Это старая версия документа!
1 Параметры запросов FastPCRF к radius-серверам
Поля Access-Request запросов FastPCRF к radius-серверам
При запросах FastPCRF к raidus-серверам используются следующие поля:
| Поле | Формат | Описание |
|---|---|---|
| User-Name | строка | В качестве User-Name может быть использовано: -логин абонента (не всегда известен СКАТу); -IP-адрес абонента (известен всегда); -Q-in-Q теги (для QinQ-сетей, «vlan-per-user»). Начиная с версии СКАТ 7.4, в fastpcrf.conf параметр radius_user_name_auth задает значение атрибута User-Name в порядке предпочтения, через запятую: -login - использовать логин абонента; -ip - использовать IP-адрес абонента; -qinq - использовать QinQ-тег в формате «outerVLAN.innerVLAN»; например «101.205» |
| User-Password | строка | Пароль. Для всех пользователей пароль один и тот же и задается conf-параметром radius_user_password. Не следует рассматривать это поле как пароль пользователя - это пароль системы. |
| Framed-IP-Address | IPv4-адрес | IPv4-адрес пользователя. |
| Acct-Session-Id | строка | Идентификатор accounting-сессии. |
| NAS-Port-Type | число | Задается значением параметра конфигурации radius_attr_nas_port_type. Перечень допустимых значений определен RFC-2865. |
| NAS-Port | число | Значение тега VLAN пакета абонента; данный атрибут добавляется только для абонентов с VLAN |
| NAS-Port-Id | outerVLAN/innerVLAN | Значение тегов QinQ пакета абонента. Данный атрибут добавляется только абонентов с двойным тэгом VLAN, QinQ. Пример: «34/123» |
| NAS-IP-Address | IPv4-адрес | IP-адрес или идентификатор fastDPI, заданный конфигурационным параметром fdpi_server |
| Service-Type | число | Тип сервиса задается значением конфигурационного параметра radius_attr_service_type. Полный список значений данного атрибута приведен в RFC-2865. В данном примере Service-Type=2 (Framed-User). |
| Chargeable-User-Identity (CUI) | строка | Задает логин пользователя, если он известен FastDPI. Если логин не известен, атрибут CUI содержит ровно один нулевой байт (nul CUI), что означает, согласно RFC-4372, что NAS запрашивает у radius-сервера логин пользователя. В ответе fastpcrf ожидает увидеть в атрибуте CUI правильный логин пользователя. |
| VasExperts-Service-Type (VSA vendor-id=43823, attr-id=6) | число | Тип запроса авторизации: 0 - L3-авторизация, 1 - лизинг DHCP-адреса + авторизация, см. режим DHCP Radius proxy |
| Message-Authenticator | строка | Вычисляемый атрибут, см. RFC-2869. Этот атрибут включается в Access-Request, если конфигурационный параметр radius_msg_auth_attr установлен в «1» (рекомендованное значение) |
Поддержка IPv6
Запрос авторизации для IPv6 несколько отличается - вместо атрибута Framed-IP-Address в запросе присутствуют следующие атрибуты:
| Поле | Формат | Описание |
|---|---|---|
| Framed-IPv6-Prefix | IPv6-префикс | Префикс IPv6-подсети. Фактически, авторизация проводится не для конкретного IPv6-адреса, а для всех адресов с данным префиксом. |
| Framed-IPv6-Address | IPv6-адрес | По умолчанию в данном атрибуте указывается адрес префикса, напрмер, для адреса 2001:1::1 значение атрибута будет 2001:1::. Но если задать конфигурационному параметру FastPCRF ipv6_native_framed_address значение 1, то значением атрубута Framed-IPv6-Address будет полный IPv6-адрес, в нашем примере - 2001:1::1. Следует помнить, что задание ipv6_native_framed_address=1 не означает, что СКАТ будет авторизовывать каждый IPv6-адрес, - нет, он по-прежнему будет рассматривать IPv6-авторизацию как авторизацию абонентских подсетей. Например, если идут пакеты от абонента 2001:1::1 и 2001:1::ab, то на авторизацию будет послан только один из этих адресов, а возвращенные параметры будут применены ко всем адресам подсети 2001:1::/64. |