Различия

Здесь показаны различия между двумя версиями данной страницы.

--- abills:docs:nas:ericsson_smartedge:ru:ericsson_smartedge [2014/06/27 16:12]
sinner [Ericsson (Redback) SmartEdge конфигурация]
+++ abills:docs:nas:ericsson_smartedge:ru:ericsson_smartedge [2015/12/05 17:50]
@@ Строка 1: / Строка 1: @@
-=====Ericsson====
-{{http://www.ericsson.com/shared/eipa/images/elogo.png|http://www.ericsson.com}}\\
-=====Ericsson (Redback) SmartEdge=====
-**Возможности**
-  * PPPoE
-  * IPoE
-  * Авторизация по логину паролю (PPPoE)
-  * Авторизация по MAC (IPoE)
-  * [[abills:docs:nas:ericsson_smartedge:ru:ericsson_smartedge?&#avtorizacija_po_mac_kommutatora_i_portu_ipoe|Авторизация по MAC коммутатора и порту (IPoE)]]
-  * Лимит скорости
-  * Классы трафика ( UA-IX ) пока в работе
-  * Radius CoA/PoD
-  * Перенаправление должников в личный кабинет
-  * Отдельный профайл для каждой ошибки атворизации
-====Ericsson (Redback) SmartEdge конфигурация IPOE ====
-  Current configuration:
-  aaa global authentication subscriber radius context local
-  aaa global accounting subscriber radius context local
-  service multiple-contexts
-  service inter-context routing
-  software license
-  subscriber active 8000 encrypted 1 $1$ffmEStpA$8POhnM9E8SFdL/OefM/o01
-  subscriber bandwidth 60 encrypted 1 $1$EPfBcMtz$AQxP5H.nXgaSVMbeAu98h0
-  flow admission-control profile Torrents-Must-Die
-  max-flows-per-circuit 200
-  sustained-creation-rate 30
-  burst-creation-rate 20
-  context local
-  no ip domain-lookup
-  interface CLIENTS-IPoE multibind
-  ip address 46.xxx.yy.1/20
-  dhcp server interface
-  ip arp proxy-arp
-  ip pool 46.xxx.yy.0/20
-  interface CLIENTS-PPPoE-Static multibind
-  ip address 91.xxx.yy.65/26
-  ip arp proxy-arp
-  ip pool 91.xxx.yy.64/26
-  interface manag
-  ip address 172.31.254.11/24
-  interface uplink
-  ip address 91.xxx.yy.60/29
-  ip source-address radius
-  no logging console
-  router ospf 1
-  fast-convergence
-  router-id 91.xxx.yy.60
-  log-neighbor-up-down
-  area 0.0.0.0
-  interface uplink
-  ignore-mtu
-  authentication md5 ericsson
-  redistribute connected
-  redistribute subscriber
-  policy access-list CLIENTS_IN
-  seq 5 permit ip any dscp eq cs7 class NET_2
-  seq 10 permit ip any any class NET_1
-  policy access-list CLIENTS_OUT
-  seq 10 permit ip any dscp eq cs7 class NET_2
-  seq 20 permit ip any any class NET_1
-  policy access-list HTTP-REDIRECT
-  seq 10 permit tcp any host 91.xxx.yy.34 eq www class cls-NORMAL
-  seq 15 permit tcp any host 91.xxx.yy.18 eq www class cls-NORMAL
-  seq 35 permit udp any host 91.xxx.yy.34 eq domain class cls-NORMAL
-  seq 40 permit tcp any any eq www class cls-REDIRECT
-  seq 50 permit ip any any class cls-DROP
-  key-chain ericsson key-id 1
-  key-string encrypted D00F41665730B8636D0FC2AA0BE83874
-  router bgp 65500
-  address-family ipv4 unicast
-  redistribute connected
-  redistribute static
-  neighbor 10.1.1.1 internal
-  next-hop-self
-  address-family ipv4 unicast
-  neighbor 10.1.1.2 internal
-  next-hop-self
-  address-family ipv4 unicast
-  ppp keepalive check-interval seconds 60
-  http-redirect profile NOAUTH
-  url "http://xxx.yyy.ua/negdep/"
-  enable encrypted 1 $1$........$QGAG.JLStO0QDDgK.0BO./
-  enable authentication local
-  aaa authentication administrator local
-  aaa authentication subscriber radius
-  aaa accounting subscriber radius
-  aaa accounting reauthorization subscriber radius
-  aaa update subscriber 15
-  aaa accounting event dhcp
-  aaa reauthorization bulk radius
-  radius accounting server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155
-  radius coa server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 port 1700
-  administrator root encrypted 1 $1$........$QGAG.JLStO0QDDgK.0BO./
-  privilege max 15
-  radius server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155
-  radius attribute nas-ip-address interface uplink
