Это старая версия документа!

4 Минимальная настройка FastDPI для L3-connected BRAS

Создание конфигурации, описывающей локальность префиксов клиентских IP сетей

L3-connected BRAS авторизует Пользователей при помощи компонента FastPCRF.

После получения сетевого пакета от неизвестного ранее IP-адреса FastDPI будет передавать запрос на авторизацию Пользователя к FastPCRF в случае, когда IP-адрес Пользователя является локальным по отношению к FastDPI.

Настройки локальности адресов

Локальность IP-адреса Пользователя определяется двумя обязательными условиями:

Элемент нумерованного списка IP-адресов пользователя должен принадлежать к списку локальных Автономных Систем (AS), описанных в файле aslocal.bin. Его необходимо наполнить информацией о диапазонах серых IP-адресов, которые используются в локальной сети Провайдера. В качестве номера Автономной Системы (AS) для них указывается любой номер из диапазона 64512 – 65534.
Элемент нумерованного списка Локальная автономная система должна быть перечислена в файле asnum.dscp. В этом файле необходимо указать номера локальных (local) Автономных Систем (AS) – именно для них будет производится авторизация. Для всех IP-адресов Автономных Систем (AS), помеченных как local в asnum.dscp, будет производится авторизация.

Активация авторизации

Активация авторизации и указание списка fastpcrf-серверов в конфигурационном fastdpi.conf файле:

enable_auth=1
auth_servers=127.0.0.1%lo:29002;192.168.10.5%eth1:29002

Формат записи еденичного сервера: ip%dev:port, где ip - IP-адрес сервера, dev - локальное устройство, с которого устанавливать соединение, port - tcp порт. FastDPI устанавливает соединение с первым доступным сервером fastpcrf из списка.

Активация хранилища свойств пользователей

В конфигурационном fastdpi.conf файле необходимо добавить запись:

udr=1

Дополнительные параметры авторизации

В fastdpi.conf можно задать дополнительные параметры авторизации:

auth_expired_timeout - время жизни авторизации, в минутах. Этот параметр применяется только если в Radius-ответах Access-Accept или Access-Reject нет атрибута Session-Timeout, задающий время жизни сессии. По истечении этого времени будет послан повторный запрос авторизации. Значение по умолчанию: 60.

Значение 0 (бессрочно) может приводить к ситуации когда Абонент, в доступе которому было отказано (Access-Reject), останется в статусе «неавторизован» навечно. Вывести абонента из этого статуса можно только CoA-нотификацией на ре-авторизацию, рестартом FastDPI или вручную с помощью утилиты командной строки fdpi_ctrl.

auth_resend_timeout - тайм-аут перепосылки запросов к FastPCRF на авторизацию, секунд. Если FastDPI не получил в течение этого времени ответа от FastPCRF, то запрос авторизации будет повторен. Значение по умолчанию: 60.

auth_pcrf_reconnect - тайм-аут реконнекта к FastPCRF, секунд. Значение по умолчанию: 1.

Трассировка авторизации

Трассировка авторизации сильно влияет на производительность fastDPI и быстро расходует дисковое пространство. Ее следует использовать исключительно при начальной настройке решения.

auth_trace - включает трассировку авторизации.

Тестовый режим авторизации

auth_trace_ip - список IP-адресов, для которых следует проводить авторизацию. Может максимум содержать два IP-адреса. Не имеет значения по умолчанию. При настройке авторизация производится только для указанных IP-адресов.

Пример настройки:

auth_trace_ip=192.168.20.11,192.168.30.58

Активация поддержки IPv6

Для авторизации IPv6-адресов следует активировать поддержку IPv6. Фактически СКАТ авторизует не конкретный IPv6-адрес, а подсеть с заданной длиной префикса (по умолчанию /64). Например, если идут пакеты от адресов 2001:1::1 и 2001:1::10, то только один из этих адресов будет послан на авторизацию, а возвращенные параметры авторизации применяются для всех адресов из подсети 2001:1::/64.

Показать исходный текст История страницы Ссылки сюда