ISG, схема со стартом сессии и ее авторизацией по IP, выдача адресов на основе option82

Материал из BiTel WiKi

Перейти к: навигация, поиск

Данная схема была собрана на лабе, но спроектирована под реальный проект, т.е. - никакой не сферический ISG в вакууме.

Оборудование

  • Уровень доступа (физическое подключение абонентов): catalyst 3550.
  • Уровень аггрегации (объединение нескольких уровней доступа, терминация абонентов по L3): catalyst 3550, с

последующей заменой на 3560 при росте сети.

  • Ядро сети: catalyst 6509 (WS-SUP720-3BXL)
  • BRAS (ISG): ASR1002-ESP5

Задача

Подключить абонента по IPoE (без дополнительных инкапсуляций PPPoE или PPTP), выдать адрес по DHCP, авторизовать абонента по номеру порта на соответствующем каталисте уровня доступа, ограничить выход в интернет в соответствии с балансом договора.

Минусы схемы и ее реализации

  • Один IP на абонента (для подключения нескольких устройств абонент должен приобрести CPE - любой ethernet роутер с NAT'ом)
  • Более сложный механизм масштабирования BRAS'ов по сравнению с PPPoE.
  • Нет "локалки" по дому - весь траффик идет через ядро.

Плюсы

  • В простейшем случае (один PC) абоненту вообще не нужно ничего настраивать, достаточно вставить кабель.
  • Транспортная сеть не загромождается MAC-адресами абонентов (при цифрах больше 8-12 тысяч маков приходится переходить на значительно более дорогое железо)
  • Высокая безопасность сети и абонента (изоляция vlan-per-user, "физическая" авторизация абонента через dhcp-snooping, проверка источника по ip source guard, динамические /32 маршруты на SVI создаваемые только после авторизации).
  • Отсутствие дополнительной инкапсуляции в PPP протокол, что разгружает BRAS.

Реализация Конфигурация свича уровня доступа: 

spanning-tree mode mst
spanning-tree extend system-id
!
spanning-tree mst configuration
 name Region-A
 instance 1 vlan 1-4094
!
ip dhcp snooping vlan 1201-1248
ip dhcp snooping
!
interface FastEthernet0/1
 description Abonent-1
 switchport access vlan 1201
 switchport mode access
 switchport nonegotiate
 switchport port-security
 storm-control broadcast level pps 10k
 storm-control multicast level pps 10k
 storm-control unicast level pps 10k
 storm-control action shutdown
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree guard root
 ip verify source
!
interface FastEthernet0/2
 description Abonent-2
 switchport access vlan 1202
 switchport mode access
 switchport nonegotiate
 switchport port-security
 storm-control broadcast level pps 10k
 storm-control multicast level pps 10k
 storm-control unicast level pps 10k
 storm-control action shutdown
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree guard root
 ip verify source
!
...
!
interface FastEthernet0/48
 description Abonent-48
 switchport access vlan 1248
 switchport mode access
 switchport nonegotiate
 switchport port-security
 storm-control broadcast level pps 10k
 storm-control multicast level pps 10k
 storm-control unicast level pps 10k
 storm-control action shutdown
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 spanning-tree guard root
 ip verify source
!
interface GigabitEthernet0/1
 description Another-Catalyst-in-Chain
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 50
 switchport mode trunk
 ip dhcp snooping trust
!
interface GigabitEthernet0/2
 description Another-Catalyst-in-Chain
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 50
 switchport mode trunk
 ip dhcp snooping trust
!
interface Vlan51
 description Management
 ip address ***
!
ip route 0.0.0.0 0.0.0.0 ***

Задача этого свича, физически терминировать кабель абонента, пустить его траффик в отдельный влан, а в dhcp запросы - вставить option82. Так как количество вланов в сети очень велико - используется протокол MST. Внутри каждого MST региона (в данном случае - Region-A) должен быть один свич аггрегации, до которого должен иметь возможность пробросить все свои вланы каждый свич уровня доступа. Интерфейс Vlan51 и route 0.0.0.0 нужны только лишь для удаленного доступа к свичу.

Конфигурация свича уровня аггрегации: 

ip dhcp relay information policy keep
ip dhcp relay information trust-all
!
ip vrf domonet
 rd 1000:1000
!
spanning-tree mode mst
spanning-tree extend system-id
!
spanning-tree mst configuration
 name Region-A
 instance 1 vlan 1-4094
!
spanning-tree mst 0-1 priority 0
!
interface Loopback52
 description Domonet users at Region-A
 ip vrf forwarding domonet
 ip address 109.*.48.254 255.255.255.0
!
interface GigabitEthernet0/1
 description Link-toward-Core
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 50
 switchport trunk allowed vlan 51,52
 switchport mode trunk
 switchport nonegotiate
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
!
interface GigabitEthernet0/2
 description Link-to-Access-Layer-Catalysts
 switchport trunk encapsulation dot1q
 switchport trunk native vlan 50
 switchport mode trunk
 ip dhcp snooping trust
!
interface Vlan51
 description Management
 ip address ***
!
interface Vlan52
 description Traffic
 ip vrf forwarding domonet
 ip address 10.111.1.1 255.255.255.0
 ip authentication mode eigrp 90 md5
 ip authentication key-chain eigrp 90 eigrp-key
!
interface Vlan1101
 description SW1-PORT1
 ip vrf forwarding domonet
 ip unnumbered Loopback52
 ip helper-address 10.199.1.23
!
interface Vlan1102
 description SW1-PORT2
 ip vrf forwarding domonet
 ip unnumbered Loopback52
 ip helper-address 10.199.1.23
!
...
!
interface Vlan1148
 description SW1-PORT48
 ip vrf forwarding domonet
 ip unnumbered Loopback52
 ip helper-address 10.199.1.23
!
interface Vlan1201
 description SW2-PORT1
 ip vrf forwarding domonet
 ip unnumbered Loopback52
 ip helper-address 10.199.1.23
!
...
!
interface Vlan1248
 description SW2-PORT48
 ip vrf forwarding domonet
 ip unnumbered Loopback52
 ip helper-address 10.199.1.23
!
router eigrp 90
 !
 address-family ipv4 vrf domonet 
  network 0.0.0.0
  distance eigrp 90 90
  passive-interface default
  no passive-interface Vlan52
  autonomous-system 90
 exit-address-family
 
ip route ***

Задача этого каталиста - стерминировать по L3 на соответствующих SVI абонентские вланы всех свичей уровня доступа (внутри его MST региона), перехватить broadcast запросы к DHCP серверу и перенаправить их внутри VRF "domonet" по unicast на сервер BGBilling'а 10.199.1.23, сохранив option82 нетронутым. BGBilling находит договор пользователя по option82 и создает сессию, отвечая адресом прописанным в данном договоре. Каталист получив этот адрес, создает /32 маршрут внутри vrf "domonet" для этого адреса (который прописан в свойствах договора абонента и который выдал BGBilling), в качестве destination используя SVI интерфейс влана, с которого пришел запрос. Абонент получает IP, этот IP по EIGRP (внутри vrf) становится известным другим устройствам и, таким образом, абонент прозрачно пройдя авторизацию по номеру порта получает L3 доступ к сети провайдера, правда только внутри vrf "domonet". Один ньюанс - адрес выданный абоненту должен быть из диапазона адресов, прописанного на Loopback52. Интерфейс Vlan51 и route 0.0.0.0 также нужны только лишь для удаленного доступа к свичу из global роутинга.

В ядре сети же, траффик идущий от абонентов внутри vrf нужно пропустить по L3 через BRAS в global роутинг. Это можно сделать несколькими способами - PBR, route leaking, static routing... Главное чтобы из global роутинга IP адреса абонентов были видны через BRAS и, наоборот, внешний мир изнутри vrf "domonet" был виден через BRAS. Теперь абонент имеет полный доступ в интернет, транзитом (по L3) через BRAS. Осталось навесить на BRAS настройки ISG, чтобы этот доступ привести в зависимость от баланса договора и его тарифа в BGBilling'е.

Настройки BRAS'а: 

aaa group server radius ipoe-radius
 server-private 109.*.1.23 auth-port 1812 acct-port 1813 non-standard key ***
 ip radius source-interface Loopback0
!
aaa group server radius ipoe-services-radius
 server-private 109.*.1.23 auth-port 1811 acct-port 1813 non-standard key ***
 ip radius source-interface Loopback0
!
aaa authentication login ipoe-isg-aaa group ipoe-radius
aaa authorization network ipoe-isg-aaa group ipoe-radius 
aaa accounting network ipoe-isg-aaa start-stop group ipoe-radius
!
aaa authorization subscriber-service default local group ipoe-services-radius 
!
aaa accounting delay-start
aaa accounting update periodic 2
aaa nas port extended
!
aaa server radius dynamic-author
 client 109.*.1.23 server-key ***
 ignore session-key
 ignore server-key
!
redirect server-group NO-MONEY
 server ip 109.*.1.16 port 80
!
class-map type traffic match-any LOCAL-TRAFFIC
 match access-group output 2110
!
class-map type traffic match-any OPENGARDEN-TRAFFIC
 match access-group input 155
 match access-group output 156
!
class-map type traffic match-any ALL-TRAFFIC
 match access-group input 101
 match access-group output 102
!
class-map type traffic match-any TRAFFIC-FOR-REDIRECT
 match access-group input name traffic-for-redirect
!
class-map type control match-all ISG-IP-UNAUTH
 match timer UNAUTH-TIMER 
 match authen-status unauthenticated 
!
policy-map type service L4REDIRECT
 20 class type traffic TRAFFIC-FOR-REDIRECT
  redirect to group NO-MONEY
!
policy-map type service OPENGARDEN
 40 class type traffic OPENGARDEN-TRAFFIC
  accounting aaa list ipoe-isg-aaa
  police input 1024000
  police output 1024000
 !
 class type traffic default in-out
  drop
!
policy-map type service ISG-LOCAL
 100 class type traffic LOCAL-TRAFFIC
  accounting aaa list ipoe-isg-aaa
  police input 102400000
  police output 102400000
 !        
policy-map type control IPoE-ISG
 class type control ISG-IP-UNAUTH event timed-policy-expiry
  1 service disconnect
 !        
 class type control always event session-start
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name L4REDIRECT
  40 service-policy type service name OPENGARDEN
 !        
 class type control always event service-stop
  1 service-policy type service unapply identifier service-name
  10 log-session-state 
 !        
 class type control always event session-restart
  10 authorize aaa list ipoe-isg-aaa password cisco identifier source-ip-address
  20 set-timer UNAUTH-TIMER 1
  30 service-policy type service name L4REDIRECT
  40 service-policy type service name OPENGARDEN
!
interface Loopback0
 ip address 10.100.198.31 255.255.255.255
!
interface GigabitEthernet0/0/2.1001
 encapsulation dot1Q 1001
 ip address 10.200.98.31 255.255.255.0
 service-policy type control IPoE-ISG
 ip subscriber routed
  initiator unclassified ip-address

ISG настроен следующим образом: как только IP траффик абонента (который уже получил IP адрес от BGBilling'а авторизовавшись по номеру порта) приходит на BRAS, тот создает для него новую ISG сессию и пытается ее авторизовать на радиусе BGBilling'а используя в качестве логина IP адрес источника. BGBilling просматривает активные сессии договоров и, конечно же, находит ту сессию, которую он сам же создал выдавая этому абоненту IP адрес. По этой сессии биллинг находит договор, в случае положительного баланса - отвечает ACCESS-ACCEPT плюс cisco-SSG-Account-Info параметры, которые берет из тарифа договора. Также BGBilling создает (вторую уже) активную сессию для договора (первая - dhcp). В случае отрицательного баланса - биллинг отвечает ACCESS-REJECT'ом.

  • Если BRAS получает ACCESS-REJECT, то он сам привязывает к ISG сессии сервисы L4REDIRECT и OPENGARDEN (локально описанные в конфиге циски), в которых доступ ограничен только к локальным ресурсам на скорости 1 Mbps, а весь http траффик редиректится на страничку, информирующую абонента об отсутствии денег на счету. Также стартует таймер UNAUTH-TIMER длительностью в одну минуту, по истечению которой BRAS заново пытается авторизовать ISG сессию в BGBilling'е.
  • Если BRAS получает ACCESS-ACCEPT, то он берет из параметров cisco-SSG-Account-Info информацию о том, какие ISG сервисы нужно привязать к ISG сессии и ищет их описание локально в своей конфигурации. Не найдя их, посылает второй радиус запрос на второй радиус сервер BGBilling'а (слушающий порт 1811 вместо 1812) используя в качестве логина - имя ISG сервиса. В BGBilling'е заведен отдельный договор, в котором прописаны все сервисы, в результате чего - BGBilling отвечает ACCESS-ACCEPT'ом с телом ISG сервиса: 
Packet type: Access-Accept
Identifier: 134
Authenticator: {88 A2 CE 7E 66 BF 3E 9C 4C C0 CD 12 C1 0F C1 3C}
Attributes:
  Acct-Interim-Interval=60
  cisco-avpair=subscriber:accounting-list=ipoe-isg-aaa
  cisco-avpair=ip:traffic-class=in access-group 101 priority 201
  cisco-avpair=ip:traffic-class=out access-group 102 priority 201
  cisco-SSG-Service-Info=QU;5120000;384000;768000;D;5120000;960000;1920000

BRAS использует эту конфигурацию и привязывает нужные ISG сервисы к ISG сессии абонента.

Если баланс договоря становится отрицательным, BGBilling находит соответствующую активную сессию и отправляет на BRAS CoA запрос сбрасывая ее. Важный ньюанс - даже при отрицательном балансе, BGBilling должен продолжать выдавать IP адрес по DHCP.


Конфигурация BGBilling'а

скоро...

Источник — «http://wiki.bitel.ru/index.php/ISG,_%D1%81%D1%85%D0%B5%D0%BC%D0%B0_%D1%81%D0%BE_%D1%81%D1%82%D0%B0%D1%80%D1%82%D0%BE%D0%BC_%D1%81%D0%B5%D1%81%D1%81%D0%B8%D0%B8_%D0%B8_%D0%B5%D0%B5_%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9_%D0%BF%D0%BE_IP,_%D0%B2%D1%8B%D0%B4%D0%B0%D1%87%D0%B0_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%B2_%D0%BD%D0%B0_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5_option82»
Личные инструменты