Пример BRAS L2 DHCP RADIUS Proxy [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy [2023/08/25 12:35] – ↷ Страница перемещена из dpi:dpi_bestpractice:dpi_bestpractice_brasl2radiusproxy в dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy elena.krasnobryzhdpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy [2026/05/05 12:21] (текущий) elena.krasnobryzh
    Строка 1: Строка 1:
    -====== Пример BRAS L2 DHCP Radius Proxy ====== +====== Пример BRAS L2 DHCP RADIUS Proxy ====== 
    -{{indexmenu_n>8}}+{{indexmenu_n>1}}
     ===== Описание схемы ===== ===== Описание схемы =====
    -{{ :dpi:dpi_bestpractice:bras_l2_dhcp_radius_proxy.png?direct&600 |}}+{{ :dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy:bras_l2_dhcp_radius_proxy.png?nolink&900 |}}
     BRAS DHCP L2 означает, что абонент получает IP-адрес через DHCP Proxy и проходит ААА в Биллинге. Дальше терминируется СКАТом и попадает на бордер. BRAS DHCP L2 означает, что абонент получает IP-адрес через DHCP Proxy и проходит ААА в Биллинге. Дальше терминируется СКАТом и попадает на бордер.
      
    -Для организации работы СКАТ в режиме BRAS L2 DHCP Radius Proxy участвуют следующие элементы:+Для организации работы СКАТ в режиме BRAS L2 DHCP RADIUS Proxy участвуют следующие элементы:
       - Клиент с типом доступа Q-in-Q    - Клиент с типом доступа Q-in-Q 
       - FastDPI - обработка трафика и применение политик   - FastDPI - обработка трафика и применение политик
    -  - FastPCRF - проксирование запросов между fastDPI и Radius +  - FastPCRF - проксирование запросов между fastDPI и RADIUS 
    -  - Radius сервер - принимает запросы от fastPCRF и формирует ответы с заданными атрибутами +  - RADIUS-сервер - принимает запросы от fastPCRF и формирует ответы с заданными атрибутами 
    -  - Router - отвечает за передачу пакетов в интернет и обратный маршрут, на текущий момент необходимо прописывать Static Route, т.к. в СКАТ нет поддержки OSPF и BGP+  - Router - отвечает за передачу пакетов в интернет и обратный маршрут, на текущий момент возможен сценарий со Static Route и сценарий с [[dpi:dpi_components:router|настройкой маршрутизации OSPF и BGP]] на СКАТ
     ===== Сценарий ===== ===== Сценарий =====
    -{{ :dpi:dpi_bestpractice:bras_l2_dhcp_radius_proxy_сценарий.png?direct&600 |}} +{{ :dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy:scenario_dhcp.png?nolink&700 |}} 
    -По DHCP запросу - В этом случае, когда BRAS фиксирует DHCP запросы со стороны абонентской сети, то формирует соответствующие Radius запросы для получения параметров DHCP-аренды которые сообщаются абоненту. Кроме того, в ответе на DHCP-аутентификацию можно, также, передать параметры сессии влияющие на прохождение трафика абонента. При передачи параметра Session-Timeout является значением временем аренды адреса (lease time). При раздельном получении параметров DHCP и трафика (IP) можно указывать различные значения Session-Timeout, что разумеется будет довольно удобно, так например выдать время аренды 6 часов, но при этом проводить реавторизацию параметров трафика каждый час.+По DHCP запросу - В этом случае, когда BRAS фиксирует DHCP запросы со стороны абонентской сети, то формирует соответствующие RADIUS-запросы для получения параметров DHCP-аренды которые сообщаются абоненту. Кроме того, в ответе на DHCP-аутентификацию можно, также, передать параметры сессии влияющие на прохождение трафика абонента. При передачи параметра Session-Timeout является значением временем аренды адреса (lease time). При раздельном получении параметров DHCP и трафика (IP) можно указывать различные значения Session-Timeout, что разумеется будет довольно удобно, так например выдать время аренды 6 часов, но при этом проводить реавторизацию параметров трафика каждый час.
     Идентификатором оборудования абонента является - MAC-адрес, номер VLAN или значения полей Option-82. Идентификатором оборудования абонента является - MAC-адрес, номер VLAN или значения полей Option-82.
     ===== Настройка FastDPI ===== ===== Настройка FastDPI =====
      
    -==== 1. Редактирование файла конфигурации DPI ====+==== Редактирование файла конфигурации DPI ====
      
     Сперва необходимо раскомментировать (добавить) следующие строчки в файл конфигурации ///etc/dpi/fastdpi.conf// . Сперва необходимо раскомментировать (добавить) следующие строчки в файл конфигурации ///etc/dpi/fastdpi.conf// .
    Строка 41: Строка 41:
     auth_servers=127.0.0.1%lo:29002 auth_servers=127.0.0.1%lo:29002
      
    -#включение режима DHCP Radius Proxy+#включение режима DHCP RADIUS Proxy
     bras_dhcp_mode=2 bras_dhcp_mode=2
      
    Строка 97: Строка 97:
     </code> </code>
     ===== Настройка FastPCRF ===== ===== Настройка FastPCRF =====
    -Необходимо настроить FastPCRF. Для этого редактируем файл ///etc/dpi/fastpcrf.conf// . Находим строчку с параметрами RADIUS сервера и изменяем+Необходимо настроить FastPCRF. Для этого редактируем файл ///etc/dpi/fastpcrf.conf// . Находим строчку с параметрами RADIUS-сервера и изменяем
      
     <code> <code>
    -     #secret123 - Radius секрет +     #secret123 - RADIUS секрет 
    -     #192.168.1.10 - IP адрес Radius сервера +     #192.168.1.10 - IP адрес RADIUS-сервера 
    -     #eth0 - интерфейс, **с которого** FastPCRF "общается" с Radius сервером+     #eth0 - интерфейс, **с которого** FastPCRF "общается" с RADIUS сервером
          #1812 - порт, на который FastPCRF отправляет запросы авторизации      #1812 - порт, на который FastPCRF отправляет запросы авторизации
          #acct_port - порт, на который FastPCRF отправляет Accounting      #acct_port - порт, на который FastPCRF отправляет Accounting
    Строка 108: Строка 108:
     </code> </code>
      
    -===== Настройка Radius ===== +===== Настройка RADIUS ===== 
    -Настройка приводится в качестве **примера** на freeRADIUS 3 и может отличаться от конфигурации Вашего Radius сервера.+Настройка приводится в качестве **примера** на freeRADIUS 3 и может отличаться от конфигурации Вашего RADIUS-сервера.
      
    -==== Словарь VasExperts ====+==== Словарь VAS Experts ====
     Сперва необходимо добавить VSA словарь Сперва необходимо добавить VSA словарь
       * копируем словарь /usr/share/dpi/dictionary.vasexperts из дистрибутива fastpcrf в каталог $freeRadius/share/freeradius   * копируем словарь /usr/share/dpi/dictionary.vasexperts из дистрибутива fastpcrf в каталог $freeRadius/share/freeradius
    Строка 120: Строка 120:
     </code> </code>
      
    -==== Создание Radius клиента ==== +==== Создание RADIUS-клиента ==== 
    -Добавляем в raddb/clients.conf Radius-сервера следующие строки+Добавляем в raddb/clients.conf RADIUS-сервера следующие строки
      
     <code> <code>
    Строка 134: Строка 134:
      
     ==== Создание виртуального сервера ==== ==== Создание виртуального сервера ====
    -Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRadius, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs: +Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRADIUS, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs: 
       * задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs   * задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs
    -  * в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес Radius-сервера):+  * в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес RADIUS-сервера):
      
     <code> <code>
    Строка 206: Строка 206:
      
     ==== Нет запросов на авторизацию. ==== ==== Нет запросов на авторизацию. ====
    -Проверить, запущен ли процесс fastpcrf. Корректно ли указан адрес Radius сервера.+Проверить, запущен ли процесс fastpcrf. Корректно ли указан адрес RADIUS-сервера.
      
    -==== Не доходят запросы на авторизацию до Radius сервера. ==== +==== Не доходят запросы на авторизацию до RADIUS-сервера. ==== 
    -Проверить, разрешен ли в Firewall’e порт для приема запросов на авторизацию (по-умолчанию 1812) на Radius сервере.+Проверить, разрешен ли в Firewall’e порт для приема запросов на авторизацию (по-умолчанию 1812) на RADIUS-сервере.
      
     ==== Пингуется DPI, но до бордера пинг не доходит. ==== ==== Пингуется DPI, но до бордера пинг не доходит. ====
    Строка 217: Строка 217:
      
     ==== Не отправляется статистика для Accounting. ==== ==== Не отправляется статистика для Accounting. ====
    -  - Проверить, разрешен ли в Firewall’e порт для приема статистики (по-умолчанию 1813) на Radius сервере.+  - Проверить, разрешен ли в Firewall’e порт для приема статистики (по-умолчанию 1813) на RADIUS-сервере.
       - Проверить, подключается ли для абонента услуга 9.   - Проверить, подключается ли для абонента услуга 9.
       - Проверить, включен ли accounting в настройках конфигурации DPI.   - Проверить, включен ли accounting в настройках конфигурации DPI.