Integração de Concentradores Cisco
Introdução
Este documento descreve o processo de integração de concentradores Cisco ASR no Sistema. A integração permite configurar e gerenciar concentradores Cisco diretamente através da interface do Sistema.
Acesso ao formulário
Caminho: Sistema > Provedor > Concentradores > Novo
Entrega de Valor
- Configuração centralizada dos concentradores Cisco
- Automação da criação de planos de velocidade
- Automação da criação de regras radius
- Automação da criação de regras de bloqueio
- Gerenciamento simplificado de políticas de rede
Estrutura da Configuração
Aba Principal
- Tipo: Selecione Cisco
- Nome: Identificação do concentrador
- IP: Endereço IP do concentrador
- Login: Credenciais de acesso
- Senha: Senha de acesso
Aba: Configuração Aviso de Atraso
Nesta aba, os usuários podem configurar as regras para avisos de atraso:
Regra para redirecionar o cliente para aviso de atraso
Essa regra atribui um endereço IP diferente para clientes com pendências financeiras em comparação aos clientes ativos. Normalmente, esse IP redireciona o cliente para uma página de aviso sobre o atraso, alertando-o sobre um possível bloqueio. Quando ativada, o sistema se conecta ao concentrador e cria uma pool específica para avisos de atraso.
Dica: Recomendamos não utilizar essa regra devido às suas limitações. Ela funciona apenas em páginas HTTP, o que pode impedir que o aviso de atraso seja exibido corretamente ao cliente final em todos os casos.
| Campo | Descrição | Obrigatoriedade |
|---|---|---|
| Regra aviso de atraso | Utilizado para ativar a regra de atraso | Obrigatório |
| Tipo de aviso | Utilizado para criar regras de dst-nat no mikrotik | Obrigatório |
| Rede de Aviso | Endereço de rede para clientes em aviso | Obrigatório |
| URL para continuar navegando | Caso o cliente desejar continuar navegando, será direcionado para essa página | Opcional |
Regra para bloqueio de navegação
Essa regra é utilizada para atribuir um endereço IP de bloqueio ao cliente. Assim, os clientes passarão a utilizar um IP que impede a navegação, permitindo o redirecionamento do tráfego para uma página com uma mensagem de bloqueio.
| Campo | Descrição | Obrigatoriedade |
|---|---|---|
| Regra de bloqueio | Utilizado para ativar a regra de bloqueio | Obrigatório |
| Redirecionar porta 80 | Utilizado para opção de direcionar porta 80 | Obrigatório |
| Rede bloqueio | Endereço de rede para clientes em aviso | Obrigatório |
Regra para clientes em aguardando assinatura
Essa regra normalmente é utilizada para controlar o acesso dos clientes que estão esperando assinatura. Nessa regra, o sistema permite que todos os clientes em aguardando assinatura desse concentrador, peguem um endereço IP diferente dos clientes ativos, e com isso pode aplicar redução de velocidade, bloqueio total da conexão, direcionamento para página de assinatura, até ser feita a assinatura do contrato.
| Campo | Descrição | Obrigatoriedade |
|---|---|---|
| Regra Assinatura | Utilizado para ativar a regra de bloqueio | Obrigatório |
| Rede bloqueio | Endereço de rede para clientes em aviso | Obrigatório |
Regra para clientes bloqueados em IPv6
Para garantir que clientes com status bloqueado não consigam navegar na rede IPv6, é necessário bloquear tanto a rede IPv4 quanto a rede IPv6. Se você optar por utilizar a regra para IPv6, é imprescindível habilitá-la para assegurar o bloqueio completo. Caso contrário, a inclusão dessa regra não é obrigatória.
| Campo | Descrição | Obrigatoriedade |
|---|---|---|
| Regra de IPv6 | Utilizado para ativar a regra de bloqueio | Obrigatório |
| Rede de aviso IPv6 | Endereço IPv6 delegation para bloqueio | Obrigatório |
| Tamanho do prefixo | Tamanho do prefixo entregue para a conexão | Obrigatório |
Exemplos de endereços ipv6 de bloqueio
Para bloquear a navegação de clientes, podemos utilizar endereços IPv6 que não possuem roteamento, garantindo que não haja tráfego de rede. Dois tipos de endereços que podem ser usados são: Endereços IPv6 de documentação (2001:db8::/32), Endereços IPv6 de Unique Local (fc00::/7).
| Rede IPv6 | Tamanho do prefixo |
|---|---|
| 2001:DB8:FACA::/48 | /64 |
| 2001:DB8:DEAD::/48 | /64 |
| FC00:DEAD:FACA::/48 | /64 |
Aba Configurações Radius
- Porta (1812): Porta utilizada pelo radius para receber os pacotes de autenticação do concentrador
- Timeout: O tempo que o concentrador espera após enviar uma mensagem ao servidor Radius, aguardando o retorno de uma resposta. Se o tempo limite for excedido, o concentrador poderá considerar a requisição como falha.
- Senha Radius: Chave compartilhada entre o servidor Radius e o concentrador, utilizada para descriptografar a senha nas autenticações. Caso essa chave esteja incorreta ou divergente, podem ocorrer erros tanto na autenticação quanto na contabilidade dos clientes.
- SRC. ADDRESS: O endereço de origem do concentrador que será utilizado para enviar os pacotes de autenticação dos clientes. Esse endereço é essencial para garantir que a comunicação entre o radius e o concentrador ocorra de maneira correta durante o processo de autenticação.
Atualizar configuração do radius no concentrador
- Regra Radius: Existem cenários em que não é necessário que o sistema configure as regras do Radius, pois estas já estão configuradas ou ajustadas de uma forma diferente daquela que o sistema utiliza. Nesses casos, é possível marcar uma opção para que o sistema não configure as regras do Radius automaticamente.
- IP Radius VPN: Em cenários onde o sistema e o concentrador não possuem IP público e não estão na mesma rede, é necessário estabelecer uma rede virtual, como uma VPN. Nesse caso, é preciso configurar o sistema para que, sempre que tentar se comunicar com o concentrador, utilize a rede virtual da VPN. Para isso, especifica-se o endereço IP virtual da VPN no sistema, garantindo que a comunicação ocorra corretamente através da rede privada.
Aba Serviços
- Porta TELNET: Obrigatória para comunicação
- Porta Incoming: Utilizada para desconexão e alteração de velocidade dos clientes
Funcionalidades Principais
Configuração Automática
O Sistema realiza automaticamente as seguintes configurações no concentrador Cisco:
- Configuração de pool de atraso
- Criação de ACL de atraso
- Configuração de class-map de atraso
- Configuração do AAA
- Configuração de regras radius
Integração com Planos de Velocidade
Se houver integração com o concentrador Cisco e a configuração de policy estiver ativa, o Sistema criará automaticamente os planos de velocidade no concentrador.
Casos de Uso
Configuração Inicial de Concentrador
- Acesse Sistema > Provedor > Concentradores > Novo
- Preencha os dados obrigatórios
- Configure as abas adicionais conforme necessário
- Clique em Salvar A partir do momento que o Sistema tiver comunicação com o concentrador, serão realizadas as seguintes configurações:
terminal width 0
terminal length 0
config t
1.INICIA CONFIGURAÇÃO PARA REDE DE AVISO
ADICIONA POOL DE ATRASO
ip local pool "pool_aviso_atraso" "ip_inicio ip_fim"
ADICIONA ACL DE ATRASO
ip access-list extended "pool_aviso_atraso"
deny udp any any eq domain
deny udp any any eq domain
deny ip any host "IP_RADIUS_IXC"
permit ip any any
ADICIONA CLASS-MAP DE ATRASO
class-map type traffic match-any "pool_aviso_atraso"
match access-group input name "pool_aviso_atraso"
ADICIONA POLICY SERVICE DE ATRASO
policy-map type service "pool_aviso_atraso"
class type traffic "pool_aviso_atraso"
redirect to ip "IP_RADIUS_IXC" port 8083
ADICIONA POLICY CONTROL DE ATRASO
policy-map type control "pool_aviso_atraso"
class type control always event session-start
1 service-policy type service name "pool_aviso_atraso"
class type control always event account-logon
1 service-policy type service name "pool_aviso_atraso"
2.INICIA CONFIGURAÇÃO PARA REGRA DE BLOQUEIO
ADICIONA POOL BLOQUEIO
ip local pool "pool_bloqueio" "IP_INICIO IP_FIM"
ADICIONA ACL DE BLOQUEIO
ip access-list extended "pool_bloqueio"
deny udp any any eq domain
deny ip any host "IP_RADIUS_IXC"
permit ip any any
ADICIONA CLASS-MAP DE BLOQUEIO
class-map type traffic match-any "pool_bloqueio"
match access-group input name "pool_bloqueio"
ADICIONA POLICY SERVICE DE BLOQUEIO
policy-map type service "pool_bloqueio"
class type traffic "pool_bloqueio"
redirect to ip "IP_RADIUS_IXC" port 8082
ADICIONA POLICY CONTROL DE BLOQUEIO
policy-map type control "pool_bloqueio"
class type control always event session-start
1 service-policy type service name "pool_bloqueio"
!
class type control always event account-logon
1 service-policy type service name "pool_bloqueio"
3. INICIA CONFIGURAÇÃO PARA REDE DE ASSINATURA
ADICIONA POOL DE ASSINATURA
ip local pool "pool_aguardando_assinatura" "IP_INICIO IP_FIM"
ADICIONA ACL DE ASSINATURA
ip access-list extended "pool_aguardando_assinatura"
deny udp any any eq domain
deny ip any host "IP_RADIUS_IXC"
permit ip any any
ADICIONA CLASS-MAP DE ASSINATURA
class-map type traffic match-any "pool_aguardando_assinatura"
match access-group input name "pool_aguardando_assinatura"
ADICIONA POLICY SERVICE DE ASSINATURA
policy-map type service "pool_aguardando_assinatura"
class type traffic "pool_aguardando_assinatura"
redirect to ip 'IP_RADIUS_IXC' port 8083
ADICIONA POLICY CONTROL DE ASSINATURA
policy-map type control "pool_aguardando_assinatura"
class type control always event session-start
1 service-policy type service name "pool_aguardando_assinatura"
class type control always event account-logon
service-policy type service name "pool_aguardando_assinatura"
4. INICIA CONFIGURAÇÃO DE IPV6 DE BLOQUEIO
ADICIONA DHCP POOL DE IPV6
ipv6 local pool "pool_aviso_bloqueio_ipv6" "Pool_IPV6" "PREFIXO"
ADICIONA DHCP SERVER
ipv6 dhcp pool "pool_aviso_bloqueio_ipv6"
prefix-delegation pool "pool_aviso_bloqueio_ipv6" lifetime 1800 600
accounting pppoe-auth
ADICIONA ACL DE IPV6
ip access-list extended "pool_aviso_bloqueio_ipv6"
deny udp any any eq domain
deny ip any host "IP_RADIUS_IXC"
permit ip any any
ADICIONA CLASS-MAP DE IPV6
class-map type traffic match-any "pool_aviso_bloqueio_ipv6"
match access-group input name "pool_aviso_bloqueio_ipv6"
ADICIONA POLICY SERVICE DE IPV6
policy-map type service "pool_aviso_bloqueio_ipv6"
class type traffic "pool_aviso_bloqueio_ipv6"
ADICIONA POLICY CONTROL DE IPV6
policy-map type control "pool_aviso_bloqueio_ipv6"
class type control always event session-start
1 service-policy type service name "pool_aviso_bloqueio_ipv6"
!
class type control always event account-logon
1 service-policy type service name "pool_aviso_bloqueio_ipv6"
5. INICIA CONFIGURAÇÃO DO AAA
ADICIONA RADIUS
radius server IXCSoft
address ipv4 "IP_RADIUS_IXC" auth-port 1812 acct-port 1813
key "SENHA_RADIUS"
ADICIONA CONFIGURACAO AAA
aaa authentication ppp default group radius local
aaa authorization network default group radius
aaa accounting delay-start
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
aaa accounting update periodic 20
aaa accounting session-duration ntp-adjusted
radius-server attribute 31 mac format ietf upper-case
radius-server attribute 31 send nas-port-detail mac-only
aaa session-id common
aaa policy interface-config allow-subinterface
aaa authorization subscriber-service default local group radius
CONFIGURA DESCONEXÃO COA
aaa server radius dynamic-author
client "IP_RADIUS_IXC" server-key "SENHA_RADIUS"
server-key "SENHA_RADIUS"
port 3799
auth-type any
ignore session-key
end
SALVA CONFIG
write
Atualização de Políticas de Rede
- Acesse o concentrador configurado
- Modifique as configurações de aviso e bloqueio
- Salve as alterações
Fluxos de Trabalho
graph TD A[Acesso ao Sistema] --> B[Menu Provedor] B --> C[Concentradores] C --> D[Novo/Editar Concentrador] D --> E{Tipo Cisco?} E -->|Sim| F[Preencher Dados] F --> G[Configurar Abas] G --> H[Salvar] H --> I[Sistema Configura Concentrador] I --> J[Criação de Planos de Velocidade]
Considerações Finais
A integração de concentradores Cisco no sistema proporciona uma solução robusta para o gerenciamento centralizado da infraestrutura de rede. Um ponto a destacar é a simplicidade na criação de planos de velocidade no formato estático, garantindo uma configuração eficiente e otimizada para o controle de banda e desempenho da rede.
Etiquetas
Provedor Concentradores Cisco ConfiguracaoDeRede