Пример. CKAT IPoE

Skip to end of metadata
Go to start of metadata

1. DPI в качестве BRAS сервера

В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на странице.

При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на DHCP сервер, расположенный на биллинге.

Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или название специального сервиса. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.

2. Настройка тарифов

Общая информация по настройке тарифов доступна по ссылке.
На вкладке RADIUS добавляем атрибуты VasExperts, которые будут отправляться всем абонентам при авторизации, подключенным к данному тарифу:

Обязательным атрибутом является VasExperts-Policing-Profile=$usluga_id, где переменной $usluga_id при авторизации будет присваиваться ID активированной услуги трафика с наивысшим приоритетом.

Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь [отчётом]. В примере использованы тарифы с id - 1001,1002,1003:

select
    u.id as "_usluga_id",
    u.ceil_in as "_max_in",
    u.ceil_out as "_max_out",
    u.rate_in as "_garant_in",
    u.rate_out as "_garant_out"
from tarif t left join tarif_users_usluga tuu on t.id = tuu.tarif_id
left join usluga u on tuu.usluga_id = u.id
where t.id in (1001,1002,1003)

3. Настройка NAS

Создаем NAS на вкладке Оборудование, прописываем основные настройки:

Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS:

Список атрибутов PPPoE:

Attribute Thevalue Op Статус баланса Статус блокировки
VasExperts-Policing-Profile 1M_blocked := В любом случае Заблокирован
VasExperts-Service-Profile 5:blocked += В любом случае Заблокирован
VasExperts-Service-Profile 5:fin_blocked += При отрицательном балансе Не заблокирован
VasExperts-Restrict-User 1 := В любом случае Заблокирован
VasExperts-Restrict-User 1 := При отрицательном балансе В любом случае
VasExperts-DHCP-DNS 192.0.2.1 += В любом случае В любом случае
VasExperts-DHCP-DNS 192.0.2.2 += В любом случае В любом случае
VasExperts-Service-Profile 11:<Имя НАТ пула на СКАТ> += В любом случае В любом случае
VasExperts-Policing-Profile $usluga_id := При положительном балансе Не заблокирован
VasExperts-Multi-IP-User $multi_user := В любом случае В любом случае
User-Name $login := В любом случае В любом случае
VasExperts-Enable-Service 9:on += В любом случае В любом случае

В данном примере названия fin_blocked и blocked являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно.

Далее настраиваем скрипт управления в режиме custom схемы.

Скрипт управления с упрощенной нотификацией доступен по ссылке.

Один шейпер для нескольких ip адресов

Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты:

  • User-Name - значение: $abonent_id , так как id абонента одинаковый для его учётных записей;
  • VasExperts-Multi-IP-User - значение: 1
  • Одинаковый набор услуг и политик в остальных атрибутах.

Авторизация по паре IP+VLAN

В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию Проверять IP+VLAN. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в настройках.

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.