...
Примечание |
---|
Для возможности идентификации ТД, с которой пришел данный клиент возможно на клиент предлагаются два способа: - Для каждого SSID каждой ТД необходимо выделить свой влан, что позволить однозначно идентифицировать с какой ТД/SSID пришел клиент. Данный способ становиться сложно администрируемым и масштабируемым при большом числе ТД, которые порождают необходимость выдения и конфигурирования большого числа vlan.
- Для каждого SSID используется один влан для всех ТД. На коммутаторе, к которому
подключена ТД в влане клиента настроить - подключаются ТД, включается добавление option 82 в DHCP-discover/request клиента. Так же это требует включения на ESR BRAS
L3 - функции парсинга DHCP-запроса клиентов на наличие в них option 82 (поддержано с версии ПО 1.11.2 маршрутизатора). В дальнейшем данная информация будет добавляться в radius-
трафик - ACCT по этому клиенту, что позволит идентифицировать ТД/SSID клиента. Данный способ позволяет легко масштабировать количество подключенных ТД.
|
Весь трафик пользователя попадает под действие правил «дефолтного» сервиса, обычно в этом режиме для пользователя заблокирована передача любого трафика кроме DHCP и DNS.
...
5. Получение адреса по DHCP и редирект на портал для клиентов VRF dpi осуществляется через стык с VRF backbone , который находится в дефолтном VRF. Для обеспечения IP-связности между VRF используются lt-туннели, через которые осуществляется маршрутизация данного трафика.
...
Раскрыть |
---|
|
Без форматирования |
---|
object-group network bras_users
ip address-range 198.18.192.4-198.18.223.254
ip address-range 198.19.0.4-198.19.31.254
exit
bridge 10
service-subscriber-control object-group bras_users
location data10
exit
bridge 12
service-subscriber-control object-group bras_users
location data12
exit |
|
Настройки так же идентичны на обоих ESR за исключением nas-ip-address и ip proxy source-address. Сначала будет указан адрес Alfa, в () будет указан адрес Beta.
Примечание |
---|
|
Обратим внимание, что в настройке BRAS на интерфейсе указывается объект, в котором указаны адреса, которые могут получить клиенты, но исключены адреса ESR, VRRP и широковещательный адрес. Это сделано для обеспечения взаимодействия между интерфейсами ESR и корректной работы VRRP. |
...
Раскрыть |
---|
Без форматирования |
---|
subscriber-control filters-server-url http://100.123.0.112:7070/filters/file
subscriber-control
apps-server-url http://100.123.0.2:7070/apps/file subscriber-control peer-address 100.64.0.58
subscriber-control
aaa das-profile COA
aaa sessions-radius-profile PCRF
aaa services-radius-profile PCRF
backup traffic-processing transparent
nas-ip-address 198.18.128.2 (198.18.128.3)
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
dhcp-option-82-include enable
dhcp-option-82-include lease-time 86400
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://100.123.0.112:8080/eltex_portal/
exit
enable
exit
subscriber-control vrf br12
aaa das-profile COA_br12
aaa sessions-radius-profile PCRF
aaa services-radius-profile PCRF
backup traffic-processing transparent
nas-ip-address 198.18.128.2 (198.18.128.3)
session mac-authentication
bypass-traffic-acl unauthUSER
vrrp-group 1
dhcp-option-82-include enable
dhcp-option-82-include lease-time 86400
ip proxy source-address 198.19.0.2 (198.19.0.2)
default-service
class-map unauthUSER
filter-name remote gosuslugi
filter-action permit
default-action redirect http://100.123.0.112:8080/eltex_portal/
exit
enable
exit |
|
Обратим внимание, что в настройках BRAS мы указываем:
1) vrrp-group 1 - для отслеживания BRAS состояние VRRP ESR.
2) backup traffic-processing transparent - данная настройка позволяет пропускать трафик через интерфейсы, на которых включена BRAS-авторизация в случае, если VRRP ESR находится в состоянии BACKUP. Требуется для корректной работы при прохждении трафика через "перемычку".
