Настройка Accel-IPoE устарелОписаниемодули AccelдолжникиIPoE — примеры
Содержание:
словарь accel
Так же после установки accel-ipoe
необходимо открыть файл словаря самого accel
как правило он тут
/usr/local/share/accel-ppp/radius/dictionary
и добавить строки ниже в самый конец файла
ATTRIBUTE DHCP-Router-IP-Address 241 ipaddr ATTRIBUTE DHCP-Mask 242 integer ATTRIBUTE L4-Redirect 243 integer ATTRIBUTE L4-Redirect-ipset 244 string ATTRIBUTE DHCP-Option82 245 octets ATTRIBUTE AccelRemoteId 246 octets ATTRIBUTE AccelCircuitId 247 octets
Обязательно это же добавить в файл dictionary на вашем сервере с mikbill
Для Работы нужно расширить словари freeradius
Словарь находится в разных ОС по разным местам
ниже варианты нахождения файла словаря
/usr/share/freeradius/dictionary /usr/local/share/freeradius/dictionary
В конце файла рекомендуем добавить пустую строку
После операции выше перезапустите radiusd
L4-Redirect
Если включена системная опция «слать L4-Redirect» то пир ответе для должников, заблокирован интернет и т д будет послан данный атрибут
L4-Redirect
По которому модуль ipoe может выполнить дополнительные действия
например часть из конфига
l4-redirect-ipset=l4
Т е в ipset 14 будет добавлена запись с IP абонента
l4-redirect-table=100
В таблицу маршрутизации номер 100 будет добавлен маршрут на IP абонента
IPoE — примеры
ниже примеры настроек модулей
не забываем включить протокол accel
Это делается 1 раз при установке accel-ppp
echo "100 accel/ipoe" >> /etc/iproute2/rt_protos
В примере указаны 100% обязательные настройки, остальные по желанию
IPoE (mac)
режим работы аналогичный mikrotik hotspot или LinuxIGS
Поиск абонента идет по указанному в абоненте mac-адресу
IP выдается согласно указаному абоненту сегменту
шлюз и маска берутся из свойств сегмента
dns, wins согласно настройкам accel
Если указано «выдать реальник» то выдается внешний ip
Хотя никто не мешает сделать 1 сегмент на внешних, другой на серых и т д
username=lua:username lua-file=/etc/accel-ppp.lua lease-time=300 max-lease-time=300 attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=DHCP-Mask attr-l4-redirect=L4-Redirect shared=1 ifcfg=1 mode=L2 start=dhcpv4 proto=100 interface=re:eth1.101
файл /etc/accel-ppp.lua
function username(pkt)
return pkt:hdr('chaddr')
end
IPoE (L3)
Поиск абонента идет по указанному в абоненте IP-адресу
IP выдается согласно указаному абоненту сегменту
шлюз и маска берутся из свойств сегмента
dns, wins согласно настройкам accel
Если указано «выдать реальник» то выдается внешний ip
Хотя никто не мешает сделать 1 сегмент на внешних, другой на серых и т д
username=ifname lease-time=300 max-lease-time=300 attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=DHCP-Mask attr-l4-redirect=L4-Redirect shared=1 ifcfg=1 mode=L3 start=dhcpv4 proto=100 interface=re:eth1.101
Unnumbered
Выполняет мониторинг вланов на eth1 начиная с 101 до 464
принцип работы
1 влан = 1 абонент
Поиск абонента идет по указанному в абоненте устройству и порту
IP выдается согласно указаному абоненту сегменту
шлюз и маска берутся из свойств сегмента
dns, wins согласно настройкам accel
Если указано «выдать реальник» то выдается внешний ip
Хотя никто не мешает сделать 1 сегмент на внешних, другой на серых и т д
Пример настройки устройства BDCOM для пассивной оптики
В конфиге устройства занесено так чтобы на каждую онушку давался свой разный влан от 101 до 464
Тип устройства
Само устройство (модуль 1)
Добавляем пары влан=порт
Итого результат
таким образом можно делать и с меньшим или с большим кол-вом портов.
ну и никто вас не ограничивает кол-вом устройств.
После этого мы просто указываем абоненту модуль 1 и порт и все система всегда его авторизует и занесет в логи его мак.
Пример
username=ifname lease-time=300 max-lease-time=300 attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=DHCP-Mask attr-l4-redirect=L4-Redirect shared=0 proxy-arp=0 proto=100 vlan-mon=eth1,101-464 vlan-timeout=600 vlan-name=%I.%N interface=re:eth1\.
QinQ
Тут все так же как и в прошлом модуле за исключением одной детали которая указана ниже
В настройках устройства нужно указать номер тега QinQ
Все остальные настройки в mikbill аналогичны Unnumbered.
Пример
username=ifname lease-time=300 max-lease-time=300 attr-dhcp-client-ip=Framed-IP-Address attr-dhcp-router-ip=DHCP-Router-IP-Address attr-dhcp-mask=DHCP-Mask attr-l4-redirect=L4-Redirect shared=0 proxy-arp=0 proto=100 vlan-mon=re:eth1\.2,101-464 vlan-timeout=600 vlan-name=%I.%N interface=re:eth1\.2.
Т е слушается qinq 2000-2999 и vlan 100-464 на eth1
ВНИМАНИЕ QinQ интерефейсы необходимо создать на сервере вручную.
Например vconfig add eth1 2000
Т е теперь accel будет слушать по qinq 2000
В qinq вланы должны иметь вид ethX.2000.101 где ethX — физический интерфейс, 2000 — номер тега QINQ, 101 номер клиентского влана
Итоги
Еще можно в рамках одного accel-ppp
Сделать все три режима настройки
Т е разными свойствами interface и vlan-mon обеспечить одновременную работу всех режимов и на каждом interface будет свой режим.
Например на одном NAS нам понадобилось
1 часть вланов были в авторизации по mac и там было в каждом влан много абонентов
2 Другая часть вланов была unnumbered
vlan-mon=eth1,101-464 vlan-timeout=600 vlan-name=%I.%N interface=re:eth1\.,shared=0,mode=L2 interdace=re:eth2.100,shared=1,mode=L2
Системные Опции
Указываем непосредственные свойства для Accel-ipoe:
| параметр | значение |
| Выдать IP локальный | Включает или отключает выдачу IP через Framed-IP-Address , выдается IP из карточки абонента «локальный IP» |
| Выдать IP выданный | Включает или отключает выдачу IP согласно услуге «внешний IP» выдается IP из карточки абонента «выданный IP», при условии что стоит галочка его выдать. использовать только совместно с опцией «Выдать IP локальный» или «Включить IP Pool в Accel» |
| Выдавать именной пул | включает функцию отправки Framed-Pool имени из параметра «Пул». Для обычных абонентов. |
| Включить IP Pool в Accel | Можно использовать совместно с «Выдать IP выданный» , тогда абоненты будут получать IP в «пулинге», кроме тех кому выдадите статику . Т е режим работы по выдаче IP как у Билайна |
Варианты использования опций выше:
- Не включать ни одной галочки — это значит что у вас режим start=up
- Включено только «Выдавать именной пул» — у вас используется пулы внутри конфига accel
- «Выдать IP локальный»+»Выдать IP выданный» — используете выдачу IP из локальная сеть и выданный IP, указанных в микбилл
- «Включить IP Pool в Accel»+»Выдать IP выданный» — используете выдачу IP из микбилл , всем выдаются ip в ротации + указанным абонентам фиксированные
- Так же можно не использовать «Выдать IP выданный» в указанных вариантах выше
| Включить Pool должников | Включает режим выдачи IP из пула должников, настройка ниже |
| Выдать именной пул должников | включает функцию отправки Framed-Pool имени из параметра «Пул должников». Для должников. |
| Слать L4-Redirect | Шлет тег attr-l4-redirect=L4-Redirect в случае если абонент не прошел авторизацию. |
| Длинна маски для пула без денег | Указать длину маски для пула без денег, в примере в пул должников занесли 192.168.0.0/20 и длинна маски тут 20 |
| шлюз для пула без денег | |
| длинна маски для справочника реальных ip | Это необходимо для выдачи постоянных внешних ip согласно услуге «статические реальные ip» в рамках работы в модуле accel-ipoe нужно понимать что например если у нас блок /21 а мы выдаем абонентам всего лишь часть в статику , то эта маска должна включать в себя параметр ниже «шлюз для справочника реальных ip» т е например у нас сеть 195.2.204.0/20 мы на услугу «статические реальные ip» выделили 195.2.205.240/28 а шлюз для всех клиентов в рамках accel используем 195.2.204.14 — тогда получается указать маску надо 20 хотя и блок в услуге намного короче |
| шлюз для справочника реальных ip | читать длинна маски для справочника реальных ip |
| таймаут сессии должников | Убран за ненадобностью |
| Пул | имя пула которое шлется в Accel при включенной опции «Выдавать именной пул» текст на английском — имя пула в Accel параметром Framed-Pool |
| Пул должников | имя пула которое шлется в Accel при включенной опции «Выдать именной пул должников» текст на английском — имя пула в Accel параметром Framed-Pool |
Делаем Ваш интернет лучше новая технология IPOE
Откажемся от старого! (сетевой протокол PPTP)
Знакома ли Вам ситуация, когда вдруг интернет становится крайне медленным или пропадает совсем? Как правило, в подавляющем большинстве случаев, виновником в данной ситуации оказывается роутер абонента. Одна из частых причин, например, дополнительная нагрузка на слабый процессор роутера, которую создает VPN-соединение.
А еще бывает так, купили Вы новый компьютер, роутер, игровую приставку или смарт-телевизор, и для того чтобы оборудование заработало, его необходимо настроить. Не имея специальных знаний, решить эту задачу крайне сложно. Даже после правильной настройки Вам необходимо позвонить в службу техподдержки для регистрации нового оборудования в сети.
Эти и еще несколько весомых ограничений несет сетевой протокол PPTP. Несмотря ни на что, у нас есть решение данной задачи!
Новая технология для Вас! (технология IPOE)
Пожалуй, отбросим все технические термины и расскажем об основных преимуществах современной технологии IPOE, которые Вы скоро получите.
— IPOE позволяет уменьшить нагрузку на роутер, что увеличивает его пропускную способность. В первую очередь, это заметят владельцы старых, низкопроизводительных роутеров, например, широко распространенных DIR-300.
— Отпадает необходимость в настройке нового роутера или компьютера. Достаточно просто воткнуть Ethernet-кабель и можно пользоваться интернетом.
— Автоматическая авторизация в сети. Это очень удобно, не надо вводить логин и пароль. Особенно это оценят пользователи старшего возраста, не надо запоминать авторизационные данные, а также делать лишние клики для подключения к интернету.
— Уменьшение отклика, это большой плюс для пользователей, играющих в онлайн игры. Отклик, это время прохождения сигнала от вашего компьютера до игрового сервера и чем он меньше, тем лучше.
— Возможность подключения к интернету любого устройства напрямую (игровые консоли, медиаплееры, телевизоры и т.д.). Данная возможность будет интересна пользователям, привыкшим использовать возможности современной электроники на все 100%.
Немного технических данных.
Почему же старый роутер начнет работать быстрее, после перевода на IPOE?
Здесь все заключается в разных подходах обработки и передачи данных. Если совсем упростить, то можно выделить наиболее важные моменты.
— Уменьшается количество служебного трафика, т.е. заголовок каждого передаваемого пакета в IPOE меньше, чем в технологии PPTP. А это уже уменьшает нагрузку на оборудование пользователя.
— В IPOE обработка полученных пакетов происходит за счет аппаратных ресурсов абонентского оборудования. В PPTP обработка данных происходит программно, что влечет за собой повышенную нагрузку на и без того слабый процессор устаревшего роутера.
Реализация доступа к абонентской сети с использованием технологии IPoE
Технология доступа в Интернет IPoE
Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов -они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE.
IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего, в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка — IP-трафик поверх Ethernet, грубо говоря, обычная локальная сеть. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS, или выделения VLAN на каждого абонента (так называемый Client-VLAN).
Собственно IPoE это более простой способ предоставления доступа к сети. Пользователю собственно ничего дополнительного настраивать для получения доступа к Интернету не нужно. Достаточно поставить получение настроек автоматом, используя протокол DHCP, и тогда сеть абонента вместе с Интернет, будут работать, причем, не требуя прописывания дополнительных маршрутов для локальных ресурсов .
На рисунке 3.3 — представлена реализация абонентского доступа с использованием технологии IPoE
Рисунок 3.3 — Реализация абонентского доступа с использованием технологии IPoE
Возникающие сложности и методы их разрешения при конфигурировании IPoE
Client-VLAN
При использовании технологии Client-VLAN возникает проблема экономии IP-адресов. Так как каждому клиенту надо выделять /30 подсеть. Решение данной задачи можно выполнить следующим образом:
ip route add unreachable 192.0.2.0/24
ip addr add 192.0.2.1/32 dev lo
vconfig add eth0 101
ip link set eth0.101 up
ip route add 192.0.2.101/32 dev eth0.101 src 192.0.2.1
Подсеть 192.0.2.0/24 рекомендована IANA для использования в примерах.
Это классический Cisco ip unnumbered в Linux реализации. IP шлюза (192.0.2.1) вешается на loopback-интерфейс, делается unreachable для всей подсети, чтобы пакеты доставлялись только на хосты, для которых прописана маршрутизация. Далее настраивается VLAN и прописывается маршрутизация на конкретный хост (маска /32) с src шлюза. А можно сделать немного иначе (это лишний раз демонстрирует гибкость Linux):
ip route add unreachable 192.0.2.0/24
vconfig add eth0 101
ip link set eth0.101 up
ip addr add 192.0.2.1/32 dev eth0.101
ip route add 192.0.2.101/32 dev eth0.101
Или так:
ip route add unreachable 192.0.2.0/24
vconfig add eth0 101
ip link set eth0.101 up
ip addr add 192.0.2.1/24 dev eth0.101
ip route del 192.0.2.0/24 dev eth0.101
ip route add 192.0.2.101/32 dev eth0.101
Все эти варианты работают, можно выбрать тот, при котором интерфейсы отображаются наиболее удобным образом. Во всех случаях IP абонента — 192.0.2.101/24.
Технология proxy_arp
Еще одна проблема, с которой вы можете столкнуться — нет связи между абонентами в разных VLAN и с IP из одной подсети. Действительно, система абонента видит, что IP-адрес назначения в одной подсети с ней, и шлет ARP-запросы, чтобы определить MAC, но из этого ничего не выходит, т.к. они в разных VLAN. Для решения этой проблемы служит технология proxy_arp. Суть ее в том, что маршрутизатор при получении ARP-запросов с интерфейса будет проверять, есть ли у него запрашиваемый IP на других интерфейсах. Если есть, то в ответ на ARP-запрос выдаст свой MAC. Таким образом, пакеты будут отправляться на маршрутизатор, который позаботится об их доставке. Включается proxy_arp для конкретного интерфейса следующим образом:
sysctl net.ipv4.conf.eth0/101.proxy_arp=1 или
echo 1 > /proc/sys/net/ipv4/conf/eth0.101/proxy_arp
