Story Transcript
Configuración del Acceso de ISG para las Sesiones de Suscriptor IP Descargue este capítulo Configuración del Acceso de ISG para las Sesiones de Suscriptor IP Descargue el libro completo Guía de configuración de gateway inteligente de los servicios, Cisco IOS Release 12.2SR (PDF - 2 MB) Feedback
Contenido Configuración del Acceso de ISG para las Sesiones de Suscriptor IP Encontrar la información de la característica Prerrequisitos del Acceso de ISG para Sesiones de Suscriptor IP Restricciones del Acceso ISG para las Sesiones de Suscriptor de IP Información sobre el Acceso ISG para Sesiones de Suscriptor IP Tipos de Sesiones de Suscriptor IP Sesiones IP Sesiones de la Interfaz IP Sesiones de Subred IP Coexistencia del Multicast y de las sesiones IP Conectividad de Suscriptores IP Redes de Acceso Conectadas de Capa 2 Redes de Acceso Ruteado Inicio de Sesión del Suscriptor de IP Direccionamiento de Suscriptor IP Métodos de Asignación de Dirección IP del Suscriptor ISG Sesiones de la Interfaz IP Sesiones IP Sesiones de Subred IP Direcciones IP Públicas y Privadas Superposición de Direcciones IP Asignación de la Dirección IP del Suscriptor ISG Usando DHCP Identidad del Suscriptor IP Identidad Ruteada del Suscriptor IP Dirección MAC como identidad secundaria Soporte de la interrogación del arriendo del DHCP Identidad del Suscriptor IP Conectado de Capa 2 Identidad del Suscriptor IP de la Interfaz Conectividad y Servicios VPN para los Suscriptores IP Afiliación a Suscriptor VPN Modelo multiservicio de la interfaz Dirección VPN Identidad del Suscriptor IP VPN Modelo de Servicio para Transferencias VRF Beneficios de la Selección VPN Dinámica Soporte que reconoce VRF para los clientes CoA Terminación de la Sesión de IP Recuperación de Sesión IP para Sesiones IP Iniciadas por DHCP Servicios Predeterminados para Sesiones de Suscriptor de IP Cómo Configurar ISG para Sesiones de Suscriptor IP Creación de Sesiones ISG para Suscriptores IP Creación de Sesiones de Suscriptor IP para Suscriptores ISG Ruteados Creación de las Sesiones del Suscriptor de IP para los Suscriptores ISG Conectados de Capa 2 Creación de Sesiones de la Interfaz IP de ISG Crear una sesión de los parásitos atmosféricos ISG Creación de Sesiones de Subred IP ISG Configuración de la Recuperación de Sesión IP para Sesiones IP Iniciadas por DHCP Verificación de Sesiones de Suscriptor de IP de ISG Cómo Despejar las Sesiones de Suscriptor IP de ISG Consejos de Troubleshooting Administración de Direcciones IP de Suscriptor ISG Usando DHCP Configuración de una Interfaz ISG para la Asociación Dinámica de Clase DHCP Configurar la autenticación de usuario del servidor DHCP
Consejos de Troubleshooting Configuración de una Clase DHCP en un Policy Map de Servicio Pasos Siguientes Configurar una clase del DHCP en un perfil o un perfil del usuario del servicio Prerrequisitos Pasos Siguientes Configurar un IP Address del servidor DHCP Configuración de la Selección Dinámica de VPN ISG Configuración de una Interfaz Multiservicios Especificación de un VRF en un Policy Map de Servicio Verificación de la Transferencia VRF para Sesiones IP Troubleshooting de la Transferencia VRF para Sesiones IP Pasos Siguientes Ejemplos de Configuración del Acceso ISG para Sesiones de Suscriptor IP Suscriptor de la interfaz IP ISG del ejemplo Suscriptor ruteado IP ISG del ejemplo Suscriptor conectado IP de la capa 2 ISG del ejemplo Creación de sesión de los parásitos atmosféricos ISG del ejemplo Recuperación iniciada por DHCP de la sesión del ejemplo Interfaz ISG del ejemplo con la capacidad que reconoce la clase del DHCP El ejemplo conjunto de direcciones DHCP clasifica y las acciones de la retransmisión para el ISG Selección dinámica del ejemplo VPN Referencias adicionales Información sobre la Función Acceso ISG para Sesiones de Suscriptor IP
Configuración del Acceso de ISG para las Sesiones de Suscriptor IP Última actualización: De agosto el 21 de 2011
ISG (gateway de servicios inteligente) es un conjunto de funciones de software de Cisco IOS que proporciona un marco estructurado en el cual los dispositivos de borde puedan proporcionar servicios flexibles y escalables a los suscriptores. El ISG soporta las sesiones IP para los suscriptores que conectan con el ISG de la capa 2 o de las redes de acceso ruteadas de la capa 3. Este módulo describe cómo configurar el ISG para sacar a colación las sesiones del suscriptor IP, para manejar el IP Addressing del suscriptor, y para configurar la selección dinámica del Red privada virtual (VPN).
Nota Este documento asume que el Network Address Translation (NAT) está realizado en un gateway de la capa 3 con excepción del ISG.
Encontrar la información de la característica Prerrequisitos del Acceso de ISG para Sesiones de Suscriptor IP Restricciones del Acceso ISG para las Sesiones de Suscriptor de IP Información sobre el Acceso ISG para Sesiones de Suscriptor IP Cómo Configurar ISG para Sesiones de Suscriptor IP Ejemplos de Configuración del Acceso ISG para Sesiones de Suscriptor IP Referencias adicionales Información sobre la Función Acceso ISG para Sesiones de Suscriptor IP
Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea la tabla de información de la característica en el extremo de este documento. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Prerrequisitos del Acceso de ISG para Sesiones de Suscriptor IP El servidor del Protocolo de configuración dinámica de host (DHCP) debe soportar el protocolo del arriendo del DHCP. Para que ISG utilice el DHCP para asignar los IP Addresses: El suscriptor debe ser la capa 2 conectada. El ISG debe estar en la trayectoria de los pedidos de DHCP, sirviendo como un servidor DHCP o retransmisión. Las subredes apropiadas IP se deben configurar en la interfaz del suscriptor.
Restricciones del Acceso ISG para las Sesiones de Suscriptor de IP Restricciones de la dirección IP que solapan Los IP Addresses que solapan en el mismo ruteo virtual y el envío del caso (VRF) no se soportan.
No soportan a los suscriptores IP que solapan en diversos VRF en la misma interfaz para IP estático las sesiones del suscriptor y las sesiones ruteadas del suscriptor IP. Soportan a los suscriptores IP que solapan en diversos VRF en la misma interfaz para las sesiones conectadas del suscriptor del DHCP de la capa 2.
Restricciones de la sesión de la subred IP Las sesiones de la subred IP no se soportan en una interfaz configurada con el comando del suscriptor l2-connected del IP. Se soportan las sesiones de la subred IP solamente cuando el comando ruteado suscriptor del IP se configura en la interfaz.
Restricciones del DHCP ISG El ISG no puede retransmitir los pedidos de DHCP cuando un agente de relé DHCP de la capa 3 está entre el dispositivo ISG y los dispositivos del suscriptor. La interrogación del arriendo del DHCP apoya los Cisco 7600 y 7200 Series Router y a los Cisco 10000 Series Router.
Restricciones dinámicas de la selección VPN La selección dinámica VPN no se soporta para las sesiones de la interfaz IP, las sesiones de la subred IP, y los suscriptores que vienen adentro en las interfaces nonglobal VRF. La selección dinámica VPN no se soporta para los suscriptores con una configuración VPN estática en la interfaz de acceso. La selección dinámica VPN con la reasignación de dirección no se soporta para las sesiones ruteadas del suscriptor IP que son iniciadas por el DHCP. Los IP Addresses de los suscriptores ruteados IP deben ser routable en la red de acceso. Porque Proveedor de servicios de Internet (ISP) - o las direcciones privadas VRF-poseídas podrían solapar o ser unroutable en la red entre los suscriptores y el dispositivo ISG, no es posible asignar los IP Addresses a esos suscriptores. Las sesiones de la interfaz IP no soportan el VRF dinámico; solamente se soporta el VRF estático. Si una interfaz se configura con el comando interface del suscriptor del IP, el VRF dinámico con un RADIUS VSA no se soporta, sólo se soporta el VRF estático.
IP general restricciones de la sesión La configuración del Network Address Translation (NAT) no se soporta en el lado del acceso del ISG. Las sesiones del suscriptor IP no se soportan en las subinterfaces ambiguas de IEEE 802.1QinQ (QinQ) o del IEEE 802.1Q (dot1q). Las sesiones del suscriptor IP no se soportan en las interfaces que reciben los paquetes del Multiprotocol Label Switching (MPLS). El shaping y los Datos en espera de la calidad de servicio modular (QoS) CLI (MQC) se soporta en la dirección de salida en la clase predeterminada para las sesiones del suscriptor IP. Configurar las características en IP estático las sesiones no se soporta. Las funciones del suscriptor IP ISG no se soportan en los siguientes tipos de interfaces de acceso: Gigabit EtherChannel (Canal de Puerto) Generic Routing Encapsulation (GRE) PPP (virtual-plantilla) Layer 2 Tunnel Protocol (L2TP) Las estadísticas de la interfaz no se generan para las interfaces multiservicios ISG. El Stateful Switchover (SSO) y en la actualización del software del servicio (ISSU) no se soporta para ninguna características en las sesiones del suscriptor IP ISG o las sesiones de la clase de tráfico. Sobre el intercambio, una sesión IP debe ser reconstruida o ser recomenzada (para las sesiones del DHCP) cuando la sesión llega a ser activa otra vez. Las características siguientes del suscriptor no se soportan en las sesiones de IPoE: Firewall de la por session Por session NAT Por session PBR Por session NBAR Netflow de la por session Multicast de la por session Las características siguientes de la sesión PPP no se soportan en las sesiones IP: Límite de sesión por el sistema, el VLA N, o el MAC Se dobla la sesión del stack (el tráfico del IPv4 y del IPv6 de la sola sesión PPP que lleva) Paquete de desconexión (vaina)
Restricciones multiservicios de la interfaz Las características de la interfaz IP (tales como QoS y Listas de acceso) no se soportan en las interfaces multiservicios. Solamente una interfaz multiservicio puede pertenecer a un solo VRF. Por ejemplo, la configuración siguiente no trabajará: interface multiservice 1 ip vrf forwarding VRF_A ! interface multiservice 2 ip vrf forwarding VRF_A
Restricciones del Cisco 10000 Series Internet Router En el Cisco 10000 Series Internet Router, el ISG no soporta las sesiones del suscriptor IP que son iniciadas por los paquetes RADIUS. Las sesiones de la interfaz IP no se soportan en las interfaces principales atmósfera y las subinterfaces de multipunto atmósfera en el Cisco 10000 Series Internet Router. Las sesiones del suscriptor IP y las sesiones del PPP over ATM o del PPP over Ethernet (PPPoX) no se soportan en la misma interfaz principal o la subinterfaz atmósfera. Las sesiones del suscriptor IP o las sesiones de PPPoX se pueden configurar en las interfaces principales o las subinterfaces atmósfera al mismo tiempo.
Las sesiones del suscriptor IP no se soportan en las interfaces siguientes: Interfaces de links múltiples Interfaces del túnel Interfaces de plantilla virtual Túneles IPsec Para las sesiones iniciadas por DHCP IP, usted debe configurar explícitamente las Listas de acceso para permitir los paquetes de control del DHCP (los bootps y los paquetes del bootpc). Si las Listas de acceso no se configuran para permitir los paquetes de control del DHCP, las características ISG que se aplican a las sesiones IP pudieron caer estos paquetes, dando por resultado el comportamiento inesperado o erróneo ISG. Por ejemplo, el DHCP renueva los paquetes, que mantienen la sesión iniciada por DHCP IP viva, se pudo caer por las listas de acceso a la seguridad que se aplican a las sesiones IP. En el Cisco 10000 Series Router, el Unicast Reverse Path Forwarding (uRPF) no se soporta en la trayectoria del Parallel Express Forwarding (PXF) si el ISG también se configura en la misma interfaz. Por ejemplo, el uRPF se soporta en el trayecto PXF con esta configuración: interface GigabitEthernet7/0/0 ip address 10.10.10.1 255.255.255.252 ip verify unicast reverse-path
Sin embargo el uRPF no se soporta en el trayecto PXF con esta configuración: interface GigabitEthernet7/0/0 ip address 10.10.10.1 255.255.255.252 ip verify unicast reverse-path service-policy type control isg-control ip subscriber routed initiator unclassified ip-address
Con esta configuración, todos los paquetes IP que el router recibe de quién dirección IP de origen no hace juego una sesión existente IP ISG se llevan en batea al (RP) del Route Processor del Cisco 10000 para el proceso del uRPF. Esto podía dar lugar al USO de la CPU agregado del nivel de interrupción en el Cisco 10000 RP. Para prevenir los problemas del IP spoofing, considere implementar para entrar el Listas de control de acceso (ACL) que especifica todas las redes legítimas IP como fuentes. El Cisco 10000 Series Router procesa las entradas ACL en el PXF antes de hacer el proceso ISG. Una lista de acceso aplicada a una interfaz ISG no toma el efecto para el tráfico IP que pertenece a una sesión existente ISG hasta después de que se borre y se reintroduzca la sesión ISG. Por lo tanto, al aplicar los ACL al filtrar tráfico en las interfaces habilitado para ISG, siempre claras las sesiones ISG después de la aplicación del s del de ACLâ. En el Cisco 10000 Series Router, terminan a las sesiones existentes cuando un caso VRF se cambia en la interfaz de acceso.
