Оглавление |
---|
1. Общее описание работы BRAS.
Функционала BRAS в схеме включения L3 поддерживается сервисными маршрутизаторами Элтекс ESR-100/200/1000/1200/1500/1700. Данный функционал позволяет предоставить возможность идентификации пользователей Wi-Fi, подключающихся к точкам доступа производства различных производителей. В общем виде от BRAS требуются следующие функции:
...
BRAS является исполнительным механизмом, применяющим определенные политики к трафику пользователей WiFi в соответствии с директивами, которые передаются ему от вышестоящей системы SoftWLC, в которой как раз принимаются решения на основании данных, передаваемых BRAS. В составе SoftWLC с BRAS взаимодействуют и пересылают ему директивы по работе с пользователями WiFi модуль Eltex-PCRF.
1.1 Идентификация элементов системы.
Для того, чтобы различать пользователей WiFi между собой, ESR BRAS требуется идентификатор, который однозначно его идентифицирует. Этим идентификатором является MAC-адрес устройства пользователя WiFi, с которого он выполняет подключение. Поэтому необходимо, чтобы на BRAS попадал трафик, с MAC-заголовками пользовательского устройства. Для этого необходимо обеспечить между пользователем WiFi и BRAS L2-сеть, или пробросить трафик пользователей WiFi до BRAS внутри VPN через L3-инфраструктуру оператора. Для организации такого VPN в сети клиента устанавливается маршрутизатор ESR-10/20/100/200, который поднимает GRE-туннели до ESR-100/200/1000/1200/1500/1700, работающих в режиме Wireless-Controller (подробнее о данном режиме можно прочитать в Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3) и Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили"). Точки доступа Eltex так же могут строить GRE-туннели, что делает возможным их подключение к BRAS через L3-инфраструктуру оператора без дополнительной установки ESR-10/20/100/200. Ниже, на рис. 1.1.1 приведена принципиальная схема включения:
...
Тип ESR | ESR BRAS L3 | ESR Client |
---|---|---|
ESR-10 | - | + |
ESR-20 | - | + |
ESR-100 | + | + |
ESR-200 | + | + |
ESR-1000 | + | -+ |
ESR-1200 | + | -+ |
ESR-1500 | + | -+ |
ESR-1700 | + | -+ |
Таблица 1.1.1.
Так же далее будет применяться терминология:
- Оператор связи, оказывающий услуги авторизации WiFi и доступа в сеть Интернет: "Оператор"или "ISP".
- Заказчик услуги, которому требуется авторизация WiFi, с которым оператор связи заключает договор - "Клиент".
- ТД сторонних производителей: "Generic AP".
- Клиент, подключающийся к WiFi с помощью различных устройств: "Пользователь WiFi" или "Пользователь".
- Схема включения generic AP через инфраструктуру L3 оператора с использованием ESR Client для инкапсуляции трафика клиента в GRE: "Интероперабельность", или сокращено "Interop".
1.2. Идентификация generic AP, к которым подключаются пользователи WiFi
Помимо авторизации пользователей WiFi на BRAS, необходимо также понимать, к какому SSID и к какой generic AP они подключаются. Для этого необходимо идентифицировать эти объекты.
Существует два способа идентификации с какой generic AP подключился пользователь WiFi:
- Идентификация по вланvlan.
- Идентификация с ипользованием иcпользованием option 82.
Идентификация по
...
vlan
Каждому SSID каждой generic AP выделяется уникальный вланvlan. Схема приведена ниже, на рис. 1.2.1 (для упрощения схемы не показан GRE-туннель управления).
...
Как видно из рис. 1.2.1, generic AP, к которой пользователь WiFi выполняет подключение, можно идентифицировать по вланvlan, в которых его трафик приходит на ESR BRAS.
Преемуществами Преимуществами данной схемы является:
1) простота схемы включения при небольшом числе generic AP;
...
1) плохие возможности масштабирования - для каждой вновь подключаемой generic AP надо выделять новый вланvlan, на рисунке для 2 SSID на трех generic AP потребовалось выделить 6 вланvlan. При большом числе ТД данный способ становиться сложно администрируемым. Так же существует ограничение со стороны комплекса SoftWLC, которое не позволяет использовать более 20 различных вланvlan, пропускаемых внутри GRE-туннеля от одного ESR-client.
Якорь | ||||
---|---|---|---|---|
|
В данном случае ESR BRAS производит обогащение аккаунтинга пользователей WiFi информацией, получаемой из option82, добавляемой в их DHCP запросы. Предполагается, что для каждого уникального SSID будет выделен один вланvlan, который будет использоваться на всех generic AP. На коммутаторе, к которому подключены generic AP включается функционал добавления option 82 в DHCP-запросы (DHCP snooping). Таким образом, DHCP запросы пользователей WiFi будут содержать в себе option 82 c информацией порт/влан vlan и идентификатор коммутатора, к которому подключена generic AP. Это позволяет однозначно идентифицировать generic AP и SSID, к которому выполнено подключение. На BRAS включается функционал обогащения radius трафика информацией из option 82, полученной из DHCP-запросов пользователей (функционал поддержан с версии ПО 1.11.2 ESR). Обогащение radius трафика выполняется в формате, определенном в RFC4679. Схема приведена ниже, на рис. 1.2.2.
...
1) простота масштабирования при подключении новых generic AP, т.к. для каждого SSID выделен свой вланvlan, который будет одинаковым для всех вновь подключаемых generic AP.
Недостостатком Недостатком данной схемы выступает:
1) необходимость включения всех generic AP в управляемый коммуторкоммутатор, поддерживающий функционал "DHCP snooping" и настройка соответствующего функционала на нем.
1.3 Взаимодействие элементов системы
Рассмотрим взаимодействие пользователя WiFi, genericAP, BRAS и SoftWLC (рис 1.3.1). На данном рисунке приведена диаграмма авторизации нового пользователя WiFi.
...
BRAS настроен таким образом, что бы пропускать без авторизации трафик DHCP (udp port 67,68) и DNS запросы (udp 53). Это необходимо для того, что бы пользователь мог получить адрес и выполнить DNS и HTTP-запрос (выполнение которого невозможно без возможности отрезолвить IP-адрес сайта, выполнив DNS-запрос).
- Пользователь WiFi, подключаясь к generic AP, высылает DHCP-discover.
- В зависимости от выбранного способа идентификации generic AP, к которой подключается пользователь, на коммутаторе, к которому подключена generic AP может быть включено добавление option 82 - информация о порте/вланеvlan/коммутаторе добавляется в DHCP запрос.
- Далее запрос передается через через L2 сеть доступа до ESR client (в диаграмме не указан, т.к. его роль сводится к организации канала L2 до ESR BRAS L3), который выполняет инкапсуляцию пакета в GRE и отправляет на ESR BRAS L3. ESR BRAS L3, парсит DHCP-запрос на наличие option 82 (при необходимости), сохраняет в памяти информацию о mac-адресе/option 82 (при наличии) , и , выполняя функцию DHCP-relay, перенаправляет запрос на DHCP сервер, который выдает адрес пользователю WiFi на основании данных поля giaddr field. В качестве gateway указывается адрес ESR. После получения адреса, пользователь WiFi отправляет любой IP пакет на маршрутизатор, который в свою очередь создает новую «не авторизованную сессию». Происходит попытка авторизации пользователя WiFi по МАС адресу (так как пользователь новый – авторизация не проходит).
- Весь трафик пользователя WiFi попадает под действие правил «дефолтного» сервиса, обычно в этом режиме заблокирована передача любого трафика кроме DHCP и DNS.
- После того как пользователь WiFi откроет браузер, на ESR BRAS L3 придет HTTP запрос, в ответ на который будет отправлен HTTP 302 Redirect, с параметрами подключения к порталу. Браузер пользователя перенаправит свой запрос на Eltex-Portal и в ответ загрузится стартовая страница для прохождения авторизации. Выбор страницы осуществляется на основании параметра «Bridge-location»,указанному в конфигурации на bridge-интерфейсе ESR. По этому параметрупараметров nas-ip и L2-interface. По этим параметрам, портал узнает имя страницы и наименование сервисного домена, принадлежащего данному интерфейсу.
- Введя номер телефона, пользователь WiFi нажмет кнопку «получить пароль». Портал генерирует пароль и создает учетную запись в базе данных с логин/паролем и тарифным планом, с привязкой к сервисному домену. Через Notification GW (NGW) будет осуществлена отправка SMS сообщения с паролем на, указанный пользователем номер телефона.
- Пользовать Пользователь вводит полученный пароль на странице подтверждения портала, который отправляет введенные данные на PCRF, который в свою очередь вносит эти данные по пользователю в БД и отправляет команду Account-Loggon на ESR BRAS L3. Маршрутизатор, получив эту команду, выполняет повторную попытку авторизовать сессию пользователя WiFi, отправив запрос access-request. Т.к. теперь данные по пользователю есть в БД (логин/пароль/сервисный домен), - то его сессия проходит успешную авторизацию по radius протоколу на PCRF. В ответ PCRF возвращает список сервисов, которые должны быть назначены пользователю WiFi. Далее ESR BRAS L3 запрашивает атрибуты сервисов, которые содержат данные квот по времени/трафику, имя URL фильтров, применяет их для пользовательской сессии. После чего пользователю WiFi открывается доступ в сеть Интернет, согласно полученным параметрам подключения.
