Различия

Здесь показаны различия между двумя версиями данной страницы.

--- abills:docs:modules:dhcphosts:ru [2016/06/24 17:25]
asmodeus [Freeradius DHCP]
+++ abills:docs:modules:dhcphosts:ru [2017/05/17 11:42] (текущий)
anton [IP guard]
@@ Строка 15: / Строка 15: @@
   * Гостевой вход
   * Авто активация и включение активных абонентов (при использовании вместе с модулем [[abills:docs:modules:Ipn:ru|Ipn]])
+  * [[abills:docs:modules:dhcphosts:freeradius_dhcp:ru|Freeradius DHCP]] - Иновационная система управления адресами
 ====Установка====
@@ Строка 283: / Строка 284: @@
   * Создание статической ARP таблицы
-  $conf{DHCPHOSTS_RECONFIGURE}='/usr/bin/scp -o StrictHostKeyChecking=no -i /usr/abills/Certs/id_dsa.abills_admin '.
+  $conf{DHCPHOSTS_RECONFIGURE}='/usr/bin/scp -o StrictHostKeyChecking=no -i /usr/abills/Certs/id_rsa.abills_admin '.
     '/usr/local/etc/dhcpd.conf '.
     'abills_admin\@10.10.20.16:/usr/local/etc/dhcpd.conf; '.
-  '/usr/bin/scp -o StrictHostKeyChecking=no -i /usr/abills/Certs/id_dsa.abills_admin /usr/abills/var/ipguard '.
+  '/usr/bin/scp -o StrictHostKeyChecking=no -i /usr/abills/Certs/id_rsa.abills_admin /usr/abills/var/ipguard '.
     'abills_admin\@10.10.20.16:/usr/abills/var/ipguard; '.
-  '/usr/bin/ssh -o StrictHostKeyChecking=no -i /usr/abills/Certs/id_dsa.abills_admin abills_admin\@10.10.20.16 "/usr/local/bin/sudo /usr/local/etc/rc.d/isc-dhcpd restart;' .
+  '/usr/bin/ssh -o StrictHostKeyChecking=no -i /usr/abills/Certs/id_rsa.abills_admin abills_admin\@10.10.20.16 "/usr/local/bin/sudo /usr/local/etc/rc.d/isc-dhcpd restart;' .
   '/bin/cat /usr/abills/var/ipguard | /usr/bin/awk \'\$1 !~ /#/ { print \$2 \" \" \$1 }\' > /usr/abills/var/arp_static ;'.
   ' /usr/local/bin/sudo /usr/sbin/arp -ad ;'.
@@ Строка 297: / Строка 298: @@
 **Загрузка ARP  таблицу  на Mikrotik** \\
-  $conf{DHCPHOSTS_RECONFIGURE}='/bin/cat /usr/abills/var/ipguard | /usr/bin/awk \'\$1 !~ /#/ { print "/ip arp add address=" \$2 " mac-address=" \$1 " interface=Norq-ETH " } \' | /usr/bin/ssh -t -i /usr//abills/Certs/id_dsa.abills_admin abills_admin@10.0.0.3';
+  $conf{DHCPHOSTS_RECONFIGURE}='/bin/cat /usr/abills/var/ipguard | /usr/bin/awk \'\$1 !~ /#/ { print "/ip arp add address=" \$2 " mac-address=" \$1 " interface=Norq-ETH " } \' | /usr/bin/ssh -t -i /usr//abills/Certs/id_rsa.abills_admin abills_admin@10.0.0.3';
@@ Строка 413: / Строка 414: @@
-=====Freeradius DHCP====
-__**Freeradius DHCP не может одновременно работать с isc-dhcp, по этому перед запуском Freeradius DHCP отключите isc dhcp, если он включён**__ \\
-{{http://abills.net.ua/img/dhcp_freeradius.gif}} \\
+====Включение шейпера (ipoe_shapper)====
+Ограничение пропускаемой полосы занимается **/usr/abills/libexec/ipoe_shapper.pl**.\\
+Программа работает в режиме демона и каждый 10 секунд проверяет нет ли новых сессий в мониторинге биллинга и заносит IP  адреса новых абонентов в таблицы шейпера. \\
+В режиме IPN_SHAPPER программа для каждого нового подключения выполняет поднятие правил шейпера програмами IPN управления ($conf{IPN_FW_START_RULE}). Также в этом режиме выполняются правила $conf{IPN_FILTER}.
-Для более гибкой раздачи IP адресов был разработан новый механизм выдачи адресов используя функции DHCP FreeRadius.
+Программа не следить за депозитом или возможность доступа абонента, она выполняете поднятие шейпера для активных абонентов. Функции авторизации возложены на авторизатор, а функции слежения на программу **billd** .
-Преимущества модуля:
-  * Работа в реальном времени, не нужны перезагрузки и формирования файлов конфигурации
-  * Раздача динамических адресов Mikr
-  * Отсутствие привязки к MAC адресу абонента
-  * Авторизация учитывая параметры: коммутатор, порт, vlan. Параметры могут учитываться все или по отдельности в зависимости от их указания в профайле абонента
-  * Ведение гостевой сети для не авторизированных абонентов и абонентов с отрицательным балансом
-  * Авторегистрация новых абонентов
-  * Специально разработанный шейпер для данного модуля (ipoe_shapper.pl -  для шейпера используется механизм  dummynet).
-  * Работает со всем оборудованием которое поддерживает DHCP Option 82 (RFC 3046)
-  * [[abills:docs:nas:mikrotik:dhcp|Работа с Mikrotik DHCP сервером ]]
+Правила шейпера при завершении сесии возложены на контролер сессий **billd**.
-**Как работает** \\
-  * для активных абонентов существуют пулы адресов из которых они выдаются, конечно если не прописан адрес на абонента статически (то есть прописано 0.0.0.0). Адреса выдаются с прикреплённых к серверу доступа пулов адресов.
-  * для должников и незарегистрированных абонентов выдаются адреса из пулов гостевых IP
-  * по окончанию периода оренды адреса адрес абонента считается свободным и может выдаваться другому абоненту
-  * если абонент постоянно работает и по правилам DHCP через половину лиз периода отправляет пакет подтверждения то его сесия продолжается
-  * под это все сделан шейпер который поднимает правила для активных абонентов, может поднимать на сервера  FreeBSD, Linux,  а также на коммутаторах и есть поддержка использовать независимые внешние программы для шейпера
-  * конечно же поддержка Option 82 c возможностью задавать шаблоны распознавания параметров коммутаторов, так как не все производители оборудования придерживаются  стандратов
-**Включение и настройка**\\
-**config.pl**
-Прописать ниже переменной ** %AUTH=(); **
-  $AUTH{dhcp}='Mac_auth';
-Скопировать модуль каталог билинга
-  cp Mac_auth.pm /usr/abills/Abills/mysql/
-по умолчанию система контролирует дублирование маков, чтобы это обойти нужно в  ('' Настройки  / SQL Commander '') сделать
-  ALTER TABLE dhcphosts_hosts DROP KEY mac;
-  ALTER TABLE dhcphosts_hosts DROP KEY ip;
-**настройка радиус**\\
-Скопировать файл конфигурации в конфигурационный каталог /usr/local/etc/
-  #  cp /usr/abills/misc/freeradius/v2/dhcp.conf raddb/sites-enabled/
-Убедитесь то в raddb/dictionary  подключён модуль dictionary.dhcp\\
-если не подключён , - добавьте строку :
-  $INCLUDE     /usr/local/share/freeradius/dictionary.dhcp
- Обязательно внесите изменения в **dictionary.dhcp**
-  * удалить секцию
-  ATTRIBUTE      DHCP-Relay-Agent-Information            82      tlv
-  BEGIN-TLV       DHCP-Relay-Agent-Information
-  ...
-  END-TLV         DHCP-Relay-Agent-Information
-  * добавить секцию
-  ATTRIBUTE      DHCP-Relay-Agent-Information            82       octets
-  ATTRIBUTE      DHCP-Agent-Circuit-Id               0x0152       octets
-  ATTRIBUTE      DHCP-Agent-Remote-Id                0x0252       octets
-\\
-Если все прошло успешно при старте radiusd -X программа покажет что открыла 67 порт для  dhcp  запросов.
-\\
-  Listening on dhcp address 192.168.1.41 port 67 as server dhcp
-\\
-\\
-**Дополнительные опции**
-^$conf{DHCPHOSTS_PORT_BASE}=1; | Авторизоваться абонента с учётом его порта подключения (SWITCH,PORT). Мак адрес не учитывается. Система следит что бы на порту было не больше 1 автоматизированного абонента.  |
-^$conf{DHCPHOSTS_SWITCH_MAC_AUTH}='1,2,...'; | Список коммутаторов в которых принудительно авторизировать по мак адресу при включённой опции $conf{DHCPHOSTS_PORT_BASE}  |
-^$conf{DHCPHOSTS_GUEST_POOLS}='VLAN:POOL_ID:EXT_PARAMS' | Объявление гостевого пула адресов. Данный пул выдаётся не авторизированным абонентам и абонентам с отрицательным балансом. \\ Параметры: \\  \\  VLAN - Влан абонента \\ POOL_ID - Номер пула адресов в системе  ABillS (заводится / Система/ Сервер доступа/ IP Pools) \\ EXT_PARAMS - Дополнительные радиус параметры для данного пула. Система предоставляет возможность заводить на каждый Vlan свой гостевой пул. Правила пулов разделяются точкой с запятой (;). \\ \\ **Пример:** \\  $conf{DHCPHOSTS_GUEST_POOLS}='0:3:DHCP-Router-Address=10.22.0.1,DHCP-Subnet-Mask=255.255.252.0,DHCP-Domain-Name-Server=192.168.111.254'; |
-^$conf{DHCPHOSTS_LEASES}='db'; | Включение в мониторинга leases  сессий |
-^$conf{DHCP_FREERADIUS_DEBUG}=1; | Режимы отладки  \\ 1  - Режим сессий  (файл: /tmp/rad_dhcp) \\ 2 - Режим ответов авторизации. (Файл: /tmp/rad_reply) \\ 3  - Режим выражений для проверки параметров Option 82 (Файл /tmp/dhcphosts_expr) |
-^$conf{DHCPHOSTS_EXPR}='-'; | Так как производители оборудования (коммутаторов) не всегда придерживаются стандартов при формирование запросов DHCP Option 82 в системе была создана возможность задать регулярное выражение для получения нужных параметров из DHCP запроса .   Использовать дополнительные выражения для получения корректных данных с запросов от коммутаторов в которых параметры опции 82 отличаются от стандартных. \\ формат выражения через точку с запятой: \\ ** радиус_пара:условия:переменные:hex2ansii;условия переменные.... ** \\ \\ **радиус_пара** - радиус пара запроса \\ **условия** -  условия поиска Perl  выражение \\ **переменные** - переменные результата  VLAN PORT MAC MAC_DEC (если мак не нужно преобразовывать в шестнадцатеричный из десятеричного) PORT_DEC (если не нужно преобразовывать порт из десятеричного в шестнадцатеричный формата) \\ **hex2ansii** -  если указан єтот параметр система перед вычислением нужных переменных преобразует строку с  шестнадцатеричного формата в текстовый  \\ \\  \\ система при получении параметра проверяет нужно ли использовать внешние выражения если да начинает проходится по списку при попадании в параметры перебор прекращается и система подставляет выбранные VLAN PORT MAC MAC_DEC (если мак не нужно приобразовывать в десятичный форма из шестнадцатиричного) PORT_DEC (если не нужно приобразовывать порт из десятеричного шестнадцатиричного формата) в DHCP-Agent-Circuit-Id и DHCP-Agent-Remote-Id дальше уже идут стандартные процедуры работы с  DHCP. При включении выражений система отключает шаблон по умолчанию для распознавания коммутаторов |
-^$conf{DHCPHOSTS_AUTH_PARAMS}=1; |Авторизация по совокупности заполненных параметров MAC,PORT,VLAN,NAS_ID \\ **При использовании данной опции отключите $conf{DHCPHOSTS_PORT_BASE} **  |
-^$conf{DHCPHOSTS_GUEST_STATIC_IP}=1; |По умолчанию через каждый алайв период система выдаёт  гостевому абоненту новые  IP адрес. При включении данной опции система постоянно выдаёт тот же  IP что прописан в аккаунте  |
-**После внесения каких либо изменений по модулю в конфигурационный файл перезагружайте RADIUS**
-  * [[abills:docs:modules:dhcphosts_expr:ru|Примеры Выражений]]
-Данные о домене, DNS, NetMask, шлюзе система берёт в настройках DHCP сетей (''/ Настройка / DHCP Сети/''), или можно их у казать в радиус парах сервера доступа (''/Настройка /Сервер доступа''). \\
-Дополнительные Radius Пары (указываются в Настройка ''/Настройка /Сервер доступа'')
-^DHCP-Domain-Name-Server='8.8.8.8' | адрес DNS  сервера |
-^DHCP-Subnet-Mask=255.255.255.255 | маска сети |
-^DHCP-Server-IP-Address='10.2.0.1' | Адрес шлюза |
-^DHCP-Router-Address='10.2.0.1' | Адрес шлюза  |
-^Assign-Ports='1,24,25,' | Определение разрешённых портов коммутатора. По умолчанию разрешены все порты |
-===Настройка сервера доступа===
-''/Настройка/ Сервер доступу/''\\
-|IP:| IP  адрес коммутатора. |
-|Name: | Название |
-|Alive: | Время длительности перед повторным запросом IP (По умолчанию 600) |
-|Type: | dhcp |
-|Mac: | Мак адресе коммутатора |
-**если нужна динамическая выдача адресов обязательно выберите пул для коммутатора **
-====Включение шейпера (ipoe_shapper)====
-Ограничение пропускаемой полосы занимается **/usr/abills/libexec/ipoe_shapper.pl**.\\
-Программа работает в режиме демона и каждый 10 секунд проверяет нет ли новых сессий в мониторинге биллинга и заносит IP  адреса новых абонентов в таблицы шейпера. \\
-В режиме IPN_SHAPPER программа для каждого нового подключения выполняет поднятие правил шейпера програмами IPN управления ($conf{IPN_FW_START_RULE},$conf{IPN_FW_STOP_RULE}). Также в этом режиме выполняются правила $conf{IPN_FILTER}
 Параметры \\
@@ Строка 588: / Строка 465: @@
   * User Not Exist '00:11:22:11:11:a1' /0not Option82
 Скорее всего запрос к серверу идёт не по Option 82, а через DHCP Broadcast. Нужно настроить коммутатор на Option 82 ([[abills:docs:modules:dhcphosts:ru#nastrojka_oborudovanija|Настройка оборудования]])
+данное сообщение выдаётся когда система не может найти ни один из ниже указанных параметров в запросе
+  DHCP-Relay-Agent-Information
+  DHCP-Relay-Circuit-Id
+  DHCP-Relay-Remote-Id
   * Can't find Switch MAC '00:11:22:11:11:a1' or user port '24'
 Не найден коммутатор или подключенный абонент к данному коммутатору. Если используется автворизация по MAC  тогда только коммутатор. \\
@@ Строка 610: / Строка 493: @@
 =====Настройка оборудования=====
-^ 10.0.0.1  | Адрес DHCP сервера |
-==Команды для настройки коммутатора L2 (DES-3526/DES-3550):==
-[[http://www.dlink.co.il/ru/faq/62/228.html|http://www.dlink.co.il/ru/faq/62/228.html]]
-  #Маршрутизатор по умолчанию
+  * [[abills:docs:modules:dhcphosts:switch_configure:ru|Настройка оборудования]]
-  create iproute default 30.51.8.11
-  # адрес DHCP сервера
-  config dhcp_relay add ipif System 10.0.0.1
-  config dhcp_relay option_82 state enable
-  enable dhcp_relay
-  #Создать acl чтоб dhcp запрос клиента не уходил дальше порта
-  create access_profile ip udp src_port_mask 0xFFFF profile_id 3
-  config access_profile profile_id 3 add access_id 1 ip udp src_port 68 port 1 deny
-  config access_profile profile_id 3 add access_id 2 ip udp src_port 68 port 2 deny
-  config access_profile profile_id 3 add access_id 3 ip udp src_port 68 port 3 deny
-  config access_profile profile_id 3 add access_id 4 ip udp src_port 68 port 4 deny
-  config access_profile profile_id 3 add access_id 5 ip udp src_port 68 port 5 deny
-  config access_profile profile_id 3 add access_id 6 ip udp src_port 68 port 6 deny
-  config access_profile profile_id 3 add access_id 7 ip udp src_port 68 port 7 deny
-  config access_profile profile_id 3 add access_id 8 ip udp src_port 68 port 8 deny
-  config access_profile profile_id 3 add access_id 9 ip udp src_port 68 port 9 deny
-  config access_profile profile_id 3 add access_id 10 ip udp src_port 68 port 10 deny
-  config access_profile profile_id 3 add access_id 11 ip udp src_port 68 port 11 deny
-  config access_profile profile_id 3 add access_id 12 ip udp src_port 68 port 12 deny
-  config access_profile profile_id 3 add access_id 13 ip udp src_port 68 port 13 deny
-  config access_profile profile_id 3 add access_id 14 ip udp src_port 68 port 14 deny
-  config access_profile profile_id 3 add access_id 15 ip udp src_port 68 port 15 deny
-  config access_profile profile_id 3 add access_id 16 ip udp src_port 68 port 16 deny
-  config access_profile profile_id 3 add access_id 17 ip udp src_port 68 port 17 deny
-  config access_profile profile_id 3 add access_id 18 ip udp src_port 68 port 18 deny
-  config access_profile profile_id 3 add access_id 19 ip udp src_port 68 port 19 deny
-  config access_profile profile_id 3 add access_id 20 ip udp src_port 68 port 20 deny
-  config access_profile profile_id 3 add access_id 21 ip udp src_port 68 port 21 deny
-  config access_profile profile_id 3 add access_id 22 ip udp src_port 68 port 22 deny
-  config access_profile profile_id 3 add access_id 23 ip udp src_port 68 port 23 deny
-  config access_profile profile_id 3 add access_id 24 ip udp src_port 68 port 24 deny
-==Dlink DES3200 Dhcp snooping==
-Пример включение дляпортов 1-10
-  enable address_binding  dhcp_snoop
-Укажите максимальное количество создаваемых в процессе автоизучения записей IP-MAC на портах 1-10, равное 1
-  config address_binding  allow_dhcp_snoop 1-10 total_entries 1
-Активизируйте функцию IP-MAC-Port Binding в режиме DHCP Snooping на портах 1-10
-  config address_binding  ip_mac ports 1-10 state enable
-Настройте возможность передачи нулевого IP-адреса (0.0.0.0) для корректной работы протокола DHCP
-  config address_binding  ip_mac ports 1-10 allowzeroip enable
-Настройте возможность передачи пакетов от DHCP-сервера
-  config address_binding  ip_mac ports 1-10 forward_dhcppkt enable
-==Linksys SPS224G4 ==
-  #
-==Edge Core==
-Тестировалось на ES3510MA. Дополнительно включена опция snooping.
-  ip dhcp snooping
-  ip dhcp snooping vlan <Интерфейс/Vlan>
-  ip dhcp snooping information option
-  ip dhcp snooping information policy replace
-  # на аплинковых портах обязательно указать статус доверенный:
-  interface ethernet 1/10
-    ip dhcp snooping trust
-==Cisco==
-С включённой опцией  Snooping
-  ip dhcp snooping
-  interface <Интерфейс/Vlan>
-    ip helper-address 10.0.0.1
-    ip dhcp relay information trusted
-==foxgate-s-6224-s2==
-<code>
-hostname hostname1 #задаем hostname (в этом примере нужен будет для Option82)
-service dhcp
-ip forward-protocol udp bootps
-ip dhcp relay information option
-ip dhcp snooping enable
-p dhcp snooping binding enable
-ip dhcp snooping information enable
-no ip dhcp snooping binding enable
-ip dhcp snooping information option remote-id standard
-ip dhcp snooping information option subscriber-id format hex
-vlan 100 # создаем vlan100
-interface ethernet 0/0/1-24 # выбираем порты с 1 по 24
-switchport access vlan 100 # назначаем портам доступ только для vlan100
-interface ethernet 0/0/26 # выбираем порт 26
-switchport mode trunk
-switchport trunk allowed vlan 100
-ip dhcp snooping trust
-interface Vlan100
-ip address 192.168.100.2 255.255.255.0
-</code>
-\\
-** ZTE 2928E **
-<code>
-  set port statistics mode ingress
-  set dhcp snooping-and-option82 enable
-  set dhcp option82 add port 1
-  set dhcp option82 sub-option port 1 circuit-ID on cisco
-  set dhcp option82 add port 2
-  set dhcp option82 sub-option port 2 circuit-ID on cisco
-.....
-  set dhcp option82 add port 25
-  set dhcp option82 add port 26
-  set dhcp option82 add port 27
-  set dhcp port 28 server
-  set dhcp snooping add port 28
-  set dhcp option82 add port 28
-</code>
-**Huawei s2326tp-ei**
-Версия прошивки: s2300ei-v100r006c05.cc
-<code>
-#
-!Software Version V100R006C05
-#
-vlan batch 100 800
-#
-dhcp enable
-dhcp snooping enable
-dhcp option82 format extend
-#
-http server load flash:/s2300ei-v100r006c05.web.zip
-#
-vlan 100
-description ManageSwitch
-vlan 800
-description client_vlan
-dhcp snooping enable
-dhcp snooping trusted interface GigabitEthernet0/0/1
-dhcp option82 rebuild enable interface Ethernet0/0/24
-interface Ethernet0/0/24
-port link-type access
-port default vlan 800
-dhcp snooping enable
-#
-interface GigabitEthernet0/0/1
-port link-type trunk
-port trunk allow-pass vlan 100 800
-</code>
 =====dhcp_tools.pl=====
 **Набор дополнительных утилит для работы с DHCP**\\