Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_components:radius:radius_config [2018/02/05 07:45] – создано lexx26
+++ dpi:dpi_components:radius:radius_config [2025/04/10 14:16] (текущий) – [Настройка отведения трафика] elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
 ====== Настройка ======
+{{indexmenu_n>3}}
+Radius Accounting необходимо подать в порты устройства DPI вместе с сетевым трафиком. Реализовать это возможно через зеркалирование портов, к которым подключен Radius сервер.
+===== Настройка TAP интерфейсов =====
+Radius Monitor может быть запущен на том же сервере, что и FastDPI или вынесен на внешний сервер. Для выделения нужного трафика используются два виртуальных интерфейса TAP0 и TAP1.\\
+{{:dpi:dpi_components:radius:radius_config:radius_monitor_dpdk.png?600|Размещения Radius монитор на том же сервере. Используется Bridge.}}\\
+**Размещения Radius монитор на том же сервере. Используется Bridge.**\\
+\\
+\\
+{{:dpi:dpi_components:radius:radius_config:radius_monitor_dpdk_tunnel.png?600|Размещения Radius монитор на внешнем сервере. Используется Tunnel.}}\\
+**Размещения Radius монитор на внешнем сервере. Используется Tunnel.**
+  * TAP0 - используется для отведения трафика
+  * TAP1 - слушает Radius Monitor
+  * Между TAP0 и TAP1 создается Bridge или Tunnel для передачи трафика.
+  * На интерфейсе TAP0 отключается mac learning
+Из консоли выполнить следующие команды:
+<code>
+ip tuntap add tap0 mode tap
+ip tuntap add tap1 mode tap
+ip link set dev tap0 up
+ip link set dev tap1 up
+ip link add br0 type bridge
+ip link set tap0 master br0
+bridge link set dev tap0 learning off
+ip link set tap1 master br0
+ifconfig tap0 192.168.4.20 up
+ifconfig tap1 192.168.4.21 up
+ifconfig br0 up
+</code>
+<note warning>ВНИМАНИЕ: TAP интерфейсы необходимо стартовать после перезагрузки сервера!</note>
+===== Настройка Linux интерфейсов =====
+Работа со стандартными интерфейсами Linux осуществляется с помощью libpcap.
+Пример:
+<code bash>
+in_dev=eno2
+</code>
+===== Настройка отведения трафика =====
+Подключить на FastDPI услугу отведения трафика:
+<code>
+fdpi_ctrl load profile --service 14 --profile.name radius  --profile.json '{ "typedev" : "tap","dev" : "tap0","udp" : [ 1813,1814,1815 ] }' --outformat=json
+fdpi_ctrl load --service 14 --profile.name radius --ip 10.16.252.11
+fdpi_ctrl load --service 14 --profile.name radius --ip 10.16.252.12
+</code>
+где:
+  * 1813,1814,1815 - порты, на которых передается Radius Accounting
+  * 10.16.252.11,10.16.252.12 - IP адреса Radius серверов, с которых идет Radius Accounting
+===== Настройка Radius Monitor =====
+<note important>Настройки Монитора событий Radius находятся в файле **/etc/dpi/fdpi_radius.conf.**</note>
+  * ''in_dev=tap1'' — имя прослушиваемого интерфейса
+  * ''rad_acct_port=1813,1814,1815'' — номер прослушиваемого порта (или список портов через запятую) с пакетами Radius Accounting
+  * ''rad_save_pdu=0'' — сохранять в pcap формате плохие PDU для анализа
+  * ''rad_check_code_pdu=2:4'' — анализировать PDU с кодом 2 и 4
+  * ''rad_check_acct_status_type=1:3'' — анализировать PDU со статусом 1 и 3
+  * ''mem_preset=1'' — инициализировать память при старте
+  * ''fdpi_servers=127.0.0.1:29000,123.45.67.85:29000'' — список DPI серверов, на которые отправлять данные
+  * ''ipfix_extra_gsm=1'' — включить поддержку отправки по IPFIX новых атрибутов из пакетов Radius Accounting. Дополнительные поля, которые добавляются при включении этой опции, указаны в [[dpi:dpi_components:radius:radmon_acct_ipfix|шаблоне]].
+Настройка обработки потоков (рекомендуется использовать приведенные значения):
+  * ''num_threads=1''
+  * ''rx_bind_core=0''
+  * ''services_bind_cores=0''
+  * ''engine_bind_cores=0''
+  * ''fifo_bind_cores=0''
+  * ''snaplen=2000''
+  * ''timeout_alarm=5''
+  * ''dbg_log_mask=0x31''
+Настройка экпорта радиус-событий:
+  * ''ipfix_dev=eno8''
+  * ''ipfix_tcp_collectors=172.32.0.239:1502''
+После изменения конфигурации перезагрузить службу:
+<code>
+systemctl restart fastradius
+</code>
+===== Подлючение NAT на основе CIDR =====
+Создаем на FastDPI именованные профили NAT:
+<code>
+fdpi_ctrl load profile --service 11 --profile.name nat_profile_all --profile.json '{ "nat_ip_pool" : "5.200.43.0/24,5.200.44/25", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'
+</code>
+В конфигурационном файле радиус-монитора /etc/dpi/fdpi_radius.nat указываются диапазоны адресов и соотвествующие им имена профилей nat
+<code>
+пример:
+.0.0.0/0               nat_profile_all
+.0.0.0/8             nat_profile_1
+.1.1.0/24           nat_profile_2
+когда указан более специфичный (конкретный) профиль для адреса, то выбирается он
+</code>
+<note>Описание параметров [[dpi:opt_cgnat:сgnat_settings#параметры_и_возможные_значения|по ссылке]]</note>
+===== Поддержка IPv6 =====
+В конфигурационном файле /etc/dpi/fdpi_radius.conf указываются настроечные параметры
+<code>
+bind_ipv6_address=0 (по умолчанию - не связывать адрес с абонентом),1 связывать (связывание аналогично команде bind в fdpi_ctrl). Адрес берется из атрибута радиус Framed-IPv6-Address(168)
+bind_ipv6_subnet=0 (по умолчанию - не связывать),64 (связывать только для подсетей /64), -1 связывать для любых подсетей. Подсеть берется из атрибута радиус Delegated-IPv6-Prefix(123)
+</code>
+Абонент идентифицируется радиус атрибутом User-Name или Сalling-Station-ID (в зависимости от настройки login_replace)
+<note>В текущей реализации поддерживаются только IPv6 подсети фиксированной длины (по умолчанию /64), поэтому связывание подсетей меньшей длины приведет к ошибке.</note>
+===== Идентификация абонентов в мобильных сетях =====
+В конфигурационном файле /etc/dpi/fdpi_radius.conf указывается настроечный параметр
+<code>
+login_replace=1
+</code>
+в этом случае для идентификации абонента используется радиус атрибут Сalling-Station-ID (вместо User-Name) если он присутствует в радиус пакете
+===== Дополнительные Настройки Radius Monitor =====
+<code>
+# FastDPI RADIUS configuration parameters:
+   # имя исходящего интерфейса, если Монитор работает в режиме пропуска трафика
+#out_dev=dna1
+   # включить эмуляцию резервного Radius сервера
+#rad_server_emulation=1
+   # включить эмуляцию сетевой карты
+#rad_virtual_eth=172.17.69.10/D4:AE:52:C1:A7:29
+   # значение secret для генерации ответов в режиме эмуляции Radius сервера
+#rad_secret=mysecretkey
+   # дополнять имена абонентов (LOGIN) префиксами регионов
+#rad_prefix_info=1
+   # номер прослушиваемого порта (или список портов через запятую) с пакетами Radius Authentication
+#rad_auth_port=1645
+   # разрешить несколько IP на одном USER-NAME cмотри команду load --bind_multi, предупреждение: если порядок bind/unbind в радиус потоке не соблюдается или есть потери пакетов (например это зеркало), то вероятны артефакты
+#bind_multi=true
+</code>
+==== Дополнение имен абонентов (LOGIN) префиксами регионов ====
+Используется когда Radius монитор и СКАТ обслуживают несколько регионов, а user-name может в разных регионах пересекаться с другими регионами, таким образом их можно развести по разным login\\
+. Включаем настройку rad_prefix_info=1\\
+. В файл /etc/dpi/prefixes.info добавить\\
+<code>
+.17.76.1 MSK-
+.17.76.2 MSK-
+.17.76.3 SPB-
+.17.76.4 SPB-
+.17.76.5 SPB-
+</code>
+где:\\
+первое поле - это NAS-IP-Address из Radius пакета\\
+второе поле - какой префикс будет добавлен к login\\
+Также смотрите раздел [[dpi:dpi_components:radius:radius_admin|администрирование]]