Směrovače řady ASR 9000 Konfigurace brány širokopásmové sítě
Informace o produktu
Specifikace
- Název produktu: Brána širokopásmové sítě
- Model: Směrovače Cisco ASR 9000 Series
- Verze softwaru: IOS XR Release 6.2.x
- Poprvé zveřejněno: 2017-03-17
- Naposledy změněno: 2017-07-14
Zavedení
Brána širokopásmové sítě je směrovač navržený pro použití v
sítě ISP. Poskytuje pokročilé funkce a funkce
spravovat širokopásmová připojení a síťový provoz. Tento průvodce
poskytuje pokyny pro konfiguraci a používání Cisco ASR 9000
Sériové směrovače s bránou širokopásmové sítě.
Vlastnosti BNG
Následují nové a upravené funkce širokopásmového připojení
Síťová brána v IOS XR Release 6.2.x:
- Funkce 1: [Popis]
- Funkce 2: [Popis]
- …
Konec BNGview
Porozumění BNG
Brána širokopásmové sítě (BNG) je klíčovou součástí ISP
sítí. Umožňuje správu širokopásmových připojení a
poskytuje pokročilé funkce pro řízení dopravy a servis
zajišťování.
Architektura BNG
Architektura BNG se skládá z několika komponent,
včetně:
- Komponenta 1: [Popis]
- Komponenta 2: [Popis]
- …
Role BNG v modelech sítě ISP
BNG hraje klíčovou roli v různých modelech sítí ISP,
jako například:
- Model 1: [Popis]
- Model 2: [Popis]
- …
Balení BNG
Brána širokopásmové sítě je zabalena jako softwarový modul
které lze nainstalovat a aktivovat na Cisco ASR 9000 Series
Směrovač.
Návod k použití produktu
Instalace a aktivace BNG Pie
Chcete-li nainstalovat a aktivovat bránu širokopásmové sítě na
Směrovač Cisco ASR 9000 Series, postupujte takto:
- Krok 1: [Popis]
- Krok 2: [Popis]
- …
Proces konfigurace BNG
Konfigurace brány širokopásmové sítě na Cisco ASR 9000
Series Router, postupujte takto:
- Krok 1: [Popis]
- Krok 2: [Popis]
- …
Hardwarové požadavky pro BNG
Brána širokopásmové sítě vyžaduje následující
železářské zboží:
- Požadavek 1: [Popis]
- Požadavek 2: [Popis]
- …
Interoperabilita BNG
Brána širokopásmové sítě je navržena tak, aby byla interoperabilní
s různými síťovými zařízeními a protokoly. Pro konkrétní
podrobnosti o interoperabilitě naleznete v dokumentaci poskytnuté společností
Cisco.
Inteligentní licencování BNG
Brána širokopásmové sítě podporuje Smart Licensing, což
umožňuje flexibilní správu a aktivaci licencí. Pro více
informace o Smart Licensing naleznete v dodané dokumentaci
od společnosti Cisco.
FAQ
Otázka: Jsou v dokumentu IP adresy a telefonní čísla
nemovitý?
Odpověď: Ne, adresy IP a telefonní čísla použité v dokumentu
nejsou skutečné a jsou určeny pouze pro ilustrativní účely.
Otázka: Kde najdu nejnovější verzi tohoto dokumentu?
Odpověď: Nejnovější verzi tohoto dokumentu lze nalézt na webu Cisco
webmísto. Nejaktuálnější informace naleznete na poskytnutém odkazu
verze.
Otázka: Existují nějaké hardwarové požadavky pro používání širokopásmového připojení
Síťová brána?
Odpověď: Ano, brána širokopásmové sítě má specifický hardware
požadavky. Viz „Požadavky na hardware pro BNG“
části tohoto dokumentu, kde najdete další informace.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x
Poprvé publikováno: 2017 Poslední změna: 03
Americké ústředí
Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com Tel: 408 526-4000
800 553-NETS (6387) Fax: 408 527-0883
SPECIFIKACE A INFORMACE TÝKAJÍCÍ SE VÝROBKŮ V TOMTO NÁVODU SE MOHOU BEZ UPOZORNĚNÍ ZMĚNIT. VŠECHNA PROHLÁŠENÍ, INFORMACE A DOPORUČENÍ V TÉTO PŘÍRUČCE SE POVAŽUJE ZA PŘESNÉ, ALE JSOU PŘEDKLÁDÁNY BEZ ZÁRUKY JAKÉHOKOLI DRUHU, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ. UŽIVATELÉ MUSÍ PŘEVZÍT PLNOU ODPOVĚDNOST ZA SVÉ POUŽITÍ JAKÝCHKOLI PRODUKTŮ.
LICENCE NA SOFTWAR A OMEZENÁ ZÁRUKA NA DOPROVODNÝ PRODUKT JSOU UVEDENY V INFORMAČNÍM BALÍČKU, KTERÝ JE DODÁN S PRODUKTEM, A JSOU ZAHRNUTY V TOMTO ODKAZU. POKUD NEMŮŽETE NAJÍT SOFTWAROVOU LICENCI NEBO OMEZENOU ZÁRUKU, KONTAKTUJTE VAŠEHO ZÁSTUPCE CISCO PRO KOPII.
Implementace komprese hlaviček TCP společnosti Cisco je adaptací programu vyvinutého Kalifornskou univerzitou v Berkeley (UCB) jako součást veřejné verze operačního systému UNIX společnosti UCB. Všechna práva vyhrazena. Copyright © 1981, Regents of the University of California.
BEZ OHLEDU NA JAKÉKOLI JINÉ ZÁRUKY ZDE, VŠECHNY DOKUMENTY FILES A SOFTWARE TĚCHTO DODAVATELŮ JSOU POSKYTOVÁNY „TAK JAK JSOU“ SE VŠEMI CHYBAMI. CISCO A VÝŠE JMENOVANÍ DODAVATELÉ ODMÍTÁ VŠECHNY ZÁRUKY, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ, VČETNĚ, BEZ OMEZENÍ, ZÁRUK OBCHODOVATELNOSTI, VHODNOSTI PRO KONKRÉTNÍ ÚČEL A NEPORUŠENÍ, USA NEBO VYPLÝVAJÍCÍ Z CENY OD NÁŠHO VÝROBKU.
V ŽÁDNÉM PŘÍPADĚ NEBUDE CISCO ANI JEJÍ DODAVATELÉ ODPOVĚDNÍ ZA JAKÉKOLI NEPŘÍMÉ, ZVLÁŠTNÍ, NÁSLEDNÉ NEBO NÁHODNÉ ŠKODY, VČETNĚ, BEZ OMEZENÍ, ZTRÁTY ZISKU NEBO ZTRÁTY NEBO POŠKOZENÍ DAT VZNIKLÝCH V RÁMCI EVROPSKÉHO POUŽÍVÁNÍ ENUIL MAIFOR CISCO NEBO JEJÍ DODAVATELÉ BYLI UPOZORNĚNI NA MOŽNOST TAKOVÝCH ŠKOD.
Žádné adresy a telefonní čísla internetového protokolu (IP) použité v tomto dokumentu nejsou zamýšleny jako skutečné adresy a telefonní čísla. Jakýkoli exampsoubory, výstup příkazového displeje, schémata topologie sítě a další obrázky zahrnuté v dokumentu jsou uvedeny pouze pro ilustrativní účely. Jakékoli použití skutečných IP adres nebo telefonních čísel v ilustrativním obsahu je neúmyslné a náhodné.
Všechny tištěné kopie a duplikáty tištěných kopií tohoto dokumentu jsou považovány za nekontrolované. Nejnovější verzi naleznete v aktuální online verzi.
Cisco má po celém světě více než 200 poboček. Adresy a telefonní čísla jsou uvedeny na Cisco webna adrese www.cisco.com/go/offices.
Cisco a logo Cisco jsou ochranné známky nebo registrované ochranné známky společnosti Cisco a/nebo jejích přidružených společností v USA a dalších zemích. Na view seznam ochranných známek Cisco, přejděte sem URL: https://www.cisco.com/c/en/us/about/legal/trademarks.html. Uvedené ochranné známky třetích stran jsou majetkem příslušných vlastníků. Použití slova partner neznamená partnerský vztah mezi společností Cisco a jakoukoli jinou společností. (1721R)
© 2017 Cisco Systems, Inc. Všechna práva vyhrazena.
OBSAH
PŘEDMLUVA KAPITOLA 1 KAPITOLA 2
KAPITOLA 3
Předmluva xiii Změny tohoto dokumentu xiii Komunikace, služby a další informace xiii
Nové a změněné funkce BNG 1 Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x 1
Brána širokopásmové sítě přesview 9 Pochopení architektury BNG 10 BNG 10 Role BNG v modelech sítě ISP 13 Balení BNG 14 Instalace a aktivace BNG Pie na směrovači Cisco ASR 9000 Series 14 Proces konfigurace BNG 15 Hardwarové požadavky pro BNG 16 BNG Interoperabilita 18 BNG Smart Licensing
Konfigurace funkcí autentizace, autorizace a účtování 21 Konfigurace funkcí autentizace, autorizace a účtování 22 AAA Overview 22 Používání skupiny serverů RADIUS 24 Konfigurace skupiny serverů RADIUS 24 Určení seznamu metod 26 Konfigurace seznamů metod pro AAA 26 Definování atributů AAA 28
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x iii
Obsah
Vytváření atributů konkrétního formátu 29 Konfigurace seznamu atributů RADIUS 34 Konfigurace formátu atributu RADIUS 36 Konfigurace atributu RADIUS Typ portu Nas 37 Konfigurace funkce formátu atributu AAA 38 Potlačení nepřiřazených atributů Nastavení serveru RADI 39 Provedení konfigurace serveru RADIUS40 Automatické nastavení serveru 41 RADI IP DSCP pro server RADIUS 45 Vyrovnávání zatížení transakcí na serveru RADIUS 46 Konfigurace vyrovnávání zatížení pro globální skupinu serverů RADIUS 47 Konfigurace vyrovnávání zatížení pro pojmenovanou skupinu serverů RADIUS 48 Omezení záznamů RADIUS 49 Konfigurace RADIUS omezení50 Globální konfigurace RADIUS Throtting skupiny RADIUS 51 RADIUS Změna oprávnění (CoA) Overview 54 Vícečinná změna oprávnění 56
Generování účetních záznamů 57 Vysoká dostupnost pro MA-CoA 58 Přample with Verification Commands 58 Omezení ve vícečinné změně autorizace 61 Autentizace a autorizace uživatele v místní síti 62 Konfigurace zásad pro relace IPoE 63 Konfigurace zásad pro relace PTA 66 Účtování služeb 67 Konfigurace účtování služeb 68 Infrastruktura statistiky 71 Konfigurace statistiky ID ) 71 Vysvětlení funkce Per-VRF AAA 72 Funkce RADIUS Double-Dip 72 RADIUS přes IPv6 73 Další odkazy 73
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x iv
Obsah
KAPITOLA 4 KAPITOLA 5
Aktivace zásad řízení 75 Zásady řízení u konceview 75 Vytvoření mapy tříd 77 Konfigurace mapy tříd 77 Vytvoření mapy zásad 78 Řízení událostí zásad 79 Konfigurace mapy zásad 80 Aktivace mapy zásad 82 Povolení zásady služeb na předplatitelském rozhraní 82 Definování dynamických šablon 83 Další odkazy 84
Založení předplatitelské relace 87 Předplatitelská relace skončilaview 88 Vytvoření relace IPoE 90 Povolení IPv4 nebo IPv6 na přístupovém rozhraní 92 Vytvoření dynamické šablony pro předplatitelskou relaci IPv4 nebo IPv6 93 Vytvoření mapy zásad pro spuštění během relace IPoE 96 Povolení předplatitelů IPoE na přístupovém rozhraní 97 Směrování předplatitelů100 DHCP102 Směrování104 DHCP6 Směrované relace odběratele 104 spouštěné pakety Směrované relace odběratele 6 Model nasazení pro směrovanou síť IPv105 106 Tok hovorů relace směrovaného odběratele IPv107 109 Omezení pro směrované relace odběratele 109 Konfigurace Směrování předplatitele ARP110 Výchozí předplatitel111 XNUMX Nepodmíněné proxy ARP Odpověď XNUMX Vytvoření PPPoE relace XNUMX Poskytování PPP PTA relace XNUMX Vytvoření PPPoE Profiles 111 Vytvoření dynamické šablony PPP 113 Vytvoření mapy zásad ke spuštění během relace PPPoE 114
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.xv
Obsah
Použití konfigurací PPPoE na přístupové rozhraní 116 Poskytování PPP LAC relace 118
Konfigurace šablony VPDN 119 Konfigurace maximálních současných relací VPDN 121 Aktivace protokolování VPDN 123 Konfigurace možností pro použití na ID volající stanice 124 Konfigurace příkazů ID relace L2TP 125 Konfigurace možností třídy L2TP 126 Konfigurace Softasse 129 pro 2 Softasse Koncentrátor Stavový Přepnutí 130 Vylepšení místního VPDN RADIUS 2 Výběr inteligentního serveru PPPoE 131 Konfigurace zpoždění PADO 134 Limit relace PPPoE, omezení a okno za letu 137 Limit relace PPPoE 138 Relace PPPoE Throttle PP139PoE Inf139 IPActive ment na předplatitele Rozhraní při spuštění IPv142 144 Vytvoření dynamické šablony pro povolení reklamy směrovače IPv6 na rozhraní odběratele IPv4 144 Provedení nastavení DHCP 6 Povolení DHCP proxy 4 Konfigurace DHCP IPv144 Profile Třída proxy 147 Konfigurace ID okruhu pro rozhraní 149 Konfigurace vzdáleného ID 150 Konfigurace doby zapůjčení klienta 151 Připojení Proxy Profile k rozhraní 152 Server DHCPv4 153 Povolení serveru DHCP 154 Konfigurace serveru DHCPv4 Profile 154 Určení limitu pronájmu DHCP 157 Určení limitu pronájmu pro ID okruhu 157 Určení limitu pronájmu pro vzdálené ID 158
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x vi
Určení limitu pronájmu pro rozhraní 160 Princip DHCP Option-82 161
Možnost 82 Relay Information Encapsulation 161 Konfigurace DHCPv4 Class of Service (CoS) 162 Odeslání rozšířených možností DHCP z RADIUS na DHCP Server 162
Konfigurace možnosti Rich DHCP na RADIUS VSA 165 Filtrování možnosti 60 DHCP 166
Konfigurace možnosti DHCP 60 Filtrování 167 DHCP RADIUS Proxy 168 Restart relace předplatitele 169 Omezovač MAC relace DHCP 169 Povolení pohybu pro jednoduché relace IP 170
Omezení pro jednoduchou IP Allow-Move 171 DHCP duplicitní relace MAC 171
DHCP duplicitní relace MAC s možností vyloučit VLAN 171 Konfigurace duplicitní relace MAC protokolu DHCP 173 DHCPv6 Overview 176 Server DHCPv6 a proxy DHCPv6 177 Povolení DHCPv6 pro různé režimy konfigurace 177 Nastavení parametrů DHCPv6 181 Výběr režimu DHCPv6 na základě třídy PPP 183 Funkce DHCPv6 183 Podpora vysoké dostupnosti pro DHCPv6 184 Předplatitelství DHCPv6 184 Podpora předpony DHCP6 Podpora IPvEP184 IPvE 6 Nejednoznačná podpora VLAN 192 Pool adres nebo předpon DHCPv198 6 Podpora DHCPv201 Dual-Stack Lite 6 Povědomí o VRF v DHCPv206 6 Možnosti DHCP Podpora pro režim proxy BNG DHCPv207 6 Konfigurovatelná možnost DHCPv209 6 17 Rychlé potvrzení 211 Zpracování paketů na předplatiteli
Obsah
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x vii
Obsah
KAPITOLA 6
IPv6 Neighbor Discovery 213 Odběratelé linkových karet 214
Externí interakce pro předplatitele LC 214 Výhody a omezení předplatitelů linkových karet 215 Vysoká dostupnost pro předplatitele linkových karet 215 Statické relace 216 Omezení pro statické relace 217 Omezení relací odběratele 217 BNG Šablony předplatitelů 218 Templates funkcí pro předplatitele 219NG Verifikace219 Předplatitele předplatitelských šablon BNG 220 eBGP přes PPPoE 220 BNG přes Pseudowire Headend 221 QoS na BNG Pseudowire Headend 221 Funkce podporované pro BNG přes Pseudowire Headend 222 Nepodporované funkce a omezení pro BNG Headend223HE Pseudowire Reference 223
Nasazení kvality služby (QoS) 227 Kvalita služeb překročenaview 227 Konfigurace zásad služby a použití nastavení odběratele prostřednictvím RADIUS 228 Konfigurace zásad služby a použití nastavení odběratele prostřednictvím dynamické šablony 230 Parametrizovaná QoS 233 Parametrizovaná syntaxe QoS 234 Konfigurace parametrizované zásady QoS prostřednictvím RADIUS 238 Úprava zásad služby QoS pomocí LineA. 241 Konfigurace parametrizované QoS jako automatické služby 243 Ověření konfigurace PQoS 243 Kontrola na základě RADIUS – Parametrizace tvarování QoS 246 Sample Konfigurace a případy použití pro parametrizaci QoS Shaper 248 Ověření konfigurací QoS Shaper parametrizace 249
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x viii
Obsah
KAPITOLA 7 KAPITOLA 8
Podporované scénáře parametrizace QoS Shaper 251 Omezení parametrizace QoS Shaper 251 QoS Accounting 252 Konfigurace QoS Accounting 253 Podpora pro sdílenou instanci zásad 255 Konfigurace zásady s SPI ve vstupním nebo výstupním směru pomocí dynamické šablony a vstupu nebo SPI v konfiguraci SPI Směr výstupu pomocí RADIUS 256 Slučování map zásad QoS 259 Povolení sloučení map zásad 261 Funkce QoS podporované na BNG 262 Zásady VLAN na přístupovém rozhraní 266 Konfigurace zásad na S-VLAN 270 Konfigurace zásad VLAN na přístupovém rozhraní 271 Podpora více tříd pro Ingress pro předplatitele 272 Skupinové tvarování prarodičů 274 Další reference 275
Konfigurace funkcí předplatitele 277
BNG Geo Redundancy 353 Geo Redundance Overview 354 Subscriber Redundancy Group (SRG) 355 Distribuce relací napříč SRG 356 Výhody BNG Geo Redundancy 358 Podporované funkce v BNG Geo Redundancy 359 BNG Geo Redundance Pokyny pro konfiguraci 360 Nastavení BNG Subscriber Redundancy Group 362 Geografická redundance pomocí skupiny Se Securities 363 Konfigurace a ověření redundance relací pro klienty DHCPv6 365 Správa skupin redundance relací 372 Konfigurace a ověření redundance relací pro klienty IPv6 ND 373 Geo redundance pro relace PPPoE 380 Ověření relací PPPoE-LAC pro přepnutí relací PPPoE-LAC pro přepnutí relací GeoPP381 Redundance 381 GeoXNUMX
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x ix
Obsah
KAPITOLA 9 PŘÍLOHA A
BNG Geo Redundancy s Satellite 383 Konfigurace BNG Geo Redundancy s Cisco NCS 5000 Series nV Satellite 384
Funkce geografické redundance 385 Peer Route Deaktivovat 385 Aktivně aktivní relace Podpora geografické redundance 386 Řídicí trasa stavu pro geografickou redundanci 387 Konfigurovat státní řídicí trasu pro geografickou redundanci 388 Redundance odběratele Skupina reverzní časovač 389 Redundance odběratele Pevné zjišťování k Neighborovi IP-6 IP-389 -peer Traffic Flow s BNG Geo Redundancy 390 Účetní spouštěcí příčina pro Geo Redundancy 391
Modely nasazení pro BNG Geo Redundancy 391
DIAMETER Podpora v BNG 393 DIAMETER Overview 393 DIAMETER rozhraní v BNG 394 Podporované DIAMETER Base Messages 395 DIAMETER NASREQ Application 396 DIAMETER Accounting 398 DIAMETER Gx and Gy aplikace 398 DIAMETER DCCA Application 400 BNG DIAMETER Call Flow 400 Support Infigures and Restrictions NG 401 Konfigurace AAA pro DIAMETER Peer v BNG 402 Ověření konfigurací DIAMETER v BNG 407 BNG DIAMETER-Geo Redundancy Interworking 410 BNG DIAMETER-Geo Redundancy Call Flow 415 Verify BNG DIAMETER-Geo Redundancy 416 Další reference 419
Podpora XML pro funkce BNG 425 Podpora AAA XML 425 Podpora DHCP XML 428
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.xx
PŘÍLOHA B
PŘÍLOHA C PŘÍLOHA D
Zásady řízení Podpora XML 431 Podpora XML DAPS 434 Podpora PPPoE XML 435 Podpora XML předplatitelské databáze 437
Atributy RADIUS 443 RADIUS Atributy IETF 443 IETF Tagged Atributy na LAC 445 RADIUS Atributy specifické pro dodavatele 446 Atributy specifické pro dodavatele pro operace účtu 451 Atributy RADIUS ADSL 451 Atributy RADIUS ASCEND 452 RADIUS Atributy Microsoft 452 RADIUS Disconnect-Cause Attributes
Obslužné nástroje akcí 459
Případy použití BNG a SampKonfigurace 461 BNG přes Pseudowire Headend 461 Sample Topologie pro BNG přes Pseudowire Headend 461 Modely nasazení pro předplatitele na Pseudowire Headend 462 Rezidentní předplatitelé na Pseudowire Headend 462 Rezidentní a obchodní odběratelé na Pseudowire Headend 463 Konfigurace a ověření BNG přes Pseudowire464ample Konfigurace pro BNG přes Pseudowire Headend 466 Dual-Stack Subscriber Sessions 468 Přidělování IP adresy pro klienty 468 SampAdresování a konfigurace IPv6 469 Mapování adres IPv6 469 Konfigurace CPE 469 Konfigurace serveru DHCPv6 470 Provoz a tok volání relací s dvěma zásobníky 470 Tok obecných volání relací s dvěma zásobníky 470 Podrobné toky volání – PPPoE duální zásobník 471
Obsah
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x xi
Obsah
PŘÍLOHA E
Podrobné toky hovorů – IPoE Dual-Stack 473 Sample Topologie pro Dual-Stack 474
Konfigurace Přampsoubory pro Dual-Stack 474 Ověřovací kroky pro Dual-Stack 477 eBGP přes PPPoE 477 Sample Topologie pro eBGP přes PPPoE 477 Konfigurace a ověření eBGP přes PPPoE 478 Sample Konfigurace pro eBGP přes PPPoE 480 Směrované relace předplatitele 486 Topologie nasazení směrovaného předplatitele a případy použití 486 Sample Konfigurace pro relaci směrovaného odběratele 487 Ověření konfigurací relace směrovaného odběratele 489
Atributy DIAMETER 497 BNG DIAMETER Gx Application AVPs 497 BNG DIAMETER Gy Application AVPs 499 BNG DIAMETER NASREQ Application Cisco AVPs 500 DIAMETER Accounting AVP 503 DIAMETER Session-Id AVP 504 RADIUS Atribus RADIUS505AMETERample Pakety pro zprávy BNG DIAMETER 506
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x xii
Předmluva
Poznámka Tento produkt dosáhl stavu konce životnosti. Další informace naleznete v části Oznámení o ukončení životnosti a ukončení prodeje.
Od verze 6.1.2 dále Cisco zavádí podporu pro 64bitový operační systém IOS XR založený na Linuxu. Mezi 32bitovým a 64bitovým prostředím je zachována rozsáhlá parita funkcí. Pokud není výslovně uvedeno jinak, obsah tohoto dokumentu platí pro obě prostředí. Další podrobnosti o 64bitové verzi Cisco IOS XR naleznete v dokumentu Release Notes for Cisco ASR 9000 Series Routers, Release 6.1.2.
Tato předmluva obsahuje tyto části:
· Změny tohoto dokumentu, na straně xiii · Komunikace, služby a další informace, na straně xiii
Změny tohoto dokumentu
Datum březen 2017 červenec 2017
Shrnutí První vydání tohoto dokumentu. Znovu publikováno pro vydání 6.2.2.
Komunikace, služby a další informace
· Chcete-li od společnosti Cisco dostávat včasné relevantní informace, zaregistrujte se u Cisco Profile Manažer. · Chcete-li dosáhnout požadovaného obchodního dopadu pomocí technologií, na kterých záleží, navštivte Cisco Services. · Chcete-li odeslat požadavek na službu, navštivte podporu Cisco. · Chcete-li objevit a procházet zabezpečené, ověřené aplikace, produkty, řešení a služby podnikové třídy, navštivte
Cisco Marketplace. · Chcete-li získat obecné síťové, školicí a certifikační tituly, navštivte Cisco Press. · Chcete-li najít informace o záruce pro konkrétní produkt nebo rodinu produktů, přejděte do Cisco Warranty Finder.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x xiii
Předmluva
Předmluva
Cisco Bug Search Tool Cisco Bug Search Tool (BST) je a web-založený nástroj, který funguje jako brána do systému Cisco bug tracking, který udržuje komplexní seznam defektů a zranitelností v produktech a softwaru Cisco. BST vám poskytuje podrobné informace o závadách vašich produktů a softwaru.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x xiv
1 KAPITOLA
Nové a změněné funkce BNG
Tato tabulka shrnuje nové a změněné informace o funkcích pro směrovač Cisco ASR 9000 Series Aggregation Services Router Průvodce konfigurací brány širokopásmové sítě a uvádí, kde jsou zdokumentovány.
· Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x, na straně 1
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Funkce
Popis
Podpora BNG na Cisco Tato funkce byla představena ASR 9000 Series 24-Port. a 48portové dvourychlostní 10GE/1GE linkové karty
BNG Geo Redundancy Tato funkce byla
se satelitem
představil.
Změněno ve verzi 6.2.2
Vydání 6.2.2
Kde zdokumentováno
Brána širokopásmové sítě přesview kapitola:
Brána širokopásmové sítě přesview, na straně 9
Kapitola BNG Geo Redundancy:
BNG Geo Redundancy with Satellite, na straně 383
Příkazy naleznete v kapitole Příkazy pro předplatitele a redundanci relace v Cisco ASR 9000 Series Aggregation Services Router Širokopásmová síťová brána Příkaz příkazů.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 1
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Nové a změněné funkce BNG
Funkce
Konfigurovatelná možnost DHCPv6 17
Popis
Tato funkce byla zavedena.
Nepodmíněné proxy ARP Tato funkce byla
Odpověď
představil.
Změněno ve verzi 6.2.1
Vydání 6.2.1
Kde zdokumentováno
Kapitola Zakládání předplatitelských relací:
Konfigurovatelná možnost DHCPv6 17, na stránce 211
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy BNG DHCP v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Kapitola Zakládání předplatitelských relací:
Bezpodmínečná odpověď proxy ARP, na straně 109
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy redundance předplatitele a relace v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 2
Nové a změněné funkce BNG
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Funkce
Popis
Změněno ve vydání
IGMP QoS korelace pro IPoE předplatitele
Funkce IGMP QoS Correlation byla rozšířena na předplatitele IPoE.
Vydání 6.2.1
Migrace měkkého fondu DHCP
Tato funkce byla zavedena.
Vydání 6.2.1
SNMP zákonné zachycení Tato funkce byla
Použití Circuit-Id
představil.
Vydání 6.2.1
Kde zdokumentováno
Kapitola Konfigurace předplatitelských funkcí:
Korelace IGMP QoS pro předplatitele IPoE, na straně 316
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy redundance předplatitele a relace v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Kapitola Zakládání předplatitelských relací:
Migrace měkkého fondu DHCP, na stránce 204
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy služeb fondu adres v směrovači Cisco ASR 9000 Series Aggregation Services Router Příkazy brány širokopásmové sítě.
Kapitola Konfigurace předplatitelských funkcí:
SNMP zákonné zachycení pomocí Circuit-Id, na straně 295
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 3
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Nové a změněné funkce BNG
Funkce
Popis
Podpora více tříd pro Ingress Policing pro předplatitele
Tato funkce byla zavedena.
Řízení předplatitelských tarifů pomocí voleb protokolu
Tato funkce byla zavedena.
Změněno ve verzi 6.2.1
Vydání 6.2.1
Kde zdokumentováno
Kapitola Nasazení kvality služby (QoS):
Podpora více tříd pro Ingress Policing pro předplatitele, na straně 274
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy QoS v Cisco ASR 9000 Series Aggregation Services Router Příkazová příručka širokopásmové síťové brány.
Kapitola Konfigurace předplatitelských funkcí:
Řízení předplatitelských plánů pomocí voleb protokolu, na straně 350
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy redundance předplatitelů a relací a Příkazy zásad řízení v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 4
Nové a změněné funkce BNG
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Funkce
Nový formát MAC adresy pro atribut uživatelského jména RADIUS
Popis
Změněno ve vydání
Byl zaveden nový formát MAC adresy Release 6.2.1 pro atribut uživatelského jména RADIUS.
Skupinové tvarování prarodičů
Tato funkce byla zavedena.
Vydání 6.2.1
Kde zdokumentováno
Kapitola Konfigurace autentizace, autorizace a účtování:
Vytváření atributů určitého formátu, na straně 29
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy BNG AAA v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Kapitola Nasazení kvality služby (QoS):
Skupinové tvarování prarodičů, na straně 275
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy QoS v Cisco ASR 9000 Series Aggregation Services Router Příkazová příručka širokopásmové síťové brány.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 5
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Nové a změněné funkce BNG
Funkce
Popis
Třída PPP DHCPv6 Tato funkce byla
Výběr režimu
představil.
Globální PPPoE BBA-Group
Tato funkce byla zavedena.
Změněno ve verzi 6.2.1
Vydání 6.2.1
Kde zdokumentováno
Kapitola Zakládání předplatitelských relací:
Výběr režimu DHCPv6 na základě třídy PPP, na stránce 183
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy BNG DHCP v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Kapitola Zakládání předplatitelských relací:
Limit relací PPPoE, na straně 139
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy PPPoE v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 6
Nové a změněné funkce BNG
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Funkce
Popis
Geo Redundance pomocí SERG pro klienty IPv6 ND
Tato funkce byla zavedena.
Geo Redundance pomocí SERG pro klienty DHCPv6
Tato funkce byla zavedena.
Místní VPDN pro LAC Tato funkce byla zavedena.
Změněno ve verzi 6.2.1
Vydání 6.2.1
Vydání 6.2.1
Kde zdokumentováno
Kapitola BNG Geo Redundancy:
Konfigurace a ověření redundance relace pro klienty IPv6 ND, na straně 373
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy redundance předplatitele a relace v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Kapitola BNG Geo Redundancy:
Konfigurace a ověření redundance relace pro klienty DHCPv6, na straně 365
Informace o příkazech souvisejících s touto funkcí naleznete v kapitole Příkazy redundance předplatitele a relace v směrovači Cisco ASR 9000 Series Aggregation Services Router Broadband Network Gateway Command Reference.
Kapitola Zakládání předplatitelských relací:
Místní VPDN RADIUS Enhancement, na stránce 134
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 7
Funkce BNG přidané nebo upravené v IOS XR Release 6.2.x
Nové a změněné funkce BNG
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 8
2 KAPITOLA
Brána širokopásmové sítě přesview
Tato kapitola poskytuje konecview funkce Broadband Network Gateway (BNG) implementované na routeru Cisco ASR 9000 Series.
Tabulka 1: Historie funkcí pro bránu širokopásmové sítě Overview
Vydání Vydání 4.2.0 Vydání 5.3.3 Vydání 6.1.2
Modifikace Počáteční vydání BNG. Byla přidána podpora RSP-880. Přidána podpora BNG pro tento hardware:
· A9K-8X100G-LB-SE · A9K-8X100GE-SE · A9K-4X100GE-SE · A9K-MOD200-SE · A9K-MOD400-SE · A9K-MPA-1x100GE · A9K-MPA-2x100MPAGE- A9K20
Vydání 6.1.2 Vydání 6.1.2 Vydání 6.2.2 Vydání 6.2.2
Přidána podpora BNG pro použití směrovače Cisco NCS řady 5000 jako satelitu.
Přidána funkce inteligentního licencování BNG.
Přidána podpora pro BNG Geo Redundancy přes satelit Cisco NCS 5000 Series Router.
Přidána podpora BNG pro následující hardware: · A9K-48X10GE-1G-SE · A9K-24X10GE-1G-SE
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 9
Porozumění BNG
Brána širokopásmové sítě přesview
· Porozumění BNG, na straně 10 · Architektura BNG, na straně 10 · Role BNG v modelech sítě ISP, na straně 13 · Balení BNG, na straně 14 · Proces konfigurace BNG, na straně 15 · Hardwarové požadavky pro BNG, na straně 16 · Interoperabilita BNG, na straně 18 · BNG Smart Licensing, na straně 19
Porozumění BNG
Brána širokopásmové sítě (BNG) je přístupový bod pro předplatitele, přes který se připojují k širokopásmové síti. Když je navázáno spojení mezi BNG a Customer Premise Equipment (CPE), účastník může přistupovat k širokopásmovým službám poskytovaným poskytovatelem síťových služeb (NSP) nebo poskytovatelem internetových služeb (ISP). BNG zakládá a spravuje předplatitelské relace. Když je relace aktivní, BNG agreguje provoz z různých předplatitelských relací z přístupové sítě a směruje jej do sítě poskytovatele služeb. BNG je nasazeno poskytovatelem služeb a je přítomno v prvním agregačním bodě v síti, jako je okrajový směrovač. Edge router, jako je Cisco ASR 9000 Series Router, musí být nakonfigurován tak, aby fungoval jako BNG. Protože se předplatitel připojuje přímo k okrajovému směrovači, BNG efektivně spravuje přístup předplatitele a funkce správy předplatitelů, jako jsou:
· Autentizace, autorizace a účtování účastnických relací
· Přiřazení adresy
· Bezpečnostní
· Řízení politiky
· Kvalita služeb (QoS)
Některé výhody používání BNG jsou: · Směrovač BNG neprovádí pouze funkci směrování, ale také komunikuje s autentizačním, autorizačním a účetním (AAA) serverem za účelem správy relace a funkcí účtování. Díky tomu je řešení BNG komplexnější.
· Různým účastníkům mohou být poskytovány různé síťové služby. To umožňuje poskytovateli služeb přizpůsobit širokopásmový balíček pro každého zákazníka na základě jeho potřeb.
Architektura BNG
Cílem architektury BNG je umožnit směrovači BNG komunikovat s periferními zařízeními (jako CPE) a servery (jako AAA a DHCP), aby bylo možné poskytovat širokopásmové připojení předplatitelům a spravovat předplatitelské relace. Základní architektura BNG je znázorněna na tomto obrázku.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 10
Brána širokopásmové sítě přesview Obrázek 1: Architektura BNG
Architektura BNG
Architektura BNG je navržena tak, aby vykonávala tyto úkoly: · Spojení se zařízením CPE (Customer Premise Equipment), které potřebuje obsluhovat širokopásmové služby. · Navázání účastnických relací pomocí protokolů IPoE nebo PPPoE. · Interakce se serverem AAA, který ověřuje předplatitele a udržuje účet předplatitelských relací. · Interakce se serverem DHCP za účelem poskytování IP adresy klientům. · Inzerce předplatitelských tras.
Pět úkolů BNG je stručně vysvětleno v následujících částech.
Spojení s CPE BNG se připojí k CPE přes multiplexer a domácí bránu (HG). CPE představuje službu triple play v telekomunikacích, jmenovitě hlas (telefon), video (set top box) a data (PC). Jednotlivá účastnická zařízení se připojují k HG. V tomto example se předplatitel připojí k síti prostřednictvím připojení DSL (Digital Subscriber Line). Proto se HG připojuje k DSL Access Multiplexer (DSLAM). Více HG se může připojit k jednomu DSLAM, který posílá agregovaný provoz do BNG routeru. Směrovač BNG směruje provoz mezi širokopásmovými zařízeními pro vzdálený přístup (jako je DSLAM nebo Ethernet Aggregation Switch) a sítí poskytovatele služeb.
Zakládání předplatitelských relací Každý předplatitel (nebo konkrétněji aplikace běžící na CPE) se připojuje k síti pomocí logické relace. Na základě použitého protokolu jsou relace předplatitelů rozděleny do dvou typů:
· Předplatitelská relace PPPoE – Předplatitelská relace PPP přes Ethernet (PPPoE) je vytvořena pomocí protokolu PPP (point-to-point), který běží mezi CPE a BNG.
· IPoE účastnická relace – IP přes Ethernet (IPoE) účastnická relace je vytvořena pomocí IP protokolu, který běží mezi CPE a BNG; IP adresování se provádí pomocí protokolu DHCP.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 11
Architektura BNG
Brána širokopásmové sítě přesview
Interakce se serverem RADIUS
BNG se spoléhá na externí server Remote Authentication Dial-In User Service (RADIUS), který poskytuje funkce ověřování, autorizace a účtování (AAA) předplatitele. Během procesu AAA používá BNG RADIUS k:
· ověřit předplatitele před vytvořením předplatitelské relace
· povolit předplatiteli přístup ke konkrétním síťovým službám nebo zdrojům
· sledovat využití širokopásmových služeb pro účetnictví nebo fakturaci
Server RADIUS obsahuje kompletní databázi všech předplatitelů poskytovatele služeb a poskytuje aktualizace údajů o předplatitelích BNG ve formě atributů v rámci zpráv RADIUS. Na druhé straně BNG poskytuje serveru RADIUS informace o využití relace (účetnictví). Další informace o atributech RADIUS najdete v části Atributy RADIUS, na stránce 443.
BNG podporuje připojení s více než jedním serverem RADIUS, aby byla zajištěna redundance při selhání v procesu AAA. NapřampPokud je RADIUS server A aktivní, pak BNG přesměruje všechny zprávy na RADIUS server A. Pokud dojde ke ztrátě komunikace s RADIUS serverem A, BNG přesměruje všechny zprávy na RADIUS server B.
Během interakcí mezi servery BNG a RADIUS provádí BNG vyrovnávání zátěže způsobem cyklicky. Během procesu vyrovnávání zátěže odesílá BNG požadavky na zpracování AAA na server RADIUS A pouze v případě, že má šířku pásma pro provedení zpracování. V opačném případě je požadavek odeslán na server RADIUS B.
Interakce se serverem DHCP
BNG spoléhá na externí server Dynamic Host Configuration Protocol (DHCP) pro přidělování adres a funkce konfigurace klienta. BNG se může připojit k více než jednomu serveru DHCP, aby byla zajištěna redundance při selhání v procesu adresování. Server DHCP obsahuje fond IP adres, ze kterého přiděluje adresy CPE.
Během interakce mezi BNG a DHCP serverem se BNG chová jako DHCP relay nebo DHCP proxy.
Jako přenos DHCP přijímá BNG vysílání DHCP z klientského CPE a předává požadavek na server DHCP.
Jako proxy server DHCP BNG sám udržuje fond adres tím, že jej získává ze serveru DHCP, a také spravuje pronájem IP adresy. BNG komunikuje na vrstvě 2 s klientskou domovskou bránou a na vrstvě 3 se serverem DHCP.
DSLAM upravuje DHCP pakety vložením identifikačních informací předplatitele. BNG používá identifikační informace vložené DSLAM, stejně jako adresu přidělenou DHCP serverem, k identifikaci předplatitele v síti a sledování zapůjčení IP adresy.
Inzertní předplatitelské trasy
Pro optimální výkon v návrhových řešeních, kde Border Gateway Protocol (BGP) inzeruje předplatitelské trasy, BNG inzeruje celou podsíť určenou předplatitelům pomocí síťového příkazu v konfiguraci BGP.
BNG přerozděluje jednotlivé předplatitelské trasy pouze ve scénářích, kdy server Radius přiděluje IP adresu předplatiteli a neexistuje způsob, jak zjistit, ke kterému BNG se daný konkrétní předplatitel připojí.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 12
Brána širokopásmové sítě přesview
Role BNG v modelech sítě ISP
Role BNG v modelech sítě ISP
Úlohou BNG je předávat provoz od účastníka k ISP. Způsob, jakým se BNG připojuje k ISP, závisí na modelu sítě, ve které je přítomen. Existují dva typy síťových modelů:
· Poskytovatel síťových služeb, na straně 13 · Poskytovatel přístupové sítě, na straně 13
Poskytovatel síťových služeb Následující obrázek ukazuje topologii modelu poskytovatele síťových služeb.
Obrázek 2: Model poskytovatele síťových služeb
V modelu poskytovatele síťových služeb poskytuje širokopásmové připojení předplatiteli přímo ISP (také nazývaný maloobchodník). Jak je znázorněno na obrázku výše, BNG je na okrajovém směrovači a jeho úlohou je připojit se k hlavní síti prostřednictvím uplinků.
Poskytovatel přístupové sítě Následující obrázek ukazuje topologii modelu poskytovatele přístupové sítě.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 13
BNG Packaging Obrázek 3: Model poskytovatele přístupové sítě
Brána širokopásmové sítě přesview
V modelu poskytovatele přístupové sítě vlastní síťový operátor (nazývaný také velkoobchodník) infrastrukturu okrajové sítě a poskytuje předplatiteli širokopásmové připojení. Síťový operátor však širokopásmovou síť nevlastní. Místo toho se síťový operátor připojí k jednomu z ISP, který spravuje širokopásmovou síť.
BNG je implementován síťovým operátorem a jeho úlohou je předat účastnický provoz jednomu z několika ISP. Úloha předání od operátora k ISP je realizována protokolem Layer 2 Tunneling Protocol (L2TP) nebo Layer 3 Virtual Private Networking (VPN). L2TP vyžaduje dvě odlišné síťové komponenty:
· L2TP Access Concentrator (LAC) – LAC poskytuje BNG.
· L2TP Network Server (LNS) – LNS poskytuje ISP.
Balení BNG
Koláč BNG, asr9k-bng-px.pie lze nainstalovat a aktivovat na směrovači Cisco ASR 9000 Series pro přístup k funkcím BNG. Operace instalace, odinstalace, aktivace a deaktivace lze provádět bez restartování routeru.
Před odinstalováním nebo deaktivací koláče BNG se doporučuje odstranit příslušné konfigurace BNG z běžící konfigurace routeru.
Instalace a aktivace BNG Pie na routeru Cisco ASR 9000 Series
Chcete-li nainstalovat a aktivovat koláč BNG na směrovači Cisco ASR 9000 Series, proveďte tento úkol:
SOUHRNNÉ KROKY
1. admin 2. nainstalovat add {pie_location | zdroj | dehet}
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 14
Brána širokopásmové sítě přesview
Proces konfigurace BNG
3. nainstalovat aktivovat {pie_name | id}
PODROBNÉ KROKY
Krok 1
Správce příkazů nebo akcí Přampten:
Účel Vstoupí do režimu správy.
Krok 2
RP/0/RSP0/CPU0: router# admin
nainstalovat přidat {pie_location | zdroj | dehet} Přampten:
Nainstaluje koláč z umístění tftp do směrovače Cisco ASR 9000 Series.
Krok 3
RP/0/RSP0/CPU0:router(admin)# nainstalovat přidat tftp://223.255.254.254/softdir/asr9k-bng-px.pie
nainstalovat aktivovat {pie_name | id} Přampten:
Aktivuje nainstalovaný koláč na směrovači Cisco ASR 9000 Series Router.
RP/0/RSP0/CPU0:router(admin)# instalace aktivovat asr9k-bng-px.pie
Co dělat dál
Poznámka Během upgradu z verze 4.2.1 na verzi 4.3.0 se doporučuje nainstalovat základní obrazový koláč Cisco ASR 9000 (asr9k-mini-px.pie) před instalací koláče BNG (asr9k-bng-px.pie ).
Po instalaci koláče BNG musíte zkopírovat konfigurace související s BNG z umístění flash nebo tftp do směrovače. Pokud je koláč BNG deaktivován a znovu aktivován, načtěte odstraněné konfigurace BNG provedením příkazu načíst konfiguraci odstraněna z konfiguračního terminálu.
Poznámka Většina konfigurací funkcí BNG je přesunuta do nového oddílu jmenného prostoru, a proto funkce BNG nejsou nyní standardně dostupné. Chcete-li se vyhnout nekonzistentním konfiguracím BNG před nebo po instalaci koláče BNG, spusťte příkaz clear configuration inconsistency v režimu EXEC.
Proces konfigurace BNG
Konfigurace BNG na směrovači Cisco ASR 9000 Series zahrnuje tyto stages: · Konfigurace serveru RADIUS – BNG je nakonfigurováno pro interakci se serverem RADIUS pro funkce ověřování, autorizace a účtování. Podrobnosti najdete v části Konfigurace funkcí ověřování, autorizace a účtování, na straně 21.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 15
Hardwarové požadavky pro BNG
Brána širokopásmové sítě přesview
· Aktivace zásad kontroly – zásady kontroly jsou aktivovány, aby určily akci, kterou BNG provede, když nastanou určité události. Pokyny pro akci jsou uvedeny v mapě zásad. Podrobnosti najdete v části Aktivace zásad kontroly, na straně 75.
· Zřizování předplatitelských relací – Provádí se konfigurace pro nastavení jedné nebo více logických relací od předplatitele k síti pro přístup k širokopásmovým službám. Každá relace je jedinečně sledována a spravována. Podrobnosti naleznete v části Vytvoření předplatitelských relací, na straně 87.
· Nasazení QoS – Quality of Service (QoS) je nasazeno pro zajištění kontroly nad různými síťovými aplikacemi a typy provozu. NapřampPoskytovatel služeb může mít kontrolu nad zdroji (napřample bandwidth) přidělené každému předplatiteli, poskytovat přizpůsobené služby a upřednostňovat provoz patřící kritickým aplikacím. Podrobnosti najdete v části Nasazení kvality služeb (QoS), na straně 227.
· Konfigurace funkcí předplatitele – Konfigurace se provádí za účelem aktivace určitých funkcí předplatitele, které poskytují další možnosti, jako je směrování založené na zásadách, řízení přístupu pomocí přístupových seznamů a přístupových skupin a služby vícesměrového vysílání. Podrobnosti najdete v části Konfigurace funkcí předplatitele, na straně 277.
· Ověřování zřízení relace – Zavedené relace jsou ověřovány a monitorovány, aby bylo zajištěno, že připojení jsou vždy dostupná pro použití. Ověření se primárně provádí pomocí příkazů „show“. Seznam různých příkazů „show“ naleznete v referenční příručce příkazů brány Cisco ASR 9000 Series Aggregation Services Router.
Chcete-li použít příkaz BNG, musíte být ve skupině uživatelů přidružené ke skupině úloh, která obsahuje správná ID úloh. Referenční příručka příkazů Cisco ASR 9000 Series Aggregation Services Router pro širokopásmovou síťovou bránu obsahuje ID úloh požadovaná pro každý příkaz. Pokud máte podezření, že vám přiřazení skupiny uživatelů brání v použití příkazu, požádejte o pomoc správce AAA.
Omezení
Když je nakonfigurováno BNG, musí být deaktivováno výběrové stahování VRF (SVD). Další informace o SVD naleznete v příručce Cisco IOS XR Routing Configuration Guide pro směrovač Cisco XR 12000 Series.
Hardwarové požadavky pro BNG
Tyto hardware podporují BNG: · Systém Satellite Network Virtualization (nV). · Procesory pro přepínání směrování, RSP-440, RSP-880 a RSP-880-LT-SE. · Procesor trasy, A99-RP-SE, A99-RP2-SE, na šasi Cisco ASR 9912 a Cisco ASR 9922. · Níže uvedená tabulka uvádí linkové karty a modulární adaptéry portů, které podporují BNG.
Tabulka 2: Linkové karty a modulární adaptéry portů podporované na BNG
Popis produktu
24portová 10gigabitová ethernetová linková karta, optimalizována pro servisní okraj
36portová 10gigabitová ethernetová linková karta, optimalizována pro servisní okraj
Číslo dílu A9K-24X10GE-SE
A9K-36X10GE-SE
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 16
Brána širokopásmové sítě přesview
Hardwarové požadavky pro BNG
Popis produktu
Číslo dílu
40portová Gigabit Ethernet Line Card, Service Edge A9K-40GE-SE Optimalizováno
4portový 10gigabitový Ethernet, 16portový gigabitový
A9K-4T16GE-SE
Ethernetová linková karta, 40G Service Edge Optimized
Cisco ASR 9000 High Density 100GE Ethernet A9K-8X100G-LB-SE
řádkové karty:
A9K-8x100GE-SE
· Cisco ASR 9000 8portová 100GE „LAN-only“ Service Edge Optimized Line Card, vyžaduje
A9K-4x100GE-SE
Optika CPAK
· Cisco ASR 9000 8portová 100GE “LAN/WAN/OTN” Service Edge Optimized Line Card, vyžaduje optiku CPAK
· Cisco ASR 9000 4portová 100GE “LAN/WAN/OTN” Service Edge Optimized Line Card, vyžaduje optiku CPAK
Cisco ASR 9000 Series 24portové dvourychlostní servisní 10GE/1GE okrajově optimalizované linkové karty
A9K-24X10-1GE-SE
Cisco ASR 9000 Series 48portové dvourychlostní servisní 10GE/1GE okrajově optimalizované linkové karty
A9K-48X10-1GE-SE
80gigabajtová modulární linková karta, Service Edge A9K-MOD80-SE Optimalizováno
160gigabajtová modulární linková karta, Service Edge A9K-MOD160-SE Optimalizováno
20portový adaptér Gigabit Ethernet Modular Port A9K-MPA-20GE (MPA)
ASR 9000 200G Modular Line Card, Service Edge A9K-MOD200-SE Optimalizováno, vyžaduje modulární adaptéry portů
ASR 9000 400G Modular Line Card, Service Edge A9K-MOD400-SE Optimalizováno, vyžaduje modulární adaptéry portů
2portový 10gigabitový ethernetový modulární portový adaptér A9K-MPA-2X10GE (MPA)
4portový 10gigabitový ethernetový modulární portový adaptér A9K-MPA-4X10GE (MPA)
ASR 9000 20portový 10gigabitový ethernetový modulární adaptér portu A9K-MPA-20x10GE, vyžaduje optiku SFP+
2portový 40gigabitový ethernetový modulární portový adaptér A9K-MPA-2X40GE (MPA)
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 17
Interoperabilita BNG
Brána širokopásmové sítě přesview
Popis produktu
Číslo dílu
1portový 40gigabitový ethernetový modulární portový adaptér A9K-MPA-1X40GE (MPA)
ASR 9000 1portový 100gigabitový ethernetový modulární adaptér portu A9K-MPA-1x100GE, vyžaduje optiku CFP2-ER4 nebo CPAK
ASR 9000 2portový 100gigabitový ethernetový modulární adaptér portu A9K-MPA-2x100GE, vyžaduje optiku CFP2-ER4 nebo CPAK
Interoperabilita BNG
Interoperabilita BNG umožňuje BNG vyměňovat si a používat informace s jinými většími heterogenními sítěmi. Toto jsou klíčové vlastnosti:
· BNG koexistuje s ASR9001:
ASR9001 je samostatný router s vysokou schopností zpracování, který se skládá z procesoru pro přepínání trasy (RSP), linecard (LC) a ethernetových zástrček (EP). Všechny funkce BNG jsou plně podporovány na šasi ASR9001.
· BNG podporuje nV Satellite:
Jediná topologie, která je podporována u BNG-nV Satellite, jsou – sdružené ethernetové porty na straně CPE uzlu Satellite připojené k Cisco ASR 9000 prostřednictvím konfigurace bez svazků (statické připínání). to znamená,
CPE — Bundle — [Satelitní] — Non Bundle ICL — ASR9K
Přestože je na Satellite nV System podporována následující topologie (od Cisco IOS XR Software Release 5.3.2 výše), není podporována na BNG:
· Připojené ethernetové porty na straně CPE satelitního uzlu, připojené k Cisco ASR 9000 prostřednictvím ethernetového připojení.
