Аутентификация в беспроводной сети в операционной системе UBNT AirOS с помощью сервера Радиус

Точки доступа Ubiquiti имеют возможность аутентифицировать передатчики, используя сервер Radius. Это значит, что администратору нет необходимости управлять локальными паролями для аутентификации в беспроводной сети, каждое клиентское устройство/передатчик может иметь собственную учетную запись в ISP Платформе Splynx, а наш сервер Radius аутентифицирует его.

Обычно Интернет-провайдеры уже имеют PPPoE или аналогичные механизмы аутентификации, поэтому функция аутентификации в беспроводной сети сервера Radius добавляется в системе Splynx существующим клиентам, как один новый (пустой) сервис.

На первом этапе мы определяем тарифный план в Splynx по цене 0, и во всех других полях 0 также.

2016-07-07 04.09.07 pm

Затем следует добавить беспроводный сервис клиенту и внести туда его логин и пароль.

New_service

Также важно добавить точку доступа в системе Splynx

U_router

and as a last step we should enable on UBNT router Wireless Radius authentication EAP and setup Radius server IP address and secret

UBNT_wireless

И в конце необходимо включить аутентификацию EAP в беспроводной сети с помощью сервера Radius на маршрутизаторе UBNT, а также настроить IP-адрес и секретный ключ сервера Radius

U_CPE

Теперь мы знаем, как подключить клиентское оборудование UBNT к точке доступа UBNT

Поддержка роутеров Ubiquiti EdgeRouters PPPoE Radius

Роутеры UBNT EdgeRouter могут выступать в качестве сервера PPPoE, с функциями аутентификации клиентского оборудования, предоставления статистики, блокирования конечных пользователей, настройки ограничений скорости и настройки правил честного использования (FUP).

Разделим настройку роутера на пять шагов:
1. Настройка PPPoE сервера EdgeRouter с помощью сервера Radius
2. Настройка PPPoE сервера EdgeRouter для входящих пакетов сервера Radius
3. Добавление EdgeRouter к системе Splynx
4. Подключение клиента PPPoE и проверка нормальной работоспособности
5. Установка других полезных инструментов на EdgerRouter

1. Настройка PPPoE сервера EdgeRouter с помощью сервера Radius

Первый этап заключается в обновлении системы до версии 1.5 или выше, поскольку в этой версии операционной системы EdgeOS была добавлена поддержка атрибутов сервера Radius. Описываемая здесь версия EdgeOS – v1.8.5. Обновление можно установить с помощью интерфейса командной строкой, используя такие команды:
add system image http://dl.ubnt.com/...
add system image new-version-1085.tar

Второй этап – необходимо определить IP-адрес для связи между серверами Radius и EdgeRouter.
В нашем случае это 10.0.1.166, устанавливаем его в качестве основного IP-адреса для EdgeRouter с помощью команды (в режиме конфигурирования):
set system ip override-hostname-ip 10.0.1.166

Теперь необходимо настроить сервер PPPoE, установив обязательные параметры:
edit service pppoe-server
set authentication mode radius
set authentication radius-server 10.10.10.65 key 12345
set client-ip-pool start 10.5.50.2
set client-ip-pool stop 10.5.50.200
set interface eth2

Настройка также может быть выполнена в веб-браузере:

Edge_Radius

2. Настройка PPPoE сервера EdgeRouter для входящих пакетов

Это важный шаг, потому что нам необходимо менять тарифные планы, отключать клиентов или применять правила FUP. Во всех этих случаях сервер Radius в системе Splynx посылает пакеты на EdgeRouter.
По умолчанию UBNT порт – 3779. Для обеспечения обработки входящих пакетов, запустите эти команды в операционной системе EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

и перезагрузите роутер.

Для корректирования, если пакеты принимаются, используйте файл pppoe-radius-disconnect.log:

tail /var/log/pppoe-radius-disconnect.log

Пример выходных данных, в случае если произошло отключение пакета в операционной системе EdgeOS:

tail

3. Добавление EdgeRouter к системе Splynx и настройка параметров в Splynx

Просто добавьте роутер к системе Splynx в пункте меню Networking -> Routers и выберите NAS Type Ubiquiti

U1

Можно добавить дополнительные атрибуты к конфигурации NAS Type в меню Config -> Networking -> Radius.

По умолчанию мы поддерживаем атрибуты предельной скорости сервера Radius для установки скоростей туннелей PPPoE.

U2
4. Подключение клиента PPPoE и проверка нормальной работоспособности

Теперь мы можем подключить пользователя PPPoЕ к роутеру EdgeRouter и убедиться, что все в порядке, используя команду show pppoe-server мы узнаем, сколько пользователей подключены к серверу PPPOE

Show_pppoe

В системе Splynx мы можем увидеть, что клиент находится в сети и получить его статистику.

Online

Если нажать на кнопку «рассоединить», клиент исчезнет из списка онлайн и присоединится к сети с началом новой сессии. Это означает, что EdgeRouter принял входящий пакет от сервера Splynx Radius. (POD)

5. Установка других полезных инструментов на EdgeRouter

PPPoE туннели клиентов создаются динамически и не отображаются в веб-панели настроек. Если необходимо получить статистику пропускной способности клиентов, то простой способ это сделать, установив программное обеспечения bwm-ng. Приложение находится в хранилище Debian, это значит, что сначала нужно добавить новые хранилища, а после установить bwm-ng.

Как добавить новые хранилища:

configure
set system package repository wheezy components 'main contrib non-free'
set system package repository wheezy distribution wheezy
set system package repository wheezy url http://http.us.debian.org/debian
set system package repository wheezy-security components main
set system package repository wheezy-security distribution wheezy/updates
set system package repository wheezy-security url http://security.debian.org
commit
save
exit

и установить инструмент

apt-get install bwm-ng

Теперь есть возможность запустить приложение bwm-ng -u bits для получения информации о фактической пропускной способности клиентов PPPoE

Пример выходных данных приложения bwm-ng смотрите на картинке ниже:

BWM-NG

Теперь вы знаете, как настроить сервер Splynx Radius на использование UBNT EdgeRouter и получать выгоду от быстрого роутера в виде компактного и недорого устройства, обеспечивающего производительность в 1 миллион пакетов в секунду!

Интеллектуальное управление пропускной способностью – модуль FUP

Многие Интернет-провайдеры используют в своей сети правила честного использования (FUP) – это значит, если клиент загружает или выгружает больше, чем определенное количество данных, его скорость снижается. Мы подняли эту идею на совершенно другой уровень и предоставили возможность конфигурировать такие ограничения настолько разнообразно, насколько это возможно.

В ISP Платформе Splynx присутствует интеллектуальное управление пропускной способностью. Скорость клиента можно определить на основе объема трафика, потребляемого им в месяц, в неделю или даже в день. Есть даже возможность определить максимальное время онлайн в часах на одного клиента.

Вы хотите предоставить пользователям двойную скорость в ночное время? Или, возможно, вы не хотите контролировать трафик по выходным? Или может нужно просто замедлить сверхактивных загрузчиков, принимая во внимание ежедневно передаваемые ими данные? Делайте это с помощью системы Splynx прямо сейчас!

PlansПараметры FUP находятся в пункте меню План под кнопкой-стрелкой

Попробуем создать пример. Возьмем, к примеру, тарифный план на 5 Мбит/с, входящий и исходящий трафик для клиентов по выходным учитывать не будем, значит, они получат по 7 Мбит/с по субботам и воскресеньям. Ниже были созданы первые правила. Во-первых: «Не учитывать трафик по выходным»:

Don't count weekends

И увеличить скорость 5 Мбит/с на 40% по субботам и воскресеньям:

7Mb on weekends

Тогда мы можем отметить, какое правило будет применяться по субботам:

2016-04-01 08.38.44 pm

 

В следующем шаге определим режим для сверхактивных загрузчиков с трафиком более 10ГБ ежедневно – снизим скорость до 2 Мбит/с после того, как они превысят объем передачи данных в 10ГБ за один день.

high_download

Установим ежемесячное использование трафика в объеме 100ГБ, после достижения этого предела предоставим только 1 Мбит/с. Когда же пользователь достигнет 110ГБ, заблокируем его и начислим дополнительную оплату за лишние данные.

Total

Как видно на последней фотографии, мы создали полную комплексную политику управления пропускной способностью для тарифного плана в 5 Мбит/с. Предоставляется возможность использовать модуль FUP для создания собственных правил! Ограничение скорости осуществляется с помощью сервера Radius с использованием атрибутов изменения авторизации (CоА) на любом совместимом оборудования или с помощью API маршрутизатора Mikrotik на операционной системе RouterOS.

Управляйте всей вашей сетью! MikroTik API + Радиус в Splynx

В настоящий момент ядро ISP Платформы Splynx охватывает две важные области управления сетью Интернет-провайдерами – AAУ (AAA) и ограничение скорости очередями (Simple Queues Tree).

1. ААУ (AAA) 

Аутентификация, авторизация и учет клиентов в сети Интернет-провайдера. Система Splynx содержит собственный стабильный и масштабируемый сервер Radius, позволяющий управлять соединениями, беспроводными точками доступа, перенаправлением, блокированием неплательщиков и доступом администраторов к оборудованию.

2. Ограничение скорости и управление очередями.
Операционная система роутера Mikrotik имеет интеллектуальную древовидную систему очередей, используемую для соединений, ограничения скорости передачи данных и учета времени доступа к сети.
Но когда в системе сотни или тысячи клиентов, возникает необходимость создавать и поддерживать большое количество различных правил – одно правило для каждого клиента + установка первичных очередей соединений!

Конечно же, управлять всеми очередями Mikrotik можно централизованно, используя систему Splynx. Кроме того, можно загрузить локальные правила аутентификации, такие как DHCP-привязки, PPPoE пользователи, записи межсетевого экрана или списки беспроводного доступа с использованием API роутера Mikrotik. Аутентификацию можно объединять с сервером Radius. Платформа Splynx одновременно поддерживает API Mikrotik и сервера Radius.

Мы предоставляем способ разделения места создания аутентификации и установки очередей. Этот метод широко используется провайдерами беспроводного доступа, так как аутентификация производится в ближайшей точке доступа к клиенту, но очереди создаются в центральной точке или нескольких центральных точках. Еще одна важная особенность работы системы – возможность устанавливать одинаковые правила организации очередей на разных роутерах в режиме зеркального дублирования.

Представьте ситуацию, когда мы проводим аутентификацию пользователей на каждой точке доступа с помощью DHCP сервера Radius и создаем очереди в нашей главной локации в Интернете. В таком случае мы получаем второй восходящий канал в другой локации. Таким образом, также возникает очевидная необходимость в очередях во второй локации восходящего канала, так как клиенты могут быть перенаправлены на оба эти роутеры в зависимости от состояния внутреннего протокола маршрутизации. Это продемонстрировано в примере ниже:

API-example

В системе Splynx существует решение для такой установки с помощью маршрутизаторов Mikrotik. Как было описано выше, система Splynx может выполнить аутентификацию пользователей на одном маршрутизаторе, создавать очереди на втором и продублировать их на третьем. Это достигается благодаря гибкой и стабильной внутренней инфраструктуре пользовательского интерфейса платформы.

В видео руководстве ниже мы описываем расширенные функции и настройки API роутера Mikrotik и сервера Radius на ISP Платформе Splynx.

Управление IP-адресами

В каждой корпоративной сети или сети Интернет-провайдеров используются IP-адреса. Это очень важный компонент сети в целом. Есть несколько способов управления присвоением IP-адресов. Многие администраторы даже на крупных предприятиях по-прежнему используют листы Excel из-за отсутствия интеллектуальных средств управления IP-адресами. Мы рекомендуем использовать наш движок для управления IP-адресами. Этот модуль подключается к базе данных клиента в системе Splynx. Когда IP-адрес или подсеть присваивается клиенту для доступа, IP-адреса будут также привязаны к вкладке управления IP-адресами. Главное преимущество такого подхода в избегании конфликтов IP-адресов, когда несколько клиентов получают одинаковые IP-адреса или IP-адреса с неверных диапазонов. Кроме того, у вас всегда будет информация о реальной ситуации с подсетями.

Наше видео и скриншоты демонстрируют несколько подсказок о том, как использовать эту функцию:

 

1. Создайте корневую сеть – большую сеть, и добавьте к ней подсети. Корневая сеть обозначается желтым цветом.

 

Управление IP-адресами (rootnet)

 

IP-адреса внутри выбранной подсети приведены в таблице:

 

2016-01-26 10.43.12 pm

 

 

2. Посредством самого инструмента есть возможность статически определить, для чего используется определенный IP-адрес или когда присваивается IP-адрес клиенту. Он резервируется инструментом управления IP-адресами. Кроме того, при попытке назначить клиенту IP-адрес, который уже используется, система предотвратит это.

 

2016-01-26 10.46.05 pm

 

3. В качестве дополнительной функции также есть возможность отправлять массовый пинг к устройствам выбранной сети, разделять сети на небольшие подсети или слить маленькую сеть с большой. Есть возможность предоставить состояние сети в виде графической карты с иконками для быстрого получения информации. Все красные значки означают, что IP-адрес не отвечает на массовую отправку пинг запросов.

2016-01-26 10.43.28 pm

Более подробное описание управления IP-адресами можно найти в нашей видео-инструкции

Вы также можете настроить цвета и типы устройств, а также добавлять новые типы оборудования. На скриншоте и пример того, как визуализировать небольшие сети / 29/28 и т.д. в одном общую / 24 сеть.

IPAM customization

Во-вторых видео-учебник показывает, как настроить модуль управления IP-адрес и добавить больше цветов к нему: