Dx služba Mango Radius - autorizace koncových zařízení

Koncepce Mango Radius

 MANGO  Radius je služba v rámci Mango Network Services, která je poskytovaná Dx serverem. Službu lze využít zejména pro autorizaci zařízení (nejčastěji koncových) a také k jejich konfiguraci, pokud to umožňuji. Službu lze také použít pro autorizaci přístupů na zařízení.

Pojmy

• CP - Mango partner - zákazník OG Soft s.r.o. využívající systém Mango
• CPE - customer-provided equipment - zařízení sloužící jako rozhraní mezi sítí CP a zařízením zákazníka, případně přímo zařízení zákazníka
• NAS - zařízení ověřující přístup CPE do sítě
• AP - zařízení, které slouží pro připojování CPE zařízení u zákazníků (přístupový switch, nebo přístupový Mikrotik router apod.)
• Hotspot - NAS pracující v režimu hotspot (např. Mikrotik s příslušným nastavením)
• Radius - protokol přenášející autorizaci, autentikaci a konfigurační údaje mezi NASem a autentikačním serverem (v tomto případě Mango Radius serverem)
• Radius server - jednak software, který přes Radius protokol přijímá požadavky na autorizaci od NASu a odpovídá na ně, jednak zařízení v síti s tímto softwarem
• Mango Radius* - Radius server v Mango, s konfigurací generovanou systémem

Režimy autorizace zařízení

• Režim AP
  CPE jsou autorizovány na základě MAC adresy
• Režim Hotspot
  CPE jsou autorizovány na základě MAC nebo na základě jména a hesla zákazníka v tzv. hotspotovém modelu

Parametry pro Radius autorizaci je možné implementovat jak pro celé NAS zařízení evidované v Mango, nebo i nebo pro jeho jednotlivé interface. To umožňuje na různých interfaces nastavit rozdílné režimy autorizace. Nastavení na interface má potom vyšší prioritu než nastavení na NAS.

Společné parametry pro oba režimy:

• Politika autorizace (AUTH_POLITICS) - [DROP/ALLOW_SLOWLY] - je-li hodnota ALLOW_SLOWLY, pak jsou při MAC autorizaci zařízení s neznámou MAC adresou povolena minimální rychlostí, v případě DROP jsou neznámá zařízení odmítnuta
• Pool lease time - doba zapůjčení IP pro neznámá zařízení (default: 120s)
• Default lease time - doba zapůjčení IP pro autorizovaná zařízení (default: 3600s)

Režim AP

NAS ověřuje CPE na základě jeho MAC adresy s využitím Radiusu. CPE je vrácena IP adresa z Mango u něho uvedená. Při ověřování se kontroluje i to, zda je v Mango příslušný NAS nadřazeným zařízením a zda je CPE připojeno za správným rozhraním . Pokud je pro Mango MAC adresa neznámá, Mango Radius vrátí IP z poolu pro neznámá zařízení a při pokusu přístupu na internet přes Mango RM je požadavek přesměrován na selfcare, kde si zákazník může po přihlášení svým jménem a heslem MAC adresu v Mango změnit a poté jě přesměrován zpět na požadované url.

Funkcionalita změny MAC adresy zákazníkem v Selfcare je podmíněna dalšími nastavením lokace.

Pro AP s Mango Radius autorizací je třeba pro tento NAS resp. pro jeho interface v Mango nastavit nekteré z následujících parametrů:

Základní parametry NAS

• Radius autorizace (NAS) - ano
• MAC autentifikace (MAC_AUTH) - ano
• DHCP z radiusu - ano
• Identifikačbí jméno (HS_LOC_ID) autorizujícího zařízení nastavené ve fyzickém zařízení, nemusí být vždy využito

Parametry NAS pro radius servery

* IP radius serveru (RADIUS_SERVER) - IP adresa Mango Radius (např. 10.255.245.1) * IP radius klienta (RADIUS_CLIENT) - IP adresa nadřizeného Radius serveru pro Mango Radius (nemusí být využito) * Radius heslo (SECRET) - heslo shodné s heslem "Secret" v nastaveni Radiusu na autorizujícím zařízení * Priorita serveru (SRV_PRIORITY) - priorita Radius serveru

Rozsahy NAS adres pro zařízení

Je potřeba nadefinovat rozsahy pro známá a neznámá zařízení tj. Druh rozsahu=Default resp. Druh rozsahu=POOL

• Druh rozsahu (IPRANGE_TYPE) - POOL (rozsah pro neznámá zařízení), DEFAULT (rozsah pro autorizovaná zařízení)
• IP adresa od (IPRANGE_START) - rozsah od
• IP adresa do (IPRANGE_END) - rozsah do
• Gateway (IPRANGE_GATEWAY) - IP gateway
• Maska sítě (IPRANGE_MASK) - maska (formát xxx.xxx.xxx.xxx)
• Druh zařízení (IPRANGE_NTYPE) - třída CPE zařízení, pro kterou rozsah platí (WIFI, NIC, DSL_MODEM, ...)

Pro CPE zařízení je pak obvykle potřeba mít implementované některé z následujících parametrů:

Parametry CPE:

• • IP adresa zařízení (MANAG_IP) - IP adresa, která se bude přidělovat pomocí Radius serveru.
  • MAC adresa zařízení (MAC_ADDRESS) - MAC adresa, dle které je možné přidělovat IP pomocí Radius serveru.
  • ID služby (SERVICE_ID) - Identifikátor služby, dle kterého je možné přidělovat IP pomocí Radius serveru.
  • Heslo (PASSWORD) - Heslo pro připojení ke službě - používá se např. v DSL sítích
  • Framed-Route - Rozsah IP adres, které se budou přidělovat pomocí Radius serveru.

Režim hotspot

Režim, ve kterém jsou CPE autorizována na základě MAC nebo na základě jména a hesla zákazníka, který má v Mango aktivovanou hotspot službu, resp. na základě jména a hesla uvedeného jako parametr hotspotové služby.

Pro hotspot s Mango Radius autorizací je třeba pro NAS resp. pro jeho interface v Mango nastavit:

Základní parametry

• Radius autorizace (NAS) - ano
• Režim HOTSPOT - ano
• Identifikačbí jméno (HS_LOC_ID) autorizujícího zařízení nastavené ve fyzickém zařízení
• DHCP z radiusu (NAS_DHCP) - pokud je nastaven, Mango Radius NASu vrací id DHCP poolu (nevrací IP adresu)

Parametry pro radius servery

• IP radius serveru (RADIUS_SERVER)- IP adresa Mango Radius
• Radius heslo (SECRET) - heslo shodné s heslem "Secret" v nastaveni Radiusu na autorizujícím zařízení
• Priorita serveru (SRV_PRIORITY) - priorita Radius serveru

NAS musí být členem skupiny zařízení, která sdružuje hotspoty dostupné pro hotspotovou službu. Zákazník musí mít aktivní datovou službu s nastaveným parametrem hotspot na hodnotu NONE a nastavený parametr hotspot_group na odpovídající skupinu zařízení.

Pro aktivní službu zákazníka může být nastavena i dvojice parametrů service_login a service_password. K ověření jména a hesla se potom použijí tyto paramtery.

Jestliže parametr hotspot v modulu Produkty a služby má hodnotu "FREE", nastaví se pro session klienta na NASu timeout 1 hodina, jestliže má nějakou jinou hodnotu, nastaví se na čtyři hodiny.