Рассмотрим сценарий применения АСР LANBilling совместно с программным продуктом СКАТ DPI. В данном случае СКАТ будет выступать в качестве L2-BRAS при предоставлении абоненту доступа в интернет.

Схема рассматриваемой сети представлена на Рис.1.

skat_ipoe_pic1.png

Рис. 1 (Схема сети)


1. Базовая настройка АСР

Предполагается, что была выполнена установка и базовая настройка АСР. В противном случае необходимо обратиться к нашей документации, подробно описывающей данные процессы, а так же общую архитектуру системы.


2. DPI в качестве L2-BRAS маршрутизатора

Поскольку подключение DPI предполагает прохождение всего абонентского трафика через данное оборудование, то становится логичным совмещение функции DPI и маршрутизатора доступа, то есть BRAS. Компания VAS Experts при создании своего программного продукта пошла именно по этому пути, дав возможность использовать СКАТ DPI как L2 или L3 BRAS. При этом это аутентификация и сбор статистической информации может быть выполнен внешней системой, в данном случае, это RADIUS агент АСР LANBilling. Более подробно ознакомиться с функционалом системы можно на странице.

Мы рассмотрим одну из популярных схем выдачи IP адресов, использование опции 82 протокола DHCP для определения точки подключения абонента. При этом будет организована статическая привязка IP-адресов к клиентским учетным записям.

За счет использования DPI системы нет необходимости разделять IP сегменты на основные и гостевые. Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет, но при этом он сохранит свой основной IP адрес. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.


3. Настройка RADIUS-агента

Приступим к настройке RADIUS-агента АСР (LBarcd). Основная конфигурация показана на Рис. 2.

skat_ipoe_pic2.png

Рис. 2 (Настройка агента)

Обратим внимание на параметры:

«Интервал между Interim-UPDATE запросами аккаунтинга» - интервал в секундах между Accounting-Update пакетами.

«Тайм-аут зависшей сессии (сек)» - интервал в секундах между временем обработки последнего Accounting-Update пакета и текущим временем, при превышении которого сессия считается устаревшей. Минимально допустимым значением считается удвоенный интервал Interim-UPDATE. Максимально допустимым - 86400 сек., т.е. 1 день.

«Запускать script_stop для зависших сессий» - необходим для запуска внешнего скрипта с целью принудительного разрыва устаревших сессий или отправки Disconnect-Request через внутренний механизм CoA.

«Запускать script_stop при изменении текущей скорости» - необходим для запуска внешнего скрипта с целью изменения скорости доступа или отправки, через внутренний механизм CoA, скоростных атрибутов для изменения текущей скорости без разрыва сессии.

«Выделять адреса динамически из пула» - регулирует алгоритм выдачи IP-адресов на сессии абонентов. В случае отключения данной настройки в свойствах учетных записей абонентов должны быть вручную указаны IP-адреса.

«Не использовать гостевые IP-сети при блокировке» - отключает использование сегментов с флагом "Гость" для выдачи IP-адресов на сессии абонентов, находящихся в заблокированном состоянии.

Необходимо так же настроить ряд параметров для модуля DHCP сервера АСР. Наиболее важные из них:

«Включить DHCP-сервер» - выбор значения "LBinet" активирует использование информации об учетных записях агента RADIUS для выдачи IP адресов через DHCP сервер биллинга (модуль LBinet).

«Server Identifier» - IP адрес DHCP сервера. Будет использован клиентами для подтверждения и продления IP адреса.

Для настройки RADIUS взаимодействия необходимо добавить СКАТ DPI в качестве сервера доступа (NAS). Для этого в форме редактирования настроек RADIUS-агента открыть раздел «Серверы доступа» и добавить новый сервер доступа. Требуется указать IP-адрес и RADIUS-secret которые будут использоваться при общении NAS и биллинга. Методом аутентификации будет выступать IP (Рис.3).

skat_ipoe_pic3.png

Рис. 3 (Управление серверами доступа)

Для выдачи IP адреса на основе опции 82 необходимо добавить используемые домовые коммутаторы в базу Inventory АСР. Первым шагом служит создание групп устройств, к ним будет производиться привязка IP сегментов для выдачи адресов абонентам. В создании самого устройства важнейшим является правильное заполнение поля «Agent-Remote-Id»

skat_ipoe_pic4.png

Рис. 4 (Создание устройства Inventory)

Так же, необходимо добавить к устройству набор портов, на которые будут подключаться абоненты.

skat_ipoe_pic5.png

Рис. 5 (Управление портами устройства)

И включение устройства в ранее созданную группу.

skat_ipoe_pic6.png

Рис. 6 (Управление группами устройства)

Следующим шагом будет создание IP-подсети IPoE-клиентов в АСР. Для этого откроем раздел «Управление сетями» в настройках RADIS агента и добавим желаемую подсеть, указав адрес самой сети, маску и шлюз (Рис.4). А так же, указать группу устройств Inventory.

skat_ipoe_pic7.png

Рис. 7 (Управление сетями)

Заключительным этапом является добавление опции, запрещающей выдачу IP сегментов в базу данных АСР.

insert into agent_options set id=:sysid, name='lease-segment', value='1';

где :sysid = id агента RADIUS.