- Для трафика пользователя WiFi может выполняться фильтрация по URL, IP адресам.
- Периодически ESR отправляет accounting пакеты с данными по статистике для сессии пользователя и назначенному сервису.
- Если пользователь WiFi отключается от ТД, сессия пользователя удаляется на ESR BRAS L3 по истечению idle-timeout, отправляется accounting stop на PCRF, для того чтобы зафиксировать время работы клиента и количество переданного/полученного трафика.
...
Начиная с версии ПО ESR 1.11.2 и SOftWLC 1.18 поддержана работа BRAS в VRF. Главной особенностью использования BRAS в VRF является наличие дополнительного инстанса BRAS в VRF, который имеет свои настройки и возможность прослушивать входящие CoA-запросы для BRAS в VRF в дефолтном VRF. При этом для каждого инстанса BRAS будет использоваться свой выделенный CoA порт.
2. Сетевая архитектура
2.1 Общее описание
Общая схема включения приведена ниже, на рис 2.1.1. Используются два ESR BRAS L3, работающие в режиме резервирования Active/Standby. Каждый из них подключен к отдельному роутеру маршрутизатору "последней мили" (PE). Каждый ESR BRAS L3 имеет 4 eBGP стыка с соответствующим PE с соответствующим VRF:
- VRF Backbone - используется для управления и взаимодействия между компонентами системы;
- VRF AP - используется для подключения ESR Client, в нем идет передача GRE-трафика до ESR BRAS L3;
- VRF NAT - предназначен для выхода трафика пользователей WiFi с сеть Интернет, из этого VRF приходит дефолтный маршрут;
- VRF DPI - предназначен для обеспечения стыка с недефолтным VRF ESR BRAS L3. Это позволяет получит дефолтный маршрут через роутер отличный от используемого для выхода в VRF NAT и направить трафик gjkmpjdftntktq пользователей другим маршрутом через оборудование DPI.
...
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Рис. 2.1.1.
2.2 Схема включения ESR BRAS L3 и план адресации
Рассмотрим схему включения ESR на примере, на рис. 2.2.1:
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Рис. 2.2.1.
Примечаниеinfo | ||
---|---|---|
| ||
В дальнейшем в документации для ESR BRAS L3 VRRP MASTER будет использоваться имя "Alfa", для ESR BRAS L3 VRRP BACKUP - "Beta". |
...
AS 64603 | VRF | Alfa | Beta | |||
назначение | интерфейс / вланvlan | IP адрес | VRRP IP | интерфейс / влан vlan | IP адрес | |
---|---|---|---|---|---|---|
стык с VRF AP (eBGP) | default | gi1/0/1.206 | 100.64.0.34/30 | n/a | gi1/0/1.207 | 100.64.0.38/30 |
стык с VRF backbone (eBGP) | default | gi1/0/1.208 | 100.64.0.42/30 | n/a | gi1/0/1.209 | 100.64.0.46/30 |
стык с VRF NAT (eBGP) | default | gi1/0/1.210 | 100.64.0.50/30 | n/a | gi1/0/1.211 | 100.64.0.54/30 |
внутренний стык с VRF DPI | default | lt 1 | 10.200.200.1/30 | n/a | lt 1 | 10.200.200.5/30 |
терминация GRE трафика от ESR-client | default | bridge 1 / 101 | 192.168.200.51/28 | 192.168.200.49/32 192.168.200.50/32 | bridge 1 / 101 | 192.168.200.52/28 |
терминация подсети управления ESR-client | default | bridge 3 / 3 | 198.18.128.2/21 | 198.18.128.1/32 | bridge 3 / 3 | 198.18.128.3/21 |
стыковой адрес с соседним ESR (iBGP) | default | bridge 9 / 9 | 100.64.0.57/30 | n/a | bridge 9 / 9 | 100.64.0.58/30 |
терминация подсети пользователей WiFi в дефолтном VRF | default | bridge 10 / 10 | 198.18.192.2/19 | 198.18.192.1/32 | bridge 10 / 10 | 198.18.192.3/19 |
стык с VRF DPI (eBGP в VRF dpi) | dpi | lt 2 | 10.200.200.2/30 | n/a | lt 2 | 10.200.200.6/30 |
внутренний стык с дефолтным VRF | dpi | gi1/0/1.214 | 100.64.0.74/30 | n/a | gi1/0/1.215 | 100.64.0.78/30 |
терминация подсети пользователей WiFi в отдельном VRF (dpi) | dpi | bridge 12 / 12 | 198.19.0.2/19 | 198.19.0.1/32 | bridge 12 / 12 | 198.19.0.3/19 |
стыковой адрес c соседним ESR (iBGP в VRF dpi) | dpi | bridge 92 / 92 | 100.64.0.97/30 | n/a | bridge 92 / 92 | 100.64.0.98/30 |
...
5. Получение адреса по DHCP и редирект на портал для пользователей WiFi VRF dpi осуществляется через стык с VRF backbone в дефолтном VRF. Для обеспечения IP-связности между VRF используются lt-туннели, через которые осуществляется маршрутизация данного трафика.
3. Особенности настройки BRAS в VRF
Настройка BRAS в VRF имеет следующие особенности:
- Для каждого VRF на ESR настраивается свой экземпляр BRAS.
- Каждый экземпляр BRAS использует одни и теже те же настройки взаимодействия с RADIUS-сервером, данное взаимодействие осуществляется из дефолтного VRF.
- Для каждого инстанса BRAS конфигурируется настраивается отдельная настройка конфигурация das-server в дефолтном VRF, что бы RADIUS-сервер при выполнении CoA-запросов мог различать, к какому экзепляру экземпляру BRAS он обращается.
В качестве RADIUS-сервера, с которым BRAS осуществляет непосредственное взаимодействие, используется сервис Eltex-PCRF комплекса SoftWLC. Eltex-PCRF использует следующие дефолтные порты порты:
...
Информация | ||
---|---|---|
| ||
Каждый экземпляр BRAS на ESR может использовать различные настройки для обращения к radius-серверу и и настройки das-server для обработки CoA-запросов. Так же данные настройки могут быть выполнены в различных VRF отличных от того, в которых сконфигурированы экземпляры BRAS. Но данный подход существенно усложняет настройку как ESR, так и взаимодействие с комплексом SoftWLC, поэтому его использование не рекомендуется. |
4. Настройка ESR BRAS L3.
4.1. Общие настройки ESR BRAS L3.
Для возможности настройки ESR BRAS в схеме L3 необходима лицензия BRAS-WiFi. Проверяем и устанавливаем её на ESR(для получения лицензии необходимо обратится в коммерческий отдел предприятия Элтекс).
...
Все команды конфигурации приведены для версии ПО ESR 1.11.23.
Выполняем настройку ip-адресов, BGP, wirelees-controller.
Примечание | ||
---|---|---|
| ||
Если Вы впервые выполняете данную настройку - рекомендуется при первоначальной настройке отключить файрвол (ip firewall disable) на всех ip-интерфейсах для упрощения траблшутинга и решения проблем, возникающих в ходе настройки. |
...
Раскрыть | ||
---|---|---|
| ||
|
...
Раскрыть | ||
---|---|---|
| ||
|
4.2. Настройка BRAS на ESR
Детально настройка BRAS описана в документе BRAS. L2 WiFi - руководство по настройке и быстрому запуску, поэтому ниже будет приведена конфигурация с необходимыми пояснениями для новых настроек.
...
2) backup traffic-processing transparent - данная настройка позволяет пропускать трафик через интерфейсы, на которых включена BRAS-авторизация в случае, если VRRP ESR находится в состоянии BACKUP. Требуется для корректной работы при прохждении прохождении трафика через "перемычку".
4.3. Настройка BRAS в недефолтном VRF
Для работы в недефолтном VRF настраивается дополнительный экземпляр BRAS, для работы в этом VRF командой: "subscriber-control vrf <имя VRF>". В результате на каждом ESR будет настроено два экземпляра BRAS.
...
Обратим внимание, настройки экземпляра BRAS в VRF отличаются только использованием другой настройки aaa das-profile - указан профиль, который был настроен для взаимодействия с BRAS в VRF.
Примечание | ||
---|---|---|
| ||
Т.к. BRAS при редиректе на портал или включении URL-фильтрации проксирует обращение пользователя - то при работе BRAS в VRF в качестве адреса-источника будет использован ближайший по маршруту адрес в рамках VRF, в котором работает BRAS. Для текущей конфигурации, при редиректе на портал, это будет адрес туннеля lt 2, который связывает VRF dpi с дефолтным VRF. |
4.3. Настройка изучения option 82
При использовании option 82 для идентификации genericp AP, с которой подключаются пользователи WiFi для каждого экземпляра BRAS выполним настройку данного функционала.
...
- subscriber-control peer-address <IP-адрес> - адрес соседнего роутерамаршрутизатора, с которым будет выполняться синхронизация изученных option 82
- dhcp-option-82-include enable - включает изучение option 82 из DHCP-пакетов пользователей WiFi
- dhcp-option-82-include lease-time - время хранения изученной option 82 в секундах, диапазон значений 60-86400, значение по умолчанию 3600. Данный параметр должен совпадать с настройками времени аренды адреса на DHCP-сервере.
- dhcp-option-82-include accept-time - время хранения неподтвержденной option 82 в секундах, диапазон значений 10-3600, значение по умолчанию 60. Опция считается неподтвержденной, если не получен DHCP-ack в ходе получения адреса пользователем.
- dhcp-option-82-include size - размер таблицы изученной option 82, по умолчанию значени равно максимальному количеству сессий BRAS, которые можно поднять на данном типе ESR, максимальное значение - удвоенному значению макисмального значение равно удвоенному значению максимального количества сессий BRAS, которые можно поднять на данном типе ESR.
4.4. Настройка файрвол на ESR
При использовании нескольких VRF на ESR, каждый VRF c т. з. настройки файрвола рассматривается как отдельное устройство. Это требует, что бы для каждой security-zone был указана VRF, к которой она принадлежит. Использование в правилах файрвол связки зон из разных VRF не допускается. Настройки object-group не привязываются к VRF и могут использоваться в настройках файрвола для любого VRF. Настройки файрвола идентичны для ESR Alfa/Beta, за исключением адресов BGP-соседей.
...
Раскрыть | ||
---|---|---|
| ||
|
Создадим object-group, для использования в правилах файрвола. Они будут одинаковые, за исключением адресов BGP-соседей. Будут приведны приведены object-group network BGPneighbours cross с указанием для Alfa или для Beta предназначена настройка.
Раскрыть | ||
---|---|---|
| ||
|
...
Раскрыть | ||
---|---|---|
| ||
|
...
Раскрыть | ||
---|---|---|
| ||
|
5. Настройка ESR client
5.1. Общее описание
ESR client представляет собой устройство, устанавливаемое у клиента, главной задачей которого является инкапсуляция трафика от ТД клиента в GRE в соответствующих VLAN и передача его на ESR BRAS L3 используя транспортную сеть провайдера. Ниже, на риc. 5.1.1 приведена схема включения ESR client.
...
ESR поставляется с предустановленной при выпуске factory конфигурацией. Для построения GRE-туннелей требуется выполнить конфигурирование устройства. Выполнять конфигурирование предварительно при подключении каждого нового клиента является трудоемкой задачей. Поэтому предполагается сформировать универсальную конфигурацию, разместить её на tftp-сервер и с помощью DHCP выдать информацию для её загрузки при получении первичного адреса при подключении ESR client. Это позволит автоматически загрузить и применить нужную конфигурацию на ESR client при подключении и при необходимости легко внести в нее изменения и распространить на все ESR client.
5.2. Описание конфигурации
Выделяем подсеть первчиных первичных адресов для ESR-client 192.168.250.0/24. Можно использовать разные подсети для разных групп ESR-client. Она должна быть проанонсирована на Alfa / Beta через стык с VRF AP.
...
2) Порты gi1/0/2 и gi1/0/5 сконфигурированы из расчета получение трафика с тегом вланvlan, и последующую его инкапсуляцию с этим тегов в GRE пакеты, что позволяет передавать через эти порты трафик с любым тегом вланvlan. Нетегированный трафик будет отброшен.
3) Порты gi1/0/3 и gi1/0/4 сконфигурированы из расчета получения трафика без тега вланvlan, он будет назначен в зависимости от конфигурации порта, для gi1/0/3 - 10, для gi1/0/4 - 11. Это позволит выполнить тегирование трафика клиента и передачу его с тегом влан внутри vlan внутри GRE пакетов, если клиент отдает нетегированный трафик. Тегированный трафки будет отброшен.
4) На bridge 1 выполнена настройка ip dhcp client ignore router. Данная настройка позволяет не запрашивать в DHCP запросах шлюз по умолчанию. Это требуется для того, что бы адрес управления (bridge 3), получамый получаемый внутри GRE туннеля управления мог получить шлюз по умолчанию. Т.к. в bridge 1 осуществляется получение первичного адреса - то для обеспечения связности с адресами терминации GRE на ESR BRAS L3 и возможности скачивания конфигурации c tftp-сервера используется выдача маршрутной информации с использованием option 121.
...
Конфигурация может различаться в части адресов object-group, для разных подсетей первичных адресов, т.к. подключение ESR client может выполняться к различным ESR BRAS L3.
6. Настройка взаимодействия с SoftWLC
Настройки комплекса SoftWLC можно разделить на глобальные, которые выполняются один раз или при добавлении каждого нового ESR BRAS; универсальные - они могут как конфигурироваться под отдельного заказчика услуги авторизации, так и использоваться в настройках нескольких или всех ; и индивидуальные, которые как правило конфигурируются при подключении каждого нового клиента.
6.1. Глобальные настройки
Глобальные настройки можно разделить на несколько этапов:
...
Первые четыре пунктов выполняются один раз при первичном развертывании и настройке, пятый - при добавлении каждого нового ESR BRAS.
Портал
Необходимо включить флаг «Взаимодействие с BRAS» рис 6.1.1).
...
указываем IP-адрес PCRF вместо localhost.
Личный кабинет
Открываем Личный кабинет и преходим переходим в раздел "Настройки PCRF" → "BRAS VRF" и нажимаем кнопку "Добавить"(рис. 6.1.4):
Рис. 6.1.4.
Добавляем праметры параметры взаимодействия с BRAS в VRF, ранее определенные в таблице 3.1 и нажимаем кнопку "Сохранить". Обратим внимание, что дефолтные настройки для взаимодействия с BRAS в дефолтном VRF уже заданы.
...
- "Имя" - welcome;
- "Домен" - root;
- "Тип" - white;
- "URL" - добавляем кнопкой строку и в ней указываем "http://<ip адрес хоста с порталом>портала>:8080/eltex_portal/ ".
После чего нажимаем "Save" для сохранения строки и "Сохранить" для сохранения списка.
...
Нажимаем кнопку "Сохранить". Данный сервис является служебным, необходим для корректной работы страницы "Добро пожаловать" и его нельзя использоваться в настройках тарифов.
EMS
Открываем EMS, создаем домен r54 (принципы настройки доменов и узлов в данном документе не рассматриваются), выбираем нужный узел и добавляем (нажатием кнопки ) ESR в дерево объектов (рис. 6.1.10):
...
- "Файловый протокол" - FTP;
- "Read community / User v3" - public11;
- "Write community / Password v3" - private1;
- "Получение статуса VRRP" - ставим галочку;
- "BRAS сервис" - ставим галочку.
Примечание |
---|
При добавлении ESR-100/200 значение поля "Режим ESR" будет "StationCE". В этом случае необходимо изменить значение поля на "Station", в противном случае такой ESR не будет использоваться для построения дата-туннелей для ТД. |
Остальные настройки сохраняем без изменений и нажимаем кнопку "Принять".
...
Аналогичным образом добавляем второй ESR (Beta), его адрес управления будет 198.18.128.3.
6.2. Универсальные настройки
К универсальным настройкам относятся настройки тарифа клиента. Как правило если требуется предоставление стандартной услуги доступа в сеть Интернет можно использовать для всех клиентов один и то же тариф. Но при необходимости можно настроить тариф индивидуально для отдельного заказчика.
...
- "Наименование" - internet (можно любое, английскими буквами, цифрами и символом "_");
- "Код тарифа" - internet (можно любое, английскими буквами, цифрами и символом "_");
- "Домен" - root;
- "Время жизни сессии" - 12 часов. Это максимальное время жизни сессии пользователя , если он все время остается активен. Спустя это время его сессия будет закрыта на BRAS и создана новая, новая сессия пройдет mac авторизацию прозрачно для клиента;
- "Время жизни сессии при бездействии пользователя" - 15 мин;
- "Сервисы" - выбираем ранее настроенный сервис "INTERNET".
Предупреждение | ||
---|---|---|
| ||
Внимание! Сервис "WELCOME" не выбираем! Если он так же будет отмечен - это приведет к некорректной работе BRAS после авторизации пользователя и назначения ему данного тарифа. |
Нажимаем кнопку "Cохранить".
6.3. Индивидуальные настройки, выполняемые для каждого клиента
К индивидуальным настройкам относятся настройка портала, настройка и привязка SSID, и инициализация ESR client. Портал можно использовать один для нескольких клиентов, но это редко практикуется. Настройка SSID как правило уникальна для каждой географической локации подключения. В рамках одного клиента обычно используется один и тот же портал в различных SSID или географических локациях подключения. В общем порядок настройки для каждого нового клиента выглядит следующим образом:
...
3) установка у клиента ESR client, подключения к нему generic AP и инициализация его в дереве объектов.
Портал
Открываем конструктор порталов http://<ip адрес портала>:8080/epadmin и нажимаем , после чего в открывшемся окне (рис .6.3.1):
...
На этом настройка портала закончена. В текущем документе предполагается, что для при авторизации клиента будет использоваться демо-режим. Подробнее о настройках взаимодействия с SMS-шлюзами, call центрами и серверами электронной почты можно ознакомиться в разделе документации SoftWLC Notification GW текущей вресии.
EMS
Далее необходимо настроить SSID в соответствии с выбранной схемой идентификации generic AP - по влан vlan или с помощью option 82.
Настройка SSID для идентификации по
...
vlan
Ниже, в таблице 6.3.1, приведна приведена схема идентификации SSID по вланvlan, в соответствии с рис .1.2.1.
generic AP | имя SSID | вланvlan |
---|---|---|
generic AP 1 | SSID1 | 10 |
generic AP 1 | SSID2 | 11 |
generic AP 2 | SSID1 | 12 |
generic AP 2 | SSID2 | 13 |
generic AP 3 | SSID1 | 14 |
generic AP 4 | SSID2 | 15 |
...
- "Тип" - Hotspot;
- "Имя" - SSID1;
- "Domain" - r54.root;
- "Bridge, Location" - data10 - должно соответствовать location, настроенному на клиентском бридже ESR;
- "VRF" - оставляем дефолтное значение 1, т.к. трафик данного SSID будет терминироваться в дефолтном VRF.
- "vlan-ID" - 10,12,14 (перечисляем все влан vlan данного SSID, которые указали в таблице 6.3.1);
- "Virtual portal name" - к54 - выбираем портал, который мы ранее настроили.
...
Данный SSID настраивается аналогично, с учетом его вланvlan. Т.к. он будет терминироваться в бридж Вridge ESR, который работает в VRF - необходимо выбрать его в настройках SSID: "VRF" - dpi.
Настройка SSID для идентификации по option 82
При идентификации generic AP, к которой подключается пользователь WiFi, для каждого SSID будет выделен один вланvlan, который будет использоваться на всех generic AP. Ниже, в таблице 6.3.2 приведены соответсвия влансоответствия vlan/SSID в соответсвии соответствии с рисунком 1.2.2.
generic AP | имя SSID | вланvlan |
---|---|---|
generic AP 1, 2, 3 | SSID1 | 10 |
generic AP 1, 2, 3 | SSID2 | 11 |
...
- "Тип" - Hotspot;
- "Имя" - SSID1;
- "Domain" - r54.root;
- "Bridge, Location" - data10 - должно соответствовать location, настроенному на клиентском бридже ESR;
- "Требовать наличие Opt82" - включает проверку наличия option 82 в аккаунтинге пользователя WiFi;
- "vlan-ID" - 10 (влан vlan данного SSID, который указали в таблице 6.3.2);
- "Virtual portal name" - к54 - выбираем портал, который мы ранее настроили.
...
Данный SSID настраивается аналогично, с учетом его вланvlan. Т.к. он будет терминироваться в бридж ESR, который работает в VRF - необходимо выбрать его в настройках SSID: "VRF" - dpi.
Примечание | ||
---|---|---|
| ||
Если в настройках SSID включена галочка "Требовать наличие opt82" - пользователям WiFi, у которых в DHCP-запросах не содержиться содержится option 82, авторизация будет запрещена. |
...
Выполняем подключение ESR client. Поле получения и применения конфигурации с tftp-сервера (при условии, что для него несуществует не существует привязки инициализации) он появится на вкладке "Инициализация ТД Wi-Fi" (рис. 6.3.11):
...
Затем выбираем ESR-10, нажимаем на него правой кнопкой и выбираем в открывшеся открывшемся меню "Инициализировать" (рис. 6.3.13.):
...
В схеме с идентификацией generic AP по влан vlan на этом настройка комплекса SoftWLC для работы с BRAS закончена, далее надо подключиться в настроенные ранее vlan и убедится в наличии редиректа на портал, возможности пройти авторизацию в демо режиме и выйти в сеть Интернет после авторизации. Траблшутинг при подключении клиентов BRAS рассмотрен по ссылке: BRAS. Troubleshooting Guide
Для корректной работы идентификации generic AP с использованием option 82 требуется выполнить их инициализацию. Необходимые настройки для этого рассмотрены далее.
7. Настройки инициализация generic AP при использовании идентификации по option 82
7.1. Общее описание реализации
Идентификация generic AP, с которых выполняют подключение пользователи WiFi требует их присутсвия присутствия в системе для корректной работы СОРМ. Каждой generic AP будет соответствовать уникальная option 82, которая будет назначаться на порту коммутатора, к которому она подключена.
