Управление услугами. Именованные профили услуг
Создание, изменение и удаление профилей услуг осуществляется с помощью утилиты fdpi_ctrl.
Услуги делятся на три типа:
- Без профиля - настройки услуги описаны в конфигурации DPI или не требуют описания, к примеру 9 сервис (отправка биллингового NetFlow/RADIUS Accounting)
- Анонимные (без имени) профили - услуга не создается заранее, параметры услуги задаются в момент подключение услуги абоненту в json формате
- Именованные профили - услуга создается до подключения абоненту, хранится во внутренней базе DPI - Администрирование Баз Данных: UDR и SDR
Именованные профили по сравнению с анонимными профилями имеют следующие преимущества:
- Упрощает администрирование абонентов
- Позволяет находить абонентов с требуемым профилем по имени профиля
- Позволяет изменить профиль всем абонентам с заданным профилем просто изменив параметры профиля
- Позволяет контролировать ограничение на количество уникальных профилей (максимум 65535)
Анонимные (без имени) профили в свою очередь имеют следующие преимущества:
- Не нужно заниматься менеджментом профиля (создавать его и удалять), профиль освобождается вместе с удалением абонента или профиля у абонента
- Не нужно придумывать имя профиля
Синтаксис команд
Общий формат команд:
fdpi_ctrl команда --service идентификатор_услуги [список_IP] [список_LOGIN]
Расшифровка параметров команды:
| Параметр | Описание, возможные значения и формат | Примечание |
|---|---|---|
команда | Значения: 1. load — загрузить данные2. del — удалить. Для --service нужно задать идентификатор_услуги3. list — показать информацию по заданному списку список_IP или всю информацию, если задан аргумент all. | В командах list, del вместо списка IP/LOGIN можно задавать all, что значит применить команду для всех. |
идентификатор_услуги | Числовой ID, соответствующий услуге из списка | |
список_IP | Значения: 1. --file — файл со списком IP2. --ip — одиночный IP, формат: 192.168.0.13. --ip_range — интервал IP (включает границы), формат: 192.168.0.1-192.168.0.54. --cidr — IP с портом, формат: 192.168.0.0/30, 5.200.43.0/24~ (вариант указания CIDR с исключенными крайними адресами) | Из диапазона CIDR можно исключить крайние адреса (по соглашению о бесклассовой адресации — это адреса шлюза и широковещательный), добавив в определение диапазона символ ~ в конце определения CIDR, например --cidr 5.200.43.0/24~ |
список_LOGIN | Значения: 1. --file — файл со списком логинов2. --login — одиночный логин, формат: USER1, "FIRST_NAME LAST_NAME" (вариант указания логина с экранированием спецсимволов) | "USER1" — вариант задания login в двойных кавычках 'USER2' — вариант задания login в одинарных кавычках |
# — это комментарий.
Список услуг
udp_block.
| ID | Краткое описание | Ссылка на подробное описание |
|---|---|---|
| 1 | бонусная программа | Описание |
| 2 | реклама | Описание |
| 3 | блокировка рекламы | Описание |
| 4 | фильтрация по черному списку | Описание |
| 5 | белый список и Captive Portal | Описание |
| 6 | уведомление через HTTP redirect | Описание |
| 7 | кэширование | Описание |
| 8 | пройдена DDOS защита | Описание |
| 9 | RADIUS accounting / сбор netflow статистики для биллинга | Описание |
| 10 | DDOS защита | Описание |
| 11 | CGNAT и NAT 1:1 | Описание |
| 12 | запись трафика в PCAP | Описание |
| 13 | мини Firewall | Описание |
| 14 | отведение трафика на TAP интерфейс | Описание |
| 15 | спецабонент (весь трафик помещается в cs0, не применяется фильтрация (4 услуга) для vChannel и общего канал) | Описание |
| 16 | белый список и переадресация на Captive Portal без доступа в интернет | Описание |
| 17 | зеркалирование трафика в заданный VLAN | Описание |
| 18 | полисинг по сессии для определенных протоколов и определение классов трафика на уровнях канала и абонента | Описание |
| 19 | подмена DNS ответов, в планах: перенаправление DNS запросов на DNS сервер провайдера | Описание |
| 49 | блокировка IPv6 трафика | Описание |
| 50 | участник маркетинговой компании с уведомлением через HTTP redirect | Описание |
| 51 | зарезервировано (внутренняя услуга) | |
| 254 | VRF | Описание |
Создание, подключение и отключение услуг
Создание именованного профиля для услуги 6 (единоразовый redirect) нотификации о новостях оператора связи и подключение данной услуги с профилем на абонента:
fdpi_ctrl load profile --service 6 --profile.name redir_to_news --profile.json '{ "redirect" : "http://mysite.com/ips_news", "check" : true }'
fdpi_ctrl load --service 6 --profile.name redir_to_news --ip 192.168.0.1
fdpi_ctrl load --service 6 --profile.name redir_to_news --login test
Подключение услуги 6 без профиля (параметры услуги берутся из файла конфигурации DPI):
fdpi_ctrl load --service 6 --ip 192.168.0.1 fdpi_ctrl load --service 6 --login test
Подключение услуги 6 с анонимным профилем (профиль без имени, который существует до отключения услуги абоненту):
fdpi_ctrl load --service 6 --profile.json '{ "redirect" : "http://mysite.com/ips_news", "check" : true }' --ip 192.168.0.1
fdpi_ctrl load --service 6 --profile.json '{ "redirect" : "http://mysite.com/ips_news", "check" : true }' --login test
Отключение услуги 6 для конкретного абонента:
fdpi_ctrl del --service 6 --ip 192.168.0.1 fdpi_ctrl del --service 6 --login test
Команды управления услугами
Получить список все абонентов с подключенной услугой 6:
fdpi_ctrl list all --service 6
Поиск абонентов, которым подключена услуга 6 с конкретным именованным профилем:
fdpi_ctrl list all --service 6 --profile.name redir_to_news
Получить информацию по конкретному IP для 6 услуги:
fdpi_ctrl list --service 6 --ip 192.168.0.1
Удаление именованного профиля (не должно быть абонентов, которые его используют)
fdpi_ctrl del profile --service 6 --profile.name redir_to_news
Изменение настроек услуги с именованным профилем (новые настройки применятся ко всем абонентам с заданным профилем услуги)
fdpi_ctrl load profile --service 6 --profile.name redir_to_news --profile.json '{ "redirect" : "http://mysite.com/ips_news_new", "check" : true }'
Просмотр всех созданных профилей по всем услугам
fdpi_ctrl list all profile --service
При задании списка IP можно одновременно задать несколько опций --file, --ip, --ip_range, --cidr:
fdpi_ctrl list --service 6 --ip 192.168.0.1 --ip 192.168.0.2 --file fip_1.txt --ip_range 192.168.0.3-192.168.0.6 --login USER1
Операция применится для всех указанных элементов, по которым не произошло ошибки.
При возникновении ошибки отката внесенных изменений не происходит!
Настройка блокировки протоколов TCP и UDP
Параметр udp_block отвечает за блокировку протокола UDP. Если в конфигурационном файле DPI /etc/dpi/fastdpi.conf есть этот параметр — то происходит блокировка TCP+UDP, если нет — блокируется только TCP.
Чтобы начать блокировать протоколы UDP (например, QUIC), необходимо добавить в конфигурационный файл параметр udp_block со значением 2 или 3 (начать блокировку после двух или трёх прошедших пакетов). Такие значения
устанавливаются так как бывает, что проходит большое количество одиночных пакетов, которые не учитываются в трафике, но могут вызвать сильную нагрузку на DPI.
udp_block=3
Добавление параметра не требует рестарта DPI, достаточно сделать reload:
service fastdpi reload
Подключение дополнительных опций через Личный кабинет
Для подачи заявки на подключение доп.опций через Личный кабинет нужно:
- Перейти в раздел “Мои лицензии”
- Выбрать из списка лицензию, для которой требуются доп.опции
- Выбрать необходимые опции из списка доступных
- Нажать “Отправить заявку”
- Заполнить данные и отправить заявку
Была ли полезна эта информация?