Модуль Управления коммутационным оборудованием по протоколу RADIUS¶

Модуль должен иметь возможность предоставлять функционал для реализации управления коммутационным оборудованием по протоколу RADIUS, посредством взаимодействия с коммутационным оборудованием.
Для этого модуль должен предоставлять возможности:

• взаимодействия с RADIUS-серверами, как промежуточным звеном, между ACP и коммутационным оборудованием
• получения от RADIUS-серверов информации, необходимой для идентификации Абонента (MAC-адрес Абонента, IP-адрес коммутационного оборудования, к которому подключен Абонент, пароль Абонента)
• предоставления RADIUS-серверам информации, необходимой для аутентификации, авторизации и аккаунтинга (ААА) посредством коммутационного оборудования

Модуль должен реализовывать возможности ААА для следующих технологий:

• MAC-Based Access Control / MAC Address Authentication
• IGMP Access Control
• 802.1X

API¶

Взаимодействие между сервером RADIUS и АСР происходит посредством Программного интерфейса (API), который представляет из себя клиент-серверное взаимодействие посредством JSON.
Взаимодействие между сервером RADIUS и коммутационным оборудованием происходит посредством протокола RADIUS в реализации сервера FreeRADIUS с использованием модуля rlm_stg, к этому серверу.

MAC-Based Access Control / MAC Address Authentication¶

Реализация MAC-Based Access Control / MAC Address Authentication (MBA/MAA) происходит посредством получения RADIUS-сервером от коммутационного оборудования информации, необходимой для аутентификации Абонента, и получением от АСР,
информации необходимой для авторизации Абонента.
Суть технологии в назначении VLAN ID, 802.1p приоритета и bandwidth assignment на основе MAC адреса посредством взаимодействия коммутационного оборудования с ACP.

MAC-Based Access Control

В коммутаторах D-Link реализовано два режима работы MBA — port-based и host-based. Режим port-based работает в отношении порта коммутатора (аутентифицируется и авторизуется весь порт целиком), host-based работает в отношении конкретного MAC адреса (аутентифицируется и авторизуется конкретный MAC адрес).
При port-based режиме работают все возможности управления (назначение VLAN, указание 802.1p метки и bandwidth assigment для трафика).
При host-based работает только управлением VLAN ID. Указание 802.1p не работает так приоритет задается для всего порта, а bandwidth assigment не работает, так как полисер работает на уровне порта.

Технология поддерживает Guest VLAN, при которой неизвестный для ACP/коммутатора MAC адрес помещается в отдельный VLAN.

Также на коммутаторах реализован failover. В случае если RADIUS-сервер недоступен и на коммутаторе есть информация о MAC адресе, может быть использована локальная БД коммутатора для аутентификации и авторизации абонента.
При использовании failover'а нужно держать локальную базу коммутатора синхронизированной с базой ACP (посредством SNMP).

Информация о MAC адресах может быть получена, как от ACP через RADIUS, так и из локальной БД на самом коммутаторе.
При аутентификации/авторизации через локальную БД коммутатора на его порту не может быть более 128 записей о MAC адресах для каждого порта коммутатора, то есть всего 128 х количество портов коммутатора.
При аутентификации/авторизации через RADIUS на порту коммутатора не может быть больше 512 записей о MAC адресах. В случае использование failover - не более 128, так как при превышении количества записей о MAC адресах для локальной БД следует разсинхронизация.

Реализация MBA поддерживает настраиваемые таймауты:

• Aging Time — это таймаут, в течении которого MAC адрес считается авторизированным. Диапазон значений: 1-1440 минут, шаг: 1 минута
• Hold Time — это таймаут, между двумя авторизациями, в случае если предыдущая была не успешной. По сути это таймаут, через который MAC адрес сможет выйти из Guest VLAN. Диапазон значений: 1-300 секунд, шаг: 1 секунда

Отдельно стоит отметить, что абоненты, находящиеся в одном порту коммутатора, могут находится в разных VLAN.

Аутентификация.
При появлении MAC-адреса Абонента на коммутационном оборудовании на RADIUS-сервер придет запрос, содержащий MAC адрес Абонента, пароль (единый для коммутатора) и IP-адрес коммутационного оборудования:

Access-Request packet from host 172.18.6.253 port 8021, id=212, length=97
User-Name = "64315095FAF8" (MAC адрес Абонента)
User-Password = "default" (пароль)
NAS-IP-Address = 172.18.6.253 (IP-адрес коммутационного оборудования)
NAS-Identifier = "D-Link"
NAS-Port-Type = Virtual
Service-Type = NAS-Prompt-User
Calling-Station-Id = "64-31-50-95-FA-F8"

MAC-адрес Абонента - это MAC-адрес сетевого оборудования Абонента, посредством которого ему оказывается Услуга.
Пароль Абонента — условный момент, необходимый для реализации взаимодействия между коммутационным оборудованием и RADIUS-сервером по протоколу RADIUS.
Пароль будет единым для всех Абонентов, получающих Услугу через одно и тоже коммутационное оборудование.
Максимально возможная длина пароля — 16 символов.
IP-адрес коммутационного оборудования — IP-адрес, с которого придет запрос на RADIUS-сервер.

Авторизация.
После получения запроса от коммутационного оборудования RADIUS-сервер должен предоставить полученную им информацию ACР, которая должна на основе этой информации:

• однозначно идентифицировать Абонента
• принять решение о возможности (или ее отсутствии) предоставить Абоненту Услугу на основе финансовой, административной, либо другой информации, доступной АСР

Далее АСР должна предоставить RADIUS-серверу информацию в какой VLAN следует поместить Абонента для предоставления Услуги (в случае если ее можно предоставить), или
предоставить RADIUS-серверу информацию, что Услуга не может быть оказана (в случае если Услугу нельзя предоставить)

RADIUS-сервер, после получения от АСР информации, должен ответить на запрос, пришедший ранее с коммутационного оборудования, вставив в ответ информацию о VLAN Абонента
(в случае, когда Услуга должна быть Абоненту оказана), либо отказать в аутентификации на коммутационном оборудовании Абоненту.

Access-Accept of id 34 to 172.18.6.253 port 8021
Dlink-Ingress-Bandwidth-Assignment := 2000
Dlink-Egress-Bandwidth-Assignment := 3000
Dlink-VLAN-ID := "4005"
802-1p = 5

В случае успешной аутентификации и авторизации, Абонент будет аутентифирован на коммутационном оборудовании и авторизирован (помещен во VLAN (Dlink-VLAN-ID), в котором ему будет оказана Услуга), а также, опционально, на порт коммутационного оборудования, куда подключен Абонент, будет назначен соответствующий приоритет (802-1p) для исходящих из порта пакетов (802.1p) и ограничение входящей (Dlink-Ingress-Bandwidth-Assignment) и исходящей (Dlink-Egress-Bandwidth-Assignment) скорости (Bandwidth Control).
В случае не успешной аутентификации, Абонент не будет аутентифицирован на коммутационном оборудовании и, соответственно, будет не авторизован (помещен в Гостевой VLAN, в котором ему будет доступна только Парковая страница).

Конфигурация.
Пример настройки FreeRADIUS-сервера:

192.168.5.3 modules # cat stg
stg {
       address = unix:/var/run/stg.sock
}

192.168.5.3 raddb # cat dictionary
#(TODO: Edge-Core, вроде он использует словарь Cisco - проверить)

freeradius # cat dictionary.edge-core?

FreeRADIUS автоматически не загружает все доступные словари, они должны быть явно подключены с помощью директивы $INCLUDE. Например:

root@temp-laptop:~# grep dlink /usr/share/freeradius/dictionary
$INCLUDE dictionary.dlink

address = 192.168.5.160 - IP адрес ACP
port = 9090 - порт, для взаимодействия между RADIUS сервером и ACP посредством Apache Thrift

• для динамических клиентов
  

  192.168.5.3 sites-enabled # cat clients
  # Define a network where clients may be dynamically defined.
  client dynamic {
          ipaddr = 10.0.0.0 # IP Adress
          netmask = 24 # Netmask. /32 for IPv4 is prohibited.
          lifetime = 0 # Lifetime is "0", the dynamic client is never deleted. Restart server to delete client.
          dynamic_clients = isp_server # Define the virtual server used to discover dynamic clients.
  }
  
  authorize {
          isp
          pap
  }
  
  authenticate {
          isp
          pap
  }
  
  post-auth {
          isp
  }
  
  preacct {
          isp
  }
  
  accounting {
          isp
  }
  
  # This is the virtual server referenced above by "dynamic_clients".
  server isp_server {
          authorize { # The only contents of the virtual server is the "authorize" section.
                  update control {
                          FreeRADIUS-Client-IP-Address = "%{Packet-Src-IP-Address}" # Echo the IP address of the client.
                          FreeRADIUS-Client-Require-MA = no # require_message_authenticator
                          FreeRADIUS-Client-Secret = "test" # secret
                          FreeRADIUS-Client-Shortname = "%{Packet-Src-IP-Address}" # shortname
                          FreeRADIUS-Client-NAS-Type = "other" # nastype
                  }
                  #Client was defined properly. New client is ignored, if does NOT return "ok".
                  ok
          }
  }
  

  
  ipaddr = 10.0.0._0 и _netmask = 24 - адресное пространство коммутаторов

Параметр FreeRADIUS-Client-Secret называется shared secret. С помощью него шифруется секретная информация при коммуникации с клиентом, в частности — User-Password. Если значение этого поля не совпадает с тем что использовано в клиенте в User-Password на приемной стороне будет мусор.

