utm5_20070529

7/22/2019 utm5_20070529

http://slidepdf.com/reader/full/utm520070529 1/607

© Компания NetUP, 2001–2007.

Версия документа 3.1 от 1 июня 2007 г. для UTM5 5.2.1-005 и выше. Наиболее

свежую версию документации можно найти на сайте http://www.netup.ru.Все упомянутые торговые марки являются собственностью их соответствую- щих владельцев.

7/22/2019 utm5_20070529


7/22/2019 utm5_20070529


С о д е р ж а н и е

Содержание

1. Общая информация ....................................................... 52. Описание системы ....................................................... 11

3. Базовые объекты системы .......................................... 23

4. Установка, обновление, настройка системы ........ 101

5. Ядро системы.............................................................. 131

6. UTM5 RADIUS ............................................................ 145

7. UTM5 Unif .................................................................. 179

8. UTM5 RFW .................................................................. 1959. UTM5 Dynashape ........................................................ 217

10. UTM5 Urfaclient ...................................................... 235

11. Интерфейс администратора .................................. 273

12. Интерфейс кассира ................................................. 285

13. Web-интерфейс ......................................................... 297

14. Модуль hotspot .......................................................... 299

15. Модуль IP-телефонии .............................................. 30116. Автоматическая регистрация пользователей ..... 309

17. Вспомогательные утилиты ..................................... 315

18. Контрольные примеры ........................................... 327

19. Модули расширения функционала ....................... 347

20. Руководство пользователя ...................................... 429

21. Приложение 1 .......................................................... 439

22. Приложение 2 .......................................................... 521

7/22/2019 utm5_20070529


О б щ а я и н ф о р м а ц и я

7/22/2019 utm5_20070529


О б щ а я

и н ф о р м а ц и я

1. Общая информация


1.1 Лицензионное соглашение ......................................... 6

7/22/2019 utm5_20070529



1.1 Лицензионное соглашение

Настоящее лицензионное соглашение (далее «соглашение»)является юридическим соглашением, заключаемым между

Вами (физическим или юридическим лицом, далее «пользо-ватель») и ЗАО «НетАП» (далее «компания NetUP»), относи-тельно указанного выше программного продукта компании,включающего в себя программное обеспечение, записанноена соответствующих носителях, любые печатные материалыи любую «встроенную» или «электронную» документацию (да- лее «продукт»).

1. Объем лицензии.

1.1. Единичный комплект продукта может быть использовандля инсталляции только на одном компьютере.

1.2. Продукт считается используемым, если он загружен в опе-ративную память или записан на жестком диске, компакт дис-ке или ином запоминающем устройстве определенного ком-пьютера.

1.3. Пользователь имеет право на создание архивной копии,предназначенной исключительно для индивидуальногоиспользования в целях восстановления продукта, либо наперенесение продукта на жесткий диск при условии, что ори-гинальный экземпляр сохраняется исключительно в качестверезервного или архивного.

2. Компания NetUP или ее поставщики гарантируют замену

некачественных оптических, магнитных или иных носите- лей, на которых поставляется продукт для инсталляции.

Права пользователя и услуги, обеспеченные гарантийнымиобязательствами, предоставляются только зарегистрирован-ным пользователям.

3. Настоящая лицензия относится также к обновлениям и добавле-ниям исходного продукта, предоставляемым компанией

NetUP, если иное не указано в документах, сопровождающихобновление или добавление.

7/22/2019 utm5_20070529


О б щ а я


4. Продукт разрешается переносить на другую рабочую стан-цию. Первоначальный пользователь продукта имеет правоединовременной передачи его другому лицу. Такая передачадолжна включать все составные части: носители и печатные

материалы, настоящее соглашение и сертификат подлиннос-ти, если таковой имеется. Запрещается предоставлять про-дукт в прокат, в аренду или во временное пользование.

5. Запрещается вскрывать технологию или декомпилироватьпродукт, за исключением тех случаев и только в той степени,когда это явно разрешено действующим законодательством,несмотря на наличие в лицензионном соглашении данного ог-раничения.

6. Компания вправе прекратить действие настоящего согла-шения при несоблюдении пользователем его положений и условий. В этом случае пользователь обязан уничтожить всеимеющиеся у него копии продукта и его составных частей.

7. Пользователю необходимо быть согласным с тем, что ком-пания вправе собирать и использовать по своему усмотрению

технические сведения, сообщаемые пользователем службетехнической поддержки компании.

8. В наибольшей степени, допускаемой применимым законо-дательством, ни при каких обстоятельствах компания NetUPи её поставщики не несут ответственность за какой-либо осо-бый, случайный, косвенный или опосредованный ущерб или убытки (включая, но не ограничиваясь только перечислен-ным: упущенную выгоду; утрату конфиденциальной или иной

информации; убытки, вызванные перерывами в коммерчес-кой или производственной деятельности; нанесение ущербаздоровью; нарушение неприкосновенности частной жизни;неисполнение любого обязательства, включая обязательстводействовать добросовестно и с разумной осмотрительностью; убытки, вызванные небрежностью; любой иной ущерб и про-чие убытки имущественного или иного характера), возникаю-щие в связи с использованием или невозможностью исполь-зования продукта, оказанием или неоказанием услуг по под-держке или в иных случаях, предусмотренных или связанныхс положениями данного лицензионного соглашения, даже вслучае нарушения обязательства, возникновения гражданс-

7/22/2019 utm5_20070529



кого правонарушения (включая небрежность), объективной(независящей от вины) ответственности за какой-либо ущерб,нарушения компанией NetUP или её поставщиками договор-ных или гарантийных обязательств, даже если компания илиеё поставщики были заранее извещены о возможности такого

ущерба. Компания NetUP и её поставщики не несут ответс-твенности и не имеют никаких обязательств в случае несан-кционированного использования продукта, не предусмотрен-ного настоящим соглашением.

9. Настоящее соглашение вступает в силу с момента установкипродукта. Настоящее соглашение действует в течение неогра-ниченного срока, за исключением случая передачи прав наиспользование продукта, предусмотренного п. 4 настоящего

соглашения.

10. Все права собственности, авторские права на продукт ив отношении него принадлежат компании NetUP или её пос-тавщикам. Данный продукт предоставляется в пользование(«лицензируется»), а не продается.

11. Внедрение и техническая поддержка продукта осуществля-ются компанией на основании отдельно заключаемого дого-

вора с пользователем.

7/22/2019 utm5_20070529


О б щ а я


7/22/2019 utm5_20070529


10

О п и с а н и е с и с т е м ы

7/22/2019 utm5_20070529


11


2. Описание системы


1. Основные функции системы ....................................... 122. Способы включения системы в сеть ........................... 143. Структура системы UTM .............................................. 164. UTM Remote Function Access (URFA) ......................... 185. Разграничение прав ...................................................... 19

6. Журналирование ........................................................... 20

7/22/2019 utm5_20070529


12


1. Основные функции системы

Биллинговая система (автоматизированная система расчётов,

АСР) NetUP UTM является полноценным решением для ор-ганизации автоматического расчёта операторов связи с або-нентами за предоставляемые услуги. Базовый модуль системыподдерживает обсчёт выделенных линий. Помимо этого, сис-тема позволяет создавать и вести учёт как периодических, таки разовых услуг. При использовании дополнительных модулейсистема может обсчитывать услуги IP-телефонии, коммутиру-емого доступа с учётом стоимости времени и беспроводногодоступа к сети (хотспот).

В систему заложен универсальный механизм сбора статис-тики потреблённого трафика, что позволяет одновременнообсчитывать неограниченное количество каналов связи, пос-троенных на основе разнородных устройств.

АСР NetUP UTM поддерживает ведение справочника клиен-NetUP UTM поддерживает ведение справочника клиен-UTM поддерживает ведение справочника клиен-UTM поддерживает ведение справочника клиен-поддерживает ведение справочника клиен-тов, справочника банков, справочника маршрутизаторов и

брандмауэров, справочника зон IP-адресов, справочника под-IP-адресов, справочника под--адресов, справочника под-ключённых домов, справочника предоставляемых услуг и дру-гих справочников.

Настоящая версия системы NetUP UTM создавалась с учётомNetUP UTM создавалась с учётомUTM создавалась с учётомUTM создавалась с учётомсоздавалась с учётомопыта работы и пожеланий пользователей предыдущих вер-сий программы. Для удобства работы программа админист-рирования выполнена в виде графического совместимого с любой платформой интерфейса, написанного на языке про-

граммирования aa. aa..

Система полностью поддерживает работу с предоплаченны-ми картами. Есть возможность экспорта сгенерированныхкарт во внешний файл формата M. Система поставляетсяM. Система поставляется. Система поставляетсяс поддержкой русского и английского языков, но при необхо-димости пользовательский и администраторский интерфейссистемы можно перевести на любой язык. Система может ра-ботать с несколькими денежными единицами одновременно.

Систему можно использовать для генерирования бухгалтер-ских счетов и различных отчётов, ведения базы договоров.

7/22/2019 utm5_20070529


1


Для более удобной технической поддержки клиентов в систе-ме имеется встроенная служба обмена сообщениями.

При необходимости система может блокировать доступ кли-

ента к услугам, например, при исчерпании средств на лице-вом счёте.

Пользовательский интерфейс системы построен на основевеб-технологий, что позволяет клиенту получать доступ к свое-му счёту, выпискам и статистике из любой точки мира с помо-щью любого браузера через Internet. Использование техноло-гии M и шаблонов при создании клиентского интерфейсаM и шаблонов при создании клиентского интерфейсаи шаблонов при создании клиентского интерфейсапозволяет администратору системы самостоятельно менять

внешний вид интерфейса без ущерба его функциональности.

Использование в системе такого понятия, как «класс трафи-ка» позволяет вести учёт трафика из разных сетей, например,разделение трафика на отечественный и зарубежный, пи-ринговый и локальный. Разделение классов трафика можнопроизводить по самым различным признакам: сети источни-ка и получателя, порты источника и получателя, тип службы

(TS), протокол, автономные системы источника и получа-TS), протокол, автономные системы источника и получа-), протокол, автономные системы источника и получа-теля, интерфейс маршрутизатора, через который проходитпакет и многое другое.

Серверная часть биллинга (ядро системы) представляет со-бой многопоточное оптимизированное приложение, обес-печивающее высокую производительность системы в целом.Это особенно актуально для сетей с большой клиентской ба-зой и потребляющих большие объёмы трафика.

7/22/2019 utm5_20070529


1


2. Способы включения системы в сеть

Универсальность биллинга допускает множество способов ин-

теграции системы в существующую или планируемую инфра-структуру сети. АСР NetUP UTM поддерживает работу с мно-NetUP UTM поддерживает работу с мно-UTM поддерживает работу с мно-UTM поддерживает работу с мно-поддерживает работу с мно-жеством аппаратных и программных маршрутизаторов и ненакладывает ограничения на количество одновременно обсчи-тываемых каналов связи и тип используемых при организацииэтих каналов устройств. Рассмотрим основные варианты.

Локальная сеть подключена к Internet через аппаратныймаршрутизатор, поддерживающий сбор статистики

Маршрутизаторы isco, Miroti, NS, Reolution и другихisco, Miroti, NS, Reolution и других, Miroti, NS, Reolution и другихMiroti, NS, Reolution и других, NS, Reolution и другихNS, Reolution и других, Reolution и другихReolution и другихи другихпроизводителей, как правило, включают возможность экс-порта статистики о переданном трафике. В этом случае сер-вер с биллингом может быть установлен как внутри локальнойсети, так и вне неё (например, в головном офисе, доступномчерез интернет). Сбор статистики о трафике и управлениемаршрутизаторами производится удалённо.

Ñåðâåð UTM

Èíòåðíåò

Àäìèíèñòðàòîð Ïîëüçîâàòåëè

Êîììóòàòîð

Ìàðøðóòèçàòîð

Локальная сеть подключена к Internet через коммутаторили аппаратный маршрутизатор, не поддерживающийсбор статистики

В данном случае сервер устанавливается в сегмент локальной сетитак, чтобы весь трафик, подлежащий учёту, был доступен серверу

7/22/2019 utm5_20070529


1


на уровне пакетов IP. Например, между коммутатором и локаль-ной сетью включается концентратор (хаб), к порту которого под-ключается сервер. При работе сервер перехватывает все пакеты,идущие из локальной сети к коммутатору и обратно, анализирует

их заголовки и обрабатывает полученную информацию.

Локальная сеть подключена к интернету через программный маршрутизатор (роутер�роутер�роутер�

При таком способе подключения биллинговую систему можно установить как на самом роутере, так и на удалённом сервере.Статистика снимается с интерфейса роутера и обрабатывает-ся на локальной машине (в первом случае) или передаётся по

сети и обрабатывается на другом сервере (во втором случае).

Помимо описанных выше случаев подсчёта трафика локаль-ных сетей возможно множество других вариантов, например,обсчёт спутниковых каналов, либо произвольная комбинацияприведенных выше способов подключений.

Клиент подключается к интернету посредством коммути

руемого доступа

В данном случае сервером доступа может быть как isco, такisco, так, таки P-роутер с подключёнными к нему модемами. АвторизацияP-роутер с подключёнными к нему модемами. Авторизация-роутер с подключёнными к нему модемами. Авторизацияклиентов производится по протоколу RADIUS. ТарификацияRADIUS. Тарификация. Тарификацияможет производиться как по времени соединения, так и пообъёму трафика клиентов.

Ñåðâåð UTM

Èíòåðíåò

RADIUS



Ìàðøðóòèçàòîð

7/22/2019 utm5_20070529


1


Клиент подключается к интернету по технологии WiFi

Система поддерживает учёт услуг беспроводного доступа потехнологии Wi-Fi, широко известных также как хотспот. Дан- Wi-Fi, широко известных также как хотспот. Дан--Fi, широко известных также как хотспот. Дан-Fi, широко известных также как хотспот. Дан-, широко известных также как хотспот. Дан-

ный способ подключения часто используется в местах обще-ственного доступа, например, гостиницы, кафе, аэропорты.

3. Структура системы UTM

Биллинговая система UTM представляет собой комплекс при-UTM представляет собой комплекс при-представляет собой комплекс при- ложений, составляющий три группы: ядро системы, интер-

фейс администратора и интерфейс пользователя. Ядро сис-темы — основная программа, запускаемая на сервере и отве-чающая за функционирование биллинга в целом. Интерфейсадминистратора представляет собой aa-приложение, уста- aa-приложение, уста--приложение, уста-навливаемое на рабочую станцию администратора и позволя-ющее настраивать систему и управлять ею. Это приложениеявляется платформенно-независимым и может исполнятьсяпод управлением любой ОС: Winos, inu, Free�SD. Интер- Winos, inu, Free�SD. Интер-, inu, Free�SD. Интер-inu, Free�SD. Интер-, Free�SD. Интер-Free�SD. Интер-. Интер-

фейс пользователя — это набор программ, работающих сов-местно с веб-сервером и реализующих виртуальный кабинетпользователя системы.

7/22/2019 utm5_20070529


1


7/22/2019 utm5_20070529


1


4. UTM � �� U � �� U � �� U � �� U � �� U �� U �� U U U

URFA – это модуль доступа к ядру системы из внешних при-

ложений. Он проводит авторизацию пользователей по схемеHAP и обеспечивает работу удалённого пользователя. Про-токол поддерживает передачу данных и вызов функций. URFA проверяет, разрешён ли данному пользователю доступ к вызы-ваемой функции и, если разрешён, пользователю позволяет-ся начать обмен данными. В противном случае система даетотказ в доступе.

Каждой сессии выделяется 128-битный случайный иденти-

фикатор (SID), повторение которого исключается. Этот SIDSID), повторение которого исключается. Этот SID), повторение которого исключается. Этот SIDможет быть использован повторно для открытия доступа. Вслучае сбоя при восстановлении сессии SID будет удален, ипользователь вновь будет вынужден ввести логин и пароль.SID привязывается к IP-адресу клиента и автоматически удаляется после некоторого времени простоя. Восстановле-ние сессии возможно лишь в случае, когда получен доступ справами системного пользователя.

При открытии сессии создается таблица разрешенных вы-зовов, состоящая из списка символов, имевшихся на моментгенерации в системе, и прав доступа к ним. Если после откры-тия сессии будет подгружен дополнительный модуль, то этивызовы войдут в число запрещённых для пользователя. В та-ком случае пользователю необходимо подключиться заново.

В случае, если в момент выгрузки модуля кто-то работает с ним,

операция выгрузки завершится неудачей. Однако все символыэтого модуля будут помечены как удаленные, и в дальнейшем всевызовы к ним не будут успешными. В тот момент, когда послед-няя ссылка на символы будет удалена (сессия закрыта), модульможно окончательно выгрузить. Постоянные модули выгружатьнельзя, при попытке их выгрузить будет возвращена ошибка ина работе модуля это никак не скажется.

В случае сбоя при проверке лицензий модуль не будет подгру-

жен.

7/22/2019 utm5_20070529


1


5. Разграничение прав

В системе пользователи делятся на две категории: конечные

пользователи (клиенты, абоненты) и администраторы (сис-темные пользователи). В зависимости от типа пользователя, у него есть некоторый список разрешённых операций. Про-верить список разрешённых пользователям операций можнов разделе (Дополнительно | Символы). Операции с иденти-фикатором, большим 080000000, разрешены на исполнение80000000, разрешены на исполнение80000000, разрешены на исполнениетолько клиентам, остальные операции – только администра-торам.

Разделение ролей администраторов происходит на основесистемных групп, которым принадлежит администратор. Су-ществует специальная группа с идентификатором 1 (wheel).Если системный пользователь в неё входит, то ему разрешеноисполнение любых операций. Иначе права будут ограниченысписком вызовов, разрешенных группам, в которых он состо-ит. Случаи вызова запрещённых операций заносятся в систем-ный журнал ядра.

7/22/2019 utm5_20070529


20


6. Журналирование

Если какому-либо компоненту системы необходимо записатьсообщение в журнал, он обращается к модулю журналирова-

ния и передает ему уровень и текст сообщения.

Существуют следующие уровни журналирования:

Уровни журналирования

Номер уровня

Название уровня

Описание

0 *EMER

Системный сбой, функциони-

рование невозможно

1 *AERTСбои в работе, требующие не-медленного рассмотрения

2 *RITКритичные ошибки, сбои вработе

3 ERRR Некритичные ошибки

4 Warn Предупреждения

5 Notice Информация, на которую стоитобращать внимание

6 Info Информация общего характера

7 ?Debug Отладочная информация

8 ?Trace Дополнительная отладочнаяинформация

9 -Stats Статистика

Модуль журналирования помещает текст сообщения в завися-щий от настроек модуля и уровня события поток журналиро-вания. Поток журналирования ассоциируется с указанным внастройках модуля файлом. По умолчанию все потоки ассоци-ированы со стандартным потоком ошибок.

7/22/2019 utm5_20070529


21


Существуют следующие потоки журналирования:

Потоки журналирования

Название потока Входящие уровни журнали-

рования

Критический от 0 до 2

Основной от 0 до 3 плюс log_leel

Отладочный все

Некоторые компоненты могут активировать встроенный в

модуль журналирования механизм ротации файлов. Если дан-ный механизм активирован, после записи события в файл,модуль проверяет размер файла не превышение размера, указанного в конфигурации модуля. Если размер превышен,файл закрывается, к его имени добавляется суффикс. Есликоличество файлов ограничено, добавляется суффикс “.0”.Если количество файлов не ограничено, добавляется суф-фикс “.<timestamp>”, где <timestamp> - время закрытия файлав формате Uni Time Stamp. Если файл с таким суффиксом су-ществует, его суффикс увеличивается на единицу. После пере-именования всех файлов, проверяется количество файлов напревышение максимального количества, и если оно превыше-но, старые файлы удаляются.

Настройки модуля журналирования рассмотрены при описа-нии конфигурационных файлов соответствующих компонен-тов системы.

7/22/2019 utm5_20070529


22

Б а з о в ы е о б ъ

е к т ы с и с т е м ы

7/22/2019 utm5_20070529


2

Б а з о в ы е о б ъ е к т ы с и с т е м ы

. Базовые объекты системы


1. Пользователи и группы ............................................... 251.1 Создание учётной записи пользователя ............. 251.2 Удаление учётной записи пользователя ............. 251.3 Контактные лица .................................................... 261.4 Памятка пользователя ........................................... 26

1.5 Дополнительные параметры ................................ 261.6 Создание группы .....................................................272. Системные пользователи и группы .......................... 28

2.1 Создание системной учётной записи ................. 282.2 Создание системной группы ................................ 29

3. Глобальные объекты тарификации .......................... 303.1 Валюта ...................................................................... 303.2 Временной диапазон ............................................. 32

3.3 Расчетный период .................................................. 343.4 Класс трафика ..........................................................373.5 Телефонное направление ......................................413.6 Телефонная зона .................................................... 423.7 Услуга ........................................................................ 43

3.7.1 Виды услуг ....................................................... 453.7.1.1 Обычная услуга ........................................ 45

3.7.1.2 Фиктивная услуга .................................... 463.7.1.3 Услуга, входящая в состав тарифногоплана ......................................................................47

3.7.2 Типы услуг ....................................................... 483.7.2.1 Разовая услуга. Сервисная связка разо-вой услуги .......................................................483.7.2.2 Периодическая услуга. Сервисная связкапериодической услуги ........................................50

3.7.2.3 Услуга передачи IP-трафика. Сервиснаясвязка услуги передачи IP-трафика ..................56

7/22/2019 utm5_20070529


2



3.7.2.4 Услуга hotspot. Сервисная связка услугиhotspot ................................................................. 693.7.2.5 Услуга коммутируемого доступа. Сервис-ная связка услуги коммутируемого доступа ..... 74

3.7.2.6 Услуга телефонии. Сервисная связка услу-ги телефонии ....................................................... 79

3.8 Тарифный план. ........................................................ 883.8.1 Совместимость тарифных планов ................... 903.8.2 Тарифная связка ...................................................91

4. Платежи ........................................................................ 954.1 Закреплённая валюта ............................................. 95

4.2 Ввод платежей ........................................................ 954.2.1 Ввод платежа администратором системы .. 964.2.2 Ввод платежа без основания ..........................974.2.3 Ввод платежа на основании счёта ................974.2.4 Ввод обещанного платежа (кредита) .......... 98

4.3 Откат платежа ......................................................... 98

7/22/2019 utm5_20070529


2


1. Пользователи и группы

В сводном списке пользователей содержится основная инфор-мация о клиентах: полное имя, логин в системе, идентифика-

тор пользователя, основной лицевой счёт, статус блокировкиклиента и баланс его лицевого счёта.

1.1 Создание учётной записи пользователя

Создание новой учетной записи клиента осуществляется припомощи диалогового окна добавления пользователя. Обя-

зательной информацией является логин пользователя. Присоздании новой учётной записи пароль генерируется автома-тически, но есть возможность его изменения. Одновременнос учётной записью, для пользователя заводится основной ли-цевой счёт.

После того, как учётная запись пользователя создана, можноприступать к добавлению услуг пользователю.

1.2 Удаление учётной записи пользователя

Перед удалением учётной записи пользователя из системы не-обходимо произвести ряд предварительных операций.

7/22/2019 utm5_20070529


2



1. Отключить все услуги. Для этого следует зайти в раздел «Ус- луги» свойств пользователя и последовательно удалить все за-писи о подключенных услугах.

2. Удалить все подключенные тарифные планы. Для этогов разделе «Тарифные планы» свойств пользователя необхо-димо нажать кнопку «Удалить» напротив соответствующегоподключенного тарифного плана.

В том случае, когда пользователю принадлежат несколько ли-цевых счетов, указанную выше последовательность действийнужно повторить для каждого лицевого счёта.

После удаления всех подключенных услуг и тарифных планов учётную запись можно удалить, выделив соответствующуюстроку в списке пользователей и нажав на кнопку «Удалить».

1.3 Контактные лица

Для каждого пользователя поддерживается список контакт-ных лиц. Для каждого лица можно задать телефон, адрес элек-тронной почты, личную информацию.

1.4 Памятка пользователя

Памятка пользователя содержит время и дату подключения,

логин и пароль пользователя. Она предназначается для пе-редачи пользователю при подключении или в любой другоймомент.

1.5 Дополнительные параметры

Каждому пользователю отдельно можно настроить валюту,

в которой будут производиться все расчёты, и изменение кур-са валюты относительно заданного в системе.

7/22/2019 utm5_20070529


2


1.6 Создание группы

Для создания группы нужно указать идентификатор группы

и название группы. После того, как группа создана, в неё мож-но добавлять пользователей.

7/22/2019 utm5_20070529


2



2. Системные пользователи и группы

Системные пользователи составляют отдельный класс поль-

зователей, и только они имеют доступ к администрированиюсистемы через центр управления UTM. Отличительной осо-UTM. Отличительной осо-. Отличительной осо-бенностью системных пользователей является то, что ониимеют отрицательный идентификатор. Таким образом, обыч-ный пользователь не может одновременно являться админис-тратором и наоборот.

В системе три встроенных системных пользователя: init —учёт-init —учёт-— учёт-ная запись системного администратора; eb —учётная запись, eb —учётная запись,— учётная запись,

под которой программа пользовательского интерфейса осу-ществляет доступ к системе; raius —учётная запись, под кото-raius —учётная запись, под кото-— учётная запись, под кото-рой входит в систему сервер RADIUS.RADIUS..

Как и обычных пользователей, системных пользователейможно объединять в группы. Для каждой группы системныхпользователей настраивается политика безопасности. Поли-тика безопасности – это набор прав на исполнение системных

функций. С точки зрения политик безопасности, можно выде- лить следующие типовые группы системных пользователей:администраторы (полные права), кассиры (пополнение ли-цевых счетов пользователей), бухгалтеры (доступ к отчётамсистемы) и другие.

Если системный пользователь входит в состав несколькихсистемных групп, то действует правило добавления: пользо-ватель имеет суммарные привилегии всех групп, членом кото-

рых он является.

2.1 Создание системной учётной записи

При создании системной учётной записи обязательными па-раметрами являются логин и пароль. Можно указать IP-адресIP-адрес-адрескомпьютера или подсеть, из которой разрешается доступ

пользователю. Создаваемую учётную запись можно сразу включить в одну или несколько системных групп.

7/22/2019 utm5_20070529


2


2.2 Создание системной группы

В UTM системные группы являются носителями прав на ис-UTM системные группы являются носителями прав на ис-системные группы являются носителями прав на ис-полнение системных функций. При создании группы нужно

указать, какие системные функции разрешены на исполнениееё членам.

7/22/2019 utm5_20070529


0



3. Глобальные объекты тарификации

Глобальные объекты тарификации — объекты, действующие

для всей системы в целом. Глобальные объекты тарификацииоказывают на логику работы системы непосредственное, пос-тоянное влияние или сказываются на логике работы системыопосредованно.

Объекты, оказывающие на логику работы системы непосред-ственное, постоянное влияние:

• Временной диапазон• Класс трафика

• Телефонное направление и телефонная зона

Объекты, оказывающие опосредованное влияние:• Валюта• Расчетный период• Услуга• Тарифный план

Например, такой объект как класс трафика, непосредствен-но и постоянно влияет на работу системы, поскольку всяинформация о трафике обрабатывается и классифицирует-ся постоянно (если существует поставщик данной информа-ции). А такой объект как валюта оказывает на работу системыопосредованное влияние, поскольку наличие или отсутствиетой или иной валюты в системе не оказывает влияние на теку-щую работу, т.к. все расчеты в системе производятся во внут-

ренних условных единицах и только потом, при выставлениисчетов, активации карт, или внесении платежей происходитперерасчет из внутренних условных единиц в валюту.

3.1 Валюта

Валюта — денежная единица системы. Валюты конвертиру-ются во внутренние условные единицы системы при внесе-

нии платежей для определения суммы средств, поступаю-щих на лицевой счет.

7/22/2019 utm5_20070529


1


Внутренние условные единицы системы конвертируютсяв валюты при выставлении счетов для определения стои-мости позиций в счете, налогов и суммы счета.

Валюта обладает следующими параметрами:

• Идентификатор валюты (обязательный параметр)• Сокращенное название (обязательный параметр)• Название (обязательный параметр)• Курс (обязательный параметр)• История изменения курса (создается автоматически)

Идентификатор валюты

Цифровой трёхзначный код валюты согласно стандарту IS 4217.

Сокращенное название

Трехбуквенный код валюты согласно стандарту IS 4217.

7/22/2019 utm5_20070529


2



Название валюты

Наименование валюты согласно постановлению ГосстандартаРФ от 25.12.2000 N 405.

Курс

Курсы валют относительно внутренней условной единицысистемы.

При нажатии кнопки Обновить online происходит автома-тическое установление курса валюты по отношению к рублюсогласно текущему курсу ЦБ РФ. Для рубля всегда устанавли-вается значение 1. Функция Обновить online доступна, еслизначение параметра system_currency равно 810, т.е. еслисистемной валютой является российский рубль.

По умолчанию курс рубля к курсу внутренней единицы равен 1,т. е. взаиморасчеты производятся в рублях.

История изменения курса

В данной таблице приводится соответствие даты и курса,действовавшего в системе от времени, определенного датойдо следующего изменения курса. В первой строке таблицы указывается курс, действующий на данный момент в системе.

3.2 Временной диапазон

Временной диапазон — период или объединение периодоввремени. Временные диапазоны используются для классифи-кации времени.

Временной диапазон обладает следующими параметрами:

• Идентификатор• Название

• Таблица диапазонов времени• Таблица дней

7/22/2019 utm5_20070529



Таблица диапазонов времени

Задает временные границы, определяющие принадлежность

периода времени между ними к временному диапазону. Вре-менная граница — время, указанное для дня недели.

Например, таблица диапазонов времени, границы которойотображены в свойствах временного диапазона выше, зада-ет временной диапазон, действующий в соответствии с ри-сунком.

Неделя начинается с воскресенья и заканчивается в субботу.

Таблица дней

Определяет дни, принадлежащие к диапазону. Определенные

в таблице дни, начиная с 0-00 до 24-00 (0-00 следующего дня),будет полностью включены во временной диапазон.

7/22/2019 utm5_20070529




Если заданы и таблица диапазонов времени и таблица дней,используется их объединение.

Например, временной диапазон, параметры которого отоб-

ражены выше, действует каждый понедельник с 0-00 до 0-00вторника, каждый вторник с 0-00 до 12-00 и 23 февраля, 8 мар-та, 1 апреля весь день.

Не рекомендуется создавать пересекающиеся временные диа-пазоны. В зависимости от платформы максимальный приори-тет будет иметь временной диапазон или заданный первым,или заданный последним. Имеющий максимальный приори-тет временной диапазон устанавливается экспериментально.

Однозначность будет внесена в следующих версиях.

3.3 Расчетный период

Расчетный период — это период времени, в течение которогопроизводятся периодические действия.

Например, удержание средств с лицевых счетов пользовате- лей за периодические услуги и услуги с периодической состав- ляющей стоимости (подробнее — раздел Услуги).

Расчетные периоды используются для проведения расчетовс абонентами в одно и то же время, например, с первого попервое число каждого месяца.

Расчетный период обладает следующими параметрами:

• Идентификатор• Время начала периода• Время окончания периода• Тип периода• Количество списаний в неделю• Статический идентификатор

7/22/2019 utm5_20070529



Время начала периода

Определяет дату и время начала расчетного периода.

Время окончания периода

Определяет дату и время окончания расчетного периода.При создании устанавливается автоматически. В течение

расчетного периода имеется возможность изменить данныйпараметр. Время окончания не может быть меньше времениначала и текущего времени. При попытке установить время,меньшее времени начала или текущего времени, произойдет

установка минимально допустимого времени окончания.

Тип периода

Определяет длину периода, устанавливаемого по умолчанию.

Существуют следующие типы расчетных периодов:• ежедневный• еженедельный• ежемесячный• ежеквартальный• ежегодный• с произвольной длиной в секундах

7/22/2019 utm5_20070529




Для задания расчетного периода с произвольной длиной в секундахследует выбрать тип расчетного периода Другая длина..., задатьдлительность периода в секундах параметром Другая длина, сек..

Количество списаний в неделю

Количество списаний периодической составляющей стоимос-ти в неделю (подробнее — раздел Периодическая услуга).

Для задания количества списаний в неделю первоначальнонеобходимо установить опцию Задать количество списаний, а затем задать количество списаний.

Статический идентификатор

Неизменямый идентификатор расчетного периода, несущийинформационную цель. Статический идентификатор выдает-ся расчетному периоду при создании. Расчетный период, со-зданный автоматически при закрытии предыдущего, получиттот же Статический идентификатор.

При закрытии расчетного периода осуществляется:• досписание абонентской платы с учетом блокировок• перенос неистраченного предоплаченного трафика на сле-дующий расчетный период (подробнее — раздел Услуга пере-дачи IP-трафика)

• выставление счетов• автоматическая смена тарифного плана.

При закрытии расчетного периода автоматически создаетсяновый расчетный период. При этом в качестве времени на-чала следующего периода устанавливается время окончанияпредыдущего. Тип, статический идентификатор и количест-во списаний в неделю для нового периода сохраняются неиз-менными. Время окончания устанавливается автоматическив зависимости от типа периода.

Например, если имеется расчетный период с длительностью1 месяц и производится его закрытие 1 сентября 2007 года, то

7/22/2019 utm5_20070529



автоматически будет создан новый расчетный период с вре-менем начала периода 1 октября 2007 года.

При закрытии расчетного периода к новому расчетному пери-

оду привязывается сервисные связки и/или тарифные связ-ки, ссылавшиеся на предыдущий расчетный период.

3.4 Класс трафика

Класс трафика — маркер, определяющий принадлежность тра-фика к данной группе. Трафик принадлежит классу, если он

принадлежит хотя бы одному из подклассов данного класса.

Классификация трафика необходима для последующей тари-фикации трафика.

Класс трафика обладает следующими параметрами:• Идентификатор (обязательный параметр)• Название (обязательный параметр)

• Временной диапазон• Цвет на графике• Показывать• Заливать• Не сохранять• Межабонентский трафик• Таблица подклассов класса трафика (обязательный параметр)

7/22/2019 utm5_20070529




Идентификатор

Идентификатор класса трафика — число. На основании этогочисла производится перебор классов трафика.

Классы трафика нужно размещать под такими номерами, что-бы идентификатор класса трафика, являющегося подмножес-твом другого класса трафика, был больше идентификаторапоследнего.

Временной диапазон

При указании временного диапазона класс трафика будетдействовать только в попадающее в диапазон время.

Цвет на графике

Определяет цвет, которым будет отображаться график длятрафика данного класса в графических отчетах.

Показывать

Определяет, будет ли отображаться трафик данного классав графических отчетах.

Заливать

Определяет тип графика для трафика данного класса в графи-ческих отчетах пользователей, использующих для отображе-ния отчета eb-интерфейс.

Не сохранять

Если отмечена опция Не сохранять, то детальная информа-ция по трафику данного класса не будет сохраняться в базу дан-

ных с детальным трафиком. Данная опция будет полезна длятрафика, стоимость которого равна нулю или детализация покоторому не понадобится. Таким трафиком может быть, на-

7/22/2019 utm5_20070529



пример, локальный трафик. Данный функционал позволяет уменьшить размер базы данных с детальным трафиком.

Межабонентский трафик

Данный параметр определяет политику записи межабонент-ского трафика.

Межабонентский трафик — трафик, отправителем и получате- лем которого являются абоненты системы.

Параметр Межабонентский трафик на:• получателя• отправителя• обоим

определяет, на какого абонента будет записан межабонент-ский трафик. Вне зависимости от значения данной опции,переклассификация трафика не производится.

Подклассы трафика

Подкласс трафика — набор признаков, по которым определя-ется принадлежность или отсутствие таковой к данному клас-су трафика.

Отнесение трафика к подклассу происходит на основаниинабора признаков, присутствующих в информации о тра-фике. В качестве признаков могут выступать данные, содер-

жащейся в NetFlo-пакетах, и адрес поставщика NetFlo (IPмаршрутизатора).

Данные, содержащейся в NetFlo-записи:• Для источника или адресата

o Адрес сети (обязательный параметр)o Маска сети (обязательный параметр)o Порт

o Интерфейсo АС

• Протокол

7/22/2019 utm5_20070529


0



• Следующий маршрутизатор• TS• TP-флаги

Если в качестве параметров NetFlo-записи подкласса трафика указываются необязательные параметры (все, кроме адресаи маски сети источника или адресата), необходимо устанавли-вать флажок рядом с полем ввода.

Если значение поля IP маршрутизатора не задано, адрес пос-тавщика NetFlo не участвует в логике определения принадлеж-ности подкласса к классу.

Трафик принадлежит к подклассу, если

• адрес отправителя и адрес получателя принадлежат сети от-правителя и получателя, указанных в параметрах подкласса

• остальные параметры NetFlo-записи совпадают с указанны-ми в свойствах подкласса параметрами

• IP-адрес поставщика NetFlo совпадает с IP-адресом, указан-

ным в свойствах подкласса, либо в свойствах подкласса заданнулевой адрес поставщика.

7/22/2019 utm5_20070529


1


Пропустить

Если отмечена опция Пропустить, то данный подкласс тра-фика не будет маркироваться данным классом. При этом про-

должается сравнение с другими классами трафика. Даннаясхема удобна в том случае, если необходимо отдельный адресиз всей сети выделить в отдельный класс трафика.

Трафик принадлежит классу, если

•принадлежит хотя бы одному из подклассов данного класса

• не принадлежит ни одному из подклассов с установленной

опцией Пропустить

• время поступления информации о трафике входит в указан-ный для класса трафика временной диапазон

3.5 Телефонное направление

Телефонное направление — множество телефонных номеров.

Принадлежность номера к множеству определяется наоснове регулярных выражений.

Телефонные направления используются для классификациителефонных звонков и их последующей тарификации.

Телефонное направление обладает следующими параметрами:

• Идентификатор (число > 1000000)• Зона• Префикс (обязательный параметр)• Название(обязательный параметр)

7/22/2019 utm5_20070529


2



Зона

Название зоны, в которую данное телефонное направлениебыло включено первым (для телефонных направлений, вклю-

ченных в телефонную зону).

Префикс

Префикс задает регулярное выражение, по которому опре-деляется, в какой город либо страну производится вызов.Регулярное выражение строится в соответствии со стандар-том PSI 1003.2.

При проведении поиска все направления сортируются в по-рядке уменьшения длины префикса, т. е. в самом начале спис-ка окажутся направления с наиболее длинными префиксами.Поиск производится с начала сортированного списка до пер-вого совпадения.

3.6 Телефонная зона

Телефонная зона — это набор телефонных направлений.

Телефонные направления объединяются в телефонные зоныдля удобства тарификации телефонных разговоров.

Телефонная зона обладает следующими параметрами:

• Идентификатор

7/22/2019 utm5_20070529



• Название(обязательный параметр)• Таблица телефонных направлений

Таблица телефонных направлений

В таблице задается перечень телефонных направлений, вхо-дящих в данную телефонную зону.

3.7 Услуга

Услуга — базовый объект тарификации, определяющий прави- ла тарификации.

В качестве общих параметров услуги выступают:

• Идентификатор услуги• Название услуги (обязательный параметр)

7/22/2019 utm5_20070529




• Комментарий к услуге• Вид услуги• Тип услугиВид услуги — определяет область применимости услуги.

В системе существуют следующие виды услуг:

• обычная услуга• фиктивная услуга• услуга тарифного плана

Тип услуги — определяет набор правил тарификации, задавае-мых данной услугой.

В системе существуют следующие типы услуг:• разовая услуга• периодическая услуга• услуга передачи IP-трафика• услуга hotspot• услуга коммутируемого доступа• услуга телефонии

Для каждого типа услуг существуют специфичные для данноготипа услуг параметры.

Специфичные параметры рассматриваются при описании со-ответствующих типов услуг.

Логика тарификации определяется услугами и рассматривает-ся при описании соответствующих типов услуг.

Для типов услуг:

• периодическая услуга• услуга передачи IP-трафика• услуга hotspot• услуга коммутируемого доступа• услуга телефонии

Существуют параметры даты начала и даты окончания дейс-твия услуги.

7/22/2019 utm5_20070529



Дата начала действия услуги — срок начала предоставления услуги и списаний за нее.

В текущей версии UTM5 данный параметр не используется.

Дата окончания действия услуги — срок завершения предостав- ления услуги и списаний за нее.

В текущей версии UTM5 данный параметр определяет дату,при наступлении которой услуга будет удалена, если на нее нессылается ни одна сервисная связка.

Для типов услуг:

• услуга передачи IP-трафика• услуга коммутируемого доступа• услуга hotspot• услуга телефонии

Существуют параметры периодической составляющей стои-мости услуги.

Периодическая составляющая стоимости услуги описываетсяв разделе «Периодическая услуга».

3.7.1 Виды услуг

3.7.1.1 Обычная услуга

Обычные услуги создаются в случае, если они будут использо-ваться для некоторых пользователей в системе в определен-ных ситуациях, не зависящих от тарифного плана.

Например, разовая услуга «Выезд настройщика».

Обычная услуга

• порождает сервисные связки в неограниченном количестве• создается непосредственно• не может входить в состав тарифного плана

7/22/2019 utm5_20070529




При создании обычной услуги опция Фиктивная не устанав- ливается.

3.7.1.2 Фиктивная услуга

Фиктивная услуга используется только при создании услуг,входящих в состав тарифных планов, и при автоматическойсмене тарифных планов, в момент закрытия расчетного пе-риода.

Фиктивная услуга

• не определяет логику тарификации• не порождает сервисные связки• не может входить в состав тарифного плана• играет роль родительской для услуг тарифного плана• создается непосредственно

Для создания фиктивной услуги необходимо выбрать опцию

Фиктивная услуга в окне создания услуги.

Во избежание путаницы не рекомендуется создавать фиктив-ные услуги, необходимость в которых отсутствует.

Рекомендуется заблаговременно создать по одной фиктивной услуге для каждого логического типа услуги.

Например,

• одну фиктивную услугу для абонентской платы• одну фиктивную услугу для оплаты использования реальногоIP-адреса

• одну фиктивную услугу для передачи трафика обычных поль-зователей

• одну фиктивную услугу для передачи трафика пользователей,использующих обособленное адресное пространство

и т.д.

7/22/2019 utm5_20070529



В свойствах каждый такой услуги можно задать наиболее час-то используемые параметры для данного логического типа ус-

луг. Эти параметры будут использоваться по умолчанию присоздании услуги, входящей в состав тарифного плана.

3.7.1.3 Услуга, входящая в состав тарифногоплана

Услуга, входящая в состав тарифного плана, предназначенадля включения в тарифные планы.

Услуга, входящая в состав тарифного плана:

• может входить только в тарифный план• порождает ограниченное количество сервисных связок (ог-раничено количеством тарифных связок)

• не может быть создана непосредственно (для создания необ-ходимо выбрать родительскую услугу из числа существующихфиктивных услуг)

• нельзя задать дату начала действия услуги

• нельзя задать дату окончания действия услуги (срок заверше-ния действия задается в свойствах тарифного плана)

Единственным специфичным параметром, отличающим дан-ный вид услуги от обычной услуги, является:

• Подключать услугу по умолчанию

Подключать услугу по умолчанию

Если данная опция установлена, то при создании в ручномрежиме тарифной связки для тарифного плана, в которыйвходит услуга, будет отображено окно в котором возможно со-здать сервисную связку для данной услуги.

При автоматическом создании тарифной связки, в которуювходит данная услуга, если данная опция установлена, сер-висная связка будет создана автоматически с параметрами

по умолчанию.

7/22/2019 utm5_20070529




При автоматической смене тарифного плана, услуги, для ко-торых не установлена данная опция, подключаться не будут(подробнее — в разделе Тарифный план).

3.7.2 Типы услуг

3.7.2.1 Разовая услуга.

Сервисная связка разовой услуги

Разовая услуга предназначена для единовременных списаний

денежных средств с лицевого счета абонента.

Специфичными параметрами для данного типа услуг являются:

• Стоимость услуги• Удалить из группы

Стоимость услуги

Стоимость услуги – размер денежных средств, которые бу-дут списаны с лицевого счета абонента единовременно. Вре-мя списания определяется параметрами сервисной связки.После списания стоимости услуги для данного лицевого счета,будет выставлен счет за данную услугу.

7/22/2019 utm5_20070529



Удалить из группы при подключении услуги

Данный параметр позволяет исключить пользователя из груп-пы с указанным идентификатором, после списания стоимос-ти услуги с его лицевого счета.

Сервисная связка разовой услуги

Специфичным параметром сервисной связки разовой услугиявляется:

• Дата списания

Дата списания

Дата списания стоимости услуги. Если дата указана в будущем,списание производится при наступлении указанной даты.Если дата указана в настоящем или прошлом, списание осу-ществляется сразу же после создания сервисной связки.

По умолчанию дата списания устанавливается по локальному

времени компьютера, на котором запущен интерфейс адми-нистратора.

После проведения списания сервисная связка для разовой ус- луги удаляется.

7/22/2019 utm5_20070529


0



3.7.2.2 Периодическая услуга. Сервисная

связка периодической услуги

Периодическая услуга предназначена для периодических спи-саний с лицевого счёта абонента. Специфичными параметра-ми для данного типа услуг являются:

• Метод снятия средств• Стоимость

Метод снятия средств

Метод снятия средств определяет порядок списания денеж-ных средств с лицевого счета абонента.

Существуют следующие методы снятия средств:

• в начале расчетного периода• в конце расчетного периода• в течение всего расчетного периода

В начале расчетного периода

Списание средств производится единовременно при созда-нии сервисной связки и при установке системой нового рас-четного периода для данной сервисной связки.

7/22/2019 utm5_20070529


1


В конце расчетного периода

Списание средств производится непосредственно перед за-крытием расчетного периода.

В течение всего расчетного периода

Списание средств производится постепенно в течение всегорасчетного периода. Количество списаний определяется пара-метром Количество списаний в неделю расчетного периода,на который ссылается сервисная связка данной услуги, или на-стройками ядра (параметром fow_discount_per_period).

На основании длины расчетного периода и стоимости опре-деляется минимальное количество средств, которые могутбыть списаны по данной сервисной связке за один раз. Наосновании количества списаний определяется минимальныйинтервал времени между списаниями. При инициализациисервисной связки расчетный период делится на равные ин-тервалы между списаниями. При завершении каждой такойчасти генерируется событие бизнес-логики, обработчик кото-рого определяет, какое количество средств должно быть спи-

сано для данной сервисной связки на момент вызова обработ-чика, и какое количество средств было списано. Если разницамежду значениями превышает минимальный объем средств,который списывается по сервисной связке, то производитсясписание необходимой суммы, кратное минимальному коли-честву средств.

Если количество списаний в неделю не установлено, то списа-ния осуществляются следующим способом. При инициализа-

ции сервисной связки, ссылающейся на периодическую услугу с плавным списанием и расчетный период без установленно-го количества списаний в неделю, расчетный период, на кото-рый ссылается данная сервисная связка, делится на указанноев параметре fow_discount_per_periodколичество равныхчастей (по умолчанию равное 64). При завершении каждойчасти генерируется событие бизнес-логики. Обработчик со-бытия выбирает все сервисные связки, зарегистрированныев системе и ссылающиеся на периодические услуги с плавным

списанием и расчетный период, без установленного количес-тва списаний в неделю. Для каждой такой сервисной связки

7/22/2019 utm5_20070529


2



определяется количество средств, которое должно быть спи-сано. Если разница между значениями превышает значениепараметра discount_barrier, производится списание не-обходимой суммы.

Расчетный период указывается в свойствах сервисной связкипериодической услуги.

Стоимость

Стоимость — количество денежных средств, которое будетсписано в расчетном периоде с лицевого счета абонента за

данную услугу. Стоимость, списываемая в начальном расчет-ном периоде, может быть перерасчитана в зависимости от указанных при создании сервисной связки параметров, а спи-сываемая в текущем расчетном периоде — в зависимости отпараметров лицевого счета или параметров блокировки уста-новленной на нем.

Если при закрытии расчетного периода по сервисной связке,ссылающейся на услугу и расчетный период, средства былисписаны не полностью — производится списание недостаю-

щей суммы.

Счет за периодическую услугу выставляется непосредственноперед закрытием расчетного периода. В зависимости от пара-метров пользователя также может быть выставлен дополни-тельный счет при закрытии расчетного периода за периоди-ческие услуги, которые будут действовать в следующем расчет-ном периоде. Если для лицевого счета существует несколькосервисных связок, ссылающихся на один и тот же расчетный

период, для данных сервисных связок будет выставлен толькоодин счет с несколькими позициями.

Периодическая составляющая стоимости

Для услуг

• передачи IP-трафика

• hotspot• коммутируемого доступа• телефонии

7/22/2019 utm5_20070529



cуществует параметр периодической составляющей стоимос-ти, являющийся периодической услугой, встроенной в услугу данных типов.

Логика тарификации, проведения списаний, выставлениясчетов а так же логика пересчета периодической составляю-щей стоимости аналогична соответствующей логике перио-дической услуги.

Для удержания абонентской платы вместо указания периоди-ческой составляющей стоимости услуги более оптимальнымявляется создание периодической услуги абонентской платы.

Списания периодической составляющей стоимости не отоб-ражаются в отчетах по услугам.

Сервисная связка периодической услуги

Специфичными параметрами сервисной связки периодичес-кой услуги являются:

• Дата начала• Дата окончания• Расчетный период• Не списывать абонентскую плату

7/22/2019 utm5_20070529




Дата начала

Дата, начиная с которой будут производится списания запериодическую составляющую стоимости (для расчетныхпериодов со списаниями в начале и в течение всего перио-

да). Если дата находится в будущем — сервисная связка будетпомечена как запланированная, списания начнутся при на-ступлении этой даты. Если дата указана в прошлом — системабудет использовать вместо нее текущую дату сервера, накотором запущено ядро UTM5.

Дата окончания

Дата окончания действия услуги. При наступлении даннойдаты сервисная связка будет удалена. По умолчанию не уста-навливается.

Расчетный период

Расчетный период, на который ссылается сервисная связка.

Не списывать абонентскую плату

Если данная опция установлена, то в начальном расчетном пе-риоде будет произведен перерасчет периодической составля-ющей стоимости услуги следующим образом:

Периодическая составляющая стоимости, которая должна

быть списана за текущую часть расчетного периода= Периодическая составляющая стоимости за весь

расчетный период * (Время между датой начала действия

сервисной связки и датой окончания расчетного периода

/ Длительность расчетного периода)

Если дата начала действия сервисной связки установленав прошлом, в качестве даты начала действия сервисной связ-

ки будет установлена текущая дата по времени ядра UTM5.

7/22/2019 utm5_20070529



Т.е.

Стоимость(текущей части)=Стоимость(всего периода)*(l1/L),

если дата начала действия сервисной связки установлена вбудущем или

Стоимость(текущей части)=Стоимость(всего периода)*(l2/L),

если дата начала действия сервисной связки установлена в прош- лом или на текущую дату.

Для сервисных связок:

• услуги передачи IP-трафика• услуги коммутируемого доступа• услуги hotspot• услуги телефонии

существуют параметры Дата начала действия сервисной

связки, Дата окончания действия сервисной связки, Расчетный период сервисной связки, Не списывать абонентскую плату , представляющие собой параметры сервисной

7/22/2019 utm5_20070529




связки периодической услуги, встроенные в сервисныесвязки услуг данных типов.

3.7.2.3 Услуга передачи IP-трафика.Сервисная связка услуги передачи IP-трафика

Услуга передачи IP-трафика предназначена для тарификациитрафика.


• Таблица с предоплаченными классами трафика• Обнулять предоплаченный трафик• Границы тарификации• Группа

Рекомендуется для удержания абонентской платы вместо ука-зания периодической составляющей стоимости услуги созда-вать периодическую услугу абонентской платы.

7/22/2019 utm5_20070529



Таблица с предоплаченными классами трафика

Предоплаченный трафик — трафик тарифицируемый по нуле-вой стоимости, бесплатный. Данный тип трафика расходует-ся в первую очередь и не учитывается при расчетах количеств

трафика, подлежащих тарификации. Неиспользованный пре-доплаченный трафик может переноситься на следующий рас-четный период.

Для каждого класса трафика в таблицу с предоплаченнымиклассами трафика можно добавить только одну запись.

Предоплаченный трафик бывает трех типов:

• Указанный в свойствах услуги• Добавленный администратором вручную• Перенесенный из предыдущего расчетного периода

В случае если для сервисной связки имеется неиспользован-ный предоплаченный трафик для определенного класса, ад-министратор может добавить при необходимости произволь-ное количество предоплаченного трафика этого класса дляданной сервисной связки.

Параметрами предоплаченного трафика являются:

• Класс трафика• Количество• Накапливать не более

7/22/2019 utm5_20070529




Количество

Количество предоплаченного трафика, предоставляемогов начальном расчетном периоде, может быть перерасчита-но в зависимости от параметров, заданных при создании

сервисной связки (подробнее — раздел Сервисная связкауслуги передачи Iтрафика). Количество предоплаченно-го трафика, предоставляемого в текущем расчетном периоде,может быть перерасчитано в зависимости от параметров ли-цевого счета или блокировки. Перерасчет влияет толькона предоплаченный трафик, указанный в свойствах услуги.

Здесь и далее количество трафика задается в байтах. При этомдля системы количество байт в килобайте будет выбрано из

параметра bytes_in_kbyte, значение которого по умолча-нию равно 1024.

Если напротив поля, в котором указывается количество тра-фика, есть опция HS существует возможность указания коли-чества трафика в килобайтах, мегабайтах и гигабайтах.

Накапливать не более

Данный параметр лимитирует количество неиспользованно-го предоплаченного трафика, переносимого на следующийрасчетный период, независимо от происхождения.

Обнулять предоплаченный трафик

Данный параметр определяет, будет ли переноситься неис-

пользованный предоплаченный трафик на следующий рас-четный период. В случае, если опция установлена, неизрасхо-дованный предоплаченный трафик на следующий расчётныйпериод не переносится.

Границы тарификации

Границы тарификации — это установленные для определен-

ного класса трафика количественные пределы, используемыедля задания различной стоимости мегабайта трафика в опре-деленных этими пределами диапазонах. Цена мегабайта

7/22/2019 utm5_20070529



трафика от данной границы до следующей будет определять-ся стоимостью, заданной при создании границы.

Границы тарификации обладают следующими параметрами:

• Класс трафика• Количество• Стоимость

Количество

Положение границы в байтах.

Стоимость

Стоимость трафика от данной границы до следующей вовнутренних условных единицах за мегабайт.

Если после данной границы больше границ не существует,определенный этой границей диапазон включает в себя весьтрафик, превыщающий данную границу.

Границы могут быть установлены для любых классов трафика,существующих в системе.

Для данной услуги передачи IP-трафика необходимо наличиехотя бы одной границы тарификации.

При отсутствии нулевой границы эта граница будет созда-на автоматически с нулевой стоимостью для всех указан-ных в границах тарификации классов трафика.

При поступлении информации о количестве трафика боль-шем, чем необходимое для изменения механизма тарифика-

7/22/2019 utm5_20070529


0



ции, тарификация данного трафика будет происходить поэ-тапно. На первом этапе будет тарифицировано количествотрафика, необходимое для изменения логики тарификации.На следующем этапе будет определено, необходима ли поэ-

тапная тарификация оставшегося количества трафика. Еслипоэтапная тарификация необходима — трафик будет разделенпо той же логике, что и на первом этапе. Если отсутствует не-обходимость в поэтапной тарификации — все оставшееся ко-

личество трафика будет протарифицировано.

Принцип действия границ тарификации показан на схемах.

Если пользователь потребил 125Mb трафика, то стоимость

первых 50Mb будет рассчитана из стоимости 1Mb, указаннойв границе тарификации 1. Стоимость вторых 50Mb будет рас-считана из стоимости 1Mb, указанной во границе тарифика-ции 2. Стоимость 25Mb будет рассчитана из стоимости 1Mb,

указанной в границе тарификации 3.

Если пользователю предоставлен предоплаченный трафик вразмере 10Mb, первоначально при потреблении трафика про-изойдет его расходование, и тарификация 10Mb произведет-

ся по нулевой стоимости. При превышении объема потреб- ленного трафика количества предоплаченного, тарификация

7/22/2019 utm5_20070529


1


будет происходить в соответствии со схемой, обозначеннойвыше.

Группа

Настоятельно не рекомендуется использование предоплачен-ных единиц совместно с группами. Совместное использова-ние может привести к некорректной работе системы.

Группа — объединение нескольких классов трафика. Исполь-зование группы изменяет логику тарификации трафика.

Группа обладает следующими параметрами:

• Идентификатор класса• Тип группы

7/22/2019 utm5_20070529


2



Существуют следующие два типа групп:

• Группа максимум (ma) (есть ограничения на границы тари-фикации)

• Группа суммирования (sum) (нет ограничений на границытарификации)

Группа максимум (max)

Объединение классов трафика в группу ma используется длятарификации по превалирующему классу.

Ограничение на границы тарификации: в границах тарифи-

кации должен присутствовать только первый из классов тра-фика, входящий в группу ma.

Тарификация трафика осуществляется согласно заданнымграницам тарификации только для трафика того класса, кото-рого больше на момент поступления информации о трафике.Если трафика поступившего класса на момент поступленияинформации меньше, чем трафика другого класса группы

ma, уже тарифицированного системой, тарификация длянего осуществляется по нулевой стоимости.

Например, в группу ma входят класс трафика 1 и класс тра-фика 2. Для класса трафика 1 определены три границы тари-фикации.

Пользователь потребил:

1. 15Mb трафика с классом трафика 2. Стоимость трафика рас-считывается из стоимости 1Mb, указанной в первой границетарификации.

2. 40Mb трафика с классом трафика 1. Трафик разделяется наобъемы по 15Mb и 25Mb. Объем в 15Mb тарифицируется понулевой стоимости. Стоимость оставшихся 25Mb трафикарассчитывается из стоимости 1Mb, указанной в границе тари-фикации 1.

3. 50Mb трафика с классом трафика 2. Трафик разделяется наобъемы по 25Mb и 25Mb. Объем в 25Mb тарифицируется

7/22/2019 utm5_20070529



по нулевой стоимости. Поскольку количество трафика превы-шает границу тарификации 2, трафик разбивается на объемв 10Mb (до границы тарификации 2) и 15Mb (после границытарификации 2). Стоимость 10Mb трафика рассчитывается

из стоимости 1Mb, указанной в границе тарификации 1. Сто-имость 15Mb трафика рассчитывается из стоимости 1Mb, ука-занной в границе тарификации 2.

4. 45Mb трафика с классом трафика 1. Трафик разделяется наобъемы по 25Mb и 20Mb. Объем в 25Mb тарифицируется понулевой стоимости. Поскольку количество трафика превы-шает границу тарификации 3, трафик разбивается на объемв 10Mb (до границы тарификации 3) и 10Mb (после границы

тарификации 3). Стоимость 10Mb трафика рассчитываетсяиз стоимости 1Mb, указанной в границе тарификации 2. Сто-имость 15Mb трафика рассчитывается из стоимости 1Mb, ука-занной в границе тарификации 3.

7/22/2019 utm5_20070529




Группа суммирования (sum)

Объединение классов трафика в группу sum используется длятарификации по сумме трафика для классов трафика, входя-щих в группу.

Тарификация трафика каждого класса будет происходить в со-тветсвии с границами тарификации, определенными для это-го класса. Общая стоимость трафика будет определяться каксумма стоимостей трафика всех классов, входящих в группу суммирования.

Например, в группу sum входят класс трафика 1 и класс трафика2. Для класса трафика 1 определены три границы тарификации.Для класса трафика 2 определены две границы тарификации. Бу-

дет рассчитана стоимость как трафика класса 1, так и трафикакласса 2 (стоимость представляет собой площадь заштрихован-ных фигур). Далее произойдет их суммирование.

7/22/2019 utm5_20070529



Помимо всех перечисленных параметров услуги передачитрафика есть параметры, связанные с периодической состав-

ляющей стоимости, началом и окончанием действия услуги.

Параметр Динамическое распределение Iадресов описы-вается в разделе UTM5 RADIUS

Сервисная связка услуги передачи IP-трафика

Специфичными параметрами сервисной связки услуги IP-тра-фика являются:

• Таблица IP-групп• Квоты• Уменьшать предоплаченный трафик

7/22/2019 utm5_20070529




Таблица IP-групп

IP-группы — это сети, назначенные пользователю. Идентифи-кация трафика для его последующей тарификации будет про-исходить на основании соответствующих параметров IP-груп-

пы, соотнесенных с записями NetFlo-пакетов.

IP-группы обладают следующими параметрами:

• IP — адрес сети IP-группы (обязательный параметр). Пара-метр кэшируется UTM5 RADIUS.

• Маска — маска сети IP-группы (обязательный параметр).Параметр кэшируется UTM5 RADIUS.

• ID брандмауэра — идентификатор брандмауэра, используе-мый для определения адреса поставщика NetFlo. Если дан-ный параметр установлен, с данной IP-группой будет сопос-тавлен только тот трафик, информация о котором поступилаот поставщика с указанным IP-адресом.

• MA-адрес — параметр, используемый в правилах fireall.• Логин и Пароль (и его подтверждение) — если данный логинс паролем поступили в запросе на аутентификацию, будетвыдан первый свободный IP-адрес из сети, указанной в свойс-

твах IP-группы. Параметры кэшируются UTM5 RADIUS.Если свободных IP-адресов не осталось - в авторизации будетотказано.

• Разрешенные ID — регулярное выражение, на соответс-твие которому будет проверяться значение атрибута alling-Station-ID запроса на авторизацию. Параметр кэшируетсяUTM5 RADIUS. Если данный атрибут отсутствует (NAS неподдерживает передачу ID) или не соответствует данному выражению, в авторизации будет отказано.

• не VPN — маркер принадлежности IP-адреса к группе. Имеетинформационную функцию.

• Не применять правила fireall — определяет, будут ли дляданной IP-группы выполняться правила fireall.

7/22/2019 utm5_20070529



Квоты

Квота — предел количества трафика, при достижении ко-торого пользователь будет заблокирован запланированнойсистемной блокировкой. В качестве даты начала системнойблокировки будет выступать дата превышения пользователем

квоты. В качестве даты окончания — дата окончания текущегорасчетного периода. Если для сервисной связки определеныквоты для нескольких классов трафика, блокировка произо-дет при достижении любой из них.

Если системная блокировка при достижении квоты установ- лена, а затем изменена дата окончания расчетного периода,дата окончания действия системной блокировки останетсянеизменной.

Квоты обладают следующими параметрами:

• Идентификатор класса• Квота

7/22/2019 utm5_20070529




Идентификатор класса

Класс трафика для которого выделяется квота.

Квота

Предел количества трафика в байтах.

Уменьшать предоплаченный трафик

Опция Уменьшать предоплаченный трафик — определяет,будет ли происходить перерасчет предоплаченного трафика.Если опция установлена, перерасчет произойдет следующимобразом:

Предоплаченный трафик, выделяемый до конца расчетно-

го периода = Предоплаченный трафик всего расчетного

периода * (Время между датой начала действия сервис-

ной связки и датой окончания расчетного периода /

Длительность расчетного периода)

Если дата начала действия сервисной связки установленав прошлом, в качестве даты начала действия сервисной связ-ки будет использоваться текущая дата.

7/22/2019 utm5_20070529



Т.е.

Трафик(за текущую часть)=Трафик(за весь период)*(l1/L),

если дата начала действия сервисной связки установлена вбудущем

или

Трафик(за текущую часть)=Трафик(за весь период)*(l2/L),

если дата начала действия сервисной связки установлена

в прошлом или на текущую дату.

Параметр Не списывать абонентскую плату описывается вразделе Периодическая услуга.

3.7.2.4 Услуга hp. Сервисная связка услуги hp

Услуга hotspot предназначена для тарификации по времени.


• Лимит количества одновременных сессий• Таблица стоимости часа в указанном временном диапазоне

• Список разрешенных сетей

7/22/2019 utm5_20070529


0



Для удержания абонентской платы вместо указания периоди-ческой составляющей стоимости услуги более оптимальным

является создание периодической услуги абонентской платы.

Лимит одновременных сессий

Лимит одновременных сессий устанавливает максимальноеколичество единовременно установленных соединений, ко-торое пользователь может осуществить под одним логином

Таблица стоимости часа в указанном временном

диапазоне

В таблице задается стоимость одного часа соединения в ука-занном временном диапазоне.

7/22/2019 utm5_20070529


1


В таблице обязательно должна быть хотя бы одна запись.

Не рекомендуется создавать пересекающиеся временные диа-пазоны. В зависимости от платформы максимальный приори-тет будет иметь временной диапазон или заданный первым,или заданный последним. Имеющий максимальный приори-

тет временной диапазон устанавливается экспериментально.Однозначность будет внесена в следующих версиях.

Время предоставления услуги учитывается с точностью досекунды. Стоимость определяется пропорционально стои-мости часа.

Например, при стоимости часа в 60 рублей, стоимость 15 ми-

нут составит 15 рублей.

Если в таблице указана стоимость часа для нескольких вре-менных диапазонов, и время предоставления пользователю

услуги hotspot находилось в нескольких временных диапа-зонах, тарификация времени соединения будет происхо-дить в соответствии с тем, в каком временном диапазоне этовремя находилось.

Например, для случая, показанного на рисунке

7/22/2019 utm5_20070529


2



Стоимость первого часа будет определяться стоимостью, ука-занной во временном диапазоне 1. Стоимость последующих3 часов будет определяться стоимостью, указанной во времен-ном диапазоне 2. Стоимость пятого часа будет определятьсястоимостью, указанной во временном диапазоне 3.

Список разрешенных сетей

Список разрешенных сетей — список сетей, в которые дол-жен попадать IP-адрес абонента при авторизации. Параметркэшируется UTM5 RADIUS.

На вхождение в данные сети будет проверяться IP-адрес,переданный в значении атрибута Frame-IP-Aress за-

проса на авторизацию. Если данный атрибут не передан илиадрес не входит ни в одну из указанных в данной таблице се-тей, запрос на авторизацию будет отклонен. Данный списокиспользуется только в случае авторизации, происходящейс использованием протокола RADIUS. Если для авторизациииспользуется eb-интерфейс UTM5, список не действует.

7/22/2019 utm5_20070529



Параметр Динамическое распределение Iадресов описы-вается в разделе UTM5 RADIUS.

Параметр Обнулять предоплаченные единицы в текущейверсии UTM5 не используется.

Параметр Стоимость входящего мегабайта является уста-ревшим и не рекомендуется к использованию.

Параметр Ограничение скорости является устаревшим и нерекомендуется к использованию.

Сервисная связка услуги hotspot Специфичными параметрами сервисной связки услугиhotspot являются:

• Логин• Пароль

7/22/2019 utm5_20070529




Логин и Пароль

При авторизации абонента на сервере доступа будут исполь-зоваться данные логин и пароль. При успешной авторизациисервер доступа установит соединение и разрешит доступ або-

ненту. Параметры кэшируются UTM5 RADIUS.

Параметр Уменьшать предоплаченный трафик в текущейверсии UTM5 не действует

3.7.2.5 Услуга коммутируемого доступа.Сервисная связка услуги коммутируемого доступа

Услуга коммутируемого доступа предназначена для тарифика-ции по времени.

Специфичными параметрами данного типа услуг являются: •Название пула

• Максимальный таймаут• Лимит одновременных сессий

• Префикс логина• Таблица стоимости часа в указанном временном диапазоне

7/22/2019 utm5_20070529



Название пула

Название пула — имя пула, из которого будут выдаваться IP-ад-реса. Параметры кэшируются UTM5 RADIUS. В случае, еслипул задан в UTM5, выдается первый свободный адрес из дан-

ного пула. Если пул не задан, то выдается его имя.

Максимальный таймаут

Максимальный таймаут задает максимальное время сессиив секундах. Параметр кэшируется UTM5 RADIUS.

Если в качестве макимального таймаута задано число 0, товремя сессии составит 0 секунд и абоненту будет отказанов авторизации.


Параметр Лимит одновременных сессий устанавливает мак-симальное количество единовременно установленных соеди-

нений, которое пользователь может осуществить под одним логином. Параметр кэшируется UTM5 RADIUS.

Префикс логина

Префикс логина — данный префикс автоматически добавля-ется к логину при создании сервисной связки.

Таблица стоимости часа в указанном

временном диапазоне

В таблице задается стоимость одного часа соединения в ука-занном временном диапазоне.

7/22/2019 utm5_20070529




В таблице обязательно должна быть хотя бы одна запись.

Не рекомендуется создавать пересекающиеся временные диа-пазоны. В зависимости от платформы максимальный приори-тет будет иметь временной диапазон или заданный первым,или заданный последним. Временной диапазон, имеющий

максимальный приоритет, устанавливается эксперименталь-но. Однозначность будет внесена в следующих версиях.

Время предоставления услуги учитывается с точностьюдо секунды. Стоимость определяется пропорционально сто-имости часа.

Например, при стоимости часа в 60 рублей, стоимость 15 ми-

нут составит 15 рублей.

Если в таблице указана стоимость часа для нескольких вре-менных диапазонов, и время предоставления пользователю

услуги коммутируемого доступа находилось в нескольких вре-менных диапазонах, тарификация времени соединения будетпроисходить в соответствии с тем, в каком временном диапа-зоне это время находилось.

Например, для случая, показанного на рисунке

7/22/2019 utm5_20070529



Стоимость первого часа будет определяться стоимостью, указанной во временном диапазоне 1. Стоимость последую-щих 3 часов будет определяться стоимостью, указанной вовременном диапазоне 2. Стоимость пятого часа будет опреде-

ляться стоимостью, указанной во временном диапазоне 3.

Параметр Динамическое распределение Iадресов описы-вается в разделе UTM5 RADIUS.

Сервисная связка услуги коммутируемого

доступа

Специфичными параметрами сервисной связки услуги комму-тируемого доступа являются:

• Логин• Пароль (и подтверждение пароля)• Разрешенные ID• Разрешенные SID• Разрешен allbac• Разрешен Ringon

7/22/2019 utm5_20070529




Логин и Пароль (подтверждение пароля)

При авторизации абонента на сервере доступа будет исполь-зоваться данные логин и пароль. При успешной авторизациисервер доступа установит соединение и произведет динами-ческую выдачу абоненту IP-адреса из пула. Параметры кэши-руются UTM5 RADIUS.

Разрешен Callback

Если данная опция установлена, при авторизации RADIUS-сервер проверяет поступивший в запросе логин на соответс-твие стандарту, принятому для allbac-звонков. Логином счи-тается часть, стоящая после двоеточия. Параметр кэшируетсяUTM5 RADIUS.

Разрешен Ringdown

Если данная опция установлена, при авторизации RADIUS-сервер проверяет логин для всех не allbac-звонков. Пара-метр кэшируется UTM5 RADIUS.

Если опции Разрешен allbac и Разрешен Ringon не уста-новлены, то в авторизации с использованием логина и паро-

ля, указанных в свойствах сервисной связки, будет отказано.

7/22/2019 utm5_20070529



Разрешенные CID

Разрешенные ID — регулярное выражение, на соответствиекоторому будет проверяться значение атрибута alling-Station-ID запроса на аутентификацию (подробнее — в разделе UTM5

RADIUS). Параметр кэшируется UTM5 RADIUS.

Если регулярное выражение указано, атрибут в запросе на ав-торизацию отсутствует или не соответствует данному регуляр-ному выражению — в авторизации будет отказано.

Разрешенные CSID

Разрешенные SID — регулярное выражение, на соответствиекоторому будет проверяться значение атрибута alle-Station-ID запроса на аутентификацию (подробнее — в разделе UTM5RADIUS). Параметр кэшируется UTM5 RADIUS.


Параметр Уменьшать предоплаченный трафик в текущейверсии UTM5 не действует.

3.7.2.6 Услуга телефонии. Сервисная связка

услуги телефонии

Услуга телефонии предназначена для тарификации телефон-ных звонков.

Общими параметрами услуги являются те же параметры, чтои для остальных типов услуг

7/22/2019 utm5_20070529


0



Параметр Абонентская плата аналогичен периодическойсоставляющей стоимости услуги.


• Бесплатное время• Длительность начального периода• Шаг начального периода• Шаг последующего периода• Размер единицы тарификации• Лимит одновременных сессий• Таблица цен

7/22/2019 utm5_20070529


1


Бесплатное время

Если длительность звонка меньше значения, указанного в дан-ном параметре, звонок тарифицируется по нулевой стоимости.

Длительность начального периода

Период в начале звонка. В течение периода действует округ-

ление до значения, указанного в поле Шаг начального перио-да. Размерность – секунды.

Шаг начального периода

Шаг округления в начальном периоде. Размерность – секунды.

7/22/2019 utm5_20070529


2



Шаг последующего периода

Шаг округления, действующий после завершения начальногопериода. Размерность – секунды.

Значение параметра не должно быть равно нулю.

Размер единицы тарификации

Количество секунд в единице тарификации. Обычно едини-цей тарификации служит минута и, следовательно, в данномполе необходимо указывать значение 60 секунд.



Лимит одновременных сессий устанавливает максимальноеколичество единовременно установленных соединений, ко-торое пользователь может осуществить для данной сервис-

ной связки.


Таблица цен

Таблица вызывается нажатием на кнопку Редактор цен. В таб- лице указывается зависимость стоимости единицы тарифика-

ции во внутренних условных единицах от временного диапа-зона и телефонной зоны.

7/22/2019 utm5_20070529



Для массового изменения стоимости единиц тарификации су-ществует возможность использования формулы, расположен-ной в нижней части окна Листа цен.

Например, чтобы умножить стоимость на 1.1, следует выде- лить необходимый диапазон единиц тарификации с помощью левой кнопки мыши, задать формулу *1.1 + 0, нажать клавишу

Enter. Для того, чтобы прибавить к стоимости 10, следует вы-делить необходимый диапазон единиц тарификации с помо-щью левой кнопки мыши, задать формулу *1.0 + 10, нажатьклавишу Enter.

Границы тарификации

В таблице с границами тарификации в поле Стоимость указы-

вается стоимость единицы тарификации, в колонке Граница указывается количество секунд, после которых начинает дейс-твовать коэффициент, указанный в колонке Коэффициент.

7/22/2019 utm5_20070529




При тарификации стоимость вычисляется умножением вели-чины, указанной в поле Стоимость, умноженной на значение, указанное в поле Коэффициент.

Для вызова таблицы с границами тарификации необходимокликнуть левой клавишей мыши в колонке временного диапа-зона напротив необходимого направления.

Количество секунд вычисляется как сумма потребленных ус- луг с начала расчетного периода по данному направлению.

Например, для границ, показанных на рисунке, будет дейс-твовать следующая логика определения стоимости единицы

тарификации:

1. Если пользователь потребил услуг телефонии по даннойтелефонной зоне/направлению меньше чем 600 секунд, тари-фикация времени будет производиться по нулевой стоимости(фактически это предоплаченные единицы).

2. Если пользователь потребил услуг телефонии по даннойтелефонной зоне/направлению от 600 до 3600 секунд, сто-

7/22/2019 utm5_20070529



имость единицы тарификации составит 100*1.0 внутренних условных единиц.

3. Если пользователь потребил услуг телефонии по данной

телефонной зоне/направлению от 3600 до 5400 секунд, сто-имость единицы тарификации составит 100*0.5 внутренних

условных единиц.

4. Если пользователь потребил услуг телефонии по данной те- лефонной зоне/направлению больше 5400 секунд, стоимостьединицы тарификации составит 100*0.25 внутренних услов-ных единиц.

Не рекомендуется создавать пересекающиеся временные диа-пазоны. В зависимости от платформы максимальный приори-тет будет иметь временной диапазон или заданный первым,или заданный последним. Имеющий максимальный приори-тет временной диапазон устанавливается экспериментально.Однозначность будет внесена в следующих версиях.

Параметры вкладки RADIUS описываются в разделе RADIUS.

Механизм тарификации

Последовательность шагов при проведении тарификации те- лефонного звонка:

1. Определение направления/зоны.

2 Определение временного диапазона и стоимости единицытарификации.

3. Определение шага округления. Стоимость вызова будетвычисляться с учетом округления.

4. Определение стоимости звонка с учетом данных, получен-ных на предыдущих шагах.

7/22/2019 utm5_20070529




Сервисная связка услуги телефонии

Специфичным параметром сервисной связки услуги телефо-

нии является:

• Телефонные номера

Телефонные номера

Таблица с телефонными номерами и соответствующими импарами логин/пароль, параметром Разрешенные ID.

Телефонный номер обладает следующими параметрами:

• Номер• Логин

• Пароль• Разрешенные ID

7/22/2019 utm5_20070529



Номер

Телефонный номер, который будет выдаваться абоненту при успешной авторизации. Параметр кэшируется UTM5RADIUS.

Логин и Пароль

При авторизации абонента на сервере доступа будет исполь-зоваться данные логин и пароль. При успешной авторизации

сервер доступа установит соединение и произведет выдачу абоненту телефонного номера, указанного в значении пара-метра Номер. Параметры кэшируются UTM5 RADIUS.

Разрешенные CID

Разрешенные ID — регулярное выражение, на соответствиекоторому будет проверяться значение атрибута alling-Station-

ID запроса на авторизацию (подробнее - в разделе UTM5RADIUS). Параметр кэшируется UTM5 RADIUS.


Параметр Уменьшать предоплаченный трафик в текущейверсии UTM5 не действует.

7/22/2019 utm5_20070529




3.8 Тарифный план

Тарифный план представляет собой пакет предоставляемых

в комплексе услуг. Система позволяет создавать такие паке-ты, а затем одной операцией (выбор тарифного плана) до-бавлять услуги пользователям.

Тарифный план обладает следующими параметрами:

• Идентификатор тарифа• Название тарифа (обязательный параметр)• Создан, Изменено• Создал, Изменил• Срок завершения действия• Обнулять баланс в конце расчетного периода• Услуги

7/22/2019 utm5_20070529



Создан, Изменено

Дата создания и дата последнего изменения тарифного плана.

Создал, Изменил

Логин пользователя создавшего или последним изменившеготарифный план.

Срок завершения действия

Дата окончания действия тарифного плана и списаний за него.

Обнулять баланс в конце расчетного периода

Установка данного параметра приводит к обнулению баланса лицевого счета, привязанного к тарифной связке этого та-рифного плана, при закрытии расчетного периода.

Услуги

Список услуг, входящих в тарифный план.

Для включения в тарифный план услуги, необходимо нажатькнопку Добавить. Будет отображен список всех существую-щих в системе родительских (фиктивных) услуг.

Для включения услуги в состав тарифного плана выберите ро-дительскую услугу из списка родительских услуг и нажмите OK .

Список существующих в системе фиктивных услуг можно по-полнить, нажав кнопку Добавить. Будет отображено сообще-

7/22/2019 utm5_20070529


0



ние о рекомендации сохранять в системе минимально необхо-димое количество родительских услуг.

При удалении фиктивной услуги следует убедиться, что дан-ная услуга не является родительской для какой-либо из под-ключенных услуг, входящих в тарифный план.

Создание фиктивной услуги отличается от создания обычной услуги установкой по умолчанию параметра Фиктивная услуга и возможностью задания параметра Подключать услугу поумолчанию.

3.8.1 Совместимость тарифных планов

Для корректного переключения настроек услуг необходимо,чтобы тарифный план, на который происходит переключе-ние, был совместим с тем, что подключен в текущий момент.

У совместимых тарифных планов между услугами в этих та-рифных планах есть взаимнооднозначное соответствие. Этоозначает, что система без вмешательства оператора можетпоменять тарифный план, сохраняя полезную информацию

из сервисных связок, такую, как например IP-адреса в услуге«Передача IP-трафика».

Несовместимые тарифные планы система также может пере-ключать, но услуги, которых нет в тарифном плане следующе-го учетного периода, будут удалены.

Пример. Пусть пользователю подключена услуга А в составетарифного плана 1, и тарифный план следующего учетного

периода — 2, в состав которого входит услуга Б. Для того, что-бы произошел корректный перенос всех параметров подклю-

7/22/2019 utm5_20070529


1


ченной услуги А, необходимо, чтобы обе услуги А и Б имелиобщую родительскую услугу В, как показано на рисунке.

3.8.2 Тарифная связка

Тарифная связка — это объект, связывающий тарифный планс лицевым счетом

Параметрами тарифной связки являются:

• Идентификатор лицевого счета• Текущий тарифный план• Следующий тарифный план• Расчетный период (обязательный параметр)

7/22/2019 utm5_20070529


2



Текущий тарифный план

Тарифный план, действующий в текущий расчетный период.

Следующий тарифный план

Если в настройках тарифной связки указана необходимостьсмены тарифного плана при наступлении следующего расчет-ного периода, при закрытии расчетного периода происходит

переключение на указанный тарифный план. Для корректно-го переноса параметров сервисных связок при смене тариф-ного плана необходимо, чтобы набор родительских услуг былодинаков для услуг, входящих в данный тарифный план.

В течение текущего расчетного периода идентификатортарифного плана следующего расчетного периода можноменять без ограничений, т.к. переключение тарифного пла-на произойдет только при закрытии расчетного периода.

Если следующий тарифный план не выбран (указано [Нет]),

7/22/2019 utm5_20070529



произойдет отключение тарифного плана и всех связанныхс ним сервисных связок.

Расчетный период

Расчетный период тарифного плана устанавливается для всех услуг, подключаемых в составе тарифного плана.

При закрытии расчетного периода происходит переключе-ние на тарифный план следующего расчетного периода, еслион отличается от текущего тарифного плана.

После выбора текущего тарифного плана, текущего расчетно-го периода и нажатия кнопки Применить система автомати-чески предложит создать сервисные связки для услуг, в пара-метрах которых установлен параметр Подключать услугу поумолчанию.

Таблица услуг тарифного плана

Для вызова списка услуг, входящих в текущий тарифный план,нажмите на кнопку ..., расположенную рядом с полем, гдеотображается текущий тарифный план.

Галочкой будут отмечены подключенные услуги — услуги, длякоторых созданы сервисные связки. С помощью кнопки Под

7/22/2019 utm5_20070529




ключить услугу производится подключение неподключен-ной услуги. С помощью кнопки Отключить услугу произво-дится отключение подключенной услуги. С помощью кнопкиНастроить производится редактирование параметров сер-висной связки подключенной услуги.

7/22/2019 utm5_20070529



4. Платежи

АСР NetUP UTM поддерживает работу с любым количествомNetUP UTM поддерживает работу с любым количествомUTM поддерживает работу с любым количествомUTM поддерживает работу с любым количествомподдерживает работу с любым количествомвалют. Курсы валют указываются, по умолчанию, по отноше-

нию к российскому рублю. Более подробно смотрите в разде- ле (Глобальные объекты тарификации | Валюта).

4.1 Закреплённая валюта

Настройка валюты заключается в закреплении за абонентомвалюты, в которой будут происходить операции взаиморасче-

тов между провайдером и абонентом.

NetUP UTM поддерживает смену в любой момент времениUTM поддерживает смену в любой момент времениUTM поддерживает смену в любой момент времениподдерживает смену в любой момент временизакреплённой за абонентом валюты на любую другую, заре-гистрированную в системе. В результате смены валюты всесчета на оплату услуг будут отображаться во вновь выбраннойвалюте, не зависимо от того, были ли они сгенерированы сис-темой до момента смены валюты или же после.

По умолчанию закреплённая валюта абонента - российскийрубль.

Смена закрепленной валюты производится администраторомили оператором АСР NetUP UTM через центр управления.NetUP UTM через центр управления.UTM через центр управления.UTM через центр управления.через центр управления.Для этого необходимо во вкладке «Дополнительно» окна дета- лизации пользователя выбрать из списка «Основная валюта»необходимую валюту, затем сохранить выбор путем нажатия

кнопки «Сохранить» на панели управления этой вкладки.

4.2 Ввод платежей

Платежи в системе могут вводиться несколькими способами,а именно:

автоматический ввод платежей на лицевой счет абонентапри оплате абонентом услуг провайдера через электрон-ные платежные системы;

•

7/22/2019 utm5_20070529




автоматический ввод платежей на лицевой счёт абонентаиз стороннего программного обеспечения;

ручной ввод платежа администратором системы (опера-тором) посредством центра управления UTM.

4.2.1 Ввод платежа администратором

системы

Ввод платежа производится администратором или операто-ром системы через центр управления. Возможны два вариан-

та внесения платежа. Первый вариант – выбрать абонента изсписка пользователей и выбрать операцию «Внести платёж».

Второй вариант – выбрать операцию «Внести платёж» в окнедетализации информации по пользователю (абоненту). Нажа-тие кнопки «Внести платёж» инициирует вызов диалога «Вне-сти платёж».

В диалоге ввода платежа администратору предоставляетсявозможность внести следующие данные о платеже (назва-ния обязательных к заполнению полей выделены жирнымшрифтом):

• Сумма – сумма платежа;

• Валюта – валюта ввода платежа;

• Дата платежа – дата ввода платежа, по умолчанию – текущаядата;

• Коммент. для админ. – комментарий о платеже для админис-тратора системы;

• Коммент. для пользов. – комментарий о платеже для абонен-та системы;

• Метод платежа – метод ввода средств на счет абонента, по умолчанию – Оплата наличными;

•

•

7/22/2019 utm5_20070529



• Номер плат. документа – номер платёжного документа – но-мер внешнего (не системного) платёжного документа, явля-ющегося основание ввода платежа, например, номер счётавыписанного из какой-либо бухгалтерской программы или

выписанного какой-либо организацией;

• Платеж по счёту – внутренний номер счёта (номер счёта внут-ри системы), по которому производится оплата. Если счёт вы-бран, то он является основанием платежа.

Флаг «Включить Internet» означает, что интернет долженбыть включен для пользователя, если это позволяет его ба-

ланс после проведения платежа. Если галочка «Turn on inet»

не отмечена, то статус интернета для пользователя менятьсяне будет. Значение этого флага по умолчанию может быть за-дано в конфигурационном файле utm5admin.cfg, находя-щемся в текущей директории, при помощи параметра pay-

ment_inet_switch. Параметр может принимать значенияon (галочка отмечена по умолчанию) и off (галочка не отме-чена по умолчанию).

4.2.2 Ввод платежа без основания

Ввод платежа без основания соответствует пополнению счётаабонента. Для ввода платежа достаточно ввести сумму плате-жа, указать дату платежа и указать метод платежа «Оплата на-

личными», метод не обязательно должен быть таковым.

4.2.3 Ввод платежа на основании счёта

Для ввода платежа на основании внутреннего счёта системы,выставленного абоненту, достаточно выбрать счёт из спис-ка неоплаченных счетов, выставленных абоненту в диалоге«Счета». Диалоговое окно вызывается путём нажатия кнопки«Выбрать» в строке «Платёж по счету».

7/22/2019 utm5_20070529




После выбора счёта в поле «Сумма» диалога «Внести платеж»автоматически выставится сумма, указанная в счёте, поле ста-нет нельзя отредактировать, в поле «Платёж по счету» пропи-

шется номер счёта, дата генерации счёта, сумма с указаниемсокращённого названия валюты, закреплённой за пользовате-

лем.

4.2.4 Ввод обещанного платежа кредита

Для осуществления платежа без реального внесения средствна счет (обещанного платежа) необходимо в поле «Метод пла-тежа» выбрать «Кредит» и в поле «Истекает» выбрать дату, докоторой этот платеж должен быть погашен. С момента внесе-ния платежа пользователю открывается кредит на указаннуюсумму. Если за указанный промежуток времени пользовательвнес обещанные средства, то кредит снимается с пометкой«успешно закрыт». В этом случае оператор связи может позво- лить пользователю и в дальнейшем вносить обещанные пла-

тежи т.к. у него положительная кредитная история. В случаеесли деньги не были внесены, то кредит закрывается со стату-сом «сгорел». В дальнейшем оператор связи может запретитьэтому пользователю вносить обещанные платежи.

4.3 Откат платежа

В АСР NetUP UTM реализована функция отката платежа. Опе-NetUP UTM реализована функция отката платежа. Опе-UTM реализована функция отката платежа. Опе-UTM реализована функция отката платежа. Опе-реализована функция отката платежа. Опе-рация отката платежа производится администратором илиоператором АСР NetUP UTM через центр управления.NetUP UTM через центр управления.UTM через центр управления.UTM через центр управления.через центр управления.

7/22/2019 utm5_20070529



Операция осуществляется в отчёте по платежам (Отчёты |Платежи) в главном окне приложения или в окне детализациипользователя. Необходимо сформировать отчёт за выбран-ный период времени, выбрать в таблице нужный платёж и вы-

звать всплывающее меню нажатием правой кнопки мыши. Вменю необходимо выбрать пункт «Откат». Наиболее простаянавигация по платежам абонента осуществляется через окнодетализации пользователя, так как в нем, в отчете по плате-жам отображается информация о платежах в пользу конкрет-ного абонента.

После применения процедуры отката платежа с лицевого счё-та абонента снимется сумма, равная фактической сумме пла-

тежа, поступившей на счёт абонента (см. пример в подразделе«Персональные настройки валюты абонента»).

Процедура отката неприменима к сгорающим платежам.

7/22/2019 utm5_20070529


100

У с т а н о в к а , о

б н о в л е н и е , н а с т р о

й к а с и с т е м ы

7/22/2019 utm5_20070529


101

У с т а н о в к а , о б н о в л е н и е , н а с т р о й к а с и с т е м ы

. Установка, обновление,

настройка системы


1. Краткая последовательность шагов при установке инастройке системы ........................................................ 1022. Установка базовых компонентов системы ............ 104

2.1 inu с менеджером пакетов rpm ...................... 1042.2 entoo inu ......................................................... 105

2.3 Free�SD ...................................................................1072.4 Solaris ...................................................................... 1082.5 Winos ................................................................. 109

3. Активация лицензионного ключа .......................... 1134. Обновление ................................................................. 1145. Параметры системы, задаваемые с помощью интер-фейса администратора ................................................. 115

7/22/2019 utm5_20070529


102




1. Краткая последовательность шагов

при установке и настройке системы

Установка и запуск

• Установите биллинговую систему на сервер согласно инс-трукции. Запустите программу utm5_core.

• Загрузите и установите на компьютер администратора вир-туальную машину aa версии 2. Запустите программу UTM_amin.

• Смените пароли для системных пользователей eb,init и raius.

• После смены паролей внесите соответствующие коррективыв файлы /netup/utm5/web5.cfg и /netup/utm5/radius5.cfg.

Настройка тарификации (в случае первой установки сис-

темы)

• Создайте в интерфейсе администратора нужные расчётныепериоды.

• Создайте необходимые классы трафика, временные диапа-зоны в настройках тарификации.

• Выставьте курсы валют в системе. По умолчанию курс рубля

к курсу внутренней единицы равен 1, т. е. баланс пользовате- лей отображается в рублях. Измените этот курс, если хотитевести лицевые счета в других единицах.

• Создайте услуги, выставьте периоды их действия и стои-мость.

• Приступайте к добавлению пользователей.

7/22/2019 utm5_20070529


10


Проверка корректности работы

• Настройте и запустите коллектор.

• Прокачав некоторое количество трафика в сторону заведён-ного в системе клиента, проверьте появление данных о про-качанном трафике в отчётах (детальный отчет по трафику,отчет по трафику).

Проверить корректность работы бизнес-модуля можно, про-ведя тест по контрольному примеру. Тест следует проводитьнепосредственно после установки системы.

7/22/2019 utm5_20070529


10




2. Установка базовых компонентов

системы

2.1 Lx с менеджером пакетов rp

На сервер должна быть установлена операционная системаinu (ReHat 9.0, либо любой другой дистрибутив) и до-полнительные пакеты: сервер баз данных MySQ 5., либоPostgresql 8.. Настоятельно рекомендуется использоватьMySQ с поддержкой InnoD�, так как данное решение поз-

волит существенно повысить надежность хранения и целос-тность данных.

Для установки необходимо выполнить команду:

rpm –ihv --nodeps utm5-2.1.xxx.rpm

В результате будут созданы директории:

/netup – содержит основные рабочие файлы, файлы конфигу-рации, директорию для системного журнала.

/usr/local/apache/cgi-bin/utm5 – веб-интерфейс пользова-теля.

/usr/local/apache/htdocs/ – таблица стилей, скрипты.

Если у вашего веб-сервера другие пути, то следует перемес-

тить файлы в соответствующие директории

Также будут скопированы скрипты запуска:

/etc/rc.d/init.d/utm5_core

/etc/rc.d/init.d/utm5_radius

/etc/rc.d/init.d/utm5_rfw

Для создания первоначальной базы данных выполните команды:

7/22/2019 utm5_20070529


10


Для MySQ

mysqladmin create UTM5

mysql UTM5 < /netup/utm5/UTM5_MYSQL.sql

Для Postgresql

createdb -U postgres UTM5

psql -f /netup/utm5/UTM5_PG.sql -U postgres UTM5

Импортируйте лицензионный ключ в БД.

Если все предыдущие команды были выполнены успешно, за-пустите ядро биллинговой системы командой

/etc/rc.d/init.d/utm5_core start

Для автоматического запуска ядра UTM при загрузке inuвыполните команды:

chkconfig --add utm5_core

chkconfig utm5_core on

2.2 G Lx

На сервер должна быть установлена операционная системаentoo inu и дополнительные пакеты: сервер баз данных

MySQ 5., либо Postgresql 8.. Настоятельно рекомендуем ис-пользовать MySQ с поддержкой InnoD�, так как данное ре-шение позволит существенно повысить надежность храненияи целостность данных.

Для установки необходимо разархивировать файл utm5-2.1..ebuil.tbz в директорию /usr/local/portage. Для это-го выполните команды:

mkdir /usr/local/portage

cd /usr/local/portage

7/22/2019 utm5_20070529


10




tar -jxvf /path/to/utm5-2.1.xxx.ebuild.tbz

Файл utm5-2.1..tar.bz2 необходимо скопировать в директо-рию /usr/portage/distfiles. После этого необходимо до-бавить в файл /etc/make.conf строку:

PORTDIR_OVERLAY=”/usr/local/portage”

Произведите установку командой:

emerge -a utm5

В результате будут созданы директории:


/var/www/netup/cgi-bin/utm5/ – веб-интерфейс пользовате- ля.

/var/www/netup/htdocs – таблица стилей, скрипты.

Если у вашего веб-сервера другие пути, то следует перемес-тить файлы в соответствующие директории.

Также будут скопированы скрипты запуска:

/etc/init.d/utm5_core

/etc/init.d/utm5_radius

/etc/init.d/utm5_rfw

Для создания первоначальной базы данных выполните коман-ды:

Для MySQ



7/22/2019 utm5_20070529


10


Для Postgresql




Если все предыдущие команды были выполнены успешно, за-пустите ядро биллинговой системы командой:

/etc/init.d/utm5_core start

Для автоматического запуска ядра UTM при загрузке entooinu выполните команду:

rc-update add utm5_core default

2.3 rBSD

На сервер должна быть установлена операционная система

Free�SD 4., 5. или 6.х, а также дополнительные пакеты:сервер баз данных MySQ 5., либо Postgresql 8.. Насто-ятельно рекомендуем использовать MySQ с поддержкойInnoD�, так как данное решение позволит существенно по-высить надежность хранения и целостность данных. Для уста-новки необходимо выполнить команду

pkg_add utm5-2.1.xxx.tgz_add utm5-2.1.xxx.tgzadd utm5-2.1.xxx.tgzutm5-2.1.xxx.tgzutm5-2.1.xxx.tgz5-2.1.xxx.tgztgz

В результате будут созданы директории.


/usr/local/apache/cgi-bin/utm5– веб-интерфейс пользователя.

/usr/local/apache/htdocs/ – таблица стилей, скрипты.

