Contención en Splynx (Agregación de usuarios)

Splynx proporciona la función de contención o agregación. Esta característica se utiliza cuando el ISP vende los servicios de los usuarios finales con una tasa de contención, por ejemplo 1:5, 1:10, etc. La contención significa que el usuario final compartirá el ancho de banda con otros usuarios finales de su grupo.

Splynx opera con dos tipos de disputas: Por plan y por enrutador.

1. Plan basado en contención.

Echemos un vistazo al ejemplo.
Estamos vendiendo a los usuarios finales un plan de 5 Mbps con una tasa de contención de 1: 5. Significa que Splynx configurará el límite de velocidad padre de 5 Mbps y bajo este padre colocará a 5 usuarios con un límite de velocidad de 5 Mbps cada uno. Qué sucederá en esta situación: si la línea está libre y un usuario comienza a descargar/cargar, obtiene un rendimiento total de 5 Mbps. En el caso, cuando el segundo usuario comienza a descargar activamente, obtendrán 2,5 Mbps cada uno. Cuando los 5 usuarios descargarán simultáneamente con la velocidad máxima, compartirán el ancho de banda.

Se describe en la imagen a continuación:

Plan1

 

 

 

 

 

 

 

 

 

 

Podemos sintonizar un poco el intercambio de velocidad con la configuración de «Límite-a» o velocidad garantizada. Si colocamos 1 Mbps para cada usuario, entonces todos los usuarios siempre obtendrán al menos 1 Mbps.

En ese caso, los 5 usuarios descargarán simultáneamente con una velocidad de 1 Mbps. Se muestra en una segunda captura de pantalla.

Plan2

 

 

 

 

 

 

 

 

 

 

¿Qué sucederá en una situación en la que pondremos a 7 usuarios en un plan de contienda 1: 5? Splynx cambiará la velocidad principal a 7 Mbps en este caso particular, pero dejará la velocidad máxima de cada usuario en 5 Mbps.

Plan4

 

 

 

 

 

 

 

 

 

 

 

 

 

Si planea implementar contenciones basadas en planes, úselo en enrutadores centrales para lograr grandes cantidades de usuarios en un árbol. Compare dos situaciones: árbol de contención 1: 5 con 5 usuarios y dos de ellos descargan de forma muy activa a máxima velocidad, lo que significa que otros 3 usuarios nunca obtendrán velocidad de 5 Mbps, porque todos están bajo un padre común de 5 Mbps.

Si colocamos 20 usuarios en este contendido 1: 5, la velocidad máxima de los padres se configurará en 20 Mbps y los usuarios que descargan de forma muy frecuente no usarán todo el ancho de banda.

Plan5

2. Router basado en contención.

La contención basada en enrutadores se usa en este escenario:

Imagine que tenemos un AP inalámbrico que está conectado a la red troncal con velocidad de 30 Mbps. Pero nos conectamos con los usuarios de AP con un ancho de banda total posible de 60 Mbps. Lo que puede suceder en un tiempo pico es que los usuarios consumirán más tráfico del que pueden enviar a través del enlace ascendente. Significa que el enlace inalámbrico puede volverse excesivo e inestable. Se muestra en la imagen a continuación.

Topology-Router1

Para evitar esta situación, se puede usar contención basada en el enrutador. En Splynx, cada enrutador tiene el campo «Límites de sector / velocidad», donde se pueden definir grupos y el administrador puede ubicar a los usuarios en estos grupos. Como resultado, lograremos contención por enrutador:

Router4

 

 

 

 

 

 

 

 

 

 

 

 

 

En este breve tutorial, puede encontrar cómo configurar la contención basada en Splynx y Plan:

La configuración de la contención basada en enrutadores se muestra en otro video:

 

Bloqueo de clientes que no pagan en Splynx

Splynx bloquea automáticamente a los clientes que no pagan. Además, el administrador puede bloquear al cliente manualmente. Cuando el cliente se pone en estado Bloqueado o Inactivo, Splynx envía un comando al enrutador para bloquearlo. Si se cambia el estado a Bloqueado, Splynx nunca corta el servicio, sino que coloca la dirección IP del usuario final en la Lista de direcciones o proporciona la dirección IP del grupo de IP para los clientes bloqueados. Luego, el administrador puede crear una regla en el enrutador para redirigir a los que no pagan a una página especial.

