Содержание
Версия документа | Дата выпуска | Содержание изменений |
Версия 1.0 | 21.08.2017 | Первая публикация. |
Версия 1.1 | 21.09.2017 | Выгрузка в СОРМ-3 изменений в записях пользователей Wi-Fi |
Версия 1.3 | 24.10.2017 | Добавление данных оператора в выгрузку СОРМ-3 |
Версия 1.4 | 07.12.2017 | Добавление параметра sorm3.enabled |
Версия 1.6 | 27.02.2018 | Корректировка п.5.3.3 |
Версия 1.7 | | Формата даты в выгрузках приведен к виду yyyy-MM-dd HH:mm:ss Изменен период запуска eltex-radius-sorm3-federal с раз в 15 минут на раз в сутки, п.5.2. |
Версия 1.8 | 14.05.2019 | Добавлен DPI Изменилась структура съемников |
Версии программного обеспечения | ESR-1000 1.4.1 ESR-1200 1.4.1 SoftWLC 1.13 WEP-12ac/WOP-12ac 1.16.0 WEP-2ac/WOP-2ac 1.16.0 eltex-radius-sorm3 1.13-65 eltex-sorm2-replicator 1.13-85 |
|
Общая архитектура для релиза SoftWLC 1v13
1.1 Сетевая архитектура решения
Image Removed
Image Added
Рисунок 1 – Общая сетевая топология решения
Между ESR-1000 и точками доступа поднимаются SoftGRE-туннели сквозь L3-инфраструктуру оператора. От каждой точки доступа формируется два туннеля: Management-туннель для передачи трафика управления и Data-туннель для передачи абонентского трафика.
Внутри Management-туннеля передается трафик управления точкой доступа в отдельной сети управления. Данная подсеть невидима для L3-сегмента оператора, скрываясь за заголовками GRE-туннеля. Внутри Data-туннеля передается абонентский трафик. Этот трафик терминируется на ESR-1000 и далее маршрутизируется в сеть оператора (в сторону его NAT).
Якорь |
---|
| __RefHeading__1589_1911731014 |
---|
| __RefHeading__1589_1911731014 |
---|
|
Якорь |
---|
| __RefHeading__1636_1911731014 |
---|
| __RefHeading__1636_1911731014 |
---|
|
Якорь |
---|
| __RefHeading___Toc485396626 |
---|
| __RefHeading___Toc485396626 |
---|
|
Якорь |
---|
| _Toc496724803 |
---|
| _Toc496724803 |
---|
|
1.2 Порядок прохождения трафика в схеме BRAS
Image Removed
Image Added
Рисунок 2 – Порядок прохождения трафика в схеме BRAS
...
Клиент, подключается к открытой SSID, отправляет DHCP запрос. Этот запрос проходя через ТД(ESR-10) инкапсулируется в GRE туннель и передается к ESR. На ESR DHCP-relay перенаправляет запросы к серверу SoftWLC. Ответ проходит в обратном направлении до клиента. Клиенту выдается IP адрес.
При прохождении авторизации на WEB портале, HTTP запросы пользователя проксируются в ESR, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR (PROXY IP). Поэтому между ESR и SoftWLC весь HTTP(S) трафик будет идти с IP адресом ESR а не клиента. Весь остальной трафик будет идти с USER IP адресом.
После прохождения авторизации, весь трафик пользователя в сторону NAT, будет без подмены Source адреса (USER IP). Если используется функционал URL фильтрация, то после прохождения авторизации HTTP(S) трафик пользователя проксируются в ESR, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR (PROXY IP). Поэтому между ESR и NAT весь HTTP(S) трафик будет идти с IP адресом ESR а не клиента. Весь остальной трафик будет идти с USER IP адресом. При прохождении через NAT, для трафика пользователя будет устанавливаться «Белый» IP адрес NAT.
При снятии трафика СОРМ, должна учитываться эта реализация.
Якорь |
---|
| __RefHeading__1591_1911731014 |
---|
| __RefHeading__1591_1911731014 |
---|
|
Якорь |
---|
| __RefHeading__1638_1911731014 |
---|
| __RefHeading__1638_1911731014 |
---|
|
Якорь |
---|
| _Toc496724804 |
---|
| _Toc496724804 |
---|
|
1.3 Порядок прохождения трафика в схеме ТД «Элтекс»
Image Removed
Image Added
Рисунок 3 – Порядок прохождения трафика в схеме ТД «Элтекс»
...
При прохождении авторизации на WEB портале, HTTP запросы пользователя проксируются в ТД. После прохождения авторизации весь трафик клиента будет идти с IP-адреса (User IP), который он получил по DHCP.
Якорь |
---|
| __RefHeading___Toc485396627 |
---|
| __RefHeading___Toc485396627 |
---|
|
Якорь |
---|
| __RefHeading__1640_1911731014 |
---|
| __RefHeading__1640_1911731014 |
---|
|
Якорь |
---|
| _Toc496724805 |
---|
| _Toc496724805 |
---|
|
1.4 Передача трафика RADIUS accounting через сеть
На ТД «Элтекс» настроены SSID с авторизацией Enterprise, данные RADIUS accounting передаются с ТД в GRE туннеле до ESR (в VRF AP-core), а затем к SoftWLC в (VRF- Baskbone).
На ТД «Элтекс» c Hotspot авторизацией данные RADIUS accounting передаются с ТД в GRE туннеле до ESR (в VRF AP-core), а затем к SoftWLC в (VRF- Baskbone).
На ТД «Элтекс» c Hotspot авторизацией и интеграцией с HotWiFi данные RADIUS accounting формируются на ESR-1000 (BRAS), а затем передаются к SoftWLC в (VRF- Baskbone).
На ТД других производителей, включенных через ESR-10, с Hotspot авторизацией, данные RADIUS accounting формируются на ESR-1000 (BRAS), а затем передаются к SoftWLC в (VRF- Baskbone).
Таким образом весь accounting трафик проходит через VRF Backbone, от регионального ESR к SoftWLC.
Image Removed
Image Added
Рисунок 4 – Порядок прохождения RADIUS accounting через сеть оператора
...
Якорь |
---|
| _MON_1564492460 |
---|
| _MON_1564492460 |
---|
|
Image Removed
Image Added
Рисунок 5 – Порядок прохождения RADIUS accounting в системе SoftWLC
Якорь |
---|
| _Toc496724806 |
---|
| _Toc496724806 |
---|
|
2 Описание пакета Eltex-sorm2-replicator
Eltex-sorm2-replicator является дополнительным модулем системы SoftWLC. Основные задачи данного модуля:
...
Предупреждение |
---|
|
Если ни одним из способов не удалось найти Ap-Domain точки доступа, то трафик не может быть отправлен на Региональный съемник (привязки которых настраиваются в пункте 4.6). Однако, в этом случае трафик все равно может быть отправлен на Глобальный съемник (global.clients в eltex-sorm2-replicator.json), если хотя бы один из них настроен в конфигурации. Глобальный съемник получает весь трафик, обрабатываемый sorm2-relicator'ом. |
Якорь |
---|
| _Toc496724807 |
---|
| _Toc496724807 |
---|
|
3 Описание пакета Eltex-radius-sorm3-federal
Eltex-radius-sorm3-federal является дополнительным модулем системы SoftWLC. Основная задача данного модуля – подготовка и выгрузка данных об абонентах и базовых станциях на FTP сервер для системы ИС СОРМ «Январь» (МФИ-СОФТ). Работу данного модуля можно разделить на две части:
...
2. Загрузка сформированных данных на FTP сервер.
Якорь |
---|
| _Toc496724808 |
---|
| _Toc496724808 |
---|
|
4 Настройка Eltex-sorm2-replicator
Якорь |
---|
| _Toc496724809 |
---|
| _Toc496724809 |
---|
|
4.1 Установка и настройка Eltex-sorm2-replicator
Установку нужно производить на ОС: Linux Ubuntu Server 14.04 x64 LTS. Для корректного формирования выгрузок, нужно настроить время и часовой пояс. Для работы модуля необходимо установить следующий пакет:
‒ Oracle JDK8.
Для установки Oracle JDK8 нужно выполнить следующие команды:
...
Eltex-sorm2-replicator распределяет файл в папках FTP сервера по дням, чтобы не столкнуться с проблемой Все файлы в одной директории на FTP. Имя директории имеет вид yyyyMMdd (годМесяцДень). Если бы все файлы сохранялись в одной директории, то рано или позно мы бы уперлись в Maximum number of files per directory, значение которого варьируется в зависимости от типа файловой системы, или банальные неудобства (задержки) при навигации по файлам. Таким образом путь к файлу будет иметь вид yyyyMMdd/file.csv. Корневую директорию для файлоы на FTP сервере можно изменить в параметре acct_dir. Например, acct_dir: ACCO. Тогда путь к файлу будет иметь вид ACCO/yyyyMMdd/file.csv. По умолчанию acct_dir: null, путь к файлу yyyyMMdd/file.csv.
Якорь |
---|
| _Toc496724810 |
---|
| _Toc496724810 |
---|
|
4.2 Настройка состава колонок в выгрузке IP_ACC_N_yyyyMMdd_Hhmm.csv
Для изменения списка колонок нужно внести изменения в конфигурационный файл /etc/eltex-sorm2-replicator/sorm3-columns.json и перезапустить сервис Eltex-sorm2-replicator.
...
По умолчанию включены все колонки кроме "L2_INTERFACE".
Якорь |
---|
| _Toc496724810 |
---|
| _Toc496724810 |
---|
|
4.3 Настройка уведомлений при перезапуске сервиса Eltex-sorm2-replicator
Устанавливаем пакет mailutils ssmtp. Настраиваем адрес smtp сервера и логин/пароль для доступа к нему в /etc/ssmtp/ssmtp.conf
...
Выполнить скрипт /usr/lib/eltex-sorm2-replicator/check.sh, сервис должен запустится, на адрес назначения придет уведомление.
Якорь |
---|
| _Toc496724811 |
---|
| _Toc496724811 |
---|
|
4.4 Настройка пересылки RADIUS accounting
На серверах принимающих RADIUS accounting нужно настроить пересылку в Eltex-sorm2-replicator, при помощи набора правил IPTables. Данные правила копируют оригинальный пакет пришедший на DST порт 1813 или 31813 и отправляют его на DST порт 41813 в Eltex-sorm2-replicator. У исходящего пакета производится подмена SRC и DST IP-адресов.
Настройку производим на RADIUS-серверах SoftWLC (Eltex-pcrf и Eltex-radius). Создаем файл IPTables-sorm2 с содержимым:
...
Применить изменения
sudo sysctl -p
Якорь |
---|
| _Toc496724812 |
---|
| _Toc496724812 |
---|
|
4.5 Настройка Eltex-radius-nbi
Для активировации подключения к БД mongo SORM2 и подключения к API интерфейсу Eltex-sorm2-replicator, в конфигурационном файле "radius_nbi_config.txt" необходимо исправить следующие строки:
...
Для применения конфигурации нужно перезапустить Tomcat7
service tomcat7 restart
Якорь |
---|
| _Toc496724814 |
---|
| _Toc496724814 |
---|
|
4.6Настройка IP-адресов региональных съемников в ЛК B2B
Для корректно работы Eltex-sorm2-replicator, для всех доменов в которых расположены RADIUS клиенты, нужно задать IP-адреса съёмников, данная настройка производится в Личном кабинете B2B.
Для активации меню настройки нужно перейти в меню Настройки-> Система-> Система и активировать настройку «Настройка СОРМ-2 в «Дереве доменов»». Для применения, перезайти в Личный кабинет B2B.
Image Removed
Image Added
Сначала необходимо создать профиль. Переходим во владку "СОРМ-2" и нажимаем кнопку "Добавить"
Image Removed
Image Added
Далее заполняем все поля. "Кодовое слово" - кодовое слово radius, будет передаваться вместе с атрибутами radius. Данные профилей сохраняются MongoDB sorm2.profiles.
Image Removed
Image Added
Далее необходимо наш профиль закрепить в "Дереве доменов" за доменом. Нажимаем иконку и вибираем тот домен за которым хотим закрепить профиль.
Данные привязок профилей к доменам сохраняются MongoDB sorm2.links.
Image Removed
Image Added
Якорь |
---|
| _Toc496724816 |
---|
| _Toc496724816 |
---|
|
5 Настройка Eltex-radius-sorm3-federal
Якорь |
---|
| _Toc496724817 |
---|
| _Toc496724817 |
---|
|
5.1 Установка Eltex-radius-sorm3-federal
Установку нужно производить на ОС: Linux Ubuntu Server 14.04 x64 LTS. Для корректного формирования выгрузок, нужно настроить время и часовой поя. Для работы модуля необходимо установить следующие пакеты:
‒ Oracle JDK8;
Установка JDK8 описана в пункте 4.1 https://docs.eltex-co.ru/pages/viewpage.action?pageId=36480442#id-СОРМ.v2-_Toc4967248094.1УстановкаинастройкаEltex-sorm2-replicator
...
root@vagrant-ubuntu-trusty-64:~$ sudo dpkg -i eltex-radius-sorm3-federal_1.8-248_all.deb
Selecting previously unselected package eltex-radius-sorm3.
(Reading database ... 63224 files and directories currently installed.)
Preparing to unpack eltex-radius-sorm3-federal_1.8-248_all.deb ...
Unpacking eltex-radius-sorm3 (1.8-248) ...
Setting up eltex-radius-sorm3 (1.8-248) ...
root@vagrant-ubuntu-trusty-64:/home/vagrant#
Якорь |
---|
| _Toc496724818 |
---|
| _Toc496724818 |
---|
|
5.2 Настройка Eltex-radius-sorm3-federal
Конфигурационный файл лежит в директории
...
Информация |
---|
|
Рекомендутся выбрать период наименьшей загрузки сети и минимизировать возможность пересечения с другими мониторами EMS и cron softwlc. |
Якорь |
---|
| _Toc496724819 |
---|
| _Toc496724819 |
---|
|
5.3 Настройка системы управления EMS
Якорь |
---|
| _Toc496724820 |
---|
| _Toc496724820 |
---|
|
5.3.1 Настройка поля «Регион»
Для корректной выгрузки поля REGION_ID в справочники, нужно заполнить поле «Регион» в свойствах домена. Для данного поля работает наследование сверху вниз. Поиск региона проходит от нижестоящего узла к вышестоящему, при нахождение первого узла с заполненным регионом поиск прекращается. Для заполнения поля регион нужно перейти в меню «Домены», Администрирование-> Права и пользователи-> Домены, и отредактировать домен.
Image Removed
Image Added
Заполнение нужно произвести до запуска пакетов, так как полный список абонентов выгружается при первой выгрузке, в последующих выгрузках только измененные и новые записи. Если поле заполнить после запуска Eltex-radius-sorm3-federal, то в первой выгрузке оно будет пустым. Если поле заполнить после запуска Eltex-sorm2-replicator, то в выгрузки RADIUS accounting оно будет пустым.
Якорь |
---|
| _Toc496724821 |
---|
| _Toc496724821 |
---|
|
5.3.2 Заполнение геоданных объектов
Для выполнение требований по СОРМ нужно заполнить адрес установки и географические координаты у ТД.
В привязках правил инициализации ТД добавлены новые поля «Широта» и «Долгота», при добавление нового правила эти поля обязательные для заполнения. Координаты нужно вводить в формате «37.587614». Для заполнения адреса можно воспользоваться функционалом заполнения по КЛАДРу (кнопка «Заполнить местоположение»), если адрес уже заполнен и нужны только географические координаты можно воспользоваться функционалом заполнения геокоординат (кнопка «Заполнения геокоординаты»). Функционал автоматического заполнения местоположения и геокоординат требует доступ до одного серверов:
...
