Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 9 Следующий »

1. Общее описание работы BRAS.

Для использования функционала BRAS в схеме включения L3 можно использовать сервисные маршрутизаторы Элтекс ESR-100/200/1000/1200/1500/1700. Данный функционал позволяет предоставить возможность идентификации клиентов Wi-Fi, подключающихся к точкам доступа производства различных производителей. В общем виде от BRAS требуются следующие функции:

  • При приеме клиентского трафика нужно понять, авторизован этот клиент в системе или нет;
  • Если клиент авторизован, то пустить его в Интернет. Если не авторизован, то перенаправить его на Портал авторизации, где он должен подтвердить свою личность (с помощью SMS, звонка или учетной записи ЕСИА);
  • После того, как клиент авторизовался на Портале, BRAS должен узнать об этом, применив к трафику клиента различные политики доступа;
  • В процессе обработки клиентского трафика BRAS должен считать и пересылать статистику вышестоящей системе для ее последующего анализа и хранения.

BRAS является исполнительным механизмом, применяющим определенные политики к абонентскому трафику в соответствии с директивами, которые передаются ему от вышестоящей системы SoftWLC, в которой как раз принимаются решения на основании данных, передаваемых BRAS. В составе SoftWLC с BRAS взаимодействуют и пересылают ему директивы по работе с абонентами 2 модуля: PCRF и Портал.

1.1 Идентификация элементов системы.

Для того, чтобы различать абонентов между собой BRAS-у требуется какой-либо идентификатор, однозначно идентифицирующий абонента. Этим идентификатором является MAC абонентского устройства. Поэтому необходимо, чтобы на BRAS попадал трафик, с MAC-заголовками клиентов. Для этого необходимо обеспечить между абонентом и BRAS L2-сеть или, же пробросить абонентский трафик до BRAS внутри VPN через L3-инфраструктуру оператора. Для организации такого VPN в сети клиента устанавливается маршрутизатор ESR-10/20/100/200, который поднимает GRE-туннели до ESR-100/200/1000/1200/1500/1700, которые могут работать в режиме Wireless-Controller (подробнее о данном режиме можно прочитать в Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)). Точки доступа Eltex так же могут строить GRE-туннели, что делает возможным их подключение к BRAS через L3-инфраструктуру оператора без дополнительной установки ESR-10/20/100/200. Ниже, на рис. 1.1.1 приведена общая схема включения:

Рис. 1.1.1.

ESR могут выступать в роли:

  • ESR BRAS, который выполняет функции терминирования GRE туннелей и функции BRAS - далее он будет называться "ESR BRAS L3".
  • ESR, который устанавливается у клиента, и который осуществляет функцию устройства, которое будет производить инкапсуляцию трафика от клиентских ТД в GRE и передавать его для дальнейшей обработки на ESR BRAS L3 - далее такой ESR будем называть "ESR Client".

Ниже, в таблице 1.1 приведены типы ESR и возможные выполняемые ими роли:

Тип ESRESR BRAS L3ESR Client
ESR-10-+
ESR-20-+
ESR-100++
ESR-200++
ESR-1000+-
ESR-1200+-
ESR-1500+-
ESR-1700+-

Таблица 1.1.

ТД сторонних производителей далее будут называться "Generic AP".

Схема включения ТД сторонних производителей через инфраструктуру L3 оператора с использованием ESR Client для инкапсуляции трафика клиента в GRE называется "Интероперабельность", или сокращено "Interop".

Кроме идентификации абонента необходимо также понимать, к какому SSID клиент подключился, к какой точке доступа, в каком офисе. Для этого необходимо идентифицировать эти объекты.

С учетом передачи трафика между абонентом и BRAS по L2-сети таким идентификатором является VLAN. В результате, чтобы BRAS отличил трафик одного SSID от трафика другого SSID, нужно трафик одного SSID передавать в одном VLAN, например, 10, а трафик другого SSID - в другом, например, 11. Но если каждый из этих SSID будет настроены на 2 точках доступа, то BRAS на основании 10 и 11 VLAN сможет отличить SSID друг от друга, а вот понять, с какой точки доступа идет трафик - нет. Поэтому для идентификации точек доступа необходимо внедрять дополнительные VLAN: SSID1 на ТД1 - 10 VLAN, SSID2 на ТД2 - 11 VLAN, SSID1 на ТД2 - 12 VLAN, SSID2 на ТД2  - 13 VLAN. Тогда, если на BRAS придет трафик из 12 VLAN,  то BRAS поймет, что это трафик абонента, подключившегося к SSID1 на второй точке доступа.

Так же существует возможность идентификации клиентов, подключенных к разным ТД, SSID которых передается в одинаковом влан, при добавлении option 82 в DHCP запросы клиентов на портах коммутатора, через который данные ТД подключены к ESR Client. Начиная с версии ПО 1.11.2 ESR, реализован функционал, анализирующий такие пакеты и обогащающий ими radius трафик в формате, определенном в RFC4679.

1.2 Мониторинг точек доступа.

Существует 3 группы точек доступа:

  • Точки доступа "Элтекс";
  • Точки доступа других производителей (Generic AP), которые оператор предоставляет клиенту или клиент согласовывает с оператором связи подсеть и настройки, необходимые для мониторинга;
  • Точки доступа клиента (Generic AP), мониторинг которых он осуществляет самостоятельно.

В случае с точками доступа Элтекс доступны все механизмы мониторинга, предоставляемые модулями EMS и Личный Кабинет. К ним относятся:

  • Мониторинг доступности по SNMP и ICMP
  • Мониторинг аварийных сообщений.
  • Мониторинг параметров точки: температура, загрузка процессора, оперативной памяти и др. (подробнее в документации EMS)
  • Мониторинг параметров радиоокружения
  • Мониторинг радиопараметров подключившихся пользователей
  • Мониторинг статистики сети
  • Cтатистика пользовательских посещений (ЛК, раздел "Статистика Hotspot")
  • Статистика пользовательских сессий (ЛК, раздел "Статистика Hotspot")
  • Статистика потребляемого трафика (ЛК, раздел "Статистика Hotspot")
  • Статистика повторных посещений (ЛК, раздел "Статистика Hotspot")

В случае с точками доступа других производителей, которые оператор предоставляет клиенту или клиент согласовывает подсеть управления существующих Generic AP, доступно ограниченное число средств мониторинга:

  • Мониторинг доступности по ICMP
  • Cтатистика пользовательских посещений (ЛК, раздел "Статистика Hotspot")
  • Статистика пользовательских сессий (ЛК, раздел "Статистика Hotspot")
  • Статистика потребляемого трафика (ЛК, раздел "Статистика Hotspot")
  • Статистика повторных посещений (ЛК, раздел "Статистика Hotspot")

Т.е. в данном случае производится опрос точек доступа по ICMP и ведется статистика их доступности, а также ведется статистика на основании аккаунтинга, приходящего с BRAS. Для того, чтобы получать статистику по конкретной точке, BRAS должен ее идентифицировать: см. раздел "Идентификация элементов системы". Для работы SoftWLC с точками доступа необходимо выделять для управления точками пул IP адресов, а также, VLAN управления точками. Система SoftWLC не производит опрос точек доступа сторонних производителей по SNMP, и не производит мониторинг параметров, получаемых по SNMP.

В случае, если клиент устанавливает, конфигурирует и мониторит точки доступа самостоятельно, а оператору передает только трафик клеинтов в согласованных влан -  то оператор не выделяет для них пулы IP адресов. Для мониторинга со стороны ENS такие ТД недоступны1. Ведется только статистика на основании аккаунтинга, приходящего с BRAS. Для того, чтобы получать статистику по конкретной точке, BRAS должен ее идентифицировать: см. раздел "Идентификация элементов системы".

1.3 Общее взаимодействие элементов системы

Рассмотрим взаимодействие абонента, точки доступа, BRAS и SoftWLC (рис 1.3.1):


Рис. 1.3.1.

Абонент, подключаясь к точке доступа, высылает DHCP Discover, который передается через L2 сеть доступа оператора (или в GRE) на ESR/BRAS. ESR, выполняет функцию DHCP-relay, перенаправляет запрос на DHCP сервер, который выдает адрес клиенту на основании данных поля giaddr field. В качестве GW указывается адрес ESR. После получения адреса, клиент отправляет любой IP пакет на маршрутизатор, который в свою очередь создает новую «не авторизованную сессию». Затем ESR запрашивает на SoftWLC параметры канала для данного vlan-интерфейса (шейпера, наименование домена и тд.). Происходит попытка авторизации пользователя ПО МАС адресу (так как пользователь новый – авторизация не проходит).

Весь трафик пользователя попадает под действие правил «дефолтного» сервиса, обычно в этом режиме для пользователя заблокирована передача любого трафика кроме DHCP и DNS.

После того как пользователь откроет браузер, на ESR придет HTTP запрос, в ответ на который будет отправлен HTTP 302 Redirect, с параметрами подключения к порталу. Браузер пользователя перенаправит свой запрос на WEB-portal, в ответ загрузится стартовая страница для прохождения авторизации. Выбор страницы осуществляется на основании параметра «Bridge-location»,указанному в конфигурации на bridge-интерфейсе ESR. По этому параметру, портал узнает имя страницы и наименование сервисного домена, принадлежащего данному интерфейсу.

Введя номер телефона, пользователь нажмет кнопку «получить пароль». Портал генерирует пароль и создает учетную запись в базе данных с логин/паролем и тарифным планом, с привязкой к сервисному домену. Через Notification GW будет осуществлена отправка SMS сообщения с паролем на, указанный пользователем, номер телефона.

Пользовать вводит полученный номер телефона на странице подтверждения WEB портала, который отправляет введенные данные на ESR/BRAS. Маршрутизатор используя полученные логин/пароль/сервисный домен, проводит авторизацию пользователя по RADIUS на PCRF. В ответ PCRF возвращает список сервисов, которые должны быть назначены пользователю. Далее ESR запрашивает атрибуты сервисов, которые содержат данные квот по времени/трафику, имя URL фильтров, применяет их для пользовательской сессии.  После чего пользователю открывается доступ в сеть Интернет, согласно полученным параметрам подключения.

Для трафика пользователя может выполняться фильтрация по URL, IP адресам.

Периодически ESR отправляет accounting пакеты с данными по статистике для сессии клиента и назначенному сервису.

Если клиент отключается от ТД, то по истечении Idle Timeout на ESR удаляется сессия, отправляется accounting stop на PCRF, для того чтобы зафиксировать время работы клиента и количество переданного/полученного трафика.

При прохождении авторизации на WEB портале, HTTP запросы пользователя проксируются в ESR, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR (PROXY IP). Поэтому между ESR и SoftWLC весь HTTP(S) трафик будет идти с IP адресом ESR а не клиента. Весь остальной трафик будет идти с USER IP адресом.

После прохождения авторизации HTTP(S) трафик пользователя проксируются в ESR, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR (PROXY IP). Поэтому между ESR и NAT весь HTTP(S) трафик будет идти с IP адресом ESR а не клиента. Весь остальной трафик будет идти с USER IP адресом. При прохождении через NAT, для трафика пользователя будет устанавливаться «Белый» IP адрес NAT.

Сетевая архитектура.

Между ESR-1000 и точками доступа поднимаются SoftGRE-туннели сквозь L3-инфраструктуру оператора. От каждой точки доступа формируется два туннеля: Management-туннель для передачи трафика управления и Data-туннель для передачи абонентского трафика.

Внутри Management-туннеля передается трафик управления точкой доступа в отдельной сети управления. Данная подсеть невидима для L3-сегмента оператора, скрываясь за заголовками GRE-туннеля. Внутри Data-туннеля передается абонентский трафик. Этот трафик терминируется на ESR-1000 и далее маршрутизируется в сеть оператора (в сторону его NAT).

Трафик управления от ТД, расположенных у разных клиентов, проходит через GRE туннель на ESR, далее попадает на общий для всех ТД bridge 3 и маршрутизируется к SoftWLC. Трафик пользователей от ТД, расположенных у разных клиентов, проходит через GRE туннель на ESR, далее попадает на bridge 5 или bridge6 интерфейс устройства и маршрутизируется на к NAT. На ТД разных клиентов настроены разноименные SSID, и VLAN у них указан уникальный. ESR выполняет редирект, на указанный в конфигурации портал, только для тех клиентов где требуется взаимодействие с HotWi-Fi. Таким образом, устройства с разных клиентов будут в разных L3 доменах, будут изолированы между собой и проходить авторизацию на разных порталах.

Примеры настройки.

Общая настройка SoftWLC для работы с BRAS.

Для того, чтобы SoftWLC смог работать с ESR-1000 в режиме BRAS, необходимо настроить взаимодействие между PCRF, Порталом, Личным Кабинетом и ESR-1000. Для этого в SoftWLC выполняются следующие настройки:

Портал.

Необходимо включить флаг «Взаимодействие с BRAS».

Указать пароли для RADIUS COA пакетов, при обмене с ESR/BRAS и SoftWLC (PCRF), пароли указанные в данном разделе должны совпадать с паролями, указанными в конфигурации в конфигурации ESR-1000 и PCRF.


Личный кабинет.

В разделе "Настройки", вкладке "Интеграция" необходимо указать корректно URL PCRF (по умолчанию это localhost с портом 7070). Это необходимо для корректного взаимодействия между PCRF и Личным Кабинетом.

В разделе "Настройки" вкладке "RADIUS клиенты" необходимо добавить в таблицу ESR-1000, выполняющий функции BRAS. После этого RADIUS сервер начнет обрабатывать RADIUS-сообщения от ESR-1000. При добавлении ESR-1000 в таблицу, необходимо указать IP его интерфейса, с которого будут лететь RADIUS пакеты, домен, а также пароль, прописанный также, в конфигурации ESR-1000.

Общая настройка ESR-1000 для работы в режиме BRAS

Добавить в список разрешенных хостов ядра SoftWLC адрес PCRF сервера:

object-group network SoftWLC

  ip address-range 10.62.18.20

exit

Добавить адрес RADIUS сервера (PCRF), указать для него ключ безопасности, таймеры обмена и порт 31812, а также source адрес для отправки пакетов:

radius-server host 10.62.18.20

  key ascii-text testing123

  timeout 10

  source-address 10.204.144.1

  auth-port 31812

  retransmit 5

  dead-interval 10

exit

aaa radius-profile bras_radius_servers

  radius-server host 10.62.18.20

exit

Добавить в список порт 3799 для обмена RADIUS-COA сообщениями с SoftWLC, указать пароль:

das-server SoftWLC

  key ascii-text testing123

  port 3799

exit

aaa das-profile bras_das_servers

  das-server SoftWLC

exit

Перевести ESR в режим поднятия GRE туннелей по команде с SoftWLC (PCRF сервера), указать настроенный выше профиль взаимодействия при передача COA и RADIUS пакетов

wireless-controller

  nas-ip-address 10.204.144.1

  data-tunnel configuration radius

  aaa das-profile bras_das_servers

  aaa radius-profile bras_radius_servers

exit

Добавить в список разрешенных хостов ядра SoftWLC адрес портала:

object-group network SoftWLC

  ip address-range 10.62.18.22

exit

Добавить в список портов для внутреннего использования ESR:

object-group service redirect

  port-range 3128

  port-range 3129

exit

Добавить описание сервиса Интернет, который будет назначаться пользователям после прохождения авторизации:

ip access-list extended INTERNET

  rule 10

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

class-map class-internet

  match access-group INTERNET

exit

Добавить описание сервиса для не авторизованных пользователей, который будет позволять получать адрес по DHCP и обмен с DNS:

ip access-list extended unauthUSER

  rule 1

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port 68

    match destination-port 67

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 53

    enable

  exit

exit

class-map default_rule

  match access-group unauthUSER

exit

Добавить описание сервиса для авторизованных пользователей, перенаправляемых на страницу WELCOME портала. Это служебный сервис, который будет позволять пользователю взаимодействовать с порталом:

ip access-list extended WELCOME

  rule 1

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 443

    enable

  exit

  rule 2

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 8443

    enable

  exit

  rule 3

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 80

    enable

  exit

  rule 4

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 8080

    enable

  exit

exit

Указать URL-адрес PCRF сервера для загрузки файлов, содержащих списки URL для фильтрации пользовательского трафика:

subscriber-control filters-server-url http://10.62.18.20:7070/filters/file

Добавить блок конфигурации для взаимодействия с порталом и PCRF серверами, указать созданные ранее профили для обмена COA и RADIUS сообщениями, указать source IP адрес. Сделать привязку к VRRP группе для корректной работы резервирования, включить режим МАС авторизации пользователей. По умолчанию трафик пользователей будет проходить по правилу bypass – unauthUSER (разрешен DHCP и DNS). Описать дефолтный сервис для не авторизованных пользователей, в котором будет разрешен обмен по URL, указанным в файле с именем gosuslugi, а для всех остальных запросов будет выполняться редирект на портал:

subscriber-control

  aaa das-profile SoftWLC

  aaa sessions-radius-profile bras_radius_servers

  aaa services-radius-profile bras_radius_servers

  nas-ip-address 10.204.144.1

  session mac-authentication

  bypass-traffic-acl unauthUSER

  vrrp-group 1

  default-service

    class-map unauthUSER

    filter-name remote gosuslugi

    filter-action permit

    default-action redirect http://10.62.18.22:8080/eltex_portal/

    session-timeout 601

  exit

  enable

exit

Настройка SoftWLC, ESR-1000 и ESR-10 при добавлении нового клиента.

В данном случае, под клиентом подразумевается юр. лицо, с которым оператор заключает договор об оказании услуг. Для того, чтобы завести в систему нового клиента, необходимо:

  • Выделить пул IP адресов для клиентской сети
  • Выделить пул IP адресов для точек доступа
  • Прописать в DHCP сервере связку между MAC точки доступа и ее IP
  • Выделить VLAN для идентификации SSID клиента и его точек доступа
  • Создать в Личном Кабинете домен
  • Добавление точек доступа в дерево объектов

  • Добавление ESR-10 в дерево объектов

  • Настройка SSID

  • Установка ограничения скорости на офис

  • Настройка взаимодействия с RADIUS-server

  • Добавление сервисов

  • Добавление тарифа

  • Создание списка фильтрации URL

  • Настройка портала

В случае, если оператор предоставляет клиенту собственные точки доступа, то необходимо выделить для их управления отдельный VLAN на ESR-1000 (не попадающий под действие функционала BRAS). На сервере DHCP необходимо прописать связки MAC точек доступа с их IP, чтобы в процессе работы IP не изменялись. Это нужно для корректной работы EMS с точками доступа. Привязка MAC прописывается следующим образом:

host ap1
{
    hardware ethernet f0:9f:c2:67:25:f8;
    fixed-address 126.0.0.250;
}

Для идентификации SSID и точек доступа необходимо выделить VLAN (см. раздел "Идентификация элементов системы"). Размер пулов IP адресов выбирается исходя из предполагаемого количества абонентов в клиентской сети. Обычно это не более 100 человек на 1 точку доступа.

Далее в Личном Кабинете в разделе "Настройки" добавляем новые домены для объектов нового клиента: SSID, точек доступа, тарифных планов...


Добавление точек доступа в дерево объектов

Для мониторинга доступности, управления ТД они могут быть добавлены в дерево объектов EMS. После создания доменов автоматически в дереве добавятся узлы, для которых тип домена был выбран «АР». Добавляется ТД с типом Generic AP.


В случае, если оператор не предоставляет клиенту точки доступа, а клиент использует собственные точки, мониторинг которых осуществляет самостоятельно, то при добавлении устройств указывается «серый» IP адрес, а в параметрах устройства устанавливается флаг «Выведено из обслуживания». В таком режиме система не будет выполнять контроль доступности устройств (ICMP/SNMP ping). Добавление в систему точек доступа, которые не обслуживаются оператором необходимо для того, чтобы в дальнейшем видеть статистику по абонентским подключениям в разрезе точек доступа.

Добавление ESR-10 в дерево объектов

Настройка SSID

Новый SSID добавляется из меню «Wireless» - «Менеджер SSID» «База SSID». Указывается имя сети, описание, домен, location, VLAN ID.

Location и VLAN ID должны соответствовать, настроенным на ESR/BRAS параметрам конфигурации bridge интерфейса. Параметры Location и VLAN являются общими для ESR-1000 и SoftWLC. С помощью этих параметров ESR-1000 сообщает SoftWLC, с каких SSID и точек доступа идут сообщения абонентов, чтобы SoftWLC правильно записывал и выдавал статистику, а также принимал верные решения по управлению клиентскими сессиями.

Привязка SSID осуществляется к домену, в котором эти SSID будут работать из меню «Wireless» - «Менеджер SSID» - «База SSID»

Установка ограничения скорости на офис

В EMS меню «Администрирование» - «Права и пользователи» - «Домены» выбирается домен узла на который требуется установить ограничение скорости на офис и добавить все SSID этого офиса.

Настройка (добавление SSID) проводится для ВСЕХ офисов всех клиентов, не зависимо требуется ли выполнять ограничение скорости или нет.

Настройка взаимодействия с RADIUS-server

В меню «Администрирование» - «Настройка сервера» - «Системные модули», закладка «radius» указать secret, для взаимодействия с RADIUS-сервером. Соответствующий пароль должен быть указан в конфигурации сервера.

Добавление сервисов

Добавление новых сервисов производится в Личном Кабинете в разделе "Тарифы и Сервисы". Сервис описывает алгоритм обработки трафика пользователя при прохождении их через ESR/BRAS. Необходимо добавить сервис INTERNET, используя который пользователь будет выходить в сеть Интернет после прохождения авторизации.

  • Указать произвольное имя сервиса
  • Выбрав домен, можно определить область применения данного сервиса.
  • Класс трафика «INTERNET» должен соответствовать классу установленному в параметрах конфигурации ESR/BRAS
  • Указать интервал отправки RADIUS accounting сообщений для данного сервиса пользователя.
  • Установить приоритет для данного сервиса (если для сессии пользователя будет назначено несколько сервисов, на основании приоритета будет выбираться очередность применения правил)
  • Действие по умолчанию разрешает передавать любой трафик.

Также необходимо создать служебный сервис, который необходим для корректной работы процедуры авторизации по МАС адресу.

  • Указать имя сервиса WELCOME.
  • Указать корневой домен, так как это правило будет общее для всех.
  •  Класс трафика «WELCOM» должен соответствовать классу установленному в параметрах конфигурации ESR/BRAS
  • Указать интервал отправки RADIUS accounting сообщений для данного сервиса пользователя.
  • Установить приоритет для данного сервиса (если для сессии пользователя будет назначено несколько сервисов, на основании приоритета будет выбираться очередность применения правил)
  • Действие по умолчанию  будет выполнять редирект на портал для всего трафика на URL
  • http://<IP портала>:8080/eltex_portal/welcome
  • Для того, чтобы после редиректа пользователю загрузилась страница портала, нужно добавить фильтр с именем «welcome»(описание фильтра будет дано ниже), с действием permit.

Добавление тарифа

Группы сервисов могут быть объединены в тарифный план, в котором описывается последовательность сценариев обработки пользовательского трафика.

Необходимо добавить  тариф INTERNET, используя который пользователь будет выходить в сеть Интернет после прохождения авторизации, имя этого тарифа выбирается в конфигурации портала при настройке.

  • Указать произвольное имя тарифа
  • Указать произвольно описание тарифа
  • Указать уникальный код тарифа
  • Указать домен, в рамках которого будет действовать данный тариф
  • Время жизни сессии – время, в течении которого будет храниться сессия пользователя на ESR/BRAS, рекомендуется не указывать
  • Время жизни сессии при бездействии пользователя (idle timeout) – время, по истечении которого сессия будет удалена с ESR/BRAS при неактивности пользователя. Рекомендуется устанавливать меньше или равной времени leases, настроенному на DHCP сервере.
  • Количество одновременных сессий пользователей для одной учетной записи рекомендуется не ограничивать.
  • Включить сервис INTERNET в список доступных.

Создание списка фильтрации URL

Для фильтрации трафика пользователей по адресу сайта (URL) настраиваются списки, в которых указываются перечень адресов URL.

  • Добавить в список адрес портала для обеспечения доступа пользователя к служебной странице welcome
  • Указать имя списка welcome, оно должно соответствовать имени указанному в сервисе WELCOME.
  • Указать домен, в рамках которого будет действовать фильтр
  • Указать тип списка – белый.
  • Добавить URL http://<IPпортала>:8080/eltex_portal/

Создание списков интерфейсов ESR/BRAS

В данной таблице осуществляется привязка location интерфейсов ESR к доменам и узлам СУ.

Каждый L3-Bridge интерфейс ESR, участвующий в передаче трафика пользователей содержит идентификатор – location который однозначно соотносится к Captive Portal SoftWLC - SSID интерфейс.

Каждый L2 интерфейс ESR/BRAS (sub.gre или vlan) идентифицирует точку подключения клиента (его домен узла, ssid, ТД) – интерфейс ТД 

Добавить описание bridge 1 интерфейса ESR/BRAS (см рисунок 10)

Указать произвольное наименование правила

Указать NAS IP - IP адрес ESR

Установить флаг VRF по умолчанию

Указать Location интерфейса, он должен совпадать с настройкой на bridge интерфейсе ESR/BRAS

Указать сервисный домен SSID, к которому этот интерфейс будет относиться

Указать имя портала, на который будет выполняться редирект пользователя при подключении.

Указать имя SSID которому принадлежит данное правило.

Аналогичные настройки выполняются для всех SSID всех пользователей.

Добавить описание интерфейса ТД, через который подключены пользователи к ESR/BRAS.

Указать произвольное наименование правила

Указать IP адрес ESR/BRAS

Установить флаг VRF по умолчанию

Указать Location интерфейса, он должен совпадать с именем интерфейса ESR/BRAS

Указать сервисный домен SSID, к которому этот интерфейс будет относиться

Указать имя портала, на который будет выполняться редирект пользователя при подключении.

Указать AP домен , в котором располагается ТД

Указать имя ТД, указанное в EMS.

Указать имя SSID которому принадлежит данное правило.

Формат location интерфейса <iftype>1/0/<port>.<vlan> или softgre <index>.<vlan>

Где iftype тип интерфейса , может принимать значения gi или te

port номер порта, может принимать значение 1..24 или 1..2 (для gi или te соответственно)

index – номер GRE туннеля

Например: gi1/0/1.11, gi1/0/1.20.200  или softgre 1.10

Настройка портала

WEB портал – сервис выполняющий загрузку в браузере пользователя страниц авторизации.

При подключении нового пользователя портал генерирует новую учетную запиц1сь пользователя в базе с определенными атрибутами. В каждом портале требуется выбирать тарифный план, с которым будут генерироваться новые учетные записи

Новый портал создается с параметрами конфигурации дефолтного портала, все картинки, оформление, URL и т.д. копируются с него.

Необходимо указать уникальное Имя портала, это же имя должно быть указано в параметрах конфигурации интерфейсов SSID, выполненных в ЛК (см. выше)

Домен области видимости должен соответствовать домену клиента.

Для каждого пользователя/SSID можно провести кастомизацию портала:

Внешний вид и стили в оформлении

URL для перенаправления и подписи на странице и т.д.

В файле конфигурации /etc/eltex-portal/config.txt, указать URL сайта, на который будет производиться редирект при возникновении таймаута сессии.

Заменить portal.global_redirect_url=http://1.1.1.1,

на portal.global_redirect_url=http://eltex-co.ru

Для каждого портала настраивается индивидуально способ подтверждения данных пользователя.

Указать созданный в личном кабинете тарифный план, и ввести название этого тарифа.

Если выбрать несколько тарифных планов, то при регистрации пользователю будет доступен выбор из списка. В списке будут отображаться наименования указанные в поле «название тарифа на портале». Если тариф выбран один, то пользователю не будет отображаться список тарифов и ему, по умолчанию, будет присваиваться выбранный тарифный план.

Конфигурация ESR-10

На ESR-10 реализована возможность автопровиженинга. ESR-10 на основании информации, получаемой по DHCP может скачать с tftp-сервера файл конфигурации. Для настройки DHCP сервера необходимо:

На DHCP сервере добавить VLAN интерфейс для обмена с DHCP-relay, который служит для выдачи адресов для ESR-10,

sudo vconfig add eth0 1107

sudo ifconfig eth0.1107 192.168.107.100/24

sudo route add -net 192.168.109.0/24 gw 192.168.107.10

В конфигурации DHCP сервера (/etc/dhcp/dhcpd.conf) добавить подсеть созданного выше интерфейса, и подсеть для клиентов. Добавить МАС адрес ESR-10 и указать фиксированный IP, который он будет получать, а также указать адрес TFTP сервера и имя файла конфигурации, который будет загружаться на ESR:

subnet 192.168.107.0 netmask 255.255.255.0 {}

subnet 192.168.109.0 netmask 255.255.255.0 {

                option routers 192.168.109.1;

                option subnet-mask 255.255.255.0;

                option broadcast-address 192.168.109.255;

                default-lease-time 600;

                max-lease-time 1200;

                option domain-name-servers 8.8.8.8;

                host ESR-10-OFFICE2USER1 {

                      option tftp-server-name "192.168.107.100";

                      option bootfile-name "conf.txt";

                      hardware ethernet a8:f9:4b:ab:65:e8;

                      fixed-address 192.168.109.10;

              }

МАС адрес на ESR-10 можно получить с этикетки или при подключении по команде из CLI:

show system

Для подключения клиентов в подсети 192.168.100.32/28

#BRIDGE1

subnet 192.168.100.32 netmask 255.255.255.240 {

                option routers 192.168.100.33;

                option subnet-mask 255.255.255.240;

                option broadcast-address 192.168.100.47;

                default-lease-time 600;

                max-lease-time 1200;

                option domain-name-servers 8.8.8.8;

                pool {

                        range 192.168.100.36 192.168.100.46;

                }

}

Для подключения клиентов в подсети 192.168.100.48/28

#BRIDGE2

subnet 192.168.100.48 netmask 255.255.255.240 {

                option routers 192.168.100.49;

                option subnet-mask 255.255.255.240;

                option broadcast-address 192.168.100.63;

                default-lease-time 600;

                max-lease-time 1200;

                option domain-name-servers 8.8.8.8;

                pool {

                        range 192.168.100.52 192.168.100.62;

                }

}

Для подключения клиентов в подсети 192.168.100.112/28

#BRIGGE5

subnet 192.168.100.112 netmask 255.255.255.240 {

                option routers 192.168.100.113;

                option subnet-mask 255.255.255.240;

                option broadcast-address 192.168.100.127;

                default-lease-time 600;

                max-lease-time 1200;

                option domain-name-servers 8.8.8.8;

                pool {  

                        range 192.168.100.116 192.168.100.126;

                }

}

Прописать маршрут для клиентской подсети через ESR-1000

sudo route add -net 192.168.100.0/24 gw 192.168.107.10

Перезапуск DHCP сервера для применения конфигурации:

sudo service isc-dhcp-server restart

На tftp сервере создать файл /tftpboot/conf.txt, в котором указать следующую конфигурацию:

Служебные параметры для загрузки файла

#!/usr/bin/clish

#8

Имя устройства:

hostname ESR-10GRE

Создать VLAN (2 – управление, 10 – в него будет попадать трафик пользователей с 3го порта ESR-10, 11 – в него будет попадать трафик пользователей с 4го порта ESR-10)

vlan 2,10-11
exit

Создать зону безопасности firewall

security zone trusted
exit
security zone GRE
exit

Настроить конфигурацию доступа к устройству по протоколу SNMP.

snmp-server
snmp-server community private1 rw
snmp-server community public11 ro

snmp-server host 192.168.107.100

exit

Создать список адресов с которых будет разрешен обмен трафиком с ESR-10 (указать адрес сервера SoftWLC и адрес ESR/BRAS с которым будет подниматься GRE туннель

object-group network MNG

  ip address-range 192.168.109.1-192.168.109.4

  ip address-range 192.168.107.100

exit

Создать интерфейс bridge 1 – на нем запустить DHCP клиента, для получения адреса. C этого адреса будет подниматься GRE туннель. Для ограничения доступа на нем включен firewall

bridge 1
description "TunnelIP"
vlan 2
ip address dhcp
ip dhcp client ignore router
security-zone GRE
enable
exit

Создать интерфейс bridge2, через который будут идти все пользовательские данные

bridge 2
description "UserDATA"
enable
exit

Создать интерфейс bridge3, через который будет производиться управление ESR-10

bridge 3
description "MNGESR10"
security-zone trusted
ip address dhcp
enable
exit

Настроить порт 1 в режиме access – весь принимаемый трафик будет помечаться VLAN ID2 , что позволит передать его в bridge 2 интерфейс.

interface gigabitethernet 1/0/1
switchport access vlan 2
exit

Настроить порт 2 в режиме trunk, весь принятый трафик с данного порта будет передан в bridge 2 и далее в GRE туннель. Тегированный трафик будет передаваться как есть (дополнительно прописывать vlan не требуется), не тегированный трафик будет передаваться без тега  в GRE туннеле.

interface gigabitethernet 1/0/2
switchport mode trunk
bridge-group 2
exit

Настроить порт 3 в режиме access. Тегированный трафик не будет проходить через данный порт, для не тегированного трафика будет добавляться VLANID10 , и с ним передаваться через bridge 1 в GRE туннель

interface gigabitethernet 1/0/3
switchport access vlan 10
bridge-group 2 tagged
exit

Настроить порт 4 в режиме access. Тегированный трафик не будет проходить через данный порт, для не тегированного трафика будет добавляться VLANID11 , и с ним передаваться через bridge 1в GRE туннель

interface gigabitethernet 1/0/4
switchport access vlan 11
bridge-group 2 tagged
exit

Создать GRE туннель 1, установить максимальный размер MTU 1458 байт (так как при передаче в GRE туннеле для пакетов добавляются заголовки Ethernet 14 байт , VLAN – 4 байта, IP- 20 байт, GRE – 4 байта), установть режим работы L2GRE – Ethernet, привязать к bridge интерфейсу 1, по которому будет передаваться клиентский трафик, source адрес GRE туннеля будет браться с bridge 2 интерфейса, адрес удаленного ESR/BRAS 192.168.109.1

tunnel gre 1
mtu 1458
mode ethernet
local interface bridge 1
remote address 192.168.109.1
enable
exit
tunnel gre 1.1
bridge-group 3
snmp init-trap
enable
exit
tunnel gre 2
mtu 1458
mode ethernet
bridge-group 2
local interface bridge 1
remote address 192.168.109.2
enable
exit

Включить ssh сервер, для возможности удаленного подключения к устройству

ip ssh server

Описать правила приема трафика из зоны trusted на host ESR-10, позволяющее принимать любой трафик с IP адресов указанных в списке MNG.

security zone-pair trusted self
rule 10
action permit
match protocol any
match source-address MNG
match destination-address any
enable
exit
exit
security zone-pair GRE self
rule 10
action permit
match protocol any
match source-address MNG
match destination-address any
enable
exit
exit

Настройка интеграции с HotWiFi

Интеграция решения Элтекс с Hotwifi производится исключительно с помощью функционала BRAS на ESR-1000. Точки доступа Элтекс интеграцию с Hotwifi не поддерживают.

Сценарий взаимодействия элементов систем  приведен ниже:


Для настройки интеграции с Hotwifi необходимо проделать следующие действия:

  1. Заходим в Личный Кабинет
  2. Переходим в меню Настойки →  Списки URL, создаем список URL "test_wifi".
    Список должен содержать адрес портала http://192.168.107.213:8080/eltex_portal/ и URL для корректной работы рекламной площадки HotWiFi
    Пример списка:

    URL:
    http://192.168.107.213:8080/eltex_portal/
    http://connectivitycheck.gstatic.com/generate_204/
    https://connectivitycheck.gstatic.com/generate_204/

    Шаблоны:
    ^((https|http):\/\/)(.+\.)?abs\.twimg\.com
    ^((https|http):\/\/)(.+\.)?accounts\.google\.com
    ^((https|http):\/\/)(.+\.)?api\.instagram\.com
    ^((https|http):\/\/)(.+\.)?apple\.com
    ^((https|http):\/\/)(.+\.)?captive\.apple\.com
    ^((https|http):\/\/)(.+\.)?facebook\.com
    ^((https|http):\/\/)(.+\.)?facebook\.net
    ^((https|http):\/\/)(.+\.)?fbcdn\.net
    ^((https|http):\/\/)(.+\.)?fbstatic-a\.akamaihd\.net
    ^((https|http):\/\/)(.+\.)?googleapis\.com
    ^((https|http):\/\/)(.+\.)?googleusercontent\.com
    ^((https|http):\/\/)(.+\.)?hot-wifi\.ru
    ^((https|http):\/\/)(.+\.)?inkedin\.com
    ^((https|http):\/\/)(.+\.)?instagram\.c10r\.facebook\.com
    ^((https|http):\/\/)(.+\.)?instagram\\.com
    ^((https|http):\/\/)(.+\.)?licdn\.com
    ^((https|http):\/\/)(.+\.)?oauth\.vk\.com
    ^((https|http):\/\/)(.+\.)?odnoklassniki\.ru
    ^((https|http):\/\/)(.+\.)?ok\.ru
    ^((https|http):\/\/)(.+\.)?top-fwz1\.mail\.ru
    ^((https|http):\/\/)(.+\.)?twimg\.com
    ^((https|http):\/\/)(.+\.)?twitter\.com
    ^((https|http):\/\/)(.+\.)?userapi\.com
    ^((https|http):\/\/)(.+\.)?userapi\\.com
    ^((https|http):\/\/)(.+\.)?vk\.com
    ^((https|http):\/\/)(.+\.)?vk\.me
    ^((https|http):\/\/)(.+\.)?wifiworld\.me
    ^((https|http):\/\/)(.+\.)?www\.instagram\.com
    ^((https|http):\/\/)(.+\.)gosuslugi\.ru
    ^((https|http):\/\/)api\.instagram\.com
    ^((https|http):\/\/)cdn\.hot-wifi\.ru
    ^((https|http):\/\/)cp\.hot-wifi\.ru
    ^((https|http):\/\/)fbstatic-a\.akamaihd\.net
    ^((https|http):\/\/)instagram\.c10r\.facebook\.commail
    ^((https|http):\/\/)instagram\.com
    ^((https|http):\/\/)mc\.yandex\.ru
    ^((https|http):\/\/)platform\.linkedin\.com
    ^((https|http):\/\/)ssl\.gstatic\.com
    ^((https|http):\/\/)static\.licdn\.com
    ^((https|http):\/\/)www\.instagram\.com
    ^((https|http):\/\/)www\.linkedin\.com
    ^((https|http):\/\/)auth-pro\.wifi\.rt\.ru

    Актуальный список можно получить по URL http://be.hot-wifi.ru/api/walledgarden/get, но для загрузки его нужно привести к нужному виду, как в примере.

  3. Переходим в меню Сервисы и тарифы → Cервисы PCRF, создаем сервис servhot (любое имя)
    Класс трафика: WELCOME (Имя должно совпадать с классом трафика в конфигурации ESR-1000)
    Действие по умолчанию: redirect
    URL по умолчанию : http://192.168.107.213:8080/eltex_portal/adv-redirect
    Фильтр 
    Действие: permit
    Имя фильтра: test_wifi

  4. Переходим в меню Сервисы и тарифы  → Тарифы, выбираем фильтр PCRF/BRAS,  создаем тарифный план  hotwifitp  с сервисом servhot
  5. Переходим в Конструктор порталов
  6. Создаем портал, переходим в меню "Рекламные площадки", активируем настройку "Включить интеграцию"
  7. Выбираем рекламную площадку  Hot WiFi, заполняем поля
    Адрес:  адрес в формате http://oauth.hot-wifi.ru, предоставляется сотрудниками Hot WiFi
    ID клиента: идентификатор клиента, предоставляется сотрудниками Hot WiFi
    Рекламный тарифный план BRAS:  выбираем тарифный план созданный в п.4 
    Тарифный план BRAS после прохождения рекламы: любой тарифный план


    Интеграция с HotWiFi работает только в схеме с BRAS. Если активирована рекламная площадка,  используются тарифный планы из меню  "Рекламные площадки", остальные тарифный планы будут игнорироваться. 

Пример перенастройки ESR 

Исходная конфигурация ESR (на примере ESR1 филиала Казань)

ip firewall sessions allow-unknown

hostname KAZN-ESR1

tech-support login enable

 

syslog max-files 3

syslog file-size 512

syslog console debug

syslog monitor none

 

object-group service telnet

  port-range 23

exit

object-group service ssh

  port-range 22

exit

object-group service dhcp_server

  port-range 67

exit

object-group service dhcp_client

  port-range 68

exit

object-group service ntp

  port-range 123

exit

object-group service HTTP8080

  port-range 8080

exit

object-group service snmp

  port-range 161

exit

object-group service sunctun

  port-range 1337

exit

object-group service bgp

  port-range 179

exit

 

object-group network AP_GRE

  ip prefix 10.203.14.112/28

exit

object-group network INTERNET

  ip prefix 100.122.192.0/22

  ip prefix 100.122.196.0/22

  ip prefix 100.122.200.0/22

  ip prefix 100.122.204.0/22

exit

object-group network MNG

 

  ip prefix 10.204.144.0/23

  ip prefix 100.122.192.0/22

  ip prefix 100.122.196.0/22

  ip prefix 100.122.200.0/22

  ip prefix 100.122.204.0/22

exit

object-group network SoftWLC

  ip address-range 10.62.18.18

exit

 

vlan 8

  name "FTTX_MNG"

exit

vlan 9

  name "Inter-BGP"

exit

vlan 301

  name "SSID1"

exit

vlan 303

  name "SSID2"

exit

vlan 305

  name "SSID3"

exit

vlan 307

  name "SSID4"

exit

vlan 1264

  name "VRF-AP"

exit

vlan 1268

  name "VRF-NAT"

exit

vlan 1266

  name "VRF-Backbone"

exit

 

no spanning-tree

spanning-tree bpdu filtering

 

security zone trusted

exit

security zone untrusted

exit

security zone user

exit

security zone gre

exit

ip prefix-list AP_GRE

  permit object-group AP_GRE

exit

ip prefix-list INTERNET

  permit object-group INTERNET

exit

ip prefix-list MNG

  permit object-group MNG

exit

 

route-map INPREF

  rule 1

    action set local-preference 150

    action permit

  exit

exit

route-map OUTPREFAP

  rule 1

    match ip address object-group AP_GRE

    action set metric bgp 20

    action permit

  exit

exit

route-map OUTPREFMNG

  rule 1

    match ip address object-group MNG

    action set metric bgp 20

    action permit

  exit

exit

route-map OUTPREFINTERNET

  rule 1

    match ip address object-group INTERNET

    action set metric bgp 20

    action permit

  exit

exit

 

router bgp 65068

  address-family ipv4

    router-id 10.203.212.221

    neighbor 10.203.212.205

      remote-as 12389

      prefix-list MNG out

      route-map INPREF in

      route-map OUTPREFMNG out

      enable

    exit

    neighbor 10.203.212.213

      remote-as 12389

      prefix-list INTERNET out

      route-map INPREF in

      route-map OUTPREFINTERNET out

      enable

    exit

    neighbor 10.203.212.222

      remote-as 65068

      next-hop-self

      enable

    exit

    neighbor 10.203.212.197

      remote-as 12389

      prefix-list AP_GRE out

      route-map INPREF in

      route-map OUTPREFAP out

      enable

    exit

    enable

  exit

exit

 

snmp-server

snmp-server community private rw

snmp-server community public ro

 

snmp-server host 10.62.18.18

exit

 

snmp-server filter links status

 

bridge 1

  description "AP 1264 GRE Tunnels Termination"

  vlan 1264

  security-zone gre

  ip address 10.203.14.115/28

  vrrp id 1

  vrrp ip 10.203.14.113

  vrrp ip 10.203.14.114

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  enable

exit

 

bridge 3

  description "Management AP"

  vlan 8

  unknown-unicast-forwarding disable

  security-zone trusted

  ip address 10.204.144.2/23

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 3

  vrrp ip 10.204.144.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 9

  description "Inter-BGP"

  vlan 9

  security-zone untrusted

  ip firewall disable

  ip address 10.203.212.221/30

  enable

exit

bridge 5

  description "SSID1"

  vlan 301

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.192.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 10

  vrrp ip 100.122.192.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 6

  description "SSID2"

  vlan 303

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.196.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 11

  vrrp ip 100.122.196.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 7

  description "SSID3"

  vlan 305

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.200.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 12

  vrrp ip 100.122.200.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 8

  description "SSID4"

  vlan 307

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.204.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 13

  vrrp ip 100.122.204.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

 

interface  gigabitethernet 1/0/1

  description "to esr2"

  switchport forbidden default-vlan

  switchport general allowed vlan add 8-9,301,303,305,307,1264,1266 tagged

  spanning-tree disable

exit

interface tengigabitethernet 1/0/1

  description "to KAZN-RGR1 xe-0/2/3"

  spanning-tree disable

  switchport forbidden default-vlan

exit

interface tengigabitethernet 1/0/1.1264

  description "VRF AP GRE"

  security-zone gre

  ip address 10.203.212.198/30

 

exit

interface tengigabitethernet 1/0/1.1268

  description "VRF NAT"

  security-zone untrusted

 

  ip address 10.203.212.214/30

 

exit

interface tengigabitethernet 1/0/1.1266

  description "VRF Backbone"

  security-zone trusted

  ip address 10.203.212.206/30

exit

tunnel softgre 1

  mode management

  local address 10.203.14.113

  default-profile

  enable

exit

tunnel softgre 1.1

  bridge-group 3

  enable

exit

tunnel softgre 2

  mode data

  local address 10.203.14.114

  default-profile

  enable

exit

tunnel softgre 2.301

  bridge-group 5

  enable

exit

tunnel softgre 2.303

  bridge-group 6

  enable

exit

tunnel softgre 2.305

  bridge-group 7

  enable

exit

tunnel softgre 2.307

  bridge-group 8

  enable

exit

 

security zone-pair gre self

  rule 1

    action permit

    match protocol gre

    match source-address any

    match destination-address any

    enable

  exit

  rule 2

    action permit

    match protocol vrrp

    match source-address any

    match destination-address any

    enable

  exit

  rule 3

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port sunctun

    enable

  exit

  rule 4

    action permit

    match protocol icmp

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair trusted self

  rule 1

    action permit

    match protocol vrrp

    match source-address any

    match destination-address any

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_server

    match destination-port dhcp_server

    enable

  exit

  rule 3

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_client

    match destination-port dhcp_server

    enable

  exit

   rule 4

    action permit

    match protocol icmp

    match source-address any

    match destination-address any

    enable

  exit

  rule 10

    action permit

    match protocol any

    match source-address SoftWLC

    match destination-address any

    enable

  exit

exit

security zone-pair trusted trusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair gre gre

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair user untrusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair user self

  rule 1

    action permit

    match protocol icmp

    match source-address any

    match destination-address any

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_client

    match destination-port dhcp_server

    enable

  exit

exit

security zone-pair user trusted

  rule 1

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_client

    match destination-port dhcp_server

    enable

  exit

exit

security zone-pair trusted user

  rule 1

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_server

    match destination-port dhcp_client

    enable

  exit

exit

security zone-pair trusted untrusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

 

ip dhcp-relay

 

wireless-controller

  peer-address 10.203.14.116

  vrrp-group 1

  enable

exit

ip telnet server

ip ssh server

 

clock timezone gmt +3

 

ntp enable

ntp server 10.62.18.18

exit


Целевая конфигурация ESR

ip firewall sessions allow-unknown

hostname KAZN-ESR1

tech-support login enable

 

syslog max-files 3

syslog file-size 512

syslog console debug

syslog monitor none

 

object-group service telnet

  port-range 23

exit

object-group service ssh

  port-range 22

exit

object-group service dhcp_server

  port-range 67

exit

object-group service dhcp_client

  port-range 68

exit

object-group service ntp

  port-range 123

exit

object-group service HTTP8080

  port-range 8080

exit

object-group service snmp

  port-range 161

exit

object-group service sunctun

  port-range 1337

exit

object-group service bgp

  port-range 179

exit

 

object-group network AP_GRE

  ip prefix 10.203.14.112/28

exit

object-group network INTERNET

  ip prefix 100.122.192.0/22

  ip prefix 100.122.196.0/22

  ip prefix 100.122.200.0/22

  ip prefix 100.122.204.0/22

exit

object-group network MNG

 

  ip prefix 10.204.144.0/23

  ip prefix 100.122.192.0/22

  ip prefix 100.122.196.0/22

  ip prefix 100.122.200.0/22

  ip prefix 100.122.204.0/22

exit

object-group network SoftWLC

  ip address-range 10.62.18.18

exit

object-group service redirect

  port-range 3128

  port-range 3129

exit

object-group network SoftWLC

  ip address-range 10.62.18.20

exit

object-group network SoftWLC

  ip address-range 10.62.18.22

exit

radius-server host 10.62.18.20

  key ascii-text testing123

  timeout 10

  source-address 10.204.144.1

  auth-port 31812

  retransmit 5

  dead-interval 10

exit

aaa radius-profile bras_radius_servers

  radius-server host 10.62.18.20

exit

das-server SoftWLC

  key ascii-text testing123

  port 3799

exit

aaa das-profile bras_das_servers

  das-server SoftWLC

exit

 

ip access-list extended INTERNET

  rule 10

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

 

ip access-list extended unauthUSER

  rule 1

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port 68

    match destination-port 67

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 53

    enable

  exit

exit

ip access-list extended WELCOME

  rule 1

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 443

    enable

  exit

  rule 2

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 8443

    enable

  exit

  rule 3

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 80

    enable

  exit

  rule 4

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port 8080

    enable

  exit

exit

 

class-map class-internet

  match access-group INTERNET

exit

class-map default_rule

  match access-group unauthUSER

exit

subscriber-control filters-server-url http://10.62.18.20:7070/filters/file

subscriber-control

  aaa das-profile SoftWLC

  aaa sessions-radius-profile bras_radius_servers

  aaa services-radius-profile bras_radius_servers

  nas-ip-address 10.204.144.1

  session mac-authentication

  bypass-traffic-acl unauthUSER

  default-service

    class-map unauthUSER

    filter-name remote gosuslugi

    filter-action permit

    default-action redirect http://10.62.18.22:8080/eltex_portal/

    session-timeout 601

  exit

  enable

exit

 

vlan 8

  name "FTTX_MNG"

exit

vlan 9

  name "Inter-BGP"

exit

vlan 301

  name "SSID1"

exit

vlan 303

  name "SSID2"

exit

vlan 305

  name "SSID3"

exit

vlan 307

  name "SSID4"

exit

vlan 1264

  name "VRF-AP"

exit

vlan 1268

  name "VRF-NAT"

exit

vlan 1266

  name "VRF-Backbone"

exit

 

no spanning-tree

spanning-tree bpdu filtering

 

security zone trusted

exit

security zone untrusted

exit

security zone user

exit

security zone gre

exit

ip prefix-list AP_GRE

  permit object-group AP_GRE

exit

ip prefix-list INTERNET

  permit object-group INTERNET

exit

ip prefix-list MNG

  permit object-group MNG

exit

 

route-map INPREF

  rule 1

    action set local-preference 150

    action permit

  exit

exit

route-map OUTPREFAP

  rule 1

    match ip address object-group AP_GRE

    action set metric bgp 20

    action permit

  exit

exit

route-map OUTPREFMNG

  rule 1

    match ip address object-group MNG

    action set metric bgp 20

    action permit

  exit

exit

route-map OUTPREFINTERNET

  rule 1

    match ip address object-group INTERNET

    action set metric bgp 20

    action permit

  exit

exit

 

router bgp 65068

  address-family ipv4

    router-id 10.203.212.221

    neighbor 10.203.212.205

      remote-as 12389

      prefix-list MNG out

      route-map INPREF in

      route-map OUTPREFMNG out

      enable

    exit

    neighbor 10.203.212.213

      remote-as 12389

      prefix-list INTERNET out

      route-map INPREF in

      route-map OUTPREFINTERNET out

      enable

    exit

    neighbor 10.203.212.222

      remote-as 65068

      next-hop-self

      enable

    exit

    neighbor 10.203.212.197

      remote-as 12389

      prefix-list AP_GRE out

      route-map INPREF in

      route-map OUTPREFAP out

      enable

    exit

    enable

  exit

exit

 

snmp-server

snmp-server community private rw

snmp-server community public ro

 

snmp-server host 10.62.18.18

exit

 

snmp-server filter links status

 

bridge 1

  description "AP 1264 GRE Tunnels Termination"

  vlan 1264

  security-zone gre

  ip address 10.203.14.115/28

  vrrp id 1

  vrrp ip 10.203.14.113

  vrrp ip 10.203.14.114

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  enable

exit

 

subscriber-control

  vrrp-group 1

exit

 

bridge 3

  description "Management AP"

  vlan 8

  unknown-unicast-forwarding disable

  security-zone trusted

  ip address 10.204.144.2/23

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 3

  vrrp ip 10.204.144.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 9

  description "Inter-BGP"

  vlan 9

  security-zone untrusted

  ip firewall disable

  ip address 10.203.212.221/30

  enable

exit

bridge 5

  description "SSID1"

  vlan 301

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.192.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 10

  vrrp ip 100.122.192.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 6

  description "SSID2"

  vlan 303

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.196.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 11

  vrrp ip 100.122.196.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 7

  description "SSID3"

  vlan 305

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.200.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 12

  vrrp ip 100.122.200.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 8

  description "SSID4"

  vlan 307

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.204.2/22

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 13

  vrrp ip 100.122.204.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

exit

bridge 5

location SSID1[1]

exit

bridge 6

location SSID2

exit

bridge 7

location SSID3

exit

bridge 8

location SSID4

exit

 

object-group network MNG

  ip prefix 100.122.208.0/24[2]

exit

object-group network INTERNET

  ip prefix 100.122.208.0/24

exit

bridge 10

  description "SSID5"

  vlan 309

  unknown-unicast-forwarding disable

  security-zone user

  ip address 100.122.208.2/24

  ip helper-address 10.62.18.23

  ip helper-address 10.62.18.24

  vrrp id 14

  vrrp ip 100.122.208.1

  vrrp priority 200

  vrrp group 1

  vrrp preempt disable

  vrrp

  protected-ports

  protected-ports exclude vlan

  enable

  location SSID5

  service-subscriber-control any

exit

 

interface  gigabitethernet 1/0/1

  description "to esr2"

  switchport forbidden default-vlan

  switchport general allowed vlan add 8-9,301,303,305,307,1264,1266 tagged

  spanning-tree disable

exit

interface tengigabitethernet 1/0/1

  description "to KAZN-RGR1 xe-0/2/3"

  spanning-tree disable

  switchport forbidden default-vlan

exit

interface tengigabitethernet 1/0/1.1264

  description "VRF AP GRE"

  security-zone gre

  ip address 10.203.212.198/30

 

exit

interface tengigabitethernet 1/0/1.1268

  description "VRF NAT"

  security-zone untrusted

 

  ip address 10.203.212.214/30

 

exit

interface tengigabitethernet 1/0/1.1266

  description "VRF Backbone"

  security-zone trusted

  ip address 10.203.212.206/30

exit

tunnel softgre 1

  mode management

  local address 10.203.14.113

  default-profile

  enable

exit

tunnel softgre 1.1

  bridge-group 3

  enable

exit

tunnel softgre 2

  mode data

  local address 10.203.14.114

  default-profile

  enable

exit

tunnel softgre 2.301

  bridge-group 5

  enable

exit

tunnel softgre 2.303

  bridge-group 6

  enable

exit

tunnel softgre 2.305

  bridge-group 7

  enable

exit

tunnel softgre 2.307

  bridge-group 8

  enable

exit

 

security zone-pair gre self

  rule 1

    action permit

    match protocol gre

    match source-address any

    match destination-address any

    enable

  exit

  rule 2

    action permit

    match protocol vrrp

    match source-address any

    match destination-address any

    enable

  exit

  rule 3

    action permit

    match protocol tcp

    match source-address any

    match destination-address any

    match source-port any

    match destination-port sunctun

    enable

  exit

  rule 4

    action permit

    match protocol icmp

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair trusted self

  rule 1

    action permit

    match protocol vrrp

    match source-address any

    match destination-address any

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_server

    match destination-port dhcp_server

    enable

  exit

  rule 3

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_client

    match destination-port dhcp_server

    enable

  exit

   rule 4

    action permit

    match protocol icmp

    match source-address any

    match destination-address any

    enable

  exit

  rule 10

    action permit

    match protocol any

    match source-address SoftWLC

    match destination-address any

    enable

  exit

exit

security zone-pair trusted trusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair gre gre

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair user untrusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

security zone-pair user self

  rule 1

    action permit

    match protocol icmp

    match source-address any

    match destination-address any

    enable

  exit

  rule 2

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_client

    match destination-port dhcp_server

    enable

  exit

exit

security zone-pair user trusted

  rule 1

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_client

    match destination-port dhcp_server

    enable

  exit

exit

security zone-pair trusted user

  rule 1

    action permit

    match protocol udp

    match source-address any

    match destination-address any

    match source-port dhcp_server

    match destination-port dhcp_client

    enable

  exit

exit

security zone-pair trusted untrusted

  rule 1

    action permit

    match protocol any

    match source-address any

    match destination-address any

    enable

  exit

exit

 

ip dhcp-relay

 

wireless-controller

  peer-address 10.203.14.116

  vrrp-group 1

  enable

exit

wireless-controller

  nas-ip-address 10.204.144.1

  data-tunnel configuration radius

  aaa das-profile bras_das_servers

  aaa radius-profile bras_radius_servers

exit

ip telnet server

ip ssh server

 

clock timezone gmt +3

 

ntp enable

ntp server 10.62.18.18

exit

Резервирование ESR/BRAS

Резервирование по протоколу VRRP

Логическая схема резервирования ESR/BRAS

Для резервирования ESR/BRAS используется протокол VRRP.

ESR включаются в стек коммутаторов на которые подключены все пользовательские VLAN, а так же VLAN для доступа к SoftWLC и к NAT оператора.

На оба ESR приходят все VLAN, таким образом резервируются:

  • ESR/BRAS,
  • порты, через которые подключены маршрутизаторы
  • коммутатор, в который включен ESR.

 

Сетевая схема резервирования ESR/BRAS

В VLAN X - MNG  происходит управление ESR, в нем настраивается адрес VRRP. Весь служебный трафик передается с VRRP IP адресов ESR, по ним же происходит подключение для управления с СУ.

В VLAN Y - NAT происходит передача трафика в сеть Интернет для клиентов. VRRP адрес используется как адрес шлюза для подсетей, в которых работают клиенты.

Клиенты работающие в VLAN xx и VLAN zz включаются в общий бридж. Для них адресом шлюза будет являться VRRP адрес интерфейса BR1. Аналогично, для клиентов из VLAN yy и qq адресом шлюза является VRRP IP адрес интерфейса BR2.


Таки образом со стороны сети будут использоваться только VRRP адреса ESR для передачи трафика. При возникновении аварии, например отключении питания на ESR1 VRRP адрес назначается на рабочий (доступный) ESR2 и сеть продолжает работать. При этом переключении для клиентов IP и МАС адрес шлюза не изменится, а трафик будет передаваться через ESR2.

Во время работы функции BRAS на ESR (master) создаются клиентские сессии, отправляется данные accounting на PCRF, в тот же момент времени на ESR (slave) сессии не созданы, данных по статистике нет. При возникновении аварии, VRRP адрес переключается на ESR2, и на маршрутизаторе запускается процедура МАС авторизации, создаются все сессии.

GRE туннели поднимаются на VRRP IP адрес ESR/BRAS (master). Резервный ESR постоянно синхронизируются список туннелей с мастером. При возникновении аварии, VRRP адрес переключается на ESR2, на котором уже созданы все GRE туннели, трафик поступает на соответствующие bridge интерфейсы. На маршрутизаторе запускается процедура МАС авторизации.

Резервирование по протоколу BGP для L3 схемы включения



Схема организации связи

Пример реализации отказоустойчивой сети с резервированием ESR, изображен на рисунке выше.

Точки доступа «Элтекс», размещаемые у клиента, позволяют передавать трафик через L3 сеть доступа оператора к ESR/BRAS. Трафик пользователей и управления передается в GRE туннелях.

Точки доступа сторонних производителей для подключения к L3 сети доступа используют ESR-10, которые упаковывают весь трафик в GRE туннели, и передают его к ESR/BRAS.

Вся сеть доступа, для включения ТД, объединена в VRF AP-Core.

Выход в сеть Интернет, осуществляется через VRF NAT, в котором расположен NAT.

Сеть управления через VRF Backbone, позволяет организовать связность между ESR и SoftWLC.

ESR включены в разные PE маршрутизаторы, для обеспечения физического резервирования элементов. Так же ESR связаны между собой для обмена служебной информации о списке и статусе GRE туннелей.

Таким образом, при выходе любого PE маршрутизатора или ESR, а также при потере физической или логической связности – система продолжает предоставлять комплекс услуг с минимальным перерывом связи.

Сетевая схема резервирования ESR/BRAS

На примере рисунка выше, на котором изображена схема организации связи на сетевом уровне.

Для подключения ESR к PE используется интерфейс 10GE, на котором расстроено 3 IP интерфейсе для организации BGP соединений в 3 соответствующих VRF:

AP-Core – VPN, в котором осуществляется включение всех точек доступа. По нему идет весь обмен между ТД и ESR.

Backbone – VPN управления, в нем происходит передача всего трафика управления и мониторинга ESR и ТД, так же через него получают адреса по DHCP устройства клиента.

NAT – VPN через который осуществляется выход в сеть Интернет, используя NAT оператора.

Через VRF AP-Core на ESR принимается маршрут для сети, в которой ESR-10 или ТД «Элтекс» получили первичные адреса. В этот же VRF с ESR анонсируется подсеть в которой расположены адреса для поднятия GRE туннелей.

Через VRF Backbone на ESR принимается маршрут для сети, в которой расположены сервера SoftWLC (EMS, DHCP). В этот же VRF с ESR анонсируется подсеть управление ESR, управление ТД «Элтекс», и подсети клиентов (для получения адресов по DHCP от клиента).

Через VRF NAT на ESR принимается маршрут 0.0.0.0/0. В этот же VRF с ESR анонсируется клиентские подсети для прохождения трафика в сеть Интернет.

Оба ESR находятся в одной автономной системе, и обмениваются маршрутной информацией по iBGP. Интерфейсом для взаимодействия служит интерфейс Bridge 9. Физическое подключение рекомендуется выполнять через Port Channel, тем самым обеспечивается резервирование данного канала и увеличивается пропускная способность соединения.

При доступности PE master он будет лучшим маршрутом для обоих ESR, при его недоступности трафик пойдет через PE backup. 


  • Нет меток