Содержание
Пример BRAS L2 PPPoE
FastDPI BRAS начиная с версии 7.2 поддерживает PPPoE. Абонент подключаеся к СКАТ, используя тип подключения PPPoE. Дальше терминируется СКАТ и попадает на бордер.
Для организации работы СКАТ в режиме BRAS PPPoE участвуют следующие элементы:
- Клиент с типом доступа PPPoE
- FastDPI - обработка трафика и применение политик
- FastPCRF - проксирование запросов между fastDPI и Radius
- Radius сервер - принимает запросы от fastPCRF и формирует ответы с заданными атрибутами
- Router - отвечает за передачу пакетов в интернет и обратный маршрут, на текущий момент возможен сценарий со Static Route и сценарий с настройкой маршрутизации OSPF и BGP на СКАТ
Сценарий
Настройка FastDPI
Редактирование файла конфигурации DPI
Сперва необходимо раскомментировать (добавить) следующие строчки в файл конфигурации /etc/dpi/fastdpi.conf.
#включение внутренней базы данных свойств пользователей
udr=1
#активирует режим L2 BRAS
bras_enable=1
enable_auth=1
#"виртуальный" IP адрес DPI (должен быть уникальным в сети)
bras_arp_ip=192.168.1.2
#"виртуальный" MAC адрес DPI (следует использовать реальный MAC адрес любого из DNA интерфейсов)
bras_arp_mac=a0:36:9f:77:26:58
#IP адрес бордера
bras_gateway_ip=192.168.1.1
#MAC адрес интерфейса, в который подключен DPI, на бордере
bras_gateway_mac=c4:71:54:4b:e7:8a
#данные сервера, где установлен Fastpcrf (если на том же, где и Fastdpi, не изменять)
auth_servers=127.0.0.1%lo:29002
# Включаем PPPoE
bras_pppoe_enable=1
#задаем максимальное число PPPoE-сессий
#рекомендуемое значение - в 1.5 - 2 раза больше числа PPPoE-абонентов
bras_pppoe_session=10000
#выбор протокола авторизации
#включаем CHAP и MS-CHAPv2
bras_ppp_auth_list=2,3
#терминация vlan (в данном случае тэг будет вырезан)
bras_vlan_terminate=1
#замыкание локального трафика
bras_terminate_local=1
#включение accounting
enable_acct=1
#статистика по биллингу абонента
netflow=4
#тайм-аут отправки статистики
netflow_timeout=60
- bras_arp_ip
- bras_arp_mac
- bras_gateway_ip
- bras_gateway_mac
Настройка FastPCRF
Необходимо настроить FastPCRF. Для этого редактируем файл /etc/dpi/fastpcrf.conf . Находим строчку с параметрами RADIUS сервера и изменяем
#secret123 - Radius секрет
#192.168.1.10 - IP адрес Radius сервера
#eth0 - интерфейс, с которого FastPCRF "общается" с Radius сервером
#1812 - порт, на который FastPCRF отправляет запросы авторизации
#acct_port - порт, на который FasPCRF отправляет Accouting
radius_server=secret123@192.168.1.10%eth0:1812;acct_port=1813
Настройка Radius
Настройка приводится в качестве примера на freeRADIUS 3 и может отличаться от конфигурации Вашего Radius сервера.
Словарь VasExperts
Сперва необходимо добавить VSA словарь
- копируем словарь /usr/share/dpi/dictionary.vasexperts из дистрибутива fastpcrf в каталог $freeRadius/share/freeradius
- Добавляем в главный словарь $freeRadius/share/freeradius/dictionary строку:
$INCLUDE dictionary.vasexperts
Создание Radius клиента
Добавляем в raddb/clients.conf Radius-сервера следующие строки
client fastdpi1 {
ipaddr = 192.168.1.5
secret = secret123
require_message_authenticator = yes
# add_cui = yes
virtual_server = fastdpi-vs
}
Создание виртуального сервера
Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRadius, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs:
- задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs
- в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес Radius-сервера):
ipaddr = 192.168.1.10 port = 1812 interface = eth0
Создание учетной записи для авторизации
Добавляем в файл /etc/raddb/users данные по абоненту:
testuser Cleartext-Password := "VasExperts.FastDPI"
Framed-IP-Address = 192.168.2.199,
VasExperts-DHCP-DNS = 8.8.8.8,
VasExperts-Enable-Service = "9:on",
VasExperts-Policing-Profile = "100Mbps"
VasExperts-Service-Profile = "11:user_nat"
В файл /etc/raddb/users также следует добавить две записи для fastPCRF
VasExperts.FastDPI.unknownUser Cleartext-Password := "VasExperts.FastDPI" DEFAULT Cleartext-Password := "VasExperts.FastDPI"
Настройка Маршрутизатора
На маршрутизаторе добавляем статический маршрут в подсеть, котору обслуживает СКАТ.
/ip route add dst-address=192.168.2.0/24 gateway=192.168.1.2
Подключение тестового абонента
При подключении неизвестного абонента fastPCRF шлет Access-Request со следующим содержанием:
User-Name = testuser MS-CHAP-Challenge = 0xE193CBF29405D063646513166D33F57B MS-CHAP2-Response = 0x010041D33AE9751D811DBD4623CF8D9E0514000000000000000051760F288DC221D0DCE20CD196968607B56B72E72A852C25 Calling-Station-Id = 18:0f:76:01:05:19 Acct-Session-Id = C4C48F8E00000015 Service-Type = Framed Framed-Protocol = 1 NAS-Identifier = VasExperts.FastDPI VasExperts-Service-Type = 4 Message-Authenticator = 0x26FE6195DAAC29492B03A3F0B07D638D
Пример Access-Accept при успешной авторизации:
Framed-IP-Address = 192.168.2.199 VasExperts-DHCP-DNS = 8.8.8.8 VasExperts-Enable-Service = 9:on VasExperts-Service-Profile = 11:user_nat MS-CHAP2-Success = 0x01533D34313746393641463434423233313445443043324433434439353437354336443738304532363832 MS-MPPE-Recv-Key = 0x820F64564914155A4C24C039874650715FF81E2B5AA461668DA05CF6FF1926077290 MS-MPPE-Send-Key = 0x8BA29098E69F39844E2FD74C5BD3FB0E7FD998348401E56379655D1E7DEA6310505E MS-MPPE-Encryption-Policy = 0x00000001 MS-MPPE-Encryption-Type = 0x00000006 VasExperts-User-Name = testuser
Диагностика
При внедрении L2 BRAS могут возникать различные ошибки, при которых абоненты не могут быть авторизованы и, соответственно, остаться без доступа к интернету. Ниже приведены Самые распространенные проблемы:
Нет запросов на авторизацию.
Проверить, запущен ли процесс fastpcrf. Корректно ли указан адрес Radius сервера.
Пингуется DPI, но до бордера пинг не доходит.
- Необходимо прописать статичный маршрут в сторону абонентов на бордере. Так как СКАТ, пока не умеет анонсировать абонентские подсети, которые обслуживает, соответственно, необходимо указать бордеру, куда маршрутизировать трафик.
- В случае использования NAT для абонентов необходим аналогичный маршрут для подсетей, используемых в NAT.
- Корректно ли заданы параметры bras_gateway_ip и bras_gateway_mac
Не отправляется статистика для Accounting.
- Проверить, разрешен ли в Firewall’e порт для приема статистики (по умолчанию 1813) на Radius сервере.
- Проверить, подключается ли для абонента услуга 9.
- Проверить, включен ли accounting в настройках конфигурации DPI.
- Проверить, корректное ли значение указано для параметра netflow.
Не доходят CoA до BRAS.
Проверить, разрешен ли в Firewall’e порт для приема CoA (по умолчанию 3799) на сервере с FastPCRF.