Fonctions BRAS L2 pour les réseaux VLAN/Q-in-Q
Stingray SG avec fonction BRAS L2 permet d’implémenter les fonctions suivantes :
- DHCP RELAY AGENT – surveillance des requêtes DHCP des clients, autorisation immédiate du client via le protocole RADIUS en cas de réponse réussie du serveur DHCP.
- ARP PROXY – surveillance des requêtes ARP du réseau local, blocage des requêtes ARP du WAN.
- IP SOURCE GUARD (anti-usurpation) – vérification de l’appartenance du paquet LAN au même VLAN que celui d’où provenait l’enregistrement DHCP. Si l’appartenance n’est pas confirmée, le paquet est rejeté.
- BOUCLAGE du trafic local (échange de trafic intranet entre abonnés).
- TERMINAISON DU TRAFIC LAN VERS WAN.
Puisque BRAS L2 fonctionne au niveau de la couche liaison de données, afin d’identifier les abonnés il utilise non seulement les adresses IP des utilisateurs, mais également leurs adresses MAC et leurs numéros de réseau VLAN/Q-in-Q. Cela permet de filtrer les requêtes abusives, en augmentant d’une telle façon le niveau de sécurité du réseau local. L’identification dans réseau Q-in-Q est plus préférable, car cela permet d’identifier un utilisateur spécifique quel que soit son matériel (comme dans le cas d’une adresse MAC) et non un groupe, comme dans le cas d’un en-tête VLAN.
BRAS L2 n’est applicable qu’en mode in-line. Si un paquet provenant du réseau local est rejeté ou il doit revenir sur le réseau, il n’y a pas de reconnaissance du contenu du paquet (payload) ni d’identification.
Activation BRAS L2
Pour activer la fonction BRAS, vous devez apporter des modifications au fichier de configuration fastdpi.conf :
- bras_enable=1 – activer le BRAS.
- bras_arp_ip – définir le BRAS sur une adresse IPv4 arbitraire qui ne doit pas être associée à des interfaces et n’est mappée à aucun utilisateur.
- bras_arp_mac – définir l’adresse MAC pour BRAS (XX:XX:XX:XX:XX:XX), l’adresse doit être unique, peut être fausse, mais il est recommandé de sélectionner l’adresse MAC réelle de l’une des cartes dna.
- udr=1 – activer UDR (user data repository – base de données interne des propriétés utilisateur).
Exemple de configuration :
udr=1 bras_enable=1 bras_arp_ip=192.168.1.255 bras_arp_mac=a0:00:b1:01:4e:cc
Session utilisateur
Pour démarrer une session, il faut recevoir une réponse DHCPACK du serveur DHCP à la requête DHCPREQUEST/DHCPINFORM du client, à partir de laquelle le module fastDPI BRAS récupère et enregistre à l’UDR les informations suivantes :
- adresse MAC de l’utilisateur ;
- adresse IP de l’utilisateur ;
- identificateurs VLAN/Q-in-Q de l’utilisateur.
L’authentification ultérieure de tout paquet utilisateur et la terminaison / origination du trafic sont effectuées à l’aide de ces informations.
Session de l’utilisateur peut être dans l’un des trois états suivants :
- Actif – une réponse positive DHCPACK a été reçue à une demande d’adresse IP DHCPREQUEST.
- Fermé – une demande DHCPRELEASE/DHCPDECLINE pour libérer une adresse IP a été reçue.
- Inconnu – une demande de bail d’adresse IP a échoué via fastDPI. Les sessions sont dans cet état lorsque fastDPI est redémarré.
La fin de la session correspond à l’acceptation des requêtes DDHCPRELEASE ou DHCPDECLINE, après quoi tous les paquets utilisateur commencent à être rejetés.
DHCP RELAY AGENT et DHCP RADIUS PROXY
Pour surveiller le début/la fin des sessions utilisateur, FastDPI BRAS surveille les requêtes DHCP provenant du matériel des utilisateurs. Deux modes de surveillance mutuellement exclusifs sont possibles, qui sont définis par le paramètre de configuration bras_dhcp_mode dans le fichier fastdpi.conf:
- bras_dhcp_mode=1 – dans ce mode, fastDPI agit comme DHCP Relay Agent ;
- bras_dhcp_mode=2 – dans ce mode, fastDPI agit en fait comme un serveur DHCP, en demandant une adresse IP et d’autres paramètres au serveur Radius via fastPCRF.
Lors du travail avec un serveur DHCP placé dans un segment de réseau séparé, FastDPI BRAS agit comme un agent relais (DHCP RELAY AGENT) pour les requêtes DHCP du matériel utilisateur vers les serveurs DHCP et le flux inverse – les réponses du serveur DHCP vers le matériel utilisateur. Cela permet de surveiller le début et la fin des sessions des utilisateurs.
Les adresses de serveur DHCP sont définies dans fastdpi.conf par le paramètre bras_dhcp_server, chaque serveur DHCP (jusqu’à 16) est décrit par un paramètre distinct :
bras_dhcp_server=host%dev:port{;name=val}*
où :
- host – adresse IP du serveur DHCP ;
- dev – nom de l’interface réseau à partir de laquelle la connexion avec le serveur est effectuée ;
- port – port (par défaut : 68) ;
- name=val – paramètres supplémentaires :
-
- reply_port – port où on attend les réponses du serveur DHCP (par défaut : 68) ;
- arp_proxy – fanion de réponse aux demandes ARP de l’adresse IP du serveur DHCP.
Exemple de configuration pour deux serveurs DHCP :
bras_dhcp_server=192.168.1.1%eth0;arp_proxy=1 bras_dhcp_server=192.168.1.2%eth0;arp_proxy=1
Après une configuration de session réussie, l’abonné reçoit une adresse IP et fastDPI BRAS envoie immédiatement une demande Radius d’autorisation et reçoit le profil de l’abonné avec des informations sur le plan tarifaire, les services supplémentaires, etc.
Le mode DHCP RADIUS PROXY est conçu pour créer des réseaux sans serveurs DHCP dédiés. Au lieu de serveurs DHCP, un serveur Radius est utilisé et fastDPI en liaison avec fastPCRF agit comme un serveur DHCP. La séquence de traitement des requêtes ressemble à ceci :
- FastDPI reçoit les requêtes DHCP du matériel utilisateur et les transmet à fastPCRF.
- FastPCRF convertit la requête DHCP en une demande d’accès Radius et la transmet au serveur Radius.
- Lorsqu’une réponse Access-Accept/Access-Reject est reçue, fastPCRF la convertit dans son format interne et l’envoie vers fastDPI.
- FastDPI génère une réponse DHCP et l’envoie à l’utilisateur, et mémorise également les profils de l’utilisateur et l’ensemble des services connectés.
Ce mode de fonctionnement peut intéresser certains FAI, car il ne nécessite pas de serveur DHCP dédié.
ARP PROXY
Pour activer le traitement des requêtes ARP, il faut apporter des modifications au fichier de configuration fastdpi.conf :
bras_arp_proxy=1
Après cela, fastDPI BRAS répond avec son adresse MAC aux requêtes ARP consécutives, quelle que soit l’adresse IP d’où elles proviennent :
- Demande d’une « propre » adresse IP si l’adresse IP recherchée est égale à l’adresse IP spécifiée dans le paramètre bras_arp_ip.
- Demande l’adresse IP du serveur DHCP si le fanion arp_proxy=1 est défini sur le serveur DHCP. Dans ce cas, la valeur du paramètre bras_arp_mac est renvoyée en tant qu’une adresse MAC.
- Demande d’une adresse IP locale si l’état de la session pour cette adresse IP n’est pas « session fermée », c’est-à-dire qu’il n’y a pas eu de DHCPRELEASE/DHCPDECLINE explicite.
