| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:bras_bng:opt_bras_l3:bras_steps:radius_auth_setup:start [2023/08/24 09:02] – ↷ Страница перемещена из dpi:bras_bng:opt_bras_l2:bras_steps:radius_auth_setup:start в dpi:bras_bng:opt_bras_l3:bras_steps:radius_auth_setup:start elena.krasnobryzh | dpi:bras_bng:opt_bras_l3:bras_steps:radius_auth_setup:start [2023/10/13 11:56] (текущий) – удалено elena.krasnobryzh |
|---|
| ====== 1 Настройка BRAS L3 в fastDPI ====== | |
| {{indexmenu_n>1}} | |
| <note important>Необходимо создать услуги и полисинг, которые в дальнейшем будут передавать с помощью Radius атрибутов от биллинга. | |
| [[https://wiki.vasexperts.ru/doku.php?id=dpi:dpi_bestpractice:qs_rateplans|Пример настройки полисинга (тарифный план) и Captive Portal, которые минимально необходимы для старта.]]</note> | |
| |
| 1. [[dpi:dpi_options:opt_statistics:statistics_asn:start|Cоздать файл aslocal.bin]] (или откорректировать этот файл, если он уже есть). В файл aslocal прописываются те диапазоны серых IP-адресов, которые используются в локальной сети провайдера. В качестве номера автономной системы для них указываем любой из диапазона 64512 – 65534. | |
| <code> | |
| vi aslocal.txt | |
| 10.0.0.0/8 64512 | |
| 172.16.0.0/12 64512 | |
| 192.168.0.0/16 64512 | |
| cat aslocal.txt | as2bin /etc/dpi/aslocal.bin | |
| </code> | |
| <note important>FastDPI авторизует только локальных пользователей. Локальность пользователя определяется по принадлежности его IP-адреса к списку локальных автономных систем.</note> | |
| 2. [[dpi:dpi_options:opt_priority:priority_config_as:start|Cоздать файл asnum.dscp]] (или откорректировать этот файл, если он уже есть). В этом файле нужно указать номера //локальных// (local) автономных систем – именно для них будет производится авторизация. Как правило, это автономные системы для серых IP-адресов, указанные в aslocal.bin, плюс белые IP, выделенные провайдеру, если эти белые IP-адреса используются в локальной сети, то есть требуют авторизации. Для всех IP-адресов автономных систем, помеченных как local в asnum.dscp, будет производится авторизация. | |
| <code> | |
| vi asnum.txt | |
| 64511 local | |
| cat asnum.txt | as2dscp /etc/dpi/asnum.dscp | |
| </code> | |
| |
| 3. В **/etc/dpi/fastdpi.conf** активируем авторизацию: | |
| <code> | |
| enable_auth=1 | |
| </code> | |
| 4. Задать список fastPCRF-серверов: | |
| <code> | |
| auth_servers=127.0.0.1%lo:29002;192.168.10.5%eth1:29002 | |
| </code> | |
| Формат задания одного сервера: ''ip%dev:port'', где ''ip'' - IP-адрес сервера, ''dev'' - локальное устройство, с которого устанавливать соединение. | |
| FastDPI устанавливает соединение с первым доступным сервером fastpcrf из списка. | |
| |
| 5. Не забываем активировать [[dpi:dpi_components:platform:dpi_admin:admin_db:start|UDR]] - хранилище свойств пользователей: | |
| <code> | |
| udr=1 | |
| </code> | |
| |
| <note important>После внесения изменений необходимо сделать перзапуск сервиса service fastdpi restart.</note> | |
| |
| ====== IPv6 ====== | |
| |
| Для авторизации IPv6-адресов следует активировать [[dpi:dpi_components:platform:dpi_ipv6:start|поддержку IPv6]]. | |
| Фактически СКАТ авторизует не конкретный IPv6-адрес, а подсеть с заданной длиной префикса (по умолчанию /64). Например, если идут пакеты от адресов 2001:1::1 и 2001:1::10, то только один из этих адресов будет послан на авторизацию, а возвращенные параметры авторизации применяются для всех адресов из подсети 2001:1::/64. | |
| |
| Для IPv6 нет аналога файла ''aslocal.bin'', так как нет серых адресов. Вы должны пометить в файле ''asnum.dscp'' номера AS, которые требуют авторизации, как ''local''. | |
| |
| Авторизация IPv6 автоматически включается, если в fastdpi.conf указано: | |
| <code> | |
| ipv6=1 | |
| enable_auth=1 | |
| </code> | |
| Начиная с версии СКАТ 8.1.4 есть возможность принудительно отключить авторизацию IPv6-адресов, указав в fastdpi.conf: | |
| <code> | |
| enable_auth_ipv6=0 | |
| </code> | |
| |
| [[radius_auth_conf_params|Прочие настройки авторизации]] | |
| |
