ISG

از ویکی پارس پویش
(تفاوت بین نسخه‌ها)
پرش به: ناوبری, جستجو
 
(۱۳ ویرایش میانی توسط ۳ کاربر نشان داده نشده‌است)
سطر ۶۰: سطر ۶۰:
  
  
===Netwotk config===
+
===BNG config===
 
<div dir=ltr>
 
<div dir=ltr>
 
   ###############################
 
   ###############################
   #       AAA configuration    #
+
   #         Class - Map        #
 
   ###############################
 
   ###############################
   aaa authentication ppp ibs group radius
+
   class-map type traffic match-any INTERNET
   aaa authorization network default group radius
+
   match access-group input name INTERNET
  aaa authorization network ibs group radius
+
   match access-group output name INTERNET
   aaa authorization subscriber-service default local group radius
+
   !
   aaa authorization subscriber-service ibs local group radius
+
   class-map type traffic match-any INTERANET
   aaa accounting delay-start
+
   match access-group input name INTERANET
   aaa accounting update periodic 1
+
   match access-group output name INTERANET
  aaa accounting network default start-stop group radius
+
   !
   aaa accounting network ibs start-stop group radius
+
   class-map type traffic match-any GAME
   ####################
+
   match access-group input name GAME
   #    POD - COA    #
+
   match access-group output name GAME
  ####################
+
  aaa server radius dynamic-author
+
  client [ Accounting server's IP address ]
+
   server-key [ Secret Key ]
+
   auth-type any
+
  
 
+
   #############################
   ###############################
+
   #       Access - List      #
   #     RADIUS configuration    #
+
   #############################
   ###############################
+
   ip access-list extended INTERNET
   radius-server attribute 44 include-in-access-req
+
   permit ip any any
   radius-server attribute 8 include-in-access-req
+
   ip access-list extended INTRANET
   radius-server attribute 32 include-in-access-req
+
   permit ip any 10.0.0.0 0.255.255.255
  radius-server attribute 32 include-in-accounting-req
+
   permit ip 10.0.0.0 0.255.255.255 any
  radius-server attribute 55 include-in-acct-req
+
   ip access-list extended GAME
  radius-server attribute nas-port format d
+
   permit ip any 2.177.5.0 0.0.0.255
  radius-server host [ Accounting server's IP address ] auth-port 1812 acct-port 1813 key [ Secret Key ]
+
   permit ip 2.177.5.0  0.0.0.255 any
  radius-server source-ports extended
+
   radius-server retransmit 10
+
   radius-server timeout 10
+
   radius-server vsa send cisco-nas-port
+
   radius-server vsa send accounting
+
   radius-server vsa send authentication
+
  
  
 
   ###############################
 
   ###############################
   #       BBA configuration    #
+
   #         Policy - Map        #
 
   ###############################
 
   ###############################
   bba-group pppoe global
+
   policy-map type service INTERNET__1024
   virtual-template 1
+
   11 class type traffic INTERNET
   mac-address autoselect
+
   prepaid config IBS
   sessions per-mac limit 1
+
   police input 1024000 1024000 1024000
   sessions per-vlan limit 10000
+
   police output 1024000 1024000 1024000
   sessions per-mac throttle 2 30 40
+
   class type traffic default in-out
   sessions auto cleanup
+
   drop
 
+
  !
 
+
  policy-map type service INTRANET__2048
   #############################################
+
   10 class type traffic INTRANET
   #      Virtual Template configuration      #
+
   accounting aaa list ibs-isg
   #############################################
+
   police input 2048000 2048000 2048000
   interface Loopback10
+
   police output 2048000 2048000 2048000
   ip address [ An IP !! ] [It's netmask !!]
+
   class type traffic default in-out
 +
  drop
 
   !
 
   !
   interface Virtual-Template1
+
    
  ip unnumbered Loopback10
+
   policy-map type service GAME__2048
  ip tcp adjust-mss 1436
+
   9 class type traffic GAME
   ip policy route-map failed
+
   accounting aaa list ibs-isg
   no logging event link-status
+
   police input 1024000 1024000 1024000
   peer default ip address pool tabriz
+
   police output 1024000 1024000 1024000
   keepalive 10 3
+
   class type traffic default in-out
   ppp authentication pap ibs
+
   drop
   ppp authorization ibs
+
   ppp accounting ibs
+
  service-policy type control ISG
+
  
  ###################################
+
</div>
  #      IP Pool configuration    #
+
  ###################################
+
  ip local pool [ Pool's name ] [ Start From ] [ Ends to ]
+
  ip forward-protocol nd
+
  
 +
<div dir=rtl lang=fa>
  
  ###################################
+
===Failed config===
  #    Interface configuration    #
+
  ###################################
+
  interface GigabitEthernet0/1.1275
+
  description [ As descriptive as possible !!! ]
+
  encapsulation dot1Q 1275
+
  pppoe enable group global
+
  
 +
در صورت استفاده از سرویس L4 جهت تنظیم failed در سرویس ISG، دیگر نیاز به یک failed rule در شارژ '''نیست'''، تنها کافیست مشابه عکس زیر در قانون '''MASTER''' فیلد '''Failed Login''' در قسمت State نیز همراه با Package و recharge فعال شود.
  
  ###################################
 
  #      Services configurations    #
 
  ###################################
 
  policy-map type control ISG
 
  class type control always event credit-exhausted
 
  1 service-policy type service name SAMPLE_SERVICE
 
  
  ######################
+
[[Image:isg-failed.jpg|center]]
  #  Sample Service  #
+
  ######################
+
  ip access-list extended SAMPLE_SERVICE
+
  permit ip 192.168.0.0 0.0.0.255 any
+
  permit ip any 192.168.0.0 0.0.0.255
+
  !
+
  !
+
  class-map type traffic match-any SAMPLE_SERVICE
+
  match access-group output name SAMPLE_SERVICE
+
  match access-group input name SAMPLE_SERVICE
+
  !
+
  !
+
  policy-map type service SAMPLE_SERVICE
+
  10 class type traffic SAMPLE_SERVICE
+
  accounting aaa list ibs
+
  police input 2000000
+
  police output 2000000
+
  !       
+
  
 +
تنظیمات انجام شده در cisco به شرح زیر می باشد:
  
  #################################
+
network
  # Filter Failed-Users    #
+
  #################################
+
  route-map failed permit 10
+
  match ip address 10
+
  set ip next-hop 10.10.101.111
+
  !
+
  
  
  
 
</div>
 
</div>

نسخهٔ کنونی تا ‏۲۶ آوریل ۲۰۱۷، ساعت ۱۳:۳۶

محتویات

[ویرایش] ISG service

یکی از روش هایی که امکان تفکیک ترافیک در لایه 3 (ip) را فراهم می آورد سرویس ISG می باشد.در این روش از امکانات سرویس ISG محصول شرکت سیسکو که در سری های 7000, 10000, ASR محصولات این شرکت موجود است استفاده می شود. سری ASR بهترین کارکرد و تعداد کاربر را در بین این محصولات دارا می باشد. سیستم ISG قادر است که برای هر session کاربر روال زیر را اجرا کند:


­­­­­­­­­1.Subscriber identification : شناسایی کاربر از طریق PPP، Web Portal،‌ IP Address، Mac Addressو … انجام می شود. در این مرحله احراز هویت از طریق پروتکل Radius و توسط نرم افزار IBSng انجام می شود.

2.Service and policy determination: سرویس ها و سیاست هایی که برای کاربر تعریف شده اند از طریق نرم افزار IBSng به پلتفرم ISG منتقل می شود.

3.Session policy enforcement: سیاست های دریافتی از نرم افزار IBSng مانند پهنای باند هر سرویس، حجم زمان مجاز و دسترسی ها بر روی session کاربر اعمال می شود.

4.Session life-cycle management: قطع اتصال کاربر توسط policy ها یا نرم افزار IBSng از طریق ISG امکان پذیر است. همچنین امکان تغییر سیاست ها و سرویس ها در زمان اتصال کاربر و بدون نیاز به قطع و وصل مجدد کاربر وجود دارد.

5.Accounting for access and service usage: سرویس ISG برای سرویس اصلی کاربر (دسترسی فیزیکی) و کلیه سرویس های جانبی اطلاعات مربوط به مصرف کاربر را برای حسابداری و ثبت تاریخچه در اختیار نرم افزار IBSng می گذارد.

6.Session state monitoring: وضعیت session کاربر بصورت منظم مانیتور و هر گونه تغییر در آن به نرم افزار IBSng گزارش می شود .


این سیستم گزارش مصرف مشترکین را به AAA ارسال می کند. در حالت پیشرفته این سیستم بصورت مستقل و با استفاده از Deep Inspection مصارف کاربران را محاسبه و با پروتکل Radius ارسال می کند. Flow Based Accounting که یکی از ملزومات سرویس های پیشرفته و ارزش افزوده است در این زیر سیستم قرار دارد. در حالت ساده این فعالیت در BRAS انجام می شود. با استفاده از تکنولوژی هایی مانند Cisco Integrated Service Gateway می توان تا حدودی هوشمندی بیشتری به سرویس داد.

[ویرایش] Interface config

جهت راه اندازی سرویس ISG در نرم افزار IBSng باید در هر شارژ به ازای هر سرویس یک قانون جدید ایجاد شود. به عنوان نمونه اگر سرویس های INTERNET, INTRANET و IPTV را داریم باید ۳ قانون شارژ جدید علاوه بر قوانین اصلی داشته باشیم. سپس در هر قانون محدودیت های مورد نظر مانند CPMB،Hours و subservice را ست کرده و در گزینه sub services که شامل گزینه های Sub Service، Sub Service Charging Name، Sub Service QOS Name مقادیر مناسب را همانند شکل زیر مقدار دهید.


Charge-edit.jpg

گزینه های قسمت sub service به شرح زیر می باشد:

  • Sub Service: نوع سرویس در این قسمت مشخص می شود مانند INTERNET، INTRANET، MASTER و ...
  • Sub Service Charging Name: در این قسمت شرایط اعمال سرویس مشخص می شود مانند Daily، Nightly، limited، unlimited و ....
  • Sub Service Charging Name: در این قسمت سرعت سرویس مقداردهی می شود.
Charge-rule.jpg
توجه: در تعریف قوانین شارژ در سرویس ISG قانون MASTER حتما باید وجود داشته باشد.

در قسمت reports-->Connection logs گزارش مربوط به این سرویس بدین صورت نمایش داده می شود که ردیف اول لاگ کل سرویس و ردیف های پایینی لاگ هر subservice به صورت مجزا نمایش داده می شود. در برگه Internet در Connection logs می توانید تیک Sub Service، Charging، QOS را زده تا در گزارش نام هر سرویس نمایش داده شود.


Connection-log-isg.jpg


[ویرایش] BNG config

 ###############################
 #         Class - Map        #
 ###############################
 class-map type traffic match-any INTERNET
 match access-group input name INTERNET
 match access-group output name INTERNET
 !
 class-map type traffic match-any INTERANET
 match access-group input name INTERANET
 match access-group output name INTERANET
 !
 class-map type traffic match-any GAME
 match access-group input name GAME
 match access-group output name GAME

 #############################
 #       Access - List       #
 #############################
 ip access-list extended INTERNET
 permit ip any any
 ip access-list extended INTRANET
 permit ip any 10.0.0.0 0.255.255.255
 permit ip 10.0.0.0 0.255.255.255 any
 ip access-list extended GAME
 permit ip any 2.177.5.0 0.0.0.255
 permit ip 2.177.5.0  0.0.0.255 any



 ###############################
 #         Policy - Map        #
 ###############################
 policy-map type service INTERNET__1024 
 11 class type traffic INTERNET
 prepaid config IBS
 police input 1024000 1024000 1024000
 police output 1024000 1024000 1024000
 class type traffic default in-out
 drop
 !
 policy-map type service INTRANET__2048
 10 class type traffic INTRANET
 accounting aaa list ibs-isg
 police input 2048000 2048000 2048000
 police output 2048000 2048000 2048000
 class type traffic default in-out
 drop
 !
 
 policy-map type service GAME__2048
 9 class type traffic GAME
 accounting aaa list ibs-isg
 police input 1024000 1024000 1024000
 police output 1024000 1024000 1024000
 class type traffic default in-out
 drop

[ویرایش] Failed config

در صورت استفاده از سرویس L4 جهت تنظیم failed در سرویس ISG، دیگر نیاز به یک failed rule در شارژ نیست، تنها کافیست مشابه عکس زیر در قانون MASTER فیلد Failed Login در قسمت State نیز همراه با Package و recharge فعال شود.


Isg-failed.jpg

تنظیمات انجام شده در cisco به شرح زیر می باشد:

network


برگرفته از «http://wiki.parspooyesh.net/index.php?title=ISG&oldid=2455»
ابزارهای شخصی

گویش‌ها
فضاهای نام
عملکردها
گشتن
جعبه‌ابزار