Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_components:radius:radius_config [2025/04/10 14:16] – [Настройка отведения трафика] elena.krasnobryzh
+++ dpi:dpi_components:radius:radius_config [2025/08/29 09:06] (текущий) – удалено elena.krasnobryzh
@@ Строка 1: / Строка 1: @@
-====== Настройка ======
-{{indexmenu_n>3}}
-Radius Accounting необходимо подать в порты устройства DPI вместе с сетевым трафиком. Реализовать это возможно через зеркалирование портов, к которым подключен Radius сервер.
-===== Настройка TAP интерфейсов =====
-Radius Monitor может быть запущен на том же сервере, что и FastDPI или вынесен на внешний сервер. Для выделения нужного трафика используются два виртуальных интерфейса TAP0 и TAP1.\\
-{{:dpi:dpi_components:radius:radius_config:radius_monitor_dpdk.png?600|Размещения Radius монитор на том же сервере. Используется Bridge.}}\\
-**Размещения Radius монитор на том же сервере. Используется Bridge.**\\
-\\
-\\
-{{:dpi:dpi_components:radius:radius_config:radius_monitor_dpdk_tunnel.png?600|Размещения Radius монитор на внешнем сервере. Используется Tunnel.}}\\
-**Размещения Radius монитор на внешнем сервере. Используется Tunnel.**
-  * TAP0 - используется для отведения трафика
-  * TAP1 - слушает Radius Monitor
-  * Между TAP0 и TAP1 создается Bridge или Tunnel для передачи трафика.
-  * На интерфейсе TAP0 отключается mac learning
-Из консоли выполнить следующие команды:
-<code>
-ip tuntap add tap0 mode tap
-ip tuntap add tap1 mode tap
-ip link set dev tap0 up
-ip link set dev tap1 up
-ip link add br0 type bridge
-ip link set tap0 master br0
-bridge link set dev tap0 learning off
-ip link set tap1 master br0
-ifconfig tap0 192.168.4.20 up
-ifconfig tap1 192.168.4.21 up
-ifconfig br0 up
-</code>
-<note warning>ВНИМАНИЕ: TAP интерфейсы необходимо стартовать после перезагрузки сервера!</note>
-===== Настройка Linux интерфейсов =====
-Работа со стандартными интерфейсами Linux осуществляется с помощью libpcap.
-Пример:
-<code bash>
-in_dev=eno2
-</code>
-===== Настройка отведения трафика =====
-Подключить на FastDPI услугу отведения трафика:
-<code>
-fdpi_ctrl load profile --service 14 --profile.name radius  --profile.json '{ "typedev" : "tap","dev" : "tap0","udp" : [ 1813,1814,1815 ] }' --outformat=json
-fdpi_ctrl load --service 14 --profile.name radius --ip 10.16.252.11
-fdpi_ctrl load --service 14 --profile.name radius --ip 10.16.252.12
-</code>
-где:
-  * 1813,1814,1815 - порты, на которых передается Radius Accounting
-  * 10.16.252.11,10.16.252.12 - IP адреса Radius серверов, с которых идет Radius Accounting
-===== Настройка Radius Monitor =====
-<note important>Настройки Монитора событий Radius находятся в файле **/etc/dpi/fdpi_radius.conf.**</note>
-  * ''in_dev=tap1'' — имя прослушиваемого интерфейса
-  * ''rad_acct_port=1813,1814,1815'' — номер прослушиваемого порта (или список портов через запятую) с пакетами Radius Accounting
-  * ''rad_save_pdu=0'' — сохранять в pcap формате плохие PDU для анализа
-  * ''rad_check_code_pdu=2:4'' — анализировать PDU с кодом 2 и 4
-  * ''rad_check_acct_status_type=1:3'' — анализировать PDU со статусом 1 и 3
-  * ''mem_preset=1'' — инициализировать память при старте
-  * ''fdpi_servers=127.0.0.1:29000,123.45.67.85:29000'' — список DPI серверов, на которые отправлять данные
-  * ''ipfix_extra_gsm=1'' — включить поддержку отправки по IPFIX новых атрибутов из пакетов Radius Accounting. Дополнительные поля, которые добавляются при включении этой опции, указаны в [[dpi:dpi_components:radius:radmon_acct_ipfix|шаблоне]].
-Настройка обработки потоков (рекомендуется использовать приведенные значения):
-  * ''num_threads=1''
-  * ''rx_bind_core=0''
-  * ''services_bind_cores=0''
-  * ''engine_bind_cores=0''
-  * ''fifo_bind_cores=0''
-  * ''snaplen=2000''
-  * ''timeout_alarm=5''
-  * ''dbg_log_mask=0x31''
-Настройка экпорта радиус-событий:
-  * ''ipfix_dev=eno8''
-  * ''ipfix_tcp_collectors=172.32.0.239:1502''
-После изменения конфигурации перезагрузить службу:
-<code>
-systemctl restart fastradius
-</code>
-===== Подлючение NAT на основе CIDR =====
-Создаем на FastDPI именованные профили NAT:
-<code>
-fdpi_ctrl load profile --service 11 --profile.name nat_profile_all --profile.json '{ "nat_ip_pool" : "5.200.43.0/24,5.200.44/25", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'
-</code>
-В конфигурационном файле радиус-монитора /etc/dpi/fdpi_radius.nat указываются диапазоны адресов и соотвествующие им имена профилей nat
-<code>
-пример:
-.0.0.0/0               nat_profile_all
-.0.0.0/8             nat_profile_1
-.1.1.0/24           nat_profile_2
-когда указан более специфичный (конкретный) профиль для адреса, то выбирается он
-</code>
-<note>Описание параметров [[dpi:opt_cgnat:сgnat_settings#параметры_и_возможные_значения|по ссылке]]</note>
-===== Поддержка IPv6 =====
-В конфигурационном файле /etc/dpi/fdpi_radius.conf указываются настроечные параметры
-<code>
-bind_ipv6_address=0 (по умолчанию - не связывать адрес с абонентом),1 связывать (связывание аналогично команде bind в fdpi_ctrl). Адрес берется из атрибута радиус Framed-IPv6-Address(168)
-bind_ipv6_subnet=0 (по умолчанию - не связывать),64 (связывать только для подсетей /64), -1 связывать для любых подсетей. Подсеть берется из атрибута радиус Delegated-IPv6-Prefix(123)
-</code>
-Абонент идентифицируется радиус атрибутом User-Name или Сalling-Station-ID (в зависимости от настройки login_replace)
-<note>В текущей реализации поддерживаются только IPv6 подсети фиксированной длины (по умолчанию /64), поэтому связывание подсетей меньшей длины приведет к ошибке.</note>
-===== Идентификация абонентов в мобильных сетях =====
-В конфигурационном файле /etc/dpi/fdpi_radius.conf указывается настроечный параметр
-<code>
-login_replace=1
-</code>
-в этом случае для идентификации абонента используется радиус атрибут Сalling-Station-ID (вместо User-Name) если он присутствует в радиус пакете
-===== Дополнительные Настройки Radius Monitor =====
-<code>
-# FastDPI RADIUS configuration parameters:
-   # имя исходящего интерфейса, если Монитор работает в режиме пропуска трафика
-#out_dev=dna1
-   # включить эмуляцию резервного Radius сервера
-#rad_server_emulation=1
-   # включить эмуляцию сетевой карты
-#rad_virtual_eth=172.17.69.10/D4:AE:52:C1:A7:29
-   # значение secret для генерации ответов в режиме эмуляции Radius сервера
-#rad_secret=mysecretkey
-   # дополнять имена абонентов (LOGIN) префиксами регионов
-#rad_prefix_info=1
-   # номер прослушиваемого порта (или список портов через запятую) с пакетами Radius Authentication
-#rad_auth_port=1645
-   # разрешить несколько IP на одном USER-NAME cмотри команду load --bind_multi, предупреждение: если порядок bind/unbind в радиус потоке не соблюдается или есть потери пакетов (например это зеркало), то вероятны артефакты
-#bind_multi=true
-</code>
-==== Дополнение имен абонентов (LOGIN) префиксами регионов ====
-Используется когда Radius монитор и СКАТ обслуживают несколько регионов, а user-name может в разных регионах пересекаться с другими регионами, таким образом их можно развести по разным login\\
-. Включаем настройку rad_prefix_info=1\\
-. В файл /etc/dpi/prefixes.info добавить\\
-<code>
-.17.76.1 MSK-
-.17.76.2 MSK-
-.17.76.3 SPB-
-.17.76.4 SPB-
-.17.76.5 SPB-
-</code>
-где:\\
-первое поле - это NAS-IP-Address из Radius пакета\\
-второе поле - какой префикс будет добавлен к login\\
-Также смотрите раздел [[dpi:dpi_components:radius:radius_admin|администрирование]]

Различия

Что вы хотели найти?