Содержание
Оглавление
Версия документа | Дата выпуска | Содержание изменений |
Версия 1.0 | 21.08.2017 | Первая публикация. |
Версия 1.1 | 21.09.2017 | Выгрузка в СОРМ-3 изменений в записях пользователей Wi-Fi |
Версия 1.3 | 24.10.2017 | Добавление данных оператора в выгрузку СОРМ-3 |
Версия 1.4 | 07.12.2017 | Добавление параметра sorm3.enabled |
Версия 1.6 | 27.02.2018 | Корректировка п.5.3.3 |
Версия 1.7 | 20.04.2018 | Формата даты в выгрузках приведен к виду yyyy-MM-dd HH:mm:ss |
| Версия 1.8 | 14.05.2019 | Добавлен DPI |
Версии программного обеспечения | ESR-1000 1.4.1 |
Общая архитектура для релиза SoftWLC 1v13
1.1 Сетевая архитектура решения
Рисунок 1 – Общая сетевая топология решения
Между ESR-1000 и точками доступа поднимаются SoftGRE-туннели сквозь L3-инфраструктуру оператора. От каждой точки доступа формируется два туннеля: Management-туннель для передачи трафика управления и Data-туннель для передачи абонентского трафика.
Внутри Management-туннеля передается трафик управления точкой доступа в отдельной сети управления. Данная подсеть невидима для L3-сегмента оператора, скрываясь за заголовками GRE-туннеля. Внутри Data-туннеля передается абонентский трафик. Этот трафик терминируется на ESR-1000 и далее маршрутизируется в сеть оператора (в сторону его NAT).
Якорь __RefHeading__1589_1911731014 __RefHeading__1589_1911731014
Якорь __RefHeading__1636_1911731014 __RefHeading__1636_1911731014
Якорь __RefHeading___Toc485396626 __RefHeading___Toc485396626
Якорь _Toc496724803 _Toc496724803
1.2 Порядок прохождения трафика в схеме BRAS
| __RefHeading__1589_1911731014 | |
| __RefHeading__1589_1911731014 |
| __RefHeading__1636_1911731014 | |
| __RefHeading__1636_1911731014 |
| __RefHeading___Toc485396626 | |
| __RefHeading___Toc485396626 |
| _Toc496724803 | |
| _Toc496724803 |
Рисунок 2 – Порядок прохождения трафика в схеме BRAS
...
Клиент, подключается к открытой SSID, отправляет DHCP запрос. Этот запрос проходя через ТД(ESR-10) инкапсулируется в GRE туннель и передается к ESR. На ESR DHCP-relay перенаправляет запросы к серверу SoftWLC. Ответ проходит в обратном направлении до клиента. Клиенту выдается IP адрес.
При прохождении авторизации на WEB портале, HTTP запросы пользователя проксируются в ESR, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR (PROXY IP). Поэтому между ESR и SoftWLC весь HTTP(S) трафик будет идти с IP адресом ESR а не клиента. Весь остальной трафик будет идти с USER IP адресом.
После прохождения авторизации, весь трафик пользователя в сторону NAT, будет без подмены Source адреса (USER IP). Если используется функционал URL фильтрация, то после прохождения авторизации HTTP(S) трафик пользователя проксируются в ESR, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR (PROXY IP). Поэтому между ESR и NAT весь HTTP(S) трафик будет идти с IP адресом ESR а не клиента. Весь остальной трафик будет идти с USER IP адресом. При прохождении через NAT, для трафика пользователя будет устанавливаться «Белый» IP адрес NAT.
При снятии трафика СОРМ, должна учитываться эта реализация.
Якорь __RefHeading__1591_1911731014 __RefHeading__1591_1911731014
Якорь __RefHeading__1638_1911731014 __RefHeading__1638_1911731014
Якорь _Toc496724804 _Toc496724804
1.3 Порядок прохождения трафика в схеме ТД «Элтекс»
| __RefHeading__1591_1911731014 | |
| __RefHeading__1591_1911731014 |
| __RefHeading__1638_1911731014 | |
| __RefHeading__1638_1911731014 |
| _Toc496724804 | |
| _Toc496724804 |
Рисунок 3 – Порядок прохождения трафика в схеме ТД «Элтекс»
...
При прохождении авторизации на WEB портале, HTTP запросы пользователя проксируются в ТД. После прохождения авторизации весь трафик клиента будет идти с IP-адреса (User IP), который он получил по DHCP.
Якорь __RefHeading___Toc485396627 __RefHeading___Toc485396627
Якорь __RefHeading__1640_1911731014 __RefHeading__1640_1911731014
Якорь _Toc496724805 _Toc496724805
1.4 Передача трафика RADIUS accounting через сеть
| __RefHeading___Toc485396627 | |
| __RefHeading___Toc485396627 |
| __RefHeading__1640_1911731014 | |
| __RefHeading__1640_1911731014 |
| _Toc496724805 | |
| _Toc496724805 |
На ТД «Элтекс» настроены SSID с авторизацией Enterprise, данные RADIUS accounting передаются с ТД в GRE туннеле до ESR (в VRF AP-core), а затем к SoftWLC в (VRF- Baskbone).
На ТД «Элтекс» c Hotspot авторизацией данные RADIUS accounting передаются с ТД в GRE туннеле до ESR (в VRF AP-core), а затем к SoftWLC в (VRF- Baskbone).
На ТД «Элтекс» c Hotspot авторизацией и интеграцией с HotWiFi данные RADIUS accounting формируются на ESR-1000 (BRAS), а затем передаются к SoftWLC в (VRF- Baskbone).
На ТД других производителей, включенных через ESR-10, с Hotspot авторизацией, данные RADIUS accounting формируются на ESR-1000 (BRAS), а затем передаются к SoftWLC в (VRF- Baskbone).
Таким образом весь accounting трафик проходит через VRF Backbone, от регионального ESR к SoftWLC.
Рисунок 4 – Порядок прохождения RADIUS accounting через сеть оператора
...
Якорь _MON_1564492460 _MON_1564492460
Рисунок 5 – Порядок прохождения RADIUS accounting в системе SoftWLC
Якорь _Toc496724806 _Toc496724806
2 Описание пакета Eltex-sorm2-replicator
| _Toc496724806 | |
| _Toc496724806 |
Eltex-sorm2-replicator является дополнительным модулем системы SoftWLC. Основные задачи данного модуля:
...
| Предупреждение | ||
|---|---|---|
| ||
| Если ни одним из способов не удалось найти Ap-Domain точки доступа, то трафик не может быть отправлен на Региональный съемник (привязки которых настраиваются в пункте 4.6). Однако, в этом случае трафик все равно может быть отправлен на Глобальный съемник (global.clients в eltex-sorm2-replicator.json), если хотя бы один из них настроен в конфигурации. Глобальный съемник получает весь трафик, обрабатываемый sorm2-relicator'ом. |
Якорь _Toc496724807 _Toc496724807
3 Описание пакета Eltex-radius-sorm3-federal
| _Toc496724807 | |
| _Toc496724807 |
Eltex-radius-sorm3-federal является дополнительным модулем системы SoftWLC. Основная задача данного модуля – подготовка и выгрузка данных об абонентах и базовых станциях на FTP сервер для системы ИС СОРМ «Январь» (МФИ-СОФТ). Работу данного модуля можно разделить на две части:
...
2. Загрузка сформированных данных на FTP сервер.
Якорь _Toc496724808 _Toc496724808
4 Настройка Eltex-sorm2-replicator
| _Toc496724808 | |
| _Toc496724808 |
Якорь _Toc496724809 _Toc496724809
4.1 Установка и настройка Eltex-sorm2-replicator
| _Toc496724809 | |
| _Toc496724809 |
Установку нужно производить на ОС: Linux Ubuntu Server 14.04 x64 LTS.
Для корректного формирования выгрузок, нужно настроить время и часовой пояс. Для работы модуля необходимо установить следующий пакет:Якорь OLE_LINK1 OLE_LINK1
‒ Oracle JDK8.
Для установки Oracle JDK8 нужно выполнить следующие команды:
...
Eltex-sorm2-replicator распределяет файл в папках FTP сервера по дням, чтобы не столкнуться с проблемой Все файлы в одной директории на FTP. Имя директории имеет вид yyyyMMdd (годМесяцДень). Если бы все файлы сохранялись в одной директории, то рано или позно мы бы уперлись в Maximum number of files per directory, значение которого варьируется в зависимости от типа файловой системы, или банальные неудобства (задержки) при навигации по файлам. Таким образом путь к файлу будет иметь вид yyyyMMdd/file.csv. Корневую директорию для файлоы на FTP сервере можно изменить в параметре acct_dir. Например, acct_dir: ACCO. Тогда путь к файлу будет иметь вид ACCO/yyyyMMdd/file.csv. По умолчанию acct_dir: null, путь к файлу yyyyMMdd/file.csv.
Якорь _Toc496724810 _Toc496724810
4.2 Настройка состава колонок в выгрузке IP_ACC_N_yyyyMMdd_Hhmm.csv
| _Toc496724810 | |
| _Toc496724810 |
Для изменения списка колонок нужно внести изменения в конфигурационный файл /etc/eltex-sorm2-replicator/sorm3-columns.json и перезапустить сервис Eltex-sorm2-replicator.