так как запросы идут с сервера EMS. Выбор системы для геокодирования осуществляется в системных модулях EMS, по умолчанию используется Google.
Альтернативный способ получение координаты через https://yandex.ru/maps или https://www.google.ru/maps
Для активации, геоданных объектов и сделать поля обязательным для заполнения. необходимо выставить флаги «Включить геоданные объектов» и «Включить обязательность геоданных объектов» в системных модулях EMS
Image Removed
Image Added
Image Removed
Image Added
Информация в Привязках инициализации и вкладке Доступ меняется синхронно. Изменение в одном месте, автоматически изменяет данные в другом. Повторная инициализация ТД, добавленных до включения блока геоданных, не требуется.
Якорь |
---|
| _Toc496724822 |
---|
| _Toc496724822 |
---|
|
5.3.3 Заполнение поля Framed-IP-Address для WPA Enterprise на ТД «Элтекс»
Для заполнения поля Framed-IP-Address в start пакетах RADIUS accounting нужно включить опцию «Accounting wait IP» в настройках SSID с типом авторизации WPA Enterprise. Данная опция активирует отправку start пакет только после получения IP-адреса клиентом. Опция «Accounting wait IP» отображается если выставлен флаг «Режим суперпользователя» в настройках апплета.
Image Removed
Image Added
Image Removed
Image Added Якорь |
---|
| _Toc496724823 |
---|
| _Toc496724823 |
---|
|
5.3.4 Активация монитора синхронизации устройств
Для корректной выгрузки информации о базовых станциях, должен работать монитор синхронизации устройств.
Image Removed
Image Added
5.3.5 Настройка DPI (Step Logic)
Чтобы включить DPI, необходимо активировать его на точке доступа и на SSID.
...
- Выбрать точку доступа и перейти во вкладку "Доступ"
Image Removed
Image Added - Нажать кнопку "Редактировать" и установить флаг DPI (Step Logic), затем "Принять" установленные изменения
Image Removed
Image Added
Второй способ
Данный способ подходит для группового включения на нескольких точках.
- Перейти в необходимы домен (в примере addr1)
Image Removed
Image Added
2. Затем во вкладке "Список устройств", выбрать устройства на которых нужно влючить DPI. Для удобства выборки устройств, их можно отсортировать по типу.
Image Removed
Image Added
3. Далее в "Групповых операциях" находим "Смена параметров Доступ'' и нажимаем "Выполнить"
Image Removed
Image Added
Image Removed
Image Added
4. Устанавливаем 2 флага и жмем "Применить"
Image Removed
Image Added DPI Включен
Image Removed
Image Added DPI Выключен
...
- Переходим в "Менеджер SSID"
Image Removed
Image Added
2. Выбираем SSID на котором хотим включить DPI, и нажимает "Редактировать"
Image Removed
Image Added
3. Включаем "DPI (Step Logic)" и применяем изменения.
Image Removed
Image Added
4. Далее необходимо обновить информацию на точках доступа, перейдем в "Привязки SSID", выберем SSID в котором мы установили флаг и нажмем
Image Removed
Image Added
Image Removed
Image Added
Настройка DPI на этом заканчивается.
...
Пример трафика с включенным и выключненным DPI
DPI выключен.
Image Removed
Image Added
DPI включен.
Image Removed
Image Added
5.4 Настройка Eltex-radius-nbi
В конфигурационном файле
/etc/eltex-radius-nbi/radius_nbi_config.txt
...
- Выгрузку изменений в учетных записях пользователей Wi-Fi
- Проверку наличия данных об операторе (ФИО) при создании и редактировании учетных записей пользователей Wi-Fi
5.5 Настройка Конструктора порталов
После активации параметра sorm3.enabled, взаимодействие с NBI под учетной записью по умолчанию (admin) будет запрещено, если у записи не заполнены обязательные поля. Для корректной работы портала нужно использовать служебную запись softwlc_service/softwlc для взаимодействие с NBI. Для изменения данных доступа к NBI, нужно в конструкторе порталом перейти на вкладку «Доступ к NBI» и прописать новые данные.
