Configurar el policing basado en RADIUS

Anuncio
Configurar el policing basado en RADIUS
Descargue este capítulo
Configurar el policing basado en RADIUS
Descargue el libro completo
Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR (PDF - 2 MB)
Feedback
Contenido
Configurar el policing basado en RADIUS
Encontrar la información de la característica
Requisitos previos para el policing basado en RADIUS
Restricciones para el policing basado en RADIUS
Información sobre el policing basado en RADIUS
Atributos RADIUS
Atributos de RADIUS 250 y 252
Cisco VSA 1
Primitivo de la Agregar-clase
Primitivo de la Quitar-clase
Dado parámetros política de calidad de servicio (QoS) como VSA 1
Parametrización de QoS ACL
Cómo configurar el policing basado en RADIUS
Configurar el shaping de la por session
Configurando a política de calidad de servicio (QoS) con el shaping en el ISG
Configurar el shaping de la por session en el RADIUS
Configurar el modelado y regulación del tráfico del Por-servicio
Configurar una política hija jerárquica de QoS con el modelado y regulación del tráfico en el ISG
Configurar una política controlante jerárquica de QoS con el modelado y regulación del tráfico en el ISG
Configurar el modelado y regulación del tráfico del Por-servicio en el RADIUS
Verificar el policing basado en RADIUS
Ejemplos de configuración para el policing basado en RADIUS
Ejemplo que agrega la parametrización de QoS ACL
Ejemplo que fija la velocidad de modelado usando un mensaje del access-accept
Ejemplo que fija la velocidad de modelado usando un mensaje CoA
Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje del access-accept
Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje CoA
Referencias adicionales
Información de la característica para el policing basado en RADIUS
Configurar el policing basado en RADIUS
Última actualización: De agosto el 21 de 2011
La característica de regulación de tráfico basado en RADIUS permite al gateway inteligente de los servicios (ISG) para realizar los cambios automáticos a la velocidad de
tráfico ordenado de las sesiones y de los servicios específicos.
Encontrar la información de la característica
Requisitos previos para el policing basado en RADIUS
Restricciones para el policing basado en RADIUS
Información sobre el policing basado en RADIUS
Cómo configurar el policing basado en RADIUS
Ejemplos de configuración para el policing basado en RADIUS
Referencias adicionales
Información de la característica para el policing basado en RADIUS
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los
Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las
versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco
Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Requisitos previos para el policing basado en RADIUS
Usted debe configurar todas las clases de tráfico en el ISG antes de referirse a las clases a las correspondencias de políticas.
Usted debe configurar y aplicar política de calidad de servicio (QoS) las correspondencias en el ISG ante el ISG puede construir y aplicar una directiva de servicio dinámico
ANCP-basada.
Restricciones para el policing basado en RADIUS
el policing del Por-servicio no se puede configurar en el clase class-default en el padre llano de una política de jerarquía. Usted puede configurar el policing del por-servicio
en los clase class-default en el nivel del niño o del nieto.
Las directivas transitorias no son visibles en el archivo de la ejecutar-configuración. Solamente la configuración de la política original es visible.
QoS con parámetros no se soporta para las sesiones IP.
El nombre con parámetros de la lista de control de acceso (pACL) se limita a 80 caracteres. El nombre del pACL es formado concatenando las entradas ACL en el mensaje
CoA o del access-accept RADIUS al nombre ACL configurado en el ISG. Si el nombre del pACL excede 80 caracteres la operación de la parametrización falla y las
visualizaciones de un mensaje de error. Para un mensaje CoA, el ISG también envía una respuesta negativa Ack (nack) al servidor de RADIUS.
Si hay un empuje concatenado de la servicio-activación, las directivas de QoS se aplican primero y en seguida mantienen la activación ocurren. Si una activación
concatenada del servicio falla, ninguna directivas de QoS aplicada no se ruedan detrás.
Información sobre el policing basado en RADIUS
Atributos RADIUS
Dado parámetros política de calidad de servicio (QoS) como VSA 1
Parametrización de QoS ACL
Atributos RADIUS
El RADIUS comunica con el ISG integrando los atributos específicos en el access-accept y el cambio de los mensajes de la autenticación (CoA). El modelado y regulación
del tráfico basado en RADIUS emplea este intercambio de los atributos para activar y para desactivar los servicios y para modificar la directiva activa del Calidad de Servicio
(QoS) aplicada a una sesión. El servidor de RADIUS determina el nuevo shaping o velocidad de tráfico ordenado basada en los atributos específicos del proveedor (VSA)
configurados en un perfil del usuario del s del del subscriberâ en el RADIO y en el Control Protocol avanzado del nodo (ANCP) - tarifa señalada recibida del ISG.
Después de recibir el mensaje del access-accept o CoA, el ISG copia la correspondencia de políticas original aplicada a la sesión y cambia el shaping o la velocidad de
tráfico ordenado de la directiva copiada, transitoria según lo indicado por el RADIUS. El ISG no cambia la velocidad de modelado de la directiva original. Después de cambiar
la directiva transitoria, el ISG aplica la directiva transitoria al servicio para suscriptores.
Las secciones siguientes describen los atributos de RADIUS usados en el policing basado en RADIUS:
Atributos de RADIUS 250 y 252
Cisco VSA 1
Atributos de RADIUS 250 y 252
Atributo 250 de las aplicaciones RADIUS en los mensajes del access-accept y atributo 252 en los mensajes CoA para activar y para desactivar los servicios con parámetros.
Configuran a los servicios ISG localmente en el dispositivo ISG; El RADIUS envía solamente el nombre del servicio.
Los atributos 250 y 252 tienen el sintaxis siguiente para la activación del servicio:
Mensajes del access-accept
250 "Aservice(parameter1=value,parameter2=value,...)"
Mensajes CoA
252 0b "service(parameter1=value,parameter2=value,...)"
Atributo 252 de las aplicaciones RADIUS solamente en un mensaje CoA al desactivar un servicio. El RADIUS envía la misma información en el atributo 252 que fue utilizado
para la activación del servicio, salvo que las aplicaciones 0c de la desactivación del servicio en el sintaxis en vez del parámetro 0b usado para la activación del servicio.
252 0xC "service(parameter1=value,parameter2=value,...)"
El VSA 252 tiene el sintaxis antedicho para la desactivación del servicio.
Cisco VSA 1
El RADIUS utiliza un comando 1 del Atributo específico del proveedor (VSA) de modificar el active política de calidad de servicio (QoS) en una sesión. Este VSA tiene el
formato siguiente:
av-pair = "policy-type=command 9 parameter1 ,...,parametern"
Utilice el formato siguiente de Cisco VSA 1 para agregar y para quitar las clases y las acciones de QoS a y desde política de calidad de servicio (QoS) que está actualmente el active en una sesión:
qos-policy-in=add-class(target,(class-list),qos-actions-list)
qos-policy-out=add-class(target,(class-list),qos-actions-list)
qos-policy-in=remove-class(target,(class-list))
qos-policy-out=remove-class(target,(class-list))
Antes de que el ISG pueda construir una directiva usando los parámetros de regulación de tráfico especificados en el mensaje de RADIUS, política de calidad de servicio
(QoS) debe ser activo en la sesión. Si a política de calidad de servicio (QoS) no es activa en la dirección especificada, el ISG no crea la directiva.
Al implementar los cambios especificados en el Cisco VSA, el ISG no realiza los cambios al configurado originalmente política de calidad de servicio (QoS) en el dispositivo
ISG. En lugar, el ISG copia el activo política de calidad de servicio (QoS) para la sesión y después realiza los cambios obligatorios a la copia de la directiva, que se refiere
como directiva transitoria. Configurado originalmente política de calidad de servicio (QoS) en el dispositivo ISG no se cambia.
Las secciones siguientes describen los comandos 1 de Cisco VSA usados para modificar automáticamente los parámetros de regulación de tráfico de las directivas activas:
Primitivo de la Agregar-clase
Primitivo de la Quitar-clase
Primitivo de la Agregar-clase
Para agregar o modificar las acciones de QoS a una clase de tráfico, utilice el primitivo de la agregar-clase. Este atributo tiene el formato siguiente:
qos-policy-in=add-class(target,(class-list),qos-actions-list)
qos-policy-out=add-class(target,(class-list),qos-actions-list
campo de la blanco-- Indica política de calidad de servicio (QoS) para ser modificado. El único valor válido para este campo es sub, que indica el active política de
calidad de servicio (QoS) asociado a la sesión del suscriptor. El mensaje del access-accept o CoA que incluye este atributo debe apuntar una sesión del suscriptor.
campo de la clase-lista--Una lista de nombres de la clase incluyó entre paréntesis que identifica la clase de tráfico a la cual la acción de QoS especificada se aplica.
Los nombres de la clase que usted especifica deben ser correspondencias de la clase del usuario configurado o el clase class-default generado del sistema. La orden
en la cual usted especifica los nombres de la clase indica el nivel jerárquico de la clase dentro del política de calidad de servicio (QoS).
Por ejemplo, la lista de clase siguiente identifica la clase nombrada el del del voipâ del del del â, que consigue agregado a una política anidada. La clase VoIP se configura
en una política hija jerarquizada que se aplique al clase class-default del padre.
(class-default, voip)
Configuración ISG
policy-map child
class voip
police 8000
policy-map parent
class class-default
service-policy child
La lista de clase siguiente especifica la clase voip-2, que se configura en una política anidada que se aplique a la clase del VoIP-agregado de otra política hija jerarquizada.
La directiva que contiene la clase del VoIP-agregado a su vez se jerarquiza bajo clase class-default del política de calidad de servicio (QoS) asociado a la sesión de la
blanco.
(class-default, voip-aggregate, voip-2)
Configuración MSQ
policy-map child2
class voip-2
police 8000
policy-map child1
class voip-aggregate
police 20000
service-policy child2
policy-map parent
class class-default
shape 512000
service-policy child1
El campo de la qos-acción-lista indica una acción de QoS tal como policía, seguida por los parámetros de la acción incluyó entre paréntesis y se separó por las comas. Por
ejemplo, el siguiente ejemplo especifica la acción policial y define los parámetros BPS, explosión-normal, explosión-MAX, acción de conformidad, acción de excedente, y
acción de violación. Paréntesis incluyen los parámetros de la acción.
(voip-aggregate police(200000,9216,0,transmit,drop,drop))
Nota El ejemplo muestra doble-paréntesis en el extremo, porque el sintaxis del VSA especifica el recinto de la blanco, de la
clase-lista, y de la qos-acción-lista entre paréntesis.
Primitivo de la Quitar-clase
Para quitar las clases de tráfico y las acciones de QoS definidas en el active política de calidad de servicio (QoS) en una sesión, utilice el primitivo de la quitar-clase. Este
atributo tiene el formato siguiente:
qos-policy-in=remove-class(target,(class-list))
qos-policy-out=remove-class(target,(class-list))
campo de la blanco--Indica política de calidad de servicio (QoS) para ser modificado. Actualmente, el único valor válido para este campo es sub, que indica el active
política de calidad de servicio (QoS) asociado a la sesión del suscriptor. El mensaje del access-accept o CoA que incluye este atributo debe apuntar una sesión del
suscriptor.
campo de la clase-lista--Una lista de nombres de la clase incluyó entre paréntesis que identifica la clase o las clases que se quitarán. Los nombres de la clase que
usted especifica deben ser correspondencias de la clase del usuario configurado o el clase class-default generado del sistema. La orden en la cual usted especifica
los nombres de la clase indica el nivel jerárquico de la clase dentro del política de calidad de servicio (QoS).
Por ejemplo, el atributo siguiente VSA1 quita la clase de bronce y todas las política de calidad de servicio (QoS) acciones asociadas de la política hija jerarquizada que se
aplica al clase class-default del padre:
qos-policy-out=remove-class(sub,(class-default,Bronze))
Cuando usted quita una clase de tráfico del política de calidad de servicio (QoS), todos los atributos para la clase también se quitan. Para re-agregar la clase con los mismos
atributos, usted debe reeditar el atributo de RADIUS de la agregar-clase y proporcionar los parámetros obligatorios y los valores.
Dado parámetros política de calidad de servicio (QoS) como VSA 1
Las cadenas complejas múltiples en un mensaje CoA no se soportan porque no visualizan la conducta correcta de VSA 1, tal y como se muestra en del siguiente ejemplo:
vsa cisco 250 S152.1.1.2
vsa cisco generic 252 binary 0b suffix "q-p-out=IPOne1-isg-acct1(1)((c-d,tv)1(10000))"
vsa cisco generic 252 binary 0b suffix "q-p-out=IPOne1-isg-acct(1)((c-d,voip)1(10000))"
En el ejemplo:
Habilitan a todos los servicios en la blanco.
Dado parámetros política de calidad de servicio (QoS) en el sintaxis del comando second no se produce eco en el servicio ISG.
Dado parámetros política de calidad de servicio (QoS) en la primera sintaxis de los comandos se produce eco.
Parametrización de QoS ACL
La parametrización del ISG múltiple de los soportes de característica del Listas de control de acceso (ACL) de QoS y de QoS dio parámetros los servicios en un solo mensaje
del access-accept o CoA. Esta característica permite que el dispositivo del Authentication, Authorization, and Accounting (AAA) cambie los parámetros dinámicamente.
Cómo configurar el policing basado en RADIUS
Configurar el shaping de la por session
Configurar el modelado y regulación del tráfico del Por-servicio
Verificar el policing basado en RADIUS
Configurar el shaping de la por session
Configurando a política de calidad de servicio (QoS) con el shaping en el ISG
Configurar el shaping de la por session en el RADIUS
Configurando a política de calidad de servicio (QoS) con el shaping en el ISG
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. Policy-map-name del directiva-mapa
4. class class-default
5. [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del
desplazamiento}]
6. Policy-map-name de la servicio-directiva
7. extremo
PASOS DETALLADOS
Comando o acción
Paso permiso
1
Ejemplo:
Router> enable
Paso configure terminal
2
Propósito
Habilita el modo
EXEC privilegiado.
Ingrese su
contraseña si se
le pide que lo
haga.
Ingresa en el modo
de configuración
global.
Ejemplo:
Router# configure terminal
Paso Policy-map-name del directiva-mapa
3
Ejemplo:
Niño del directiva-mapa de Router(config)#
Paso class class-default
4
Crea o modifica un
directiva-mapa y
ingresa el modo de la
configuración de
correspondencia de
políticas.
Modifica la clase de
tráfico del classdefault.
Ejemplo:
Router (config-pmap) # class class-default
Paso [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una
5
variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del
desplazamiento}]
Tráfico de las
dimensiones de una
variable a la velocidad
de bits indicada.
Ejemplo:
Router (config-pmap-c) # media 10000 de la dimensión de una variable
Paso Policy-map-name de la servicio-directiva
6
Ejemplo:
Router (config-pmap-c) # niño de la servicio-directiva
Paso Finalizar
7
Ejemplo:
Router (config-pmap-c) # extremo
Aplica la
correspondencia de la
política hija al clase
class-default del
padre.
nombre del del
del â del Policymap-name de la
correspondencia
de la política
hija.
Modo de
configuración de
clase y devoluciones
del directiva-mapa de
las salidas al modo
EXEC privilegiado.
