Пример. CKAT IPoE

Skip to end of metadata
Go to start of metadata

1. DPI в качестве BRAS сервера

В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на странице.

При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на DHCP сервер, расположенный на биллинге.

Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или название специального сервиса. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.

2. Выгрузка скоростей на СКАТ

Политика ограничения скорости отправляется в атрибуте VasExperts-Policing-Profile=$usluga_id, где переменная $usluga_id - ID активированной услуги трафика.

Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь отчётом. В примере использованы тарифы с id - 1001,1002,1003:

select
    u.id as "_usluga_id",
    u.ceil_in as "_max_in",
    u.ceil_out as "_max_out",
    u.rate_in as "_garant_in",
    u.rate_out as "_garant_out"
from tarif t
left join tarif_users_usluga tuu on t.id = tuu.tarif_id
left join usluga u on tuu.usluga_id = u.id
where
--Услуги трафика 9 и турбокнопка 1 
    u.SYSTEM_TYPE in (1,9)
    and deleted=0
--Фильтруем услуги без указания скоростей
    and u.ceil_in is not null

Сформируйте CSV в конструкторе и передайте поддержке СКАТ.

3. Настройка NAS

Создаем NAS на вкладке Оборудование, прописываем основные настройки:

Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS:

Список атрибутов PPPoE:

Attribute Thevalue Op Статус баланса Статус блокировки
VasExperts-Policing-Profile 1M_blocked += В любом случае Заблокирован
VasExperts-Service-Profile 5:blocked += В любом случае Заблокирован
VasExperts-Service-Profile 5:fin_blocked += При отрицательном балансе Не заблокирован
VasExperts-Restrict-User 1 += В любом случае Заблокирован
VasExperts-Restrict-User 1 += При отрицательном балансе В любом случае
VasExperts-DHCP-DNS 192.0.2.1 += В любом случае В любом случае
VasExperts-DHCP-DNS 192.0.2.2 += В любом случае В любом случае
VasExperts-Service-Profile 11:<Имя НАТ пула на СКАТ> += В любом случае В любом случае
VasExperts-Policing-Profile $usluga_id += При положительном балансе Не заблокирован
VasExperts-Multi-IP-User $multi_user := В любом случае В любом случае
User-Name $login := В любом случае В любом случае
VasExperts-Enable-Service 9:on := В любом случае В любом случае
Session-Timeout 43200 := В любом случае В любом случае

В данном примере названия fin_blocked и blocked являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно.

Далее настраиваем скрипт управления в режиме custom схемы.

Скрипт управления с упрощенной нотификацией доступен по ссылке.

Один шейпер для нескольких ip адресов

Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты:

  • User-Name - значение: $abonent_id , так как id абонента одинаковый для его учётных записей;
  • VasExperts-Multi-IP-User - значение: 1
  • Одинаковый набор услуг и политик в остальных атрибутах.

Авторизация по паре IP+VLAN

В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию Проверять IP+VLAN. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в настройках.

Особенности авторизации со стороны СКАТ

В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом Session-Timeout. Атрибут передаёт секунды, 0 не переавторизовываться.

Сброс сессий

В СКАТ с 8.3 реализован механизм мульти-сессии. Механизм полезен при организации резервирования и балансировки двух и более СКАТ. При этом СКАТ по каждой сессии отправляет два потока аккаунтинга с разными Acct-Session-Id. Это приводит к конфликту со стороны биллинга. Биллинг будет сбрасывать сессии с неверным по его мнению Acct-Session-Id.

В CarbonBilling5 не реализованы мульти-сессии для СКАТ.
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.