Ericsson (Redback) SmartEdge
(SE100/SE1000)
Возможности
PPPoE
IPoE
Авторизация по логину паролю (PPPoE)
Авторизация по MAC (IPoE)
Лимит скорости
Классы трафика ( UA-IX ) пока в работе
Radius CoA/PoD
Перенаправление должников в личный кабинет
Отдельный профайл для каждой ошибки атворизации
Ericsson (Redback) SmartEdge конфигурация IPOE
Current configuration: aaa global authentication subscriber radius context local aaa global accounting subscriber radius context local service multiple-contexts service inter-context routing software license subscriber active 8000 encrypted 1 $1$ffmEStpA$8POhnM9E8SFdL/OefM/o01 subscriber bandwidth 60 encrypted 1 $1$EPfBcMtz$AQxP5H.nXgaSVMbeAu98h0 flow admission-control profile Torrents-Must-Die max-flows-per-circuit 200 sustained-creation-rate 30 burst-creation-rate 20 context local no ip domain-lookup interface CLIENTS-IPoE multibind ip address 46.xxx.yy.1/20 dhcp server interface ip arp proxy-arp ip pool 46.xxx.yy.0/20 interface CLIENTS-PPPoE-Static multibind ip address 91.xxx.yy.65/26 ip arp proxy-arp ip pool 91.xxx.yy.64/26 interface manag ip address 172.31.254.11/24 interface uplink ip address 91.xxx.yy.60/29 ip source-address radius no logging console router ospf 1 fast-convergence router-id 91.xxx.yy.60 log-neighbor-up-down area 0.0.0.0 interface uplink ignore-mtu authentication md5 ericsson redistribute connected redistribute subscriber policy access-list CLIENTS_IN seq 5 permit ip any dscp eq cs7 class NET_2 seq 10 permit ip any any class NET_1 policy access-list CLIENTS_OUT seq 10 permit ip any dscp eq cs7 class NET_2 seq 20 permit ip any any class NET_1 policy access-list HTTP-REDIRECT seq 10 permit tcp any host 91.xxx.yy.34 eq www class cls-NORMAL seq 15 permit tcp any host 91.xxx.yy.18 eq www class cls-NORMAL seq 35 permit udp any host 91.xxx.yy.34 eq domain class cls-NORMAL seq 40 permit tcp any any eq www class cls-REDIRECT seq 50 permit ip any any class cls-DROP key-chain ericsson key-id 1 key-string encrypted D00F41665730B8636D0FC2AA0BE83874 router bgp 65500 address-family ipv4 unicast redistribute connected redistribute static neighbor 10.1.1.1 internal next-hop-self address-family ipv4 unicast neighbor 10.1.1.2 internal next-hop-self address-family ipv4 unicast ppp keepalive check-interval seconds 60 http-redirect profile NOAUTH url "http://xxx.yyy.ua/negdep/" enable encrypted 1 $1$........$QGAG.JLStO0QDDgK.0BO./ enable authentication local aaa authentication administrator local aaa authentication subscriber radius aaa accounting subscriber radius aaa accounting reauthorization subscriber radius aaa update subscriber 15 aaa accounting event dhcp aaa reauthorization bulk radius radius accounting server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 radius coa server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 port 1700 administrator root encrypted 1 $1$........$QGAG.JLStO0QDDgK.0BO./ privilege max 15 radius server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 radius attribute nas-ip-address interface uplink radius algorithm round-robin radius accounting algorithm first radius strip-domain radius attribute nas-port format session-info radius deadtime 2 radius attribute acct-status-type RFC subscriber default qos policy policing rate-default-in qos policy metering rate-default-out dhcp max-addrs 1 dns primary 91.xxx.yy.34 dns secondary 8.8.8.8 subscriber profile base-unlimited qos policy policing qos-default-in qos policy metering qos-default-out ip route 0.0.0.0/0 91.xxx.yy.62 no service telnet server ntp-mode server 192.168.1.4 version 3 slowsync dhcp server policy option subnet-mask 255.255.240.0 option router 46.xxx.yy.1 default-lease-time 300 subnet 46.xxx.yy.0/20 End Context logging tdm console logging active logging standby short load balancing hash key config service load-balance ip layer-3 forward policy HTTP-REDIRECT access-group HTTP-REDIRECT local class cls-NORMAL class cls-REDIRECT redirect destination local class cls-DROP drop qos policy qos-default-in policing access-group CLIENTS_IN local class NET_1 rate 512 burst 64000 class NET_2 rate 512 burst 64000 qos policy qos-default-out metering access-group CLIENTS_OUT local class NET_1 rate 512 burst 64000 class NET_2 rate 512 burst 64000 qos policy rate-default-in policing rate 512 burst 64000 rate-calculation exclude layer-2-overhead qos policy rate-default-out metering rate 512 burst 64000 rate-calculation exclude layer-2-overhead link-group CLIENTS access economical encapsulation dot1q qos pwfq scheduling physical-port dot1q pvc on-demand 200 through 300 encapsulation pppoe bind authentication pap chap context local maximum 3000 dot1q pvc 1100 service clips dhcp context local dot1q pvc 1101 service clips dhcp context local dot1q pvc 1102 service clips dhcp context local dot1q pvc 1103 service clips dhcp context local maximum-links 3 minimum-links 1 lacp active link-group LACP dot1q dot1q pvc 5 bind interface uplink local lacp active snmp server snmp view Inet-View internet included snmp view Inet-View interfaces included snmp view Inet-View ifMIB included snmp community xxxxxx view Inet-View system clock timezone ua 2 0 local http-redirect server port 80 port ethernet 1/1 XCRP management port on slot 1 no shutdown bind interface manag local card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/1 no shutdown encapsulation dot1q link-group LACP port ethernet 2/2 no shutdown encapsulation dot1q link-group LACP port ethernet 2/3 no shutdown encapsulation dot1q link-group LACP port ethernet 2/4 no shutdown encapsulation dot1q link-group CLIENTS port ethernet 2/15 no shutdown encapsulation dot1q link-group CLIENTS port ethernet 2/16 no shutdown encapsulation dot1q link-group CLIENTS ssh server rate-drop 50 ssh server start-drop 5 system hostname XXX timeout session idle 30 no service console-break service crash-dump-dram no service auto-system-recovery pppoe services marked-domains pppoe service-name accept-all pppoe tag ac-name RET pppoe always-send-padt end
Ericsson (Redback) SmartEdge конфигурация PPPOE
ВАЖНО! : не указывайте в редбеке ip-pool , оставьте ето радиусу/биллингу
Current configuration: ! ! Configuration last changed by user 'asm' at Fri Jun 27 18:53:36 2014 ! ! ! aaa global authentication subscriber radius context local aaa global accounting subscriber radius context local ! ! service multiple-contexts ! service inter-context routing ! ! ! software license subscriber active 8000 encrypted 1 $1$At9INKqN$QbljtsCZ4y/UzGRnO8Drn/ subscriber bandwidth 60 encrypted 1 $1$QVLwZSCv$6ez5Wl9.0NQBpJDSDyOQj. nat enhanced encrypted 1 $1$IC.7Dv0E$NlMdYJmTqf2Q/TSzTsNpR1 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! context local ! no ip domain-lookup ! interface mgmt loopback ip source-address radius ! interface pppoe_net multibind ip address 172.xx.yy.1/24 ! interface uplink ip address 195.xx.yyy.6/29 logging console ! enable encrypted 1 $1$A6NpddsM$hgYwysvVvU.IxtoVfy.FQ1 ! aaa authentication administrator local aaa authentication subscriber radius aaa accounting subscriber radius aaa update subscriber 10 radius accounting server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 radius accounting server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 port 1700 radius coa server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 port 1700 ! administrator asm encrypted 1 $1$wmW/hLTD$Wz/tSC9JnaNtIOdQOlxBN/ privilege max 15 administrator sadman encrypted 1 $1$IrWjzVb/$5hRXw8ZvWKCSVxdy3CXf01 privilege max 15 ! radius server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 radius max-retries 5 radius timeout 30 radius attribute nas-ip-address interface uplink radius algorithm round-robin radius accounting algorithm first radius strip-domain radius attribute nas-port format session-info radius deadtime 2 radius attribute acct-status-type RFC ! subscriber default ppp mtu 1492 dns primary 8.8.8.8 ! ip route 0.0.0.0/0 195.xxx.yy.2 service ssh server no service telnet server ! ! ! ! ! ** End Context ** logging tdm console logging active logging standby short ! ! ! ! ! ! ! ! ! port ethernet 1/1 ! XCRP management port on slot 1 no shutdown ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port ! port ethernet 2/1 no shutdown bind interface uplink local ! port ethernet 2/2 no shutdown encapsulation dot1q dot1q pvc 4000 encapsulation pppoe bind authentication chap pap context local maximum 3000 ! ! ! pppoe services marked-domains pppoe service-name accept-all pppoe tag ac-name * pppoe always-send-padt ! end
Radius
В RADIUS нужно добавить словарь
/usr/local/etc/raddb/dictionary
$INCLUDE /usr/local/share/freeradius/dictionary.redback
ABillS
Настройка сервера доступа
# cp Redback.pm /usr/abills/Abills/mysql
файл настройки config.pl
включение модуля авторизации
$AUTH{redback} = 'Redback'; $ACCT{redback} = 'Redback';
Парамтеры
$conf{REDBACK_IPOE_SWITCH_PORT}=1; | Авторизация по коммутатору и порту. Данные для авторизации берутся из IP (DHCP) сервиса. Если на порту в билинге прописано больше одного клиента система после авторизации по порту производит атворизацию по MAC адресу. Если в билинге прописан только один клиента, а на порту пробует авторизироваться несколько устройств система им все выдаёт один и тот же IP адрес |
$conf{REDBACK_DEFAULT_GUEST_PROFILE}='NOAUTH'; | Гостевой профайл по умолчанию. Если не указан явно будет использоватся NOAUTH |
$conf{PROFILES}='WRONG_PASS:profile_wrong_pass;'; | Определение разных профайлов для разных ошибок авторизации Параметры: WRONG_PASS - Неправильный правильный пароль для туннельных соединений (PPPoE) NEG_DEPOSIT - Отрицательный баланс на счету AUTH_ERROR - Другая ошибка авторизации NOT_REGISTER - Учётная запись с такими параметрами не зарегистрирована NOT_ALLOW_SERVICE - Использование услугу запрещено DISABLE - Пользователь отключен Пример $conf{PROFILES}='WRONG_PASS:profile_wrong_pass; NEG_DEPOSIT:profile_neg_deposit; AUTH_ERROR:profile_other_error; NOT_REGISTER:profile_not_register; NOT_ALLOW_SERVICE:profile_not_allow_service; DISABLE:profile_disable'; |
Параметры передаваемые радиус сервером при атовризации
Параметр билинга | Параметр RADIUS | Описание |
---|---|---|
$conf{REDBACK_IP_INTERFACE_NAME}='CLIENTS-IPoE'; | IP-Interface-Name='CLIENTS-IPoE'; | Название IPOE интерфейса |
$conf{REDBACK_IP_INTERFACES}='params=value:result; params=value:result;'; | объявление дополнительных интерфейсов авторизации на базе Radius пакетов. формат: params=value:result Пример Для всех абонентов Vlan22 и интерфейса Ethernet1/1 выдавать профайл CLIENTS-IPoE_5 $conf{REDBACK_IP_INTERFACES}='ADSL-Agent-Circuit-Id=Vlan22+Ethernet1/1:CLIENTS-IPoE_5'}; | |
$conf{REDBACK_DHCP_MAX_LEASES}=1; | DHCP-Max-Leases=1; | максимальное время DHCP сессии |
$conf{REDBACK_CONTEXT_NAME}='local'; | Context-Name='local'; | Название контекста |
$conf{REDBACK_SUB_PROFILE_NAME}='base-unlimited'; | Sub-Profile-Name='base-unlimited'; | Название суб профайла |
Выражения для определения параметров Option 82
$conf{REDBACK_O82_EXPR}='Название опции:регулярное выражение:переменные;…';
Пример:
для коммутаторов Foxgate
Agent-Remote-Id = 0x70726f626e696b2e6c6f63616c ADSL-Agent-Circuit-Id = "Vlan202+Ethernet1/5"
$conf{REDBACK_O82_EXPR}='ADSL-Agent-Circuit-Id:Vlan(\d+)\+Ethernet\d\/(\d+):VLAN,PORT;ADSL-Agent-Remote-Id:0x([a-f0-9]{12}):MAC';
Настройка сервера доступа в билинге
/ Система/ Сервер доступа/
IP: | IP адрес маршрутизатора |
---|---|
Название: | Название |
Тип: | указать тип: RedBack |
:Управление:
IP:PORT: | адрес и порт для отправки RADIUS CoA команд. (По умолчанию 3799) xxx.xxx.xxx.xxx:3799 |
---|---|
Пароль: | пароль для отправки RADIUS CoA команд |
Авторизация по MAC коммутатора и порту (IPoE)
данный режим включается опцией $conf{REDBACK_IPOE_SWITCH_PORT}=1;
При авторизации абонента по MAC коммутатора и и порту, нужно:
Создать сервер доступа для коммутатора
/ Система/ Сервера доступа/
заполнить поляIP -
MAC -
Тип сервер доступа - dhcp
Завести учётную запись абонента
(
/ Клиенты/ Логины/ Добавить
)Создать ему услугу Internet
Прописать в услуге IP/DHCP параметры:
сеть абонента
порт
коммутатор
Если абонент успешно авторизировался в журнале активных сессий появляется об этом запись / Мониторинг/ Internet/
Ошибки авторизации
Если при авторизации возникают проблемы проверте журнал подключений: / Отчёт/ Internet/ Ошибка/
Классы трафика
При использовании больше одного класса трафика название классов нужно указівать начиная с слова NETS_ + ID класса трафика
ID классов трафика можно посмотреть в / Система/ Internet/ Тарифные планы/ Классы трафика/
При заведении тарификации классов трафика (/ Система/ Internet/ Тарифные планы/ Интервалы/) обязательно заполняйте поле NETS (Сеть тарификации).
Пример:
глобальный трафик, скорость 2 мб
ID: | 0 |
---|---|
NETS: | Global |
Локальный трафик, скорость 10 мб
ID: | 1 |
---|---|
NETS: | UA-IX |