Configurar el shaping de la por session en el RADIUS
Para utilizar el RADIUS para fijar la velocidad de modelado para una sesión del suscriptor, configure Cisco siguiente VSA en el perfil del usuario en el RADIUS:
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default), shape(rate))"
Cuando el ISG recibe un access-accept RADIUS o un cambio del mensaje de la autenticación (CoA) con este VSA incluido, el ISG copia la correspondencia de políticas
actualmente configurada aplicada en la sesión y cambia la velocidad de modelado del clase class-default transitorio del padre a la velocidad de modelado especificada en el
VSA. El ISG realiza los cambios solamente a la directiva transitoria; no se realiza ningunos cambios a la correspondencia de políticas original. Después de cambiar la
directiva transitoria, el ISG aplica la directiva transitoria a la sesión del suscriptor.
Configurar el modelado y regulación del tráfico del Por-servicio
Configurar una política hija jerárquica de QoS con el modelado y regulación del tráfico en el ISG
Configurar una política controlante jerárquica de QoS con el modelado y regulación del tráfico en el ISG
Configurar el modelado y regulación del tráfico del Por-servicio en el RADIUS
Configurar una política hija jerárquica de QoS con el modelado y regulación del tráfico en el ISG
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. Policy-map-name del directiva-mapa
4. nombre de la clase de la clase
5. [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del
desplazamiento}]
6. [violate-action action] de la acción de la acción de excedente de la acción de la acción de conformidad del [burst-max] del [burst-normal] BPS de la policía
7. extremo
PASOS DETALLADOS
Comando o acción
Paso permiso
1
Ejemplo:
Router> enable
Propósito
Habilita el modo EXEC
privilegiado.
Ingrese su
contraseña si se
le pide que lo
haga.
Paso configure terminal
2
Ingresa en el modo de
configuración global.
Ejemplo:
Router# configure terminal
Paso Policy-map-name del directiva-mapa
3
Ejemplo:
Niño del directiva-mapa de Router(config)#
Paso nombre de la clase de la clase
4
Ejemplo:
Router (config-pmap) # voip de la clase
Crea o modifica una
correspondencia de
políticas y ingresa el
modo de la
configuración de
correspondencia de
políticas.
Parámetros de QoS de
las configuraciones
para la clase de tráfico
que usted especifica y
que ingresa al modo de
configuración de clase
del directiva-mapa.
nombre del del
del â del nombre
de la clase de una
clase de tráfico
que usted
configuró
previamente
usando el
comando classmap.
Paso [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una
5
variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del
desplazamiento}]
Tráfico de las
dimensiones de una
variable a la velocidad
de bits indicada.
Ejemplo:
Router (config-pmap-c) # media 10000 de la dimensión de una variable
Paso [violate-action action] de la acción de la acción de excedente de la acción de la acción de Configura la Vigilancia
de tráfico.
6
conformidad del [burst-max] del [burst-normal] BPS de la policía
Ejemplo:
Router (config-pmap-c) # policía 10000
Paso Finalizar
7
Ejemplo:
Router (config-pmap-c) # extremo
Nota Especifique el
comando
shape o el
comando
police para una
clase de tráfico,
pero no los
comandos both
para la misma
clase.
Modo de configuración
de clase y devoluciones
del directiva-mapa de
las salidas al modo
EXEC privilegiado.
Nota Relance los
pasos 3 a 7
para cada
correspondencia
de la política
hija que usted
quiere crear, o
relance los
pasos 4 a 7
para cada clase
de tráfico usted
quiere definir en
cada
correspondencia
de políticas.
Configurar una política controlante jerárquica de QoS con el modelado y regulación del tráfico en el ISG
PASOS SUMARIOS
1. permiso
2. configuró terminal
3. Policy-map-name del directiva-mapa
4. class class-default
5. [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del
desplazamiento}]
6. Policy-map-name de la servicio-directiva
7. salida
PASOS DETALLADOS
Comando o acción
Paso permiso
1
Ejemplo:
Router> enable
Paso configure terminal
2
Propósito
Habilita el modo
EXEC privilegiado.
Ingrese su
contraseña si se
le pide que lo
haga.
Ingresa en el modo
de configuración
global.
Ejemplo:
Router# configure terminal
Paso Policy-map-name del directiva-mapa
3
Crea o modifica una
correspondencia de
políticas.
Ejemplo:
Router (config-pmap) # padre del directiva-mapa
Paso class class-default
4
Ejemplo:
Router (config-pmap) # class class-default
Modifica la clase de
tráfico del classdefault y ingresa al
modo de
configuración de
clase del directivamapa.
Paso [excess-burst-size] medio del [burst-size] de la tasa promedio de la dimensión de una
5
variable [cuenta {qinq | dot1q | suscriptor-encap definido por el usario aal5 del
desplazamiento}]
Tráfico de las
dimensiones de una
variable a la velocidad
de bits indicada.
Ejemplo:
Router (config-pmap-c) # media 10000 de la dimensión de una variable
Aplica la
correspondencia de la
política hija al clase
class-default del
padre.
Paso Policy-map-name de la servicio-directiva
6
Ejemplo:
Router (config-pmap-c) # niño de la servicio-directiva
nombre del del
del â del Policymap-name de la
correspondencia
de la política
hija.
Modo de
configuración de
clase del directivamapa de las salidas.
Paso salida
7
Ejemplo:
Router (config-pmap-c) # salida
Configurar el modelado y regulación del tráfico del Por-servicio en el RADIUS
Para utilizar el RADIUS para fijar la tarifa del modelado y regulación del tráfico para un servicio para suscriptores, configure Cisco siguiente VSA en el perfil del servicio en el
RADIUS:
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-list), shape(rate))"
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-list), police(rate))"
Cuando el ISG recibe un mensaje del access-accept o CoA RADIUS con estos VSA incluidos, el ISG copia la correspondencia de políticas originalmente configurada que es
activa en la sesión y cambia el shaping o la velocidad de tráfico ordenado de la clase de tráfico especificada en el campo de la clase-lista. El ISG realiza los cambios
solamente a la directiva transitoria y aplica la directiva transitoria al servicio para suscriptores; no se realiza ningunos cambios a la correspondencia de políticas original.
Nota
el modelado y regulación del tráfico del Por-servicio no se aplica al clase class-default del padre.
Para más información, vea la sección de los “atributos de RADIUS”.
Verificar el policing basado en RADIUS
Para verificar la configuración del policing basado en RADIUS en el ISG, utilice los siguientes comandos uces de los en el modo EXEC privilegiado.
Comando o acción
Router#show policy-map interface
Router# show policy-map interface interface [input | output]
Propósito
Visualiza la configuración de todas las clases
configuradas para todas las correspondencias
de políticas asociadas a todas las interfaces.
Visualiza la configuración de todas las clases
configuradas para todas las correspondencias
entrantes o de la política de salida asociadas a
la interfaz especificada.
la interfaz es el nombre de la interfaz o de
la subinterfaz.
la entrada indica las estadísticas para la
política de entrada asociada.
la salida indica las estadísticas para la
política de salida asociada. Si usted no
especifica la entrada o la salida, el router
muestra la información sobre todas las
clases que se configuren para todo el
entrante y las políticas de salida asociadas
a la interfaz que usted especifica.
Router# show policy-map
policy-map-name
Visualiza la configuración de todas las clases de
tráfico contenidas en la correspondencia de
políticas que usted especifica.
el Policy-map-name es el nombre de la
correspondencia de políticas para la
información de la configuración que usted
quiere aparecer.
Si usted no especifica un valor para el
directiva-mapa-nameargument, el
comando muestra la configuración de
todas las correspondencias de políticas
configuradas en el router.
Router# show policy-map policy-map-name class class-name
Visualiza la configuración de la clase que usted
especifica. La correspondencia de políticas que
usted especifica incluye esta clase.
el Policy-map-name es el nombre de la
correspondencia de políticas que contiene
la configuración de clase que usted quiere
aparecer.
el nombre de la clase es el nombre de la
clase a la cuya configuración usted quiere.
Si usted no especifica un valor para la
clase-nameargument, el comando muestra
la configuración de todas las clases
configuradas en la correspondencia de
políticas.
Router# show policy-map session [output | output |uid]
Visualiza las correspondencias entrantes o de la
política de salida configuradas por la sesión.
También visualiza la correspondencia de
políticas dinámica que se aplica a la sesión del
suscriptor. Si usted no especifica ninguna
argumentos, el comando muestra todas las
sesiones con las correspondencias de políticas
configuradas, que pudieron afectar el
funcionamiento.
la entrada indica las correspondencias de
la política de entrada.
la salida indica las correspondencias de la
política de salida.
el uid es la identificación de la sesión
Router# show running-config
Router# show running-config interface interface
Visualiza el archivo de la ejecutar-configuración,
que contiene la configuración actual del router,
incluyendo el valor por defecto política de
calidad de servicio (QoS).
Visualiza la configuración de la interfaz que
usted especifica que se configura actualmente
en el archivo de los ejecutar-config, incluyendo
cualquier política de servicio asociado a la
interfaz.
Ejemplos de configuración para el policing basado en RADIUS
Ejemplo que agrega la parametrización de QoS ACL
Ejemplo que fija la velocidad de modelado usando un mensaje del access-accept
Ejemplo que fija la velocidad de modelado usando un mensaje CoA
Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje del access-accept
Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje CoA
Ejemplo que agrega la parametrización de QoS ACL
El siguiente ejemplo muestra cómo dar parámetros el parámetro de la dirección IP de origen y del IP Address de destino del conjunto, conjunto-src-dst-IP-en-ACL, a través de
los mensajes CoA o del access-accept. El servicio con parámetros QoS se agrega en la forma con parámetros del servicio RADIUS de QoS:
VSA252 0b q-p-out=IPOne(1)((c-d,voip)13(10.10.1.0/28,10.3.20/29))
! The above command activates the service in a CoA message.
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default,voip),set-src-dst-ip-in-acl(10.10.1.0/28,10.3.20/29))"
! The above command activates the service in a Access-Accept message.
Configuran al router como sigue:
ip access-list extended IPOne-acl
remark Voice-GW
permit ip host 10.0.1.40 any
!
class-map match-any voip
match access-group name IPOne-acl
!
class-map type traffic match-any IPOne
match access-group output name IPOne-acl
match access-group input name IPOne-acl
!
!
policy-map type service IPOne
10 class type traffic IPOne
accounting aaa list default
!
!
policy-map output_parent
class class-default
police 32000 32000 32000 conform-action transmit exceed-action drop violate-action drop
service-policy output_child
!
!
policy-map output_child
class voip
police 32000 32000 32000 conform-action transmit exceed-action drop violate-action drop
!