Модуль типа аутентификации (PAP/CHAP/etc.) нужно подключать после модуля isp в секциях authorize и authenticate. В секции authorize он по полученному от isp Cleartext-Password установит аттрибут Auth-Type, который в секции authenticate будет использован для корректной проверки пароля.

• для статических клиентов
  

  TODO
  

Пример настройки коммутационного оборудования:

• D-Link
  

  # RADIUS
  config radius add 1 192.168.5.3 key test
  
  # MAC-based_Access_Control
  
  enable mac_based_access_control
  config mac_based_access_control authorization attributes radius enable
  create mac_based_access_control guest_vlanid <VLANID>
  config mac_based_access_control guest_vlan ports <PORTS RANGE>
  config mac_based_access_control ports <PORTS RANGE> state enable
  config mac_based_access_control ports <PORTS RANGE> state disable
  config mac_based_access_control ports <PORTS RANGE> max_users 128
  config mac_based_access_control ports <PORTS RANGE> aging_time 1440
  config mac_based_access_control ports <PORTS RANGE> block_time 300
  config mac_based_access_control ports <PORTS RANGE> mode <host_based/port_based>
  config mac_based_access_control method radius
  config mac_based_access_control password default
  

  
  Замечание: Все VLAN'ы, в которых должны оказаться абоненты в случае успешной авторизации, должны быть заранее созданы на коммутаторе, т.к. реализация MBA у D-Link не создает VLAN'ы, а лишь назначает их на порты.
  VLAN'ы на портах могут быть трех состояниях: trunk - VLAN выдан с тегом, access - VLAN выдан без тега, forbidden - VLAN не может быть выдан на этот порт

• Edge-Core
  

  TODO
  Пока что положу это тут
  "IGMP Access у него нет, реализация MBA не подразумевает port-based режим, зато есть фишечка сo static mac-address, они авторизованы по умолчанию.
  Ну и более богатые настройки через RADIUS, можно не только rate limit и 802.1p, но и QoS политику повесить на порт, и назначить кучу вланов, указав как именно выданы на порт." 
  

IGMP Access Control¶

Реализация IGMP Access Control происходит посредством получения RADIUS-сервером от коммутационного оборудования информации, необходимой для аутентификации запроса подписки на IGMP-группу, и последующего аккаутинга этой подписки в случае успешной аутентификации.

Аутентификация.
При появлении IGMP пакета на коммутационном оборудовании на RADIUS-сервер придет запрос, содержащий MAC-адрес Абонента, пароль Абонента и IP-адрес коммутационного оборудования, номер порта коммутационного оборудования, IP-адрес IGMP-группы:

Access-Request packet from host 172.16.37.131 port 4973, id=101, length=103
User-Name = "5404A65C4A7D"
User-Password = "5404A65C4A7D"
NAS-IP-Address = 172.16.37.131
NAS-Identifier = "172.16.37.131"
NAS-Port-Type = Virtual
Service-Type = Framed-User
Framed-Protocol = PPP
NAS-Port = 5
Framed-IP-Address = 239.0.0.21

MAC адрес Абонента - это MAC адрес сетевого оборудования Абонента, посредством которого ему оказывается Услуга.
Пароль Абонента — условный момент, необходимый для реализации взаимодействия между коммутационным оборудованием и RADIUS-сервером по протоколу RADIUS.
Пароль соответствует MAC-адресу Абонента.
IP-адрес коммутационного оборудования — IP-адрес, с которого придет запрос на RADIUS-сервер.
Порт коммутационного оборудования — порт, куда включен Абонент.
IP-адрес IGMP-группы — IP-адрес канала, который хочет просмотреть (на который хочется подписаться) Абонент.

На основе ответа от RADIUS-сервера Абоненту будет отказано в подписке на IGMP-группу, либо Абонент будет подписан на нее.

Аккаунтинг.

В случае успешной аутентификации, Абонент будет подписан на IGMP-группу, (продолжен после того, как поднимется форум Длинка :)) Что характерно форум Длинка опять лежит =)))

Developer notes¶

Things to watch out¶

API FreeRADIUS ветки 2.x.x зависит от наличия/отсутствия NDEBUG:

struct auth_req {                                                               
#ifndef NDEBUG                                                                  
        uint32_t                magic; /* for debugging only */                 
#endif                                                                          
        RADIUS_PACKET           packet; 

radiusd в „боевом“ режиме сперва инстанцирует и инициализирует все модули, потом форкается. Если модуль при инициализации создает нить — нить умирает при форке вместе с родителем. По этому все нити нужно создавать on-demand.