Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR
Habilitación de ISG para Interactuar con Servidores de Políticas Externos
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 171 KB | Inglés (1 Abril 2011) | Comentarios

Contenido

Habilitación de ISG para Interactuar con Servidores de Políticas Externos

Última actualización: De agosto el 21 de 2011

ISG (gateway de servicios inteligente) es un conjunto de funciones de software de Cisco IOS que proporciona un marco estructurado en el cual los dispositivos de borde puedan proporcionar servicios flexibles y escalables a los suscriptores. Este documento describe cómo permitir al ISG para extraer las directivas de la sesión o para validar las actualizaciones dinámicas a las directivas de la sesión de los servidores de políticas externos.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en Cisco.com no se requiere.

Restricciones de la Interacción de ISG con Servidores de Políticas Externos

El ISG y los servidores de políticas externos deben estar disponibles en el mismo caso del ruteo virtual y de la expedición (VRF).

Información sobre la Interacción de ISG con los Servidores de Políticas Externos

Autorización Inicial y Dinámica

El ISG trabaja con los dispositivos externos, designados los servidores de políticas, que salvan la información del por-suscriptor y del por-servicio. El ISG soporta dos modelos de interacción entre el ISG y los servidores de políticas externos: autorización inicial y autorización dinámica.

En el modelo inicial de la autorización, el ISG debe extraer las directivas del servidor de políticas externo en las puntas específicas en una sesión. En este modelo, el servidor de políticas externo es típicamente un servidor del Authentication, Authorization, and Accounting (AAA) que utiliza el RADIUS. El ISG es el cliente RADIUS. En vez de un servidor de AAA, algunos sistemas utilizan un componente de la representación de RADIUS que convierta a otros protocolos de la base de datos tales como Lightweight Directory Access Protocol (LDAP).

El modelo dinámico de la autorización permite que el servidor de políticas externo envíe dinámicamente las directivas al ISG. Estas operaciones pueden ser en-banda iniciada de los suscriptores (con la selección del servicio) o con las acciones de un administrador, o las aplicaciones pueden cambiar las directivas en base de un cierto algoritmo (por ejemplo, Calidad de Servicio (QoS) de la sesión del cambio en cierto Time Of Day). Este modelo es facilitado por el cambio de la extensión de la autorización (CoA) RADIUS. El CoA introdujo la capacidad entre iguales al RADIUS, habilitando ISG y el servidor de políticas externo cada uno para actuar como un cliente RADIUS y servidor.

Autenticación de la Triple-clave para el ISG

la autenticación de la Triple-clave es un método de autenticar a los usuarios basados en su nombre de usuario, contraseña, y la ubicación después del ISG los reorienta al portal del motor de administración de los servicios de Cisco (SME). El servidor SME proporciona la ubicación basada en la dirección IP de origen del suscriptor que es autenticada. Antes de que la característica triple del soporte de la clave de autentificación fuera introducida, autenticaron a los usuarios en base del nombre de usuario y contraseña solamente (autenticación de la dos-clave). La característica de autenticación de la triple-clave también facilita la migración del Service Selection Gateway (SSG) a una plataforma ISG porque el SSG utiliza la autenticación de la triple-clave.

Para el SSG, el servidor del Cisco Subscriber Edge Services Manager (SES) puebla el atributo de RADIUS 31 (estación de llamada ID) en la petición de los ingresos del usuario al sistema que envía al SSG con una cadena que contiene la ubicación del ™ s del € del subscriberâ. El SSG entonces incluye este valor en el mensaje del pedido de acceso que envía al servidor de RADIUS donde el login se autentica sobre la base del nombre de usuario, de la contraseña, y de la cadena de la ubicación.

Con la autenticación de la triple-clave ISG, la cadena de la ubicación que el SME envía al ISG en el atributo 31 en la petición del cuenta-inicio CoA se relanza en el paquete access-request que el ISG envía al servidor de RADIUS para autenticar al suscriptor. El ISG envía la cadena de la ubicación dentro de un Atributo específico del proveedor (VSA) de Cisco incluido en el mensaje del pedido de acceso al servidor de RADIUS.

Si la petición del cuenta-inicio del SME contiene la información sobre la ubicación en el atributo 31 y Cisco VSA, el valor de la cadena de la ubicación de Cisco VSA toma la precedencia. La información sobre la ubicación se recibe del SME como el atributo 31 o Cisco VSA 250. La información sobre la ubicación se incluye en las peticiones de la autenticación de la sesión, las peticiones de las estadísticas de la sesión del ISG, y los pedidos de autorización pagados por adelantado.

