Интеграция LANBilling со СКАТ (VasExperts) по IPoE

В этой инструкции описана настройка LANBilling и оборудования СКАТ (VasExperts) для работы по технологии IPoE.

См. также:

Описание схемы

СКАТ должен работать в режиме L2-Connected BRAS. PCRF настройте на работу с RADIUS-сервером LANBilling, в качестве DHCP-сервера используйте Kea на стороне СКАТ.

L2-Connected BRAS и абонент находятся в одном L2-домене. СКАТ BRAS L2 видит оригинальные MAC-адреса, VLAN или Q-in-Q, ARP и DHCP-запросы, на основании которых формируются RADIUS-запросы.

Настройка производится с учётом использования СЗР (социально значимые ресурсы).

АСР проверяет учетные данные абонента и отправляет Access-Accept с параметрами:

  • Для динамических IP-адресов:
    • Имя пула — Framed-Pool
    • Параметры скорости — VasExperts-Policing-Profile
    • Согласованное значение Session-Timeout — VasExperts-DHCP-Option-Num
  • Для статических IP-адресов:
    • Конкретный IP-адрес — Framed-IP-Address
    • Конкретную IP-Netmask — Framed-IP-Netmask
    • Конкретный IP-Gateway — VasExperts-DHCP-Gateway
    • Параметры скорости — VasExperts-Policing-Profile
    • Важно для абонентов с прописанными вручную IP-адресами — VasExperts-L2-User
    • Согласованное ограничение времени аренды IP-адреса — VasExperts-DHCP-Option-Num
  • Для заблокированных, с доступом к СЗР:
    • Согласованное имя политики блокировки — VasExperts-Policing-Profile
    • Согласованное имя белого списка доступных ресурсов — VasExperts-Service-Profile
  • Для всех:
    • включаем Accounting, обязательно значение 9:onVasExperts-Enable-Service
    • DNS-серверы — MS-Primary-DNS-Server, MS-Secondary-DNS-Server

Неидентифицированным абонентам отдаётся Reject. Абоненты, чьи учётные записи находятся в состоянии блокировки, сохранят свой основной IP-адрес. Учитывайте это при прогнозировании заполненности Pool’ов IP-сетей для клиентов.

Особенности работы

Выдача IP-адреса:

  • Биллинг в RADIUS-атрибуте отправляет имя пула — Framed-Pool
  • IP-адрес для клиента выбирает Kea
  • Для статических IP-адресов в Access-Accept отдается Framed-IP-Address вместе с Framed-Pool
  • СКАТ приоритезирует Framed-IP-Address, игнорируя Framed-Pool при их одновременной передаче

Настроить LANBilling

Настроить RADIUS-агент LBarcd

  1. Создайте RADIUS-агент в административном интерфейсе LANBilling.

  2. Добавьте серверы доступа (NAS):

    • IP-адрес NAS (адрес PCRF СКАТ)
    • Тип — cisco_isg
    • Secret
    • Метод авторизации

  3. Добавьте все подсети в настройки агента со шлюзами и описанием. Pool-ы для статических адресов и динамических адресов должны быть отдельные, пересечение недопустимо! Учитывайте это при назначении статических адресов конкретным УЗ.

  4. Настройте особые параметры агента:

    • В веб-интерфейсе: Откройте вкладку «Особые настройки» — блок «Настройки авторизации»:

      • Включите флаг «Включить авторизацию ISG-сервисов»
      • Включите флаг «Запускать handler при изменении текущей скорости»
      • Включите флаг «Не использовать гостевые IP-сети при блокировке»
      • Включите флаг «Проверять наличие статического IP-адреса в активных сессиях»
      • Включите флаг «Не отправлять атрибут Framed-IP-Address с пустым значением»
      • Включите флаг «Отправлять Access-Reject при неуспешной авторизации»
      • Для СЗР обязательно выключите флаг «Отправлять Access-Reject при блокировке»

    • В базе данных (таблица agent_options):

      INSERT INTO agent_options (`id`, `name`,`value`) values ('<ID агента>','user-name-in-access-accept-response','1') ON DUPLICATE KEY UPDATE value = values(value);
INSERT INTO agent_options (`id`, `name`,`value`) values ('<ID агента>','lease-segment','0') ON DUPLICATE KEY UPDATE value = values(value);
INSERT INTO agent_options (`id`, `name`,`value`) values ('<ID агента>','auth_guest_no_ip','1') ON DUPLICATE KEY UPDATE value = values(value);

  5. Настройте порты RADIUS на вкладке «Особые настройки»:

    • Порт RADIUS Authentication: 1812
    • Порт RADIUS Accounting: 1813
    • Прослушивать IPv4: адрес интерфейса сервера с LBarcd

Настроить RADIUS-атрибуты

Перейдите в раздел «Настройки» — «RADIUS-атрибуты» и добавьте следующие атрибуты.

  1. VasExperts-Policing-Profile — профиль ограничения скорости:

    Название: 10 Мбит
Атрибут: VasExperts-Policing-Profile
Значение: BV##10500#10500#++++++++
Привязка: Скорость = 10240
Результат авторизации: Доступ без ограничений

    ``

    Формат значения: BV##<скорость_вниз>#<скорость_вверх>#<флаги>

    Рекомендация: Добавить 5% к номинальной скорости для компенсации overhead:

    ROUNDED_SHAPE=$(echo "scale=0; ($SHAPE + $SHAPE * 0.05)/1" | bc)
# Для 10 Мбит: (10240 + 10240 * 0.05) = 10752 ≈ 10500

    ``

    Скорости в тарифе и атрибуте должны полностью совпадать.

  2. VasExperts-Enable-Service — включение аккаунтинга:

    Атрибут: VasExperts-Enable-Service
Значение: 9:on
Результат авторизации: Доступ без ограничений, Финансовая блокировка, Пользовательская блокировка, Административная блокировка, Блокировка по лимиту трафика, Доступ к социально значимым ресурсам

    ``

  3. VasExperts-DHCP-Option-Num — время аренды DHCP:

    Атрибут: VasExperts-DHCP-Option-Num
Значение: 51:600
Результат авторизации: Доступ без ограничений

    ``

    Этот параметр ограничивает время аренды и позволяет избежать проблем при аварийной перезагрузке СКАТ. Вместо 600 секунд укажите нужно значение, аналогичное настройкам Kea.

  4. Framed-Pool — имя пула для динамических IP-адресов (режим DHCP L2):

    Атрибут: Framed-Pool
Значение: dynamic_pool
Результат авторизации: Доступ без ограничений, Финансовая блокировка, Пользовательская блокировка, Административная блокировка, Блокировка по лимиту трафика, Доступ к социально значимым ресурсам

    ``

    Имя пула должно соответствовать настройкам Kea на стороне СКАТ.

  5. MS-Primary-DNS-Server и MS-Secondary-DNS-Server:

    Атрибут: MS-Primary-DNS-Server
Значение: 1.1.1.1
Результат авторизации: Доступ без ограничений, Финансовая блокировка, Пользовательская блокировка, Административная блокировка, Блокировка по лимиту трафика, Доступ к социально значимым ресурсам

    ``

    Можно создать несколько атрибутов с разными DNS-серверами.

  6. VasExperts-Multi-IP-User (опционально):

    Атрибут: VasExperts-Multi-IP-User
Значение: 1
Результат авторизации: Доступ без ограничений

    ``

    Опционально, согласовавывается со СКАТ в обязательном порядке. Нужен для УЗ, где более одной привязки и/или более одного IP-адреса.

  7. VasExperts-L2-User — запоминанть L2-свойства абонентских устройств:

    Атрибут: VasExperts-L2-User
Значение: 1
Результат авторизации: Доступ без ограничений

    ``

    Данный атрибут указывает СКАТ на то, что нужно запоминать L2 свойства абонента. Важно для абонентов с прописанным вручную, на устройстве, IP-адресом и для схемы L3-Connected BRAS

Для статических IP-адресов

  1. Framed-IP-Address и Framed-IP-Netmask добавлять в настройки атрибутов не нужно — они формируются автоматически из учетной записи при наличии привязанного статического IP-адреса.

  2. VasExperts-DHCP-Gateway — шлюз для конкретной сети:

    Атрибут: VasExperts-DHCP-Gateway
Значение: 192.168.1.1
Привязка: Сегмент (выбрать нужную подсеть)

    ``

Для блокировок и белых списков (СЗР)

  1. VasExperts-Policing-Profile — профиль блокировки:

    Атрибут: VasExperts-Policing-Profile
Значение: block
Результат авторизации: Финансовая блокировка, Пользовательская блокировка, Административная блокировка, Блокировка по лимиту трафика, Доступ к социально значимым ресурсам

    ``

    Вместо block используйте название профиля в СКАТ.

  2. VasExperts-Service-Profile — белый список (СЗР):

    Атрибут: VasExperts-Service-Profile
Значение: 5:white_list
Результат авторизации: Финансовая блокировка, Пользовательская блокировка, Административная блокировка, Блокировка по лимиту трафика, Доступ к социально значимым ресурсам

    ``

    Вместо white_list используйте название профиля в СКАТ.

Настроить тарифы

Настройте тарифы согласно документации LANBilling. Для всех тарифов задайте скорость.

Создать учетные записи

Создайте учётные записи согласно документации LANBilling.

Динамические IP-адреса
  1. Создайте карточку абонента.
  2. Создайте договор.
  3. Создайте учётную запись.
  4. Привяжите MAC-адрес (или порт коммутатора, зависит от метода авторизации на NAS) на вкладке «Настройки сети».
  5. Активируйте учетную запись.

Важно: IP-адрес привязывать не нужно — он будет выдан автоматически dhcp-сервером Kea на основании имени Pool’a.

Статические IP-адреса
  1. Создайте карточку абонента
  2. Создайте договор
  3. Создайте учетную запись
  4. Привяжите статический IP-адрес на вкладке «Настройки сети»
  5. Привяжите MAC-адрес (или порт коммутатора, зависит от метода авторизации на NAS)
  6. Активируйте учетную запись

Важно: При наличии привязанного IP-адреса биллинг будет отправлять Framed-IP-Address вместе с Framed-Pool, СКАТ приоритезирует адрес над пулом.

Настроить методы авторизации

Выберите один или несколько методов авторизации абонентов.

Авторизация по opt82 (для PON)

Настройте, с учётом текущей статьи, согласно документации LANBilling.

Авторизация по VLAN

Настройте согласно документации LANBilling.

Авторизация по MAC

Настройте согласно документации LANBilling.

Настроить файлы конфигурации модулей

Настройте согласно документации LANBilling.

Настроить СКАТ

Укажите в настройках PCRF:

  1. IP-адрес RADIUS-сервера (где установлен LBarcd)
  2. RADIUS-secret
  3. Порты для RADIUS Authentication и Accounting (1812, 1813)
  4. IP-адреса DNS-серверов

Настройте локальный DHCP (Kea).

Подсети абонентов со статическим IP-адресом, вписанным вручную на устройстве клиента, пометьте как local и term. Также этим клиентам обязательно отдавать атрибут VasExperts-L2-User

Примеры Access-Accept пакетов

Пример для режима DHCP L2 (динамические IP-адреса)

Атрибуты:
├─ Proxy-State: "164"
├─ Class: "<1769158805, 869, Z9KhzqMxcMK>"
├─ Session-Timeout: 86400
├─ User-Name: "IP_000686"
├─ Service-Type: 2
├─ Acct-Interim-Interval: 60
├─ VasExperts-Policing-Profile: "BV##10500#10500#++++++++"
├─ VasExperts-Enable-Service: "9:on"
├─ VasExperts-L2-User: 1
├─ Framed-Pool: "dynamic_pool"
├─ MS-Primary-DNS-Server: "1.1.1.1"
├─ MS-Primary-DNS-Server: "77.88.8.1"
├─ MS-Secondary-DNS-Server: "1.1.1.1"
└─ VasExperts-DHCP-Option-Num: "51:600"

Описание:

  • Абонент получит динамический IP-адрес из пула dynamic_pool
  • Скорость ограничена профилем BV##10500#10500#++++++++ (примерно 10 Мбит/с)
  • Аккаунтинг включен (VasExperts-Enable-Service: "9:on")
  • Время аренды DHCP — 600 секунд

Пример для режима DHCP L2 (статические IP-адреса)

Атрибуты:
├─ Proxy-State: "226"
├─ Class: "3c313736393135323136382c2031313739342c20654847744d7362486436783e"
├─ Session-Timeout: "86400"
├─ User-Name: "IP_203.0.113.10"
├─ Service-Type: "2"
├─ Framed-IP-Address: "203.0.113.10"
├─ Framed-IP-Netmask: "255.255.255.0"
├─ Acct-Interim-Interval: "60"
├─ VasExperts-Policing-Profile: "BV##10500#10500#++++++++"
├─ VasExperts-Enable-Service: "9:on"
├─ VasExperts-L2-User: "1"
├─ Framed-Pool: "qinqpool"
├─ MS-Primary-DNS-Server: "1.1.1.1"
├─ MS-Primary-DNS-Server: "77.88.8.1"
├─ MS-Secondary-DNS-Server: "1.1.1.1"
├─ VasExperts-DHCP-Option-Num: "51:600"
└─ VasExperts-DHCP-Gateway: "203.0.113.1"

Описание:

  • Абонент получит конкретный IP-адрес 203.0.113.10
  • Так же мы передаём сеть и шлюз
  • Хотя указан Framed-Pool, СКАТ проигнорирует его и выдаст Framed-IP-Address
  • Остальные параметры аналогичны динамическому режиму

Пример для заблокированного абонента с доступом к СЗР

Атрибуты:
├─ Proxy-State: "245"
├─ Class: "<1769161000, 5678, BlkUser01>"
├─ Session-Timeout: 3600
├─ User-Name: "blocked_user"
├─ Service-Type: 2
├─ Framed-Pool: "dynamic_pool"
├─ VasExperts-Policing-Profile: "block"
├─ VasExperts-Service-Profile: "5:test_list"
├─ VasExperts-Enable-Service: "9:on"
├─ MS-Primary-DNS-Server: "1.1.1.1"
└─ MS-Secondary-DNS-Server: "8.8.8.8"

Описание:

  • Абонент заблокирован (профиль block)
  • Имеет доступ только к ресурсам из белого списка (5:test_list)
  • Сессия короткая (3600 секунд = 1 час) для быстрой переавторизации после оплаты