Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR
Configuración de los Servicios de Suscriptor ISG
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 254 KB | Inglés (1 Abril 2011) | Comentarios

Contenido

Configuración de los Servicios de Suscriptor ISG

Última actualización: De agosto el 21 de 2011

ISG (gateway de servicios inteligente) es un conjunto de funciones de software de Cisco IOS que proporciona un marco estructurado en el cual los dispositivos de borde puedan proporcionar servicios flexibles y escalables a los suscriptores. El ISG define un servicio como una colección de políticas que se pueden aplicar a cualquier sesión del suscriptor. Este módulo describe cómo los servicios del suscriptor ISG trabajan, cómo configurar los servicios y las clases de tráfico que pueden ser utilizados para calificar las directivas definidas dentro de un servicio, y cómo activar los servicios.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Restricciones para los servicios del suscriptor ISG

Solamente una clase de tráfico del nondefault se puede configurar en cada servicio.

Cuando los servicios múltiples son activos en una sesión dada, las acciones basadas en la clase se ejecutan sobre una base de la primero-coincidencia solamente; es decir una vez que se corresponde con una clase, las acciones asociadas a esa clase serán ejecutadas, y no se corresponderá con ninguna otra clase.

Los servicios que se definen en el dispositivo ISG no pueden ser seleccionados externamente porque les no harán publicidad a un portal.

Quitando o modificando una característica en la configuración, por ejemplo un Access Control List (ACL), no es soportado por las sesiones activas que se refieren a esa característica.

Restricciones del Cisco 7600 Series Router

Las clases de tráfico no se soportan.

Los servicios del suscriptor no pueden ser configurados sobre la base de los atributos de la clase de tráfico.

No soportan a los servicios que cargan en cuenta pagados por adelantado.

Información sobre los Servicios de Suscriptor de ISG

Servicios ISG

Un servicio ISG es una colección de directivas que se puedan aplicar a una sesión del suscriptor. Los servicios ISG pueden ser aplicados a cualquier sesión, sin importar los media del acceso del suscriptor o el protocolo, y un solo servicio se puede aplicar a las sesiones múltiples. Un servicio ISG no se asocia necesariamente a las Zonas de destino o a una interfaz de link ascendente determinada.

Los servicios pueden ser definidos de dos maneras: en una correspondencia de la política de servicio que se configura en el dispositivo ISG usando el CLI, y en un perfil del servicio que se configura en un dispositivo externo, tal como un servidor del Authentication, Authorization, and Accounting (AAA). Aunque se configuren diferentemente, las correspondencias de la política de servicio y los perfiles del servicio responden al mismo propósito: contienen una colección de políticas de tráfico y de otras funciones que se puedan aplicar a una sesión del suscriptor. Las políticas de tráfico determinan qué funciones serán aplicadas a las cuales tráfico de sesión. Un perfil de la correspondencia o del servicio de la política de servicio puede también contener una directiva de la red-expedición, una directiva específica del tipo de tráfico que determine cómo los paquetes de datos de la sesión serán remitidos a la red.

Servicios Primarios

Cuando una directiva de la red-expedición se incluye en una correspondencia del perfil o de la política de servicio del servicio, el servicio se conoce como servicio principal. Los servicios principales son mutuamente - exclusiva y pueden no ser simultáneamente activos. Al activar un nuevo servicio primario, ISG desactivará el servicio primario existente y cualquier otro servicio que dependa de él mediante la asociación con un grupo de servicios.

Si desactivan a un servicio principal, las sesiones se pueden dejar sin una directiva de la red-expedición, es decir, sin los medios de rutear o de remitir los paquetes. Una directiva se puede aplicar para defender contra esta condición tales que un servicio específico está activado sobre la desactivación de todos los demás (o del resto de los servicios principales). Este servicio de backup volvería la directiva de la red-expedición a la sesión y permitiría que el suscriptor alcanzara un portal web. Sin embargo, debe ser observado que una sesión IP no será terminada automáticamente cuando desactivan a todos los servicios a menos que se haya definido y se haya aplicado tal directiva.

Clases de Tráfico y Prioridad de las Clases de Tráfico

Las clases de tráfico ISG permiten el comportamiento distinguido para diversos flujos de tráfico a y desde un suscriptor determinado. Para que el tráfico sea clasificado en las secuencias, usted debe especificar un Access Control List (ACL) que clasifica el tráfico y especifica a la dirección del tráfico a quien el ACL se aplica (entrante o saliente). Opcionalmente, la prioridad de la clase de tráfico puede también ser especificada.

Trafique que resuelve las especificaciones de una clase de tráfico se dice para hacer juego la clase de tráfico. Una coincidencia se hace una vez, las características definidas en la política de tráfico se ejecuta para esa clase de tráfico.

La prioridad de una clase de tráfico determina qué clase se utiliza primero para un emparejamiento especificado si más de una política de tráfico se ha activado para una sola sesión. Es decir si un paquete hace juego más de una clase de tráfico, se clasifica a la clase con la prioridad más alta.

Los paquetes que no hacen juego los ACL uces de los se consideran ser parte de la clase del tráfico predeterminado y se procesan como si una política de tráfico no fuera aplicada a la sesión. Una clase predeterminada existe para cada servicio, y la acción predeterminada de la clase predeterminada es pasar el tráfico. La clase predeterminada se puede configurar para caer el tráfico. El tráfico predeterminado se explica en las estadísticas principales de la sesión.

Un servicio puede contener una clase de tráfico y una clase predeterminada.

Las clases de tráfico se asignan los Identificadores únicos que se pueden seguir con los comandos cisco ios show.

Políticas de Tráfico

Las políticas de tráfico definen la dirección de los paquetes de datos. Una política de tráfico contiene una clase de tráfico y una o más características. Considerando que usted puede especificar el evento que accionará una directiva de control ISG, el activador para una política de tráfico está implícito--la llegada de un paquete de datos.

Las características configuradas dentro de una política de tráfico se aplican solamente al tráfico definido por la clase de tráfico. Las directivas del tráfico múltiple con las diversas características se pueden aplicar a una sesión.

Características ISG

Una característica ISG es un componente funcional que realiza una operación específica en una secuencia de datos del ™ s del € del sessionâ. Una característica se puede o no se puede asociar a una clase de tráfico. Sin embargo, asociado una vez a una clase de tráfico, una característica se puede aplicar solamente a los paquetes que hacen juego esa clase de tráfico. Si no, la característica se aplica a todos los paquetes para esa sesión.

La figura debajo de las demostraciones cómo las características se aplican a una sesión del suscriptor y a los flujos de tráfico dentro de la sesión.

Figura 1Aplicación de la característica ISG en una sesión y los flujos



Nota


Dos o más servicios que especifican la misma característica y se aplican a la sesión entera bastante que a un flujo del tráfico especificado no deben ser activados para una sesión simultáneamente. Si dos o más de estos servicios se activan para una sesión, la desactivación de uno de los servicios quitará la característica de la sesión. Si usted necesita ofrecer a un suscriptor los servicios múltiples que especifican la misma característica y se aplican a la sesión bastante que un flujo específico, configure los servicios de modo que estén mutuamente - exclusiva. Es decir, el suscriptor no debe poder activar más de un tal servicio al mismo tiempo. Semejantemente, las directivas de control no deben activar más de un tal servicio al mismo tiempo.

Grupos de Servicios

Un grupo de servicios es el agrupar de los servicios que pueden ser simultáneamente activos para una sesión dada. Por lo general, un grupo de servicios incluye un servicio primario y uno o varios servicios secundarios.

Los servicios secundarios en un grupo de servicios son dependientes en el servicio principal y no deben ser activados a menos que el servicio principal sea ya activo. Una vez que han activado a un servicio principal, cualquier otro servicio que se refiera al mismo grupo puede también ser activado. Los servicios que pertenecen a otros grupos, sin embargo, pueden ser activados solamente si son primarios. Si activan a un servicio principal de otro grupo de servicios, desactivarán a todos los servicios en el grupo de servicios actual también porque tienen una dependencia en el servicio principal anterior.

Métodos de Activación del Servicio

Hay tres métodos por los cuales los servicios pueden ser activados:

  • Activación del servicio automático
  • Activación del servicio de la directiva de control
  • Activación iniciada por el suscriptor del servicio

Activación del servicio automático

El atributo del servicio auto, que se puede configurar en los perfiles del usuario, habilita a los suscriptores que se abrirán una sesión automáticamente a los servicios especificados cuando se descarga el perfil del usuario, autenticación generalmente siguiente. Las características que son especificadas por el atributo del servicio auto en un perfil del usuario se refieren como servicios autos. Un perfil del usuario puede especificar más de un servicio como servicios autos.

Activación del servicio de la directiva de control

Las directivas de control ISG se pueden configurar para activar los servicios en respuesta a las condiciones y a los eventos específicos.

Activación iniciada por el suscriptor del servicio

La activación iniciada por el suscriptor del servicio ocurre cuando un suscriptor selecciona manualmente un servicio en un portal.

Cuando el sistema recibe una petición del suscriptor de activar un servicio, el motor de directivas ISG busca para una directiva que corresponde con el  del € del servicio-startâ del œ del € del â del evento. Si no se encuentra ninguna tal directiva, el motor de directivas por abandono descargará el servicio vía la lista de métodos de la Autorización de red del valor por defecto AAA. Este comportamiento predeterminado es idéntico al comportamiento generado por la configuración de la política siguiente:

class-map type control match-all SERVICE1_CHECK
   match service-name SERVICE1
policy-map type control SERVICE1_CHECK event service-start
   1 service-policy type service name SERVICE1

El mismo comportamiento predeterminado se aplica a los cierres de sesión del suscriptor, con el motor de directivas ISG buscando para una directiva que haga juego el  del € del servicio-stopâ del œ del € del â del evento.

Si se configura una directiva, es la responsabilidad de la directiva especificar cómo el servicio debe ser aplicado.

Cómo Configurar Servicios ISG en el Router

Hay dos maneras de configurar un servicio ISG. Una manera es configurar una correspondencia de la política de servicio en el dispositivo local usando el CLI. La segunda manera es configurar un perfil del servicio en un servidor de AAA remoto. Para configurar una correspondencia de la política de servicio directamente en el ISG, realice las tareas en las secciones siguientes:

Configuración de un Servicio ISG con Funcionalidad por Sesión

Los tipos determinados de funciones que se configuran en un servicio deben ser aplicados a la sesión entera del suscriptor bastante que a un flujo de tráfico específico. Los servicios que se configuran con este tipo de funciones de la por session no deben contener una clase de tráfico. Realice esta tarea de configurar una correspondencia de la política de servicio sin una clase de tráfico en el ISG.


Nota


Algunos de los comandos que se pueden configurar en una correspondencia de la política de servicio requieren la otra configuración para trabajar correctamente. Los detalles en cómo configurar las características específicas ISG y las funciones se proporcionan en otros módulos.

Nota


Un servicio que se configura con las funciones de la por session y una política de tráfico no trabajará correctamente.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del servicio del tipo del directiva-mapa

4. autentique la nombre-de-lista de la lista aaa

5. DHCP-pool-nombre del classname

6. portbundle del IP

7. interface-type interface-number innumerable del IP

8. IP VRF nombre-de-VRF de envío

9. mantenga niegan

10. mantenga el VPDN-grupo-nombre del grupo del vpdn del pppoe de la retransmisión

11 mantenga el VPDN-grupo-nombre del grupo del vpdn

12.    servicio-grupo-nombre del SG-servicio-grupo

13.    SG-servicio-tipo {primario | secundario}


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del servicio del tipo del directiva-mapa


Ejemplo:

Servicio service1 del tipo del directiva-mapa de Router(config)#

 

Crea o modifica un policy map de servicio que se utiliza para definir un servicio ISG.

 
Paso 4
autentique la nombre-de-lista de la lista aaa


Ejemplo:

El router (config-servicio-policymap) # autentica el mlist de la lista aaa

 

Indica que el servicio requiere la autenticación como condición de la activación e inicia un pedido de autenticación.

 
Paso 5
DHCP-pool-nombre del classname


Ejemplo:

Router (config-servicio-policymap) # verde del classname

 

Asocia una agrupación de direcciones del Protocolo de configuración dinámica de host (DHCP) a un servicio o al suscriptor específico.

 
Paso 6
portbundle del IP


Ejemplo:

Router (config-servicio-policymap) # portbundle del IP

 

Habilita la característica de clave de host del Puerto-conjunto ISG en la correspondencia de la política de servicio.

 
Paso 7
interface-type interface-number innumerable del IP


Ejemplo:

Router (config-servicio-policymap) # ethernet0 innumerable del IP

 

Habilita el procesamiento de IP en una interfaz sin asignar una dirección IP explícita a la interfaz.

 
Paso 8
IP VRF envío del nombre-de-VRF


Ejemplo:

Router (config-servicio-policymap) # IP VRF remitiendo el azul

 

Asocia el servicio a un VRF.

  • La configuración de este comando convertirá al servicio en un servicio primario.
 
Paso 9
el servicio niega


Ejemplo:

El router (config-servicio-policymap) # servicio niega

 

Niega el servicio de red a la sesión del suscriptor.

 
Paso 10
mantenga el VPDN-grupo-nombre del grupo del vpdn del pppoe de la retransmisión


Ejemplo:

Router (config-servicio-policymap) # group1 del grupo del vpdn del pppoe de la retransmisión del servicio

 

Retransmisión de los permisos de los mensajes del descubrimiento activo PPPoE (PISTA) sobre un túnel del Tunnel Protocol de la capa 2 (L2TP) para una sesión del suscriptor.

 
Paso 11
mantenga el VPDN-grupo-nombre del grupo del vpdn


Ejemplo:

Router (config-servicio-policymap) # grupo vpdn1 del vpdn del servicio

 

Proporciona el servicio del Virtual Private Dialup Network (VPDN) para las sesiones del suscriptor ISG.

  • La configuración de este comando convertirá al servicio en un servicio primario.
 
Paso 12
servicio-grupo-nombre del SG-servicio-grupo


Ejemplo:

Router (config-servicio-policymap) # group1 del SG-servicio-grupo

 

Asocia el servicio a un grupo de servicio especificado.

 
Paso 13
SG-servicio-tipo {primario | secundario}


Ejemplo:

Router (config-servicio-policymap) # SG-servicio-tipo primario

 

Define el servicio como un primario o servicio secundario.

  • Un servicio primario es un servicio que contiene una política de reenvío de red. Un servicio se debe definir como servicio principal usando el comando primary del SG-servicio-tipo. Cualquier servicio que no sea un servicio primario se define de forma predeterminada como servicio secundario.
 

Configuración de un Servicio ISG con una Política de Tráfico

Una política de tráfico ISG contiene una clase de tráfico y una o más características ISG. La clase de tráfico define el tráfico al cual las características serán aplicadas. Realice las tareas siguientes de configurar un servicio ISG con una política de tráfico en el router:

Definición de un Class Map de Tráfico ISG

Realice esta tarea de configurar una correspondencia de la clase de tráfico. Una correspondencia de la clase de tráfico especifica generalmente un Access Control List (ACL) que clasifica el flujo y a la dirección del tráfico a los cuales el ACL se aplica (entrante o saliente).


Nota


Usted puede también configurar una correspondencia vacía de la clase de tráfico, es decir, una correspondencia de la clase de tráfico que no especifique una lista de acceso, para configurar un servicio con una política de tráfico que se aplique a todo el tráfico de sesión.
Antes de comenzar

Esta tarea asume que el Listas de control de acceso (ACL) se ha configurado para clasificar el tráfico.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. clase-mapa-nombre del match-any del tráfico del tipo del clase-mapa

4. entrada del acceso-grupo de la coincidencia {access-list-number | acceso-lista-nombre del nombre}

5. salida del acceso-grupo de la coincidencia {access-list-number | acceso-lista-nombre del nombre}

6. salida


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
clase-mapa-nombre del match-any del tráfico del tipo del clase-mapa


Ejemplo:

Match-any class1 del tráfico del tipo del clase-mapa de Router(config)#

 

Crea o modifica un class map de tráfico, que se utiliza para asociar paquetes a una clase de tráfico ISG especificada.

 
Paso 4
entrada del acceso-grupo de la coincidencia {access-list-number | acceso-lista-nombre del nombre}


Ejemplo:

El router (config-tráfico-classmap) # acceso-grupo de la coincidencia entró 101

 

(Opcional) configura los criterios de concordancia para una correspondencia de la clase de la entrada en base del ACL especificado.

  • Sáltese este paso si desea definir una política de tráfico que se aplique a todo el tráfico de la sesión y no a un flujo de tráfico específico.
  • Este comando no se soporta en el Cisco 7600 Series Router.
 
Paso 5
salida del acceso-grupo de la coincidencia {access-list-number | acceso-lista-nombre del nombre}


Ejemplo:

El router (config-tráfico-classmap) # acceso-grupo de la coincidencia hizo salir 102

 

(Opcional) configura los criterios de concordancia para una correspondencia de la clase de salida en base del ACL especificado.

  • Sáltese este paso si desea definir una política de tráfico que se aplique a todo el tráfico de la sesión y no a un flujo de tráfico específico.
  • Este comando no se soporta en el Cisco 7600 Series Router.
 
Paso 6
salida


Ejemplo:

Router (config-tráfico-classmap) # salida

 

Vuelve al modo de configuración global.

 

Configuración de un Policy Map de Servicios de ISG con una Política de Tráfico

Creando configuran las correspondencias de la política de servicio en el ISG o mantienen a los servicios ISG los perfiles en un servidor de AAA externo. Realice esta tarea de configurar una política de tráfico en una correspondencia de la política de servicio en el ISG.


Nota


Algunos de los comandos que se pueden configurar en una correspondencia de la política de servicio requieren la otra configuración para trabajar correctamente. Los detalles en cómo configurar las características específicas ISG y las funciones se proporcionan en otros módulos en la guía de configuración de gateway inteligente de los servicios del Cisco IOS.
PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del servicio del tipo del directiva-mapa

4. [priority] clase-mapa-nombre del tráfico del tipo de clase

5. AAA-método-lista de la lista aaa que considera

6. policía {entrada | ráfaga en exceso de la normal-explosión de la velocidad comprometida de la salida}

7. config pagado por adelantado nombre-de-configuratio n

8. reoriente el [list access-list-number] a {servidor-grupo-nombre del grupo | [frequency seconds] del [duration seconds] del [port port-number] del ip ip-address}

9. duración-en-segundos del tiempo de espera absoluto

10. duración-en-segundos ociosos del descanso

11 extremo


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del servicio del tipo del directiva-mapa


Ejemplo:

Servicio service1 del tipo del directiva-mapa de Router(config)#

 

Crea o modifica un policy map de servicio que se utiliza para definir un servicio ISG.

 
Paso 4
[priority] clase-mapa-nombre del tráfico del tipo de clase

Ejemplo:

Router (config-servicio-policymap) # classb del tráfico del tipo de clase

 

Especifica la clase de tráfico con nombre cuya política desea crear o cambiar.

  • El argumento de la prioridad determina qué clase será utilizada primero para un emparejamiento especificado. Cuando un paquete hace juego más de una clase de tráfico, será clasificado a la clase con la prioridad más alta
 
Paso 5
AAA-método-lista de la lista aaa que considera


Ejemplo:

Router (config-servicio-policymap-clase-tráfico) # lista mlist1 aaa que considera

 

Habilita la contabilización y especifica la lista de métodos AAA a la cual se enviarán las actualizaciones de contabilidad.

 
Paso 6
policía {entrada | ráfaga en exceso de la normal-explosión de la velocidad comprometida de la salida}


Ejemplo:

El router (config-servicio-policymap-clase-tráfico) # policía entró 20000 30000 60000

 

Policing ISG de los permisos para la conexión en sentido ascendente o el tráfico rio abajo.

  • Este comando se puede ingresar dos veces para configurar el policing en sentido ascendente y descendente.
 
Paso 7
config pagado por adelantado nombre-de-configuratio n


Ejemplo:

Router (config-servicio-policymap-clase-tráfico) # config pagados por adelantado conf-pagados por adelantado

 

Habilita el soporte ISG para la facturación prepagada y aplica una configuración que define los parámetros de la facturación prepagada.

 
Paso 8
reoriente el [list access-list-number] a {servidor-grupo-nombre del grupo | [frequency seconds] del [duration seconds] del [port port-number] del ip ip-address}


Ejemplo:

El router (config-servicio-policymap-clase-tráfico) # reorienta al IP 10.10.10.10

 

Redirige el tráfico a un servidor o a un grupo de servidores especificado.

 
Paso 9
duración-en-segundos del tiempo de espera absoluto


Ejemplo:

Router (config-control-policymap-clase-tráfico) # tiempo de espera absoluto 30

 

Especifica la vida útil de la sesión, en un rango de 30 a 4294967 segundos.

 
Paso 10
duración-en-segundos ociosos del descanso


Ejemplo:

Router (config-control-policymap-clase-tráfico) # marcha lenta 3000 del descanso

 

Especifica cuánto tiempo una conexión puede estar ociosa antes de que se termine. El rango es plataforma y versión-específico. Para más información, utilice la función de ayuda en línea del signo de interrogación (?).

 
Paso 11
Finalizar


Ejemplo:

#end del router (config-servicio-policymap-clase-tráfico)

 

(Opcional) Vuelve al modo EXEC privilegiado.

 

Configuración de la Clase Predeterminada en un Policy Map de Servicio ISG

Los paquetes que no hacen juego ninguna clases de tráfico se consideran ser tráfico predeterminado de la parte de y se procesan como si una política de tráfico no fuera aplicada a la sesión. Una clase predeterminada existe por abandono para cada servicio, y la acción predeterminada de la clase predeterminada es pasar el tráfico. Realice esta tarea de configurar la clase predeterminada.

PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del servicio del tipo del directiva-mapa

4. valor por defecto del tráfico del tipo de clase {en-hacia fuera | entrada | salida}

5. descenso


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del servicio del tipo del directiva-mapa


Ejemplo:

Servicio service1 del tipo del directiva-mapa de Router(config)#

 

Crea o modifica un policy map de servicio que se utiliza para definir un servicio ISG.

 
Paso 4
valor por defecto del tráfico del tipo de clase {en-hacia fuera | entrada | salida}


Ejemplo:

Router (config-servicio-policymap) # valor por defecto del tráfico del tipo de clase en-hacia fuera

 

Asocia una clase del tráfico predeterminado a una correspondencia de la política de servicio.

  • La clase predeterminada es la clase a la cual se dirige el tráfico si ese tráfico no hace juego los criterios de concordancia uces de los en las correspondencias de la clase configurada.
 
Paso 5
descenso


Ejemplo:

Router (config-servicio-policymap-clase-tráfico) # descenso

 

Configura la clase del tráfico predeterminado para desechar los paquetes que corresponden con esa clase.

 

Activación de Servicios de Suscriptor ISG

Hay tres maneras que los servicios del suscriptor ISG pueden ser activados: especificando el servicio como activación automática mantenga en un perfil del usuario del ™ s del € del subscriberâ, configurando las directivas de control para activar el servicio, y por un inicio iniciado por el suscriptor del servicio. No hay configuración especial necesaria permitir a un suscriptor para abrir una sesión a un servicio.

Para configurar un servicio para la activación automática y configurar las directivas de control para activar los servicios, realice las tareas siguientes:

Configuración de la Activación Automática del Servicio en un Perfil del Usuario

Realice esta tarea de configurar la activación del servicio automático para un servicio en un perfil del usuario del ™ s del € del subscriberâ.

PASOS SUMARIOS

1. Agregue el atributo del servicio auto al perfil del usuario.


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
Agregue el atributo del servicio auto al perfil del usuario.

Ejemplo:

servicio-nombre 26,9,251="A [; nombre de usuario; contraseña]”

 

Abre una sesión automáticamente al suscriptor al servicio especificado cuando se descarga el perfil del usuario.

 

Configuración de las Políticas de Control ISG para Activar Servicios

Realice esta tarea de configurar una directiva de control para activar un servicio.

Antes de comenzar

Una correspondencia de la clase control debe ser configurada si usted especifica una correspondencia Nombrada de la clase control en la correspondencia de políticas del control. Vea el módulo el “configurar de las directivas de control ISG” para la información sobre configurar las directivas de control.


PASOS SUMARIOS

1. permiso

2. configuró terminal

3. Policy-map-name del control del tipo del directiva-mapa

4. control del tipo de clase {siempre | mapa-clase-nombre} [cuenta-inicio del evento | crédito agotado | cuota-agotado | servicio-principio | servicio-parada | sesión-valor por defecto-servicio | sesión-servicio-encontró| sesión-principio | sincronizado-directiva-vencimiento]

5. servicio del tipo de la servicio-directiva del acción-número {nombre | unapply} Policy-map-name


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
configure terminal


Ejemplo:

Router# configure terminal

 

Ingresa en el modo de configuración global.

 
Paso 3
Policy-map-name del control del tipo del directiva-mapa


Ejemplo:

Control policy1 del tipo del directiva-mapa de Router(config)#

 

Crea o modifica una correspondencia de políticas para especificar una directiva de control ISG.

 
Paso 4
control del tipo de clase {siempre | mapa-clase-nombre} [cuenta-inicio del evento | crédito agotado | cuota-agotado | servicio-principio | servicio-parada | sesión-valor por defecto-servicio | sesión-servicio-encontró| sesión-principio | sincronizado-directiva-vencimiento]


Ejemplo:

Router (config-control-policymap) # del tipo de clase del control sesión-principio del evento siempre

 

Especifica una clase y, opcionalmente, un evento para los cuales las acciones puedan ser configuradas.

 
Paso 5
servicio del tipo de la servicio-directiva del acción-número {nombre | unapply} Policy-map-name


Ejemplo:

Router (config-control-policymap-clase-control) # 1 servicio service1 del tipo de la servicio-directiva

 

Aplica el policy map de servicio especificado.

  • Para quitar la correspondencia de la política de servicio, utilice unapply la palabra clave.
 

Verificación de los Servicios ISG

Realice esta tarea de verificar la configuración de servicio ISG.

PASOS SUMARIOS

1. permiso

2. muestre el tráfico del tipo del clase-mapa

3. muestre el servicio del tipo del directiva-mapa


PASOS DETALLADOS
 Comando o acciónPropósito
Paso 1
permiso


Ejemplo:

Router> enable

 

Habilita el modo EXEC privilegiado.

  • Ingrese su contraseña si se le pide que lo haga.
 
Paso 2
muestre el tráfico del tipo del clase-mapa


Ejemplo:

Tráfico del tipo del clase-mapa de la demostración del Router-

 

Visualiza todas las correspondencias de la clase de tráfico y sus criterios concordantes.

 
Paso 3
muestre el servicio del tipo del directiva-mapa


Ejemplo:

Servicio del tipo del directiva-mapa de la demostración del Router-

 

Visualiza el contenido de todas las correspondencias de la política de servicio.

 

Ejemplos de Configuración de Servicios de ISG

Servicio de ejemplo para las estadísticas del Por-flujo

En los siguientes ejemplos, el  del € del â del œ SERVICE1 del € del â del servicio se configura con las estadísticas del por-flujo. El  del € del â del œ SERVICE1_ACL_IN del € del â de las Listas de acceso y el  del € del â del œ SERVICE1_ACL_OUT del € del â se utilizan para definir la clase de tráfico. Estos ejemplos son equivalentes y muestran los dos métodos alternativos de configuración de servicio: en una correspondencia del policy map que se configura directamente en el ISG y en un perfil de servicio que se configura en un servidor AAA.

Configuración ISG

class-map type traffic match-any SERVICE1_TC
 match access-group input name SERVICE1_ACL_IN
 match access-group output name SERVICE1_ACL_OUT
!
policy-map type service SERVICE1
 10 class type traffic SERVICE1_TC
  accounting aaa list CAR_ACCNT_LIST
 class type traffic default in-out
  drop

Configuración del servidor AAA

Attributes/
 Cisco-AVPair = "ip:traffic-class=in access-group name SERVICE1_ACL_IN priority 10"
 Cisco-AVPair = "ip:traffic-class=in default drop"
 Cisco-AVPair = "ip:traffic-class=out access-group name SERVICE1_ACL_OUT priority 10"
 Cisco-AVPair = "ip:traffic-class=out default drop"
 Cisco-AVPair = subscriber:accounting-list=CAR_ACCNT_LIST
 Cisco-SSG-Service-Info = ISERVICE1

Servicio de ejemplo para el tiempo de espera absoluto y el tiempo de inactividad

En los siguientes ejemplos, el  del € del â del œ SERVICE1 del € del â del servicio se configura con las estadísticas del por-flujo, un tiempo de espera absoluto, y un tiempo de inactividad. El  del € del â del œ SERVICE1_ACL_IN del € del â de las Listas de acceso y el  del € del â del œ SERVICE1_ACL_OUT del € del â se utilizan para definir la clase de tráfico. Estos ejemplos son equivalentes y muestran los dos métodos de configuración de servicio: en una correspondencia del policy map que se configura directamente en el ISG y en un perfil de servicio que se configura en un servidor AAA.

Configuración ISG

class-map type traffic match-any SERVICE1_TC
 match access-group input name SERVICE1_ACL_IN
 match access-group output name SERVICE1_ACL_OUT
!
policy-map type service SERVICE1
 10 class type traffic SERVICE1_TC
  timeout idle 600
  timeout absolute 1800
  accounting aaa list CAR_ACCNT_LIST
 class type traffic default in-out
  drop

Configuración del servidor AAA

Attributes/
 Cisco-AVPair = "ip:traffic-class=in access-group name SERVICE1_ACL_IN priority 10"
 Cisco-AVPair = "ip:traffic-class=in default drop"
 Cisco-AVPair = "ip:traffic-class=out access-group name SERVICE1_ACL_OUT priority 10"
 Cisco-AVPair = "ip:traffic-class=out default drop"
 Cisco-AVPair = subscriber:accounting-list=CAR_ACCNT_LIST
 Cisco-SSG-Service-Info = ISERVICE1
  session-timeout = 1800 
  idle-timeout = 600

Servicio de ejemplo para el policing ISG

En los siguientes ejemplos, el  del € del â del œ BOD1M del € del â del servicio se configura con las estadísticas del por-flujo y el policing ISG. El  del € del â del œ BOD1M_IN_ACL_IN del € del â de las Listas de acceso y el  del € del â del œ BOD1M_ACL_OUT del € del â se utilizan para definir la clase de tráfico. Estos ejemplos son equivalentes y muestran los dos métodos de configuración de servicio: en una correspondencia del policy map que se configura directamente en el ISG y en un perfil de servicio que se configura en un servidor AAA.

Configuración ISG

class-map type traffic match-any BOD1M_TC
 match access-group input name BOD1M_IN_ACL_IN
 match access-group output name BOD1M_ACL_OUT
!
policy-map type service BOD1M
 10 class type traffic BOD1M_TC
  accounting aaa list CAR_ACCNT_LIST
  police input 512000 256000 5000
  police output 1024000 512000 5000
 class type traffic default in-out
  drop

Configuración del servidor AAA

Attributes/
 Cisco-AVPair = "ip:traffic-class=in access-group name BOD1M_IN_ACL priority 10"
 Cisco-AVPair = "ip:traffic-class=in default drop"
 Cisco-AVPair = "ip:traffic-class=out access-group name BOD1M _OUT_ACL priority 10"
 Cisco-AVPair = "ip:traffic-class=out default drop"
 Cisco-AVPair = subscriber:accounting-list=CAR_ACCNT_LIST
 Cisco-SSG-Service-Info = IBOD1M
 Cisco-SSG-Service-Info = QU;512000;256000;5000;D;1024000;512000;5000

Servicio de ejemplo para el Firewall del Por-suscriptor

En los siguientes ejemplos, el  del € del â del œ SERVICE2 del € del â del servicio se configura con un Firewall del por-suscriptor. El servicio no incluye una clase de tráfico, así que se aplicará a la sesión entera. Estos ejemplos son equivalentes y muestran los dos métodos de configuración de servicio: en una correspondencia del policy map que se configura directamente en el ISG y en un perfil de servicio que se configura en un servidor AAA.

Configuración ISG

policy-map type service SERVICE2
 ip access-group INTERNET_IN_ACL in
 ip access-group INTERNET_OUT_ACL out

Configuración del servidor AAA

Attributes/
 Cisco-AVPair = ip:inacl=INTERNET_IN_ACL
 Cisco-AVPair = ip:outacl=INTERNET_OUT_ACL

Servicio de ejemplo para reorientar el tráfico del suscriptor de la capa 4

El siguiente ejemplo muestra la configuración de un servicio llamado  del € de UNAUTHORIZED_REDIRECT_SVCâ del œ del € del â. El  del € de UNAUTHEN_REDIRECTâ del œ del € del â de la directiva de control se configura para aplicar el servicio sobre el comienzo de la sesión.

class-map type traffic match-any UNAUTHORIZED_TRAFFIC
 match access-group input 100
 
policy-map type service UNAUTHORIZED_REDIRECT_SVC
 class type traffic UNAUTHORIZED_TRAFFIC
  redirect to ip 10.0.0.148 port 8080
 
policy-map type control UNAUTHEN_REDIRECT
 class type control always event session-start
  1 service-policy type service name UNAUTHORIZED_REDIRECT_SVC

Ejemplo que desactiva un servicio del cambio de dirección de la capa 4 después de la autorización

En el siguiente ejemplo, se desactiva un servicio configuró con el cambio de dirección de la capa 4 cuando el tráfico se autoriza; es decir, después de la activación del servicio apropiado.

class-map traffic UNAUTHORIZED_TRAFFIC
match access-group input 100
policy-map type service UNAUTHORIZED_REDIRECT_SVC
 class traffic UNAUTHORIZED_TRAFFIC
  redirect to ip 10.0.0.148 port 8080
class-map control match-all CHECK_ISP1
 match service ISP1
policy-map control UNAUTHEN_REDIRECT
 class control always event session-start
  1 service-policy type service name UNAUTHORIZED_REDIRECT_SVC
 class control CHECK_ISP1 event service-start
  1 service-policy type service unapply UNAUTHORIZED_REDIRECT_SVC
  1 service-policy type service name ISP1

Referencias adicionales

Documentos Relacionados

Estándares

Estándar

Título

No se soportan los nuevos o modificados estándares.

--

MIB

MIB

Link del MIB

Se soporta el MIB no nuevo o modificado.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html

RFC

RFC

Título

Se soportan los RFC no nuevos o modificados, y el soporte para los RFC existentes no se ha modificado.

--

Asistencia Técnica

Descripción

Link

El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.

Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS).

El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html

Información sobre Funciones para los Servicios de Suscriptor de ISG

La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Tabla 1Información sobre Funciones para los Servicios de Suscriptor de ISG

Nombre de la función

Versiones

Información de la Configuración de la Función

ISG: Control de Políticas: Service Profiles

12.2(28)SB 12.2(33)SRC 15.0(1)S

El ISG define un servicio como una colección de políticas que se pueden aplicar a cualquier sesión del suscriptor. Los servicios se pueden configurar en el router o en un servidor AAA externo.

En el Cisco IOS Release 12.2(33)SRC, esta característica fue implementada en el Cisco 7600 Router.

ISG: Control de Políticas: Perfiles del usuario

12.2(28)SB 12.2(33)SRC 15.0(1)S

Los perfiles del usuario ISG especifican los servicios y las funciones que pueden ser aplicados a las sesiones ISG para el suscriptor especificado. Los perfiles de usuario se definen en un servidor de AAA externo.

Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)

Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.