4. Дополнительные RADIUS атрибуты

Для корректного взаимодействия со СКАТ DPI необходимо добавить некоторые VSA-атрибуты в словарь RADIUS-агента. Для этого необходимо зайти через web-интерфейс в меню «Объекты» - «Агенты» - «Словарь RADIUS-атрибутов» и добавить перечисленные ниже VSA в словарь.

Название Номер Вендор Тип Функция
VasExperts-Policing-Profile 1 43823 string Имя профиля полисинга для пользователя
VasExperts-Service-Profile 2 43823 string Имя профиля для конкретной услуги fastDPI
VasExperts-Enable-Service 3 43823 string Включение/отключение конкретной услуги, для которой не требуется профиль
VasExperts-Restrict-User 7 43823 int Признак блокировки абонента

Мы приводим лишь минимально необходимый список VSA. Полный список атрибутов можно найти в словаре dictionary.vasexperts из дистрибутива СКАТ DPI.


5. Настройка RADIUS-атрибутов

В меню «Свойства» - «RADIUS-атрибуты» web-интерфейса АСР необходимо добавить новые пользовательские атрибуты со следующими значениями:

«VasExperts-Restrict-User» - указывает на пребывание абонента в заблокированном состоянии на строне АСР. Для такого абонента на DPI будут работать правила captive-portal и ограниченный доступ к интернет ресурсам. Атрибут со значением «1» должен быть создан для RADIUS Code = Access-Reject и привязан к Агенту (Рис.5).

skat_pppoe_pic5.png

Рис. 5 (Создание атрибута VasExperts-Restrict-User)

«VasExperts-Enable-Service» - указывает на необходимость передачи RADIUS-аккаунтинга по сессии абонента. Атрибут со значением «9:on» должен быть создан как для RADIUS Code = Access-Accept, так и для RADIUS Code = Access-Reject и привязан к Агенту (Рис.6).

skat_pppoe_pic6.png

Рис. 6 (Пример атрибута VasExperts-Enable-Service)

«VasExperts-Service-Profile» - указывает на имя профиля для конкретного идентификатора услуги fastDPI. В качестве примера, создадим атрибут со значением «11:my_nat_profile», который будет указывать на профиль с именем «my_nat_profile» для услуги №11 (CGNAT)(Рис.7).

skat_pppoe_pic7.png

Рис. 7 (Пример атрибута VasExperts-Service-Profile)

«VasExperts-Policing-Profile» - указывает на имя предварительно созданного на СКАТ профиля полисинга трафика абонента. В качестве примера, создадим атрибут со значением «rate_10M», который будет указывать на ограничение скорости абонента до 10Мбит/с(Рис.8). Атрибут привязывается к значению скорости или непосредственно к тарифному плану.

skat_pppoe_pic8.png

Рис. 8 (Пример атрибута VasExperts-Policing-Profile)


6. Настройка CoA (Change of Authorization)

Механизмы управления сессиями могут быть реализованы через внешний скрипт управления. Путь к скрипту handler указывается в конфигурационном файле RADIUS-агента (например, handler = /usr/local/billing/handler.sh). Текст handler можно написать на любом скриптовом языке программирования, рабочий пример на shell можно скачать по ссылке.

Для работы приведенного handler-скрипта следует установить пакет freeradius-utils в системе и добавить словарь vendor-specific атрибутов dictionary.vasexperts

Для этого:
Копируем dictionary.vasexperts из дистрибутива fastdpi в каталог:
	
/usr/share/freeradius/
Добавляем в главный словарь
	
/usr/share/freeradius/dictionary
строку: $INCLUDE dictionary.vasexperts

7. Завершение настройки АСР

Для завершения настройки АСР требуется создать учетную запись, назначив на неё тарифный план. После этого, требудется в форме редактирования учетной записи выполнить привязку порта устройства Inventory и назначение статического IP адреса. Так же, для успешной авторизации на учетной записи должно быть запланировано отключение блокировки. О том, как это сделать, можно прочесть в стандартной документации в разделе "Учетные записи".


8. Настройка СКАТ DPI

Необходимо активировать и настроить функционал СКАТ BRAS в режиме DHCP Relay. В этом режиме СКАТ BRAS выступает в качестве DHCP relay агента: предполагается, что DHCP-сервера вынесены в отдельный сегмент сети, напрямую недоступный абонентам, а СКАТ BRAS выступает в роли агента передачи (relay agent) DHCP-запросов от оборудования пользователей к DHCP-серверам и обратного потока – ответов DHCP-серверов к оборудованию пользователей.

Чтобы активировать режим DHCP Relay в СКАТ, следует произвести следующие настройки конфигурационного файла fastdpi.conf:

«udr» - активация встроенной БД, предназначенной для постоянного хранения данных об услугах и настройках полисинга для абонентов оператора.
«bras_enable» - общий флаг разрешения BRAS.
«bras_arp_ip» - задает IPv4-адрес BRAS’а. Это может быть фейковый IP-адрес, не связанный ни с каким сетевым интерфейсом. Главное требование – этот IP-адрес должен быть уникальным, никакому пользователю он не должен быть сопоставлен.
«bras_arp_mac» - MAC-адрес BRAS’а, формат XX:XX:XX:XX:XX:XX. Этот MAC-адрес должен быть уникальным во всей локальной сети. Во избежание случайного дублирования с MAC-адресом оборудования одного из клиентов рекомендуем выбрать реальный MAC-адрес одной из dna-карт.
«bras_dhcp_server» - задает адрес DHCP-сервера в формате host%dev:port{;name=val}* , где:

  • host – IP-адрес DHCP-сервера;
  • dev – имя сетевого интерфейса, с которого производится связь c DHCP-сервером;
  • port – порт, значение по умолчанию: 68;
  • name=val – дополнительные параметры:
    • reply_port – порт, на котором ждем ответы DHCP-сервера. Значение по умолчанию 68.
    • arp_proxy – флаг реагирования на ARP-запросы IP-адреса DHCP-сервера. Если значение данного флага равно 1, то fastDPI будет откликаться на ARP-запрос IP-адреса DHCP-сервера, при этом в качестве MAC-адреса будет возвращаться MAC-адрес fastDPI, задаваемый параметром bras_arp_mac.

Поддерживается несколько DHCP-серверов, каждый DHCP-сервер описывается отдельным параметром bras_dhcp_server.


«bras_terminate_l2» - задает включение (1) или отключение (0) L2-терминации. При включенном режиме L2-терминации должны быть заданы параметры бордера/шлюза за fastDPI.
«bras_gateway_ip» - IP-адрес шлюза.
«bras_gateway_mac» - MAC-адерс шлюза.
«enable_auth» - флаг включения авторизации локальных пользователей.
«enable_acct» - флаг включения аккаунтинга пользователей.

Пример настройки:

udr=1
bras_enable=1
bras_arp_ip=172.10.20.1
bras_arp_mac=a0:00:b1:01:4e:cc
bras_terminate_l2=1
bras_gateway_ip=10.30.45.1
bras_gateway_mac=a0:00:c5:08:ee:f4
enable_auth=1
enable_acct=1
bras_dhcp_server=10.20.30.40%eth1:68;reply_port=67

Доступны так же тонкие настройки конфигурации СКАТ DHCP Relay в документации СКАТ.

Настроить fastpcrf для работы с RADIUS-сервером АСР. Для этого в файле fastpcrf.conf указать:

«fdpi_server_list» - список серверов fastDPI, которые обслуживает данный fastpcrf. Можно указать до 16 различных серверов. Связь с fastDPI - через управляющий порт 29000.
«radius_server» - задает один RADIUS-сервер. Формат: secret@ip%dev:auth_port;acct_port=acct_port;acct_secret=secret, где secret - RADIUS-секрет, ip - IP-адрес RADIUS-сервера, dev - имя локального интерфейса, на котором устанавливать соединение, auth_port - порт RADIUS-сервера для приема запросов авторизации, acct_port - порт RADIUS-сервера для приема запросов аккаунтинга.

fdpi_server_list=127.0.0.1%lo:29000;192.168.20.10%eth2:29000
radius_server=vasexperts@192.168.10.1%eth1:1812;acct_port=1813;acct_secret=vasexperts

Функциональность СКАТ DPI разбита на услуги, каждая из которых имеет свой номер:
1 - бонусная программа
2 - реклама
3 - блокировка рекламы
4 - черный список
5 - белый список
6 - уведомление
7 - кэширование
8 - пройдена ddos защита
9 - сбор netflow статистики для биллинга
10 - услуга защиты от DDOS
11 – CGNAT
Подробнее по услугам в разделе документации.

Для работы с услугами необходимо сконфигурировать соответствующие профили используя встроенный синтаксис.

Пример создания профиля белого списка для абонента

fdpi_ctrl load profile --service 5  --profile.name test_white --profile.json '{ "url_list" : "http://mysite.ru/myfile.bin" , "sni_list" : "http://mysite.ru/myfilesni.bin", "ip_list" : "http://mysite.ru/myfileip.bin", "cn_list" : "http://mysite.ru/myfilecn.bin", "redirect" : "mysite.ru/block" }'
где в формате json задаются следующие настройки профиля:
«redirect» - страница переадресации;
«url_list» - белый список URL;
«sni_list» - белый список SNI;
«ip_list» - белый список IP:PORT;
«cn_list» - белый список Common Name.

Для работы функционала ограничения скорости необходимо подготовить конфигурационный файл, в котором задаются ограничения на доступную полосу в зависимости от класса протоколов.
Для примера создадим файл конфигурации 10M.cfg, описывающий ограничение скорости до 10Мбит/с.

htb_inbound_root=rate 10mbit 
htb_inbound_class0=rate 8bit ceil 10mbit
htb_inbound_class1=rate 8bit ceil 10mbit 
htb_inbound_class2=rate 8bit ceil 10mbit
htb_inbound_class3=rate 8bit ceil 10mbit
htb_inbound_class4=rate 8bit ceil 10mbit
htb_inbound_class5=rate 8bit ceil 10mbit
htb_inbound_class6=rate 8bit ceil 10mbit
htb_inbound_class7=rate 8bit ceil 10mbit
htb_root=rate 10mbit 
htb_class0=rate 8bit ceil 10mbit
htb_class1=rate 8bit ceil 10mbit
htb_class2=rate 8bit ceil 10mbit
htb_class3=rate 8bit ceil 10mbit
htb_class4=rate 8bit ceil 10mbit
htb_class5=rate 8bit ceil 10mbit
htb_class6=rate 8bit ceil 10mbit
htb_class7=rate 8bit ceil 10mbit
После чего загрузим данный конфиг в профиль.
fdpi_ctrl load profile --policing 10M.cfg --profile.name rate_10M
Создаем профиль услуги CGNAT, в котором определяем параметры пула IP-адресов.
fdpi_ctrl load profile --service 11  --profile.name my_nat_profile --profile.json '{ "nat_ip_pool" : "1.2.3.0/24", "nat_tcp_max_sessions" : 2000, "nat_udp_max_sessions" : 2000 }'

Где:
«nat_ip_pool» - диапазон внешних IP адресов в формате CIDR;
«nat_tcp_max_sessions» - максимальное количество tcp сессий, которые может создать абонент;
«nat_udp_max_sessions» - максимальное количество udp сессий, которые может создать абонент.

Другие услуги конфигурируются согласно документации производителя СКАТ DPI.
Перечисленные имена профилей будут использоваться в атрибутах VasExperts-Service-Profile. Для услуг, в которых не требуется передача параметров используется атрибут VasExperts-Enable-Service.

9. Заключение

В статье показан минимальный набор шагов, который необходимо выполнить для настройки данного типа авторизации абонентов. Администраторы сетей могут дополнить приведенные конфигурации, в зависимости от конкретной установки.

Более подробно ознакомиться с настройками СКАТ DPI можно в Wiki вендора.

Заказать обратный звонок

Нажимая на кнопку «Отправить», я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности

Политика в отношении обработки
персональных данных

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые ООО "Сетевые решения" (далее – Оператор).

1.1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://www.lanbilling.ru/.

2. Основные понятия, используемые в Политике

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://www.lanbilling.ru/;

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://www.lanbilling.ru/;

2.9. Пользователь – любой посетитель веб-сайта https://www.lanbilling.ru/;

2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

2.11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

2.12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;

2.13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

3. Оператор может обрабатывать следующие персональные данные Пользователя

3.1.Фамилия, имя, отчество;

3.2.Электронный адрес;

3.3.Номера телефонов;

3.4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).

3.5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

4. Цели обработки персональных данных

4.1. Цель обработки персональных данных Пользователя —информирование Пользователя посредством отправки электронных писем; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте; информирование Пользователя посредством телефонного звонка.

4.2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты itdep@lanbilling.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

4.3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных

5.1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://www.lanbilling.ru/. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.

5.2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

6.1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.

6.2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.

6.3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора itdep@lanbilling.ru с пометкой «Актуализация персональных данных».

6.4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора itdep@lanbilling.ru с пометкой «Отзыв согласия на обработку персональных данных».

7. Трансграничная передача персональных данных

7.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.

7.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

8. Заключительные положения

8.1. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты itdep@lanbilling.ru.

8.2. В данном документе будут отражены любые изменения политики обработки персональных данных Оператором. Политика действует бессрочно до замены ее новой версией.

8.3. Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://www.lanbilling.ru/privacy/.