...
Рассмотрим типовую схему включения абонентов BRAS и возможные проблемы при настройке.
Для каждого абонента на BRAS создается сессия для абонента (session id) и его сервисов (service id), номера сессии уникальны. Номер session id можно использовать для поиска информации в логах Поратал и PCRF.
Вывести список активных сессий можно командой show subscriber-control sessions status:
...
В приведенном выше примере пользователь не авторизован, никакие сервисы ему не назначены, доступа в сеть Интернет у него нет.
| Без форматирования |
|---|
esr1000# show subscriber-control sessions status Session id User name IP address MAC address Interface Domain -------------------- --------------- --------------- ----------------- ------------------ --------------- 576460752303423705 79123456789 192.168.133.219 20:47:da:00:39:e3 gi1/0/1.2336 eltex.root |
В приведенном выше примере пользователь авторизован.
Что бы просмотертьпросмотреть, какие сервисы назначены пользователю пользователям надо выполнить команду show subscriber-control services status:
...
Просмотреть список сервисов определённой сессии можно командой show subscriber-control services status session-id <номер сесии>сессии>:
| Без форматирования |
|---|
esr1000# show subscriber-control |
...
services status |
...
session-id 576460752303423705 Service id Session id Service name User name |
...
|
...
Quota volume |
...
Quota |
...
time |
...
|
...
(Bytes) (Seconds) -------------------- --------------- |
...
----- ---------- |
...
----- ------------ |
...
--- -------------- |
...
-------------- 36028797018963986 576460752303423705 N INTERNET 79123456789 - |
...
- -- 36028797018963987 576460752303423705 A WELCOME 79123456789 |
...
|
...
-- |
...
и
...
-- |
В приведенном выше примере видно, что пользователю назначено два сервиса WELCOME и INTERNET, но активный сервис WELCOME, т.к. помечен буквой A. Это означает, что для клиента выполняется редирект на страницу "Мы вас узнали", где ему надо подтвердить свой номер нажав кнопку "Да." После этого у него сменится активный сервис:
| Без форматирования |
|---|
esr1000# show subscriber-control services status |
...
Service id Session id |
...
Service name User name Quota volume Quota time |
...
|
...
(Bytes) (Seconds) |
...
-------------------- -------------------- --------------- --------------- -------------- -------------- |
...
36028797018963986 576460752303423705 |
...
A INTERNET 79123456789 -- -- 36028797018963987 576460752303423705 N WELCOME 79123456789 -- -- |
...
Просмотреть список сервисов для определенной сессии можно командой
show subscriber-control services status session-id 576460752303423705 |
Удалить все сессии с BRAS можно командой clear subscriber-control sessions. Если требуется удалить определенную сессию: clear subscriber-control sessions session-id <номер сессии>.
2. Отсутствие сетевых настроек у абонента
Абонент, подключаясь к точке доступа, высылает DHCP Discover, который передается через L2 сеть доступа оператора на ESR / BRAS. ESR, выполняющий функцию DHCP-relay, перенаправляет запрос на DHCP сервер, который выдает адрес клиенту на основании данных поля giaddr field. В качестве GW указывается адрес ESR. Считаем что DHCP сервер настроен правильно. До прохождения авторизации у абонента должны быть разрешены DHCP и DNS запросы, нужно проверить список доступа в настройках ESR: s ubscriber-control->bypass-ESR# show runnign-config → subscriber-control → bypass-traffic-acl DHCPunauthUSER. Пример списка разрешающего прохождение DHCP и DNS запросов:
| Без форматирования |
|---|
ip access-list extended |
...
unauthUSER rule 10 |
...
action permit |
...
match protocol udp |
...
match source-address any |
...
match destination-address any |
...
match source-port 68 |
...
match destination-port 67 |
...
enable |
...
exit |
...
rule 11 |
...
action permit |
...
match protocol udp |
...
match source-address any |
...
match destination-address any |
...
match source-port any |
...
match destination-port 53 |
...
enable |
...
exit |
...
exit |
3. Не открывается портал
Проверка dns запросов с клиента.
Редирект на портал происходит при http(s) запросе в браузере абонента.Если редиректа при запросе URL по dns имени нет, можно проверить запрос по ip адресу, например http://1.1.1.2, если портал открылся, нужно проверить прохождение dns запросов на клиенте, например выполнив команду
C:\Users\Администратор>nslookup eltex.nsk.ru
server google-public-dns-a.google.com
Address: 8.8.8.8
Не заслуживающий доверия ответ:
name: eltex.nsk.ru
Address: 6294.109250.0248.17555
Если dns запросы не проходят, нужно проверить сетевые настройки на вышестоящем маршрутизаторе, например наличие маршрута в сторону сети абонентов.
...
В файле /var/log/eltex-portal/portal.log можно посмотреть логи работы портала, он является основным при трабшутинге.
Если в логе
| Без форматирования |
|---|
2019-08-16T11:47:40,873 [qtp2085002312-12] ERROR org.eltex.portal.controller.PageErrorController PageErrorController.errorPage(line:57). Handled exception: code 1101:BRAS_DISABLED . Source:org.eltex.portal.app.pipeline.stages.RouterSessionDetection.preprocess(line:58) |
Нужно проверить, активацию настройки "Взаимодействие с BRAS" в в Конструкторе Порталовпорталов.
Если в логе
| Без форматирования |
|---|
2019-08-16T11:53:28,147 [qtp2085002312-14] ERROR org.eltex.portal.tools.TariffTools TariffTools.notifyOnEmptyTariffs(line:67). Invalid configuration of portal eltex: Portal has no tariffs linked. Change on the Tariffs page. 2019-08-16T11:53:28,147 [qtp2085002312-14] ERROR org.eltex.portal.controller.PageErrorController PageErrorController.errorPage(line:57). Handled exception: code 1301:NO_AVAILABLE_TARIFFS . Source:org.eltex.portal.tools.TariffT ools.notifyOnEmptyTariffs(line:68) |
...
- В конфигурации ESR, профиль для Radius и CoA;
- В EMS, меню "Управление точками доступа на Radius сервере", найти нужный ESR, параметр ключ В Конструкторе Порталов Системные для ip адреса ESR и 127.0.0.1;
- В Конструкторе порталов: Системные настройки->Взаимодействие с BRAS.
Если включить debug на ESR (debug→debug BRAS error), то в консоле ESR можно увидеть соотвествующую соответствующую ошибку:
| Без форматирования |
|---|
2019-08-16T17:31:22+07:00 %BRAS-E-ERROR: <bras_receive_message_from_socket> ESR_rc_check_reply failed! (Maybe, is shared secret incorrect?) Dropping packet without response |
...
сообщение говорит о том что подсеть L2 в Личном кабинете не настроена или настроена с ошибкой. Нужно проверить наличие подсети в "Настроки Настройки PCRF" → "Подсети L2" в личном кабинете и убедится в корректности её настройки.
...
- В конфигурации ESR, профиль для Radius и CoA;
- В EMS, меню "Управление точками доступа на Radius сервере", параметр ключ В Конструкторе Порталов Системные для ip адреса ESR и 127.0.0.1;
В Конструкторе порталов: Системные настройки->Взаимодействие с BRAS.
Не работает mac авторизация
После получения первого ip пакета от абонента, BRAS запрашивает у PCRF параметры шейпера для данного абонента и пытается провести mac авторизацию. Для успешной mac авторизации в "Настройках PCRF->Подсети L2" в Личном Кабинете должна кабинете должна быть настроена корректная запись. Проверить можно так, узнаем имя l2 L2 интерфейса к которому подключен абонент:
| Без форматирования |
|---|
esr1000# show subscriber-control sessions status |
...
Session id User name IP address MAC address Interface Domain |
...
-------------------- --------------- --------------- ----------------- ------------------ --------------- |
...
576460752303423705 -- 192.168. |
...
133. |
...
219 |
...
20: |
...
47: |
...
da: |
...
00: |
...
39: |
...
e3 gi1/0/1. |
...
2336 -- |
Проверяем настройку l2 подсети в L2 в Личном Кабинетекабинете, а именно, NAS IP должен совпадать с адресов ESR, location интерфейса должен совпадать с именем интерфейса к которому подключен абонент, Service домен, должен совпадать с сервисным доменом абонента, подсеть с наименованием vlan2001. Сервисный домен задается в l2 L2 подсети ks которая описывает какой портал будет отображен абоненту.
Повторный редирект на портал после авторизации
После успешной авторизации на портале повторно происходит редирект на портал и авторизацию требуется пройти заново, никаких ошибок при этом в открывающемся окне с порталом не появляется.
Надо проверить в Личном кабинете, в настройках сервиса написание "Класс трафика", который должен назначиться пользователю после авторизации в соответствии с настройками назначаемого ему тарифа - он должен полностью совпадать, в том числе и регистр букв access-list, который используется для классификации трафика этого сервиса на ESR BRAS:
Вывод с ESR show run access-list:
| Без форматирования |
|---|
ip access-list extended internet
rule 1
action permit
enable
exit
exit |
Как видно не совпадает регистр букв.
Если включить debug на ESR (debug→debug BRAS error), то в консоле ESR можно увидеть соответствующую ошибку при попытке пользователя авторизоваться:
| Без форматирования |
|---|
2019-08-16T17:31:22+07:00 %BRAS-E-ERROR: <bras_parse_traffic_class_attribute> class map 'INTERNET' not found |
Надо исправить наименование "Класс трафика" в личном кабинете, либо access-list на ESR, что бы они совпадали. После этого надо обязательно сбросить сессии пользователей, который успели получить неправильный сервис. Как правило в такой ситуации можно сбросить сессии всех пользователей: clear subscriber-control sessions.
Повторный редирект на портал после выбора тарифа (ошибка: "Неизвестная ошибка Bras")
В этом случае нужно посмотреть логи PCRF
| Блок кода | ||
|---|---|---|
| ||
2021-07-29T03:42:59,587 [hz._hzInstance_1_dev.async.thread-2] ERROR AcctVerticle ?.(line:). Failed to find NAS secret for 100.123.0.55:50049 |
При подобном логе необходимо проверить присутствие адреса (адрес должен совпадать с адресом в логах) и корректность пароля в NAS таблице RADIUS сервера ("RADIUS" → "Управление точками доступа"):
Многократный редирект в строке редиректа на портал
При подключении у пользователя в строке редиректа можно видеть многократный редирект:
Как правило в низу страницы есть выводится ошибка: "net:ERR_TOO_MANY_REDIRECTS".
Такая ошибка возникает, если в сервисе, который назначается клиенту используется белый список фильтрации URL и редирект, и при этом в списке фильтрации допущена ошибка в строке, разрешающей доступ к порталу. В приведённом примере это сервис WELCOME, в котором используется белый список welcome. Нужно открыть в Личном кабинете "Настройки PCRF" → "Списки URL", открыть соответствующий список и проверить правильность написания адреса портала.
4. Приложение
Различия в способе формирования подсетей L2 в Личном кабинете в схемах включения L2 и L3
Существуют две схемы включения BRAS L2 и L3 - в случае использования схемы L2 подсети L2 создаются в Личном кабинете вручную администратором системы. Если используется схема включения L3 - когда трафик абонентов передается через L3 сеть оператора внутри GRE туннелей - то в этом случае подсети L2 создаются автоматически и их отсутствие в Личном кабинете является признаком некорректного добавления ESR BRAS в EMS. В этом случае надо проверить, стоит ли галочка "BRAS сервис" в настройках "Доступ" и правильно ли указан режим работы ESR - "Station".