Alex's Blog

В этой статье я вкратце расскажу вам о том, как правильно организовать управление абонентами с помощью SSG на Cisco 7206.

Фактически Cisco 7206 с IOS 12.2SR является полнофункциональным BRAS и SSG (Subscriber Service Gateway), на котором мы можем тонко управлять обслуживанием абонентов, используя функции SSG.

Итак, поставленная задача:

1.  Организовать доступ абонентов, приходящих на Q-in-Q VLAN'ах,  к сети по протоколу PPPoE.
2.  Организовать авторизацию доступа абонентов по протоколу CHAP, используя для авторизации сервер RADIUS.
3.  Организовать возможность управления скоростью пропускания трафика для каждого абонента, причем:
3а. Скорость доступа в Internet должна жестко ограничиваться заданным параметром (для каждого абонента в отдельности).
3б. Скорость доступа между абонентами, а также к заданным сетям и ресурсам, должна иметь общее для всех и достаточно высокое ограничение ("локальная" скорость).
4. Организовать возможность независимого отключения каждого конкретного абонента, причем при этом должна сохраняться возможность доступа к отдельным ресурсам (к примеру - сайту и личному кабинету).
5. Организовать возможность учета внешнего трафика абонентов средствами RADIUS, причем трафик пункта 3б ("локальный трафик") учитываться не должен.

Если вас заинтересовало решение поставленной задачи, то читайте далее.

...

Начинаем действовать

Нам потребуются:

• Cisco 7206 NPE-G2 (в принципе, любая Cisco 7200 серии должна подойти) с IOS 12.2SR.
• Готовый к работе Linux-сервер (я строил все на CentOS 5)
• Дистрибутивы FreeRadius 2.x и MySQL 5.x (первое я собирал из исходников, второе - ставил из RPM от разработчиков MySQL)
• Свежая голова и прямые руки (или холодильник и плоскогубцы)

1. Установка и настройка RADIUS

Вначале подготовим наш сервер RADIUS к работе.

Как установить FreeRADIUS c MySQL, я описывать не буду - если уж решились взяться за Cisco 7206 и сервисные службы - значит вполне способны справиться с этой простейшей задачей. Я отмечу только отдельные тонкости установки FreeRADIUS, которые необходимы для корректной работы всей системы.

В словарь FreeRADIUS придется добавить такую строчку:

ATTRIBUTE Client-MAC-Address 3330 string

Она нужна для того, чтобы MAC-адреса клиентов могли корректно записываться в базу данных. Идентификатор (3330) - не важен, этот атрибут определяется по строке в Acct-данных, присылаемой в Cisco-AVPair формате, главное, чтобы он ни с чем не пересекался.

Модуль acct-unique настраиваем следующим образом:

acct_unique {
key = "User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port"
}

В модуле preprocess не забудьте настроить:

with_cisco_vsa_hack = yes

Это позволит нам нормально аккаунтить Cisco VSA пары атрибут-значение.

После того, как FreeRADIUS установлен и основательно настроен, надо связать его с MySQL (или другой базой на ваш вкус, я привожу конфигурацию для MySQL).

Мы будем использовать следующую схему БД MySQL:

--
-- База данных: `radius`
--

-- --------------------------------------------------------

--
-- Структура таблицы `nas`
--

CREATE TABLE `nas` (
`id` int(10) NOT NULL auto_increment,
`nasname` varchar(128) NOT NULL,
`shortname` varchar(32) default NULL,
`type` varchar(30) default 'other',
`ports` int(5) default NULL,
`secret` varchar(60) NOT NULL default 'secret',
`community` varchar(50) default NULL,
`description` varchar(200) default 'RADIUS Client',
PRIMARY KEY (`id`),
KEY `nasname` (`nasname`)
);

