1. Общее описание

    Функционал BRAS поддерживается на сервисных маршрутизаторах Элтекс ESR-10/20/100/200/1000/1200/1500/1700. Данный функционал позволяет предоставить возможность идентификации клиентов Wi-Fi, подключающихся к точкам доступа производства различных производителей. В общем виде от BRAS требуются следующие функции:

• При приеме клиентского трафика нужно понять, авторизован этот клиент в системе или нет;
• Если клиент авторизован, то пустить его в Интернет. Если не авторизован, то перенаправить его на Портал авторизации, где он должен подтвердить свою личность (с помощью SMS, звонка или учетной записи ЕСИА);
• После того, как клиент авторизовался на Портале, BRAS должен узнать об этом, применив к трафику клиента различные политики доступа;
• В процессе обработки клиентского трафика BRAS должен считать и пересылать статистику вышестоящей системе для ее последующего анализа и хранения.

    BRAS является исполнительным механизмом, применяющим определенные политики к клиентскому трафику в соответствии с директивами, которые передаются ему от вышестоящей системы SoftWLC, в которой как раз принимаются решения на основании данных, передаваемых BRAS. В составе SoftWLC с BRAS взаимодействуют и пересылают ему директивы по работе с клиентами 2 модуля: PCRF и Портал.

    Для того, чтобы различать клиентов между собой BRAS-у требуется какой-либо идентификатор, однозначно идентифицирующий клиента. Этим идентификатором является MAC клиентского устройства. Поэтому необходимо, чтобы на BRAS попадал трафик, с MAC-заголовками клиентов. Для этого необходимо обеспечить между клиентом и BRAS L2-сеть или, же пробросить клиентский трафик до BRAS внутри VPN через L3-инфраструктуру оператора. Далее, в настоящей документации будет рассматриваться схема подключения L2, когда трафик абонентов попадает на BRAS используя vlan через L2-сеть доступа оператора. Ознакомиться с документацией по включению ESR BRAS через L3 сеть оператора можно по ссылке: BRAS/BRAS в vrf. L3 WiFi - руководство по настройке с резервированием

    В текущем документе предполагается, что на ESR используется ПО версии 1.11.3, SoftWLC версии 1.18.

2. Архитектура решения

    Предполагается, что BRAS и комплекс управления SoftWLC включаются в ядре сети оператора связи, куда есть возможность прокладывать L2 канал связи (vlan) от каждой ТД для каждого SSID.

2.1 Включение BRAS на сети оператора

    На приведенном ниже рис. 2.1, ТД подключаются к коммутатору, каждый SSID находится в отдельном vlan, они приходят на ESR. При подключении нового абонента выполняется редирект на портал для авторизации, который находится на сервере SoftWLC . После авторизации клиент предоставляется доступ в сеть Интернет.

Рис. 2.1.

    Ниже, на рис. 2.2, приведена архитектура конфигурации ESR. В качестве аплинка используется интерфейс gi1/0/1 (можно использовать любой физический интерфейс). Доступ в сеть Интернет и к комплексу SoftWLC осуществляется в отдельных подсетях. vlan с SSID1 и SSID2 приходят в один интерфейс типа бридж. Трафик клиентов выпускается в сеть Интернет с помощью NAT на ESR.

Рис. 2.2.

    Для терминации клиентов используется интерфейс типа бридж, т.к. он позволяет включить в него различные саб-интерфейсы и тем самым терминировать в одном адресном пространстве трафик из разных vlan, обеспечив тем самым возможность бесшовного перехода клиентов из одного vlan в другой (это может быть необходимо, если на разных ТД для одинакового SSID используются разные vlan). В то же время, если требуется разделение на подсети для различных SSID, можно использовать несколько интерфейсов типа бридж для терминации клиентских vlan. Для взаимодействия  ESR BRAS с комплексом SoftWLC  достаточно обеспечить L3 связанность.

2.2 Возможные варианты включения ТД на сети доступа оператора

1) На 1-й ТД настроен 1 SSID.

На ТД настраиваются один SSID. Устройство подключается в access порт коммутатора, который передает весь трафик через L2 сеть доступа оператора до маршрутизатора ESR  BRAS в уникальном vlan. В этом случае можно однозначно идентифицировать, с какой ТД и SSID пришел трафик клиента.

2) На 1ТД настроено 2 SSID (или более).

