1. DPI в качестве BRAS сервера
В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на странице.
При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на DHCP сервер, расположенный на биллинге.
Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или название специального сервиса. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.
2. Выгрузка скоростей на СКАТ
![]() | Политика ограничения скорости отправляется в атрибуте VasExperts-Policing-Profile=$usluga_id, где переменная $usluga_id - ID активированной услуги трафика. |
Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь отчётом. В примере использованы тарифы с id - 1001,1002,1003:
select u.id as "_usluga_id", u.ceil_in as "_max_in", u.ceil_out as "_max_out", u.rate_in as "_garant_in", u.rate_out as "_garant_out" from tarif t left join tarif_users_usluga tuu on t.id = tuu.tarif_id left join usluga u on tuu.usluga_id = u.id where --Услуги трафика 9 и турбокнопка 1 u.SYSTEM_TYPE in (1,9) and deleted=0 --Фильтруем услуги без указания скоростей and u.ceil_in is not null
Сформируйте CSV в конструкторе и передайте поддержке СКАТ.
3. Настройка NAS
Создаем NAS на вкладке Оборудование, прописываем основные настройки:
Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS:
Список атрибутов PPPoE:
Attribute | Thevalue | Op | Статус баланса | Статус блокировки |
---|---|---|---|---|
VasExperts-Policing-Profile | 1M_blocked | += | В любом случае | Заблокирован |
VasExperts-Service-Profile | 5:blocked | += | В любом случае | Заблокирован |
VasExperts-Service-Profile | 5:fin_blocked | += | При отрицательном балансе | Не заблокирован |
VasExperts-Restrict-User | 1 | += | В любом случае | Заблокирован |
VasExperts-Restrict-User | 1 | += | При отрицательном балансе | В любом случае |
VasExperts-DHCP-DNS | 192.0.2.1 | += | В любом случае | В любом случае |
VasExperts-DHCP-DNS | 192.0.2.2 | += | В любом случае | В любом случае |
VasExperts-Service-Profile | 11:<Имя НАТ пула на СКАТ> | += | В любом случае | В любом случае |
VasExperts-Policing-Profile | $usluga_id | += | При положительном балансе | Не заблокирован |
VasExperts-Multi-IP-User | $multi_user | := | В любом случае | В любом случае |
User-Name | $login | := | В любом случае | В любом случае |
VasExperts-Enable-Service | 9:on | := | В любом случае | В любом случае |
Session-Timeout | 43200 | := | В любом случае | В любом случае |
В данном примере названия fin_blocked и blocked являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно.
Далее настраиваем скрипт управления в режиме custom схемы.
Скрипт управления с упрощенной нотификацией доступен по ссылке.
Один шейпер для нескольких ip адресов
Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты:
- User-Name - значение: $abonent_id , так как id абонента одинаковый для его учётных записей;
- VasExperts-Multi-IP-User - значение: 1
- Одинаковый набор услуг и политик в остальных атрибутах.
Авторизация по паре IP+VLAN
В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию Проверять IP+VLAN. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в настройках.
Особенности авторизации со стороны СКАТ
В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом Session-Timeout. Атрибут передаёт секунды, 0 не переавторизовываться.
Сброс сессий
В СКАТ с 8.3 реализован механизм мульти-сессии. Механизм полезен при организации резервирования и балансировки двух и более СКАТ. При этом СКАТ по каждой сессии отправляет два потока аккаунтинга с разными Acct-Session-Id. Это приводит к конфликту со стороны биллинга. Биллинг будет сбрасывать сессии с неверным по его мнению Acct-Session-Id.
![]() | В CarbonBilling5 не реализованы мульти-сессии для СКАТ. |