-- --------------------------------------------------------

--
-- Структура таблицы `radacct`
--

CREATE TABLE `radacct` (
`RadAcctId` bigint(21) NOT NULL auto_increment,
`AcctSessionId` varchar(32) NOT NULL default '',
`AcctUniqueId` varchar(32) NOT NULL default '',
`UserName` varchar(64) NOT NULL default '',
`Realm` varchar(64) default '',
`NASIPAddress` varchar(15) NOT NULL default '',
`NASPortId` varchar(15) default NULL,
`NASPortType` varchar(32) default NULL,
`AcctStartTime` datetime default '0000-00-00 00:00:00',
`AcctStopTime` datetime default NULL,
`AcctSessionTime` int(12) default NULL,
`AcctAuthentic` varchar(32) default NULL,
`ConnectInfo_start` varchar(50) default NULL,
`ConnectInfo_stop` varchar(50) default NULL,
`AcctInputOctets` bigint(12) default NULL,
`AcctOutputOctets` bigint(12) default NULL,
`CalledStationId` varchar(50) NOT NULL default '',
`CallingStationId` varchar(50) NOT NULL default '',
`AcctTerminateCause` varchar(32) NOT NULL default '',
`ServiceType` varchar(32) default NULL,
`ServiceInfo` varchar(64) NOT NULL default '',
`FramedProtocol` varchar(32) default NULL,
`FramedIPAddress` varchar(15) NOT NULL default '',
`AcctStartDelay` int(12) default NULL,
`AcctStopDelay` int(12) default NULL,
`ClientMACAddress` varchar(24) NOT NULL default '',
PRIMARY KEY (`RadAcctId`),
KEY `UserName` (`UserName`),
KEY `FramedIPAddress` (`FramedIPAddress`),
KEY `AcctSessionId` (`AcctSessionId`),
KEY `AcctUniqueId` (`AcctUniqueId`),
KEY `AcctStopTime` (`AcctStopTime`),
KEY `NASIPAddress` (`NASIPAddress`),
KEY `AcctStartTime_2` (`AcctStartTime`,`AcctStopTime`),
KEY `summary_index` (`UserName`,`ServiceInfo`(8),`AcctStartTime`,`AcctStopTime`,`AcctInputOctets`,`AcctOutputOctets`,`AcctSessionTime`)
);

-- --------------------------------------------------------

--
-- Структура таблицы `radcheck`
--

CREATE TABLE `radcheck` (
`id` int(11) unsigned NOT NULL auto_increment,
`UserName` varchar(64) NOT NULL default '',
`Attribute` varchar(32) NOT NULL default '',
`op` char(2) NOT NULL default '==',
`Value` varchar(253) NOT NULL default '',
PRIMARY KEY (`id`),
KEY `UserName` (`UserName`(32)),
KEY `UserAttr` (`UserName`,`Attribute`)
);

-- --------------------------------------------------------

--
-- Структура таблицы `radgroupcheck`
--

CREATE TABLE `radgroupcheck` (
`id` int(11) unsigned NOT NULL auto_increment,
`GroupName` varchar(64) NOT NULL default '',
`Attribute` varchar(32) NOT NULL default '',
`op` char(2) NOT NULL default '==',
`Value` varchar(253) NOT NULL default '',
PRIMARY KEY (`id`),
KEY `GroupName` (`GroupName`(32))
);

-- --------------------------------------------------------

--
-- Структура таблицы `radgroupreply`
--

CREATE TABLE `radgroupreply` (
`id` int(11) unsigned NOT NULL auto_increment,
`GroupName` varchar(64) NOT NULL default '',
`Attribute` varchar(32) NOT NULL default '',
`op` char(2) NOT NULL default '=',
`Value` varchar(253) NOT NULL default '',
PRIMARY KEY (`id`),
KEY `GroupName` (`GroupName`(32))
);

-- --------------------------------------------------------

--
-- Структура таблицы `radpostauth`
--

CREATE TABLE `radpostauth` (
`id` int(11) NOT NULL auto_increment,
`user` varchar(64) NOT NULL default '',
`pass` varchar(64) NOT NULL default '',
`reply` varchar(32) NOT NULL default '',
`reply_message` varchar(255) NOT NULL,
`date` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP,
PRIMARY KEY (`id`)
);

-- --------------------------------------------------------

--
-- Структура таблицы `radreply`
--

CREATE TABLE `radreply` (
`id` int(11) unsigned NOT NULL auto_increment,
`UserName` varchar(64) NOT NULL default '',
`Attribute` varchar(32) NOT NULL default '',
`op` char(2) NOT NULL default '=',
`Value` varchar(253) NOT NULL default '',
PRIMARY KEY (`id`),
KEY `UserName` (`UserName`(32))
);

-- --------------------------------------------------------

--
-- Структура таблицы `usergroup`
--

CREATE TABLE `usergroup` (
`UserName` varchar(64) NOT NULL default '',
`GroupName` varchar(64) NOT NULL default '',
`priority` int(11) NOT NULL default '1',
KEY `GroupName` (`GroupName`),
KEY `UserGroup` (`UserName`,`GroupName`),
KEY `UserName` (`UserName`,`priority`)
);

Не будем обсуждать здесь выбор конкретных значений и оптимальность базы - если вас что-то не устраивает - вы всегда можете поменять все, что захотите. В моем случае именно такая структура базы оказалась субоптимальной, хотя поле для деятельности, конечно же, еще имеется.

Для работы с этой схемой нам потребуется файл-описатель модуля sql для FreeRADIUS . И вот тут-то кроется самое интересное.

Дело в том, что FreeRADIUS по умолчанию не соблюдает разумный порядок атрибутов, назначенных абоненту. По уму, хотелось бы видеть сначала атрибуты всех групп, назначенных абоненту, и только после - атрибуты самого абонента (чтобы можно было там оверрайдить что-нибудь из групп). Алгоритмы работы с группами в FreeRADIUS нам этого не позволяют.

Поэтому придется извращаться. Не волнуйтесь, данное извращение ни капельки не ухудшает (а может быть - даже улучшает) производительность, зато дает нам некоторую предсказуемость порядка возвращаемых атрибутов.

sql sql_bras {
database = "mysql"
driver = "rlm_sql_${database}"
server = "localhost"
port = 3306
login = "сюда вставляем логин к БД"
password = "сюда вставляем пароль к БД" 
radius_db = "сюда вставляем имя БД"

acct_table1 = "radacct"
acct_table2 = "radacct"

postauth_table = "radpostauth"

authcheck_table = "radcheck"
authreply_table = "radreply"

groupcheck_table = "radgroupcheck"
groupreply_table = "radgroupreply"

usergroup_table = "usergroup"

deletestalesessions = yes

sqltrace = no

num_sql_socks = 8
connect_failure_retry_delay = 15
lifetime = 3600
max_queries = 1024

nas_table = "nas"

sql_user_name = "%{User-Name}"

nas_query = "SELECT `id`, `nasname`, `shortname`, `type`, `secret` FROM `${nas_table}`"

authorize_check_query = "( \
SELECT 1 , '%{SQL-User-Name}', `rgc`.`Attribute` , `rgc`.`Value` , `rgc`.`op` \
FROM `${usergroup_table}` AS `ug` \
INNER JOIN `${groupcheck_table}` AS `rgc` ON `rgc`.`GroupName` = `ug`.`GroupName` \
WHERE `ug`.`UserName` = '%{SQL-User-Name}' \
ORDER BY `ug`.`priority` ASC \
) \
UNION \
( \
SELECT 1 , `rc`.`UserName` , `rc`.`Attribute` , `rc`.`Value` , `rc`.`op` \
FROM `${authcheck_table}` AS `rc` \
WHERE `rc`.`UserName` = '%{SQL-User-Name}' \
)"

authorize_reply_query = "( \
SELECT 1 , '%{SQL-User-Name}', `rgc`.`Attribute` , `rgc`.`Value` , `rgc`.`op` \
FROM `${usergroup_table}` AS `ug` \
INNER JOIN `${groupreply_table}` AS `rgc` ON `rgc`.`GroupName` = `ug`.`GroupName` \
WHERE `ug`.`UserName` = '%{SQL-User-Name}' \
ORDER BY `ug`.`priority` ASC \
) \
UNION \
( \
SELECT 1 , `rc`.`UserName` , `rc`.`Attribute` , `rc`.`Value` , `rc`.`op` \
FROM `${authreply_table}` AS `rc` \
WHERE `rc`.`UserName` = '%{SQL-User-Name}' \
)"

accounting_onoff_query = "\
UPDATE `${acct_table1}` \
SET \
`AcctStopTime` = '%S', \
`AcctSessionTime` = unix_timestamp('%S') - unix_timestamp(`AcctStartTime`), \
`AcctTerminateCause` = '%{Acct-Terminate-Cause}', \
`AcctStopDelay` = %{%{Acct-Delay-Time}:-0} \
WHERE `AcctStopTime` IS NULL \
AND `NasIPAddress` = '%{NAS-IP-Address}' \
AND `AcctStartTime` <= '%S'"

