Logo

EcoRouter

EcoNAT

EcoQOE

EcoBypass

English
  • Release Notes

    • IPoE абоненты EcoRouter Documentation / BRAS / IPoE абоненты

    Для управления абонентскими сессиями в EcoBNGOS предусмотрены конфигурируемые карты абонентов (subscriber-map). Под управлением понимается создание/удаление сессий, установка правил аутентификации, авторизации и аккаунтинга (AAA), настройка специфических таймеров для сессий. По правилам аутентификации, использующимся в абонентских картах, абонентские сессии различаются на статические и динамические.

    Статические правила не требуют работы протокола DHCP для выдачи IP-адресов, а также настроек аутентификации и авторизации через RADIUS-сервер. По этим сессиям осуществляется только аккаунтинг на удаленных серверах. Статическая конфигурация предоставляет все необходимые настройки для выхода статических IPoE-абонентов в Интернет. Абоненты могут получать адреса по DHCP (зарезервированные адреса сконфигурированы на DHCP-сервере для определенных устройств), но при этом иметь специальные статические правила в картах. Такие типы сессий называются статическими. При срабатывании статических правил сессия моментально инициализируется и создается на устройстве. 

    Правила считаются динамическими в случае, если это правила тегирования (802.1Q) и настройки IP-адресов для абонентов, сформированные в процессе получения адреса по DHCP или при передаче первого пакета от абонента. Для динамических клиентов функционал аутентификации и авторизации доступен как через локальную конфигурацию на маршрутизаторе, так и через удаленный RADIUS-сервер. Такие типы сессий называются динамическими. Способ создания динамической сессии зависит от параметров команды session-trigger в настройках BMI интерфейса (как показано в таблице ниже). 

    Параметр команды sesion-trigger

    		Способ заведения динамической сессии 
    dhcpпо первому пакету DHCP Discovery от абонента (настройка по умолчанию)
    ipпо первому IP-пакету от абонента

    Таким образом, абонентская IPoE сессия может быть создана статически, по первому IP-пакету от абонента или по сообщению DHCP discover.

    Каждая карта абонентов состоит из одной или нескольких последовательностей правил (sequence). В свою очередь, последовательность содержит одно или несколько правил (match) и действий (set). Для сопоставления абонентов и их AAA-правил используются команды match static, match dynamic и set. Ключевые слова static и dynamic внутри карты абонента определяют статический и динамический характер карты. Совместно с префиксными списками (prefix-list) карты абонентов обеспечивают удобный интерфейс и расширенную логику работы с IP-подсетями абонентов.

    Для настройки карт абонентов используется команда конфигурационного режима subscriber-map <NAME> <NUMBER>. Где <NAME> может быть любым наименованием (до 15 символов). Рекомендуемый формат имени – все буквы прописные. <NUMBER> - номер последовательности правил (приоритет) обработки правил карты (задается числовыми значениями от 1 до 65535). В первую очередь будет обработана последовательность правил с номером 1, затем 2, 3 и т. д.. Последней будет обрабатываться последовательность правил с максимальным порядковым номером.

    Для привязки карты абонента к интерфейсу необходимо ввести в контекстном режиме конфигурирования интерфейса BMI команду subscriber-map <NAME>, где <NAME> соответствует ранее созданной карте абонента.

    Пример создания карты "TEST" с несколькими последовательностями правил внутри и ее привязки к BMI интерфейсу:

    ecorouter(config)#subscriber-map TEST 10
    ecorouter(config-subscriber)#?
    Subscriber map configuration commands:
      description  Add entry description
      exit               Exit from the current mode to the previous mode
      help              Description of the interactive help system
      match           Match subscribers
      no                  Negate a command or set its defaults
      set                  Set policies on matched subscribers
      show              Show running system information
    ecorouter(config-subscriber)#exit
    ecorouter(config)#subscriber-map TEST 20
    ecorouter(config-subscriber-map)#exit
    ecorouter(config)#subscriber-map TEST 30
    ecorouter(config-subscriber-map)#exit
    ecorouter(config)#interface bmi.100
    ecorouter(config-if-bmi)#subscriber-map TEST

    В карте TEST первой будет обрабатываться последовательность правил с номером 10, затем 20, далее 30.

    При создании карты, пользователь переходит в режим ее конфигурирования. Доступны команды match и set, с помощью которых можно настроить соответствие абонентской сессии (команда match ссылается на адрес абонента) с локальным или удаленным типом сервиса (команда set ссылается либо на имя локального сервиса, либо на AAA группу удаленных серверов).

    В EcoBNGOS предусмотрена неявная карта абонента с правилами, которые сопоставляются со всеми абонентами (аналог match ANY) и с сервисом, который блокирует весь трафик от абонентов. Синтаксис команд, определяющих правила (match) и действия (set)  представлен ниже в разделах Статические абоненты и Динамические абоненты соответственно.

    Статические абоненты

    Статические абоненты - это абоненты, которые попадают под правила статических сессий. Статическое правило создается командой:
    match static prefix-list <NAME> {untagged | svlan <значение> cvlan <значение> | cvlan <значение>}

    Параметры команды описаны в таблице ниже.

    Параметр

    		Описание
    NAMEИмя префиксного списка (prefix-list). Префиксный список должен быть создан заранее

    untagged

    Нетегированный трафик

    svlan

    Сервисный VLAN

    cvlan

    Клиентский VLAN

    значение

    Значение VLAN ID


    Ключевое слово static создает статическое правило, которое будет сопоставляться с одним конкретным IP-адресом, указанным через префиксный список (prefix-list). Значение параметра <NAME> должно соответствовать заранее сконфигурированному префиксному списку (prefix-list) с правилом permit. Дополнительную информацию по префиксным спискам можно найти в соответствующем разделе (см. "Префиксные списки"). С помощью опций svlan и cvlan настраивается точное соответствие: IP-адрес - VLAN-теги абонента (802.1q и 802.1ad).
    Если указаны слова static и имя префиксного списка, то требуется указать правила тегирования при отправке трафика в сторону абонента. Если в трафике отсутствуют теги, то следует указать ключевое слово untagged.

    Например, в случае QinQ в LAN-сегменте абонента команда для создания статического правила для одного IP-адреса (одного устройства), трафик которого должен иметь внешний тег 10, а внутренний 20, будет выглядеть так match static prefix-list TEST svlan 10 cvlan 20. Таким образом данные из маршрутизатора в сторону абонента будут выходить с двумя тегами в заголовке 802.1ad.

    Абонент, удовлетворяющий статическому правилу match, по умолчанию считается локально аутентифицированным!

    При создании статического правила, абонентская сессия появляется в глобальной таблице абонентов (вывод таблицы доступен по команде show subscribers <NAME>, где < NAME> - имя интерфейса BMI).

    В актуальной версии EcoBNGOS при конфигурации префиксных списков в BRAS параметры ge, le, eq не учитываются.

    Отсутствие статического правила в карте абонента

    Если в одной из последовательностей правил карты абонента отсутствует правило match, то под эту последовательность попадают все IP-адреса абонентов. Это соответствует ситуации, если бы в последовательности правил карты абонента было правило match dynamic prefix-list ALL, где в prefix-list ALL было бы правило permit 0.0.0.0/0 le 32.

    Динамические абоненты

    Динамические абоненты - это абоненты, которые попадают под правила динамических сессий.

    Динамическое правило создается командой:
    match dynamic prefix-list <NAME>, где <NAME> соответствует заранее сконфигурированному префиксному списку (prefix-list) с правилом permit.

    Ключевое слово dynamic создает динамическое правило, которое будет сопоставляться с одним или множеством IP-адресов с помощью префиксных списков (prefix-list). При указании динамического правила предполагается, что абонент или устройство получает настройки IP через DHCP или по приходу первого IP-пакета (параметр команды session-trigger). Во время прохождения DHCP-пакетов Dicscover, Offer, Request или Ack, маршрутизатор автоматически применяет правила тегирования для абонентов. Подобное поведение наблюдается при приеме первого IP-пакета от абонента. Поэтому команды для указания VLAN (svlan, cvlan, untagged) в динамических правилах не требуются.

    Абоненты, IP-адреса которых удовлетворяют динамическому правилу match, считаются локально аутентифицированными. Однако аутентификация через удаленный AAA-сервер имеет наибольший приоритет, поэтому если в карте абонента присутствует правило set с ссылкой на удаленные AAA-сервера, то правило match не аутентифицирует абонентов локально, а указывает с каких устройств (для каких IP-адресов) должны идти AAA запросы  на удаленные RADIUS-серверы.

    Пользователь может получить доступ в Интернет только при успешной аутентификации. В случае отказа в аутентификации от AAA-сервера, время работы сессии составляет 5 мин. Это означает, что сессия будет автоматически удалена из глобальной таблицы абонентов через 5 мин (подробнее о абонентских таймерах читайте ниже).

    Инициализация динамической IPoE-сессии в зависимости от установленного значения параметра session-trigger в настройках BMI интерфейса происходит либо по первому пакету DHCP Discovery от абонента (настройка по умолчанию), либо по первому IP-пакету от абонента.

    В актуальной версии EcoBNGOS при конфигурации префиксных списков в BRAS параметры ge, le, eq не учитываются.

    Отсутствие динамического правила в карте абонента

    Если в одной из последовательностей правил карты абонента отсутствует правило match, то под эту последовательность попадают все IP-адреса абонентов. Это соответствует ситуации, если бы в последовательности правил карты абонента было правило match dynamic prefix-list ALL, где в prefix-list ALL было бы правило permit 0.0.0.0/0 le 32.