Image Removed
Image Added
5.5 Настройка Личного кабинета B2B
Якорь |
---|
| _Toc496724824 |
---|
| _Toc496724824 |
---|
|
5.6.1 Заполнение обязательных полей у администраторов ЛК B2B
Поля ФИО и номер телефона стали обязательными у учетных записей администраторов ЛК B2B. При создании/редактировании пользователей Wi-Fi, фиксируются данные администратора, который внес изменения в учетную запись. Если поля не заполнены, то администратор не сможет редактировать и создавать учетные записи пользователей Wi-Fi.
Для заполнения данных нужно перейти на вкладку Настройка->Системные пользователи, выбрать учетную запись и заполнять обязательные поля.
Image Removed
Image Added
Якорь |
---|
| _Toc496724825 |
---|
| _Toc496724825 |
---|
|
5.6.2 Заполнение обязательных полей у пользователей Enterprise
Для выполнения требования по СОРМу, необходимо заполнить обязательные поля у учетных записей пользователей Enterprise. Для корректирования текущих записей нужно в личном кабинете B2B открыть запись для редактирования и заполнить соответствующие поля. Якорь |
---|
| _Toc216162121 |
---|
| _Toc216162121 |
---|
|
Якорь |
---|
| _Ref216164828 |
---|
| _Ref216164828 |
---|
|
Якорь |
---|
| _Toc219621822 |
---|
| _Toc219621822 |
---|
|
Якорь |
---|
| _Ref219687508 |
---|
| _Ref219687508 |
---|
|
Якорь |
---|
| _Ref219696775 |
---|
| _Ref219696775 |
---|
|
Якорь |
---|
| _Toc237411249 |
---|
| _Toc237411249 |
---|
|
Якорь |
---|
| _Toc359315028 |
---|
| _Toc359315028 |
---|
|
Якорь |
---|
| _Ref361237878 |
---|
| _Ref361237878 |
---|
|
Якорь |
---|
| _Ref397593423 |
---|
| _Ref397593423 |
---|
|
Якорь |
---|
| _Ref397593432 |
---|
| _Ref397593432 |
---|
|
Якорь |
---|
| _Ref404588517 |
---|
| _Ref404588517 |
---|
|
Якорь |
---|
| _Toc420500462 |
---|
| _Toc420500462 |
---|
|
Якорь |
---|
| _Toc476225576 |
---|
| _Toc476225576 |
---|
|
Якорь |
---|
| _Toc478051007 |
---|
| _Toc478051007 |
---|
|
Якорь |
---|
| _Ref216159238 |
---|
| _Ref216159238 |
---|
|
Image Removed
Image Added
Якорь |
---|
| _Toc496724826 |
---|
| _Toc496724826 |
---|
|
6 Рекомендации по распределению модулей
Модули Eltex-sorm2-replicator и Eltex-radius-sorm3 можно расположить на одном сервере. Для высоконагруженных систем нужно использовать кластер из двух и более нод Eltex-sorm2-replicator. В кластере весь RADIUS трафик приходит на определенную ноду Eltex-sorm2-replicator , а обработка делится между остальными участниками. Eltex-radius-sorm3 нужно запускать только на одной ноде.
Якорь |
---|
| _Toc496724827 |
---|
| _Toc496724827 |
---|
|
7 Настройка кластера Eltex-sorm2-replicator
Для настройки кластера нужно подготовить второй сервер аналогично первому, настройка описана в п. 4. Между серверами Eltex-sorm2-replicator нужно открыть порты 5701 tcp, 5801 tcp На серверах в файлах конфигурации /etc/eltex-sorm2-replicator/hazelcast-cluster.xml нужно указать адреса сетевых интерфейсов (в строках 3 и 24 в примере - адрес самого сервера, в строке 8 адрес сети, где нужно искать участников кластера, в строках 16-17 - список всех членов кластера ), отключить multicast и включить tcp-ip режим обнаружения.
...