Introducción a RADIUS
El BQN puede ser configurado para recibir mensajes RADIUS para soportar la siguiente funcionalidad:
- Asignación de políticas tarifarias a los abonados.
- Definición dinámica de esas políticas de tipos.
- Gestión de cuotas de tiempo y/o volumen.
- Asignación de un atributo RADIUS al ID de abonado BQN.
- Asignación de un atributo RADIUS al grupo de abonados BQN.
La aplicación de cuotas y políticas de tarifas se aplica por dirección IP de abonado, por lo que la BQN debe tener visibilidad de las direcciones IP de abonado, es decir, no puede haber un NAT entre los abonados y la BQN porque la límites de velocidad se aplicará por dirección IP de abonado. También es importante que los wires estén conectados de la forma correcta (puertos de acceso conectados en el lado de los abonados).
<div class="paragraph-highlight">Currently, only IPv4 address subscribers are supported via RADIUS.</div>
Hay dos formas de que BQN reciba mensajes RADIUS:
- Como servidor de contabilidad RADIUS.
- Como proxy RADIUS entre los clientes RADIUS y el servidor RADIUS (tanto para autenticación como para contabilidad RADIUS).
El siguiente diagrama resume un despliegue de BQN como servidor de contabilidad RADIUS:
El diagrama detalla la IP y los puertos utilizados y el flujo de la señalización RADIUS.
Del mismo modo, para un despliegue de BQN como proxy RADIUS:
El BQN utiliza su dirección IP de gestión (la misma dirección que la GUI) para recibir y enviar mensajes RADIUS. Utiliza los siguientes puertos:
- Puerto UDP 1812 para autenticación/autorización RADIUS
- Puerto UDP 1813 para contabilidad RADIUS
- Puerto UDP para recibir el mensaje de Cambio de Autorización de Desconexión (1700 por defecto, aunque se pueden configurar otros como el puerto 3799).
Los despliegues del servidor de contabilidad RADIUS y del proxy RADIUS tienen pros y contras. La principal ventaja del despliegue de contabilidad RADIUS es que el BQN no se encuentra en la ruta de autenticación RADIUS.
<div class="paragraph-highlight">RADIUS accounting server deployment is the preferred option.</div>
Sin embargo, la gestión de cuotas requiere un despliegue de proxy RADIUS. Además, el despliegue del proxy RADIUS es una opción válida cuando el servidor de contabilidad RADIUS no es posible (por ejemplo, con routers Mikrotik en modo DHCP).
Despliegue del Servidor de Contabilidad
Para integrar el BQN al RADIUS en modo servidor de contabilidad, es necesario realizar cambios de configuración en el BQN y en los clientes RADIUS del NAS. La siguiente imagen muestra un resumen:
El BQN recibirá mensajes de Contabilidad RADIUS: Accounting-Start, Accounting-Interim y Accounting-Stop.
Configuración del BQN
Siga estos pasos:
- Vaya a Configuración->RADIUS/REST/Facturación->RADIUS
- Ponga el interruptor del servicio RADIUS en On.
- Seleccione la opción Servidor de contabilidad en el campo Servidor RADIUSproxy/Contabilidad .
- Añada las direcciones IP de cada cliente RADIUS del NAS, junto con su secreto. Para ello, en la GUI de BQN, vaya a Configuración->RADIUS/REST/Facturación->RADIUS y haga clic en Añadir cliente....
La siguiente captura de pantalla muestra un ejemplo:
Se puede añadir una descripción opcional para cada cliente RADIUS del NAS (la descripción no puede contener espacios).
Configuración de los clientes RADIUS del NAS
El objetivo es configurar el cliente RADIUS del NAS para que envíe copias de los mensajes de contabilidad RADIUS al BQN, como si el servidor BQN fuera un servidor RADIUS sólo para contabilidad. Los pasos para cada cliente RADIUS NAS son:
- Configure un servidor RADIUS de copia de seguridad con la dirección IP de BQN y el secreto configurado anteriormente en BQN para este NAS.
- Asegúrese de que el puerto utilizado es UDP 1813.
- Establecer actualizaciones intermedias contables, con un periodo intermedio no superior a 5 minutos.
Las siguientes instrucciones están relacionadas con un servidor PPPoE Mikrotik, pero se pueden seguir pasos similares para otros proveedores:
- En primer lugar, no debe modificarse la configuración RADIUS existente.
