Introducción a RADIUS
El BQN puede ser configurado para recibir mensajes RADIUS para soportar la siguiente funcionalidad:
- Asignación de políticas tarifarias a los abonados.
- Definición dinámica de esas políticas de tipos.
- Gestión de cuotas de tiempo y/o volumen.
- Asignación de un atributo RADIUS a BQNsubscriber ID.
La aplicación de cuotas y políticas de tarifas se aplica por dirección IP de abonado, por lo que la BQN debe tener visibilidad de las direcciones IP de los abonados, es decir, no puede haber un NAT entre los abonados y la BQN porque los límites de tarifa se aplicarán por dirección IP de abonado. También es importante que wires estén conectados de forma correcta (puertos de acceso conectados en el lado de los abonados).
<div class="paragraph-highlight">Currently, only IPv4 address subscribers are supported via RADIUS.</div>
Hay dos formas de que BQN reciba mensajes RADIUS:
- Como servidor de contabilidad RADIUS.
- Como proxy RADIUS entre los clientes RADIUS y el servidor RADIUS (tanto para autenticación como para contabilidad RADIUS).
El siguiente diagrama resume un despliegue de BQN como servidor de contabilidad RADIUS:

El diagrama detalla la IP y los puertos utilizados y el flujo de la señalización RADIUS.
Del mismo modo, para un despliegue de BQN como proxy RADIUS:

El BQN utiliza su dirección IP de gestión (la misma dirección que la GUI) para recibir y enviar mensajes RADIUS. Utiliza los siguientes puertos:
- Puerto UDP 1812 para RADIUSAutenticación/autorización
- Puerto UDP 1813 para contabilidad RDIUS
- Puerto UDP 1700 para recibir el mensaje Change of AuthorizationDisconnect (una futura versión también soportará el puerto UDP 3799).
Las implementaciones del servidor de contabilidad RADIUS y del proxy RADIUS tienen pros y contras. La principal ventaja de la implementación de la contabilidad RADIUS es que el BQN no se encuentra en la ruta de autenticación RADIUS.
<div class="paragraph-highlight">RADIUS accounting server deployment is the preferred option.</div>
Sin embargo, la gestión de cuotas requiere un despliegue de proxy RADIUS. Además, el despliegue del proxy RADIUS es una opción válida cuando el servidor de contabilidad RADIUS no es posible (por ejemplo, con routers Mikrotik en modo DHCP).
Despliegue del Servidor de Contabilidad
Para integrar el BQN al RADIUS en modo servidor de contabilidad, es necesario realizar cambios de configuración en el BQN y en los clientes NASRADIUS. La siguiente imagen muestra un resumen:

Configuración del BQN
Siga estos pasos:
- Vaya a Configuración->RADIUS/REST/Facturación->RADIUS
- Ponga el interruptor del servicio RADIUS en On.
- Seleccione la opción Servidor de contabilidad en el campo Servidor RADIUSproxy/Contabilidad .
- Añada las direcciones IP de cada cliente RADIUS del NAS, junto con su secreto. Para ello, en la GUI de BQN, vaya a Configuración->RADIUS/REST/Facturación->RADIUS y haga clic en Añadir cliente....
La siguiente captura de pantalla muestra un ejemplo:

Se puede añadir una descripción opcional para cada cliente RADIUS del NAS (la descripción no puede contener espacios).
Configuración de los clientes RADIUS del NAS
El objetivo es configurar el cliente RADIUS del NAS para que envíe copias de los mensajes de contabilidad RADIUS al BQN, como si el servidor BQN fuera un servidor RADIUS sólo para contabilidad. Los pasos para cada cliente RADIUS NAS son:
- Configure un servidor RADIUS de copia de seguridad con la dirección IP de BQN y el secreto configurado anteriormente en BQN para este NAS.
- Asegúrese de que el puerto utilizado es UDP 1813.
- Establecer actualizaciones intermedias contables, con un periodo intermedio no superior a 5 minutos.
Las siguientes instrucciones están relacionadas con un servidor PPPoEs Mikrotik, pero se pueden seguir pasos similares para otros proveedores:
- En primer lugar, no debe modificarse la configuración RADIUS existente.
- Se configurará un nuevo servidor RADIUS con elBQN como servidor de Respaldo de Contabilidad. Para crear un nuevo servidor RADIUS, vaya a la sección RADIUS y haga clic en "Añadir nuevo". Se mostrará la siguiente pantalla:

Como se puede observar:
- El servicio del router/switch debe estar habilitado (normalmente ppp).
- En "Address" la dirección IP será la dirección IP de gestión de BQN (puede ver cuál es en BQN GUI Configuration->Interfaces->Management).
- Debe seleccionarse el campo Copia de seguridad de contabilidad (de lo contrario, el BQN recibiría mensajes de autenticación y autorización RADIUS, que no admite).
- El puerto de contabilidad se deja en su valor por defecto (1813).
- Opcionalmente, se puede especificar un secreto (si se utiliza, debe coincidir con el configurado en la configuración de BQN RADIUS).
- Opcionalmente, un comentario puede añadir una descripción del servidor RADIUS (por ejemplo, "BQN RADIUS").
Después de crear el servidor RADIUS, la lista debe ser la siguiente:

Asegúrese de que el servicio tiene RADIUS Interim Updates activado y con un periodo razonable (1-5 minutos). Por ejemplo, para PPP, en la opción PPP->Secrets->PPP Authentication & Accounting.

El proceso debe repetirse en todos los nodos cuyo RADIUS vaya a ser enviado al BQN.
Despliegue de proxy
Para integrar la BQN al RADIUS en modo proxy, es necesario realizar cambios de configuración en la BQN, los clientes RADIUS del NAS y el servidor RADIUS. La siguiente imagen muestra un resumen:

Configuración del BQN
Siga estos pasos:
- Vaya a Configuración->RADIUS/REST/Facturación->RADIUS
- Ponga el interruptor del servicio RADIUS en On.
- Seleccione la opción Proxy RAD IUS en el campo Proxy RADIUS/Servidor de contabilidad.
- Configure la dirección IP y el secreto del servidor RADIUS en los campos Dirección IP del servidor y Secreto del servidor respectivamente.
- Añada las direcciones IP de cada cliente RADIUS del NAS, junto con su secreto. Para ello, en la GUI de BQN, vaya a Configuración->RADIUS/REST/Facturación->RADIUS y haga clic en Añadir cliente....
La siguiente captura de pantalla muestra un ejemplo:

