De acuerdo

Utilização de um mesmo BNG com diferentes bases de dados de autenticação

Última respuesta en. 31, 2021 08:13:34 687 3 2 0 0

Com o crescente número de aquisições e fusões dos provedores brasileiros, está cada vez mais frequente o pedido de ajuda para conseguir configurar o BNG para utilizar dois servidores radius diferentes no momento de autenticar os assinantes, pois durante o processo de unificação das operações, normalmente os ISP trabalham com bases de dados separadas.

Para que seja possível compartilhar o mesmo BNG para as duas operações em processo de fusão, são necessárias algumas tarefas simples que descrevo abaixo:

 

Primeiro passo:

        Configurar um “radius-server group” apontando para o radius server de cada um dos ISP envolvidos.

 

radius-server group ISP-1

 radius-server shared-key-cipher %^%#tE;&::5;b6Jdr4@.Y#FYlK\m,(E~MW-IOa2sKzF&%^%#

 radius-server authentication 192.168.0.1 1812 weight 0

 radius-server accounting 192.168.0.1 1813 weight 0

 radius-server source interface LoopBack0

 radius-server user-name original

#

radius-server group ISP-2

 radius-server shared-key-cipher %^%#tE;&::5;b6Jdr4@.Y#FYlK\m,(E~MW-IOa2sKzF&%^%#

 radius-server authentication 172.16.0.1 1812 weight 0

 radius-server accounting 172.16.0.1 1813 weight 0

 radius-server source interface LoopBack0

 radius-server user-name original

#

 

Segundo passo:

        Configurar um domínio para cada um dos ISP envolvidos.

 

#

aaa

domain isp1.com.br

  authentication-scheme default

  accounting-scheme acct1

  radius-server group ISP-1

#

aaa

domain isp2.com.br

  authentication-scheme default

  accounting-scheme acct1

  radius-server group ISP-2

 

Terceiro passo:

        Neste passo podemos fazer a referência ao domínio de duas formas diferentes:

 

        Caso os assinantes estejam divididos em vlans diferentes, ou seja, os assinantes de cada ISP divididos em seus respectivos blocos de VLAN, podemos fazer a associação do domínio de autenticação diretamente na interface:

 

interface Eth-Trunk1.300

user-vlan 300 qinq 1 4094

bas

 #

  access-type layer2-subscriber default-domain authentication isp1.com.br

 #

#      

interface Eth-Trunk1.400

user-vlan 400 qinq 1 4094

bas

 #

  access-type layer2-subscriber default-domain authentication isp2.com.br

 #

#      

 

        Mas se não for possível a separação dos assinantes por vlans, basta que eles utilizem seu username com o domínio específico após o @.


user_xpto@isp1.com.br


user_wyz@isp2.com.br 


        Com estas simples configurações é possível o compartilhamento do mesmo equipamento BNG utilizando bases de dados de assinantes diferentes, sem interferências.

 

        Espero ter ajudado a comunidade. Peço que comentem sua experiência com o assunto e deixem dicas ou sugestões de uso diferentes para o que abordamos.

 

 

#VIP

#ComunidadHuaweiEnterprise

La publicación está sincronizada con: Publicações em português

  • x
  • convención:

vagkaefer
Publicado 2021-1-28 20:31:48
Muito bem explicado, muitos pedem sobre isso, muito bom
Ver más
  • x
  • convención:

KleitonSilva
Publicado 2021-1-31 08:13:34

Excelente contruibuição, mestre.

Seria possível o seguinte cenário?
Dois provedores compartilhando um NE8000, na VS principal o BRAS com PPPoE, cada cliente de cada provedor autenticando no Radius de seu ERP especifico.
Na VS secundária, duas VRFs, sendo cada uma para receber o trânsito de cada provedor, dando assim a possibilidade deles saberem o que cada um consome de trânsito IP.

Ver más
  • x
  • convención:

LuizPuppin
LuizPuppin Publicado 2021-2-2 05:05 (0) (0)
Boa Kleiton, funciona mas wu questiono o porque fazer em VRF que precisa pagar licença e não em outra VS pra realizar essa divisão?  

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.