- Se configurará un nuevo servidor RADIUS con el BQN como servidor de Respaldo de Contabilidad. Para crear un nuevo servidor RADIUS, vaya a la sección RADIUS y haga clic en "Añadir nuevo". Se mostrará la siguiente pantalla:
Como se puede observar:
- El servicio del router/switch debe estar habilitado (normalmente ppp).
- En "Address" la dirección IP será la dirección IP de gestión de BQN (puede ver cuál es en BQN GUI Configuration->Interfaces->Management).
- El campo Respaldo de contabilidad debe estar seleccionado (de lo contrario, el BQN recibiría mensajes RADIUS de autenticación y autorización, que no admite).
- El puerto de contabilidad se deja en su valor por defecto (1813).
- Opcionalmente, se puede especificar un secreto (si se utiliza, debe coincidir con el configurado en la configuración de BQN RADIUS).
- Opcionalmente, un comentario puede añadir una descripción del servidor RADIUS (por ejemplo, "BQN RADIUS").
Después de crear el servidor RADIUS, la lista debe ser la siguiente:
Asegúrese de que el servicio tiene RADIUS Interim Updates activado y con un periodo razonable (1-5 minutos). Por ejemplo, para PPP, en la opción PPP->Secrets->PPP Authentication & Accounting.
El proceso debe repetirse en todos los nodos cuyo RADIUS vaya a ser enviado al BQN.
Despliegue de proxy
Para integrar la BQN al RADIUS en modo proxy, es necesario realizar cambios de configuración en la BQN, los clientes RADIUS del NAS y el servidor RADIUS. La siguiente imagen muestra un resumen:
El BQN recibirá:
- Mensajes de autenticación RADIUS: Solicitud de acceso, Aceptación de acceso, Rechazo de acceso, Desafío de acceso.
- Mensajes de contabilidad RADIUS: Accounting-Start, Accounting-Interim y Accounting-Stop.
- Mensaje RADIUS Disconnect (no se admiten solicitudes de CoA).
Configuración del BQN
Siga estos pasos:
- Vaya a Configuración->RADIUS/REST/Facturación->RADIUS
- Ponga el interruptor del servicio RADIUS en On.
- Seleccione la opción Proxy RAD IUS en el campo Proxy RADIUS/Servidor de contabilidad.
- Configure la dirección IP y el secreto del servidor RADIUS en los campos Dirección IP del servidor y Secreto del servidor respectivamente.
- Añada las direcciones IP de cada cliente RADIUS del NAS, junto con su secreto. Para ello, en la GUI de BQN, vaya a Configuración->RADIUS/REST/Facturación->RADIUS y haga clic en Añadir cliente....
- Configure el puerto de desconexión utilizado por el servidor RADIUS (1700 por defecto).
La siguiente captura de pantalla muestra un ejemplo:
Configuración de los clientes RADIUS del NAS
Los pasos para cada cliente RADIUS del NAS son los siguientes:
- Configure la dirección IP de la BQN como servidor RADIUS primario, utilizando el secreto configurado previamente en la BQN.
- Asegúrese de que los puertos utilizados son UDP 1812 para autenticación, UDP 1813 para contabilidad y UDP 1700 para recibir Desconexiones.
- Configure el servidor RADIUS como RADIUS de reserva, si es posible.
Configuración del servidor RADIUS
Siga estos pasos:
- Configure la dirección IP de la BQN como cliente RADIUS válido del NAS, con un secreto igual al configurado previamente en la BQN.
Gestión de AVP RADIUS
La BQN procesa algunos AVP (Pares Atributo-Valor) RADIUS para implementar funcionalidades propias de la BQN, como la aplicación de políticas de tarifas, cuotas o información para la identificación de abonados.
Por defecto, el BQN reacciona a todos los AVP soportados (de los que se hablará más adelante en este capítulo), pero es configurable para ignorar algunos de ellos. Cuando está en modo de despliegue proxy, el BQN retransmitirá los AVPs ignorados pero no realizará ninguna otra acción. Una posible razón para ignorar AVPs es cuando se prefieren otros con menor prioridad. La sección de tasa de política proporciona un ejemplo concreto.