На ТД настраиваются 2 SSID с разными именами. С ТД трафик идет untagged на один access порт коммутатора, который передает весь трафик через L2 сеть доступа оператора до маршрутизатора ESR BRAS в уникальном vlan. Таким образом клиенты, подключенные к разным SSID, попадают в один общий канал. На стороне оператора трафик с разных SSID не идентифицируется.

3.1) На 2-х (и более) ТД настроен 1 SSID.

На каждой ТД настраиваются 1 SSID. С ТД трафик идет untagged, устройства подключаются в разные access порты (но c одним vlan id) коммутатора 1 , который передает весь трафик через L2 сеть доступа оператора до маршрутизатора ESR BRAS в уникальном vlan. Таким образом, клиенты, подключенные к разным ТД, попадают в один общий канал. На стороне оператора трафик с разных ТД не идентифицируется.

3.2) На 2-х (и более) ТД настроен 1 SSID.

На ТД настраиваются 1 SSID. Устройства подключаются в разные access порты (c разными vlan ID) коммутатора, который передает весь трафик через L2 сеть доступа оператора до маршрутизатора ESR BRAS в уникальных vlan. Таким образом, трафик клиентов, подключенных к разным ТД, можно однозначно идентифицировать.

4.1) На 2-х (и более) ТД настроено 2 (и более) SSID.

На ТД настраиваются 2 (или более) SSID с разными именами. Каждая SSID с ТД передается с тегом vlan (настройки vlan на всех ТД одинаковые), на trunk порт коммутатора, который передает весь трафик через L2 сеть доступа оператора до маршрутизатора ESR BRAS. Таким образом, трафик клиентов, подключенных к разным SSID, можно однозначно идентифицировать. Идентифицировать с какой ТД пришел трафик от SSID нельзя.

4.2) На 2-х (и более) ТД настроено 2 (и более) SSID.

На ТД настраиваются 2 (или более) SSID с разными именами. Каждая SSID с ТД передается со своим тегом vlan (настройки vlan на всех ТД уникальные), на trunk порт коммутатора, который передает весь трафик через L2 сеть доступа оператора до маршрутизатора ESR BRAS в уникальных vlan. Таким образом, трафик клиентов, подключенных к разным SSID, как и ТД, к которым он подключен, можно однозначно идентифицировать.

3. Конфигурирование ESR BRAS

    Рассмотрим пример конфигурирования ESR и настройки комплекса SoftWLC для обеспечения авторизации клиентов через BRAS. Предполагается, что комплекс SoftWLC размещен на одном хосте и уже установлен. Подробнее о развертывании комплекса SoftWLC можно ознакомиться по ссылке: Wi-Fi контроллер (SoftWLC)

В приведенном ниже примере и описании конфигурации ESR будет использована следующая адресация:

Адрес SotfWLC 100.123.0.2. Шлюз по умолчанию для ESR 172.31.240.1.

    На рис. 3.1 приведена архитектура конфигурации ESR c адресацией. ESR подключается по схеме "router-on-stick", используя в качестве uplink интерфейс gi1/0/1.

Рис. 3.1.

    При настройке ESR следует придерживаться следующих принципов:

1) В первую очередь выполнить общие настройки - назначить адресацию, настроить доступ к ESR;

2) При настройке адресации отключить файрвол на всех L3 интерфейсах ESR, за исключением интерфейса, смотрящего в сеть Интернет;

3) Только убедившись, что трафик клиентов и управления проходит правильным образом: клиенты получают адреса, есть доступ с сеть Интернет, с ESR есть доступ до SoftWLC - выполнить настройку BRAS;

4) Убедившись в успешной авторизации клиентов на BRAS и выходе их в сеть Интернет, настроить файрвол и включить его на всех интерфейсах.

    Первоначальную настройку ESR следует выполнять используя консольное подключение и предварительно полностью стерев старую или factory конфигурацию, что бы её остатки не создавали проблем в дальнейшей настройке:

esr1000# copy system:default-config system:candidate-config 
Entire candidate configuration will be reset to default, all settings will be lost upon commit.
Do you really want to continue? (y/N): y
|******************************************| 100% (50B) Default configuration loaded successfully.

   Затем выполним первоначальную настройку маршрутизатора:

security zone trusted
exit
security zone untrusted
exit
security zone users
exit


bridge 10
  description "users"
  security-zone users
  ip firewall disable
  ip address 192.168.132.1/22
  ip helper-address 100.123.0.2
  protected-ports local
  enable
exit

interface gigabitethernet 1/0/1.3500
  description "UpLink"
  security-zone untrusted
  ip address 172.31.240.3/29
exit
interface gigabitethernet 1/0/1.2300
  description "mgmt"
  security-zone trusted
  ip firewall disable
  ip address 100.123.0.176/24
exit
interface gigabitethernet 1/0/1.2336
  bridge-group 10
exit
interface gigabitethernet 1/0/1.2337
  bridge-group 10
exit

ip dhcp-relay

ip route 0.0.0.0/0 172.31.240.1

ip telnet server
ip ssh server

Затем применим эту настройку (commit/confirm), после чего оборудование можно размещать в стойке и подключаться к нему по ssh/telnet.

Настроим NAT:

object-group network users
  ip prefix 192.168.132.0/22
exit

nat source
  pool nat_addr
    ip address-range 172.31.240.3
  exit
  ruleset nat_source
    to zone untrusted
    rule 1
      match source-address users
      action source-nat pool nat_addr
      enable
    exit
  exit
exit

После применения этой настройки надо убедиться в успешном подключении клиентов - получении ими адресов и выходе в сеть Интернет, а так же в наличии связности до SoftWLC. Настройка DHCP сервера в текущем документе не рассматривается, т к. это отдельный сервис и может базироваться на различном ПО (рекомендуется использовать isc-dhcp-server).  До исправления проблем сетевой связности на этой стадии не имеет смысла переходить к дальнейшей настройке.

Потом настраиваем взаимодействие с SNMP и NTP серверами - это необходимо для корректного мониторинга состояния ESR из EMS:

snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro

snmp-server host 100.123.0.2
  source-address 100.123.0.176
exit

clock timezone gmt +7

ntp enable
ntp server 100.123.0.2
exit

    Настройку BRAS можно разделить на следующие этапы:

1) Загрузка лицензии BRAS;

2) Конфигурирование взаимодействия с radius сервером;

3) Конфигурирование access-list, которые будут использоваться сервисами BRAS;

4) настройка сервиса BRAS и включение его на соответствующих бриджах для авторизации клиентов.

1.1) Проверяем наличие лицензии:

esr1000# sh licence 
Active licence not found!

Лицензии нет. Для её получения нужно обратится в коммерческий отдел компании "Элтекс".

1.2) После получения лицензии загружаем её на ESR и проверяем, что она успешно загрузилась:

esr1000# copy tftp://100.123.0.2:/NP07000030.lic system:licence 
|******************************************| 100% (678B) Licence loaded successfully. Please reboot system to apply changes.
esr1000# sh licence 
Licence information
-------------------
Name:    eltex
Version: 1.0
Type:    ESR-1000
S/N:     NP07000030
MAC:     A8:F9:4B:AB:79:A0
Features:
 BRAS - Broadband Remote Access Server

1.3) Перезагружаем ESR:

esr1000# reload system 
Do you really want to reload system ? (y/N): y

После перезагрузки станут доступны команды настройки BRAS.

2) Настраиваем взаимодействие с радиус сервером:

radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 100.123.0.176
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
radius-server host 100.123.0.3
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 100.123.0.176
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
  radius-server host 100.123.0.3
exit

object-group network SoftWLC
  ip address-range 100.123.0.2
exit

radius-server timeout 10
radius-server retransmit 5
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 100.123.0.176
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

В этой настройке мы указали, что взаимодействие с радиус сервером осуществляется по адресу 100.123.0.2 по портам 31812 и 31813, с паролем testing123. Эти порты должны быть открыты на транспорте при обращении ESR к PCRF (предполагается, что все компоненты комплекса SoftWLC находятся на одном хосте). Так же мы указали, что при обращении со стороны PCRF ESR слушает обращения на порту 3799 с адреса 100.123.0.2, с паролем testing123. Этот порт должен быть открыт на транспорте при обращении PCRF к ESR.

3) Настраиваем access-list, которые будут использоваться сервисами BRAS:

ip access-list extended WELCOME
  rule 1
    action permit
    match protocol tcp
    match destination-port 443
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port 8443
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port 80
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match destination-port 8080
    enable
  exit
exit

ip access-list extended INTERNET
  rule 1
    action permit
    enable
  exit
exit

ip access-list extended unauthUSER
  rule 1
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit

4.1) Далее добавляем необходимые настройки BRAS на интерфейсе клиентов, настройки bridge при этом примут вид:

object-group network bras_users
  ip address-range 192.168.132.2-192.168.135.254
exit

bridge 10
  description "users"
  security-zone users
  ip firewall disable
  ip address 192.168.132.1/22
  ip helper-address 100.123.0.2
  service-subscriber-control object-group bras_users
  location data10
  protected-ports local
  enable
exit

4.2) Затем выполняем настройку BRAS:

В данной настройке указан адрес 100.123.0.2 и порт 7070 для загрузки списков фильтрации URL и порт 8080 для выполнения редиректа. Эти порты должны быть открыты на транспорте по направлению к PCRF.

subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  nas-ip-address 100.123.0.176
  session mac-authentication
  bypass-traffic-acl unauthUSER
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

    На данном этапе заканчивается настройка ESR для работы в режиме BRAS. Для проверки работоспособности требуется выполнить настройки со стороны комплекса SoftWLC. К настройке файрвола имеет смысл переходить только после проверки работоспособности BRAS поэтому она будет рассмотрена далее, после настроек со стороны комплекса SoftWLC.

4. Настройка SoftWLC для взаимодействия c ESR

    Настройки комплекса SoftWLC можно разделить на глобальные, которые выполняются один раз или при добавлении каждого нового ESR BRAS; универсальные - они могут как конфигурироваться под отдельного заказчика услуги авторизации, так и использоваться в настройках нескольких или всех заказчиков; и индивидуальные, которые как правило конфигурируются при подключении каждого нового заказчика, даже если могут быть использованы у нескольких различных заказчиков.

4.1. Глобальные настройки

    Глобальные настройки можно разделить на несколько этапов:

1) Включение взаимодействия с BRAS в Конструкторе порталов;

2) Создание в Личном кабинете  двух обязательных списков фильтрации URL - welcome и gosuslugi;

3) Создание в Личном кабинете обязательного сервиса WELCOME;

3) Настройка взаимодействия с BRAS в Личном кабинете;

4) Добавление ESR BRAS в EMS и настройка взаимодействия с ним.

Первые четыре пункта выполняются один раз при первичном развертывании и настройке, 5-й - при добавлении каждого нового ESR BRAS.

1) Открываем в Конструктор порталов (рис. 4.1.1) по адресу http://<ip адрес хоста>:8080/epadmin и переходим в настройку "Взаимодействие с BRAS":

Рис. 4.1.1.

Включаем:

• "Взаимодействие с BRAS" - ставим галочку, после этого появиться возможность выбора тарифов BRAS в настройках порталов;

Нажимаем кнопку "Сохранить".

2.1) Открываем Личный кабинет http://<ip адрес хоста>:8080/wifi-cab/ и переходим в "Настройки PCRF" → "Списки URL" и нажимаем кнопку "Добавить" (рис. 4.2.1):

Рис. 4.2.1.

Задаём:

• "Имя" - welcome;
• "Домен" - root;
• "Тип" - white;
• "URL" - добавляем кнопкой строку и в ней указываем "http://<ip адрес хоста с порталом>:8080/eltex_portal/".

После чего нажимаем "Save" для сохранения строки и "Сохранить" для сохранения списка.

2.2) Аналогично добавляем список фильтрации gosuslugi (рис .4.2.2), который используется в настройках BRAS filter-name remote gosuslugi:

Рис. 4.2.2

И нажимаем "Сохранить".
Настройка интеграции SoftWLC с ЕСИА в данном документе не рассматривается, подробнее можно в разделе документации: Wi-Fi контроллер (SoftWLC).

3) После этого переходим в раздел "Сервисы и тарифы" Личного кабинета, выбираем вкладку "Сервисы PCRF" и нажимаем кнопку "Добавить" (рис. 4.3.1):

Рис. 4.3.1.

В открывшемся окне настраиваем:

• "Имя сервиса" - WELCOME;
• "Домен" - root;
• "Класс трафика" - WELCOME.

• "Интервал отправки аккаунтинга, с" - 600;
• "Приоритет" - 4;
• "Возможность прохождения IP потоков" - Разрешить IP поток в оба направления;
• "Действие по умолчанию" - redirect;
• "URL по умолчанию" - http://<ip адрес портала>:8080/eltex_portal/welcome;
• "Имя фильтра" - выбираем в выпадающем меню welcome (это ранее настроенный список фильтрации);
• "Действие" - permit;
• Нажимаем кнопку "Добавить" - фильтр должен появиться в окне "Выбранные фильтры".

Нажимаем кнопку "Сохранить". Данный сервис является служебным, необходим для корректной работы страницы "Добро пожаловать" и его нельзя использоваться в настройках тарифов.

4) После этого переходим в "Настройки PCRF" Личного кабинета и открываем вкладку "BRAS VRF" (рис. 4.4.1):

Рис. 4.4.1.

На данной странице настраивается взаимодействие с BRAS в различных VRF. Для взаимодействия в дефолтном VRF уже существует запись, созданная с параметрами по умолчанию. В случае, если предполагается использовать при CoA-обращениях к ESR порт и пароль отличные от дефолтных - надо отметить галочкой текущую запись и нажать кнопку "Редактировать", откроется окно (рис. 4.4.2):

Рис. 4.4.2.

После изменения настроек нажимаем "Сохранить". Ранее, версиях SoftWLC 1.17 и предыдущих данная настройка этих параметров выполнялась в конструкторе порталов.

5.1) Затем открываем EMS, создаем домен eltex (принципы настройки доменов и узлов в данном документе не рассматриваются), выбираем нужный узел и добавляем (нажатием кнопки ) ESR в дерево объектов (рис. 4.5.1):

Рис. 4.5.1.

Указываем:

• "Имя объекта" - ESR_BRAS_L2 (имя можно указать любое);
• "Тип" - выбираем нужный тип устройства, в приведенном примере ESR1000;
• "IP адрес" - указываем IP адрес устройства, который будет использоваться для взаимодействия с SoftWLC.

Нажимаем кнопку "Добавить".

5.2) После появления ESR в дереве объектов (в случае, если не появилось - надо нажать кнопку в левом верхнем углу окна EMS) встаем на него и открываем справа вкладку "Доступ", а в ней нажимаем "Редактировать" (рис. 4.5.2):

Рис. 4.5.2.

В открывшейся вкладке указываем:

• "Файловый протокол" - FTP;
• "Read community / User v3" - public11;
• "Write community / Password v3" - private1;
• "BRAS сервис" - ставим галочку.

Остальные настройки сохраняем без изменений и нажимаем кнопку "Принять".

5.3) Затем в EMS необходимо указать пароль radius, для взаимодействия с ESR со стороны комплекса SoftWLC. Для этого открываем в меню "RADIUS" → "Управление точками доступа", находим ESR (если в таблице присутствует много адресов - можно отфильтровать по IP адресу) и дважды нажимаем на него, что бы открылось окно редактирования параметров (рис. 4.5.3):

Рис. 4.5.3.

Исправляем "Ключ" на testing123 и нажимаем кнопку "Принять", после чего закрываем окно "Управление точками доступа на RADIUS сервере".

4.2. Универсальные настройки

    К универсальным настройкам относятся настройки тарифа заказчика. Как правило если требуется предоставление стандартной услуги доступа в сеть Интернет можно использовать для всех заказчиков один и то же тариф. Но при необходимости можно настроить тариф индивидуально для отдельного заказчика.

    В нижеприведенном примере рассматривается настройка тарифа для доступа в сеть Интернет без ограничений. Настройка тарифа включает в себя настройку сервиса PCRF (один и тот же сервис может использоваться в различных тарифах), который будет использоваться в тарифе и настройку самого тарифа.

Открываем Личный кабинет и переходим в раздел "Сервисы и тарифы" → "Сервисы PCRF" и в нем нажимаем кнопку добавить - откроется окно "Создать новый сервис" (рис. 4.2.1):

Рис. 4.2.1.

Настраиваем:

• "Имя сервиса " - INTERNET (можно любое, английскими буквами, цифрами и символом "_");
• "Домен" - root;
• "Класс трафика" - INTERNET.

• "Интервал отправки аккаунтинга, с" - 300;
• "Приоритет" - 10;
• "Возможность прохождения IP потоков" - Разрешить IP поток в оба направления;
• "Действие по умолчанию" - permit;
• Списков фильтрации URL никаких не добавляем.

Нажимаем кнопку "Сохранить".

Открываем в Личном кабинете "Сервисы и тарифы" → "Тарифы" и выбираем фильтр "PCRF/BRAS", перейдя тем самым к настройке тарифов BRAS (рис. 4.2.2):

Рис. 4.2.2.