Splynx tiene 4 páginas de bloqueo predeterminadas que se encuentran en:http: //yoursplynxurl:8101, http://yoursplynxurl:8102, http: //yoursplynxurl:8103 y http: //yoursplynxurl:8104

Es un archivo HTML, que se puede cambiar a través de la línea de comandos dentro de su instalación splynx (SSH) en /var/www/splynx/web/errors/ y las carpetas 1,2,3,4 corresponden a los puertos 8101, 8102, 8103 y 8104

Ejemplo de página de bloqueo predeterminada:

2016-09-02 03.53.25 pm

Ejemplo de página personalizada:

2016-09-02 03.52.51 pm

Hay 4 tipos de escenarios de bloqueo:

1.Bloqueo API Mikrotik

Si usa la autenticación basada en Mikrotik – Hotspot, DHCP, Wireless o PPP, entonces como primer paso, debe habilitar el bloqueo de API de los usuarios. Se llama «Clientes deshabilitados a la Address-List» en la configuración de la API del enrutador:

disabled

Cuando el cliente se mueve al estado «Bloqueado», su dirección IP se coloca en la lista de direcciones «SpLBL_blocked». Al establecer las reglas para la redirección, puede lograr que el cliente vea una página web especial con información sobre por qué se bloqueó su acceso a Internet.

2. Radius COA blocking
En Radius por defecto también trabajamos con Addres-lists. Splynx usa los nombres de las listas de direcciones Reject_1, Reject_2, Reject_3 y Reject_4 para diferentes tipos de errores. Los nombres de las address-list se configuran en Configuración -> Red -> Radius y también en el campo COA Block Atributes:

2016-09-02 04.18.24 pm

3. Desconexión de la sesión de Radius
La diferencia entre el bloque Radius COA y el bloqueo de sesión es que con COA la sesión del cliente no se desconecta, mientras que en el bloqueo de sesión se corta su sesión y el usuario debe volver a conectar su dispositivo.

La configuración de cómo bloquear al usuario se define en Configuración -> Red -> Radius «Customer Block» y «FUP Block»:

2016-09-03 02.17.07 pm

4. Bloqueo Radius IP pool
Si el cliente obtiene una IP del grupo dinámico, o cuando el enrutador NAS no es un Mikrotik, Splynx le da al cliente bloqueado una IP de los grupos de Reject . Por defecto, estos grupos son 10.250.25x.0 / 24, pero se pueden cambiar en Config -> Redes -> Radius como se muestra en la siguiente captura de pantalla:

2016-09-02 04.17.17 pm

Si usa los enrutadores Mikrotik, existen 2 reglas para redirigir todo el tráfico TCP a la página web de bloqueo y cortar el resto del tráfico, como las conexiones peer to peer (redirigirlas al mismo enrutador):

/ip firewall nat add action=dst-nat chain=dstnat protocol=tcp src-address-list=Reject_1 to-addresses=10.0.1.158 to-ports=8101
/ip firewall nat add action=redirect chain=dstnat protocol=!tcp src-address-list=Reject_1

Los cuatro métodos de bloqueo de usuarios de Splynx se pueden encontrar en nuestros video tutoriales:

Bloqueo de clientes que no pagan con Mikrotik API 

Bloqueo de clientes con Radius COA

Código de desconexión Radius (reset de sesión)

Asignación de IP pool de Reject

Splynx servidor Radius

Splynx ISP framework consiste en diferentes subsistemas. Una de las partes principales y más importantes del framework es el servidor Splynx Radius. Puede autentificar PPPoE, DHCP, IPoE, Hotspot, Wireless o Static IP/MAC. La solución Splynx también proporciona una gestión inteligente del ancho de banda y otras características útiles.

