| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:bras_bng:opt_bras_l3:bras_steps:radius_auth_setup:start [2023/08/24 12:04] – elena.krasnobryzh | dpi:bras_bng:opt_bras_l3:bras_steps:radius_auth_setup:start [2023/10/13 11:56] (текущий) – удалено elena.krasnobryzh |
|---|
| ====== Настройка BRAS L3 в fastDPI ====== | |
| {{indexmenu_n>1}} | |
| |
| <note important>Необходимо создать услуги и полисинг, которые в дальнейшем будут передавать с помощью Radius атрибутов от биллинга. | |
| [[https://wiki.vasexperts.ru/doku.php?id=dpi:dpi_bestpractice:qs_rateplans|Пример настройки полисинга (тарифный план) и Captive Portal, которые минимально необходимы для старта.]]</note> | |
| |
| **1.** [[dpi:dpi_options:opt_statistics:statistics_asn:start|Cоздать файл aslocal.bin]] (или откорректировать этот файл, если он уже есть). В файл ''aslocal'' прописываются те диапазоны серых IP-адресов, которые используются в локальной сети провайдера. В качестве номера автономной системы для них указываем любой из диапазона 64512 – 65534. | |
| <code bash> | |
| vi aslocal.txt | |
| 10.0.0.0/8 64512 | |
| 172.16.0.0/12 64512 | |
| 192.168.0.0/16 64512 | |
| cat aslocal.txt | as2bin /etc/dpi/aslocal.bin | |
| </code> | |
| |
| <note important>FastDPI авторизует только локальных пользователей. Локальность пользователя определяется по принадлежности его IP-адреса к списку локальных автономных систем.</note> | |
| |
| **2.** [[dpi:dpi_options:opt_priority:priority_config_as:start|Cоздать файл asnum.dscp]] (или откорректировать этот файл, если он уже есть). В этом файле нужно указать номера //локальных// (local) автономных систем – именно для них будет производиться авторизация. Как правило, это автономные системы для серых IP-адресов, указанные в ''aslocal.bin'', плюс публичные IP-адреса, выделенные провайдеру, если эти публичные IP-адреса используются в локальной сети, то есть требуют авторизации. Для всех IP-адресов автономных систем, помеченных как local в ''asnum.dscp'', будет производиться авторизация. | |
| |
| <code bash> | |
| vi asnum.txt | |
| 64511 local | |
| cat asnum.txt | as2dscp /etc/dpi/asnum.dscp | |
| </code> | |
| |
| **3.** В ''/etc/dpi/fastdpi.conf'' активируем авторизацию: | |
| <code bash> | |
| enable_auth=1 | |
| </code> | |
| |
| **4.** Задать список fastPCRF-серверов: | |
| <code bash> | |
| auth_servers=127.0.0.1%lo:29002;192.168.10.5%eth1:29002 | |
| </code> | |
| |
| Формат задания одного сервера: ''ip%dev:port'', где ''ip'' - IP-адрес сервера, ''dev'' - локальное устройство, с которого устанавливать соединение. | |
| FastDPI устанавливает соединение с первым доступным сервером fastPCRF из списка. | |
| |
| **5.** Не забываем активировать [[dpi:dpi_components:platform:dpi_admin:admin_db:start|UDR]] — хранилище свойств пользователей: | |
| <code> | |
| udr=1 | |
| </code> | |
| |
| <note important>После внесения изменений необходимо сделать перезапуск сервиса: ''service fastdpi restart''.</note> | |
| |
| ====== IPv6 ====== | |
| |
| Для авторизации IPv6-адресов следует активировать [[dpi:dpi_components:platform:dpi_ipv6:start|поддержку IPv6]]. | |
| Фактически СКАТ авторизует не конкретный IPv6-адрес, а подсеть с заданной длиной префикса (по умолчанию /64). Например, если идут пакеты от адресов 2001:1::1 и 2001:1::10, то только один из этих адресов будет послан на авторизацию, а возвращенные параметры авторизации применяются для всех адресов из подсети 2001:1::/64. | |
| |
| Для IPv6 нет аналога файла ''aslocal.bin'', так как нет приватных адресов. Вы должны пометить в файле ''asnum.dscp'' номера AS, которые требуют авторизации, как ''local''. | |
| |
| Авторизация IPv6 автоматически включается, если в ''fastdpi.conf'' указано: | |
| <code bash> | |
| ipv6=1 | |
| enable_auth=1 | |
| </code> | |
| |
| Начиная с версии СКАТ 8.1.4 есть возможность принудительно отключить авторизацию IPv6-адресов, указав в ''fastdpi.conf'': | |
| <code bash> | |
| enable_auth_ipv6=0 | |
| </code> | |
| |
| [[radius_auth_conf_params|Прочие настройки авторизации]] | |
| |
