Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR
Descripción del ISG
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 151 KB | Inglés (1 Abril 2011) | Comentarios

Descripción del ISG

Última actualización: De agosto el 21 de 2011

ISG (gateway de servicios inteligente) es un conjunto de funciones de software de Cisco IOS que proporciona un marco estructurado en el cual los dispositivos de borde puedan proporcionar servicios flexibles y escalables a los suscriptores. Este documento proporciona la información sobre cuál es el ISG, las ventajas del ISG, y cómo comenzar a implementarlo.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Información sobre ISG

Cuál es ISG

El ISG es un marco estructurado en el cual los dispositivos de acceso del borde pueden entregar flexible y los servicios escalables a los suscriptores. El ISG maneja los aspectos claves siguientes de la Administración del suscriptor:

  • Identificación de suscriptor
  • Determinación del servicio y de la directiva
  • Aplicación de políticas de la sesión
  • Administración del ciclo vital de la sesión
  • Explicar el uso del acceso y del servicio
  • El monitorear del estado de la sesión

Además, el ISG introduce un elemento dinámico al aprovisionamiento y a la activación de los servicios con las directivas de control y el cambio de las Extensiones de la autorización (CoA) al protocolo RADIUS.

Un dispositivo habilitado para ISG se puede desplegar en el borde del acceso y el borde del servicio de una red y es aplicable a un rango de los entornos de red del suscriptor, tales como Digital Subscriber Line (DSL), Wireless LAN público (PWLAN), y Tecnología inalámbrica móvil. Por otra parte, el ISG se ha diseñado para acomodar una distribución flexible del suscriptor y la información de servicios dentro de una solución dada. La figura abajo ilustra las instalaciones de DSL típicas para las cuales los datos de perfiles del servicio se pueden salvar en una base de datos del Authentication, Authorization, and Accounting (AAA) y extraer y ocultar a pedido.

Figura 1Topología de ejemplo para las instalaciones de DSL


Es también posible definir los servicios directamente en un ISG. En todos los casos, mantenga la activación puede ser accionado como resultado de una directiva de control localmente definida, de las asociaciones del perfil del usuario, o de los comandos CoA de un servidor de políticas externo o de una aplicación porta.

Principios de ISG

El fundamental a la arquitectura ISG es el aprovisionamiento de una capa de sesión común en la cual la Administración de las sesiones genéricas del suscriptor se desempareje de la tecnología que se utiliza para proporcionar el acceso al dispositivo de borde.

Dentro de esta capa de la administración de la sesión, los métodos usuales se proporcionan para la extracción de la información de identidad del suscriptor y la determinación y la activación de los servicios. Estos métodos se describen en las secciones siguientes:

Sesiones de Suscriptor

Una sesión del suscriptor ISG es un contexto del sistema genérico que se crea para cada suscriptor que obre recíprocamente con el dispositivo de borde. Una sesión del suscriptor se crea en la primera interacción para poder aplicarse las directivas tan pronto como sea posible. Tales directivas pueden facilitar la extracción de la información de identidad del suscriptor. Todas las sesiones del suscriptor se asignan localmente un Identificador único que se puede utilizar posteriormente para referirse a la sesión.

El contexto de la sesión es la base para la dirección común en la capa de la administración de la sesión, pero el tipo de tráfico que se abarca en un contexto de la sesión puede variar. Ampliamente, los tipos de la sesión pueden ser categorizados como la capa 2 o capa 3, dependiendo de los tipos de paquete que están siendo manejados por la sesión. Por ejemplo, una sesión PPP es una sesión de la capa 2 en que incluye todos los paquetes transferidos sobre un vínculo que fue establecido usando la negociación PPP. Una sesión IP es la capa 3 porque incluye todos los paquetes IP intercambiados por un dispositivo del suscriptor en una sola dirección IP. Si es una sesión la capa 2 o la capa 3, determinará hasta cierto punto el tipo de limpia que puede ser activado para la sesión.

El ISG también proporciona la flexibilidad en términos de cómo una sesión IP se define para una interfaz. Por ejemplo, en una interfaz particular, el ISG puede ser aprovisionado para clasificar las sesiones IP en base de una sola dirección (una sesión IP), de una subred (una sesión de la subred IP), o de la interfaz sí mismo (una sesión de la interfaz IP), en donde todos los paquetes IP transferidos sobre la interfaz son abarcados por la misma sesión.

En una instrumentación de red, los tipos de la sesión ISG deben ser aprovisionado para representar las entidades del suscriptor individual. Por ejemplo, una interfaz determinada ISG se puede conectar directamente con un hogar del suscriptor en el cual varios dispositivos del suscriptor con los IP Addresses individuales se asocien a un hogar LAN. Si el plan es modelar cada dispositivo conectado a LAN como suscriptor separado y aplicar las diversos directivas y servicios a cada uno, la interfaz debe ser aprovisionado para contar con las sesiones IP. Sin embargo, si el hogar representa una sola cuenta del suscriptor, y la dirección común se requiere para todos los paquetes intercambiados, la interfaz debe ser aprovisionado como una interfaz IP o sesión de la subred.

Acceso del Suscriptor

Bajo el ISG, el aprovisionamiento y la dirección del medio de acceso y de los protocolos específicos se desempareja lo más lejos posible de las funciones que son aplicables a todos los tipos de la sesión. Este modelo tiene las siguientes ventajas:

  • Un conjunto común de servicios del suscriptor puede ser utilizado en un ISG en el cual se agreguen las redes heterogéneas del suscriptor.
  • Un conjunto común de servicios del suscriptor puede ser utilizado para los ISG múltiples, incluso cuando diferencia la tecnología del acceso.
  • Para un suscriptor dado, el método de acceso se puede alterar (con el aprovisionamiento o la itinerancia) sin ninguna necesidad de cambiar el aprovisionamiento del servicio.
  • Mientras que los nuevos protocolos de acceso están disponibles, pueden leveraged por las implementaciones existentes del borde sin requerir los cambios al contenido del servicio; los nuevos protocolos de acceso conectan en el marco ISG.

Identificación de Suscriptores

Se crea una sesión del suscriptor cuando el primer paquete del Control Protocol se recibe del dispositivo del suscriptor. El Control Protocol variará dependiendo del tipo de la sesión. Si no hay Control Protocol, la sesión es señalada por el primer paquete de datos del suscriptor.

En el comienzo de la sesión, cierta información de identidad está disponible, aunque típicamente no bastantes identificar totalmente al suscriptor. Con el uso de las directivas de control, la información de identidad disponible en el comienzo de la sesión se puede utilizar para conducir la extracción de la identidad adicional del suscriptor y para determinar la nueva directiva para la sesión. Los siguientes ejemplos ilustran cómo un ISG pudo manejar la identidad del suscriptor:

  • Cuando es el protocolo de acceso del suscriptor el PPPoA, llegó la conexión virtual atmósfera en las cuales el pedido de llamada está disponible en el comienzo de la sesión. Una directiva de control se podría definir para remitir todas las sesiones sobre el identificador de trayecto virtual (VPI) 1 sobre el túnel definidas por el  del € del œ ISP-Aâ del € del â del servicio pero para pedir un nombre de usuario de todos los suscriptores que intentaban acceder la red vía el VPI2.
  • Para una sesión IP, donde el comienzo de la sesión es señalado por un evento del protocolo DHCP, una directiva del cambio de dirección TCP podría ser activada. Esta directiva facilitaría la colección de un nombre de usuario y de credenciales en un portal de Web externa.

Servicios para Suscriptores

Un servicio ISG es una colección de directivas aplicables a una sesión del suscriptor. Cuando un servicio se activa en una sesión, todas las directivas contenidas dentro de ese servicio se activan en la sesión. Asimismo, cuando se desactiva un servicio, todas las directivas que se contienen dentro del servicio se desactivan o se quitan de la sesión.

