| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_options:brass:opt_bras:bras_fastdpi_setup:start [2020/02/05 15:37] – ↷ Операцией перемещения обновлены ссылки lexx26 | dpi:dpi_options:brass:opt_bras:bras_fastdpi_setup:start [2020/03/18 14:49] (текущий) – удалено lexx26 |
|---|
| ====== 4 Минимальная настройка FastDPI для L3-connected BRAS ====== | |
| {{indexmenu_n>4}} | |
| === Создание конфигурации, описывающей локальность префиксов клиентских IP сетей === | |
| L3-connected BRAS авторизует Пользователей при помощи компонента FastPCRF. | |
| |
| <note important>После получения сетевого пакета от неизвестного ранее IP-адреса FastDPI будет передавать запрос на авторизацию Пользователя к FastPCRF в случае, когда IP-адрес Пользователя является **локальным** по отношению к FastDPI.</note> | |
| |
| === Настройки локальности адресов === | |
| Локальность IP-адреса Пользователя определяется двумя **обязательными** условиями: | |
| |
| - Элемент нумерованного списка IP-адресов пользователя должен принадлежать к списку локальных Автономных Систем (AS), описанных в файле [[dpi:dpi_options:opt_statistics:statistics_asn:start|aslocal.bin]]. Его необходимо наполнить информацией о диапазонах серых IP-адресов, которые используются в локальной сети Провайдера. В качестве номера Автономной Системы (AS) для них указывается любой номер из диапазона 64512 – 65534. | |
| - Элемент нумерованного списка Локальная автономная система должна быть перечислена в файле [[dpi:dpi_options:base_functionality:opt_priority:priority_config_as:start|asnum.dscp]]. В этом файле необходимо указать номера локальных (local) Автономных Систем (AS) – именно для них будет производится авторизация. Для всех IP-адресов Автономных Систем (AS), помеченных как local в [[dpi:dpi_options:base_functionality:opt_priority:priority_config_as:start|asnum.dscp]], будет производится авторизация. | |
| |
| === Активация авторизации === | |
| Активация авторизации и указание списка fastpcrf-серверов в конфигурационном fastdpi.conf файле: | |
| <code> | |
| enable_auth=1 | |
| auth_servers=127.0.0.1%lo:29002;192.168.10.5%eth1:29002 | |
| </code> | |
| Формат записи еденичного сервера: ip%dev:port, где ip - IP-адрес сервера, dev - локальное устройство, с которого устанавливать соединение, port - tcp порт. FastDPI устанавливает соединение с первым доступным сервером fastpcrf из списка. | |
| |
| === Активация хранилища свойств пользователей === | |
| В конфигурационном fastdpi.conf файле необходимо добавить запись: | |
| <code> | |
| udr=1 | |
| </code> | |
| |
| === Дополнительные параметры авторизации === | |
| В fastdpi.conf можно задать дополнительные параметры авторизации: | |
| |
| auth_expired_timeout - время жизни авторизации, в минутах. Этот параметр применяется только если в Radius-ответах Access-Accept или Access-Reject нет атрибута Session-Timeout, задающий время жизни сессии. По истечении этого времени будет послан повторный запрос авторизации. Значение по умолчанию: 60. | |
| <note important>Значение 0 (бессрочно) может приводить к ситуации когда Абонент, в доступе которому было отказано (Access-Reject), останется в статусе «неавторизован» навечно. Вывести абонента из этого статуса можно только CoA-нотификацией на ре-авторизацию, рестартом FastDPI или вручную с помощью утилиты командной строки fdpi_ctrl.</note> | |
| |
| auth_resend_timeout - тайм-аут перепосылки запросов к FastPCRF на авторизацию, секунд. Если FastDPI не получил в течение этого времени ответа от FastPCRF, то запрос авторизации будет повторен. Значение по умолчанию: 60. | |
| |
| auth_pcrf_reconnect - тайм-аут реконнекта к FastPCRF, секунд. Значение по умолчанию: 1. | |
| |
| === Трассировка авторизации === | |
| <note important>Трассировка авторизации сильно влияет на производительность fastDPI и быстро расходует дисковое пространство. Ее следует использовать исключительно при начальной настройке решения.</note> | |
| auth_trace - включает трассировку авторизации. | |
| |
| === Тестовый режим авторизации === | |
| auth_trace_ip - список IP-адресов, для которых следует проводить авторизацию. Может максимум содержать два IP-адреса. Не имеет значения по умолчанию. При настройке авторизация производится только для указанных IP-адресов. | |
| |
| |
| <note> | |
| Пример настройки: | |
| |
| auth_trace_ip=192.168.20.11,192.168.30.58</note> | |
| |
| === Активация поддержки IPv6 === | |
| Для авторизации [[dpi:dpi_components:platform:dpi_ipv6:start|IPv6-адресов]] следует активировать поддержку IPv6. Фактически СКАТ авторизует не конкретный IPv6-адрес, а подсеть с заданной длиной префикса (по умолчанию /64). Например, если идут пакеты от адресов 2001:1::1 и 2001:1::10, то только один из этих адресов будет послан на авторизацию, а возвращенные параметры авторизации применяются для всех адресов из подсети 2001:1::/64. | |
| |
| |
