Возможности
Поддержка авторизации и аккаунтинга
Поддержка нескольких сервисов тарифного плана
Пользовательский портал авторизации и управления акаунтом
Перенаправление должников на портал с уведомлением о израсходованном балансе
Турборежимы. Возможность индивидуального включения, отключения, блокировки
Фильтры негативного депозита с возможностью присвоение отдельного сервиса для пользователей с негативным депозитом
Авторизация на основе данных DHCP сервера для использования в многосегментных сетях когда MAK адрес недоступен для ISG
ISG Авторизация пользователя
При подключении пользователя к интернету - NAS (Cisco ISG) отправляет запрос на авторизацию к RADIUS, если RADIUS не находит идентификатор пользователя (IP или MAC), тогда пользователя перенаправляет на портал. Там он нажимает кнопку Авторизироваться, система через авторизатор ищет его идентификатор, если он не прописан в поле CID, прописывает его туда, и отправляет запрос авторизировать сессию на Cisco ISG. После получения запроса на повторную авторизацию Cisco ISG отправляет повторно запрос на RADIUS с идентификатором пользователя (IP или MAC) и RADIUS авторизирует его. Идентификатор пользователя прописывается в поле CID.
Если используется многосегментная сеть и Cisco ISG не может идентифицировать MAC клиента, а отправляет только IP, то, в таком случае, ABillS может автоматически определять и авторизировать пользователей по MAC адресу исходя из данных DHCP сервера.
После авторизации абонента Cisco ищет параметры сервиса абонента Cisco-Service-Info=«ATP_10_0_15» если данные о сервисе не найдены в кеше системы отправляется запрос на радиус с логинов в виде названия сервиса TP_10_0_15 (User-Name=TP_10_0_15). На данный запрос приходят параметры сервиса абонента.
| Warning |
|---|
Будьте внимательны при изменении параметров скорости в тарифном плане нужно почистить кеш сессий в Cisco, иначе будут присваиваться старые настройки сессий. |
Классы трафика
При необходимости система может вести учёт и разделение трафика на разные классы Internet, UA-IX, город и т д.
Для включения данной возможности оператору следует завести классы трафика в биллинге.
При запросе сервиса для тарифного плана 10 и класса трафика 1 (UA-IX) с пропускной скоростью (640kbit/500kbit) RADIUS отправляет следующие параметры:
| Code Block | ||
|---|---|---|
| ||
Cisco-Service-Info = QU;640000;80000;160000;D;500000;62500;125000;,
cisco-avpair += ip:traffic-class=input access-group name ACL_IN_INTERNET_1 priority 200,
cisco-avpair += ip:traffic-class=output access-group name ACL_OUT_INTERNET_1 priority 200,
cisco-avpair += ip:traffic-class=out default drop,
cisco-avpair += ip:traffic-class=in default drop,
cisco-avpair += subscriber:accounting-list=BH_ACCNT_LIST_1 |
ACL_IN_INTERNET_1 - является аксеслистом с указанными сетями для данного класса трафика и с более низким приоритетом чем в глобального трафика.
BH_ACCNT_LIST_1 - является меткой аккаунтинга.
Авторегистрация абонента
При первом подключении абонента перенаправляет на «Пользовательский портал». Абонент заходит в личный кабинет.
При входе в личный кабинет система идентифицирует сессию абонента отправляет RADIUS CoA на сервер доступа. Если сессии найдена, абоненту предлагается зарегистрировать MAC для дальнейшего пользования услугой Internet, если сессия абонента не найдена - на коммутаторе система предупреждает об этом абонента.
Если сессия найдена абонент нажимает кнопку Активировать аккаунт.
С момента нажатия кнопки активируются сервисы абонента и система предоставляет ему доступ к интернету. Если абонент изменил MAC адрес, ему нужно по-новому пройти процедуру авторегистрации.
ISG Errors
Для более эффективной работы службы поддержки были внедрены следующие коды ошибок возникающих при работе клиента с пользовательским порталом.
| ISG Errors | ||
|---|---|---|
| Код | Ошибка | Решение |
| 911 | Not exist user ID (MAC or IP) on Cisco ISG | Check IP/MAC on Cisco ISG NAS |
| 912 | DHCP Error. Can't find User IP in DHCP server | Check IP in: Monitoring→DHCP DHCP leases file leases2db.pl |
| 913 | Not registred IP Address. Can't find your NAS | Add user IP to NAS IP Pools |
| 914 | Negative Deposit | User have negative deposit and can't use service |
| 915 | Service Disabled | Service is disabled for user by Administrator |
| 916 | Account Disabled | Account is disabled for user by Administrator |
| 917 | Not Active Не активизирована услуга | Услуга не включена |
Ошибки включения сервиса
| Service Activate Errors | ||
|---|---|---|
| 100 | Unknow error | Unknow error |
| 101 | Turbo mode enable Error | Error in TURBO MODE activation process |
| 102 | User activation Error | System can't add user IP/MAC to CID field |
| 103 | IP Discovery mode failed. Unknown error | Can't add user IP to Dhcphosts |
| 104 | IP Discovery mode failed. Dublicate IP/MAC | Some of parameters Exists in Dhcphosts table |
| 106 | No responce from CoA server 'xxx.xxx.xxx.xxx' | Нет определения статуса сессии. Запрос управления CoA не проходит |
| 112 | DHCP $_ERROR MAC: $_NOT_EXIST IP: 'xxx.xxx.xxx.xxx' | Система не может определить MAC адрес абонента. Проверте присутствует ли адрес в журнале /Мониторинг/Dhcp/ |
| 114 | $ERR_IP_ADDRESS_CONFLICT | Конфликт адресов. адрес прописан статически на другом абоненте |
| 118 | $_ERROR: Dublicate | Попытка добавить уже существующий адрес |
| 119 | $_ERROR: DHCP add hosts error | Другая ошибка добавления |
| 120 | $_ERROR: Can't find assign network IP: 'xxx.xxx.xxx.xxx' | Нельзя найти гостевую сеть для определения рабочей сети. Смотрите параметр $conf{DV_IP_DISCOVERY} на предмет присутствия сети |
| 121 | Not active Не активизирован | MAC абонента не активизирован или отличается от активизированного в системе. Нужно переактивизировать MAC абонента |
Настройка Cisco
| Code Block | ||||
|---|---|---|---|---|
| ||||
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ISG-1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$WWW/$4otH.1GYuWkFaQp25MJ.V1
!
aaa new-model
!
!
aaa group server radius ISG-RADIUS
server 10.0.0.1 auth-port 1812 acct-port 1813
!
aaa authentication login default group tacacs+ local
aaa authentication login ISG-AUTH-1 group ISG-RADIUS
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization network ISG-AUTH-1 group ISG-RADIUS
aaa authorization subscriber-service default local group ISG-RADIUS
aaa accounting update periodic 1 jitter maximum 0
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS
!
!
!
!
! coa interface
aaa server radius dynamic-author
client 10.0.0.1
server-key isgcontrol
!
aaa session-id common
clock timezone AZST 5
ip subnet-zero
!
!
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
ip cef
ip domain name mydomain.com
ip ssh version 2
!
!
!
multilink bundle-name authenticated
!
!
archive
log config
hidekeys
username letsac privilege 15 secret 5 $1$jHQz$bkaihoHMi6.Eq4ifYnUgH/
!
redirect server-group REDIRECT_NOPAY
server ip 10.0.0.1 port 80
class-map type traffic match-any CLASS-TO-REDIRECT
match access-group input 197
match access-group output 197
!
class-map type control match-all ISG-IP-UNAUTH
match timer UNAUTH-TIMER
match authen-status unauthenticated
!
policy-map type service LOCAL_L4R
ip access-group 197 in
ip access-group 197 out
1 class type traffic CLASS-TO-REDIRECT
redirect to group REDIRECT_NOPAY
!
!
policy-map type control ISG-CUSTOMERS-POLICY
class type control ISG-IP-UNAUTH event timed-policy-expiry
1 service disconnect
!
class type control always event quota-depleted
1 set-param drop-traffic FALSE
!
class type control always event credit-exhausted
1 service-policy type service name LOCAL_L4R
!
class type control always event session-start
10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
30 service-policy type service name SERVICE_L4R
!
class type control always event session-restart
10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
20 set-timer UNAUTH-TIMER 1
30 service-policy type service name SERVICE_L4R
!
class type control always event account-logon
10 authenticate aaa list ISG-AUTH-1
20 service-policy type service unapply name SERVICE_L4R
!
interface GigabitEthernet0/1.40
description SUBSCRIBERS SUBNET 10.0.0.2/24
encapsulation dot1Q 40
ip dhcp relay information trusted
ip address 10.0.0.2 255.255.255.0
ip helper-address 10.0.0.1
service-policy type control ISG-CUSTOMERS-POLICY
ip subscriber routed
initiator unclassified ip-address
!
logging trap notifications
logging origin-id hostname
logging 10.0.0.1
logging host 10.0.0.1 transport udp port 6032
!Billing
access-list 195 permit ip host 10.0.0.1 any
access-list 195 permit ip any host 10.0.0.1
access-list 195 deny ip any any
! Without billing
access-list 196 deny ip host 10.0.0.1 any
access-list 196 deny ip any host 10.0.0.1
access-list 196 permit ip any any
! Redirect rules
access-list 197 permit tcp any any eq www
access-list 197 permit tcp any eq www any
access-list 197 permit udp any any eq domain
access-list 197 permit udp any eq domain any
access-list 197 deny ip any any
! Acces rule for guest users
access-list 198 permit tcp any any eq www
access-list 198 permit tcp any eq www any
access-list 198 permit udp any any eq domain
access-list 198 permit udp any eq domain any
access-list 198 permit tcp any any eq 9443
access-list 198 permit tcp any eq 9443 any
access-list 198 deny ip any any
!
radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 31 mac format unformatted
radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 key radisg
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
! |
| RADIUS Server | 10.0.0.1 |
|---|---|
| WEB server | 10.0.0.1 |
| DHCP server | 10.0.0.1 |