...
В случае, если клиент устанавливает, конфигурирует и мониторит точки доступа самостоятельно, а оператору передает только трафик клеинтов клиентов в согласованных влан - то оператор не выделяет для них пулы IP адресов. Для мониторинга со стороны ENS такие ТД недоступны1недоступны. Ведется только статистика на основании аккаунтинга, приходящего с BRAS. Для того, чтобы получать статистику по конкретной точке, BRAS должен ее идентифицировать: см. раздел "Идентификация элементов системы".
...
Рассмотрим взаимодействие абонента, точки доступа, BRAS и SoftWLC (рис 1.3.1):. На данном рисунке приведена диаграмма авторизации нового клиента.
| Drawio | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Рис. 1.3.1.
Абонент, подключаясь к точке доступа, высылает DHCP DiscoverBRAS настроен таким образом, что бы пропускать без авторизации трафик DHCP (udp port 67,68) и DNS запросы (udp 53). Это необходимо для того, что бы пользователь мог получить адрес и выполнить HTTP-get (выполнение которого невозможно без возможности отрезолвить IP-адрес сайта, выполнив DNS-запрос).
Клиент, подключаясь к ТД, высылает DHCP-discover, который передается через через L2 сеть доступа оператора (или до ESR client, который выполняет инкапсуляцию пакета в GRE ) и отправляет на ESR / BRAS L3. ESR BRAS L3, выполняет функцию DHCP-relay , и перенаправляет запрос на DHCP сервер, который выдает адрес клиенту на основании данных поля giaddr field. В качестве GW gateway указывается адрес ESR. После получения адреса, клиент отправляет любой IP пакет на маршрутизатор, который в свою очередь создает новую «не авторизованную сессию». Затем ESR запрашивает на SoftWLC параметры канала для данного vlan-интерфейса (шейпера, наименование домена и тд.). Происходит попытка авторизации пользователя ПО МАС адресу (так как пользователь новый – авторизация не проходит).
| Примечание |
|---|
Для возможности идентификации ТД, с которой пришел данный клиент возможно на коммутаторе, к которому подключена ТД в влане клиента настроить добавление option 82. Так же это требует включения на ESR BRAS L3 функции парсинга DHCP-запроса клиентов на наличие в них option 82. В дальнейшем данная информация будет добавляться в radius-трафик по этому клиенту. |
Весь трафик пользователя попадает под действие правил «дефолтного» сервиса, обычно в этом режиме для пользователя заблокирована передача любого трафика кроме DHCP и DNS.
После того как пользователь откроет браузер, на ESR BRAS L3 придет HTTP запрос, в ответ на который будет отправлен HTTP 302 Redirect, с параметрами подключения к порталу. Браузер пользователя перенаправит свой запрос на WEBEltex-portal, Portal и в ответ загрузится стартовая страница для прохождения авторизации. Выбор страницы осуществляется на основании параметра «Bridge-location»,указанному в конфигурации на bridge-интерфейсе ESR. По этому параметру, портал узнает имя страницы и наименование сервисного домена, принадлежащего данному интерфейсу.
Введя номер телефона, пользователь нажмет кнопку «получить пароль». Портал генерирует пароль и создает учетную запись в базе данных с логин/паролем и тарифным планом, с привязкой к сервисному домену. Через Notification GW (NGW) будет осуществлена отправка SMS сообщения с паролем на, указанный пользователем , номер телефона.
Пользовать вводит полученный номер телефона на странице подтверждения WEB портала, который отправляет введенные данные на ESR/BRAS. Маршрутизатор используя полученные PCRF, который в свою очередь вносит эти данные по пользователю в БД и отправляет команду Account-Loggon на ESR BRAS L3. Маршрутизатор, получив эту команду, выполняет повторную попытку авторизовать сессию пользователя, отправив запрос access-request. Т.к. теперь данные по пользователю есть в БД (логин/пароль/сервисный домен, проводит авторизацию пользователя по RADIUS ), - то его сессия проходит успешную авторизацию по radius протоколу на PCRF. В ответ PCRF возвращает список сервисов, которые должны быть назначены пользователю. Далее ESR BRAS L3 запрашивает атрибуты сервисов, которые содержат данные квот по времени/трафику, имя URL фильтров, применяет их для пользовательской сессии. После чего пользователю открывается доступ в сеть Интернет, согласно полученным параметрам подключения.
...
Если клиент отключается от ТД, то по истечении Idle Timeout на ESR BRAS L3 удаляется сессия, отправляется accounting stop на PCRF, для того чтобы зафиксировать время работы клиента и количество переданного/полученного трафика.
При прохождении авторизации на WEB портале, HTTP запросы пользователя проксируются в ESR BRAS L3 , при этом происходит замена Source адреса (USER IP) клиента на адрес ESR BRAS L3 (PROXY IP). Поэтому между ESR BRAS L3 и SoftWLC весь HTTP(S) трафик будет идти с IP адресом ESR BRS L3 а не клиента. Весь остальной трафик будет идти с USER IP адресом.
После прохождения авторизации ЕСли в сервисе, назанченном пользователю после прохождения авториазации есть список URL фильтров - то весь HTTP(S) трафик пользователя проксируются в на ESR BRAS L3, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR BRAS L3 (PROXY IP). Поэтому между ESR и NAT весь HTTP(S) трафик будет идти с IP адресом ESR BRAS L3 а не клиента. Весь остальной трафик будет идти с USER IP адресом. При прохождении через NAT, для трафика пользователя будет устанавливаться «Белый» IP адрес NAT.
Начиная с версии ПО ESR 1.11.2 и SOftWLC 1.18 поддержана работа BRAS в VRF. Главной особенностью использования BRAS в VRF является наличие дополнительного инстанса BRAS в VRF, который имеет свои настройки и возможность прослушивать входящие CoA-запросы для BRAS в VRF в дефолтном VRF. При этом для каждого инстанса BRAS будет использоваться свой выделенный CoA порт.
Сетевая архитектура.
Между ESR-1000 и точками доступа поднимаются SoftGRE-туннели сквозь L3-инфраструктуру оператора. От каждой точки доступа формируется два туннеля: Management-туннель для передачи трафика управления и Data-туннель для передачи абонентского трафика.
...