Настройка AAA, RADIUS, CoA, PPPoE, L2TP на BRAS SmartEdge 100/SmartEdge 600
RFC, протоколы, базовые понятия
Мультисервисный маршрутизатор SmartEdge в полной мере поддерживает протоколы RADIUS и CoA для аутентификации, авторизации и аккаунтинга(AAA) широкополосных абонентов и администраторов для управления через протоколы Telnet и SSH.
Список RFC(по состоянию на 18 января 2011г.):
RFC 2058 Remote Authentication Dial In User Service (RADIUS)
RFC 2059 RADIUS Accounting
RFC 2138 Remote Authentication Dial In User Service (RADIUS)
RFC 2139 RADIUS Accounting
RFC 2618 RADIUS Authentication Client MIB
RFC 2620 RADIUS Accounting Client MIB
RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS
RFC 2865 Remote Authentication Dial In User Service (RADIUS)
RFC 2866 RADIUS Accounting
RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support
RFC 2868 RADIUS Attributes for Tunnel Protocol Support
RFC 2869 RADIUS Extensions
RFC 3162 RADIUS and IPv6
RFC 3576 Dynamic Authorization Extensions to Remote Authentication for Dial In User Service (RADIUS)
RFC 4679 DSL Forum Vendor-Specific RADIUS Attributes
RFC 4818 RADIUS Delegated-IPv6-Prefix Attribute
Ограничения
Минимальный интервал, с которым SmartEdge отсылает сообщения Accounting Update(Acct-Interim-Interval) в RADIUS:
для сессии составляет 600 секунд(10 минут),
для сервиса составляет 900 секунд(15 минут).
Максимальный — 604,800 секунд(7 дней).
Количество одновременно обрабатываемых соединений:
XCRP3 (установлен в SE100) – до 150 соединений в секунду
XCRP4 (актуальный RP для SE600/1200) – до 300 соединений в секунду
Количество CoA серверов – до 5(до SEOS 6.4), до 36(после SEOS 6.4) Доступные протоколы аутентификации – PAP, CHAP
(протоколы MS-CHAP, MS-CHAPv2 и другие отсутствуют)
Базовая настройка AAA (для абонентов)
В данном разделе кратко рассмотрим конфигурирование подсистемы AAA(аутентификация, авторизация и аккаунтинг) для абонентов с использованием RADIUS сервера.
Существует 2 режима работы AAA: контекстный и глобальный.
В первом режиме для каждого контекста можно определить свои параметры ААА, во втором режим параметры определяются глобально и задаются в указанном контексте.
Настройка в глобальном режиме
Следующая строчка глобально включает аутентификацию абонентов через RADIUS в контексте local
[local]Redback(config)#aaa global authentication subscriber radius context local
Настройка в режиме контекста
Переключитесь в нужный контекст (для каждого контекста можно задать свои параметры
AAA), для этого наберите в режиме конфигурирования CLI:
[local]Redback(config)#context local
Включите аутентификацию абонентов через RADIUS в контексте:
[local]Redback(config-ctx)#aaa authentication subscriber radius
Включите аккаунтинг абонентов через RADIUS в контексте:
[local]Redback(config-ctx)#aaa accounting subscriber radius
Пример:
[local]Redback(config)#aaa global authentication subscriber radius context local
[local]Redback(config)#context local
[local]Redback(config-ctx)#aaa authentication subscriber radius
[local]Redback(config-ctx)#aaa accounting subscriber radius
[local]Redback(config-ctx)#commit
Базовая настройка RADIUS
Переключитесь в нужный контекст(для каждого контекста можно задать свой набор RADIUS
серверов), для этого наберите в режиме конфигурирования CLI:
[local]Redback(config)#context local
Задайте адрес RADIUS сервера для аутентификации(порт по умолчанию – 1812) и секретный ключ
[local]Redback(config-ctx)#radius server 10.43.32.56 key Secret
Задайте адрес RADIUS сервера для аккаунтинга(порт по умолчанию - 1813) и секретный ключ
[local]Redback(config-ctx)#radius accounting server 33.44.55.66 key Secret
Задайте параметр max-entries – количество попыток обращения к RADIUS серверу
[local]Redback(config-ctx)#radius max-retries 5
Задайте параметр timeout – время в течение которого SmartEdge будет ждать ответ от
RADIUS сервера при каждой попытке соединения
[local]Redback(config-ctx)#radius timeout 30
Создайте новый интерфейс, задайте адрес, на котором будет являться адресом NAS для биллинга:
[local]Redback(config-ctx)#interface mgmt loopback
[local]Redback(config-if)#ip address 11.200.1.1/32
Важная строка, говорит о том что с этого адреса SmartEdge будет обращаться в биллинг:
[local]Redback(config-if)#ip source-address radius
Пример:
[local]Redback#config
[local]Redback(config)#context local
[local]Redback(config-ctx)#radius server 10.43.32.56 key Secret
[local]Redback(config-ctx)#radius max-retries 5
[local]Redback(config-ctx)#radius timeout 30
[local]Redback(config-ctx)#interface mgmt loopback
[local]Redback(config-if)#ip address 11.200.1.1/32
[local]Redback(config-if)#ip source-address radius
[local]Redback(config-if)#commit
Базовая настройка CoA
Переключитесь в нужный контекст(для каждого контекста можно задать свой набор CoA
серверов), для этого наберите в CLI:
[local]Redback(config)#context local
Задайте набор серверов CoA c собственными секретными ключами и портами:
[local]Redback(config-ctx)#radius coa server 1.1.1.1 key coacoa port 3799
[local]Redback(config-ctx)#radius coa server 1.1.1.2 key coacoa port 3800
[local]Redback(config-ctx)#radius coa server 1.1.1.3 key coacoa port 3801
[local]Redback(config-ctx)#radius coa server 1.1.1.4 key coacoa port 3802
[local]Redback(config-ctx)#commit
Пример:
[local]Redback#config
[local]Redback(config)#context local
[local]Redback(config-ctx)#radius coa server 1.1.1.1 key coacoa port 3799
[local]Redback(config-ctx)#radius coa server 1.1.1.2 key coacoa port 3800
[local]Redback(config-ctx)#radius coa server 1.1.1.3 key coacoa port 3801
[local]Redback(config-ctx)#radius coa server 1.1.1.4 key coacoa port 3802
[local]Redback(config-ctx)#commit
Базовая настройка PPPoE
Следующий пример рассматривает конфигурацию, в которой SmartEdge терминируетPPPoE соединения с аутентификацией пользователей через RADIUS сервер. Схема тестового стенда:
Пример конфигурации:
Определяем имя сервиса PPPoE — Internet, разрешаем принимать соединения с любым именем сервиса, определяем DNS серверы для абонентов, задаём MTU 1492 :
!
context local
!
domain isp.ru
domain Internet advertise
!
subscriber default dns primary 8.8.8.8 dns secondary 8.8.4.4 ppp mtu 1492
!
! ** End Context **
В режиме глобальной конфигурации:
!
pppoe service-name accept-all pppoe services marked-domains
!
Определяем статичные интерфейсы и маршрут по умолчанию:
!
context local
!
interface Internet
ip address 10.1.1.1/24!interface mgmtip address 10.2.2.1/24ip source-address radius!!ip route 0.0.0.0/0 10.1.1.2!
Привязываем интерфейс mgmt к интерфейсу управления XCRP:
!
port ethernet 7/1
! XCRP management ports on slot 7 and 8 are configured through 7/1
no shutdown
bind interface mgmt local
!
Включаем карту 4x10GE в 4 слоту:
!
card 10ge-4-port 4
!
Настраиваем второй физический интерфейс 10GE на линейной карте в слоту 4: Инкапсуляция - 802.1q, VLAN = 100, виртуальный интерфейс – Internet, контекст - local
!
port ethernet 4/2 no shutdown encapsulation dot1q dot1q pvc 100
bind interface Internet local
!