Rambler's Top100


Вы

посетитель









Типовые настройки мультисервисных узлов связи, реализованных с использованием аппаратуры BRAS Cisco Systems в IOS, в которых имеется поддержка ISG (Intelligent Services Gateway) функций совместно с RADIUS сервером АСР LANBilling



Введение, общие положения

При помощи описываемых в данной статье настроек оператор связи, оказывающий услуги широкополосного доступа (ШПД) своим абонентам, может реализовать отличный от принятых PPPoE/PPTP механизмов аутентификации и контроля доступа к услугам, который базируется на новых возможностях современных маршрутизаторов.
Суть описываемого в статье механизма заключается в том, что сетевая аппаратура (BRAS – Broadband Remote Access Server) некоторых ведущих производителей позволяет отказаться от ставших классическими способов организации относительно надежного и относительно безопасного способа предоставления услуг ШПД в сеть интернет, базирующегося на идее организации виртуального канала или туннеля от аппаратуры пользователя до устройства агрегирующего (терминирующего виртуальные соединения) абонентский трафик. Отказаться в пользу способа контроля и обеспечения безопасности (аутентичности) на сетевом уровне без организации виртуальных соединений.
Часто (в последние годы все чаще) ввиду постоянно растущей конкуренции клиент оператора связи уже не может быть удовлетворен минимальными, можно сказать, ставшими стандартными, сервисами доступа в интернет и локальную сеть (последний часто не тарифицируется и не управляется средствами биллинговой системы, а организован вне связи с ней).
В связи с тем, что с одной стороны на рынке есть спрос на индивидуальное для каждого абонента управление различными сетевыми сервисами, а с другой стороны, производители сетевого оборудования предлагают соответствующие возможности в своей аппаратуре, нашей компанией внесены изменения в функционал RADIUS-сервера (агента в терминах АСР LANBilling), которые обеспечивают возможность для оператора воспользоваться преимуществами аппаратуры Cisco ISG/Huawei ME60: индивидуальное управление профилями сервисов для абонента и прозрачное для абонента изменение параметров оказания услуг ШПД в связи с отсутствием абонентской сессии и отсутствием необходимости проведения не всегда тривиальных для пользователя сетевых настроек PPPoE/PPTP.


Настройка и определение сервисов (профилей доступа) на BRAS производства Cisco Systems с поддержкой ISG функций

В данном разделе статьи будут приведены инструкции по конфигурированию BRAS Cisco ISG, которые позволяют использовать маршрутизатор совместно с системой LANBilling в конфигурации с поддержкой сервисов.
В простейшем случае под сервисом можно рассматривать список контроля доступа, который определяет диапазоны IP адресов, на которые обеспечиваются соединения в соответствии с данным сервисом. В чуть более сложном варианте каждому сервису может быть сопоставлена скорость (ширина полосы пропускания) доступа к ресурсам, определяемым списком доступа.

Листинг 1. Создание конфигурации сервисов Cisco ISG

Сервисы могут быть прописаны локально в конфигурации Cisco или могут быть получены динамически от системы LANBilling. При динамическом получении сервисов все параметры сервисов прописываются в системе LANBilling. На маршрутизаторе прописываются правила авторизации, политики доступа, а также дополнительные конфигурации необходимые для поддержки ограничений по скорости и запроса квот для prepaid-тарифов. Далее будет рассмотрена базовая конфигурация BRAS Cisco ISG для работы с сервисами.

Динамическое получение списка сервисов

Необходимо создать описание сервера AAA.


aaa group server radius PPPoE_ISG
server IP_LANBilling auth-port 1812 acct-port 1813
!

Где PPPoE_ISG является идентификатором сервера ААА, а IP_LANBilling является IP-адресом сервера аутентификации, в качестве которого мы используем агент RADIUS системы LANBilling, зона ответственности которого определяется настроечными параметрами аутентификации, авторизации и аккаунтинга, приведенными ниже.

Проводить аутентификацию на агенте АСР LANBilling


aaa authentication login default local
aaa authentication login CONS none
aaa authentication enable default none
aaa authentication ppp PPPoE_ISG group PPPoE_ISG

Проводить авторизацию на агенте АСР LANBilling


aaa authorization network default group PPPoE_ISG
aaa authorization network PPPoE_ISG group PPPoE_ISG
aaa authorization subscriber-service default local group PPPoE_ISG

Последняя директива позволит как получать список доступных сервисов из системы LANBilling, так и использовать сервисы, определенные локально. Внимание: данная директива является ключевой для работы сервисов. В случае, если используются только динамические сервисы, директива может выглядеть следующим образом:


aaa authorization subscriber-service default group PPPoE_ISG

Использовать аккаунтинг.


aaa accounting delay-start
aaa accounting update periodic 2
aaa accounting network PPPoE_ISG start-stop group PPPoE_ISG
!

Для управления способом контроля доступа пользователей используются политики (policy-map), которые применяются на интерфейсы маршрутизатора.


policy-map type control DOMAIN_BASED_ACCESS
class type control always event session-start
10 authenticate aaa list PPPoE_ISG
20 service local
!
!

При инициировании сессии (control always event session-start) будет произведена попытка аутентификации на сервере ААА PPPoE_ISG
Интерфейсы маршрутизатора можно описать следующим образом:


interface Virtual-Template1
description "PPPoE"
ip unnumbered Loopback0
ip verify unicast source reachable-via rx
no ip proxy-arp
ip flow ingress
ip tcp adjust-mss 1452
no ip mroute-cache
no logging event link-status
peer default ip address pool DSL_DYNAMIC
no snmp trap link-status
keepalive 30
ppp mtu adaptive
ppp authentication chap pap PPPoE_ISG
ppp authorization PPPoE_ISG
ppp accounting PPPoE_ISG
ppp ipcp dns 213.176.224.101
ppp ipcp mask 255.255.255.255
ppp ipcp address request ignore
no clns route-cache
service-policy type control DOMAIN_BASED_ACCESS
!