Cuando está en modo de despliegue de BQN proxy, el BQN también puede eliminar algunos AVP recibidos en un mensaje Accept-Accept del servidor RADIUS antes de retransmitirlo al cliente RADIUS del NAS. Una posible razón para eliminar los AVP es evitar que el cliente NAS intente actuar sobre ellos, interfiriendo con las acciones del BQN. La sección de cuotas ofrece un ejemplo concreto.
La configuración del manejo de AVP se encuentra en Configuración->RADIUS/REST/Facturación->RADIUS, en el campo Selección de AVP.
Control de la política de tipos
Los mensajes RADIUS Accounting Start e Interim vinculan una dirección IP de abonado con una política de tarifas de abonado. La dirección IP de abonado se recibe en el campo Framed-IP-Address. Hay dos formas de especificar la política de tarifas de abonado:
- Especificación de los parámetros de la política de tarifas de abonado (como límite de velocidad), donde el atributo RADIUS proporciona la definición de la política y el BQN crea una política basada en esa información.
- Especificar el nombre de la política de tarifas de abonado, donde el atributo RADIUS contiene el nombre de la política a elegir entre las políticas que forman parte de la configuración BQN.
Tanto el servidor de contabilidad como el proxy pueden utilizarse para el control de la política de tarifas.
AVPs RADIUS admitidos para políticas de tarifas
Se admiten los siguientes AVP RADIUS para la gestión de políticas de tarifas. Los enumeramos por orden de prioridad (los parámetros evaluados en primer lugar tendrán prioridad):
Cuando hay más de un AVP presente, la política se gestionará según el orden de prioridad. Por ejemplo, si tanto Mikrotik-Rate-Limit como Ascend-Data-Rate están presentes, Mikrotik-Rate-Limit tendrá prioridad. También, si ambos Ascend-Data-Rate y Mikrotik-Address-List están en el mensaje Radius, Mikrotik-Address-List será ignorado. En cualquier caso, es posible utilizar cualquiera de esos elementos de información, ya que el BQN puede configurarse para ignorar los que tengan más precedencia, como puede verse en la siguiente sección.
Si un mensaje RADIUS no contiene ninguno de los AVP admitidos, la política de tarifas de abonado asignada previamente a la dirección IP del abonado en este mensaje RADIUS, si existe, se eliminará y se elegirá una nueva basada en las reglas de política de tarifas de abonado configuradas por BQN.
RADIUS proporciona la definición de la política de tarifas
Esto no requiere básicamente ninguna configuración específica. Sólo hay que asegurarse de que en Configuración-> RADIUS/REST/Facturación->RADIUSno se ignoran los parámetros RADIUS que especificarán la política (no se ignoran por defecto). Una vez que el BQN empiece a recibir los mensajes RADIUS, asignará a cada abonado (para el que se reciba un mensaje RADIUS) una política de tarifas de abonado con la límites de velocidad definida en el mensaje RADIUS.
El nombre de la política creada dinámicamente se compone en base al contenido del AVP, con el siguiente formato:
donde:
- RA-: prefijo que indica que se trata de una política creada a partir de RADIUS.
- rx-rate: límite de velocidad de subida.
- tx-rate: límite de velocidad de bajada.
- rx-burst-rate: tasa de ráfagas de subida.
- tx-burst-rate: tasa de ráfagas de bajada
- rx-burst-threshold: umbral de ráfaga en el enlace ascendente (velocidad media que no debe superarse antes de conceder una nueva ráfaga).
- tx-burst-threshold: umbral de ráfaga en enlace descendente (velocidad media que no debe superarse antes de conceder una nueva ráfaga).
- rx-burst-time: duración de la ráfaga de subida, en segundos.
- tx-burst-time duración de la ráfaga de bajada, en segundos.
Las tarifas y los umbrales incluirán sus unidades (K para Kbps, M para Mbps y G para Gbps).
Una vez que el BQN disponga de las políticas de tarifas, las aplicará en función de la dirección IP del abonado. En cuanto a la aplicación en el NAS (por ejemplo, el servidor PPPoE), existen tres opciones:
- Elimine el límites de velocidad en el NAS (por ejemplo, elimine las colas Mikrotik).
- Hacer que el BQN aplique los límites de la política reducidos por un factor configurable, de modo que el BQN sea el punto de aplicación, no el NAS. El NAS sigue siendo una copia de seguridad en la dirección completa límite de velocidad, en caso de que falle la aplicación de BQN.
- Hacer que el BQN elimine el parámetro recibido del servidor RADIUS para que el NAS no lo reciba (disponible sólo en despliegues RADIUS proxy usando el parámetro Mikrotik Rate-Limit).
A continuación figura un ejemplo de reducción del límite de la póliza:
Por ejemplo, con un porcentaje del 80%, un límite de 125 Mbps en RADIUS se convertirá en un límite de 100 Mbps en el BQN (125*0,8).
El porcentaje se aplica a todos los parámetros de la política de planes de abonado (límite de velocidad, velocidad de ráfaga y umbral de ráfaga).
Este parámetro también se puede establecer en un valor más alto (por ejemplo, 200%) para imponer una límites de velocidad más alta que la del NAS actual, de forma que obtendrá políticas de tarifas asignadas a los abonados, pero las tarifas seguirán estando controladas por el NAS. Esto puede resultar útil durante las pruebas iniciales de la interfaz RADIUS. También es adecuado si sólo desea que el BQN obtenga la política de tarifas sin aplicarla (por ejemplo, para utilizarla para seleccionar una política de flujo adecuada).
Para evitar que Mikrotik-Rate-Limit llegue al NAS en despliegues proxy:
RADIUS proporciona el nombre de la política de tarifas
Cuando un parámetro RADIUS admitido no sigue el formato que permite al BQN extraer la definición de política, el valor del parámetro se interpretará como el nombre de una de las políticas de tarifas de abonado configuradas en el BQN.
En nuestro ejemplo, se utiliza Mikrotik-Address-List, pero es similar con otros parámetros RADIUS soportados.
En primer lugar, asegúrese de que el parámetro no se ignora y de que se ignoran los parámetros con mayor prioridad:
El nombre de la política configurada en el BQN se basa en el contenido del AVP, con espacios sustituidos por guiones bajos ("_"). Estos son los nombres que se deben utilizar al configurar las políticas en el BQN. Con Mikrotik-Address-List, el contenido AVP "GOLD PLAN" se convierte en "GOLD_PLAN".
Las políticas especificadas por RADIUS para cada abonado pueden estar ya configuradas en el BQN, en cuyo caso simplemente se asignarán. Sin embargo, algunos nombres de políticas especificados en Radius pueden no existir todavía en el BQN.
En Estado->Suscriptores->Atributos de los suscriptores, los suscriptores asociados a una política no definida aparecen marcados en rojo en la columna POLÍTICA DE TARIFAS.
Al hacer clic en el nombre de la política no definida se accede a una página para configurarla, con el nombre correcto ya rellenado.
El proceso se repite para cada política de tarifas de abonado pendiente de configuración.
A medida que se reciben asignaciones RADIUS, el contador SUBS_PROVISIONED crece y, a medida que se recibe tráfico de abonados, el contador "SUBS-ACTIVE" aumentará.
Para ir a la lista de abonados asociados a una política de tarifas de abonado vía RADIUS, vaya a Estado->Abonados->Atributos de abonado.
Comprobación del estado de las políticas de tarifas RADIUS
Estado->Suscriptores->Atributos del Suscriptor muestra una tabla con todos los suscriptores donde se puede ver la política de tarifas asignada( columnaRATE-POLICY ) y si proviene de RADIUS(ASSIGNED-BY mostrando radius).
Estado->Políticas->Políticas de Tarifas muestra una tabla con todas las políticas de tarifas. Las creadas desde RADIUS tendrán un "no"en la columna CONFIGURADA . SUBS-PROVISIONED indica cuántos abonados están asociados a esta política y SUBS-ACTIVE cuántos de ellos están actualmente activos(con tráfico).
Gestión de cuotas de tiempo y volumen
Las cuotas de tiempo y volumen se reciben del mesaje Access Accept del servidor RADIUS y se asocian a la dirección IP del abonado recibida en el campo Framed-IP-Address.
Para la gestión de cuotas debe utilizarse el despliegue de proxy RADIUS.
A continuación se muestra una tabla con los AVP RADIUS admitidos para la gestión de cuotas (recibidos en AccesssAccept del servidor RADIUS). Se ignoran por defecto, así que desmarque la casilla de verificación de ignorar para configurar el BQN para utilizarlos:
El BQN informa del uso en sus solicitudes provisionales de contabilidad, utilizando los siguientes parámetros RADIUS:
Tenga en cuenta que el tráfico de enlace ascendente y descendente se notifica combinado utilizando el mismo par de AVP.
Dado que BQN está en modo proxy, su recuento de volumen impulsará la aplicación de la cuota de volumen. Por ejemplo, es posible configurar reglas de BQN basadas en el ID o grupo de abonados (véase la sección Identificación de abonados) para que algunas aplicaciones queden excluidas del recuento.
En la mayoría de los casos, es importante que la cuota sea aplicada únicamente por el BQN. Para conseguirlo, configure BQN de modo que los AVP relacionados con la cuota se eliminen tanto del mensaje Access-Accept retransmitido al cliente NAS como de los Accounting-Requests procedentes del cliente NAS.
Algunos NAS (por ejemplo Mikrotik) pueden enviar un valor de Session-Timeout de cero, incluso cuando el mensaje Access-Accept no ha devuelto ningún Session-Timeout. Esto se considerará como una cuota de tiempo agotada y el abonado se bloqueará. Para evitar esto, se puede configurar el BQN para que ignore un valor cero en el AVP Session-Timeout seleccionando Ignore en Session-Timeout-If-Zero:
Comprobación del estado de las cuotas RADIUS
Estado->Suscriptores->Atributos del Suscriptor muestra una tabla con todos los suscriptores donde puede ver qué suscriptor tiene un Cupo( columnaQUOTA con habilitado). Pulsando sobre habilitado accederá a los detalles de la cuota.
Estado->Suscriptores->Cuotas de suscriptores muestra una tabla con todos los detalles de las cuotas. Le indicará si la cuota está agotada (BLOQUEO DE CUOTA sí), el límite de tiempo de la cuota, el límite de volumen de la cuota en GB y cuánto se ha consumido de la cuota de volumen.
Identificación del abonado (ID de abonado)
La información RADIUS puede ser la fuente de información de identificación del abonado.
Para la identificación de abonados pueden utilizarse tanto implementaciones de servidores de contabilidad como de proxy.
El BQN mantiene un ID de abonado para realizar un seguimiento del abonado a través de los cambios de dirección IP. La fuente de este ID puede tomarse de RADIUS. La lista de parámetros RADIUS admitidos es la siguiente:
En Configuración->RADIUS/REST/Billling->RADIUS, vaya al campo Origen del ID de abonado y seleccione el valor adecuado (Déjelo sin modificar por defecto).
Para comprobar la información de ID de abonado, vaya a Estado->Abonados->Atributos de abonado y vea la columna ID DE ABONADO.
Grupo de abonados
Puede asignar abonados a grupos de abonados basándose en la información RADIUS. Puede ver las métricas desglosadas por grupos de abonados o definir reglas de política que traten a esos grupos de forma diferente (por ejemplo, hacer que los abonados de un grupo con un servicio no se contabilicen como parte de esas cuotas de volumen de abonados).
Los parámetros RADIUS que pueden ser fuente de grupos de abonados se enumeran en la tabla siguiente:
Se ignoran por defecto, así que desmarque la casilla ignorar para configurar el BQN para utilizarlos, como se muestra en la siguiente pantalla para el AVP Filter-Id:
Una vez activado, los suscriptores se añadirán a un grupo con el nombre de su valor Filter-Id. Si RADIUS envía varias instancias del AVP Filter-Id, el suscriptor se añadirá a más de un grupo, uno por cada valor Filter-Id, hasta un máximo de 8 grupos.
Para comprobar la información del grupo de abonados, vaya a Estado->Abonados->Atributos del abonado y consulte la columna GRUPOS DE ABONADOS .
Estado->Abonados->Grupos de abonados mostrará la lista de grupos de abonados y el número de abonados asignados (aprovisionados) y el número de ellos activos.
Si no desea que los abonados se agrupen mediante RADIUS, configure todos los AVP relacionados para que se ignoren:
Activar/desactivar la optimización ACM
ACM está activado por defecto para todas las políticas dinámicas RADIUS. Para activar o desactivar ACM, cambie el campo "Gestión automática de congestiones" en la configuración de RADIUS/REST/Facturación->RADIUS:
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.