Restricciones del Cisco 7600 Router En el Cisco IOS Release 12.2(33)SRC, el Cisco 7600 Router no soporta las sesiones del suscriptor IP sobre las interfaces de acceso siguientes: Gigabit EtherChannel (Canal de Puerto) Interfaces virtuales conmutadas Generic Routing Encapsulation (GRE) PPP Layer 2 Tunnel Protocol (L2TP) El procesador de red compartido del procesador de la interfaz de adaptador de puerto (SIP2) (NWP) no soporta las características IP configuradas en el acceso, la red, y las interfaces multiservicios para el tráfico del suscriptor ISG. La redundancia de suscriptor y el balanceo de carga no se soportan para los suscriptores IP. Comenzando en el Cisco IOS Release 12.2(33)SRE, el Cisco 7600 Router soporta las sesiones del suscriptor IP solamente sobre el linecards SIP400 y ES+ y solamente sobre las interfaces siguientes: Interfaces principales y subinterfaces del tipo de acceso en el linecard SIP400 Interfaces principales y todos los tipos de subinterfaces en los servicios Ethernet más el linecard (ES+) Interfaces de canal de puerto en el linecard ES+ El Cisco 7600 Router aplica los límites en el número de sesiones del suscriptor IP por el linecard y los chasis de router. Si el número de sesiones activas excede los límites siguientes, las visualizaciones de un mensaje de error: Sesiones del suscriptor del Cisco 7600 chassis--32,000 (soportadas en las versiones del Cisco IOS Release 12.2(33)SRE1 y Posterior) Línea sesiones ES+ del suscriptor card--4000 por el grupo de puertos; 16.000 sesiones por el linecard (soportado en las versiones del Cisco IOS Release 12.2(33)SRE y Posterior) SIP400 línea sesiones del suscriptor card--8000 (soportadas en las versiones del Cisco IOS Release 12.2(33)SRD4 y Posterior)
Información sobre el Acceso ISG para Sesiones de Suscriptor IP Tipos de Sesiones de Suscriptor IP Coexistencia del Multicast y de las sesiones IP Conectividad de Suscriptores IP Inicio de Sesión del Suscriptor de IP Direccionamiento de Suscriptor IP Identidad del Suscriptor IP Conectividad y Servicios VPN para los Suscriptores IP Terminación de la Sesión de IP Recuperación de Sesión IP para Sesiones IP Iniciadas por DHCP Servicios Predeterminados para Sesiones de Suscriptor de IP
Tipos de Sesiones de Suscriptor IP El ISG soporta los siguientes tipos de sesiones del suscriptor IP: Sesiones IP Sesiones de la Interfaz IP Sesiones de Subred IP
Sesiones IP Una sesión IP incluye todo el tráfico que se asocia a una sola dirección IP del suscriptor. Si la dirección IP no es única al sistema, otras características de distinción tales como un VRF o una dirección MAC forman la parte de la identidad de la sesión. El ISG se puede configurar para crear las sesiones IP tras el recibo de los paquetes DHCP, de los paquetes con el IP o las direcciones MAC sin clasificar, o de los paquetes RADIUS. Vea “la sección del inicio de sesión del suscriptor IP” para más información. Las sesiones IP se pueden recibir para un dispositivo conectado del suscriptor (un salto que rutea del ISG) o uno que sean más de un salto del gateway. Sesiones de la Interfaz IP Una sesión de la interfaz IP incluye todo el tráfico IP recibido en una comprobación o una interfaz virtual específica. Las sesiones de la interfaz IP se proveen a través del CLI; es decir, una sesión se crea cuando ingresan a los comandos session de la interfaz IP, y la sesión es continua, incluso cuando se apaga la interfaz. Por abandono, las sesiones de la interfaz IP suben en el del del unauthenticatedâ del del del â del estado con el acceso a la red completo. Las sesiones de la interfaz IP se pudieron utilizar en las situaciones en las cuales una interfaz representa (a excepción del PPP) y comunica a un suscriptor usando más de una dirección IP. Por ejemplo, un suscriptor que usaba el acceso del (RBE) de la encapsulación del Bridge ruteado pudo tener un circuito virtual ATM dedicado (VC) para dirigirse el Customer Premises Equipment (CPE) que está recibiendo varios PC. Sesiones de Subred IP Una sesión de subred IP representa todo el tráfico asociado a una sola subred IP. Las sesiones de subred IP se utilizan para aplicar el procesamiento de borde uniforme a paquetes asociados a una subred IP determinada. Cuando se configura una sesión de subred IP, ISG trata la subred como un único suscriptor, lo que significa que las funciones y funcionalidad de ISG se aplican al tráfico de la subred como un agregado. Las sesiones de la subred IP se soportan para el tráfico del suscriptor ruteado IP. Las sesiones de la subred IP se crean la misma manera que las sesiones IP, salvo que cuando autorizan a un suscriptor o autenticado y el atributo de la Framed-IP-máscara de red está presente en el perfil del usuario o del servicio, el ISG convierte la sesión basado en IP de origen en una sesión de la subred con el valor de la subred en el atributo de la Framed-IP-máscara de red.
Nota Donde una interfaz de ingreso asocia a una subred única, la subred se pudo acomodar con una sesión de la interfaz IP. Sin embargo, si el ISG es más de un salto lejos de un suscriptor, y hay la posibilidad que las subredes múltiples son accesibles a través de la misma interfaz, las sesiones de la subred IP se puede definir para distinguir el tráfico y para aplicar las funciones apropiadas del borde a cada subred.
Coexistencia del Multicast y de las sesiones IP El dispositivo de coexistencia del Multicast de la sesión ISG introduce la capacidad de recibir todos los suscriptores y servicios (los datos y Multicast) en el mismo VLA N habilitando el Multicast y las sesiones IP para coexistir en la misma subinterfaz para los Cisco 7600 Series Router. Las sesiones IP ISG se soportan en las subinterfaces del nonaccess-tipo. En el caso de una sesión existente o aún cuando existe ninguna sesión, este soporte ayuda al tráfico Multicast para pasar a través de las interfaces configuradas para las sesiones IP en ambas direcciones en sentido ascendente y descendentes sin crear una sesión.
Conectividad de Suscriptores IP Los suscriptores IP conectan con el ISG a través de las redes de acceso conectadas de la capa 2 o de las redes de acceso ruteadas. Las secciones siguientes describen estos tipos de Conectividad del suscriptor IP: Redes de Acceso Conectadas de Capa 2 Redes de Acceso Ruteado Redes de Acceso Conectadas de Capa 2 Asocian a las interfaces físicas de un ISG o están conectados a los suscriptores conectados de la capa 2 directamente con un ISG a través de una red de acceso de la capa 2, tal como haber interligado o una red de switch. La expedición de la capa 3 es ausente o no utilizada para dirigir el tráfico del suscriptor en la red de acceso de la capa 2. Los IP Addresses de los suscriptores pueden o no pueden estar en la misma subred como las interfaces físicas conectadas de la capa 2. La figura abajo muestra un ejemplo de una red de acceso conectada de la capa 2.
Figura 1
Red de acceso conectada de la capa 2
Redes de Acceso Ruteado El tráfico del suscriptor ruteado se rutea a través de una red de acceso de la capa 3 con por lo menos un router de tránsito antes de alcanzar el ISG. Los IP Addresses de los suscriptores son por lo menos routable en la red de acceso de la capa 3. Las redes de acceso de la capa 3 contienen un solo dominio de ruteo y por lo tanto no soportan los IP Addresses que solapan. La figura abajo muestra un ejemplo de una red de acceso ruteada.
Figura 2
Red de acceso ruteada
Inicio de Sesión del Suscriptor de IP El ISG se puede configurar para permitir que uno o más de los eventos siguientes señalen el comienzo de una sesión IP o de la sesión de la subred IP sobre una interfaz: Paquete DHCP DISCOVER (Detección) Si se cumplen las condiciones siguientes, el recibo de un paquete DHCP DISCOVER (Detección) accionará la creación de una sesión IP: El ISG sirve como un relé DHCP o servidor para las nuevas asignaciones de la dirección IP. Configuran a los suscriptores para el DHCP. El paquete DHCP DISCOVER (Detección) es el primer pedido de DHCP recibido del suscriptor. Dirección IP de origen sin clasificar Para los suscriptores ruteados IP, una nueva sesión IP es accionada por el aspecto de un paquete del IP con una dirección IP de origen sin clasificar (que signifique que una sesión IP todavía no existe para esa dirección IP). MAC Address de origen sin clasificar Para los suscriptores conectados IP de la capa 2, una nueva sesión IP es accionada por el aspecto de un paquete del IP con un MAC Address de origen sin clasificar (que signifique que una sesión IP todavía no existe para esa dirección MAC). Paquete access-request RADIUS Para el acceso conectado ruteado o de la capa 2, una nueva sesión IP es accionada por el aspecto de un paquete access-request RADIUS cuando el ISG está sirviendo como representación de RADIUS.
Direccionamiento de Suscriptor IP Las secciones siguientes proporcionan la información sobre cómo el ISG maneja el IP Addressing para los suscriptores IP: Métodos de Asignación de Dirección IP del Suscriptor ISG Direcciones IP Públicas y Privadas Superposición de Direcciones IP Asignación de la Dirección IP del Suscriptor ISG Usando DHCP Métodos de Asignación de Dirección IP del Suscriptor ISG Los suscriptores IP hacen los IP Addresses configurar estáticamente u obtienen los IP Addresses dinámicamente con un cierto Network Protocol que tenga la capacidad de asignar los IP Addresses. Para que un suscriptor sea ruteable en un determinado dominio de servicio IP, el suscriptor debe presentar una dirección IP específica del dominio a la red. Si las transferencias de un suscriptor entre los dominios del servicio del IP (que incluyen cualquier dominio privado manejado por el proveedor de acceso), la dirección IP presentaron a la red deben cambiar para reflejar el nuevo dominio. Las secciones siguientes describen los métodos de asignación de la dirección IP que el ISG soporta para cada tipo de sesión de la capa 3: Sesiones de la Interfaz IP Sesiones IP Sesiones de Subred IP
Sesiones de la Interfaz IP Para las sesiones de la interfaz IP, el ISG no está implicado en (o enterado de) la asignación de los IP Addresses del suscriptor.
Sesiones IP Para las sesiones IP, el ISG soporta los métodos siguientes de asignación de la dirección IP: IP Address estáticos Si un IP Address estático del s del del subscriberâ se configura correctamente para el dominio del servicio, el ISG no tiene que estar implicado en la asignación de una dirección IP para el suscriptor. DHCP Si el DHCP se está utilizando para asignar los IP Addresses, y la dirección IP que es asignada por el DHCP está correcta para el dominio del servicio, el ISG no tiene que estar implicado en la asignación de una dirección IP para el suscriptor. Si la dirección IP que es asignada por el DHCP no está correcta para el dominio del servicio, o si el dominio cambia debido a una transferencia VRF, el ISG se puede configurar para influenciar la asignación de la dirección IP del DHCP. Las condiciones siguientes se deben cumplir para que el ISG influencie la asignación de la dirección IP del DHCP: El suscriptor debe ser la capa 2 conectada. El dispositivo ISG debe estar en la trayectoria de los pedidos de DHCP sirviendo como un servidor DHCP o retransmisión. Los suscriptores no deben tener estáticamente IP Address configurados. Para las implementaciones que lo soportan, el DHCP es el método recomendado de asignación de la dirección IP.
Sesiones de Subred IP Para las sesiones de la subred IP, la subred IP se especifica en el perfil del usuario.
Direcciones IP Públicas y Privadas No importa cómo asignan un suscriptor IP una dirección IP, la dirección IP cae en el público o la categoría del IP Address privado. Si asignan un suscriptor IP con un IP Address privado y el suscriptor tiene que alcanzar Internet, un gateway de la capa 3, tal como ISG o un Firewall, entre el suscriptor y Internet debe realizar el Network Address Translation (NAT) para el IP Address privado del s del del subscriberâ. Cuando la red de acceso es una red conectada de la capa 2, una dirección IP del suscriptor puede ser nativa o no nativa a una interfaz de acceso. Una dirección IP nativa del suscriptor es una que pertenece al aprovisionado de la subred en la interfaz de acceso. Una dirección IP no nativa del suscriptor es una que no pertenece al aprovisionado de la subred en la interfaz de acceso. Una dirección IP no nativa del suscriptor podría resultar cuando una venta al por menor ISP asigna una dirección IP al suscriptor IP de su propia asignación de la dirección IP, que es diferente de los ISP al por mayor, o cuando un suscriptor IP con un IP Address estático que sea nativo en la red de acceso casera vaga por a una red de acceso no nativa. Para apoyar a los suscriptores IP con los IP Addresses no nativos, el ISG debe poder responder a las peticiones de Address Resolution Protocol (ARP) que originan de los IP Addresses no nativos con una dirección MAC del ISG sí mismo. Porque la red de acceso es la capa 2 conectada, el ISG mantiene una adyacencia a cada suscriptor. Cuando la red de acceso es una red ruteada, una dirección IP del suscriptor debe ser routable en la red de acceso; si no, el tráfico del suscriptor nunca podrá alcanzar el ISG. El ISG puede no tener una adyacencia para cada suscriptor en este caso, pero bastante una adyacencia del salto siguiente hacia un suscriptor. El salto siguiente es determinado por el proceso de ruteo en el ISG. Superposición de Direcciones IP Cuando una red de acceso se despliega sin la capacidad del VPN, el espacio de IP Address en la red de acceso se comparte entre todos los suscriptores IP. Cuando los IP Addresses se asignan dinámicamente, el cuidado se debe tomar para asegurarse de que estos direccionamientos no solapan. En caso de que solape los IP Addresses se asignen a los suscriptores IP intencionalmente, la red de acceso debe utilizar un mecanismo de la separación de la capa 2 para distinguir los espacios de IP Address. Por ejemplo, la red de acceso puede poner cada espacio de IP Address en un diverso VLA N. En los casos en los cuales la red de acceso sirve ambos suscriptores del IP local y usuarios de itinerancia, el IP Address privado estático de un suscriptor de itinerancia puede solapar el IP Address privado nativo de otro suscriptor. Por ejemplo, una Tecnología inalámbrica pública hot spot que asigna generalmente los IP Address dinámicos pudo querer proporcionar el acceso a los usuarios de itinerancia ocasionales con estáticamente los IP Address configurados. Para soportar esta condición que solapa especial, todos los suscriptores IP deben estar en una red de acceso conectada de la capa 2 en la cual las direcciones MAC que solapan no existan. En este caso, los suscriptores IP pueden ser distinguidos usando las direcciones MAC. Asignación de la Dirección IP del Suscriptor ISG Usando DHCP Cuando el ISG está en la trayectoria de los pedidos de DHCP (como un servidor DHCP o relé DHCP), el ISG puede influenciar el pool y el servidor DHCP de la dirección IP que se utilizan para asignar los IP Addresses del suscriptor. Para permitir al ISG para influenciar los IP Addresses asignó a los suscriptores, asocia conjunto de direcciones DHCP una clase a un dominio del direccionamiento. Conjunto de direcciones DHCP la clase se debe también configurar en una correspondencia de la política de servicio, un perfil del servicio, o un perfil del usuario que se asocie a un suscriptor. Cuando un pedido de DHCP se recibe de un suscriptor, el DHCP utiliza la clase de la agrupación de direcciones que se asocia al suscriptor para determinar que conjunto de direcciones DHCP debe ser utilizado para mantener la petición. Como consecuencia, sobre una base de la por-petición, una dirección IP es proporcionada por el servidor DHCP local o retransmitida a un servidor DHCP remoto que se defina en el pool seleccionado.
Identidad del Suscriptor IP La identidad del suscriptor IP está estrechamente vinculada al inicio de sesión IP porque el ISG debe identificar únicamente a un suscriptor IP en el momento que crea la sesión IP. Sin embargo, la necesidad de identificar a un suscriptor IP va más allá de la fase del inicio de sesión. Las secciones siguientes describen cómo el ISG identifica únicamente a los suscriptores IP: Identidad Ruteada del Suscriptor IP Dirección MAC como identidad secundaria Soporte de la interrogación del arriendo del DHCP Identidad del Suscriptor IP Conectado de Capa 2 Identidad del Suscriptor IP de la Interfaz Identidad Ruteada del Suscriptor IP Si la red de acceso es una red ruteada, los IP Addresses del suscriptor se pueden utilizar para identificar únicamente a los suscriptores IP porque por definición los IP Addresses del suscriptor son por lo menos routable en la red de acceso. Al usar una dirección IP del suscriptor como el identificador, el ISG asume que la dirección IP del suscriptor es única. Si la red de acceso se despliega con el Equilibrio de carga, la Redundancia, o el Asymmetric Routing de la capa 3, el ISG también asume que el tráfico IP del mismo suscriptor IP puede llegar diversas interfaces de acceso. Para apoyar este tipo de despliegue, el ISG asume un solo espacio de IP Address para todas las interfaces de acceso que conectan con la misma red de acceso. Si hay un requisito de soportar varios espacios de IP Address sobre una sola red del acceso físico, la red de acceso debe utilizar una cierta encapsulación de la capa 2 para crear una red de acceso lógica separada para cada espacio de IP Address. En este caso, el ISG puede todavía tener un solo espacio de IP Address para todas las interfaces de acceso lógicas que conectan con una red de acceso lógica. Cuando los IP Addresses del suscriptor son IP Address privados, la red de acceso debe poder rutear tal tráfico del suscriptor. Si el tráfico del suscriptor se destina a Internet, el NAT debe ser realizado. Para los suscriptores ruteados IP, la dirección IP del suscriptor sirve como la clave para una sesión IP. El ISG asocia el tráfico IP a una sesión IP como sigue: En la dirección ascendente, la dirección IP de origen de un paquete del IP se utiliza para identificar la sesión IP. La dirección IP de origen es la dirección IP del suscriptor. En la dirección descendente, el IP Address de destino de un paquete del IP se utiliza para identificar la sesión IP. El IP Address de destino es la dirección IP del suscriptor. Si el suscriptor IP es usuario de VPN, la dirección IP del suscriptor debe ser routable en la tabla de Global Routing y la tabla de VPN Routing en el ISG. En el caso de un suscriptor de la subred IP, una dirección IP del suscriptor se define como direccionamiento del prefijo IP en vez de una dirección de host IP de /32. Este prefijo IP cubre un rango de los IP Addresses usado por los usuarios finales pero representa a un solo suscriptor lógico IP desde el punto de vista ISG. En este despliegue, todos los usuarios finales comparten la misma Conectividad y servicios proporcionados por el ISG. Para normalizar la clasificación de los suscriptores IP que tienen diversas máscaras de la red, el ISG utiliza la máscara de la red conjuntamente con la dirección IP del suscriptor para los suscriptores ruteados IP. Dirección MAC como identidad secundaria Usted debe configurar el comando mac-address del identificador de la recogida al inicio de una sesión. Esto da instrucciones los dispositivos ISG para salvar la dirección MAC como parte de los identificadores de sesión. Para las sesiones ruteadas del suscriptor IP, la dirección MAC se recoge del servidor DHCP usando el protocolo de la interrogación del arriendo del DHCP. Para la información sobre configurar el comando, vea “configurando el módulo de las directivas de control ISG”. Soporte de la interrogación del arriendo del DHCP El mensaje de la interrogación del arriendo del DHCP es un tipo de mensaje DHCP transmitido de un agente de relé DHCP a un servidor DHCP. Un Agente Relay Interrogación-enterado del arriendo del DHCP envía la ubicación de un punto final IP al mensaje de la interrogación del arriendo del DHCP.
La transacción de la interrogación del arriendo del DHCP es una transacción DHCP con los tipos de mensajes especiales que permiten a los clientes para preguntar los servidores DHCP con respecto al propietario y el vencimiento del arriendo de una dirección IP. Para la información sobre configurar el servidor DHCP para la interrogación del arriendo, vea “configurando la sección de un IP Address del servidor DHCP”. Identidad del Suscriptor IP Conectado de Capa 2 Una red de acceso conectada de la capa 2 es capaz de proveer de la conectividad del IP a los suscriptores IP de los IP Addresses no nativos y que solapan, además de los suscriptores IP los IP Addresses nativos. Porque los IP Addresses del suscriptor no pudieron ser únicos en tal red de acceso, el ISG utiliza la dirección MAC del suscriptor para identificar a los suscriptores conectados IP de la capa 2, sin importar qué clase de dirección IP tiene un suscriptor. Trafique que viene de los suscriptores IP con privado o solapar los IP Addresses y que se destine a Internet esté conforme al NAT. Para los suscriptores conectados IP de la capa 2, utilizan la dirección MAC del suscriptor (única dentro de un VLA N) y el servicio de la dirección IP como las claves para la sesión IP, pero los en diversas direcciones: En la dirección ascendente, el VLAN ID y el MAC Address de origen de un paquete del IP se utilizan para identificar la sesión IP. En la dirección descendente, el IP Address de destino y el VLAN ID de un paquete del IP se utilizan para identificar el contexto del suscriptor IP. Identidad del Suscriptor IP de la Interfaz Cuando las interfaces de acceso se utilizan para identificar a los suscriptores IP, cada interfaz de acceso corresponde a un solo suscriptor IP. Tan pronto como la interfaz de acceso esté disponible, el ISG crea una sesión IP usando la interfaz como la clave, y asocia todo el tráfico IP que viene en y la salida de esta interfaz con la sesión IP. Para asociar exactamente el tráfico IP a un suscriptor IP, el ISG se debe configurar para utilizar las interfaces como el método de identificación de suscriptor IP. El ISG entonces clasificará el tráfico IP como sigue: Al recibir el tráfico IP de la red de acceso (dirección ascendente), el ISG utiliza la interfaz de entrada para identificar la sesión IP. Al recibir el tráfico IP de la red del núcleo (dirección descendente), el ISG utiliza la interfaz de salida para identificar la sesión IP.
Conectividad y Servicios VPN para los Suscriptores IP Afiliación a Suscriptor VPN Modelo multiservicio de la interfaz Dirección VPN Identidad del Suscriptor IP VPN Modelo de Servicio para Transferencias VRF Beneficios de la Selección VPN Dinámica Soporte que reconoce VRF para los clientes CoA Afiliación a Suscriptor VPN Dependiendo de los requisitos del despliegue, un suscriptor IP puede o no puede tener servicio VPN. Si un suscriptor IP tiene servicio VPN, el suscriptor puede pertenecer a solamente un dominio VPN en cualquier momento. Asocian a un suscriptor IP a un dominio VPN en una de las maneras siguientes: Asignación estática VPN--El suscriptor IP VPN pertenece a un dominio VPN estático. Siempre que el suscriptor IP conecte con el ISG, colocan al suscriptor IP en el dominio VPN preasignado. Selección dinámica VPN--El suscriptor IP VPN puede elegir y conmutar entre diversos dominios VPN con el inicio del servicio dinámico. Siempre que se seleccione un nuevo dominio VPN, los servicios VPN del dominio VPN actual deben ser quitados antes de que los servicios VPN del nuevo dominio VPN puedan ser aplicados al suscriptor IP. La selección dinámica VPN se puede iniciar con el inicio del servicio automático, donde el VRF se descarga y se aplica a la sesión del suscriptor en el comienzo de la sesión, o con la selección del servicio para suscriptores en un portal web, en este caso transfieren al suscriptor al VRF que corresponde al servicio seleccionado. Modelo multiservicio de la interfaz Para un suscriptor sin una configuración VPN estática, una interfaz multiservicio se debe configurar en el dispositivo ISG para asociar la sesión IP a un VRF. La interfaz multiservicio representa un límite entre un dominio de ruteo VPN y el dominio de ruteo predeterminado. En caso de que un suscriptor IP pueda ser asociado a varios dominios de ruteo en la duración de una conexión, las interfaces multiservicios sirven como puntos de demarcación para que el suscriptor IP conmute a partir de un dominio VPN a otro. Una interfaz multiservicio se debe configurar para cada dominio de ruteo VPN. La figura abajo ilustra el modelo multiservicio de la interfaz.
Figura 3
Modelo multiservicio de la interfaz
Dirección VPN Cuando una sesión del suscriptor se transfiere a partir de un dominio VPN a otro, está ingresando con eficacia un nuevo dominio de dirección que pueda o no pueda solapar el dominio anterior del s del del subscriberâ. El direccionamiento del red-revestimiento del s del del subscriberâ debe ser alterado por consiguiente para poder rutear correctamente los paquetes detrás dentro del dominio del servicio. Una transferencia VRF es necesaria cuando una identidad del s del del subscriberâ y los servicios inscritos no se pueden determinar sin la interacción con un portal de red. Se requiere un contexto de ruteo local, por lo menos inicialmente, para poder rutear los paquetes IP a y desde el servidor de portal. Después de la selección basada en el portal del servicio, el suscriptor tendría que típicamente ser transferido en el VRF asociado al dominio seleccionado del servicio. Después de una transferencia VRF, el suscriptor debe también recibir un direccionamiento que sea routable en este nuevo dominio. Si el ISG está adyacente al dispositivo del suscriptor y sirve como un relé DHCP o servidor, el DHCP se puede utilizar para asignar los direccionamientos dominio-específicos a los suscriptores. Para que las transferencias VRF sean soportadas, se recomienda fuertemente que el DHCP esté configurado con los arriendos iniciales cortos (éste es porque ha expirado el suscriptor existente que los direccionamientos se pueden solamente alterar una vez el arriendo actual). Los suscriptores no tendrán acceso al dominio seleccionado antes de que se reciba el DHCP siguiente renueve la solicitud. Usando los Tiempos de validez iniciales cortos minimiza el intervalo entre un cambio VRF y un renewal del DHCP. Si se utilizan los Tiempos de validez largos, un método fuera de banda de iniciar el cambio del IP Address debe ser implementado.
Cuando el DHCP se puede utilizar para asignar un nuevo direccionamiento en el dispositivo del suscriptor, la selección basada en la subred VRF se puede utilizar para causar la transferencia. La selección basada en la subred VRF (también conocida como VRF autoclassify) es una característica que selecciona el VRF en el puerto de ingreso en base de la dirección de subred IP de la fuente. Los proveedores de servicio y las organizaciones han afectado un aparato los bloques del IP Address público que no están solapando por naturaleza. Por lo tanto, cuando son IP Address públicos asignados, los suscriptores IP VPN no tienen ningún IP Addresses que solapa. Cuando los suscriptores IP VPN de diversos dominios VPN hacen los IP Address privados asignar, son probables tener las direcciones superpuestas en la red de acceso. Una red de acceso es un solo espacio de IP Address cuando no hay encapsulación de la capa 2 que separa a los suscriptores IP VPN de diversos dominios VPN. Por lo tanto, el ISG debe poder dirigir los IP Addresses que solapan al desplegar a los suscriptores IP VPN. La conectividad del IP para los suscriptores IP VPN con los IP Addresses que solapan es posible solamente cuando están conectados con el ISG a través de una red de acceso conectada de la capa 2. Identidad del Suscriptor IP VPN El ISG identifica a los suscriptores IP VPN de la misma manera que identifica a los suscriptores IP NON-VPN. El tráfico IP por aguas arriba se define como el tráfico IP del suscriptor que viaja de la red de acceso al VPN (sobrepuesto encima de la red del núcleo del proveedor de servicio). El tráfico IP rio abajo se define como el tráfico IP del suscriptor que viaja del VPN a la red de acceso. Modelo de Servicio para Transferencias VRF Un servicio principal es un servicio que contiene una directiva de la red-expedición (tal como un VRF) en su definición de servicio. Solamente un en un momento del servicio principal se puede activar para una sesión. Un servicio secundario es cualquier servicio que no contenga una directiva de la red-expedición. Cuando un suscriptor para quien han activado a un servicio principal ya intenta seleccionar otro servicio principal, el ISG desactivará todos los servicios actuales (servicio incluyendo del primario actual) y activará el nuevo servicio principal, y por lo tanto conmuta el VRF. Cuando un suscriptor para quien han activado a un servicio principal ya intenta seleccionar un servicio secundario, el acción realizada por el ISG depende encendido si el servicio secundario es parte de al grupo de servicios. Un grupo de servicios es el agrupar de los servicios que pueden ser simultáneamente activos para una sesión dada. Por lo general, un grupo de servicios incluye un servicio primario y uno o varios servicios secundarios. La tabla abajo describe medidas que el ISG tomará cuando un suscriptor selecciona un servicio secundario.
Tabla 1
Directiva de la activación ISG para los servicios secundarios
Características del servicio principal
Características del servicio secundario
Servicio principal sin el atributo del grupo Servicio secundario con el grupo de de servicios servicios
Servicio principal con el atributo del grupo de servicios
Comportamiento resultante en el ISG No se activa el servicio secundario.
Servicio secundario sin grupo de servicios
Hace visible el servicio secundario.
Servicio secundario con diverso grupo de servicios
No se activa el servicio secundario.
Servicio secundario con el mismo grupo Hace visible el servicio de servicios secundario. Servicio secundario sin grupo de servicios
Hace visible el servicio secundario.
Beneficios de la Selección VPN Dinámica La necesidad de conmutar de una sesión del suscriptor entre la encaminamiento y los dominios de la expedición (también llamados los servicios de red) ocurre con frecuencia en los mercados donde el supuesto establecimiento de una red del acceso equivalente debe ser soportado. El establecimiento de una red del acceso equivalente es asignado por mandato a menudo por las reglas reguladoras que exponen que un proveedor de acceso debe no prohibir a los proveedores de servicio el acceso equivalente a una red al por menor del suscriptor. La selección dinámica ISG VPN facilita el establecimiento de una red del acceso equivalente permitiendo que los suscriptores transfieran entre los servicios de red. Soporte que reconoce VRF para los clientes CoA El ISG soporta las capacidades que reconoce VRF para los clientes CoA (servidor de RADIUS), permitiendo que un cliente CoA acomode a los suscriptores en los VRF múltiples. Las sesiones del suscriptor pueden estar en un diverso VRF que donde configuran al cliente CoA. Para enviar un mensaje CoA al ISG si la sesión del suscriptor IP está en un diverso VRF, el identificador de sesión debe utilizar el formato del Atributo específico del proveedor (VSA) mostrado en la tabla abajo.
Tabla 2 SubAttrID 250
Descripción VRF ID VSA Tipo del atributo
Valor
cuenta-Info S S--Cifre para el IP del suscriptor vrf-name --VRF donde el servidor de acceso a la red (NAS) mirará para arriba la dirección IP del suscriptor.
El siguiente ejemplo muestra la configuración de VRF: Perfil del usuario de RADIUS
Ejemplo: Cisco-Account-Info=S10.0.0.3:vrfid=subscriber_VRF1
simulator radius subscriber 401 authentication smith pap smith vsa cisco 250 S10.0.0.3:vrf-id=subscriber_VRF1 vsa cisco generic 252 binary 015042484b
Las operaciones de búsqueda de la sesión del suscriptor se basan en el método de proporcionar al VRF. La orden de preferencia en determinar qué VRF es utilizar para mirar para arriba el IP Address del suscriptor como sigue: 1. Presente VRF en el mensaje CoA como parte del identificador de sesión 2. Presente VRF en configuración del cliente. 3. VRF al cual el cliente CoA pertenece La tabla abajo muestra la conducta esperada cuando el cliente envía el mensaje CoA al servidor.
Cuadro 3
Conducta esperada usando el atributo VRF-identificación
Si la VRF-identificación está presente en… Mensaje CoA
Entonces las operaciones de búsqueda de la dirección IP del suscriptor se hacen dentro de este VRF
Configuración del cliente CoA
Sí
Sí
VRF en el mensaje CoA
Sí
No
VRF en el mensaje CoA
No
Sí
VRF en configuración del cliente
No
No
VRF en la configuración de la interfaz que hace frente al cliente
vrf-id=global
No
VRF en la tabla de Global Routing en el servidor
Terminación de la Sesión de IP Una sesión IP se puede terminar en una de las maneras siguientes: Vencimiento del arriendo del DHCP o versión del DHCP del cliente Si el DHCP se utiliza para detectar una nueva sesión, su salida se puede también señalar por un evento del DHCP. Parada de la aplicación Un comando application que se utiliza para terminar una sesión. Utilizan al comando stop de la aplicación típicamente de terminar una sesión cuando un suscriptor inicia un cierre de sesión de la cuenta de un portal web. Una parada de la aplicación puede también resultar de las acciones de un administrador, tales como respuesta admitida acción para eliminar las plantas débiles el comportamiento de un suscriptor. Tiempo de inactividad y tiempo de espera de la sesión Los tiempos de inactividad y el tiempo de espera de la sesión se pueden utilizar para detectar o para imponer la terminación de una sesión IP. Directiva de control Una directiva de control que contiene la acción del del del disconnectâ del servicio del del del â se puede utilizar para terminar una sesión.
Recuperación de Sesión IP para Sesiones IP Iniciadas por DHCP Cuando se termina (por ejemplo, por el cierre de sesión de la cuenta o el tiempo de espera de la sesión) o se pierde una sesión IP (por ejemplo, por la recarga de router), el cliente puede continuar llevando a cabo un arriendo no vencido del DHCP. Cuando sucede esto, el ISG realiza un reinicio de la sesión para evitar que la conexión IP del s del del clientâ sea pegada hasta que expire el arriendo del DHCP. Una directiva de control se puede configurar para definir medidas que el ISG tomará cuando ocurre el evento del reinicio de la sesión. Si una directiva no se define, una política predeterminada tomará el efecto. El ISG de las causas de la política predeterminada para desconectar la sesión después de 60 segundos que siguen una sesión recomienza y es el equivalente de la configuración siguiente: policy-map type control GLOBAL class type control always event session-restart 1 service disconnect delay 60
Esta política predeterminada aparece en la salida para las reglas de la política de suscriptor de la demostración ordena como sigue: Rule: internal-rule-session-restart Class-map: always event session-restart Action: 1 service disconnect delay 60 Executed: 0
Servicios Predeterminados para Sesiones de Suscriptor de IP Las sesiones creadas recientemente IP pueden requerir un servicio predeterminado permitir que los paquetes subsiguientes del suscriptor sean procesados apropiadamente; por ejemplo, permitir o forzar los paquetes TCP a un portal prisionero en donde la autenticación y la selección controladas por menú del servicio pueden ser realizadas. Un perfil de la correspondencia de políticas o del servicio del servicio predeterminado se puede configurar para que las sesiones IP reorienten el tráfico, habiliten las funciones de la clave de host del puerto-conjunto para la identificación de la sesión, o habiliten el autologon transparente. Un servicio predeterminado incluiría también probablemente un servicio de red, que permite que los suscriptores accedan un portal web para la autenticación y la selección del servicio.
Cómo Configurar ISG para Sesiones de Suscriptor IP Creación de Sesiones ISG para Suscriptores IP Administración de Direcciones IP de Suscriptor ISG Usando DHCP Configuración de la Selección Dinámica de VPN ISG
Pasos Siguientes
Creación de Sesiones ISG para Suscriptores IP Un ISG crea las sesiones IP para el tráfico IP en las interfaces del lado del suscriptor.
Nota Para el Cisco 7600 Router, las sesiones IP ISG se pueden configurar en las subinterfaces del acceso y de los nonaccess.
Las tareas siguientes habilitan las sesiones IP sobre una interfaz e indican cómo las sesiones serán identificadas: Creación de Sesiones de Suscriptor IP para Suscriptores ISG Ruteados Creación de las Sesiones del Suscriptor de IP para los Suscriptores ISG Conectados de Capa 2 Creación de Sesiones de la Interfaz IP de ISG Crear una sesión de los parásitos atmosféricos ISG Creación de Sesiones de Subred IP ISG Configuración de la Recuperación de Sesión IP para Sesiones IP Iniciadas por DHCP Verificación de Sesiones de Suscriptor de IP de ISG Cómo Despejar las Sesiones de Suscriptor IP de ISG Consejos de Troubleshooting Creación de Sesiones de Suscriptor IP para Suscriptores ISG Ruteados Los suscriptores ruteados IP son los suscriptores que se rutean a través de una red de acceso de la capa 3 con por lo menos un router de tránsito antes de alcanzar el ISG. Realice esta tarea de configurar el ISG para crear las sesiones IP para los suscriptores ruteados IP. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. Siga uno de los siguientes pasos: número del tipo de la interfaz o acceso del número del tipo de la interfaz
4. suscriptor del IP ruteado 5. iniciador {[class-aware] DHCP | representación de RADIUS | IP address sin clasificar} 6. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Ejemplo: Router# configure terminal Paso Siga uno de los siguientes pasos: 3 número del tipo de la interfaz o acceso del número del tipo de la interfaz
Especifica una interfaz e ingresa en el modo de configuración de la interfaz. acceso -Especifica una subinterfaz.
Ejemplo: Gigabitethernet 1/0/0 de la interfaz de Router(config)# Ejemplo:
Ejemplo: Acceso del gigabitethernet 1/0/0.100 de la interfaz de Router(config)# Paso suscriptor del IP ruteado 4 Ejemplo: Router (config-if) # suscriptor del IP ruteado
Paso iniciador {[class-aware] DHCP | representación de RADIUS | IP address sin clasificar} 5 Ejemplo: Router (config-suscriptor) # DHCP del iniciador clase-enterado
Especifica el tipo de suscriptor IP que se alojará en la interfaz, e ingresa en el modo de configuración de suscriptor IP ISG. Configura ISG para crear una sesión de suscriptor IP tras la recepción del tipo de paquete especificado. DHCP --El ISG iniciará una sesión IP tras el recibo de un paquete DHCP DISCOVER (Detección). La palabra clave class-aware permite que ISG influya en la dirección IP asignada por DHCP suministrando un nombre de clase a DHCP. representación de RADIUS --El ISG iniciará una sesión IP tras el recibo de un paquete accessrequest RADIUS. Nota La característica de la representación de RADIUS no se soporta en el Cisco 7600 Router. IP address sin clasificar --El ISG iniciará una sesión IP tras el recibo del primer paquete del IP con un IP Source Address
sin clasificar. Este comando se puede ingresar más de una vez para especificar más de un método de inicio de sesión IP. Nota Si el dispositivo ISG sirve como un relé DHCP o servidor DHCP en la asignación de los dirección IP del cliente, el ISG se debe configurar para iniciar las sesiones IP tras el recibo de los paquetes DHCP DISCOVER (Detección). Es decir el comando DHCP del iniciador se debe configurar en vez del IP sin clasificar del iniciador o del comando mac sin clasificar del iniciador.
Paso Finalizar 6
(Opcional) Vuelve al modo EXEC privilegiado.
Ejemplo: Router (config-suscriptor) # extremo
Creación de las Sesiones del Suscriptor de IP para los Suscriptores ISG Conectados de Capa 2 Asocian a las interfaces físicas de un ISG o están conectados a los suscriptores conectados de la capa 2 directamente con un ISG a través de una red de acceso de la capa 2, tal como un Bridged Network o una red de switch. Realice esta tarea de configurar el ISG para crear las sesiones IP para los suscriptores conectados IP de la capa 2. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. Siga uno de los siguientes pasos: número del tipo de la interfaz o acceso del número del tipo de la interfaz
4. suscriptor l2-connected del IP
5. iniciador {[class-aware] DHCP | representación de RADIUS | MAC address sin clasificar} 6. el arp ignora el local 7. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Ejemplo: Router# configure terminal Paso Siga uno de los siguientes pasos: 3 número del tipo de la interfaz o acceso del número del tipo de la interfaz
Especifica una interfaz e ingresa en el modo de configuración de la interfaz. acceso -Especifica una subinterfaz.
