| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:bras_bng:bras_l2_vlan:start [2023/10/25 08:58] – elena.krasnobryzh | dpi:bras_bng:bras_l2_vlan:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1 |
|---|
| ====== Настройка DHCP авторизации ====== | |
| {{indexmenu_n>8}} | |
| - [[dpi:bras_bng:general_setup:start#настройка_bras_l2_в_fastdpi|Активация BRAS в FastDPI]] | |
| - [[dpi:bras_bng:bras_l2_vlan:bras_l2_vlan_session:start|Что такое сессия абонента]] | |
| - [[dpi:bras_bng:bras_l2_vlan:bras_l2_vlan_dhcp:start|Обработка DHCP]] | |
| - [[dpi:bras_bng:bras_l2_vlan:bras_l2_vlan_arp_proxy:start|Обработка ARP]] | |
| - [[dpi:bras_bng:bras_l2_vlan:bras_l2_vlan_arp_proxy:bras_l2_vlan_arp_inspect:start|ARP inspection]] | |
| - [[dpi:bras_bng:bras_l2_vlan:bras_l2_vlan_arp_proxy:bras_l2_vlan_arp_auth:start|Авторизация по ARP-запросам]] | |
| - [[dpi:bras_bng:bras_l2_options:bras_l2_vlan_ipsg:start|IP source guard]] | |
| - [[dpi:bras_bng:bras_l2_options:bras_l2_vlan_local:start|Замыкание локального трафика]] | |
| - [[dpi:bras_bng:bras_l2_vlan_term:start|Терминация трафика]] | |
| - [[dpi:bras_bng:bras_l2_vlan_term:bras_l2_vlan_term_as:start|Терминация на уровне автономной системы]] | |
| - [[dpi:bras_bng:bras_l2_vlan_term:bras_l2_vlan_term_dna:start|Задание параметров терминации для каждого выходного интерфейса]] | |
| - [[dpi:bras_bng:cli:bras_l2_vlan_ctl:start|Ручное изменение свойств абонента]] | |
| - [[dpi:bras_bng:cli:bras_l2_vlan_trace:start|Трассировка СКАТ BRAS]] | |
| |
| <note tip>Обзор [[https://youtu.be/dnVsa7o8onQ|L2 DHCP Mode]]</note> | |
| |
| BRAS L2 для VLAN/Q-in-Q-сетей обеспечивает следующие функции: | |
| * //DHCP//: мониторинг DHCP-запросов от клиентов, немедленная авторизация клиента по Radius-протоколу в случае успешного ответа DHCP-сервера | |
| * //ARP proxy// – мониторинг ARP-запросов из локальной сети, блокирование ARP-запросов из WAN | |
| * //IP source guard// – проверка, что LAN-пакет принадлежит той же самой VLAN, из которой была DHCP-регистрация. Если это условие нарушается, пакет отбрасывается. | |
| * //Замыкание// локального трафика | |
| * //Терминация трафика// из LAN в WAN, //оригинация (приземление)// ответного трафика из WAN в LAN | |
| |
| Для выполнения этих функций fastDPI BRAS должен знать, когда начинается и когда заканчивается сессия клиента, | |
| а также оперировать не только IP-адресами пользователей, но и их MAC-адресами и тегами VLAN/QinQ-сетей. | |
| С помощью этих знаний возможно отфильтровать неправомерные запросы, тем самым повысив безопасность | |
| локальной сети в целом. | |
| |
| FastDPI BRAS L2 подходит как для VLAN-сетей, так и для QinQ (double VLAN, VLAN-per-user)-сетей. | |
| QinQ-сеть более предпочтительна, так как позволяет однозначно идентифицировать пользователя независимым | |
| от железа пользователя способом, но и для обычной VLAN-сети (с одним VLAN-заголовком пакета), | |
| где номер VLAN фактически идентифицирует не пользователя, а группу пользователей, например, | |
| подъезд дома или многоквартирный дом целиком, fastDPI BRAS позволяет реализовать некоторую защиту. | |
| |
| <note>Функции BRAS L2 имеют смысл только при эксплуатации fastDPI в режиме моста, в разрыв.</note> | |
| |
| BRAS работает в основном на уровне L2, что означает, что если пакет из LAN дропается или принимается | |
| решение отправить его обратно в LAN, никакого распознавания содержимого пакета (payload) не производится. | |
| |
| <note important>При внедрении L2 BRAS, особенно на тестовом стенде с малым количеством тестовых абонентов, следует учитывать, что в силу архитектурных особенностей и оптимизации под большой объем проходящего трафика BRAS может некорректно работать с абонентской базой, состоящей из 1-2 абонентов, что выражается в задержках ответов на DHCP/PPPoE пакеты. Для полноценной работы L2 BRAS необходимо загрузить СКАТ каким-либо трафиком, чтобы не простаивали рабочие потоки.</note> | |
