В текущей версии ПО данный функционал поддерживается на маршрутизаторах ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1700 по лицензии |
Данная команда используется для выбора профиля серверов динамической авторизации (DAS), на которые будут приходить CoA запросы от PCRF об изменении политики обслуживания, а также запросы оперативной информации от CaptivePortal.
Использование отрицательной формы команды (no) удаляет заданный профиль серверов динамической авторизации (DAS).
[no] aaa das-profile <NAME>
<NAME> – имя профиля серверов динамической авторизации (DAS), задается строкой до 31 символа.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# aaa das-profile profile1 |
Данная команда используется для выбора профиля RADIUS-серверов, на которые будут отправляться запросы для получения параметров сервиса пользователя. Если профиль не задан, то будет использоваться профиль «aaa sessions-radius-profile».
Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.
[no] aaa services-radius-profile <NAME>
<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# aaa services-radius-profile profile1 |
Данная команда используется для выбора профиля RADIUS-серверов, на которые будут отправляться запросы для получения параметров сессии пользователя.
Использование отрицательной формы команды (no) удаляет заданный профиль RADIUS-серверов.
[no] aaa sessions-radius-profile <NAME>
<NAME> – имя профиля RADIUS-серверов, задается строкой до 31 символа.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# aaa sessions-radius-profile profile1 |
Данная команда используется для включения прозрачного пропускания трафика в состоянии backup для BRAS.
Использование отрицательной формы команды (no) отключает прозрачное пропускание трафика в состоянии backup для BRAS.
[no] backup traffic-processing transparent
Команда не содержит параметров.
Отключено.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# backup traffic-processing transparent |
Данная команда используется для организации прозрачного пропускания служебного трафика (DHCP, DNS и т.д.) на основе фильтров.
Использование отрицательной формы команды (no) отключает прозрачное пропускание трафика.
bypass-traffic-acl <NAME>
no bypass-traffic-acl
<NAME> – имя привязываемого ACL, задается строкой до 31 символа.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# bypass-traffic-acl LANs |
Данная команда используется для привязки указанного QoS-класса к сервису по умолчанию. Прохождение трафика не входящего в QoS-класс запрещено.
Использование отрицательной формы команды (no) удаляет привязку класса к сервису по умолчанию.
[no] class-map <NAME>
<NAME> – имя привязываемого класса, задается строкой до 31 символа.
15
CONFIG-SUBSCRIBER-DEFAULT-SERVICE
esr(config-subscriber-default-service)# class-map LAN |
Данной командой осуществляется удаление активных сессий контроля пользователей.
clear subscriber-control sessions [ vrf <VRF> ] [ username <USER-NAME> ] [ session-id <SESSION-ID> ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
<USER-NAME> – имя пользователя, задаётся строкой до 230 символов;
<SESSION-ID> – идентификатор сессии, принимает значения [1..18446744073709551615].
1
ROOT
esr# clear subscriber-control sessions |
Данная команда используется для указания действия, которое должно быть применено для HTTP/HTTPS пакетов, URL (HTTP Host для HTTPS пакетов) в которых не входит в список URL назначенный командой «filter-name» (см. раздел filter-name).
Использование отрицательной формы команды (no) удаляет назначенное действие.
default-action <ACT>
no default-action
<ACT> – назначаемое действие:
15
CONFIG-SUBSCRIBER-DEFAULT-SERVICE
esr(config-subscriber-default-service)# default-action redirect http://192.162.1.2/cp |
Переход в режим конфигурирования сервиса по умолчанию. Сервис по умолчанию применяется для всех новых пользовательских сессий. После прохождения аутентификации пользователю назначаются персональные сервисы.
Использование отрицательной формы команды (no) очищает конфигурацию сервиса по умолчанию.
[no] default-service
Команда не содержит параметров.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# default-service |
Данной командой определяется описание профиля контроля пользователей.
