Функции BRAS L2 для VLAN / Q-in-Q-сетей

8 августа 2017
BRAS
Функции BRAS L2 для VLAN / Q-in-Q-сетей
Развитие функции BRAS началось с версии СКАТ DPI 6.0, в которой была реализована поддержка L3 BRAS для обработки трафика IPoE и применения политик на полученный абонентом от СКАТ DPI IP-адрес. Версия 7.0 расширила возможности BRAS, который теперь работает и на канальном уровне L2 в сетях VLAN и Q-in-Q.

Функции BRAS L2 для VLAN / Q-in-Q-сетей

СКАТ DPI с функцией BRAS L2 позволяет реализовать следующие функции:

  • DHCP RELAY AGENT – мониторинг DHCP-запросов от клиентов, немедленная авторизация клиента по Radius-протоколу в случае успешного ответа DHCP-сервера.
  • ARP PROXY – мониторинг ARP-запросов из локальной сети, блокирование ARP-запросов из WAN.
  • IP SOURCE GUARD (антиспуффинг) – проверка, что LAN-пакет принадлежит той же самой VLAN, из которой была DHCP-регистрация. Если принадлежность не подтверждается, то пакет отбрасывается.
  • ЗАМЫКАНИЕ локального трафика (обмен внутрисетевым трафиком между абонентами).
  • ТЕРМИНАЦИЯ ТРАФИКА из LAN в WAN.

Так как BRAS L2 работает на канальном уровне, для идентификации абонентов он оперирует не только IP-адресами пользователей, но также их MAC-адресами и номерами VLAN / Q-in-Q-сетей. Это позволяет фильтровать неправомерные запросы, благодаря чему повышается уровень безопасности локальной сети. Идентификация в Q-in-Q-сети более предпочтительна, так как позволяет определить конкретного пользователя вне зависимости от его железа (как в случае с MAC-адресом) и не группу, как в случае с VLAN-заголовком.

Функция BRAS L2 применяется только в режиме «в линию». Если пакет из локальной сети отбрасывается или должен вернуться обратно в сеть, то распознавания содержимого пакета (payload) и идентификации не происходит.

СКАТ DPI - BRAS L2
BRAS L2 в режиме «в линию»

Активация BRAS L2

Для активации функции BRAS необходимо внести изменения в конфигурационный файл fastdpi.conf:

  • bras_enable=1 – активируем BRAS.
  • bras_arp_ip – задаем для BRAS произвольный IPv4-адрес, который должен быть не связан с интерфейсами и не сопоставлен ни с кем из пользователей.
  • bras_arp_mac – задаем для BRAS’а MAC-адрес (XX:XX:XX:XX:XX:XX), адрес должен быть уникальным, может быть фейковым, но рекомендуется выбрать реальный MAC-адрес одной из dna-карт.
  • udr=1 – активируем UDR (user data repository – внутреннюю базу данных свойств пользователей).

Пример конфигурации:

udr=1
bras_enable=1
bras_arp_ip=192.168.1.255
bras_arp_mac=a0:00:b1:01:4e:cc

Сессия пользователя

Чтобы начать сессию, необходимо получить ответ DHCPACK DHCP-сервера на запрос клиента DHCPREQUEST/DHCPINFORM, откуда модуль fastDPI BRAS извлекает и записывает в UDR информацию:

  • MAC-адрес пользователя;
  • IP-адрес пользователя;
  • идентификаторы VLAN / Q-in-Q пользователя.

Последующая аутентификация любого пакета пользователя и терминация/оригинация трафика осуществляются с использованием этих сведений.

Сессия пользователя может быть в одном из трех состояний:

  • Активна – получен положительный ответ DHCPACK на запрос IP-адреса DHCPREQUEST.
  • Закрыта – получен запрос DHCPRELEASE/DHCPDECLINE освобождения IP-адреса.
  • Неизвестна – через fastDPI не прошел запрос лизинга IP-адреса. Сессии находятся в этом состоянии при рестарте fastDPI.
Завершением сессии считается прием запросов DHCPRELEASE или DHCPDECLINE, после чего все пакеты пользователя начинают отбрасываться.

DHCP RELAY AGENT и DHCP RADIUS PROXY

Для мониторинга начала/конца сессий пользователей FastDPI BRAS отслеживает DHCP-запросы от оборудования пользователей. Возможны два взаимоисключающих режима мониторинга, которые задаются конфигурационным параметром bras_dhcp_mode файла fastdpi.conf:

  • bras_dhcp_mode=1 – в этом режиме fastDPI работает как DHCP Relay Agent;
  • bras_dhcp_mode=2 – в этом режиме fastDPI работает фактически как DHCP-сервер, запрашивая IP-адрес и прочие параметры у Radius-сервера через fastPCRF.

При работе с DHCP-сервером, вынесенным в отдельный сегмент сети, FastDPI BRAS выступает в роли агента передачи (DHCP RELAY AGENT) DHCP-запросов от оборудования пользователей к DHCP-серверам и обратного потока – ответов DHCP-серверов к оборудованию пользователей. Это позволяет осуществлять мониторинг начала и конца сессий пользователей.

Адреса DHCP-серверов задаются в fastdpi.conf параметром bras_dhcp_server, и каждый DHCP-сервер (до 16) описывается отдельным параметром:

bras_dhcp_server=host%dev:port{;name=val}*

где:

  • host – IP-адрес DHCP-сервера;
  • dev – имя сетевого интерфейса, с которого производится связь c сервером;
  • port – порт (по умолчанию: 68);
  • name=val – дополнительные параметры:

reply_port – порт, на котором ждем ответы DHCP-сервера (по умолчанию: 68);
arp_proxy – флаг реагирования на ARP-запросы IP-адреса DHCP-сервера.

Пример конфигурации для двух DHCP-серверов:

bras_dhcp_server=192.168.1.1%eth0;arp_proxy=1
bras_dhcp_server=192.168.1.2%eth0;arp_proxy=1

После успешной установки сессии абонент получает IP-адрес, а fastDPI BRAS немедленно посылает Radius-запрос на авторизацию и получение профиля абонента с информацией о тарифном плане, дополнительных услугах и другой.

Режим DHCP RADIUS PROXY предназначен для построения сетей без выделенных DHCP-серверов. Вместо DHCP-серверов используется Radius-сервер, а fastDPI в связке с fastPCRF выступает в роли DHCP-сервера. Последовательность обработки запросов выглядит так:

  • FastDPI принимает DHCP-запросы от оборудования пользователей и направляет их fastPCRF’у.
  • FastPCRF преобразует DHCP-запрос в Radius Access-Request и направляет его Radius-серверу.
  • При приеме ответа Access-Accept/Access-Reject fastPCRF преобразует его во внутренний формат и отсылает на fastDPI.
  • FastDPI формирует DHCP-ответ и отправляет его пользователю, а также запоминает профили пользователя и набор подключенных услуг.
Такой режим работы может быть интересен некоторым интернет-провайдерам, так как не требует наличия выделенного DHCP-сервера.

ARP PROXY

Для включения обработки ARP-запросов необходимо внести изменения в конфигурационный файл fastdpi.conf:

bras_arp_proxy=1

После этого fastDPI BRAS отвечает своим MAC-адресом на следующие ARP-запросы, с какого бы IP-адреса они не приходили:

  • Запрос «своего» IP-адреса в случае, если искомый IP равен IP-адресу, заданному в параметре bras_arp_ip.
  • Запрос IP-адреса DHCP-сервера, если для DHCP-сервера установлен флаг arp_proxy=1. В этом случае в качестве MAC-адреса возвращается значение параметра bras_arp_mac.
  • Запрос для локального IP-адреса, если статус сессии для этого IP-адреса не равен «сессия закрыта», то есть не было явного DHCPRELEASE/DHCPDECLINE.

IP SOURCE GUARD

Дополнительная безопасность в сети обеспечивается за счет контроля соответствия идентификаторов VLAN и IP-адреса абонентов. После выдачи IP-адреса через DHCP, fastDPI BRAS записывает идентификаторы VLAN / Q-in-Q абонента в свою БД UDR и в дальнейшем использует эти данные для контроля соответствия IP-адреса источника пакета и VLAN-тега.

Для включения режима IP source guard необходимо прописать в fastdpi.conf:

bras_ip_source_guard=
  • 0 – IP source guard не применяется (disabled) – значение по умолчанию.
  • 1 – IP source guard включен и применяется только для активных сессий.
  • 2 – strict: IP source guard включен и применяется для активных сессий и сессий в неизвестном состоянии.

IP source guard применяется только для исходящего трафика (из LAN в WAN).

Замыкание локального трафика

FastDPI BRAS может замыкать локальный (внутрисетевой) трафик между пользователями.

Включение этой возможности регулируется конфигурационным файлом fastdpi.conf:

bras_terminate_local=
  • 0 – данная возможность отключена – значение по умолчанию;
  • 1 – замыкание локального трафика включено.

Замыкание локального трафика работает только если включена функция ARP PROXY для локальных адресов.

BRAS сравнивает MAC-адрес получателя пакета со своим MAC-адресом, задаваемым параметром bras_arp_mac, если эти MAC-адреса совпадают, пакет считается локальным.

Терминация трафика из LAN в WAN

FastDPI BRAS может терминировать исходящий трафик LAN -> WAN и приземлять входящий WAN -> LAN. Терминация – это удаление VLAN-тегов из исходящего пакета, приземление (origination) – это добавление VLAN-тегов, соответствующих IP-адресу получателя.

Включение режима терминации трафика определяется конфигурационным файлом fastdpi.conf:

bras_vlan_terminate=
  • 0 – терминация отключена;
  • 1 – «честная» терминация – VLAN-теги вырезаются из пакетов;
  • 2 – подмена VLAN-тегов;
  • 3 – трансформация VLAN-тегов;

В режиме «честной» терминации (bras_vlan_terminate=1) FastDPI BRAS удаляет из исходящих (LAN -> WAN) пакетов все VLAN-теги, а во входящие пакеты (WAN -> LAN) – вставляет VLAN-теги. При приземлении трафика VLAN-теги берутся из свойств IP-адреса получателя (из внутренней БД UDR).

Режим «честной» терминации BRAS может быть довольно накладным для fastDPI, так как он оптимизирован для фильтрации пакетов, а не для их изменения.

Необходимое копирование содержимого пакета, возникающее при удалении/добавлении VLAN-тегов, может существенно снизить производительность fastDPI.

Поэтому fastDPI BRAS имеет еще один режим терминации трафика – режим обнуления VLAN-тегов (bras_vlan_terminate=2). В этом режиме L2 VLAN-теги остаются в пакете, но их значение заменяется на константу, задаваемую конфигурационным параметром bras_vlan_subst. Предполагается, что за fastDPI BRAS стоит некое оборудование, которое умеет эффективно резать VLAN-теги на исходящем трафике и добавлять VLAN-теги на входящем.

Более подробную информацию о настройке и работе функции BRAS L2 системы анализа трафика СКАТ DPI вы можете получить у специалистов компании VAS Experts, которые готовы помочь разобраться в этом вопросе, а также проконсультировать по другим возможностям платформы.

Оценка:
5 из 5
Средняя оценка : 5
Оценок: 2
Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.