы" из конфига локально или запрашивать радиус

aaa authorization subscriber-service default local group ...

http://forum.nag.ru/forum/index.php?showtopic=45688
http://forum.nag.ru/forum/index.php?showtopic=41243
http://forum.nag.ru/forum/index.php?showtopic=42945

http://www.opennet.ru/openforum/vsluhforumID6/17551.html
http://www.opennet.ru/openforum/vsluhforumID6/15205.html
http://www.opennet.ru/openforum/vsluhforumID6/14964.html

http://www.ciscosystems.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg_ig.html
http://www.cisco.com/en/US/docs/ios/12_2sb/isg/configuration/guide/isg_c.html
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t11/feature/guide/gtssgdfq.html
http://www.cisco.com/en/US/docs/ios/isg/configuration/guide/isg_tshoot_sa_dcd.html
http://www.ciscosystems.cd/en/US/docs/ios/isg/configuration/guide/isg_subscriber_svcs.html
http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios/ge_rls4.html

Очень интресная статья
http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios_migration/migv2.html#wp1246871

Ссылки http://www.cisco.com/univercd/cc/td/doc/product/software/ios122sb/cg/isg_lib/index.htm

--Sirmax 08:04, 5 января 2009 (UTC)