Los servicios son útiles para manejar las combinaciones fijas de la directiva que son aplicables a varios suscriptores. Esta aplicación reduce la duplicación de los datos persistentes y permite que un grupo de directivas sea activado con una sola acción y una referencia única.

Un servicio se puede definir en el dispositivo de borde directamente, a través del comando line interface(cli), o en un repositorio externo y descargar como sea necesario. Una definición de servicio descargada se oculta en el dispositivo para mientras sea activa en una o más sesiones.

Un servicio se puede activar en una de las maneras siguientes:

  • Como resultado de la ejecución de la directiva de control
  • Por el recibo de un comando del servicio-inicio CoA
  • Por la referencia en un perfil del usuario, donde el servicio se señala por medio de una bandera para la activación automática

Los servicios contienen sobre todo las políticas de tráfico. Hay algunas restricciones con respecto a las directivas que se pueden combinar en un servicio dado; por ejemplo, un servicio puede no contener dos políticas de tráfico que especifiquen una diversa clase de tráfico del nondefault a menos que se apliquen a diversas direcciones del tráfico (entrantes contra saliente).

Donde un servicio contiene una directiva de la red-expedición, se conoce como servicio principal. Solamente un servicio principal puede ser activo para una sesión dada en cualquier momento; es decir, los servicios principales son mutuamente - exclusiva.

Directivas

El ISG introduce el soporte para dos tipos de la política básica:

  • Políticas de tráfico
  • Directivas de control

Las políticas de tráfico definen la dirección de los paquetes de datos y consisten en una clase de tráfico, que define los criterios del paquete basado para los cuales la directiva es aplicable, y uno o más trafican las acciones, que son los casos funcionales que realizan las operaciones específicas en una secuencia de datos y se refieren a menudo como características. Las acciones del tráfico configuradas dentro de una política de tráfico se invocan para los paquetes de datos que cumplen los criterios definidos por la clase de tráfico.

las directivas de la Red-expedición son una directiva específica del tipo de tráfico, para la cual la acción es una acción de la red-expedición, por ejemplo a los paquetes de Routes usando un ruteo virtual específico y el caso de reenvío (VRF) o remitir los paquetes sobre una conexión de la capa 2. las directivas de la Red-expedición son  del € del classlessâ del œ del € del â en que no es posible refinar los criterios para los cuales la acción de la expedición es aplicable.

Las directivas de control definen la dirección de los eventos del sistema y consisten en una o más reglas de la directiva de control y una estrategia de decisión que gobierne cómo se evalúan las reglas constitutivas de la directiva. Una regla de la directiva de control consiste en una clase control (una cláusula de condición flexible), un evento para los cuales se evalúe la condición, y una o más acciones de control. Las acciones de control son funciones de sistema general, tales como  del € del authenticateâ del œ del € del â o el œ del € del â activa un  del € service.â

Las directivas de control se pueden activar en las diversas blancos, tales como interfaces o circuitos virtuales ATM (VCs), y controlan típicamente la extracción y la autenticación de la identidad del suscriptor y la activación de los servicios en las sesiones. Las políticas de tráfico se pueden activar solamente en las sesiones y (sin embargo no siempre) se aplican típicamente con la activación del servicio.

Las directivas de control son un reemplazo estructurado para los comandos configuration característica-específicos y permiten que las funciones configurables sean expresadas en términos de evento, condición, y acción. Las directivas de control representan un marco intuitivo y extensible para especificar el comportamiento del sistema. Mientras que las funciones adicionales se agregan al sistema, un administrador apenas tiene que aprender qué nuevos eventos y acciones se pueden incluir en una directiva de control, no totalmente un nuevo conjunto de los comandos configuration.

Actualizaciones Dinámicas de Políticas

Tradicionalmente, la política de suscriptor se ha determinado en una punta solamente, en el tiempo del establecimiento de sesión, la identidad principal de un suscriptor se ha autenticado una vez. El ISG introduce un modelo dinámico de la directiva en el cual la directiva de la sesión se pueda alterar en cualquier momento.

