Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR
Configurar el policing basado en RADIUS
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 247 KB | Inglés (6 Junio 2011) | Comentarios

Contenido

Configurar el policing basado en RADIUS

Última actualización: De agosto el 21 de 2011

La característica de regulación de tráfico basado en RADIUS permite al gateway inteligente de los servicios (ISG) para realizar los cambios automáticos a la velocidad de tráfico ordenado de las sesiones y de los servicios específicos.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Requisitos previos para el policing basado en RADIUS

Usted debe configurar todas las clases de tráfico en el ISG antes de referirse a las clases a las correspondencias de políticas.

Usted debe configurar y aplicar política de calidad de servicio (QoS) las correspondencias en el ISG ante el ISG puede construir y aplicar una directiva de servicio dinámico ANCP-basada.

Restricciones para el policing basado en RADIUS

el policing del Por-servicio no se puede configurar en el clase class-default en el padre llano de una política de jerarquía. Usted puede configurar el policing del por-servicio en los clase class-default en el nivel del niño o del nieto.

Las directivas transitorias no son visibles en el archivo de la ejecutar-configuración. Solamente la configuración de la política original es visible.

QoS con parámetros no se soporta para las sesiones IP.

El nombre con parámetros de la lista de control de acceso (pACL) se limita a 80 caracteres. El nombre del pACL es formado concatenando las entradas ACL en el mensaje CoA o del access-accept RADIUS al nombre ACL configurado en el ISG. Si el nombre del pACL excede 80 caracteres la operación de la parametrización falla y las visualizaciones de un mensaje de error. Para un mensaje CoA, el ISG también envía una respuesta negativa Ack (nack) al servidor de RADIUS.

Si hay un empuje concatenado de la servicio-activación, las directivas de QoS se aplican primero y en seguida mantienen la activación ocurren. Si una activación concatenada del servicio falla, ninguna directivas de QoS aplicada no se ruedan detrás.

Información sobre el policing basado en RADIUS

Atributos RADIUS

El RADIUS comunica con el ISG integrando los atributos específicos en el access-accept y el cambio de los mensajes de la autenticación (CoA). El modelado y regulación del tráfico basado en RADIUS emplea este intercambio de los atributos para activar y para desactivar los servicios y para modificar la directiva activa del Calidad de Servicio (QoS) aplicada a una sesión. El servidor de RADIUS determina el nuevo shaping o velocidad de tráfico ordenado basada en los atributos específicos del proveedor (VSA) configurados en un perfil del usuario del ™ s del € del subscriberâ en el RADIO y en el Control Protocol avanzado del nodo (ANCP) - tarifa señalada recibida del ISG.

Después de recibir el mensaje del access-accept o CoA, el ISG copia la correspondencia de políticas original aplicada a la sesión y cambia el shaping o la velocidad de tráfico ordenado de la directiva copiada, transitoria según lo indicado por el RADIUS. El ISG no cambia la velocidad de modelado de la directiva original. Después de cambiar la directiva transitoria, el ISG aplica la directiva transitoria al servicio para suscriptores.

Las secciones siguientes describen los atributos de RADIUS usados en el policing basado en RADIUS:

Atributos de RADIUS 250 y 252

Atributo 250 de las aplicaciones RADIUS en los mensajes del access-accept y atributo 252 en los mensajes CoA para activar y para desactivar los servicios con parámetros. Configuran a los servicios ISG localmente en el dispositivo ISG; El RADIUS envía solamente el nombre del servicio.

Los atributos 250 y 252 tienen el sintaxis siguiente para la activación del servicio:

Mensajes del access-accept
250 "Aservice(parameter1=value,parameter2=value,...)"
Mensajes CoA
252 0b "service(parameter1=value,parameter2=value,...)"

Atributo 252 de las aplicaciones RADIUS solamente en un mensaje CoA al desactivar un servicio. El RADIUS envía la misma información en el atributo 252 que fue utilizado para la activación del servicio, salvo que las aplicaciones 0c de la desactivación del servicio en el sintaxis en vez del parámetro 0b usado para la activación del servicio.

252 0xC "service(parameter1=value,parameter2=value,...)"

El VSA 252 tiene el sintaxis antedicho para la desactivación del servicio.