и нажимаем кнопку "Добавить" - откроется окно "Создать новый тариф" (рис. 4.2.3):

Рис. 4.2.3.

Настраиваем:

• "Наименование" - internet (можно любое, английскими буквами, цифрами и символом "_");
• "Код тарифа" - internet (можно любое, английскими буквами, цифрами и символом "_");
• "Домен" - root;
• "Время жизни сессии" - 12 часов. Это максимальное время жизни сессии пользователя , если он все время остается активен. Спустя это время его сессия будет закрыта на BRAS и создана новая, новая сессия пройдет mac авторизацию прозрачно для клиента;
• "Время жизни сессии при бездействии пользователя" - 15 мин;
• "Сервисы" - выбираем ранее настроенный сервис "INTERNET".

Нажимаем кнопку "Cохранить".

4.3. Индивидуальные настройки, выполняемые для каждого заказчика

    К индивидуальным настройкам относятся настройка портала, настройка и привязка SSID, и добавление подсетей L2. Портал можно использовать один для нескольких заказчиков, но как правило такое редко практикуется. Настройка SSID как правило уникальна для каждой географической локации подключения; а если используется уникальный vlan для одинакового SSID каждой ТД - то для каждой такой ТД. В рамках одного заказчика как правило используется один и тот же портал в различных SSID. В общем порядок настройки для каждого нового заказчика выглядит следующим образом:

1) создание портала (если планируется использовать существующий - этот шаг пропускается);

2) создание и привязка SSID в EMS;

3) создание подсети L2 в Личном кабинете.

1.1) Открываем конструктор порталов http://<ip адрес портала>:8080/epadmin и нажимаем , после чего в открывшемся окне (рис .4.3.1):

Рис. 4.3.1.

настраиваем:

• "имя виртуального портала" - eltex;
• "Домен области видимости" - eltex.root.

Нажимаем "Сохранить". Переход в созданный портал будет сделан автоматически.

1.2) Обратим внимание, что в конструкторе порталов для созданного выше портала "eltex" во вкладке "Тарифы" есть тариф "default", предназначенный для работы с ТД (рис. 4.3.2):

Рис. 4.3.2.

Данный тариф не подходит для работы с BRAS, но если добавить тариф типа "Работа через BRAS" - то портал может определить, какого типа авторизация нужна пользователю и подставит ему соответствующий тариф. Если использовать данный портал для авторизации клиентов ТД Eltex не предполагается - то можно нажить "Удалить" и удалить тариф предназначенный для ТД.

1.3) Нажимаем внизу конструктора порталов кнопку "Добавить" (рис. 4.3.3)

Рис. 4.3.3.

в открывшемся окне выбора тарифов отмечаем галочкой тариф "internet", который был настроен ранее в ЛК и нажимаем "Добавить". Обратим внимание, что он относится к группе тарифов "Работа через BRAS".

1.4) Нажимаем внизу конструктора порталов кнопку "Сохранить" (рис. 4.3.4):

Рис. 4.3.4.

На этом настройка портала закончена. В текущем документе предполагается, что для при авторизации клиента будет использоваться демо-режим. Подробнее о настройках взаимодействия с SMS-шлюзами, call центрами и серверами электронной почты можно ознакомиться по ссылке: v1.18_Настройка авторизации

2.1) Открываем в EMS и открываем  меню "Wireless" → "Менеджер SSID" и во вкладке "База SSID" нажимаем кнопку "Добавить SSID" - откроется окно создания SSID (рис. 4.3.5):

Рис. 4.3.5.

и настраиваем:

• "Тип" - Hotspot;
• "Имя" - SSID1;
• "Domain" - eltex.root;
• "Bridge, Location" - data10 - должно соответствовать location, настроенному на клиентском бридже ESR;
• "vlan-ID" - 2336;
• "Virtual portal name" - eltex - выбираем портал, который мы ранее настроили.

Нажимаем "Принять".

Т.к. в настраиваемой схеме предполагается наличие двух SSID - настраиваем аналогично второй SSID для vlanа 2337 (рис. 4.3.6):

Рис. 4.3.6.

отличия только в vlan и имени SSID.

2.2) Выполним привязку SSID - для этого выделим созданные нами ранее SSID1 и SSID2 и нажмем кнопку "Добавить SSID привязки". В открывшемся окне (рис. 4.3.7):

Рис. 4.3.7.

выбираем "Ключ" - DOMAIN, и выбираем домен eltex, в котором будут находится наши SSID и нажимаем "Создать привязку". После этого станет доступна кнопка "Принять" - нажимаем на неё.

Появится вопрос - "Исправить привязки SSID" - нажимаем "Нет", т.к. это работает только для ТД Eltex и закрываем менеджер SSID. На этом настройка EMS закончена.

3.1) Открываем личный кабинет и переходим в "Настройки PCRF" → "Подсети L2" и нажимаем кнопку "Добавить". Откроется окно "Добавить подсеть" (рис. 4.3.8):

Рис. 4.3.8.

настраиваем:

• "Наименование" - eltex_2336 (можно любое, английскими буквами, цифрами и символом "_");
• "Тип" - Сервис;
• "NAS IP" - 100.123.0.176 (адрес управления ESR);
• "Location интерфейса" - gi1/0/1.2336 (саб-интерфейс, через который терминируется трафик клиентов SSID1);
• "Service домен" - eltex.root;
• "Имя портала" - eltex;
• "AP домен" - eltex.root;

• "SSID" - выбираем SSID1:eltex.root

  Внимание! Для того, что бы иметь возможность выбрать нужный SSID "Service домен" должен совпадать или быть родительским для настроки "Domain" в настройках SSID.

Нажимаем кнопку "Сохранить".

Аналогично настраиваем подсеть L2 для второго SSID (рис. 4.3.9):

Рис. 4.3.9.

и сохраняем её.

   На этом настройка комплекса SoftWLC для работы с BRAS закончена, далее надо подключиться в настроенные ранее vlan и убедится в наличии редиректа на портал, возможности пройти авторизацию в демо режиме  и выйти  в сеть Интернет после авторизации. Траблшутинг при подключении клиентов BRAS рассмотрен по ссылке: BRAS. Troubleshooting Guide

5. Настройка firewall на ESR

   При первоначальной настройке ESR для удобства траблшутинга был отключен файрвол. После того как настройка будет выполнена и проверена успешная авторизация и работа клиентов через BRAS необходимо настроить файрвол.  Главная цель настройки файрвол - предотвратить доступ клиентов к ESR, комплексу SoftWLC  и ресурсам внутренней сети оператора.

   Файрвол на ESR работает на уровне L3 - на каждый L3 интерфейс назначается security zone (зона безопасности). Правила формируются на основании связок security zone-pair. Используемые в данном документе названия зон trusted, untrusted и users могут быть обозначены по другому. Зарезервированные названия зон безопасности, которые нельзя использовать - self и all. На рис. 5.1 приведено распределение интерфейсов ESR по зонам безопасности:

Рис. 5.1.

• Bridge 10 - зона users.

  Важно! Саб-интерфейсы gi1/0/1.2336 и gi1/0/1.2337 включены в bridge 10, своих ip адресов не имеют и поэтому трафик приходящий через эти интерфейсы считается приходящим из зоны users. Настраивать security-zone на этих интерфейсах нет необходимости;

• Gi1/0/1.3500 - зона untrusted, т.к. этот интерфейс смотрит в сторону сети Интернет;

• Gi1/0/1.2300 - зона trusted, т.к. это интерфейс используется для управления и смотрит в ядро сети оператора;
• Все адреса, настроенные непосредственно на ESR считаются находящимися в зоне self.

Принципы настройки файрвола выглядят следующим образом:

• Трафик клиентов из зоны users в зону untrusted (сеть Интернет) должен быть полностью разрешен;
• Трафик управления ESR из зоны trusted в зону self должен быть полностью разрешен;
• Трафик из зоны trusted в зону users должен быть полностью разрешен, для возможности диагностики проблем клиентов;
• При получении адресов клиентами их dhcp-discover проходят из зоны users в зону self, они должны быть разрешены;
• При продлении адресов клиентами их dhcp-request проходят из зоны users в зону trusted, где находится DHCP сервер, они должны быть разрешены;
• При обращении клиентов к DNS их пакеты проходят из зоны users в зону trusted, где находится DNS сервер, они должны быть разрешены;
• При выполнении редиректа на портал такое обращение клиентов проксируется ESR, поэтому такие пакеты считаются проходящими из зоны users в зону self.

Зоны безопасности и назначение их на интерфейсы было сделано при первоначальной настройке ESR.