Od verze softwaru Cisco IOS XR verze 6.1.2 a novější podporuje BNG použití směrovače Cisco NCS řady 5000 jako satelitu.
Od verze softwaru Cisco IOS XR verze 6.2.2 a novější je funkce georedundance BNG podporována na 32bitovém operačním systému Cisco IOS XR se satelitem Cisco NCS 5000 Series. Zatímco totéž zůstává nepodporováno pro satelit Cisco ASR 9000v. Podrobnosti naleznete v kapitole BNG Geo Redundancy v příručce Cisco ASR 9000 Series Aggregation Services Router Širokopásmová síťová brána Configuration Guide.
Podrobnosti o konfiguraci nV Satellite naleznete zde v Průvodci konfigurací systému nV pro směrovače Cisco ASR 9000 Series.
· BNG spolupracuje s Carrier Grade NAT (CGN):
K řešení hrozící hrozby z vyčerpání adresního prostoru IPv4 se doporučuje sdílet zbývající nebo dostupné adresy IPv4 mezi větším počtem zákazníků. To se provádí pomocí CGN, které primárně stahuje přidělování adres na centralizovanější NAT v síti poskytovatele služeb. NAT44 je technologie, která využívá CGN a pomáhá řídit problémy s vyčerpáním adresního prostoru IPv4. BNG podporuje schopnost provádět překlad NAT44 na předplatitelských relacích BNG založených na IPoE a PPPoE.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 18
Brána širokopásmové sítě přesview
Inteligentní licencování BNG
Poznámka Pro interoperabilitu BNG a CGN nakonfigurujte rozhraní BNG a virtuální rozhraní aplikační služby (SVI) na stejné instanci VRF.
Omezení · Pro rozhraní BNG přes přístupová rozhraní Satellite nV System je podporován pouze svazkový přístup s nebalíčkovými ICL.
Inteligentní licencování BNG
BNG podporuje Cisco Smart Software Licensing, který poskytuje zákazníkům zjednodušený způsob nákupu licencí a jejich správu v rámci jejich sítě. To poskytuje přizpůsobitelný model založený na spotřebě, který je v souladu s růstem sítě zákazníka. Poskytuje také flexibilitu pro rychlou úpravu nebo upgrade konfigurací softwarových funkcí pro nasazování nových služeb v průběhu času. Další informace o licencování softwaru Cisco Smart naleznete v kapitole Software Entitlement na směrovači Cisco ASR 9000 Series Příručky konfigurace systému pro směrovače Cisco ASR 9000 Series. Nejnovější aktualizace naleznete v nejnovější verzi příruček na adrese http://www.cisco.com/c/en/us/support/ios-nx-os-software/ios-xr-software/products-installation-and- Configuration-guides-list.html. BNG Smart Licensing podporuje geografickou redundanci i relace předplatitelů bez geografické redundance. Jedna licence je vyžadována pro každou skupinu 8000 předplatitelů nebo její zlomek. Napřample, pro 9000 předplatitelů jsou zapotřebí dvě licence. Toto jsou PID softwarové licence pro BNG:
· S-A9K-BNG-LIC-8K – pro relace bez geografické redundance · S-A9K-BNG-ADV-8K – pro relace geografické redundance
K zobrazení statistik relace předplatitele můžete použít příkaz show sessionmon license.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 19
Inteligentní licencování BNG
Brána širokopásmové sítě přesview
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 20
3 KAPITOLA
Konfigurace funkcí ověřování, autorizace a účtování
Tato kapitola poskytuje informace o konfiguraci funkcí ověřování, autorizace a účtování (AAA) na směrovači BNG. BNG spolupracuje se serverem RADIUS a provádí funkce AAA. Skupina serverů RADIUS tvoří skupinu serverů, které jsou přiřazeny konkrétní úlohy AAA. Seznam metod definovaný na serveru nebo skupině serverů obsahuje seznam metod, kterými se provádí autorizace. Některé z funkcí RADIUS zahrnují vytváření specifických formátů atributů AAA, vyvažování zátěže serverů RADIUS, omezení záznamů RADIUS, změnu oprávnění (CoA) a účtování služeb pro QoS.
Tabulka 3: Historie funkcí pro konfiguraci funkcí ověřování, autorizace a účtování
Vydání Vydání 4.2.0 Vydání 5.3.1 Vydání 5.3.2 Vydání 6.2.1
Vydání 6.6.3
Modifikace
Počáteční vydání
Byl představen RADIUS přes IPv6.
Pro předplatitele linkových karet byla přidána podpora účtování služeb.
Byl zaveden nový formát MAC adresy pro atribut uživatelského jména RADIUS.
Bylo představeno dynamické stahování zásad přes rozhraní RADIUS pro předplatitele BNG.
Tato kapitola pokrývá tato témata:
· Konfigurace funkcí ověřování, autorizace a účtování, na straně 22 · AAA Overview, na straně 22 · Použití skupiny serverů RADIUS, na straně 24 · Určení seznamu metod, na straně 26 · Definování atributů AAA, na straně 28 · Provádění nastavení serveru RADIUS, na straně 40 · Vyrovnání zatížení transakcí na serveru RADIUS, na straně 47 · Omezení záznamů RADIUS, na straně 50 · Změna oprávnění RADIUS (CoA) přesview, na straně 54 · Ověření a autorizace uživatele v místní síti, na straně 62 · Účtování služeb, na straně 67
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 21
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace funkcí ověřování, autorizace a účtování
· Vysvětlení funkce Per-VRF AAA, na straně 72 · RADIUS over IPv6, na straně 73 · Další odkazy, na straně 73
Konfigurace funkcí ověřování, autorizace a účtování
Tato kapitola poskytuje informace o konfiguraci funkcí ověřování, autorizace a účtování (AAA) na směrovači BNG. BNG spolupracuje se serverem RADIUS a provádí funkce AAA. Skupina serverů RADIUS tvoří skupinu serverů, které jsou přiřazeny konkrétní úlohy AAA. Seznam metod definovaný na serveru nebo skupině serverů obsahuje seznam metod, kterými se provádí autorizace. Některé z funkcí RADIUS zahrnují vytváření specifických formátů atributů AAA, vyvažování zátěže serverů RADIUS, omezení záznamů RADIUS, změnu oprávnění (CoA) a účtování služeb pro QoS.
Tabulka 4: Historie funkcí pro konfiguraci funkcí ověřování, autorizace a účtování
Vydání Vydání 4.2.0 Vydání 5.3.1 Vydání 5.3.2 Vydání 6.2.1
Vydání 6.6.3
Modifikace
Počáteční vydání
Byl představen RADIUS přes IPv6.
Pro předplatitele linkových karet byla přidána podpora účtování služeb.
Byl zaveden nový formát MAC adresy pro atribut uživatelského jména RADIUS.
Bylo představeno dynamické stahování zásad přes rozhraní RADIUS pro předplatitele BNG.
Tato kapitola pokrývá tato témata:
Konec AAAview
AAA funguje jako rámec pro efektivní správu a zabezpečení sítě. Pomáhá při správě síťových zdrojů, vynucování zásad, auditu využití sítě a poskytování informací souvisejících s fakturací. BNG se připojuje k externímu serveru RADIUS, který poskytuje funkce AAA.
Server RADIUS provádí tři nezávislé bezpečnostní funkce (autentizaci, autorizaci a účtování) k zabezpečení sítí proti neoprávněnému přístupu. Server RADIUS spouští protokol RADIUS (Remote Authentication Dial-In User Service). (Podrobnosti o protokolu RADIUS naleznete v RFC 2865). Server RADIUS spravuje proces AAA prostřednictvím interakce s BNG a databázemi a adresáři obsahujícími informace o uživatelích.
Protokol RADIUS běží na distribuovaném systému klient-server. Klient RADIUS běží na směrovači BNG (Cisco ASR 9000 Series Router), který odesílá požadavky na ověření na centrální server RADIUS. Server RADIUS obsahuje veškeré informace o ověření uživatele a přístupu k síťovým službám.
Procesy AAA, role serveru RADIUS během těchto procesů a některá omezení BNG jsou vysvětlena v těchto částech:
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 22
Konfigurace funkcí ověřování, autorizace a účtování
Konec AAAview
Autentizace
Proces ověřování identifikuje předplatitele v síti před udělením přístupu k síti a síťovým službám. Proces ověřování funguje na základě jedinečné sady kritérií, která má každý účastník pro získání přístupu do sítě. Server RADIUS obvykle provádí ověřování porovnáním přihlašovacích údajů (uživatelského jména a hesla), které předplatitel zadá, s údaji přítomnými v databázi daného předplatitele. Pokud se přihlašovací údaje shodují, je předplatiteli udělen přístup k síti. V opačném případě se proces ověřování nezdaří a přístup k síti bude odepřen.
Povolení
Po autentizačním procesu je účastník oprávněn provádět určitou činnost. Autorizace je proces, který určuje, jaký typ aktivit, zdrojů nebo služeb smí účastník používat. Napřample, po přihlášení do sítě se účastník může pokusit o přístup k databázi nebo k omezenému přístupu webmísto. Proces autorizace určuje, zda má předplatitel oprávnění k přístupu k těmto síťovým zdrojům.
Autorizace AAA funguje na základě sestavování sady atributů na základě autentizačních pověření poskytnutých předplatitelem. Server RADIUS porovnává tyto atributy pro dané uživatelské jméno s informacemi obsaženými v databázi. Výsledek se vrátí do BNG, aby se určily skutečné možnosti a omezení, která mají být u daného předplatitele uplatněna.
Účetnictví
Účetnictví sleduje zdroje využívané předplatitelem během přístupu k síti. Účetnictví se používá pro fakturaci, analýzu trendů, sledování využití zdrojů a plánování kapacit. Během procesu účtování je udržován protokol pro statistiky využití sítě. Sledované informace zahrnují, ale nejsou omezeny na – identity předplatitele, použité konfigurace na předplatiteli, časy zahájení a ukončení síťových připojení a počet paketů a bajtů přenesených do a ze sítě.
BNG hlásí aktivitu předplatitele serveru RADIUS ve formě účetních záznamů. Každý účetní záznam obsahuje hodnotu účetního atributu. Tato hodnota je analyzována a používána serverem RADIUS pro správu sítě, účtování klientů, audit atd.
Účetní záznamy relací předplatitelů mohou vypršet, pokud BNG neobdrží potvrzení ze serveru RADIUS. Tento časový limit může být způsoben nedostupností serveru RADIUS nebo problémy se síťovým připojením vedoucím k pomalému výkonu serveru RADIUS. Pokud nejsou relace na BNG potvrzeny pro jejich požadavek na spuštění účtu, jsou hlášeny ztráty relací na selhání procesoru trasy (RPFO) a další kritická selhání. Proto se doporučuje, aby byl na BNG nakonfigurován mrtvý čas serveru RADIUS, aby se zabránilo ztrátě relací. Jakmile je tato hodnota nakonfigurována a pokud určitá relace neobdrží odpověď účtování ani po opakování pokusů, bude tento konkrétní server RADIUS považován za nefunkční a další požadavky se tomuto serveru neodesílají.
Příkaz radius-server deadtime limit lze použít ke konfiguraci deadtime serveru RADIUS. Podrobnosti najdete v části Konfigurace nastavení serveru RADIUS na straně 41.
Omezení
· Při odpojení relace může být přenos požadavku Accounting-Stop na RADIUS o několik sekund zpožděn, zatímco systém čeká na shromáždění „konečné“ statistiky relace z hardwaru. Časovač událostíamp atribut v tomto požadavku Accounting-Stop by však měl odrážet čas, kdy se klient odpojí, a nikoli čas přenosu.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 23
Použití skupiny serverů RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
Použití skupiny serverů RADIUS
Skupina serverů RADIUS je pojmenovaná skupina jednoho nebo více serverů RADIUS. Každá skupina serverů se používá pro určitou službu. NapřampV konfiguraci sítě AAA se dvěma skupinami serverů RADIUS lze první skupině serverů přiřadit úlohu ověřování a autorizace, zatímco druhé skupině lze přiřadit úlohu účtování.
Skupiny serverů mohou obsahovat více položek hostitele pro stejný server. Každý záznam však musí mít jedinečný identifikátor. Tento jedinečný identifikátor je vytvořen kombinací IP adresy a čísla portu UDP. Různé porty serveru lze proto samostatně definovat jako jednotlivé hostitele RADIUS poskytující konkrétní službu AAA. Jinými slovy, tento jedinečný identifikátor umožňuje odesílání požadavků RADIUS na různé porty UDP na stejném serveru. Dále, pokud jsou pro stejnou službu nakonfigurovány dva různé položky hostitele na stejném serveru RADIUS (jako je proces ověřování), pak druhý záznam hostitele funguje jako záložní záloha pro první z nich. To znamená, že pokud první záznam hostitele nedokáže poskytnout ověřovací služby, BNG se pokusí použít druhý záznam hostitele. (Položky hostitele RADIUS jsou zkoušeny v pořadí, v jakém byly vytvořeny.)
Informace o přiřazení konkrétních akcí skupině serverů naleznete v části Konfigurace skupiny serverů RADIUS, na stránce 24.
Konfigurace skupiny serverů RADIUS
Provedením této úlohy definujete pojmenovanou skupinu serverů jako hostitele serveru.
SOUHRNNÉ KROKY
1. konfigurace 2. název poloměru aaa skupinového serveru 3. účtování přijmout název_seznamu_atributu_radius 4. autorizační odpověď přijmout název_seznamu_atributu_radiusu 5. limit mrtvého času 6. metoda vyvážení zátěže nejméně nevyřízená velikost dávky ignorovat-preferovaný-server 7. název_hostitele serveru acct-port účetní_číslo_portu auth-port autentizační_číslo_portu 8. hodnota názvu zdrojového rozhraní 9. název vrf 10. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2
Konfigurace RP/0/RSP0/CPU0:router#
aaa název okruhu skupinového serveru Přampten:
Konfiguruje skupinu serverů RADIUS s názvem r1.
RP/0/RSP0/CPU0:router(config)# aaa poloměr skupinového serveru r1
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 24
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace skupiny serverů RADIUS
Krok 3 Krok 4 Krok 5 Krok 6 Krok 7
Krok 8 Krok 9
Účtování příkazů nebo akcí přijímá poloměr_atributu_seznamu_název Přampten:
Účel
Konfiguruje filtr atributů poloměru pro proces účtování tak, aby přijímal pouze atributy uvedené v seznamu.
RP/0/RSP0/CPU0:router(config-sg-radius)# účtování akceptovat att_list
autorizační odpověď přijmout název_seznamu_atributů_radius Konfiguruje filtr atributů poloměru pro autorizaci
Exampten:
proces přijímat pouze atributy uvedené v seznamu.
RP/0/RSP0/CPU0:router(config-sg-radius)# autorizační odpověď přijmout att_list1
časový limit Přampten:
Konfiguruje prodlevu skupiny serverů RADIUS. Limit mrtvých se nastavuje v minutách. Rozsah je od 1 do 1440 a výchozí hodnota je 0.
RP/0/RSP0/CPU0:router(config-sg-radius)# deadtime 40
metoda vyvážení zátěže nejméně-výhraná velikost dávky ignorovat-preferovaný-server
Exampten:
Konfiguruje velikost dávky vyrovnávání zátěže, po které je vybrán další hostitel.
RP/0/RSP0/CPU0:router(config-sg-radius)# metoda vyvážení zátěže nejméně vynikající velikost dávky 50
ignorovat-preferovaný-server
server název_hostitele acct-port číslo_portu účtování Uvádí rádiusový server a jeho IP adresu nebo název hostitele.
auth-port autentizační_číslo_portu
Konfiguruje port UDP pro účtování RADIUS a
Exampten:
autentizační požadavky. Číslo portu pro účtování a ověřování je v rozsahu od 0 do 65535. Pokud není žádná hodnota
zadaný, pak výchozí hodnota je 1645 pro auth-port a 1646
RP/0/RSP0/CPU0:router(config-sg-radius)# server 1.2.3.4 acct-port 455 auth-port 567
pro act-port.
Od verze softwaru Cisco IOS XR verze 5.3.1 a novější lze adresu IPv6 nakonfigurovat také pro server RADIUS. Možnost názvu hostitele je však podporována pouze pro doménu IPv4, nikoli pro IPv6.
hodnota názvu zdrojového rozhraní Přampten:
Konfiguruje název a hodnotu zdrojového rozhraní skupiny serverů RADIUS pro Bundle-Ether.
RP/0/RSP0/CPU0:router(config-sg-radius)# zdrojové rozhraní Bundle-Ether 455
vrf jméno Přampten:
Konfiguruje vrf, ke kterému patří skupina rádiusu serveru.
RP/0/RSP0/CPU0:router(config-sg-radius)# vrf vrf_1
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 25
Specifikace seznamu metod
Konfigurace funkcí ověřování, autorizace a účtování
Krok 10
Příkaz nebo akce Použijte příkaz commit nebo end.
Účel
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace skupiny serverů Radius: Příkladample
konfigurace aaa skupinový server poloměr r1 účtování přijmout r1 r2 autorizační odpověď přijmout a1 a2 deadtime 8 metoda vyvážení zátěže nejmenší-nevyřízená velikost dávky 45 ignorovat-preferovaný-server server název_hostitele acct-port 355 auth-port 544 zdrojové rozhraní Bundle-Ether100.10. 1 vrf vrf_XNUMX! konec
Specifikace seznamu metod
Seznamy metod pro AAA definují metody, pomocí kterých se autorizace provádí, a pořadí, ve kterém se tyto metody provádějí. Před provedením jakékoli definované metody ověřování musí být seznam metod aplikován na konfigurační mechanismus odpovědný za ověřování přihlašovacích údajů pro přístup uživatele. Jedinou výjimkou z tohoto požadavku je výchozí seznam metod (pojmenovaný „výchozí“). Pokud není definován žádný jiný seznam metod, automaticky se použije výchozí seznam metod. Definovaný seznam metod přepíše výchozí seznam metod.
Na BNG musíte zadat seznam metod a skupinu serverů, které budou použity pro služby AAA. Určení seznamů metod viz Konfigurace seznamů metod pro AAA, na stránce 26.
Konfigurace seznamů metod pro AAA
Provedením této úlohy přiřaďte seznam metod, který má skupina serverů používat pro ověřování předplatitelů, autorizaci a účtování.
SOUHRNNÉ KROKY
1. konfigurovat 2. aaa autentizace předplatitel výchozí metoda-název-seznamu-skupiny název-skupiny-serveru 3. aaa autorizace předplatitel výchozí-metoda-seznam-název skupiny název-skupiny-serveru |radius
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 26
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace seznamů metod pro AAA
4. aaa účtování předplatitel výchozí název-seznamu metody skupina název-skupiny serveru 5. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2 Krok 3 Krok 4 Krok 5
Konfigurace RP/0/RSP0/CPU0:router#
aaa autentizace předplatitel výchozí název-seznamu-metod Konfiguruje seznam-metod, který bude standardně použit
skupina název-skupiny serveru
pro autentizaci předplatitele. Můžete buď zadat „výchozí“
Exampten:
nebo uživatelsky definovaný název pro seznam metod AAA. Zadejte také název skupiny serverů, na které je seznam metod
aplikovaný.
RP/0/RSP0/CPU0:router(config)# aaa ověřování
předplatitel výchozí metoda1 skupina skupina1 okruh
skupina skupina2 skupina skupina3 …
aaa autorizace předplatitel výchozí název-seznamu-metod Konfiguruje seznam-metod, který bude standardně použit
skupina název-skupiny serveru |radius
pro autorizaci předplatitele. Můžete buď zadat „výchozí“
Exampten:
nebo uživatelsky definovaný název pro seznam metod AAA. Zadejte také název skupiny serverů, na které je seznam metod
aplikovaný.
RP/0/RSP0/CPU0:router(config)# aaa autorizace
předplatitel výchozí metoda1 skupina skupina1 okruh
skupina skupina2 skupina skupina3 …
aaa účtování předplatitel výchozí název-seznamu metody skupina název-skupiny-serveru
Exampten:
RP/0/RSP0/CPU0:router(config)# aaa účtování předplatitel výchozí metoda1 skupina skupina1 skupina rádius skupina2 skupina skupina3 …
Konfiguruje seznam metod, který bude standardně použit pro účtování předplatitelů. Pro seznam metod AAA můžete zadat „výchozí“ nebo uživatelsky definovaný název. Zadejte také název skupiny serverů, na kterou je použit seznam metod.
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 27
Definování atributů AAA
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace seznamu metod pro AAA: Příkladample
konfigurovat aaa autentizace předplatitel výchozí skupina rádius skupina rad2 skupina rad3.. aaa autorizace předplatitel výchozí skupina rádius skupina rad1 skupina rad2 skupina rad3.. aaa účtování předplatitel výchozí skupina rádius skupina rad1 skupina rad2 skupina rad3.. ! ! konec
Definování atributů AAA
Atribut AAA je prvkem paketu RADIUS. Paket RADIUS přenáší data mezi serverem RADIUS a klientem RADIUS. Parametr atributu AAA a jeho hodnota tvoří pár hodnot atributů (AVP). AVP přenáší data pro požadavky i odpovědi pro transakci AAA.
Atributy AAA mohou být buď předdefinovány jako v atributech Internet Engineering Task Force (IETF), nebo mohou být definovány jako u atributů specifických pro dodavatele (VSA). Další informace o seznamu podporovaných atributů BNG najdete v části Atributy RADIUS, na stránce 443.
Server RADIUS poskytuje aktualizace konfigurace BNG ve formě atributů ve zprávách RADIUS. Aktualizace konfigurace mohou být aplikovány na předplatitele během nastavování relace pomocí dvou typických metod – atributů pro uživatele, které aplikují konfiguraci na předplatitele jako součást autentizace předplatitele Access Accept, nebo prostřednictvím explicitní autorizace domény, portu nebo služby Access Accepts. To vše je řízeno konfigurací Policy Rule Engine na předplatiteli.
Když BNG odešle požadavek na ověření nebo autorizaci na externí server RADIUS jako požadavek na přístup, server odešle zpět aktualizace konfigurace do BNG jako součást Access Accept. Kromě toho, že RADIUS konfiguruje předplatitele během nastavování, může server odeslat zprávu o změně autorizace (CoA) autonomně do BNG během životního cyklu aktivní relace předplatitele, i když BNG neodeslalo požadavek. Tyto aktualizace RADIUS CoA fungují jako dynamické aktualizace, odkazují na nakonfigurované prvky v BNG a dávají BNG pokyn k aktualizaci konkrétní zásady řízení nebo zásady služeb.
BNG podporuje koncept „služby“, což je skupina nakonfigurovaných funkcí, které společně zastupují tuto službu. Služby mohou být reprezentovány buď jako funkce nakonfigurované na dynamických šablonách prostřednictvím rozhraní CLI, nebo jako funkce nakonfigurované jako atributy RADIUS uvnitř serverů Radius. Služby se aktivují buď přímo z CLI nebo RADIUS prostřednictvím nakonfigurovaných akcí „aktivovat“ na modulu Policy Rule Engine, nebo prostřednictvím požadavků CoA „activate-service“. Služby lze také deaktivovat přímo (odstraněním všech zúčastněných funkcí v rámci pojmenované služby) prostřednictvím nakonfigurované akce „deaktivovat“ na modulu zásad pravidel nebo prostřednictvím požadavků CoA „deaktivovat-službu“.
Hodnoty atributů přijaté z RADIUS interagují s relací předplatitele tímto způsobem:
· BNG sloučí hodnoty přijaté v aktualizaci RADIUS se stávajícími hodnotami, které byly zřízeny staticky pomocí příkazů CLI nebo z předchozích aktualizací RADIUS.
· Ve všech případech mají hodnoty přijaté v aktualizaci RADIUS přednost před všemi odpovídajícími zřízenými hodnotami CLI nebo předchozími aktualizacemi RADIUS. I když překonfigurujete zřízené hodnoty CLI, systém nepřepíše atributy relace nebo funkce, které byly přijaty v aktualizaci RADIUS.
· Změny provedené v hodnotách poskytování CLI v dynamické šabloně se projeví okamžitě u všech relací používajících tuto šablonu, za předpokladu, že funkce šablony již nebyly přepsány serverem RADIUS. Totéž platí pro aktualizace služeb provedené prostřednictvím požadavků CoA „service-update“.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 28
Konfigurace funkcí ověřování, autorizace a účtování
Vytváření atributů konkrétního formátu
Seznam atributů AAA
Seznam atributů se nazývá seznam, který obsahuje sadu atributů. Server RADIUS můžete nakonfigurovat tak, aby k provádění funkce AAA používal konkrétní seznam atributů.
Chcete-li vytvořit seznam atributů, viz Konfigurace seznamu atributů RADIUS, na stránce 34.
Formát atributu AAA
Pro některé atributy je možné definovat vlastní formát. Syntaxe konfigurace pro vytvoření nového formátu je:
formát atributu aaa formátovací řetězec [délka] *[ ] kde:
· format-name — Určuje název přidělený formátu atributu. Na tento název se odkazuje, když je formát aplikován na atribut.
· délka — (Volitelné) Určuje maximální délku formátovaného řetězce atributů. Pokud je konečná délka řetězce atributu větší než hodnota zadaná v LENGTH, bude zkrácena na LENGTH bajtů. Maximální povolená hodnota pro LENGTH je 255. Pokud argument není nakonfigurován, výchozí hodnota je také 255.
· string — Obsahuje běžné znaky ASCII, které zahrnují specifikátory převodu. V řetězci STRING je povolen pouze symbol % jako specifikátor převodu. Hodnota STRING je uzavřena ve dvojitých uvozovkách.
· Identity-Attribute — Identifikuje relaci a zahrnuje uživatelské jméno, ip-adresu a mac-adresu. V CLI se zobrazí seznam aktuálně definovaných atributů identity.
Jakmile je formát definován, lze FORMAT-NAME použít na různé atributy AAA, jako je uživatelské jméno, nas-port-ID, volající-ID-stanice a volané-ID-stanice. Konfigurovatelné atributy AAA, které využívají možnost formátu, jsou vysvětleny v části Vytváření atributů konkrétního formátu, na stránce 29.
Chcete-li vytvořit přizpůsobený atribut nas-port a použít předdefinovaný formát na atribut nas-port-ID, viz Konfigurace formátu atributu RADIUS, na stránce 36.
Pro formát atributu lze pro specifické účely definovat specifické funkce. NapřampPokud je vstupní uživatelské jméno „text@abc.com“ a jako uživatelské jméno je vyžadována pouze část za „@“, lze definovat funkci, která ponechá jako uživatelské jméno pouze část za „@“. Poté se ze vstupu vypustí „text“ a nové uživatelské jméno je „abc.com“. Chcete-li použít funkci zkrácení uživatelského jména na formát pojmenovaného atributu, viz Konfigurace funkce formátu atributu AAA, na stránce 38.
Vytváření atributů konkrétního formátu
BNG podporuje použití konfigurovatelných atributů AAA. Konfigurovatelné atributy AAA mají specifické uživatelsky definované formáty. V následujících částech jsou uvedeny některé konfigurovatelné atributy AAA používané BNG.
Uživatelské jméno
BNG má schopnost konstruovat AAA uživatelské jméno a další formátově podporované atributy pro předplatitele pomocí MAC adresy, Circuit-ID, Remote-ID a DHCP Option-60 (a větší sady hodnot dostupných v CLI). Možnost DHCP-60 je jednou z novějších možností, kterou klient DHCP sděluje serveru DHCP ve svých požadavcích; nese Vendor Class Identifier (VCI) hardwaru klienta DHCP.
Atribut MAC adresy je uveden ve formátu CLI v jedné z těchto forem:
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 29
Vytváření atributů konkrétního formátu
Konfigurace funkcí ověřování, autorizace a účtování
· mac-adresa: napřample, 0000.4096.3e4a
· mac-address-ietf: napřample, 00-00-40-96-3E-4A
· mac-address-raw: napřample, 000040963e4a
· mac-address-custom1: napřample, 01.23.45.67.89.AB (Tento konkrétní formát MAC adresy je dostupný pouze od Cisco IOS XR Software Release 6.2.1 a novější).
BývalýampSoubor vytvoření uživatelského jména ve tvaru „mac-address@vendor-class-ID“ je:
aaa formát atributu USERNAME-FORMAT format-string “%s@%s” mac-adresa dhcp-vendor-class
NAS-Port-ID NAS-Port-ID je vytvořeno kombinací informací o portu BNG a informací o přístupovém uzlu. Informace o portu BNG se skládá z řetězce v tomto tvaru:
„eth phy_slot/phy_subslot/phy_port:XPI.XCI“
Pro tunelování 802.1Q (QinQ) je XPI vnější VLAN tag a XCI je vnitřní VLAN tag. Pokud je rozhraní QinQ, výchozí formát nas-port-ID zahrnuje obě VLAN tags; pokud je rozhraní jednoduché tag, obsahuje jednu VLAN tag. V případě jedné VLAN se konfiguruje pouze vnější VLAN pomocí této syntaxe:
/ / /
V případě QinQ je VLAN konfigurována pomocí této syntaxe:
/ / / .
V případě svazkového rozhraní jsou phy_slot a phy_subslot nastaveny na nulu (0); zatímco číslo phy_port je číslo balíčku. Napřample, 0/0/10/30 je NAS-Port-ID pro Bundle-Ether10.41 s vnější hodnotou VLAN 30. Příkaz nas-port-ID je rozšířen tak, aby používal možnost 'nas-port-type' takže přizpůsobený formát (nakonfigurovaný výše uvedeným příkazem) lze použít na konkrétním typu rozhraní (nas-port-type). Rozšířený příkaz nas-port-ID je:
aaa formát atributu poloměru nas-port-id [typ ] Pokud volba 'type' není zadána, pak se nas-port-ID pro všechny typy rozhraní vytvoří podle názvu formátu zadaného v příkazu. BývalýampSoubor vytvoření maximálně 128bajtového NAS-Port-ID kombinací informací o portu BNG a Circuit-ID je:
aaa formát atributu NAS-PORT-ID-FORMAT1 délka formátu-řetězce 128 „eth %s/%s/%s:%s.%s %s“ fyzický-slot fyzický-podslot fyzický-port vnější-vlan-Id vnitřní- vlan-id obvod-id-tag
BývalýampSoubor sestavování NAS-Port-ID pouze z informací o BNG portu a s „0/0/0/0/0/0“ připojeným na konci pro ID okruhu je:
aaa formát atributu NAS-PORT-ID-FORMAT2 format-string „eth %s/%s/%s:%s.%s 0/0/0/0/0/0“ fyzický-slot fyzický-podslot fyzický-port vnější-vlan-Id vnitřní-vlan-id
BývalýampSoubor sestavení NAS-Port-ID pouze z Circuit-ID je:
aaa formát atributu NAS-PORT-ID-FORMAT3 formát-řetězec „%s“ circuit-id-tag
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 30
Konfigurace funkcí ověřování, autorizace a účtování
Vytváření atributů konkrétního formátu
Formáty NAS-Port-ID nakonfigurované ve výše uvedeném příkladuamples, lze zadat v příkazu nas-port-ID, takto:
Pro rozhraní IPoEoQINQ: aaa poloměr atribut nas-port-id formát NAS-PORT-ID-FORMAT1 typ 41
Pro virtuální rozhraní IPoEoQINQ: aaa poloměr atribut nas-port-id formát NAS-PORT-ID-FORMAT2 typ 44
Pro rozhraní IPOEoE:aaa atribut radius nas-port-id formát NAS-PORT-ID-FORMAT3 typ 39
NAS-Port-Type na rozhraní nebo na dílčím rozhraní VLAN
Aby bylo možné mít různé produkční modely pro předplatitele na stejném směrovači BNG, ale různá fyzická rozhraní stejného typu, je NAS-Port-Type konfigurovatelný pro každé fyzické rozhraní nebo dílčí rozhraní VLAN. S jinou hodnotou NAS-Port-Type nakonfigurovanou na rozhraní se NAS-Port a NAS-Port-ID naformátují podle formátů definovaných globálně pro nový NAS-Port-Type nakonfigurovaný na rozhraní, namísto skutečné hodnoty. typu portu NAS, který má rozhraní. To zase odesílá různé formáty NAS-Port, NAS-Port-ID a NAS-Port-Type na server RADIUS pro předplatitele v rámci různých produkčních modelů.
V případě dílčích rozhraní je při rozhodování o formátu NAS-Port-Type, který má být odeslán na server RADIUS, následující hierarchie:
1. Ověřte, zda je NAS-Port-Type nakonfigurován na dílčím rozhraní, do kterého přichází relace předplatitele.
2. Pokud NAS-Port-Type není nakonfigurován na dílčím rozhraní, ověřte, zda je nakonfigurován na hlavním fyzickém rozhraní.
Formát NAS-Port nebo NAS-Port-ID je založen na NAS-Port-Type získaném v kroku 1 nebo kroku 2.
3. Pokud NAS-Port-Type není nakonfigurován ani na dílčím rozhraní, ani na hlavním fyzickém rozhraní, formát NAS-Port nebo NAS-Port-ID je založen na formátu výchozího NAS-Port-Type dílčího -rozhraní.
4. Pokud formát NAS-Port nebo NAS-Port-ID není nakonfigurován pro NAS-Port-Type získaný v krocích 1, 2 nebo 3, je formát NAS-Port nebo NAS-Port-ID založen na výchozím nastavení. formáty NAS-Port nebo NAS-Port-ID.
Tento příkaz použijte ke konfiguraci NAS-Port-Type pro každé rozhraní nebo dílčí rozhraní VLAN:
aaa atribut radius nas-port-type
kde:
je buď číslo v rozsahu od 0 do 44, nebo řetězec určující typ-portu nas.
Viz Konfigurace RADIUS atributu Nas-port-type, na stránce 37.
ID volající stanice a ID volané stanice
BNG podporuje použití konfigurovatelných ID volající stanice a ID volané stanice. ID volající stanice je atribut RADIUS, který používá automatickou identifikaci čísla (ANI) nebo podobnou technologii. Umožňuje serveru pro přístup k síti (NAS) odeslat paket Access-Request telefonní číslo, ze kterého hovor přišel. ID volané stanice je atribut RADIUS, který používá identifikaci volaného čísla (DNIS) nebo podobnou technologii. Umožňuje NAS odeslat paket Access-Request, telefonní číslo, ze kterého uživatel volal.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 31
Vytváření atributů konkrétního formátu
Konfigurace funkcí ověřování, autorizace a účtování
Příkaz používaný ke konfiguraci atributů Call-station-ID a Call-station-ID je:
aaa formát atributu poloměru volající-stanice aaa atribut poloměru s názvem-station-id formát
Exampsoubory vytváření ID volající stanice z mac-adresy, vzdáleného ID a ID okruhu jsou:
aaa typ atributu poloměru volající-stanice-id formát CLID-FORMAT aaa formát atributu CLID-FORMAT formát-řetězec “%s:%s:%s” client-mac-address-ietf remote-id-tag obvod-id-tag
ExampSoubory sestavení volaného-station-ID z mac-address, remote-ID a circuit-ID jsou:
aaa atribut poloměru nazvaný-station-id formát CLDID-FORMAT aaa formát atributu CLDID-FORMAT formátový-řetězec “%s:%s” client-mac-address-raw circuit-id-tag
Formát NAS-Port NAS-Port je 4bajtová hodnota, která obsahuje informace o fyzickém portu serveru BRAS (Broadband Remote Access Server), který připojuje síť Access Aggregation k BNG. Používají jej jak pakety Access-Request, tak pakety Accounting-Request. K jednoznačné identifikaci fyzického portu na BRAS se spolu s číslem portu používá více informací, jako je police, slot, adaptér atd. Konfigurovatelný formát nazvaný format-e je definován tak, aby umožňoval jednotlivým bitům nebo skupině bitů ve 32 bitech NAS-Port reprezentovat nebo kódovat různé části, které tvoří informace o portu. Jednotlivé bity v NAS-Portu lze kódovat těmito znaky:
· Nula: 0 · Jedna: 1 · Slot PPPoX: S · Adaptér PPPoX: A · Port PPPoX: P · ID VLAN PPPoX: V · PPPoX VPI: I · PPPoX VCI: C · ID relace: U · Vnitřní ID VLAN PPPoX : Q
aaa atribut radius nas-port format e [řetězec] [typ {nas-port-type}] Výše uvedený příkaz se používá ke konfiguraci řetězce kódování format-e pro konkrétní rozhraní typu NAS-Port (atribut RADIUS 61). Přípustné hodnoty typu nas-port jsou:
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 32
Konfigurace funkcí ověřování, autorizace a účtování
Vytváření atributů konkrétního formátu
Nas-port-typy
ASYNC SYNC ISDN ISDN_V120 ISDN_V110 VIRTUAL ISDN_PIAFS X75 ETHERNET PPPATM PPPOEOA PPPOEOE PPPOEOVLAN PPPOEOQINQ VIRTUAL_PPPOEOE VIRTUAL_PPPOEOVLAN VIRTUAL_PPPOEOVLAN VIRTUAL_PPPOEOVLAN VIRTUAL_PPPOEOVLAN VIRTUAL_PPPOEOINEOQINE IPOE IRTUAL_IPOEOVLAN VIRTUAL_IPOEOQINQ
Hodnoty
0 1 2 3 4 5 6 9 15 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44
Zda hodnota může být Zda hodnota může být
odvozené z
nakonfigurován na
konfigurace souvisejícího rozhraní rozhraní
režimu
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Žádný
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Žádný
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Ano
Examples:
For non-bundle: GigabitEthernet0/1/2/3.11.pppoe5
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 33
Konfigurace seznamu atributů RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
kde: PPPoEoQinQ (za předpokladu 2 vlan tags): rozhraní-typ 1: slot 2: adaptér 3: port vlan-id: jakákoli vnější a vnitřní vlan-id přijatá v PADR byla 5: session-id
aaa atribut radius nas-port format e SSAAPPPPQQQQQQQQQQVVVVVVVVVVUUUU typ 34
Generovaný NAS-Port:
01100011QQQQQQQQQQVVVVVVVVVV0101
Pro balíček: Bundle-Ether17.23.pppoe8 kde: Virtual-PPPoEoQinQ (za předpokladu 2 vlan tags): typ-rozhraní 0: slot 0: adaptér 17 (id-balíčku): ID Vlan portu: jakákoli vnější a vnitřní vlan-ID přijatá v PADR byla. 8: session-id
aaa atribut radius nas-port format e PPPPPPQQQQQQQQQQVVVVVVVVVVUUUUUU typ 37
Generovaný NAS-Port:
010001QQQQQQQQQQVVVVVVVVVV000101
Formát portu NAS pro relace IP/DHCP jsou uvedeny v těchto příkladechamples:
Pro typ rozhraní IPoEoVLAN: aaa atribut radius nas-port format e SSAAAPPPPPVVVVVVVVVVVVVVVVVVVV typ 40
Pro IPoEoQinQ: aaa poloměr atribut nas-port formát e SSAAAAPPPPPQQQQQQQQQQQVVVVVVVVVV typ 41
Pro virtuální IPoEoVLAN: aaa atribut radius nas-port format e PPPPPPPPVVVVVVVVVVVVVVVVUUUUUUUU typ 43
Formáty portu NAS pro relace PPPoE jsou uvedeny v těchto příkladechamples:
Pro typ rozhraní PPPoEoVLAN: aaa atribut radius nas-port format e SSAAAPPPPPVVVVVVVVVVVVVVVVVUUUU typ 33
Pro virtuální PPPoEoVLAN:. aaa atribut radius nas-port format e PPPPPPPPVVVVVVVVVVVVVVVVUUUUUUUU typ 36
Poznámka Pokud formát NAS-Port není nakonfigurován pro NAS-Port-Type, systém vyhledá výchozí konfiguraci CLI pro formát NAS-Port. Při absenci obou těchto konfigurací se pro relace s konkrétním typem portu NAS neodesílá atribut portu NAS na server RADIUS.
Konfigurace seznamu atributů RADIUS
Provedením této úlohy vytvořte seznam atributů RADIUS, který se používá pro filtrování atributů autorizace a účtování.
SOUHRNNÉ KROKY
1. konfigurovat 2. seznam atributů radius-server listname
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 34
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace seznamu atributů RADIUS
3. atribut list_of_radius_attributes 4. atribut vendor-id číslo vendor-type 5. vendor-type vendor-type-value 6. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2
Konfigurace RP/0/RSP0/CPU0:router#
seznam atributů radius-server název seznamu Přampten:
Definuje název seznamu atributů.
Krok 3 Krok 4 Krok 5 Krok 6
RP/0/RSP0/CPU0:router(config)# seznam atributů radius-server l1
atribut list_of_radius_attributes
Naplní seznam atributy poloměru.
Exampten:
Poznámka
RP/0/RSP0/CPU0:router(config-attribute-filter)# atribut a1, a2
Další informace o podporovaných atributech naleznete v části Atributy RADIUS, na stránce 443.
atribut vendor-id číslo typu dodavatele
Konfiguruje filtrování atributů, které se použije na dodavatele
Exampten:
specifické atributy (VSA) tím, že umožňuje specifikovat informace specifické pro dodavatele pro VSA v seznamu atributů poloměru
RP/0/RSP0/CPU0:router(config)# 6456
atribut
vendor-id
CLI. Informace specifické pro dodavatele zahrnují id dodavatele, typ dodavatele a volitelný název atributu v případě Cisco
generický VSA. ID dodavatele se pohybuje od 0 do 4294967295.
typ dodavatele hodnota-typu dodavatele Přampten:
Konfiguruje informace specifické pro dodavatele, jako je typ dodavatele, který má být specifikován v seznamu atributů poloměru. Rozsah hodnoty typu dodavatele je od 1 do 254.
RP/0/RSP0/CPU0:router(config-attribute-filter-vsa)# vendor-type 54
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 35
Konfigurace formátu atributu RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace seznamu atributů RADIUS: Příkladample
konfigurace seznamu atributů radius-server seznam_! atribut BC atribut vendor-id vendor-type 10 vendor-type 30 ! konec
Konfigurace formátu atributu RADIUS
Proveďte tuto úlohu s definovaným formátem atributu RADIUS pro atribut nas-port a použijte předdefinovaný formát pro atribut nas-port-ID.
SOUHRNNÉ KROKY
1. konfigurace 2. atribut aaa radius 3. formát nas-port e typ řetězce hodnota typu nas-port 4. název formátu formátu nas-port-id 5. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2
Konfigurace RP/0/RSP0/CPU0:router#
aaa atribut poloměru Přampten:
Konfiguruje atribut AAA poloměr.
RP/0/RSP0/CPU0:router(config)# aaa atribut poloměru
Krok 3 Krok 4
formát nas-port e typ řetězce hodnota typu nas-port Přampten:
Konfiguruje formát pro atribut nas-port. Řetězec představuje řetězec 32 znaků představující formát, který se má použít. Hodnota nas-port se pohybuje od 0 do 44.
RP/0/RSP0/CPU0:router(config)# formát nas-port e format1 typ 30
nas-port-id název formátu formátu Přampten:
Aplikuje předdefinovaný formát na atribut nas-port-ID.
RP/0/RSP0/CPU0:router(config)# formát nas-port-id format2
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 36
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace RADIUS Atribut Nas-port-type
Krok 5
Příkaz nebo akce Použijte příkaz commit nebo end.
Účel
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace formátu atributu RADIUS: Příkladample
konfigurace aaa atribut radius nas-port format e abcd type 40 nas-port-id format ADEF ! konec
Konfigurace RADIUS Atribut Nas-port-type
Provedením této úlohy nakonfigurujte atribut RADIUS nas-port-type na fyzickém rozhraní nebo dílčím rozhraní VLAN:
SOUHRNNÉ KROKY
1. konfigurace 2. typ rozhraní název-rozhraní 3. aaa atribut radius nas-port-type {hodnota | name} 4. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Konfigurace RP/0/RSP0/CPU0:router#
Krok 2
typ rozhraní název-rozhraní
Exampten:
RP/0/RSP0/CPU0:router(config)# interface gigabitEthernet 0/0/0/0
Krok 3 aaa atribut poloměru nas-port-type {hodnota | jméno}
Účel Vstoupí do režimu globální konfigurace. Vstoupí do režimu konfigurace rozhraní.
Konfiguruje hodnotu atributu RADIUS nas-port-type.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 37
Konfigurace funkce formátu atributu AAA
Konfigurace funkcí ověřování, autorizace a účtování
Krok 4
Příkaz nebo akce Přampten:
RP/0/RSP0/CPU0:router(config-if)# aaa atribut radius nas-port-type 30
or
RP/0/RSP0/CPU0:router(config-if)# aaa atribut radius nas-port-type Ethernet
Použijte příkaz commit nebo end.
Účel Rozsah hodnot je od 0 do 44. Přípustné hodnoty typu nas-port v tomto rozsahu naleznete v tabulce ve formátu NAS-Port Format na stránce 32.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace. end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace RADIUS Atribut Nas-port-type: Example
nakonfigurovat rozhraní gigabitEthernet 0/0/0/0
aaa atribut radius nas-port-type Ethernet ! konec
Konfigurace funkce formátu atributu AAA
Provedením této úlohy nakonfigurujte funkci pro formát atributu AAA. Funkce je pro odstranění uživatelského jména do oddělovače.
SOUHRNNÉ KROKY
1. konfigurace 2. formát atributu aaa název-formátu 3. uživatelské jméno-pásek předpona-oddělovač oddělovač_předpony 4. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 38
Konfigurace funkcí ověřování, autorizace a účtování
Potlačení nepřiřazených atributů
Krok 2 Krok 3 Krok 4
Příkaz nebo Akce
Účel
Konfigurace RP/0/RSP0/CPU0:router#
aaa formát atributu název-formátu Přampten:
Určuje název formátu, pro který je funkce definována.
RP/0/RSP0/CPU0:router(config)# aaa formát atributu červený
username-strip prefix-delimiter prefix_delimiter Přampten:
Nakonfiguruje funkci tak, aby odstranila uživatelské jméno před oddělovačem předpony, což je @.
RP/0/RSP0/CPU0:router(formát id-konfigurace)# oddělovač předpony-proužku uživatelského jména @
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace funkce formátu atributu AAA: Příkladample
konfigurovat aaa formát atributu červený oddělovač uživatelského jména-proužku @ ! ! konec
Potlačení nepřiřazených atributů
Můžete potlačit nepřiřazené (experimentální) atributy jako 196, které jsou odesílány během požadavku na přístup směrovačem BNG do RADIUS.
Konfigurace Přample Chcete-li potlačit nepřiřazené (experimentální) atributy, jako je 196, které jsou odesílány během požadavku na přístup směrovačem BNG do RADIUS, musíte provést následující konfigurace: 1. Vytvořte seznam atributů pro filtrování atributu, např.ampatribut le 196. 2. Nakonfigurujte hostitele radius serveru ve skupině AAA.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 39
Provádění nastavení serveru RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
3. Filtrujte a odmítněte odeslání seznamu atributů obsahujícího atribut 196 do RADIUS.
4. (Volitelné) Nakonfigurujte IP adresu soukromého serveru RADIUS pro skupinový server
5. (Volitelné) Nakonfigurujte klíč radius-server.
Konfigurace
/* Vstupte do režimu globální konfigurace a poté vytvořte seznam atributů pro filtrování atributu. */ Router# configure Router(configure)# seznam atributů radius-server Router(config-attribute-filter)# atribut Router(config-attribute-filter)# commit Router(config-attribute-filter)# exit
/* Vstupte do režimu globální konfigurace a poté nakonfigurujte hostitele radius serveru ve skupině AAA. */
Router(configure)# aaa poloměr skupinového serveru
/* Filtrovat a odmítnout odeslání seznamu atributů obsahujícího atribut 196 do RADIUS. */
Router(config-sg-radius)# žádost o autorizaci zamítnuta
/* (Volitelné) Nakonfigurujte IP adresu soukromého serveru RADIUS pro skupinový server. */ Router(config-sg-radius)# server-private auth-port act-port
/* (Volitelné) Nakonfigurujte klíč radius-server. */ Router(config-sg-radius-private)# klíč Router(config-sg-radius-private)# commit
Spuštění konfigurace
Router# ukazuje spuštěnou konfiguraci seznam atributů poloměr-server FILTER-mm
atribut 196! aaa TEST poloměru skupinového serveru.
autorizační požadavek odmítnout FILTER-mm server-private 192.0.2.0 auth-port 1 acct-port 2
klíč 7
Provádění nastavení serveru RADIUS
Aby BNG interagovalo se serverem RADIUS, musí být na směrovači BNG provedena určitá nastavení specifická pro server. Tato tabulka uvádí některá klíčová nastavení:
Nastavení Hostitel serveru Seznam atributů Klíč serveru Mrtvá kritéria
Popis Definuje podrobnosti serveru RADIUS, ke kterému se BNG připojí. Definuje, který seznam atributů se má použít. Definuje stav šifrování. Definuje kritéria, která se používají k označení serveru RADIUS jako mrtvého.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 40
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace nastavení serveru RADIUS
Nastavení
Popis
Retransmit value Definuje počet opakování BNG pro odeslání dat na server RADIUS.
Hodnota časového limitu Definuje, jak dlouho BNG čeká na odpověď serveru RADIUS.
Automatizované testování
Definuje dobu, po které se spustí automatické testování, a uživatelské jméno, které se má testovat.
IP DSCP
Umožňuje označit pakety RADIUS specifickou hodnotou DSCP (Differentiated Services Code Point).
Další informace o nastavení serveru RADIUS naleznete v části Konfigurace nastavení serveru RADIUS, na straně 41. Další informace o provádění specifických nastavení automatického testování naleznete v části Konfigurace automatického testování, na straně 45. Další informace o provádění specifických nastavení IP DSCP naleznete v části Nastavení IP DSCP pro server RADIUS, na straně 46.
Omezení
Profesionální servisfile push nebo asynchronně tlačí profíkfile do systému není podporován. Ke stažení profile od společnosti Radius, profesionálafile musí být nejprve požadováno jako součást požadavku účastníka. Je podporována pouze aktualizace služby a lze ji použít ke změně služby, která byla dříve stažena.
Konfigurace nastavení serveru RADIUS
Provedením této úlohy proveďte specifická nastavení serveru RADIUS na směrovači BNG.
SOUHRNNÉ KROKY
1. konfigurovat 2. radius-server hostitel ip-adresa acct-port účetní_číslo_portu auth-port
autentizační_číslo_portu 3. seznam atributů radius-server list_name seznam_atributů 4. klíč radius-server 7 šifrovaný_text 5. radius-server nepovolí uživatelské jméno null 6. časová hodnota mrtvého kritéria serveru poloměru 7. hodnota pokusů o mrtvé kritérium poloměru serveru 8. poloměr -limit mrtvého času serveru 9. radius-server ipv4 dscp codepoint_value 10. radius-server metoda vyvažování zátěže nejméně-vynikající ignorovat-preferovaný-server velikost dávky 11. radius-server retransmit retransmit_value 12. radius-server source-port rozšířený hodnota časového limitu radius-server 13. atribut radius-server vsa ignorovat neznámý 14. radius source-interface hodnota zpětné smyčky vrf název_vrf 15. Použijte příkaz commit nebo end.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 41
Konfigurace nastavení serveru RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2 Krok 3
Konfigurace RP/0/RSP0/CPU0:router#
IP adresa hostitele radius-server acct-port účetní_číslo_portu auth-port autentizační_číslo_portu
Exampten:
Určuje radius server a jeho IP adresu. Konfiguruje port UDP pro účtování a požadavky na ověření RADIUS. Čísla portů pro účtování a ověřování se pohybují od 0 do 65535. Pokud není zadána žádná hodnota, je výchozí hodnota 1645 pro port auth a 1646 pro port act.