accounting_update_query = " \
UPDATE `${acct_table1}` \
SET \
`FramedIPAddress` = '%{Framed-IP-Address}', \
`ClientMACAddress` = '%{Client-MAC-Address}', \
`AcctSessionTime` = '%{Acct-Session-Time}', \
`AcctInputOctets` = '%{%{Acct-Input-Gigawords}:-0}' << 32 | '%{%{Acct-Input-Octets}:-0}', \
`AcctOutputOctets` = '%{%{Acct-Output-Gigawords}:-0}' << 32 | '%{%{Acct-Output-Octets}:-0}' \
WHERE `AcctSessionId` = '%{Acct-Session-Id}' \
AND `UserName` = '%{SQL-User-Name}' \
AND `NasIPAddress` = '%{NAS-IP-Address}'"

accounting_update_query_alt = " \
INSERT INTO `${acct_table1}` \
(`AcctSessionId`, `AcctUniqueId`, `UserName`, \
`Realm`, `NASIPAddress`, `NASPortId`, \
`NASPorttype`, `AcctStartTime`, `AcctSessionTime`, \
`AcctAuthentic`, `ConnectInfo_Start`, `AcctInputOctets`, \
`AcctOutputOctets`, `CalledStationId`, `CallingStationId`, \
`ServiceType`, `FramedProtocol`, `FramedIPAddress`, \
`AcctStartDelay`, `ServiceInfo`, `ClientMACAddress`) \
VALUES \
('%{Acct-Session-Id}', '%{Acct-Unique-Session-Id}', \
'%{SQL-User-Name}', \
'%{Realm}', '%{NAS-IP-Address}', '%{NAS-Port}', \
'%{NAS-Port-Type}', \
DATE_SUB('%S', \
INTERVAL (%{%{Acct-Session-Time}:-0} + \
%{%{Acct-Delay-Time}:-0}) SECOND), \
'%{Acct-Session-Time}', \
'%{Acct-Authentic}', '', \
'%{%{Acct-Input-Gigawords}:-0}' << 32 | \
'%{%{Acct-Input-Octets}:-0}', \
'%{%{Acct-Output-Gigawords}:-0}' << 32 | \
'%{%{Acct-Output-Octets}:-0}', \
'%{Called-Station-Id}', '%{Calling-Station-Id}', \
'%{Service-Type}', '%{Framed-Protocol}', \
'%{Framed-IP-Address}', \
'0', SUBSTRING('%{Cisco-Service-Info}', 2)), \
'%{Client-MAC-Address}'"

accounting_start_query = " \
INSERT INTO `${acct_table1}` \
(`AcctSessionId`, `AcctUniqueId`, `UserName`, \
`Realm`, `NASIPAddress`, `NASPortId`, \
`NASPortType`, `AcctStartTime`, `AcctStopTime`, \
`AcctSessionTime`, `AcctAuthentic`, `ConnectInfo_Start`, \
`ConnectInfo_Stop`, `AcctInputOctets`, `AcctOutputOctets`, \
`CalledStationId`, `CallingStationId`, `AcctTerminateCause`, \
`ServiceType`, `FramedProtocol`, `FramedIPAddress`, \
`AcctStartDelay`, `AcctStopDelay`, `ClientMACAddress`, \
`ServiceInfo`) \
VALUES \
('%{Acct-Session-Id}', '%{Acct-Unique-Session-Id}', \
'%{SQL-User-Name}', \
'%{Realm}', '%{NAS-IP-Address}', '%{NAS-Port}', \
'%{NAS-Port-Type}', '%S', NULL, \
'0', '%{Acct-Authentic}', '%{Connect-Info}', \
'', '0', '0', \
'%{Called-Station-Id}', '%{Calling-Station-Id}', '', \
'%{Service-Type}', '%{Framed-Protocol}', '%{Framed-IP-Address}', \
'%{%{Acct-Delay-Time}:-0}', '0', '%{Client-MAC-Address}', \
SUBSTRING('%{Cisco-Service-Info}', 2))"

accounting_start_query_alt = " \
UPDATE `${acct_table1}` SET \
`AcctStartTime` = '%S', \
`AcctStartDelay` = '%{%{Acct-Delay-Time}:-0}', \
`ConnectInfo_Start` = '%{Connect-Info}', \
`FramedIPAddress` = '%{Framed-IP-Address}' \
`ClientMACAddress` = '%{Client-MAC-Address}' \
WHERE `AcctSessionId` = '%{Acct-Session-Id}' \
AND `UserName` = '%{SQL-User-Name}' \
AND `NASIPAddress` = '%{NAS-IP-Address}'"