El servidor Splynx Radius se utiliza para realizar tareas AAA.
Autenticación – El equipo de red realiza una comprobación sobre el servidor Radius, comprueba si el usuario/contraseña del dispositivo o usuario de conexión es correcto. Si coincide con la entrada en el servidor Radius, el dispositivo o usuario puede acceder al equipo o obtener el servicio.
Atorización – Define qué acciones se permiten para el usuario o dispositivo y su nivel de privilegios.
Estadísticas – Estadísticas de uso de Internet o información sobre lo que se hizo en los equipos.

1. Administración AAA.
Autenticación: Con Splynx puede configurar que cuando el administrador acceda al equipo, sus credenciales serán verificadas en la base de datos del servidor Radius.
Si su nombre de usuario/contraseña es correcto, podrá acceder al equipo. Si no, no tendrá acceso. Este es un enfoque muy conveniente comparado con el inicio de sesión local.
Imagine cuándo contrata a un nuevo administrador y necesita actualizar cientos de routers, APs y switches para crear su usuario local en todas partes.
O puede darle un usuario/contraseña común, pero cuando la persona deja la compañía, debera cambiar esas credenciales en todas partes.
Es mejor conectar todos los dispositivos de red al servidor Radius y verificar el inicio de sesión del administrador utilizando el protocolo Radius.
Autorización: significa que se pueden implementar diferentes niveles de acceso. Algunos administradores pueden cambiar las configuraciones, algunos sólo pueden ver y leer configuraciones.
Estadísticas: Splynx almacena la información de cuando el administrador entró a la unidad y lo que se hizo en ella.

A continuación se muestran tutoriales que muestran cómo configurar el inicio de sesión de administrador con el servidor Radius Splynx en diferentes plataformas:

Mikrotik: Radius admin login to Mikrotik routers

Administrative login to Cisco devices

2. Clientes AAA.
El servidor Splynx Radius soporta diferentes formas de autenticación central de los clientes en la red de proveedores de Internet. Siempre depende de la topología del ISP y de la tecnología que decide utilizar. Las tecnologías de acceso son ampliamente utilizadas y sus ventajas y desventajas se describen a continuación:

PPPoE – Fácil de mantener e implementar. El cliente en el dispositivo CPE configura el nombre de usuario y contraseña y todas las configuraciones de red CPE se reciben desde PPPoE NAS (Network Access Server). También proporciona cifrado si es necesario y conteo para obtener estadísticas de uso. Tenía problemas con MTU en el pasado, pero en los últimos años estos problemas fueron corregidos por los principales proveedores.

IPoE (or DHCP) – DHCP se basa en la dirección MAC del cliente. También se puede vincular al puerto del switch donde el cliente está conectado (opción DHCP 82). Algunos proveedores no proporcionan capacidad de recoger estadísticas (routers Mikrotik)

Autenticación Wireless – Cuando el ISP tiene una red inalámbrica, necesita mantener el acceso de los dispositivos CPE a sus puntos de acceso. Para ello se utilizan varios métodos de autenticación inalámbrica, como una contraseña dentro de los protocolos TDMA o listas de acceso inalámbricas.

Hotspot – El cliente tiene que introducir su nombre de usuario y contraseña en la página web antes de usar Internet. Muchas redes de puntos de acceso permiten un acceso limitado y gratuito y luego cobran a los clientes por un uso adicional o planes avanzados.

Direccionamiento IP estático – Algunos ISP no tienen una administración central de autenticación y configuran direcciones IP estáticas a dispositivos CPE. Con la plataforma Mikrotik RouterOS, Splynx puede gestionar incluso los clientes que tienen IPs estáticas en Vlan por cliente o un conexión IPv4 sencilla. También Splynx puede tomar estadísticas de los routers de Mikrotik para esos clientes.

A continuación se presentan manuales para diferentes tipos de autenticación de usuario en Splynx ISP Framework:

Mikrotik: DHCP using Radius

Mikrotik: PPPoE and other PPP tunnels using Radius

Mikrotik: Hotstpot with Radius

Mikrotik: Static IP addressing with API authentication/accounting

Mikrotik: Local DHCP with Mikrotik API

Ubiquiti: Wireless authentication with Radius

Ubiquiti: PPPoE authentication on Edge Routers

Soporte de los routers Ubiquiti EdgeRouter con el protocolo pppoe mediante el Radius

Los routers UBNT EdgeRouter pueden funcionar como el servidor PPPoE con la autenticación CPE proporcionando estadísticas, bloqueando usuarios finales, configurando la limitación de velocidad y las reglas de FUP.

Se dividen en estas partes:

1. La configuración del servidor EdgeRouter pppoe con el soporte del servidor Radius
2. La configuración del servidor EdgeRouter pppoe para los paquetes entrantes del Radius
3. La agregación del router EdgeRouter a Splynx
4. La conexión del cliente a PPPoE y la comprobación del funcionamiento correcto
5. La instalación de otras herramientas útiles al router Edgerouter

1. La configuración del servidor EdgeRouter pppoe con el soporte del servidor Radius

El primer paso es actualizar el sistema a la versión 1.5 o superior porque el soporte de los atributos Radius se ha añadido a EdgeOS en esa versión. Aquí se describe la versión EdgeOS v1.8.5.
Se puede realizar la actualización en CLI con los siguientes comandos:
add system image http://dl.ubnt.com/..
add system image new-version-1085.tar


El segundo paso consiste en definir una dirección IP para la comunicación entre el servidor Radius y el router EdgeRouter.
Aquí es 10.0.1.166. Hay que configurarla como la IP principal del router EdgeRouter con el comando (en el modo de configuración):

set system ip override-hostname-ip 10.0.1.166

Luego se configurará el servidor PPPoE con la configuración obligatoria:

edit service pppoe-server

set authentication mode radius

set authentication radius-server 10.10.10.65 key 12345

set client-ip-pool start 10.5.50.2

set client-ip-pool stop 10.5.50.200

set interface eth2

También se puede configurar el Radius en el explorador web:

Edge_Radius

2. La configuración del servidor EdgeRouter PPPoE para los paquetes entrantes

Esta parte es importante porque sirve para cambiar planes, desconectar a los clientes y aplicar las reglas de FUP. En todos estos casos envía el Radius de Splynx los paquetes al router EdgeRouter.
El puerto configurado es 3779 desde UBNT. El paquete entrante se procesará con el comando en EdgeOS:

sudo cp /opt/vyatta/etc/pppoe-server/start-pppoe-radius-disconnect /config/scripts/post-config.d/

Después, el router se reiniciará.

Una vez recibidos los paquetes, se utilizará el fichero pppoe-radius-disconnect.log para la depuración:

tail /var/log/pppoe-radius-disconnect.log

Un ejemplo de la salida, una vez recibido un paquete para la desconexión por el sistema EdgeOS:

cola

3. La agregación y la configuración del router EdgeRouter en Splynx

Añada el router a Splynx con el comando Networking -> Routers y elija NAS Type Ubiquiti.

U1

Se pueden asignar otros atributos a la configuración de tipo NAS (en Config -> Networking -> Radius).
Para los túneles PPPoE se configuran predeterminadamente los atributos de la limitación de velocidad del servidor Radius.

U2
4. La conexión del cliente a PPPoE y la comprobación del funcionamiento correcto

Aquí se puede conectar un usuario PPPoE al router EdgeRouter y comprobar el funcionamiento correcto.
A través del comando show pppoe-server se puede averiguar cuántos usuarios están conectados al servidor pppoe.

Show_pppoe

Se puede ver en Splynx si un cliente está en línea y obtener sus estadísticas.

