Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR
Configuración de ISG Port-Bundle Host Key
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 169 KB | Inglés (1 Abril 2011) | Comentarios

Contenido

Configuración de ISG Port-Bundle Host Key

Última actualización: De agosto el 21 de 2011

ISG (gateway de servicios inteligente) es un conjunto de funciones de software de Cisco IOS que proporciona un marco estructurado en el cual los dispositivos de borde puedan proporcionar servicios flexibles y escalables a los suscriptores. Este módulo contiene la información sobre cómo configurar las funciones de la clave de host del puerto-conjunto ISG, que asocia los paquetes TCP de los suscriptores a un IP Address local para el gateway ISG y un rango de puertos. Este mapping permite que un portal externo identifique el gateway ISG desde el que se originó una sesión.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Prerrequisitos de la Función ISG Port-Bundle Host Key

El portal externo debe soportar las claves de host del puerto-conjunto y se debe configurar con los mismos parámetros de la clave de host del puerto-conjunto.

Restricciones de la Función ISG Port-Bundle Host Key

La característica de clave de host del Puerto-conjunto ISG se debe habilitar por separado en el portal y en todos los ISG conectados.

Todas las dirección IP de origen ISG configuradas con el thesourcecommand deben ser routable en la red de administración en donde reside el portal.

Para cada servidor de portal, todos los ISG conectados deben tener la misma longitud del puerto-conjunto.

La característica de clave de host del Puerto-conjunto ISG utiliza el TCP. Los paquetes no serán asociados para un suscriptor que no esté enviando tráfico TCP.

Especificar la característica de clave de host del Puerto-conjunto en un perfil del usuario trabajará solamente cuando el perfil del usuario está disponible antes de la llegada de los paquetes IP; por ejemplo, porque sesiones PPP o para el Protocolo de configuración dinámica de host (DHCP) - sesiones iniciadas IP con el autologon transparente.

Cisco 7600 Series Router

La característica de clave de host del Puerto-conjunto puede ser aplicada en un nivel de la sesión, pero no en un nivel del flujo.

La capa 4 reorienta y la clave de host del Puerto-conjunto se puede habilitar simultáneamente en un máximo de 150 sesiones concurrentes.

Información sobre ISG Port-Bundle Host Key

Descripción General de ISG Port-Bundle Host Key

La función ISG Port-Bundle Host Key sirve como mecanismo de señalización dentro de la banda para la identificación de sesión en los portales externos. Los paquetes TCP de los suscriptores se asocian a una dirección IP local para el gateway ISG y un rango de puertos. Este mapping permite que el portal identifique el gateway ISG desde el que se originó la sesión. El asociar también identifica las sesiones únicamente incluso cuando los suscriptores tienen IP Addresses que solapan. La característica de clave de host del Puerto-conjunto ISG habilita un solo portal que se desplegará para el ruteo virtual y las expediciones múltiples (VRF) incluso cuando hay suscriptores con los IP Addresses que solapan.

Mecanismo de Clave de Host Vinculada a Puerto

Con la característica de clave de host del Puerto-conjunto ISG, un ISG realiza el Port Address Translation (PAT) y el Network Address Translation (NAT) en tráfico TCP en medio el suscriptor y el portal. Cuando se configura una conexión TCP del suscriptor, el ISG crea una correlación de puertos que cambie la dirección IP de origen a una dirección IP configurada ISG y cambie el puerto TCP de la fuente a un puerto afectado un aparato por el ISG. El ISG asigna un conjunto de los puertos a cada suscriptor porque un suscriptor puede tener varias sesiones TCP simultáneas al acceder un Web page. La clave de host asignada del puerto-conjunto, o la combinación del conjunto del puerto y de dirección IP de origen ISG, identifica únicamente a cada suscriptor. La clave de host es adentro llevados paquetes RADIUS enviados entre el servidor de portal y el ISG en el Atributo específico del proveedor (VSA) IP del suscriptor. La tabla abajo describe el IP VSA del suscriptor. Cuando el servidor de portal envía una contestación al suscriptor, el ISG utiliza las tablas de traducción para identificar el puerto del IP Address de destino y del TCP de destino.

