DHCP Radius proxy - Access-Request [Документация VAS Experts]

DHCP Radius proxy - Access-Request

Radius-запрос Access-Request имеет следующие атрибуты:

  • User-Name - MAC-адрес из DHCP-запроса в формате XX:XX:XX:XX:XX:XX. Для Q-in-Q-сетей в качестве User-Name возможно использовать QinQ-теги, см. ниже.
  • User-Password - значение fastpcrf.conf-параметра dhcp_user_psw. Этот параметр задает пароль именно для DHCP Radius proxy режима. Если параметр не задан - используется параметр user_password Radius-сервера
  • NAS-IP-Address - если DHCP-запрос содержит IP-адрес Relay-агента, то в данный атрибут подставляется этот адрес. Если Relay-агента нет - атрибут содержит виртуальный IP-адрес СКАТ из fastdpi.conf-параметра bras_arp_ip. По значению данного атрибута можно определить, из какой подсети пришел Radius-запрос (от какого Relay-агента)
  • NAS-Port-Type - содержит значение fastpcrf.conf-параметра radius_attr_nas_port_type для данного Radius-сервера.
  • NAS-Port - только для VLAN-сетей (с одним VLAN): номер VLAN
  • NAS-Port-Id: только для QinQ-сетей (с двойным VLAN): содержит VLAN-ы в строковом виде через '/', например: "123/67"
  • Framed-IP-Address - этот атрибут содержит IP-адрес абонента, присутствует только если IP-адрес абонента известен

VSA (Vendor-Specific Attributes) для VendorId=43823 (VASExperts):

  • [6] VasExperts-Service-Type - содержит значение 1. По значению данного атрибута можно определить, какой Access-Request пришел: 0 - запрос авторизации, 1 - DHCP
  • [37] VasExperts-DHCP-Request - тип DHCP-запроса: 0 - DHCP-Discover, 1 - DHCP-Inform, 2 - DHCP-Request
  • [38] VasExperts-DHCP-RelayRemoteId - значение cубопции Relay Remote Id опции 82 (Relay Agent Info) DHCP-запроса (binary)
  • [39] VasExperts-DHCP-RelayCircuitId - значение cубопции Relay Circuit Id опции 82 (Relay Agent Info) DHCP-запроса (binary)
  • [36] VasExperts-DHCP-Client-IP - желаемый IP-адрес пользователя. Берется из опции 50 DHCP-Discover (Requested Client IP address), может использоваться только как подсказка (hint) при обработке. Для DHCP-Inform это тот же IP-адрес, что и в атрибуте Framed-IP-Address
  • [32] VasExperts-DHCP-Hostname - значение опции 12 (hostname) DHCP-запроса (binary)
  • [33] VasExperts-DHCP-ClientId - значение опции 61 (client id) DHCP-запроса (binary)
  • [34] VasExperts-DHCP-ClassId - значение опции 60 (vendor class id) DHCP-запроса (binary)
  • [35] VasExperts-DHCP-RelayInfo- значение опции 82 (relay agent info) DHCP-запроса (binary)

Атрибуты, соответствующие значениям опций DHCP, добавляются в Access-Request только если соответствующая опция есть в DHCP-запросе.

Значения атрибута User-Name

Начиная с версии СКАТ 7.4 можно указать, что помещать в атрибут User-Name. Для этого в fastpcrf.conf отвечает параметр radius_user_name_dhcp, задающий возможные значения User-Name в порядке предпочтения:

  • mac - User-Name = MAC-адрес в формате XX:XX:XX:XX:XX:XX
  • qinq - для QinQ (vlan-per-user) сетей: User-Name = outerVLAN.innerVLAN, например, "56.176"
  • opt61@opt60 - значения DHCP опций 61 (MAC address) '@' opt60 (Vendor-Class-Id)
  • chaddr@opt60 - MAC-адрес из заголовка DHCP-пакета (chaddr) '@' opt60 (Vendor-Class-Id)

Пример задания:

   # Если есть QinQ-теги, то User-Name=outerVLAN.innerVLAN
   # иначе User-Name=MAC-адрес
radius_user_name_dhcp=qinq,mac

Значение по умолчанию: radius_user_name_dhcp=mac,qinq

Отличия от Radius-запроса авторизации

Различить "чистый" запрос авторизации от запроса в режиме "DHCP Radius proxy" можно по значению атрибута VasExperts-Service-Type.

Следует учитывать, что даже в режиме "DHCP Radius proxy" при успешной выдаче IP-адреса серверу fastDPI необходимо в ответе получить логин пользователя, его профиль полисинга и подключенные услуги, как описано в разделе BRAS-авторизация, иначе fastDPI не сможет применить правильные политики к трафику пользователя, особенно если это корпоративный multi-IP пользователь, у которого с одним логином связано несколько IP-адресов.

CoA

CoA-оповещения в режиме DHCP Radius proxy поддерживаются, подробнее см. DHCP Proxy и L3-авторизация. Следует учитывать, что CoA-оповещение никак не связано с изменением DHCP-параметров, - оно сигнализирует только об изменении параметров авторизации пользователя, DHCP-сессия остается той же самой.

То же самое относится и к оповещению Disconnect-Request: это оповещение говорит только о том, что пользователь стал неавторизованным (кончились деньги, например), его IP-адрес и остальные DHCP-атрибуты остаются без изменений. Disconnect-Request не приводит к пересозданию DHCP-сессии.