La directiva de la sesión se evalúa en el comienzo de la sesión y puede ser valorada de nuevo siempre que la identidad o la información adicional de la selección del servicio se espigue del suscriptor vía el protocolo de acceso. Además, la directiva puede ser actualizada para una sesión con la activación de las directivas de control o mediante los comandos CoA de una aplicación externa. En este último caso, la aplicación externa puede poner al día la directiva como resultado de la actividad del administrador, del proceso final, o de la actividad del suscriptor (tal como selección del servicio en un portal web).

Ventajas de ISG

El ISG proporciona las siguientes ventajas:

  • Un sistema común para la administración de la sesión a través de los Productos Cisco y de las Tecnologías del acceso. Los nuevos protocolos de acceso, remitiendo los protocolos, y las características se pueden enchufar con el potencial del efecto mínimo y del máximo para la reutilización.
  • Separación de las preocupaciones de la identificación de suscriptor, de la aplicación de servicios, y del acceso del suscriptor y del tipo de la sesión.
  • Definiciones flexibles de la sesión.
  • Detección flexible de la sesión.
  • Acercamiento flexible, iterativo a la identificación, activación del servicio, y activación de la directiva.
  • Diversos niveles de confianza. La autorización de la sesión no es contingente en la autenticación.
  • Directivas de control. Las directivas de control facilitan la toma de decisión distribuida de la directiva, reduciendo el Latencia de ida y vuelta entre el dispositivo de borde y el servidor de políticas, y permiten el evento del sistema que dirige para ser descrito en una manera constante e intuitiva.
  • Modelo y lenguaje de la directiva común para el control y la política de tráfico.
  • Provision para las actualizaciones dinámicas de la directiva vía el CoA (a través de la activación del servicio o del  del € del pushâ de la directiva del œ del € del â).
  • Uso de la infraestructura del Cisco IOS existente de proporcionar las funciones de la sesión.
  • Uso de la infraestructura del Cisco IOS existente de seguir el estado de la sesión y el ciclo vital.
  • Creación de un contexto de la sesión en el primer caso de la interacción del suscriptor, de tal modo facilitando la aplicación inmediata de la directiva al tráfico del suscriptor.
  • Distribución flexible de los datos de servicio.
  • Rango de las opciones de las estadísticas, incluyendo las estadísticas pagadas por adelantado, las estadísticas porte pagado, transferencia de tarifa para las estadísticas pagadas por adelantado y porte pagado, las estadísticas interinas, las estadísticas basadas en el evento, y las estadísticas del flujo basado.
  • Escoja muestra-en los servicios a una aplicación externa.
  • Infraestructura flexible en apoyo de las implementaciones iguales-accessâ del  del € del œ del € del â, tales como pool basado en el servicio del Protocolo de configuración dinámica de host (DHCP) y determinación del servidor DHCP, el cambiar la dirección dinámico con la transferencia del DHCP, y VRF.
  • Soporte para las interfaces externas estándar, tales como RADIUS y CoA.

Planificación para la Implementación de ISG

El ISG es muy flexible y soporta una amplia variedad de funciones. Antes de que usted comience a configurar el ISG, usted debe planear su sistema cuidadosamente. Las secciones siguientes describen algunos de los aspectos importantes de su sistema que usted debe considerar:

Modelo de Confianza

Los niveles de confianza son determinados por las necesidades de la Seguridad de un dominio de la aplicación determinada y de la Seguridad inherente permitidos por la red del suscriptor. En las situaciones siguientes, puede no ser necesario autenticar la identidad del suscriptor:

  • Cuando la Seguridad no se considera suprema
  • Cuando la seguridad de extremo a extremo es en-banda proporcionada
  • Cuando la red del suscriptor es intrínseco segura

Independientemente de si los suscriptores deben ser autenticados influenciará la opción del protocolo de acceso. Cuando la autenticación no se requiere, las directivas de control se pueden utilizar para determinar la autorización y la otra directiva de la sesión en base de la identidad del suscriptor.

Donde la autenticación se considera necesaria, la identidad autenticada puede ser confiada en:

  • Para la duración de la sesión
  • Hasta un reauthentication periódico se instiga
  • Más allá de la duración de una sesión; por ejemplo, para el curso de la vida de una suscripción

Para la Seguridad completa, los métodos criptográficos se pueden utilizar para asegurar la sesión (al borde) después de la autenticación, evitando la necesidad del reauthentication. Sin embargo, hay administrativo y recargas de rendimiento asociado a esta práctica.

Modelo de Acceso del Suscriptor

El modelo de confianza, determinará en gran parte la opción del protocolo de acceso. Sin embargo, el modelo del acceso también dependerá de otros factores tales como los media subyacentes (por ejemplo, atmósfera contra los Ethernetes), tipo de punto final (por ejemplo, PC, teléfono celular, PDA), requisitos de la movilidad, la capacidad del ™ s del € del systemâ de influenciar el software instalado en un dispositivo del suscriptor, y requisitos de ampliación.

Requisitos del Inicio de Sesión Único

¿Dónde un suscriptor tendrá acceso a los servicios proporcionados por los otros dispositivos en el dominio administrativo del acceso o del proveedor de servicio, una autenticación adicional se requiere, o debe la identidad del suscriptor ser confiada en? Puede ser necesario que el último dispositivo pregunte el dispositivo de acceso para recoger la información de identidad adicional del suscriptor y para comprobar si el dispositivo de acceso ha autenticado al suscriptor ya. El solo muestra-en el recurso se proporciona con la capacidad del  del € del queryâ de la sesión del œ del € del â del CoA.

Reenvío de Red

¿Cómo deben los suscriptores ser dados el acceso a los servicios de red? Las opciones de la expedición de la red incluyen el siguiente:

  • Conexiones de la capa 2; por ejemplo, un túnel del protocolo Layer 2 Tunneling Protocol (L2TP) a un L2TP Network Server (LNS)
  • Conexiones de la capa 3, asociando todos los paquetes de sesión a un VRF o a un dominio de ruteo determinado

Empaquetado de Servicios

¿Cómo se deben las directivas del suscriptor ordenar en los servicios, si en absoluto? Algunas consideraciones para el empaquetado del servicio incluyen el siguiente:

  • ¿Son ciertas combinaciones de la directiva comunes a los suscriptores múltiples?
  • ¿Son las combinaciones de la política compartida dependientes en un dominio determinado de la expedición?
  • ¿Es necesario que un suscriptor se mueva entre los dominios del servicio?
  • ¿Deben los servicios ser definidos en el dispositivo o en un repositorio remoto? Externamente ocultarán a los servicios definidos localmente para mientras los activen para una o más sesiones.

Modelo de Facturación

¿Cómo deben los suscriptores ser cargados en cuenta para el uso del servicio? Las opciones que cargan en cuenta incluyen el siguiente:

  • Factura por el uso del tiempo o del volumen
  • El cargar en cuenta por adelantado (pagado por adelantado) o a intervalos regulares (porte pagado tradicional)
  • Factura según el aprovisionado de las directivas para la sesión
  • Factura según el Time Of Day (transferencia de tarifa)

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos ISG

Referencia inteligente del comando gateway de los servicios del Cisco IOS

Asistencia Técnica

Descripción

Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información sobre las Funciones para la Descripción General de ISG

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 1Información sobre las Funciones para la Descripción General de ISG

Nombre de la función

Versiones

Información de la Configuración de la Función

ISG: Sesión: Auth: Escoja Muestra-en

12.2(28)SB 12.2(33)SRC 15.0(1)S

El inicio de sesión único elimina la necesidad de autenticar una sesión más de una vez cuando un suscriptor tiene acceso a los servicios proporcionados por otros dispositivos en el dominio administrativo del proveedor de acceso o de servicio.

En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.