====== Интеграция с Radius-сервером ====== {{indexmenu_n>2}} * [[dpi:bras_bng:radius_integration:radius_auth_server_integration:radius_auth_response]] * [[dpi:bras_bng:radius_integration:radius_auth_server_integration:radius_auth_response:radius_auth_access_accept]] * [[dpi:bras_bng:radius_integration:radius_auth_server_integration:radius_auth_response:radius_auth_access_reject]] * [[dpi:bras_bng:radius_integration:radius_auth_server_integration:radius_auth_coa]]
User-Name = "94.158.56.38"
User-Password = "VasExperts.FastDPI"
Framed-IP-Address = 94.158.56.38
Acct-Session-Id = "001122334455667788"
NAS-Port-Type = 5 (Virtual)
NAS-Port = 0
NAS-Port-Id = "708"
NAS-IP-Address = 192.168.0.40
Service-Type = 2 (Framed-User)
VasExperts-Service-Type=0
Message-Authenticator = 0x655ad71144647dd842afd3b65b08d421
где:
* ''User-Name'' — IP-адрес пользователя в виде строки. Можно задать, что указывать в атрибуте User-Name, подробнее см. ниже.
* ''User-Password'' — пароль. Для всех пользователей пароль один и тот же и задается conf-параметром ''radius_user_password''. Не следует рассматривать это поле как пароль пользователя, — это пароль системы.
* ''Framed-IP-Address'' — IPv4-адрес пользователя.
* ''Calling-Station-Id'' — srcMAC адрес пакета, инициировавшего запрос. Полезно для L2-провайдеров — в этом случае это MAC-адрес абонента.
* ''Acct-Session-Id'' — идентификатор accounting-сессии.
* ''NAS-Port-Type'' — задается значением conf-параметра ''radius_attr_nas_port_type''. Перечень допустимых значений определен RFC 2865. В данном примере значение равно 5 (Virtual).
* ''NAS-Port'' — значение тега VLAN пакета абонента; данный атрибут добавляется только для VLAN-сетей.
* ''NAS-Port-Id'' — значение тегов QinQ пакета абонента в формате "outerVLAN/innerVLAN", например, "34/123"; данный атрибут добавляется только для QinQ-сетей.
* ''NAS-IP-Address'' или ''NAS-Identifier'' — IP-адрес или строковый идентификатор сервера fastDPI. Берется из настройки ''[[dpi:bras_bng:radius_integration:radius_auth_fastpcrf_setup|fdpi_server]]''.
* ''Service-Type'' — задается значением conf-параметра ''radius_attr_service_type''. Полный список значений данного атрибута приведен в [[https://tools.ietf.org/html/rfc2865|RFC-2865]]. В данном примере ''Service-Type=2 (Framed-User)''.
* ''VasExperts-Service-Type''(VSA vendor-id=43823, attr-id=6) — тип запроса авторизации: 0 — L3-авторизация, 1 — лизинг DHCP-адреса + авторизация, см. режим [[dpi:bras_bng:bras_l2_vlan:bras_l2_vlan_dhcp:bras_l2_vlan_dhcp_proxy|DHCP Radius proxy]].
* ''Message-Authenticator'' — вычисляемый атрибут, см. [[https://tools.ietf.org/html/rfc2869|RFC-2869]]. Этот атрибут включается в Access-Request, если conf-параметр ''radius_msg_auth_attr=1'' (рекомендованное значение).
{{anchor:ipv6}}
== IPv6 ==
Запрос авторизации для IPv6 несколько отличается — вместо атрибута Framed-IP-Address в запросе присутствуют следующие атрибуты:
* ''Framed-IPv6-Prefix'' — префикс IPv6-подсети. Фактически, авторизация проводится не для конкретного IPv6-адреса, а для всех адресов с данным префиксом.
* ''Framed-IPv6-Address'' — IPv6-адрес. По умолчанию в данном атрибуте указывается адрес префикса, например, для адреса 2001:1::1 значение атрибута будет 2001:1::. Но если задать ''fastpcrf.conf''-параметру ''ipv6_native_framed_address'' значение 1, то значением атрибута ''Framed-IPv6-Address'' будет полный IPv6-адрес, в нашем примере - 2001:1::1. Следует помнить, что задание ''ipv6_native_framed_address=1'' не означает, что СКАТ будет авторизовать //каждый// IPv6-адрес, — нет, он по-прежнему будет рассматривать IPv6-авторизацию как авторизацию абонентских подсетей. Например, если идут пакеты от абонента 2001:1::1 и 2001:1::ab, то на авторизацию будет послан только один из этих адресов, а возвращенные параметры будут применены ко всем адресам подсети 2001:1::/64.
{{anchor:radius_user_name_auth}}
== Значение атрибута User-Name ==
В качестве User-Name в запросе Access-Request может быть использован:
* логин абонента (не всегда известен СКАТ);
* IP-адрес абонента (известен всегда);
* Q-in-Q теги (для QinQ-сетей, "vlan-per-user").
{{anchor:radius_user_name_auth}}
В ''fastpcrf.conf'' параметр ''radius_user_name_auth'' задает значение атрибута User-Name
в порядке предпочтения:
* ''login'' - использовать логин абонента;
* ''ip'' - использовать IP-адрес абонента;
* ''qinq'' - использовать QinQ-тег в формате "outerVLAN.innerVLAN"; например, "101.205";
* ''mac'' - использовать srcMAC из пакета. Для L2-провайдеров это MAC-адрес абонента.
**Пример:**
# В атрибут User-Name помещать QinQ-тег, если его нет - логин абонента, если его нет - IP-адрес
radius_user_name_auth=qinq,login,ip
Значение по умолчанию: ''radius_user_name_auth=login,ip,qinq''
В ответе Access-Accept или Access-Reject СКАТ ожидает получить истинный логин абонента в атрибуте ''VasExperts-UserName'' или ''User-Name''.
[[dpi:bras_bng:radius_integration:radius_auth_server_integration:radius_auth_response|Атрибуты ответов]]