Аутентифікація у бездротовій мережі в операційній системі UBNT AirOS за допомогою сервера Радіус

Точки доступу Ubiquiti мають можливість аутентифікувати передавачі, використовуючи сервер Radius. Це означає, що адміністратору немає потреби керувати локальними паролями для аутентифікації в бездротовій мережі, кожен клієнтський пристрій/передавач може мати власний обліковий запис в ISP Платформі Splynx, а наш сервер Radius аутентифікує його.

Зазвичай Інтернет-провайдери вже мають PPPoE або аналогічні механізми аутентифікації, тому функція аутентифікації в бездротовій мережі сервера Radius додається в системі Splynx наявним клієнтам, як один новий (порожній) сервіс.

На першому етапі ми визначаємо тарифний план в Splynx за ціною 0, і у всіх інших полях 0 також.

2016-07-07 04.09.07 pm

Потім слід додати бездротовий сервіс клієнтові і внести туди його логін і пароль.

New_service

Також важливо додати точку доступу в системі Splynx

U_router

І в кінці необхідно увімкнути аутентифікацію EAP у бездротовій мережі за допомогою сервера Radius на маршрутизаторі UBNT, а також налаштувати IP-адресу та секретний ключ сервера Radius

UBNT_wireless

Тепер ми знаємо, як під’єднати клієнтське обладнання UBNT до точки доступу UBNT

U_CPE

Підтримка роутерів Ubiquiti EdgeRouters PPPoE Radius

Роутери UBNT EdgeRouters можуть використовуватись як сервер PPPoE, з функціями аутентифікації клієнтського обладнання, надання статистики, блокування кінцевих користувачів, налаштування обмежень швидкості та налаштувань правил чесного використання (FUP).

Розділимо налаштування роутера на п’ять кроків:

1. Налаштування PPPoE сервера EdgeRouter за допомогою сервера Radius
2. Налаштування PPPoE сервера EdgeRouter для вхідних пакетів сервера Radius
3. Додавання EdgeRouter до системи Splynx
4. Під’єднання клієнта PPPoE і перевірка нормального функціонування
5. Встановлення інших корисних інструментів на EdgeRouter

1. Налаштування PPPoE сервера EdgeRouter за допомогою сервера Radius

Перший етап полягає в оновленні системи до версії 1.5 або вище, оскільки в цій версії операційної системи EdgeOS була додана підтримка атрибутів сервера Radius. Описана тут версія EdgeOS – v1.8.5. Оновлення можна встановити за допомогою інтерфейсу командного рядка, використовуючи такі команди:
add system image http://dl.ubnt.com/...
add system image new-version-1085.tar

У нашому випадку це 10.0.1.166, встановлюємо її в якості основної IP-адреси для EdgeRouter за допомогою команди (в режимі конфігурування):

set system ip override-hostname-ip 10.0.1.166

Тепер необхідно налаштувати сервер PPPoE, встановивши обов’язкові параметри:

edit service pppoe-server
set authentication mode radius
set authentication radius-server 10.10.10.65 key 12345
set client-ip-pool start 10.5.50.2
set client-ip-pool stop 10.5.50.200
set interface eth2

Налаштування також може виконуватись у веб-браузері:

Edge_Radius

2. Налаштування PPPoE сервера EdgeRouter для вхідних пакетів

Це важливий крок, тому що нам необхідно міняти тарифні плани, від’єднувати клієнтів або застосовувати правила FUP. У всіх цих випадках сервер Radius в системі Splynx посилає пакети на EdgeRouter.
За замовчуванням UBNT порт – 3779. Для забезпечення обробки вхідних пакетів, запустіть такі команди в операційній системі EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

і перезавантажте роутер.

Для коригування, якщо пакети приймаються, використовуйте файл pppoe-radius-disconnect.log:

tail /var/log/pppoe-radius-disconnect.log

Приклад вихідних даних, в разі якщо сталося від’єднання пакету в операційній системі EdgeOS:

tail

3. Додавання EdgeRouter до системи Splynx і налаштування параметрів в Splynx

Just add a router to Splynx in Networking -> Routers and choose the NAS Type Ubiquiti

U1

Просто додайте роутер до системи Splynx в пункті меню Networking -> Routers і виберіть NAS Type Ubiquiti.
Можна визначити додаткові атрибути до конфігурації NAS Type в меню Config -> Networking -> Radius.

За замовчуванням ми підтримуємо атрибути граничної швидкості сервера Radius для встановлення швидкостей тунелів PPPoE.

U2
4. Під’єднання клієнта PPPoE і перевірка нормального функціонування

Тепер ми можемо під’єднати користувача PPPoE до роутера EdgeRouter і переконатися, що все гаразд, використовуючи команду show pppoe-server ми дізнаємося, скільки користувачів під’єднано до сервера PPPOE.

Show_pppoe

В системі Splynx ми можемо побачити, що клієнт знаходиться у мережі та отримати його статистику.

Online

Якщо натиснути на кнопку «роз’єднати», клієнт зникне зі списку онлайн і приєднається до мережі з початком нової сесії.
Це означає, що EdgeRouter прийняв вхідний пакет від сервера Splynx Radius. (POD)

5. Встановлення інших корисних інструментів на EdgeRouter

PPPoE тунелі клієнтів створюються динамічно і не показуються у веб-панелі налаштувань. Якщо необхідно отримати статистику пропускної спроможності клієнтів, то існує простий спосіб це зробити, встановивши програмне забезпечення bwm-ng. Додаток знаходиться в сховищі Debian, це означає, що спочатку потрібно додати нові сховища, а після того встановити bwm-ng.
Як додати нові сховища:

configure
set system package repository wheezy components 'main contrib non-free'
set system package repository wheezy distribution wheezy
set system package repository wheezy url http://http.us.debian.org/debian
set system package repository wheezy-security components main
set system package repository wheezy-security distribution wheezy/updates
set system package repository wheezy-security url http://security.debian.org
commit
save
exit

і встановити інструмент

apt-get install bwm-ng

Тепер є можливість запустити додаток bwm-ng -u bits для отримання інформації про фактичну пропускну спроможність клієнтів PPPoE

Приклад вихідних даних програми bwm-ng дивіться на картинці далі:

BWM-NG

Тепер ви знаєте, як налаштувати сервер Splynx Radius на використання UBNT EdgeRouter та отримувати вигоду від швидкого роутера у вигляді компактного і недорого пристрою, що забезпечує продуктивність в 1 мільйон пакетів в секунду!

Якщо у вас виникнуть будь-які труднощі, відвідайте наш форум – https://splynx.com.ua/forums/ або надішліть нам запит за – https://splynx.com/my-tickets/

Інтелектуальне керування пропускною спроможністю – модуль FUP

Багато Інтернет-провайдерів використовують в своїй мережі правила чесного використання (FUP) – це означає, якщо клієнт завантажує або вивантажує більше, ніж певну кількість даних, його швидкість знижується. Ми підняли цю ідею на зовсім інший рівень і надали можливість конфігурувати такі обмеження настільки різноманітно, наскільки це можливо.

У ISP Платформі Splynx наявне інтелектуальне керування пропускною спроможністю. Швидкість клієнта можна визначити на основі обсягу трафіку, використаного ним протягом місяця, тижня або навіть дня. Є навіть можливість визначити максимальний час онлайн в годинах на одного клієнта.

Ви хочете надати користувачам подвійну швидкість в нічний час? Або, можливо, ви не хочете контролювати трафік вихідними? Або потрібно просто уповільнити надактивних завантажувальників, беручи до уваги дані, що передаються ними щодня? Робіть це за допомогою системи Splynx прямо зараз!

PlansПараметри FUP знаходяться в пункті меню План під кнопкою-стрілкою

Спробуємо створити приклад. Візьмемо, наприклад, тарифний план на 5 Мбіт/с, вхідний і вихідний трафік для клієнтів у вихідні враховувати не будемо, значить, вони отримають по 7 Мбіт/с щосуботи та щонеділі. Далі створені перші правила. По-перше: «Не враховувати трафік у вихідні»:

Don't count weekends

І збільшити швидкість 5 Мбіт/с на 40% щосуботи та щонеділі:

7Mb on weekends

Тоді ми можемо зазначити, яке правило буде застосовуватися щосуботи:

2016-04-01 08.38.44 pm

 

У наступному кроці визначимо режим для надактивних завантажувальників з трафіком більш 10ГБ щодня – знизимо швидкість до 2 Мбіт/с після того, як вони перевищать обсяг передачі даних 10ГБ за один день.

high_download

Встановимо щомісячне використання трафіка в обсязі 100 ГБ, після досягнення цієї межі надамо тільки 1 Мбіт/с. Коли ж користувач досягне 110ГБ, заблокуємо його і нарахуємо додаткову оплату за зайві дані.

Total

Як видно на останній фотографії, ми створили повну комплексну політику керування пропускною спроможністю для тарифного плану 5 Мбіт/с. Надається можливість використовувати модуль FUP для створення власних правил! Обмеження швидкості здійснюється за допомогою сервера Radius з використанням атрибутів зміни авторизації (CoA) на будь-якому сумісному обладнання або за допомогою API маршрутизатора Mikrotik на операційній системі RouterOS.

Керуйте всією вашою мережею! (MikroTik API + Radius в Splynx)

На цей час ядро ​​ISP Платформи Splynx охоплює дві важливі сфери керування мережею Інтернет-провайдерами – AAО (AAA) і обмеження швидкості чергами (Simple Queues Tree).

1. AAО (AAA) 

Аутентифікація, авторизація та облік клієнтів в мережі Інтернет-провайдера. Система Splynx містить власний стабільний і масштабований сервер Radius, що дозволяє керувати з’єднаннями, бездротовими точками доступу, перенаправленням, блокуванням неплатників і доступом адміністраторів до обладнання.
2. Обмеження швидкості та керування чергами.

Операційна система роутера Mikrotik має інтелектуальну деревоподібну систему черг, використовувану для з’єднань, обмеження швидкості передачі даних та обліку часу доступу до мережі.
Але коли в системі сотні або тисячі клієнтів, виникає необхідність створювати та підтримувати велику кількість різних правил – одне правило для кожного клієнта + установка первинних черг з’єднань!

Звичайно ж, керувати всіма чергами Mikrotik можна централізовано, використовуючи систему Splynx. Крім того, можна завантажити локальні правила аутентифікації, такі як DHCP-прив’язки, PPPoE користувачі, записи брандмауера або списки бездротового доступу з використанням API роутера Mikrotik. Аутентифікацію можна об’єднувати з сервером Radius. Платформа Splynx одночасно підтримує API Mikrotik і сервера Radius.

Ми надаємо спосіб поділу місця створення аутентифікації та встановлення черг. Цей метод широко використовується провайдерами бездротового доступу, оскільки аутентифікація проводиться в найближчій до клієнта точці доступу, але черги створюються в центральній точці або декількох центральних точках. Ще одна важлива особливість роботи системи – можливість встановлювати однакові правила організації черг на різних роутерах в режимі дзеркального дублювання.

Уявіть ситуацію, коли ми проводимо аутентифікацію користувачів на кожній точці доступу за допомогою DHCP сервера Radius і створюємо черги в нашій головній локації в Інтернеті. В такому випадку ми отримуємо другий висхідний канал в інший локації. Ось так також виникає очевидна необхідність в чергах у другій локації висхідного каналу, оскільки клієнтів можна перенаправити на обидва ці роутери в залежності від стану внутрішнього протоколу маршрутизації. Це продемонстровано у прикладі далі:
API-example

У системі Splynx існує рішення для такої установки за допомогою маршрутизаторів Mikrotik. Як було описано раніше, система Splynx може виконати аутентифікацію користувачів на одному маршрутизаторі, створювати черги на другому і продублювати їх на третьому. Це досягається завдяки гнучкій та стабільній внутрішній інфраструктурі користувацького інтерфейсу платформи.

У відео інструкції ми описуємо розширені функції та налаштування API роутера Mikrotik і сервера Radius на ISP Платформі Splynx.

Управління IP-адресами

У кожної корпоративної мережі або мережі Інтернет-провайдерів використовуються IP-адреси. Це дуже важливий компонент мережі в цілому. Є кілька способів керування присвоєнням IP-адрес. Багато адміністраторів навіть на великих підприємствах як і раніше використовують листи Excel через відсутність інтелектуальних засобів керування IP-адресами. Ми рекомендуємо використовувати наш рушій для керування IP-адресами. Цей модуль під’єднується до бази даних клієнта в системі Splynx. Коли IP-адреса або підмережа присвоюється клієнту для доступу, IP-адреси будуть також прив’язані до вкладки керування IP-адресами. Головна перевага такого підходу полягає в уникненні конфліктів IP-адрес, коли кілька клієнтів отримують однакові IP-адреси або IP-адреси з невірних діапазонів. Крім того, у вас завжди буде інформація про реальну ситуацію з підмережами.

Наше відео та скріншоти демонструють кілька підказок про те, як використовувати цю функцію:

 

1. Створіть кореневу мережу – велику мережу, і додайте до неї підмережі. Кореневу мережу позначають жовтим кольором.

 

ipman1

 

IP-адреси всередині обраної підмережі наведені в таблиці:

 

2016-01-26 10.43.12 pm

 

 

2. За допомогою самого інструменту є можливість статично визначити, для чого використовується певна IP-адреса або коли присвоюється IP-адреса клієнтові. Вона резервується інструментом керування IP-адресами. Крім того, при спробі призначити клієнтові IP-адресу, яка вже використовується, система запобігатиме цьому.

 

2016-01-26 10.46.05 pm

 

3. Додатковою функцією системи також є можливість надсилати масовий пінг до пристроїв обраної мережі, розділяти мережі на невеликі підмережі або зливати маленьку мережу з великою. Є можливість представити стан мережі у вигляді графічної карти з іконками для швидкого отримання інформації. Усі червоні значки означають, що IP-адреса не відповідає на масове надсилання пінг запитів.

2016-01-26 10.43.28 pm

Більш докладний опис керування IP-адресами можна знайти в нашій відео-інструкції –

Ви також можете налаштувати кольору і типи пристроїв, а також додавати нові типи обладнання. На скріншоті і приклад того, як візуалізувати невеликі мережі / 29/28 і т.д. в одному загальну /24 мережу.

IPAM customization

По-друге відео-підручник показує, як налаштувати модуль управління IP-адреса і додати більше кольорів до нього: