ISG

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску

Cisco ISG

Постановка задачи

В небольшом интернет-провайдере отказаться от использования VPN (pptp) для контроля сессий.
Траффик контролировать непосредсвенно на уровне IP. Контроль валидность src-IP осуществляется на уровне сети доступа (DHCP-snooping + ACL), любой клиент который попадает на роутер с ISG имеет верефицированный src-IP.

Требуется поддреживать следующие пакеты:


  1. Volume-Based Prepaid (помегобайтный пакет)
  2. Безлимитные пакеты с ограничением по траффику.
  3. (опционально) Пакеты с ограничением по скорости и времени. (Lagacy-тариы, который был предназначен для создания альтернативы диалапу, пока не реализовано.)



Технология (feature) Cisco ISG предназначена для управления сервисами пользователей.

Для управления пользователями используются полиси-мап (policy-map) которые применяются на интерфейсы маршрутизатора.

Пример (для VLAN 613 )

Router#sh run in gig0/1.613
Building configuration...

Current configuration : 235 bytes
!
interface GigabitEthernet0/1.613
 description "ISG-Test"
 encapsulation dot1Q 613
 ip address 195.69.244.193 255.255.255.248
 service-policy type control ISG-TEST-POLICY
 ip subscriber routed
  initiator unclassified ip-address
end

В примере
1. При получени пакета, который не может быть отнесен ни к одной сесиии
<PRE>
initiator unclassified ip-address

В качестве инициатора сессии может выступать DHCP-пакет или мак-адрес (я - не использую)

Строка

ip subscriber routed

Обозначает что подписчики подключены через L3 маршрутизируюмую сеть.

Для определения того, что делать с пакетом (какую политику применить на сессию) используется

service-policy type control ISG-TEST-POLICY


Для классификации используется class-map

В этот class-map попадут только неаутентифицированные пользователи

class-map type control match-all ISG-IP-UNAUTH
 match timer UNAUTH-TIMER
 match authen-status unauthenticated

Для определения пользователей препейд-пакетов использую следующий class-map

class-map type control match-all CLASS_PREPAID_INTERNET
 match service-name PREPAID_INTERNET

PREPAID_INTERNET - имя сервиса, описанное в радиусе, и может быть любым (вероятно)



Задать приоритет откужа брать "сервисы" из конфига локально или запрашивать радиус

aaa authorization subscriber-service default local group ...


http://forum.nag.ru/forum/index.php?showtopic=45688
http://forum.nag.ru/forum/index.php?showtopic=41243
http://forum.nag.ru/forum/index.php?showtopic=42945


http://www.opennet.ru/openforum/vsluhforumID6/17551.html
http://www.opennet.ru/openforum/vsluhforumID6/15205.html
http://www.opennet.ru/openforum/vsluhforumID6/14964.html


http://www.ciscosystems.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg_ig.html
http://www.cisco.com/en/US/docs/ios/12_2sb/isg/configuration/guide/isg_c.html
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t11/feature/guide/gtssgdfq.html
http://www.cisco.com/en/US/docs/ios/isg/configuration/guide/isg_tshoot_sa_dcd.html
http://www.ciscosystems.cd/en/US/docs/ios/isg/configuration/guide/isg_subscriber_svcs.html
http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios/ge_rls4.html


Очень интресная статья
http://www.cisco.com/en/US/docs/ios/solutions_docs/edge_ios_migration/migv2.html#wp1246871


Ссылки http://www.cisco.com/univercd/cc/td/doc/product/software/ios122sb/cg/isg_lib/index.htm


--Sirmax 08:04, 5 января 2009 (UTC)