Cisco VSA 1

El RADIUS utiliza un comando 1 del Atributo específico del proveedor (VSA) de modificar el active política de calidad de servicio (QoS) en una sesión. Este VSA tiene el formato siguiente:

av-pair = "policy-type=command 9 parameter1 ,...,parametern"

Utilice el formato siguiente de Cisco VSA 1 para agregar y para quitar las clases y las acciones de QoS a y desde política de calidad de servicio (QoS) que está actualmente - el active en una sesión:

qos-policy-in=add-class(target,(class-list),qos-actions-list)
qos-policy-out=add-class(target,(class-list),qos-actions-list)
qos-policy-in=remove-class(target,(class-list))
qos-policy-out=remove-class(target,(class-list))

Antes de que el ISG pueda construir una directiva usando los parámetros de regulación de tráfico especificados en el mensaje de RADIUS, política de calidad de servicio (QoS) debe ser activo en la sesión. Si a política de calidad de servicio (QoS) no es activa en la dirección especificada, el ISG no crea la directiva.

Al implementar los cambios especificados en el Cisco VSA, el ISG no realiza los cambios al configurado originalmente política de calidad de servicio (QoS) en el dispositivo ISG. En lugar, el ISG copia el activo política de calidad de servicio (QoS) para la sesión y después realiza los cambios obligatorios a la copia de la directiva, que se refiere como directiva transitoria. Configurado originalmente política de calidad de servicio (QoS) en el dispositivo ISG no se cambia.

Las secciones siguientes describen los comandos 1 de Cisco VSA usados para modificar automáticamente los parámetros de regulación de tráfico de las directivas activas:

Primitivo de la Agregar-clase

Para agregar o modificar las acciones de QoS a una clase de tráfico, utilice el primitivo de la agregar-clase. Este atributo tiene el formato siguiente:

qos-policy-in=add-class(target,(class-list),qos-actions-list)
qos-policy-out=add-class(target,(class-list),qos-actions-list
  • campo de la blanco-- Indica política de calidad de servicio (QoS) para ser modificado. El único valor válido para este campo es sub, que indica el active política de calidad de servicio (QoS) asociado a la sesión del suscriptor. El mensaje del access-accept o CoA que incluye este atributo debe apuntar una sesión del suscriptor.
  • campo de la clase-lista--Una lista de nombres de la clase incluyó entre paréntesis que identifica la clase de tráfico a la cual la acción de QoS especificada se aplica. Los nombres de la clase que usted especifica deben ser correspondencias de la clase del usuario configurado o el clase class-default generado del sistema. La orden en la cual usted especifica los nombres de la clase indica el nivel jerárquico de la clase dentro del política de calidad de servicio (QoS).

Por ejemplo, la lista de clase siguiente identifica la clase nombrada el  del € del voipâ del œ del € del â, que consigue agregado a una política anidada. La clase VoIP se configura en una política hija jerarquizada que se aplique al clase class-default del padre.

(class-default, voip)
Configuración ISG
policy-map child
 class voip
 police 8000
policy-map parent
 class class-default
 service-policy child

La lista de clase siguiente especifica la clase voip-2, que se configura en una política anidada que se aplique a la clase del VoIP-agregado de otra política hija jerarquizada. La directiva que contiene la clase del VoIP-agregado a su vez se jerarquiza bajo clase class-default del política de calidad de servicio (QoS) asociado a la sesión de la blanco.

(class-default, voip-aggregate, voip-2)
Configuración MSQ
policy-map child2
 class voip-2
 police 8000
policy-map child1
 class voip-aggregate
 police 20000
 service-policy child2
policy-map parent
 class class-default
 shape 512000
 service-policy child1

El campo de la qos-acción-lista indica una acción de QoS tal como policía, seguida por los parámetros de la acción incluyó entre paréntesis y se separó por las comas. Por ejemplo, el siguiente ejemplo especifica la acción policial y define los parámetros BPS, explosión-normal, explosión-MAX, acción de conformidad, acción de excedente, y acción de violación. Paréntesis incluyen los parámetros de la acción.

(voip-aggregate police(200000,9216,0,transmit,drop,drop))

Nota


El ejemplo muestra doble-paréntesis en el extremo, porque el sintaxis del VSA especifica el recinto de la blanco, de la clase-lista, y de la qos-acción-lista entre paréntesis.
Primitivo de la Quitar-clase

Para quitar las clases de tráfico y las acciones de QoS definidas en el active política de calidad de servicio (QoS) en una sesión, utilice el primitivo de la quitar-clase. Este atributo tiene el formato siguiente:

qos-policy-in=remove-class(target,(class-list))
qos-policy-out=remove-class(target,(class-list))
  • campo de la blanco--Indica política de calidad de servicio (QoS) para ser modificado. Actualmente, el único valor válido para este campo es sub, que indica el active política de calidad de servicio (QoS) asociado a la sesión del suscriptor. El mensaje del access-accept o CoA que incluye este atributo debe apuntar una sesión del suscriptor.
  • campo de la clase-lista--Una lista de nombres de la clase incluyó entre paréntesis que identifica la clase o las clases que se quitarán. Los nombres de la clase que usted especifica deben ser correspondencias de la clase del usuario configurado o el clase class-default generado del sistema. La orden en la cual usted especifica los nombres de la clase indica el nivel jerárquico de la clase dentro del política de calidad de servicio (QoS).