Использование отрицательной формы команды (no) удаляет описание.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание правила wan, задаётся строкой до 255 символов.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# description "Wi-Fi BRAS" |
Данной командой активируется профиль контроля пользователей.
Использование отрицательной формы команды (no) деактивирует профиль контроля пользователей.
[no] enable
Команда не содержит параметров.
Процесс выключен.
15
CONFIG-SUBSCRIBER-CONTROL
CONFIG-PPP-USER
esr(config-subscriber-control)# enable |
Данная команда используется для указания действия, которое должно быть применено для HTTP/HTTPS пакетов, URL (HTTP Host для HTTPS пакетов) в которых входит в список URL назначенный командой «filter-name» (см. раздел filter-name).
Использование отрицательной формы команды (no) удаляет назначенное действие.
filter-action <ACT>
no filter-action
<ACT> – назначаемое действие:
15
CONFIG-SUBSCRIBER-DEFAULT-SERVICE
esr(config-subscriber-default-service)# filter-action redirect http://192.162.1.2/forbidden |
Данная команда используется для указания имени списка URL, который будет использоваться для фильтрации HTTP/HTTPS-трафика не аутентифицированных пользователей. Список может быть настроен локально с помощью профиля URL, либо получен с удаленного сервера (см. раздел subscriber-control application-filter ).
Использование отрицательной формы команды (no) удаляет имя списка.
filter-name { local <LOCAL-NAME> | remote <REMOTE-NAME> }
no filter-name
<LOCAL-NAME> – имя профиля URL, задаётся строкой до 31 символа;
<REMOTE-NAME> – имя списка URL на удаленном сервере, задаётся строкой до 31 символа.
15
CONFIG-SUBSCRIBER-DEFAULT-SERVICE
esr(config-subscriber-default-service)# filter-name local BLACK_LIST |
Данной командой определяется с каких TCP-портов назначения трафик будет перенаправлен на HTTP Proxy-сервер маршрутизатора.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip proxy http listen-ports <NAME>
no ip proxy http listen-ports
<NAME> – имя профиль TCP/UDP-портов, задаётся строкой до 31 символа.
80, 8080
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# ip proxy http listen-ports HTTP_PORTS |
Данной командой определяется с каких TCP-портов назначения трафик будет перенаправлен на HTTPS Proxy-сервер маршрутизатора.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
ip proxy https listen-ports <NAME>
no ip proxy https listen-ports
<NAME> – имя профиль TCP/UDP-портов, задаётся строкой до 31 символа.
443, 8443
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# ip proxy https listen-ports HTTPS_PORTS |
Данной командой определяется IP-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых Proxy-сервером HTTP/HTTPS пакетах.
Использование отрицательной формы команды (no) удаляет указанный IP-адрес источника.
ip proxy source-address <ADDR>
no ip proxy source-address
<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
По умолчанию используется IP-адрес интерфейса, с которого будет отправляться пакет.
10
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# ip proxy source-address 10.100.100.2 |
В текущей версии ПО данный функционал поддерживается только на маршрутизаторе ESR-100, ESR-200, ESR-1000, ESR-1200, ESR-1700 |
Данная команда используется для изменения идентификатора сетевого интерфейса. Данный идентификатор используется при HTTP-редиректах на CaptivePortal, а также передается в учетной информации RADIUS и при экспорте информации через Netflow протокол.
Использование отрицательной формы команды (no) удаляет идентификатор.
location <ID>
no location
<ID> – идентификатор сетевого интерфейса, задаётся строкой до 220 символов.
Не имеет значения по умолчанию.
10
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-L2TPV3
esr(config-if-gi)# location “Guest SSID” |
Данной командой определяется интерфейс маршрутизатора, IP-адрес которого будет использоваться в качестве IP-адреса источника в отправляемых RADIUS пакетах.
Использование отрицательной формы команды (no) удаляет указанный IP-адрес источника.
nas-interface {<IF> | <TUN>}
no nas-interface
<IF> – интерфейс, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Не задано.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# nas-interface gi 1/0/1 |
Данной командой определяется IP-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS пакетах.
Использование отрицательной формы команды (no) удаляет указанный IP-адрес источника.
nas-ip-address <ADDR>
no nas-ip-address
<ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
10
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# nas-ip-address 10.100.100.2 |
Данной командой можно включить перезапрос значения квоты при ее истечении для сервисов пользователя с настроенным ограничением по объему трафика или времени. В ином случае после истечения квоты сервис будет деактивирован, и пользователю будет назначен сервис по умолчанию.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
[no] quota-expired-reauth
Команда не содержит параметров.
При истечении квоты пользователю будет назначен сервис по умолчанию.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# quota-expired-reauth |
Данная команда используется для включения контроля пользователей на интерфейсе. При выполнении со значением параметра «any» контроль пользователей будет работать для пакетов из любой подсети, в ином случае только для пакетов из подсетей указанных в профиле IP-адресов.
Использование отрицательной формы команды (no) выключает контроль пользователей на интерфейсе.
service-subscriber-control { any | object-group <NAME> }
no service-subscriber-control
<NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
15
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-IP4IP4
CONFIG-GRE
esr(config-if-gi)# service-subscriber-control object-group LAN |
Данной командой устанавливается режим отправки сообщений RADIUS-accounting.
При использовании отрицательной формы команды (no) устанавливается значение по умолчанию.
session accounting { all | auth-only }
all – отправка для всех сессий;
auth-only – отправка для авторизированных сессий.
all
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# session accounting all |
Данной командой можно включить аутентификацию сессий по IP-адресу.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
[no] session IP-authentication
Команда не содержит параметров.
Отключено.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# session ip-authentication |
Данной командой можно выключить режим прозрачного роуминга абонентов между L2-интерфейсами BRAS. В случае изменения L2 интерфейса абоненту необходимо будет заново пройти аутентификацию.
Использование отрицательной формы команды (no) включает режим прозрачного роуминга абонентов между L2 интерфейсами BRAS.
[no] session l2-roaming disable
Команда не содержит параметров.
Включен режим прозрачного роуминга абонентов между L2 интерфейсами BRAS.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# session l2-roaming disable |
Данной командой можно включить режим отправки RADIUS аккаунтинга в реальном времени при изменении L2 интерфейса BRAS, по которому приходит работа с абонентом.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
[no] session l2-roaming realtime-accounting
Команда не содержит параметров.
RADIUS-аккаунтинг с измененным L2-интерфейсом отправляется по истечению Interim-Update.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# session l2-roaming realtime-accounting |
Данной командой можно включить аутентификацию сессий по MAC-адресу.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
[no] session mac-authentication
Команда не содержит параметров.
Отключено.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# session mac-authentication |
Данной командой можно запретить прохождение трафика в аутентифицированной сессии для пакетов, у которых изменился MAC-адрес источника с момента аутентификации пользователя. Также при получении пакета с отличающимся MAC-адресом источника будет выведено сообщение в SYSLOG.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
[no] session unknown-mac-address
Команда не содержит параметров.
Прохождение трафика с отличающимся MAC-адресом источника разрешено.
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# session unknown-mac-address |
Данной командой задаётся интервал, по истечении которого, если не было пакетов от пользователя, сессия считается устаревшей и удаляется с устройства.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
session-timeout <SEC>
no session-timeout
<SEC> – период времени в секундах, принимает значения [120..3600].
120 секунд
15
CONFIG-SUBSCRIBER-DEFAULT-SERVICE
esr(config-subscriber-default-service)# session-timeout 155 |
Командой выполняется просмотр параметров конфигурации контроля пользователей.
show subscriber-control configuration [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа.
1
ROOT
esr# show subscriber-control configuration State: Enabled Description: -- NAS IP address: 192.168.107.201 Sessions radius profile: RADIUS Services radius profile: -- DAS profile: bras2 Quota expired reauth: Disabled Default service: Class map: list1 Filter name: defaultserv Filter type: local Filter action: permit Default action: redirect Default redirect URL: http://192.168.107.213:8080/eltex_portal/ |
Данная команда используется для просмотра информации об используемых RADIUS-серверах.
show subscriber-control radius-servers [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены используемые RADIUS-сервера в указанном VRF.
1
ROOT
esr# show subscriber-control radius-servers IP address Port VRF Usage Connections count Dead interval Dead time ---------------- ------ ------------- ------------- ----------------- ------------- --------- 172.16.0.134 31813 -- services acct 0 10 -- 172.16.0.134 31812 -- services auth 0 10 -- 172.16.0.135 31813 -- sessions acct 0 10 -- 172.16.0.135 31812 -- sessions auth 0 10 -- |
Данные команды используются для просмотра информации и статистики по сервисам сессий контроля пользователей.
show subscriber-control services { counters | status } [ vrf <VRF> ] [ session-id <SESSION-ID> ] [ service-id <SERVICE-ID> ] [ service <SERVICE-NAME> ]
status – просмотр оперативной информации по сервису пользователя;
counters – просмотр статистики по сервису пользователя;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сервисы в указанном VRF.
<SESSION-ID> – идентификатор сессии, принимает значения [1.. 18446744073709551615].
<SERVICE-ID> – идентификатор сессии, принимает значения [1.. 18446744073709551615].
<SERVICE-NAME> – имя сервиса, задаётся строкой до 220 символов.
1
ROOT
esr# show subscriber-control services status Service id Session id Service name User name Quota volume Quota time (Bytes) (Seconds) ------------ ------------ -------------- ----------- -------------- -------------- 2522015791 2161727821 INTERNET5 79001110011 -- -- esr# show subscriber-control services counters session-id 2161727821 Service id Service name Recv packets Recv bytes Send packets Send bytes ------------ -------------- -------------- ------------ -------------- ------------ 2522015791 INTERNET5 1221 561568 1252 191748 |
Данные команды используются для просмотра информации и статистики по сессиям контроля пользователей.
show subscriber-control sessions { counters | status } [ vrf <VRF> ] [ session-id <SESSION-ID> ] [ username <SERVICE-NAME> ]
status – просмотр оперативной информации по сессии пользователя;
counters – просмотр статистики по сессии пользователя;
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
<SESSION-ID> – идентификатор сессии, принимает значения [1.. 18446744073709551615];
<USER-NAME> – имя пользователя, задаётся строкой до 230 символов.
1
ROOT
esr# show subscriber-control sessions status Session id User name IP address MAC address Interface Domain ------------ ----------- ------------ ----------------- --------- --------- 2161727821 79001110011 192.168.244.12 c4:12:f5:d4:af:70 bridge 13 root esr# show subscriber-control sessions counters session-id 2161727821 User name Recv packets Recv bytes Send packets Send bytes --------------- -------------- -------------- -------------- -------------- 79001110011 243 87056 294 35961 |
Команда используется для создания профиля контроля пользователей и перехода в режим его конфигурирования.
Использование отрицательной формы команды (no) удаляет указанный профиль контроля пользователей.
[no] subscriber-control [ vrf <VRF> ]
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать контроль пользователей.
10
CONFIG
esr(config)# subscriber-control |
Данная команда используется для включения контроля приложений на интерфейсе.
Использование отрицательной формы команды (no) выключает контроль приложений на интерфейсе.
subscriber-control application-filter <NAME>
no subscriber-control application-filter
<NAME> – имя профиля приложений, задаётся строкой до 31 символа.
15
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-IP4IP4
CONFIG-GRE
CONFIG-L2TPV3
esr(config-if-gi)# subscriber-control application-filter LIST |
Данная команда используется для задания URL-адреса сервера, предоставляющего списки приложений для фильтрации трафика. Списки запрашиваются у сервера в момент аутентификации пользователя.
Использование отрицательной формы команды (no) удаляет заданный URL-сервера.
subscriber-control apps-server-url <URL>
no subscriber-control apps-server-url
<URL> – адрес ссылки, задаётся строкой от 8 до 255 символов.
Не имеет значения по умолчанию.
15
CONFIG
esr(config)# subscriber-control apps-server-url "http://192.168.1.1/files/" |
Данная команда используется для задания адреса сервера, предоставляющего списки URL для фильтрации HTTP/HTTPS-трафика. Списки запрашиваются у сервера в момент аутентификации пользователя.
Использование отрицательной формы команды (no) удаляет заданный URL-сервера.
subscriber-control filters-server-url <URL>
no subscriber-control filters-server-url
<URL> – адрес ссылки, задаётся строкой до 255 символов.
Не имеет значения по умолчанию.
15
CONFIG
esr(config)# subscriber-control filters-server-url "http://192.168.1.1/files/" |
Данная команда используется для задания порога количества сессий BRAS всех профилей контроля пользователей для отправки snmp - trap eltexBrasSessionsNumberHigh и eltexBrasSessionsNumberHighOk.
Использование отрицательной формы команды (no) устанавливает значения по умолчанию.
subscriber-control thresholds sessions-number { high <TH-HIGH> | low <TH-LOW> }
no subscriber-control thresholds sessions-number { high | low }
<TH-HIGH> – порог количества сессий BRAS для отправки snmp-trap eltexBrasSessionsNumberHigh;
<TH-LOW> – порог количества сессий BRAS для отправки snmp-trap eltexBrasSessionsNumberHighOk.
На ESR-1700 <TH-HIGH> – 47000, <TH-LOW> – 46000
На ESR-1000, ESR-1200 <TH-HIGH> – 9000, <TH-LOW> – 8500
На ESR-100 и ESR-200 <TH-HIGH> – 900, <TH-LOW> – 850
15
CONFIG
esr(config)# subscriber-control thresholds sessions-number high 8000 |
Данная команда используется для задания интервала, по истечении которого с устройства будут удалены неиспользуемые в текущий момент списки URL.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
subscriber-control unused-filters-remove-delay <DELAY>
no subscriber-control unused-filters-remove-delay
<DELAY> – временной интервал в секундах, принимает значения [10800..86400].
10800 секунд
15
CONFIG
esr(config)# subscriber-control unused-filters-remove-delay 40000 |
Данная команда используется для задания порога количества сессий BRAS для отправки snmp - trap eltexBrasSessionsNumberHigh и eltexBrasSessionsNumberHighOk.
Использование отрицательной формы команды (no) устанавливает значения по умолчанию.
thresholds sessions-number { high <TH-HIGH> | low <TH-LOW> }
no thresholds sessions-number { high | low }
<TH-HIGH> – порог количества сессий BRAS для отправки snmp-trap eltexBrasSessionsNumberHigh;
<TH-LOW> – порог количества сессий BRAS для отправки snmp-trap eltexBrasSessionsNumberHighOk.
На ESR-1700 <TH-HIGH> – 47000, <TH-LOW> – 46000
На ESR-1000, ESR-1200 <TH-HIGH> – 9000, <TH-LOW> – 8500
На ESR-100 и ESR-200 <TH-HIGH> – 900, <TH-LOW> – 850
15
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# thresholds sessions-number high 8000 |
Данной командой определяется VRRP-группа, на основе которой определяется состояние (основной/резервный) сервиса контроля абонентов. При переключении VRRP в состояние BACKUP происходит сброс всех сессий контроля пользователей.
Использование отрицательной формы команды (no) удаляет идентификатор VRRP.
vrrp-group <GRID>
no vrrp-group
<GRID> – идентификатор группы VRRP-маршрутизатора, принимает значения [1..32].
10
CONFIG-SUBSCRIBER-CONTROL
esr(config-subscriber-control)# vrrp-group 10 |