Tabla 1Descripción IP VSA del suscriptor

Atributo ID

Vendor ID

Subattribute ID y tipo

Nombre del atributo

Datos del atributo

26

9

250 Cuenta-Info

IP del suscriptor

Suscriptor-IP-direccionamiento S [: puerto-conjunto-número]

  • S--Código Cuenta-Info para el IP del suscriptor.
  • suscriptor-IP-direccionamiento [: puerto-conjunto-número]--Se utiliza el número del puerto-conjunto solamente si se configura la característica de clave de host del Puerto-conjunto ISG.

Para cada sesión TCP entre un suscriptor y el portal, las aplicaciones ISG un puerto del conjunto del puerto como el mapa del puerto. Las asignaciones del puerto individual se señalan por medio de una bandera como elegible para la reutilización en base de los temporizadores de inactividad, pero explícitamente no se quitan asignadas una vez. El número de conjuntos del puerto es limitado por el direccionamiento ISG, pero no hay límite al número de IP Addresses ISG que se puede configurar para el uso del conjunto del puerto.

Port-Bundle Length

La longitud del puerto-conjunto se utiliza para determinar el número de puertos en un conjunto. Por abandono, la longitud del puerto-conjunto es cuatro bits. La longitud máxima del puerto-conjunto es diez bits. Vea la tabla abajo para los valores disponibles de la longitud del puerto-conjunto y los valores resultantes del puerto-por-conjunto y del conjunto-por-grupo. Usted puede querer aumentar la longitud del puerto-conjunto cuando usted ve los mensajes de error frecuentes sobre ejecutarse fuera de los puertos en un conjunto del puerto.

Tabla 2Valores del Puerto-por-conjunto de las longitudes y el resultar del Puerto-conjunto y del Conjunto-por-grupo

Longitud del Puerto-conjunto (en los bits)

Número de puertos por el conjunto

Número de conjuntos por el grupo (y por la dirección IP de origen ISG)

0

1

64512

1

2

32256

2

4

16128

3

8

8064

4 (valor por defecto)

16

4032

5

32

2016

6

64

1008

7

128

504

8

256

252

9

512

126

10

1024

63


Nota


Para cada servidor de portal, todos los ISG conectados deben tener la misma longitud del puerto-conjunto, que debe corresponder al valor configurado dado en el argumento porta del ™ s BUNDLE_LENGTH del € del serverâ. Si usted cambia la longitud del puerto-conjunto en un ISG, esté seguro de realizar el cambio correspondiente en la configuración en el portal.

Ventajas de ISG Port-Bundle Host Key

Soporte para los IP Addresses solapados del suscriptor ampliados para incluir el uso porta externo

La característica de clave de host del Puerto-conjunto ISG habilita el acceso porta externo sin importar la dirección IP o las Pertenencias a VRF del suscriptor. Sin el uso de las claves de host del puerto-conjunto, todos los suscriptores que acceden un solo portal externo deben tener IP Address únicos. Además, porque las claves de host del puerto-conjunto aíslan los direccionamientos VRF-específicos del dominio en el cual el portal reside, ruteando las consideraciones se simplifican.

Aprovisionamiento porta para el suscriptor y IP Addresses ISG requeridos no más

Sin la característica de clave de host del Puerto-conjunto ISG, un portal debe ser aprovisionado para el suscriptor y los IP Addresses ISG antes de que el portal pueda enviar los paquetes RADIUS al ISG o enviar los paquetes HTTP a los suscriptores. La característica de clave de host del Puerto-conjunto ISG elimina la necesidad de provision un porta para permitir un servidor de portal sirva los ISG múltiples y permita que un ISG sea servido por los servidores de portal múltiples.