Если у вашего веб-сервера другие пути, то следует перемес-тить файлы в соответствующие директории.

7/22/2019 utm5_20070529


10




Также будут скопированы скрипты запуска.

/usr/local/etc/rc.d/utm5_core.sh

/usr/local/etc/rc.d/utm5_radius.sh

/usr/local/etc/rc.d/utm5_rfw.sh

Для создания первоначальной базы данных выполните коман-ды.

Для MySQ.MySQ..



Для Postgresql.Postgresql..createdb -U postgres UTM5



Если все предыдущие команды были выполнены успешно,запустите ядро биллинговой системы командой

/usr/local/etc/rc.d/utm5_core.sh start

Внимание: Под Free�SD может появиться ошибка вида: /usr/: Под Free�SD может появиться ошибка вида: /usr/Под Free�SD может появиться ошибка вида: /usr/Free�SD может появиться ошибка вида: /usr/может появиться ошибка вида: /usr/появиться ошибка вида: /usr/появиться ошибка вида: /usr/ошибка вида: /usr/ошибка вида: /usr/вида: /usr/вида: /usr/: /usr/libeec/l-elf.so.1: Share object “libc.so” not foun. В этом слу-В этом слу-чае понадобится установить библиотеки compat4, compat5compat4, compat54, compat5, compat5, compat5compat55или compat6 в зависимости от используемой версии пакета.6 в зависимости от используемой версии пакета. в зависимости от используемой версии пакета.

2.4 Slar

На сервер должна быть установлена операционная системаSUN Solaris 9 либо 10 на платформе SPAR. Требования к веб-серверу и базе данных аналогичны inu и Free�SD.

Для установки необходимо выполнить команды:

gzip -d utm5-2.1.xxx.gz

pkgadd -d utm5-2.1.xxx

7/22/2019 utm5_20070529


10


Для создания первоначальной базы данных выполнитекоманды.

Для MySQ.



Для Postgresql.




Если все предыдущие команды были выполнены успешно,запустите ядро биллинговой системы командой


2.5 Wdw Запустите программу установки utm5-2.1..ee.

После загрузки инсталлятора появится окно выбора языкадля установки.

Выберите язык и нажмите кнопку «Net». Появится окно вы-бора компонентов для установки.

7/22/2019 utm5_20070529


110




Если какие-либо компоненты уже были установлены ранее, уберите соответствующие галочки и нажмите «Net».

При обновлении UTM с предыдущего выпуска программы доболее новой сборки или версии не требуется переустанавли-

вать сервер баз данных MySQ. Поэтому в этом окне следует убрать галочку напротив MySQ, подтверждая сохранениетекущей установки MySQ. Однако при обновлении до болееновой версии UTM может измениться структура базы данных.Поэтому далее, когда программа установки спросит о том,нужно ли обновлять структуру базы данных, необходимо от-ветить утвердительно.

Если компонент «aa Virtual Machine» был выбран для уста-новки, запустится его инсталлятор.

После этого будет запущена программа установки UTM. Наэкране появится текст лицензионного соглашения. Для ус-пешной установки необходимо принять его, отметив галочку «I agree ith the aboe terms an conitions» и нажав «Net».Если вы не согласны с лицензионным соглашением, нажмите«Eit», в этом случае установка программы будет прекращена.

Выберите директорию для установки UTM. Нажмите«�rose…», чтобы сменить директорию по умолчанию.

7/22/2019 utm5_20070529


111


Будет запущена программа установки сервера баз данныхMySQ.

Выберите директорию, которая является корневой для уста-новленного веб-сервера Apache. Нажмите «Net».

Выберите директорию, в которой хранятся скрипты I уста-новленного веб-сервера Apache. Нажмите «Net».

На этом установка UTM завершена.

Серверная часть UTM устанавливается как системная служба Winos NT под названием utm5_core. Для её запуска можновыполнить команду

net start utm5_core

Для запуска серверной части UTM в режиме отладки (приэтом вся информация выводится на экран вместо файловпротокола) нужно выбрать (Пуск | Программы | UserTrafMan-ager 5.0 | UTM5 ore Debug Moe) или выполнить следующуюкоманду:

C:\program files\NetUP\UTM5\utm5_core.exe –d

7/22/2019 utm5_20070529


112




Для установки и удаления службы utm5_core нужно запуститьutm5_core.ee c опциями –install или –uninstall соответс-твенно:

C:\Program Files\NetUP\UTM5>utm5_core.exe --uninstall

Successfully deleted utm5_core service

C:\Program Files\NetUP\UTM5>utm5_core.exe --install

Successfully created utm5_core service

7/22/2019 utm5_20070529


11


3. Активация лицензионного ключа

Для активации лицензионного ключа необходимо выполнитькоманду под Linux/FreeBSD/Solaris:

mysql UTM5 < reg.sql

В случае использования операционный системы Winos инс-талляционный пакет автоматически запросит путь к директо-рии где находится файл reg.sql.

Если инсталлятор этого не сделал, выполните команду:

C:\Program Files\Netup\utm5\mysql\bin\mysql.exe UTM5 <

reg.sql

7/22/2019 utm5_20070529


11




4. Обновление Остановите все компоненты UTM5

Произведите резервное копирование конфигурационных

файловПроизведите резервное копирование SQ базы данных

Удалите старую версию пакета UTM5

Установите новую пакета UTM5

Произведите восстановление конфигурационных файловиз резервной копии

Произведите действия, указанные в инструкции по обнов- лению к новой версии пакета

Произведите запуск необходимых компонентов UTM5

Все компоненты системы обязаны иметь один и тот же номерсборки. Не допускается совместное использование компонен-тов системы с различными номерами сборки.

1.

2.

3.

4.

5.

6.

7.

8.

7/22/2019 utm5_20070529


11


5. Параметры системы, задаваемые с

помощью интерфейса администратора

Параметры системы, настраиваемые с помощью интерфейсаадминистратора, отображаются и устанавливаются во вклад-ке (Настройки|Список параметров) интерфейса админист-ратора.

В поле Переменная задается название параметра. В поле Значение — значение параметра

Существует возможность как редактировать существующиепараметры, так и добавлять новые.

7/22/2019 utm5_20070529


11




Список возможных параметров, влияющихна работу ядра UTM5

Параметры, связанные с детальной статистикой

Название параметра Возможные значения

ra_ma_files натуральное число

ra_ma_size размер в байтах больший 5242880

ra_prefi* имя директории

ra_commit_int** натуральное число

ra_f_process_sсript имя исполняемого файла

ra_storage_file* произвольное

Параметры, связанные подсчетом трафика

Параметр Возможные значения

bytes_in_byte натуральное число

traffic_mult_coef вещественное число

Параметры, связанные с агрегацией трафика


traffic_agregation_interal время в секундах

aggregation_toisc_barrier положительное вещественноечисло

7/22/2019 utm5_20070529


11


Значение по умолчанию Описание

10

Максимальное количество файлов с первичнойинформацией о трафике. Если число файловбольше, чем указано, то старые файлы автома-тически удаляются

100000000

Максимальный размер каждого файла с первич-ной информацией о трафике. При превышении установленного размера файл автоматическизакрывается и открывается новый

/netup/utm5/bИмя директории, в которой находятся файлы спервичной информацией о трафике

2048Количество NetFlo-записей, по достижениикоторого происходит сохранение первичнойинформации о трафике в файл

/netup/utm5/bin/ra_f_script

Файл, исполняемый после закрытия файлас первичной информацией о трафике. Имязакрытого файла передается в качестве пара-метра

используется Gigabase Если параметр установлен, для сохраненияпервичной информации будет использоватьсяra-формат


1024Количество байт в килобайте. Из этого значе-ния вычисляется количество байт в мегабайтекак bytes_in_byte в квадрате

1Коэффициент, на который умножается коли-чество трафика


900Время, по истечении которого будет произведе-но списание за агрегированный трафик

5 Стоимость трафика, при достижении которойбудет произведено списание за агрегирован-ный трафик

7/22/2019 utm5_20070529


11




Параметры, связанные с плавным списаниемпериодической составляющей стоимости услуг


iscount_barrierвещественное число большее0.0001

flo_iscounts_per_perio натуральное число большее 5

Параметры, определяющие значения полей при создании лицевого счета с помощью интерфейса администратора


bloc_recalc_abon 0 или 1

bloc_recalc_prepai 0 или 1

efault_at_rate вещественное число

Параметры, связанные с автоматической регистрациейпользователя


car_callbac_enable 0, 1, 2 или 3

7/22/2019 utm5_20070529


11



0.01

При использовании стандартного механизмаплавного списания периодической составляю-щей стоимости услуги, со счета не будут списы-ваться суммы меньше, чем iscount_barrier, что-бы не накапливалась арифметическая ошибка

64

Минимальное количество списаний в расчет-ном периоде за периодические услуги, если вы-бран стандартный механизм плавного списанияпериодической составляющей стоимости


0

Задает значение по умолчанию параметра Взаблокированном состоянии не списыватьабонентскую плату для вновь создаваемого

лицевого счета: 0 - параметр не установлен, 1- параметр установлен

0

Задает значение по умолчанию параметра Взаблокированном состоянии уменьшать предоплаченный трафик для вновь создаваемого

лицевого счета: 0 - параметр не установлен, 1- параметр установлен

0Значение НДС по умолчанию для вновь созда-ваемого лицевого счета


0

Задает значение параметров Разрешенallback и Разрешен Ringdown сервиснойсвязки услуги коммутируемого доступа при ав-томатической регистрации пользователя: 0 - па-раметр Разрешен allback установлен ; 1 - обапараметра установлены; 2 - оба параметра не установлены; 3 - параметр Разрешен Ringdown установлен

7/22/2019 utm5_20070529


120




efault_ialup_ci строка

efault_ialup_csi строка

car_tel_ui_len натуральное число

car_user_prefi строка

Параметры, регулирующие запись данных в базой данных


special_rite произвольное

tel_attrs_rite произвольное значение

ialup_attrs_rite произвольное значение

access_attrs_rite произвольное значение

Параметры связанные с лицензированием


sm_license строка

sm_license_hotspot строка

sm_license_telephony строка

sm_license_ynashape строка

7/22/2019 utm5_20070529


121


не установлено

Задает значение параметра РазрешенныеID сервисной связки услуги коммутируемогодоступа при автоматической регистрации поль-зователя


Задает значение параметра Разрешенные

SID сервисной связки услуги коммутируемогодоступа при автоматической регистрации поль-зователя

весь пин-код

Переменная задает длину части пинкода карты,которая используется в качестве логина длясервисной связки услуги телефонии при авто-матическом создании сервисной связки; остав-шаяся часть используется как пароль

car_

Значение переменной добавляется к логину пользователя при автоматической регистрации.

Пользователи, начало логина которых совпада-ет со значением переменной, отображаются вовкладке (Пользователи и группы|Карточныепользователи� интерфейса администратора


запись отключена

Включает запись транзакций изменений спе-

циальных лицевых счетов в таблицу special_transactions

запись отключена Включает запись RADIUS-атрибутов для теле-фонных сессий в таблицу tel_sessions_log_attrs

запись отключена Включает запись RADIUS-атрибутов для сессий услуг передачи трафика, коммутируемого досту-па и hotspot в таблицу hs_sessions_log_attrs

запись отключена Включает запись RADIUS-атрибутов для запро-сов на авторизацию в таблицу hs_access_log_

attrs


не установлен лицензия на ядро UTM5

не установлен лицензия на модуль hotspot

не установлен лицензия на модуль телефонии

не установлен лицензия на UTM5 ynashape

7/22/2019 utm5_20070529


122




sm_license_raius строка

sm_license_urfaclient строка

Различные параметры


hotspot_refresh_timeout натуральное число

system_currency натуральное число

eb_session_timeout натуральное число

isable_utm_toloer произвольное значение

null_prepai_traffic_if_tarif_change 1

lite_search_ent натуральное число

login_prefi_separator символ

system_ta_rate вещественное число большее 0

tel_report_ont_sho_i произвольное значение

email_eec_register путь к исполняемому файлу

email_eec_unregister путь к исполняемому файлу

7/22/2019 utm5_20070529


12


не установлен лицензия на UTM5 RADIUS

не установлен лицензия на UTM5 urfaclient


300Время в течение которого действительна хот-спот сессия. Время исчиляется с момента пос-

леднего обновления сессии

840ID защищенной валюты, Если значение пара-метра не равно 810 - будет заблокирована кноп-ка Обновить online в свойствах валюты

300 Указывает максимальное время, в течение кото-рого хранится уникальный ключ URFA-сессии(SID)


Включает альтернативный механизм поиска(регистрозависимый поиск). Рекомендуется устанавливать в случае некорректного заверше-ния работы ядра при использовании функциипоиска

предоплаченные единицы не обнуляются

Если установлено значение 1 - предоплаченныеединицы при смене тарифного плана обнуля-ются

5Максимальное количество записей, возвращае-мых функцией поиска, вызываемой интерфей-сом кассира

:

Символ, отделяющий prefi логина от номераили пинкода карты. Может использоваться приавтоматической регистрации пользователя,подключении услуги Коммутируемого доступапри использовании allbac. Не рекомендуетсяизменять значение по умолчанию

0Значение налоговой ставки, используемое привыставлении счетов. Не используется при опре-делении суммы списаний

идентификатор отобража- ется

Отключает отображение идентификатора на-правления/зоны в отчетах телефонии

команда не выполняется Исполняемый файл, используемый при созда-нии почтового аккаунта (тех. параметр с типомe-mail)

команда не выполняется

Исполняемый файл, используемый при удале-

нии почтового аккаунта (тех. параметр с типомe-mail)

7/22/2019 utm5_20070529


12




Параметры, связанные с почтой


smtp_relay IP-адрес или имя хоста

smtp_port число от 1 до 65534

smtp_fqn строка

smtp_sener e-mail

smtp_recipient e-mail

inoice_subject строка

inoice_tet строка

notification_borers***список вещественных чисел,разделенных пробелами

notification_message строка с переменными****

notification_message_subject строка

notification_message_from e-mail

notification_message_by_intray yes

balance_notification_email e-mail

payment_notification_message строка с переменными*****

7/22/2019 utm5_20070529


12



не установлено IP-адрес сервера SMTP, через который произво-дится отсылка почтовых сообщений

25 Порт сервера SMTP

localhostИмя, указываемое в качестве имени домена приотсылке почтовых сообщений

utm5_core Адрес отправителя, используемый по умолча-нию при отсылке почтовых сообщений

root Адрес получателя, используемый по умолчаниюпри отсылке почтовых сообщений

InoiceТема, используемая при отправке сообщений сосчетом на оплату

Inoice messageТекст, используемый при отправке сообщениясо счетом на оплату

0

Вещественные числа - границы. При списаниисредств производится проверка - если количес-тво средств на счету переходит через одну из указанных границ, пользователю, владеющему этим лицевым счетом, высылается почтовоесообщение

сообщения не отсылаются Текст сообщения, который будет отсылаться наe-mail пользователя при переходе баланса че-рез границы, указанные в notification_borers

пустая строка Тема сообщения, которое будет отправлятьсяна e-mail пользователя при переходе балансачерез границы, указанные в notification_borers

utm5_core Адрес электронной почты отправителя сооб-

щения

сообщение не отправляется

В случае если данный параметр установленв значение “yes”, уведомление при переходебаланса через границы указанные в notification_borers будет дополнительно отослано пользо-вателю с помощью системного сообщения

root Адрес электронной почты, на который будут от-сылаться копии сообщений о переходе балансачерез границы указанные в notification_borers

Your payment succeee!Payment_Sum=AMUNTPayment i =PAYMENT_ID

Текст сообщения, которое будет отправленопри внесении платежа, если опция Уведомитьпользователя по email была установлена привнесении платежа

7/22/2019 utm5_20070529


12




Параметры, нерекомендуемые к использованию


force_prepai_change произвольное значение

chec_abon_on_payment 1

iscount_traffic_comission 1

* — в следующих версиях параметры будут перенесены в кон-фигурационный файл

** — действует только при использовании GigaBase

***— возможно указание нескольких значений

**** — в строке можно использовать следующие переменные

Переменная Описание

FU_NAME наименование абонента

AUNT_ID идентификатор основного лицевого счета абонента

�AANEбаланс основного лицевого счета абонента на мо-мент подготовки сообщения

DATE дата на момент подготовки сообщения

EMAIадрес e-mail, на который производится отправкасообщений

7/22/2019 utm5_20070529


12




Разрешает добавление администратором пре-доплаченных единиц пользователю, даже еслипо данному классу трафика они исчерпаны. Нерекомендуется устанавливать, т.к. возможновозникновение проблем с тарификацией

используется стандартный механизм списания

Если установлено значение 1 - используется аль-тернативный механизм списания абонентскойплаты. Не рекомендуется к использованию

функционал дилера не акти- вен

Если установлено значение 1 - включает экспе-риментальный функционал дилера

***** — в строке можно использовать следующие переменные

Переменная Описание

FU_NAME наименование абонента

AUNT_ID идентификатор основного лицевого счета абонента

AMUNT сумма платежа во внутренних условных единицах

PAYMENT_ID идентификатор платежа

7/22/2019 utm5_20070529


12




Список возможных параметров, влияющих на работу UTM5 RADIUS

ПараметрВозможные

значения

Значение по

умолчанию

Описание

raius_ma_session_age

время всекундах

86400

Задает максимальный возрастоткрытых сессий, которыебудут переданы RADIUS-сер-веру при его запуске. Призначении 0 загрузка открытыхсессий производиться не будет

raius_o_

accounting1

тарифи-кациятрафика на

основанииStop-пакетаотключена

Указание параметра включаеттарификацию трафика на ос-новании Stop-пакета

Список возможных параметров, влияющих на работу UTM5 RFW

ПараметрВозможныезначения

Значение по умолчанию

Описание

f_rule_

offset

натураль-

ное число 5000

Определяет число, которое

будет добавлено к идентифи-

катору пользователя для полу-

чения значения переменной

RUE_ID

Список возможных параметров, влияющих на работу UTM5 Dynashape приведен в разделе UTM5 dynashape|Задание параметров шейпирования в интерфейсе администратора

Прочие параметры являются устаревшими и категорическине рекомендуются к использованию, если не сказано обрат-ное. Описания и значения по умолчанию для прочих парамет-ров не приводятся.

7/22/2019 utm5_20070529


12


Прочие параметры


ra_cleanup_sleep время в секундах

smtp_subject строка

certificate строка

utm5_hanshare_performe yes

raius_pn_inet_control 0, 1

ra_ma_age число

flo_iscount_ranom_coef вещественное число

suo_path строка

7/22/2019 utm5_20070529


10

Я д р о с и с т е м

ы

7/22/2019 utm5_20070529


11

Я

д р о с и с т е м ы

. Ядро системы


1. Введение ...................................................................... 1322. Основные компоненты ядра .................................... 1333. Настройка .................................................................. 135

3.1 Настройка ядра с помощью конфигурационногофайла ............................................................................. 135

4. Запуск ........................................................................... 142

7/22/2019 utm5_20070529


12


ы

1. Введение

Ядро системы – это основной модуль, отвечающий за работу

с базой данных, обеспечение доступа к ней и обработку вхо-дящей информации согласно внутренним правилам (такихкак тарификация, периодические списания). Ядро – это от-дельный многопоточный процесс, работающий в пользова-тельском режиме. Структура ядра такова, что оно органичновписывается в многопроцессорные архитектуры и при высо-ких нагрузках равномерно использует все предоставленныересурсы.

7/22/2019 utm5_20070529


1

Я


2. Основные компоненты ядра

Обработчик запросов URFA (UTM Remote Function Access) яв-URFA (UTM Remote Function Access) яв-(UTM Remote Function Access) яв-UTM Remote Function Access) яв-Remote Function Access) яв-Remote Function Access) яв-Function Access) яв-Function Access) яв- Access) яв- Access) яв-) яв-

ляется сервером вызовов удалённых процедур. Он принимаетсоединения от клиентов системы и осуществляет выполнениезапрошенных команд внутри ядра. Эта компонента служит вбольшей степени для организации пользовательских и адми-нистраторских интерфейсов.

Буфер NetFlo принимает данные о трафике в форматеNetFlo принимает данные о трафике в форматепринимает данные о трафике в форматеNetFlo версии 5. Для устройств, не поддерживающих выдачу версии 5. Для устройств, не поддерживающих выдачу статистики по этому протоколу, необходимо воспользоваться

преобразователем статистики из любого протокола в NetFloNetFloверсии 5 – утилитой get_yz.get_yz._yz.yz..

Классификатор трафика – модуль ядра, осуществляющийсортировку всего трафика на категории (классы трафика)по признакам, обозначенным в настройках системы. Призна-ки классификации задаются в центре управления UTM.UTM..

Модуль бизнес-логики отвечает за тарификацию всех услуг,в том числе и услуг передачи IP-трафика. Он осуществляет пе-IP-трафика. Он осуществляет пе--трафика. Он осуществляет пе-ревод количества оказанных оператором услуг в денежный эк-вивалент, принимая во внимание все зависимости, указанныеадминистратором системы.

Системный журнал сообщений ведёт все записи о функцио-нировании UTM. Он позволяет администраторам проводитьUTM. Он позволяет администраторам проводить. Он позволяет администраторам проводитьдиагностику системы и получать информацию о сбоях в рабо-

те системы.

Модуль доступа к базам данных представляет собой унифици-рованный интерфейс БД и осуществляет перевод внутрисис-темных запросов к данным в запросы к внешней базе данных.Это позволяет добиться независимости UTM от какой-либоUTM от какой-либоот какой-либоконкретной системы управления БД.

Прием данных происходит посредством буфера NetFlo и URFA.NetFlo и URFA.и URFA.

Исходные данные считываются из базы данных при запуске.Изменения, сделанные впоследствии напрямую в базу, могутпривести к неконтролируемому поведению системы.

7/22/2019 utm5_20070529


1


ы

NetFlo данные поступают на обработку в бизнес-модуль, гдерассчитываются все необходимые списания. В случае высокойпиковой загрузки NetFlo поток может быть буферизован,что несколько снизит возможные потери. «Сырые» данные

NetFlo сохраняются посредством объектно-ориентирован-etFlo сохраняются посредством объектно-ориентирован-Flo сохраняются посредством объектно-ориентирован-lo сохраняются посредством объектно-ориентирован-сохраняются посредством объектно-ориентирован-ной базы данных iga�ase или в файлах специального форма-та. При старте модуль, сохраняющий эти данные создаётся вотдельной нити и, по возможности, с высоким приоритетом.

URFA поддерживает динамическую загрузку модулей (libur-fa). Они могут быть как выгружаемыми, так и постоянными.Последние – это модули, содержащие критичные для управле-ния системой вызовы или выгрузка которых может привести

к сбоям. Первые - это, обычно, просто библиотеки вызовов.Загруженные в данный момент модули можно просмотретьв интерфейсе администратора во вкладке (Дополнительно |Плагины).

7/22/2019 utm5_20070529


1

Я


3. Настройка

Настройка ядра производится с помощью:

параметров, задаваемых в конфигурационном файле

параметров, задаваемых с помощью интерфейса админис-тратора (подробнее - в разделе Установка, обновление,настройка системы | Параметры системы, задаваемыев интерфейсе администратора�

Параметры, задаваемые в конфигурационном файле исполь-

зуются при инициализации ядра и компонентов системы.

Параметры, задаваемые с помощью интерфейса администра-тора, определяют поведение ядра и его компонентов послезапуска. Существует возможность изменять значения данныхпараметров, если не указано обратное, в любой момент рабо-ты ядра. Изменения вступают в силу с момента их внесения.

3.1 Настройка ядра с помощью конфигура- ционного файла

По умолчанию ядро биллинговой системы использует конфи-гурационный файл /netup/utm5/utm5.cfg.

Формат конфигурационного файла:

параметр=значение

Набор символов, находящийся до знака равенства, являетсяпараметром, после - значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка,начинающаяся с символа #, считается комментарием.

•

•

7/22/2019 utm5_20070529


1


ы

Список возможных параметров

Параметры, связанные с базой данных


atabase_type mysql, postgres

atabase строка

atabase_host строка

atabase_login строка

atabase_passor строка

atabase_soc_path* строка

atabase_port* строка

bcount число от 2 до 64

atabase_reconnect_count натуральное число

atabase_reconnect_sleep натуральное число

atabase_charset* кодировка

b_transaction_enable yes, on, true

Параметры, связанные c URFAсервером


urfa_bin_host** IP-адрес интерфейса или 0.0.0.0

urfa_bin_port число от 1 до 65534

7/22/2019 utm5_20070529


1

Я



обязательный параметр Тип базы данных

обязательный параметр Название базы данных

localhost Адрес хоста, на котором располагается базаданных

логин текущего пользователя Логин для доступа к базе данных

пустая строка Пароль для доступа к базе данных

/tmp/mysql.soc

Путь к uni-сокету, использующемуся дляподключения к серверу базы данных. Ис-пользуется только в случае, когда параметрatabase_host не указан или его значение рав-но localhost

3306 Номер порта для доступа к базе данных

6Количество соединений, открываемых ядромбиллинговой системы к базе данных

5

Количество попыток соединения с базой дан-ных, если соединение не было установленоили количество попыток выполнения SQ-запроса, если его выполнение закончилосьнеудачно

2Задержка в секундах перед повторной попыт-кой соединения с базой данных или передповторным выполнением SQ-запроса

не установлено Кодировка соединения с базой данных

поддержка транзакций отключена

Включает экспериментальную поддержку транзакций. Не рекомендуется к использо-ванию


сервер отключен IP-адрес , на котором будет прослушиватьсяпорт для принятия URFA-запросов

11758 Порт, который будет прослушиваться URFA-сервером

7/22/2019 utm5_20070529


1


ы

urfa_lib_file** полное имя файла

Параметры, связанные c Streamсервером


stream_bin_host IP-адрес интерфейса или 0.0.0.0

stream_bin_port число от 1 до 65534

Параметры буфера NetFlow


nfbuffer_host строка

nfbuffer_port строка

nbuffer_bufsize натуральное число

Параметры журналирования


log_leel число от 0 до 3

log_file_main имя файла

log_file_ebug имя файла

log_file_critical имя файла

log_file_erificator имя файла

core_pi_file имя файла

rotate_logs yes, on, enable

ma_logfile_count*** число

ma_logfile_size*** размер в байтах

7/22/2019 utm5_20070529


1

Я



Файл динамического модуля (.so), которыйбудет загружен при старте ядра. Для работыинтерфейса администратора необходимаобязательная загрузка библиотек liburfa_st иliburfa_utils


0.0.0.0IP-адрес, на котором будет прослушиватьсяпорт для принятия Stream-запросов

12758Порт, который будет прослушиваться Stream-сервером

Описание Значение по умолчанию

0.0.0.0IP-адрес, на котором будет прослушиватьсяUDP-порт для принятия NetFlo-потока

9997Порт, на котором ядро принимает потокNetFlo

устанавливается ОС Размер буфера UDP-сокета, используемогодля принятия потока NetFlo


1

Определяет уровень сообщений, которыепишутся в основной поток сообщений (под-робнее - в разделе Описание системы| Журналирование)

стандартный поток ошибок Файл основного потока сообщений

стандартный поток ошибок Файл отладочного потока сообщений

стандартный поток ошибок Файл критического потока сообщений

/netup/utm5/log/ erificator.sql

Файл сообщений верификатора базы данных

/ar/run/utm5_core.pi PID-файл

ротация отключена Включает ротацию лог-файлов

не ограничено Максимальное количество хранимых лог-файлов

10485760Размер файла, при достижении которогопроизводится ротация

7/22/2019 utm5_20070529


10


ы

Параметры, связанные cо специальной лицензией


ssl_cert_file имя файла

ssl_priey_file имя файла

ssl_priey_passphrase строка

Параметры потоков


threa_stac_size размер в байтах, больший 65536

rpc_stac_size размер в байтах, больший 65536

* – действует только для MySQ

** – возможно указание нескольких параметров

*** – действует, если включена ротация логов

Прочие параметры являются устаревшими и категорически

не рекомендуются к использованию, если не сказано обратное.Описания и значения по умолчанию для прочих параметров

не приводятся.



ct_certificate строка

ct_certificate_req строка

ct_init_file путь к файлу

ct_passor строка

netup_host IP-адрес или имя хоста

netup_passor строка

netup_user строка

time_ait_sleep число

7/22/2019 utm5_20070529


11

Я



/netup/utm5/cert.crt Имя файла сертификата

/netup/utm5/priey.pem Имя файла приватного ключа

пустая строка Пароль приватного ключа


8388608размер стека потока для потоков бизнес-ло-гики

не установлено размер стека потока для потоков URFA-сервера

7/22/2019 utm5_20070529


12


ы

4. Запуск

Исполняемый файл ядра UTM5 называется

/netup/utm5/bin/utm5_core

В командной стоке можно передавать следующие параметры:

p Путь к pi файлу

c <cfg>- путь к конфигурационному файлу

v Информация о версии и допустимых параметрах ко-мандной строки

Существуют три способа запуска utm5_core:

Непосредственный запуск бинарного файла /netup/utm5/bin/utm5_core с необходимыми параметрами

Запуск с помощью скрипта atchog с указанием парамет-ра start

/netup/utm5/bin/safe_utm5_core start

Скрипт автоматически перезапустит utm5_core, в случае,если он по каким либо причинам некорректно завершитработу.

Запуск с помощью скрипта автоматического запуска (ре-комендуемый способ) в inu

/etc/init.d/utm5_core start

в Free�SD, Solaris


1.

2.

7/22/2019 utm5_20070529


1

Я


В этом случае произойдет запуск скрипта atchog.

Для остановки utm5_core и скрипта atchog следует выпол-нить команду

в inu

/etc/init.d/utm5_core stop


/usr/local/etc/rc.d/utm5_core.sh stop

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

. UTM RADIUS


1. Введение ..................................................................... 1462. Описание взаимодействия по протоколу RADIUS ..1473. Описание работы ...................................................... 1534. Список NAS ................................................................ 1625. Дополнительные RADIUS-атрибуты ...................... 1646. IP-пулы ........................................................................ 166

7. Демон utm5_raius .....................................................1677.1 Настройка ...........................................................168

7.1.1 Настройка с помощью конфигураци-онного файла ........................................... 168

8. Динамическое распределение IP-адресов ............. 176

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

1. Введение

UTM5 RADIUS взаимодействует с серверами доступа (далее -

NAS) по протоколу RADIUS.

Протокол Remote Authentication Dial In User Serice (RADIUS)предназначен для обеспечения авторизации, аутентифика-ции и аккаунтинга между сервером доступа и сервером авто-ризации.

Данный протокол предназначен для облегчения управлениябольшим количеством NAS. Например, когда в сети имеются

несколько устройств, к которым должны иметь доступ поль-зователи, и на каждом устройстве содержится информацияобо всех пользователях, то администрирование такой систе-мы значительно усложняется, превращаясь в головную больадминистратора. Проблема может быть решена установкойодного центрального сервера авторизации, а все сетевые ус-тройства производили бы запросы к нему по стандартному протоколу RADIUS. При этом в качестве серверов доступа мо-

гут выступать устройства любых производителей, поддержи-вающие протокол RADIUS.

Кроме того по данному протоколу возможна передача инфор-мации о потребленных пользователями услугах, такая как вре-мя соединения, количество потребленного трафика, исполь-зуемый пользователем IP-адрес и т.д.

UTM5 RADIUS взаимодействует с ядром UTM5 по протоколу

Stream.

Для работы пакета в ядро UTM5 должен быть загружен входя-щий в состав пакета модуль ядра liburfa-raius.so, требующийотдельной лицензии. Загрузка модуля производится посредс-твом интерфейса администратора (Дополнительно|Список модулей|Загрузить), так и с помощью добавления пути к мо-дулю в качестве значения параметра urfa_lib_file конфигура-ционного файла ядра (рекомендуется):

urfa_lib_file=/netup/utm5/lib/utm5_radius/liburfa-radius.so

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

2. Описание взаимодействия по

протоколу DIUS

В случае, если NAS настроен на взаимодействие с UTM5RADIUS по протоколу RADIUS, он не хранит базу данныхпользователей.