— где идет привязка интерфейса к ранее созданной policy-map.
Для тонкой и прозрачной настройки параметров сервисов, таких как скорость, направления и службы, необходимо создать список контроля доступа (ACL).
Например, для описания локального трафика без ограничения по скорости можно использовать такой ACL:


ip access-list extended local-in
permit ip 172.16.0.0 0.0.255.255 any
permit ip 10.16.0.0 0.2.255.255 any

В приведенном выше ACL необходимо указать все группы адресов, считающихся для системы локальными.
Для входящего внешнего трафика можно использовать следующее описание:


ip access-list extended world-in
deny ip any 10.20.0.0 0.0.255.255
permit ip any any

В данном описании запрещается входящий трафик из сети 10.20.0.0 и разрешается весь остальной трафик.
В приведенных выше примерах определены два правила доступа local-in и world-in, которые можно использовать при создании конфигурации сервисов.
Для получения дополнительной информации о сервисах с системы LANBbilling необходимо также создать конфигурацию подписки, содержащую параметры доступа к дополнительной информации о сервисах и дополнительные настройки тарифов.


subscriber feature prepaid PREPAID
threshold time 0 seconds
threshold volume 950 Kbytes
interim-interval 30 minutes
method-list author PPPoE_ISG
method-list accounting PPPoE_ISG
password cisco
!


Настройка АСР LANBilling для обеспечения совместной работы с BRAS с поддержкой ISG

Данных настроек достаточно для получения BRAS ISG списка сервисов из системы LANBilling и обеспечения однозначной ассоциации с категорией тарифа, который назначен учетной записи пользователя в АСР. При этом в свойства тарифной категории введены дополнительные параметры, позволяющие организовать индивидуальное управление сервисами опосредованно через категорию тарифа. Это поле «Включить по умолчанию», которое указывает, что сервис, ассоциированный с данной тарифной категорией, доступен (в данном контексте «доступен» означает, что на BRAS ISG будут передаваться RADIUS сервером АСР LANBilling соответствующие атрибуты, разрешающие доступ к соответствующему сервису) для клиента, находящимся на этом тарифе, по умолчанию. Поле (флаг) «Разрешить пользователю управлять услугой» дает возможность биллинговой системе принимать решение о том, может ли пользователь самостоятельно регулировать использование данного сервиса для себя из личного кабинета абонента. Эта возможность напрямую связана с индивидуальной посервисной тарификацией, которая обеспечивается благодаря новым сетевым возможностям BRAS Cisco ISG.


Рис. 1


Последним параметром, непосредственно связанным с функциональностью BRAS Cisco ISG, является «Идентификатор внешней услуги». Этот параметр, будучи определенным в категории, позволяет установить однозначное соответствие между профилем сервиса BRAS ISG и тарифной категорией. Данный параметр используется для синхронизации управления на этапе авторизации и повторной аутентификации, которая возникает по инициативе BRAS ISG в процессе работы абонента или изменения условий оказания услуг. Идентификатор внешней услуги должен совпадать с названием сервиса с префиксом «N». То есть для сервиса «ALL-INET» он будет выглядеть как «NALL-INET».


Настройка АСР LANBilling для управления параметрами сервисов, определенных на BRAS с поддержкой ISG

Каждому сервису, определенному на BRAS ISG, соответствует некоторая категория тарифа. Для этого в настройках категории тарифа присутствует поле "идентификатор внешней услуги". В это поле следует вписать название сервиса с префиксом "N".

Обыкновенно возникает необходимость для каждого сервиса определить радиус аттрибуты, специфичные для данного сервиса, такие как, например, политики доступа или ширина канала. Также в момент авторизации пользователя на BRAS ISG необходимо послать аттрибуты, перечисляющие доступные пользователю сервисы.
Такие аттрибуты в системе LanBilling помечаются флагом "Список".

Начиная с версии 1.9-008 радиус аттрибуты привязываются к сервисам через идентификатор внешней услуги.
На рисунках ниже показан пример привязки аттрибутов к сервису.







Методы авторизации

Авторизация абонента возможна несколькими способами, с использованием:

  • Имени учетной записи (login, password учетной записи)
  • IP адреса, присвоенного данной учетной записи
  • MAC-адреса транспортной сети, присвоенного данной учетной записи.

    • Для настройки авторизации по одному из вышеперечисленных методов, необходимо в таблицу “options” базы данных, добавить опцию 'radius_auth_method', принимающую одно из значений: “login", "ip", "mac". Например, для настройки авторизации по имени учетной записи, необходимо выполнить запрос:

    insert into options set name = 'radius_auth_method', value=’login’;

    Аналогично происходит настройка по IP и MAC адресу.

    При отсутствии опции 'radius_auth_method' в таблице “options” базы данных, происходит перебор возможностей авторизации в системе: по "login", "ip" либо "mac".

    Алгоритм выбора конкретного типа авторизации, в этом случае, следующий:

  • Если значение атрибута ‘Service-Type’, получаемого в запросе на авторизацию от маршрутизатора, равно “2”, то авторизация происходит только по логину.
  • Если значение атрибута ‘Service-Type’ равно “5”, то авторизация происходит либо по IP адресу, либо по MAC адресу, в зависимости от значения (IP либо MAC адрес) атрибута ‘Calling-Station-Id’.



    • В начало страницы