ISG, schéma se zahájením relace a její autorizací IP, vydávání adres na základě volby82 — BiTel WiKi

Tento obvod byl sestaven v laboratoři, ale byl navržen pro reálný projekt, tzn. – žádné kulové ISG ve vakuu.

Оборудование

• Úroveň přístupu (fyzické připojení účastníků): katalyzátor 3550.
• Úroveň agregace (kombinující několik přepínačů přístupové úrovně plus ukončení účastníků přes L3): katalyzátor 3550, s následným nahrazením 3560, jak se síť rozrůstá.
• Jádro sítě: katalyzátor 6509 (WS-SUP720-3BXL)
• BRAS (ISG): ASR1002-ESP5

Připojte účastníka přes IPoE (bez dodatečného zapouzdření PPPoE nebo PPTP), zadejte adresu přes DHCP, autorizujte účastníka číslem portu na odpovídajícím katalyzátoru přístupové úrovně, omezte přístup k internetu v souladu se zůstatkem smlouvy.

Nevýhody schématu a jeho realizace

• Jedna IP na účastníka (pro připojení více zařízení si účastník musí zakoupit CPE – libovolný ethernetový router s NAT), protože implementace Cisco ISG vytváří relaci na základě jedinečnosti zdrojové IP.
• Složitější mechanismus škálování BRAS ve srovnání s PPPoE.
• Doma neexistuje žádná místní síť – veškerý provoz jde přes jádro.

• V nejjednodušším případě (jeden PC) nemusí účastník vůbec nic konfigurovat, stačí zasunout kabel.
• Transportní síť není zahlcena MAC adresami účastníků (při počtech větších než 8-12 tisíc MAC je nutné přejít na výrazně dražší hardware)
• Vysoká bezpečnost sítě a účastníka (izolace VLAN-per-user, „fyzická“ autorizace účastníka pomocí dhcp-snooping, anti-spoofing díky ip source guard, dynamické /32 trasy na SVI vytvořené až po úspěšné autorizaci, izolace od zbytku sítě uvnitř VRF).
• Žádné další zapouzdření v protokolu PPP, které uvolňuje BRAS.

Implementační funkce

• Získání IP adresy účastníkem a získání přístupu do sítě (jakási analogie „online“) jsou odděleny (i když jsou na sobě závislé). Výsledkem je, že v monitoru modulu Inet vidíme dvě relace na smlouvu: z jedné chápeme, že účastník obdržel IP adresu, z druhé chápeme, že používá síť (se správně vybraným Idle-Timeout). Pokud je na monitoru pouze jedna (dhcp) relace, znamená to, že účastník úspěšně prošel autorizací (tj. sedí na povoleném portu), ale v tuto chvíli nepotřebuje internet (nebo provoz nedosahuje BRAS). To je velmi výhodné pro analýzu. ISG session-restart funguje bez problémů, protože ISG session je autorizována zdrojovou-IP, kterou již účastník má (při autorizaci ISG session přímo volbou82 by bylo nutné znovu zažádat o IP, aby se požadavek dhcp dostal do BRAS). V důsledku toho můžete svou relaci na Cisco bezpečně resetovat a být si jisti, že se okamžitě znovu zvýší s prvním paketem. Velmi pohodlné pro jakékoli řešení problémů. IMHO.
• Pokud je zůstatek ISG záporný, relace se resetuje a vytvoří se nová (neautorizovaná) relace s časovačem a místními službami, které omezují přístup k účastníkovi. Tato relace je znovu autorizována na BGBilling každých N minut v naději, že předplatitel již dobil zůstatek. A – pokud je zůstatek opraven – začíná jako obvykle (se službami z vyúčtování, v souladu s tarifem). Pro ISG to není úplně ta pravá cesta. Správně – bez resetování relace z ní odebrat (přes CoA) aktuální tarifní služby ISG a přiřadit jiné (omezení přístupu) a při doplňování zůstatku – naopak. BGBilling to dokáže. Proč jsem to udělal jinak? Protože je vhodné vidět na Cisco předplatitele se záporným zůstatkem (jejich relace jsou neautorizované) a je vhodné sledovat opakované rádiusové požadavky na autorizaci. To je opět velmi výhodné pro rychlou analýzu a odstraňování problémů (proč tomuto předplatiteli nic nefunguje? Zde jsou protokoly). Opět IMHO.
• IP adresa pro účastníka může být přidělena staticky a/nebo dynamicky.

1. ISG, schéma se spuštěním relace a její autorizací IP, vydávání adres na základě volby82 (konfigurace sítě)
2. ISG, schéma se zahájením relace a její autorizací IP, vydávání adres na základě volby82 (konfigurace BGBilling)