Ниже, на рис. 7.1.1. представлена общая схема взаимодействия компонетов компонентов системы:
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
...
- По мере подключения пользователей WiFi к BRAS, он будет отправлять аккаунтинг PCRF, содержащий информацию об option 82.
- PCRF будет обрабатывать и накапливать данную информацию, переодически периодически отгружая её в EMS
- EMS, в зависимости от наличия привязки инициализации для таких ТД, будет либо выполнять их инициализацию и помещать в соответствующий узел, либо накапливать в "песочнице" - вкладке "Инициализация ТД сторонних вендоров".
...
На коммутаторах доступа, к которым подключены generic AP должен быть включен функционал добавления option 82 в вланах пользователей WiFi. vlan пользователей WiFi.
Примечание | ||
---|---|---|
| ||
При добавлении option 82 недопустимо выполнять dhcp-relay запросов пользователей WiFi - это приведет заменене IP-адреса источника и MAC-адреса источника пользователя WiFi на соответствующие значения релея и невозможности корректно выполнить парсинг такого запроса. |
В случае, если данной опции в dhcp-запросах пользователя не будет - его авторизация будет запрещена, при попытке аторизоваться авторизоваться он увидить увидит сообщение (рис. 7.1.2):
Рис. 7.1.2
вида: "SSID - в доступе отказано, требуется наличие option 82".
7.2. Настройка PCRF
Если PCRF работает не на одном хосте с EMS - требуется выполнить настройку взаимодействия для отгрузки информации о generic AP. Открываем файл настройки PCRF /etc/eltex-pcrf/eltex-pcrf.json, находим секцию "generic.ap.registrar" и настраиваем:
Блок кода | ||
---|---|---|
| ||
"generic.ap.registrar": { "max_aps_in_queue": 30, "ap_register_interval_ms": 600000, "added_ap_cache_ttl_ms": 600000, "host": "localhost", "port": 8080, "worker_pool_size": 8 } |
ПарамертыПараметры:
- "max_aps_in_queue" - максимальное число новых generic AP в очереди на регистрацию, по достижении которого начнется отгрузка этой информации в EMS (по умолчанию 30);
- "ap_register_interval_ms" - интервал, через который производится отгрузка информации о новых generic AP в EMS независимо от их количества в очереди (мс, по умолчанию 600000);
- "added_ap_cache_ttl_ms" - время хранения информации о generic AP, информация о которых была отгружена в EMS (мс, по умолчанию 600000);
- "host" - IP-адрес хоста, на котором запущен сервер EMS;
- "port" - порт, на котором запущен сервер EMS ;
- "worker_pool_size" - количество задействованных обработчиков потоков (по умолчанию 8).
После внесения изменений в файл конфигурации необходимо перезапустить PCRF командой sudo systemctl restart eltex-pcrf. Если используется кластер PCRF - необходимо выполниьть выполнить настройку на каждой ноде.
7.3. Настройка инициализации generic AP
Заходим в "Wireless" → "Менеджер правил инициализации ТД" → "Правила" и нажимаем кнопку "Добавить". В открывшемся окне (рис. 7.3.1) настраиваем:
...
Далее можно создать привязку инициализации из "песочницы" - вкладка "Инициализация ТД сторонних вендоров" (рис. 7.3.3):
Рис. 7.3.3.
обычным сопсобом способом - нажав правой кнопкой на generic AP, создав привязку инициализации и запустив инициализации.
...
Далее, по мере подключения пользователей-WiFi через различные generic AP они будут инициализирвоаны инициализированы в указанный в привязке домен (рис. 7.3.5).
Рис. 7.3.5.
7.4. Возможные действия с generic AP
После инициализации generic AP можно просмотреть её параметры на вкладке "Доступ" (рис. 7.4.1).
...
Данный функционал предназначен для возможности увидеть в текстовом виде значение option 82, что позволит определить имя, порт и влан коммутатораvlan коммутатора, к которому подключена generic AP. Так же следует иметь ввиду, что представление option 82 определяется настройками коммутатораи коммутатора может иметь различный формат.
...
Примечание | ||
---|---|---|
| ||
Количество generic AP, которы которые могут быть зарегистрированы в EMS определяется лицензией, за её расширением следует обратится в коммерческий отдель отдел предприятия "Элтекс". |
8. Заключение
В приведенной документации рассмотрена настройка ESR BRAS в схеме L3 для двух способов идентификации generic AP, с которых пользователи WiFi выполняют подключение.
Схема работы резервирвоания резервирования для данной схемы принципиально не отличается от описанной в Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили".