The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"CoA портал"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"CoA портал"  +/
Сообщение от enb83 email(ok) on 16-Июл-09, 11:34 
CoA портал для отправки запросов на Cisco ISG.
У кого есть опыт?
C чего начать создание портала?

Просьба на www.cisco.com не отправлять.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "CoA портал"  +/
Сообщение от enb83 email(ok) on 17-Июл-09, 11:52 
>CoA портал для отправки запросов на Cisco ISG.
>У кого есть опыт?
>C чего начать создание портала?
>
>Просьба на www.cisco.com не отправлять.

Неужели не у кого небыло опыта по созданию web портала с Change of Authorization (CoA).
Который бы умел посылать CoA запросы Cisco ISG и менять "налету сервис у абонента".

Может я не на том форуме...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CoA портал"  +/
Сообщение от ugenk on 19-Июл-09, 13:52 
>>CoA портал для отправки запросов на Cisco ISG.
>>У кого есть опыт?
>>C чего начать создание портала?

вкратце - портал, с моей точки зрения работает так:

1. пользователь вводит логин-пароль
2. они проверяются где-то (в базе например)
3. если всё ок - портал отправляет CoA-запросы, которые:
3.1 убирают сервис L4-редиректа и PBHK
3.2 добавляют сервисы в соответствии с купленными билетами.
как происходят 3.1 и 3.2 - с помощью Service Activate/Deactivate или через Account Logon/Logoff - дело вкуса.

PS http://www.cisco.com/en/US/docs/ios/12_2sb/isg/configuration... было бы неплохо прочитать от начала до конца

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "CoA портал"  +/
Сообщение от stas_v (??) on 01-Сен-09, 14:05 
>CoA портал для отправки запросов на Cisco ISG.
>У кого есть опыт?
>C чего начать создание портала?

Если ещё актуально - у меня есть опыт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "CoA портал"  +/
Сообщение от Cold_Mind on 06-Окт-09, 16:19 
>>CoA портал для отправки запросов на Cisco ISG.
>>У кого есть опыт?
>>C чего начать создание портала?
>
>Если ещё актуально - у меня есть опыт.

Актуально!!! Я тоже щас столкнулся с задачей реализовать турбо кнопку.
Если не сложно подскажите.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "CoA портал"  +/
Сообщение от stas_v (??) on 15-Окт-09, 11:02 
Сейчас совсем нет времени писать много - работой завалило.

Но вкратце могу сказать следующее.

Во-первых, кто бы что ни говорил, надо прочитать документацию и держать её в закладках (или даже распечатать):
http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg... - описание CoA интерфейса и аккаунтинга.
http://www.cisco.com/en/US/docs/ios/12_2sb/isg/configuration... - конфигурирование ISG.

Во-вторых, имеет значение, что у вас за портал, какую технологию вы собираетесь использовать? Например, у нас не пошёл стандартный SESM (возможно, мы не правы, но он показался достаточно убогим по фичам) и мы написали свой на Python/Django с использованием своей библиотеки для работы с CoA.

Если надо совсем "втупую" а SESM не хочется, я бы сделал так: поставил бы radclient от freeradius и формировал бы запросы на stdout в виде attribute-value pair (как radacct) и скармливал бы radclient'у. Типа того:

$ cat getatstus-newstyle    
Packet-Type = CoA-Request
User-Name = "ANY"
Cisco-Account-Info = "S192.168.192.2"
Cisco-AVPair = "subscriber:command=account-profile-status-query"
$ /usr/bin/radclient -x -f getstatus-newstyle 10.0.0.1:1700 coa SecretK3y

Ну и в ответ получаем атрибуты всякие. Точно таким же образом можно и включать-выключать сервисы (см. описание CoA).

С турбо-кнопкой есть три варианта (на мой взгляд):

1. Если у вас есть "обычный" сервис (и он у всех одинаковый), то можно прописать такую полиси, чтобы при включении турбо-сервиса "обычный" выключался и наоборот.
2. Можно логику выключения "основного" сервиса положить на портал, т.е. при включении турбо мы смотрим, что там у пользователя включено, выключаем и включаем
турбо (кажется, для SESM есть специальные атрибуты и он делает это автоматически: взаимоисключающие сервисы.)
3. Также, турбо-сервис можно снабдить более низким приоритетом у его тарфик-класса и при включении такого сервиса он перехватит весь трафик на себя.

В общем, вариантов много. Если мой e-mail вам виден - обращайтесь с конкретными вопросами, так всегда проще.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "CoA портал"  +/
Сообщение от Anatoly S. on 23-Ноя-09, 20:33 
А кто нибудь делал CoA в связке с FreeRadius?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "CoA портал"  +/
Сообщение от kpeo on 30-Мрт-11, 15:00 
дополню - не стоит забывать про PHBK если он используется.
запрос Account-Logon приобретает вид:
Cisco-Account-Info = "S192.168.192.2:xx", где xx - число, полученное побитовым смещением на
portbundle length (обычно - 4) порта Cisco, с которого пришел HTTP-запрос клиента.
там еще нужно хитро формировать authenticator пакета и HMAC MD5 в Message-Authenticator (причем способы формирования authenticator'а отличаются для SSG и ISG) - ну да дорогу оcилит идущий ;)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру