DPI система СКАТ в качестве L3 BRAS

Что такое BRAS и зачем он нужен

BRAS (Broadband Remote Access Server) – сервер широкополосного удаленного доступа, т.е. устройство, которое предоставляет абонентам доступ к сервисам оператора связи (интернет, ip-телефония, ip-телевидение) с использованием одного подключения и одной учетной записи. С помощью BRAS можно глобально определять и применять параметры для маркировки и транзита приоритетного трафика, особенно если используется технология глубокого анализа (DPI). Также BRAS может решать еще одну важную задачу — назначение параметров качества обслуживания (QoS), поскольку оператору связи необходимо обеспечить корректную и безотказную работу предоставляемых услуг.

Основные задачи, которые решает BRAS в сети оператора связи:

• Авторизация абонентов;
• Назначение правил доступа (полисинг);
• Учет и фильтрация трафика;
• Обслуживание в соответствии с параметрами качества предоставления услуги (QoS);
• Перенаправление пользователей в Captive Portal (блокировка).

BRAS не может работать самостоятельно без Radius-сервера, который предоставляет соответствие логина пользователя его IP-адресу, на который СКАТ применяет политики (тарифный план и дополнительные услуги).

Существует несколько типов терминации абонентов услуг широкополосного доступа. Рассмотрим наиболее распространенные:

• PPPoE (Point-to-point Protocol over Ethernet) – одна из самых распространенных схем, будет реализована в СКАТ в 2017 году;
• IPoE (DHCP) в связке с opt.82 в настоящее время используется все чаще и чаще, но требует настройки конечного оборудования; поддерживается СКАТ с версии 6.0 благодаря авторизация IPoE сессий на Radius;
• Q-in-Q – терминация по «двойному тегу», наиболее безопасная, так как каждое конечное устройство находится в выделенном VLAN, чем гарантируется изоляция подписчиком между собой; поддерживается СКАТ с версии 6.0.

Место СКАТ L3 BRAS в сети оператора

В сети оператора СКАТ с функцией BRAS устанавливается по референсной схеме «в разрыв», но с дополнительными элементами, такими как СКАТ PCRF (осуществляет решения по применению политик обслуживания абонентов), Radius-сервер и Биллинг-сервер.

PCRF (Policy Control and Charging Rules Function) – это функциональный элемент в 3GPP сетях связи (подробнее мы про это рассказывали) который осуществляет решения по применению политик обслуживания абонентов, например, разрешение/запрещение сервисов или установление параметров QoS (качества обслуживания). Также PCRF устанавливает правила тарификации в зависимости от различных условий, таких как: параметры абонентского профиля, время суток, местоположение абонента, объём потребленного трафика и других.

PCEF (Policy and Charging Enforcement Function) – функциональный элемент в 3GPP сетях связи, который осуществляет применение PCC-правил, полученных от PCRF, к проходящему через него трафику.

Сервер PCRF может быть установлен на отдельном устройстве и управлять несколькими PCEF, либо входить в состав системы DPI СКАТ. Сервис fdpi_pcrf фактически выполняет роль BRAS для fastdpi: для исходящего клиентского трафика fdpi_pcrf запрашивает у Radius-сервера авторизацию клиента, его профиль полисинга (аналог тарифного плана) и профили по услугам. Для обеспечения отказоустойчивости возможна реализация схемы резервирования master-slave.

Сервер fdpi_pcrf тесно интегрирован с fastdpi (СКАТ) и состоит из трех частей:

• Модуль авторизации в fastdpi, анализирующий исходящий трафик локальных клиентов; если клиент не авторизован, то модуль шлет TCP-запрос на сервер fdpi_pcrf;
• Сервер fdpi_pcrf, принимающий запросы на авторизацию от fastdpi по внутреннему протоколу и соответствующим образом их обрабатывающий;
• Управляющий модуль fastdpi, принимающий результаты работы fdpi_pcrf по протоколу fdpi_ctrl и запоминающий их в UDR (базе данных клиентов).

