Функции BRAS L2 для VLAN / Q-in-Q-сетей
СКАТ DPI с функцией BRAS L2 позволяет реализовать следующие функции:
- DHCP RELAY AGENT – мониторинг DHCP-запросов от клиентов, немедленная авторизация клиента по Radius-протоколу в случае успешного ответа DHCP-сервера.
- ARP PROXY – мониторинг ARP-запросов из локальной сети, блокирование ARP-запросов из WAN.
- IP SOURCE GUARD (антиспуффинг) – проверка, что LAN-пакет принадлежит той же самой VLAN, из которой была DHCP-регистрация. Если принадлежность не подтверждается, то пакет отбрасывается.
- ЗАМЫКАНИЕ локального трафика (обмен внутрисетевым трафиком между абонентами).
- ТЕРМИНАЦИЯ ТРАФИКА из LAN в WAN.
Так как BRAS L2 работает на канальном уровне, для идентификации абонентов он оперирует не только IP-адресами пользователей, но также их MAC-адресами и номерами VLAN / Q-in-Q-сетей. Это позволяет фильтровать неправомерные запросы, благодаря чему повышается уровень безопасности локальной сети. Идентификация в Q-in-Q-сети более предпочтительна, так как позволяет определить конкретного пользователя вне зависимости от его железа (как в случае с MAC-адресом) и не группу, как в случае с VLAN-заголовком.
Функция BRAS L2 применяется только в режиме «в линию». Если пакет из локальной сети отбрасывается или должен вернуться обратно в сеть, то распознавания содержимого пакета (payload) и идентификации не происходит.
BRAS L2 в режиме «в линию»
Активация BRAS L2
Для активации функции BRAS необходимо внести изменения в конфигурационный файл fastdpi.conf:
- bras_enable=1 – активируем BRAS.
- bras_arp_ip – задаем для BRAS произвольный IPv4-адрес, который должен быть не связан с интерфейсами и не сопоставлен ни с кем из пользователей.
- bras_arp_mac – задаем для BRAS’а MAC-адрес (XX:XX:XX:XX:XX:XX), адрес должен быть уникальным, может быть фейковым, но рекомендуется выбрать реальный MAC-адрес одной из dna-карт.
- udr=1 – активируем UDR (user data repository – внутреннюю базу данных свойств пользователей).
Пример конфигурации:
udr=1 bras_enable=1 bras_arp_ip=192.168.1.255 bras_arp_mac=a0:00:b1:01:4e:cc
Сессия пользователя
Чтобы начать сессию, необходимо получить ответ DHCPACK DHCP-сервера на запрос клиента DHCPREQUEST/DHCPINFORM, откуда модуль fastDPI BRAS извлекает и записывает в UDR информацию:
- MAC-адрес пользователя;
- IP-адрес пользователя;
- идентификаторы VLAN / Q-in-Q пользователя.
Последующая аутентификация любого пакета пользователя и терминация/оригинация трафика осуществляются с использованием этих сведений.
Сессия пользователя может быть в одном из трех состояний:
- Активна – получен положительный ответ DHCPACK на запрос IP-адреса DHCPREQUEST.
- Закрыта – получен запрос DHCPRELEASE/DHCPDECLINE освобождения IP-адреса.
- Неизвестна – через fastDPI не прошел запрос лизинга IP-адреса. Сессии находятся в этом состоянии при рестарте fastDPI.
DHCP RELAY AGENT и DHCP RADIUS PROXY
Для мониторинга начала/конца сессий пользователей FastDPI BRAS отслеживает DHCP-запросы от оборудования пользователей. Возможны два взаимоисключающих режима мониторинга, которые задаются конфигурационным параметром bras_dhcp_mode файла fastdpi.conf:
- bras_dhcp_mode=1 – в этом режиме fastDPI работает как DHCP Relay Agent;
- bras_dhcp_mode=2 – в этом режиме fastDPI работает фактически как DHCP-сервер, запрашивая IP-адрес и прочие параметры у Radius-сервера через fastPCRF.
При работе с DHCP-сервером, вынесенным в отдельный сегмент сети, FastDPI BRAS выступает в роли агента передачи (DHCP RELAY AGENT) DHCP-запросов от оборудования пользователей к DHCP-серверам и обратного потока – ответов DHCP-серверов к оборудованию пользователей. Это позволяет осуществлять мониторинг начала и конца сессий пользователей.
Адреса DHCP-серверов задаются в fastdpi.conf параметром bras_dhcp_server, и каждый DHCP-сервер (до 16) описывается отдельным параметром:
bras_dhcp_server=host%dev:port{;name=val}*
где:
- host – IP-адрес DHCP-сервера;
- dev – имя сетевого интерфейса, с которого производится связь c сервером;
- port – порт (по умолчанию: 68);
- name=val – дополнительные параметры:
reply_port – порт, на котором ждем ответы DHCP-сервера (по умолчанию: 68);
arp_proxy – флаг реагирования на ARP-запросы IP-адреса DHCP-сервера.
Пример конфигурации для двух DHCP-серверов:
bras_dhcp_server=192.168.1.1%eth0;arp_proxy=1 bras_dhcp_server=192.168.1.2%eth0;arp_proxy=1
После успешной установки сессии абонент получает IP-адрес, а fastDPI BRAS немедленно посылает Radius-запрос на авторизацию и получение профиля абонента с информацией о тарифном плане, дополнительных услугах и другой.
Режим DHCP RADIUS PROXY предназначен для построения сетей без выделенных DHCP-серверов. Вместо DHCP-серверов используется Radius-сервер, а fastDPI в связке с fastPCRF выступает в роли DHCP-сервера. Последовательность обработки запросов выглядит так:
- FastDPI принимает DHCP-запросы от оборудования пользователей и направляет их fastPCRF’у.
- FastPCRF преобразует DHCP-запрос в Radius Access-Request и направляет его Radius-серверу.
- При приеме ответа Access-Accept/Access-Reject fastPCRF преобразует его во внутренний формат и отсылает на fastDPI.
- FastDPI формирует DHCP-ответ и отправляет его пользователю, а также запоминает профили пользователя и набор подключенных услуг.
ARP PROXY
Для включения обработки ARP-запросов необходимо внести изменения в конфигурационный файл fastdpi.conf:
bras_arp_proxy=1
После этого fastDPI BRAS отвечает своим MAC-адресом на следующие ARP-запросы, с какого бы IP-адреса они не приходили:
- Запрос «своего» IP-адреса в случае, если искомый IP равен IP-адресу, заданному в параметре bras_arp_ip.
- Запрос IP-адреса DHCP-сервера, если для DHCP-сервера установлен флаг arp_proxy=1. В этом случае в качестве MAC-адреса возвращается значение параметра bras_arp_mac.
- Запрос для локального IP-адреса, если статус сессии для этого IP-адреса не равен «сессия закрыта», то есть не было явного DHCPRELEASE/DHCPDECLINE.
IP SOURCE GUARD
Дополнительная безопасность в сети обеспечивается за счет контроля соответствия идентификаторов VLAN и IP-адреса абонентов. После выдачи IP-адреса через DHCP, fastDPI BRAS записывает идентификаторы VLAN / Q-in-Q абонента в свою БД UDR и в дальнейшем использует эти данные для контроля соответствия IP-адреса источника пакета и VLAN-тега.
Для включения режима IP source guard необходимо прописать в fastdpi.conf:
bras_ip_source_guard=
- 0 – IP source guard не применяется (disabled) – значение по умолчанию.
- 1 – IP source guard включен и применяется только для активных сессий.
- 2 – strict: IP source guard включен и применяется для активных сессий и сессий в неизвестном состоянии.
IP source guard применяется только для исходящего трафика (из LAN в WAN).
Замыкание локального трафика
FastDPI BRAS может замыкать локальный (внутрисетевой) трафик между пользователями.
Включение этой возможности регулируется конфигурационным файлом fastdpi.conf:
bras_terminate_local=
- 0 – данная возможность отключена – значение по умолчанию;
- 1 – замыкание локального трафика включено.
Замыкание локального трафика работает только если включена функция ARP PROXY для локальных адресов.
BRAS сравнивает MAC-адрес получателя пакета со своим MAC-адресом, задаваемым параметром bras_arp_mac, если эти MAC-адреса совпадают, пакет считается локальным.
Терминация трафика из LAN в WAN
FastDPI BRAS может терминировать исходящий трафик LAN -> WAN и приземлять входящий WAN -> LAN. Терминация – это удаление VLAN-тегов из исходящего пакета, приземление (origination) – это добавление VLAN-тегов, соответствующих IP-адресу получателя.
Включение режима терминации трафика определяется конфигурационным файлом fastdpi.conf:
bras_vlan_terminate=
- 0 – терминация отключена;
- 1 – «честная» терминация – VLAN-теги вырезаются из пакетов;
- 2 – подмена VLAN-тегов;
- 3 – трансформация VLAN-тегов;
В режиме «честной» терминации (bras_vlan_terminate=1) FastDPI BRAS удаляет из исходящих (LAN -> WAN) пакетов все VLAN-теги, а во входящие пакеты (WAN -> LAN) – вставляет VLAN-теги. При приземлении трафика VLAN-теги берутся из свойств IP-адреса получателя (из внутренней БД UDR).
Необходимое копирование содержимого пакета, возникающее при удалении/добавлении VLAN-тегов, может существенно снизить производительность fastDPI.
Поэтому fastDPI BRAS имеет еще один режим терминации трафика – режим обнуления VLAN-тегов (bras_vlan_terminate=2). В этом режиме L2 VLAN-теги остаются в пакете, но их значение заменяется на константу, задаваемую конфигурационным параметром bras_vlan_subst. Предполагается, что за fastDPI BRAS стоит некое оборудование, которое умеет эффективно резать VLAN-теги на исходящем трафике и добавлять VLAN-теги на входящем.
Более подробную информацию о настройке и работе функции BRAS L2 системы анализа трафика СКАТ DPI вы можете получить у специалистов компании VAS Experts, которые готовы помочь разобраться в этом вопросе, а также проконсультировать по другим возможностям платформы.