При подключении пользователя, NAS отправляет запрос напроверку доступа (Access-Request).

UTM5 RADIUS принимает решение о возможности подклю-

чения абонента. В случае принятия положительного реше-ния, на NAS отправляется ответ о возможности подключенияабонента (Access-Accept). В случае принятия отрицательногорешения, на NAS отправляется ответ, запрещающий доступ(Access-Reject).

В случае, если для принятия решения требуется дополнитель-ная информация, которую NAS должен предоставить основы-ваясь на информации от UTM5 RADIUS, на NAS отправляется

ответ Access-hallenge-+-+-+-+-+-+-+-+- -+-+-+-+-+-+-+-+-+-

| | ---->Access-Request | |

| | <----Access-Challenge | |

| NAS | ---->Access-Request | UTM5 RADIUS |

| | <----Access-Accept | |

| | | |

+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+

В случае, если NAS настроен на передачу информации о со-единении, UTM5 RADIUS после установки соединения от-правляет запрос на учет (Accounting-Request), содержащийинформацию о начале сессии. В зависимости от конфигура-ции, NAS также может отправлять дополнительные запросына учет (Accounting-Request), содержащие информацию отекущем состоянии установленного соединения, с периодич-ностью определенной в конфигурации NAS.

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

При разрыве соединения, NAS должен отправить Accounting-Request с итоговой информацией о соединении в случае,если для данного соединения был отправлен хотя бы один

Accounting-Request.

При получении Accounting-Request UTM5 RADIUS создает,изменяет или удаляет объект, ассоциированный с соединени-ем. В зависимости от содержания Accounting-Request, могуттакже выполняться дополнительные действия, направленныена сохранение в оперативном доступе необходимой информа-ции о соединении.

В случае успешной обработки Accounting-Request, UTM5

RADIUS отправляет на NAS ответ на данный запрос(Accounting-Response), в котором информирует NAS о успеш-ной отработке запроса.

В случае неудачной обработки любого запроса ответы на NASне передаются.

Пакеты от неизвестного (незарегистрированного во вкладкеНастройки|Список NAS) NAS игнорируются.

Взаимодействие между UTM5 RADIUS и NAS осуществляет-ся посредством RADIUS-пакетов. Передача RADIUS-пакетовосуществляется по протоколу UDP. Для принятия запросовна проверку доступа (Access-Request) UTM5 RADIUS обыч-но использует порт 1812. Для принятия запросов на учет(Accounting-Request) UTM5 RADIUS обычно использует порт1813.

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

В общем случае RADIUS-пакет выглядит следующим образом

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-...

Описание полей пакета:

Code

Поле используемое для идентификации типа RADIUS-пакета.UTM5 RADIUS поддерживает RADIUS-пакеты со следующимикодами:

Тип НазваниеПакет принимается или передаетсяUTM5 RADIUS

1 Access-Request принимается

2 Access-Accept передается

3 Access-Reject передается4 Accounting-Request принимается

5 Accounting-Response передается

11 Access-hallenge передается

Identifier

Число, предназначенное для соотнесения запроса и ответа.Дублирующие запросы с одинаковым идентификатором, пос-

7/22/2019 utm5_20070529


10

U T M 5 R A D I U S

тупившие в течение короткого промежутка времени от одно-го и того же NAS игнорируются.

Length

Суммарная длина полей oe, Ientifier, Authenticator и Attributes

Authenticator

Для запроса это уникальная последовательность символов,используемая совместно с m5-суммой общего для UTM5RADIUS и NAS секретного слова (secret), для шифрования па-

роля пользователя с помощью обратимого алгоритма.

Для ответа это m5-сумма полей oe, Ientifier, ength, Authenticator, Attributes и общего секретного слова.

В целях обеспечения безопасности общее секретное словодолжно быть достаточно длинным и сложным для подбора.Категорически не рекомендуется использовать пустое общеесекретное слово. UTM5 RADIUS использует адрес отправите-

ля RADIUS-пакета для определения того, какое общее секрет-ное слово будет использоваться.

Attributes

Поле переменной длины, содержащее в себе список RADIUS-атрибутов.

Каждый RADIUS-атрибут содержит специфичную дополни-тельную информацию о запросе или ответе. В общем случаеRADIUS-атрибут выглядит следующим образом

0 1 2

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Type | Length | Value ...

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+...

7/22/2019 utm5_20070529


11

U T M 5 R A D I U S

Type

Число, определяющее назначение данного атрибута. ТипыRADIUS-атрибутов описаны в RF 1700.

Length

Суммарная длина полей Type , ength и Value.

Value

Информация, специфичная для каждого типа атрибута. В за-висимости от типа атрибута в данном поле могут содержатьсяданные следующих типов:

tet - от 1 до 253 байт, содержащих текст в UTF-8 (в строкенедопустимо использование символа с нулевым кодом)

string - от 1 до 253 байт, содержащих бинарную информа-цию

aress - 32 бита, интерпретируемых как адрес

integer - 32 бита, интерпретируемых как беззнаковое це- лое число

time - 32 бита, интерпретируемых как время в секундах с00:00:00 1 января 1970 UT

Некоторые атрибуты могут быть включены в пакет более од-ного раза. В этом случае их интерпретация зависит от типаатрибута. Порядок следования атрибутов является существен-ным.

В дальнейшем при указании на какой-либо RADIUS-атрибут

будет использоваться его общепринятое название, а иденти-фикатор типа будет указан в скобках.

Например, атрибут User-Name (1).

•

•

•

•

•

7/22/2019 utm5_20070529


12

U T M 5 R A D I U S

Существует атрибут Venor-specific (26), предназначенныйдля передачи расширенных атрибутов, назначение которыхопределяется различными организациями. Данные, переда-ваемые в этом атрибуте интерпретируются следующим обра-зом

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Vendor-Id |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Vendor-Type | Vendor-Length | Data...

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+...

Vendor-Id

Число, идентифицирующее организацию, которая определя-ет назначение данного атрибута (подробнее - в RF 1700).

Vendor-Type

Число, определяющее назначение данного атрибута.

Vendor-Length

Суммарная длина полей Venor-Type , Venor-ength и Data.

Data

Данные специфичной части атрибута.

В последствии при упоминании Venor-specific атрибутов бу-дет использоваться их общепринятое название, а Venor-I и

Venor-Type будут указаны в скобках через точку с запятой.

Например, isco-AVPair (9;1).

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

3. Описание работы

Краткое описание схемы работы:

Соединение с ядром UTM5

Получение от ядра UTM5 информации о необходимыхдля работы событиях

Взаимодействие с NAS

Передача данных о взаимодействии ядру UTM5

При запуске UTM5 RADIUS подключается к ядру UTM5, авто-ризуется, используя соответствующие параметры конфигура-ционного файла, и устанавливает соединение по потоковому протоколу Stream.

После установления соединения, ядро UTM5 направляетUTM5 RADIUS информацию обо всех необходимых объектахв соответствующих событиях.

UTM5 RADIUS поддерживает постоянное соединение с ядромпо потоковому протоколу Stream. При создании, изменении,

удалении объектов системы, параметры которых необходи-мы UTM5 RADIUS, ядро UTM5 отправляет определенное со-бытие по протоколу Stream.

При получении соответствующего события, UTM5 RADIUSсоздает, модифицирует или удаляет во внутренних таблицахданные о следующих объектах:

1.

2.

3.

4.

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

IP-группы

NAS

лицевые счета

временные диапазоны

услуги передачи трафика, коммутируемого доступа,hotspot, телефонии

сервисные связки услуг коммутируемого доступа, hotspot,телефонии

телефонные зоны

телефонные направления

именованные IP-пулы

Авторизация

При поступлении Access-Request UTM5 RADIUS выполняетследующие действия:

1. Проводит процедуру аутентификации пользователя, ис-пользуя один из следующих методов:

PAP

HAPMS-HAP 1

MS-HAP 2

EAP

Digest

В запросе на авторизацию в обязательном порядке долженбыть указан атрибут User-Name (1). Часть значения атрибу-

та User-Name (1) до символа ‘:’ записывается в к параметрallbac_prefi. Логин рассматривается без префикса. Еслиатрибут User-Name (1) не указан, Access-Request игнорируетсяи последующие действия не производятся.

Если аутентификация прошла неудачно, либо же метод аутен-тификации не поддерживается, на NAS отправляется Access-Reject.

•

•

•

•

•

•

•

•

•

•

••

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

2. По логину, полученному на первом этапе, определяется сер-висная связка, которой принадлежит данный логин. Переченьпроизводимых действий зависит от типа сервисной связки.

Для сервисной связки услуги передачи IP-трафика

Если в конфигурационном файле UTM5 RADIUS установ- лен параметр raius_auth_ap, на отсутствие действующейв данный момент блокировки проверяется лицевой счет,на который ссылается сервисная связка

Проверяется наличие хотя бы одного свободного IP-адре-са для данной IP-группы

Если параметр IP-группы Разрешенные ID имеет не-пустое значение, проверяется соответствие значения ат-рибута alling-Station-I (31) установленному в значенииданного параметра регулярному выражению

Если в конфигурационном файле UTM5 RADIUS установ- лен параметр raius_nas_port_pn, проверяется значениеатрибута NAS-Port-Type (61) на точное соответствие зна-чению хотя бы одного параметра raius_nas_port_pn

Если хотя бы одна из проверок завершится неудачно - отправ-

ляется Access-Reject, дальнейшие действия не производятся.

При успешном прохождении проверок отправляется Access- Accept, содержащий следующие атрибуты:

Serice-Type (6) - передается значение 2

Frame-IP-Netmas (9) - передается значение 0FFFF FFFF

Frame-Routing (10) - передается значение 0

Frame-Protocol (7) - передается значение 1

Frame-IP-Aress (8) - передается первый свободный IP-адрес для данной IP-группы, IP-адрес помечается как за-нятый на время, указанное в значении параметра raius_ippool_acct_timeout конфигурационного файла UTM5RADIUS

Session-Timeout (27) - передается значение параметраraius_efault_session_timeout конфигурационного файлаUTM5 RADIUS

•

•

•

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

Для сервисной связки услуги hotspot

Проверяется вхождение адреса, указанного в атрибутеFrame-IP-Aress (8), хотя бы в одну их разрешенных се-тей, установленных в свойствах услуги, на которую ссыла-

ется сервисная связка. Если список сетей пуст - проверкане производится

Проверяется количество установленных для данной сер-висной связки соединений на соответствие максимально-му числу одновременных сессий, установленному в свойс-твах услуги, на которую ссылается сервисная связка

Проверяется отсутствие действующей блокировки лице-вого счета

Вычисляется максимальное время соединения по балансу лицевого счета и параметрам сервисной связки. Проверкапройдет успешно, если значение максимального временисоединения не равно 0, и текущее время входит в установ-

ленный временной диапазон, а также если средств на ба- лансе лицевого счета достаточно для оплаты как минимумодной секунды соединения в текущее время

Если хотя бы одна из проверок завершится неудачно - отправ-

ляется Access-Reject, дальнейшие действия не производятся.

При успешном прохождении проверок отправляется Access- Accept, содержащий следующие атрибуты:

Miroti-mit-imit (14988;2) - передается максимальноевремя сессии

Miroti-Rate-imit (14988;8) - передается значение пара-метра �anithimit

Для сервисной связки услуги коммутируемого доступа

Проверяется соответствие наличия или отсутствияallbac_prefi установленным параметрам Разрешенallback и Разрешен Ringdown. Если параметр Разрешен allback не установлен, проверка возвращает отри-цательный результат в случае наличия allbac_prefi.Если параметр Разрешен Ringdown не установлен, воз-

вращает отрицательный результат в случае отсутствияallbac_prefi

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

Если параметр Разрешенные ID имеет непустое значе-ние, проверяется соответствие значения атрибута alling-Station-I (31) установленному в значении данного пара-метра регулярному выражению

Если параметр Разрешенные SID имеет непустое значе-ние, проверяется соответствие значения атрибута alle-Station-I (30) установленному в значении данного пара-метра регулярному выражению

Проверяется количество установленных для данной сер-висной связки соединений на соответствие максимально-му числу одновременных сессий, установленному в свойс-

твах услуги, на которую ссылается сервисная связка

Проверяется отсутствие действующей блокировки лице-вого счета

Вычисляется максимальное время соединения по балансу лицевого счета и параметрам сервисной связки. Проверкапройдет успешно, если значение максимального временисоединения больше 0, и текущее время входит в установ-

ленный временной диапазон, а также если средств на ба- лансе лицевого счета достаточно для оплаты как минимумодной секунды соединения в текущее время

Если в свойствах услуги указан пул, зарегистрированныйв UTM5 RADIUS, определяется первый свободный IP-ад-рес в данном пуле. Если свободные IP-адреса отсутствуют- проверка не проходит

Если в конфигурационном файле UTM5 RADIUS установ- лен параметр raius_nas_port_ialup, проверяется значе-ние атрибута NAS-Port-Type (0;61) на точное соответствиезначению хотя бы одного параметра raius_nas_port_ialup

Если хотя бы одна из проверок завершится неудачно - отправ- ляется Access-Reject, дальнейшие действия не производятся.

При успешном прохождении проверок отправляется Access- Accept.

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

Если в свойствах услуги коммутируемого доступа в качествепараметра Название пула установлено имя зарегистрирован-ного в системе IP-пула, передаются следующие атрибуты:


Frame-IP-Netmas (9) - передается значение 0FFFF FFFFFrame-Routing (10) - передается значение 0

Frame-Protocol (7) - передается значение 1

Frame-IP-Aress (8) - передается свободный IP-адресдля данной IP-группы, IP-адрес помечается как занятыйна время, указанное в значении параметра raius_ippool_acct_timeout конфигурационного файла UTM5 RADIUS

Session-Timeout (27) - передается максимальное время те-

кущей сессии

Если в свойствах услуги коммутируемого доступа в качествепараметра Название пула установлено имя незарегистриро-ванного в системе IP-пула, передаются следующие атрибуты:


Frame-MTU (12) - передается значение 1500

Frame-Routing (10) - передается значение 0

Frame-Protocol (7) - передается значение 1Session-Timeout (27) - передается максимальное время сес-сии

isco-AVPair (9;1) - передается значение ar-pool=<имяпула>, где <имя пула> - имя незарегистрированного в сис-теме IP-пула

Кроме этого, если на этапе авторизации был выделен ненуле-вой allbac_prefi в ответ добавляются следующие атрибу-

ты:allbac-Number (19) - передается значение callbacnumber (если не установлен параметр raius_callbac_apair_enable конфигурационного файла UTM5 RADIUS)

allbac-I (20) - передается логин для allbac (если не ус-тановлен параметр raius_callbac_apair_enable конфигу-рационного файла UTM5 RADIUS)

isco-AVPair (9;1) - передается значение lcp:callbac-

ialstring=<callbac_prefi> (если параметр raius_callbac_apair_enable конфигурационного файла UTM5 RADIUS

установлен)

•

••

•

•

•

•

•

•

••

•

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

После выдачи IP-адреса он помечается как занятый на время, указанное в параметре raius_ippool_timeout конфигурацион-ного файла UTM5 RADIUS.

Для сервисной связки услуги телефонии подробности отраже-ны в разделе Модуль телефонии.

Для любых сервисных связок в Access-Accept включаются ат-рибуты установленные для услуги, на которую ссылается сер-висная связка, NAS.

Аккаунтинг

Запросы на учет (Accounting-Request) используются UTM5RADIUS для определения занятости выделенных IP-адресов,тарификации услуг hotspot, коммутируемого доступа, телефо-нии, тарификации трафика, а также динамического создания,изменения, удаления IP-групп.

В Accounting-Request в обязательном порядке должны при-сутствовать следующие атрибуты:

Acct-Status-Type (40) Acct-Session-I (44)

При отсутствии хотя бы одного из данных атрибутов запросигнорируется.

Тип запроса на учет определяется атрибутом Acct-Status-Type(40).

UTM5 RADIUS различает три типа Accounting-Request:

Значение атрибута Acct-Status-Type

Название Комментарий

1 Start Сообщает о начале сессии

2 Stop Сообщает о завершении

сессии

••

7/22/2019 utm5_20070529


10

U T M 5 R A D I U S

3 Interim-Upate

Сообщает промежуточ-ные данные установлен-ного соединения

При получении Start-пакета:Создается объект, описывающий сессию с идентификато-ром, указанным в атрибуте Acct-Session-I (44), по Streamпротоколу передается событие, сообщающее об этом ядру UTM5

Если логин, указанный в атрибуте User-Name (1) прина-длежит IP-группе или сервисной связке услуги коммутиру-емого доступа, последний IP-адрес для данной IP-группыили сервисной связки помечается как занятый на неопре-деленное время. IP-адрес помечается как занятый на вре-мя, указанное в параметре raius_ippool_timeout, если па-раметр raius_ippool_timeout конфигурационного файлане установлен, и механизм контроля сессий на основаниизапроса Interim-Upate отключен. IP-адрес помечаетсякак занятый на тройной промежуток времени, указанныйв параметре interim_upate_interal, если данный пара-метр установлен

IP-адрес, ассоциированный с сессией, помечается как за-нятый

Параметр raius_ippool_timeout имеет большую силу, чем па-раметр interim_upate_interal.

При получении Stop-пакета:

Если значение атрибута User-Name (1) соответствует логи-ну сервисной связки услуги hotspot или сервисной связки

услуги коммутируемого доступа, осуществляется тарифи-кация сессии, на основании времени, указанного в атри-буте Acct-Session-Time (46). Информация о необходимомсписании передается ядру по протоколу Stream соответс-твующим событием

Объект, описывающий сессию с идентификатором, ука-занным в атрибуте Acct-Session-I (44), удаляется. Инфор-мация об удалении данного объекта передается ядру по

протоколу Stream соответствующим событиемIP-адрес помечается как свободный

•

•

•

•

•

•

7/22/2019 utm5_20070529


11

U T M 5 R A D I U S

При получении Interim-Upate-пакета:

Обновляется объект, описывающий сессию с идентифи-катором, указанным в атрибуте Acct-Session-I (44), поStream протоколу передается событие, сообщающее обэтом ядру UTM5

Если логин, указанный в значение атрибута User-Name (1),принадлежит сервисной связке услуги коммутируемогодоступа, и включен механизм контроля сессий по Interim-Upate-пакету, IP-адрес для данной сервисной связки по-мечается как занятый на тройной промежуток времени,

указанный в параметре interim_upate_interal, если дан-ный параметр установлен.

Тарификация трафика на основании Stop-пакета

В случае, если сервер доступа не поддерживает экспорт ста-тистики по протоколу NetFlo, существует возможность полу-чать информацию по потребленному трафику на основанииStop-пакета. Для использования этого механизма необходимо

установить значение параметра системы raius_o_accountingравное 1.

При получения Stop-пакета RADIUS-сервер создаст две запи-си информации о трафике, которые далее будут тарифициро-ваться в ядре биллинговой системы по стандартному механиз-му.

В первой записи информации о трафике в качестве адресаотправителя будет значиться IP-адрес сервера доступа, а вкачестве получателя будет указан IP-адрес абонента, исполь-

зованный в данной сессии. Количество потребленных байтбудет равно значению атрибута Acct-Input-ctets (42) из Stop-пакета. Во второй записи информации о трафике в качествеадреса получателя будет значиться IP-адрес сервера доступа,а в качестве отправителя будет указан IP-адрес абонента, ис-пользованный в данной сессии. Количество байт будет равнозначению атрибута Acct-utput-ctets (43) из Stop-пакета.

Сформированные записи передаются ядру UTM5 в соответс-твующем событии по протоколу Stream.

•

•

7/22/2019 utm5_20070529


12

U T M 5 R A D I U S

4. Список NS

Перечень зарегистрированных в системе NAS находится вовкладке (Настройки|Список NAS) интерфейса администрато-

ра.

NAS обладает следующими параметрами:


NAS ID

Auth Secret

Acct Secret

Радиус-атрибуты

NAS ID

IP-адрес NAS.

Auth Secret

Используется при принятии запросов на проверку доступа отNAS и отправке ответов на запросы проверки доступа на NAS.Должен совпадать с общим секретным словом (secret), задан-

ным в настройках NAS для данного типа запросов.

•

•

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

Acct Secret

Используется при принятии запросов на учет от NAS и от-правке ответов на запросы на учет на NAS. Должен совпадатьс общим секретным словом (secret), заданным в настройкахNAS для данного типа запросов.

Радиус-атрибуты

Список RADIUS-атрибутов, которые будут добавлены в Access- Accept, направляемый на данный NAS (подробнее - в разделеДополнительные RADIUSатрибуты)

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

5. Дополнительные DIUS-атрибуты

Список RADIUS-атрибутов, которые будут добавлены в любой Access-Accept, направляемый на данный NAS. RADIUS-атрибу-

ты устанавливаются помощью кнопки Установка радиуспараметров в свойствах NAS, услуг передачи IP-трафика, hotspot,коммутируемого доступа и телефонии, а также для сервисныхсвязок данных услуг.

Установка RADIUS-атрибутов для сервисных связок осущест-вляется кликом правой клавиши мыши на сервисной связке,отображаемой в перечне сервисных связок пользователя во

вкладке Услуги свойств пользователя.

RADIUS-атрибут

Для RADIUS-атрибута задаются следующие параметры:

Venor

Attr

Значение

Тип значения

Vendor

Идентификатор вендора.

•

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

Attr

Идентификатор атрибута.

Значение

Значение атрибута.

С помощью дополнительных RADIUS-атрибутов производит-ся установка специфичных параметров соединения (ограни-чение скорости, протокол, адреса и др.) для каждой услуги,сервисной связки, либо NAS. Обычно требуется поддержкаэтих атрибутов сервером доступа.

RADIUS-атрибуты описаны в

RF 2865

RF 2866

документации к NAS

•

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

6. IP-пулы

Перечень IP-пулов находится во вкладке (Настройки|Iпулы) интерфейса администратора.

UTM5 RADIUS выдает первый свободный IP-адрес из пула (ис-ключая адрес сети), имя которого указано в свойствах услугикоммутируемого доступа в качестве значения параметра На-звание пула, при оказании пользователю данной услуги.

IP-пул обладает следующими параметрами:


Название

АдресМаска

Название

Название пула указывается в свойствах услуги коммутируемо-го доступа в качестве параметра Название пула.

В названии пула допустимы только латинские буквы и циф-ры.

•

•

••

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

7. Демон 5_rad

Исполняемый файл UTM5 RADIUS называется

/netup/utm5/bin/utm5_radius


p Путь к pi файлу


v Информация о версии и допустимых параметрах коман-дной строки

Существуют 3 способа запуска utm5_raius:

Непосредственный запуск бинарного файла /netup/utm5/bin/utm5_raius с необходимыми параметрами


/netup/utm5/bin/safe_utm5_radius start

Скрипт автоматически перезапустит utm5_raius в случае,если он по каким либо причинам некорректно завершит ра-боту.

3. Запуск с помощью скрипта автоматического запуска (реко-мендуемый способ) в inu

/etc/init.d/utm5_radius start


/usr/local/etc/rc.d/utm5_radius.sh start


Для остановки utm5_core и скрипта atchog следует выпол-нить команду

1.

2.

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

в inu

/etc/init.d/utm5_radius stop


/usr/local/etc/rc.d/utm5_radius.sh stop

7.1 Настройка

Настройка UTM5 RADIUS производится с помощью:параметров, задаваемых в конфигурационном файле

параметров системы, задаваемых с помощью интерфейсаадминистратора (подробнее - в разделе Установка, обнов

ление, настройка системы | Параметры системы, задаваемые в интерфейсе администратора)

Параметры, задаваемые в конфигурационном файле, исполь-зуются при инициализации UTM5 RADIUS.

7.1.1 Настройка 5_rad с помощью

конфигурационного файла

По умолчанию UTM5 RADIUS использует конфигурационныйфайл /netup/utm5/raius5.cfg.



Набор символов, находящийся до знака равенства, являетсяпараметром, после - значением параметра. Пробелы учитыва-ются. Пустые строки игнорируются. Строка, начинающаяся ссимвола #, считается комментарием.

•

•

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

7/22/2019 utm5_20070529


10

U T M 5 R A D I U S



core_host IP-адрес

core_port от 1 до 65534

raius_login строка

raius_passor строка

raius_ssl_type tls1, ssl3, none

raius_acct_host IP-адрес интерфейса или 0.0.0.0

raius_acct_port от 1 до 65534

raius_auth_host IP-адрес интерфейса или 0.0.0.0

raius_auth_port от 1 до 65534

raius_auth_mppe enable

raius_auth_ap 1

raius_ippool_acct_timeout время в секундах

raius_ippool_timeout время в секундах

raius_auth_null yes или enable

raius_auth_h323_remote_aress eneble, on, yes

7/22/2019 utm5_20070529


11

U T M 5 R A D I U S


обязательный параметрIP-адрес хоста, на котором запущено ядроUTM5

обязательный параметр Порт, на котором ядро UTM5 слушает Stream

raius Логин пользователя для доступа к ядру UTM5

raius Пароль пользователя для доступа к ядру UTM5

noneТип безопасного соединения SS. В случаеесли указано значение none, будет использо-ваться нешифрованное соединение

0.0.0.0 Адрес хоста для принятия запросов на учет(Accounting-Request)

1813Порт для принятия запросов на учет(Accounting-Request)

0.0.0.0 Адрес хоста для принятия запросов на провер-ку доступа (Access-Request)

1812Порт для принятия запросов на проверку до-ступа (Access-Request)

генерация ключей не произ- водится

Включает генерацию ключей MPPE 128 бит,используемых при авторизации по протоколу MS-HAP-2

авторизация разрешена

Если значение установлено, заблокированнымпользователям, логины которых установленыв сервисной связке услуги передачи трафика,запрещается авторизоваться

30Время, на которое IP-адрес помечается какзанятый после отправки Access-Accept

адрес помечается как заня-

тый до момента прихода Stop-пакета

Время, на которое IP-адрес помечается какзанятый после прихода Accounting-Start

авторизация без пароля не производится

При включении этой опции сервер RADIUSбудет принимать и успешно авторизоватьзапросы без атрибута User-Passor(2), еслипароль пользователя, указанный в сервиснойсвязке, пуст

замена логина на h323- remote-address не осущест-

вляется

При включении данной опции для телефон-ных звонков аутентификация производитсяне по атрибуту User-Name (1), а по значению

атрибута h323-remote-aress (9;23). Значениеатрибута используется в качестве логина

7/22/2019 utm5_20070529


12

U T M 5 R A D I U S

raius_nas_port_pn* натуральное число

raius_nas_port_ialup* натуральное число

raius_nas_port_tel* натуральное число

raius_car_autoa yes, on, enable

sen_pg_ep_number любое

sen_h323_ir_in любое

enable_fast_telephony enable, yes

h323_origin_reject строка

interim_upate_interal время в секундах большее 61

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

проверка по NAS-Port-Type для сервисной связки услуги передачи IP-трафика не производится

На соответствие указанному в данном полезначению, будет проверяться значение ат-рибута NAS-Port-Type (61) при подключениис помощью логина, указанного в сервиснойсвязке услуги передачи трафика

проверка по NAS-Port-Type для сервисной связки услуги коммутируемого доступа не производится

На соответствие указанному в данном полезначению, будет проверяться значение ат-рибута NAS-Port-Type (61) при подключениис помощью логина, указанного в сервиснойсвязке услуги коммутируемого доступа

проверка по NAS-Port-Type для сервисной связки услуги телефонии не производится

На соответствие указанному в данном полезначению, будет проверяться значение ат-рибута NAS-Port-Type (61) при подключениис помощью логина, указанного в сервиснойсвязке услуги телефонии

авторегистрация не произ- водится

При задании значения yes, эта опция разреша-ет проводить автоматическую регистрациюпользователей через сервер RADIUS по пре-доплаченной карте. При этом пользовательв поле Логин указывает номер карты, а вполе Пароль – пин-код карты. В случае услугителефонии в логине указывается пин-код иличасть пин-кода, оставшаяся часть выступает вкачестве пароля

номера в положительном ответе на запрос на авто- ризацию не передаются

При включении данной опции при авториза-ции абонента, в случае использования услуги

телефонии, в Access-Accept будет переданатрибут isco-AVPair (9;1) со значением: pg-ep-number=<список телефонных номеров,разделенных точкой с запятой>

номера в положительном ответе на запрос на авто- ризацию не передаются

При включении данной опции при авториза-ции абонента в случае использования услугителефонии в Access-Accept будет переданатрибут isco-AVPair (9;1) со значением: h323-ir-in=terminal-alias:<список телефонных номе-ров, разделенных точкой с запятой>

используется стандартный механизм определения зоны/ направления

Данная опция включает ускоренный механизмопределения направлений и зон при тарифи-кации телефонных звонков. При этом шаб-

лоны для телефонных направлений должнысодержать цифры от 0 до 9, символы ^ $ + )( |


Устанавливает нулевую стоимость для Accounting-Request, в которых атрибут h323-call-origin (9;26) равен значению данногопараметра

используется стандартный механизм контроля заверше- ния сессий

Включает механизм контроля сессий на осно-

вании Interim-Upate пакетов. Значение пе-редается в атрибуте Acct-Interim-Interal (85)пакета Acces-Accept

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

raius_efault_session_timeout натуральной число

raius_callbac_apair_enable любое

raius_acct_rerite_login_anser enable, on, true

raius_acct_rerite_login_originate enable, on, true

Параметры журналирования***







ma_logfile_size** размер в байтах

* – возможно указание нескольких параметров

** – подробнее – в разделе Описание системы|Журналирование

*** – действует, если включена ротация логов

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

86400Значение атрибута Session-Timeout (27) пере-даваемое в Access-Accept для сервисной связки услуги передачи трафика


Включает передачу атрибута isco-AVPair (9;1)со значением lcp:callbac-ialstring=<callbac

number>, где <callbac number> - часть логинаот начала строки до символа ‘:’


Если атрибут h323-call-origin (9;26) имеет зна-чение originate - задание параметра включаетзамену логина на значение атрибута h323-remote-aress (9;23) при обработке пакетов

Accounting-Request


Если атрибут h323-call-origin (9;26) имеет зна-чение answer - задание параметра включаетзамену логина на значение атрибута h323-

remote-aress (9;23) при обработке пакетов Accounting-Request


1Определяет уровень сообщений, которыепишутся в основной поток сообщений

стандартный поток

ошибок Файл основного потока сообщенийстандартный поток ошибок

Файл отладочного потока сообщений

стандартный поток ошибок

Файл критического потока сообщений


10485760Размер файла при достижении которого про-изводится ротация

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

8. Динамическое распределение

IP-адресов

Для реализации возможности тарификации трафика в случае,если IP-адрес был выдан пользователю из пула или UTM5 невыдавался, введена схема динамической привязки IP-адреса ксервисной связке услуги передачи IP-трафика.

Для использования схемы к лицевому счету необходимо при-вязать услугу передачи IP-трафика с установленной опциейДинамическое распределение Iадресов и услугу коммути-

руемого доступа/hotspot с установленной опцией Динамическое распределение Iадресов.

При поступлении запроса Accounting-Start в атрибуте User-Name (1) которого указан логин, указанный в свойствах сер-висной связки услуги коммутируемого доступа/hotspot с уста-новленной опцией Динамическое распределение IP-адресов,а в атрибуте Frame-IP-Aress (8) установлен ненулевой IP-адрес, ядром UTM5 передается событие, инициализирующее

процедуру привязки выданного IP-адреса к лицевому счету. Всобытии передаются данные о лицевом счете абонента и вы-данном IP-адресе. Обработчик события вызывает функцию,осуществляющую все необходимые проверки и непосредс-твенную динамическую привязку в случае необходимости.

Функцией динамической привязки IP-адреса выполняютсяследующие действия:

осуществляется поиск сервисной связки, ссылающейся на услугу передачи IP-трафика с установленной опцией Динамическое распределение Iадресов и лицевой счет.Если сервисная связка не найдена, дальнейшие действияне производятся

осуществляется поиск IP-группы, в которую входит указан-ный IP-адрес. Если такая IP-группа найдена, она удаляется

создается IP-группа, для которой в качестве IP-адреса сети устанавливается указанный IP-адрес, а в качестве маски -

1.

