Splynx servidor Radius

Splynx ISP framework consiste en diferentes subsistemas. Una de las partes principales y más importantes del framework es el servidor Splynx Radius. Puede autentificar PPPoE, DHCP, IPoE, Hotspot, Wireless o Static IP/MAC. La solución Splynx también proporciona una gestión inteligente del ancho de banda y otras características útiles.

El servidor Splynx Radius se utiliza para realizar tareas AAA.
Autenticación – El equipo de red realiza una comprobación sobre el servidor Radius, comprueba si el usuario/contraseña del dispositivo o usuario de conexión es correcto. Si coincide con la entrada en el servidor Radius, el dispositivo o usuario puede acceder al equipo o obtener el servicio.
Atorización – Define qué acciones se permiten para el usuario o dispositivo y su nivel de privilegios.
Estadísticas – Estadísticas de uso de Internet o información sobre lo que se hizo en los equipos.

1. Administración AAA.
Autenticación: Con Splynx puede configurar que cuando el administrador acceda al equipo, sus credenciales serán verificadas en la base de datos del servidor Radius.
Si su nombre de usuario/contraseña es correcto, podrá acceder al equipo. Si no, no tendrá acceso. Este es un enfoque muy conveniente comparado con el inicio de sesión local.
Imagine cuándo contrata a un nuevo administrador y necesita actualizar cientos de routers, APs y switches para crear su usuario local en todas partes.
O puede darle un usuario/contraseña común, pero cuando la persona deja la compañía, debera cambiar esas credenciales en todas partes.
Es mejor conectar todos los dispositivos de red al servidor Radius y verificar el inicio de sesión del administrador utilizando el protocolo Radius.
Autorización: significa que se pueden implementar diferentes niveles de acceso. Algunos administradores pueden cambiar las configuraciones, algunos sólo pueden ver y leer configuraciones.
Estadísticas: Splynx almacena la información de cuando el administrador entró a la unidad y lo que se hizo en ella.

A continuación se muestran tutoriales que muestran cómo configurar el inicio de sesión de administrador con el servidor Radius Splynx en diferentes plataformas:

Mikrotik: Radius admin login to Mikrotik routers

Administrative login to Cisco devices

2. Clientes AAA.
El servidor Splynx Radius soporta diferentes formas de autenticación central de los clientes en la red de proveedores de Internet. Siempre depende de la topología del ISP y de la tecnología que decide utilizar. Las tecnologías de acceso son ampliamente utilizadas y sus ventajas y desventajas se describen a continuación:

PPPoE – Fácil de mantener e implementar. El cliente en el dispositivo CPE configura el nombre de usuario y contraseña y todas las configuraciones de red CPE se reciben desde PPPoE NAS (Network Access Server). También proporciona cifrado si es necesario y conteo para obtener estadísticas de uso. Tenía problemas con MTU en el pasado, pero en los últimos años estos problemas fueron corregidos por los principales proveedores.

IPoE (or DHCP) – DHCP se basa en la dirección MAC del cliente. También se puede vincular al puerto del switch donde el cliente está conectado (opción DHCP 82). Algunos proveedores no proporcionan capacidad de recoger estadísticas (routers Mikrotik)

Autenticación Wireless – Cuando el ISP tiene una red inalámbrica, necesita mantener el acceso de los dispositivos CPE a sus puntos de acceso. Para ello se utilizan varios métodos de autenticación inalámbrica, como una contraseña dentro de los protocolos TDMA o listas de acceso inalámbricas.

Hotspot – El cliente tiene que introducir su nombre de usuario y contraseña en la página web antes de usar Internet. Muchas redes de puntos de acceso permiten un acceso limitado y gratuito y luego cobran a los clientes por un uso adicional o planes avanzados.

Direccionamiento IP estático – Algunos ISP no tienen una administración central de autenticación y configuran direcciones IP estáticas a dispositivos CPE. Con la plataforma Mikrotik RouterOS, Splynx puede gestionar incluso los clientes que tienen IPs estáticas en Vlan por cliente o un conexión IPv4 sencilla. También Splynx puede tomar estadísticas de los routers de Mikrotik para esos clientes.

A continuación se presentan manuales para diferentes tipos de autenticación de usuario en Splynx ISP Framework:

Mikrotik: DHCP using Radius

Mikrotik: PPPoE and other PPP tunnels using Radius

Mikrotik: Hotstpot with Radius

Mikrotik: Static IP addressing with API authentication/accounting

Mikrotik: Local DHCP with Mikrotik API

Ubiquiti: Wireless authentication with Radius

Ubiquiti: PPPoE authentication on Edge Routers

¡Administre su red entera! MikroTik API + Radius en Splynx

Actualmente, el sistema de gestión Splynx para los ISP incluye dos áreas importantes de la administración de redes de los ISP – AAA y la limitación de velocidad o colas.

1. AAA. 

Las siglas inglesas significan authentication, authorization y accounting, es decir autenticación, autorización y contabilidad del tráfico de los clientes en la red de un ISP. Splynx tiene su propio servidor Radius estable y escalable que ayuda a administrar las conexiones y los hotspots, a desviar, a bloquear usuarios morosos y a acceder al dispositivo.

2. Limitación de velocidad y Mikrotik queue 

El router Mikrotik RouterOS tiene un sistema de los árboles de colas inteligente que se pueden usar para una contención, el acceso basado en la limitación de velocidad o de tiempo.
Al tener cientos de miles de clientes, ¡hay que crear y cumplir con muchas reglas distintas – una regla por un cliente + la configuración de las colas de padre para la contención! 

Desde Splynx, se pueden administrar centralmente todas las colas de Mikrotik. Mediante la API, también se pueden cargar las reglas locales de la autenticación, por ejemplo la asignación de las direcciones IP con el DHCP, los usuarios PPPoE, la interfaz de firewall o Wireless Access List (lista de acceso inalámbrico). Se puede combinar la autenticación con el servidor Radius. Splynx soporta la API del servidor Radius y de Mikrotik a la vez.

Proporcionamos la manera de como distinguir cuándo autentificar y cuándo configurar las colas. Esto se usa mucho en la red inalámbrica de los ISP porque la autenticación se hace en el punto de acceso (AP) más cercano al cliente, pero las colas se hacen en el punto central o unos puntos centrales. Otra función importante es la capacidad de tener las mismas reglas para las colas en diferentes routers en el modo espejo.

Imaginemos una situación en la cual autenticamos a los usuarios en cada AP con el DHCP del servidor Radius creando las colas en la Internet en nuestra ubicación principal. Pero luego obtendremos otro vínculo superior en otra ubicación. En tal caso es necesario que también hubieran colas en la otra ubicación del vínculo superior porque los clientes se pueden desviar a los dos de esos routers dependiendo del estado del protocolo de ruteo interno. Se puede ver esto en el siguiente ejemplo:

API-example

Splynx tiene una solución de aquella configuración de los routers de Mikrotik. Como se describió anteriormente, Splynx sabe autenticar a los usuarios en un router, crear colas en el segundo router y espejarlas al tercero. Esto se logra por una infraestructura interna del sistema flexible a estable de la API.

Se describen en el siguiente manual en vídeo funciones avanzadas y la configuración de la API de MikroTik a del servidor Radius en el sistema de gestión de software Splynx de ISP.

UBNT AirOS – Autenticación inalámbrica con Radius

Los puntos de acceso Ubiquiti son capaces de autenticar un dispositivo con una señal de radio a través del servidor Radius. Esto siginfica que no es necesario que el administrador mantenga las contraseñas locales para la autenticación local. Cada dispositivo con la señal de radio puede tener su propia cienta en el sistema de gestión Splynx para los ISP y el servidor Radius autenticará el dispositivo UBNT.

Los ISP suelen tener sus mecanismos de autenticación pppoe o similares. Por eso la autenticación inalámbrica de Radius en el sistema Splynx se añade como un servicio nuevo (vacío) a los clientes existentes.

Primero, hay que definir el Plan en Splynx con el precio 0 y con los ceros en las otras casillas.

2016-07-07 04.09.07 pm

Segundo, añadiremos el servicio inalámbrico al cliente junto con su nombre de usuario y contraseña.

New_service

Además, es importante añadir un AP a Splynx.

U_router

El último paso es permitir el protocolo EAP para la autenticación inalámbrica de los routers UBNT a través del servidor Radius, configurar una dirección IP y asegurar el servidor Radius.

UBNT_wireless

Ahora se puede conectar el dispositivo con una señal de radio UBNT al punto de acceso UBNT.

U_CPE