-  radius algorithm round-robin
-  radius accounting algorithm first
-  radius strip-domain
-  radius attribute nas-port format session-info
-  radius deadtime 2
-  radius attribute acct-status-type RFC
-  subscriber default
-  qos policy policing rate-default-in
-  qos policy metering rate-default-out
-  dhcp max-addrs 1
-  dns primary 91.xxx.yy.34
-  dns secondary 8.8.8.8
-  subscriber profile base-unlimited
-  qos policy policing qos-default-in
-  qos policy metering qos-default-out
-  ip route 0.0.0.0/0 91.xxx.yy.62
-  no service telnet server
-  ntp-mode
-  server 192.168.1.4 version 3
-  slowsync
-  dhcp server policy
-  option subnet-mask 255.255.240.0
-  option router 46.xxx.yy.1
-  default-lease-time 300
-  subnet 46.xxx.yy.0/20
-  End Context
-  logging tdm console
-  logging active
-  logging standby short
-  load balancing hash key config
-  service load-balance ip layer-3
-  forward policy HTTP-REDIRECT
-  access-group HTTP-REDIRECT local
-  class cls-NORMAL
-  class cls-REDIRECT
-  redirect destination local
-  class cls-DROP
-  drop
-  qos policy qos-default-in policing
-  access-group CLIENTS_IN local
-  class NET_1
-  rate 512 burst 64000
-  class NET_2
-  rate 512 burst 64000
-  qos policy qos-default-out metering
-  access-group CLIENTS_OUT local
-  class NET_1
-  rate 512 burst 64000
-  class NET_2
-  rate 512 burst 64000
-  qos policy rate-default-in policing
-  rate 512 burst 64000
-  rate-calculation exclude layer-2-overhead
-  qos policy rate-default-out metering
-  rate 512 burst 64000
-  rate-calculation exclude layer-2-overhead
-  link-group CLIENTS access economical
-  encapsulation dot1q
-  qos pwfq scheduling physical-port
-  dot1q pvc on-demand 200 through 300 encapsulation pppoe
-  bind authentication pap chap context local maximum 3000
-  dot1q pvc 1100
-  service clips dhcp context local
-  dot1q pvc 1101
-  service clips dhcp context local
-  dot1q pvc 1102
-  service clips dhcp context local
-  dot1q pvc 1103
-  service clips dhcp context local
-  maximum-links 3
-  minimum-links 1
-  lacp active
-  link-group LACP dot1q
-  dot1q pvc 5
-  bind interface uplink local
-  lacp active
-  snmp server
-  snmp view Inet-View internet included
-  snmp view Inet-View interfaces included
-  snmp view Inet-View ifMIB included
-  snmp community xxxxxx view Inet-View
-  system clock timezone ua 2 0 local
-  http-redirect server
-  port 80
-  port ethernet 1/1
-  XCRP management port on slot 1
-  no shutdown
-  bind interface manag local
-  card carrier 2
-  mic 1 ge-2-port
-  mic 2 ge-2-port
-  port ethernet 2/1
-  no shutdown
-  encapsulation dot1q
-  link-group LACP
-  port ethernet 2/2
-  no shutdown
-  encapsulation dot1q
-  link-group LACP
-  port ethernet 2/3
-  no shutdown
-  encapsulation dot1q
-  link-group LACP
-  port ethernet 2/4
-  no shutdown
-  encapsulation dot1q
-  link-group CLIENTS
-  port ethernet 2/15
-  no shutdown
-  encapsulation dot1q
-  link-group CLIENTS
-  port ethernet 2/16
-  no shutdown
-  encapsulation dot1q
-  link-group CLIENTS
-  ssh server rate-drop 50
-  ssh server start-drop 5
-  system hostname XXX
-  timeout session idle 30
-  no service console-break
-  service crash-dump-dram
-  no service auto-system-recovery
-  pppoe services marked-domains
-  pppoe service-name accept-all
-  pppoe tag ac-name RET
-  pppoe always-send-padt
-  end
-====Ericsson (Redback) SmartEdge конфигурация PPPOE ====
-  Current configuration:
-  !
-  !  Configuration last changed by user 'asm' at Fri Jun 27 18:53:36 2014
-  !
-  !
-  !
-  aaa global authentication subscriber radius context local
-  aaa global accounting subscriber radius context local
-  !
-  !
-  service multiple-contexts
-  !
-  service inter-context routing
-  !
-  !
-  !
-  software license
-  subscriber active 8000 encrypted 1 $1$At9INKqN$QbljtsCZ4y/UzGRnO8Drn/
-  subscriber bandwidth 60 encrypted 1 $1$QVLwZSCv$6ez5Wl9.0NQBpJDSDyOQj.
-  nat enhanced encrypted 1 $1$IC.7Dv0E$NlMdYJmTqf2Q/TSzTsNpR1
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  context local
-  !
-  no ip domain-lookup
-  !
-  interface mgmt loopback
-   ip source-address radius
-  !
-  interface pppoe_net multibind
-  ip address 172.xx.yy.1/24
-  !
-  interface uplink
-  ip address 195.xx.yyy.6/29
-  logging console
-  !
-  enable encrypted 1 $1$A6NpddsM$hgYwysvVvU.IxtoVfy.FQ1
-  !
-  aaa authentication administrator local
-  aaa authentication subscriber radius
-  aaa accounting subscriber radius
-  aaa update subscriber 10
-  radius accounting server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1
-  radius accounting server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 port 1700
-  radius coa server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 port 1700
-  !
-  administrator asm encrypted 1 $1$wmW/hLTD$Wz/tSC9JnaNtIOdQOlxBN/
-   privilege max 15
-  administrator sadman encrypted 1 $1$IrWjzVb/$5hRXw8ZvWKCSVxdy3CXf01
-   privilege max 15
-  !
-  radius server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1
-  radius max-retries 5
-  radius timeout 30
-  radius attribute nas-ip-address interface uplink
-  radius algorithm round-robin
-  radius accounting algorithm first
-  radius strip-domain
-  radius attribute nas-port format session-info
-  radius deadtime 2
-  radius attribute acct-status-type RFC
-  !
-  subscriber default
-    ppp mtu 1492
-   dns primary 8.8.8.8
-  !
-  ip route 0.0.0.0/0 195.xxx.yy.2
-  service ssh server
-  no service telnet server
-  !
-  !
-  !
-  !
-  ! ** End Context **
-  logging tdm console
-  logging active
-  logging standby short
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  !
-  port ethernet 1/1
-  ! XCRP management port on slot 1
-  no shutdown
-  !
-  card carrier 2
-  mic 1 ge-2-port
-  mic 2 ge-2-port
-  !
-  port ethernet 2/1
-  no shutdown
-  bind interface uplink local
-  !
-  port ethernet 2/2
-  no shutdown
-  encapsulation dot1q
-  dot1q pvc 4000 encapsulation pppoe
-  bind authentication chap pap context local maximum 3000
-  !
-  !
-  !
-  pppoe services marked-domains
-  pppoe service-name accept-all
-  pppoe tag ac-name *
-  pppoe always-send-padt
-  !
-  end
-====Radius====
-В RADIUS нужно добавить словарь
-**/usr/local/etc/raddb/dictionary**
-  $INCLUDE        /usr/local/share/freeradius/dictionary.redback
-====ABillS====
-====Настройка сервера доступа====
-  # cp Redback.pm /usr/abills/Abills/mysql
-файл настройки **config.pl**\\
-включение модуля авторизации
-  $AUTH{redback} = 'Redback';
-  $ACCT{redback} = 'Redback';
-Парамтеры
-|$conf{REDBACK_IPOE_SWITCH_PORT}=1; | Авторизация по коммутатору и  порту. Данные для авторизации берутся из IP (DHCP)  сервиса. Если на порту в билинге прописано больше одного клиента система после авторизации по порту производит атворизацию по MAC адресу. Если в билинге прописан только один клиента, а на порту пробует авторизироваться несколько устройств система им все выдаёт один и тот же IP адрес |;
-|$conf{REDBACK_DEFAULT_GUEST_PROFILE}='NOAUTH';| Гостевой профайл по умолчанию. Если не указан явно будет использоватся NOAUTH |
-|$conf{PROFILES}='WRONG_PASS:profile_wrong_pass;'; | Определение разных профайлов для разных ошибок авторизации \\ Параметры: \\ \\ **WRONG_PASS** - Неправильный правильный пароль для  туннельных соединений (PPPoE) \\ **NEG_DEPOSIT** - Отрицательный баланс на счету  \\ **AUTH_ERROR** - Другая ошибка авторизации \\ **NOT_REGISTER** - Учётная запись с такими параметрами  не зарегистрирована  \\ **NOT_ALLOW_SERVICE** - Использование услугу запрещено  \\ **DISABLE** - Пользователь отключен \\ \\ Пример \\ $conf{PROFILES}='WRONG_PASS:profile_wrong_pass;\\ NEG_DEPOSIT:profile_neg_deposit;\\ AUTH_ERROR:profile_other_error;\\ NOT_REGISTER:profile_not_register;\\ NOT_ALLOW_SERVICE:profile_not_allow_service;\\ DISABLE:profile_disable'; |
-Параметры передаваемые радиус сервером при атовризации
-^ Параметр билинга ^ Параметр RADIUS ^ Описание |
-|$conf{REDBACK_IP_INTERFACE_NAME}='CLIENTS-IPoE'; | IP-Interface-Name='CLIENTS-IPoE'; |Название IPOE  интерфейса |
-|$conf{REDBACK_IP_INTERFACES}='params=value:result; \\ params=value:result;'; | объявление дополнительных интерфейсов авторизации на базе Radius пакетов. \\ формат: params=value:result \\ **Пример** \\ Для всех абонентов Vlan22 и интерфейса Ethernet1/1  выдавать профайл CLIENTS-IPoE_5 \\ $conf{REDBACK_IP_INTERFACES}='ADSL-Agent-Circuit-Id=Vlan22+Ethernet1/1:CLIENTS-IPoE_5'}; |
-|$conf{REDBACK_DHCP_MAX_LEASES}=1; | DHCP-Max-Leases=1; | максимальное время DHCP  сессии |
-|$conf{REDBACK_CONTEXT_NAME}='local'; | Context-Name='local'; | Название контекста   |
-|$conf{REDBACK_SUB_PROFILE_NAME}='base-unlimited';| Sub-Profile-Name='base-unlimited'; | Название суб профайла |
-**Выражения для определения параметров Option 82** \\
-$conf{REDBACK_O82_EXPR}='Название опции:регулярное выражение:переменные;...';
-**Пример:**\\
-для коммутаторов Foxgate
-  Agent-Remote-Id = 0x70726f626e696b2e6c6f63616c
-  ADSL-Agent-Circuit-Id = "Vlan202+Ethernet1/5"
-**config.pl**
-  $conf{REDBACK_O82_EXPR}='ADSL-Agent-Circuit-Id:Vlan(\d+)\+Ethernet\d\/(\d+):VLAN,PORT;ADSL-Agent-Remote-Id:0x([a-f0-9]{12}):MAC';
-====Настройка сервера доступа в билинге ====
- **/ Система/ Сервер доступа/**
-^IP:	 | IP  адрес маршрутизатора  |
-^Название:| Название |
-^Тип:	 | указать тип: RedBack |
-:Управление:
-^IP:PORT:	| адрес и порт для отправки RADIUS CoA  команд. (По умолчанию 3799) \\ xxx.xxx.xxx.xxx:3799 |
-^Пароль:	| пароль для отправки RADIUS CoA команд  |
-=====Авторизация по MAC коммутатора и порту (IPoE)=====
-данный режим включается опцией $conf{REDBACK_IPOE_SWITCH_PORT}=1;  \\
-При авторизации абонента по MAC коммутатора и и порту, нужно:
-**Создать сервер доступа для коммутатора**\\
-  * '' / Система/ Сервера доступа/ '' заполнить поля
-     * IP    -
-     * MAC   -
-     * Тип сервер доступа - dhcp
-**Завести учётную запись абонента**
-  * ( '' / Клиенты/ Логины/ Добавить '')
-  * Создать ему услугу Internet
-  * Прописать в услуге IP/DHCP параметры:
-      * сеть абонента
-      * порт
-      * коммутатор
-\\
-Если абонент успешно авторизировался  в журнале активных сессий появляется об этом запись ''/ Мониторинг/ Internet/'' \\
-**Ошибки авторизации**\\
-Если при авторизации возникают проблемы проверте журнал подключений: ''/ Отчёт/ Internet/ Ошибка/''
-=====Классы трафика=====
-При использовании больше одного класса трафика название классов нужно указівать начиная с слова **NETS_** +  ID  класса трафика\\
-ID  классов трафика можно посмотреть в / Система/ Internet/ Тарифные планы/ Классы трафика/\\
-При заведении тарификации классов трафика (/ Система/ Internet/ Тарифные планы/ Интервалы/)  обязательно заполняйте поле **NETS** (Сеть тарификации).\\
-**Пример:**\\
-глобальный трафик,  скорость 2 мб\\
-^ID:  |	0 |
-^NETS: | Global |
-{{:abills:docs:nas:ericsson_smartedge:ru:traffic_tariff2.png?400|}}\\
-\\
-Локальный трафик,  скорость 10 мб\\
-^ID:  |	1 |
-^NETS: | UA-IX |\\
-{{:abills:docs:nas:ericsson_smartedge:ru:traffic_tariff1.png?400|}}\\
-=====Дополнительно=====
-  * [[http://www.nag.ru/articles/article/19213/testirovanie-ericsson-smartedge-100.html|Тестирование Ericsson SmartEdge 100]]
-  * [[http://shop.nag.ru/article/smartedge-install-guide|SmartEdge HowTo]]