DHCP Radius proxy - Access-Request
Radius-запрос Access-Request имеет следующие атрибуты:
User-Name
- MAC-адрес из DHCP-запроса в формате XX:XX:XX:XX:XX:XX. Для Q-in-Q-сетей в качестве User-Name возможно использовать QinQ-теги, см. ниже.User-Password
- значение fastpcrf.conf-параметраdhcp_user_psw
. Этот параметр задает пароль именно для DHCP Radius proxy режима. Если параметр не задан - используется параметрuser_password
Radius-сервераNAS-IP-Address
- если DHCP-запрос содержит IP-адрес Relay-агента, то в данный атрибут подставляется этот адрес. Если Relay-агента нет - атрибут содержит виртуальный IP-адрес СКАТ из fastdpi.conf-параметраbras_arp_ip
. По значению данного атрибута можно определить, из какой подсети пришел Radius-запрос (от какого Relay-агента)NAS-Port-Type
- содержит значение fastpcrf.conf-параметраradius_attr_nas_port_type
для данного Radius-сервера.NAS-Port
- только для VLAN-сетей (с одним VLAN): номер VLANNAS-Port-Id
: только для QinQ-сетей (с двойным VLAN): содержит VLAN-ы в строковом виде через '/', например: "123/67"Framed-IP-Address
- этот атрибут содержит IP-адрес абонента, присутствует только если IP-адрес абонента известен
VSA (Vendor-Specific Attributes) для VendorId=43823 (VASExperts):
- [6]
VasExperts-Service-Type
- содержит значение 1. По значению данного атрибута можно определить, какой Access-Request пришел: 0 - запрос авторизации, 1 - DHCP - [37]
VasExperts-DHCP-Request
- тип DHCP-запроса: 0 - DHCP-Discover, 1 - DHCP-Inform, 2 - DHCP-Request - [38]
VasExperts-DHCP-RelayRemoteId
- значение cубопции Relay Remote Id опции 82 (Relay Agent Info) DHCP-запроса (binary) - [39]
VasExperts-DHCP-RelayCircuitId
- значение cубопции Relay Circuit Id опции 82 (Relay Agent Info) DHCP-запроса (binary) - [36]
VasExperts-DHCP-Client-IP
- желаемый IP-адрес пользователя. Берется из опции 50 DHCP-Discover (Requested Client IP address), может использоваться только как подсказка (hint) при обработке. Для DHCP-Inform это тот же IP-адрес, что и в атрибутеFramed-IP-Address
- [32]
VasExperts-DHCP-Hostname
- значение опции 12 (hostname) DHCP-запроса (binary) - [33]
VasExperts-DHCP-ClientId
- значение опции 61 (client id) DHCP-запроса (binary) - [34]
VasExperts-DHCP-ClassId
- значение опции 60 (vendor class id) DHCP-запроса (binary) - [35]
VasExperts-DHCP-RelayInfo
- значение опции 82 (relay agent info) DHCP-запроса (binary)
Атрибуты, соответствующие значениям опций DHCP, добавляются в Access-Request только если соответствующая опция есть в DHCP-запросе.
Значения атрибута User-Name
Начиная с версии СКАТ 7.4 можно указать, что помещать в атрибут User-Name. Для этого в fastpcrf.conf отвечает параметр radius_user_name_dhcp, задающий возможные значения User-Name в порядке предпочтения:
mac
- User-Name = MAC-адрес в формате XX:XX:XX:XX:XX:XXqinq
- для QinQ (vlan-per-user) сетей: User-Name = outerVLAN.innerVLAN, например, "56.176"opt61@opt60
- значения DHCP опций 61 (MAC address) '@' opt60 (Vendor-Class-Id)chaddr@opt60
- MAC-адрес из заголовка DHCP-пакета (chaddr) '@' opt60 (Vendor-Class-Id)
Пример задания:
# Если есть QinQ-теги, то User-Name=outerVLAN.innerVLAN # иначе User-Name=MAC-адрес radius_user_name_dhcp=qinq,mac
Значение по умолчанию: radius_user_name_dhcp=mac,qinq
Отличия от Radius-запроса авторизации
Различить "чистый" запрос авторизации от запроса в режиме "DHCP Radius proxy" можно по значению
атрибута VasExperts-Service-Type
.
Следует учитывать, что даже в режиме "DHCP Radius proxy" при успешной выдаче IP-адреса серверу fastDPI необходимо в ответе получить логин пользователя, его профиль полисинга и подключенные услуги, как описано в разделе BRAS-авторизация, иначе fastDPI не сможет применить правильные политики к трафику пользователя, особенно если это корпоративный multi-IP пользователь, у которого с одним логином связано несколько IP-адресов.
CoA
CoA-оповещения в режиме DHCP Radius proxy поддерживаются, подробнее см. DHCP Proxy и L3-авторизация. Следует учитывать, что CoA-оповещение никак не связано с изменением DHCP-параметров, - оно сигнализирует только об изменении параметров авторизации пользователя, DHCP-сессия остается той же самой.
То же самое относится и к оповещению Disconnect-Request: это оповещение говорит только о том, что пользователь стал неавторизованным (кончились деньги, например), его IP-адрес и остальные DHCP-атрибуты остаются без изменений. Disconnect-Request не приводит к пересозданию DHCP-сессии.