Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

abills:docs:nas:ericsson_smartedge:ru:ericsson_smartedge [2015/12/02 12:23]
asmodeus [Ericsson (Redback) SmartEdge]
abills:docs:nas:ericsson_smartedge:ru:ericsson_smartedge [2015/12/05 17:50]
Строка 1: Строка 1:
-=====Ericsson==== 
  
-{{http://​www.ericsson.com/​shared/​eipa/​images/​elogo.png|http://​www.ericsson.com}}\\ 
- 
-=====Ericsson (Redback) SmartEdge===== 
-(SE100/​SE1000) 
- 
-**Возможности** 
- 
-  * PPPoE 
-  * IPoE 
-  * Авторизация по логину паролю (PPPoE) 
-  * Авторизация по MAC (IPoE) 
-  * [[abills:​docs:​nas:​ericsson_smartedge:​ru:​ericsson_smartedge?&#​avtorizacija_po_mac_kommutatora_i_portu_ipoe|Авторизация по MAC коммутатора и порту (IPoE)]] 
-  * Лимит скорости 
-  * Классы трафика ( UA-IX ) пока в работе 
-  * Radius CoA/PoD 
-  * Перенаправление должников в личный кабинет 
-  * Отдельный профайл для каждой ошибки атворизации 
- 
-====Ericsson (Redback) SmartEdge конфигурация IPOE ==== 
- 
- 
-  Current configuration:​ 
-  ​ 
-  aaa global authentication subscriber radius context local 
-  aaa global accounting subscriber radius context local 
-  ​ 
-  service multiple-contexts 
-  ​ 
-  service inter-context routing 
-  ​ 
-  software license 
-  subscriber active 8000 encrypted 1 $1$ffmEStpA$8POhnM9E8SFdL/​OefM/​o01 
-  subscriber bandwidth 60 encrypted 1 $1$EPfBcMtz$AQxP5H.nXgaSVMbeAu98h0 
-  ​ 
-  flow admission-control profile Torrents-Must-Die 
-  max-flows-per-circuit 200 
-  sustained-creation-rate 30 
-  burst-creation-rate 20 
-  ​ 
-  context local 
-  ​ 
-  no ip domain-lookup 
-  ​ 
-  interface CLIENTS-IPoE multibind 
-  ip address 46.xxx.yy.1/​20 
-  dhcp server interface 
-  ip arp proxy-arp 
-  ip pool 46.xxx.yy.0/​20 
-  ​ 
-  interface CLIENTS-PPPoE-Static multibind 
-  ip address 91.xxx.yy.65/​26 
-  ip arp proxy-arp 
-  ip pool 91.xxx.yy.64/​26 
-  ​ 
-  interface manag 
-  ip address 172.31.254.11/​24 
-  ​ 
-  interface uplink 
-  ip address 91.xxx.yy.60/​29 
-  ip source-address radius ​ 
-  ​ 
-  no logging console 
-  ​ 
-  router ospf 1 
-  fast-convergence 
-  router-id 91.xxx.yy.60 
-  log-neighbor-up-down 
-  area 0.0.0.0 
-  interface uplink 
-  ignore-mtu 
-  authentication md5 ericsson 
-  redistribute connected ​ 
-  redistribute subscriber ​ 
-  ​ 
-  policy access-list CLIENTS_IN 
-  seq 5 permit ip any dscp eq cs7 class NET_2 
-  seq 10 permit ip any any class NET_1 
-  ​ 
-  policy access-list CLIENTS_OUT 
-  seq 10 permit ip any dscp eq cs7 class NET_2 
-  seq 20 permit ip any any class NET_1 
-  ​ 
-  policy access-list HTTP-REDIRECT 
-  seq 10 permit tcp any host 91.xxx.yy.34 eq www class cls-NORMAL 
-  seq 15 permit tcp any host 91.xxx.yy.18 eq www class cls-NORMAL 
-  seq 35 permit udp any host 91.xxx.yy.34 eq domain class cls-NORMAL 
-  seq 40 permit tcp any any eq www class cls-REDIRECT 
-  seq 50 permit ip any any class cls-DROP 
-  ​ 
-  key-chain ericsson key-id 1 
-  key-string encrypted D00F41665730B8636D0FC2AA0BE83874 
-  ​ 
-  router bgp 65500 
-  address-family ipv4 unicast 
-  redistribute connected 
-  redistribute static 
-  neighbor 10.1.1.1 internal 
-  next-hop-self 
-  address-family ipv4 unicast 
-  neighbor 10.1.1.2 internal 
-  next-hop-self 
-  address-family ipv4 unicast 
-  ​ 
-  ppp keepalive check-interval seconds 60 
-  ​ 
-  http-redirect profile NOAUTH 
-  url "​http://​xxx.yyy.ua/​negdep/"​ 
-  ​ 
-  enable encrypted 1 $1$........$QGAG.JLStO0QDDgK.0BO./​ 
-  enable authentication local  
-  ​ 
-  aaa authentication administrator local  ​ 
-  aaa authentication subscriber radius  ​ 
-  aaa accounting subscriber radius 
-  aaa accounting reauthorization subscriber radius 
-  aaa update subscriber 15 
-  aaa accounting event dhcp 
-  aaa reauthorization bulk radius 
-  radius accounting server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 
-  radius coa server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 port 1700 
-  ​ 
-  administrator root encrypted 1 $1$........$QGAG.JLStO0QDDgK.0BO./​ 
-  privilege max 15 
-  ​ 
-  radius server 91.xxx.yy.20 encrypted-key D20FD1D1E8AC0155 
-  radius attribute nas-ip-address interface uplink 
-  radius algorithm round-robin 
-  radius accounting algorithm first 
-  radius strip-domain ​ 
-  radius attribute nas-port format session-info 
-  radius deadtime 2 
-  radius attribute acct-status-type RFC  
-  ​ 
-  subscriber default 
-  qos policy policing rate-default-in 
-  qos policy metering rate-default-out 
-  dhcp max-addrs 1 
-  dns primary 91.xxx.yy.34 
-  dns secondary 8.8.8.8 
-  subscriber profile base-unlimited 
-  qos policy policing qos-default-in 
-  qos policy metering qos-default-out 
-  ​ 
-  ip route 0.0.0.0/0 91.xxx.yy.62 
-  no service telnet server 
-  ​ 
-  ntp-mode 
-  ​ 
-  server 192.168.1.4 version 3  
-  slowsync 
-  ​ 
-  dhcp server policy 
-  option subnet-mask 255.255.240.0 
-  option router 46.xxx.yy.1 
-  default-lease-time 300 
-  subnet 46.xxx.yy.0/​20 
-  ​ 
-  End Context 
-  logging tdm console 
-  logging active 
-  logging standby short 
-  ​ 
-  load balancing hash key config 
-  ​ 
-  service load-balance ip layer-3 
-  ​ 
-  forward policy HTTP-REDIRECT ​ 
-  access-group HTTP-REDIRECT local 
-  class cls-NORMAL 
-  class cls-REDIRECT 
-  redirect destination local 
-  class cls-DROP 
-  drop 
-  ​ 
-  qos policy qos-default-in policing ​ 
-  access-group CLIENTS_IN local 
-  class NET_1 
-  rate 512 burst 64000 
-  class NET_2 
-  rate 512 burst 64000 
-  ​ 
-  qos policy qos-default-out metering ​ 
-  access-group CLIENTS_OUT local 
-  class NET_1 
-  rate 512 burst 64000 
-  class NET_2 
-  rate 512 burst 64000 
-  ​ 
-  qos policy rate-default-in policing ​ 
-  rate 512 burst 64000 
-  rate-calculation exclude layer-2-overhead 
-  ​ 
-  qos policy rate-default-out metering ​ 
-  rate 512 burst 64000 
-  rate-calculation exclude layer-2-overhead 
-  ​ 
-  link-group CLIENTS access economical 
-  encapsulation dot1q 
-  qos pwfq scheduling physical-port 
-  dot1q pvc on-demand 200 through 300 encapsulation pppoe  
-  bind authentication pap chap context local maximum 3000 
-  dot1q pvc 1100  
-  service clips dhcp context local 
-  dot1q pvc 1101  
-  service clips dhcp context local 
-  dot1q pvc 1102  
-  service clips dhcp context local 
-  dot1q pvc 1103  
-  service clips dhcp context local 
-  maximum-links 3 
-  minimum-links 1 
-  lacp active 
-  ​ 
-  link-group LACP dot1q 
-  dot1q pvc 5 
-  bind interface uplink local 
-  lacp active 
-  ​ 
-  snmp server 
-  snmp view Inet-View internet included 
-  snmp view Inet-View interfaces included 
-  snmp view Inet-View ifMIB included 
-  snmp community xxxxxx view Inet-View 
-  ​ 
