Настроить NAS для RADIUS-агента

Для каждого RADIUS-агента нужно настроить как минимум один сервер доступа (NAS). Он определяет, с каких адресов агент будет принимать запросы на аутентификацию. Также сервер доступа может выделять адреса: когда абонент попытается авторизоваться, NAS запросит у RADIUS-агента доступный IP и присвоит его сессии.

1. Откройте форму агента.

2. На вкладке «Общие сведения» в таблице «Серверы доступа» нажмите «Добавить».

   

3. Укажите IP-адрес сервера доступа.

   

4. Выберите тип оборудования. От этого параметра зависит, что произойдёт с сессией при блокировке учётной записи абонента.

   • generic — сессия удалится из таблицы активных сессий агента, но останется во временном кеше. Окончательно она удалится, когда окончится цикл тарификации, истечёт тайм-аут или если агент будет перезапущен.

   • cisco_isg и redback — сессия не будет помечена на удаление. Она будет активна, пока параметры доступа не обновятся в соответствии со статусом блокировки.

   

5. Выберите метод авторизации.

   • IP — авторизация по IP-адресу абонента.

     Атрибуты:

     • стандартный Framed-IP-Address
     • либо стандартный Assigned-IP-Address

   • MAC — по MAC-адресу абонентского устройства.

     Атрибуты:

     • стандартный Calling-Station-Id
     • нестандартный Mac-Addr

   • LOGIN — по логину учётной записи.

     Атрибуты:

     • стандартный User-Name
     • стандартный Password

   • VLANS — по идентификатору пары VLAN, который передается в DHCP опции 82.

     Атрибуты:

     • NAS-Port-id
     Форматы данных для авторизации по VLAN

     Авторизация по VLAN в LANBilling доступна для оборудования:

     • Ericsson SmartEdge
     • Huawei
     • Juniper
     • Cisco
     • с ОС Linux
     • СКАТ DPI

     Формат данных зависит от производителя оборудования.

     Ericsson SmartEdge

     QinQ Tunnel	VLAN
     NAS-Port-Id = <slot>/<port> vlan-id <outer_vlan>:<inner_vlan> clips <sess-id> Пример: NAS-Port-Id = 4/1 vlan-id 1001:189 clips 54345	NAS-Port-Id = <slot>/<port> vlan-id <outer_vlan> clips <sess-id> Пример: NAS-Port-Id = 2/4 vlan-id 2456 clips 4543

     Регулярное выражение: vlan-id ([0-9]+)(:([0-9]+))? clips

     Huawei

     QinQ Tunnel	VLAN
     NAS-Port-Id = <slot>/<port> vlanid <outer_vlan>:<inner_vlan> clips <sess-id> Пример: NAS-Port-Id = 1/6 vlanid 108:439 clips 96	NAS-Port-Id = <slot>/<port> vlanid <outer_vlan> clips <sess-id> Пример: NAS-Port-Id = 2/5 vlanid 4 clips 8

     Регулярное выражение: vlanid ([0-9]+)(:([0-9]+))? clips

     Juniper

     QinQ Tunnel	VLAN
     NAS-Port-Id = interface-type-slot/adapter/port.subinterface:<outer_vlan>-<inner_vlan> Пример: NAS-Port-Id = xe-2/0/3.demux0.3221348601:2810-916	NAS-Port-Id = interface-type-slot/adapter/port.subinterface:<outer_vlan> Пример: NAS-Port-Id = ae1.demux0.3221225472:2500

     Регулярное выражение: .*:([0-9]+)-([0-9]+)$

     Cisco

     QinQ Tunnel	VLAN
     NAS-Port-Id = NAS_slot/NAS_subslot/NAS_port/<inner_vlan>.<outer_vlan> Пример: NAS-Port-Id = 0/0/1/101.1000	NAS-Port-Id = NAS_slot/NAS_subslot/NAS_port/<outer_vlan> Пример: NAS-Port-Id = 0/1/0/1602

     Регулярное выражение: ([0-9]+/){3}(([0-9]+)\.)?([0-9]+)

     Linux

     QinQ Tunnel	VLAN
     NAS-Port-Id = <interface_name>.<outer_vlan>.<inner_vlan> Пример: NAS-Port-Id = enp0s3.1003.687	NAS-Port-Id = <interface_name>.<outer_vlan> Пример: NAS-Port-Id = eth6.876

     Регулярное выражение: [A-Za-z0-9]{1,}.([0-9]+).([0-9]+)

     СКАТ DPI

     QinQ Tunnel	VLAN
     NAS-Port-Id = <outer_vlan>/<inner_vlan> Пример: NAS-Port-Id = 708/209	NAS-Port-Id = <outer_vlan> Пример: NAS-Port-Id = 589

   • OPT82 — по идентификатору коммутатора и порта, которые передаются в DHCP опции 82.

     Данные со всех устройств приходят либо в бинарном, либо в текстовом формате.

     Если данные приходят в бинарном виде, использовать эти атрибуты:

     • Redback-Agent-Remote-Id: 6 байт с конца — MAC-адрес коммутатора;
     • Redback-Agent-Circuit-Id: 1 байт с конца — номер порта.

     Если данные приходят в текстовом виде, использовать эти атрибуты:

     • Cisco-AVPair:
       • remote-id-tag: 12 символов с конца — MAC-адрес коммутатора;
       • circuit-id-tag: 2 символа с конца — номер порта.

     Также могут использоваться другие атрибуты — в зависимости от производителя оборудования. Правила их разбора описаны в документации вендора.

     • DHCP-Relay-Agent-Information
     • ERX-Dhcp-Options
     • HW-DHCP-Option
     Форматы данных для авторизации по OPT82

     Для коммутаторов:

     • Remote-id — MAC-адрес коммутатора, без разделителей;
     • Circuit-id — номер порта содержится в последнем байте.

     Для GPON:

     • Remote-id — MAC-адрес устройства, без разделителей;
     • Circuit-id — номер порта OLT и номер ONT в этом порту. Разбор параметров атрибута Circuit-id настраивается через GPON_REGEX.

   • CARD — метод для авторизации и активации карт оплаты. В качестве логина и пароля используются серия и ключ карточки. Если карта ещё не активирована, то при первой авторизации биллинг автоматически создаст абонента, договор и учётную запись в соответствии с настройками набора карт.

   Если не отметить ни один из вариантов, будет использоваться метод AUTO. Агент будет искать в системе любые идентификаторы абонента: логин, IP-адрес, MAC-адрес и другие. По тому идентификатору, который обнаружит первым, он авторизует абонента. Если выбрать несколько методов, система будет перебирать их в том порядке, в котором они указаны в поле.

   

6. Введите секрет — пароль, который обеспечивает безопасное взаимодействие NAS с RADIUS-агентом.

7. Добавьте описание. Например, если используете несколько серверов доступа, чтобы было проще найти нужный в общем списке.

   

8. Добавьте адрес установки оборудования.

   

9. Для каждого NAS можно настроить свои параметры сессий. Если не указать их здесь, сервер будет использовать значения из «Особых настроек» RADIUS-агента.

   • Интервал между Interim-UPDATE запросами аккаунтинга — с каким интервалом нужно генерировать промежуточные пакеты для каждой сессии. Число отправляется в атрибуте Acct-Interim-Interval при Access-Accept.

   • Максимальная длительность сессии — сколько времени должно пройти с момента отправки accounting-пакета. Если пройдёт больше времени, сессия считается зависшей. Если установить 0, длительность сессии будет неограниченной.

   • Тайм-аут зависшей сессии — через сколько секунд сессия удалится из активных, если система не получит от NAS промежуточный пакет.

   • Проверять MAC-адрес УЗ при авторизации — при авторизации система будет проверять, совпадает ли MAC-адрес в учётной записи с адресом устройства из атрибута Calling-Station-Id в запросе Access-Request.

     Существует случай, при котором система проверяет MAC-адреса всегда — независимо от значения параметра. Должны быть соблюдены два условия:

     • в NAS выбран метод авторизации «IP»;
     • в учётной записи MAC-адрес связан с IP-адресом.
   

   Также эти опции можно настроить в СУБД с помощью SQL-запросов.

10. Нажмите «Сохранить».

    

Сервер доступа добавлен в настройки RADIUS-агента.

Для взаимодействия RADIUS-агента с сервером доступа используются атрибуты. Основные атрибуты, с которыми работают все NAS, уже добавлены в систему. Если ваше оборудование использует другие атрибуты, добавьте их в словарь.

В дальнейшем потребуется настроить отправку RADIUS-атрибутов при авторизаци — указать, какие именно атрибуты агент будет передавать серверу доступа в пакете Access-Accept. При этом можно выбрать, каким именно NAS система будет передавать тот или иной атрибут. Чтобы это работало, необходимо связать NAS в настройках агента с устройством в разделе «Оборудование».

Когда завершите настройку, задайте параметры в файле конфигурации, а затем запустите модуль LBarcd.