3) subscriber-control vrf <имя VRF> - для каждого VRF выполняется настройка отдельного инстанса BRAS.
4) ip proxy source-address <ip-адрес> - при редиректе на портал и при использовании url-фильтрации BRAS выполняет проксирование. Для удобства траблшутинга в настройках инстанса BRAS в VRF используем адрес с бриджа клиентов.
4.3. Настройка файрвол на ESR
При использовании нескольких VRF на ESR, каждый VRF c т. з. настройки файрвола рассматривается как отдельное устройство. Это требует, что бы для каждой security-zone был указана VRF, к которой она принадлежит. Использование в правилах файрвол связки зон из разных VRF не допускается. Настройки object-group не привязываются к VRF и могут использоваться в настройках файрвола для любого VRF. Настройки файрвола идентичны для ESR Alfa/Beta. Могут различаться только object-group.
Ранее в конфигурации уже были созданы security-zone.
Раскрыть |
---|
title | Alfa/Beta security zone |
---|
|
Без форматирования |
---|
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone sidelink
exit
security zone user
exit
security zone trusted_dpi
ip vrf forwarding dpi
exit
security zone untrusted_dp
ip vrf forwarding dpi
exit
security zone sidelink_dpi
ip vrf forwarding dpi
exit
security zone user_dpi
ip vrf forwarding dpi
exit |
|
Создадим object-group, для использования в правилах файрвола.
Создадим настройки правил файрвола для дефолтного VRF.
Раскрыть |
---|
title | Alfa/Beta security-zone pair VRF default |
---|
|
Без форматирования |
---|
security zone-pair gre self
rule 1
action permit
match protocol gre
enable
exit
rule 2
action permit
match protocol vrrp
enable
exit
rule 3
action permit
match protocol icmp
enable
exit
rule 4
action permit
match protocol tcp
match source-address BGPneighbours
match source-port bgp
match destination-port bgp
enable
exit
exit
security zone-pair trusted self
rule 1
action permit
match protocol vrrp
enable
exit
rule 2
action permit
match protocol udp
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
rule 3
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 4
action permit
match protocol icmp
enable
exit
rule 5
action permit
match source-address SoftWLC
enable
exit
rule 6
action permit
match source-address Admnet
enable
exit
rule 7
action permit
match protocol tcp
match source-address BGPneighbours
match source-port bgp
match destination-port bgp
enable
exit
exit
security zone-pair user self
rule 1
action permit
match protocol icmp
enable
exit
rule 2
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 3
action permit
match protocol tcp
match destination-port redirect
enable
exit
rule 4
action permit
match protocol vrrp
enable
exit
rule 5
action permit
match protocol udp
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
exit
security zone-pair untrusted self
rule 1
action permit
match protocol tcp
match source-address BGPneighbours
match source-port bgp
match destination-port bgp
enable
exit
exit
security zone-pair sidelink self
rule 2
action permit
match protocol tcp
match destination-port bgp
enable
exit
rule 3
action permit
match protocol udp
match destination-port firewall_failover
enable
exit
rule 4
action permit
match protocol udp
match source-port dhcp_server
exit
rule 10
action permit
match protocol gre
enable
exit
rule 20
action permit
match protocol icmp
enable
exit
rule 30
action permit
match protocol vrrp
enable
exit
rule 40
action permit
match protocol udp
match source-port dhcp_server
match destination-port dhcp_server
enable
exit
rule 50
action permit
match protocol udp
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
rule 60
action permit
match source-address SoftWLC
enable
exit
rule 80
action permit
match source-address Admnet
enable
exit
rule 90
action permit
match protocol tcp
match destination-port sunctun
enable
exit
rule 100
action permit
match protocol tcp
match destination-port telnet
enable
exit
exit |
|
Портал.
Необходимо включить флаг «Взаимодействие с BRAS».
...