Различия

Показаны различия между двумя версиями страницы.

--- dpi:bras_bng:use_cases:dpi_bestpractice_brasl2pppoe [2023/08/30 07:59] – elena.krasnobryzh
+++ dpi:bras_bng:use_cases:dpi_bestpractice_brasl2pppoe [2024/09/26 15:29] (текущий) – внешнее изменение 127.0.0.1
@@ Строка 1: / Строка 1: @@
-====== dpi_bestpractice_brasl2pppoe ======
+====== Пример BRAS L2 PPPoE ======
+{{indexmenu_n>4}}
+{{ dpi:qoe:use_cases:bras_l2_dhcp_radius_proxy.png?direct&600 |}}
+FastDPI BRAS начиная с версии 7.2 поддерживает PPPoE. Абонент подключаеся к СКАТ, используя тип подключения PPPoE. Дальше терминируется СКАТ и попадает на бордер.
+Для организации работы СКАТ в режиме BRAS PPPoE участвуют следующие элементы:
+  - Клиент с типом доступа PPPoE
+  - FastDPI - обработка трафика и применение политик
+  - FastPCRF - проксирование запросов между fastDPI и Radius
+  - Radius сервер - принимает запросы от fastPCRF и формирует ответы с заданными атрибутами
+  - Router - отвечает за передачу пакетов в интернет и обратный маршрут, на текущий момент возможен сценарий со Static Route и сценарий с [[dpi:dpi_components:router|настройкой маршрутизации OSPF и BGP]] на СКАТ
+===== Сценарий =====
+===== Настройка FastDPI =====
+==== Редактирование файла конфигурации DPI ====
+Сперва необходимо раскомментировать (добавить) следующие строчки в файл конфигурации ///etc/dpi/fastdpi.conf//.
+<code>
+    #включение внутренней базы данных свойств пользователей
+udr=1
+    #активирует режим L2 BRAS
+bras_enable=1
+enable_auth=1
+    #"виртуальный" IP адрес DPI (должен быть уникальным в сети)
+bras_arp_ip=192.168.1.2
+    #"виртуальный" MAC адрес DPI (следует использовать реальный MAC адрес любого из DNA интерфейсов)
+bras_arp_mac=a0:36:9f:77:26:58
+    #IP адрес бордера
+bras_gateway_ip=192.168.1.1
+    #MAC адрес интерфейса, в который подключен DPI, на бордере
+bras_gateway_mac=c4:71:54:4b:e7:8a
+    #данные сервера, где установлен Fastpcrf (если на том же, где и Fastdpi, не изменять)
+auth_servers=127.0.0.1%lo:29002
+    # Включаем PPPoE
+bras_pppoe_enable=1
+    #задаем максимальное число PPPoE-сессий
+    #рекомендуемое значение - в 1.5 - 2 раза больше числа PPPoE-абонентов
+bras_pppoe_session=10000
+    #выбор протокола авторизации
+    #включаем CHAP и MS-CHAPv2
+bras_ppp_auth_list=2,3
+    #терминация vlan (в данном случае тэг будет вырезан)
+bras_vlan_terminate=1
+    #замыкание локального трафика
+bras_terminate_local=1
+    #включение accounting
+enable_acct=1
+    #статистика по биллингу абонента
+netflow=4
+    #тайм-аут отправки статистики
+netflow_timeout=60
+</code>
+<note important>Следует выставить **свои** значения для следующих параметров
+  * bras_arp_ip
+  * bras_arp_mac
+  * bras_gateway_ip
+  * bras_gateway_mac
+   </note>
+===== Настройка FastPCRF =====
+Необходимо настроить FastPCRF. Для этого редактируем файл ///etc/dpi/fastpcrf.conf// . Находим строчку с параметрами RADIUS сервера и изменяем
+<code>
+     #secret123 - Radius секрет
+     #192.168.1.10 - IP адрес Radius сервера
+     #eth0 - интерфейс, с которого FastPCRF "общается" с Radius сервером
+     #1812 - порт, на который FastPCRF отправляет запросы авторизации
+     #acct_port - порт, на который FasPCRF отправляет Accouting
+radius_server=secret123@192.168.1.10%eth0:1812;acct_port=1813
+</code>
+===== Настройка Radius =====
+Настройка приводится в качестве **примера** на freeRADIUS 3 и может отличаться от конфигурации Вашего Radius сервера.
+==== Словарь VasExperts ====
+Сперва необходимо добавить VSA словарь
+  * копируем словарь /usr/share/dpi/dictionary.vasexperts из дистрибутива fastpcrf в каталог $freeRadius/share/freeradius
+  * Добавляем в главный словарь $freeRadius/share/freeradius/dictionary строку:
+<code>
+$INCLUDE dictionary.vasexperts
+</code>
+==== Создание Radius клиента ====
+Добавляем в raddb/clients.conf Radius-сервера следующие строки
+<code>
+client fastdpi1 {
+	ipaddr		= 192.168.1.5
+	secret		= secret123
+	require_message_authenticator = yes
+#	add_cui = yes
+	virtual_server	= fastdpi-vs
+}
+</code>
+==== Создание виртуального сервера ====
+Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRadius, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs:
+  * задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs
+  * в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес Radius-сервера):
+<code>
+ipaddr = 192.168.1.10
+port = 1812
+interface = eth0
+</code>
+==== Создание учетной записи для авторизации ====
+Добавляем в файл ///etc/raddb/users// данные по абоненту:
+<code>
+testuser        Cleartext-Password := "VasExperts.FastDPI"
+        Framed-IP-Address = 192.168.2.199,
+        VasExperts-DHCP-DNS = 8.8.8.8,
+        VasExperts-Enable-Service = "9:on",
+	VasExperts-Policing-Profile = "100Mbps"
+	VasExperts-Service-Profile = "11:user_nat"
+</code>
+В файл ///etc/raddb/users// также следует добавить две записи для fastPCRF
+<code>
+VasExperts.FastDPI.unknownUser Cleartext-Password := "VasExperts.FastDPI"
+DEFAULT	Cleartext-Password := "VasExperts.FastDPI"
+</code>
+===== Настройка Маршрутизатора =====
+На маршрутизаторе добавляем статический маршрут в подсеть, котору обслуживает СКАТ.
+<code>
+/ip route add dst-address=192.168.2.0/24 gateway=192.168.1.2
+</code>
+===== Подключение тестового абонента =====
+При подключении неизвестного абонента fastPCRF шлет Access-Request со следующим содержанием:
+<code>
+User-Name = testuser
+MS-CHAP-Challenge = 0xE193CBF29405D063646513166D33F57B
+MS-CHAP2-Response = 0x010041D33AE9751D811DBD4623CF8D9E0514000000000000000051760F288DC221D0DCE20CD196968607B56B72E72A852C25
+Calling-Station-Id = 18:0f:76:01:05:19
+Acct-Session-Id = C4C48F8E00000015
+Service-Type = Framed
+Framed-Protocol = 1
+NAS-Identifier = VasExperts.FastDPI
+VasExperts-Service-Type = 4
+Message-Authenticator = 0x26FE6195DAAC29492B03A3F0B07D638D
+</code>
+Пример Access-Accept при успешной авторизации:
+<code>
+Framed-IP-Address = 192.168.2.199
+VasExperts-DHCP-DNS = 8.8.8.8
+VasExperts-Enable-Service = 9:on
+VasExperts-Service-Profile = 11:user_nat
+MS-CHAP2-Success = 0x01533D34313746393641463434423233313445443043324433434439353437354336443738304532363832
+MS-MPPE-Recv-Key = 0x820F64564914155A4C24C039874650715FF81E2B5AA461668DA05CF6FF1926077290
+MS-MPPE-Send-Key = 0x8BA29098E69F39844E2FD74C5BD3FB0E7FD998348401E56379655D1E7DEA6310505E
+MS-MPPE-Encryption-Policy = 0x00000001
+MS-MPPE-Encryption-Type = 0x00000006
+VasExperts-User-Name = testuser
+</code>
+===== Диагностика =====
+При внедрении L2 BRAS могут возникать различные ошибки, при которых абоненты не могут быть авторизованы и, соответственно, остаться без доступа к интернету. Ниже приведены Самые распространенные проблемы:
+==== Нет запросов на авторизацию. ====
+Проверить, запущен ли процесс fastpcrf. Корректно ли указан адрес Radius сервера.
+==== Пингуется DPI, но до бордера пинг не доходит. ====
+  - Необходимо прописать статичный маршрут в сторону абонентов на бордере. Так как СКАТ, пока не умеет анонсировать абонентские подсети, которые обслуживает, соответственно, необходимо указать бордеру, куда маршрутизировать трафик.
+  - В случае использования NAT для абонентов необходим аналогичный маршрут для подсетей, используемых в NAT.
+  - Корректно ли заданы параметры **bras_gateway_ip** и **bras_gateway_mac**
+==== Не отправляется статистика для Accounting. ====
+  - Проверить, разрешен ли в Firewall’e порт для приема статистики (по умолчанию 1813) на Radius сервере.
+  - Проверить, подключается ли для абонента услуга 9.
+  - Проверить, включен ли accounting в настройках конфигурации DPI.
+  - Проверить, корректное ли значение указано для параметра netflow.
+==== Не доходят CoA до BRAS. ====
+Проверить, разрешен ли в Firewall’e порт для приема CoA (по умолчанию 3799) на сервере с FastPCRF.

Аккаунт

Настройки

Различия

Различия

Что вы хотели найти?