История страницы

...

Существует два способа идентификации с какой generic AP подключился пользователь WiFi:

1. Идентификация по вланvlan.
2. Идентификация с ипользованием иcпользованием option 82.

Идентификация по

...

vlan

Каждому SSID каждой generic AP выделяется уникальный вланvlan. Схема приведена ниже, на рис. 1.2.1 (для упрощения схемы не показан GRE-туннель управления).

...

Как видно из рис. 1.2.1, generic AP, к которой пользователь WiFi выполняет подключение, можно идентифицировать по вланvlan, в которых его трафик приходит на ESR BRAS.

Преемуществами Преимуществами данной схемы является:

1) простота схемы включения при небольшом числе generic AP;

...

1) плохие возможности масштабирования - для каждой вновь подключаемой generic AP надо выделять новый вланvlan, на рисунке для 2 SSID на трех generic AP потребовалось выделить 6 вланvlan. При большом числе ТД данный способ становиться сложно администрируемым. Так же существует ограничение со стороны комплекса SoftWLC, которое не позволяет использовать более 20 различных вланvlan, пропускаемых внутри GRE-туннеля от одного ESR-client.

...

В данном случае ESR BRAS производит обогащение аккаунтинга пользователей WiFi информацией, получаемой из option82, добавляемой в их DHCP запросы. Предполагается, что для каждого уникального SSID будет выделен один вланvlan, который будет использоваться на всех generic AP. На коммутаторе, к которому подключены generic AP включается функционал добавления option 82 в DHCP-запросы (DHCP snooping). Таким образом, DHCP запросы пользователей WiFi будут содержать в себе option 82 c информацией порт/влан vlan и идентификатор коммутатора, к которому подключена generic AP.  Это позволяет однозначно идентифицировать generic AP и SSID, к которому выполнено подключение. На BRAS включается функционал обогащения radius трафика информацией из option 82, полученной из DHCP-запросов пользователей (функционал поддержан с версии ПО 1.11.2 ESR). Обогащение radius трафика выполняется в формате, определенном в RFC4679. Схема приведена ниже, на рис. 1.2.2.

...

1) простота масштабирования при подключении новых generic AP, т.к. для каждого SSID выделен свой вланvlan, который будет одинаковым для всех вновь подключаемых generic AP.

Недостостатком Недостатком данной схемы выступает:

1) необходимость включения всех generic AP в управляемый коммуторкоммутатор, поддерживающий функционал "DHCP snooping" и настройка соответствующего функционала на нем.

...

BRAS настроен таким образом, что бы пропускать без авторизации трафик DHCP (udp port 67,68) и DNS запросы (udp 53). Это необходимо для того, что бы пользователь мог получить адрес и выполнить DNS и HTTP-запрос (выполнение которого невозможно без возможности отрезолвить IP-адрес сайта, выполнив DNS-запрос).

1. Пользователь WiFi, подключаясь к generic AP, высылает DHCP-discover.
2. В зависимости от выбранного способа идентификации generic AP, к которой подключается пользователь, на коммутаторе, к которому подключена generic AP может быть включено добавление option 82 - информация о порте/вланеvlan/коммутаторе добавляется в DHCP запрос.
3. Далее запрос передается через через L2 сеть доступа до ESR client (в диаграмме не указан, т.к. его роль сводится к организации канала L2 до ESR BRAS L3), который выполняет инкапсуляцию пакета в GRE и отправляет на ESR BRAS L3. ESR BRAS L3,  парсит DHCP-запрос на наличие option 82 (при необходимости), сохраняет в памяти информацию о mac-адресе/option 82 (при наличии) , и , выполняя функцию DHCP-relay, перенаправляет запрос на DHCP сервер, который выдает адрес пользователю WiFi на основании данных поля giaddr field. В качестве gateway указывается адрес ESR. После получения адреса, пользователь WiFi отправляет любой IP пакет на маршрутизатор, который в свою очередь создает новую «не авторизованную сессию». Происходит попытка авторизации пользователя WiFi по МАС адресу (так как пользователь новый – авторизация не проходит).
4. Весь трафик пользователя WiFi попадает под действие правил «дефолтного» сервиса, обычно в этом режиме заблокирована передача любого трафика кроме DHCP и DNS.
5. После того как пользователь WiFi откроет браузер, на ESR BRAS L3 придет HTTP запрос, в ответ на который будет отправлен HTTP 302 Redirect, с параметрами подключения к порталу. Браузер пользователя перенаправит свой запрос на Eltex-Portal и в ответ загрузится стартовая страница для прохождения авторизации. Выбор страницы осуществляется на основании параметра «Bridge-location»,указанному в конфигурации на bridge-интерфейсе ESR. По этому параметрупараметров nas-ip и L2-interface. По этим параметрам, портал узнает имя страницы и наименование сервисного домена, принадлежащего данному интерфейсу.
6. Введя номер телефона, пользователь WiFi нажмет кнопку «получить пароль». Портал генерирует пароль и создает учетную запись в базе данных с логин/паролем и тарифным планом, с привязкой к сервисному домену. Через Notification GW (NGW) будет осуществлена отправка SMS сообщения с паролем на, указанный пользователем номер телефона.
7. Пользовать Пользователь вводит полученный пароль на странице подтверждения портала, который отправляет введенные данные на PCRF, который в свою очередь вносит эти данные по пользователю в БД и отправляет команду Account-Loggon на ESR BRAS L3. Маршрутизатор, получив эту команду, выполняет повторную попытку авторизовать сессию пользователя WiFi, отправив запрос access-request. Т.к. теперь данные по пользователю есть в БД (логин/пароль/сервисный домен), - то его сессия проходит успешную авторизацию по radius протоколу на PCRF. В ответ PCRF возвращает список сервисов, которые должны быть назначены пользователю WiFi. Далее ESR BRAS L3 запрашивает атрибуты сервисов, которые содержат данные квот по времени/трафику, имя URL фильтров, применяет их для пользовательской сессии.  После чего пользователю WiFi открывается доступ в сеть Интернет, согласно полученным параметрам подключения.
8. Для трафика пользователя WiFi может выполняться фильтрация по URL, IP адресам.
9. Периодически ESR отправляет accounting пакеты с данными по статистике для сессии пользователя и назначенному сервису.
10. Если пользователь WiFi отключается от ТД, сессия пользователя удаляется на ESR BRAS L3 по истечению idle-timeout, отправляется accounting stop на PCRF, для того чтобы зафиксировать время работы клиента и количество переданного/полученного трафика.

...

Общая схема включения приведена ниже, на рис 2.1.1. Используются два ESR BRAS L3, работающие в режиме резервирования Active/Standby. Каждый из них подключен к отдельному роутеру маршрутизатору "последней мили" (PE). Каждый ESR BRAS L3 имеет 4 eBGP стыка с соответствующим PE с соответствующим VRF:

...

1. Для каждого VRF на ESR настраивается свой экземпляр BRAS.
2. Каждый экземпляр BRAS использует одни и теже те же настройки взаимодействия с RADIUS-сервером, данное взаимодействие осуществляется из дефолтного VRF.
3. Для каждого инстанса BRAS конфигурируется настраивается отдельная настройка конфигурация das-server в дефолтном VRF, что бы RADIUS-сервер при выполнении CoA-запросов мог различать, к какому экзепляру экземпляру BRAS он обращается.

В качестве RADIUS-сервера, с которым BRAS осуществляет непосредственное взаимодействие, используется сервис Eltex-PCRF комплекса SoftWLC. Eltex-PCRF использует следующие дефолтные порты порты:

...

Все команды конфигурации приведены для версии ПО ESR 1.11.23.

Выполняем настройку ip-адресов, BGP, wirelees-controller.

...

2) backup traffic-processing transparent - данная настройка позволяет пропускать трафик через интерфейсы, на которых включена BRAS-авторизация в случае, если VRRP ESR находится в состоянии BACKUP. Требуется для корректной работы при прохждении прохождении трафика через "перемычку".

...

• subscriber-control peer-address <IP-адрес> - адрес соседнего роутерамаршрутизатора, с которым будет выполняться синхронизация изученных option 82
• dhcp-option-82-include enable - включает изучение option 82 из DHCP-пакетов пользователей WiFi
• dhcp-option-82-include lease-time - время хранения изученной option 82 в секундах, диапазон значений 60-86400, значение по умолчанию 3600. Данный параметр должен совпадать с настройками времени аренды адреса на DHCP-сервере.
• dhcp-option-82-include accept-time - время хранения неподтвержденной option 82 в секундах, диапазон значений 10-3600, значение по умолчанию 60. Опция считается неподтвержденной, если не получен DHCP-ack в ходе получения адреса пользователем.
• dhcp-option-82-include size - размер таблицы изученной option 82, по умолчанию значени равно максимальному количеству сессий BRAS, которые можно поднять на данном типе ESR, максимальное значение - удвоенному значению макисмального значение равно  удвоенному значению максимального количества сессий BRAS, которые можно поднять на данном типе ESR.

...

Создадим object-group, для использования в правилах файрвола. Они будут одинаковые, за исключением адресов BGP-соседей.  Будут приведны приведены object-group network BGPneighbours  с указанием для Alfa или для Beta предназначена настройка.

...

5.2. Описание конфигурации

Выделяем подсеть первчиных первичных адресов для ESR-client 192.168.250.0/24. Можно использовать разные подсети для разных групп ESR-client. Она должна быть проанонсирована на Alfa / Beta через стык с VRF AP.

...

2) Порты gi1/0/2 и gi1/0/5 сконфигурированы из расчета получение трафика с тегом вланvlan, и последующую его инкапсуляцию с этим тегов в GRE пакеты, что позволяет передавать через эти порты трафик с любым тегом вланvlan. Нетегированный трафик будет отброшен.

...

4) На bridge 1 выполнена настройка ip dhcp client ignore router. Данная настройка позволяет не запрашивать в DHCP запросах шлюз по умолчанию. Это требуется для того, что бы адрес управления (bridge 3), получамый получаемый внутри GRE туннеля управления мог получить шлюз по умолчанию. Т.к. в bridge 1 осуществляется получение первичного адреса - то для обеспечения связности с адресами терминации GRE на ESR BRAS L3 и возможности скачивания конфигурации c tftp-сервера используется выдача маршрутной информации с использованием option 121.

...

Открываем Личный кабинет и преходим переходим в раздел "Настройки PCRF" → "BRAS VRF" и нажимаем кнопку "Добавить"(рис. 6.1.4):

Рис. 6.1.4.

Добавляем праметры параметры взаимодействия с BRAS в VRF, ранее определенные в таблице 3.1 и нажимаем кнопку "Сохранить". Обратим внимание, что дефолтные настройки для взаимодействия с BRAS в дефолтном VRF уже заданы.

...

• "Имя" - welcome;
• "Домен" - root;
• "Тип" - white;
• "URL" - добавляем кнопкой строку и в ней указываем "http://<ip адрес хоста с порталом>портала>:8080/eltex_portal/  ".

После чего нажимаем "Save" для сохранения строки и "Сохранить" для сохранения списка.

...

Далее необходимо настроить SSID в соответствии с выбранной схемой идентификации generic AP - по влан vlan или с помощью option 82.

Настройка SSID для идентификации по

...

vlan

Ниже, в таблице 6.3.1, приведна приведена схема идентификации SSID по вланvlan, в соответствии с рис .1.2.1.

...

• "Тип" - Hotspot;
• "Имя" - SSID1;
• "Domain" - r54.root;
• "Bridge, Location" - data10 - должно соответствовать location, настроенному на клиентском бридже ESR;
• "VRF" - оставляем дефолтное значение 1, т.к. трафик данного SSID будет терминироваться в дефолтном VRF.
• "vlan-ID" - 10,12,14 (перечисляем все влан vlan данного SSID, которые указали в таблице 6.3.1);
• "Virtual portal name" - к54 - выбираем портал, который мы ранее настроили.

...

Данный SSID настраивается аналогично, с учетом его вланvlan. Т.к. он будет терминироваться в бридж Вridge ESR, который работает в VRF - необходимо выбрать его в настройках SSID: "VRF" - dpi.

...

При идентификации generic AP, к которой подключается пользователь WiFi, для каждого SSID будет выделен один вланvlan, который будет использоваться на всех generic AP. Ниже, в таблице  6.3.2 приведены соответсвия влансоответствия vlan/SSID в соответсвии соответствии с рисунком 1.2.2.

...

• "Тип" - Hotspot;
• "Имя" - SSID1;
• "Domain" - r54.root;
• "Bridge, Location" - data10 - должно соответствовать location, настроенному на клиентском бридже ESR;
• "Требовать наличие Opt82" - включает проверку наличия option 82 в аккаунтинге пользователя WiFi;
• "vlan-ID" - 10 (влан vlan данного SSID, который указали в таблице 6.3.2);
• "Virtual portal name" - к54 - выбираем портал, который мы ранее настроили.

...

Данный SSID настраивается аналогично, с учетом его вланvlan. Т.к. он будет терминироваться в бридж ESR, который работает в VRF - необходимо выбрать его в настройках SSID: "VRF" - dpi.

...

Выполняем подключение ESR client. Поле получения и применения конфигурации с tftp-сервера (при условии, что для него несуществует не существует привязки инициализации) он появится на вкладке "Инициализация ТД Wi-Fi" (рис. 6.3.11):

...

Затем выбираем ESR-10, нажимаем на него правой кнопкой и выбираем в открывшеся открывшемся меню "Инициализировать" (рис. 6.3.13.):

...

В схеме с идентификацией generic AP по влан vlan на этом настройка комплекса SoftWLC для работы с BRAS закончена, далее надо подключиться в настроенные ранее vlan и убедится в наличии редиректа на портал, возможности пройти авторизацию в демо режиме  и выйти  в сеть Интернет после авторизации. Траблшутинг при подключении клиентов BRAS рассмотрен по ссылке: BRAS. Troubleshooting Guide

...