-  system clock timezone ua 2 0 local 
-  ​ 
-  http-redirect server 
-  port 80 
-  ​ 
-  port ethernet 1/1  
-  XCRP management port on slot 1 
-  no shutdown 
-  bind interface manag local 
-  ​ 
-  card carrier 2 
-  mic 1 ge-2-port 
-  mic 2 ge-2-port 
-  ​ 
-  port ethernet 2/1  
-  no shutdown 
-  encapsulation dot1q 
-  link-group LACP 
-  ​ 
-  port ethernet 2/2  
-  no shutdown 
-  encapsulation dot1q 
-  link-group LACP 
-  ​ 
-  port ethernet 2/3  
-  no shutdown 
-  encapsulation dot1q 
-  link-group LACP 
-  ​ 
-  port ethernet 2/4  
-  no shutdown 
-  encapsulation dot1q 
-  link-group CLIENTS 
-  ​ 
-  port ethernet 2/15  
-  no shutdown 
-  encapsulation dot1q 
-  link-group CLIENTS 
-  ​ 
-  port ethernet 2/16  
-  no shutdown 
-  encapsulation dot1q 
-  link-group CLIENTS 
-  ​ 
-  ssh server rate-drop 50 
-  ssh server start-drop 5 
-  system hostname XXX 
-  timeout session idle 30 
-  ​ 
-  no service console-break 
-  service crash-dump-dram 
-  no service auto-system-recovery 
-  ​ 
-  pppoe services marked-domains 
-  pppoe service-name accept-all 
-  pppoe tag ac-name RET 
-  pppoe always-send-padt 
-  ​ 
-  end 
-  ​ 
-====Ericsson (Redback) SmartEdge конфигурация PPPOE ==== 
- 
-== ВАЖНО! : не указывайте в редбеке ip-pool , оставьте ето радиусу/​биллингу == 
- 
- 
- 
-  Current configuration:​ 
-  ! 
-  !  Configuration last changed by user '​asm'​ at Fri Jun 27 18:53:36 2014 
-  ! 
-  ! 
-  ! 
-  aaa global authentication subscriber radius context local 
-  aaa global accounting subscriber radius context local  
-  ! 
-  ! 
-  service multiple-contexts 
-  ! 
-  service inter-context routing 
-  ! 
-  ! 
-  ! 
-  software license 
-  subscriber active 8000 encrypted 1 $1$At9INKqN$QbljtsCZ4y/​UzGRnO8Drn/​ 
-  subscriber bandwidth 60 encrypted 1 $1$QVLwZSCv$6ez5Wl9.0NQBpJDSDyOQj. 
-  nat enhanced encrypted 1 $1$IC.7Dv0E$NlMdYJmTqf2Q/​TSzTsNpR1 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  context local 
-  ! 
-  no ip domain-lookup 
-  ! 
-  interface mgmt loopback 
-   ip source-address radius 
-  ! 
-  interface pppoe_net multibind 
-  ip address 172.xx.yy.1/​24 
-  ! 
-  interface uplink 
-  ip address 195.xx.yyy.6/​29 
-  logging console 
-  ! 
-  enable encrypted 1 $1$A6NpddsM$hgYwysvVvU.IxtoVfy.FQ1 
-  ! 
-  aaa authentication administrator local 
-  aaa authentication subscriber radius 
-  aaa accounting subscriber radius 
-  aaa update subscriber 10 
-  radius accounting server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 
-  radius accounting server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 port 1700 
-  radius coa server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 port 1700 
-  ! 
-  administrator asm encrypted 1 $1$wmW/​hLTD$Wz/​tSC9JnaNtIOdQOlxBN/​ 
-   ​privilege max 15 
-  administrator sadman encrypted 1 $1$IrWjzVb/​$5hRXw8ZvWKCSVxdy3CXf01 
-   ​privilege max 15 
-  ! 
-  radius server 91.xxx.yy.4 encrypted-key C15CE5D22B87F4FC5FC9950A5BA84CC1 
-  radius max-retries 5 
-  radius timeout 30 
-  radius attribute nas-ip-address interface uplink 
-  radius algorithm round-robin 
-  radius accounting algorithm first 
-  radius strip-domain 
-  radius attribute nas-port format session-info 
-  radius deadtime 2 
-  radius attribute acct-status-type RFC 
-  ! 
-  subscriber default 
-    ppp mtu 1492 
-   dns primary 8.8.8.8 
-  ! 
-  ip route 0.0.0.0/0 195.xxx.yy.2 
-  service ssh server 
-  no service telnet server 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! ** End Context ** 
-  logging tdm console 
-  logging active 
-  logging standby short 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  ! 
-  port ethernet 1/1 
-  ! XCRP management port on slot 1 
-  no shutdown 
-  ! 
-  card carrier 2 
-  mic 1 ge-2-port 
-  mic 2 ge-2-port 
-  ! 
-  port ethernet 2/1 
-  no shutdown 
-  bind interface uplink local 
-  ! 
-  port ethernet 2/2 
-  no shutdown 
-  encapsulation dot1q 
-  dot1q pvc 4000 encapsulation pppoe 
-  bind authentication chap pap context local maximum 3000 
-  ! 
-  ! 
-  ! 
-  pppoe services marked-domains 
-  pppoe service-name accept-all 
-  pppoe tag ac-name * 
-  pppoe always-send-padt 
-  ! 
-  end 
- 
- 
- 
- 
-====Radius==== 
-В RADIUS нужно добавить словарь ​ 
- 
-**/​usr/​local/​etc/​raddb/​dictionary** 
- 
- 
-  $INCLUDE ​       /​usr/​local/​share/​freeradius/​dictionary.redback 
- 
- 
- 
-====ABillS==== 
- 
- 
- 
-====Настройка сервера доступа==== 
- 
-  # cp Redback.pm /​usr/​abills/​Abills/​mysql 
- 
-файл настройки **config.pl**\\ 
- 
-включение модуля авторизации 
-  $AUTH{redback} = '​Redback';​ 
-  $ACCT{redback} = '​Redback';​ 
- 
-Парамтеры ​ 
-|$conf{REDBACK_IPOE_SWITCH_PORT}=1;​ | Авторизация по коммутатору и  порту. Данные для авторизации берутся из IP (DHCP) ​ сервиса. Если на порту в билинге прописано больше одного клиента система после авторизации по порту производит атворизацию по MAC адресу. Если в билинге прописан только один клиента,​ а на порту пробует авторизироваться несколько устройств система им все выдаёт один и тот же IP адрес |; 
-|$conf{REDBACK_DEFAULT_GUEST_PROFILE}='​NOAUTH';​| Гостевой профайл по умолчанию. Если не указан явно будет использоватся NOAUTH | 
-|$conf{PROFILES}='​WRONG_PASS:​profile_wrong_pass;';​ | Определение разных профайлов для разных ошибок авторизации \\ Параметры:​ \\ \\ **WRONG_PASS** - Неправильный правильный пароль для ​ туннельных соединений (PPPoE) \\ **NEG_DEPOSIT** - Отрицательный баланс на счету ​ \\ **AUTH_ERROR** - Другая ошибка авторизации \\ **NOT_REGISTER** - Учётная запись с такими параметрами ​ не зарегистрирована ​ \\ **NOT_ALLOW_SERVICE** - Использование услугу запрещено ​ \\ **DISABLE** - Пользователь отключен \\ \\ Пример \\ $conf{PROFILES}='​WRONG_PASS:​profile_wrong_pass;​\\ NEG_DEPOSIT:​profile_neg_deposit;​\\ AUTH_ERROR:​profile_other_error;​\\ NOT_REGISTER:​profile_not_register;​\\ NOT_ALLOW_SERVICE:​profile_not_allow_service;​\\ DISABLE:​profile_disable';​ | 
- 
-Параметры передаваемые радиус сервером при атовризации 
-^ Параметр билинга ^ Параметр RADIUS ^ Описание | 
-|$conf{REDBACK_IP_INTERFACE_NAME}='​CLIENTS-IPoE';​ | IP-Interface-Name='​CLIENTS-IPoE';​ |Название IPOE  интерфейса | 
-|$conf{REDBACK_IP_INTERFACES}='​params=value:​result;​ \\ params=value:​result;';​ | объявление дополнительных интерфейсов авторизации на базе Radius пакетов. \\ формат:​ params=value:​result \\ **Пример** \\ Для всех абонентов Vlan22 и интерфейса Ethernet1/​1 ​ выдавать профайл CLIENTS-IPoE_5 \\ $conf{REDBACK_IP_INTERFACES}='​ADSL-Agent-Circuit-Id=Vlan22+Ethernet1/​1:​CLIENTS-IPoE_5'​};​ | 
-|$conf{REDBACK_DHCP_MAX_LEASES}=1;​ | DHCP-Max-Leases=1;​ | максимальное время DHCP  сессии | 
-|$conf{REDBACK_CONTEXT_NAME}='​local';​ | Context-Name='​local';​ | Название контекста ​  | 
-|$conf{REDBACK_SUB_PROFILE_NAME}='​base-unlimited';​| Sub-Profile-Name='​base-unlimited';​ | Название суб профайла | 
- 
- 
-**Выражения для определения параметров Option 82** \\ 
- 
-$conf{REDBACK_O82_EXPR}='​Название опции:​регулярное выражение:​переменные;​...';​ 
- 
- 
-**Пример:​**\\ 
-для коммутаторов Foxgate 
- 
-  Agent-Remote-Id = 0x70726f626e696b2e6c6f63616c 
-  ADSL-Agent-Circuit-Id = "​Vlan202+Ethernet1/​5"​ 
- 
-**config.pl** 
-  $conf{REDBACK_O82_EXPR}='​ADSL-Agent-Circuit-Id:​Vlan(\d+)\+Ethernet\d\/​(\d+):​VLAN,​PORT;​ADSL-Agent-Remote-Id:​0x([a-f0-9]{12}):​MAC';​ 
- 
- 
-====Настройка сервера доступа в билинге ==== 
- **/ Система/​ Сервер доступа/​** 
- 
-^IP: | IP  адрес маршрутизатора ​ | 
-^Название:​| Название | 
-^Тип: | указать тип: RedBack | 
-:​Управление:​ 
-^IP:PORT: | адрес и порт для отправки RADIUS CoA  команд. (По умолчанию 3799) \\ xxx.xxx.xxx.xxx:​3799 | 
-^Пароль:​ | пароль для отправки RADIUS CoA команд ​ | 
- 
- 
-=====Авторизация по MAC коммутатора и порту (IPoE)===== 
-данный режим включается опцией $conf{REDBACK_IPOE_SWITCH_PORT}=1; ​ \\ 
- 
-При авторизации абонента по MAC коммутатора и и порту, нужно: 
- 
-**Создать сервер доступа для коммутатора**\\ 
-  * ''​ / Система/​ Сервера доступа/​ ''​ заполнить поля 
-     * IP    - 
-     * MAC   - 
-     * Тип сервер доступа - dhcp 
- 
-**Завести учётную запись абонента** 
-  * ( ''​ / Клиенты/​ Логины/​ Добавить ''​) 
-  * Создать ему услугу Internet 
-  * Прописать в услуге IP/DHCP параметры: ​ 
-      * сеть абонента 
-      * порт 
-      * коммутатор 
-\\ 
-Если абонент успешно авторизировался ​ в журнале активных сессий появляется об этом запись ''/​ Мониторинг/​ Internet/''​ \\ 
- 
-**Ошибки авторизации**\\ 
-Если при авторизации возникают проблемы проверте журнал подключений:​ ''/​ Отчёт/ Internet/ Ошибка/'' ​ 
- 
- 
-=====Классы трафика===== 
- 
-При использовании больше одного класса трафика название классов нужно указівать начиная с слова **NETS_** +  ID  класса трафика\\ 
- 
-ID  классов трафика можно посмотреть в / Система/​ Internet/ Тарифные планы/ Классы трафика/​\\ 
- 
-При заведении тарификации классов трафика (/ Система/​ Internet/ Тарифные планы/ Интервалы/​) ​ обязательно заполняйте поле **NETS** (Сеть тарификации).\\ 
- 
-**Пример:​**\\ 
-глобальный трафик, ​ скорость 2 мб\\ 
-^ID:  | 0 | 
-^NETS: | Global | 
-{{:​abills:​docs:​nas:​ericsson_smartedge:​ru:​traffic_tariff2.png?​400|}}\\ 
-\\ 
-Локальный трафик, ​ скорость 10 мб\\ 
-^ID:  | 1 | 
-^NETS: | UA-IX |\\ 
-{{:​abills:​docs:​nas:​ericsson_smartedge:​ru:​traffic_tariff1.png?​400|}}\\ 
- 
- 
-=====Дополнительно===== 
- 
-  * [[http://​www.nag.ru/​articles/​article/​19213/​testirovanie-ericsson-smartedge-100.html|Тестирование Ericsson SmartEdge 100]] 
-  * [[http://​shop.nag.ru/​article/​smartedge-install-guide|SmartEdge HowTo]] 
-  * [[ftp://​ftp.qtech.ru/​Ericsson_SmartEdge/​Basic-PTA-howto-revA.pdf|Базовая настройка SmartEdge]] 
-