Пример. CKAT IPoE

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы
<< Предыдущий Версия 36 Текущий >>

  1. DPI в качестве BRAS сервера


    В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на странице.
    При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на DHCP сервер, расположенный на биллинге.
    Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать флаг для название сервиса блокировки. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки. При попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.

  2. Выгрузка скоростей на СКАТ

    Политика ограничения скорости отправляется в атрибуте VasExperts-Policing-Profile=$usluga_id, где переменная $usluga_id - ID активированной услуги трафика.

    Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь отчётом. В примере использованы тарифы с id - 1001,1002,1003: 

    select
    u.id as "_usluga_id",
    u.ceil_in as "_max_in",
    u.ceil_out as "_max_out",
    u.rate_in as "_garant_in",
    u.rate_out as "_garant_out"
from tarif t
left join tarif_users_usluga tuu on t.id = tuu.tarif_id
left join usluga u on tuu.usluga_id = u.id
where
--Услуги трафика 9 и турбокнопка 1 
    u.SYSTEM_TYPE in (1,9)
    and deleted=0
--Фильтруем услуги без указания скоростей
    and u.ceil_in is not null

    Сформируйте CSV в конструкторе и передайте поддержке СКАТ.

  3. Настройка NAS

    Создаем NAS на вкладке Оборудование, прописываем основные настройки:

    Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS:

    Список атрибутов PPPoE:

    Attribute Thevalue Op Статус баланса Статус блокировки
    VasExperts-Policing-Profile 1M_blocked += В любом случае Заблокирован
    VasExperts-Service-Profile 5:blocked += В любом случае Заблокирован
    VasExperts-Service-Profile 5:fin_blocked += При отрицательном балансе Не заблокирован
    VasExperts-Restrict-User 1 += В любом случае Заблокирован
    VasExperts-Restrict-User 1 += При отрицательном балансе В любом случае
    VasExperts-DHCP-DNS 192.0.2.1 += В любом случае В любом случае
    VasExperts-DHCP-DNS 192.0.2.2 += В любом случае В любом случае
    VasExperts-Service-Profile 11:<Имя НАТ пула на СКАТ> += В любом случае В любом случае
    VasExperts-Policing-Profile $usluga_id += При положительном балансе Не заблокирован
    VasExperts-Multi-IP-User $multi_user := В любом случае В любом случае
    User-Name $abonent_id := В любом случае В любом случае
    VasExperts-Enable-Service 9:on := В любом случае В любом случае
    Session-Timeout 43200 := В любом случае В любом случае

    В данном примере названия fin_blocked и blocked являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно.
    Далее настраиваем скрипт управления в режиме custom схемы.
    Скрипт управления с упрощенной нотификацией доступен по ссылке.

    Модификация схемы

    Один шейпер для нескольких ip адресов

    Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты:

  • User-Name - значение: $abonent_id , так как id абонента одинаковый для его учётных записей;
  • VasExperts-Multi-IP-User - значение: 1
  • Одинаковый набор услуг и политик в остальных атрибутах.

    Авторизация по паре IP+VLAN

    В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию Проверять IP+VLAN. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в настройках.

    Особенности авторизации со стороны СКАТ

    В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом Session-Timeout. Атрибут передаёт секунды, 0 не переавторизовываться.

    Горячий резерв СКАТа - проблемы

    В СКАТ с 8.3 реализован механизм мульти-сессии. Механизм полезен при организации резервирования и балансировки двух и более СКАТ. При этом СКАТ по каждой сессии отправляет два потока аккаунтинга с разными Acct-Session-Id. Это приводит к конфликту со стороны биллинга. Биллинг будет сбрасывать сессии с неверным по его мнению Acct-Session-Id.

    В CarbonBilling5 не реализованы мульти-сессии для СКАТ.
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.