Cómo Configurar ISG Port-Bundle Host Key

Habilitación de la Función ISG Port-Bundle Host Key en un Policy Map de Servicio

Realice esta tarea de habilitar la característica de clave de host del Puerto-conjunto ISG en una correspondencia de la política de servicio. La característica de clave de host del Puerto-conjunto ISG será aplicada a cualquier suscriptor que utilice esta correspondencia de la política de servicio.


Nota


Recomendamos que usted utiliza una política de servicio dedicada para la característica. No comparta una directiva con otras características ISG.
PASOS SUMARIOS

1. permiso

2. configuró terminal

3. directiva-nombre del servicio del tipo del directiva-mapa

4. portbundle del IP

5. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
directiva-nombre del servicio del tipo del directiva-mapa


Ejemplo:

Servicio service1 del tipo del directiva-mapa de Router(config)#

 

Crea o define un policy map de servicio, que se utiliza para definir un servicio ISG.

 
Paso 4
portbundle del IP


Ejemplo:

Router (config-servicio-policymap) # portbundle del IP

 

Habilita la característica de clave de host del Puerto-conjunto ISG para el servicio.

 
Paso 5
Finalizar


Ejemplo:

Router (config-servicio-policymap) # extremo

 

(Opcional) Vuelve al modo EXEC privilegiado.

 

Pasos Siguientes

Se puede desear configurar un método para activar el mapeo de policy map o un perfil de servicio; por ejemplo, las políticas de control se pueden utilizar para activar servicios. Para obtener más información sobre los métodos de activación del servicio, vea el módulo "Configuración de Servicios de Suscriptor ISG".

Habilitación de la Función ISG Port-Bundle Host Key en un Perfil de Usuario o del Servicio en el Servidor de AAA

Realice esta tarea de habilitar la característica de clave de host del Puerto-conjunto ISG en un perfil del usuario o de mantener el perfil en el servidor del Authentication, Authorization, and Accounting (AAA).

PASOS SUMARIOS

1. Agregue el atributo de la clave de host del Puerto-conjunto al usuario o mantenga el perfil.


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
Agregue el atributo de la clave de host del Puerto-conjunto al usuario o mantenga el perfil.

Ejemplo:

26,9,1 = “IP: portbundle=enable”

 

Habilita la característica de clave de host del Puerto-conjunto ISG en el perfil del usuario o del servicio.

 

Pasos Siguientes

Si usted habilitó la característica de clave de host del conjunto del puerto ISG en un perfil del servicio, usted puede querer configurar un método de activar el perfil del servicio; por ejemplo, las políticas de control se pueden utilizar para activar servicios. Para más información sobre los métodos de activación del servicio, vea “configurando el módulo de los servicios del suscriptor ISG”.

Configuración de los Parámetros de Port-Bundle Host Key

Realice esta tarea de configurar los parámetros de la clave de host del Puerto-conjunto ISG y de especificar la interfaz para la cual el ISG utilizará las tablas de traducción para derivar la dirección IP y el número del puerto para el tráfico rio abajo.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. portbundle del IP

4. access-list-number de la lista de acceso de la coincidencia

5. bits de la longitud

6. interface-type interface-number de la fuente

7. salida

8. número del tipo de la interfaz

9. portbundle del IP afuera


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
portbundle del IP


Ejemplo:

Portbundle del IP de Router(config)#

 

Ingresa al modo de configuración del portbundle IP.

 
Paso 4
access-list-number de la lista de acceso de la coincidencia


Ejemplo:

Router (config-portbundle) # access-list 101 de la coincidencia

 

Especifica los paquetes para la correlación de puertos especificando una lista de acceso para comparar contra el tráfico del suscriptor.

 
Paso 5
bits de la longitud


Ejemplo:

Router (config-portbundle) # longitud 5

 

Especifica la longitud del puerto-conjunto ISG, que determina el número de puertos por el conjunto y los conjuntos por el grupo.

  • El número predeterminado de bits es 4.
  • Vea la sección “longitud del Puerto-conjunto” para más información.
 
Paso 6
interface-type interface-number de la fuente


Ejemplo:

Router (config-portbundle) # loopback0 de la fuente

 

Especifica la interfaz para la cual la dirección IP principal será asociada por el ISG a los IP Address de destino en el tráfico del suscriptor.

  • Recomendamos que usted utiliza un Loopback Interface como la interfaz de origen.
 
Paso 7
salida


Ejemplo:

Router (config-portbundle) # salida

 

Vuelve al modo de configuración global.

 
Paso 8
número del tipo de la interfaz


Ejemplo:

Gigabitethernet 0/0/0 de la interfaz de Router(config)#

 

Especifica una interfaz para la configuración. Ingresa en el modo de configuración de la interfaz.

 
Paso 9
portbundle del IP afuera


Ejemplo:

Router (config-if) # portbundle del IP afuera

 

El ISG de las configuraciones a invertir traduce el IP Address de destino y el puerto TCP a la dirección IP real del suscriptor y el puerto TCP para el tráfico que va del portal al suscriptor para la interfaz que es configurada.

 

Verificación de la Configuración de ISG Port-Bundle Host Key

Realice esta tarea al mostrar información sobre la configuración de la clave de host del puerto-conjunto ISG.

PASOS SUMARIOS

1. permiso

2. muestre el estatus del portbundle del IP [libre | inuse]

3. muestre el puerto-conjunto-número del conjunto del portbundle-IP-direccionamiento del IP del portbundle del IP

4. muestre la sesión del suscriptor [detailed] [identificador del identificador | ID de sesión del uid| nombre del nombre de usuario]


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
muestre el estatus del portbundle del IP [libre | inuse]


Ejemplo:

El estatus del portbundle del IP de la demostración del Router- libera

 

Visualiza la información sobre los grupos del puerto-conjunto ISG.

 
Paso 3
muestre el puerto-conjunto-número del conjunto del portbundle-IP-direccionamiento del IP del portbundle del IP


Ejemplo:

El IP 10.10.10.10 del portbundle del IP de la demostración del Router- lía 65

 

Información de las visualizaciones sobre un conjunto específico del puerto ISG.

 
Paso 4
muestre la sesión del suscriptor [detailed] [identificador del identificador | ID de sesión del uid| nombre del nombre de usuario]


Ejemplo:

Sesión del suscriptor de la demostración del Router- detallada

 

Muestra información de la sesión del suscriptor ISG.

 

Ejemplos de Configuración de ISG Port-Bundle Host Key

Ejemplo de configuración de la clave de host del Puerto-conjunto ISG

El siguiente ejemplo muestra cómo configurar la característica de clave de host del Puerto-conjunto ISG para aplicarse a todas las sesiones:

policy-map type service ISGPBHKService
 ip portbundle 
! 
policy-map type control PBHKRule 
 class type control always event session-start 
  1 service-policy type service ISGPBHKService
! 
service-policy type control PBHKRule 
interface ethernet0/0
 ip address 10.1.1.1 255.255.255.0
 ip portbundle outside
!
ip portbundle
 match access-list 101
 length 5
 source loopback 0

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos ISG

Referencia inteligente del comando gateway de los servicios del Cisco IOS

Asistencia Técnica

Descripción

Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información de la Función ISG Port-Bundle Host Key

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Cuadro 3Información de la Función ISG Port-Bundle Host Key

Nombre de la función

Versiones

Información de la funcionalidad de la característica

ISG: Sesión: Auth: PBHK

12.2(28)SB 12.2(33)SRC 15.0(1)S

La función ISG Port-Bundle Host Key sirve como mecanismo de señalización dentro de la banda para la identificación de sesión en los portales externos. Los paquetes TCP de los suscriptores se asocian a una dirección IP local para el gateway ISG y un rango de puertos. Este mapping permite que el portal identifique el gateway ISG desde el que se originó la sesión.

Este módulo proporciona la información sobre cómo configurar la característica de clave de host del Puerto-conjunto ISG.

En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.