h1. 1. DPI в качестве BRAS сервера
!skat_scheme.jpg|align=center,width=1000!
В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на [странице|http://vasexperts.ru/wiki/doku.php?id=bras_steps].
При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на [DHCP|http://docs.carbonsoft.ru/display/CarbonBilling/DHCP] сервер, расположенный на биллинге.
Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или название специального сервиса. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.
h1. 2. Настройка тарифов
Общая информация по настройке тарифов доступна по [ссылке|CarbonBilling:Тарифы].
На вкладке RADIUS добавляем атрибуты VasExperts, которые будут отправляться всем абонентам при авторизации, подключенным к данному тарифу:
!skat_tarif.png|align=center,width=1300!
{info}
Обязательным атрибутом является *VasExperts-Policing-Profile*=$usluga_id, где переменной $usluga_id при авторизации будет присваиваться ID активированной услуги трафика с наивысшим приоритетом.
{info}
Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь [отчётом|CarbonBilling:Конструктор отчетов]. В примере использованы тарифы с id - 1001,1002,1003:
{code}
select
u.id as "_usluga_id",
u.ceil_in as "_max_in",
u.ceil_out as "_max_out",
u.rate_in as "_garant_in",
u.rate_out as "_garant_out"
from tarif t left join tarif_users_usluga tuu on t.id = tuu.tarif_id
left join usluga u on tuu.usluga_id = u.id
where t.id in (1001,1002,1003)
{code}
Сформируйте CSV в конструкторе и передайте поддержке СКАТ.
h1. 3. Настройка NAS
Создаем NAS на вкладке Оборудование, прописываем основные настройки:
!skat_nas_base.png|align=center,width=1300!
Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS:
!skat_nas.png|align=center,width=1300!
Список атрибутов PPPoE:
|| Attribute || Thevalue || Op || Статус баланса || Статус блокировки ||
| VasExperts-Policing-Profile | 1M_blocked | := | В любом случае | Заблокирован |
| VasExperts-Service-Profile | 5:blocked | += | В любом случае | Заблокирован |
| VasExperts-Service-Profile | 5:fin_blocked | += | При отрицательном балансе | Не заблокирован |
| VasExperts-Restrict-User | 1 | := | В любом случае | Заблокирован |
| VasExperts-Restrict-User | 1 | := | При отрицательном балансе | В любом случае |
| VasExperts-DHCP-DNS | 192.0.2.1 | += | В любом случае | В любом случае |
| VasExperts-DHCP-DNS | 192.0.2.2 | += | В любом случае | В любом случае |
| VasExperts-Service-Profile | 11:<Имя НАТ пула на СКАТ> | += | В любом случае | В любом случае |
| VasExperts-Policing-Profile | $usluga_id| :=| При положительном балансе | Не заблокирован |
| VasExperts-Multi-IP-User | $multi_user| := | В любом случае | В любом случае |
| User-Name | $login | := | В любом случае | В любом случае |
| VasExperts-Enable-Service | 9:on | += | В любом случае | В любом случае |
| Session-Timeout | 43200 | := | В любом случае | В любом случае |
В данном примере названия {color:#ff0000}fin_blocked{color} и {color:#ff0000}blocked{color} являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно.
Далее настраиваем скрипт управления в режиме [custom|Пользовательская схема] схемы.
Скрипт управления с упрощенной нотификацией доступен по [ссылке|CarbonBilling:Скрипт управления session СКАТ].
h1. Один шейпер для нескольких ip адресов
Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты:
* *User-Name* - значение: $abonent_id , так как id абонента одинаковый для его учётных записей;
* *VasExperts-Multi-IP-User* - значение: 1
* Одинаковый набор услуг и политик в остальных атрибутах.
h1. Авторизация по паре IP+VLAN
В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию *Проверять IP+VLAN*. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в [настройках|Авторизация по RADIUS#Настройка авторизации (RADIUS AUTH)].
h1. Особенности авторизации со стороны СКАТ
В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом Session-Timeout. Атрибут передаёт секунды, 0 не переавторизовываться.
!skat_scheme.jpg|align=center,width=1000!
В данном случае СКАТ совмещает в себе функции BRAS-сервера и DPI-системы, что позволяет не просто ограничивать скоростные параметры абонентских сессий, но и создавать гибкие политики полисинга различных классов трафика. При этом управление профилями услуг происходит со стороны биллинга. Более подробно ознакомиться с функционалом системы можно на [странице|http://vasexperts.ru/wiki/doku.php?id=bras_steps].
При такой схеме работы задача выдачи IP-адресов для абонентских сессий ложится на [DHCP|http://docs.carbonsoft.ru/display/CarbonBilling/DHCP] сервер, расположенный на биллинге.
Для абонентов, чьи учетные записи находятся в состоянии блокировки, достаточно при авторизации сессии передать специальный флаг или название специального сервиса. Таким образом, для данного абонента будут применены политики ограничения доступа в интернет. Более того, может быть создан белый список ресурсов, к которым разрешен доступ в состоянии блокировки, при попытке выхода за пределы данного списка произойдет редирект на страницу Captive Portal оператора связи.
h1. 2. Настройка тарифов
Общая информация по настройке тарифов доступна по [ссылке|CarbonBilling:Тарифы].
На вкладке RADIUS добавляем атрибуты VasExperts, которые будут отправляться всем абонентам при авторизации, подключенным к данному тарифу:
!skat_tarif.png|align=center,width=1300!
{info}
Обязательным атрибутом является *VasExperts-Policing-Profile*=$usluga_id, где переменной $usluga_id при авторизации будет присваиваться ID активированной услуги трафика с наивысшим приоритетом.
{info}
Для формирования списка скоростей для выгрузки на СКАТ воспользуйтесь [отчётом|CarbonBilling:Конструктор отчетов]. В примере использованы тарифы с id - 1001,1002,1003:
{code}
select
u.id as "_usluga_id",
u.ceil_in as "_max_in",
u.ceil_out as "_max_out",
u.rate_in as "_garant_in",
u.rate_out as "_garant_out"
from tarif t left join tarif_users_usluga tuu on t.id = tuu.tarif_id
left join usluga u on tuu.usluga_id = u.id
where t.id in (1001,1002,1003)
{code}
Сформируйте CSV в конструкторе и передайте поддержке СКАТ.
h1. 3. Настройка NAS
Создаем NAS на вкладке Оборудование, прописываем основные настройки:
!skat_nas_base.png|align=center,width=1300!
Добавляем атрибуты на вкладке RADIUS, которые будут отправляться всем абонентам при авторизации, подключенным к этому NAS:
!skat_nas.png|align=center,width=1300!
Список атрибутов PPPoE:
|| Attribute || Thevalue || Op || Статус баланса || Статус блокировки ||
| VasExperts-Policing-Profile | 1M_blocked | := | В любом случае | Заблокирован |
| VasExperts-Service-Profile | 5:blocked | += | В любом случае | Заблокирован |
| VasExperts-Service-Profile | 5:fin_blocked | += | При отрицательном балансе | Не заблокирован |
| VasExperts-Restrict-User | 1 | := | В любом случае | Заблокирован |
| VasExperts-Restrict-User | 1 | := | При отрицательном балансе | В любом случае |
| VasExperts-DHCP-DNS | 192.0.2.1 | += | В любом случае | В любом случае |
| VasExperts-DHCP-DNS | 192.0.2.2 | += | В любом случае | В любом случае |
| VasExperts-Service-Profile | 11:<Имя НАТ пула на СКАТ> | += | В любом случае | В любом случае |
| VasExperts-Policing-Profile | $usluga_id| :=| При положительном балансе | Не заблокирован |
| VasExperts-Multi-IP-User | $multi_user| := | В любом случае | В любом случае |
| User-Name | $login | := | В любом случае | В любом случае |
| VasExperts-Enable-Service | 9:on | += | В любом случае | В любом случае |
| Session-Timeout | 43200 | := | В любом случае | В любом случае |
В данном примере названия {color:#ff0000}fin_blocked{color} и {color:#ff0000}blocked{color} являются примерами профилей, преднастроеных на СКАТе для финансово и административно-заблокированных абонентов соответственно.
Далее настраиваем скрипт управления в режиме [custom|Пользовательская схема] схемы.
Скрипт управления с упрощенной нотификацией доступен по [ссылке|CarbonBilling:Скрипт управления session СКАТ].
h1. Один шейпер для нескольких ip адресов
Абонент с несколькими IP адресами в логике СКАТ - это multi-bind абонент. Для multi-bind абонентов обязателен логин. В СКАТ все услуги и политики привязываются к логину (User-Name), если он задан. Все IP multi-bind абонента будут обрабатываться по одному профилю политик. Для каждого IP-адреса будет своя авторизация. В радиус ответ необходимо включить атрибуты:
* *User-Name* - значение: $abonent_id , так как id абонента одинаковый для его учётных записей;
* *VasExperts-Multi-IP-User* - значение: 1
* Одинаковый набор услуг и политик в остальных атрибутах.
h1. Авторизация по паре IP+VLAN
В СКАТ обработка трафика реализована без создания сабинтерфейсов, как в большинстве сетевого оборудования. Пришедший поток трафика обрабатывается пакетным ядром, без разделения на подсети. Таким образом авторизацию может получить IP находящийся в "чужом" vlan'е. При этом "верный" IP будет не авторизован. Для повышения безопасности авторизации мы сделали опцию *Проверять IP+VLAN*. Поиск пользователя проходит по полям NAS-Port и Framed-IP-Address в радиус пакете, и полям VLAN и IP в учётной записи пользователя соответственно. Опцию можно включить в [настройках|Авторизация по RADIUS#Настройка авторизации (RADIUS AUTH)].
h1. Особенности авторизации со стороны СКАТ
В стандартной конфигурации СКАТ делает запрос на переавторизацию раз в 3600 секунд - 1 час. Это значение переопределяется атрибутом Session-Timeout. Атрибут передаёт секунды, 0 не переавторизовываться.