En línea

Una vez hecho clic sobre el botón de la desconexión, el cliente desaparecerá de la lista en línea volviendo a conectarse al iniciar la sesión lo que supone que el router EdgeRouter recibió el paquete entrante del servidor Radius del sistema Splynx.

5. La instalación de otras herramientas útiles al router Edgerouter

Los túneles de cliente PPPoE se crean dinámicamente y no se visualizan en el panel web. Hay que obtener estadísticas del rendimiento lo que es fácil de hacer por instalar el software bwm-ng. Éste está en el repositorio Debian lo que significa que primero hay que añadir nuevos repositorios y luego instalar el bwm-ng.
Cómo se añaden nuevos repositorios:

configure

set system package repository wheezy components 'main contrib non-free'

set system package repository wheezy distribution wheezy

set system package repository wheezy url http://http.us.debian.org/debian

set system package repository wheezy-security components main

set system package repository wheezy-security distribution wheezy/updates

set system package repository wheezy-security url http://security.debian.org

commit

save

exit

Después, la herramienta se instalará.

apt-get install bwm-ng

Para obtener el rendimiento en Kbps de los clientes con pppoe, ahora se puede poner en funcionamiento el bwm-ng -u bits.
La siguiente imagen muestra un ejemplo de la salida de bwm-ng:

BWM-NG

Ahora, ¡se puede configurar el servidor Radius de Splynx con el router UBNT EdgeRouter usando así un router rápido con el rendimiento de un millón de paquetes por segundo en una unidad compacta y asequible!
Si tendrá cualquier dificultad, mire nuestro foro – https://splynx.com/forums/ o presente un ticket – https://splynx.com/my-tickets/

Administración de ancho de banda inteligente – el módulo de FUP

Muchos ISP usan en su red Fair User Policy (FUP), reduciendo la velocidad a tales usuarios que, descargando o cargando, excederán una cierta cantidad de datos. Hemos pasado esta idea creando un módulo configurable lo más posible.

El sistema de gestión Splynx para los ISP contiene la administración de ancho de banda inteligente. La velocidad de clientes se puede definir según una transferencia mensual, semanal e incluso diaria. Además, se puede configurar un tiempo en línea máximo en horas por un cliente.

¿Quiere proporcionar a sus usuarios la velocidad doble durante la noche? ¿O desea facilitarles una transferencia ilimitada en los fines de semana? ¿O sólo quiere reducir la velocidad, una vez excedido el límite diario de los datos descargados? ¡Hágalo ahora mismo con Splynx!

PlansFUP settings are located in Plan under arrow button

La configuración de FUP está en el “Plan“ bajo el botón de flecha.
Miremos un ejemplo. Tenemos un plan de 5 Mbps para descargar y cargar. Tenemos la regla que no se contará a los clientes cualquier transferencia en los fines de semana dándoles, a la vez, la velocidad de 7 Mbps. Siguen las primeras reglas. La primera es la “transferencia ilimitada en los fines de semana“:

Don't count weekends

Y el aumento de la velocidad de 5 Mbps un 40 % en los fines de semana:

7Mb on weekends

Luego podemos comprobar qué regla valdrá para el sábado:

2016-04-01 08.38.44 pm

 

El siguiente paso es definir 10 GB como el límite diario de datos descargados reduciendo la velocidad a 2 Mbps, una vez excedido este límite.

high_download

El uso mensual total configuraremos a 100 GB. Una vez alcanzado este límite, el usuario sólo tendrá a disposición 1 Mbps. Una vez alcanzado el límite 110 GB, el usuario se bloqueará y se fijarán tarifas para otros datos.

Total

Cómo se puede ver en la última imagen, para la administración de ancho de banda se ha creado FUP completamente comprensible para la velocidad de 5 Mbps. ¡Use nuestro módulo de FUP y cree su propias reglas! La limitación de velocidad se hace a través del servidor Radius mediante los atributos CoA en cualquier dispositivo de apoyo o mediante la API de Mikrotik en el RouterOS.