Configuración de los clientes RADIUS del NAS
Los pasos para cada cliente RADIUS del NAS son los siguientes:
- Configure la dirección IP de la BQN como servidor RADIUS primario, utilizando el secreto configurado previamente en la BQN.
- Asegúrese de que los puertos utilizados son UDP 1812 para autenticación, UDP 1813 para contabilidad y UDP 1700 para recibir Desconexiones.
- Configure el servidor RADIUS como RADIUS de reserva, si es posible.
Configuración del servidor RADIUS
Siga estos pasos:
- Configurar la dirección IP de la BQN como cliente NASRADIUS válido, con un secreto igual al configurado previamente en la BQN.
Gestión de AVP RADIUS
La BQN procesa algunos AVP (Pares Atributo-Valor) RADIUS para implementar funcionalidades propias de la BQN, como la aplicación de políticas de tarifas, cuotas o información para la identificación de abonados.
Por defecto, el BQN reacciona a todos los AVP soportados (de los que se hablará más adelante en este capítulo), pero es configurable para ignorar algunos de ellos. Cuando está en modo de despliegue proxy, el BQN retransmitirá los AVPs ignorados pero no realizará ninguna otra acción. Una posible razón para ignorar AVPs es cuando se prefieren otros con menor prioridad. La sección de tasa de política proporciona un ejemplo concreto.
Cuando está en modo de despliegue de BQN proxy, el BQN también puede eliminar algunos AVP recibidos en un mensaje Accept-Accept del servidor RADIUS antes de retransmitirlo al cliente RADIUS del NAS. Una posible razón para eliminar los AVP es evitar que el cliente NAS intente actuar sobre ellos, interfiriendo con las acciones del BQN. La sección de cuotas ofrece un ejemplo concreto.
La configuración del manejo de AVP se encuentra en Configuración->RADIUS/REST/Facturación->RADIUS, en el campo Selección de AVP.
Control de la política de tipos
Los mensajes RADIUS Accounting Start e Interim vinculan una dirección IP de abonado con una política de tarifas de abonado. La dirección IP de abonado se recibe en el campo Framed-IP-Address. Hay dos formas de especificar la política de tarifas de abonado:
- Especificación de los parámetros de la política de tarifas de abonado (como el límite de tarifa), donde el atributo RADIUS proporciona la definición de la política y el BQN crea una política basada en esa información.
- Especificar el nombre de la política de tarifas de abonado, donde el atributo RADIUS contiene el nombre de la política a elegir entre las políticas que forman parte de la configuración BQN.
Tanto el servidor de contabilidad como el proxy pueden utilizarse para el control de la política de tarifas.
AVPs RADIUS admitidos para políticas de tarifas
Se admiten los siguientes AVP RADIUS para la gestión de políticas de tarifas. Los enumeramos por orden de prioridad (los parámetros evaluados en primer lugar tendrán prioridad):
Cuando hay más de un AVP presente, la política se gestionará según el orden de prioridad. Por ejemplo, si tanto Mikrotik-Rate-Limit como Ascend-Data-Rate están presentes, Mikrotik-Rate-Limit tendrá prioridad. También, si ambos Ascend-Data-Rate y Mikrotik-Address-List están en el mensaje Radius, Mikrotik-Address-List será ignorado. En cualquier caso, es posible utilizar cualquiera de esos elementos de información, ya que el BQN puede configurarse para ignorar los que tengan más precedencia, como puede verse en la siguiente sección.
Si un mensaje RADIUS no contiene ninguno de los AVP admitidos, la política de tarifas de abonado asignada previamente a la dirección IP del abonado en este mensaje RADIUS, si existe, se eliminará y se elegirá una nueva basada en las reglas de política de tarifas de abonado configuradas por BQN.
RADIUS proporciona la definición de la política de tarifas
Esto no requiere básicamente ninguna configuración específica. Sólo asegúrese de que en Configuración-> RADIUS/REST/Facturación->RADIUSno se ignoran los parámetros RADIUS que especificarán la política (no se ignoran por defecto). Una vez que el BQN comience a recibir los mensajes RADIUS, asignará a cada abonado (para el que se reciba un mensaje RADIUS) una política de tarifas de abonado con los límites de tarifa definidos en el mensaje RADIUS.

El nombre de la política creada dinámicamente se compone en base al contenido del AVP, con el siguiente formato:
donde:
- RA-: prefijo que indica que se trata de una política creada a partir de RADIUS.
- rx-rate: límite de velocidad de subida.
- tx-rate: límite de velocidad de bajada.
- rx-burst-rate: tasa de ráfagas de subida.
- tx-burst-rate: tasa de ráfagas de bajada
- rx-burst-threshold: umbral de ráfaga de subida (velocidad media que no debe superarse antes de conceder una nueva ráfaga).
- tx-burst-threshold: umbral de ráfaga de bajada (velocidad media que no debe superarse antes de conceder una nueva ráfaga).
- rx-burst-time: duración de la ráfaga de subida, en segundos.
- tx-burst-time duración de la ráfaga de bajada, en segundos.
Las tarifas y los umbrales incluirán sus unidades (K para Kbps, M para Mbps y G para Gbps).
Una vez que el BQN disponga de las políticas de tarifas, las aplicará en función de la dirección IP del abonado. En cuanto a la aplicación en el NAS (por ejemplo, el servidor PPPoE), existen tres opciones:
- Eliminar los límites de velocidad en el NAS (por ejemplo, eliminar las colas Mikrotik).
- Hacer que el BQN aplique los límites de la política reducidos por un factor configurable, de modo que el BQN sea el punto de aplicación, no el NAS. El NAS sigue siendo una copia de seguridad con el límite de velocidad completo, en caso de que falle la aplicación de BQN.
- Hacer que el BQN elimine el parámetro recibido del servidor RADIUS para que el NAS no lo reciba (disponible sólo en despliegues RADIUS proxy utilizando el parámetro Mikrotik Rate-Limit).
A continuación figura un ejemplo de reducción del límite de la póliza:

Por ejemplo, con un porcentaje del 80%, un límite de 125 Mbps en RADIUS se convertirá en un límite de 100 Mbps en el BQN (125*0,8).
El porcentaje se aplica a todos los parámetros de la política de planes de abonado (límite de tarifa, velocidad de ráfaga y umbral de ráfaga).
Este parámetro también se puede establecer en un valor superior (por ejemplo, 200%) para aplicar límites de velocidad superiores a los del NAS actual, de forma que se asignen políticas de velocidad a los abonados, pero las velocidades sigan estando controladas por el NAS. Esto puede resultar útil durante las pruebas iniciales de la interfaz RADIUS. También es adecuado si sólo desea que el BQN obtenga la política de tarifas sin aplicarla (por ejemplo, para utilizarla para seleccionar una política de flujo adecuada).
Para evitar que Mikrotik-Rate-Limit llegue al NAS en despliegues proxy:

RADIUS proporciona el nombre de la política de tarifas
Cuando un parámetro RADIUS admitido no sigue el formato que permite al BQN extraer la definición de política, el valor del parámetro se interpretará como el nombre de una de las políticas de tarifas de abonado configuradas en el BQN.
En nuestro ejemplo, se utiliza Mikrotik-Address-List, pero es similar a otros parámetros RADIUS soportados.
En primer lugar, asegúrese de que el parámetro no se ignora y que sí lo hacen los parámetros con mayor prioridad:

El nombre de la política configurada en el BQN se basa en el contenido del AVP, con espacios sustituidos por guiones bajos ("_"). Estos son los nombres que se deben utilizar al configurar las políticas en el BQN. Con Mikrotik-Address-List, el contenido AVP "GOLD PLAN" se convierte en "GOLD_PLAN".
Las políticas especificadas por RADIUS para cada abonado pueden estar ya configuradas en el BQN, en cuyo caso simplemente se asignarán. Sin embargo, algunos nombres de políticas especificados en Radius pueden no existir todavía en el BQN.
En Estado->Suscriptores->Atributos de los suscriptores, los suscriptores asociados a una política no definida aparecen marcados en rojo en la columna POLÍTICA DE TARIFAS.

Al hacer clic en el nombre de la política no definida se accede a una página para configurarla, con el nombre correcto ya rellenado.

El proceso se repite para cada política de tarifas de abonado pendiente de configuración.
A medida que se reciben asignaciones RADIUS, el contador SUBS_PROVISIONED crece y, a medida que se recibe tráfico de abonados, el contador "SUBS-ACTIVE" aumentará.
Para ir a la lista de abonados asociados a una política de tarifas de abonado vía RADIUS, vaya a Estado->Abonados->Atributos de abonado.
Comprobación del estado de las políticas de tarifas RADIUS
Estado->Suscriptores->Atributos del Suscriptor muestra una tabla con todos los suscriptores donde se puede ver la política de tarifas asignada( columnaRATE-POLICY ) y si proviene de RADIUS(ASSIGNED-BY mostrando radius).

Estado->Políticas->Políticas de Tarifas muestra una tabla con todas las políticas de tarifas. Las creadas desde RADIUS tendrán un "no"en la columna CONFIGURADA . SUBS-PROVISIONED indica cuántos abonados están asociados a esta política y SUBS-ACTIVE cuántos de ellos están actualmente activos(con tráfico).
Gestión de cuotas de tiempo y volumen
Las cuotas de tiempo y volumen se reciben del mesaje Access Accept del servidor RADIUS y se asocian a la dirección IP del abonado recibida en el campo Framed-IP-Address.
Para la gestión de cuotas debe utilizarse el despliegue de proxy RADIUS.
Se admiten los siguientes AVP RADIUS para la gestión de cuotas (recibidos en Accesss Accept del servidor RADIUS):
El BQN informa del uso en sus solicitudes provisionales de contabilidad, utilizando los siguientes parámetros RADIUS:
Tenga en cuenta que el tráfico de enlace ascendente y descendente se notifica combinado utilizando el mismo par de AVP.
Dado que BQN está en modo proxy, su recuento de volumen impulsará la aplicación de la cuota de volumen. Por ejemplo, es posible configurar reglas de BQN basadas en el ID o grupo de abonados (véase la sección Identificación de abonados) sosome las aplicaciones se excluyen del recuento.
En la mayoría de los casos, es importante que la cuota sea aplicada únicamente por el BQN. Para conseguirlo, configure BQN de modo que los AVP relacionados con la cuota se eliminen tanto del mensaje Access-Accept retransmitido al cliente NAS como de los Accounting-Requests procedentes del cliente NAS.

Algunos NAS (por ejemplo Mikrotik) pueden enviar un valor de Session-Timeout de cero, incluso cuando el mensaje Access-Accept no ha devuelto ningún Session-Timeout. Esto se considerará como una cuota de tiempo agotada y el abonado se bloqueará. Para evitar esto, se puede configurar el BQN para que ignore un valor cero en el AVP Session-Timeout seleccionando Ignore en Session-Timeout-If-Zero:

Comprobación del estado de las cuotas RADIUS
Estado->Suscriptores->Atributos del Suscriptor muestra una tabla con todos los suscriptores donde puede ver qué suscriptor tiene un Cupo( columnaQUOTA con habilitado). Pulsando sobre habilitado accederá a los detalles de la cuota.
Estado->Suscriptores->Cuotas de suscriptores muestra una tabla con todos los detalles de las cuotas. Le indicará si la cuota está agotada (BLOQUEO DE CUOTA sí), el límite de tiempo de la cuota, el límite de volumen de la cuota en GB y cuánto se ha consumido de la cuota de volumen.
Identificación de los abonados
La información RADIUS puede ser la fuente de información de identificación del abonado.
Tanto el servidor de contabilidad como el proxy pueden utilizarse para la identificación de abonados.
ID de abonado
El BQN mantiene un ID de abonado para realizar un seguimiento del abonado a través de los cambios de dirección IP. La fuente de este ID puede tomarse de RADIUS. La lista de parámetros RADIUS admitidos es la siguiente:
En Configuración->RADIUS/REST/Billling->RADIUS, vaya al campo Origen del ID de abonado y seleccione el valor apropiado (Déjelo sin modificar por defecto).
Para comprobar la información de ID de abonado, vaya a Estado->Abonados->Atributos de abonado y vea la columna ID DE ABONADO.
Grupo de abonados
Puede asignar abonados a grupos de abonados basándose en la información RADIUS. Puede ver las métricas desglosadas por grupos de abonados o definir reglas de política que traten a esos grupos de forma diferente (por ejemplo, hacer que los abonados de un grupo con un servicio no se contabilicen como parte de esas cuotas de volumen de abonados).
Los parámetros RADIUS que pueden ser fuente de grupos de abonados son:
De forma predeterminada, los abonados se añaden a un grupo con el nombre de su valor Filter-Id. Para desactivarlo, establezca el parámetro RADIUS en Ignorar.
Para comprobar la información del grupo de abonados, vaya a Estado->Abonados->Atributos del abonado y consulte la columna GRUPOS DE ABONADOS .
Estado->Abonados->Grupos de abonados mostrará la lista de grupos de abonados y el número de abonados asignados (aprovisionados) y el número de ellos activos.
Si no desea que los abonados se agrupen mediante RADIUS, configure el AVP para que se ignore:

Activar/desactivar la optimización ACM
ACM está activado por defecto para todas las políticas dinámicas RADIUS. Para activar o desactivar ACM, cambie el campo "Automatic Congestion Management" en la configuración de RADIUS/REST/Billing->RADIUS:

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.