Ejemplo: Gigabitethernet 1/0/0 de la interfaz de Router(config)# Ejemplo:
Ejemplo: Acceso del gigabitethernet 1/0/0.100 de la interfaz de Router(config)# Paso suscriptor l2-connected del IP 4 Ejemplo: Router (config-if) # suscriptor l2-connected del IP
Especifica el tipo de suscriptor IP que se alojará en la interfaz, e ingresa en el modo de configuración de suscriptor IP ISG. Nota Se recomienda que usted configura las sesiones IP para los suscriptores conectados de la capa 2 usando el comando del suscriptor l2connected del IP. Usted puede también utilizar el comando ruteado
suscriptor del IP si los IP Addresses del suscriptor son routable en el dominio del acceso.
Paso iniciador {[class-aware] DHCP | representación de RADIUS | MAC address sin clasificar} 5 Ejemplo: Router (config-suscriptor) # MAC address sin clasificar del iniciador
Configura ISG para crear una sesión de suscriptor IP tras la recepción del tipo de paquete especificado. DHCP --El ISG inicia una sesión IP tras el recibo de un paquete DHCP DISCOVER (Detección). Se requiere la palabra clave clase-enterada al usar la palabra clave DHCP. representación de RADIUS --El ISG inicia una sesión IP tras el recibo de un paquete RADIUS. Nota La característica de la representación de RADIUS no se soporta en el Cisco 7600 Router. MAC address sin clasificar -El ISG iniciará una sesión IP tras el recibo del primer paquete del IP con un direccionamiento de fuente MAC sin clasificar. Este comando se puede ingresar más de una vez para especificar más de un método de inicio de sesión IP. Nota Si el dispositivo ISG sirve como un relé DHCP o
servidor DHCP en la asignación de los dirección IP del cliente, el ISG se debe configurar para iniciar las sesiones IP tras el recibo de los paquetes DHCP DISCOVER (Detección). Es decir el comando DHCP del iniciador se debe configurar en vez del IP sin clasificar del iniciador o del comando mac sin clasificar del iniciador.
(Opcional) evita que el ISG conteste a las peticiones de Address Resolution Protocol (ARP) entrantes para los destinos en la misma interfaz.
Paso el arp ignora el local 6 Ejemplo: El router (config-suscriptor) # arp ignora el local
(Opcional) Vuelve al modo EXEC privilegiado.
Paso Finalizar 7 Ejemplo: Router (config-suscriptor) # extremo
Creación de Sesiones de la Interfaz IP de ISG Una sesión de la interfaz IP ISG abarca todos los paquetes IP que crucen la interfaz especificada o la subinterfaz. Realice esta tarea de crear una sesión de la interfaz IP ISG. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. número del tipo de la interfaz [. subinterfaz-número] 4. interfaz del suscriptor del IP 5. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo:
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Router> enable Paso configure terminal 2
Ingresa en el modo de configuración global.
Ejemplo: Router# configure terminal Paso número del tipo de la interfaz [. subinterfaz-número] 3
Especifica una interfaz o una subinterfaz y ingresa al modo de configuración de la interfaz.
Ejemplo: Interfaces Ethernet 0/0.1 de Router(config)# Paso interfaz del suscriptor del IP 4
Especifica el tipo de suscriptor IP que se recibirá en la interfaz.
Ejemplo: Router (config-if) # interfaz del suscriptor del IP Paso Finalizar 5
(Opcional) Vuelve al modo EXEC privilegiado.
Ejemplo: Router(config-if)# exit
Crear una sesión de los parásitos atmosféricos ISG Los permisos estáticos de la característica de la creación de sesión ISG administrador-iniciaron IP estático las sesiones. Una sesión estática ISG le permite para configurar IP estático las sesiones del CLI. Usted puede crear IP estático las sesiones configurando a un grupo de direcciones del servidor. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. nombre de la lista de la lista del suscriptor del IP 4. Siga uno de los siguientes pasos: macaddress del mac del IP address del IP de origen subnet mask de la máscara del IP address del IP de origen
5. salida 6. Siga uno de los siguientes pasos: número del tipo de la interfaz acceso del número del tipo de la interfaz
7. Siga uno de los siguientes pasos: suscriptor l2-connected del IP suscriptor del IP ruteado
8. nombre de la lista de la lista del suscriptor del iniciador IP estático 9. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1
Pr
Ha EX
Ejemplo: Router> enable
Paso configure terminal 2
In de glo
Ejemplo: Router# configure terminal Paso nombre de la lista de la lista del suscriptor del IP 3 Ejemplo: Mylist de la lista del suscriptor del IP de Router(config)#
Paso Siga uno de los siguientes pasos: 4 macaddress del mac del IP address del IP de origen subnet mask de la máscara del IP address del IP de origen
Ejemplo: Router (config-servidor-lista) # mac 0.7.f de 209.165.200.225 del IP de origen
Es no de ing co lis
Es dir se dir el co m es de
Ejemplo:
Ejemplo: Router (config-servidor-lista) # máscara 255.255.255.224 de 209.165.200.225 del IP de origen Paso salida 5
Vu co glo
Ejemplo: Router (config-servidor-lista) # salida Paso Siga uno de los siguientes pasos: 6 número del tipo de la interfaz acceso del número del tipo de la interfaz
Es int en co int
Ejemplo: Gigabitethernet 1/0/0 de la interfaz de Router(config)# Ejemplo:
Ejemplo: Acceso del gigabitethernet 1/0/0.100 de la interfaz de Router(config)# Paso Siga uno de los siguientes pasos: 7 suscriptor l2-connected del IP
Es de qu
suscriptor del IP ruteado
Ejemplo: Router (config-if) # suscriptor l2-connected del IP
la el Co su
N
Ejemplo:
Ejemplo: Router (config-if) # suscriptor del IP ruteado
Paso nombre de la lista de la lista del suscriptor del iniciador IP estático 8 Ejemplo: Router (config-suscriptor) # mylist de la lista del suscriptor del iniciador IP estático
Paso Finalizar 9 Ejemplo: Router (config-suscriptor) # extremo
Creación de Sesiones de Subred IP ISG Una sesión de subred IP representa todo el tráfico asociado a una sola subred IP. Las sesiones de subred IP se utilizan para aplicar el procesamiento de borde uniforme a paquetes asociados a una subred IP determinada. Cuando se configura una sesión de subred IP, ISG trata la subred como un único suscriptor, lo que significa que las funciones y funcionalidad de ISG se aplican al tráfico de la subred como un agregado. Realice esta tarea de configurar una sesión de la subred IP. PASOS SUMARIOS 1. permiso 2. configuró terminal
Cr de co pa pa at as la
(O al pr
3. Siga uno de los siguientes pasos: número del tipo de la interfaz o acceso del número del tipo de la interfaz
4. suscriptor del IP ruteado 5. IP address sin clasificar del iniciador 6. extremo 7. Agregue el atributo de la Framed-IP-máscara de red al servicio o al perfil del usuario. PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2 Ejemplo:
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Router# configure terminal Paso Siga uno de los siguientes pasos: 3 número del tipo de la interfaz o acceso del número del tipo de la interfaz
Ejemplo:
Especifica una interfaz e ingresa en el modo de configuración de la interfaz. acceso -Especifica una subinterfaz.
Gigabitethernet 1/0/0 de la interfaz de Router(config)# Ejemplo:
Ejemplo: Acceso del gigabitethernet 1/0/0.100 de la interfaz de Router(config)# Paso suscriptor del IP ruteado 4 Ejemplo: Router (config-if) # suscriptor del IP ruteado
Paso IP address sin clasificar del iniciador 5 Ejemplo:
Especifica el tipo de suscriptor IP que se alojará en la interfaz, e ingresa en el modo de configuración de suscriptor IP ISG. ISG de las configuraciones para crear una sesión del suscriptor IP tras
Router (config-suscriptor) # IP address sin clasificar del iniciador
Paso Finalizar 6 Ejemplo:
el recibo de un paquete del IP con un IP Source Address sin clasificar. (Opcional) Vuelve al modo EXEC privilegiado.
Router (config-suscriptor) # extremo Paso Agregue el atributo de la Framed-IP-máscara de red al servicio o al perfil del usuario. 7
Habilita una sesión de la subred IP para el suscriptor. Cuando autorizan a un suscriptor o autenticado y el atributo de la Framed-IPmáscara de red está presente en el perfil del usuario o del servicio, el ISG convierte la sesión basado en IP de origen en una sesión de la subred con el valor de la subred en el atributo de la FramedIP-máscara de red.
Configuración de la Recuperación de Sesión IP para Sesiones IP Iniciadas por DHCP Realice esta tarea de configurar el ISG para realizar las acciones específicas sobre la recuperación de una sesión IP después de que el ISG haya terminado la sesión o recargado. Esta tarea se aplica a las sesiones iniciadas por DHCP IP solamente. Si una directiva para la recuperación de la sesión no se configura, el ISG aplicará la política predeterminada siguiente: policy-map type control GLOBAL class type control always event session-restart 1 service disconnect delay 60
PASOS SUMARIOS 1. permiso 2. configuró terminal 3. Policy-map-name del control del tipo del directiva-mapa 4. control del tipo de clase {control-clase-nombre | siempre} sesión-reinicio del evento
5. el acción-número autoriza el [password password] del [aaa list list-name] [sobre red-servicio-encontró {continúe | identificador de la parada}] {autenticar-dominio | nombre de usuario autenticado | auto-detecte | [plus remote-id] del circuit id | dnis | MAC address | NAS-puerto | [plus circuit-id] del ID remoto | dirección IP de origen | nombre de túnel | unauthenticated-dominio | unauthenticated-nombre de usuario} 6. [aaa list list-name] del [unapply] del servicio del tipo de la servicio-directiva del acción-número {servicio-nombre del nombre | identificador {autenticar-dominio | nombre de usuario autenticado | dnis | NAS-puerto | nombre de túnel | unauthenticated-dominio | unauthenticated-nombre de usuario}} 7. minutos del nombre-de-temporizador del conjunto-temporizador del acción-número 8. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2 Ejemplo: Router# configure terminal Paso Policy-map-name del control del tipo del directiva-mapa 3 Ejemplo: Control MY-POLICY del tipo del directiva-mapa de Router(config)#
Paso control del tipo de clase {control-clase-nombre | siempre} sesión-reinicio del evento 4 Ejemplo:
Router (config-control-policymap) # del tipo de clase del control sesión-reinicio del evento si
Paso el acción-número autoriza el [password password] del [aaa list list-name] [sobre red-servicio-encontró {continúe | identificado 5 autenticado | auto-detecte | [plus remote-id] del circuit id | dnis | MAC address | NAS-puerto | [plus circuit-id] del ID remoto unauthenticated-dominio | unauthenticated-nombre de usuario} Ejemplo:
El router (config-control-policymap-clase-control) # 1 autoriza la dirección IP de origen del i Paso [aaa list list-name] del [unapply] del servicio del tipo de la servicio-directiva del acción-número {servicio-nombre del nombre 6 autenticado | dnis | NAS-puerto | nombre de túnel | unauthenticated-dominio | unauthenticated-nombre de usuario}} Ejemplo:
El router (config-control-policymap-clase-control) # 1 nombre de la lista LISTA aaa del servici
Paso minutos del nombre-de-temporizador del conjunto-temporizador del acción-número 7 Ejemplo: Router (config-control-policymap-clase-control) # 1 conjunto-temporizador TIMERA 5
Paso Finalizar 8 Ejemplo: Router (config-control-policymap-clase-control) # extremo
Verificación de Sesiones de Suscriptor de IP de ISG Realice esta tarea de verificar la configuración de la sesión y la creación del suscriptor IP. Los comandos se pueden utilizar en cualquier orden. PASOS SUMARIOS 1. permiso 2. muestre la sesión del suscriptor [detailed] [identificador del identificador | ID de sesión del uid| nombre del nombre de usuario] 3. muestre al suscriptor del IP [MAC address del mac | [[dangling seconds] del [vrf vrf-name] [detail] | interface name de la interfaz [detalle | estadísticas] | ip ip-address | listname de la lista estática | estadísticas {arp | el colgar}]] 4. muestre la cuenta de sesiones ISG de la plataforma {toda | slot} 5. salida
PASOS DETALLADOS
Comando o acción
Propósito Habilita el modo EXEC privilegiado.
Paso permiso 1 Ejemplo:
Ingrese su contraseña si se le pide que lo haga.
Router> enable
Paso muestre la sesión del suscriptor [detailed] [identificador del identificador | ID de sesión del uid| 2 nombre del nombre de usuario] Ejemplo: Sesión del suscriptor de la demostración del Router- detallada
Información de las visualizaciones sobre las directivas y las características ISG para las sesiones del suscriptor.
Paso muestre al suscriptor del IP [MAC address del mac | [[dangling seconds] del [vrf vrf-name] [detail] | Muestra 3 interface name de la interfaz [detalle | estadísticas] | ip ip-address | listname de la lista estática | información sobre las estadísticas {arp | el colgar}]] sesiones de suscriptor IP de ISG. Ejemplo: IP 10.10.10.10 del suscriptor del IP de la demostración del RouterVisualiza el número de sesiones activas del suscriptor Ejemplo: ISG por el Cuenta de sesiones toda ISG de la plataforma de la demostración del Router- linecard.
