Stargazer

h1. Модуль Управления коммутационным оборудованием по протоколу RADIUS

Модуль должен иметь возможность предоставлять функционал для реализации управления коммутационным оборудованием по протоколу RADIUS, посредством взаимодействия с коммутационным оборудованием.

Для этого модуль должен предоставлять возможности:

* взаимодействия с RADIUS-серверами, как промежуточным звеном, между ACP и коммутационным оборудованием

* получения от RADIUS-серверов информации, необходимой для идентификации Абонента (MAC-адрес Абонента, IP-адрес коммутационного оборудования, к которому подключен Абонент, пароль Абонента)

* предоставления RADIUS-серверам информации, необходимой для аутентификации, авторизации и аккаунтинга (ААА) посредством коммутационного оборудования

Модуль должен реализовывать возможности ААА для следующих технологий:

* MAC-Based Access Control / MAC Address Authentication

* IGMP Access Control

* -802.1X-

h2. API

Взаимодействие между сервером RADIUS и АСР происходит посредством _Программного интерфейса (API)_, который представляет из себя клиент-серверное взаимодействие посредством "JSON":http://en.wikipedia.org/wiki/JSON.

Взаимодействие между сервером RADIUS и коммутационным оборудованием происходит посредством протокола RADIUS в реализации сервера "FreeRADIUS":http://freeradius.org/ с использованием модуля rlm_stg, к этому серверу.

h2. MAC-Based Access Control / MAC Address Authentication

Реализация MAC-Based Access Control / MAC Address Authentication (MBA/MAA) происходит посредством получения RADIUS-сервером от коммутационного оборудования информации, необходимой для аутентификации Абонента, и получением от АСР,

информации необходимой для авторизации Абонента.

Суть технологии в назначении VLAN ID, 802.1p приоритета и bandwidth assignment на основе MAC адреса посредством взаимодействия коммутационного оборудования с ACP.

*MAC-Based Access Control*

В коммутаторах D-Link реализовано два режима работы MBA — _port-based_ и _host-based_. Режим _port-based_ работает в отношении порта коммутатора (аутентифицируется и авторизуется весь порт целиком), _host-based_ работает в отношении конкретного MAC адреса (аутентифицируется и авторизуется конкретный MAC адрес).

При _port-based_ режиме работают все возможности управления (назначение VLAN, указание 802.1p метки и bandwidth assigment для трафика).

При _host-based_ работает только управлением VLAN ID. Указание 802.1p не работает так приоритет задается для всего порта, а bandwidth assigment не работает, так как полисер работает на уровне порта.

Технология поддерживает Guest VLAN, при которой неизвестный для ACP/коммутатора MAC адрес помещается в отдельный VLAN.

Также на коммутаторах реализован failover. В случае если RADIUS-сервер недоступен и на коммутаторе есть информация о MAC адресе, может быть использована локальная БД коммутатора для аутентификации и авторизации абонента.

При использовании failover'а нужно держать локальную базу коммутатора синхронизированной с базой ACP (посредством SNMP).

Информация о MAC адресах может быть получена, как от ACP через RADIUS, так и из локальной БД на самом коммутаторе.

При аутентификации/авторизации через локальную БД коммутатора на его порту не может быть более 128 записей о MAC адресах для каждого порта коммутатора, то есть всего 128 х количество портов коммутатора.

При аутентификации/авторизации через RADIUS на порту коммутатора не может быть больше 512 записей о MAC адресах. В случае использование failover - не более 128, так как при превышении количества записей о MAC адресах для локальной БД следует разсинхронизация.

Реализация MBA поддерживает настраиваемые таймауты:

* Aging Time — это таймаут, в течении которого MAC адрес считается авторизированным. Диапазон значений: 1-1440 минут, шаг: 1 минута

* Hold Time — это таймаут, между двумя авторизациями, в случае если предыдущая была не успешной. По сути это таймаут, через который MAC адрес сможет выйти из Guest VLAN. Диапазон значений: 1-300 секунд, шаг: 1 секунда

Отдельно стоит отметить, что абоненты, находящиеся в одном порту коммутатора, могут находится в разных VLAN.

!>https://fouzes.com.ua/redmine/attachments/32/mba.png!

*Аутентификация.*

При появлении MAC-адреса Абонента на коммутационном оборудовании на RADIUS-сервер придет запрос, содержащий MAC адрес Абонента, пароль (единый для коммутатора) и IP-адрес коммутационного оборудования:

> Access-Request packet from host 172.18.6.253 port 8021, id=212, length=97

> 	User-Name = "64315095FAF8" (MAC адрес Абонента)

> 	User-Password = "default" (пароль)

> 	NAS-IP-Address = 172.18.6.253 (IP-адрес коммутационного оборудования)

> 	NAS-Identifier = "D-Link"

> 	NAS-Port-Type = Virtual

> 	Service-Type = NAS-Prompt-User

> 	Calling-Station-Id = "64-31-50-95-FA-F8"

+MAC-адрес Абонента+ - это MAC-адрес сетевого оборудования Абонента, посредством которого ему оказывается Услуга.