Por ejemplo, el atributo siguiente VSA1 quita la clase de bronce y todas las política de calidad de servicio (QoS) acciones asociadas de la política hija jerarquizada que se aplica al clase class-default del padre:

qos-policy-out=remove-class(sub,(class-default,Bronze))

Cuando usted quita una clase de tráfico del política de calidad de servicio (QoS), todos los atributos para la clase también se quitan. Para re-agregar la clase con los mismos atributos, usted debe reeditar el atributo de RADIUS de la agregar-clase y proporcionar los parámetros obligatorios y los valores.

Dado parámetros política de calidad de servicio (QoS) como VSA 1

Las cadenas complejas múltiples en un mensaje CoA no se soportan porque no visualizan la conducta correcta de VSA 1, tal y como se muestra en del siguiente ejemplo:

vsa cisco 250 S152.1.1.2
vsa cisco generic 252 binary 0b suffix "q-p-out=IPOne1-isg-acct1(1)((c-d,tv)1(10000))"
vsa cisco generic 252 binary 0b suffix "q-p-out=IPOne1-isg-acct(1)((c-d,voip)1(10000))"

En el ejemplo:

  • Habilitan a todos los servicios en la blanco.
  • Dado parámetros política de calidad de servicio (QoS) en el sintaxis del comando second no se produce eco en el servicio ISG.
  • Dado parámetros política de calidad de servicio (QoS) en la primera sintaxis de los comandos se produce eco.

Parametrización de QoS ACL

La parametrización del ISG múltiple de los soportes de característica del Listas de control de acceso (ACL) de QoS y de QoS dio parámetros los servicios en un solo mensaje del access-accept o CoA. Esta característica permite que el dispositivo del Authentication, Authorization, and Accounting (AAA) cambie los parámetros dinámicamente.

Cómo configurar el policing basado en RADIUS

Configurar el shaping de la por session

Configurando a política de calidad de servicio (QoS) con el shaping en el ISG

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del directiva-mapa

4. class class-default

5. [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del desplazamiento}]

6. Policy-map-name de la servicio-directiva

7. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del directiva-mapa


Ejemplo:

Niño del directiva-mapa de Router(config)#

 

Crea o modifica un directiva-mapa y ingresa el modo de la configuración de correspondencia de políticas.

 
Paso 4
class class-default


Ejemplo:

Router (config-pmap) # class class-default

 

Modifica la clase de tráfico del class-default.

 
Paso 5
[excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del desplazamiento}]


Ejemplo:

Router (config-pmap-c) # media 10000 de la dimensión de una variable

 

Tráfico de las dimensiones de una variable a la velocidad de bits indicada.

 
Paso 6
Policy-map-name de la servicio-directiva


Ejemplo:

Router (config-pmap-c) # niño de la servicio-directiva

 

Aplica la correspondencia de la política hija al clase class-default del padre.

  • nombre del ” del € del â del Policy-map-name de la correspondencia de la política hija.
 
Paso 7
Finalizar


Ejemplo:

Router (config-pmap-c) # extremo

 

Modo de configuración de clase y devoluciones del directiva-mapa de las salidas al modo EXEC privilegiado.

 

Configurar el shaping de la por session en el RADIUS

Para utilizar el RADIUS para fijar la velocidad de modelado para una sesión del suscriptor, configure Cisco siguiente VSA en el perfil del usuario en el RADIUS:

vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default), shape(rate))"

Cuando el ISG recibe un access-accept RADIUS o un cambio del mensaje de la autenticación (CoA) con este VSA incluido, el ISG copia la correspondencia de políticas actualmente configurada aplicada en la sesión y cambia la velocidad de modelado del clase class-default transitorio del padre a la velocidad de modelado especificada en el VSA. El ISG realiza los cambios solamente a la directiva transitoria; no se realiza ningunos cambios a la correspondencia de políticas original. Después de cambiar la directiva transitoria, el ISG aplica la directiva transitoria a la sesión del suscriptor.

Configurar el modelado y regulación del tráfico del Por-servicio

Configurar una política hija jerárquica de QoS con el modelado y regulación del tráfico en el ISG

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del directiva-mapa

4. nombre de la clase de la clase

5. [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del desplazamiento}]

6. [violate-action action] de la acción de la acción de excedente de la acción de la acción de conformidad del [burst-max] del [burst-normal] BPS de la policía

7. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del directiva-mapa


Ejemplo:

Niño del directiva-mapa de Router(config)#

 

Crea o modifica una correspondencia de políticas y ingresa el modo de la configuración de correspondencia de políticas.

 
Paso 4
nombre de la clase de la clase


Ejemplo:

Router (config-pmap) # voip de la clase

 

Parámetros de QoS de las configuraciones para la clase de tráfico que usted especifica y que ingresa al modo de configuración de clase del directiva-mapa.

  • nombre del ” del € del â del nombre de la clase de una clase de tráfico que usted configuró previamente usando el comando class-map.
 
Paso 5
[excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del desplazamiento}]


Ejemplo:

Router (config-pmap-c) # media 10000 de la dimensión de una variable

 

Tráfico de las dimensiones de una variable a la velocidad de bits indicada.

 
Paso 6
[violate-action action] de la acción de la acción de excedente de la acción de la acción de conformidad del [burst-max] del [burst-normal] BPS de la policía


Ejemplo:

Router (config-pmap-c) # policía 10000

 

Configura la Vigilancia de tráfico.

Nota    Especifique el comando shape o el comando police para una clase de tráfico, pero no los comandos both para la misma clase.
 
Paso 7
Finalizar


Ejemplo:

Router (config-pmap-c) # extremo

 

Modo de configuración de clase y devoluciones del directiva-mapa de las salidas al modo EXEC privilegiado.

Nota    Relance los pasos 3 a 7 para cada correspondencia de la política hija que usted quiere crear, o relance los pasos 4 a 7 para cada clase de tráfico usted quiere definir en cada correspondencia de políticas.
 

Configurar una política controlante jerárquica de QoS con el modelado y regulación del tráfico en el ISG

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del directiva-mapa

4. class class-default

5. [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del desplazamiento}]

6. Policy-map-name de la servicio-directiva

7. salida


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del directiva-mapa


Ejemplo:

Router (config-pmap) # padre del directiva-mapa

 

Crea o modifica una correspondencia de políticas.

 
Paso 4
class class-default


Ejemplo:

Router (config-pmap) # class class-default

 

Modifica la clase de tráfico del class-default y ingresa al modo de configuración de clase del directiva-mapa.

 
Paso 5
[excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del desplazamiento}]


Ejemplo:

Router (config-pmap-c) # media 10000 de la dimensión de una variable

 

Tráfico de las dimensiones de una variable a la velocidad de bits indicada.

 
Paso 6
Policy-map-name de la servicio-directiva


Ejemplo:

Router (config-pmap-c) # niño de la servicio-directiva

 

Aplica la correspondencia de la política hija al clase class-default del padre.

  • nombre del ” del € del â del Policy-map-name de la correspondencia de la política hija.
 
Paso 7
salida


Ejemplo:

Router (config-pmap-c) # salida

 

Modo de configuración de clase del directiva-mapa de las salidas.

 

Configurar el modelado y regulación del tráfico del Por-servicio en el RADIUS

Para utilizar el RADIUS para fijar la tarifa del modelado y regulación del tráfico para un servicio para suscriptores, configure Cisco siguiente VSA en el perfil del servicio en el RADIUS:

vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-list), shape(rate))"
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-list), police(rate))"

Cuando el ISG recibe un mensaje del access-accept o CoA RADIUS con estos VSA incluidos, el ISG copia la correspondencia de políticas originalmente configurada que es activa en la sesión y cambia el shaping o la velocidad de tráfico ordenado de la clase de tráfico especificada en el campo de la clase-lista. El ISG realiza los cambios solamente a la directiva transitoria y aplica la directiva transitoria al servicio para suscriptores; no se realiza ningunos cambios a la correspondencia de políticas original.


Nota


el modelado y regulación del tráfico del Por-servicio no se aplica al clase class-default del padre.

Para más información, vea la sección de los “atributos de RADIUS”.

Verificar el policing basado en RADIUS

Para verificar la configuración del policing basado en RADIUS en el ISG, utilice los siguientes comandos uces de los en el modo EXEC privilegiado.

Comando o acción

Propósito

Router#show policy-map interface

Visualiza la configuración de todas las clases configuradas para todas las correspondencias de políticas asociadas a todas las interfaces.

Router# show policy-map interface interface [input | output]

Visualiza la configuración de todas las clases configuradas para todas las correspondencias entrantes o de la política de salida asociadas a la interfaz especificada.

  • la interfaz es el nombre de la interfaz o de la subinterfaz.

  • la entrada indica las estadísticas para la política de entrada asociada.

  • la salida indica las estadísticas para la política de salida asociada. Si usted no especifica la entrada o la salida, el router muestra la información sobre todas las clases que se configuren para todo el entrante y las políticas de salida asociadas a la interfaz que usted especifica.

Router# show policy-map  policy-map-name

Visualiza la configuración de todas las clases de tráfico contenidas en la correspondencia de políticas que usted especifica.

  • el Policy-map-name es el nombre de la correspondencia de políticas para la información de la configuración que usted quiere aparecer.

  • Si usted no especifica un valor para el directiva-mapa-nameargument, el comando muestra la configuración de todas las correspondencias de políticas configuradas en el router.

Router# show policy-map policy-map-name class class-name

Visualiza la configuración de la clase que usted especifica. La correspondencia de políticas que usted especifica incluye esta clase.

  • el Policy-map-name es el nombre de la correspondencia de políticas que contiene la configuración de clase que usted quiere aparecer.

  • el nombre de la clase es el nombre de la clase a la cuya configuración usted quiere. Si usted no especifica un valor para la clase-nameargument, el comando muestra la configuración de todas las clases configuradas en la correspondencia de políticas.

Router# show policy-map session [output | output |uid]

Visualiza las correspondencias entrantes o de la política de salida configuradas por la sesión. También visualiza la correspondencia de políticas dinámica que se aplica a la sesión del suscriptor. Si usted no especifica ninguna argumentos, el comando muestra todas las sesiones con las correspondencias de políticas configuradas, que pudieron afectar el funcionamiento.

  • la entrada indica las correspondencias de la política de entrada.

  • la salida indica las correspondencias de la política de salida.

  • el uid es la identificación de la sesión

Router# show running-config

Visualiza el archivo de la ejecutar-configuración, que contiene la configuración actual del router, incluyendo el valor por defecto política de calidad de servicio (QoS).

Router# show running-config interface interface

Visualiza la configuración de la interfaz que usted especifica que se configura actualmente en el archivo de los ejecutar-config, incluyendo cualquier política de servicio asociado a la interfaz.

Ejemplos de configuración para el policing basado en RADIUS

Ejemplo que agrega la parametrización de QoS ACL

El siguiente ejemplo muestra cómo dar parámetros el parámetro de la dirección IP de origen y del IP Address de destino del conjunto, conjunto-src-dst-IP-en-ACL, a través de los mensajes CoA o del access-accept. El servicio con parámetros QoS se agrega en la forma con parámetros del servicio RADIUS de QoS:

VSA252 0b q-p-out=IPOne(1)((c-d,voip)13(10.10.1.0/28,10.3.20/29))
! The above command activates the service in a CoA message.
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default,voip),set-src-dst-ip-in-acl(10.10.1.0/28,10.3.20/29))"
! The above command activates the service in a Access-Accept message.

Configuran al router como sigue:

ip access-list extended IPOne-acl
 remark Voice-GW
 permit ip host 10.0.1.40 any
!
class-map match-any voip
  match access-group name IPOne-acl
!
class-map type traffic match-any IPOne
 match access-group output name IPOne-acl  
 match access-group input name IPOne-acl 
 !
!
policy-map type service IPOne
 10 class type traffic IPOne
  accounting aaa list default
 !
!
policy-map output_parent
  class class-default
    police 32000 32000 32000 conform-action transmit exceed-action drop violate-action drop
  service-policy output_child
  !
!
policy-map output_child
  class voip
    police 32000 32000 32000 conform-action transmit exceed-action drop violate-action drop
    !
  !
!
! RADIUS relays the string for service activation. After the VSA is received, a new ACL is created.
ip access-list extended IPOne-acl-10.10.1.0/28,10.3.20/29
 remark Voice-GW
 permit ip host 10.0.1.40 any
 permit ip 10.10.1.0 0.0.0.15 any
 permit ip any 10.10.1.0 0.0.0.15
 permit ip 10.3.2.0 0.0.0.7 any
 permit ip any 10.3.2.0 0.0.0.7
!
! A new class map is created.
class-map match-any voip-10.10.1.0/28,10.3.20/29
  match access-group name IPOne-acl-10.10.1.0/28,10.3.20/29
!
! The old class is replaced with the new class in the output QoS policy of the subscriber, along with any other attributes.

Agregar la parametrización de QoS ACL con las estadísticas del servicio ISG

Las demostraciones del siguiente ejemplo cómo agregar las estadísticas de QoS configurando el servicio de las estadísticas ISG:

policy-map type service IPOne
 10 class type traffic IPOne
  accounting aaa list default
 !
 class type traffic default in-out
 !
!
! After the VSA is received, a new traffic class map is created on the service.
class-map type traffic match-any IPOne-10.10.1.0/28,10.3.2.0/29
 match access-group output name IPOne-acl-10.10.1.0/28$10.3.2.0/29
 match access-group input name IPOne-acl-10.10.1.0/28$10.3.2.0/29
!
! A new ISG service is created.
policy-map type service IPOne(tc_in=IPOne-acl-10.10.1.0/28$10.3.2.0/29) 
 10 class type traffic IPOne-10.10.1.0/28,10.3.2.0/29
  accounting aaa list default
 !
 class type traffic default in-out
!

Ejemplo que fija la velocidad de modelado usando un mensaje del access-accept

Los ejemplos en esta sección ilustran cómo fijar la velocidad de modelado de una sesión usando un mensaje del access-accept.

Directiva de la original ISG

Este ejemplo de configuración utiliza un mensaje del access-accept RADIUS para cambiar la velocidad de modelado de una sesión:

class-map match-any Premium
  match access-group name Premium_Dest
!
policy-map Child
  class Premium
    shape average 5000
!
policy-map Parent
  class class-default
    shape average 10000
    service-policy Child
!
ip access-list extended Premium_Dest
permit ip any 192.168.6.0 0.0.0.255
permit ip any 192.168.5.7 0.0.0.64

Configuración RADIUS

Cisco siguiente VSA se configura en un perfil del usuario en el RADIUS. Este VSA agrega el clase class-default al política de calidad de servicio (QoS) asociado a la sesión del suscriptor para el tráfico saliente y forma el clase class-default a 120.000 BPS.

radius subscriber 6
  framed protocol ppp
  service framed
  vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default), shape(120000))"  [New shaping rate]

Mensaje del access-accept RADIUS

El ISG recibe el mensaje siguiente del access-accept RADIUS. Note que Cisco antedicho VSA configurado en el perfil del ™ s del € del userâ está presente en el mensaje del access-accept y que la velocidad de modelado del padre ha cambiado a 120.000.

1d21h: RADIUS: Received from id 1645/3 192.168.1.6:1812, Access-Accept, len 100
1d21h: RADIUS: authenticator 4A 2C F7 05 4B 88 38 64 - DE 60 69 5A 4B EE 43 E1
1d21h: RADIUS: Framed-Protocol [7] 6 PPP [1]
1d21h: RADIUS: Service-Type [6] 6 Framed [2]
1d21h: RADIUS: Vendor, Cisco [26] 68 
1d21h: RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default), shape(120000))"
1d21h: RADIUS(0000000D): Received from id 1645/3
1d21h: SSS PM [uid:4][65ADE2E8]: SERVICE: Adding Service attachment to event
1d21h: RADIUS/ENCODE(0000000D):Orig. component type = PPoE
1d21h: RADIUS(0000000D): Config NAS IP: 0.0.0.0
1d21h: RADIUS(0000000D): sending

Directiva del transeúnte ISG

El ISG copia la política de servicio nombrada Parent aplicado actualmente a la sesión y crea una copia transitoria nombrada New_Parent. Mientras que la velocidad de modelado del padre, según lo mostrado previamente, los cambios a 120.000, la velocidad de modelado visualizada en la directiva de New_Parent del transeúnte es el viejo índice de 10.000, como se ve en el siguiente ejemplo. Sigue habiendo la política hija sin cambiar.

policy-map New_Parent	[New cloned parent policy]
  class class-default
    shape average 10000
    service-policy Child

Ejemplo que fija la velocidad de modelado usando un mensaje CoA

Los ejemplos en esta sección ilustran cómo fijar la velocidad de modelado de una sesión usando un mensaje CoA.

Directiva de la original ISG

Este ejemplo de configuración utiliza un mensaje CoA RADIUS para cambiar la velocidad de modelado de una sesión:

class-map match-any Premium
  match access-group name Premium_Dest
!
policy-map Child
  class Premium
    shape average 5000
!
policy-map Parent
  class class-default
    shape average 10000
    service-policy Child
!
ip access-list extended Premium_Dest
permit ip any 192.168.6.0 0.0.0.255
permit ip any 192.168.5.7 0.0.0.64

Configuración RADIUS

Cisco siguiente VSA se configura en un perfil del usuario en el RADIUS. Este VSA agrega el clase class-default al política de calidad de servicio (QoS) asociado a la sesión del suscriptor para el tráfico saliente y forma el clase class-default a 120.000 BPS.

radius subscriber 1047
  vsa cisco 250 S192.168.1.2
  vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default), shape(120000))"  [New shaping rate]

Mensaje CoA RADIUS

El ISG recibe el mensaje siguiente CoA RADIUS. Note que Cisco antedicho VSA configurado en el perfil del ™ s del € del userâ está presente en el mensaje CoA.

1d21h: RADIUS: COA received from id 0 192.168.1.6:1700, CoA Request, len 106
1d21h: COA: 192.168.1.6 request queued
1d21h: RADIUS: authenticator FF A2 6B 63 06 F0 E6 A3 - 0D 04 6C DC 01 0A BE F1
1d21h: RADIUS: Vendor, Cisco [26] 18 
1d21h: RADIUS: ssg-account-info [250] 12 "S192.168.1.2"
1d21h: RADIUS: Vendor, Cisco [26] 68 
1d21h: RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default), shape(120000))"
1d21h: ++++++ CoA Attribute List ++++++
1d21h: 63C829B0 0 00000009 ssg-account-info(427) 10 S192.168.1.2
1d21h: 63C82A18 0 00000009 qos-policy-out(378) 45 add-class(sub,(class-default), shape(120000))
1d21h: 
ISG#
1d21h: RADIUS(00000000): sending
1d21h: RADIUS(00000000): Send CoA Ack Response to 192.168.1.6:1700 id 0, len 65
1d21h: RADIUS: authenticator 62 B4 B0 1A 90 10 01 01 - F6 C8 CD 17 79 15 C7 A7
1d21h: RADIUS: Vendor, Cisco [26] 18 
1d21h: RADIUS: ssg-account-info [250] 12 "S192.168.1.2"
1d21h: RADIUS: Vendor, Cisco [26] 27 
1d21h: RADIUS: ssg-account-info [250] 21 "$IVirtual-Access2.2"

Directiva del transeúnte ISG

El ISG copia la política de servicio nombrada Parent aplicado actualmente a la sesión y crea una copia transitoria nombrada New_Parent al cual realice los cambios apropiados. De acuerdo con Cisco VSA incluido en el mensaje CoA, el ISG cambia la velocidad de modelado del clase class-default del padre a 120.000 BPS. Sin embargo, la velocidad de modelado visualizada en la directiva de New_Parent del transeúnte es el viejo índice de 10.000, como se ve en el siguiente ejemplo. Sigue habiendo la política hija sin cambiar.

policy-map Child
  class Premium
    shape average 5000

policy-map New_Parent	[New cloned parent policy]
  class class-default
    shape average 10000
    service-policy Child

Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje del access-accept

Los ejemplos en esta sección ilustran cómo fijar la velocidad de tráfico ordenado de una clase de tráfico usando un mensaje del access-accept.

Directiva de la original ISG

Este ejemplo de configuración utiliza un mensaje del access-accept RADIUS para cambiar la velocidad de tráfico ordenado de una clase de tráfico en el niño llano de una política de jerarquía:

class-map match-any Premium
match access-group name Premium_Dest
!
policy-map Child
  class Premium
    shape average 5000
!
policy-map Parent
  class class-default
    shape average 10000
    service-policy Child
!
ip access-list extended Premium_Dest
permit ip any 192.168.6.0 0.0.0.255
permit ip any 192.168.5.7 0.0.0.64

Configuración RADIUS

Cisco siguiente VSA se configura en un perfil del usuario en el RADIUS. Este VSA cambia la velocidad de tráfico ordenado de la clase superior en la política hija. Aplican a la política hija al clase class-default de la política controlante.

radius subscriber 6
  framed protocol ppp
  service framed
  vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"

Mensaje del access-accept RADIUS

El ISG recibe el mensaje siguiente del access-accept RADIUS. Note que Cisco antedicho VSA configurado en el perfil del ™ s del € del userâ está presente en el mensaje del access-accept.

1d21h: RADIUS: Received from id 1645/3 192.168.1.6:1812, Access-Accept, len 100
1d21h: RADIUS: authenticator 4A 2C F7 05 4B 88 38 64 - DE 60 69 5A 4B EE 43 E1
1d21h: RADIUS: Framed-Protocol [7] 6 PPP [1]
1d21h: RADIUS: Service-Type [6] 6 Framed [2]
1d21h: RADIUS: Vendor, Cisco [26] 68 
1d21h: RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
1d21h: RADIUS(0000000D): Received from id 1645/3
1d21h: SSS PM [uid:4][65ADE2E8]: SERVICE: Adding Service attachment to event
1d21h: RADIUS/ENCODE(0000000D):Orig. component type = PPoE
1d21h: RADIUS(0000000D): Config NAS IP: 0.0.0.0
1d21h: RADIUS(0000000D): sending

Directiva del transeúnte ISG

El ISG copia la política de servicio que se aplica actualmente a la sesión y crea una directiva transitoria nombrada New_Parent al cual realice los cambios apropiados. De acuerdo con Cisco VSA incluido en el mensaje del access-accept, el ISG agrega la velocidad de tráfico ordenado a la clase del tráfico de primera clase. La clase superior se configura en la directiva transitoria de New_Child, que se aplica al clase class-default de New_Parent.

policy-map New_Child	[New cloned child policy]
  class Premium
    police 200000	[New policing rate]
    shape average 5000
!
policy-map New_Parent	[New cloned parent policy]
  class class-default
    shape average 10000
    service-policy New_Child	[New cloned child policy attached to the new 
	cloned parent policy]

Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje CoA

Los ejemplos en esta sección ilustran cómo fijar la velocidad de tráfico ordenado de un servicio usando un mensaje CoA.

Directiva de la original ISG

Este ejemplo de configuración utiliza un mensaje CoA RADIUS para cambiar la velocidad de tráfico ordenado de un servicio y se basa en la configuración siguiente ISG:

policy-map Child
  class Premium
    police 12000
!
policy-map Parent
  class class-default
    shape average 10000
    service-policy Child 

Configuración RADIUS

Cisco siguiente VSA se configura en un perfil del ™ s del € del userâ en el RADIUS. Este VSA modifica la clase superior de la política hija, que se aplica al clase class-default de la política controlante.

radius subscriber 1048
vsa cisco 250 S192.168.1.10
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"

Mensaje CoA RADIUS

El ISG recibe el mensaje siguiente CoA RADIUS. Note que Cisco antedicho VSA configurado en el perfil del usuario está presente en el mensaje CoA.

1d21h: RADIUS: COA received from id 0 192.168.1.6:1700, CoA Request, len 106
1d21h: COA: 192.168.1.6 request queued
1d21h: RADIUS: authenticator FF A2 6B 63 06 F0 E6 A3 - 0D 04 6C DC 01 0A BE F1
1d21h: RADIUS: Vendor, Cisco [26] 18 
1d21h: RADIUS: ssg-account-info [250] 12 "S192.168.1.10"
1d21h: RADIUS: Vendor, Cisco [26] 68 
1d21h: RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
1d21h: ++++++ CoA Attribute List ++++++
1d21h: 63C829B0 0 00000009 ssg-account-info(427) 10 S192.168.1.10
1d21h: 63C82A18 0 00000009 qos-policy-out(378) 45 add-class(sub,(class-default, Premium), police(200000))
1d21h: 
ISG#
1d21h: RADIUS(00000000): sending
1d21h: RADIUS(00000000): Send CoA Ack Response to 192.168.1.6:1700 id 0, len 65
1d21h: RADIUS: authenticator 62 B4 B0 1A 90 10 01 01 - F6 C8 CD 17 79 15 C7 A7
1d21h: RADIUS: Vendor, Cisco [26] 18 
1d21h: RADIUS: ssg-account-info [250] 12 "S192.168.1.10"
1d21h: RADIUS: Vendor, Cisco [26] 27 
1d21h: RADIUS: ssg-account-info [250] 21 "$IVirtual-Access2.2"

Directiva del transeúnte ISG

El ISG copia la política de servicio nombrada Parent aplicado actualmente a la sesión y crea una copia transitoria nombrada New_Parent al cual realice los cambios apropiados. De acuerdo con Cisco VSA incluido en el mensaje del access-accept, el ISG cambia la velocidad de tráfico ordenado de la clase del tráfico de primera clase a partir de 5000 BPS a 200.000 BPS. La clase superior se configura en la directiva de New_Child, que se aplica al clase class-default de New_Parent.

policy-map New_Child	[New cloned child policy]
  class Premium
    police 200000	[New policing rate]
!
policy-map New_Parent	[New cloned parent policy]
  class class-default
    shape average 10000
    service-policy New_Child	[New cloned child policy attached to the new 
	cloned parent policy]

Referencias adicionales

Documentos Relacionados

Asistencia Técnica

Descripción

Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información de la característica para el policing basado en RADIUS

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 1Información de la característica para el policing basado en RADIUS

Nombre de la función

Versiones

Información sobre la Función

ISG: Control de Políticas: Servidor de políticas: Policing basado en RADIUS

12.2(33)XNE

La característica de regulación de tráfico basado en RADIUS amplía las funciones ISG para permitir el uso de un servidor de RADIUS de proporcionar la información de la política de suscriptor.

Modificaciones basado en RADIUS del atributo del policing

12.2(33)XNE

La característica basado en RADIUS de las modificaciones del atributo del policing permite que el servidor de RADIUS comunique con el ISG integrando los atributos específicos en los mensajes del access-accept y CoA. El modelado y regulación del tráfico basado en RADIUS emplea este intercambio de los atributos para activar y para desactivar los servicios, y para modificar el active política de calidad de servicio (QoS) aplicado a una sesión.

Parametrización de QoS ACL

12.2(33)XNE

La parametrización de la característica de QoS ACL proporciona las mejoras para QoS ACL. Esta característica permite que el dispositivo AAA cambie los parámetros dinámicamente.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.