Paso muestre la cuenta de sesiones ISG de la plataforma {toda | slot} 4
Paso salida 5 Ejemplo:
Modo EXEC privilegiado (opcional) de las salidas.
Salida del Router-
Cómo Despejar las Sesiones de Suscriptor IP de ISG Realice esta tarea de borrar las sesiones del suscriptor IP. PASOS SUMARIOS 1. permiso 2. muestre al suscriptor del IP [MAC address del mac | [[dangling seconds] del [vrf vrf-name] [detail] | interface name de la interfaz [detalle | estadísticas] | ip ip-address | listname de la lista estática | estadísticas {arp | el colgar}]] 3. suscriptor claro del IP [interface name de la interfaz | MAC address del mac | ninguno-hardware del número de slot del slot | [vrf vrf-name] [segundos que cuelgan | ip ip-address | estadísticas]] 4. salida PASOS DETALLADOS
Comando o acción Paso permiso 1
Propósito Habilita el modo EXEC
privilegiado. Ejemplo: Router> enable
Paso muestre al suscriptor del IP [MAC address del mac | [[dangling seconds] del [vrf vrf2 name] [detail] | interface name de la interfaz [detalle | estadísticas] | ip ip-address | listname de la lista estática | estadísticas {arp | el colgar}]] Ejemplo:
Ingrese su contraseña si se le pide que lo haga.
(Opcional) visualiza la información sobre las sesiones IP del suscriptor ISG.
IP 10.10.10.10 del suscriptor del IP de la demostración del RouterSesiones del Paso borre al suscriptor del IP [interface name de la interfaz | MAC address del mac | 3 ninguno-hardware del número de slot del slot | [vrf vrf-name] [segundos que cuelgan | ip suscriptor IP ISG de los claros. ip-address | estadísticas]] Ejemplo: IP claro 10.10.10.10 del suscriptor del IP del RouterPaso salida 4
Da salida al modo EXEC privilegiado.
Ejemplo: Salida del Router-
Consejos de Troubleshooting Utilice los siguientes comandos de resolver problemas las sesiones del suscriptor IP ISG: haga el debug de al suscriptor del IP haga el debug de la condición
Administración de Direcciones IP de Suscriptor ISG Usando DHCP Las tareas en esta sección asumen que usted ha configurado el soporte del DHCP en su red. Configuración de una Interfaz ISG para la Asociación Dinámica de Clase DHCP Configurar la autenticación de usuario del servidor DHCP Configuración de una Clase DHCP en un Policy Map de Servicio Configurar una clase del DHCP en un perfil o un perfil del usuario del servicio Configurar un IP Address del servidor DHCP Configuración de una Interfaz ISG para la Asociación Dinámica de Clase DHCP Realice esta tarea de permitir al ISG para influenciar la asignación de IP Address a los suscriptores en la interfaz proveyendo del componente local del DHCP un nombre de la clase. El nombre de la clase refiere a una clase configurada usando el comando dhcp pool del theip y puede referirse a una agrupación de direcciones o a un destino de la retransmisión. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. Siga uno de los siguientes pasos: número del tipo de la interfaz o acceso del número del tipo de la interfaz
4. [secondary] de la máscara del IP address del IP Address 5. suscriptor {l2-connected del IP | ruteado} 6. DHCP del iniciador clase-enterado
7. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2 Ejemplo:
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Router# configure terminal Paso Siga uno de los siguientes pasos: 3 número del tipo de la interfaz o acceso del número del tipo de la interfaz
Ejemplo: Gigabitethernet 1/0/0 de la interfaz de Router(config)#
Especifica una interfaz para la configuración, y ingresa al modo de configuración de la interfaz. acceso -Especifica una subinterfaz.
Ejemplo:
Ejemplo: Acceso del gigabitethernet 1/0/0.100 de la interfaz de Router(config)# Paso [secondary] de la máscara del IP address del IP Address 4 Ejemplo: Router (config-if) # dirección IP 209.165.200.225 255.255.0.0 Paso suscriptor {l2-connected del IP | ruteado} 5 Ejemplo:
Fija una dirección IP primaria o secundaria para una interfaz.
Modo de la Configuración del suscriptor IP ISG de los permisos.
Router (config-if) # suscriptor l2-connected del IP Paso DHCP del iniciador clase-enterado 6 Ejemplo: DHCP del iniciador del router (config-suscriptor) clase-enterado
ISG de las configuraciones para crear las sesiones IP tras el recibo de los paquetes DHCP DISCOVER (Detección). claseenterado -Permite
que el ISG influencie la dirección IP asignada por el DHCP proveyendo del DHCP un nombre de la clase.
Paso Finalizar 7 Ejemplo:
(Opcional) Vuelve al modo EXEC privilegiado.
Router (config-suscriptor) # extremo
Configurar la autenticación de usuario del servidor DHCP Realice esta tarea de autenticar los DHCP cliente en el servidor. Antes de comenzar Usted necesita utilizar el marco ISG para habilitar la autenticación de usuario del servidor DHCP. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. aaa de modelo nuevo 4. local del nombre de la lista de la conexión con el sistema de autenticación aaa 5. pool-nombre del pool DHCP del IP 6. máscara del network number de la red 7. salida 8. número del tipo de la interfaz 9. suscriptor l2-connected del IP 10. DHCP del iniciador clase-enterado 11 extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2 Ejemplo: Router# configure terminal
Propósito
Habilita el EXEC privilegiad
Ingre cont si se pide haga
Ingresa en modo de configurac global.
Paso aaa new-model 3 Ejemplo: Modelo nuevo de Router(config)# aaa Paso local del nombre de la lista de la conexión con el sistema de autenticación aaa 4
Habilita el Authentica Authorizat and Accou (AAA).
Fija la autenticac AAA en el
Ejemplo: Local del mylist de la conexión con el sistema de autenticación de Router(config)# aaa Paso pool-nombre del pool DHCP del IP 5 Ejemplo: Testpool del pool DHCP del IP de Router(config)#
Paso máscara del network number de la red 6 Ejemplo: Router (DHCP-config) # red 172.16.0.0 255.240.0.0
Paso salida 7
Crea un n para el co de direccio de servido DHCP e in en el mod configurac conjunto D
Configura network nu y la másca para conju direccione DHCP un primario o subred secundaria un Cisco I DHCP Ser
Vuelve al de configu global.
Ejemplo: Router (DHCP-config) # salida Paso número del tipo de la interfaz 8 Ejemplo:
Ingresa en modo de configurac la interfaz.
Interfaces Ethernet 0/0 de Router(config)# Paso suscriptor l2-connected del IP 9 Ejemplo: Router (config-if) # suscriptor l2-connected del IP
Paso DHCP del iniciador clase-enterado 10 Ejemplo: Router (config-suscriptor) # DHCP del iniciador clase-enterado
Configura sesión conectada la capa 2 s la interfaz ingresa el de la Configurac del suscrip
Inicia una para el DH para una s IP iniciada DHCP.
Vuelve al EXEC privilegiad
Paso Finalizar 11 Ejemplo: Router (config-suscriptor) # extremo
Consejos de Troubleshooting
Consejos de Troubleshooting Usted puede determinar la autenticación del DHCP usando el debug ip dhcp server events, paquete del ip dhcp server del debug, los comandos event del dpm de la política de suscriptor del anddebug . Lo que sigue es salida de muestra del comando event del dpm de la política de suscriptor del debug: *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr *Apr
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.510: 20:20:03.514: 20:20:03.514: 20:20:03.514: 20:20:03.514: 20:20:03.514: 20:20:03.514: 20:20:03.514:
SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM: SG-DPM:
DHCP Discover notification from client, mac_address = 001a.7014.c03e getting the context for mac_address = 001a.7014.c03e Could not find a dhcp_context for 001a.7014.c03e: Sending an ID manager request with key as 001a.7014.c03e Received reply from Id manager Session Initiation notification on Active Allocated SHDB Handle (0xB6000252) for Mac address 001a.7014.c03e Client is able to perform DHCP Authentication.Setting the SSS_INFOTYPE_DHCP_AUTH_KEY Sending Session start to PM, mac_address = 001a.7014.c03e Request for Classname from client, mac_address = 001a.7014.c03e getting the context for mac_address = 001a.7014.c03e Sending an ID manager request with key as 001a.7014.c03e Received reply from Id manager No session found in ID manager Processing sg_dpm_get_more_keys from SSS hdl 56000E52 DPM is providing Auth-User
Usted puede también utilizar la sesión del suscriptor de la demostración detallada y mostrar los bindingcommands DHCP del IP para visualizar la información del suscriptor y la información del agrupamiento DHCP. Lo que sigue es salida de muestra del comando show ip dhcp binding: Router# show ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Hardware address/ User name 10.0.0.1 0100.1a70.1530.38 Nov 18 2008 03:43 PM
Type Automatic
Configuración de una Clase DHCP en un Policy Map de Servicio Realice esta tarea de asignar una clase del DHCP a una correspondencia de la política de servicio. Los suscriptores para quienes se activa esta correspondencia de la política de servicio serán IP Address asignados del agrupamiento DHCP o del servidor remoto que se asocia a la clase. Antes de comenzar Un agrupamiento DHCP debe ser configurado. Las clases configuradas dentro del agrupamiento DHCP deben hacer juego las clases del DHCP configuradas en la correspondencia de la política de servicio. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. directiva-nombre del servicio del tipo del directiva-mapa 4. nombre de la clase del classname 5. extremo 6. muestre el servicio del tipo del directiva-mapa PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2 Ejemplo:
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Router# configure terminal Paso directiva-nombre del servicio del tipo del directiva-mapa 3 Ejemplo: Servicio service1 del tipo del directiva-mapa de Router(config)#
Paso nombre de la clase del classname 4 Ejemplo: Router (config-servicio-policymap) # classname class1 Paso Finalizar 5
Crea una correspondencia de la política de servicio o especifica una correspondencia de políticas del servicio existente para la configuración, y ingresa el modo de la configuración de correspondencia de políticas del servicio. Asocia a un agrupamiento DHCP a una correspondencia de la política de servicio.
(Opcional) Vuelve al modo EXEC privilegiado.
Ejemplo: Router (config-servicio-policymap) # extremo Paso muestre el servicio del tipo del directiva-mapa 6 Ejemplo: Servicio del tipo del directiva-mapa de la demostración del Router-
(Opcional) visualiza el contenido de todas las correspondencias de la política de servicio. Utilice este comando de verificar que la clase del DHCP está asociada a la correspondencia de la política de servicio.
Pasos Siguientes
Pasos Siguientes Una vez que usted ha configurado conjunto de direcciones DHCP la clase en una correspondencia de la política de servicio, usted puede querer configurar un método de activar la correspondencia de la política de servicio; por ejemplo, las políticas de control se pueden utilizar para activar servicios. Para obtener más información sobre los métodos de activación del servicio, vea el módulo "Configuración de Servicios de Suscriptor ISG". Configurar una clase del DHCP en un perfil o un perfil del usuario del servicio Realice esta tarea de agregar el Atributo específico del proveedor (VSA) para una clase del DHCP a un perfil del usuario o de mantener el perfil. Los suscriptores para quienes se activa el perfil del usuario o del servicio serán IP Address asignados del agrupamiento DHCP o del servidor remoto que se asocia a la clase. Prerrequisitos Pasos Siguientes
Prerrequisitos A conjunto de direcciones DHCP debe ser configurada. Las clases configuradas dentro del conjunto de direcciones DHCP deben hacer juego conjunto de direcciones DHCP las clases configuradas en el servicio o el perfil del usuario. PASOS SUMARIOS 1. Agregue el atributo de clase del DHCP al usuario o mantenga el perfil. PASOS DETALLADOS
Comando o acción
Propósito Asocia a conjunto de direcciones del â del classname=class-name DHCP a un servicio o a un suscriptor específico.
Paso Agregue el atributo de clase del DHCP al usuario o mantenga el perfil. 1 Ejemplo: 26,9,1 = suscriptor del
del
del â:
del
Pasos Siguientes Se puede desear configurar un método para activar el mapeo de policy map o un perfil de servicio; por ejemplo, las políticas de control se pueden utilizar para activar servicios. Para obtener más información sobre los métodos de activación del servicio, vea el módulo "Configuración de Servicios de Suscriptor ISG". Configurar un IP Address del servidor DHCP Realice esta tarea de especificar qué servidores DHCP a utilizar en su red, o para configurar la dirección IP de uno o más servidores DHCP disponibles en la red, y para especificar la interrogación del arriendo del DHCP para las sesiones ruteadas IP.
Nota El IP Address del servidor DHCP necesita ser configurado para las sesiones ruteadas IP, si se realiza la interrogación del arriendo del DHCP.
Antes de comenzar El servidor DHCP debe soportar el protocolo del arriendo del DHCP. La dirección IP del teléfono se debe asignar por las asignaciones de DHCP Address. El tráfico se debe clasificar como capa 3. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. DHCP-servidor del IP {IP address | arriendo de la interrogación {MAX-retransmisiones de las recomprobaciones | descanso-interrogación-segundos del descanso}} 4. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2 Ejemplo:
Propósito
Habilita el mo EXEC privilegiado.
Ingrese contras si se le pide qu haga.
Ingresa en el modo de configuración global.
Router# configure terminal Paso DHCP-servidor del IP {IP address | arriendo de la interrogación {MAX-retransmisiones de las 3 recomprobaciones | descanso-interrogación-segundos del descanso}} Ejemplo: El arriendo de la interrogación del DHCP-servidor del IP de Router(config)# revisa 3
Configura la dirección IP d uno o más servidores DHCP disponibles e
red, y especi la interrogaci del arriendo d DHCP para l sesiones ruteadas IP.
Sale del mod de configurac global.
Paso Finalizar 4 Ejemplo: Router(config)# end
Configuración de la Selección Dinámica de VPN ISG Configuración de una Interfaz Multiservicios Especificación de un VRF en un Policy Map de Servicio Verificación de la Transferencia VRF para Sesiones IP Troubleshooting de la Transferencia VRF para Sesiones IP Configuración de una Interfaz Multiservicios Realice los pasos en este procedimiento para configurar una interfaz multiservicio. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. Número de interfaz multiservicio de la interfaz 4. IP VRF vrf-name de envío 5. máscara del IP address del IP Address 6. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Ejemplo: Router# configure terminal Paso Número de interfaz multiservicio de la interfaz 3 Ejemplo: Interfaz 1 multiservicio de Router(config)# Paso IP VRF envío del vrf-name 4 Ejemplo:
Crea una interfaz multiservicio, que habilita la selección dinámica VPN, y ingresa al modo de configuración de la interfaz.
Asocia un VRF de VPN a una interfaz o subinterfaz.
Router (config-if) # IP VRF remitiendo vrf1 Paso máscara del IP address del IP Address 5 Ejemplo:
Fija el IP Address principal para una interfaz. Especifique la dirección IP del VPN.
Router (config-if) # dirección IP 172.16.0.0 255.255.255.0 Paso Finalizar 6
(Opcional) Vuelve al modo EXEC privilegiado.
Ejemplo: Router(config-if)#end
Especificación de un VRF en un Policy Map de Servicio La transferencia VRF se produce cuando se activa un nuevo servicio primario para una sesión, lo que provoca que ésta se transfiera de un VRF a otro. Los servicios pueden ser configurados en los perfiles del servicio en una autenticación externa, autorización, y el servidor o ellos de las estadísticas (AAA) se puede configurar en el dispositivo ISG en las correspondencias de la política de servicio. Realice esta tarea para configurar un VRF en un policy map de servicio en el dispositivo ISG. PASOS SUMARIOS 1. permiso 2. configuró terminal 3. Policy-map-name del servicio del tipo del directiva-mapa 4. IP VRF nombre-de-VRF de envío 5. SG-servicio-tipo primario 6. servicio-grupo-nombre del SG-servicio-grupo 7. extremo PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso configure terminal 2
Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Ejemplo: Router# configure terminal Paso Policy-map-name del servicio del tipo del directiva-mapa 3 Ejemplo: Servicio service1 del tipo del directiva-mapa de Router(config)#
Paso IP VRF envío del nombre-de-VRF 4
Crea o modifica un policy map de servicio, que se utiliza para definir un servicio ISG, e ingresa en el modo de configuración de policy map de servicio. Asocia el servicio a un VRF.
Ejemplo: Router (config-servicio-policymap) # IP VRF remitiendo vrf1 Paso SG-servicio-tipo primario 5 Ejemplo: Router (config-servicio-policymap) # SG-servicio-tipo primario
Paso servicio-grupo-nombre del SG-servicio-grupo 6 Ejemplo: Router (config-servicio-policymap) # group1 del SG-servicio-grupo
Paso Finalizar 7 Ejemplo: Router (config-servicio-policymap) # extremo
Verificación de la Transferencia VRF para Sesiones IP Realice los pasos en la tarea siguiente según las necesidades de verificar la transferencia VRF para las sesiones IP. PASOS SUMARIOS 1. permiso 2. muestre el detalle del identificador de sesión del uid de la sesión del suscriptor
Define el servicio como servicio primario. Un servicio primario es un servicio que contiene una política de reenvío de red. Un servicio primario se debe definir como tal usando el comando sgservice-type primary. Cualquier servicio que no sea un servicio primario se define de forma predeterminada como servicio secundario.
(Opcional) Asocia un servicio ISG a un grupo de servicios. Un grupo de servicios es una agrupación de servicios que pueden estar activos simultáneamente para una sesión dada. Por lo general, un grupo de servicios incluye un servicio primario y uno o varios servicios secundarios.
(Opcional) Vuelve al modo EXEC privilegiado.
3. muestre al suscriptor del IP [segundos que cuelgan | detalle | ip ip-address | MAC address del mac | vrf-name del vrf [segundos que cuelgan| detalle | ip ip-address ]] 4. muestre el idmgr {el [detailed [component [substring] de la memoria]] | mantenga el valor de la clave dominante de la servicio-clave de la sesión-manija-cadena de la sesión-manija | clave de la sesión {AAA-único-identificación-cadena AAA-único-identificación | VRF-identificación VRF-identificación del IP address del IP address domainip-VRF| VRF-identificación VRF-identificación del IP address del IP address nativeip-VRF | conjunto-número del conjunto del ip ip-address del portbundle | sesiónguid de la sesión-guid | sesión-manija-cadena de la sesión-manija | sesión-identificación-cadena del ID de sesión} | estadísticas} 5. muestre el [vrf vrf-name] de la ruta de IP 6. muestre a DHCP del IP el [ip-address] obligatorio 7. salga PASOS DETALLADOS
Comando o acción Paso permiso 1 Ejemplo: Router> enable
Paso muestre el detalle del identificador de sesión del uid de la sesión del suscriptor 2 Ejemplo: Detalle del uid 4 de la sesión del suscriptor de la demostración del Router-
Paso muestre al suscriptor del IP [segundos que cuelgan | detalle | ip ip-address | MAC address del mac | vrf-name del vrf [segun 3 cuelgan| detalle | ip ip-address]] Ejemplo: Vrf vrf1 del suscriptor del IP de la demostración del Router-
Paso muestre el idmgr {el [detailed [component [substring] de la memoria]] | mantenga el valor de la clave dominante de la servicio 4 sesión-manija-cadena de la sesión-manija | clave de la sesión {AAA-único-identificación-cadena AAA-único-identificación | VR identificación VRF-identificación del IP address del IP address domainip-VRF| VRF-identificación VRF-identificación del IP ad address nativeip-VRF | conjunto-número del conjunto del ip ip-address del portbundle | sesión-guid de la sesión-guid | sesión cadena de la sesión-manija | sesión-identificación-cadena del ID de sesión} | estadísticas} Ejemplo:
IP address 209.165.200.225 de la clave de la sesión nativeip-VRF del idmgr de la demostración d Paso muestre el [vrf vrf-name] de la ruta de IP 5 Ejemplo: Ruta de IP de la demostración del RouterPaso muestre a DHCP del IP el [ip-address] obligatorio 6 Ejemplo: Atascamiento DHCP del IP de la demostración del Router-
Paso salida 7 Ejemplo: Salida del Router-
Troubleshooting de la Transferencia VRF para Sesiones IP Los comandos en este procedimiento se pueden utilizar para resolver problemas la transferencia VRF para las sesiones IP. Estos comandos se pueden ingresar en cualquier orden. PASOS SUMARIOS 1. suscriptor del debug {evento | error | paquete| directiva | servicio} 2. suscriptor del IP del debug {evento | error | paquete | FSM | todos} 3. dpm de la política de suscriptor del debug {error | evento} 4. ip dhcp server del debug {eventos | paquetes | acoplamiento | clase} PASOS DETALLADOS
Comando o acción Paso suscriptor del debug {evento | error | paquete| directiva | servicio} 1 Ejemplo: Servicio para suscriptores del debug del Router-
Paso suscriptor del IP del debug {evento | error | paquete | FSM | todos} 2 Ejemplo: Error del suscriptor del IP del debug del Router-
Propósito Visualiza los mensajes de debugging referente a las directivas del suscriptor, a los eventos del servidor de políticas, y a los cambios para mantener. Visualiza los mensajes de debugging referente a una sesión IP creada en el gateway del servicio.
Visualiza la información de diagnóstico sobre la ejecución de la Ejemplo: directiva que se Evento del dpm de la política de suscriptor del debug del Router- relaciona con los eventos del DHCP.
Paso dpm de la política de suscriptor del debug {error | evento} 3
Paso ip dhcp server del debug {eventos | paquetes | acoplamiento | clase} 4 Ejemplo:
El hacer el debug del Cisco IOS DHCP Server de los permisos.
Eventos del ip dhcp server DHCP del debug del Router-
Pasos Siguientes Después de que usted haya configurado el ISG para sacar a colación a capa 3 sesiones, usted puede querer configurar las directivas para la identificación y la autorización de suscriptor, tal como la característica de clave de host del Puerto-conjunto, cambio de dirección del tráfico del suscriptor del unauthenticated, o inicio de sesión del suscriptor automático. Las instrucciones en cómo configurar estas directivas se pueden encontrar en los módulos siguientes: Configuración de ISG Port-Bundle Host Key Redireccionamiento del Tráfico de Suscriptores Usando el Redireccionamiento de Capa 4 de ISG Configuración de las Políticas ISG para el Inicio de Sesión de Suscriptor Automático
Ejemplos de Configuración del Acceso ISG para Sesiones de Suscriptor IP Suscriptor de la interfaz IP ISG del ejemplo Suscriptor ruteado IP ISG del ejemplo Suscriptor conectado IP de la capa 2 ISG del ejemplo Creación de sesión de los parásitos atmosféricos ISG del ejemplo Recuperación iniciada por DHCP de la sesión del ejemplo Interfaz ISG del ejemplo con la capacidad que reconoce la clase del DHCP El ejemplo conjunto de direcciones DHCP clasifica y las acciones de la retransmisión para el ISG Selección dinámica del ejemplo VPN
Suscriptor de la interfaz IP ISG del ejemplo El siguiente ejemplo muestra cómo configurar una sesión de la interfaz IP sobre la interfaz 0/0/1.401 del gigabitethernet: interface GigabitEthernet 0/0/1.401 ip subscriber interface
Suscriptor ruteado IP ISG del ejemplo Las demostraciones del siguiente ejemplo cómo configurar el ISG para crear las sesiones IP para los suscriptores que conectan con el ISG en la interfaz 0/0/1.401 del gigabitethernet a través de una red de acceso ruteada. El ISG creará las sesiones IP tras el recibo de los paquetes DHCP DISCOVER (Detección), de los paquetes entrantes del IP válido, y de los paquetes access-request RADIUS. interface GigabitEthernet0/0/1.401 ip subscriber routed initiator dhcp class-aware initiator unclassified ip-address initiator radius-proxy
Suscriptor conectado IP de la capa 2 ISG del ejemplo El siguiente ejemplo muestra cómo configurar el ISG para crear las sesiones IP para los suscriptores que conectan con el ISG en el gigabitethernet interface0/0/1.401 a través de una red de acceso conectada de la capa 2. El ISG creará las sesiones IP tras el recibo de cualquier trama con una dirección MAC de la fuente válida. interface GigabitEthernet0/0/1.401 ip subscriber l2-connected initiator unclassified mac-address
Creación de sesión de los parásitos atmosféricos ISG del ejemplo El siguiente ejemplo muestra cómo crear una sesión estática ISG para el servidor 209.165.200.225 para los suscriptores que conectan con el ISG en la interfaz 0/4 del gigabitethernet a través de una red de acceso conectada de la capa 2. El ISG creará una sesión estática tras el recibo de la dirección IP de la fuente válida. ip subscriber list mylist ip source 209.165.200.225 mac 0.7.f interface GigabitEthernet 2/0/0 ip subscriber l2-connected initiator static ip subscriber list mylist
Recuperación iniciada por DHCP de la sesión del ejemplo El siguiente ejemplo muestra cómo configurar una directiva ISG que aplique un servicio llamado del del del del â primer-SERVICEâ sobre el reinicio de la sesión para los suscriptores que pertenecen al del de FIRSTâ del del del â VRF: class-map type control TEST match vrf FIRST policy-map type control GLOBAL class type control TEST event session-restart 1 service-policy type service name FIRST-SERVICE
Interfaz ISG del ejemplo con la capacidad que reconoce la clase del DHCP En el siguiente ejemplo, la interfaz 1/0/0.400 del gigabitethernet se configura con las funciones clase-enteradas del DHCP, que permite al ISG para influenciar la asignación de la dirección IP del DHCP. Si se activa el del de SERVICE_DHCPâ del del del â del servicio, el del del â del DHCP_POOL2 del del â del agrupamiento DHCP se utiliza para la asignación de dirección. Si no, se utiliza el del del â del DHCP_POOL1 del del â del conjunto predeterminado. interface GigabitEthernet1/0/0.400 encapsulation dot1Q 400 ip address 10.1.15.1 255.255.255.0 secondary ip address 10.1.10.1 255.255.255.0 no snmp trap link-status service-policy type control RULE_406a ip subscriber l2-connected initiator dhcp class-aware ! ip dhcp excluded-address 10.1.10.1 ! ip dhcp pool DHCP_POOL1 network 10.1.10.0 255.255.255.0
default-router 10.1.10.1 lease 0 0 30 class default
! ip dhcp class default ! ip dhcp pool DHCP_POOL2 network 10.1.15.0 255.255.255.0 default-router 10.1.15.1 lease 0 0 30 class DHCP_CLASS2 ! ip dhcp class DHCP_CLASS2 ! policy-map type service SERVICE_DHCP classname DHCP_CLASS2 !
El ejemplo conjunto de direcciones DHCP clasifica y las acciones de la retransmisión para el ISG Esta sección contiene los ejemplos conjunto de direcciones DHCP de las acciones de la configuración y de la retransmisión para el ISG.
Servidor DHCP Coresident con la configuración ISG En el ejemplo de configuración siguiente, los ISP son las compañías ISP1 e ISP2. La compañía ISP1 hace sus direccionamientos asignar de una agrupación de direcciones que se afecte un aparato dinámicamente usando las agrupaciones de direcciones a pedido (ODAP). La compañía ISP2 hace sus direccionamientos del cliente asignar de la agrupación de direcciones 10.100.0.0/16. Los clientes no asociados a cualquier ISP tendrán un direccionamiento afectado un aparato de la agrupación de direcciones 10.1.0.0/16, y el Tiempo de validez se fija a 10 minutos. !Address pool for ISP1 customers ip dhcp pool isp1-pool origin dhcp class isp1 ! !Address pool for ISP2 customers ! ip dhcp pool isp2-pool network 10.100.0.0 255.255.0.0 class isp2 ! !Address pool for customers without an ISP ! ip dhcp pool temp network 10.1.0.0 255.255.0.0 lease 0 0 10 class default
Agente de relé DHCP Coresident con la configuración ISG En el ejemplo de configuración siguiente, hay del del poolBâ del dos ISP, del del poolAâ del del del â y del â. Permiten tener direccionamientos en los rangos 10.1.0.0/16 y 10.3.0.0/16, y se retransmiten el ISP del del poolAâ del del del â y sus clientes al servidor DHCP en 10.55.10.1. Permiten tener direccionamientos en el rango 10.2.0.0/16 y 10.4.0.0/16, y se retransmiten el ISP del del poolBâ del del del â y sus clientes al servidor DHCP en 10.10.2.1. !Address ranges: interface gigabitethernet1/0/0 ip address 10.1.0.0 255.255.0.0 ip address 10.2.0.0 255.255.0.0 secondary interface gigabitethernet2/0/0 ip address 10.3.0.0 255.255.0.0 ip address 10.4.0.0 255.255.0.0 !Address pools for poolA1 and poolB2: ip dhcp pool poolA1 relay source 10.1.0.0 255.255.0.0 class poolA1 relay target 10.55.10.1 !Address pool for poolA2: ip dhcp pool poolA2 relay source 10.3.0.0 255.255.0.0 class poolA2 relay target 10.55.10.1 !Address pools for poolB1 and poolB2: ip dhcp pool poolB1 relay source 10.2.0.0 255.255.0.0 class poolB1 relay target 10.10.2.1 ip dhcp pool poolB2 relay source 10.4.0.0 255.255.0.0 class poolB2 relay target 10.10.2.1
La configuración del ARP seguro para la retransmisión utilizará el comando de misma configuración como aplicaciones seguras ARP ya en un servidor DHCP usando el comando arp de la actualización en el modo de configuración de la agrupación de direcciones. Si el sistema está afectando un aparato un direccionamiento de esta agrupación de direcciones, agregará el ARP seguro. Si el sistema está retransmitiendo un paquete usando esta agrupación de direcciones, también agregará el ARP seguro.
Selección dinámica del ejemplo VPN El siguiente ejemplo muestra una configuración en la cual asignen los suscriptores inicialmente una dirección IP del del del â del DHCP_POOL1 del del â de la agrupación global del DHCP. Después de que los accesos del suscriptor el portal web y seleccionen el del de CorporateVPNâ del del del â del servicio, el ISG realiza una transferencia VRF y asignan se requiere el suscriptor una nueva dirección IP del del del VPN_POOL1.â del del â del agrupamiento DHCP en este caso, una sola interfaz multiservicio. ! ip vrf VPN_406_1001 rd 406:1001 route-target export 406:1001 route-target import 406:1001 ! interface GigabitEthernet 1/0/0.400
encapsulation dot1Q 400 ip address 10.1.10.1 255.255.255.0 no snmp trap link-status service-policy type control RULE_406a ip subscriber l2-connected initiator dhcp class-aware ! ip dhcp relay information trust-all ip dhcp use vrf connected ! !!!! Default Global DHCP Pool ! ip dhcp excluded-address 10.1.10.1 ! ip dhcp pool DHCP_POOL1 network 10.1.10.0 255.255.255.0 default-router 10.1.10.1 lease 0 0 30 class default ! ip dhcp class default ! ! !!! DHCP Pool for CorporateVPN ! ip dhcp excluded-address 10.1.11.1 ! ip dhcp pool VPN_POOL1 vrf VPN_406_1001 network 10.1.11.0 255.255.255.0 default-router 10.1.11.1 lease 0 0 30 class DHCP_CLASS_VPN_406_1001 ! interface multiservice 1 ip vrf forwarding VPN_406_1001 ip address 10.1.11.1 255.255.255.0 no keepalive
Referencias adicionales Documentos Relacionados
Tema relacionado
Título del documento
Comandos de Cisco IOS
El Cisco IOS domina los comandos list, todos las versiones
Comandos ISG
Referencia inteligente del comando gateway de los servicios del Cisco IOS
Configuración DHCP
El módulo del “DHCP” de Cisco IOSIP que dirige la guía de configuración
Configurar las directivas de control ISG “Configurando módulo de las directivas de control ISG” en esta guía
Estándares
Estándar
Título
Ninguno
--
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL: http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC Ninguno
Título --
Asistencia Técnica
Descripción
Link
El sitio Web de soporte técnico de Cisco proporciona los recursos en línea extensos, incluyendo la documentación y las herramientas para localizar averías y resolver los problemas técnicos con los Productos Cisco y las Tecnologías.
http://www.cisco.com/cisco/web/LA/support/index.html
Para recibir la Seguridad y la información técnica sobre sus Productos, usted puede inscribir a los diversos servicios, tales como la herramienta de alerta del producto (accedida de los Field Notice), el hoja informativa de los servicios técnicos de Cisco, y alimentaciones realmente simples de la sindicación (RSS). El acceso a la mayoría de las herramientas en el sitio Web de soporte técnico de Cisco requiere una identificación del usuario y una contraseña del cisco.com.
Información sobre la Función Acceso ISG para Sesiones de Suscriptor IP La tabla siguiente proporciona la información sobre la versión sobre la característica o las características descritas en este módulo. Esta tabla enumera solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica. Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder el Cisco Feature Navigator, vaya a www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Cuadro 4
Información sobre la Función Acceso ISG para Sesiones de Suscriptor IP
Nombre de la función
Versiones
Autenticación de usuario 12.2(33)SRE del servidor DHCP 15.0(1)S
Información sobre la Función La función de autenticación de usuario del servidor DHCP se utiliza para autenticar los DHCP cliente. En el Cisco IOS Release 12.2(33)SRE, el soporte fue agregado para el Cisco 7600 Router.
Recuperación de Sesión 12.2(31)SB IP para Sesiones IP 12.2(33)SRC2 Iniciadas por DHCP
El ISG proporciona una política predeterminada y la capacidad de configurar una directiva que determine el ISG de las acciones tomará sobre el reinicio de la sesión que sigue la recuperación de una sesión iniciada por DHCP IP. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router. Los siguientes comandos fueron introducidos o modificados por esta característica: control del tipo de clase, vrf de la coincidencia.
IP Subscriber Session CLI Updates
12.2(31)SB2 12.2(33)SRC
Algunos de los comandos que se utilizan para configurar las sesiones del suscriptor IP ISG fueron modificados o substituidos. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router. Los siguientes comandos fueron introducidos o modificados por esta característica: borre al suscriptor del IP, suscriptor del IP del debug, interfaz del identificador, src-addr del IP del identificador, iniciador, interconecte multiservicio, interfaz del suscriptor del IP, suscriptor del IP, suscriptor del IP de la demostración.
ISG: Instrumentación: Soporte de la interrogación del arriendo del DHCP
12.2(33)SRE 12.2(33)XNE
La transacción de la interrogación del arriendo del DHCP es una transacción DHCP con los tipos de mensajes especiales que habilitan, entre otras cosas, a los clientes para preguntar los servidores DHCP con respecto al propietario y el vencimiento del arriendo de una dirección IP. En el Cisco IOS Release 12.2(33)XNE, el soporte fue agregado para los Cisco 10000 Series Router.
ISG: Sesión: Creación: Interface IP Session: L2
12.2(28)SB 12.2(33)SRC
Las sesiones de interfaz IP ISG incluyen todo el tráfico IP recibido en una interfaz virtual o física específica. Las sesiones de la interfaz IP se
12.2SRE
proveen a través del CLI; es decir, se crea una sesión cuando se ingresan los comandos de sesión de la interfaz IP. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.
ISG: Sesión: Creación: Interface IP Session: L3
12.2(28)SB 12.2(33)SRC 12.2SRE
Las sesiones de interfaz IP ISG incluyen todo el tráfico IP recibido en una interfaz virtual o física específica. Las sesiones de la interfaz IP se proveen a través del CLI; es decir, se crea una sesión cuando se ingresan los comandos de sesión de la interfaz IP. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router. Las secciones siguientes proporcionan información acerca de esta función:
ISG: Sesión: Creación: IP Session: Protocol Event (DHCP)
12.2(28)SB 12.2(33)SRC
La mayoría de las sesiones ISG se crean al detectar un flujo de datos que no se pueda afiliar con una sesión ya activa. Un ISG se puede configurar para crear una sesión IP tras recibir el primer paquete DHCP DISCOVER de un suscriptor. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.
ISG: Sesión: Creación: 12.2(28)SB IP Session: IP de subred 12.2(33)SRC y de origen: L2
La sesión de ISG es el componente primario utilizado para asociar servicios y políticas a través de flujos de datos específicos. Una sesión de subred IP es una sesión ISG que incluye el tráfico IP de una sola subred IP. Una sesión basada en la IP de origen incluye el tráfico de una única dirección IP de origen. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.
ISG: Sesión: Creación: 12.2(28)SB IP Session: IP de subred 12.2(33)SRC y de origen: L3
La sesión de ISG es el componente primario utilizado para asociar servicios y políticas a través de flujos de datos específicos. Una sesión de subred IP es una sesión ISG que incluye el tráfico IP de una sola subred IP. Una sesión basada en la IP de origen incluye el tráfico de una única dirección IP de origen. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.
ISG: Sesión: Multicast : Coexistencia
12.2(33)SRE
El dispositivo de coexistencia del Multicast de la sesión ISG introduce la capacidad de recibir todos los suscriptores y servicios (los datos y Multicast) en el mismo VLA N habilitando el Multicast y las sesiones IP para coexistir en la misma subinterfaz para los Cisco 7600 Series Router. En el Cisco IOS Release 12.2(33)SRE, el soporte fue agregado para el Cisco 7600 Router.
ISG: Sesión: Transferencia VRF:
12.2(28)SB 12.2(33)SRC
La sesión ISG es el principal componente utilizado para asociar servicios y políticas con flujos de datos específicos. Las sesiones ISG se asocian al ruteo virtual y a las instancias de reenvío cuando se requiere el ruteo para el servicio de red. La transferencia ISG VRF proporciona los medios de conmutar dinámicamente una sesión activa entre los dominios del ruteo virtual. En el Cisco IOS Release 12.2(33)SRC, se ha añadido soporte al Cisco 7600 Router.
ISG: Creación de sesión 12.2(33)SRE estática 12.2(33)XNE
Los permisos estáticos de la característica de la creación de sesión ISG administrador-iniciaron IP estático las sesiones. En el Cisco IOS Release 12.2(33)SRE, el soporte fue agregado para el Cisco 7600 Router. En el Cisco IOS Release 12.2(33)XNE, el soporte fue agregado para los Cisco 10000 Series Router. Los siguientes comandos fueron introducidos o modificados por esta característica: lista estática del suscriptor del iniciador, IP de
origen, lista del suscriptor del IP, lista estática del suscriptor del IP de la demostración. Soporte que reconoce VRF para los clientes CoA
12.2(31)SB12
Permite que un cliente CoA apoye a los suscriptores ISG en diversos VRF.
Cisco y el logotipo de Cisco son marcas registradas del Cisco Systems, Inc. y/o de sus afiliados en los E.E.U.U. y otros países. Un anuncio de las marcas registradas de Cisco se puede encontrar en www.cisco.com/go/trademarks. Las marcas registradas del otro vendedor mencionadas son la propiedad de sus propietarios respectivos. El uso de la palabra Partner no implica en una relación de sociedad entre Cisco y ninguna otra compañía. (1005R) Las direcciones IP (Internet Protocol) y los números de teléfono utilizados en este documento no son direcciones y números de teléfono reales. Cualesquiera ejemplos, muestra de la salida de comandos, diagramas de topología de red y otras figuras incluidos en el documento se muestran solamente con fines ilustrativos. El uso de direcciones IP o números de teléfono reales en contenido ilustrativo es involuntario y fortuito.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/111/1116/1116391_isg-acess-ip-sess.html