Рассмотрим схему взаимодействия этих элементов:

• Fdpi_pcrf принимает запросы на авторизацию от Fastdpi-серверов (1) и передает их внутреннему Radius-клиенту (2).
• Radius-клиент формирует Access-Request PDU и передает его активному Radius-серверу (3).
• Получив ответ (4), Radius-клиент разбирает его и направляет (5) внутреннему клиенту fdpi_ctl (процесс, который конвертирует команды от Radius-сервера в формат, понятный СКАТ), который, в свою очередь, запоминает его во внутреннем файловом FIFO-буфере и рассылает (6) всем fastdpi-серверам по протоколу fdpi_ctrl.
• Также fdpi_pcrf реализует спецификацию RFC 5176 – Change of Authorization (CoA): получая (7) от Radius-серверов нотификации об изменении статуса авторизации (Disconnect-Request и CoA-Request), fdpi_pcrf через внутренний fdpi_ctl (8) рассылает всем fastdpi-серверам измененный статус клиента (6).

Конфигурирование функции L3 BRAS

Для начала использования функции BRAS необходимо провести минимальную настройку СКАТ:

1. Создать услуги и профайлы на СКАТ.
2. Настроить запросы авторизации на Radius сервере (Vendor Specific атрибут).
3. Настроить ответы авторизации на Radius сервере (Vendor Specific атрибут).
4. Настроить функции CoA на Radius сервере (Vendor Specific атрибут).

Access-Request RADIUS-запроса – параметры, которые ждет СКАТ от Radius-сервера

Основными данными, помимо собственно факта авторизован или нет пользователь, которые необходимы fdpi_pcrf в ответ на Access-Request, являются:

• Профиль полисинга пользователя (они уже созданы и настроены на СКАТ, передается только их название, а не содержимое);
• Профили пользователя по услугам fastdpi;
• Какие услуги подключены пользователю;
• Тип пользователя: сколько IP-адресов связано с пользователем, один или много.

Ответы на Radius-запросы

• Radius Access-Accept (с передачей всех необходимых параметров);
• Radius Access-Reject (профиль полисинга, Captive Portal, настраиваются профили по умолчанию) – в случае, когда пользователю запрещен доступ в интернет, но доступны другие функции.

Radius CoA – запрос на изменение параметров

• CoA-Request — в настоящий момент реализована только передача изменений – дельта параметров), если потребуется, то можно реализовать передачу полного профиля – аналог Radius Access-Accept;
• CoA-Request — для неавторизованного пользователя (для пользователя, оплатившего услугу);
• Disconnect-Request.

Для того чтобы реализовать на СКАТ функцию L3 BRAS необходима лицензия Complete.

Примеры использования СКАТ с функцией BRAS

• Выполнение требований законодательства: Блокировки (по спискам Роскомнадзора и собственным), СОРМ-3 (завершена разработка и начинается тестовая эксплуатация);
• Идентификация абонента в Wi-Fi-сети – для операторов, предоставляющих доступ в интернет в публичных Wi-Fi сетях;
• Управление доступом абонента при нулевом балансе – для того чтобы он смог перейти на страницу платежной системы и пополнить баланс;
• Коммуникация с абонентом через браузер, проведение опросов по уровню обслуживания – экономия на других видах оповещений (СМС, звонки), получение обратной связи от абонента.
• Сегментирование абонентской базы, проведение маркетинговых кампаний – в графическом интерфейсе можно увидеть статистику по посещаемым пользователем URL.
• Управление общей полосой канала – контроль «полки», в рамках каждого абонента – тарифные планы, QoS – для контроля общей загрузки канала, в том числе с несколькими UPLINK;
• Анализ трафика в сети: поиск перепродажи интернета – получение аналитических данных об использовании сети позволяет выявить факты перепродажи.

Более подробную информацию о функции СКАТ L3 BRAS вы можете узнать у специалистов компании ВАС Экспертс, а также попробовать ее в действии на тестовом стенде.