Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 28 Следующий »

1. Общее описание работы BRAS.

Для использования функционала BRAS в схеме включения L3 можно использовать сервисные маршрутизаторы Элтекс ESR-100/200/1000/1200/1500/1700. Данный функционал позволяет предоставить возможность идентификации пользователей Wi-Fi, подключающихся к точкам доступа производства различных производителей. В общем виде от BRAS требуются следующие функции:

  • При приеме пользовательского трафика нужно понять, авторизован этот пользователь WiFi в системе или нет;
  • Если пользователь WiFi авторизован, то пустить его в Интернет. Если не авторизован, то перенаправить его на Портал авторизации, где он должен подтвердить свою личность (с помощью SMS, звонка или учетной записи ЕСИА);
  • После того, как пользователь WiFi авторизовался на Портале, BRAS должен узнать об этом, применив к трафику пользователя WiFi различные политики доступа;
  • В процессе обработки трафика пользователей WiFi BRAS должен считать и пересылать статистику вышестоящей системе для ее последующего анализа и хранения.

BRAS является исполнительным механизмом, применяющим определенные политики к трафику пользователей WiFi в соответствии с директивами, которые передаются ему от вышестоящей системы SoftWLC, в которой как раз принимаются решения на основании данных, передаваемых BRAS. В составе SoftWLC с BRAS взаимодействуют и пересылают ему директивы по работе с пользователями WiFi 2 модуля: PCRF и Портал.

1.1 Идентификация элементов системы.

Для того, чтобы различать пользователей WiFi между собой BRAS-у требуется какой-либо идентификатор, который однозначно его идентифицирует. Этим идентификатором является MAC-адрес устройства пользователя WiFi, с которого он выполняет подключение. Поэтому необходимо, чтобы на BRAS попадал трафик, с MAC-заголовками пользовательского устройства. Для этого необходимо обеспечить между пользователем WiFi и BRAS L2-сеть, или пробросить трафик пользователей WiFi до BRAS внутри VPN через L3-инфраструктуру оператора. Для организации такого VPN в сети клиента устанавливается маршрутизатор ESR-10/20/100/200, который поднимает GRE-туннели до ESR-100/200/1000/1200/1500/1700, которые могут работать в режиме Wireless-Controller (подробнее о данном режиме можно прочитать в Настройка ESR при подключении ТД через L3 сеть доступа (схема WiFi L3)). Точки доступа Eltex так же могут строить GRE-туннели, что делает возможным их подключение к BRAS через L3-инфраструктуру оператора без дополнительной установки ESR-10/20/100/200. Ниже, на рис. 1.1.1 приведена общая схема включения:

Рис. 1.1.1.

ESR могут выступать в роли:

  • ESR BRAS, который выполняет функции терминирования GRE туннелей и функции BRAS - далее он будет называться "ESR BRAS L3".
  • ESR, который устанавливается у клиента, и который осуществляет функцию устройства, которое будет производить инкапсуляцию трафика от клиентских ТД в GRE и передавать его для дальнейшей обработки на ESR BRAS L3 - далее такой ESR будем называть "ESR Client".

Ниже, в таблице 1.1 приведены типы ESR и возможные выполняемые ими роли:

Тип ESRESR BRAS L3ESR Client
ESR-10-+
ESR-20-+
ESR-100++
ESR-200++
ESR-1000+-
ESR-1200+-
ESR-1500+-
ESR-1700+-

Таблица 1.1.

Так же далее будет применяться терминология:

  1. Оператор связи, оказывающий услуги авторизации WiFi и доступа в сеть Интернет: "Оператор"или "ISP".
  2. Заказчик услуги, которому требуется авторизация WiFi, с которым оператор связи заключает договор - "Клиент".
  3. ТД сторонних производителей: "Generic AP".
  4. Клиент, подключающийся к WiFi с помощью различных устройств: "Пользователь WiFi".
  5. Схема включения generic AP через инфраструктуру L3 оператора с использованием ESR Client для инкапсуляции трафика клиента в GRE: "Интероперабельность", или сокращено "Interop".

1.2. Идентификация  generic AP, к которым подключаются пользователи WiFi

Помимо авторизации пользователей WiFi на BRAS, необходимо также понимать, к какому SSID и к какой generic AP они подключаются. Для этого необходимо идентифицировать эти объекты.

Существует два способа идентификации с какой generic AP подключился пользователь WiFi.

Идентификация по влан

При подключении каждому SSID каждой generic AP выделяется уникальный влан. Схема приведена ниже, на рис. 1.2.1 (для упрощения схемы не показан GRE-туннель управления).

Рис. 1.2.1.

Как видно из рис. 1.2.1, трафик абонетов можно идентифицировать по влан, в которых он приходит на ESR BRAS. Но данная схема приводит к тому, что для каждой вновь подключаемой generic AP надо выделять новый влан, на рисунке для 2 SSID на трех generic AP потребовалось выделить 6 влан. При большом числе ТД данный способ становиться сложно администрируемым и масштабируемым. Кроме того существует ограничение со стороны SoftWLC, которое не позволяет использовать более 20 различных влан, пропускаемых внутри GRE-туннеля от ESR-client.

Обогащение аккаунтинга пользователей WiFi информацией, получаемой из option82, добавляемой в их DHCP запросы

В данном случае предполагается, что для каждого уникального SSID будет выделен один влан, который будет использоваться на всех generic AP. На коммутаторе , к которому подключены generic AP включается функционал добавления option 82 в DHCP. Таким образом, DHCP запросы пользователй WiFi будут содержать в себе option 82 c информацией о порте/влане и идентификаторе коммутатора, к которому подключена generic AP, что позволит однозначно идентифицировать generic AP и SSID, к которому выполнено подключение. На BRAS включается функционал обогащения radius трафика информацией из option 82, полученной при парсинге DHCP-клиентов (функционал поддержан с версии ПО 1.11.2 ESR). Обогащение radius трафика выполняется в формете, определнном в RFC4679. Схема приведена ниже, на рис. 1.2.2.



1.3 Мониторинг точек доступа.

Существует 3 группы точек доступа:

  • Точки доступа "Элтекс";
  • Точки доступа других производителей (Generic AP), которые оператор предоставляет клиенту или клиент согласовывает с оператором связи подсеть и настройки, необходимые для мониторинга;
  • Точки доступа клиента (Generic AP), мониторинг которых он осуществляет самостоятельно.

В случае с точками доступа Элтекс доступны все механизмы мониторинга, предоставляемые модулями EMS и Личный Кабинет. К ним относятся:

  • Мониторинг доступности по SNMP и ICMP
  • Мониторинг аварийных сообщений.
  • Мониторинг параметров точки: температура, загрузка процессора, оперативной памяти и др. (подробнее в документации EMS)
  • Мониторинг параметров радиоокружения
  • Мониторинг радиопараметров подключившихся пользователей
  • Мониторинг статистики сети
  • Cтатистика пользовательских посещений (ЛК, раздел "Статистика Hotspot")
  • Статистика пользовательских сессий (ЛК, раздел "Статистика Hotspot")
  • Статистика потребляемого трафика (ЛК, раздел "Статистика Hotspot")
  • Статистика повторных посещений (ЛК, раздел "Статистика Hotspot")

В случае с точками доступа других производителей, которые оператор предоставляет клиенту или клиент согласовывает подсеть управления существующих Generic AP, доступно ограниченное число средств мониторинга:

  • Мониторинг доступности по ICMP
  • Cтатистика пользовательских посещений (ЛК, раздел "Статистика Hotspot")
  • Статистика пользовательских сессий (ЛК, раздел "Статистика Hotspot")
  • Статистика потребляемого трафика (ЛК, раздел "Статистика Hotspot")
  • Статистика повторных посещений (ЛК, раздел "Статистика Hotspot")

Т.е. в данном случае производится опрос точек доступа по ICMP и ведется статистика их доступности, а также ведется статистика на основании аккаунтинга, приходящего с BRAS. Для того, чтобы получать статистику по конкретной точке, BRAS должен ее идентифицировать: см. раздел "Идентификация элементов системы". Для работы SoftWLC с точками доступа необходимо выделять для управления точками пул IP адресов, а также, VLAN управления точками. Система SoftWLC не производит опрос точек доступа сторонних производителей по SNMP, и не производит мониторинг параметров, получаемых по SNMP.

В случае, если клиент устанавливает, конфигурирует и мониторит точки доступа самостоятельно, а оператору передает только трафик клиентов в согласованных влан -  то оператор не выделяет для них пулы IP адресов. Для мониторинга со стороны ENS такие ТД недоступны. Ведется только статистика на основании аккаунтинга, приходящего с BRAS. Для того, чтобы получать статистику по конкретной точке, BRAS должен ее идентифицировать: см. раздел "Идентификация элементов системы".

1.4 Общее взаимодействие элементов системы

Рассмотрим взаимодействие абонента, точки доступа, BRAS и SoftWLC (рис 1.4.1). На данном рисунке приведена диаграмма авторизации нового клиента.

Рис. 1.4.1.

BRAS настроен таким образом, что бы пропускать без авторизации трафик DHCP (udp port 67,68) и DNS запросы (udp 53). Это необходимо для того, что бы пользователь мог получить адрес и выполнить HTTP-get (выполнение которого невозможно без возможности отрезолвить IP-адрес сайта, выполнив DNS-запрос).

Клиент, подключаясь к ТД, высылает DHCP-discover, который передается через через L2 сеть доступа до ESR client, который выполняет инкапсуляцию пакета в GRE и отправляет на ESR BRAS L3. ESR BRAS L3, выполняет функцию DHCP-relay и перенаправляет запрос на DHCP сервер, который выдает адрес клиенту на основании данных поля giaddr field. В качестве gateway указывается адрес ESR. После получения адреса, клиент отправляет любой IP пакет на маршрутизатор, который в свою очередь создает новую «не авторизованную сессию». Происходит попытка авторизации пользователя ПО МАС адресу (так как пользователь новый – авторизация не проходит).

Для возможности идентификации ТД, с которой пришел данный клиент предлагаются два способа:

  1. Для каждого SSID каждой ТД необходимо выделить свой влан, что позволить однозначно идентифицировать с какой ТД/SSID пришел клиент. Данный способ становиться сложно администрируемым и масштабируемым при большом числе ТД, которые порождают необходимость выдения и конфигурирования большого числа vlan.
  2. Для каждого SSID используется один влан для всех ТД. На коммутаторе, к которому подключаются ТД, включается добавление option 82 в DHCP-discover/request клиента. Так же это требует включения на ESR BRAS функции парсинга DHCP-запроса клиентов на наличие в них option 82 (поддержано с версии ПО 1.11.2 маршрутизатора). В дальнейшем данная информация будет добавляться в radius-ACCT по этому клиенту, что позволит идентифицировать ТД/SSID клиента. Данный способ позволяет легко масштабировать количество подключенных ТД.

Весь трафик пользователя попадает под действие правил «дефолтного» сервиса, обычно в этом режиме для пользователя заблокирована передача любого трафика кроме DHCP и DNS.

После того как пользователь откроет браузер, на ESR BRAS L3 придет HTTP запрос, в ответ на который будет отправлен HTTP 302 Redirect, с параметрами подключения к порталу. Браузер пользователя перенаправит свой запрос на Eltex-Portal и в ответ загрузится стартовая страница для прохождения авторизации. Выбор страницы осуществляется на основании параметра «Bridge-location»,указанному в конфигурации на bridge-интерфейсе ESR. По этому параметру, портал узнает имя страницы и наименование сервисного домена, принадлежащего данному интерфейсу.

Введя номер телефона, пользователь нажмет кнопку «получить пароль». Портал генерирует пароль и создает учетную запись в базе данных с логин/паролем и тарифным планом, с привязкой к сервисному домену. Через Notification GW (NGW) будет осуществлена отправка SMS сообщения с паролем на, указанный пользователем номер телефона.

Пользовать вводит полученный номер телефона на странице подтверждения портала, который отправляет введенные данные на PCRF, который в свою очередь вносит эти данные по пользователю в БД и отправляет команду Account-Loggon на ESR BRAS L3. Маршрутизатор, получив эту команду, выполняет повторную попытку авторизовать сессию пользователя, отправив запрос access-request. Т.к. теперь данные по пользователю есть в БД (логин/пароль/сервисный домен), - то его сессия проходит успешную авторизацию по radius протоколу на PCRF. В ответ PCRF возвращает список сервисов, которые должны быть назначены пользователю. Далее ESR BRAS L3 запрашивает атрибуты сервисов, которые содержат данные квот по времени/трафику, имя URL фильтров, применяет их для пользовательской сессии.  После чего пользователю открывается доступ в сеть Интернет, согласно полученным параметрам подключения.

Для трафика пользователя может выполняться фильтрация по URL, IP адресам.

Периодически ESR отправляет accounting пакеты с данными по статистике для сессии клиента и назначенному сервису.

Если клиент отключается от ТД, то по истечении Idle Timeout на ESR BRAS L3 удаляется сессия, отправляется accounting stop на PCRF, для того чтобы зафиксировать время работы клиента и количество переданного/полученного трафика.

При прохождении авторизации на портале, HTTP запросы пользователя проксируются в ESR BRAS L3 , при этом происходит замена Source адреса (USER IP) клиента на адрес ESR BRAS L3 (PROXY IP). Поэтому между ESR BRAS L3 и SoftWLC весь HTTP(S) трафик будет идти с IP адресом ESR BRS L3 а не клиента. Весь остальной трафик будет идти с USER IP адресом.

ЕСли в сервисе, назанченном пользователю после прохождения авториазации есть список URL фильтров - то весь HTTP(S) трафик пользователя проксируются на ESR BRAS L3, при этом происходит замена Source адреса (USER IP) клиента на адрес ESR BRAS L3 (PROXY IP). Поэтому между ESR и NAT весь HTTP(S) трафик будет идти с IP адресом ESR BRAS L3 а не клиента. Весь остальной трафик будет идти с USER IP адресом. При прохождении через NAT, для трафика пользователя будет устанавливаться «Белый» IP адрес NAT.

Начиная с версии ПО ESR 1.11.2 и SOftWLC 1.18 поддержана работа BRAS в VRF. Главной особенностью использования BRAS в VRF является наличие дополнительного инстанса BRAS в VRF, который имеет свои настройки и возможность прослушивать входящие CoA-запросы для BRAS в VRF в дефолтном VRF. При этом для каждого инстанса BRAS будет использоваться свой выделенный CoA порт.

2. Сетевая архитектура

2.1 Общее описание

Общая схема включения приведена ниже, на рис 2.1.1. Используются два ESR BRAS L3, работающие в режиме резервирования Active/Standby. Каждый из них подключен к отдельному роутеру "последней мили" (PE). Каждый ESR BRAS L3 имеет 4 eBGP стыка с соответствующим PE с соответствующим VRF:

  • VRF Backbone - используется для управления и взаимодействия между компонентами системы;
  • VRF AP - используется для подключения ESR Client, в нем идет передача GRE-трафика до ESR BRAS L3;
  • VRF NAT - предназначен для выхода трафика клиентов с сеть Интернет, из этого VRF приходит дефолтный маршрут;
  • VRF DPI - предназначен для обеспечения стыка с недефолтным VRF ESR BRAS L3. Это позволяет получит дефолтный маршрут через роутер отличный от используемого для выхода в VRF NAT и направить трафик клиента другим маршрутом через оборудование DPI.

Так же используется стык iBGP между ESR BRAS L3 для обеспечения работоспособности в случае отказа одной из PE. Так же в этом стыке осуществляется резервирование VRRP адресов терминации GRE и дефолтных шлюзов, используемых для адресов управления ESR client и подсети клеинтов. Для недефолтного VRF используется отдельный стык iBGP в этом VRF.

Рис. 2.1.1.

2.2 Схема включения ESR BRAS L3 и план адресации

Рассмотрим схему включения ESR на примере, на рис. 2.2.1:

Рис. 2.2.1.

Внимание!

В дальнейшем в документации для ESR BRAS L3 VRRP MASTER будет использоваться имя "Alfa", для ESR BRAS L3 VRRP BACKUP - "Beta".


Таблица используемой адресации, назначение приведены ниже в таблице 2.2.1:

AS 64603VRFAlfa


Beta

назначение
интерфейс / вланIP адресVRRP IPинтерфейс / вланIP адрес
стык с VRF AP (eBGP)defaultgi1/0/1.206100.64.0.34/30n/agi1/0/1.207100.64.0.38/30
стык с VRF backbone (eBGP)defaultgi1/0/1.208100.64.0.42/30n/agi1/0/1.209100.64.0.46/30
стык с VRF NAT (eBGP)defaultgi1/0/1.210100.64.0.50/30n/agi1/0/1.211100.64.0.54/30
внутренний стык с VRF DPIdefaultlt 110.200.200.1/30n/alt 110.200.200.5/30
терминация GRE трафика от ТДdefaultbridge 1 / 101192.168.200.51/28

192.168.200.49/32

192.168.200.50/32

bridge 1 / 101192.168.200.52/28
терминация подсети управления ТДdefaultbridge 3 / 3198.18.128.2/21198.18.128.1/32bridge 3 / 3198.18.128.3/21
стыковый адрес с соседним ESR (iBGP)defaultbridge 9 / 9100.64.0.57/30n/abridge 9 / 9100.64.0.58/30
терминация подсети клиентов ТД в дефолтном VRFdefaultbridge 10 / 10198.18.192.2/19198.18.192.1/32bridge 10 / 10198.18.192.3/19
стык с VRF DPI (eBGP в VRF dpi)dpilt 210.200.200.2/30n/alt 210.200.200.6/30
внутренний стык с дефолтным VRFdpigi1/0/1.214100.64.0.74/30n/agi1/0/1.215100.64.0.78/30
терминация подсети клиентов ТД в отдельном VRF (dpi)dpibridge 12 / 12198.19.0.2/19198.19.0.1/32bridge 12 / 12198.19.0.3/19
стыковый адрес c соседним ESR (iBGP в VRF dpi)dpibridge 92 / 92100.64.0.97/30n/abridge 92 / 92100.64.0.98/30

Таблица 2.2.1.

1. Выход в сеть Интернет в дефолтном VRF осуществляется в через стыки с VRF NAT.

2. Доступ к сети управления, в которой находятся комплекс SoftWLC и DHCP-сервер осуществляется через стыки с VRF backbone. Управление ESR осуществляется через адреса, настроенные на bridge 3.

3. ESR client получают первичный IP в VRF AP и строят из него GRE-туннели. Взаимодействие с данным VRF осуществляется через стыки с VRF AP.

4. Выход в сеть Интернет для клиентов, которые продят авторизацию в VRF dpi и получают адрес из адресного пространства bridge 12, осуществялется через стык с VRF DPI.

5. Получение адреса по DHCP и редирект на портал для клиентов VRF dpi осуществляется через стык с VRF backbone в дефолтном VRF. Для обеспечения IP-связности между VRF используются lt-туннели, через которые осуществляется маршрутизация данного трафика.

3. Особенности настройки BRAS в VRF.

Для каждого VRF на ESR настраивается свой инстанс BRAS. Каждый инстанс BRAS может использовать различные настройки для обращения к radius-серверу и и настройки das-server для обработки CoA-запросов. Так же данные настройки могут быть выполнены в VRF отличном от того, в котором сконфигурирован инстанс BRAS. Этопозволяет настроить взаимодействие со всеми инстансами BRAS, работающими в разных VRF, через один VRF. Но если для всех инстансов BRAS могут быть использованы одинаковые настройки взаимодействия с radius-сервером, то для того, что бы иметь возможность различать, к какому инстансу BRAS осуществляется CoA-обращение необходимо использовать разные настройки das-server, в которых указаны различные порты для обращений.

BRAS осуществляет непосредственное взаимодействие с сервисом Eltex-PCRF, который является частью конмплекса SoftWLC. Взаимодейстиве осуществляется путем обмена сообщениями по протоколу RADIUS. PCRF использует следующие порты для обмена:

  • UDP:31812 - для получения запросов авторизации (access-request)
  • UDP:31813 - для получения запросов аккаунтинга (accounting-request)
  • UDP:3799 - для отправки CoA запросов к BRAS (CoA-request) в дефолтном VRF

Приведенные выше настройки являются дефолтными для PCRF. Для взаимодействия с инстансом BRAS в недефолтном VRF необходимо выбрать имя VRF, CoA порт отличный от того, что используется в дефолтном VRF. Выберем:

  • UDP:30799 - для отправки CoA запросов к BRAS в VRF dpi

Как видно из приведенной выше информации, предполагается, что на всех ESR будет использоваться одинаковый VRF, CoA-порт и пароль для взаимодействия с каждым инстансом BRAS. Приведем их в виде таблицы 3.1 ниже:

Имя VRFCoA portsecret
13799testing123
dpi30799testing123

Таблица 3.1.

4. Настройка ESR BRAS L3.

4.1. Общие настройки ESR BRAS L3.

Первоначально проверяем и устанавливаем на ESR лицензию BRAS-WiFi (для её получения необходимо обратится в коммерческий отдел предприятия Элтекс). Затем выполняем настройку ip-адресов, BGP, wirelees-controller.

Рекомендуется при первоначальной настройке отключить файрвол (ip firewall disable) на всех ip-интерфейсах для упрощения траблшутинга и решения проблем, возникающих в ходе настройки.

Т.к. схема включения ESR повторяет собой схемы Настройка ESR в режиме wireless-controller с резервированием роутера "последней мили" и Настройка ESR при терминировании одного из саб-туннелей softgre в Bridge в другом VRF - то ниже будет сразу приведена общая конфигурация ESR (без настроек BRAS).

 Alfa
#!/usr/bin/clish
#18
hostname Alfa

object-group network gre_termination
ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
ip prefix 198.18.128.0/21
ip prefix 198.18.192.0/19
ip prefix 100.64.0.56/30
ip prefix 198.19.0.0/19
exit
object-group network clients_AP
ip prefix 198.18.192.0/19
ip prefix 198.18.128.0/21
exit
object-group network clients_dpi
ip prefix 198.19.0.0/19
exit
object-group network SoftWLC
ip prefix 100.123.0.0/24
exit

ip vrf dpi
ip protocols bgp max-routes 250
exit

radius-server retransmit 2
radius-server host 100.123.0.2
key ascii-text testing123
timeout 5
priority 20
source-address 198.18.128.2
auth-port 31812
acct-port 31813
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit

vlan 3
force-up
exit
vlan 10
force-up
exit
vlan 12
force-up
exit
vlan 101
force-up
exit
vlan 9,92
exit

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone sidelink
exit
security zone user
exit
security zone trusted_dpi
ip vrf forwarding dpi
exit
security zone untrusted_dp
ip vrf forwarding dpi
exit
security zone sidelink_dpi
ip vrf forwarding dpi
exit
security zone user_dpi
ip vrf forwarding dpi
exit

route-map out_BGP_GRE
rule 10
match ip address object-group gre_termination
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
route-map out_BGP_AP
rule 10
match ip address object-group mgmt_AP
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
route-map out_BGP_NAT
rule 10
match ip address object-group clients_AP
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
route-map in_PREF
rule 10
action set local-preference 90
action permit
exit
exit
route-map out_BGP_DPI
rule 1
match ip address object-group clients_dpi
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
router bgp 64603
neighbor 100.64.0.33
remote-as 12389
update-source 100.64.0.34
address-family ipv4 unicast
route-map out_BGP_GRE out
enable
exit
enable
exit
neighbor 100.64.0.41
remote-as 12389
update-source 100.64.0.42
address-family ipv4 unicast
route-map out_BGP_AP out
enable
exit
enable
exit
neighbor 100.64.0.49
remote-as 12389
update-source 100.64.0.50
address-family ipv4 unicast
route-map out_BGP_NAT out
enable
exit
enable
exit
neighbor 100.64.0.58
remote-as 64603
update-source 100.64.0.57
address-family ipv4 unicast
route-map in_PREF in
next-hop-self
enable
exit
enable
exit
address-family ipv4 unicast
redistribute connected
redistribute static
exit
enable
vrf dpi
neighbor 100.64.0.73
remote-as 12389
update-source 100.64.0.74
address-family ipv4 unicast
route-map out_BGP_DPI out
enable
exit
enable
exit
neighbor 100.64.0.98
remote-as 64603
update-source 100.64.0.97
address-family ipv4 unicast
route-map in_PREF in
next-hop-self
enable
exit
enable
exit
address-family ipv4 unicast
redistribute connected
exit
enable
exit
exit

tracking 1
vrrp 3 not state master
enable
exit

bridge 1
description "GRE_termination"
vlan 101
security-zone gre
ip firewall disable
ip address 192.168.200.51/28
vrrp id 1
vrrp ip 192.168.200.49/32
vrrp ip 192.168.200.50/32 secondary
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 3
description "mgmt_AP"
vlan 3
security-zone trusted
ip firewall disable
ip address 198.18.128.2/21
ip helper-address 100.123.0.2
ip helper-address 100.123.0.3
ip helper-address vrrp-group 1
vrrp id 3
vrrp ip 198.18.128.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
ip tcp adjust-mss 1400
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 9
description "SideLink"
vlan 9
security-zone sidelink
ip firewall disable
ip address 100.64.0.57/30
enable
exit
bridge 10
description "data1_AP"
vlan 10
unknown-unicast-forwarding disable
security-zone user
ip firewall disable
ip address 198.18.192.2/19
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 10
vrrp ip 198.18.192.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
location data10
protected-ports radius
protected-ports exclude vlan
rate-limit arp-broadcast
enable
exit
bridge 12
ip vrf forwarding dpi
vlan 12
unknown-unicast-forwarding disable
security-zone user_dpi
ip firewall disable
ip address 198.19.0.2/19
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 12
vrrp ip 198.19.0.1/32
vrrp priority 200
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
ip tcp adjust-mss 1458
location data12
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
rate-limit arp-broadcast
rate-limit arp-broadcast pps 1
enable
exit
bridge 92
ip vrf forwarding dpi
description "SideLink for VRF dpi"
vlan 92
security-zone sidelink_dpi
ip firewall disable
ip address 100.64.0.97/30
enable
exit

interface gigabitethernet 1/0/1
description "UpLink"
mode hybrid
exit
interface gigabitethernet 1/0/1.206
description "VRF_AP"
security-zone gre
ip firewall disable
ip address 100.64.0.34/30
ipv6 enable
exit
interface gigabitethernet 1/0/1.208
description "VRF_BACKBONE"
security-zone trusted
ip firewall disable
ip address 100.64.0.42/30
ipv6 enable
exit
interface gigabitethernet 1/0/1.210
description "VRF_NAT"
security-zone untrusted
ip firewall disable
ip address 100.64.0.50/30
ipv6 enable
exit
interface gigabitethernet 1/0/1.214
ip vrf forwarding dpi
description "br12_vrf"
security-zone untrusted_dp
ip firewall disable
ip address 100.64.0.74/30
ip tcp adjust-mss 1458
exit
interface gigabitethernet 1/0/2
description "SideLink"
mode hybrid
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 3,9-10,12,92,101 tagged
exit
tunnel lt 1
peer lt 2
security-zone trusted
ip firewall disable
ip address 10.200.200.1/30
enable
exit
tunnel lt 2
peer lt 1
ip vrf forwarding dpi
security-zone trusted_dpi
ip firewall disable
ip address 10.200.200.2/30
enable
exit
tunnel softgre 1
description "mgmt"
mode management
local address 192.168.200.49
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 192.168.200.50
default-profile
enable
exit

snmp-server
snmp-server system-shutdown
snmp-server community "public11" ro 
snmp-server community "private1" rw 

snmp-server host 100.123.0.2
source-interface bridge 3
exit

snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-dp-critical-temp
snmp-server enable traps environment cpu-dp-overheat-temp
snmp-server enable traps environment cpu-dp-supercooling-temp
snmp-server enable traps environment cpu-mgmt-critical-temp
snmp-server enable traps environment cpu-mgmt-overheat-temp
snmp-server enable traps environment cpu-mgmt-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps wifi wifi-tunnels-operation
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

security passwords history 0

ip dhcp-relay

ip route vrf dpi 100.123.0.0/24 10.200.200.1
ip route 198.19.0.0/19 10.200.200.2

wireless-controller
peer-address 100.64.0.58
nas-ip-address 198.18.128.2
vrrp-group 1
data-tunnel configuration radius
keepalive mode reactive
aaa das-profile COA
aaa radius-profile PCRF
enable
exit
ip telnet server
ip ssh server

ntp enable
ntp server 100.123.0.2
exit

 Beta
#!/usr/bin/clish
#18
hostname Beta

object-group network gre_termination
ip prefix 192.168.200.48/28
exit
object-group network mgmt_AP
ip prefix 198.18.128.0/21
ip prefix 198.18.192.0/19
ip prefix 100.64.0.56/30
ip prefix 198.19.0.0/19
exit
object-group network clients_AP
ip prefix 198.18.192.0/19
ip prefix 198.18.128.0/21
exit
object-group network clients_dpi
ip prefix 198.19.0.0/19
exit
object-group network SoftWLC
ip prefix 100.123.0.0/24
exit

ip vrf dpi
ip protocols bgp max-routes 250
exit

radius-server retransmit 2
radius-server host 100.123.0.2
key ascii-text testing123
timeout 11
source-address 198.18.128.3
auth-port 31812
acct-port 31813
retransmit 2
dead-interval 10
exit
radius-server host 100.123.0.3
key ascii-text testing123
timeout 11
priority 20
source-address 198.18.128.3
auth-port 31812
acct-port 31813
dead-interval 10
exit
aaa radius-profile PCRF
radius-server host 100.123.0.2
exit
das-server COA
key ascii-text testing123
port 3799
clients object-group SoftWLC
exit
aaa das-profile COA
das-server COA
exit

vlan 3
force-up
exit
vlan 10
force-up
exit
vlan 12
force-up
exit
vlan 101
force-up
exit
vlan 9,92
exit

security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone sidelink
exit
security zone user
exit
security zone trusted_dpi
ip vrf forwarding dpi
exit
security zone untrusted_dp
ip vrf forwarding dpi
exit
security zone sidelink_dpi
ip vrf forwarding dpi
exit
security zone user_dpi
ip vrf forwarding dpi
exit

route-map out_BGP_GRE
rule 10
match ip address object-group gre_termination
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
route-map out_BGP_AP
rule 10
match ip address object-group mgmt_AP
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
route-map out_BGP_NAT
rule 10
match ip address object-group clients_AP
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
route-map in_PREF
rule 10
action set local-preference 20
action permit
exit
exit
route-map out_BGP_DPI
rule 1
match ip address object-group clients_dpi
action set as-path prepend 64603 track 1
action set metric bgp 1000 track 1
action permit
exit
exit
router bgp 64603
neighbor 100.64.0.37
remote-as 12389
update-source 100.64.0.38
address-family ipv4 unicast
route-map out_BGP_GRE out
enable
exit
enable
exit
neighbor 100.64.0.45
remote-as 12389
update-source 100.64.0.46
address-family ipv4 unicast
route-map out_BGP_AP out
enable
exit
enable
exit
neighbor 100.64.0.53
remote-as 12389
update-source 100.64.0.54
address-family ipv4 unicast
route-map out_BGP_NAT out
enable
exit
enable
exit
neighbor 100.64.0.57
remote-as 64603
update-source 100.64.0.58
address-family ipv4 unicast
route-map in_PREF in
next-hop-self
enable
exit
enable
exit
address-family ipv4 unicast
redistribute connected
redistribute static
exit
enable
vrf dpi
neighbor 100.64.0.77
remote-as 12389
update-source 100.64.0.78
address-family ipv4 unicast
route-map out_BGP_DPI out
enable
exit
enable
exit
neighbor 100.64.0.97
remote-as 64603
update-source 100.64.0.98
address-family ipv4 unicast
route-map in_PREF in
next-hop-self
enable
exit
enable
exit
address-family ipv4 unicast
redistribute connected
exit
enable
exit
exit

tracking 1
vrrp 3 not state master
enable
exit

bridge 1
description "GRE_termination"
vlan 101
security-zone gre
ip firewall disable
ip address 192.168.200.52/28
vrrp id 1
vrrp ip 192.168.200.49/32
vrrp ip 192.168.200.50/32 secondary
vrrp priority 190
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
enable
exit
bridge 3
description "mgmt_AP"
vlan 3
security-zone trusted
ip firewall disable
ip address 198.18.128.3/21
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 3
vrrp ip 198.18.128.1/32
vrrp priority 190
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp track-ip interval 9
vrrp
ip tcp adjust-mss 1458
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 9
description "SideLink"
vlan 9
security-zone sidelink
ip firewall disable
ip address 100.64.0.58/30
enable
exit
bridge 10
description "data1_AP"
vlan 10
unknown-unicast-forwarding disable
security-zone user
ip firewall disable
ip address 198.18.192.3/19
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 10
vrrp ip 198.18.192.1/32
vrrp priority 190
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
ip tcp adjust-mss 1458
location data10
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 12
ip vrf forwarding dpi
vlan 12
unknown-unicast-forwarding disable
security-zone user_dpi
ip firewall disable
ip address 198.19.0.3/19
ip helper-address 100.123.0.2
ip helper-address vrrp-group 1
vrrp id 12
vrrp ip 198.19.0.1/32
vrrp priority 190
vrrp group 1
vrrp preempt disable
vrrp preempt delay 150
vrrp timers garp delay 1
vrrp timers garp repeat 10
vrrp
ip tcp adjust-mss 1400
location data12
protected-ports local
protected-ports exclude vlan
ports vrrp filtering enable
ports vrrp filtering exclude vlan
enable
exit
bridge 92
ip vrf forwarding dpi
description "SideLink for VRF dpi"
vlan 92
security-zone sidelink_dpi
ip firewall disable
ip address 100.64.0.98/30
enable
exit

interface gigabitethernet 1/0/1
mode hybrid
switchport forbidden default-vlan
exit
interface gigabitethernet 1/0/1.207
description "VRF_AP"
security-zone gre
ip firewall disable
ip address 100.64.0.38/30
exit
interface gigabitethernet 1/0/1.209
description "VRF_BACKBONE"
security-zone trusted
ip firewall disable
ip address 100.64.0.46/30
ip tcp adjust-mss 1400
exit
interface gigabitethernet 1/0/1.211
description "VRF_NAT"
security-zone untrusted
ip firewall disable
ip address 100.64.0.54/30
ip tcp adjust-mss 1400
exit
interface gigabitethernet 1/0/1.215
ip vrf forwarding dpi
description "dpi_vrf"
security-zone untrusted_dp
ip firewall disable
ip address 100.64.0.78/30
ip tcp adjust-mss 1400
exit
interface gigabitethernet 1/0/2
description "SideLink"
mode hybrid
switchport forbidden default-vlan
switchport general acceptable-frame-type tagged-only
switchport general allowed vlan add 3,9-10,12,92,101 tagged
exit
tunnel lt 1
peer lt 2
security-zone trusted
ip firewall disable
ip address 10.200.200.5/30
enable
exit
tunnel lt 2
peer lt 1
ip vrf forwarding dpi
ip firewall disable
ip address 10.200.200.6/30
enable
exit
tunnel softgre 1
description "mgmt"
mode management
local address 192.168.200.49
default-profile
enable
exit
tunnel softgre 1.1
bridge-group 3
enable
exit
tunnel softgre 2
description "data"
mode data
local address 192.168.200.50
default-profile
enable
exit

snmp-server
snmp-server community "public11" ro 
snmp-server community "private1" rw 

snmp-server host 100.123.0.2
exit

snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment pwrin
snmp-server enable traps environment pwrin-insert
snmp-server enable traps environment fan
snmp-server enable traps environment fan-speed-changed
snmp-server enable traps environment fan-speed-high
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-dp-critical-temp
snmp-server enable traps environment cpu-dp-overheat-temp
snmp-server enable traps environment cpu-dp-supercooling-temp
snmp-server enable traps environment cpu-mgmt-critical-temp
snmp-server enable traps environment cpu-mgmt-overheat-temp
snmp-server enable traps environment cpu-mgmt-supercooling-temp
snmp-server enable traps environment board-overheat-temp
snmp-server enable traps environment board-supercooling-temp
snmp-server enable traps environment sfp-overheat-temp
snmp-server enable traps environment sfp-supercooling-temp
snmp-server enable traps environment switch-overheat-temp
snmp-server enable traps environment switch-supercooling-temp
snmp-server enable traps wifi
snmp-server enable traps wifi wifi-tunnels-number-in-bridge-high
snmp-server enable traps wifi wifi-tunnels-operation
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon
snmp-server enable traps envmon fan
snmp-server enable traps envmon shutdown
snmp-server enable traps envmon supply
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

security passwords history 0

ip dhcp-relay

ip route vrf dpi 100.123.0.0/24 10.200.200.5
ip route 198.19.0.0/19 10.200.200.6

wireless-controller
peer-address 100.64.0.57
nas-ip-address 198.18.128.3
vrrp-group 1
data-tunnel configuration radius
aaa das-profile COA
aaa radius-profile PCRF
enable
exit
ip telnet server
ip ssh server

ntp enable
ntp server 100.123.0.2
exit


4.2. Настройка BRAS на ESR BRAS L3.

Детально настройка BRAS описана в документе BRAS. L2 WiFi - руководство по настройке и быстрому запуску, поэтому ниже будет приведена конфигурация с необходимыми пояснениями для новых настроек.

Настраиваем взаимодействие с радиус сервером:

 Alfa
radius-server retransmit 2
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 5
  priority 20
  source-address 198.18.128.2
  auth-port 31812
  acct-port 31813
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
das-server COA_dpi
  key ascii-text testing123
  port 30799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit
aaa das-profile COA_dpi
  das-server COA_dpi
exit
 Beta
radius-server retransmit 2
radius-server host 100.123.0.2
  key ascii-text testing123
  timeout 5
  priority 20
  source-address 198.18.128.3
  auth-port 31812
  acct-port 31813
  dead-interval 10
exit
aaa radius-profile PCRF
  radius-server host 100.123.0.2
exit
das-server COA
  key ascii-text testing123
  port 3799
  clients object-group SoftWLC
exit
das-server COA_dpi
  key ascii-text testing123
  port 30799
  clients object-group SoftWLC
exit
aaa das-profile COA
  das-server COA
exit
aaa das-profile COA_dpi
  das-server COA_dpi
exit

Обратим внимание, что появилась дополнительная настройка das-server, которую в дальнейшем будем использовать для взаимодействия с инстансом BRAS, работающем в VRF dpi. Настройки дял обоих роутеров различаются только source-address.

Настраиваем access-list, которые будут использоваться сервисами BRAS:

 Alfa / Beta
ip access-list extended WELCOME
  rule 1
    action permit
    match protocol tcp
    match destination-port 443
    enable
  exit
  rule 2
    action permit
    match protocol tcp
    match destination-port 8443
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port 80
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match destination-port 8080
    enable
  exit
exit

ip access-list extended INTERNET
  rule 1
    action permit
    enable
  exit
exit

ip access-list extended unauthUSER
  rule 1
    action permit
    match protocol udp
    match source-port 68
    match destination-port 67
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port 53
    enable
  exit
exit

Данная настройка идентична на обоих ESR.

 Далее добавляем необходимые настройки BRAS на интерфейсе клиентов:

 Alfa / Beta
object-group network bras_users
  ip address-range 198.18.192.4-198.18.223.254
  ip address-range 198.19.0.4-198.19.31.254
exit

bridge 10
  service-subscriber-control object-group bras_users
  location data10
exit
bridge 12
  service-subscriber-control object-group bras_users
  location data12
exit

Настройки идентичны на обоих ESR за исключением  nas-ip-address  и ip proxy source-address. Сначала будет указан адрес Alfa, в () будет указан адрес Beta.

Важно!

Обратим внимание, что в настройке BRAS на интерфейсе указывается объект, в котором указаны адреса, которые могут получить клиенты, но исключены адреса ESR, VRRP и широковещательный адрес. Это сделано для обеспечения взаимодействия между интерфейсами ESR и корректной работы VRRP.

Затем выполняем настройку BRAS:

 Alfa/Beta конфигурация BRAS
subscriber-control filters-server-url http://100.123.0.2:7070/filters/file
subscriber-control
  aaa das-profile COA
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  backup traffic-processing transparent
  nas-ip-address 198.18.128.2 (198.18.128.3)
  session mac-authentication
  bypass-traffic-acl unauthUSER
  vrrp-group 1
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit
subscriber-control vrf br12
  aaa das-profile COA_br12
  aaa sessions-radius-profile PCRF
  aaa services-radius-profile PCRF
  backup traffic-processing transparent
  nas-ip-address 198.18.128.2 (198.18.128.3)
  session mac-authentication
  bypass-traffic-acl unauthUSER
  vrrp-group 1
  ip proxy source-address 198.19.0.2 (198.19.0.2)
  default-service
    class-map unauthUSER
    filter-name remote gosuslugi
    filter-action permit
    default-action redirect http://100.123.0.2:8080/eltex_portal/
  exit
  enable
exit

Обратим внимание, что в настройках BRAS мы указываем:

1) vrrp-group 1 - для отслеживания BRAS состояние VRRP ESR.

2) backup traffic-processing transparent - данная настройка позволяет пропускать трафик через интерфейсы, на которых включена BRAS-авторизация в случае, если VRRP ESR находится в состоянии BACKUP. Требуется для корректной работы при прохждении трафика через "перемычку".

3) subscriber-control vrf <имя VRF> - для каждого VRF выполняется настройка отдельного инстанса BRAS.

4) ip proxy source-address <ip-адрес> - при редиректе на портал и при использовании url-фильтрации BRAS выполняет проксирование. Для удобства траблшутинга в настройках инстанса BRAS в VRF используем адрес с бриджа клиентов.

4.3. Настройка файрвол на ESR

При использовании нескольких VRF на ESR, каждый VRF c т. з. настройки файрвола рассматривается как отдельное устройство. Это требует, что бы для каждой security-zone был указана VRF, к которой она принадлежит. Использование в правилах файрвол связки зон из разных VRF не допускается. Настройки object-group не привязываются к VRF и могут использоваться в настройках файрвола для любого VRF. Настройки файрвола идентичны для ESR Alfa/Beta. Могут различаться только object-group.

Ранее в конфигурации уже были созданы security-zone.

 Alfa/Beta security zone
security zone trusted
exit
security zone untrusted
exit
security zone gre
exit
security zone sidelink
exit
security zone user
exit
security zone trusted_dpi
ip vrf forwarding dpi
exit
security zone untrusted_dp
ip vrf forwarding dpi
exit
security zone sidelink_dpi
ip vrf forwarding dpi
exit
security zone user_dpi
ip vrf forwarding dpi
exit

Создадим object-group, для использования в правилах файрвола. Они будут одинаковые, за исключением адресов BGP-соседей.  Будут приведны object-group network BGPneighbours  с указанием для Alfa или для Beta предназначена настройка.

 Alfa/Beta object-group
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service redirect
  port-range 3128-3142
  port-range 3143-3157
exit
object-group service bgp
  port-range 179
exit
object-group service dns
  port-range 53
exit
object-group network Admnet
  ip prefix 100.123.0.0/24
  ip prefix 192.168.0.0/16
exit

#Alfa
object-group network BGPneighbours
  ip address-range 100.64.0.33
  ip address-range 100.64.0.41
  ip address-range 100.64.0.49
  ip address-range 100.64.0.58
  ip address-range 100.64.0.73
  ip address-range 100.64.0.98
exit

#Beta
object-group network BGPneighbours
  ip address-range 100.64.0.37
  ip address-range 100.64.0.45
  ip address-range 100.64.0.53
  ip address-range 100.64.0.57
  ip address-range 100.64.0.77
  ip address-range 100.64.0.97
exit
object-group network PrivateNets
  ip prefix 10.0.0.0/8
  ip prefix 192.168.0.0/16
  ip prefix 172.16.0.0/12
  ip prefix 100.64.0.0/10
exit

Создадим настройки правил файрвола для дефолтного VRF.

 Alfa/Beta security-zone pair VRF default
security zone-pair gre self
  rule 1
    action permit
    match protocol gre
    enable
  exit
  rule 2
    action permit
    match protocol vrrp
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
  rule 4
    action permit
    match protocol tcp
    match source-address BGPneighbours
    match destination-port bgp
    enable
  exit
exit
security zone-pair gre gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
  rule 5
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 6
    action permit
    match source-address Admnet
    enable
  exit
  rule 7
    action permit
    match protocol tcp
    match source-address BGPneighbours
    match destination-port bgp
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted user
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted sidelink
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
  rule 4
    action permit
    match protocol vrrp
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user trusted
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
exit
security zone-pair user sidelink
  rule 1
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
  rule 2
    action permit
    match not source-address PrivateNets
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol tcp
    match source-address BGPneighbours
    match destination-port bgp
    enable
  exit
exit
security zone-pair sidelink self
  rule 1
    action permit
    match protocol tcp
    match destination-port bgp
    enable
  exit
  rule 2
    action permit
    match protocol gre
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 6
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 7
    action permit
    match source-address Admnet
    enable
  exit
security zone-pair sidelink trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair sidelink untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair sidelink gre
  rule 1
    action permit
    enable
  exit
exit
security zone-pair sidelink user
  rule 11
    action permit
    enable
  exit
exit

Далее создадим настройки файрвола для VRF dpi.

 Alfa/Beta security zone-pair VRF dpi
security zone-pair trusted_dpi self
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted_dpi user_dpi
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted_dpi sidelink_dpi
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user_dpi self
  rule 1
    action permit
    match protocol icmp
    enable
  exit
  rule 2
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port redirect
    enable
  exit
  rule 4
    action permit
    match protocol vrrp
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user_dpi untrusted_dp
  rule 1
    action permit
    enable
  exit
exit
security zone-pair user_dpi trusted_dpi
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair user_dpi sidelink_dpi
  rule 1
    action permit
    match protocol udp
    match destination-port dns
    enable
  exit
  rule 2
    action permit
    match not source-address PrivateNets
    enable
  exit
exit
security zone-pair untrusted_dp self
  rule 1
    action permit
    match protocol tcp
    match source-address BGPneighbours
    match destination-port bgp
    enable
  exit
exit
security zone-pair sidelink_dpi self
  rule 1
    action permit
    match protocol tcp
    match destination-port bgp
    enable
  exit
  rule 2
    action permit
    match protocol gre
    enable
  exit
  rule 3
    action permit
    match protocol icmp
    enable
  exit
  rule 4
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 5
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_server
    enable
  exit
  rule 6
    action permit
    match source-address SoftWLC
    enable
  exit
  rule 7
    action permit
    match source-address Admnet
    enable
  exit
security zone-pair sidelink_dpi trusted_dpi
  rule 1
    action permit
    enable
  exit
exit
security zone-pair sidelink_dpi untrusted_dp
  rule 1
    action permit
    enable
  exit
exit
security zone-pair sidelink_dpi user_dpi
  rule 11
    action permit
    enable
  exit
exit

5. Настройка ESR client

5.1. Общее описание

ESR client представляет собой устройство, устанавливаемое у клиента, главной задачей которого является инкапсуляция трафика от ТД клиента в GRE в соответствующих VLAN и передача его на ESR BRAS L3 используя транспортную сеть провайдера. Ниже, на риc. 5.1.1 приведена схема включения ESR client.

Рис. 5.5.1.

ESR поставляется с factory конфигурацией, но для построения GRE-туннелей требуется выполнить конфигурирование устройства. Выполнять конфигурирование предварительно при подключении каждого нового клиента является трудоемкой задачей. Поэтому предполагается сформировать универсальную конфигурацию, выложить её на tftp-сервер и с помощью DHCP выдать информацию для её загрузки при получении первичного адреса при подключении ESR client. Это позволит автоматически накатывать нужную конфигурацию на ESR client при подключении и при необходимости легко внести в нее изменения и распространить на ESR client.

5.2. Описание конфигурации

Выделяем подсеть первчиных адресов для ESR-client 192.168.250.0/24. Можно использовать разные подсети для разных групп ESR-client. Она должна быть проанонсирована на ESR BRAS L3 через стык с VRF AP.

Далее приведена конфигурация ESR client на примере ESR-10:

 ESR-10 config file
#!/usr/bin/clish
#18
hostname ESR-10GRE

object-group service telnet
  port-range 23
exit
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit

object-group network MNG
  ip prefix 100.123.0.0/24
  ip prefix 192.168.200.48/28
  ip prefix 192.168.250.0/24
exit

vlan 2,10-11
exit

security zone trusted
exit
security zone GRE
exit

bridge 1
  description "Tunnel-IP"
  vlan 2
  security-zone GRE
  ip address dhcp
  ip dhcp client ignore router
  enable
exit
bridge 2
  description "userDATA"
  enable
exit
bridge 3
  description "mgmt_ESR10"
  security-zone trusted
  ip address dhcp
  enable
exit

interface gigabitethernet 1/0/1
  mode switchport
  switchport access vlan 2
exit
interface gigabitethernet 1/0/2
  mode switchport
  switchport mode trunk
  bridge-group 2
exit
interface gigabitethernet 1/0/3
  mode switchport
  switchport access vlan 10
  bridge-group 2 tagged
exit
interface gigabitethernet 1/0/4
  mode switchport
  switchport access vlan 11
  bridge-group 2 tagged
exit
interface gigabitethernet 1/0/5
  mode switchport
  switchport mode trunk
  bridge-group 2
exit
interface gigabitethernet 1/0/6
  mode switchport
  switchport access vlan 2
exit

tunnel gre 1
  mtu 1462
  keepalive dst-address 10.255.252.1
  keepalive dhcp dependent-interface bridge 1
  keepalive dhcp dependent-interface bridge 3
  keepalive enable
  mode ethernet
  local interface bridge 1
  remote address 192.168.200.49
  enable
exit
tunnel gre 1.1
  bridge-group 3
  mtu 1458
  snmp init-trap
  enable
exit
tunnel gre 2
  mtu 1462
  mode ethernet
  local interface bridge 1
  bridge-group 2
  remote address 192.168.200.50
  enable
exit

snmp-server
snmp-server system-shutdown
snmp-server community "private1" rw 
snmp-server community "public11" ro 

snmp-server host 100.123.0.2
  source-interface bridge 3
exit

snmp-server enable traps config
snmp-server enable traps config commit
snmp-server enable traps config confirm
snmp-server enable traps environment
snmp-server enable traps environment memory-flash-critical-low
snmp-server enable traps environment memory-flash-low
snmp-server enable traps environment memory-ram-critical-low
snmp-server enable traps environment memory-ram-low
snmp-server enable traps environment cpu-load
snmp-server enable traps environment cpu-critical-temp
snmp-server enable traps environment cpu-overheat-temp
snmp-server enable traps environment cpu-supercooling-temp
snmp-server enable traps file-operations
snmp-server enable traps file-operations successful
snmp-server enable traps file-operations failed
snmp-server enable traps file-operations canceled
snmp-server enable traps interfaces
snmp-server enable traps interfaces rx-utilization-high
snmp-server enable traps interfaces tx-utilization-high
snmp-server enable traps interfaces number-high
snmp-server enable traps screen
snmp-server enable traps screen dest-limit
snmp-server enable traps screen source-limit
snmp-server enable traps screen icmp-threshold
snmp-server enable traps screen udp-threshold
snmp-server enable traps screen syn-flood
snmp-server enable traps screen land
snmp-server enable traps screen winnuke
snmp-server enable traps screen icmp-frag
snmp-server enable traps screen udp-frag
snmp-server enable traps screen icmp-large
snmp-server enable traps screen syn-frag
snmp-server enable traps screen unknown-proto
snmp-server enable traps screen ip-frag
snmp-server enable traps screen port-scan
snmp-server enable traps screen ip-sweep
snmp-server enable traps screen syn-fin
snmp-server enable traps screen fin-no-ack
snmp-server enable traps screen no-flag
snmp-server enable traps screen spoofing
snmp-server enable traps screen reserved
snmp-server enable traps screen quench
snmp-server enable traps screen echo-request
snmp-server enable traps screen time-exceeded
snmp-server enable traps screen unreachable
snmp-server enable traps screen tcp-all-flags
snmp-server enable traps entity
snmp-server enable traps entity config-change
snmp-server enable traps entity-sensor
snmp-server enable traps entity-sensor threshold
snmp-server enable traps envmon temperature
snmp-server enable traps flash
snmp-server enable traps flash insertion
snmp-server enable traps flash removal
snmp-server enable traps snmp
snmp-server enable traps snmp authentication
snmp-server enable traps snmp coldstart
snmp-server enable traps snmp linkdown
snmp-server enable traps snmp linkup
snmp-server enable traps syslog

security zone-pair trusted self
  rule 10
    action permit
    match source-address MNG
    enable
  exit
exit
security zone-pair GRE self
  rule 10
    action permit
    match source-address MNG
    enable
  exit
exit

security passwords history 0

ip telnet server
ip ssh server

ntp enable
ntp server 100.123.0.2
exit


1) В данной конфигурации в качестве аплинка выступают порты gi 1/0/1 (медный) и gi1/0/6 (оптический), что позволяет использовать подключение как по оптическому, так и по проводному каналу.

2) Порты gi1/0/2 и gi1/0/5 сконфигурированы из расчета получение трафика с тегом влан, и последующую его инкапсуляцию с этим тегов в GRE пакеты, что позволяет передавать через эти порты трафик с любым тегом влан. Нетегированный трафик будет отброшен.

3) Порты gi1/0/3 и gi1/0/4 сконфигурированы из расчета получения трафика без тега влан, он будет назначен в зависимости от конфигурации порта, для gi1/0/3 - 10, для gi1/0/4 - 11. Это позволит выполнить тегирование трафика клиента и передачу его с тегом влан внутри GRE пакетов, если клиент отдает нетегированный трафик. Тегированный трафки будет отброшен.

4) На bridge 1 выполнена настройка ip dhcp client ignore router. Данная настройка позволяет не запрашивать в DHCP запросах шлюз по умолчанию. Это требуется для того, что бы адрес управления (bridge 3), получамый внутри GRE туннеля управления мог получить шлюз по умолчанию. Т.к. в bridge 1 осуществляется получение первичного адреса - то для обеспечения связности с адресами терминации GRE на ESR BRAS L3 и возможности скачивания конфигурации c tftp-сервера используется выдача маршрутной информации с использованием option 121.

Так же следует учитывать:

1)Данная конфигурация приведена для ESR-10, у которого 6 интерфейсов. ESR-20/100/200 отличаются по количеству интерфейсов, поэтому для выдачи им конфигурацию следует скорректировать с учетом этого.

2) Конфигурация, при загрузке которой возникли ошибки не будет применена.

3) В файле конфигурации указывается версия "#18", которая означает минимальную версию ПО ESR, для которой она рассчитана (#18 означает версию 1.11). Если устанавливается ESR client с более ранней версией устройства -  конфигурацию не сможет быть им загружена. Возможна настройка DHCP сервера, что бы он выдавал конфигурацию с учетом версии ПО ESR client, приведена в статье 1.4.3 ESR-10 - обновление на версию 1.4.3.

Ниже приведены настройки DHCP сервера для пула первичных адресов ESR- client на примере ISC-DHCP-server:

 Пример конфигурации пула первичных адресов для ESR-client на примере ISC-DHCP-Server
authoritative;
ddns-update-style none;

enable-binary-leases;

default-lease-time 86400;
max-lease-time 87000;

log-facility local7;

## MS routes: adds extras to supplement routers option
option ms-classless-static-routes code 249 = array of unsigned integer 8;

## RFC3442 routes: overrides routers option
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;


subnet 192.168.250.0 netmask 255.255.255.0 {
	pool {
		option routers 192.168.250.1;
		range 192.168.250.10 192.168.250.254;
		option ms-classless-static-routes 28, 192,168,200,48, 192,168,250,1;
		option rfc3442-classless-static-routes 28, 192,168,200,48, 192,168,250,1;
		option tftp-server-name "192.168.250.2";
		option bootfile-name "ESR10conf-1.11.txt";
 }
}

Как видно из приведенной настройки, файл ESR10conf-1.11.txt с конфигурацией ESR должен быть расположен на сервере tftp 192.168.250.2.

6. Настройка взаимодействия с SoftWLC

Настройки комплекса SoftWLC можно разделить на глобальные, которые выполняются один раз или при добавлении каждого нового ESR BRAS; универсальные - они могут как конфигурироваться под отдельного заказчика услуги авторизации, так и использоваться в настройках нескольких или всех ; и индивидуальные, которые как правило конфигурируются при подключении каждого нового клиента.

6.1. Глобальные настройки

Глобальные настройки можно разделить на несколько этапов:

1) Настройка взаимодействия с BRAS в конструкторе порталов;

2) Настройка взаимодействия с BRAS в VRF в Личном кабинете;

3) Создание двух обязательных списков фильтрации URL - welcome и gosuslugi в Личном кабинете;

4) Создание обязательного сервиса WELCOME в Личном кабинете;

5) Добавление ESR BRAS в EMS и настройка взаимодействия с ним.

Первые четыре пунктов выполняются один раз при первичном развертывании и настройке, пятый - при добавлении каждого нового ESR BRAS.








Портал.

Необходимо включить флаг «Взаимодействие с BRAS».

Указать пароли для RADIUS COA пакетов, при обмене с ESR/BRAS и SoftWLC (PCRF), пароли указанные в данном разделе должны совпадать с паролями, указанными в конфигурации в конфигурации ESR-1000 и PCRF.


Личный кабинет.

В разделе "Настройки", вкладке "Интеграция" необходимо указать корректно URL PCRF (по умолчанию это localhost с портом 7070). Это необходимо для корректного взаимодействия между PCRF и Личным Кабинетом.

В разделе "Настройки" вкладке "RADIUS клиенты" необходимо добавить в таблицу ESR-1000, выполняющий функции BRAS. После этого RADIUS сервер начнет обрабатывать RADIUS-сообщения от ESR-1000. При добавлении ESR-1000 в таблицу, необходимо указать IP его интерфейса, с которого будут лететь RADIUS пакеты, домен, а также пароль, прописанный также, в конфигурации ESR-1000.


Настройка SoftWLC, ESR-1000 и ESR-10 при добавлении нового клиента.

В данном случае, под клиентом подразумевается юр. лицо, с которым оператор заключает договор об оказании услуг. Для того, чтобы завести в систему нового клиента, необходимо:

  • Выделить пул IP адресов для клиентской сети
  • Выделить пул IP адресов для точек доступа
  • Прописать в DHCP сервере связку между MAC точки доступа и ее IP
  • Выделить VLAN для идентификации SSID клиента и его точек доступа
  • Создать в Личном Кабинете домен
  • Добавление точек доступа в дерево объектов

  • Добавление ESR-10 в дерево объектов

  • Настройка SSID

  • Установка ограничения скорости на офис

  • Настройка взаимодействия с RADIUS-server

  • Добавление сервисов

  • Добавление тарифа

  • Создание списка фильтрации URL

  • Настройка портала

В случае, если оператор предоставляет клиенту собственные точки доступа, то необходимо выделить для их управления отдельный VLAN на ESR-1000 (не попадающий под действие функционала BRAS). На сервере DHCP необходимо прописать связки MAC точек доступа с их IP, чтобы в процессе работы IP не изменялись. Это нужно для корректной работы EMS с точками доступа. Привязка MAC прописывается следующим образом:

host ap1
{
    hardware ethernet f0:9f:c2:67:25:f8;
    fixed-address 126.0.0.250;
}

Для идентификации SSID и точек доступа необходимо выделить VLAN (см. раздел "Идентификация элементов системы"). Размер пулов IP адресов выбирается исходя из предполагаемого количества абонентов в клиентской сети. Обычно это не более 100 человек на 1 точку доступа.

Далее в Личном Кабинете в разделе "Настройки" добавляем новые домены для объектов нового клиента: SSID, точек доступа, тарифных планов...


Добавление точек доступа в дерево объектов

Для мониторинга доступности, управления ТД они могут быть добавлены в дерево объектов EMS. После создания доменов автоматически в дереве добавятся узлы, для которых тип домена был выбран «АР». Добавляется ТД с типом Generic AP.


В случае, если оператор не предоставляет клиенту точки доступа, а клиент использует собственные точки, мониторинг которых осуществляет самостоятельно, то при добавлении устройств указывается «серый» IP адрес, а в параметрах устройства устанавливается флаг «Выведено из обслуживания». В таком режиме система не будет выполнять контроль доступности устройств (ICMP/SNMP ping). Добавление в систему точек доступа, которые не обслуживаются оператором необходимо для того, чтобы в дальнейшем видеть статистику по абонентским подключениям в разрезе точек доступа.

Добавление ESR-10 в дерево объектов

Настройка SSID

Новый SSID добавляется из меню «Wireless» - «Менеджер SSID» «База SSID». Указывается имя сети, описание, домен, location, VLAN ID.

Location и VLAN ID должны соответствовать, настроенным на ESR/BRAS параметрам конфигурации bridge интерфейса. Параметры Location и VLAN являются общими для ESR-1000 и SoftWLC. С помощью этих параметров ESR-1000 сообщает SoftWLC, с каких SSID и точек доступа идут сообщения абонентов, чтобы SoftWLC правильно записывал и выдавал статистику, а также принимал верные решения по управлению клиентскими сессиями.

Привязка SSID осуществляется к домену, в котором эти SSID будут работать из меню «Wireless» - «Менеджер SSID» - «База SSID»

Установка ограничения скорости на офис

В EMS меню «Администрирование» - «Права и пользователи» - «Домены» выбирается домен узла на который требуется установить ограничение скорости на офис и добавить все SSID этого офиса.

Настройка (добавление SSID) проводится для ВСЕХ офисов всех клиентов, не зависимо требуется ли выполнять ограничение скорости или нет.

Настройка взаимодействия с RADIUS-server

В меню «Администрирование» - «Настройка сервера» - «Системные модули», закладка «radius» указать secret, для взаимодействия с RADIUS-сервером. Соответствующий пароль должен быть указан в конфигурации сервера.

Добавление сервисов

Добавление новых сервисов производится в Личном Кабинете в разделе "Тарифы и Сервисы". Сервис описывает алгоритм обработки трафика пользователя при прохождении их через ESR/BRAS. Необходимо добавить сервис INTERNET, используя который пользователь будет выходить в сеть Интернет после прохождения авторизации.

  • Указать произвольное имя сервиса
  • Выбрав домен, можно определить область применения данного сервиса.
  • Класс трафика «INTERNET» должен соответствовать классу установленному в параметрах конфигурации ESR/BRAS
  • Указать интервал отправки RADIUS accounting сообщений для данного сервиса пользователя.
  • Установить приоритет для данного сервиса (если для сессии пользователя будет назначено несколько сервисов, на основании приоритета будет выбираться очередность применения правил)
  • Действие по умолчанию разрешает передавать любой трафик.

Также необходимо создать служебный сервис, который необходим для корректной работы процедуры авторизации по МАС адресу.

  • Указать имя сервиса WELCOME.
  • Указать корневой домен, так как это правило будет общее для всех.
  •  Класс трафика «WELCOM» должен соответствовать классу установленному в параметрах конфигурации ESR/BRAS
  • Указать интервал отправки RADIUS accounting сообщений для данного сервиса пользователя.
  • Установить приоритет для данного сервиса (если для сессии пользователя будет назначено несколько сервисов, на основании приоритета будет выбираться очередность применения правил)
  • Действие по умолчанию  будет выполнять редирект на портал для всего трафика на URL
  • http://<IP портала>:8080/eltex_portal/welcome
  • Для того, чтобы после редиректа пользователю загрузилась страница портала, нужно добавить фильтр с именем «welcome»(описание фильтра будет дано ниже), с действием permit.

Добавление тарифа

Группы сервисов могут быть объединены в тарифный план, в котором описывается последовательность сценариев обработки пользовательского трафика.

Необходимо добавить  тариф INTERNET, используя который пользователь будет выходить в сеть Интернет после прохождения авторизации, имя этого тарифа выбирается в конфигурации портала при настройке.

  • Указать произвольное имя тарифа
  • Указать произвольно описание тарифа
  • Указать уникальный код тарифа
  • Указать домен, в рамках которого будет действовать данный тариф
  • Время жизни сессии – время, в течении которого будет храниться сессия пользователя на ESR/BRAS, рекомендуется не указывать
  • Время жизни сессии при бездействии пользователя (idle timeout) – время, по истечении которого сессия будет удалена с ESR/BRAS при неактивности пользователя. Рекомендуется устанавливать меньше или равной времени leases, настроенному на DHCP сервере.
  • Количество одновременных сессий пользователей для одной учетной записи рекомендуется не ограничивать.
  • Включить сервис INTERNET в список доступных.

Создание списка фильтрации URL

Для фильтрации трафика пользователей по адресу сайта (URL) настраиваются списки, в которых указываются перечень адресов URL.

  • Добавить в список адрес портала для обеспечения доступа пользователя к служебной странице welcome
  • Указать имя списка welcome, оно должно соответствовать имени указанному в сервисе WELCOME.
  • Указать домен, в рамках которого будет действовать фильтр
  • Указать тип списка – белый.
  • Добавить URL http://<IPпортала>:8080/eltex_portal/

Создание списков интерфейсов ESR/BRAS

В данной таблице осуществляется привязка location интерфейсов ESR к доменам и узлам СУ.

Каждый L3-Bridge интерфейс ESR, участвующий в передаче трафика пользователей содержит идентификатор – location который однозначно соотносится к Captive Portal SoftWLC - SSID интерфейс.

Каждый L2 интерфейс ESR/BRAS (sub.gre или vlan) идентифицирует точку подключения клиента (его домен узла, ssid, ТД) – интерфейс ТД 

Добавить описание bridge 1 интерфейса ESR/BRAS (см рисунок 10)

Указать произвольное наименование правила

Указать NAS IP - IP адрес ESR

Установить флаг VRF по умолчанию

Указать Location интерфейса, он должен совпадать с настройкой на bridge интерфейсе ESR/BRAS

Указать сервисный домен SSID, к которому этот интерфейс будет относиться

Указать имя портала, на который будет выполняться редирект пользователя при подключении.

Указать имя SSID которому принадлежит данное правило.

Аналогичные настройки выполняются для всех SSID всех пользователей.

Добавить описание интерфейса ТД, через который подключены пользователи к ESR/BRAS.

Указать произвольное наименование правила

Указать IP адрес ESR/BRAS

Установить флаг VRF по умолчанию

Указать Location интерфейса, он должен совпадать с именем интерфейса ESR/BRAS

Указать сервисный домен SSID, к которому этот интерфейс будет относиться

Указать имя портала, на который будет выполняться редирект пользователя при подключении.

Указать AP домен , в котором располагается ТД

Указать имя ТД, указанное в EMS.

Указать имя SSID которому принадлежит данное правило.

Формат location интерфейса <iftype>1/0/<port>.<vlan> или softgre <index>.<vlan>

Где iftype тип интерфейса , может принимать значения gi или te

port номер порта, может принимать значение 1..24 или 1..2 (для gi или te соответственно)

index – номер GRE туннеля

Например: gi1/0/1.11, gi1/0/1.20.200  или softgre 1.10

Настройка портала

WEB портал – сервис выполняющий загрузку в браузере пользователя страниц авторизации.

При подключении нового пользователя портал генерирует новую учетную запиц1сь пользователя в базе с определенными атрибутами. В каждом портале требуется выбирать тарифный план, с которым будут генерироваться новые учетные записи

Новый портал создается с параметрами конфигурации дефолтного портала, все картинки, оформление, URL и т.д. копируются с него.

Необходимо указать уникальное Имя портала, это же имя должно быть указано в параметрах конфигурации интерфейсов SSID, выполненных в ЛК (см. выше)

Домен области видимости должен соответствовать домену клиента.

Для каждого пользователя/SSID можно провести кастомизацию портала:

Внешний вид и стили в оформлении

URL для перенаправления и подписи на странице и т.д.

В файле конфигурации /etc/eltex-portal/config.txt, указать URL сайта, на который будет производиться редирект при возникновении таймаута сессии.

Заменить portal.global_redirect_url=http://1.1.1.1,

на portal.global_redirect_url=http://eltex-co.ru

Для каждого портала настраивается индивидуально способ подтверждения данных пользователя.

Указать созданный в личном кабинете тарифный план, и ввести название этого тарифа.

Если выбрать несколько тарифных планов, то при регистрации пользователю будет доступен выбор из списка. В списке будут отображаться наименования указанные в поле «название тарифа на портале». Если тариф выбран один, то пользователю не будет отображаться список тарифов и ему, по умолчанию, будет присваиваться выбранный тарифный план.


Настройка интеграции с HotWiFi

Интеграция решения Элтекс с Hotwifi производится исключительно с помощью функционала BRAS на ESR-1000. Точки доступа Элтекс интеграцию с Hotwifi не поддерживают.

Сценарий взаимодействия элементов систем  приведен ниже:


Для настройки интеграции с Hotwifi необходимо проделать следующие действия:

  1. Заходим в Личный Кабинет
  2. Переходим в меню Настойки →  Списки URL, создаем список URL "test_wifi".
    Список должен содержать адрес портала http://192.168.107.213:8080/eltex_portal/ и URL для корректной работы рекламной площадки HotWiFi
    Пример списка:

    URL:
    http://192.168.107.213:8080/eltex_portal/
    http://connectivitycheck.gstatic.com/generate_204/
    https://connectivitycheck.gstatic.com/generate_204/

    Шаблоны:
    ^((https|http):\/\/)(.+\.)?abs\.twimg\.com
    ^((https|http):\/\/)(.+\.)?accounts\.google\.com
    ^((https|http):\/\/)(.+\.)?api\.instagram\.com
    ^((https|http):\/\/)(.+\.)?apple\.com
    ^((https|http):\/\/)(.+\.)?captive\.apple\.com
    ^((https|http):\/\/)(.+\.)?facebook\.com
    ^((https|http):\/\/)(.+\.)?facebook\.net
    ^((https|http):\/\/)(.+\.)?fbcdn\.net
    ^((https|http):\/\/)(.+\.)?fbstatic-a\.akamaihd\.net
    ^((https|http):\/\/)(.+\.)?googleapis\.com
    ^((https|http):\/\/)(.+\.)?googleusercontent\.com
    ^((https|http):\/\/)(.+\.)?hot-wifi\.ru
    ^((https|http):\/\/)(.+\.)?inkedin\.com
    ^((https|http):\/\/)(.+\.)?instagram\.c10r\.facebook\.com
    ^((https|http):\/\/)(.+\.)?instagram\\.com
    ^((https|http):\/\/)(.+\.)?licdn\.com
    ^((https|http):\/\/)(.+\.)?oauth\.vk\.com
    ^((https|http):\/\/)(.+\.)?odnoklassniki\.ru
    ^((https|http):\/\/)(.+\.)?ok\.ru
    ^((https|http):\/\/)(.+\.)?top-fwz1\.mail\.ru
    ^((https|http):\/\/)(.+\.)?twimg\.com
    ^((https|http):\/\/)(.+\.)?twitter\.com
    ^((https|http):\/\/)(.+\.)?userapi\.com
    ^((https|http):\/\/)(.+\.)?userapi\\.com
    ^((https|http):\/\/)(.+\.)?vk\.com
    ^((https|http):\/\/)(.+\.)?vk\.me
    ^((https|http):\/\/)(.+\.)?wifiworld\.me
    ^((https|http):\/\/)(.+\.)?www\.instagram\.com
    ^((https|http):\/\/)(.+\.)gosuslugi\.ru
    ^((https|http):\/\/)api\.instagram\.com
    ^((https|http):\/\/)cdn\.hot-wifi\.ru
    ^((https|http):\/\/)cp\.hot-wifi\.ru
    ^((https|http):\/\/)fbstatic-a\.akamaihd\.net
    ^((https|http):\/\/)instagram\.c10r\.facebook\.commail
    ^((https|http):\/\/)instagram\.com
    ^((https|http):\/\/)mc\.yandex\.ru
    ^((https|http):\/\/)platform\.linkedin\.com
    ^((https|http):\/\/)ssl\.gstatic\.com
    ^((https|http):\/\/)static\.licdn\.com
    ^((https|http):\/\/)www\.instagram\.com
    ^((https|http):\/\/)www\.linkedin\.com
    ^((https|http):\/\/)auth-pro\.wifi\.rt\.ru

    Актуальный список можно получить по URL http://be.hot-wifi.ru/api/walledgarden/get, но для загрузки его нужно привести к нужному виду, как в примере.

  3. Переходим в меню Сервисы и тарифы → Cервисы PCRF, создаем сервис servhot (любое имя)
    Класс трафика: WELCOME (Имя должно совпадать с классом трафика в конфигурации ESR-1000)
    Действие по умолчанию: redirect
    URL по умолчанию : http://192.168.107.213:8080/eltex_portal/adv-redirect
    Фильтр 
    Действие: permit
    Имя фильтра: test_wifi

  4. Переходим в меню Сервисы и тарифы  → Тарифы, выбираем фильтр PCRF/BRAS,  создаем тарифный план  hotwifitp  с сервисом servhot
  5. Переходим в Конструктор порталов
  6. Создаем портал, переходим в меню "Рекламные площадки", активируем настройку "Включить интеграцию"
  7. Выбираем рекламную площадку  Hot WiFi, заполняем поля
    Адрес:  адрес в формате http://oauth.hot-wifi.ru, предоставляется сотрудниками Hot WiFi
    ID клиента: идентификатор клиента, предоставляется сотрудниками Hot WiFi
    Рекламный тарифный план BRAS:  выбираем тарифный план созданный в п.4 
    Тарифный план BRAS после прохождения рекламы: любой тарифный план


    Интеграция с HotWiFi работает только в схеме с BRAS. Если активирована рекламная площадка,  используются тарифный планы из меню  "Рекламные площадки", остальные тарифный планы будут игнорироваться. 


Резервирование ESR/BRAS

Резервирование по протоколу VRRP

Логическая схема резервирования ESR/BRAS

Для резервирования ESR/BRAS используется протокол VRRP.

ESR включаются в стек коммутаторов на которые подключены все пользовательские VLAN, а так же VLAN для доступа к SoftWLC и к NAT оператора.

На оба ESR приходят все VLAN, таким образом резервируются:

  • ESR/BRAS,
  • порты, через которые подключены маршрутизаторы
  • коммутатор, в который включен ESR.

 

Сетевая схема резервирования ESR/BRAS

В VLAN X - MNG  происходит управление ESR, в нем настраивается адрес VRRP. Весь служебный трафик передается с VRRP IP адресов ESR, по ним же происходит подключение для управления с СУ.

В VLAN Y - NAT происходит передача трафика в сеть Интернет для клиентов. VRRP адрес используется как адрес шлюза для подсетей, в которых работают клиенты.

Клиенты работающие в VLAN xx и VLAN zz включаются в общий бридж. Для них адресом шлюза будет являться VRRP адрес интерфейса BR1. Аналогично, для клиентов из VLAN yy и qq адресом шлюза является VRRP IP адрес интерфейса BR2.


Таки образом со стороны сети будут использоваться только VRRP адреса ESR для передачи трафика. При возникновении аварии, например отключении питания на ESR1 VRRP адрес назначается на рабочий (доступный) ESR2 и сеть продолжает работать. При этом переключении для клиентов IP и МАС адрес шлюза не изменится, а трафик будет передаваться через ESR2.

Во время работы функции BRAS на ESR (master) создаются клиентские сессии, отправляется данные accounting на PCRF, в тот же момент времени на ESR (slave) сессии не созданы, данных по статистике нет. При возникновении аварии, VRRP адрес переключается на ESR2, и на маршрутизаторе запускается процедура МАС авторизации, создаются все сессии.

GRE туннели поднимаются на VRRP IP адрес ESR/BRAS (master). Резервный ESR постоянно синхронизируются список туннелей с мастером. При возникновении аварии, VRRP адрес переключается на ESR2, на котором уже созданы все GRE туннели, трафик поступает на соответствующие bridge интерфейсы. На маршрутизаторе запускается процедура МАС авторизации.

Резервирование по протоколу BGP для L3 схемы включения



Схема организации связи

Пример реализации отказоустойчивой сети с резервированием ESR, изображен на рисунке выше.

Точки доступа «Элтекс», размещаемые у клиента, позволяют передавать трафик через L3 сеть доступа оператора к ESR/BRAS. Трафик пользователей и управления передается в GRE туннелях.

Точки доступа сторонних производителей для подключения к L3 сети доступа используют ESR-10, которые упаковывают весь трафик в GRE туннели, и передают его к ESR/BRAS.

Вся сеть доступа, для включения ТД, объединена в VRF AP-Core.

Выход в сеть Интернет, осуществляется через VRF NAT, в котором расположен NAT.

Сеть управления через VRF Backbone, позволяет организовать связность между ESR и SoftWLC.

ESR включены в разные PE маршрутизаторы, для обеспечения физического резервирования элементов. Так же ESR связаны между собой для обмена служебной информации о списке и статусе GRE туннелей.

Таким образом, при выходе любого PE маршрутизатора или ESR, а также при потере физической или логической связности – система продолжает предоставлять комплекс услуг с минимальным перерывом связи.

Сетевая схема резервирования ESR/BRAS

На примере рисунка выше, на котором изображена схема организации связи на сетевом уровне.

Для подключения ESR к PE используется интерфейс 10GE, на котором расстроено 3 IP интерфейсе для организации BGP соединений в 3 соответствующих VRF:

AP-Core – VPN, в котором осуществляется включение всех точек доступа. По нему идет весь обмен между ТД и ESR.

Backbone – VPN управления, в нем происходит передача всего трафика управления и мониторинга ESR и ТД, так же через него получают адреса по DHCP устройства клиента.

NAT – VPN через который осуществляется выход в сеть Интернет, используя NAT оператора.

Через VRF AP-Core на ESR принимается маршрут для сети, в которой ESR-10 или ТД «Элтекс» получили первичные адреса. В этот же VRF с ESR анонсируется подсеть в которой расположены адреса для поднятия GRE туннелей.

Через VRF Backbone на ESR принимается маршрут для сети, в которой расположены сервера SoftWLC (EMS, DHCP). В этот же VRF с ESR анонсируется подсеть управление ESR, управление ТД «Элтекс», и подсети клиентов (для получения адресов по DHCP от клиента).

Через VRF NAT на ESR принимается маршрут 0.0.0.0/0. В этот же VRF с ESR анонсируется клиентские подсети для прохождения трафика в сеть Интернет.

Оба ESR находятся в одной автономной системе, и обмениваются маршрутной информацией по iBGP. Интерфейсом для взаимодействия служит интерфейс Bridge 9. Физическое подключение рекомендуется выполнять через Port Channel, тем самым обеспечивается резервирование данного канала и увеличивается пропускная способность соединения.

При доступности PE master он будет лучшим маршрутом для обоих ESR, при его недоступности трафик пойдет через PE backup. 


  • Нет меток