Далее создадим объекты для сервисов dhcp, dns:

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service dns
  port-range 53
exit
object-group service redirect
  port-range 3128-3159
exit

Настраиваем правила фильтрации в соответствии выбранными выше принципами настройки файрвол:

security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted users
  rule 1
    action permit
    enable
  exit
exit
security zone-pair users self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
exit
security zone-pair users trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
exit

Включаем файрвол на интерфейсах, где он ранее был отключен:

bridge 10
  no ip firewall disable
exit

interface gigabitethernet 1/0/1.3500
  no ip firewall disable
exit
interface gigabitethernet 1/0/1.2300
  no ip firewall disable
exit

и применяем конфигурацию.

Проверяем работоспособность авторизации и выхода в сеть Интернет. После этого настройка ESR BRAS может считаться оконченной.

6. Приложение

6.1. Конфигурация ESR

Полная конфигурация  ESR:

object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service dns
  port-range 53
exit
object-group service redirect
  port-range 3128-3131
exit

object-group network users
  ip prefix 192.168.132.0/22
exit
object-group network SoftWLC
  ip address-range 100.123.0.2
exit
object-group network bras_users
  ip address-range 192.168.132.2-192.168.135.254
exit

radius-server timeout 10
radius-server retransmit 5
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 11
  priority 20
  source-address 100.123.0.176
  auth-port 31812
  acct-port 31813
  retransmit 10
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text encrypted 88B11079B9014FAAF7B9
  port 3799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit

security zone trusted
exit
security zone untrusted
exit
security zone users
exit

ip access-list extended WELCOME
  rule 1
    action permit
    match protocol tcp
    match destination-port 443
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port 8443
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port 80
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match destination-port 8080
    enable
  exit
exit

ip access-list extended INTERNET
  rule 1
    action permit
    enable
  exit
exit

ip access-list extended unauthUSER
  rule 1
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit

subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  nas-ip-address 100.123.0.176
  session mac-authentication
  bypass-traffic-acl unauthUSER
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw
snmp-server community "public11" ro

snmp-server host 100.123.0.2
  source-address 100.123.0.176
exit

bridge 10
  description "users"
  security-zone users
  ip address 192.168.132.1/22
  ip helper-address 100.123.0.2
  service-subscriber-control object-group bras_users
  location data10
  protected-ports local
  enable
exit

interface gigabitethernet 1/0/1.3500
  description "UpLink"
  security-zone untrusted
  ip address 172.31.240.3/29
exit
interface gigabitethernet 1/0/1.2300
  description "mgmt"
  security-zone trusted
  ip address 100.123.0.176/24
exit
interface gigabitethernet 1/0/1.2336
  bridge-group 10
exit
interface gigabitethernet 1/0/1.2337
  bridge-group 10
exit
security zone-pair users untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted users
  rule 1
    action permit
    enable
  exit
exit
security zone-pair users self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
exit
security zone-pair users trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
exit

nat source
  pool nat_addr
    ip address-range 172.31.240.3
  exit
  ruleset nat_source
    to zone untrusted
    rule 1
      match source-address users
      action source-nat pool nat_addr
      enable
    exit
  exit
exit

ip dhcp-relay

ip route 0.0.0.0/0 172.31.240.1

ip telnet server
ip ssh server

clock timezone gmt +7

ntp enable
ntp server 100.123.0.2
exit

6.2 Параметры ссылки редиректа

При выполении редирета пользователя WiFi на портал, в ссылке редиректа передается определённый список параметров, который позволяет порталу идентифицировать как и откуда пришел пользователь. Ссылка имеет формат:

http://<IP-адрес портала>:<порт портала>/eltex_portal/?router=bras&clientIp=<IP-адрес клиента>&clientMac=<MAC-адрес клиента>&nasIp=<NAS-IP роутера>&sessionId=<Идентификатор сессии>&vrf=<имя VRF>&loc=<location>&L2loc=<L2 location>&origUrl=<исходная ссылка, на которую пытался зайти клиент>

Пример строки редиректа на основе выполненных настроек ESR:

http://100.123.0.2:8080/eltex_portal/?router=bras&clientIp=192.168.132.10&clientMac=a8:9c:ed:53:a9:6d&nasIp=100.123.0.176&sessionId=12393906174523604993&vrf=1&loc=data10&L2loc=gi1/0/1.2336&origUrl=http://eltex-co.ru