Spravujte celou svou síť! Mikrotik API + Radius server ve Splynxu

V současnosti softwarový framework Splynx pro ISP zahrnuje dvě důležité oblasti správy sítí ISP – AAA a omezení rychlosti či fronty.

1. AAA. 

Z anglického authentication, authorization and accounting pochází ověření, autorizace a účtování provozu zákazníků v síti ISP. Splynx má vlastní stabilní a škálovatelný server Radius, který pomáhá při správě připojení, hotspotů, přesměrování, blokování neplatících uživatelů a přístupu správců do zařízení.

2. Omezení rychlosti a fronty (mikrotik queue). 

Mikrotik RouterOS má chytrý systém stromů front, které lze používat pro soutěžení, přístup založený na omezení rychlosti nebo času.
Když však máte statisíce zákazníků, musíte vytvořit a dodržovat mnoho různých pravidel – jedno pravidlo na jednoho zákazníka + nastavení nadřízených front pro sdílení pásma!  

Všechny fronty Mikrotiku lze ze Splynxu spravovat centrálně. Je také možné pomocí API nahrát místní pravidla ověřování, např. přidělování IP adres s DHCP, uživatelé PPPoE, rozhraní firewallu nebo Wireless Access List (bezdrátový přístupový seznam). Ověřování lze zkombinovat se serverem Radius. Splynx podporuje současně API serveru Radius i Mikrotiku.

Poskytujeme způsob, jak rozlišit, kde se bude ověřovat a kde je třeba nastavit fronty. To je bohatě využíváno v bezdrátové síti ISP, protože ověřování se dělá v přístupovém bodě (AP), které je nejblíže zákazníkovi, ale fronty se vytváří v centrálním bodě nebo několika centrálních bodech. Další důležitou funkcí je schopnost mít stejná pravidla pro fronty na různých routerech v režimu zrcadlení.

Představme si situaci, kdy ověřujeme uživatele v každém AP s DHCP serveru Radius a vytváříme na internetu fronty na svém hlavním umístění. Poté však získáme druhou přípojku odchozího signálu v jiném umístění. V takovém případě je zjevně potřeba, aby byly fronty také v druhém umístění přípojky odchozího signálu, protože zákazníci mohou být přesměrováni na oba z těchto routerů podle stavu interního směrovacího protokolu. To je zobrazeno na následujícím příkladu:

API-example

Splynx má pro takové nastavení routerů Mikrotiku řešení. Jak bylo popsáno výše, Splynx dokáže ověřovat uživatele na jednom routeru, vytvářet fronty na druhém a zrcadlit je do třetího. Toho dosahuje díky interní infrastruktuře flexibilního a stabilního frameworku API.

V následujícím video-manuálu jsou popsány pokročilé funkce a nastavení API MikroTiku a serveru Radius v softwarovém frameworku Splynx.

Splynx a pppoe na Ubiquiti Edge routerech

Routery UBNT EdgeRouter mohou fungovat jako server PPPoE s ověřováním CPE a poskytovat statistiky, blokovat koncové uživatele, nastavovat omezení rychlosti a pravidla FUP.

Rozdělíme to na součásti:

1. Konfigurace serveru EdgeRouter pppoe s podporou serveru Radius
2. Konfigurace serveru EdgeRouter pppoe pro příchozí pakety Radius
3. Přidání routeru EdgeRouter ke Splynxu
4. Připojení zákazníka s PPPoE a kontrola správné funkce
5. Instalace dalších užitečných nástrojů do routeru Edgerouter

1. Konfigurace serveru EdgeRouter pppoe s podporou serveru Radius

Prvním krokem je upgrade systému na verzi 1.5 a vyšší, protože podpora atributů Radius byla k EdgeOS připojena v této verzi. Zde je popsána verze EdgeOS v1.8.5.
Upgrade lze provést v CLI s příkazy:

add system image http://dl.ubnt.com/...
add system image new-version-1085.tar

Ve druhém kroku je třeba definovat IP adresu pro komunikaci mezi serverem Radius a routerem EdgeRouter.
Zde je to 10.0.1.166, nastavte to jako hlavní IP routeru EdgeRouter s příkazem (v konfiguračním režimu):

set system ip override-hostname-ip 10.0.1.166

Poté se nastaví server PPPoE s povinným nastavením:

edit service pppoe-server
set authentication mode radius
set authentication radius-server 10.10.10.65 key 12345
set client-ip-pool start 10.5.50.2
set client-ip-pool stop 10.5.50.200
set interface eth2

Konfiguraci Radius lze provést také v prohlížeči:

Edge_Radius

2. Konfigurace serveru EdgeRouter PPPoE pro příchozí pakety

Toto je důležitou součástí, protože slouží ke změnám plánů, odpojování zákazníků a uplatňování pravidel FUP. Ve všech těchto případech posílá Radius Splynxu pakety do routeru EdgeRouter.
Nastavený port je 3779 od UBNT. Zpracování příchozího paketu se provede příkazem na EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

Poté se router restartuje.

Po obdržení logu se pro ladění používá soubor pppoe-radius-disconnect.log:

tail /var/log/pppoe-radius-disconnect.log

Příklad výstupu po obdržení paketu disconnect systémem EdgeOS:

tail

3. Přidání a nastavení routeru EdgeRouter ve Splynxu

Přidejte router do Splynxu pomocí příkazu Networking -> Routers a zvolte NAS Type Ubiquiti.

U1

Konfiguraci typu NAS (v Config -> Networking -> Radius) můžete přiřadit další atributy.
Ve výchozím nastavení jsou pro tunely PPPoE nastaveny atributy omezení rychlosti serveru Radius.

U2

4. Připojení zákazníka s PPPoE a kontrola

Zde lze připojit uživatele PPPoE k routeru EdgeRouter a zkontrolovat správnost funkce.
Pomocí příkazu show pppoe-server lze zjistit, kolik uživatelů je připojeno k serveru pppoe.

Show_pppoe

Ve Splynxu lze vidět, zda je zákazník online a získat jeho statistiky.

Online

Po kliknutí na tlačítko odpojení zmizí zákazník z online seznamu a opět se připojí po přihlášení, což znamená, že router EdgeRouter přijal příchozí paket ze serveru Radius pro systém Splynx.

5. Instalace dalších užitečných nástrojů do routeru Edgerouter

Klientské tunely PPPoE jsou tvořeny dynamicky a nezobrazují se na webovém řídicím panelu. Je třeba získávat statistiky průchodnosti, což lze jednoduše instalací softwaru bwm-ng. Ten je umístěn v úložišti Debian, což znamená, že je třeba nejdříve přidat nová úložiště a poté bwm-ng nainstalovat.
Přidání nových repozitářu :

configure
set system package repository wheezy components 'main contrib non-free'
set system package repository wheezy distribution wheezy
set system package repository wheezy url http://http.us.debian.org/debian
set system package repository wheezy-security components main
set system package repository wheezy-security distribution wheezy/updates
set system package repository wheezy-security url http://security.debian.org
commit
save
exit

Poté se nástroj nainstaluje

apt-get install bwm-ng

Nyní lze pro získání aktuální průchodnosti v Kbps klientů s pppoe zprovoznit bwm-ng -u bits.
Následující obrázek ukazuje příklad výstupu bwm-ng:

BWM-NG

Nyní je možné nakonfigurovat server Radius pro systém Splynx s routerem UBNT EdgeRouter a využívat rychlého routeru s výkonem milion paketů za sekundu v kompaktním a cenově příznivém provedení!

Pokud narazíte na jakékoliv potíže, podívejte se do našeho fóra – https://splynx.com/forums/ nebo pošlete nám tiket – https://splynx.com/my-tickets/