Настройка Accel-IPoE устарелОписаниемодули AccelдолжникиIPoE — примеры

словарь accel

Так же после установки accel-ipoe
необходимо открыть файл словаря самого accel
как правило он тут

/usr/local/share/accel-ppp/radius/dictionary

и добавить строки ниже в самый конец файла

ATTRIBUTE DHCP-Router-IP-Address 241 ipaddr
ATTRIBUTE DHCP-Mask              242 integer
ATTRIBUTE L4-Redirect      243 integer
ATTRIBUTE L4-Redirect-ipset      244 string
ATTRIBUTE DHCP-Option82          245 octets
ATTRIBUTE AccelRemoteId 246 octets
ATTRIBUTE AccelCircuitId 247 octets

Обязательно это же добавить в файл dictionary на вашем сервере с mikbill

Для Работы нужно расширить словари freeradius

Словарь находится в разных ОС по разным местам
ниже варианты нахождения файла словаря

/usr/share/freeradius/dictionary
/usr/local/share/freeradius/dictionary

В конце файла рекомендуем добавить пустую строку

После операции выше перезапустите radiusd

L4-Redirect

Если включена системная опция «слать L4-Redirect» то пир ответе для должников, заблокирован интернет и т д будет послан данный атрибут

L4-Redirect

По которому модуль ipoe может выполнить дополнительные действия
например часть из конфига

l4-redirect-ipset=l4

Т е в ipset 14 будет добавлена запись с IP абонента

l4-redirect-table=100

В таблицу маршрутизации номер 100 будет добавлен маршрут на IP абонента

IPoE — примеры

ниже примеры настроек модулей
не забываем включить протокол accel
Это делается 1 раз при установке accel-ppp

echo "100     accel/ipoe"  >> /etc/iproute2/rt_protos

В примере указаны 100% обязательные настройки, остальные по желанию

IPoE (mac)

режим работы аналогичный mikrotik hotspot или LinuxIGS

Поиск абонента идет по указанному в абоненте mac-адресу
IP выдается согласно указаному абоненту сегменту
шлюз и маска берутся из свойств сегмента
dns, wins согласно настройкам accel
Если указано «выдать реальник» то выдается внешний ip
Хотя никто не мешает сделать 1 сегмент на внешних, другой на серых и т д

username=lua:username
lua-file=/etc/accel-ppp.lua
lease-time=300
max-lease-time=300
attr-dhcp-client-ip=Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-l4-redirect=L4-Redirect
shared=1
ifcfg=1
mode=L2
start=dhcpv4
proto=100
interface=re:eth1.101

файл /etc/accel-ppp.lua

function username(pkt)
return pkt:hdr('chaddr')
end

IPoE (L3)

Поиск абонента идет по указанному в абоненте IP-адресу
IP выдается согласно указаному абоненту сегменту
шлюз и маска берутся из свойств сегмента
dns, wins согласно настройкам accel
Если указано «выдать реальник» то выдается внешний ip
Хотя никто не мешает сделать 1 сегмент на внешних, другой на серых и т д

username=ifname
lease-time=300
max-lease-time=300
attr-dhcp-client-ip=Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-l4-redirect=L4-Redirect
shared=1
ifcfg=1
mode=L3
start=dhcpv4
proto=100
interface=re:eth1.101

Unnumbered

Выполняет мониторинг вланов на eth1 начиная с 101 до 464
принцип работы
1 влан = 1 абонент
Поиск абонента идет по указанному в абоненте устройству и порту
IP выдается согласно указаному абоненту сегменту
шлюз и маска берутся из свойств сегмента
dns, wins согласно настройкам accel
Если указано «выдать реальник» то выдается внешний ip
Хотя никто не мешает сделать 1 сегмент на внешних, другой на серых и т д

Пример настройки устройства BDCOM для пассивной оптики
В конфиге устройства занесено так чтобы на каждую онушку давался свой разный влан от 101 до 464
Тип устройства

Само устройство (модуль 1)

Добавляем пары влан=порт

Итого результат

таким образом можно делать и с меньшим или с большим кол-вом портов.
ну и никто вас не ограничивает кол-вом устройств.

После этого мы просто указываем абоненту модуль 1 и порт и все система всегда его авторизует и занесет в логи его мак.
Пример

username=ifname
lease-time=300
max-lease-time=300
attr-dhcp-client-ip=Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-l4-redirect=L4-Redirect
shared=0
proxy-arp=0
proto=100
vlan-mon=eth1,101-464
vlan-timeout=600
vlan-name=%I.%N
interface=re:eth1\.

QinQ

Тут все так же как и в прошлом модуле за исключением одной детали которая указана ниже

В настройках устройства нужно указать номер тега QinQ

Все остальные настройки в mikbill аналогичны Unnumbered.
Пример

username=ifname
lease-time=300
max-lease-time=300
attr-dhcp-client-ip=Framed-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
attr-l4-redirect=L4-Redirect
shared=0
proxy-arp=0
proto=100
vlan-mon=re:eth1\.2,101-464
vlan-timeout=600
vlan-name=%I.%N
interface=re:eth1\.2.

Т е слушается qinq 2000-2999 и vlan 100-464 на eth1

ВНИМАНИЕ QinQ интерефейсы необходимо создать на сервере вручную.
Например vconfig add eth1 2000
Т е теперь accel будет слушать по qinq 2000

В qinq вланы должны иметь вид ethX.2000.101 где ethX — физический интерфейс, 2000 — номер тега QINQ, 101 номер клиентского влана

Итоги

Еще можно в рамках одного accel-ppp
Сделать все три режима настройки
Т е разными свойствами interface и vlan-mon обеспечить одновременную работу всех режимов и на каждом interface будет свой режим.
Например на одном NAS нам понадобилось

1 часть вланов были в авторизации по mac и там было в каждом влан много абонентов

2 Другая часть вланов была unnumbered

vlan-mon=eth1,101-464
vlan-timeout=600
vlan-name=%I.%N
interface=re:eth1\.,shared=0,mode=L2
interdace=re:eth2.100,shared=1,mode=L2

Системные Опции

Указываем непосредственные свойства для Accel-ipoe:

параметр значение
Выдать IP локальный Включает или отключает выдачу IP через Framed-IP-Address , выдается IP из карточки абонента «локальный IP»
Выдать IP выданный Включает или отключает выдачу IP согласно услуге «внешний IP» выдается IP из карточки абонента «выданный IP», при условии что стоит галочка его выдать. использовать только совместно с опцией «Выдать IP локальный» или «Включить IP Pool в Accel»
Выдавать именной пул включает функцию отправки Framed-Pool имени из параметра «Пул». Для обычных абонентов.
Включить IP Pool в Accel Можно использовать совместно с «Выдать IP выданный» , тогда абоненты будут получать IP в «пулинге», кроме тех кому выдадите статику . Т е режим работы по выдаче IP как у Билайна

Варианты использования опций выше:

  1. Не включать ни одной галочки — это значит что у вас режим start=up
  2. Включено только «Выдавать именной пул» — у вас используется пулы внутри конфига accel
  3. «Выдать IP локальный»+»Выдать IP выданный» — используете выдачу IP из локальная сеть и выданный IP, указанных в микбилл
  4. «Включить IP Pool в Accel»+»Выдать IP выданный» — используете выдачу IP из микбилл , всем выдаются ip в ротации + указанным абонентам фиксированные
  5. Так же можно не использовать «Выдать IP выданный» в указанных вариантах выше
Включить Pool должников Включает режим выдачи IP из пула должников, настройка ниже
Выдать именной пул должников включает функцию отправки Framed-Pool имени из параметра «Пул должников». Для должников.
Слать L4-Redirect Шлет тег attr-l4-redirect=L4-Redirect в случае если абонент не прошел авторизацию.
Длинна маски для пула без денег Указать длину маски для пула без денег, в примере в пул должников занесли 192.168.0.0/20 и длинна маски тут 20
шлюз для пула без денег
длинна маски для справочника реальных ip Это необходимо для выдачи постоянных внешних ip согласно услуге «статические реальные ip» в рамках работы в модуле accel-ipoe нужно понимать что например если у нас блок /21 а мы выдаем абонентам всего лишь часть в статику , то эта маска должна включать в себя параметр ниже «шлюз для справочника реальных ip» т е например у нас сеть 195.2.204.0/20 мы на услугу «статические реальные ip» выделили 195.2.205.240/28 а шлюз для всех клиентов в рамках accel используем 195.2.204.14 — тогда получается указать маску надо 20 хотя и блок в услуге намного короче
шлюз для справочника реальных ip читать длинна маски для справочника реальных ip
таймаут сессии должников Убран за ненадобностью
Пул имя пула которое шлется в Accel при включенной опции «Выдавать именной пул» текст на английском — имя пула в Accel параметром Framed-Pool
Пул должников имя пула которое шлется в Accel при включенной опции «Выдать именной пул должников» текст на английском — имя пула в Accel параметром Framed-Pool

Делаем Ваш интернет лучше новая технология IPOE

Откажемся от старого! (сетевой протокол PPTP)
Знакома ли Вам ситуация, когда вдруг интернет становится крайне медленным или пропадает совсем? Как правило, в подавляющем большинстве случаев, виновником в данной ситуации оказывается роутер абонента. Одна из частых причин, например, дополнительная нагрузка на слабый процессор роутера, которую создает VPN-соединение.
А еще бывает так, купили Вы новый компьютер, роутер, игровую приставку или смарт-телевизор, и для того чтобы оборудование заработало, его необходимо настроить. Не имея специальных знаний, решить эту задачу крайне сложно. Даже после правильной настройки Вам необходимо позвонить в службу техподдержки для регистрации нового оборудования в сети.
Эти и еще несколько весомых ограничений несет сетевой протокол PPTP. Несмотря ни на что, у нас есть решение данной задачи!Новая технология для Вас! (технология IPOE)
Пожалуй, отбросим все технические термины и расскажем об основных преимуществах современной технологии IPOE, которые Вы скоро получите.
— IPOE позволяет уменьшить нагрузку на роутер, что увеличивает его пропускную способность. В первую очередь, это заметят владельцы старых, низкопроизводительных роутеров, например, широко распространенных DIR-300.
— Отпадает необходимость в настройке нового роутера или компьютера. Достаточно просто воткнуть Ethernet-кабель и можно пользоваться интернетом.
— Автоматическая авторизация в сети. Это очень удобно, не надо вводить логин и пароль. Особенно это оценят пользователи старшего возраста, не надо запоминать авторизационные данные, а также делать лишние клики для подключения к интернету.
— Уменьшение отклика, это большой плюс для пользователей, играющих в онлайн игры. Отклик, это время прохождения сигнала от вашего компьютера до игрового сервера и чем он меньше, тем лучше.
— Возможность подключения к интернету любого устройства напрямую (игровые консоли, медиаплееры, телевизоры и т.д.). Данная возможность будет интересна пользователям, привыкшим использовать возможности современной электроники на все 100%.Немного технических данных.
Почему же старый роутер начнет работать быстрее, после перевода на IPOE?
Здесь все заключается в разных подходах обработки и передачи данных. Если совсем упростить, то можно выделить наиболее важные моменты.
— Уменьшается количество служебного трафика, т.е. заголовок каждого передаваемого пакета в IPOE меньше, чем в технологии PPTP. А это уже уменьшает нагрузку на оборудование пользователя.
— В IPOE обработка полученных пакетов происходит за счет аппаратных ресурсов абонентского оборудования. В PPTP обработка данных происходит программно, что влечет за собой повышенную нагрузку на и без того слабый процессор устаревшего роутера.

Реализация доступа к абонентской сети с использованием технологии IPoE

Технология доступа в Интернет IPoE

Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов -они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE.

IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего, в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка — IP-трафик поверх Ethernet, грубо говоря, обычная локальная сеть. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS, или выделения VLAN на каждого абонента (так называемый Client-VLAN).

Собственно IPoE это более простой способ предоставления доступа к сети. Пользователю собственно ничего дополнительного настраивать для получения доступа к Интернету не нужно. Достаточно поставить получение настроек автоматом, используя протокол DHCP, и тогда сеть абонента вместе с Интернет, будут работать, причем, не требуя прописывания дополнительных маршрутов для локальных ресурсов .

На рисунке 3.3 — представлена реализация абонентского доступа с использованием технологии IPoE

Рисунок 3.3 — Реализация абонентского доступа с использованием технологии IPoE

Возникающие сложности и методы их разрешения при конфигурировании IPoE

Client-VLAN

При использовании технологии Client-VLAN возникает проблема экономии IP-адресов. Так как каждому клиенту надо выделять /30 подсеть. Решение данной задачи можно выполнить следующим образом:

ip route add unreachable 192.0.2.0/24

ip addr add 192.0.2.1/32 dev lo

vconfig add eth0 101

ip link set eth0.101 up

ip route add 192.0.2.101/32 dev eth0.101 src 192.0.2.1

Подсеть 192.0.2.0/24 рекомендована IANA для использования в примерах.

Это классический Cisco ip unnumbered в Linux реализации. IP шлюза (192.0.2.1) вешается на loopback-интерфейс, делается unreachable для всей подсети, чтобы пакеты доставлялись только на хосты, для которых прописана маршрутизация. Далее настраивается VLAN и прописывается маршрутизация на конкретный хост (маска /32) с src шлюза. А можно сделать немного иначе (это лишний раз демонстрирует гибкость Linux):

ip route add unreachable 192.0.2.0/24

vconfig add eth0 101

ip link set eth0.101 up

ip addr add 192.0.2.1/32 dev eth0.101

ip route add 192.0.2.101/32 dev eth0.101

Или так:

ip route add unreachable 192.0.2.0/24

vconfig add eth0 101

ip link set eth0.101 up

ip addr add 192.0.2.1/24 dev eth0.101

ip route del 192.0.2.0/24 dev eth0.101

ip route add 192.0.2.101/32 dev eth0.101

Все эти варианты работают, можно выбрать тот, при котором интерфейсы отображаются наиболее удобным образом. Во всех случаях IP абонента — 192.0.2.101/24.

Технология proxy_arp

Еще одна проблема, с которой вы можете столкнуться — нет связи между абонентами в разных VLAN и с IP из одной подсети. Действительно, система абонента видит, что IP-адрес назначения в одной подсети с ней, и шлет ARP-запросы, чтобы определить MAC, но из этого ничего не выходит, т.к. они в разных VLAN. Для решения этой проблемы служит технология proxy_arp. Суть ее в том, что маршрутизатор при получении ARP-запросов с интерфейса будет проверять, есть ли у него запрашиваемый IP на других интерфейсах. Если есть, то в ответ на ARP-запрос выдаст свой MAC. Таким образом, пакеты будут отправляться на маршрутизатор, который позаботится об их доставке. Включается proxy_arp для конкретного интерфейса следующим образом:

sysctl net.ipv4.conf.eth0/101.proxy_arp=1 или

echo 1 > /proc/sys/net/ipv4/conf/eth0.101/proxy_arp

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector