Локальная авторизация
Под авторизацией подразумевается конфигурация для абонентов определённых сервисов (с какой скоростью осуществляется передача данных для абонента в разных направлениях). Существует возможность использования локально сконфигурированного сервиса, а также полученного через удалённый RADIUS-сервер. Приведённые ниже сведения относятся как к абонентам IPoE, так и PPPoE.
Для настройки скорости доступа для профиля (IPoE/PPPoE) необходимо создать subscriber-service. Созданный subscriber-service может быть привязан к PPPoE-профилю или к картам абонентов IPoE вручную или получен с RADIUS-сервера:
ecorouter(config)#subscriber-service ?
SUBSCRIBER_SERVICE Subscriber service nameДля subscriber-service следует назначить subscriber-policy.
ecorouter(config-sub-service)#set ?
policy Set policy
ecorouter(config-sub-service)#set policy ?
SUBSCRIBER_POLICY_NAME Subscriber policy name
<cr>В subscriber-policy указывается скорость абонента для upstream и downstream-пакетов в kbps и применяется filter-map policy (также для upstream и downstream):
ecorouter(config)#`subscriber-policy <NAME>`
ecorouter(config-sub-policy)#bandwidth ?
in Upstream packets
out Downstream packets
ecorouter(config-sub-policy)#bandwidth in
kbps Bandwidth value in kbps
ecorouter(config-sub-policy)#bandwidth in kbps ?
<64-10000000> Kbits per second
ecorouter(config-sub-policy)#set filter-map ?
in Upstream packets
out Downstream packets
ecorouter(config-sub-policy)#set filter-map in ?
FILTER_MAP_POLICY_IPV4 Filter map name
ecorouter(config-sub-policy)#set filter-map inВ filter-map policy указывается параметр, по которому к абонентам будут применяться настройки.
ecorouter(config)#filter-map policy ipv4 ?
FILTER_MAP_POLICY_IPV4 Filter map name
ecorouter(config)#`filter-map policy ipv4 <NAME> ?`
<0-65535> Sequence number
<cr>
ecorouter(config)#filter-map policy ipv4 `<NAME>` 10
Например:
filter-map policy ipv4 `<NAME>` 10
match any any any
set acceptПосле настройки subscriber-service можно вручную задать его применение в PPPoE-профиле и карте абонентов IPoE:
ecorouter(config-pppoe)#set subscriber-service ?
SUBSCRIBER_SERVICE Specify subscriber service nameНиже приведён пример полной настройки для PPPoE.
- Настройка
filter-map policy.
ecorouter(config)#filter-map policy ipv4 50kk 10
ecorouter(config-filter-map-policy-ipv4)#match any any any
ecorouter(config-filter-map-policy-ipv4)#set accept- Настройка
subscriber-policy.
ecorouter(config)#subscriber-policy 50kk
ecorouter(config-sub-policy)#bandwidth in kbps 500032
ecorouter(config-sub-policy)#bandwidth out kbps 500032
ecorouter(config-sub-policy)#set filter-map in 50kk
ecorouter(config-sub-policy)#set filter-map out 50kk- Настройка
subscriber-service.
ecorouter(config)#subscriber-service 50kk
ecorouter(config-sub-service)#set policy 50kk4.1 Задание subscriber-service.
Применение subscriber-service вручную к ppppoe-profile:
ecorouter(config)#pppoe-profile 0
ecorouter(config-pppoe)#set subscriber-service 50kk4.2 В случае применения сервиса с RADIUS-сервера на нем необходимо задать атрибут.
- После установки соединения состояние сервиса можно посмотреть командой
show subscribers <interface bmi> <ip addr>.
5.1 В случае задания subscriber-service вручную после названия сервиса будет добавлено “(L)”, что означает “local”.
ecorouter#show subscribers bmi.0 192.168.10.2
...
service: 50kk(L)
...5.2 В случае получения subscriber-service от RADIUS-сервера после названия сервиса будет добавлено “(R)”, что означает “remote aaa”.
ecorouter#show subscribers bmi.0 192.168.10.2
...
service: 50kk(R)
…Локальная авторизация для IPoE-абонентов конфигурируется аналогичным образом, установкой нужного subscriber-service в последовательности subscriber-map. По умолчанию авторизация через RADIUS имеет наибольший приоритет, ключевое слово strict в команде set subscriber-service <NAME> позволяет сделать локальную авторизацию приоритетной.
Отсутствие сервиса в карте абонента
Если в одной из последовательностей карты абонента отсутствует правило set, то в этой последовательности все абоненты, попавшие под правило match (отсутствие правила match соответствует всем IP-адресам), попадают под неявное правило DROP. Весь трафик от этих абонентов блокируется, а сервис считается недействительным. Время жизни для таких сессий устанавливается 5 мин, то есть, сессия будет удалена автоматически из глобальной таблицы абонентов через 5 мин.