Формат Access-Reject для PPPoE-сетей
Возможно два типа "неавторизованности" абонента:
- абонент наш, но по какой-то причине (нулевой баланс, заблокирован и пр.) ему не может быть выдан полный спектр услуг
- абонент нам неизвестен - в этом случае абонента в сеть пускать нельзя
В первом случае (наш абонент) абоненту нужно выдать IP-адрес (то есть PPPoE-сессия будет установлена, авторизация успешна), но следует задать урезанные настройки - специальный профиль полисинга, услугу 5 (белый список + captive portal), - чтобы абонент смог зайти в сеть и, например, пополнить свой баланс. То есть Access-Reject должен содержать атрибут Framed-IP-Address для таких абонентов.
Во втором случае (левый абонент, ошибка в параметрах авторизации) пакет Access-Reject не должен содержать атрибута Framed-IP-Address, что трактуется как запрет входа в сеть: PPPoE-сессия не устанавливается, авторизация не проходит.
Access-Reject содержит следующие атрибуты:
Framed-IP-Address
- IP-адрес, выданный абоненту. Если абонент "левый", ему не надо выдавать IP-адрес, то есть атрибута Framed-IP-Address в Access-Reject быть не должно.Idle-Timeout
- тайм-аут бездействия, в секундах. PPPoE-сессия будет закрыта, если в течение этого времени не было пакетов от/к абоненту. Если этот атрибут не задан, сессия считается бессрочной (пока явно не будет закрыта абонентом)Reply-Message
- необязательный атрибут: сообщение, которое будет передано абоненту в PPP Auth-Ack/Auth-Nak ответеSession-Timeout
- необязательный атрибут: max время жизни сессии, секунд.Acct-Interim-Interval
- необязательный атрибут: период отправки промежуточных данных accounting'а, секунд (не может быть меньше 60). 0 - не отправлять промежуточный accounting.Class
- необязательный атрибут: этот атрибут, если задан, будет отправляться "as is" во всех accounting-пакетах
Для типа авторизации MS-CHAPv2 поддерживается также атрибут MS-CHAP-Error
[RFC2548].
Поддерживаются следующие VSA-атрибуты Microsoft (vendor-id=311, RFC2548), все они не являются обязательными:
MS-Primary-DNS-Server
- IP-адрес primary DNS сервераMS-Secondary-DNS-Server
- IP-адрес secondary DNS сервераMS-Primary-NBNS-Server
- IP-адрес primary NetBios сервераMS-Secondary-NBNS-Server
- IP-адрес secondary NetBios сервера
VSA-атрибуты VASExperts (vendor-id=43823), не являются обязательными:
[41] VASExperts-DHCP-DNS
- IP-адрес DNS сервера. Может быть не более двух атрибутов VASExperts-DHCP-DNS: для
основного (primary) и резервного (secondary) сервера.
Адреса DNS-серверов могут быть заданы через Microsoft VSA-атрибуты или VASExperts VSA-атрибут.
Если абонент авторизован, то есть ему выдан IP-адрес, то в дополнение к вышеперечисленным атрибутам
обязательно следует задать в специальных VASExperts VSA-атрибутах профиль полисинга VasExperts-Policing-Profile
и профиль услуги 5 (белый список + Captive Portal) VasExperts-Service-Profile
,
подробнее см. L3 BRAS.
Зачем для "наших" абонентов нужен Access-Reject?..
Профиль полисинга и услуги, заданные в Access-Reject, применяются временно. Если свойства абонента, пришедшие в атрибутах Access-Accept, запоминаются во внутренней базе данных (UDR) fastDPI и применяются даже после перезагрузки, то свойства из Access-Reject применяются без сохранения в UDR. То есть при перезагрузке fastDPI восстановятся те свойства абонента, которые пришли последний раз в Access-Accept, и fastDPI будет их применять до тех пор, пока не получит новые в ответ на Access-Request.