| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy [2026/05/05 12:04] – [1. Редактирование файла конфигурации DPI] elena.krasnobryzh | dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy [2026/05/05 12:21] (текущий) – elena.krasnobryzh |
|---|
| ====== Пример BRAS L2 DHCP Radius Proxy ====== | ====== Пример BRAS L2 DHCP RADIUS Proxy ====== |
| {{indexmenu_n>1}} | {{indexmenu_n>1}} |
| ===== Описание схемы ===== | ===== Описание схемы ===== |
| BRAS DHCP L2 означает, что абонент получает IP-адрес через DHCP Proxy и проходит ААА в Биллинге. Дальше терминируется СКАТом и попадает на бордер. | BRAS DHCP L2 означает, что абонент получает IP-адрес через DHCP Proxy и проходит ААА в Биллинге. Дальше терминируется СКАТом и попадает на бордер. |
| |
| Для организации работы СКАТ в режиме BRAS L2 DHCP Radius Proxy участвуют следующие элементы: | Для организации работы СКАТ в режиме BRAS L2 DHCP RADIUS Proxy участвуют следующие элементы: |
| - Клиент с типом доступа Q-in-Q | - Клиент с типом доступа Q-in-Q |
| - FastDPI - обработка трафика и применение политик | - FastDPI - обработка трафика и применение политик |
| - FastPCRF - проксирование запросов между fastDPI и Radius | - FastPCRF - проксирование запросов между fastDPI и RADIUS |
| - Radius сервер - принимает запросы от fastPCRF и формирует ответы с заданными атрибутами | - RADIUS-сервер - принимает запросы от fastPCRF и формирует ответы с заданными атрибутами |
| - Router - отвечает за передачу пакетов в интернет и обратный маршрут, на текущий момент возможен сценарий со Static Route и сценарий с [[dpi:dpi_components:router|настройкой маршрутизации OSPF и BGP]] на СКАТ | - Router - отвечает за передачу пакетов в интернет и обратный маршрут, на текущий момент возможен сценарий со Static Route и сценарий с [[dpi:dpi_components:router|настройкой маршрутизации OSPF и BGP]] на СКАТ |
| ===== Сценарий ===== | ===== Сценарий ===== |
| {{ :dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy:scenario_dhcp.png?nolink&700 |}} | {{ :dpi:bras_bng:use_cases:dpi_bestpractice_brasl2radiusproxy:scenario_dhcp.png?nolink&700 |}} |
| По DHCP запросу - В этом случае, когда BRAS фиксирует DHCP запросы со стороны абонентской сети, то формирует соответствующие Radius запросы для получения параметров DHCP-аренды которые сообщаются абоненту. Кроме того, в ответе на DHCP-аутентификацию можно, также, передать параметры сессии влияющие на прохождение трафика абонента. При передачи параметра Session-Timeout является значением временем аренды адреса (lease time). При раздельном получении параметров DHCP и трафика (IP) можно указывать различные значения Session-Timeout, что разумеется будет довольно удобно, так например выдать время аренды 6 часов, но при этом проводить реавторизацию параметров трафика каждый час. | По DHCP запросу - В этом случае, когда BRAS фиксирует DHCP запросы со стороны абонентской сети, то формирует соответствующие RADIUS-запросы для получения параметров DHCP-аренды которые сообщаются абоненту. Кроме того, в ответе на DHCP-аутентификацию можно, также, передать параметры сессии влияющие на прохождение трафика абонента. При передачи параметра Session-Timeout является значением временем аренды адреса (lease time). При раздельном получении параметров DHCP и трафика (IP) можно указывать различные значения Session-Timeout, что разумеется будет довольно удобно, так например выдать время аренды 6 часов, но при этом проводить реавторизацию параметров трафика каждый час. |
| Идентификатором оборудования абонента является - MAC-адрес, номер VLAN или значения полей Option-82. | Идентификатором оборудования абонента является - MAC-адрес, номер VLAN или значения полей Option-82. |
| ===== Настройка FastDPI ===== | ===== Настройка FastDPI ===== |
