Funciones BRAS L2 para redes VLAN / Q-in-Q
Stingray SG con función BRAS L2 permite realizar las siguientes funciones:
- DHCP RELAY AGENT: monitorización de las solicitudes DHCP de los clientes, autorización inmediata del cliente a través del protocolo Radius en caso de respuesta exitosa del servidor DHCP.
- ARP PROXY: monitorización de las solicitudes ARP de la red local, bloqueo de las solicitudes ARP desde la WAN.
- IP SOURCE GUARD (anti-spoofing): verifica que el paquete LAN pertenece a la misma VLAN desde la que se realizó el registro DHCP. Si no se confirma la pertenencia, el paquete se descarta.
- TERMINACIÓN del tráfico local (intercambio de tráfico dentro de la red entre los abonados).
- TERMINACIÓN DEL TRÁFICO desde la LAN a la WAN.
Como el BRAS L2 funciona en el nivel de vínculo de datos, no sólo opera con las direcciones IP de los usuarios, sino también con las direcciones MAC y los números de red VLAN/Q-in-Q para identificar a los abonados. Esto permite filtrar las solicitudes indebidas, incrementando así la seguridad de la LAN. Es preferible la identificación de red Q-in-Q, ya que permite identificar a un usuario concreto independientemente de su hardware (como en el caso de la dirección MAC) y no a un grupo como en el caso del encabezado de VLAN.
La función BRAS sólo se aplica en el modo in-line. Si un paquete de la red local se descarta o tiene que volver a la red, no se produce el reconocimiento del contenido del paquete (payload) ni su identificación.
Activación de BRAS L2
Para activar la función BRAS, es necesario realizar cambios en el archivo de configuración fastdpi.conf:
- bras_enable=1 – activamos el BRAS.
- bras_arp_ip – establecemos para el BRAS una dirección IPv4 arbitraria, que debe estar desvinculada de las interfaces y no estar asignada a ningún usuario.
- bras_arp_mac – establecemos la dirección MAC (XX:XX:XX:XX:XX) para el BRAS, la dirección debe ser única, puede ser falsa, pero se recomienda elegir la dirección MAC real de una de las tarjetas-adn.
- udr=1 – activamos el UDR (user data repository – base de datos interna de propiedades de los usuarios).
Ejemplo de configuración:
udr=1 bras_enable=1 bras_arp_ip=192.168.1.255 bras_arp_mac=a0:00:b1:01:4e:cc
Sesión de usuario
Para iniciar una sesión, se debe recibir la respuesta DHCPACK del servidor DHCP a la solicitud del cliente DHCPREQUEST/DHCPINFORM, de donde el módulo fastDPI BRAS extrae y graba la información en la UDR:
- Dirección MAC del usuario;
- Dirección IP del usuario;
- Identificadores VLAN / Q-in-Q del usuario.
La autentificación posterior de cualquier paquete de usuario y la terminación/originación del tráfico se realiza utilizando esta información.
Una sesión de usuario puede estar en uno de estos tres estados:
- Activa – se ha recibido una respuesta DHCPACK positiva a la solicitud de dirección IP de DHCPREQUEST.
- Cerrado – se ha recibido la solicitud DHCPRELEASE/DHCPDECLINE para liberar la dirección IP.
- Desconocido – no ha pasado ninguna solicitud de arrendamiento de IP a través de fastDPI. Las sesiones se encuentran en este estado al reiniciarse fastDPI.
Se considera que una sesión ha finalizado al recibir una solicitud DHCPRELEASE o DHCPDECLINE, tras lo cual se empiezan a descartar todos los paquetes del usuario.
DHCP RELAY AGENT y DHCP RADIUS PROXY
Para monitorear el inicio/fin de las sesiones de los usuarios, FastDPI BRAS monitorea las solicitudes DHCP de los equipos de los usuarios. Son posibles dos modos de monitorización mutuamente excluyentes que se establecen mediante el parámetro de configuración bras_dhcp_mode en el archivo fastdpi.conf:
- bras_dhcp_mode=1 – en este modo, fastDPI funciona como DHCP Relay Agent;
- bras_dhcp_mode=2 – en este modo, fastDPI funciona de hecho como un servidor DHCP, solicitando una dirección IP y otros parámetros al servidor Radius a través de fastPCRF.
Al operar con un servidor DHCP situado en un segmento de red separado, FastDPI BRAS actúa como AGENTE DE RELEVO DHCP para las solicitudes DHCP de los equipos de usuario a los servidores DHCP y el flujo inverso de las respuestas del servidor DHCP a los equipos de los usuarios. Esto permite controlar el inicio y el final de las sesiones de los usuarios.
Las direcciones de los servidores DHCP se especifican en fastdpi.conf mediante el parámetro bras_dhcp_server, y cada servidor DHCP (hasta 16) se describe con un parámetro independiente:
bras_dhcp_server=host%dev:port{;name=val}*
donde:
- host – dirección IP del servidor DHCP;
- dev – el nombre de la interfaz de red desde donde se comunica con el servidor;
- port – puerto (por defecto: 68);
- name=val – parámetros adicionales:
-
- reply_port – puerto en el cual se esperan las respuestas del servidor DHCP (por defecto: 68);
- arp_proxy – marca para responder a las solicitudes ARP de la dirección IP del servidor DHCP.
Ejemplo de configuración para dos servidores DHCP:
bras_dhcp_server=192.168.1.1%eth0;arp_proxy=1 bras_dhcp_server=192.168.1.2%eth0;arp_proxy=1
Una vez que se ha establecido con éxito la sesión, el abonado recibe una dirección IP y el fastDPI BRAS envía inmediatamente una solicitud Radius para autorizar y obtener un perfil de abonado con información sobre el plan de tarifas, servicios adicionales y otros.
El modo DHCP RADIUS PROXY está destinado para crear redes sin servidores DHCP dedicados. En lugar de servidores DHCP, se utiliza un servidor Radius y el fastDPI, combinado con el fastPCRF, actúa como servidor DHCP. La secuencia de procesamiento de las solicitudes es la siguiente:
- FastDPI recibe las solicitudes DHCP de los equipos de los usuarios y las reenvía a fastPCRF.
- FastPCRF convierte una solicitud DHCP en una Radius Access-Request y la reenvía al servidor Radius.
- Al recibir la respuesta Access-Accept/Access-Reject, fastPCRF la convierte en un formato interno y la envía a fastDPI.
- FastDPI genera una respuesta DHCP y la envía al usuario, además de memorizar los perfiles de usuario y el conjunto de servicios conectados.
Este modo de funcionamiento puede ser interesante para algunos ISP, ya que no requiere un servidor DHCP dedicado.
ARP PROXY
El archivo de configuración fastdpi.conf debe ser modificado para activar el procesamiento de solicitudes ARP:
bras_arp_proxy=1
A continuación, el fastDPI BRAS responderá con su dirección MAC a las siguientes solicitudes ARP, independientemente de la dirección IP de la que procedan:
- Solicitud de «su» dirección IP si la dirección IP buscada es la misma que la especificada en el parámetro bras_arp_ip.
- Solicitud de la dirección IP del servidor DHCP si la marca arp_proxy=1 está establecida para el servidor DHCP. En este caso se devuelve el valor del parámetro bras_arp_mac como dirección MAC.
- Solicitud para la dirección IP local si el estado de la sesión para esa IP no es «sesión cerrada», es decir, si no se ha realizado un DHCPRELEASE/DHCPDECLINE explícito.
IP SOURCE GUARD
Se garantiza una seguridad adicional en la red mediante el control de los identificadores VLAN y las direcciones IP de los abonados. Después de emitir la dirección IP a través de DHCP, fastDPI BRAS graba los identificadores VLAN/Q-in-Q del abonado en su base de datos UDR y utiliza además estos datos para controlar las coincidencias de la dirección IP de la fuente del paquete y la etiqueta VLAN.
Para activar el modo IP source guard, se debe registrar en fastdpi.conf:
bras_ip_source_guard=
- 0 – IP source guard no se aplica (disabled) – valor por defecto.
- 1 – IP source guard está activado y se aplica sólo a las sesiones activas.
- 2 – strict: IP source guard está activado y se aplica a las sesiones activas y a las sesiones en estado desconocido.
IP source guard se aplica sólo al tráfico saliente (desde la LAN a WAN).
TERMINACIÓN del tráfico local
El FastDPI BRAS puede terminar el tráfico local (intranet) entre usuarios. La activación de esta función se controla mediante el archivo de configuración fastdpi.conf:
bras_terminate_local=
- 0 – esta opción está desactivada – valor predeterminado;
- 1 – la terminación del tráfico local está activada.
La terminación del tráfico local sólo funciona si está activado el ARP PROXY para las direcciones locales.
BRAS compara la dirección MAC del destinatario del paquete con su dirección MAC establecida por el parámetro bras_arp_mac, si estas direcciones MAC coinciden, el paquete se considera local.
TERMINACIÓN DEL TRÁFICO desde la LAN a la WAN
El FastDPI BRAS puede terminar el tráfico saliente LAN -> WAN y originar el entrante WAN -> LAN. Terminación es la eliminación de las etiquetas VLAN del paquete saliente, originación (origination) es la adición de las etiquetas VLAN correspondientes a la dirección IP de destino.
La activación del modo de terminación del tráfico está determinada por el archivo de configuración fastdpi.conf:
bras_vlan_terminate=
- 0 – terminación desactivada;
- 1 – terminación «justa»: las etiquetas VLAN se cortan de los paquetes;
- 2 – sustitución de etiquetas VLAN
- 3 – transformación de etiquetas VLAN.
En el modo bras_vlan_terminate=1, FastDPI BRAS elimina todas las etiquetas VLAN de los paquetes salientes (LAN -> WAN) e inserta las etiquetas VLAN en los paquetes entrantes (WAN -> LAN). Al originar el tráfico, las etiquetas VLAN se toman de las propiedades de la dirección IP del destinatario (de la base de datos interna – UDR).
Este modo puede ser bastante costoso para fastDPI, ya que está optimizado para el filtrado de paquetes más que para su modificación. El copiado necesario del contenido de los paquetes que se produce al eliminar/añadir las etiquetas VLAN puede reducir significativamente el rendimiento de fastDPI.
Por lo tanto, fastDPI BRAS tiene otro modo de terminación de tráfico: el modo de puesta a cero de las etiquetas VLAN (bras_vlan_terminate=2). En este modo, las etiquetas VLAN L2 permanecen en el paquete, pero su valor se sustituye por una constante establecida por el parámetro de configuración bras_vlan_subst. Se supone que hay algún equipo detrás del fastDPI BRAS que sabe cómo cortar eficazmente las etiquetas VLAN en el tráfico saliente y añadir etiquetas VLAN en el tráfico entrante.
Para obtener más información sobre la configuración y el funcionamiento de la función BRAS L2 del sistema de análisis de tráfico de Stingray Service Gateway, póngase en contacto con los especialistas de la empresa VAS Experts, que están a su disposición para ayudarle en este aspecto, así como para asesorarle sobre otras funciones de la plataforma.