DHCP Radius proxy - Access-Request [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile

Настройки

  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Экспорт страницы в формате HTML/PDF
  • Ссылки сюда
  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Экспорт страницы в формате HTML/PDF
  • Ссылки сюда
    • Система контроля и анализа трафика СКАТСКАТBRASНастройка DHCP авторизацииОбработка DHCPDHCP Radius ProxyDHCP Radius proxy - Access-Request

    DHCP Radius proxy - Access-Request

    Radius-запрос Access-Request имеет следующие атрибуты:

    • User-Name - MAC-адрес из DHCP-запроса в формате XX:XX:XX:XX:XX:XX. Для Q-in-Q-сетей в качестве User-Name возможно использовать QinQ-теги, см. ниже.
    • User-Password - значение fastpcrf.conf-параметра dhcp_user_psw. Этот параметр задает пароль именно для DHCP Radius proxy режима. Если параметр не задан - используется параметр user_password Radius-сервера
    • NAS-IP-Address - если DHCP-запрос содержит IP-адрес Relay-агента, то в данный атрибут подставляется этот адрес. Если Relay-агента нет - атрибут содержит виртуальный IP-адрес СКАТ из fastdpi.conf-параметра bras_arp_ip. По значению данного атрибута можно определить, из какой подсети пришел Radius-запрос (от какого Relay-агента)
    • NAS-Port-Type - содержит значение fastpcrf.conf-параметра radius_attr_nas_port_type для данного Radius-сервера.
    • NAS-Port - только для VLAN-сетей (с одним VLAN): номер VLAN
    • NAS-Port-Id: только для QinQ-сетей (с двойным VLAN): содержит VLAN-ы в строковом виде через '/', например: «123/67»
    • Framed-IP-Address - этот атрибут содержит IP-адрес абонента, присутствует только если IP-адрес абонента известен

    VSA (Vendor-Specific Attributes) для VendorId=43823 (VASExperts):

    • [6] VasExperts-Service-Type - содержит значение 1. По значению данного атрибута можно определить, какой Access-Request пришел: 0 - запрос авторизации, 1 - DHCP
    • [37] VasExperts-DHCP-Request - тип DHCP-запроса: 0 - DHCP-Discover, 1 - DHCP-Inform, 2 - DHCP-Request
    • [38] VasExperts-DHCP-RelayRemoteId - значение cубопции Relay Remote Id опции 82 (Relay Agent Info) DHCP-запроса (binary)
    • [39] VasExperts-DHCP-RelayCircuitId - значение cубопции Relay Circuit Id опции 82 (Relay Agent Info) DHCP-запроса (binary)
    • [36] VasExperts-DHCP-Client-IP - желаемый IP-адрес пользователя. Берется из опции 50 DHCP-Discover (Requested Client IP address), может использоваться только как подсказка (hint) при обработке. Для DHCP-Inform это тот же IP-адрес, что и в атрибуте Framed-IP-Address
    • [32] VasExperts-DHCP-Hostname - значение опции 12 (hostname) DHCP-запроса (binary)
    • [33] VasExperts-DHCP-ClientId - значение опции 61 (client id) DHCP-запроса (binary)
    • [34] VasExperts-DHCP-ClassId - значение опции 60 (vendor class id) DHCP-запроса (binary)
    • [35] VasExperts-DHCP-RelayInfo- значение опции 82 (relay agent info) DHCP-запроса (binary)

    Атрибуты, соответствующие значениям опций DHCP, добавляются в Access-Request только если соответствующая опция есть в DHCP-запросе.

    Значения атрибута User-Name

    Начиная с версии СКАТ 7.4 можно указать, что помещать в атрибут User-Name. Для этого в fastpcrf.conf отвечает параметр radius_user_name_dhcp, задающий возможные значения User-Name в порядке предпочтения:

    • mac - User-Name = MAC-адрес в формате XX:XX:XX:XX:XX:XX
    • qinq - для QinQ (vlan-per-user) сетей: User-Name = outerVLAN.innerVLAN, например, «56.176»
    • opt61@opt60 - значения DHCP опций 61 (MAC address) '@' opt60 (Vendor-Class-Id)
    • chaddr@opt60 - MAC-адрес из заголовка DHCP-пакета (chaddr) '@' opt60 (Vendor-Class-Id)

    Пример задания: 

       # Если есть QinQ-теги, то User-Name=outerVLAN.innerVLAN
   # иначе User-Name=MAC-адрес
radius_user_name_dhcp=qinq,mac

    Значение по умолчанию: radius_user_name_dhcp=mac,qinq

    Отличия от Radius-запроса авторизации

    Различить «чистый» запрос авторизации от запроса в режиме «DHCP Radius proxy» можно по значению атрибута VasExperts-Service-Type.

    Следует учитывать, что даже в режиме «DHCP Radius proxy» при успешной выдаче IP-адреса серверу fastDPI необходимо в ответе получить логин пользователя, его профиль полисинга и подключенные услуги, как описано в разделе BRAS-авторизация, иначе fastDPI не сможет применить правильные политики к трафику пользователя, особенно если это корпоративный multi-IP пользователь, у которого с одним логином связано несколько IP-адресов.

    CoA

    CoA-оповещения в режиме DHCP Radius proxy поддерживаются, подробнее см. DHCP Proxy и L3-авторизация. Следует учитывать, что CoA-оповещение никак не связано с изменением DHCP-параметров, - оно сигнализирует только об изменении параметров авторизации пользователя, DHCP-сессия остается той же самой.

    То же самое относится и к оповещению Disconnect-Request: это оповещение говорит только о том, что пользователь стал неавторизованным (кончились деньги, например), его IP-адрес и остальные DHCP-атрибуты остаются без изменений. Disconnect-Request не приводит к пересозданию DHCP-сессии.