| auth_servers=127.0.0.1%lo:29002 | auth_servers=127.0.0.1%lo:29002 |
| |
| #включение режима DHCP Radius Proxy | #включение режима DHCP RADIUS Proxy |
| bras_dhcp_mode=2 | bras_dhcp_mode=2 |
| |
| </code> | </code> |
| ===== Настройка FastPCRF ===== | ===== Настройка FastPCRF ===== |
| Необходимо настроить FastPCRF. Для этого редактируем файл ///etc/dpi/fastpcrf.conf// . Находим строчку с параметрами RADIUS сервера и изменяем | Необходимо настроить FastPCRF. Для этого редактируем файл ///etc/dpi/fastpcrf.conf// . Находим строчку с параметрами RADIUS-сервера и изменяем |
| |
| <code> | <code> |
| #secret123 - Radius секрет | #secret123 - RADIUS секрет |
| #192.168.1.10 - IP адрес Radius сервера | #192.168.1.10 - IP адрес RADIUS-сервера |
| #eth0 - интерфейс, **с которого** FastPCRF "общается" с Radius сервером | #eth0 - интерфейс, **с которого** FastPCRF "общается" с RADIUS сервером |
| #1812 - порт, на который FastPCRF отправляет запросы авторизации | #1812 - порт, на который FastPCRF отправляет запросы авторизации |
| #acct_port - порт, на который FastPCRF отправляет Accounting | #acct_port - порт, на который FastPCRF отправляет Accounting |
| </code> | </code> |
| |
| ===== Настройка Radius ===== | ===== Настройка RADIUS ===== |
| Настройка приводится в качестве **примера** на freeRADIUS 3 и может отличаться от конфигурации Вашего Radius сервера. | Настройка приводится в качестве **примера** на freeRADIUS 3 и может отличаться от конфигурации Вашего RADIUS-сервера. |
| |
| ==== Словарь VAS Experts ==== | ==== Словарь VAS Experts ==== |
| </code> | </code> |
| |
| ==== Создание Radius клиента ==== | ==== Создание RADIUS-клиента ==== |
| Добавляем в raddb/clients.conf Radius-сервера следующие строки | Добавляем в raddb/clients.conf RADIUS-сервера следующие строки |
| |
| <code> | <code> |
| |
| ==== Создание виртуального сервера ==== | ==== Создание виртуального сервера ==== |
| Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRadius, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs: | Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRADIUS, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs: |
| * задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs | * задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs |
| * в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес Radius-сервера): | * в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес RADIUS-сервера): |
| |
| <code> | <code> |
| |
| ==== Нет запросов на авторизацию. ==== | ==== Нет запросов на авторизацию. ==== |
| Проверить, запущен ли процесс fastpcrf. Корректно ли указан адрес Radius сервера. | Проверить, запущен ли процесс fastpcrf. Корректно ли указан адрес RADIUS-сервера. |
| |
| ==== Не доходят запросы на авторизацию до Radius сервера. ==== | ==== Не доходят запросы на авторизацию до RADIUS-сервера. ==== |
| Проверить, разрешен ли в Firewall’e порт для приема запросов на авторизацию (по-умолчанию 1812) на Radius сервере. | Проверить, разрешен ли в Firewall’e порт для приема запросов на авторизацию (по-умолчанию 1812) на RADIUS-сервере. |
| |
| ==== Пингуется DPI, но до бордера пинг не доходит. ==== | ==== Пингуется DPI, но до бордера пинг не доходит. ==== |
| |
| ==== Не отправляется статистика для Accounting. ==== | ==== Не отправляется статистика для Accounting. ==== |
| - Проверить, разрешен ли в Firewall’e порт для приема статистики (по-умолчанию 1813) на Radius сервере. | - Проверить, разрешен ли в Firewall’e порт для приема статистики (по-умолчанию 1813) на RADIUS-сервере. |
| - Проверить, подключается ли для абонента услуга 9. | - Проверить, подключается ли для абонента услуга 9. |
| - Проверить, включен ли accounting в настройках конфигурации DPI. | - Проверить, включен ли accounting в настройках конфигурации DPI. |
