Настройки fastPCRF
По умолчанию пакеты RADIUS Accounting посылаются на порт 1813 RADIUS-сервера. Можно указать другой порт глобально для всех RADIUS-серверов или конкретно для данного RADIUS-сервера:
radius_acct_port
конфигурационного файла fastpcrf.conf задает порт аккаунтинга по умолчанию- параметр
acct_port
конкретного RADIUS-сервера задает порт только для этого сервера:
radius_server=secret@192.168.200.1%eth1:1812;acct_port=34567
Также можно отдельно задать секрет для RADIUS accounting для каждого сервера; это делается опцией
acct_secret
параметра radius_server
:
radius_server=qwerty@192.168.200.1%eth1:1812;acct_port=34567;acct_secret=123456
В этом примере для запросов авторизации будет применяться секрет qwerty, а для accounting’а – секрет 123456.
Дополнительно в fastpcrf.conf могут быть заданы следующие параметры, относящиеся к RADIUS Accounting:
radius_max_acct_connect_count
– максимальное число соединений для передачи данных аккаунтинга, значение по умолчанию 2. Каждое соединение может одновременно обслуживать не более 256 запросов. Данный параметр ограничивает максимальную нагрузку на RADIUS-сервер.
radius_acct_interim_interval
– интервал времени посылки промежуточного аккаунтинга, в секундах.
Значение по умолчанию – 1800 сек. Минимально допустимое значение – 60 сек.
Следует отметить, что интервал времени промежуточной статистики может быть задан для каждого пользователя отдельно через атрибут Acct-Interim-Interval ответа Access-Accept/Access-Reject запроса авторизации Access-Request.
Значение 0 – не отправлять промежуточную статистику.
radius_acct_idle_timeout
- [добавлено в СКАТ 7.3] интервал времени неизменности данных, в секундах. Если в течение данного интервала времени не было изменений в accounting данных от fastdpi, accounting-сессия считается закрытой по тайм-ауту бездействия. Значение по умолчанию - 1800 секунд. Следует отметить, что значение данного параметра бессмысленно задавать меньше значения netflow_timeout.
acct_check_idle_mode
- [добавлено в СКАТ 7.4] Режим контроля наступления Stop по неизменности данных.
Допустимые значения:- 0 - в течение
radius_acct_idle_timeout
нет изменений во входящем и исходящем трафике (это значение по умолчанию) - 1 - в течение radius_acct_idle_timeout нет изменений только в исходящем трафике (нет активности абонента).
Режимacct_check_idle_mode=1
позволяет отловить завершение accounting-сессии даже если на IP-адрес абонента идут постоянные пакеты (например, DDoS-атака).
acct_start_point
- [добавлено в СКАТ 7.4] Точка отсчета accounting-статистики:- 0 - с последнего Stop (это значение по умолчанию). Это наиболее точная статистика
- 1 - с начала события Start
Приacct_start_point=0
в режимеacct_check_idle_mode=1
в новую accounting-сессию попадет весь "паразитный" входной трафик, который накопился с момента последнего события Stop.
Приacct_start_point=1
весь "паразитный" входной трафик, накопленный с момента последнего Stop, игнорируется.
Также из-за временных задержек между "включением" accounting'а и собственно сбором netflow-статистики может незначительно исказиться (в сторону уменьшения) статистика исходящего трафика.
acct_auth_sync
- [СКАТ 8.1+] синхронизация авторизации и аккаунтинга. По умолчанию отключена (нет синхронизации). Некоторые биллинговые системы (например, ЛанБиллинг) требуют, чтобы текущая аккаунтинг-сессия была закрыта перед тем, как посылать Access-Request.
Заданиеacct_auth_sync=1
синхронизирует аккаунтинг и авторизацию: по приходе auth-запроса СКАТ закрывает текущую acct-сессию (посылает acct Stop), дожидается ответа от RADIUS на acct Stop, и только затем посылает auth-запрос Access-Request с новым acct sessionId. Кроме того, [СКАТ 9.2+] при закрытии аккаунтинг-сессии по idle timeout PCRF посылает оповещение СКАТу о закрытии сессии; СКАТ в этом случае сбрасывает статус авторизации, что в дальнейшем приводит к реавторизации абонента - отправкеAccess-Request
.
acct_disable_interim_update
- запрет отправки Interim-Update.acct_disable_interim_update=0
— по умолчанию, Interim-Update отправляетсяacct_disable_interim_update=1
— не отправлять Interim-Update