You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

WNAM версии 1.6 поддерживает взаимодействия с сервисным шлюзом производства RDP.RU, функционирующем в режиме BRAS.

Использование сервисного шлюза позволяет создать распределенную сеть Wi-Fi точек доступа (на основе контроллеров, или изолированных на основе OpenWrt), и сосредоточить организацию услуги на одном устройстве (BRAS), без необходимости настраивать хотспоты на точках доступа или контроллерах.  

Важно, что этот сервисный шлюз работает только в режиме L3, т.е. он ничего не знает о МАС-адресах абонентских устройств, подключенных к Wi-Fi. Для корректной работы системе WNAM необходима связка MAC-адреса клиента, и его текущего IP-адреса. Для этого вам необходимо настроить централизованный DHCP-сервер на основе ISC BIND или ISC Kea, которые выдают IP-адреса абонентам, и при этом информируют WNAM о связке "IP адрес - МАС адрес". Важно также, чтобы пространство IP-адресов абонентов было непересекающимся.

После обычной настройки ISC DHCP вам необходимо установить "информирующую" утилиту wnam-dhcpd-bridge в /usr/local/bin/ (взяв её здесь: https://www.netams.com/files/wnam/misc/), и затем добавив в конфигурационный файл DHCP-сервера, /etc/dhcp/dhcpd.conf , обработчик событий:

group "wifi" {
 on commit {
 set clip = binary-to-ascii(10, 8, ".", leased-address);
 set clhw = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
 set clhost = pick-first-value(host-decl-name, option fqdn.hostname, option host-name, "");
 execute ("/usr/local/bin/wnam-dhcpd-bridge", "127.0.0.1", "password", "commit", "wnam", clip, clhw, clhost);
 }

В таком случае уведомления работают по методу push, т.е. происходит информирование WNAM о каждом факте выделения адреса абоненты. WNAM кэширует эти сведения, в лог-файле появляется запись:

16:34:36.749 DEBUG [c.n.wnam.services.WnamApiService:154] - DHCP commit IP=10.1.0.158, MAC=00:1F:27:90:74:CA, cust_clientid='tst-sw1'

Утилита  /usr/local/bin/wnam-dhcpd-bridge принимает параметры:

  • IP адрес сервера WNAM
  • пароль обмена (используется слово "password")
  • команда
  • идентификатор сервера (не используется)
  • IP адрес
  • MAC адрес
  • имя устройства клиента

Если вы по каким-то особенным причинам хотите использовать Kea SHCP, обратитесь в support@netams.com. 

Как только WNAM начнет получать информацию о МАС адресах, можно переходить к настройке шлюза RDP.

Вам необходимо сформировать конфигурацию шлюза следующего вида:


bras
{
enable
pass_multicast true
pass_routing_protocols true
pass_bgp_port true
bgp_port 179
acl none
no_shape ( )
policies
{
policy_av
{
priority 300
enable
ingress_auth off
local_ip ( 10.99.128.0/17 ) ! укажите здесь IP-подсеть с абонентами
type dynamic
auth radiusgroup_av
acct radiusgroup_av
reauthorization_timeout 180
session_timeout 1200
idle_monitor_direction both
idle_timeout 600
interim_interval 300
default ( service_open_garden_av service_fulldrop_av )
if_auth_accept ( service_basic )
if_auth_reject ( service_open_garden_av service_drop_av )
if_auth_fail ( service_open_garden_av service_drop_av )
}
}
services
{
service_drop_av
{
enable
name "service_drop_av"
action block
acl acl_any
redirect_url "https://wnam-server-name.ru/cp/rdp?sess=%c&ip=%i&vlan1=%v1&vlan2=%v2&dst=%u" ! укажите здесь верный адрес веб-интерфейса сервера WNAM 
egress_speed 20000
ingress_speed 20000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_open_garden_av
{
enable
name "service_open_garden_av"
action pass
acl acl_open_garden_av
egress_speed 2000
ingress_speed 2000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_basic
{
enable
name "service_basic"
action pass
acl acl_any
egress_speed 100000
ingress_speed 100000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
service_fulldrop_av
{
enable
name "service_fulldrop_av"
action block
acl acl_any
redirect_url ""
egress_speed 20000
ingress_speed 20000
egress_tos nochange
ingress_tos nochange
time_start never
time_end never
always_pass ( )
no_shape ( )
dpilists ( )
}
}



Конфигурация RADIUS-сервера (это сервер WNAM):

radius
{
request_burst_interval 1
request_burst_size 1
coa
{
enable
port 3799
secret "wnam_radius"
}
radius_groups
{
radiusgroup_av
{
type active_standby
description ""
request_max 3
request_timeout 3
dead_time_min 15
dead_time_max 300
servers ( radius_av )
}
}
radius_servers
{
radius_av
{
enable
server 10.99.1.10  ! укажите IP-адрес сервера WNAM 
acct_port 1813
auth_port 1812
secret "wnam_radius"
}
}
}
}


Список доступа, разрешающий обращения абонентов к порталу авторизации и DNS до открытия доступа в Интернет

acls
{
  acl_open_garden_av {
  10 permit ip src any dst host 10.99.1.10
  20 permit ip src any dst host 8.8.8.8
  }
}


Данная конфигурация определяет следующее:

  • При старте новой сессии абонента на BRAS тому присваивается два сервиса - доступ абонентов на портал (service_open_garden_av), и блокировка всего остального с редиректом (service_drop_av).
  • После успешной авторизации через RADIUS Auth или CoA эти сервисы убираются, и назначается сервис с доступом в Интернет (service_basic)




  • No labels