La tabla abajo muestra a Cisco el atributo específico del vendedor NON-AVPair usado para la autenticación de la triple-clave.

Tabla 1Atributo específico del vendedor NON-AVPair de Cisco

Sub-AttrID

Tipo del atributo

Valor

Función

Ejemplo:

Utilizado adentro

250

cuenta-Info

String> de L<location-

Tercera clave en la autenticación de la triple-clave

LWiFiHotSpot001

El considerar del req CoA del ACC-req

Cómo Habilitar ISG para Interactuar con Servidores de Políticas Externos

Configurar el ISG como cliente AAA

Realice esta tarea de configurar las listas de métodos AAA y de permitir al ISG para extraer las directivas de un servidor de AAA. Esta tarea se debe realizar para la inicial y los modelos dinámicos de la autorización.

Antes de comenzar

Los servidores y los grupos de servidores referidos por los métodos AAA deben ser configurados.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. conexión con el sistema de autenticación aaa {valor por defecto | list-name} method1 [method2...]

4. autenticación PPP aaa {valor por defecto | list-name} method1 [method2...]

5. autorización aaa {red | exec | commands level | reverso-acceso | configuración} {omita | nombre de la lista} [method1 [method2...]]

6. servicio para suscriptores de la autorización aaa {valor por defecto {caché | grupo | local} | list-name} method1 [method2...]

7. clave del servicio-perfil aaa nombre de usuario-con-nasport

8. estadísticas aaa {auténtico-proxy | sistema | red | exec | conexión | nivel de comandos} {omita | [vrf vrf-name] del nombre de la lista} {por marcha-parada | parada-solamente | ningunos} [broadcast] nombre del grupo del grupo

9. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
conexión con el sistema de autenticación aaa {valor por defecto | list-name} method1 [method2...]


Ejemplo:

RADIUS de grupo de la conexión con el sistema de autenticación PPP1 de Router(config)# aaa

 

Especifica uno o más métodos de autenticación AAA que se utilizarán en el login.

 
Paso 4
autenticación PPP aaa {valor por defecto | list-name} method1 [method2...]


Ejemplo:

Radio del grupo predeterminado de la autenticación PPP de Router(config)# aaa

 

Especifica uno o más métodos de autenticación AAA para su uso en las interfaces seriales que están ejecutando el PPP.

 
Paso 5
autorización aaa {red | exec | commands level | reverso-acceso | configuración} {omita | nombre de la lista} [method1 [method2...]]


Ejemplo:

Radio de la autorización de red AAA NET1 de Router(config)#

 

Especifica uno o más métodos de la autorización AAA que se utilizarán para el acceso del suscriptor de restricción a una red.

 
Paso 6
servicio para suscriptores de la autorización aaa {valor por defecto {caché | grupo | local} | list-name} method1 [method2...]


Ejemplo:

Radio del grupo local del valor por defecto del servicio para suscriptores de la autorización de Router(config)# aaa

 

Especifica uno o más métodos de la autorización AAA para que el ISG utilice en proporcionar un servicio.

  • La palabra clave predeterminada usada con el caché, el grupo o las palabras claves locales selecciona el ocultar-grupo, el grupo de servidores o las bases de datos locales predeterminado respectivamente, para el método de autorización.
 
Paso 7
clave del servicio-perfil aaa nombre de usuario-con-nasport


Ejemplo:

Clave del servicio-perfil de Router(config)# aaa nombre de usuario-con-nasport

 

Configura los parámetros del perfil del servicio para una sesión AAA.

 
Paso 8
estadísticas aaa {auténtico-proxy | sistema | red | exec | conexión | nivel de comandos} {omita | [vrf vrf-name] del nombre de la lista} {por marcha-parada | parada-solamente | ningunos} [broadcast] nombre del grupo del grupo


Ejemplo:

RADIUS de grupo por marcha-parada de la red predeterminada de las estadísticas de Router(config)# aaa

 

Habilita la contabilización de AAA de servicios solicitados con fines de facturación o seguridad.

 
Paso 9
Finalizar


Ejemplo:

Router(config)# end

 

Sale del modo de configuración global.

 

Configuración de ISG como Servidor AAA

La autorización dinámica permite que un servidor de políticas envíe dinámicamente las directivas al ISG. Realice esta tarea de configurar el ISG como servidor de AAA y de habilitar la autorización dinámica.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. dinámico-autor del radio del servidor aaa

4. cliente {nombre | [vrf vrf-id] del [key [0|7] word] del IP address}

5. número del puerto del puerto

6. palabra de la clave del servidor [0|7]

7. auténtico-tipo {todo | ningunos | clave de sesión}

8. ignore {clave del servidor | clave de sesión}

9. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
dinámico-autor del radio del servidor aaa


Ejemplo:

Dinámico-autor del radio del servidor de Router(config)# aaa

 

Configura el ISG como servidor de AAA.

  • Ingresa al modo de configuración dinámico del servidor local de la autorización.
 
Paso 4
cliente {nombre | [vrf vrf-id] del [key [0|7] word] del IP address}


Ejemplo:

Router (config-locsvr-DA-radio) # clave Cisco de 10.76.86.90 del cliente

 

Especifica a un cliente con quien el ISG esté comunicando.

 
Paso 5
número del puerto del puerto


Ejemplo:

Router (config-locsvr-DA-radio) # puerto 1600

 

Especifica el puerto de servidor de RADIUS.

  • El valor por defecto es 1700.
 
Paso 6
palabra de la clave del servidor [0|7]


Ejemplo:

Router (config-locsvr-DA-radio) # clave del servidor Cisco

 

Especifica la clave de encripción compartida con el cliente RADIUS.

 
Paso 7
auténtico-tipo {todo | ningunos | clave de sesión}


Ejemplo:

Router (config-locsvr-DA-radio) # auténtico-tipo todo

 

Especifica los atributos que se utilizarán para la autorización de la sesión.

 
Paso 8
ignore {clave del servidor | clave de sesión}


Ejemplo:

El router (config-locsvr-DA-radio) # ignora la clave de sesión

 

ISG de las configuraciones para ignorar la clave de encripción o el atributo compartida 151.

 
Paso 9
Finalizar


Ejemplo:

Router (config-locsvr-DA-radio) # extremo

 

Sale del modo de configuración global.

 

Habilitar la ubicación VSA para la autenticación de la Triple-clave

Para permitir al ISG para incluir la ubicación VSA en las peticiones de la autenticación y de las estadísticas, realice los pasos siguientes.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. aaa de modelo nuevo

4. el radio-servidor VSA envía las estadísticas

5. el radio-servidor VSA envía la autenticación

6. extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Ingresa al modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
aaa new-model


Ejemplo:

Router(config)# aaa de modelo nuevo

 

Habilita AAA.

 
Paso 4
el radio-servidor VSA envía las estadísticas


Ejemplo:

El radio-servidor VSA de Router(config)# envía las estadísticas

 

ISG de los permisos para reconocer y para utilizar los VSA que consideran según lo definido por el atributo de RADIUS 26.

 
Paso 5
el radio-servidor VSA envía la autenticación


Ejemplo:

El radio-servidor VSA de Router(config)# envía la autenticación

 

ISG de los permisos para reconocer y para utilizar la autenticación VSA según lo definido por el atributo de RADIUS 26.

 
Paso 6
Finalizar


Ejemplo:

Router(config)# end

 

Sale al modo EXEC privilegiado.

 

Ejemplos

Las demostraciones del siguiente ejemplo cómo configurar el ISG para utilizar los VSA para considerar y la autenticación:

aaa new-model
!
!
radius-server vsa send accounting
radius-server vsa send authentication

Ejemplos de Configuración para la Interacción ISG con Servidores de Políticas Externos

Interacción ISG del ejemplo con los servidores de políticas externos

El siguiente ejemplo configura el ISG para obrar recíprocamente con los servidores de políticas externos:

!
aaa group server radius CAR_SERVER
 server 10.100.2.36 auth-port 1812 acct-port 1813
!
aaa authentication login default none
aaa authentication login IP_AUTHEN_LIST group CAR_SERVER
aaa authentication ppp default group CAR_SERVER
aaa authorization network default group CAR_SERVER 
aaa authorization subscriber-service default local group radius 
aaa accounting network default start-stop group CAR_SERVER
!
aaa server radius dynamic-author
 client 10.76.86.90 key cisco
 client 172.19.192.25 vrf VRF1 key cisco
 client 172.19.192.25 vrf VRF2 key cisco
 client 172.19.192.25 key cisco

el mensaje-authenticator ignora

Autenticación de la Triple-clave del ejemplo

El siguiente ejemplo muestra un expediente de la autenticación con la información de la sesión incluyendo el atributo de la ubicación. Usted puede visualizar esta salida usando el comando de contabilidad del radio del debug o el comando gw-accounting syslog.

*Feb  5 01:20:50.413: RADIUS/ENCODE: Best Local IP-Address 10.0.1.1 for Radius-Server 10.0.1.2
*Feb  5 01:20:50.425: RADIUS(0000000F): Send Access-Request to 10.0.1.2:1645 id 1645/5, len 107
*Feb  5 01:20:50.425: RADIUS:  authenticator 4D 86 12 BC BD E9 B4 9B - CB FC B8 7E 4C 8F B6 CA
*Feb  5 01:20:50.425: RADIUS:  Vendor, Cisco       [26]  19  
*Feb  5 01:20:50.425: RADIUS:   ssg-account-info   [250] 13  "LWiFiHotSpot001"   
*Feb  5 01:20:50.425: RADIUS:  Calling-Station-Id  [31]  16  "AAAA.BBBB.CCCC"
*Feb  5 01:20:50.425: RADIUS:  User-Name           [1]   7   "george"
*Feb  5 01:20:50.425: RADIUS:  User-Password       [2]   18  *
*Feb  5 01:20:50.425: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Feb  5 01:20:50.425: RADIUS:  NAS-Port            [5]   6   0                         
*Feb  5 01:20:50.425: RADIUS:  NAS-Port-Id         [87]  9   "0/0/0/0"
*Feb  5 01:20:50.425: RADIUS:  NAS-IP-Address      [4]   6   10.0.1.1                  
*Feb  5 01:20:50.425: RADIUS(0000000F): Started 5 sec timeout
*Feb  5 01:20:50.425: RADIUS: Received from id 1645/5 10.0.1.2:1645, Access-Accept, len 68
*Feb  5 01:20:50.425: RADIUS:  authenticator 49 A1 2C 7F C5 E7 9D 1A - 97 B3 E3 72 F3 EA 56 56
*Feb  5 01:20:50.425: RADIUS:  Vendor, Cisco       [26]  17  
*Feb  5 01:20:50.425: RADIUS:   ssg-account-info   [250] 11  "S10.0.0.2"
*Feb  5 01:20:50.425: RADIUS:  Vendor, Cisco       [26]  31  
*Feb  5 01:20:50.425: RADIUS:   Cisco AVpair       [1]   25  "accounting-list=default"
*Feb  5 01:20:50.433: RADIUS(0000000F): Received from id 1645/5
*Feb  5 01:20:50.437: RADIUS/ENCODE(0000000F):Orig. component type = Iedge IP SIP
*Feb  5 01:20:50.437: RADIUS(0000000F): Config NAS IP: 0.0.0.0
*Feb  5 01:20:50.437: RADIUS(0000000F): sending

Referencias adicionales

Documentos Relacionados

Tema relacionado

Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos ISG

Referencia inteligente del comando gateway de los servicios del Cisco IOS

Tareas de configuración AAA

Parte 1, Authentication, Authorization, and Accounting (AAA) del œ del € del â, guía de configuración de Cisco IOSSecurity del  del € del â

Comandos AAA

Referencia de Comandos de Seguridad de Cisco IOS

Estándares

Estándar

Título

No se soportan los nuevos o modificados estándares.

--

MIB

MIB

Link del MIB

Se soporta el MIB no nuevo o modificado.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

RFC

Título

Se soportan los RFC no nuevos o modificados, y el soporte para los RFC existentes no se ha modificado.

--

Asistencia Técnica

Descripción

Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información de la Función para la Interacción ISG con los Servidores de Políticas Externos

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 2Información de la Función para la Interacción ISG con los Servidores de Políticas Externos

Nombre de la función

Versiones

Información sobre la Función

ISG: Control de Políticas: Servidor de políticas: CoA

12.2(28)SB 12.2(33)SRC 12.4(20)T 15.0(1)S

Esta función proporciona soporte ISG a la extensión RADIUS de cambio de autorización (CoA), lo cual facilita la autorización dinámica.

En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.

En el Cisco IOS Release 12.4(20)T, esta característica era integrada en el tren T.

ISG: Sesión: Ciclo vital: Paquete de desconexión (POD)

12.2(28)SB 15.0(1)S

Esta característica permite a un servidor de políticas externo para terminar una sesión ISG cuando recibe un paquete RADIUS de desconexión (VAINA).

ISG: Soporte triple de la clave de autentificación

12.2(33)SRE2

Esta característica habilita la autenticación de la triple-clave pasando la información sobre la ubicación del SES al servidor de RADIUS en el mensaje del pedido de acceso.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.