RP/0/RSP0/CPU0:router(config)# hostitel radius-server Od Cisco IOS XR Software Release 5.3.1 a novější, IPv6
1.2.3.4 acct-port 455 auth-port 567
adresu lze také nakonfigurovat pro server RADIUS
hostitel.
seznam atributů radius-server jméno_seznamu seznam_atributů Přampten:
Určuje seznam atributů serveru poloměru a přizpůsobuje vybrané atributy poloměru.
Krok 4 Krok 5
RP/0/RSP0/CPU0:router(config)# seznam atributů radius-server rad_list ab
klíč radius-server 7 encrypted_text Přampten:
Určuje šifrovací klíč pro server, který přepíše výchozí, a nabývá hodnoty 0 nebo 7, což znamená, že bude následovat nešifrovaný klíč.
RP/0/RSP0/CPU0:router(config-radius-host)# radius-server key 7 rngiry
radius-server disallow null-username Přampten:
Určuje, že null-username je pro radius server zakázáno.
Krok 6 Krok 7 Krok 8
RP/0/RSP0/CPU0:router(config)# radius-server zakázat null-username
radius-server dead-criterium time value Přampten:
RP/0/RSP0/CPU0:router(config)# čas mrtvého kritéria serveru poloměru 40
poloměr-server dead-criteria zkouší hodnotu Přampten:
RP/0/RSP0/CPU0:router(config)# mrtvé kritérium serveru poloměru 50 pokusů
limit mrtvého času radius-server Přampten:
Určuje kritéria detekce mrtvého serveru pro nakonfigurovaný server RADIUS. Čas (v sekundách) určuje minimální čas, který musí uplynout od přijetí odpovědi z tohoto serveru RADIUS.
Zadejte hodnotu pro počet po sobě jdoucích časových limitů, které musí na routeru nastat, než bude server RADIUS označen jako mrtvý. Hodnota se pohybuje od 1 do 100.
Určuje dobu v minutách, po kterou je server RADIUS označen jako mrtvý. Deadtime limit je uveden v minutách
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 42
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace nastavení serveru RADIUS
Krok 9 Krok 10
Krok 11 Krok 12 Krok 13 Krok 14 Krok 15 Krok 16
Příkaz nebo Akce
RP/0/RSP0/CPU0:router(config)# deadtime radius-server 67
Účel
a pohybuje se od 1 do 1440. Pokud není zadána žádná hodnota, výchozí je 0.
radius-server ipv4 dscp codepoint_value Přampten:
Umožňuje označit pakety poloměru specifickou hodnotou kódu diferencovaných služeb (DSCP). Tato hodnota kódu se pohybuje od 0 do 63.
RP/0/RSP0/CPU0:router(config)# radius-server ipv4 dscp 45
metoda vyvažování zátěže poloměr-server nejméně vynikající Konfiguruje možnosti vyrovnávání zátěže poloměrem výběrem
ignorovat-preferovaný-server velikost dávky
server s nejmenším počtem nevyřízených transakcí. Tento
Exampten:
metoda vyvažování zátěže používá pro výběr serveru velikost dávky. Velikost se pohybuje od 1 do 1500. Pokud žádná hodnota
RP/0/RSP0/CPU0:router(config)# radius-server
je zadáno, výchozí je 25.
metoda bilance zatížení nejméně vynikající
ignore-preferred-server batch-size 500
poloměr-server retransmit retransmit_value Přampten:
Opakovaný přenos RP/0/RSP0/CPU0:router(config)# radius-server 45
Určuje počet opakování na aktivní server. Hodnota opakovaného přenosu udává počet opakování v číselném vyjádření a pohybuje se od 1 do 100. Pokud není zadána žádná hodnota, výchozí hodnota je 3.
radius-server source-port rozšířený Přampten:
Nakonfiguruje BNG tak, aby používal celkem 200 portů jako zdrojové porty pro odesílání požadavků RADIUS.
RP/0/RSP0/CPU0:router(config)# rozšířený zdrojový-port radius-serveru
hodnota časového limitu radius-serveru Přampten:
RP/0/RSP0/CPU0:router(config)# časový limit serveru poloměru
atribut radius-server vsa ignorovat neznámý Přampten:
Určuje dobu čekání na odpověď radius serveru. Hodnota je v sekundách a pohybuje se od 1 do 1000. Výchozí hodnota je 5.
Ignoruje neznámé atributy specifické pro dodavatele pro server Radius.
RP/0/RSP0/CPU0:router(config)# poloměr-server vsa atribut ignorovat neznámý
radius source-interface Hodnota zpětné smyčky vrf vrf_name Určuje rozhraní zpětné smyčky pro zdrojovou adresu v RADIUS
Exampten:
pakety. Hodnota se pohybuje od 0 do 65535.
RP/0/RSP0/CPU0:router(config)# poloměr zdroj-rozhraní Loopback 655 vrf vrf_1
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 43
Konfigurace nastavení serveru RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
Příkaz nebo Akce
Účel konec – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace nastavení serveru RADIUS: Napřamples
\Konfigurace možností serveru RADIUS Konfigurace seznamu atributů radius-server list1 ab čas mrtvých kritérií poloměr-serveru 100 mrtvých časů poloměru-serveru 30 zákaz poloměru-serveru null-username radius-server hostitel 1.2.3.4 acct-port 655 auth-port 566 poloměr- server ipv4 dscp 34 klíč poloměr-server 7 ERITY$ metoda vyrovnávání zátěže poloměr-server nejméně vynikající ignorovat-preferovaný-server velikost dávky 25 poloměr-server opakované vysílání 50 poloměr-server zdrojový-port rozšířený časový limit poloměr-server 500 poloměr-server vsa atribut ignorovat neznámý! ! konec
\Konfigurace seznamu atributů RADIUS seznam seznam atributů radius-server_! atribut BC atribut vendor-id vendor-type 10 vendor-type 30 ! konec
\Konfigurace hostitele serveru RADIUS konfigurace hostitele radius-serveru 1.3.5.7 acct-port 56 auth-port 66 nečinnost 45 ignore-acct-port ignore-auth-port 3.4.5.6 klíč 7 ERWQ retransmit 50 test uživatelského jména časový limit 500! konec
\Konfigurace klíče serveru RADIUS konfigurace klíče serveru radius 7 ERWQ ! konec
\Konfigurace vyrovnávání zátěže pro server RADIUS
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 44
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace automatického testování
konfigurovat metodu vyvažování zátěže rádius-serveru nejmenší-nevyspělá velikost dávky 25 metoda vyvažování zátěže poloměr-serveru nejméně-výhradní ignorovat-preferovaný-server velikost dávky 45 ! konec
\Ignorování neznámých atributů VSA na serveru RADIUS konfigurace atributu radius-server vsa ignorovat neznámý ! konec
\Konfigurace mrtvých kritérií pro server RADIUS konfigurace času mrtvého kritéria serveru radius 60 pokusů mrtvého kritéria serveru poloměru 60 ! konec
\Configuring Disallow Username configure radius-server disallow null-username ! konec
\Nastavení IP DSCP pro RADIUS Server konfigurace radius-server ipv4 dscp 43 radius-server ipv4 dscp výchozí ! konec
Konfigurace automatického testování
Provedením této úlohy otestujte, zda je externí server RADIUS UP nebo ne.
SOUHRNNÉ KROKY
1. konfigurovat 2. radius-server idle-time idle_time 3. radius-server test uživatelské jméno uživatelské jméno 4. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Konfigurace RP/0/RSP0/CPU0:router#
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 45
Nastavení IP DSCP pro RADIUS Server
Konfigurace funkcí ověřování, autorizace a účtování
Krok 2 Krok 3 Krok 4
Příkaz nebo Akce radius-server idle-time idle_time Přampten:
Účel
Určuje dobu nečinnosti, po které by se měl spustit automatický test. Doba nečinnosti je uvedena v minutách a je v rozsahu od 1 do 60.
RP/0/RSP0/CPU0:router(config-radius-host)# radius-server idle-time 45
radius-server test uživatelské jméno uživatelské jméno Přampten:
Určuje uživatelské jméno, které má být testováno pro funkci automatického testování.
RP/0/RSP0/CPU0:router(config-radius-host)# test radius-server uživatelské jméno user1
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace automatického testování: Příkladample
konfigurace radius-server idle-time 60 radius-server test uživatelské jméno user_1 ! konec
Nastavení IP DSCP pro RADIUS Server
Provedením této úlohy nastavte kódový bod DSCP (IP Differentiated Services Code Point) pro server RADIUS.
SOUHRNNÉ KROKY
1. konfigurovat 2. radius-server ipv4 dscp codepoint_value 3. radius-server ipv4 dscp default 4. Použijte příkaz commit nebo end.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 46
Konfigurace funkcí ověřování, autorizace a účtování
Vyrovnávání zatížení transakce na serveru RADIUS
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2 Krok 3
Konfigurace RP/0/RSP0/CPU0:router#
radius-server ipv4 dscp codepoint_value
Umožňuje označit pakety poloměru konkrétním
Exampten:
hodnota bodu kódu diferencovaných služeb (DSCP), která nahrazuje zastaralou prioritu IP, 3bitové pole v typu
Servisní bajt hlavičky IP původně používaný ke klasifikaci a
RP/0/RSP0/CPU0:router(config)# dscp 45
radius-server
ipv4
upřednostňovat typy provozu. Tato kódová bodová hodnota se pohybuje od
0 až 63.
radius-server ipv4 dscp default Přampten:
Porovná pakety s výchozím dscp (000000).
Krok 4
RP/0/RSP0/CPU0:router(config)# radius-server ipv4 výchozí dscp
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Nastavení IP DSCP pro server RADIUS: Příkladample
konfigurace radius-server ipv4 dscp 43 radius-server ipv4 dscp výchozí ! konec
Vyrovnávání zatížení transakce na serveru RADIUS
Funkce vyvažování zátěže RADIUS je mechanismus pro sdílení zátěže přístupových a účetních transakcí RADIUS přes sadu serverů RADIUS. Každé zpracování požadavku AAA je považováno za transakci. BNG distribuuje dávky transakcí na servery v rámci skupiny serverů.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 47
Konfigurace vyvažování zátěže pro globální skupinu serverů RADIUS
Konfigurace funkcí ověřování, autorizace a účtování
Když je přijata první transakce pro novou, BNG určí server s nejnižším počtem nevyřízených transakcí ve své frontě. Tomuto serveru je přiřazena tato dávka transakcí. BNG tento proces určování neustále opakuje, aby bylo zajištěno, že server s nejméně nevyřízenými transakcemi vždy dostane novou dávku. Tato metoda je známá jako nejméně výjimečná metoda vyrovnávání zátěže.
Funkci vyrovnávání zátěže můžete nakonfigurovat buď globálně, nebo pro servery RADIUS, které jsou součástí skupiny serverů. Je-li ve skupině serverů definován preferovaný server, musíte do konfigurace vyrovnávání zátěže zahrnout klíčové slovo „ignore-preferred-server“, aby se preference zakázala.
Informace o globální konfiguraci funkce vyrovnávání zátěže naleznete v části Konfigurace vyvažování zátěže pro globální skupinu serverů RADIUS, na stránce 48.
Informace o konfiguraci funkce vyrovnávání zatížení na serverech RADIUS, které jsou součástí pojmenované skupiny serverů, naleznete v části Konfigurace vyrovnávání zatížení pro pojmenovanou skupinu serverů RADIUS, na stránce 49.
Konfigurace vyvažování zátěže pro globální skupinu serverů RADIUS
Provedením této úlohy aktivujete funkci vyrovnávání zátěže pro globální skupinu serverů RADIUS. Jako example, v této konfiguraci je preferovaný server nastaven tak, aby byl ignorován.
SOUHRNNÉ KROKY
1. nakonfigurujte 2. metodu vyvažování zátěže radius-serveru nejmenší-nevyřízená velikost dávky 3. metodu vyvažování zátěže radius-serveru nejméně-nevyřízené velikost dávky ignorujte-preferovaný-server 4. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2 Krok 3
Konfigurace RP/0/RSP0/CPU0:router#
poloměr-server metoda vyvažování zátěže nejméně vynikající velikost dávky
Exampten:
RP/0/RSP0/CPU0:router(config)# metoda vyvažování zátěže poloměr-server nejméně-výborná velikost dávky 500
Konfiguruje možnosti vyrovnávání zátěže výběrem serveru s nejméně nevyřízenými transakcemi. Tato metoda vyrovnávání zátěže používá pro výběr serveru velikost dávky. Velikost se pohybuje od 1 do 1500. Pokud není zadána žádná hodnota, výchozí je 25.
poloměr-server metoda vyvážení zátěže nejméně vynikající ignorovat-preferovaný-server velikost dávky
Exampten:
RP/0/RSP0/CPU0:router(config)# metoda radius-server load-balance nejméně-outstanding ignore-preferred-server batch-size 500
Nakonfiguruje možnosti vyrovnávání zatížení pomocí deaktivace preferovaného serveru pro tuto skupinu serverů. Tato metoda vyrovnávání zátěže používá pro výběr serveru velikost dávky. Velikost se pohybuje od 1 do 1500. Pokud není zadána žádná hodnota, výchozí je 25.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 48
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace vyvažování zátěže pro pojmenovanou skupinu serverů RADIUS
Krok 4
Příkaz nebo akce Použijte příkaz commit nebo end.
Účel
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace vyvažování zátěže pro server RADIUS: Příkladample
konfigurovat metodu vyvažování zátěže rádius-serveru nejmenší-nevyspělá velikost dávky 25 metoda vyvažování zátěže poloměr-serveru nejméně-výhradní ignorovat-preferovaný-server velikost dávky 45 ! konec
Konfigurace vyvažování zátěže pro pojmenovanou skupinu serverů RADIUS
Provedením této úlohy aktivujete funkci vyrovnávání zátěže pro pojmenovanou skupinu serverů RADIUS. Jako example, v této konfiguraci je preferovaný server nastaven tak, aby byl ignorován.
SOUHRNNÉ KROKY
1. konfigurovat 2. aaa skupinový server poloměr název_skupiny_serveru metoda vyvažování zátěže nejméně nevyřízená velikost dávky
velikost 3. poloměr skupinového serveru aaa název_skupiny_serveru metoda vyvážení zátěže nejméně vynikající
ignore-preferred-server velikost dávky 4. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2
Konfigurace RP/0/RSP0/CPU0:router#
aaa okruh skupinového serveru název_skupiny_serveru
Konfiguruje možnosti vyvažování rádiusu výběrem
metoda vyvážení zátěže nejméně nevyřízená velikost dávky server s nejméně nevyřízenými transakcemi. Tento
Exampten:
metoda vyvažování zátěže používá pro výběr velikost dávky
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 49
Omezování RADIUS záznamů
Konfigurace funkcí ověřování, autorizace a účtování
Krok 3 Krok 4
Příkaz nebo Akce
Účel
serveru. Velikost se pohybuje od 1 do 1500. Pokud žádná hodnota
RP/0/RSP0/CPU0:router(config)# aaa poloměr skupinového serveru sg1 metoda vyvážení zátěže nejméně vynikající
je zadáno, výchozí je 25.
velikost šarže 500
aaa poloměr skupinového serveru název_skupiny_serveru metoda vyvážení zátěže nejméně kvalitní ignorovat-preferovaný-server velikost dávky
Exampten:
Nakonfiguruje možnosti vyrovnávání zatížení pomocí deaktivace preferovaného serveru pro tuto skupinu serverů. Tato metoda vyrovnávání zátěže používá pro výběr serveru velikost dávky. Velikost se pohybuje od 1 do 1500. Pokud není zadána žádná hodnota, výchozí je 25.
RP/0/RSP0/CPU0:router(config)# aaa poloměr skupinového serveru sg1 metoda vyvážení zátěže nejméně vynikající ignorovat-preferovaný-server dávka-velikost 500
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Omezování RADIUS záznamů
Omezování záznamů AAA (RADIUS) je mechanismus, jak se vyhnout zahlcení a nestabilitě RADIUS. Tato funkce je užitečná v situacích, kdy není dostatečná šířka pásma pro pokrytí náhlého shluku požadavků AAA generovaných BNG pro server RADIUS.
Při konfiguraci omezení je definována prahová hodnota, která odpovídá maximálnímu počtu nevyřízených požadavků. Je možné nakonfigurovat nezávislé rychlosti omezení pro přístup (autentizace a autorizace) a požadavky na účtování. Po dosažení prahové hodnoty pro server nejsou na server odesílány žádné další požadavky tohoto typu. U nevyřízených požadavků je však spuštěn časovač opakovaného přenosu, a pokud je počet nevyřízených požadavků (který je kontrolován po každém vypršení časovače) nižší než prahová hodnota, je požadavek odeslán.
Protože relace může vypršet kvůli omezení požadavků na přístup, je nastaven limit pro počet pokusů o opakované vysílání. Po dosažení tohoto limitu jsou další požadavky na přístup zrušeny. Omezené požadavky na účtování jsou však zpracovávány prostřednictvím procesu převzetí služeb při selhání skupiny serverů.
Funkci omezení lze konfigurovat globálně nebo pro skupinu serverů. Obecným pravidlem preference konfigurace však je, že konfigurace skupiny serverů přepíše globální konfiguraci, pokud existuje.
Syntaxe příkazu Throtling CLI je:
radius-server throttle {[účetní THRESHOLD] [přístupový THRESHOLD [access-timeout NUMBER_OF-TIMEOUTS]]}
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 50
Konfigurace funkcí ověřování, autorizace a účtování
Globální konfigurace RADIUS Throttling
kde:
· účetní práh – Určuje práh pro požadavky na účtování. Rozsah je od 0 do 65536. Výchozí hodnota je 0 a znamená, že omezení je zakázáno pro požadavky na účtování.
• access THRESHOLD–Udává práh pro požadavky na přístup. Rozsah je od 0 do 65536. Výchozí hodnota je 0 a znamená, že omezení je zakázáno pro požadavky na účtování.
· access-timeout NUMBER_OF-TIMEOUTS–Udává počet po sobě jdoucích timeoutů, které musí na routeru nastat, po jejichž uplynutí jsou požadavky na přístup zrušeny. Rozsah je od 0 do 10. Výchozí hodnota je 3.
Poznámka Ve výchozím nastavení je funkce omezení u BNG zakázána.
Informace o globální aktivaci omezení naleznete v Globální konfigurace omezení RADIUS, na straně 51. Informace o aktivaci omezení na skupině serverů naleznete v části Konfigurace omezení RADIUS ve skupině serverů, na straně 52.
Globální konfigurace RADIUS Throttling
Provedením tohoto úkolu aktivujete omezení RADIUS globálně.
SOUHRNNÉ KROKY
1. konfigurace 2. prahová_hodnota přístupu radius-server 3. prahová_hodnota přístupu radius-server hodnota přístupového časového limitu 4. prahová_hodnota přístupu rádius-server prahová_hodnota přístupového časového limitu účetní prahová_hodnota 5. účtování rádius-serveru přístupová hodnota prahová_hodnota přístupová hodnota hodnota 6. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2 Krok 3
Konfigurace RP/0/RSP0/CPU0:router#
Radius-server throttle přístupová prahová_hodnota Přampten:
RP/0/RSP0/CPU0:router(config)# přístup k regulátoru radius-server 10
radius-server throttle prahová_hodnota přístupu hodnota časového limitu přístupu
Řídí počet žádostí o přístup odeslaných na server RADIUS. Prahová hodnota udává počet nevyřízených požadavků na přístup, po kterých by mělo být provedeno omezení. Rozsah je od 0 do 65535 a preferovaná hodnota je 100.
Určuje počet časových limitů, po kterých je požadavek na omezený přístup zrušen. Hodnota označuje číslo
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 51
Konfigurace omezení RADIUS ve skupině serverů
Konfigurace funkcí ověřování, autorizace a účtování
Krok 4 Krok 5 Krok 6
Příkaz nebo akce Přampten:
RP/0/RSP0/CPU0:router(config)# okruh-server omezení přístupu 10 access-timeout 5
Účel
časových limitů pro transakci. Rozsah je od 1 do 10 a výchozí hodnota je 3.
prahová_hodnota přístupu radius-server throttle
Řídí počet požadavků na časový limit přístupu odeslaných do a
hodnota přístupového časového limitu účetní prahová_hodnota
server RADIUS. Prahová hodnota označuje číslo
Exampten:
nesplacených účetních transakcí, po kterých by mělo být provedeno omezení. Rozsah je od 0 do 65535 a
RP/0/RSP0/CPU0:router(config)# radius-server
preferovaná hodnota je 100.
plynový přístup 10 access-timeout 5 účtování 10
prahová_hodnota účtování radius-server throttle Řídí počet požadavků na účtování odeslaných do a
přístupová hodnota access-timeout value
server RADIUS. Prahová hodnota označuje číslo
Exampten:
nesplacených účetních transakcí, po kterých by mělo být provedeno omezení. Hodnota se pohybuje mezi 0 až 65535
RP/0/RSP0/CPU0:router(config)# radius-server
a preferovaná hodnota je 100.
účtování plynu 56 přístup 10 timeout přístupu 5
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Globální konfigurace RADIUS Throttling: Příkladample
konfigurace radius-server throttle access 10 access-timeout 5 účtování 10 ! konec
Konfigurace omezení RADIUS ve skupině serverů
Provedením této úlohy aktivujete omezení RADIUS na skupině serverů.
SOUHRNNÉ KROKY
1. konfigurace 2. poloměr aaa skupinového serveru název_skupiny_serveru 3. název hostitele serveru acct-port acct_port_value auth-port auth_port_value
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 52
Konfigurace funkcí ověřování, autorizace a účtování
Konfigurace omezení RADIUS ve skupině serverů
4. prahová_hodnota přístupu k omezení přístupu hodnota časového limitu účtování prahová_hodnota 5. Použijte příkaz commit nebo end.
PODROBNÉ KROKY
Krok 1
Konfigurace příkazu nebo akce Přampten:
Účel Vstoupí do režimu globální konfigurace.
Krok 2
Konfigurace RP/0/RSP0/CPU0:router#
aaa okruh skupinového serveru název_skupiny_serveru Přampten:
Konfiguruje definici skupiny serverů AAA (RADIUS).
Krok 3 Krok 4 Krok 5
RP/0/RSP0/CPU0:router(config)# aaa poloměr skupinového serveru SG1
server hostname acct-port acct_port_value auth-port Konfiguruje účtování nebo ověřování serveru RADIUS
auth_port_value
port s IP adresou nebo názvem hostitele (jak je uvedeno).
Exampten:
Číslo účetního portu a číslo ověřovacího portu se pohybuje od 0 do 65535.
RP/0/RSP0/CPU0:router(config-sg-radius)# server 99.1.1.10 auth-port 1812 acct-port 1813
throttle access prahová_hodnota access-timeout value Konfiguruje možnosti omezení RADIUS pro ovládání
účetní prahová_hodnota
počet požadavků na přístup a účtování odeslaných na RADIUS
Exampten:
server. Prahová hodnota udává počet nevyřízených požadavků na přístup nebo účetních transakcí poté
jaké škrcení by se mělo provádět. Rozsah je od 0
RP/0/RSP0/CPU0:router(config-sg-radius)# radius-server throttle access 10 access-timeout 5 accounting 10
na
65535,
a
pro
obě
přístup
a
účetnictví
žádosti
a
preferovaná hodnota je 100.
Použijte příkaz commit nebo end.
commit – Uloží změny konfigurace a zůstane v rámci konfigurační relace.
end – Vyzve uživatele k provedení jedné z těchto akcí:
· Ano — Uloží změny konfigurace a ukončí relaci konfigurace.
· Ne – Ukončí relaci konfigurace bez potvrzení změn konfigurace.
· Storno – Zůstává v konfigurační relaci, aniž by byly provedeny změny konfigurace.
Konfigurace omezení RADIUS na skupině serverů: Příkladample
nakonfigurovat aaa skupinový server radius SG1
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 53
RADIUS Změna oprávnění (CoA) přesview
Konfigurace funkcí ověřování, autorizace a účtování
server 99.1.1.10 auth-port 1812 acct-port 1813 radius-server throttle access 10 access-timeout 5 účtování 10 ! konec
RADIUS Změna oprávnění (CoA) přesview
Funkce Změna oprávnění (CoA) umožňuje serveru RADIUS změnit nastavení oprávnění pro účastníka, který je již autorizován. CoA je rozšíření standardu RADIUS, které umožňuje odesílat asynchronní zprávy ze serverů RADIUS klientovi RADIUS, jako je BNG.
Poznámka Server CoA se může lišit od serveru RADIUS.
K identifikaci účastníka, jehož konfiguraci je třeba změnit, server RADIUS CoA podporuje a používá různé klíče (atributy RADIUS), jako je Accounting-Session-ID, Username, IP-Address a ipv4:vrf-id. RADIUS CoA podporuje:
· přihlášení k účtu — Když se uživatel přihlásí do sítě, externí web portál, který podporuje CoA, odešle BNG požadavek na přihlášení k účtu s přihlašovacími údaji uživatele (uživatelské jméno a heslo). Account-logon na BNG se pak pokusí ověřit uživatele prostřednictvím RADIUS s těmito přihlašovacími údaji.
· account-logoff – BNG zpracuje požadavek na odhlášení z účtu jako událost odpojení pro účastníka a ukončí relaci.
Poznámka Server RADIUS CoA nerozlišuje mezi původci události odpojení. Když tedy BNG obdrží požadavek na odhlášení účtu ze serveru RADIUS CoA, pro požadavek iniciovaný uživatelem i správcem, Acct-Terminate-Cause, která má být odeslána na server RADIUS, je vždy nastavena jako Admin-Reset. .
· aktualizace účtu – BNG analyzuje a aplikuje atributy obdržené v rámci CoA profile. Jsou podporovány a aplikovány pouze atributy specifické pro předplatitelefile.
· activate-service — BNG spustí předplatiteli předdefinovanou službu. Nastavení služby lze definovat lokálně pomocí dynamické šablony nebo je lze stáhnout ze serveru RADIUS.
· deactivate-service — BNG zastaví dříve spuštěnou službu na předplatiteli, což je ekvivalentní deaktivaci dynamické šablony.
Seznam podporovaných atributů specifických pro dodavatele pro operace účtů najdete v části Atributy specifické pro dodavatele pro operace s účty, na straně 451.
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 54
Konfigurace funkcí ověřování, autorizace a účtování
RADIUS Změna oprávnění (CoA) přesview
Poznámka Aby BNG povolilo průběžné účtování, je pro požadavek CoA povinné mít seznam účetních metod z dynamické šablony a atribut Acct-Interim-Interval od uživatele pro.file. Toto chování je použitelné pro účtování povolené prostřednictvím dynamické šablony. Zatímco od Cisco IOS XR Software Release 5.3.0 a novějších musí mít požadavek CoA pouze atribut Acct-Interim-Interval v uživatelském profile.
Service Activate from CoA BNG podporuje aktivaci služeb prostřednictvím požadavků CoA. Příkaz CoA service-activate se používá k aktivaci služeb. Požadavek CoA na aktivaci služby by měl obsahovat tyto atributy:
· “subscriber:command=activate-service” Cisco VSA · “subscriber:service-name= ” Cisco VSA · Další atributy, které jsou součástí služby profile
" ” lze také použít k aktivaci služeb z CoA a prostřednictvím RADIUS. Duplicitní požadavky na aktivaci služby lze do BNG odesílat ze serveru CoA. BNG nepodnikne žádnou akci se službami, které jsou již aktivovány. BNG odešle zprávu CoA ACK na server CoA v těchto scénářích:
· Když z CoA přijde duplicitní požadavek se stejnými parametry pro službu, která je již aktivní.
· Když z CoA přijde duplicitní požadavek s identickými parametry na použití parametrizované služby.
BNG odešle na server CoA zprávu CoA NACK s chybovým kódem jako neplatným atributem v těchto scénářích:
· Když přijde požadavek z CoA na deaktivaci neparametrizované služby, která není aplikována na relaci.
· Když přijde požadavek z CoA na deaktivaci parametrizované služby, která není aplikována na relaci.
· Když je podán duplicitní požadavek na použití parametrizované služby s neidentickými parametry z CoA.
· Když od CoA přijde požadavek s neidentickými parametry na deaktivaci parametrizované služby.
Aktualizace služby z CoA Funkce aktualizace služby umožňuje stávajícímu servisnímu profesionálovifile být aktualizován novým seznamem atributů RADIUS představujícím aktualizovanou službu. To má dopad na každého účastníka, který je již se službou aktivován, a nového účastníka, který si službu aktivuje v budoucnu. K aktivaci této funkce se používá nový příkaz CoA service-update. Požadavek CoA na aktualizaci služby by měl mít tyto atributy:
· “subscriber:command=service-update” Cisco VSA · “subscriber:service-name= ” Cisco VSA · Další atributy, které jsou součástí služby profile
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 55
Vícečinná změna oprávnění
Konfigurace funkcí ověřování, autorizace a účtování
CoA aktualizace služby by měla mít minimálně tyto atributy:
· vsa cisco obecný 1 řetězec „subscriber:command=service-update“
· vsa cisco generic 1 string “subscriber:service-name= “
Web Přihlášení pomocí CoA založeného na RADIUS
Na podporu Web Při přihlašování je třeba uspořádaným způsobem nakonfigurovat sadu událostí pravidel zásad. Tyto události jsou následující:
· začátek relace:
· Na začátku relace je předplatitel nastaven tak, aby získal připojení k internetu. Služba je aktivována pro přesměrování HTTP provozu na a Web portál pro web-založené přihlášení.
· Spusťte časovač s dobou trvání maximální doby čekání na ověření.
· přihlášení k účtu — The Web portál shromažďuje přihlašovací údaje uživatele, jako je uživatelské jméno a heslo, a spouští příkaz přihlášení k účtu CoA. Když je tato událost spuštěna, uživatelské jméno a heslo účastníka jsou ověřeny serverem RADIUS. Jakmile je ověření úspěšné, služba přesměrování HTTP se deaktivuje, čímž je uživateli udělen přístup k již připojenému nastavení internetu. Rovněž musí být zastaven časovač nastavený při zahájení relace. Pokud však autentizace selže během přihlášení k účtu, BNG odešle požadavek NAK CoA, což umožní provedení dalších pokusů o ověření.
· vypršení časovače — Po vypršení časovače se relace předplatitele odpojí na základě konfigurace.
Vícečinná změna oprávnění
BNG podporuje multi-action Change of Authorization (CoA), kdy poskytovatelé služeb mohou aktivovat a deaktivovat více služeb pomocí jednoho požadavku CoA. Pro příkazy Service-Logon a Service-Logoff CoA jsou podporovány multiakční CoA. Příkaz Service-Logon může obsahovat jeden nebo více atributů Service-Activate a volitelně Service-Deactivate atributů pro multiakční CoA pro specifikaci služeb, které mají být aktivovány nebo deaktivovány. Podobně může příkaz Service-Logoff obsahovat jeden nebo více atributů Service-Deactivate a volitelně atributů Service-Activate pro multiakční CoA pro specifikaci služeb, které mají být deaktivovány nebo aktivovány.
MA-CoA podporuje maximálně 10 aktivací nebo deaktivací služby na žádost MA-CoA, doporučuje se však vydat šest aktivací nebo deaktivací na žádost MA-CoA.
Pokud se během multiakčního požadavku CoA nepodaří aktivovat nebo deaktivovat některý z požadavků na certifikát pravosti, pak se jakákoli ze služeb, které byly aktivovány nebo deaktivovány jako součást tohoto požadavku CoA, vrátí zpět do předchozího stavu. Po selhání aktivace nebo deaktivace se relace obnoví zpět do stavu před MA-CoA.
Událost rollback-failure, výjimka, může být nakonfigurována tak, aby specifikovala, jaká akce má být provedena, když vrácení služby selže po neúspěšném požadavku MA-CoA (tj. v případě stavu dvojitého selhání). Výchozí akcí, která se provede, když se vrácení zpět nezdaří, je zachování relace, můžete však nakonfigurovat ukončení relace.
Následující exampPodrobnosti o výjimce selhání vrácení zpět.
policy-map type control subscriber PL1 událost session-start match-first class type control subscriber class-default do-all 1 activate dynamic-template pkt-trig1
Průvodce konfigurací brány širokopásmové sítě pro směrovače Cisco ASR 9000 Series, IOS XR Release 6.2.x 56
Konfigurace funkcí ověřování, autorizace a účtování
Generování účetních záznamů
! ! událost výjimka zápas-první
třída typ řízení předplatitel coa-rollback-failure do-all 10 odpojit
! ! !
Exampsoubor vícečinné změny případu použití autorizace Následující příkladample uvádí posloupnost událostí, které nastanou v případě zahájení relace PTA. 1. PTA relace web provoz přesměrován na servisní portál (HTTP Redirect) 2. Uživatel aktivuje první úroveň služby prostřednictvím servisního portálu. Multiakce žádost o pravost
se spouští v následujícím pořadí. A. Deaktivace přesměrování b. Aktivujte tlačítko Turbo 1 c. Aktivujte VoIP se dvěma kanály
3. Uživatel si aktivuje druhý stupeň služby prostřednictvím servisního portálu. Multiakční požadavek COA je iniciován v následujícím pořadí. A. Deaktivace tlačítka Turbo 1 b. Aktivujte tlačítko Turbo 2 c. Deaktivujte VoIP se dvěma kanály d. Aktivujte VoIP se 4 kanály
Spolupráce s účtováním na úrovni služeb BNG podporuje účtování na úrovni služeb, kde služba je soubor funkcí, které se aktivují a deaktivují jako skupina. Funkce Service-Level Accounting a MA-CoA jsou nezávislé, to znamená, že je lze použít samostatně. MA-CoA však počítá se službami, které jsou aktivovány nebo deaktivovány
Dokumenty / zdroje
 |
Směrovače CISCO ASR řady 9000 Konfigurace brány širokopásmové sítě [pdfUživatelská příručka Směrovače řady ASR 9000 Konfigurace brány širokopásmové sítě, řada ASR 9000, Směrovače Konfigurace brány širokopásmové sítě, Konfigurace brány širokopásmové sítě, Konfigurace brány sítě, Konfigurace brány, Konfigurace |