+Пароль Абонента+ — условный момент, необходимый для реализации взаимодействия между коммутационным оборудованием и RADIUS-сервером по протоколу RADIUS.

Пароль будет единым для всех Абонентов, получающих Услугу через одно и тоже коммутационное оборудование.

Максимально возможная длина пароля — 16 символов.

+IP-адрес коммутационного оборудования+ — IP-адрес, с которого придет запрос на RADIUS-сервер.

*Авторизация.*

После получения запроса от коммутационного оборудования RADIUS-сервер должен предоставить полученную им информацию ACР, которая должна на основе этой информации:

* однозначно идентифицировать Абонента

* принять решение о возможности (или ее отсутствии) предоставить Абоненту Услугу на основе финансовой, административной, либо другой информации, доступной АСР

Далее АСР должна предоставить RADIUS-серверу информацию в какой VLAN следует поместить Абонента для предоставления Услуги (в случае если ее можно предоставить), или 

предоставить RADIUS-серверу информацию, что Услуга не может быть оказана (в случае если Услугу нельзя предоставить)

RADIUS-сервер, после получения от АСР информации, должен ответить на запрос, пришедший ранее с коммутационного оборудования, вставив в ответ информацию о VLAN Абонента

(в случае, когда Услуга должна быть Абоненту оказана), либо отказать в аутентификации на коммутационном оборудовании Абоненту.

> Access-Accept of id 34 to 172.18.6.253 port 8021

> 	Dlink-Ingress-Bandwidth-Assignment := 2000

> 	Dlink-Egress-Bandwidth-Assignment := 3000

>       Dlink-VLAN-ID := "4005"

> 	802-1p = 5

В случае успешной аутентификации и авторизации, Абонент будет аутентифирован на коммутационном оборудовании и авторизирован (помещен во VLAN _(Dlink-VLAN-ID)_, в котором ему будет оказана Услуга), а также, опционально, на порт коммутационного оборудования, куда подключен Абонент, будет назначен соответствующий приоритет _(802-1p)_ для исходящих из порта пакетов _(802.1p)_ и ограничение входящей _(Dlink-Ingress-Bandwidth-Assignment)_ и исходящей _(Dlink-Egress-Bandwidth-Assignment)_ скорости _(Bandwidth Control)_.

В случае не успешной аутентификации, Абонент не будет аутентифицирован на коммутационном оборудовании и, соответственно, будет не авторизован (помещен в Гостевой VLAN, в котором ему будет доступна только Парковая страница).

*Конфигурация.*

Пример настройки FreeRADIUS-сервера:

<pre>

192.168.5.3 modules # cat stg

stg {

       address = unix:/var/run/stg.sock

}

192.168.5.3 raddb # cat dictionary

#(TODO: Edge-Core, вроде он использует словарь Cisco - проверить)

freeradius # cat dictionary.edge-core?

</pre>

FreeRADIUS автоматически не загружает все доступные словари, они должны быть явно подключены с помощью директивы $INCLUDE. Например:

<pre>

root@temp-laptop:~# grep dlink /usr/share/freeradius/dictionary

$INCLUDE dictionary.dlink

</pre>

_address = 192.168.5.160_ - IP адрес ACP

_port = 9090_ - порт, для взаимодействия между RADIUS сервером и ACP посредством Apache Thrift

* для динамических клиентов

<pre>

192.168.5.3 sites-enabled # cat clients

# Define a network where clients may be dynamically defined.

client dynamic {

        ipaddr = 10.0.0.0 # IP Adress

        netmask = 24 # Netmask. /32 for IPv4 is prohibited.

        lifetime = 0 # Lifetime is "0", the dynamic client is never deleted. Restart server to delete client.

        dynamic_clients = isp_server # Define the virtual server used to discover dynamic clients.

}

authorize {

        isp

        pap

}

authenticate {

        isp

        pap

}

post-auth {

        isp

}

preacct {

        isp

}

accounting {

        isp

}

# This is the virtual server referenced above by "dynamic_clients".

server isp_server {

        authorize { # The only contents of the virtual server is the "authorize" section.

                update control {

                        FreeRADIUS-Client-IP-Address = "%{Packet-Src-IP-Address}" # Echo the IP address of the client.

                        FreeRADIUS-Client-Require-MA = no # require_message_authenticator

                        FreeRADIUS-Client-Secret = "test" # secret

                        FreeRADIUS-Client-Shortname = "%{Packet-Src-IP-Address}" # shortname

                        FreeRADIUS-Client-NAS-Type = "other" # nastype

                }

                #Client was defined properly. New client is ignored, if does NOT return "ok".

                ok

        }

}

</pre>

_ipaddr = 10.0.0._0 и _netmask = 24_ - адресное пространство коммутаторов

Параметр FreeRADIUS-Client-Secret называется shared secret. С помощью него шифруется секретная информация при коммуникации с клиентом, в частности — User-Password. Если значение этого поля не совпадает с тем что использовано в клиенте в User-Password на приемной стороне будет мусор.

