|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (34)
просмотр истории страницы| {toc:maxLevel=3} |
| h1. 1. # DPI в качестве BRAS сервера |
| |
| !skat_scheme.jpg|align=center,width=1000! |
| |
| В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на [странице|http://vasexperts.ru/wiki/doku.php?id=bras_steps]. |
| |
| При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на [DHCP|http://docs.carbonsoft.ru/display/CarbonBilling/DHCP] сервер, расположенный на биллинге. |
| |
| Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или для название специального сервиса. сервиса блокировки. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при блокировки. При попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи. |
| |
| h1. 2. # Выгрузка скоростей на СКАТ |
| |
| {info} Политика ограничения скорости отправляется в атрибуте *VasExperts-Policing-Profile*=$usluga_id, где переменная $usluga_id - ID активированной услуги трафика. {info} |
| |
| Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь [отчётом|CarbonBilling:Конструктор отчетов]. В примере использованы тарифы с id - 1001,1002,1003: {code} |
... |
| {code} Сформируйте CSV в конструкторе и передайте поддержке СКАТ. |
| |
| h1. 3. # Настройка NAS |
| |
| Создаем [NAS|Справочник NAS] на вкладке Оборудование, прописываем основные настройки: |
| |
| !skat_nas_base.png|width=1300! |
| |
| Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS: |
| |
| !skat_nas.png|width=1300! |
| |
| Список атрибутов PPPoE: || Attribute || Thevalue || Op || Статус баланса || Статус блокировки || |
... |
| | VasExperts-Enable-Service | 9:on | := | В любом случае | В любом случае | | Session-Timeout | 43200 | := | В любом случае | В любом случае | |
| |
| В данном примере названия {color:#ff0000}fin_blocked{color} *fin_blocked* и {color:#ff0000}blocked{color} *blocked* являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно. |
| |
| Далее настраиваем скрипт управления в режиме [custom|Пользовательская схема] схемы. |
| |
| Скрипт управления с упрощенной нотификацией доступен по [ссылке|CarbonBilling:Скрипт управления session СКАТ]. |
| |
| h1. Модификация схемы |
| h13. Один шейпер для нескольких ip адресов |
| |
| Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты: * *User-Name* - значение: $abonent_id , так как id абонента одинаковый для его учётных записей; * *VasExperts-Multi-IP-User* - значение: 1 * Одинаковый набор услуг и политик в остальных атрибутах. |
| |
| h13. Авторизация по паре IP+VLAN |
| |
| В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию *Проверять IP+VLAN*. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в [настройках|Авторизация по RADIUS#Настройка авторизации (RADIUS AUTH)]. |
| |
| h1. Особенности авторизации со стороны СКАТ |
| |
| В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом *Session-Timeout*. Атрибут передаёт секунды, 0 не переавторизовываться. |
| |
| h1. Сброс сессий |
| |
| В СКАТ с 8.3 реализован механизм [мульти-сессии|https://wiki.vasexperts.ru/doku.php?id=dpi:dpi_options:opt_bras:radius_accounting:multisession]. Механизм полезен при организации резервирования и балансировки двух и более СКАТ. При этом СКАТ по каждой сессии отправляет два потока аккаунтинга с разными Acct-Session-Id. Это приводит к конфликту со стороны биллинга. Биллинг будет сбрасывать сессии с неверным по его мнению Acct-Session-Id. {note} |
... |