...
По умолчанию включены все колонки кроме "L2_INTERFACE".
Якорь _Toc496724810 _Toc496724810
4.3 Настройка уведомлений при перезапуске сервиса Eltex-sorm2-replicator
| _Toc496724810 | |
| _Toc496724810 |
Устанавливаем пакет mailutils ssmtp. Настраиваем адрес smtp сервера и логин/пароль для доступа к нему в /etc/ssmtp/ssmtp.conf
...
Выполнить скрипт /usr/lib/eltex-sorm2-replicator/check.sh, сервис должен запустится, на адрес назначения придет уведомление.
Якорь _Toc496724811 _Toc496724811
4.4 Настройка пересылки RADIUS accounting
| _Toc496724811 | |
| _Toc496724811 |
На серверах принимающих RADIUS accounting нужно настроить пересылку в Eltex-sorm2-replicator, при помощи набора правил IPTables. Данные правила копируют оригинальный пакет пришедший на DST порт 1813 или 31813 и отправляют его на DST порт 41813 в Eltex-sorm2-replicator. У исходящего пакета производится подмена SRC и DST IP-адресов.
Настройку производим на RADIUS-серверах SoftWLC (Eltex-pcrf и Eltex-radius). Создаем файл IPTables-sorm2 с содержимым:
...
Применить изменения
sudo sysctl -p
Якорь _Toc496724812 _Toc496724812
4.5 Настройка Eltex-radius-nbi
| _Toc496724812 | |
| _Toc496724812 |
Для активировации подключения к БД mongo SORM2 и подключения к API интерфейсу Eltex-sorm2-replicator, в конфигурационном файле "radius_nbi_config.txt" необходимо исправить следующие строки:
...
Для применения конфигурации нужно перезапустить Tomcat7
service tomcat7 restart
Якорь _Toc496724814 _Toc496724814
4.6Настройка IP-адресов региональных съемников в ЛК B2B
| _Toc496724814 | |
| _Toc496724814 |
Для корректно работы Eltex-sorm2-replicator, для всех доменов в которых расположены RADIUS клиенты, нужно задать IP-адреса съёмников, данная настройка производится в Личном кабинете B2B.
Для активации меню настройки нужно перейти в меню Настройки-> Система-> Система и активировать настройку «Настройка СОРМ-2 в «Дереве доменов»». Для применения, перезайти в Личный кабинет B2B.
Сначала необходимо создать профиль. Переходим во владку "СОРМ-2" и нажимаем кнопку "Добавить"
Далее заполняем все поля. "Кодовое слово" - кодовое слово radius, будет передаваться вместе с атрибутами radius. Данные профилей сохраняются MongoDB sorm2.profiles.
Далее необходимо наш профиль закрепить в "Дереве доменов" за доменом. Нажимаем иконку и вибираем тот домен за которым хотим закрепить профиль.
Данные привязок профилей к доменам сохраняются MongoDB sorm2.links.
Якорь _Toc496724816 _Toc496724816
5 Настройка Eltex-radius-sorm3-federal
| _Toc496724816 | |
| _Toc496724816 |
Якорь _Toc496724817 _Toc496724817
5.1 Установка Eltex-radius-sorm3-federal
| _Toc496724817 | |
| _Toc496724817 |
Установку нужно производить на ОС: Linux Ubuntu Server 14.04 x64 LTS. Для корректного формирования выгрузок, нужно настроить время и часовой поя. Для работы модуля необходимо установить следующие пакеты:
‒ Oracle JDK8;
Установка JDK8 описана в пункте 4.1 https://docs.eltex-co.ru/pages/viewpage.action?pageId=36480442#id-СОРМ.v2-_Toc4967248094.1УстановкаинастройкаEltex-sorm2-replicator
...
root@vagrant-ubuntu-trusty-64:~$ sudo dpkg -i eltex-radius-sorm3-federal_1.8-248_all.deb
Selecting previously unselected package eltex-radius-sorm3.
(Reading database ... 63224 files and directories currently installed.)
Preparing to unpack eltex-radius-sorm3-federal_1.8-248_all.deb ...
Unpacking eltex-radius-sorm3 (1.8-248) ...
Setting up eltex-radius-sorm3 (1.8-248) ...
root@vagrant-ubuntu-trusty-64:/home/vagrant#
Якорь _Toc496724818 _Toc496724818
5.2 Настройка Eltex-radius-sorm3-federal
| _Toc496724818 | |
| _Toc496724818 |
Конфигурационный файл лежит в директории
...
| Информация | ||
|---|---|---|
| ||
Рекомендутся выбрать период наименьшей загрузки сети и минимизировать возможность пересечения с другими мониторами EMS и cron softwlc. |
Якорь _Toc496724819 _Toc496724819
5.3 Настройка системы управления EMS
| _Toc496724819 | |
| _Toc496724819 |
Якорь _Toc496724820 _Toc496724820
5.3.1 Настройка поля «Регион»
| _Toc496724820 | |
| _Toc496724820 |
Для корректной выгрузки поля REGION_ID в справочники, нужно заполнить поле «Регион» в свойствах домена. Для данного поля работает наследование сверху вниз. Поиск региона проходит от нижестоящего узла к вышестоящему, при нахождение первого узла с заполненным регионом поиск прекращается. Для заполнения поля регион нужно перейти в меню «Домены», Администрирование-> Права и пользователи-> Домены, и отредактировать домен.
Заполнение нужно произвести до запуска пакетов, так как полный список абонентов выгружается при первой выгрузке, в последующих выгрузках только измененные и новые записи. Если поле заполнить после запуска Eltex-radius-sorm3-federal, то в первой выгрузке оно будет пустым. Если поле заполнить после запуска Eltex-sorm2-replicator, то в выгрузки RADIUS accounting оно будет пустым.
Якорь _Toc496724821 _Toc496724821
5.3.2 Заполнение геоданных объектов
| _Toc496724821 | |
| _Toc496724821 |
Для выполнение требований по СОРМ нужно заполнить адрес установки и географические координаты у ТД.
В привязках правил инициализации ТД добавлены новые поля «Широта» и «Долгота», при добавление нового правила эти поля обязательные для заполнения. Координаты нужно вводить в формате «37.587614». Для заполнения адреса можно воспользоваться функционалом заполнения по КЛАДРу (кнопка «Заполнить местоположение»), если адрес уже заполнен и нужны только географические координаты можно воспользоваться функционалом заполнения геокоординат (кнопка «Заполнения геокоординаты»). Функционал автоматического заполнения местоположения и геокоординат требует доступ до одного серверов:
...
так как запросы идут с сервера EMS. Выбор системы для геокодирования осуществляется в системных модулях EMS, по умолчанию используется Google.
Альтернативный способ получение координаты через https://yandex.ru/maps или https://www.google.ru/maps
Для активации, геоданных объектов и сделать поля обязательным для заполнения. необходимо выставить флаги «Включить геоданные объектов» и «Включить обязательность геоданных объектов» в системных модулях EMS 
Информация в Привязках инициализации и вкладке Доступ меняется синхронно. Изменение в одном месте, автоматически изменяет данные в другом. Повторная инициализация ТД, добавленных до включения блока геоданных, не требуется.
Якорь _Toc496724822 _Toc496724822
5.3.3 Заполнение поля Framed-IP-AddressЯкорь OLE_LINK6 OLE_LINK6
для WPA Enterprise на ТД «Элтекс»
| _Toc496724822 | |
| _Toc496724822 |
| OLE_LINK6 | |
| OLE_LINK6 |
Для заполнения поля Framed-IP-Address в start пакетах RADIUS accounting нужно включитьЯкорь OLE_LINK4 OLE_LINK4
опцию «Accounting wait IP» в настройках SSID с типом авторизации WPA Enterprise. Данная опция активирует отправку start пакет только после получения IP-адреса клиентом. Опция «Accounting wait IP» отображается если выставлен флаг «Режим суперпользователя» в настройках апплета.Якорь OLE_LINK5 OLE_LINK5
Якорь _Toc496724823 _Toc496724823
5.3.4 Активация монитора синхронизации устройств
Для корректной выгрузки информации о базовых станциях, должен работать монитор синхронизации устройств.
Якорь _DPI_ _DPI_
5.3.5 Настройка DPI (Step Logic)
| _DPI_ | |
| _DPI_ |
Чтобы включить DPI, необходимо активировать его на точке доступа и на SSID.
...
- Выбрать точку доступа и перейти во вкладку "Доступ"
- Нажать кнопку "Редактировать" и установить флаг DPI (Step Logic), затем "Принять" установленные изменения
Второй способ
Данный способ подходит для группового включения на нескольких точках.
- Перейти в необходимы домен (в примере addr1)
2. Затем во вкладке "Список устройств", выбрать устройства на которых нужно влючить DPI. Для удобства выборки устройств, их можно отсортировать по типу.
3. Далее в "Групповых операциях" находим "Смена параметров Доступ'' и нажимаем "Выполнить" 
4. Устанавливаем 2 флага и жмем "Применить"
DPI Включен
DPI Выключен
...
- Переходим в "Менеджер SSID"
2. Выбираем SSID на котором хотим включить DPI, и нажимает "Редактировать"
3. Включаем "DPI (Step Logic)" и применяем изменения.
4. Далее необходимо обновить информацию на точках доступа, перейдем в "Привязки SSID", выберем SSID в котором мы установили флаг и нажмем 
Настройка DPI на этом заканчивается.
...
Пример трафика с включенным и выключненным DPI
DPI выключен.
DPI включен.
5.4 Настройка Eltex-radius-nbi
В конфигурационном файле
/etc/eltex-radius-nbi/radius_nbi_config.txt
...
- Выгрузку изменений в учетных записях пользователей Wi-Fi
- Проверку наличия данных об операторе (ФИО) при создании и редактировании учетных записей пользователей Wi-Fi
5.5 Настройка Конструктора порталов
После активации параметра sorm3.enabled, взаимодействие с NBI под учетной записью по умолчанию (admin) будет запрещено, если у записи не заполнены обязательные поля. Для корректной работы портала нужно использовать служебную запись softwlc_service/softwlc для взаимодействие с NBI. Для изменения данных доступа к NBI, нужно в конструкторе порталом перейти на вкладку «Доступ к NBI» и прописать новые данные.
5.5 Настройка Личного кабинета B2B
Якорь _Toc496724824 _Toc496724824
5.6.1 Заполнение обязательных полей у администраторов ЛК B2B
| _Toc496724824 | |
| _Toc496724824 |
Поля ФИО и номер телефона стали обязательными у учетных записей администраторов ЛК B2B. При создании/редактировании пользователей Wi-Fi, фиксируются данные администратора, который внес изменения в учетную запись. Если поля не заполнены, то администратор не сможет редактировать и создавать учетные записи пользователей Wi-Fi.
Для заполнения данных нужно перейти на вкладку Настройка->Системные пользователи, выбрать учетную запись и заполнять обязательные поля.
Якорь _Toc496724825 _Toc496724825
5.6.2Якорь OLE_LINK7 OLE_LINK7
Заполнение обязательных полей у пользователей Enterprise
| _Toc496724825 | |
| _Toc496724825 |
| OLE_LINK7 | |
| OLE_LINK7 |
Для выполнения требования по СОРМу, необходимо заполнить обязательные поля у учетных записей пользователей Enterprise. Для корректирования текущих записей нужно в личном кабинете B2B открыть запись для редактирования и заполнить соответствующие поля.Якорь _Toc216162121 _Toc216162121 Якорь _Ref216164828 _Ref216164828 Якорь _Toc219621822 _Toc219621822 Якорь _Ref219687508 _Ref219687508 Якорь _Ref219696775 _Ref219696775 Якорь _Toc237411249 _Toc237411249 Якорь _Toc359315028 _Toc359315028 Якорь _Ref361237878 _Ref361237878 Якорь _Ref397593423 _Ref397593423 Якорь _Ref397593432 _Ref397593432 Якорь _Ref404588517 _Ref404588517 Якорь _Toc420500462 _Toc420500462 Якорь _Toc476225576 _Toc476225576 Якорь _Toc478051007 _Toc478051007 Якорь _Ref216159238 _Ref216159238 
Якорь _Toc496724826 _Toc496724826
6 Рекомендации по распределению модулей
| _Toc496724826 | |
| _Toc496724826 |
Модули Eltex-sorm2-replicator и Eltex-radius-sorm3 можно расположить на одном сервере. Для высоконагруженных систем нужно использовать кластер из двух и более нод Eltex-sorm2-replicator. В кластере весь RADIUS трафик приходит на определенную ноду Eltex-sorm2-replicator , а обработка делится между остальными участниками. Eltex-radius-sorm3 нужно запускать только на одной ноде.
Якорь _Toc496724827 _Toc496724827
7 Настройка кластера Eltex-sorm2-replicator
| _Toc496724827 | |
| _Toc496724827 |
Для настройки кластера нужно подготовить второй сервер аналогично первому, настройка описана в п. 4. Между серверами Eltex-sorm2-replicator нужно открыть порты 5701 tcp, 5801 tcp На серверах в файлах конфигурации /etc/eltex-sorm2-replicator/hazelcast-cluster.xml нужно указать адреса сетевых интерфейсов (в строках 3 и 24 в примере - адрес самого сервера, в строке 8 адрес сети, где нужно искать участников кластера, в строках 16-17 - список всех членов кластера ), отключить multicast и включить tcp-ip режим обнаружения.
...