Модуль типа аутентификации (PAP/CHAP/etc.) нужно подключать после модуля isp в секциях authorize и authenticate. В секции authorize он по полученному от isp Cleartext-Password установит аттрибут Auth-Type, который в секции authenticate будет использован для корректной проверки пароля.

* для статических клиентов

<pre>

TODO

</pre>

Пример настройки коммутационного оборудования:

* D-Link

<pre>

# RADIUS

config radius add 1 192.168.5.3 key test

# MAC-based_Access_Control

enable mac_based_access_control

config mac_based_access_control authorization attributes radius enable

create mac_based_access_control guest_vlanid <VLANID>

config mac_based_access_control guest_vlan ports <PORTS RANGE>

config mac_based_access_control ports <PORTS RANGE> state enable

config mac_based_access_control ports <PORTS RANGE> state disable

config mac_based_access_control ports <PORTS RANGE> max_users 128

config mac_based_access_control ports <PORTS RANGE> aging_time 1440

config mac_based_access_control ports <PORTS RANGE> block_time 300

config mac_based_access_control ports <PORTS RANGE> mode <host_based/port_based>

config mac_based_access_control method radius

config mac_based_access_control password default

</pre>

Замечание: Все VLAN'ы, в которых должны оказаться абоненты в случае успешной авторизации, должны быть заранее созданы на коммутаторе, т.к. реализация MBA у D-Link не создает VLAN'ы, а лишь назначает их на порты.

VLAN'ы на портах могут быть трех состояниях: _trunk_ - VLAN выдан с тегом, _access_ - VLAN выдан без тега, _forbidden_ - VLAN не может быть выдан на этот порт

* Edge-Core

<pre>

TODO

Пока что положу это тут

"IGMP Access у него нет, реализация MBA не подразумевает port-based режим, зато есть фишечка сo static mac-address, они авторизованы по умолчанию.

Ну и более богатые настройки через RADIUS, можно не только rate limit и 802.1p, но и QoS политику повесить на порт, и назначить кучу вланов, указав как именно выданы на порт."

</pre>

h2. IGMP Access Control

Реализация IGMP Access Control происходит посредством получения RADIUS-сервером от коммутационного оборудования информации, необходимой для аутентификации запроса подписки на IGMP-группу, и последующего аккаутинга этой подписки в случае успешной аутентификации.

*Аутентификация.*

При появлении IGMP пакета на коммутационном оборудовании на RADIUS-сервер придет запрос, содержащий MAC-адрес Абонента, пароль Абонента и IP-адрес коммутационного оборудования, номер порта коммутационного оборудования, IP-адрес IGMP-группы:

> Access-Request packet from host 172.16.37.131 port 4973, id=101, length=103

> 	User-Name = "5404A65C4A7D"

> 	User-Password = "5404A65C4A7D"

> 	NAS-IP-Address = 172.16.37.131

> 	NAS-Identifier = "172.16.37.131"

> 	NAS-Port-Type = Virtual

> 	Service-Type = Framed-User

> 	Framed-Protocol = PPP

> 	NAS-Port = 5

> 	Framed-IP-Address = 239.0.0.21

+MAC адрес Абонента+ - это MAC адрес сетевого оборудования Абонента, посредством которого ему оказывается Услуга.

+Пароль Абонента+ — условный момент, необходимый для реализации взаимодействия между коммутационным оборудованием и RADIUS-сервером по протоколу RADIUS.

Пароль соответствует MAC-адресу Абонента.

+IP-адрес коммутационного оборудования+ — IP-адрес, с которого придет запрос на RADIUS-сервер.

+Порт коммутационного оборудования+ — порт, куда включен Абонент.

IP-адрес IGMP-группы — IP-адрес канала, который хочет просмотреть (на который хочется подписаться) Абонент.

На основе ответа от RADIUS-сервера Абоненту будет отказано в подписке на IGMP-группу, либо Абонент будет подписан на нее.

*Аккаунтинг.*

В случае успешной аутентификации, Абонент будет подписан на IGMP-группу, (продолжен после того, как поднимется форум Длинка :)) Что характерно форум Длинка опять лежит =)))

h2. Developer notes

h3. Things to watch out

API FreeRADIUS ветки 2.x.x зависит от наличия/отсутствия NDEBUG:

<pre>

struct auth_req {                                                               

#ifndef NDEBUG                                                                  

        uint32_t                magic; /* for debugging only */                 

#endif                                                                          

        RADIUS_PACKET           packet; 

</pre>

radiusd в „боевом“ режиме сперва инстанцирует и инициализирует все модули, потом форкается. Если модуль при инициализации создает нить — нить умирает при форке вместе с родителем. По этому все нити нужно создавать on-demand.