ABillS
Space shortcuts
Child pages
  • Cisco ISG/BNG
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Возможности

  • Поддержка авторизации и аккаунтинга

  • Поддержка нескольких сервисов тарифного плана

  • Пользовательский портал авторизации и управления акаунтом

  • Перенаправление должников на портал с уведомлением о израсходованном балансе

  • Турборежимы. Возможность индивидуального включения, отключения, блокировки

  • Фильтры негативного депозита с возможностью присвоение отдельного сервиса для пользователей с негативным депозитом

  • Авторизация на основе данных DHCP сервера для использования в многосегментных сетях когда  MAK адрес недоступен для ISG

ISG Авторизация пользователя

При подключении пользователя к интернету - NAS (Cisco ISG) отправляет запрос на авторизацию к RADIUS, если RADIUS не находит идентификатор пользователя (IP или MAC), тогда пользователя перенаправляет на портал. Там он нажимает кнопку Авторизироваться, система через авторизатор ищет его идентификатор, если он не прописан в поле CID, прописывает его туда, и отправляет запрос авторизировать сессию на Cisco ISG. После получения запроса на повторную авторизацию Cisco ISG отправляет повторно запрос на RADIUS с идентификатором пользователя (IP или MAC) и RADIUS авторизирует его. Идентификатор пользователя прописывается в поле CID. 

Если используется многосегментная сеть и Cisco ISG не может идентифицировать MAC клиента, а отправляет только IP, то, в таком случае, ABillS может автоматически определять и авторизировать пользователей по MAC адресу исходя из данных DHCP сервера.

После авторизации абонента Cisco ищет параметры сервиса абонента Cisco-Service-Info=«ATP_10_0_15» если данные о сервисе не найдены в кеше системы отправляется запрос на радиус с логинов в виде названия сервиса TP_10_0_15 (User-Name=TP_10_0_15). На данный запрос приходят параметры сервиса абонента.

Будьте внимательны при изменении параметров скорости в тарифном плане нужно почистить кеш сессий в Cisco, иначе будут присваиваться старые настройки сессий.

Классы трафика

При необходимости система может вести учёт и разделение трафика на разные классы Internet, UA-IX, город и т д.
Для включения данной возможности оператору следует завести классы трафика в биллинге.

При запросе сервиса для тарифного плана 10 и класса трафика 1 (UA-IX) с пропускной скоростью (640kbit/500kbit) RADIUS отправляет следующие параметры:

Cisco-Service-Info = QU;640000;80000;160000;D;500000;62500;125000;,
cisco-avpair += ip:traffic-class=input access-group name ACL_IN_INTERNET_1 priority 200,
cisco-avpair += ip:traffic-class=output access-group name ACL_OUT_INTERNET_1 priority 200,
cisco-avpair += ip:traffic-class=out default drop,
cisco-avpair += ip:traffic-class=in default drop,
cisco-avpair += subscriber:accounting-list=BH_ACCNT_LIST_1

ACL_IN_INTERNET_1 - является аксеслистом с указанными сетями для данного класса трафика и с более низким приоритетом чем в глобального трафика.

BH_ACCNT_LIST_1 - является меткой аккаунтинга.

Авторегистрация абонента

При первом подключении абонента перенаправляет на «Пользовательский портал». Абонент заходит в личный кабинет. 
При входе в личный кабинет система идентифицирует сессию абонента отправляет RADIUS CoA на сервер доступа. Если сессии найдена, абоненту предлагается зарегистрировать MAC для дальнейшего пользования услугой Internet, если сессия абонента не найдена - на коммутаторе система предупреждает об этом абонента. 
Если сессия найдена абонент нажимает кнопку Активировать аккаунт
С момента нажатия кнопки активируются сервисы абонента и система предоставляет ему доступ к интернету. Если абонент изменил MAC адрес, ему нужно по-новому пройти процедуру авторегистрации.

ISG Errors

Для более эффективной работы службы поддержки были внедрены следующие коды ошибок возникающих при работе клиента с пользовательским порталом.

ISG Errors
КодОшибкаРешение
911Not exist user ID (MAC or IP) on Cisco ISGCheck IP/MAC on Cisco ISG NAS
912DHCP Error. Can't find User IP in DHCP serverCheck IP in: 
Monitoring→DHCP
DHCP leases file
leases2db.pl
913Not registred IP Address. Can't find your NASAdd user IP to NAS IP Pools
914Negative DepositUser have negative deposit and can't use service
915Service DisabledService is disabled for user by Administrator
916Account DisabledAccount is disabled for user by Administrator
917Not Active 
Не активизирована услуга		Услуга не включена

