Radius-запрос Access-Request имеет следующие атрибуты:
User-Name - MAC-адрес из DHCP-запроса в формате XX:XX:XX:XX:XX:XX. Для Q-in-Q-сетей в качестве User-Name возможно использовать QinQ-теги, см. ниже.User-Password - значение fastpcrf.conf-параметра dhcp_user_psw. Этот параметр задает пароль именно для DHCP Radius proxy режима. Если параметр не задан - используется параметр user_password Radius-сервераNAS-IP-Address - если DHCP-запрос содержит IP-адрес Relay-агента, то в данный атрибут подставляется этот адрес. Если Relay-агента нет - атрибут содержит виртуальный IP-адрес СКАТ из fastdpi.conf-параметра bras_arp_ip. По значению данного атрибута можно определить, из какой подсети пришел Radius-запрос (от какого Relay-агента)NAS-Port-Type - содержит значение fastpcrf.conf-параметра radius_attr_nas_port_type для данного Radius-сервера.NAS-Port - только для VLAN-сетей (с одним VLAN): номер VLANNAS-Port-Id: только для QinQ-сетей (с двойным VLAN): содержит VLAN-ы в строковом виде через '/', например: «123/67»Framed-IP-Address - этот атрибут содержит IP-адрес абонента, присутствует только если IP-адрес абонента известенVSA (Vendor-Specific Attributes) для VendorId=43823 (VASExperts):
VasExperts-Service-Type - содержит значение 1. По значению данного атрибута можно определить, какой Access-Request пришел: 0 - запрос авторизации, 1 - DHCPVasExperts-DHCP-Request - тип DHCP-запроса: 0 - DHCP-Discover, 1 - DHCP-Inform, 2 - DHCP-RequestVasExperts-DHCP-RelayRemoteId - значение cубопции Relay Remote Id опции 82 (Relay Agent Info) DHCP-запроса (binary)VasExperts-DHCP-RelayCircuitId - значение cубопции Relay Circuit Id опции 82 (Relay Agent Info) DHCP-запроса (binary)VasExperts-DHCP-Client-IP - желаемый IP-адрес пользователя. Берется из опции 50 DHCP-Discover (Requested Client IP address), может использоваться только как подсказка (hint) при обработке. Для DHCP-Inform это тот же IP-адрес, что и в атрибуте Framed-IP-AddressVasExperts-DHCP-Hostname - значение опции 12 (hostname) DHCP-запроса (binary)VasExperts-DHCP-ClientId - значение опции 61 (client id) DHCP-запроса (binary)VasExperts-DHCP-ClassId - значение опции 60 (vendor class id) DHCP-запроса (binary)VasExperts-DHCP-RelayInfo- значение опции 82 (relay agent info) DHCP-запроса (binary)Атрибуты, соответствующие значениям опций DHCP, добавляются в Access-Request только если соответствующая опция есть в DHCP-запросе.
Начиная с версии СКАТ 7.4 можно указать, что помещать в атрибут User-Name. Для этого в fastpcrf.conf отвечает параметр radius_user_name_dhcp, задающий возможные значения User-Name в порядке предпочтения:
mac - User-Name = MAC-адрес в формате XX:XX:XX:XX:XX:XXqinq - для QinQ (vlan-per-user) сетей: User-Name = outerVLAN.innerVLAN, например, «56.176»opt61@opt60 - значения DHCP опций 61 (MAC address) '@' opt60 (Vendor-Class-Id)chaddr@opt60 - MAC-адрес из заголовка DHCP-пакета (chaddr) '@' opt60 (Vendor-Class-Id)Пример задания:
# Если есть QinQ-теги, то User-Name=outerVLAN.innerVLAN # иначе User-Name=MAC-адрес radius_user_name_dhcp=qinq,mac
Значение по умолчанию: radius_user_name_dhcp=mac,qinq
Различить «чистый» запрос авторизации от запроса в режиме «DHCP Radius proxy» можно по значению
атрибута VasExperts-Service-Type.
Следует учитывать, что даже в режиме «DHCP Radius proxy» при успешной выдаче IP-адреса серверу fastDPI необходимо в ответе получить логин пользователя, его профиль полисинга и подключенные услуги, как описано в разделе BRAS-авторизация, иначе fastDPI не сможет применить правильные политики к трафику пользователя, особенно если это корпоративный multi-IP пользователь, у которого с одним логином связано несколько IP-адресов.
CoA-оповещения в режиме DHCP Radius proxy поддерживаются, подробнее см. DHCP Proxy и L3-авторизация. Следует учитывать, что CoA-оповещение никак не связано с изменением DHCP-параметров, - оно сигнализирует только об изменении параметров авторизации пользователя, DHCP-сессия остается той же самой.
То же самое относится и к оповещению Disconnect-Request: это оповещение говорит только о том, что пользователь стал неавторизованным (кончились деньги, например), его IP-адрес и остальные DHCP-атрибуты остаются без изменений. Disconnect-Request не приводит к пересозданию DHCP-сессии.