accounting_stop_query = " \
UPDATE `${acct_table2}` SET \
`AcctStopTime` = '%S', \
`AcctSessionTime` = '%{Acct-Session-Time}', \
`AcctInputOctets` = '%{%{Acct-Input-Gigawords}:-0}' << 32 | '%{%{Acct-Input-Octets}:-0}', \
`AcctOutputOctets` = '%{%{Acct-Output-Gigawords}:-0}' << 32 | '%{%{Acct-Output-Octets}:-0}', \
`AcctTerminateCause` = '%{Acct-Terminate-Cause}', \
`AcctStopDelay` = '%{%{Acct-Delay-Time}:-0}', \
`ConnectInfo_Stop` = '%{Connect-Info}', \
`FramedIPAddress` = '%{Framed-IP-Address}' \
WHERE `AcctSessionId` = '%{Acct-Session-Id}' \
AND `UserName` = '%{SQL-User-Name}' \
AND `NASIPAddress` = '%{NAS-IP-Address}'"

accounting_stop_query_alt = " \
INSERT INTO `${acct_table2}` \
(`AcctSessionId`, `AcctUniqueId`, `UserName`, \
`Realm`, `NASIPAddress`, `NASPortId`, \
`NASPortType`, `AcctStartTime`, `AcctStopTime`, \
`AcctSessionTime`, `AcctAuthentic`, `ConnectInfo_Start`, \
`ConnectInfo_Stop`, `AcctInputOctets`, `AcctOutputOctets`, \
`CalledStationId`, `CallingStationId`, `AcctTerminateCause`, \
`ServiceType`, `FramedProtocol`, `FramedIPAddress`, \
`AcctStartDelay`, `AcctStopDelay`, `ServiceInfo`) \
VALUES \
('%{Acct-Session-Id}', '%{Acct-Unique-Session-Id}', \
'%{SQL-User-Name}', \
'%{Realm}', '%{NAS-IP-Address}', '%{NAS-Port}', \
'%{NAS-Port-Type}', \
DATE_SUB('%S', \
INTERVAL (%{%{Acct-Session-Time}:-0} + \
%{%{Acct-Delay-Time}:-0}) SECOND), \
'%S', '%{Acct-Session-Time}', '%{Acct-Authentic}', '', \
'%{Connect-Info}', \
'%{%{Acct-Input-Gigawords}:-0}' << 32 | \
'%{%{Acct-Input-Octets}:-0}', \
'%{%{Acct-Output-Gigawords}:-0}' << 32 | \
'%{%{Acct-Output-Octets}:-0}', \
'%{Called-Station-Id}', '%{Calling-Station-Id}', \
'%{Acct-Terminate-Cause}', \
'%{Service-Type}', '%{Framed-Protocol}', '%{Framed-IP-Address}', \
'0', '%{%{Acct-Delay-Time}:-0}', \
SUBSTRING('%{Cisco-Service-Info}', 2))"

simul_count_query = "SELECT COUNT(*) \
FROM `${acct_table1}` \
WHERE `UserName` = '%{SQL-User-Name}' \
AND `AcctStopTime` IS NULL"

simul_verify_query = "SELECT `RadAcctId`, `AcctSessionId`, `UserName`, \
`NASIPAddress`, `NASPortId`, `FramedIPAddress`, \
`CallingStationId`, `FramedProtocol` \
FROM `${acct_table1}` \
WHERE `UserName` = '%{SQL-User-Name}' \
AND `AcctStopTime` IS NULL"

postauth_query = "INSERT INTO ${postauth_table} \
(`user`, `pass`, `reply`, `reply_message`, `date`) \
VALUES ( \
'%{User-Name}', \
'%{%{User-Password}:-%{Chap-Password}}', \
'%{reply:Packet-Type}', '%{reply:Reply-Message}', NOW())"

Хитрые UNION'ы в начале как раз и нужны для "эмуляции" групп.

После того, как FreeRADIUS у вас заработает (radtest вам в руки ) - пора перейти к настройке Cisco. Если вы готовы - читаем следующую часть.