ISGv2 Intro
Введение в ISG
- Intelligent Services Gateway (ISG) — это набор функций программного обеспечения Cisco и есть только у Cisco, аналогичный функционал у других вендоров называется иначе.
Шлюз интеллектуальных служб (ISG) представляет собой решение для терминирования абонентов/подписчиков для гибкой настройки услуг (не очень понятное определение с сайта)
ISG занимается следующими ключевыми аспектами управления подписчиками:
- Идентификация абонента
- Определение службы и политики
- Применение политики сеанса
- Управление жизненным циклом сеанса
- Учет доступа и использования услуг
- Мониторинг состояния сеанса
- CoA (Radius) для изменения состояния "не лету"
По картинке немного яснее
- по первому пакету сходить за авторизацией, потом за политиками и сделать или доступ в интернет или редирект на портал или еще что-то по желанию
- сервисы (набор правил для абонента) можно при желании хранить и полностью локально в конфигурации устройства
Ключевые термины которые нужно разобрать
- Subscriber Sessions
- Subscriber Access
- Subscriber Identification
- Subscriber Services
- Policies
- Dynamic Policy Updates
Subscriber Sessions
Сессия (иногда переводят как сеанс) ISG — это общий системный контекст, который создается для каждого подписчика, взаимодействующего с пограничным устройством.
По сути - это какой-то объект в памяти устройства который имеет собственный идентификатор и создается при первом взаимодействии абонента с шлюзом - по сути по первому пакету.
И этот программный объект содержит информацию по авторизации, службам (ограничение скорости или файрволл и прочее)
Так как мы живем в мире победившего ethernet то сессия это абстракция, в отличии от PPP где сессия изначально подразумевало наличие телефонного соединения
Subscriber Access
Пока что совершенно непонятный термин
Under ISG, the provisioning and handling of specific access media and protocols is decoupled as far as possible from the functionality that is applicable to all session types. This model has the following benefits: * A common set of subscriber services may be used on an ISG at which heterogeneous subscriber networks are aggregated. * A common set of subscriber services may be used for multiple ISGs, even when the access technology differs. * For a given subscriber, the access method may be altered (through provisioning or roaming) without any need to change the service provisioning. As new access protocols become available, they can be leveraged by existing edge deployments without requiring changes to the service content; new access protocols plug into the ISG framework.
Subscriber Identification
По событиям (первый пакет как самый частый пример) - сходить с запросом с тем что есть на RADIUS
А есть обычно IP адрес и МАК опционально
Пишут что стартом сессии может быть и DHCP
Для IP-сеанса, когда начало сеанса сигнализируется событием протокола DHCP, может быть активирована политика перенаправления TCP. Эта политика облегчит сбор имени пользователя и учетных данных на внешнем веб-портале.
Subscriber Services
Сервис (или услуга) - это набор политик которые применяются к абонентской сессии
Сервис сожет быть активирован в 3 случаях
- As a result of control policy execution - самый интересный и важный, подводит к понятию control policy
- By receipt of a CoA service-logon command - понятно что по CoA пакету можно что-то триггернуть
- By reference in a user profile, where the service is flagged for automatic activation - что написано понятно, как это написать в конфиге - пока нет
Policies
ISG introduces support for two basic policy types:
- Traffic policies
- Control policies
Traffic policies
Control policies
Политики управления определяют обработку системных событий и состоят из одного или нескольких правил политики управления и стратегии принятия решений, которая определяет, как оцениваются составляющие правила политики. Правило политики управления состоит из класса управления (предложения с гибким условием), события, для которого оценивается условие, и одного или нескольких управляющих действий. Управляющие действия — это общие системные функции, такие как «аутентификация» или «активация службы».
Политики управления могут быть активированы для различных целей, таких как интерфейсы или виртуальные каналы ATM (VC), и обычно управляют извлечением и аутентификацией идентификатора абонента и активацией услуг в сеансах. Политики трафика могут быть активированы только для сеансов и обычно (хотя и не всегда) применяются посредством активации службы.
Политики управления представляют собой структурированную замену команд конфигурации для конкретных функций и позволяют выражать настраиваемые функции в терминах события, условия и действия. Политики управления представляют собой интуитивно понятную и расширяемую структуру для определения поведения системы. По мере того, как в систему добавляются дополнительные функции, администратору достаточно узнать, какие новые события и действия можно включить в политику управления, а не совершенно новый набор команд настройки.