Создание и настройка политики EcoNAT Documentation / Политики и сервисы / Создание и настройка политики
В подсистеме BRAS предусмотрены три типа политик:
- static – простая статическая политика. Действия с трафиком абонентов определяются постоянным сервисом или набором сервисов (см. раздел "Создание и настройка сервиса");
- static_shared – групповая статическая политика. Отличие от простой статической политики – возможность задания групповых ограничений в отдельном, более приоритетном сервисе. Например, можно задать пропускную способность общего канала для группы абонентов;
- dynamic – динамическая политика. Требует взаимодействия с внешним RADIUS-сервером. Для каждого возможного ответа RADIUS-сервера (Access-Accept, Access-Reject, Authentication-Failed) можно задать свой сервис или набор сервисов, определяющий действия с трафиком. Можно назначить сервис, применяемый по умолчанию к трафику абонентов, которые ещё не прошли авторизацию. Кроме того, возможно обслуживание группы абонентов в рамках одного контракта с общей пропускной способностью канала по аналогии с политикой static_shared.
Для создания политики необходимо отправить команду create policy <имя>. Имя политики может содержать только латинские буквы (регистр учитывается), цифры и знак подчёркивания. В ветке конфигурации system.bras.policies будет создан объект policy<имя> (обратить внимание – без пробела между словами). Затем необходимо перейти в ветку параметров созданной политики командой goto policy<имя> и задать значения её параметров. В первую очередь следует указать тип политики в параметре type, который может принимать значения static (по умолчанию), static_shared или dynamic. От выбранного типа политики зависит набор параметров настройки.
Простая статическая политика
В таблице ниже описаны параметры простой статической политики.
| Параметр | Описание |
|---|---|
| priority | Приоритет политики. Чем меньше значение, тем выше приоритет. Политики применяются в порядке убывания приоритета. По умолчанию первой созданной политике присваивается приоритет 100, второй – 200, третьей – 300 и т. д. |
enable | disable | Включение / выключение политики |
| ingress_auth | Разрешить (on) / запретить (off) авторизацию абонента и создание абонентской сессии по входящему пакету с Destination IP-адресом абонента |
acl | ACL, которому должен соответствовать трафик IPv4 для применения политики |
aclv6 | ACL, которому должен соответствовать трафик IPv6 для применения политики. Параметр доступен при наличии лицензии на работу с трафиком IPv6 |
| acct | Имя подключения к RADIUS-серверу или группы RADIUS-серверов для аккаунтинга (см. разделы "Настройка доступа к RADIUS-серверу" и "Группы RADIUS-серверов"). По умолчанию none, т. е. аккаунтинг не используется |
session_timeout | Максимальное время существования сессии в секундах. По истечении данного времени текущая сессия закрывается и создаётся новая. По умолчанию 86400 |
idle_monitor_direction | Данный параметр определяет, по каким пакетам будет происходить сброс таймера простоя сессии (параметр idle_timeout). Возможные значения:
|
idle_timeout | Максимальное время простоя сессии в секундах. При отсутствии активности в течение данного времени сессия будет закрыта. По умолчанию 28800 |
| interim_interval | Периодичность аккаунтинга в секундах. Применяется при настроенном подключении к RADIUS-серверу. По умолчанию 60 |
services ( ) | Имя сервиса, привязываемого к политике. Можно указать до 6 сервисов через пробел. Порядок указания сервисов определяет их приоритет (по убыванию) |
Пример создания и настройки статической политики:
EcoSGE:1:system.bras.policies# create policy 1
EcoSGE:2:system.bras.policies# policy1
EcoSGE:3:system.bras.policies.policy1# enable
EcoSGE:4:system.bras.policies.policy1# acl acltestv4
EcoSGE:5:system.bras.policies.policy1# aclv6 acltestv6
EcoSGE:6:system.bras.policies.policy1# type static
EcoSGE:7:system.bras.policies.policy1# services service1
EcoSGE:8:system.bras.policies.policy1# ls
priority 100
enable
ingress_auth off
acl acltestv4
aclv6 acltestv6
type static
acct none
session_timeout 86400
idle_monitor_direction both
idle_timeout 28800
interim_interval 60
services ( service1 )
Групповая статическая политика
Групповая статическая политика содержит те же параметры, что и простая статическая политика (см. таблицу выше), а также дополнительный параметр common_service. Данный параметр позволяет указать сервис, который будет устанавливать групповые ограничения для абонентского трафика, соответствующего правилам ACL данного сервиса. Например, можно задать пропускную способность общего канала для группы абонентов.
Динамическая политика
Динамическая политика содержит те же параметры, что и простая статическая политика (см. таблицу выше), за исключением параметра services, а также дополнительные параметры, описанные в таблице ниже.
| Параметр | Описание |
|---|---|
auth | Имя подключения к RADIUS-серверу или имя группы RADIUS-серверов для отправки запросов авторизации абонентов (см. разделы "Настройка доступа к RADIUS-серверу" и "Группы RADIUS-серверов"). ВНИМАНИЕ! Перед применением настроек динамической политики значение параметра auth не должно быть none. В противном случае выполнение команды apply завершится с ошибкой |
reauthorization_timeout | Периодичность (в секундах) повторной отправки запроса авторизации абонента при отсутствии ответа от RADIUS-сервера (BRAS-сессия абонента при этом находится в статусе Error). По умолчанию 180 |
default ( ) | Сервис (или сервисы), который применяется для абонента, попавшего в политику, но ещё не прошедшего авторизацию |
if_auth_accept ( ) | Сервис (или сервисы), который применяется для абонента, получившего Access-Accept от сервера RADIUS |
if_auth_reject ( ) | Сервис (или сервисы), который применяется для абонента, получившего Access-Reject от сервера RADIUS |
if_auth_fail ( ) | Сервис (или сервисы), который применяется для абонента, если RADIUS-сервер не ответил на Access-Request по истечении соответствующего тайм-аута |
Примечание. В динамической политике по истечении времени session_timeout BRAS отправляет повторный запрос Access-Request (RADIUS-сервер может переопределить данный тайм-аут параметром Session-Timeout). То же самое происходит и в том случае, если на запрос авторизации абонента был получен ответ Access-Reject.
Пример создания и настройки динамической политики:
EcoSGE:1:system.bras.policies# create policy 2
EcoSGE:2:system.bras.policies# policy2
EcoSGE:3:system.bras.policies.policy2# enable
EcoSGE:4:system.bras.policies.policy2# acl acltestv4
EcoSGE:5:system.bras.policies.policy2# type dynamic
EcoSGE:6:system.bras.policies.policy2# auth radius1
EcoSGE:7:system.bras.policies.policy2# default (service5M)
EcoSGE:8:system.bras.policies.policy2# if_auth_accept (service1 service5M)
EcoSGE:9:system.bras.policies.policy2# if_auth_reject (service2)
EcoSGE:10:system.bras.policies.policy2# if_auth_fail (service2)
EcoSGE:11:system.bras.policies.policy2# show
priority 200
enable
ingress_auth off
acl aclv4test
aclv6 none
auth radius1
acct none
reauthorization_timeout 180
session_timeout 86400
idle_timeout 28800
idle_monitor_direction both
interim_interval 60
default ( service5M )
if_auth_accept ( service1 service5M )
if_auth_reject ( service2 )
if_auth_fail ( service2 )
Измененная конфигурация применяется только после выполнения команды apply.