!
!
! RADIUS relays the string for service activation. After the VSA is received, a new ACL is created.
ip access-list extended IPOne-acl-10.10.1.0/28,10.3.20/29
remark Voice-GW
permit ip host 10.0.1.40 any
permit ip 10.10.1.0 0.0.0.15 any
permit ip any 10.10.1.0 0.0.0.15
permit ip 10.3.2.0 0.0.0.7 any
permit ip any 10.3.2.0 0.0.0.7
!
! A new class map is created.
class-map match-any voip-10.10.1.0/28,10.3.20/29
match access-group name IPOne-acl-10.10.1.0/28,10.3.20/29
!
! The old class is replaced with the new class in the output QoS policy of the subscriber, along with any other attributes.
Agregar la parametrización de QoS ACL con las estadísticas del servicio ISG
Las demostraciones del siguiente ejemplo cómo agregar las estadísticas de QoS configurando el servicio de las estadísticas ISG:
policy-map type service IPOne
10 class type traffic IPOne
accounting aaa list default
!
class type traffic default in-out
!
!
! After the VSA is received, a new traffic class map is created on the service.
class-map type traffic match-any IPOne-10.10.1.0/28,10.3.2.0/29
match access-group output name IPOne-acl-10.10.1.0/28$10.3.2.0/29
match access-group input name IPOne-acl-10.10.1.0/28$10.3.2.0/29
!
! A new ISG service is created.
policy-map type service IPOne(tc_in=IPOne-acl-10.10.1.0/28$10.3.2.0/29)
10 class type traffic IPOne-10.10.1.0/28,10.3.2.0/29
accounting aaa list default
!
class type traffic default in-out
!
Ejemplo que fija la velocidad de modelado usando un mensaje del access-accept
Los ejemplos en esta sección ilustran cómo fijar la velocidad de modelado de una sesión usando un mensaje del access-accept.
Directiva de la original ISG
Este ejemplo de configuración utiliza un mensaje del access-accept RADIUS para cambiar la velocidad de modelado de una sesión:
class-map match-any Premium
match access-group name Premium_Dest
!
policy-map Child
class Premium
shape average 5000
!
policy-map Parent
class class-default
shape average 10000
service-policy Child
!
ip access-list extended Premium_Dest
permit ip any 192.168.6.0 0.0.0.255
permit ip any 192.168.5.7 0.0.0.64
Configuración RADIUS
Cisco siguiente VSA se configura en un perfil del usuario en el RADIUS. Este VSA agrega el clase class-default al política de calidad de servicio (QoS) asociado a la sesión
del suscriptor para el tráfico saliente y forma el clase class-default a 120.000 BPS.
radius subscriber 6
framed protocol ppp
service framed
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default), shape(120000))"
[New shaping rate]
Mensaje del access-accept RADIUS
El ISG recibe el mensaje siguiente del access-accept RADIUS. Note que Cisco antedicho VSA configurado en el perfil del s del del userâ está presente en el mensaje del
access-accept y que la velocidad de modelado del padre ha cambiado a 120.000.
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
RADIUS: Received from id 1645/3 192.168.1.6:1812, Access-Accept, len 100
RADIUS: authenticator 4A 2C F7 05 4B 88 38 64 - DE 60 69 5A 4B EE 43 E1
RADIUS: Framed-Protocol [7] 6 PPP [1]
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: Vendor, Cisco [26] 68
RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default), shape(120000))"
RADIUS(0000000D): Received from id 1645/3
SSS PM [uid:4][65ADE2E8]: SERVICE: Adding Service attachment to event
RADIUS/ENCODE(0000000D):Orig. component type = PPoE
RADIUS(0000000D): Config NAS IP: 0.0.0.0
RADIUS(0000000D): sending
Directiva del transeúnte ISG
El ISG copia la política de servicio nombrada Parent aplicado actualmente a la sesión y crea una copia transitoria nombrada New_Parent. Mientras que la velocidad de
modelado del padre, según lo mostrado previamente, los cambios a 120.000, la velocidad de modelado visualizada en la directiva de New_Parent del transeúnte es el viejo
índice de 10.000, como se ve en el siguiente ejemplo. Sigue habiendo la política hija sin cambiar.
policy-map New_Parent [New cloned parent policy]
class class-default
shape average 10000
service-policy Child
Ejemplo que fija la velocidad de modelado usando un mensaje CoA
Los ejemplos en esta sección ilustran cómo fijar la velocidad de modelado de una sesión usando un mensaje CoA.
Directiva de la original ISG
Este ejemplo de configuración utiliza un mensaje CoA RADIUS para cambiar la velocidad de modelado de una sesión:
class-map match-any Premium
match access-group name Premium_Dest
!
policy-map Child
class Premium
shape average 5000
!
policy-map Parent
class class-default
shape average 10000
service-policy Child
!
ip access-list extended Premium_Dest
permit ip any 192.168.6.0 0.0.0.255
permit ip any 192.168.5.7 0.0.0.64
Configuración RADIUS
Cisco siguiente VSA se configura en un perfil del usuario en el RADIUS. Este VSA agrega el clase class-default al política de calidad de servicio (QoS) asociado a la sesión
del suscriptor para el tráfico saliente y forma el clase class-default a 120.000 BPS.
radius subscriber 1047
vsa cisco 250 S192.168.1.2
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default), shape(120000))"
[New shaping rate]
Mensaje CoA RADIUS
El ISG recibe el mensaje siguiente CoA RADIUS. Note que Cisco antedicho VSA configurado en el perfil del s del del userâ está presente en el mensaje CoA.
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
RADIUS: COA received from id 0 192.168.1.6:1700, CoA Request, len 106
COA: 192.168.1.6 request queued
RADIUS: authenticator FF A2 6B 63 06 F0 E6 A3 - 0D 04 6C DC 01 0A BE F1
RADIUS: Vendor, Cisco [26] 18
RADIUS: ssg-account-info [250] 12 "S192.168.1.2"
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
ISG#
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
RADIUS: Vendor, Cisco [26] 68
RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default), shape(120000))"
++++++ CoA Attribute List ++++++
63C829B0 0 00000009 ssg-account-info(427) 10 S192.168.1.2
63C82A18 0 00000009 qos-policy-out(378) 45 add-class(sub,(class-default), shape(120000))
RADIUS(00000000): sending
RADIUS(00000000): Send CoA Ack
RADIUS: authenticator 62 B4 B0
RADIUS: Vendor, Cisco [26] 18
RADIUS: ssg-account-info [250]
RADIUS: Vendor, Cisco [26] 27
RADIUS: ssg-account-info [250]
Response to 192.168.1.6:1700 id 0, len 65
1A 90 10 01 01 - F6 C8 CD 17 79 15 C7 A7
12 "S192.168.1.2"
21 "$IVirtual-Access2.2"
Directiva del transeúnte ISG
El ISG copia la política de servicio nombrada Parent aplicado actualmente a la sesión y crea una copia transitoria nombrada New_Parent al cual realice los cambios
apropiados. De acuerdo con Cisco VSA incluido en el mensaje CoA, el ISG cambia la velocidad de modelado del clase class-default del padre a 120.000 BPS. Sin embargo,
la velocidad de modelado visualizada en la directiva de New_Parent del transeúnte es el viejo índice de 10.000, como se ve en el siguiente ejemplo. Sigue habiendo la
política hija sin cambiar.
policy-map Child
class Premium
shape average 5000
policy-map New_Parent [New cloned parent policy]
class class-default
shape average 10000
service-policy Child
Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje del access-accept
Los ejemplos en esta sección ilustran cómo fijar la velocidad de tráfico ordenado de una clase de tráfico usando un mensaje del access-accept.
Directiva de la original ISG
Este ejemplo de configuración utiliza un mensaje del access-accept RADIUS para cambiar la velocidad de tráfico ordenado de una clase de tráfico en el niño llano de una
política de jerarquía:
class-map match-any Premium
match access-group name Premium_Dest
!
policy-map Child
class Premium
shape average 5000
!
policy-map Parent
class class-default
shape average 10000
service-policy Child
!
ip access-list extended Premium_Dest
permit ip any 192.168.6.0 0.0.0.255
permit ip any 192.168.5.7 0.0.0.64
Configuración RADIUS
Cisco siguiente VSA se configura en un perfil del usuario en el RADIUS. Este VSA cambia la velocidad de tráfico ordenado de la clase superior en la política hija. Aplican a la
política hija al clase class-default de la política controlante.
radius subscriber 6
framed protocol ppp
service framed
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
Mensaje del access-accept RADIUS
El ISG recibe el mensaje siguiente del access-accept RADIUS. Note que Cisco antedicho VSA configurado en el perfil del s del del userâ está presente en el mensaje del
access-accept.
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
RADIUS: Received from id 1645/3 192.168.1.6:1812, Access-Accept, len 100
RADIUS: authenticator 4A 2C F7 05 4B 88 38 64 - DE 60 69 5A 4B EE 43 E1
RADIUS: Framed-Protocol [7] 6 PPP [1]
RADIUS: Service-Type [6] 6 Framed [2]
RADIUS: Vendor, Cisco [26] 68
RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
RADIUS(0000000D): Received from id 1645/3
SSS PM [uid:4][65ADE2E8]: SERVICE: Adding Service attachment to event
RADIUS/ENCODE(0000000D):Orig. component type = PPoE
RADIUS(0000000D): Config NAS IP: 0.0.0.0
RADIUS(0000000D): sending
Directiva del transeúnte ISG
El ISG copia la política de servicio que se aplica actualmente a la sesión y crea una directiva transitoria nombrada New_Parent al cual realice los cambios apropiados. De
acuerdo con Cisco VSA incluido en el mensaje del access-accept, el ISG agrega la velocidad de tráfico ordenado a la clase del tráfico de primera clase. La clase superior se
configura en la directiva transitoria de New_Child, que se aplica al clase class-default de New_Parent.
policy-map New_Child [New cloned child policy]
class Premium
police 200000 [New policing rate]
shape average 5000
!
policy-map New_Parent [New cloned parent policy]
class class-default
shape average 10000
service-policy New_Child [New cloned child policy attached to the new
cloned parent policy]
Ejemplo que fija la velocidad de tráfico ordenado usando un mensaje CoA
Los ejemplos en esta sección ilustran cómo fijar la velocidad de tráfico ordenado de un servicio usando un mensaje CoA.
Directiva de la original ISG
Este ejemplo de configuración utiliza un mensaje CoA RADIUS para cambiar la velocidad de tráfico ordenado de un servicio y se basa en la configuración siguiente ISG:
policy-map Child
class Premium
police 12000
!
policy-map Parent
class class-default
shape average 10000
service-policy Child
Configuración RADIUS
Cisco siguiente VSA se configura en un perfil del s del del userâ en el RADIUS. Este VSA modifica la clase superior de la política hija, que se aplica al clase class-default de
la política controlante.
radius subscriber 1048
vsa cisco 250 S192.168.1.10
vsa cisco generic 1 string "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
Mensaje CoA RADIUS
El ISG recibe el mensaje siguiente CoA RADIUS. Note que Cisco antedicho VSA configurado en el perfil del usuario está presente en el mensaje CoA.
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
ISG#
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
1d21h:
RADIUS: COA received from id 0 192.168.1.6:1700, CoA Request, len 106
COA: 192.168.1.6 request queued
RADIUS: authenticator FF A2 6B 63 06 F0 E6 A3 - 0D 04 6C DC 01 0A BE F1
RADIUS: Vendor, Cisco [26] 18
RADIUS: ssg-account-info [250] 12 "S192.168.1.10"
RADIUS: Vendor, Cisco [26] 68
RADIUS: Cisco AVpair [1] 62 "qos-policy-out=add-class(sub,(class-default, Premium), police(200000))"
++++++ CoA Attribute List ++++++
63C829B0 0 00000009 ssg-account-info(427) 10 S192.168.1.10
63C82A18 0 00000009 qos-policy-out(378) 45 add-class(sub,(class-default, Premium), police(200000))
RADIUS(00000000): sending
RADIUS(00000000): Send CoA Ack
RADIUS: authenticator 62 B4 B0
RADIUS: Vendor, Cisco [26] 18
RADIUS: ssg-account-info [250]
RADIUS: Vendor, Cisco [26] 27
RADIUS: ssg-account-info [250]
Response to 192.168.1.6:1700 id 0, len 65
1A 90 10 01 01 - F6 C8 CD 17 79 15 C7 A7
12 "S192.168.1.10"
21 "$IVirtual-Access2.2"
Directiva del transeúnte ISG
El ISG copia la política de servicio nombrada Parent aplicado actualmente a la sesión y crea una copia transitoria nombrada New_Parent al cual realice los cambios
apropiados. De acuerdo con Cisco VSA incluido en el mensaje del access-accept, el ISG cambia la velocidad de tráfico ordenado de la clase del tráfico de primera clase a
partir de 5000 BPS a 200.000 BPS. La clase superior se configura en la directiva de New_Child, que se aplica al clase class-default de New_Parent.
policy-map New_Child [New cloned child policy]
class Premium
police 200000 [New policing rate]
!
policy-map New_Parent [New cloned parent policy]
class class-default
shape average 10000
service-policy New_Child [New cloned child policy attached to the new
cloned parent policy]
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Comandos de Cisco IOS
El Cisco IOS domina los comandos list, todos las versiones
Comandos ISG
Referencia inteligente del comando gateway de los servicios del Cisco IOS
Asistencia Técnica
Descripción
El sitio Web de soporte técnico de Cisco proporciona los
recursos en línea extensos, incluyendo la documentación y
las herramientas para localizar averías y resolver los
problemas técnicos con los Productos Cisco y las
Tecnologías.
Link
http://www.cisco.com/cisco/web/LA/support/index.html
Para recibir la Seguridad y la información técnica sobre sus
Productos, usted puede inscribir a los diversos servicios,
tales como la herramienta de alerta del producto (accedida
de los Field Notice), el hoja informativa de los servicios
técnicos de Cisco, y alimentaciones realmente simples de la
sindicación (RSS).
El acceso a la mayoría de las herramientas en el sitio Web
de soporte técnico de Cisco requiere una identificación del
usuario y una contraseña del cisco.com.
Información de la característica para el policing basado en RADIUS
La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión
de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones
posteriores de ese tren de versión de software también soportan esa característica.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco
Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Tabla 1
Información de la característica para el policing basado en RADIUS
Nombre de la función
ISG: Control de
Políticas: Servidor de
políticas: Policing
basado en RADIUS
Versiones
Información sobre la Función
12.2(33)XNE La característica de regulación de tráfico basado en RADIUS amplía las
funciones ISG para permitir el uso de un servidor de RADIUS de
proporcionar la información de la política de suscriptor.
Modificaciones basado 12.2(33)XNE La característica basado en RADIUS de las modificaciones del atributo del
en RADIUS del atributo
policing permite que el servidor de RADIUS comunique con el ISG
del policing
integrando los atributos específicos en los mensajes del access-accept y
CoA. El modelado y regulación del tráfico basado en RADIUS emplea este
intercambio de los atributos para activar y para desactivar los servicios, y
para modificar el active política de calidad de servicio (QoS) aplicado a una
sesión.
Parametrización de QoS 12.2(33)XNE La parametrización de la característica de QoS ACL proporciona las
ACL
mejoras para QoS ACL. Esta característica permite que el dispositivo AAA
cambie los parámetros dinámicamente.
Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de
Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso
de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R)
Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos,
muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de
direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/111/1116/1116405_isg-radius-pol.html
Descargar