...
Для использования функционала BRAS в схеме включения L3 можно использовать сервисные маршрутизаторы Элтекс ESR-100/200/1000/1200/1500/1700. Данный функционал позволяет предоставить возможность идентификации клиентов пользователей Wi-Fi, подключающихся к точкам доступа производства различных производителей. В общем виде от BRAS требуются следующие функции:
- При приеме клиентского пользовательского трафика нужно понять, авторизован этот клиент пользователь WiFi в системе или нет;
- Если клиент Если пользователь WiFi авторизован, то пустить его в Интернет. Если не авторизован, то перенаправить его на Портал авторизации, где он должен подтвердить свою личность (с помощью SMS, звонка или учетной записи ЕСИА);
- После того, как клиент как пользователь WiFi авторизовался на Портале, BRAS должен узнать об этом, применив к трафику клиента трафику пользователя WiFi различные политики доступа;
- В процессе обработки клиентского трафика трафика пользователей WiFi BRAS должен считать и пересылать статистику вышестоящей системе для ее последующего анализа и хранения.
BRAS является исполнительным механизмом, применяющим определенные политики к абонентскому трафику трафику пользователей WiFi в соответствии с директивами, которые передаются ему от вышестоящей системы SoftWLC, в которой как раз принимаются решения на основании данных, передаваемых BRAS. В составе SoftWLC с BRAS взаимодействуют и пересылают ему директивы по работе с абонентами с пользователями WiFi 2 модуля: PCRF и Портал.
1.1 Идентификация элементов системы.
Для того, чтобы различать абонентов различать пользователей WiFi между собой BRAS-у требуется какой-либо идентификатор, который однозначно идентифицирующий абонентаего идентифицирует. Этим идентификатором является MAC абонентского устройства-адрес устройства пользователя WiFi, с которого он выполняет подключение. Поэтому необходимо, чтобы на BRAS попадал трафик, с MAC-заголовками клиентовпользовательского устройства. Для этого необходимо обеспечить между абонентом между пользователем WiFi и BRAS L2-сеть, или , же пробросить абонентский трафик пользователей WiFi до BRAS внутри VPN через L3-инфраструктуру оператора. Для организации такого VPN в сети клиента устанавливается маршрутизатор ESR-10/20/100/200, который поднимает GRE-туннели до ESR-100/200/1000/1200/1500/1700, которые могут работать в режиме Wireless-Controller (подробнее о данном режиме можно прочитать в Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)). Точки доступа Eltex так же могут строить GRE-туннели, что делает возможным их подключение к BRAS через L3-инфраструктуру оператора без дополнительной установки ESR-10/20/100/200. Ниже, на рис. 1.1.1 приведена общая схема включения:
...
Тип ESR | ESR BRAS L3 | ESR Client |
---|---|---|
ESR-10 | - | + |
ESR-20 | - | + |
ESR-100 | + | + |
ESR-200 | + | + |
ESR-1000 | + | - |
ESR-1200 | + | - |
ESR-1500 | + | - |
ESR-1700 | + | - |
Таблица 1.1.
Так же далее будет применяться терминология:
- Оператор связи, оказывающий услуги авторизации WiFi и доступа в сеть Интернет: "Оператор"или "ISP".
- Заказчик услуги, которому требуется авторизация WiFi, с которым оператор связи заключает договор - "Клиент".
- ТД сторонних производителей
...
- : "Generic AP".
...
- Клиент, подключающийся к WiFi с помощью различных устройств: "Пользователь WiFi".
- Схема включения generic AP через инфраструктуру L3 оператора с использованием ESR Client для инкапсуляции трафика клиента в GRE
...
- : "Интероперабельность", или сокращено "Interop".
...
1.2. Идентификация generic AP, к которым подключаются пользователи WiFi
Помимо авторизации пользователей WiFi на BRAS, необходимо также понимать, к какому SSID клиент подключился, и к какой точке доступа, в каком офисеgeneric AP они подключаются. Для этого необходимо идентифицировать эти объекты.С учетом передачи трафика между абонентом и BRAS по
L2-сети таким идентификатором является VLAN. В результате, чтобы BRAS отличил трафик одного SSID от трафика другого SSID, нужно трафик одного SSID передавать в одном VLAN, например, 10, а трафик другого SSID - в другом, например, 11. Но если каждый из этих SSID будет настроены на 2 точках доступа, то BRAS на основании 10 и 11 VLAN сможет отличить SSID друг от друга, а вот понять, с какой точки доступа идет трафик - нет. Поэтому для идентификации точек доступа необходимо внедрять дополнительные VLAN: SSID1 на ТД1 - 10 VLAN, SSID2 на ТД2 - 11 VLAN, SSID1 на ТД2 - 12 VLAN, SSID2 на ТД2 - 13 VLAN. Тогда, если на BRAS придет трафик из 12 VLAN, то BRAS поймет, что это трафик абонента, подключившегося к SSID1 на второй точке доступа.Существует два способа идентификации с какой generic AP подключился пользователь WiFi.
Идентификация по влан
При подключении каждому SSID каждой generic AP выделяется уникальный влан. Схема приведена ниже, на рис. 1.2.1.
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Рис. 1.2.1.
Как видно из рис. 1.2.1, трафик абонетов можно идентифицировать по влан, в которых он приходит на ESR BRAS. Но данная схема приводит к тому, что для каждой вновь подключаемой generic AP надо выделять новый влан, на рисунке для 2 SSID на трех generic AP потребовалось выделить 6 влан. При большом числе ТД данный способ становиться сложно администрируемым и масштабируемым. Кроме того существует ограничение со стороны SoftWLC, которое не позволяет использовать более 20 различных влан, пропускаемых внутри GRE-туннеля от ESR-client.
Обогащение аккаунтинга пользователей WiFi информацией, получаемой из option82, добавляемой в их DHCP запросы
В данном случае предполагается, что для каждого уникального SSID будет выделен один влан, который будет использоваться на всех generic AP. На коммутаторе , к которому подключены generic AP включается функционал добавления option 82 в DHCP. Таким образом, DHCP запросы пользователй WiFi будут содержать в себе option 82 c информацией о порте/влане и идентификаторе коммутатора, к которому подключена generic AP, что позволит однозначно идентифицировать к какому SSID и на какой generic AP
Так же существует возможность идентификации клиентов, подключенных к разным ТД, SSID которых передается в одинаковом влан, при добавлении option 82 в DHCP запросы клиентов на портах коммутатора, через который данные ТД подключены к ESR Client. Начиная с версии ПО 1.11.2 ESR, реализован функционал, анализирующий такие пакеты и обогащающий ими radius трафик в формате, определенном в RFC4679.
1.
...
3 Мониторинг точек доступа.
Существует 3 группы точек доступа:
...
Настройки комплекса SoftWLC можно разделить на глобальные, которые выполняются один раз или при добавлении каждого нового ESR BRAS; универсальные - они могут как конфигурироваться под отдельного клиента заказчика услуги авторизации, так и использоваться в настройках нескольких или всех клиентов ; и индивидуальные, которые как правило конфигурируются при подключении каждого нового клиента.
6.1. Глобальные настройки
Глобальные настройки можно разделить на несколько этапов:
...
4) Создание обязательного сервиса WELCOME в Личном кабинете;
5) Создание как минимум одного тарифа пользователя в Личном кабинете;6) Добавление ESR BRAS в EMS и настройка взаимодействия с ним.
Первые пять четыре пунктов выполняются один раз при первичном развертывании и настройке, шестой пятый - при добавлении каждого нового ESR BRAS.
...