Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR
Configuración de las Políticas ISG para el Inicio de Sesión de Suscriptor Automático
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 165 KB | Inglés (1 Abril 2011) | Comentarios

Contenido

Configuración de las Políticas ISG para el Inicio de Sesión de Suscriptor Automático

Última actualización: De agosto el 21 de 2011

ISG (gateway de servicios inteligente) es un conjunto de funciones de software de Cisco IOS que proporciona un marco estructurado en el cual los dispositivos de borde puedan proporcionar servicios flexibles y escalables a los suscriptores. Este módulo contiene la información sobre cómo configurar el ISG para utilizar especificó los identificadores en lugar del nombre de usuario en los pedidos de autorización, habilitando un perfil del usuario que se descargará de un servidor del Authentication, Authorization, and Accounting (AAA) tan pronto como los paquetes se reciban de un suscriptor.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Prerrequisitos de ISG Automatic Subscriber Logon

Dependiendo de su implementación AAA, usted puede necesitar configurar uno de los identificadores siguientes en el campo de contraseña del perfil del usuario: dirección IP de origen, dirección MAC, ID remoto, circuit id. Usted puede también necesitar configurar a una dirección global en el campo de contraseña.

Para utilizar el circuit id y el ID remoto para la autorización para las sesiones IP, el DSLAM debe insertar el circuit id y el ID remoto en la información de la opción DHCP 82.

Para utilizar el ID remoto para la autorización de las sesiones PPPoE, el Cliente de PPPoE debe proporcionar la información del ID remoto en la etiqueta ID PPPoE o la línea identificación

Restricciones de ISG Automatic Subscriber Logon

El campo de nombre de usuario en un pedido de autorización tiene un límite de 253 caracteres.

El inicio de sesión del suscriptor automático basado en la clase de tráfico no se puede configurar en el Cisco 7600 Router.

Información sobre ISG Automatic Subscriber Logon

Información General sobre ISG Automatic Subscriber Logon

Los proveedores de servicio implementan comúnmente una directiva al inicio de las sesiones IP que reoriente todos los paquetes del suscriptor a un portal de la conexión a la comunicación para la autenticación. Después de la autenticación satisfactoria, los datos de la autorización del por-suscriptor se devuelven típicamente de un servidor de AAA. Para algunas implementaciones, generalmente en las redes del suscriptor que se protegen bien contra el spoofing y los ataques del servicio negado (DOS), los proveedores de servicio están dispuestos a renunciar la identidad del suscriptor de la autenticación y de la confianza. El inicio de sesión del suscriptor automático ISG permite que los proveedores de servicio concedan a ciertos suscriptores el acceso a los servicios sin requerir a los suscriptores abrir una sesión.

El inicio de sesión del suscriptor automático ISG habilita un identificador especificado que se utilizará en lugar del nombre de usuario en los pedidos de autorización. Habilitar el servidor AAA para autorizar a los suscriptores sobre la base de un identificador especificado permite descargar los perfiles de suscriptor del servidor AAA tan pronto como se reciban los paquetes de los suscriptores.

El evento que acciona el inicio de sesión del suscriptor automático es sesión-principio. Para las sesiones IP, el sesión-principio ocurre cuando se recibe una solicitud del DHCP DISCOVER o cuando origen no reconocido una dirección IP se detecta. Para las sesiones PPPoE, el sesión-principio ocurre cuando un cliente intenta iniciar una sesión enviando un paquete del lanzamiento del descubrimiento activo PPPoE (PADI).

Identificadores Soportados para el Inicio de Sesión de Suscriptor Automático ISG

Para las sesiones IP, un dispositivo ISG se puede configurar para utilizar los identificadores siguientes en lugar del nombre de usuario en los pedidos de autorización: Dirección IP, dirección MAC, circuit id, ID remoto, o una combinación del circuit id y de la identificación del telecontrol

Para las sesiones PPPoE, un dispositivo ISG se puede configurar para utilizar el ID remoto en lugar del nombre de usuario en los pedidos de autorización.

Autorización Basada en el ID de Circuito e ID Remoto

El circuit id y los campos del ID remoto son parte de la opción de información del agente de relé DHCP (también designada la opción 82) y la etiqueta VSA PPPoE. Estos campos son insertados en el DHCP y los mensajes PPPoE por un DSLAM. Un dispositivo ISG se puede configurar para utilizar el circuit id, el ID remoto, o una combinación de circuit id y de ID remoto como el nombre de usuario en los pedidos de autorización.

Por abandono, el dispositivo ISG utilizará el circuit id y el ID remoto que son proporcionados por el dispositivo de acceso del borde de la capa 2 para la autorización. Si configuran al comando ip dhcp relay information option, el dispositivo ISG utilizará el circuit id y el ID remoto que se reciben en un mensaje DHCP.

Comportamiento de la Contabilización cuando se Configura ISG Automatic Subscriber Logon

Comportamiento que considera para la autorización basada en la dirección MAC

Si la dirección MAC se envía como el nombre de usuario en los pedidos de autorización, la dirección MAC también será enviada como la estación de llamada ID en los registros de contabilidad.

Comportamiento que considera para el Telecontrol-ID y la autorización basada en el ID del circuito

Para las sesiones IP que utilizan la autorización de la opción DHCP 82, los mensajes que consideran se envían al servidor de AAA con el circuit id y el ID remoto Cisco VSA. Aunque usted pueda configurar una combinación de circuit id y de ID remoto como el nombre de usuario para la autorización, los atributos se envían individualmente en los registros de contabilidad. Usted puede también configurar el circuit id y el ID remoto que se enviarán junto en los registros de contabilidad como la identificación del puerto NAS

Para las sesiones PPPoE, el ID remoto VSA se envía en los registros de contabilidad, y el ID remoto también se envía como la identificación del puerto NAS

Si se configura el comando del ID remoto del atributo 31 del radio-servidor, el ID remoto se envía en los registros de contabilidad como la identificación de la estación de llamada

Cómo Configurar las Políticas de ISG para el Inicio de Sesión de Suscriptor Automático

Identificación del Tráfico para el Inicio de Sesión Automático en un Policy Class Map de Control

Realice esta tarea de configurar una correspondencia de la clase de política del control que especifique el tráfico al cual el inicio de sesión del suscriptor automático ISG se aplicará.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. clase-mapa-nombre corresponda con todos del control del tipo del clase-mapa

4.   Siga uno de los siguientes pasos:

  • haga juego el subnet mask del IP address de la dirección IP de origen
  • haga juego el nombre del circuit id del NAS-puerto
  • haga juego el nombre del ID remoto del NAS-puerto

5. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
clase-mapa-nombre corresponda con todos del control del tipo del clase-mapa


Ejemplo:

TAL-suscriptores corresponda con todos del control del tipo del clase-mapa de Router(config)#

 

Crea una correspondencia de la clase control, que define las condiciones bajo las cuales las acciones de una correspondencia de políticas del control serán ejecutadas.

 
Paso 4
Siga uno de los siguientes pasos:
  • haga juego el subnet mask del IP address de la dirección IP de origen
  • haga juego el nombre del circuit id del NAS-puerto
  • haga juego el nombre del ID remoto del NAS-puerto


Ejemplo:

Router (config-control-classmap) # dirección IP de origen 10.1.1.0 255.255.255.0 de la coincidencia



Ejemplo:



Ejemplo:

Router (config-control-classmap) # circuit id circuit1 del NAS-puerto de la coincidencia



Ejemplo:



Ejemplo:

Router (config-control-classmap) # ID remoto remote1 del NAS-puerto de la coincidencia

 

Crea una condición que evalúe verdad si una dirección IP de origen del ™ s del € del subscriberâ hace juego la dirección IP especificada.

o

Crea una condición que evalúe verdad si un circuit id del ™ s del € del subscriberâ hace juego el valor especificado.

o

Crea una condición que evalúe verdad si un ID remoto del ™ s del € del subscriberâ hace juego el valor especificado.

 
Paso 5
Finalizar


Ejemplo:

Router (config-control-classmap) # extremo

 

(Opcional) Vuelve al modo EXEC privilegiado.

 

Configuración de una Política de Control de ISG para el Inicio de Sesión de Suscriptor Automático

Realice esta tarea para configurar una política de control ISG que inicie la autorización del suscriptor e inserte un identificador especificado en el campo de nombre de usuario de la solicitud de autorización.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del control del tipo del directiva-mapa

4. control del tipo de clase {clase-mapa-nombre | siempre} sesión-principio del evento

5. el acción-número autoriza [aaa {nombre de la lista | lista {nombre de la lista | [password password] del valor por defecto}}] [sobre red-servicio-encontró {continúe | [plus identifier-type] del identificador-tipo del identificador del [use method authorization-type] de la parada}]

6. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del control del tipo del directiva-mapa


Ejemplo:

Control TAL del tipo del directiva-mapa de Router(config)#

 

Crea o modifica un policy map de control, que se utiliza para definir una política de control.

 
Paso 4
control del tipo de clase {clase-mapa-nombre | siempre} sesión-principio del evento


Ejemplo:

Router (config-control-policymap) # sesión-principio del evento de los TAL-suscriptores del control del tipo de clase

 

Especifica una clase de control, que define las condiciones que se deben cumplir para ejecutar un conjunto asociado de acciones.

  • Especifique el clase-mapa del control que fue configurado en la tarea el “que identificaba tráfico para el inicio automático en un mapa de la clase de política del control”.
 
Paso 5
el acción-número autoriza [aaa {nombre de la lista | lista {nombre de la lista | [password password] del valor por defecto}}] [sobre red-servicio-encontró {continúe | [plus identifier-type] del identificador-tipo del identificador del [use method authorization-type] de la parada}]


Ejemplo:

El router (config-control-policymap-clase-control) # 1 autoriza la dirección IP de origen del identificador de la palabra clave Cisco de la lista TAL_LIST aaa

 

Inserta el identificador especificado en el campo de nombre de usuario de las solicitudes de autorización.

 
Paso 6
Finalizar


Ejemplo:

Router (config-control-policymap-clase-control) # extremo

 

Sale el modo y las devoluciones de la configuración actual al modo EXEC privilegiado.

 

Pasos Siguientes

Usted debe aplicar la directiva de control a un contexto usando el comando de control del tipo de la servicio-directiva. Para la información sobre la aplicación de las directivas de control, vea el módulo el “configurar de las directivas de control ISG”.

Usted puede querer configurar las directivas para determinar qué debe suceder para los suscriptores del autologon cuya autorización del IP Address o del MAC address falla; por ejemplo, usted puede querer reorientar al suscriptor al servidor de políticas para la autenticación.

Habilitación del ID Remoto que se Enviará como ID de la Estación de Llamada

Realice esta tarea de permitir al dispositivo ISG para enviar el ID remoto en (atributo 31) el campo Llamar-Estación-ID de los registros de contabilidad y para acceder las peticiones.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. ID remoto del atributo 31 del radio-servidor


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
ID remoto del atributo 31 del radio-servidor


Ejemplo:

ID remoto del atributo 31 del radio-servidor de Router#(config)

 

Permite al dispositivo ISG para enviar el ID remoto en el campo de la estación de llamada ID (atributo 31) de los registros de contabilidad y para acceder las peticiones.

 

Verificación de ISG Automatic Subscriber Logon

Realice esta tarea de determinar independientemente de si el inicio de sesión del suscriptor automático era acertado.

PASOS SUMARIOS

1. permiso

2. muestre la sesión del suscriptor


PASOS DETALLADOS
Paso 1   permiso

Habilita el modo EXEC privilegiado.

Paso 2   muestre la sesión del suscriptor

Utilice el comando session del suscriptor de la demostración al mostrar información sobre las sesiones del suscriptor ISG. Si la salida muestra que una sesión fue sacada a colación en el  del € del authenâ del œ del € del â del estado, la autorización automática del suscriptor era acertada. Si la autorización automática del suscriptor no era acertada, la sesión todavía será sacada a colación, pero en el  del € del unauthenâ del œ del € del â del estado.

La salida de muestra siguiente muestra la información para una sesión para la cual la autorización automática del suscriptor era acertada:



Ejemplo:

Sesión del suscriptor de la demostración del Router- toda la información del suscriptor actual: Sesiones totales 1 -------------------------------------------------- ID de sesión único: Identificador 3: aabb.cc01.3000

Tipos del acceso del suscriptor del SORBO: IP



Ejemplo:

Opciones actuales del SORBO: Req Fwding/Para arriba-tiempo de la sesión de Fwded del req: 00:00:24, dura cambiado: Información de política de 00:00:21: Estado de autenticación: authen las reglas, las acciones y las condiciones ejecutadas: el sesión-principio 1 del evento de la condición predeterminada del regla-mapa del suscriptor autoriza siempre las características entrantes de la sesión del MAC address del identificador: Característica: El valor de agotamiento del tiempo del tiempo de inactividad IP es 600 que el tiempo de inactividad es fuentes de configuración de 00:00:21 asociadas a esta sesión:

Interfaz: Ethernet0/0, Tiempo activo = 00:00:24


Ejemplos de Configuración de ISG Automatic Subscriber Logon

Inicio de sesión del suscriptor automático basado en el ejemplo de la dirección IP

En el siguiente ejemplo, si el cliente es de la subred de 1.1.1.0, el ISG envía un pedido de autorización al  del € de TAL_LISTâ del œ del € del â de la lista con la dirección IP de origen del ™ s del € del subscriberâ como el nombre de usuario. Si el pedido de autorización es acertado, activan a cualquier servicios de la automático-activación especificado en el perfil del usuario vuelto para la sesión, y la ejecución de las reglas dentro de las paradas de la directiva de control. Si la autorización no es exitosa se ejecuta la regla y se redirige al suscriptor al servidor de políticas para el inicio de sesión. Si el suscriptor no inicia sesión en el plazo de cinco minutos, la sesión se desconecta.

Configuración ISG

interface Ethernet0/0
 service-policy type control RULEA
aaa authorization network TAL_LIST group radius
aaa authentication login LOCAL local
access-list 100 permit ip any any
class-map type traffic match-any all-traffic
 match access-group input 100
 match access-group output 100
policy-map type service redirectprofile
 class type traffic all-traffic
  redirect to ip 10.0.0.148 port 8080
class-map type control match-all CONDA
 match source-ip-address 10.1.1.0 255.255.255.0 
!
class-map type control match-all CONDF
 match timer TIMERB
 match authen-status unauthenticated
policy-map type control RULEA
 class type control CONDA event session-start
  1 authorize aaa list TAL_LIST password cisco identifier source-ip-address
  2 service-policy type service aaa list LOCAL name redirectprofile
  3 set-timer TIMERB 5 minutes
!
 class type control CONDF event timed-policy-expiry
  1 service disconnect

Configuración del perfil del usuario

1.1.1.1 Password = "cisco"
 Service-Type = Outbound,
 Cisco:Account-Info = "AAuto-Internet;proxy-user;cisco"

Mantenga la configuración del perfil

Auto-Internet Password = "cisco"
 Cisco:Service-Info = "IAuto-Internet",
 Cisco-Avpair = "traffic-class=input access-group 100"
proxy-user Password = "cisco"

Ocioso-descanso = 5

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos ISG

Referencia inteligente del comando gateway de los servicios del Cisco IOS

Estándares

Estándar

Título

Esta función no soporta estándares nuevos o modificados.

--

MIB

MIB

Link del MIB

Esta función no soporta MIBs nuevas o modificadas.

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

RFC

Título

Se soportan los RFC no nuevos o modificados, y el soporte para los RFC existentes no se ha modificado.

--

Asistencia Técnica

Descripción

Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información sobre la Función ISG Automatic Subscriber Logon

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 1Información sobre la Función ISG Automatic Subscriber Logon

Nombre de la función

Versiones

Información de la Configuración de la Función

ISG: Sesión: Autenticación (MAC, IP)

12.2(28)SB 12.2(33)SRC 15.0(1)S

El inicio de sesión del suscriptor automático ISG habilita una dirección IP o una dirección MAC que se utilizarán en lugar del nombre de usuario en los pedidos de autorización. Estas funciones permiten que los perfiles del suscriptor sean descargados del servidor de AAA tan pronto como los paquetes se reciban de los suscriptores.

Este módulo proporciona la información sobre esta característica.

En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.

ISG: Autenticación: DHCP Option 82 Line ID - AAA Authorization Support

12.2(28)SB 12.2(33)SRC 15.0(1)S

Esta característica aumenta el inicio de sesión del suscriptor automático ISG proporcionando el soporte para la autorización en base del circuit id y del ID remoto.

En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.