IP SOURCE GUARD
Une sécurité supplémentaire sur le réseau est assurée par le contrôle de la correspondance des ID VLAN et des adresses IP des abonnés. Après avoir reçu une adresse IP via DHCP, fastDPI BRAS enregistre les identifiants VLAN/QinQ de l’abonné dans sa base de données UDR, et utilise ensuite ces données pour contrôler la correspondance entre l’adresse IP de la source du paquet et la balise VLAN.
Pour activer le mode IP source guard il faur écrire dans fastdpi.conf :
bras_ip_source_guard=
- 0 – IP source guard non applicable (disabled) – valeur par défaut.
- 1 – IP source guard est activé et s’applique uniquement aux sessions actives.
- 2 – strict: IP source guard est activé et s’applique aux sessions actives et aux sessions dans un état inconnu.
IP source guard s’applique uniquement au trafic sortant (LAN vers WAN).
BOUCLAGE du trafic local
FastDPI BRAS peut boucler le trafic local (intranet) entre les utilisateurs. L’activation de cette fonctionnalité est régie par le fichier de configuration fastdpi.conf :
bras_terminate_local=
- 0 – cette fonctionnalité est désactivée – valeur par défaut ;
- 1 – bouclage du trafic local est activé.
Le bouclage du trafic local ne fonctionne que si la fonction ARP PROXY pour les adresses locales est activée.
BRAS compare l’adresse MAC du destinataire du paquet avec sa propre adresse MAC, spécifiée par le paramètre bras_arp_mac, si ces adresses MAC correspondent, le paquet est considéré comme local.
TERMINAISON DU TRAFIC LAN VERS WAN
FastDPI BRAS peut terminer le trafic sortant LAN -> WAN et terminer le trafic entrant WAN -> LAN. Terminaison est une suppression des balises VLAN d’un paquet sortant, l’atterrissage (origination) est un ajout de balises VLAN correspondant à l’adresse IP du destinataire.
L’activation du mode de terminaison du trafic est déterminée par le fichier de configuration fastdpi.conf :
bras_vlan_terminate=
- 0 – terminaison est désactivée ;
- 1 – « vrai » terminaison, quand les balises VLAN sont coupées des paquets ;
- 2 – remplacement des balises VLAN
- 3 – transformation des balises VLAN.
En mode de bras_vlan_terminate=1, FastDPI BRAS supprime toutes les balises VLAN des paquets sortants (LAN -> WAN) et insère des balises VLAN dans les paquets entrants (WAN -> LAN). Lors de l’atterrissage du trafic VLAN, les balises sont extraites des propriétés de l’adresse IP du destinataire (de la base de données UDR interne).
Ce mode peut être assez coûteux pour fastDPI, car il est optimisé pour le filtrage de paquets, plutôt que de les modifier. La copie nécessaire du contenu du paquet, qui se produit lors de suppression/ajout de balises VLAN peut réduire considérablement les performances de fastDPI.
Par conséquent, fastDPI BRAS a un mode de terminaison de trafic supplémentaire est un mode de remise à zéro des balises VLAN (bras_vlan_terminate=2). Dans ce mode, les balises VLAN L2 restent dans le paquet, mais leur valeur est remplacée par une constante spécifiée par le paramètre de configuration bras_vlan_subst. Il est supposé que derrière fastDPI BRAS, il y a des équipements capables de couper efficacement les balises VLAN sur le trafic sortant et d’et ajouter des balises VLAN sur le trafic entrant.
Plus de détails sur la configuration et l’opération de la fonction BRAS L2 du système d’analyse du trafic Stingray Service Gateway auprès des spécialistes de VAS Experts, qui sont prêts à vous aider à résoudre ce problème, ainsi qu’à vous consulter sur d’autres fonctionnalités de la plateforme.