|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (21)
просмотр истории страницы{toc:maxLevel=3} |
h1. 1. DPI в качестве BRAS сервера |
... |
Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или название специального сервиса. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи. |
h1. 2. Настройка тарифов |
h1. 2. Выгрузка скоростей на СКАТ |
|
Общая информация по настройке тарифов доступна по [ссылке|CarbonBilling:Тарифы]. На вкладке RADIUS добавляем атрибуты VasExperts, которые будут отправляться всем абонентам при авторизации, подключенным к данному тарифу: !skat_tarif.png|align=center,width=1300! |
{info} |
Обязательным атрибутом является *VasExperts-Policing-Profile*=$usluga_id, где переменной $usluga_id при авторизации будет присваиваться ID активированной услуги трафика с наивысшим приоритетом. |
Политика ограничения скорости отправляется в атрибуте *VasExperts-Policing-Profile*=$usluga_id, где переменная $usluga_id - ID активированной услуги трафика. |
{info} |
Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь [отчётом|Конструктор отчётов]. [отчётом|CarbonBilling:Конструктор отчетов]. В примере использованы тарифы с id - 1001,1002,1003: |
{code} select |
... |
u.rate_in as "_garant_in", u.rate_out as "_garant_out" |
from tarif t |
from tarif t left join tarif_users_usluga tuu on t.id = tuu.tarif_id |
left join usluga u on tuu.usluga_id = u.id |
where t.id in (1001,1002,1003) |
where --Услуги трафика 9 и турбокнопка 1 u.SYSTEM_TYPE in (1,9) and deleted=0 --Фильтруем услуги без указания скоростей and u.ceil_in is not null |
{code} |
Сформируйте CSV в конструкторе и передайте поддержке СКАТ. |
h1. 3. Настройка NAS |
... |
Создаем NAS на вкладке Оборудование, прописываем основные настройки: |
!skat_nas_base.png|align=center,width=1300! |
Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS: |
!skat_nas.png|align=center,width=1300! |
Список атрибутов PPPoE: || Attribute || Thevalue || Op || Статус баланса || Статус блокировки || |
| VasExperts-Policing-Profile | 1M_blocked | :+= | В любом случае | Заблокирован | |
| VasExperts-Service-Profile | 5:blocked | += | В любом случае | Заблокирован | | VasExperts-Service-Profile | 5:fin_blocked | += | При отрицательном балансе | Не заблокирован | |
| VasExperts-Restrict-User | 1 | :+= | В любом случае | Заблокирован | |
| VasExperts-Restrict-User | 1 | :+= | При отрицательном балансе | В любом случае | |
| VasExperts-DHCP-DNS | 192.0.2.1 | += | В любом случае | В любом случае | | VasExperts-DHCP-DNS | 192.0.2.2 | += | В любом случае | В любом случае | | VasExperts-Service-Profile | 11:<Имя НАТ пула на СКАТ> | += | В любом случае | В любом случае | |
| VasExperts-Policing-Profile | $usluga_id| :+=| При положительном балансе | Не заблокирован | |
| VasExperts-Multi-IP-User | $multi_user| := | В любом случае | В любом случае | | User-Name | $login | := | В любом случае | В любом случае | |
| VasExperts-Enable-Service | 9:on | +:= | В любом случае | В любом случае | |
| Session-Timeout | 43200 | := | В любом случае | В любом случае | |
В данном примере названия {color:#ff0000}fin_blocked{color} и {color:#ff0000}blocked{color} являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно. |
... |
В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию *Проверять IP+VLAN*. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в [настройках|Авторизация по RADIUS#Настройка авторизации (RADIUS AUTH)]. |
h1. Особенности авторизации со стороны СКАТ В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом *Session-Timeout*. Атрибут передаёт секунды, 0 не переавторизовываться. h1. Сброс сессий В СКАТ с 8.3 реализован механизм [мульти-сессии|https://wiki.vasexperts.ru/doku.php?id=dpi:dpi_options:opt_bras:radius_accounting:multisession]. Механизм полезен при организации резервирования и балансировки двух и более СКАТ. При этом СКАТ по каждой сессии отправляет два потока аккаунтинга с разными Acct-Session-Id. Это приводит к конфликту со стороны биллинга. Биллинг будет сбрасывать сессии с неверным по его мнению Acct-Session-Id. {note} В CarbonBilling5 не реализованы [мульти-сессии|https://wiki.vasexperts.ru/doku.php?id=dpi:dpi_options:opt_bras:radius_accounting:multisession] для СКАТ. {note} |