Ошибки включения сервиса

Service Activate Errors
100Unknow errorUnknow error
101Turbo mode enable ErrorError in TURBO MODE activation process
102User activation ErrorSystem can't add user IP/MAC to CID field
103IP Discovery mode failed. Unknown errorCan't add user IP to Dhcphosts
104IP Discovery mode failed. Dublicate IP/MACSome of parameters Exists in Dhcphosts table
106No responce from CoA server 'xxx.xxx.xxx.xxx'Нет определения статуса сессии. Запрос управления CoA не проходит
112DHCP $_ERROR MAC: $_NOT_EXIST IP: 'xxx.xxx.xxx.xxx'Система не может определить MAC адрес абонента. Проверте присутствует ли адрес в журнале /Мониторинг/Dhcp/
114$ERR_IP_ADDRESS_CONFLICTКонфликт адресов. адрес прописан статически на другом абоненте
118$_ERROR: DublicateПопытка добавить уже существующий адрес
119$_ERROR: DHCP add hosts errorДругая ошибка добавления
120$_ERROR: Can't find assign network IP: 'xxx.xxx.xxx.xxx'Нельзя найти гостевую сеть для определения рабочей сети. Смотрите параметр $conf{DV_IP_DISCOVERY} на предмет присутствия сети
121Not active
Не активизирован		MAC абонента не активизирован или отличается от активизированного в системе. Нужно переактивизировать MAC абонента

Настройка Cisco

version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ISG-1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$WWW/$4otH.1GYuWkFaQp25MJ.V1
!
aaa new-model
!
!
aaa group server radius ISG-RADIUS
 server 10.0.0.1 auth-port 1812 acct-port 1813
!
aaa authentication login default group tacacs+ local
aaa authentication login ISG-AUTH-1 group ISG-RADIUS
aaa authorization config-commands
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ local
aaa authorization network ISG-AUTH-1 group ISG-RADIUS
aaa authorization subscriber-service default local group ISG-RADIUS
aaa accounting update periodic 1 jitter maximum 0
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network ISG-AUTH-1 start-stop group ISG-RADIUS
!
!
!
!
! coa interface
aaa server radius dynamic-author
 client 10.0.0.1
 server-key isgcontrol
!
aaa session-id common
clock timezone AZST 5
ip subnet-zero
!
!
ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
ip cef
ip domain name mydomain.com
ip ssh version 2
!
!
!
multilink bundle-name authenticated
!
!
archive
 log config
  hidekeys
username letsac privilege 15 secret 5 $1$jHQz$bkaihoHMi6.Eq4ifYnUgH/
!
redirect server-group REDIRECT_NOPAY
   server ip 10.0.0.1 port 80
class-map type traffic match-any CLASS-TO-REDIRECT
 match access-group input 197
 match access-group output 197
!
class-map type control match-all ISG-IP-UNAUTH
 match timer UNAUTH-TIMER
 match authen-status unauthenticated
!
policy-map type service LOCAL_L4R
 ip access-group 197 in
 ip access-group 197 out
 1 class type traffic CLASS-TO-REDIRECT
  redirect to group REDIRECT_NOPAY
 !
!
policy-map type control ISG-CUSTOMERS-POLICY
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !
 class type control always event quota-depleted
  1 set-param drop-traffic FALSE
 !
 class type control always event credit-exhausted
  1 service-policy type service name LOCAL_L4R
 !
 class type control always event session-start
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name SERVICE_L4R
 !
 class type control always event session-restart
  10 authorize aaa list ISG-AUTH-1 password ISG identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name SERVICE_L4R
 !
 class type control always event account-logon
  10 authenticate aaa list ISG-AUTH-1
  20 service-policy type service unapply name SERVICE_L4R
 !

interface GigabitEthernet0/1.40
 description SUBSCRIBERS SUBNET 10.0.0.2/24
 encapsulation dot1Q 40
 ip dhcp relay information trusted
 ip address 10.0.0.2 255.255.255.0
 ip helper-address 10.0.0.1
 service-policy type control ISG-CUSTOMERS-POLICY
 ip subscriber routed
  initiator unclassified ip-address
! 
logging trap notifications
logging origin-id hostname
logging 10.0.0.1
logging host  10.0.0.1 transport udp port 6032
!Billing
access-list 195 permit ip host 10.0.0.1 any
access-list 195 permit ip any host 10.0.0.1
access-list 195 deny   ip any any
! Without billing
access-list 196 deny   ip host 10.0.0.1 any
access-list 196 deny   ip any host 10.0.0.1
access-list 196 permit ip any any
! Redirect rules
access-list 197 permit tcp any any eq www
access-list 197 permit tcp any eq www any
access-list 197 permit udp any any eq domain
access-list 197 permit udp any eq domain any
access-list 197 deny   ip any any
! Acces rule for guest users
access-list 198 permit tcp any any eq www
access-list 198 permit tcp any eq www any
access-list 198 permit udp any any eq domain
access-list 198 permit udp any eq domain any
access-list 198 permit tcp any any eq 9443
access-list 198 permit tcp any eq 9443 any
access-list 198 deny ip any any
!
radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-accounting-req
radius-server attribute 55 include-in-acct-req
radius-server attribute 31 mac format unformatted
radius-server host 10.0.0.1 auth-port 1812 acct-port 1813 key radisg
radius-server vsa send cisco-nas-port
radius-server vsa send accounting
radius-server vsa send authentication
!
RADIUS Server10.0.0.1
WEB server10.0.0.1
DHCP server10.0.0.1


  • No labels