2.

3.

7/22/2019 utm5_20070529


1

U T M 5 R A D I U S

255.255.255.255. Остальные параметры IP-группы устанав- ливаются в значение по умолчанию

создается IP-группа, привязанная к найденной на этапе 1сервисной связке

При создании или удалении IP-группы выполняются следую-щие действия:

Если статус Internet для лицевого счета, которому прина-длежит IP-группа, установлен в состояние Включен

о Перед созданием или удалением IP-группы статус

Internet устанавливается в состояние Выключен

о После создания или удаления IP-группы статус Internet устанавливается в состояние Включен

Помимо указанных действий возможна генерация одного илинескольких событий на выключение Internet для лицевогосчета в случае, если статус Internet Выключен.

Во избежание возникновения проблем категорически не ре-комендуется использовать функционал динамической при-вязки IP-адреса, если IP-адреса из пула пересекаются с IP-адре-сами, статически привязанными к сервисным связкам услугипередачи IP-трафика.

4.

•

7/22/2019 utm5_20070529


1

U T M 5 U n i f

7/22/2019 utm5_20070529


1

U T M 5 U n i f

. UTM Unif


1. Введение ..................................................................... 1802. Схема работы ..............................................................181

2.1 Разбор файлов с информацией о трафике .......1812.2 Разбор файлов с информацией о телефонныхзвонках . ....................................................................... 182

3. Утилита utm5_unif .................................................... 1863.1 Настройка utm5_unif с помощью конфигурацион-ного файла .................................................................. 186

7/22/2019 utm5_20070529


10

U T M 5 U n i f

1. Введение

UTM5 Unif предназначен для разбора текстовых файлов, со-

держащих информацию о трафике, и передачи этой инфор-мации ядру UTM5, либо для разбора текстовых файлов, содер-жащих информацию о телефонных звонках, и передачи этойинформации RADIUS-серверу.

UTM5 Unif следует использовать для импорта информации отрафике в случае, если эта информация не содержит данныхоб адресах отправителя или получателя трафика, но содер-жит информацию о количестве трафика, его классе, логине

сервисной связки услуги передачи трафика, которой долженпринадлежать данный трафик.

В случае, если поставщик информации о трафике поддержи-вает передачу данной информации по протоколу NetFlo, ре-комендуется передавать информацию о трафике по протоко-

лу NetFlo.

UTM5 Unif следует использовать для импорта информации отелефонных звонках в случае, если поставщик информациине поддерживает ее передачу RADIUS-серверу с помощьюRADIUS-запросов на учет (Accounting-Request).

В случае, если поставщик информации о телефонных звонкахподдерживает ее передачу с помощью RADIUS-запросов на

учет (Accounting-Request), рекомендуется непосредственнопередавать ее RADIUS-серверу.

7/22/2019 utm5_20070529


11

U T M 5 U n i f

2. Схема работы

2.1 Разбор файлов с информацией о

трафике

В случае разбора файла с информацией о трафике выполня-ются следующие действия:

Устанавливается соединения с ядром UTM5 по протоколу URFA

Построчно считывается текстовый файл, каждая строкакоторого разбирается в соответствии со стандартнымформатом

Данные, содержащиеся в каждой строке, сохраняются вовнутренней структуре хранения данных.

Структура с данными передается ядру UTM5 посредством

вызова URFA-функции 05510

UTM5 Unif завершает работу

Файл с информацией о трафике должен содержать данные,отвечающие следующим требованиям:

1. Каждая строка файла должна содержать данные формата:

<LOGIN> <BYTES> <TCLASS> <IP>

где

<IN> – логин, указанный в свойствах услуги передачи тра-фика, которому должен принадлежать данный трафик

<�YTES> - количество трафика в байтах (количество трафикане должно быть больше 2Гб).

1.

2.

3.

4.

5.

7/22/2019 utm5_20070529


12

U T M 5 U n i f

<TASS> – класс трафика, зарегистрированный в ядре UTM5,которому должен принадлежать трафик

<IP> – IP-адрес, который будет указываться для данного трафи-ка при формировании отчета по трафику с группировкой поIP. Поле IP-адрес может иметь произвольное значение в фор-мате IP-адреса.

2. В файле не должно содержаться строк, содержащих инуюинформацию, либо информацию в ином формате.

2.2 Разбор файлов с информацией о

телефонных звонках

В случае разбора файла с информацией о телефонных звон-ках выполняются следующие действия:

Построчно считывается текстовый файл, каждая строка

которого разбирается в соответствии форматом, задан-ным в конфигурационном файле

Данные, содержащиеся в каждой строке, сохраняются вовнутренней структуре хранения данных

По завершении разбора файла, для каждой записи, содер-жащейся во внутренней структуре хранения данных, вы-полняются действия:

1.

2.

3.

7/22/2019 utm5_20070529


1

U T M 5 U n i f

Отправка Accounting-Request Start-пакетовRADIUS-серверу

Ожидание ответа. Если ответ не получен в тече-нии некоторого времени осуществляется повтор-ная отправка Accounting-Request Start-пакета

Отправка Accounting-Request Stop-пакетовRADIUS-серверу

Ожидание ответа. Если ответ не получен в тече-нии некоторого времени осуществляется повтор-ная отправка Accounting-Request Stop-пакета

Происходит временная задержка, указанная включе запуска -t

1.

2.

3.

4.

5.

+-+-+-+-+-+-+-+- +-+-+-+-+-+-+-+-

| | ---->Access-Request1 | |

| | <----Accounting-Response1 | |

| UTM5 Unif | ---->Access-Request2 | RADIUS |

| | <----Accounting-Response2 | |

| | Задержка в отправке | |

+-+-+-+-+-+-+-+-+ пакета +-+-+-+-+-+-+-+-+

6. UTM5 Unif завершает работу

Файл с информацией о телефонных звонках должен содер-жать данные, отвечающие следующим требованиям:

Каждая запись о звонке должна находиться в отдельнойстроке

Запись о каждом звонке должна занимать не более однойстроки

Каждая запись о звонке должна соответствовать формату

записи, заданному в конфигурационном файле. Форматзаписи должен соответствовать общим требованиям кформату записи о звонке

1.

2.

3.

7/22/2019 utm5_20070529


1

U T M 5 U n i f

В файле не должно содержаться строк, содержащих инуюинформацию, либо информацию в ином формате.

Требования к формату записи о звонке:

Каждая запись о звонке должна содержать данные в текс-товом виде

Каждая запись о звонке должна быть разделена одинако-выми разделителями на несколько полей. Обязательноприсутствие следующих полей:

• Идентификатор вызывающего абонента (теле-фонный номер)

• Идентификатор вызываемого абонента (телефон-ный номер)

• Длительность звонка в секундах без указания еди-ницы измерения

• Дата и время начала звонка, если необходимо да-

тировать звонок временем, отличным от временипередачи информации о нем

• Уникальный числовой идентификатор звонка(идентификатор сессии). Наличие данного поляне является обязательным

Если формат длительности звонка в конфигурационном фай-

ле не задан, используется следующий формат (формат по умолчанию):

<чч>:<мм>:<сс>.<мск> <врз> <днл> <мес> <дт> <гггг>

4.

1.

2.

7/22/2019 utm5_20070529


1

U T M 5 U n i f

Поле Количество символов Описание

чч 2 часы

мм 2 минуты

сс 2 секунды

мск 3 милисекунды

врз 3 временная зона

днл 3 день недели

мес 3 месяц

дт 2 дата

гггг 4 год

Например, 00:35:05.000 UT Tue ul 19 2007

Поля мс и день недели игнорируются.

Символ, разделяющий поля в записи о звонке, задается в кон-фигурационном файле и является единым для всего разбира-емого файла.

Символ, в который заключены поля в записи о звонке, задает-ся в конфигурационном файле и является единым для всегоразбираемого файла.

7/22/2019 utm5_20070529


1

U T M 5 U n i f

3. Утилита 5_f

Запуск utm5_unif производится командой

/netup/utm5/bin/utm5_unif


c <cfg> - путь к конфигурационному файлу

s <at_file> - путь к файлу, содержащему импортируемую

информацию. По умолчанию используется файл /netup/utm5/source.at

d Если указан данный параметр, импортируемая информа-ция читается не из файла, а со стандартного потока ввода

n Если указан данный параметр, при отправке RADIUS-запросов ответ от RADIUS-сервера не ожидается

t <time> - задержка в микросекундах между отправкой па-кетов

v Информация о версии и допустимых параметрах ко-мандной строки

3.1 Настройка 5_f с помощью


По умолчанию UTM5 Unif использует конфигурационныйфайл /netup/utm5/utm5_unif.cfg.

7/22/2019 utm5_20070529


1

U T M 5 U n i f




7/22/2019 utm5_20070529


1

U T M 5 U n i f


Параметры, определяющие тип импортируемых данных


ata_source iptr, pb или iptr_isasererили iptr_isasereriptr_isaserer

Параметры соединения с ядром UTM5



core_port натуральное число от 1 до 65534

core_login строка

core_passor строка

Параметры отправки данных на RADIUSсервер


raius_st_host IP-адрес

raius_port натуральное число от 1 до 65534

raius_secret строка

raius_nas_name строка

7/22/2019 utm5_20070529


1

U T M 5 U n i f


обязательный параметр

Тип данных в импортируемом файле. Дляфайла с данными о IP-трафике значениедолжно быть равно iptr. Для файла с данны-ми о телефонных звонках значение должнобыть равно pb. Использование значения

iptr_isaserer не рекомендуется


127.0.0.1IP-адрес хоста, на котором запущено ядроUTM5

11758 Порт, на котором ядро UTM5 слушает URFA

init Логин пользователя для доступа к ядру UTM5

initПароль пользователя для доступа к ядру UTM5


127.0.0.1

IP-адрес хоста, на котором запущен RADIUS-

сервер

1813Порт, на котором RADIUS-сервер принимаетзапросы на учет

secret Общее секретное слово

utm5_unif Идентификатор сервера доступа. Это значе-ние будет передано в атрибуте NAS-Ientifier(32)

7/22/2019 utm5_20070529


10

U T M 5 U n i f

Параметры разбора файлов, содержащих информациюо телефонных звонках


pb_calling_si натуральное число

pb_calle_si натуральное число

pb_uration натуральное число

pb_session_i натуральное число

pb_ate_time натуральное число

pb_ate_format строка формата*

pb_elimiter строка

pb_quote строка

Параметры журналирования**






Параметры, не рекомендуемые к использованию


ont_use_raius произвольное

7/22/2019 utm5_20070529


11

U T M 5 U n i f


0Номер позиции в импортируемом файле, вкоторой находится запись о вызывающемномере

1Номер позиции в импортируемом файле, вкоторой находится запись о вызываемомномере

2Номер позиции в импортируемом файле, вкоторой находится запись о длительностизвонка

3

Номер позиции в импортируемом файле, в

которой находится запись об идентификато-ре сессии

4Номер позиции в импортируемом файле, вкоторой находится запись о дате и времениначала звонка

используется формат по умолчанию

Формат в котором задана дата и время нача- ла звонка в импортируемом файле

; Символ-разделитель между полями

пустая строка Символ, в который заключены поля


1Определяет уровень сообщений, которыепишутся в основной поток сообщений





данные о звонках передают-

ся на RADIUS-сервер

Если данный параметр установлен, данные озвонках на RADIUS-сервер не передаются, а

передаются ядру UTM5 по протоколу URFA.При этом вызывается функция 05510

7/22/2019 utm5_20070529


12

U T M 5 U n i f

* — определяет формат данных. В данном случае встроке формата допускается использование следующихспецификаторов:

Спецификатор Описание

%Y год (1970...)

%y последние два разряда года (00..99)

%N месяц (01..12)

%n месяц без нулей слева (1..12)

%H час (00..23)

%h час без нулей слева (0..23)

%D день месяца (01..31)

% день месяца без нулей слева (1..31)

%M минуты (00..59)

%m минуты без нулей слева (0..59)

%S секунды (00..60)

%s секунды без нулей слева (0..60)

%b сокращенное название месяца (an..Dec)

%zвременная зона (например MSK) - толькодля ОС Free�SD и inu

**—подробнее—в разделе Описание системы|Журналирова-

ние

Функционал разбора лог-файлов MS ISA является устарев-шим и не рекомендуется к использованию. Описание пара-метров, связанных с настройкой данного функционала неприводится.

7/22/2019 utm5_20070529


1

U T M 5 U n i f

Параметры разбора логфайлов MS ISA

ПараметрВозможныезначения

Значение по умолчанию

isa_cs_class натуральное число 10

isa_logfile_ir имя директориикорневаядиректория

isa_logfile_mas строка FWS*

isa_meta_filename имя файла utm5_unif.at

isa_result_set_limit натуральное число 1000

isa_sc_classидентификаторкласса трафика

20

isa_traffic_mult_coef положительное ве-щественное число

1

isalog_cs-bytes натуральное число 10

isalog_cs-username натуральное число 1

isalog_r-ip натуральное число 7

isalog_sc-bytes натуральное число 11

timeout время в секундах 10

7/22/2019 utm5_20070529


1

U T M 5 R F W

7/22/2019 utm5_20070529


1

U T M 5 R F W

. UTM RFW


1. Введение ..................................................................... 1962. Схема работы ..............................................................1973. Список брандмауэров .............................................. 1994. Правила fireall ......................................................... 2025. Демон utm5_rf ......................................................... 210

5.1 Настройка utm5_rf с помощью конфигурацион-ного файла ...................................................................211

7/22/2019 utm5_20070529


1

U T M 5 R F W

1. Введение

UTM5 RFW является демоном исполнения команд, поступаю-щих от ядра UTM5.

UTM5 RFW предназначен для управления брандмауэрами.

7/22/2019 utm5_20070529


1

U T M 5 R F W




Получение команд от ядра UTM5

Выполнение команд локально или удаленно

При запуске UTM5 rf авторизуется в системе, используя па-раметры, указанные в конфигурационном файле.

Для успешной авторизации UTM5 rf должен быть зарегис-трирован во вкладке (Настройки|Список брандмауэров)интерфейса администратора.

Количество зарегистрированных в системе UTM5 rf не ог-раничено.

UTM5 rf устанавливает постоянное соединение с ядромUTM5 по потоковому протоколу Stream, ожидая команд, гене-рируемых ядром при наступлении некоторых событий.

1.

2.

3.

7/22/2019 utm5_20070529


1

U T M 5 R F W

Соотнесение событий и правил fireall производится в ин-терфейсе администратора во вкладке (Настройки|Правилаfirewall) в свойствах правила и описывается в разделе Прави

ла firewall.

Например, при наступлении события включения интернетавыполняется команда, указанная в поле Включение правила.

Команды исполняются локально на том же сервере, где запу-щен rf - если в качестве типа брандмауэра выбрано ocal.

Команды исполняются удаленно по rsh - если в качестве типабрандмауэра выбрано Remote isco.

7/22/2019 utm5_20070529


1

U T M 5 R F W

3. Список брандмауэров

Перечень зарегистрированных в системе брандмауэровнаходится во вкладке (Настройки|Список брандмауэров)

интерфейса администратора.

Брандмауэр обладает следующими параметрами:

Идентификатор брандмауэра

Тип

Fireall name

IP-адрес

Логин

Пароль

Комментарий

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


200

U T M 5 R F W

Идентификатор брандмауэра

Задается автоматически. Указывается вручную в правилахfireall.

Тип

Существуют следующие типы брандмауэров:

ocal

Remote isco

Local

Указывается, если команды будут исполняться локально.

Remote Cisco

Указывается, если команды будут передаваться по протоколу rsh.

Тип брандмауэра должен соответствовать параметру fireall_type конфигурационного файла rf, сопоставляемого с дан-ным брандмауэром.

Firewall name

По этому имени происходит идентификация подключающих-ся к ядру rf.

Fireall name брандмауэра должен соответствовать парамет-ру rf_name конфигурационного файла rf, сопоставляемогос данным брандмауэром.

IP-адрес

Адрес поставщика NetFlo, указываемый в сервисной связке услуги передачи IP-трафика в качестве параметра ID брандма-

•

•

7/22/2019 utm5_20070529


201

U T M 5 R F W

уэра. Т.е. поставщик NetFlo должен быть зарегистрирован вкачестве брандмауэра.

В следующих версиях интерфейса поле для указания парамет-ра будет перенесено.

Логин

Remote login, используемый при авторизации по rsh. Толькодля типа брандмауэра Remote isco.

В качестве local login всегда передается netup.

Пароль

Не используется.

Комментарий

Носит информационный характер.

7/22/2019 utm5_20070529


202

U T M 5 R F W

4. Правила frwall

Перечень зарегистрированных в системе правил fireall на-ходится во вкладке (Настройки|Правила fireall) интерфейса

администратора.

Правило fireall - команды и связанные с ними условия.

Полностью подготовленные для выполнения правила переда-ются на исполнение UTM5 rf.

Правила fireall обладают следующими группами параметров:

Содержанием (вид исполняемого правила)

Областью применимости (для каких пользователей пра-вило выполняется)

Инициирующим событием (причина по которой правиловыполняется)

Местом выполнения (rf, которому передается правило,и соответствующий ему брандмауэр, на котором правиловыполняется)

•

•

•

•

7/22/2019 utm5_20070529


20

U T M 5 R F W

Содержание правила

Для построения шаблонов команд используются переменные,которые заменяются непосредственно при выполнении ко-

манды соответствующими значениями:

7/22/2019 utm5_20070529


20

U T M 5 R F W

Список возможных переменных

ПеременнаяЗначение по умол-чанию

Область применимости

AUNT_ID 0 включение/выключение Internet,изменение типа блокировки

UID – любое правило

RUE_ID – любое правило

UIN – любое правило, кроме правилаизменения типа блокировки

UIP 0.0.0.0 включение/выключение Internet

UMASK 255.255. 255.255 включение/выключение Internet

U�ITS 32 включение/выключение Internet

UINVERTMASK 0.0.0.0 включение/выключение Internet

SINK_ID 0 включение/выключение Internet

SPINK_ID 10000 включение/выключение Internet

�K_TYPE -1 изменение типа блокировки

EMAI – любое правило

IP_IST пустая строка изменение типа блокировки

MA пустая строка включение/выключение Internet

SWITH_IP пустая строка включение/выключение Internet

SWITH_PRT пустая строка включение/выключение Internet

TRAFFI_IMIT пустая строка включение/выключение Internet

URUP пустая строка включение/выключение Internet

UTEINS пустая строка включение/выключение Internet

UTENUM�ERS пустая строка включение/выключение Internet

TIME_IMIT пустая строка не используется

7/22/2019 utm5_20070529


20

U T M 5 R F W

Описание

Идентификатор лицевого счета в системе

Идентификатор пользователя

Идентификатор пользователя плюс f_rule_offset - значение параметраf_rule_offset, установленное в списке параметров, задаваемых с помо-щью интерфейса администратора

В командах выполняющихся при включении/выключении Internet, изме-нении типа блокировки - логин, указанный в свойствах сервисной связки.В командах выполняющихся при добавлении, изменении, удалении або-

нента - логин пользователя

Адрес сети пользователя, указанный в свойствах IP-группы

Маска сети через точку (например, 255.255.255.255)

Бинарная маска сети (например, 32 - означает то же, что и255.255.255.255)

Инвертированная маска сети через точку. Используется при работе с мар-шрутизаторами isco (например, 0.255.255.255)

Идентификатор сервисной связки услуги передачи IP-трафика

Идентификатор сервисной связки услуги передачи IP-трафика плюс 10000

числовое представление типа блокировки

Адрес электронной почты, установленной в свойствах абонента

Список UIP/UMASK, разделенный ’;’

MA-адрес, указанный в свойствах сервисной связки услуги передачи IP-трафика

Название брандмауэра, установленного в дополнительных свойствахпользователя

Порт коммутатора, установленный в дополнительных свойствах пользо-вателя

Сумма квот трафика, определенных в свойствах сервисной связки услугипередачи IP-трафика

Список идентификаторов групп, в которых состоит абонент, разделенных ’;’

Список телефонных номеров, разделенных ’;’

Список логинов сервисных связок услуги телефонии, разделенных ’;’

не используется

7/22/2019 utm5_20070529


20

U T M 5 R F W

Включение

Команда, выполняемая при изменении статуса Internet с вы-ключен на включен, для каждой IP-группы и для каждого теле-фонного номера пользователя.

Команда также выполняется при создании, изменении, удале-нии пользователя, если в правиле установлены соответствую-щие опции. В этом случае исполняется по одной команде длякаждого такого пользователя.

Выключение

Команда, выполняемая при изменении статуса Internet свключен на выключен для каждой IP-группы и для каждого те-

лефонного номера.

Более полную информацию по настройке fireall можно най-ти в разделе Использование firewall.

Изменение типа блокировки

Команда, выполняемая при изменении типа блокировки для лицевого счета.

Также можно добавлять команды, запрещающие доступ на оп-ределенные порты или ресурсы, ограничивающие скоростьпрохождения трафика, либо исполняющие любые другиедействия.

Если выполнение команд для включения и выключенияInternet производится через suo, необходимо следить за тем,чтобы права на исполнение этих команд были заданы в файлеsuoers для пользователя, от которого будет запущен utm5_rf. В целях безопасности рекомендуется запускать utm5_rfот непривилегерованного пользователя , и в файле suoers указывать разрешение на выполнение только определенных

команд от этого пользователя.

7/22/2019 utm5_20070529


20

U T M 5 R F W

Следует обратить внимание на то, что выполнение командпроисходит не при их добавлении в список, а при включениии выключении Internet, изменении типа блокировки лицево-го счета, добавлении, изменении или удалении пользователя.

Область применимости правила

Все пользователи

Если опция установлена, команды будут применяться для лю-бого пользователя. Если опция не установлена команды будут

применяться в соответствии с параметрами ID пользователя,ID группы, ID тарифа и опцией Совпадают все параметры.

ID пользователя

Команды, в которых поле ID пользователя соответствуетидентификатор конкретного пользователя, применяются дляданного пользователя.

Если указан 0 - проверка игнорируется.

ID группы

Команды, в которых поле ID группы соответствует иденти-фикатору конкретной группы, применяются для пользовате-

лей этой группы.


ID тарифа

Команды, в которых поле ID тарифа соответствует иденти-фикатору тарифа, применяются для пользователей с подклю-

ченной тарифной связкой, ссылающейся на данный тариф.


7/22/2019 utm5_20070529


20

U T M 5 R F W

Совпадают все параметры

Определяет логическую операцию между результатами прове-рок, задаваемых параметрами ID пользователя, ID группы,ID тарифа.

Если опция установлена, для выполнения команды необхо-дим положительный результат всех проверок. Если опция не установлена, то для выполнения команды достаточно поло-жительного результата хотя бы одной проверки одной про-верки.

Например, в случае если отмечена галочка Совпадают всепараметры и указаны ненулевые значения полей ID тарифа,ID группы - команды будут применяться на абонента, кото-рый входит в указанную группу и одновременно подписан на указанный тарифный план.

Если параметрам удовлетворяют несколько команд, то ониприменяются в порядке возрастания идентификатора.

Событие, инициирующее правило Помимо событий включения и выключения Internet, измене-ния типа блокировки, существует возможность задать в полеВключение команду при наступлении событий:

добавление абонента

изменение абонента

удаление абонента

Выполнять при добавлении абонента

Если опция установлена, после создании пользователя будетвыполнена команда, указанная в поле Включение.

•

•

•

7/22/2019 utm5_20070529


20

U T M 5 R F W

Выполнять при изменении абонента

Если опция установлена, после редактировании свойств поль-зователя будет выполнена команда, указанная в поле Включение.

Выполнять при удалении абонента

Если опция установлена, непосредственно перед удалени-ем пользователя будет выполнена команда, указанная в полеВключение.

Место исполнения правила

ID брандмауэра

Идентификатор брандмауэра, на котором будет выполненоправило.

7/22/2019 utm5_20070529


210

U T M 5 R F W

5. Демон 5_rfw

Исполняемый файл utm5_rf называется

/netup/utm5/bin/utm5_rfw



f Запросить у ядра команды на включение Internet для всехпользователей, у которых интернет включен

o Запросить у ядра команды на выключение Internet длявсех пользователей, у которых интернет выключен

v Информация о версии и допустимых параметрах коман-дной строки

Существуют 3 способа запуска utm5_rf:

Непосредственный запуск бинарного файла /netup/utm5/bin/utm5_rf с необходимыми параметрами


/netup/utm5/bin/safe_utm5_rfw start

В этом случае исполняемому файлу будет передан параметр f .Скрипт автоматически перезапустит utm5_rf, в случае, еслион по каким либо причинам некорректно завершит работу.

3. Запуск с помощью скрипта автоматического запуска (реко-мендуемый способ)

в inu

/etc/init.d/utm5_rfw start

1.

2.

7/22/2019 utm5_20070529


211

U T M 5 R F W


/usr/local/etc/rc.d/utm5_rfw.sh start


Для остановки utm5_rf и скрипта atchog следует выпол-нить команду

в inu

/etc/init.d/utm5_rfw stop


/usr/local/etc/rc.d/utm5_rfw.sh stop

Для того, чтобы при запуске модуля произошла синхрониза-

ция правил fireall с сервером UTM, следует передать испол-няемому файлу параметры f и o.

Синхронизацию правил рекомендуется использовать при ав-томатическом запуске модуля при старте системы.

5.1 Настройка 5_rfw с помощью конфигурационного файла

По умолчанию UTM5 rf использует конфигурационныйфайл /netup/utm5/rf5.cfg.



Набор символов, находящийся до знака равенства, является

параметром, после - значением параметра. Пробелы учитыва-ются. Пустые строки игнорируются. Строка, начинающаяся ссимвола #, считается комментарием.

7/22/2019 utm5_20070529


212

U T M 5 R F W


Общие параметры


rf_name строка

fireall_path имя исполняемого файла


core_port число от 1 до 65534

rf_login строка

rf_passor строка

fireall_type local, cisco

rf_ssl_type tls1, ssl3, none

Параметры, действующие при установленномfirewall_type=local

suo_path имя исполняемого файла

ont_for yes, enable, true

Параметры, действующие при установленномfirewall_type=cisco

cisco_ip IP-адрес

7/22/2019 utm5_20070529


21

U T M 5 R F W



Имя UTM5 rf, по которому происходит егоидентификация при подключении к ядру UTM5. Это же значение должно быть указано вполе Название при добавлении брандмауэра всписок брандмауэров

обязательный параметрИмя исполняемого файла, осуществляющего управление брандмауэром

обязательный параметрIP-адрес хоста, на котором запущено ядроUTM5

обязательный параметр Порт, на котором ядро UTM5 слушает Stream

обязательный параметр Логин пользователя для доступа к ядру UTM5

обязательный параметр Пароль пользователя для доступа к ядру UTM5

local

Тип fireall. Должен соответствовать пара-

метру Тип брандмауэра с соответствующимименем

noneТип безопасного соединения SS. В случаеесли указано значение none, будет использо-ваться нешифрованное соединение

не установлено Путь к программе suo

команды исполняются после- довательно

Если значение установлено - правила выпол-няются последовательно т.е. последующееправило исполняется только после выполне-ния предыдущего. Для iptables рекомендуется установить данную опцию

обязательный параметрIP-адрес на который будут передаваться коман-ды по протоколу rsh

7/22/2019 utm5_20070529


21

U T M 5 R F W

Параметры журналирования*







ma_logfile_count** число

ma_logfile_size** размер в байтах

pi_file имя файла

* - подробнее - в разделе Описание системы|Журналирование

** - действует, если включена ротация логов

Прочие параметры являются устаревшими и категорическине рекомендуются к использованию, если не сказано обратное.Описания и значения по умолчанию для прочих параметровне приводятся.



fireall_flush_cm имя файла

core_timeout 5

7/22/2019 utm5_20070529


21

U T M 5 R F W


1

Определяет уровень сообщений, которые пи-

шутся в основной поток сообщений





не ограничено

Максимальное количество хранимых лог-фай-

лов

10485760Размер файла при достижении которого про-изводится ротация

/ar/run/utm5_rf.pi PID-файл

7/22/2019 utm5_20070529


21

U T M 5 D y n a s h a p e

7/22/2019 utm5_20070529


21

U T M

5 D y n a s h a p e

. UTM Dynashape


1. Введение ..................................................................................2182. Схема работы ..........................................................................2203. Задание параметров шейпировани Я в интерфейсе адми-нистратора ..................................................................................2244. Утилита utm5_ynashape ......................................................226

4.1 Настройка utm5_ynashape с помощью конфигураци-онного файла .......................................................................226

5. Примеры исполняемых файлов, используемых для управ- ления шейперами ......................................................................231

7/22/2019 utm5_20070529


21


1. Введение

UTM5 ynashape предназначен для управления изменениемпропускной способности канала (шейпинга) пользователя в

зависимости от объема трафика, потребленного пользовате- лем.

UTM5 ynashape состоит из:

• модуля ядра биллинговой системы - библиотеки liburfa-ynashape.so, формирующего правила в соответствии с за-данными тарифными планами и передающего их утилитеutm5_ynashape

• утилиты utm5_ynashape, устанавливаемой на РС-маршру-тизаторе и передающей команды ограничения пропускнойспособности программному шейперу

• исполняемых файлов управления программными шейпера-ми

В дистрибутиве поставляются примеры исполняемых файлов управления программными шейперами:

• ummynet для Free�SD

• iproute2 для NU/inu

Реализация исполняемых файлов управления программнымишейперами для конкретной сетевой конфигурации возлагает-ся на системного администратора.

Для работы пакета в ядро системы UTM5 должен бытьзагружен входящий в состав пакета модуль ядра liburfa-

ynashape.so, требующий отдельной лицензии. Загрузка мо-дуля производится посредством интерфейса администратора(Дополнительно|Список модулей|Загрузить), так и с помо-щью добавления пути к модулю в качестве значения парамет-ра urfa_lib_file конфигурационного файла ядра (рекомендует-ся):

urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-dynashape.so

7/22/2019 utm5_20070529


21

U T M

5 D y n a s h a p e

Реализация динамического шейпирования при использова-нии динамического распределения IP-адресов невозможна втекущей версии.

7/22/2019 utm5_20070529


220





Получение данных

Формирование команд управления шейпером

Сопоставление сформированных команд с командами,находящимися во временном файле (командами, выпол-ненными в предыдущем запуске)

Выполнение команд

Обновление/Создание временного файла

Завершение работы

При запуске UTM5 ynashape авторизуется в системе, исполь-зуя пару логин/пароль указанную в конфигурационном фай-

ле.

UTM5 ynashape по протоколу URFA, получает от ядраUTM5:

• информацию о параметрах шейпирования для тарифныхпланов. Параметры устанавливаются в интерфейсе админис-

тратора во вкладке (Настройки|Параметры)

1.

2.

3.

4.

5.

6.

7.

7/22/2019 utm5_20070529


221

U T M

5 D y n a s h a p e

• данные о количестве трафика, потребленного пользовате- лями в текущем расчетном периоде, для каждого из классов, указанных в значении параметра t_class конфигурационногофайла UTM5 ynashape

После получения информации соединение с ядром UTM5 за-крывается.

Для периодического запуска утилиты utm5_ynashape следуетиспользовать cron.

На основании информации, полученной на предыдущем эта-пе, для каждой из IP-групп, принадлежащей сервисной связке

услуги передачи IP-трафика, которая ссылается на тарифнуюсвязку, ссылающуюся на тарифный план с заданными пара-метрами шейпирования (далее - IP-группа), utm5_ynashapeвыполняет команду:

{firewall_path} {RULE_ID} {IP} {BITMASK} {MASK}

{SPEED} {INET_STATUS} {OPER_STATUS}

в которой используются следующие параметры:

Параметр Описание

fireall_pathИсполняемый файл, указанный взначении параметра fireall_pathконфигурационного файла

AUNT_IDИдентификатор лицевого счета всистеме

RUE_ID

Идентификатор лицевого счета AUNT_ID плюс f_rule_offset- значение параметра f_rule_offsetконфигурационного файла

IP Адрес сети пользователя

MASK Маска сети через точку (например,255.255.255.255)

�ITMASK

Бинарная маска сети (напри-

мер, 32 - означает то же, что и255.255.255.255)

7/22/2019 utm5_20070529


222


SPEED

Текущая скорость соединения, уста-навливаемая на основании количес-тва трафика, потребленного пользо-вателя и параметров шейпированиятарифного плана пользователя

INET_STATUS Статус Internet:1 - on; 2 - off

PER_STATUS

Статус команды, определяемый присравнении сформированных ко-манд с командами, находящимися вовременном файле*

* - статус команды, определяемый при сравнении сформиро-

ванных команд с командами, находящимися во временномфайле

Статус ОписаниеДействие, которое не-обходимо выполнить

0

команда для IP-группыне сформирована, но

команда во времен-ном файле для IP-груп-пы присутствует

для IP-группы необхо-

димо выполнить удаля-ющую правило команду

1

команда для IP-группысформирована, ко-манда во временномфайле для IP-группыотсутствует

для IP-группы необ-ходимо выполнитьдобавляющую правилокоманду

2

команда для IP-груп-пы сформирована,совпадает с командой,находящейся во вре-менном файле

для IP-группы выпол-нение команд не требу-ется

3

команда для IP-группысформирована, посравнению с коман-дой временного файла

отличается толькозначение скорости

для IP-группы необхо-димо изменить значе-

ние скорости

7/22/2019 utm5_20070529


22

U T M

5 D y n a s h a p e

Во временном файле для каждой из IP-групп создается струк-тура, содержащая информацию о выполненном на предыду-щем этапе правиле.

Имя временного файла указывается в значении параметраtmp_file конфигурационного файла.

После создания или обновления временного файла UTM5ynashape завершает работу.

Первый запуск утилиты utm5_ynashape необходимо осущест-влять с ключом i.

7/22/2019 utm5_20070529


22


3. Задание параметров шейпирования

в интерфейсе администратора

Для задания параметров динамического шейпирования тариф-ного плана необходимо создать во вкладке (Настройки|Списокпараметров) интерфейса администратора параметр, указав вкачестве названия параметра ID тарифа, а в качестве значе-ния параметра - параметры шейпирования для данного тари-фа.

Допускается указание дробного количества трафика. Раздели-

телем целой и дробной части является точка.

Например, для тарифного плана с идентификатором 2 припотреблении трафика до 1 Гб скорость должна составить 512единиц; от 1 до 2 Гб скорость должна составить 256 единиц;свыше 2 Гб - 128 единиц. Для задания параметров шейпирова-ния необходимо создать параметр вида

Название параметра: 2

Значение параметра: 0-512;1-256;2-128;

Для тарифного плана с идентификатором 2 зависимость про-пускной способности канала от объема потребленного трафи-ка будет выглядеть следующим образом.

7/22/2019 utm5_20070529


22

U T M

5 D y n a s h a p e

7/22/2019 utm5_20070529


22


4. Утилита 5_dyahap

Запуск utm5_ynashape производится командой

/netup/utm5/bin/utm5_dynashape



i Выполнить команды без сопоставления с временным фай-

лом (все команды получают PER_STATUS=1). Этот ключ не-обходимо указать при первом запуске

h Информация о версии и допустимых параметрах команд-ной строки

4.1 Настройка 5_dyahap с помощью


По умолчанию UTM5 ynashape использует конфигурацион-ный файл /netup/utm5/ynashape.cfg.




7/22/2019 utm5_20070529


22

U T M

5 D y n a s h a p e

7/22/2019 utm5_20070529


22




tmp_file путь к файлу

core_hostIP-адрес интерфейсаили 0.0.0.0

core_port число от 1 до 65534

core_login* строка

core_passor строка

group_i число

t_classсписок натуральных чисел,разделенных запятой

fireall_path имя исполняемого файла

f_rule_offset число

pn_only 0, 1 или 2

7/22/2019 utm5_20070529


22

U T M

5 D y n a s h a p e

Значение по умолча-

нию

Описание


Временный файл для хранения ин-формации о выполненных командах

127.0.0.1IP-адрес хоста, на котором запущеноядро UTM5

11758Порт, на котором ядро UTM5 слуша-ет URFA

init Логин пользователя для доступа кядру UTM5

initПароль пользователя для доступа кядру UTM5

не установлено ID группы пользователей, для ко-торой будут выполняться команды

управления шейпером

не установлено Классы трафика, сумма которых бу-дет учитывать при расчете потреб-

ленного трафика

не установлено Имя исполняемого файла, осущест-вляющего управление программнымшейпером


Определяет число, которое будетдобавлено к идентификатору поль-зователя для получения значенияпеременной RUE_ID

0

Регламентирует использованииопции не VN при определении IP-групп, которые будут использовать-ся при формировании команд**

7/22/2019 utm5_20070529


20


* - пользователю должен иметь право вызвать urfa-функцию сID = 012001

** – использование опции не VN при определении I

групп

ЗначениеЗначение опции не VN для услуги передачиIP-трафика

0 опция не установлена

1 опция установлена

2 опция игнорируется

7/22/2019 utm5_20070529


21

U T M

5 D y n a s h a p e

5. Примеры исполняемых файлов,

используемых для управления

шейперами

Пример исполняемого файла приведен для программногошейпера iproute2 под ОС NU/inu.

Предполагается, что создана очередь командой

tc qdisc add dev eth0 root handle 1: htb

Предполагается, что созданы классы командой

tc class add dev eth0 parent 1: classid 1:1 htb

rate 100mbit ceil 100mbit burst 200k

tc class add dev eth0 parent 1:1 classid 1:10 htb

rate 1mbit burst 20k

Предполагается, что создан фильтр командой

tc filter add dev eth0 parent 1: protocol ip prio 3

handle 1 fw classid 1:10

7/22/2019 utm5_20070529


22


Пример исполняемого файла:

#!/bin/bash

if=”eth1”

echo $*

echo “First create: tc qdisc add dev $if root han-

dle 1: htb”

case “$7” in

1)

iptables -t mangle -A FORWARD -s 0/0 -d

$2/$3 -j MARK --set-mark $1

tc filter add dev $if parent 1: protocol ip

prio 3 handle $1 fw classid 1:$1

tc class add dev $if parent 1:1 classid 1:$1

htb rate $5kbit burst 20k

;;

0)

iptables -t mangle -D FORWARD -s 0/0 -d

$2/$3 -j MARK --set-mark $1

tc filter del dev $if parent 1: protocol ip

prio 3 handle $1 fw classid 1:$1

tc class del dev $if parent 1:1 classid 1:$1

htb rate $5kbit burst 20k

;;

2)

;;

3)tc class change dev $if parent 1:1 classid

1:$1 htb rate $5kbit burst 20k

;;

*) echo “Usage: `basename $0` {ID IP BITMASK

MASK SPEED INT_STATUS OPER_STATUS}” >&2

exit 64

;;

esac

7/22/2019 utm5_20070529


2

U T M

5 D y n a s h a p e

Пример исполняемого файла для программного шейпераummynet под ОС Free�SD:

#!/bin/sh

case “$7” in

0)

/sbin/ipfw delete $1

/sbin/ipfw pipe delete $1

;;

1)

/sbin/ipfw pipe $1 config bw $5Kbit/s

/sbin/ipfw add $1 pipe $1 ip from $2/$3 to

any

;;

2)

;;

3)

/sbin/ipfw pipe $1 config bw $5Kbit/s

;;

esac

7/22/2019 utm5_20070529


2

U T M 5 U r f a c l i e n t

7/22/2019 utm5_20070529


2

U T M

5 U r f a c l i e n t

10. UTM Urfaclient


1. Предупреждение ....................................................... 2362. Введение ......................................................................2373. Схема ........................................................................... 2384. URFA-скрипт .............................................................. 2435. Утилита utm5_urfaclient ........................................... 248

5.1 Настройка с помощью конфигурационного фай- ла .................................................................................... 2506. Пример работы .......................................................... 252

6.1 Подключение тарифного плана ......................... 252

7/22/2019 utm5_20070529


2


1. Предупреждение

При проведении требуемых действий в некоторых случаях

может не проводиться ряд проверок, которые проводят ин-терфейс администратора или eb-интерфейс пользователяпри выполнении того или иного действия. Кроме этого вызовнекоторых функций может потребовать последующего вызо-ва других функций с целью создания объектов, необходимыхдля сохранения логической целостности данных.

Перед выполнением любого действия на системах, нахо-дящихся в коммерческой эксплуатации, с помощью пакета

UTM5 urfaclient, необходимо проверить корректность дейс-твий на стендовой системе.

Пакет UTM5 urfaclient предназначен для взаимодействия сядром UTM5 на низком уровне и требует четкого понимания

логики производимых действий.

Компания NetUP не несет ответственности за любые последс-

твия, вызванные некорректным использованием пакета.

7/22/2019 utm5_20070529


2

U T M


2. Введение

Пакет предназначен для осуществления унифицированного

доступа к структурам ядра UTM5 посредством RP интерфей-са (URFA).

Пакет UTM5 urfaclient состоит из:

• модуля ядра биллинговой системы - библиотеки liburfa-client.so, обеспечивающего взаимодействие утилиты utm5_urfaclient и ядра UTM5

• утилиты utm5_urfaclient, предназначенной для выполнения

требуемых действий• схемы, описывающей URFA-функциии, входные и выходныепараметры используемых URFA-функций

• URFA-скриптов, специфичных для производимого действияили последовательности действий

Вывод вызываемых URFA-функций пишется в стандартныйпоток вывода (stout).

Для работы пакета в ядро системы UTM5 должен бытьзагружен входящий в состав пакета модуль liburfa-client.so, требующий отдельной лицензии. Загрузка модуля про-изводится посредством интерфейса администратора(Дополнительно|Список модулей|Загрузить), так и с помо-щью добавления пути к модулю в качестве значения параметраurfa_lib_file конфигурационного файла ядра (рекомендуется):

urfa_lib_file=/netup/utm5/lib/utm5_core/liburfa-client.so

7/22/2019 utm5_20070529


2


3. Схема

Схема api.ml содержит представленные в виде M-теговописания

• входных и выходных параметров функций;

• последовательности действий в зависимости от значенияданных параметров. Имя директории, в которой находитсяapi.ml, может быть указано в качестве параметра команд-ной строки. По умолчанию имя директории - /netup/utm5/ml/.

Значение выражений в текущей реализации представляют

собой либо значения переменной, составляющей выражение, либо значение встроенной функции, либо константу, если ненайдено переменной или функции с соответствующим име-нем.

Переменные в системе представляют собой массивы строк.По умолчанию происходит обращение к нулевому элементу данного массива, если явно не указан индекс массива.

Интерпретация значений переменных зависит от контекста.

Например, в случае тега integer на этапе передачи значенияиз переменной происходит парсинг строк, на этапе приемазначения в переменную происходит сериализация строк.

Необходимо внимательно относиться к выбору имен пере-менных, так как все переменные в данной реализации явля-ются глобальными.

Встроенные функции системы:

• no() - возвращает строковое представление текущего вре-мени в формате uni;

• ma_time() - возвращает строковое представление макси-мального значения времени в системе UTM5 в формате uni(2000000000, ~2033 год);

• size(ar_name) – возвращает длину массива с именем ar_name.

7/22/2019 utm5_20070529


2

U T M


Тег urfa

Корневой тег. Не содержит свойств (property). Может содер-жать один или несколько тегов function.

Тег function

Описывает функцию. Обязательные свойства:

• name – имя функции

• i – идентификатор функции.

Должен содержать теги input и output (по одному на описаниефункции). Порядок следования тегов input и output значенияне имеет.

Тег input

Содержит описание входных параметров функции. Не имеет

свойств. Может содержать упорядоченную последователь-ность тегов:

• integer

• long

• ouble

• string

• ip_aress

• if

• for

• error

Тег output

Аналогичен по содержимому тегу input, однако является опи-

санием выходных параметров функции.

7/22/2019 utm5_20070529


20


Тег integer

Если находится внутри тега output, передает целое значениесо знаком длиной 32 бита. Если находится внутри тега input,

принимает целое значение со знаком длиной 32 бита.

Должен содержать свойство name – имя переменной-источни-ка или получателя.

Может содержать свойства:

• efault – выражение для значения по умолчанию. Имеет зна-чение только для входных параметров, в случае если не найде-

на переменная с именем, указанным в свойстве name. При от-сутствии переменной и значения по умолчанию произойдетзавершение программы с ненулевым кодом возврата

• array_ine – выражение для номера ячейки массива-источ-ника или массива-получателя.

Тег long

Аналогичен тегу integer, но содержат описание целых знако-вых параметров длиной 64 бита (int64_t).

Тег double

Аналогичен тегу integer, но содержат описание параметров сплавающей точкой (ouble).

Тег string

Аналогичен тегу integer, но содержат описание строковых па-раметров.

7/22/2019 utm5_20070529


21

U T M


Тег ip_address

Аналогичен тегу integer, но содержат описание параметровтипа Ip4-адреса (например 192.168.0.1 или 255.255.0.0). Внут-

ренним представлением Ip4 адреса является целое числодлиной 32 бит (тип int32_t).

Тег if

Предназначен для обеспечения ветвления в последователь-ности параметров в зависимости от значения переменной.Должен содержать свойства:

• ariable – имя проверяемой переменной,• alue – выражение для сравниваемого значения,

• conition – условие сравнения (eq – равно, ne – не равно).

Может содержать упорядоченную последовательность тегов:

• integer

• long

• ouble• string

• ip_aress

• if

• for

• error

Другие вложенные теги недопустимы.

Тег for

Предназначен для обеспечения реализации циклов. Долженсодержать свойства:

• name – имя переменной-счетчика

• from – выражение для начального значения счетчика

• count – выражение для числа итераций цикла

Может содержать упорядоченную последовательность тегов:

7/22/2019 utm5_20070529


22


• integer

• long

• ouble

• string

• ip_aress• if

• for

• error


Тег error

Вызывает выход из программы с ненулевым кодом возврата,если не указано обратное. Может содержать свойства:

• icoe – код возврата программы

• comment – описание ошибки

• ariable – имя переменной, значение которой будет выведе-но после комментария при завершении программы.

7/22/2019 utm5_20070529


2

U T M


4. U-скрипт

URFA-скрипт описывает последовательность вызова URFA-

функций, циклов и условных операторов, представленную ввиде M-тегов. URFA-скрипт описывает последовательностьдействий. На каждое действие присутствует по одному файлу с именем «имя_действия.ml»

Имя директории, в которой находятся URFA-скрипты, можетбыть указано в качестве параметра командной строки. По

умолчанию имя директории - /netup/utm5/ml/.

Например для действия a_user по умолчанию будет исполь-зоваться файл /netup/utm5/ml/a_user.ml.

URFA-скрипт должен соответствовать требованиям схемы.

Тег urfa

Корневой тег. Должен содержать упорядоченную последова-тельность тегов

• call

• parameter

• for

• if

• message

• set

• error• remoe

Тег call

Осуществляет вызов URFA-функции, определенной в api-файле.

Должен содержать свойство function – имя вызываемой фун-кции.

7/22/2019 utm5_20070529


2


Может содержать свойство output, при нулевом значении ко-торого не происходит вывода результата работы функции ввиде ml-документа.

Может содержать тег parameter.


Тег parameter

Должен содержать свойство name – имя переменной.

Может определять начальные значения переменных, если со-держит свойство alue, в противном случае определяет допус-тимый параметр командной строки.

В случае, если значение переменной указано как в файле дейс-твия в свойстве alue, так и в командной строке – приоритет-ной является командная строка. Все присутствующие в коман-дной строке значения данного параметра, либо его значениепо умолчанию, помещаются в список переменных под именем,

определенным свойством name.

Так же тег может содержать свойство comment – описаниепеременной и соответствующего ключа командной строки,выводимое при одновременном указании ключей команднойстроки -a [имя_действия] и -help.

Тег if

Предназначен для обеспечения ветвления в последователь-ности параметров в зависимости от значения переменной.Должен содержать свойства:

• ariable – имя проверяемой переменной,

• alue – выражение для сравниваемого значения,

• conition – условие сравнения (eq – равно, ne – не равно)

Может содержать упорядоченную последовательность тегов:• call

7/22/2019 utm5_20070529


2

U T M


• parameter

• for

• if

• message

• set• error

• brea

• remoe


Тег for

Предназначен для обеспечения реализации циклов. Долженсодержать свойства:

• name – имя переменной-счетчика

• from – выражение для начального значения счетчика

• count – выражение для числа итераций цикла

Может содержать упорядоченную последовательность тегов:• call

• parameter

• for

• if

• message

• set

• error

• brea• remoe


Тег message

Должен содержать свойство tet. Данный тег осуществляетвывод в поток stout отладочных сообщений, определенныхв свойстве tet.

7/22/2019 utm5_20070529


2


Тег set

Определяет значения переменных. Должен содержать свойс-тво st и одно из свойств: src либо alue. Одновременное ука-

зание свойств src и alue недопустимо.

Может содержать свойства:

• st_ine – выражение для номера ячейки массива-приемни-ка (0, если свойство не указано)

• src_ine – выражение для номера ячейки массива-источни-ка (0, если свойство не указано)

Свойство

• st определяет имя переменной-приемника(если перемен-ная-приемник не существовала, она будет создана),

• src определяет имя переменной-источника,

• alue определяет выражение для присвоения переменной.

В текущей реализации допускается присвоение нового эле-мента массива либо в существующую ячейку, либо в ячейку синдексом, равным текущему размеру массива. Индекс перво-

го элемента массива – 0. Выход за границы массива-источни-ка так же недопустим и приводит к аварийному завершениюпрограммы.

Тег error

Вызывает выход из программы с ненулевым кодом возврата,если не указано обратное. Может содержать свойства:

• coe – код возврата программы

• comment – описание ошибки

• ariable – имя переменной, значение которой будет выведе-но после комментария при завершении программы.

7/22/2019 utm5_20070529


2

U T M


Тег shift

Предполагает сдвиг значений массива, указанного в свойствеname, на одну позицию влево с удалением первого элемента.Данный тег предназначен для внутреннего использования иего применение не рекомендуется.

Тег break

Осуществляет выход из первого по вложенности тега for спродолжением выполнения скрипта со следующей за циклом

строки.

Тег remove

Удаляет элемент массива либо весь массив, имя которого долж-но присутствовать в свойстве name. Индекс элемента массиваможет быть указан в виде выражения в свойстве array_ine,в противном случае удаляется весь массив. При удалении эле-

мента массива последующие элементы смещаются на одну по-зицию влево.

7/22/2019 utm5_20070529


2


5. Утилита 5_rfa�l

Вызов утилиты осуществляется из командной строки с указа-

нием параметров.

Запуск UTM5 Urfaclient производится командой

/netup/utm5/bin/utm5_urfaclient

Параметры командной строки начинаются со знака «-» , за-

тем следует название ключа и через пробел значение пара-метра (исключение составляет ключи -help, -ebug, -u не тре-бующие значения).

Некоторые параметры соответствуют параметрам, указыва-емым в конфигурационном файле.


a Имя действия. Обязательный параметр

h IP-адрес хоста, на котором запущено ядро UTM5. Со-ответствует параметру core_host конфигурационногофайла

p Порт, на котором ядро UTM5 слушает URFA. Соответс-твует параметру core_port конфигурационного файла

l Логин пользователя для доступа к ядру UTM5. Соот-ветствует параметру core_login конфигурационногофайла

Пароль пользователя для доступа к ядру UTM5. Соот-ветствует параметру core_passor конфигурационногофайла

c Путь к конфигурационному файлу (по умолчаниюnetup/utm5/utm5_urfaclient.cfg).

7/22/2019 utm5_20070529


2

U T M


x Имя директории, содержащей схему и URFA-скрипты.Соответствует параметру ml_path конфигурационно-го файла

u Устанавливается, если для авторизации используется логин обычного пользователя. Соответствует парамет-ру конфигурационного файла plain_user со значением yes

s При указании данного параметра командной строкипроисходит восстановление сессии пользователя поключу, указанному в качестве значения параметра. Приэтом в файле конфигурации, либо в командной строке

должны быть указаны логин и пароль системного поль-зователя. Соответствует параметру session_ey конфигу-рационного файла

i При восстановлении сессии по параметру команднойстроки -s, значение данного параметра определяет IP-адрес, с которого была инициализирована восстанавли-ваемая сессия. Соответствует параметру user_ip конфи-гурационного файла

help Вызов справки по ключам. Если указан с ключом -a,выводит справку по указанному действию.

debug Для получения дополнительных отладочные дан-ных, таких как значения внутренних переменных, за-пустите утилиту с данным ключом

Также допускается указание параметров, специфичных для

определенного действия.

В зависимости от действия некоторые специфичные парамет-ры могут являться обязательными.

Все строковые значения должны передаваться в кодировкеUTF-8.

Порядок указания параметров не имеет значения.

7/22/2019 utm5_20070529


20


5.1 Настройка с помощью конфигурацион-

ного файла

Конфигурационный файл UTM5 Urfaclient называется/netup/utm5/utm5_urfaclient.cfg.



Набор символов, находящийся до знака равенства, является

параметром, после - значением параметра. Пробелы учиты-ваются. Пустые строки игнорируются. Строка, начинающая-ся с символа #, считается комментарием.


Параметр Значение по умолчанию

core_host 127.0.0.1

core_port 11758

core_login init

core_passor init

ml_path /netup/utm5/ml/

plain_user не установлено

session_ey не установлено

user_ip 127.0.0.1

7/22/2019 utm5_20070529


21

U T M


Описание

IP-адрес хоста, на котором запущено ядро UTM5

Порт, на котором ядро UTM5 слушает URFA

Логин пользователя для доступа к ядру UTM5

Пароль пользователя для доступа к ядру UTM5

Имя директории, содержащей схему и URFA-скрипты

Значение «yes» устанавливается, если для авторизации использует-ся логин обычного пользователя. Если указано значение «yes» воз-

можен вызов только пользовательских функций (с отрицательнымиидентификаторами), в противном случае только системных (с по-

ложительными идентификаторами)

При указании данного параметра происходит восстановление сес-сии пользователя по ключу, указанному в качестве значения пара-метра. При этом в файле конфигурации, либо в командной строкедолжны быть указаны логин и пароль системного пользователя

При восстановлении сессии по ключу значение данного параметра

определяет IP-адрес, с которого была инициализирована восстанав- ливаемая сессия

7/22/2019 utm5_20070529


22


Все значения параметров файла конфигурации могут быть указаны и в командной строке. Параметры, указанные в ко-мандной строке, имеют приоритет над параметрами, указан-ными в файле конфигурации.

6. Пример работы

6.1 Подключение тарифного плана

Пример подключения к лицевому счету пользователя тариф-

ного плана с подключением всех услуг, входящих в состав это-го тарифного плана с установленным параметром Подключать услугу по умолчанию.

В M-схеме описаны функции, вызываемые URFA-скриптом.Часть M-схемы, содержащая описание функций используе-мых в примере, приведена в Листинге 1.

URFA-скрипт задает последовательность действий, которые

нужно выполнить, чтобы достичь желаемого результата. При-мер URFA-скрипта приведен в Листинге 2.

Пример запуска утилиты

utm5_urfaclient -a link_tariff_with_services

-user_id 5 -account_id 5 -discount_period_id 2

-tariff_current 1 -ip_address 10.4.5.7

-iptraffic_login test4 -iptraffic_password 123

По результатам работы утилита пишет в стандартный потоквывода данные, указанные в Листинге 3.

7/22/2019 utm5_20070529


2

U T M


Л и с т и н

г 1 . Ч а с т ь M � - с х е м ы

< f

u n c t

i o n

n a m e = ” r p c

f_

g e t_

u s e r

i n

f o ”

i d = ”

0 x

2 0 0 6 ” >







< o

u t p u t >





< e r r o r

c o

d e = ”

1 0 ”

c o m m e n t = ” u s e r

n o

t

f o u n

d ”

/ >





< f o r

n a m e = ”

i ”

f r o m = ”

0 ”

c o u n t = ” a c c o u n t

s_

c o u n t ” >



< s t r

i n g


n a m e ”

a r r a y_

i n d

e x = ”

i ”

/ >

< / f o r >

< s t r

i n g

n a m e = ”

l o g

i n ”

/ >

< s t r

i n g

n a m e = ” p a s s w o r

d ”

/ >



< s t r

i n g

n a m e = ”

f u

l l

_ n a m e ”

/ >

7/22/2019 utm5_20070529


2












< s t r

i n g

n a m e = ”

j u r_

a d d r e s s ”

/ >

< s t r

i n g

n a m e = ” a c t_

a d d r e s s ”

/ >

< s t r

i n g

n a m e = ” w o r

k_

t e

l ”

/ >

< s t r

i n g

n a m e = ”

h o m e_

t e

l ”

/ >

< s t r

i n g

n a m e = ” m o

b_

t e

l ”

/ >

< s t r

i n g

n a m e = ” w e

b_

p a g e ”

/ >

< s t r

i n g

n a m e = ”

i c q_

n u m

b e r ”

/ >

< s t r

i n g

n a m e = ” t a x_

n u m

b e r ”

/ >

< s t r

i n g

n a m e = ”

k p p_

n u m

b e r ”

/ >



< s t r

i n g

n a m e = ”

b a n

k_

a c c o u n t ”

/ >

< s t r

i n g

n a m e = ” c o m m e n t s ”

/ >

< s t r

i n g

n a m e = ” p e r s o n a

l_

m a n a g e r ”

/ >

7/22/2019 utm5_20070529


2

U T M


< s t r

i n g

n a m e = ” e m a

i l ”

/ >







< s t r

i n g

n a m e = ”

f l a t_

n u m

b e r ”

/ >

< s t r

i n g

n a m e = ” e n t r a n c e ”

/ >

< s t r

i n g

n a m e = ”

f l o o r ”

/ >

< s t r

i n g

n a m e = ”

d i s t r

i c t ”

/ >

< s t r

i n g

n a m e = ”

b u

i l d i n g ”

/ >

< s t r

i n g

n a m e = ” p a s s p o r t ”

/ >



< f o r

n a m e = ”

i ”

f r o m = ”

0 ”

c o u n t = ” p a r a m e t

e r s_

s i z e ” >



< s t r

i n g

n a m e = ” p a r a m e t e r_

v a

l u e ”

/ >

< / f o r >

< /

o u t p u t >

< /

f u n c t

i o n >

< f

u n c t

i o n

n a m e = ” r p c

f_

l i n

k_

u s e r_

t a r

i f f ”

i d

= ”

0 x

3 0 1 8 ” >

7/22/2019 utm5_20070529


2
















< o

u t p u t >





< e r r o r

c o

d e = ”

1 3 ”

c o m m e n t = ” u n a

b l e

t o

l i n

k

u s e r

t a r

i f f

” / >



< /

o u t p u t >

< /

f u n c t

i o n >

< f

u n c t

i o n

n a m e = ” r p c

f_

g e t_

t a r

i f f ”

i d = ”

0 x

3 0

1 1 ” >







< o

u t p u t >

7/22/2019 utm5_20070529


2

U T M


< s t r

i n g

n a m e = ” t a r

i f f

_ n a m e ”

/ >





< s t r

i n g

n a m e = ” w

h o_

c r e a t e_

l o g

i n ”

/ >





< s t r

i n g

n a m e = ” w

h o_

c h a n g e_

l o g

i n ”

/ >









< f o r

n a m e = ”

i ”

f r o m = ”

0 ”

c o u n t = ” s e r v

i c e

s_

c o u n t ” >





< s t r

i n g


i c e_

n a m e_

a r r a y ”

a r r

a y_

i n

d e x = ”

i ”

/ >

< s t r

i n g

n a m e = ” c o m m e n t_

a r r a y ”

a r r a y_

i n

d e x = ”

i ”

/ >





< / f o r >

7/22/2019 utm5_20070529


2


< /

o u t p u t >

< /

f u n c t

i o n >

< f

u n c t

i o n

n a m e = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ”

i d = ”

0 x

2 5 5 1 ” >











< s t r

i n g

n a m e = ” r e t u r n_

t y p e ”

d e

f a u

l t = ” ”

/ >

7/22/2019 utm5_20070529


2

U T M




























< f o r

n a m e = ”

i ”

f r o m = ”

0 ”

c o u n t = ” s

i z e

( i p

_ a

d d r e s s

) ” >





< s t r

i n g

n a m e = ” m a c ”

a r r a y_

i n

d e x = ” i

”

d e

f a u

l t = ” ”

/ >

< s t r

i n g

n a m e = ”

i p t r a

f f i c_

l o g

i n ”

a r

r a y_

i n

d e x = ”

i ”

d e

f a u

l t = ” ”

/ >

< s t r

i n g

n a m e = ”

i p t r a

f f i c_

a l l o w e

d_ c

i d ”

a r r a y_

i n

d e x = ”

i ”

d e

f a u

l t = ” ”

/ >

7/22/2019 utm5_20070529


20


< s t r

i n g

n a m e = ”

i p t r a

f f i c_

p a s s w o r

d ”

a r r a y_

i n

d e x = ”

i ”

d e

f a u

l t = ” ”

/ >







< / f o r >



< f o r

n a m e = ”

i ”

f r o m = ”

0 ”

c o u n t = ” s

i z e

( q u

o t a

) ” >



< l o n g

n a m e = ” q u o t a ”

a r r a y_

i n

d e x = ” i

” / >

< / f o r >















< s t r

i n g

n a m e = ”

d i a

l u p_

l o g

i n ”

/ >

< s t r

i n g

n a m e = ”

d i a

l u p_

p a s s w o r

d ”

d e

f a u l

t = ” ”

/ >

7/22/2019 utm5_20070529


21

U T M


< s t r

i n g

n a m e = ”

d i a

l u p_

a l l o w e

d_

c i d ”

d e f

a u

l t = ” ”

/ >

< s t r

i n g

n a m e = ”

d i a

l u p_

a l l o w e

d_

c s

i d ”

d e

f a u

l t = ” ”

/ >











< o

u t p u t >







< e r r o r

c o

d e = ”

1 2 ”


b l e

t o

a d d

s e r v

i c e

t o

u

s e r ”

/ >



< e r r o r

c o m m e n t = ” t e s t ”

/ >





< s t r

i n g


m s g ”

/ >



< e r r o r

c o

d e = ”

1 2 ”


b l e

t o

a d d

s e r v

i c e

t o

u

s e r ”

v a r

i a


m s g ”

/ >

7/22/2019 utm5_20070529


22






< /

o u t p u t >

< /

f u n c t

i o n >

Л и с т и н

г 2 . U R F A - с к р и п т

< ? x m

l

v e r s

i o n = ”

1 .

0 ” ? >



< c

a l l

f u n c t

i o n = ” r p c

f_

g e t_

u s e r

i n

f o ” >



]

< /

c a

l l >

< c

a l l

f u n c t

i o n = ” r p c

f_

l i n

k_

u s e r_

t a r

i f f ” >









< /

c a

l l >

< s

e t

s r c = ” t a r

i f f

_ c u r r e n t ”

d s t = ” t a r

i f f

_ i d ”

/ >

< c

a l l

f u n c t

i o n = ” r p c

f_

g e t_

t a r

i f f ”

/ >

7/22/2019 utm5_20070529


2

U T M


< f

o r

n a m e = ”

j ”

f r o m = ”

0 ”

c o u n t = ” s

i z e

( s e r v

i c

e_

i d

_ a r r a y

) ” >

< s e t

s r c = ”

l i n

k_

b y_

d e

f a u

l t_

a r r a y ”

s r c_

i n

d e x = ”

j ”

d s t = ”

l i n

k

_ b y_

d e

f a u

l t ”

/ >



< s e t

s r c = ” s e r v

i c e_

i d

_ a r r a y ”

s r c_

i n

d e x

= ”

j ”

d s t = ” s e r v

i c e_

i

d ”

/ >

< s e t

s r c = ” s e r v

i c e_

t y p e_

a r r a y ”

s r c_

i n d

e x = ”

j ”

d s t = ” s e r v

i c e

_ t y p e ”

/ >

< s e t

d s t = ” r e t u r n_

t y p e ”

v a

l u e = ” ”

/ >



< c a

l l

f u n c t

i o n = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ” >



< / c a

l l >





< c a

l l

f u n c t

i o n = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ” >

7/22/2019 utm5_20070529


2


< / c a

l l >





< c a

l l

f u n c t

i o n = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ” >

7/22/2019 utm5_20070529


2

U T M






< / c a

l l >





< c a

l l

f u n c t

i o n = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ” >























< / c a

l l >

7/22/2019 utm5_20070529


2




< /

f o r >



Л и с т и н

г 3 . Р е з у л ь т а т р а б о т ы у

т и л и т ы

< ? x m

l

v e r s

i o n = ”

1 .

0 ” ? >



< s e s

s i o n

k e y = ”

0 c

2 8 2 4 4 6 9 2 6 3 5 7 f c a

5 8 d 1 a

2 8 2 0 1 7 b

a a c ”

/ >

< c a l

l

f u n c t

i o n = ” r p c

f_

g e t_

u s e r

i n

f o ” >

< o

u t p u t >





< a r r a y

n a m e = ”

i ” >





< s t r

i n g


n a m e ”

v a

l u e = ”

a u t o

c r e a t e

a c c o u n t

” / >



< / a r r a y >

< s t r

i n g

n a m e = ”

l o g

i n ”

v a

l u e = ”

5 ”

/ >

7/22/2019 utm5_20070529


2

U T M


< s t r

i n g

n a m e = ” p a s s w o r

d ”

v a

l u e = ”

1 a

2 4 6 6 ” /

>



< s t r

i n g

n a m e = ”

f u

l l

_ n a m e ”

v a

l u e = ” ”

/ >











< s t r

i n g

n a m e = ”

j u r_

a d d r e s s ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” a c t_

a d d r e s s ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” w o r

k_

t e

l ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ”

h o m e_

t e

l ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” m o

b_

t e

l ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” w e

b_

p a g e ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ”

i c q_

n u m

b e r ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” t a x_

n u m

b e r ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ”

k p p_

n u m

b e r ”

v a

l u e = ” ”

/ >



< s t r

i n g

n a m e = ”

b a n

k_

a c c o u n t ”

v a

l u e = ” ”

/ >

7/22/2019 utm5_20070529


2


< s t r

i n g

n a m e = ” c o m m e n t s ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” p e r s o n a

l_

m a n a g e r ”

v a

l u e = ”

” / >



< s t r

i n g

n a m e = ” e m a

i l ”

v a

l u e = ” ”

/ >







< s t r

i n g

n a m e = ”

f l a t_

n u m

b e r ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” e n t r a n c e ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ”

f l o o r ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ”

d i s t r

i c t ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ”

b u

i l d i n g ”

v a

l u e = ” ”

/ >

< s t r

i n g

n a m e = ” p a s s p o r t ”

v a

l u e = ” ”

/ >



< a r r a y

n a m e = ”

i ”

/ >

< /

o u t p u t >

< / c a

l l >

< c a l

l

f u n c t

i o n = ” r p c

f_

l i n

k_

u s e r_

t a r

i f f ” >

< o

u t p u t >

7/22/2019 utm5_20070529


2

U T M




< /

o u t p u t >

< / c a

l l >

< c a l

l

f u n c t

i o n = ” r p c

f_

g e t_

t a r

i f f ” >

< o

u t p u t >

< s t r

i n g

n a m e = ” t a r

i f f

_ n a m e ”

v a

l u e = ” t e s t ”

/ >





< s t r

i n g

n a m e = ” w

h o_

c r e a t e_

l o g

i n ”

v a

l u e = ”

i n

i t ”

/ >





< s t r

i n g

n a m e = ” w

h o_

c h a n g e_

l o g

i n ”

v a

l u e = ”

i n

i t ”

/ >









< a r r a y

n a m e = ”

i ” >

7/22/2019 utm5_20070529


20




< s t r

i n g


i c e_

n a m e_

a r r a y ” v

a l u e = ”

2 ”

/ >

< s t r

i n g


a r r a y ”

v a

l u e =

” ”

/ >













< s t r

i n g


i c e_

n a m e_

a r r a y ” v

a l u e = ”

3 ”

/ >

< s t r

i n g


a r r a y ”

v a

l u e =

” ”

/ >







< / a r r a y >

< /

o u t p u t >

< / c a

l l >

< c a l

l

f u n c t

i o n = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ” >

< o

u t p u t >

7/22/2019 utm5_20070529


21

U T M


< s t r

i n g


m s g ”

v a

l u e = ” ”

/ >

< /

o u t p u t >

< / c a

l l >

< c a l

l

f u n c t

i o n = ” r p c

f_

a d d

_ s e r v

i c e_

t o_

u s e r ” >

< o

u t p u t >

< s t r

i n g


m s g ”

v a

l u e = ” ”

/ >

< /

o u t p u t >

< / c a

l l >

7/22/2019 utm5_20070529


22

И н т е р ф е й с

а д м и н и с т р а т о р а

7/22/2019 utm5_20070529


2

И н т е р ф е й с а д м

и н и с т р а т о р а

11. Интерфейс администратора


1. Запуск интерфейса администратора .................................. 2742. Отчёты .................................................................................... 275

2.1 Основной отчёт .............................................................. 2752.2 Отчёт по трафику ........................................................... 2752.3 Графический отчёт по трафику ................................... 2762.4 Детальный отчёт по трафику ....................................... 276

2.5 Отчёт по услугам ............................................................. 2772.6 Отчёты по модемным сессиям, VPN и телефонии ... 2772.7 Отчёт по платежам ......................................................... 2782.8 Отчёт по блокировкам................................................... 279

3. Справочники .......................................................................... 2803.1 Справочник IP-зон ......................................................... 2803.2 Справочник домов ......................................................... 2803.3 Справочник банков ........................................................ 280

4. Работа с предоплаченными картами ...................................281

7/22/2019 utm5_20070529


2



1. Запуск интерфейса администратора

Управление учётными записями и настройками биллинговой

системы производится с помощью центра управления UTM.UTM..Для функционирования программы на компьютере админис-тратора необходимо наличие операционной систему с подде-ржкой графической оболочки и установленной виртуальноймашины aa версии 2. aa версии 2.версии 2.

Для начала работы необходимо запустить центр управленияUTM (программа UTM_Amin.jar) и указать логин и пароль(программа UTM_Amin.jar) и указать логин и парольUTM_Amin.jar) и указать логин и пароль_Amin.jar) и указать логин и пароль Amin.jar) и указать логин и пароль.jar) и указать логин и пароль jar) и указать логин и пароль) и указать логин и парольсистемного пользователя

Помимо этого указываются IP-адрес сервера и порт для под-IP-адрес сервера и порт для под--адрес сервера и порт для под-ключения. Также можно указать опции шифрования. Настоя-тельно рекомендуется использовать шифрование. Если отме-чена галочка «Сохранить параметры», то выбранные парамет-ры (кроме пароля) сохраняются в конфигурационном файле

и автоматически подставляются в форму при следующем за-пуске программы.

На рабочей станции администратора необходимо установитьпакет Sun aa 2 (http://.sun.com/), а затем запуститьприложение UTM_Amin.jar. По умолчанию логин init и па-роль init. После входа в систему рекомендуется изменить па-роль для системных пользователей. После смены пароля насистемного пользователя eb, также укажите его в файле

/netup/utm5/web5.cfg.

7/22/2019 utm5_20070529


2



2. Отчёты

Система поддерживает все основные виды отчётов, необхо-

димых для ведения успешной операторской деятельности.Отчёты могут быть сформированы как по одному конкретно-му пользователю, так и по всем пользователям сразу. Можновыбрать любой промежуток времени, за который необходимосоздать отчёт. Сформированные отчёты можно записать вовнешний файл формата M.M..

2.1 Основной отчёт

Основной отчёт (оборотная ведомость) суммирует списанияс лицевых счетов пользователей за оказание различных услугза заданный промежуток времени.

В основной отчёт входят следующие данные:

• номер лицевого счёта;

• входящий остаток;• сумма списаний за разовые услуги;

• сумма списаний за периодические услуги;

• сумма списаний за услугу передачи IP-трафика;

• сумма списаний за услугу хотспот;

• сумма списаний за услугу коммутируемого доступа;

• сумма списаний за услугу телефонии;

• сумма налогов;

• общая сумма с учётом налогов;

• сумма осуществлённых платежей;

• исходящий остаток.

2.2 Отчёт по трафику

Отчёт по трафику суммирует объёмы переданного IP-трафи-IP-трафи--трафи-ка для каждого лицевого счёта и класса трафика за заданныйпромежуток времени.

7/22/2019 utm5_20070529


2



В отчёт по трафику входят следующие данные:• номер лицевого счёта;

• логин;

• количество байт в килобайте;

• класс трафика;

• объём переданного трафика в мегабайтах;

• цена за единицу переданного трафика (стоимость 1 МБ тра-фика);

• сумма списания с лицевого счёта пользователя.

2.3 Графический отчёт по трафику

Графический отчёт по трафику служит для визуального пред-ставления предыдущего отчёта и представляет собой графикзависимости потребления различных классов трафика всемипользователями от времени за выбранный период. Так же вэтом отчете доступна информация по максимальной, мини-мальной и средней скорости потребления IP-трафика.IP-трафика.-трафика.

2.4 Детальный отчёт по трафику

Детальный отчёт по трафику строится на базе исходных дан-ных о переданном трафике и включает детализированную ин-формацию:

• дата;

• идентификатор прикреплённой услуги;• номер лицевого счёта;

• класс трафика;

• IP-адрес и порт источника;

• IP-адрес и порт получателя;

• количество переданных пакетов;

• количество переданных байт;

• флаги TP;

• протокол;

• TS.

7/22/2019 utm5_20070529


2



За большие промежутки времени накапливается огромноеколичество статистики, поэтому создание такого детализиро-ванного отчёта может занять длительное время. Для созданияотчёта за большой промежуток времени мы рекомендуем вос-

пользоваться опцией «Отчёт по трафику», либо выбрать дан-ные непосредственно из базы данных детальной статистики спомощью утилиты get_nf_irect.

2.5 Отчёт по услугам

Отчёт по услугам суммирует информацию о спи-саниях с лицевых счетов пользователей за оказа-

ние разовых и периодических услуг за определён-ный промежуток времени. В отчёте присутствуют:


• дата списания средств с лицевого счёта;

• расчётный период;

• тип услуги;

• название услуги;

• объём оказанной услуги;

• комментарий к списанию.

2.6 Отчёты по модемным сессиям, VPN

и телефонии

Отчёт по модемным сессиям и сессиям VPN базируется на ста- VPN базируется на ста-базируется на ста-

тистике сервера RADIUS и суммирует данные о сессиях ком-RADIUS и суммирует данные о сессиях ком-и суммирует данные о сессиях ком-мутируемого доступа. В отчёте присутствуют:

• идентификатор сессии;


• дата и время начала сессии;

• дата и время окончания сессии;

• выданный IP-адрес;

• вызывающий абонент;

• вызываемый абонент;

• порт сервера доступа (NAS);

7/22/2019 utm5_20070529


2



• идентификатор сессии на сервере доступа;

• логин;

• IP-адрес сервера доступа;

• статус сессии;

• объём входящего трафика;• объём исходящего трафика;

• длительность сессии;

• объём списанных средств.

Отчёт по телефонии аналогичен отчёту по модемным сесси-ям, но содержит дополнительную информацию:

• телефонная зона;

• направление звонка.

2.7 Отчёт по платежам

Отчёт по платежам представляет информацию о зачислен-ных на лицевые счета пользователей средствах за заданный

промежуток времени. В отчёте присутствует следующая ин-формация:


• фактическая дата платежа;

• дата введения платежа в систему;

• сумма платежа в валюте системы;

• сумма платежа в валюте оплаты;

• валюта оплаты;

• метод осуществления платежа;• лицо, внёсшее платеж;

• комментарий к платежу.

Так же в отчете по платежам имеется возможность отменить любой несгорающий платеж.

7/22/2019 utm5_20070529


2



2.8 Отчёт по блокировкам

Блокировка – это приостановка предоставления одной или

нескольких услуг.

Блокировки могут быть двух типов: администраторская блоки-ровка и системная. Администраторская блокировка произво-дится администратором. Системная блокировка производит-ся системой при выполнении определенного условия, напри-мер, появлении задолженности на лицевом счету клиента.

Отчёт по блокировкам суммирует информацию обо всех бло-

кировках осуществлённых за заданный период времени. В от-чёте собрана следующая информация:


• дата начала действия блокировки;

• срок блокировки;

• что заблокировано;

• тип блокировки;

• комментарий к блокировке.

7/22/2019 utm5_20070529


20



3. Справочники

3.1 Справочник IP-зон

Справочник «Список IP-зон» ведётся для удобства работыс большими многосегментными и распределёнными сетямии содержит информацию о различных сегментах сети: сеть,маску и шлюз. IP-зону могут составлять один или несколькосегментов.

3.2 Справочник домов

Справочник подключенных домов ведётся для удобства ра-боты с сетями, объединяющими несколько зданий. Запись одоме содержит его адрес и идентификатор IP-зоны.

3.3 Справочник банков Данные из справочника банков предназначены для удобствазаполнения форм. Например, при создании новых клиентовв системе, нет необходимости вводить данные банка клиен-та каждый раз. Достаточно один раз внести данные в списокбанков или импортировать списки из файла формата M.С идентификатором банка в системе связаны следующие дан-ные: БИК, название, адрес и корреспондентский счет банка.

7/22/2019 utm5_20070529


21



4. Работа с предоплаченными картами

Добавить, просмотреть или экспортировать информациюо предоплаченных картах можно в разделе «Карточки». Для

удобства работы карточки объединяются в группы (пулы).

Вновь созданные карты добавляются в пул: новый или ужесуществующий. Чтобы добавить карточки в существующийпулл, в окне «Добавление карты» нужно указать его номер.Если не существует пула с указанным номером, то такой пулавтоматически создаётся, и в него добавляются карты.

Для создания пула карт или добавления новой партии картв уже существующий пул в меню добавления карт кроме но-мера пула нужно указать количество генерируемых карт, но-минал карт, валюту, длину пин-кода и срок действия карт. Ин-формацию о созданных картах нельзя изменить или удалить.Пулы также не могут быть удалены.

Различаются два типа предоплаченных карт: карты с фикси-рованной датой истечения срока действия и карты с плаваю-щей датой истечения срока действия.

Карты первого типа используются для регистрации пользо-вателей в системе, которые смогут воспользоваться услугамипровайдера до даты, указанной на карте. Для создания картэтого типа достаточно выставить значение поля «Использо-

вать до» позднее текущей даты.

7/22/2019 utm5_20070529


22



Карты второго типа используются для регистрации пользо-вателей в системе, которые смогут воспользоваться услугамипровайдера определённое количество дней, начиная с момен-та активации карты. После активации карты такого типа её

дата истечения срока действия устанавливается в значениедаты активации плюс заданное количество дней. Для созда-ния карт этого типа необходимо при выставлении значенияполя «Использовать до» отметить в календаре галочку «Infinity Infinity ate» и выставить значение поля «Дни» в величину большую» и выставить значение поля «Дни» в величину большуюнуля, эта величина регламентирует количество дней в течениикоторых пользователь сможет воспользоваться услугами. Еслигалочка «Infinity ate» снята, то система игнорирует значениеInfinity ate» снята, то система игнорирует значениеate» снята, то система игнорирует значениеate» снята, то система игнорирует значение» снята, то система игнорирует значениеполя «Дни» и генерирует карты первого типа (с фиксирован-

ной датой истечения срока действия).

При достижении даты, когда срока действия карты истекает,система обнуляет баланс пользователя. Таким образом, пользо-ватели не смогут более воспользоваться услугами провайдера.

В списке существующих карт присутствует информация о номе-ре карты, её пин-коде (пароле), сроке действия, валюте и дате

активации (если карта уже активирована).

Информацию о предоплаченных картах можно экспортиро-вать в файл формата M.M..

При создании карт имеется возможность указать (привязатьк карте) тарифный план, услуги которого будут привязанык основному лицевому счету пользователя при автоматичес-кой активации карты. Для активации карты пользователю

необходимо зайти на страницу автоматической регистрациии ввести корректные данные с карты.

7/22/2019 utm5_20070529


2



Если данные введены верно, то в системе будет создан поль-зователь с логином car_NUM, где вместо NUM будет указанcar_NUM, где вместо NUM будет указан_NUM, где вместо NUM будет указанNUM, где вместо NUM будет указан, где вместо NUM будет указанNUM будет указанбудет указанномер карты, и паролем, равным пин-коду карты. Баланспользователя будет равен балансу активированной карты, ипри этом карта будет помечена, как активированная. Еслик активируемой карте привязан тарифный план, тогда к ос-новному лицевому счету пользователя подключаться услугииз этого тарифного плана со значениями логина и паролятакими же вновь созданный пользователь.

7/22/2019 utm5_20070529


2


к а с с и р а

7/22/2019 utm5_20070529


2

И н т е р

ф е й с к а с с и р а

12. Интерфейс кассира


1. Введение ...................................................................... 2862. Установка ......................................................................2873. Активация сертификата ........................................... 2884. Регистрация кассира в UTM5................................... 2905. Запуск и работа........................................................... 292

7/22/2019 utm5_20070529


2



1. Введение

Интерфейс кассира представляет собой aa-приложение,

построенное на платформе Unite ontrol enter (U).Платформа U позволяет разрабатывать графические ин-терфейсы управления, утилиты импорта/экспорта для раз-

личных информационных систем. С помощью платформыU возможно в быстрые сроки создавать гибкие решениянеобходимой функциональности и под специфические зада-чи клиента и его корпоративный стиль.

Интерфейс устанавливается на рабочую станцию кассира

и позволяет:

• вносить денежные средства на счета абонентов• просматривать отчеты по платежам, сделанные даннымкассиром.

Существует две версии интерфейса кассира, отличающиесяспособами фильтрации:

в базовой версии отображаются логины только пятипервых абонентов, соответствующих заданному шаб-

лону фильтрации. В базовой версии фильтрацию воз-можно осуществлять только по логину пользователя

в расширенной версии интерфейса кассира (в личном ка-бинете обозначается суффиксом et) в списке абонентов

отображаются все абоненты, соответствующие заданному шаблону фильтрации (если шаблон пуст — отображаютсявсе абоненты). В расширенной версии фильтрацию мож-но осуществлять по всем видимым полям.

•

•

7/22/2019 utm5_20070529


2

И н т е р


2. Установка

Интерфейс кассира доступен для загрузки в личном кабинете

клиента на сайте http://.netup.ru в разделе Интерфейскассира. Выбранный интерфейс кассира необходимо сохра-нить на компьютере, с которого ожидается проведение плате-жей, распаковать cashier.zip или cashier_ext.zip и помес-тить файл ccse.keystore, загруженный из колонки Keystore,в ту же директорию, что и файл control.center.se.jar.Для запуска интерфейса кассира необходимо установить aaRuntime Enironment версии 5.0 (RE 1.5.0.). Дистрибутив до-ступен для загрузки на сайте производителя http://jaa.sun.com

в разделе onloas или на сайте http://.netup.ru в разде- ле демонстрационные версии.

7/22/2019 utm5_20070529


2



3. Активация сертификата

Для регистрации интерфейса кассира в биллинговой системе

необходимо обладать правами на запись в директорию серве-ра с установленным UTM и выполнить следующие шаги:

Сохранить файлы приватного ключа priey.pem и серти-фиката cert.crt, загруженные в личном кабинете, в дирек-торию сервера /netup/utm5/:

# cp privkey.pem cert.crt /netup/utm5/

Изменить конфигурационный файл /netup/utm5/utm5.cfg , установив параметры:

ssl_cert_file=/netup/utm5/cert.crt

ssl_privkey_file=/netup/utm5/privkey.pem

ssl_privkey_passphrase=<password>

где <passor> пароль для приватного ключа, введенныйВами в личном кабинете при запросе данного сертификата.

Перезапустить ядро UTM командами:

Для inu:

# /etc/rc.d/init.d/utm5_core stop

# /etc/rc.d/init.d/utm5_core start

Для Free�SD и Sun Solaris:

# /usr/local/etc/rc.d/utm5_core.sh stop

# /usr/local/etc/rc.d/utm5_core.sh start

Для выполнения этой операции Вам потребуются привилегиипользователя, от имени которого запущено ядро UTM 5, либоправа администратора системы.

1.

2.

3.

4.

7/22/2019 utm5_20070529


2

И н т е р


В лог-файле запуска ядра /netup/utm5/log/ebug.log должнаотразиться загрузка сертификатов:

Info : Dec 07 16:33:55 RPCCtx: Loading corecertificate </netup/utm5/crt/cert.crt> private

key </netup/utm5/crt/privkey.pem>

Info : Dec 07 16:33:55 RPCCtx: Certificate

loaded successfully

7/22/2019 utm5_20070529


20



4. Регистрация кассира в UTM5

Для внесения платежей в биллинговой системе рекомендует-

ся создать системную группу cashier, в которую должны вхо-дить кассиры. Группа cashier должна обладать правами, уста-новленными администратором биллинговой системы с помо-щью интерфейса администратора, на выполнение функцийперечисленных в таблице.

Минимальный перечень функции, выполнение которых

необходимо кассиру для внесения платежей

FID Название

функцииОписание

1202 rpcf_search_users_lite

Поиск пользователя почасти логина и отобра-жение пяти результатовпоиска

2001* rpcf_get_users_list

Выводит атрибуты для

требуемого количествазаписей таблицы пользо-вателей

2011* rpcf_get_users_countВыводит количествокарточных или обыкно-венных пользователей

2030 rpcf_get_accountinfoПолучение информациио личном счете пользо-вателя

2033 rpcf_get_user_account_listПолучение списка иден-тификаторов пользова-телей

2910 rpcf_get_currency_list Список доступных валют

3008 rpcf_payments_report_onerГенерация отчета по пла-тежам текущего кассира

3100 rpcf_get_payment_methos_listПолучение спискаметодов платежа

7/22/2019 utm5_20070529


21

И н т е р


3110 rpcf_a_payment_for_account Внесение платежа

440A rpcf_hoamiПолучение информациио текущем кассире (сис-

темном пользователе)

* - необходима только для работы расширенной версии интер-фейса кассира

Кассиру следует разрешить внесение платежей из диапазонаIP адресов, в который должен входить IP адрес рабочей стан-ции кассира.

7/22/2019 utm5_20070529


22



5. Запуск и работа

Для начала работы с интерфейсом кассира, необходимо запус-

тить его двойным кликом по файлу control.center.se.jar, либо,

выполнив в директории с распакованным архивом в команд-ной оболочке команду:

java -jar control.center.se.jar

В появившемся окне необходимо ввести IP-адрес сервера

UTM5, логин и пароль кассира (указаны в свойствах систем-ного пользователя кассира).

Для внесения платежа в списке типичных задач необходимовыбрать элемент Абоненты. В появившейся вкладке в полеввода Фильтр следует внести логин или начальную часть ло-

гина абонента, вносящего платеж. Результаты вывода будут

зависеть от выбранной версии интерфейса (базовый или рас-

ширенный). На имени абонента следует кликнуть правой кла-вишей мыши (или совершить двойной клик) и в появившемся

меню выбрать Совершить платёж.

7/22/2019 utm5_20070529


2

И н т е р


Для регистрации нового платежа в появившейся вкладке с заго- ловком «Платёж: [Имя пользователя]» необходимо:

Ввести нужную сумму.

Выбрать лицевой счет, если пользователь имеет несколь-

ко лицевых счетов.

При необходимости изменить валюту. Валюта должнабыть зарегистрирована в системе.

Выбрать способ оплаты. Если деньги вносятся наличными,

в качестве способа оплаты следует выбрать ash payment.

Нажать K.

1.

2.

3.

4.

5.

7/22/2019 utm5_20070529


2



Для просмотра отчета по платежам в списке типичных задачнеобходимо выбрать элемент Платежи и с помощью фильтра

указать нужные сроки, нажать Создать. Будет выведена табли-ца с датами и суммами всех платежей, проведенных даннымкассиром за выбранный период.

7/22/2019 utm5_20070529


2

И н т е р


На панели состояния в нижней части окна производится ин-дикация состояния соединения и отображаются дата и время.Зеленый значок индикации соединения означает - соедине-ние установлено, красный - соединение отсутствует. Для уста-

новки нового соединения следует кликнуть левой или правойклавишей мыши на значке индикации или выбрать в главномменю Система пункт Открыть соединение...

7/22/2019 utm5_20070529


2

W e b - и н т е р ф

е й с

7/22/2019 utm5_20070529


2

W e b - и н т е р ф е й с

1. Web-интерфейс

Конфигурационный файл веб-

интерфейса пользователя

Конфигурационный файл для веб-интерфейса пользователяназывается /netup/utm5/web5.cfg. В данном файле записы-ваются параметры доступа веб-интерфейса к ядру биллинго-вой системы.

Список возможных параметров.

core_host

Адрес хоста, на котором запущено ядро биллинговой системы.Значение по умолчанию: 127.0.0.1.

web_login

Логин системного пользователя в биллинговой системе.Значение по умолчанию: web.

web_password

Пароль системного пользователя в биллинговой системе.Значение по умолчанию: web.

traffic_detail_report

Директива включает возможность отображения детальногоотчета по трафику в веб-интерфейсе пользователя. Прини-

мает значение: enable. Также для включения отображениядетального отчета по трафику в файле user_reports_traf-fic_menu.xml (расположен в директории с cgi-скриптамиUTM 5.0) необходимо раскомментировать стоку:

<item name=”user_reports_traffic_detail” mvalue=”M_

REPORTS_TRAFFIC_DETAIL” href=”user5?cmd=user_reports_

traffic_detail&skey=”/>

traffic_detail_report_size

Максимальное число выводимых записей детального отчетапо трафику.

7/22/2019 utm5_20070529


2

M о д у л ь h o t s p o t

7/22/2019 utm5_20070529


2

M

о д у л ь h o t s p o t

1. Модуль hotspot

Для организации услуги хотспот необходим сервер, на кото-

ром установлены операционная система Free�SD или inu ивеб-сервер Apache, настроен кэширующий сервер DNS и уста-DNS и уста-и уста-новлена биллинговая система NetUP UTM.NetUP UTM.UTM.

Необходимо добавить тарифный план, содержащий услугу hotspot. Идентификатор этого тарифного плана необходимо указать при добавлении карточек в систему.

После ввода пользователем номера и пин-кода карты в процес-

се активации карты страничка в браузере будет автоматичес-ки регулярно обновляться, давая тем самым серверу знак, чтопользователь все ещё пользуется услугой. В случае если в те-чение указанного в настройках промежутка времени не былообновления страницы (пользователь закрыл эту страничку или просто выключил компьютер), либо поступил сигнал за-крытия сессии (пользователь выбрал в меню пункт «Выход»),то доступ в интернет блокируется и производится списание

средств за время работы. Также блокирование доступа в ин-тернет наступает при окончании средств на карте.

7/22/2019 utm5_20070529


00

М о д у л ь I P - т е л е ф о н и и

7/22/2019 utm5_20070529


01


1. Модуль I�-телефонииI�-телефонии-телефонии

Модуль IP-телефонии включен в сервер UTM5 RADIUS иIP-телефонии включен в сервер UTM5 RADIUS и-телефонии включен в сервер UTM5 RADIUS и

предназначен для обработки запросов на авторизацию и учёт потребленных услуг от голосовых шлюзов, гейткиперов(gateeepers), голосовых прокси-серверов.gateeepers), голосовых прокси-серверов.), голосовых прокси-серверов.

Более подробное описание UTM5 RADIUS можно найти в раз-RADIUS можно найти в раз-можно найти в раз-деле UTM5 RADIUSRADIUS.

Термины

IP-телефония (IP telephony)

Общий термин, означающий передачу речи по сетям с ис-пользованием протокола IP. Так же для обозначения этой тех-IP. Так же для обозначения этой тех-. Так же для обозначения этой тех-нологии используются термины: Voice oer IP (VoIP), Internet Voice oer IP (VoIP), Internetoer IP (VoIP), Internetoer IP (VoIP), InternetIP (VoIP), InternetIP (VoIP), Internet(VoIP), Internet VoIP), Internet), InternetInternet

Telephony..

ТфОП (PSTN)

Сокращение от словосочетания «телефонная сеть общегопользования». В это понятие включены городские и нацио-нальные сети обычной телефонии. Также используется тер-мин PSTN — сокращение от «Public Sitche Telephony Net-PSTN — сокращение от «Public Sitche Telephony Net-— сокращение от «Public Sitche Telephony Net-Public Sitche Telephony Net-Sitche Telephony Net-Sitche Telephony Net-Telephony Net-Telephony Net-Net-Net-

or».».

АОН (Caller ID)

Номер вызывающего абонента. Также используется термин ANI — сокращение от «Automatic Number Ientification». Час-— сокращение от «Automatic Number Ientification». Час- Automatic Number Ientification». Час-Number Ientification». Час-Number Ientification». Час-Ientification». Час-Ientification». Час-». Час-то услуга определения номера вызывающего абонента назы-вается АОН.

7/22/2019 utm5_20070529


02


Шлюз IP-телефонии (VoIP gateway)

Устройство, имеющее порт для подключения к сети на базе

протокола IP, а также по необходимости порты для подключе-IP, а также по необходимости порты для подключе-, а также по необходимости порты для подключе-ния к ТфОП. Обычно данное устройство служит для стыковкиТфОП и IP-сети.IP-сети.-сети.

Примером устройства данного типа может служить маршру-тизатор isco 3620 с модулем NM-2V + VI2F.isco 3620 с модулем NM-2V + VI2F.3620 с модулем NM-2V + VI2F.NM-2V + VI2F.-2V + VI2F. V + VI2F.+ VI2F. VI2F.2F.F..

При таком подключении шлюз организует преобразованиеголосового трафика из сети на базе протокола IP в ТфОП. Та-IP в ТфОП. Та-в ТфОП. Та-ким образом, пользователь с IP-телефоном либо компью-IP-телефоном либо компью--телефоном либо компью-тером с установленным программным телефоном (MicrosoftMicrosoftNetMeeting, penPhone и др.) может вызывать абонента го-, penPhone и др.) может вызывать абонента го-penPhone и др.) может вызывать абонента го-и др.) может вызывать абонента го-родской телефонной сети (ТфОП).

Аналогично и в обратную сторону: абонент городской теле-

фонной сети (ТфОП) может вызывать абонента в сети с про-токолом IP. Для этого необходимо набрать номер шлюза вIP. Для этого необходимо набрать номер шлюза в. Для этого необходимо набрать номер шлюза всети ТфОП (на схеме это 9391000) и затем после авторизации(если этот механизм включен на шлюзе) набрать внутреннийномер абонента в сети с протоколом IP (на схеме это номераIP (на схеме это номера(на схеме это номера100 и 200).

H.323

Стандарт, предложенный Международным союзом электро-связи (ITU-T), описывающий построение сетей IP-телефонии.ITU-T), описывающий построение сетей IP-телефонии.-T), описывающий построение сетей IP-телефонии.T), описывающий построение сетей IP-телефонии.), описывающий построение сетей IP-телефонии.IP-телефонии.-телефонии.

7/22/2019 utm5_20070529


0


Стандарт описывает протоколы, связанные с регистрациейоборудования IP-телефонии (RAS — Registration, AmissionIP-телефонии (RAS — Registration, Amission-телефонии (RAS — Registration, AmissionRAS — Registration, Amission— Registration, AmissionRegistration, Amission, Amission Amissionan Status), установления соединения (H.225.0, H.245), пере-Status), установления соединения (H.225.0, H.245), пере-Status), установления соединения (H.225.0, H.245), пере-), установления соединения (H.225.0, H.245), пере-H.225.0, H.245), пере-.225.0, H.245), пере-H.245), пере-.245), пере-дачи речи, авторизации пользователей и др.

H.323 привратник (H.323 гейткипер, H.323 gatekeeper)

Привратник отвечает за регистрацию оконечного оборудова-ния (шлюзов, клиентских устройств), контроль прав доступа,номерной план. Практически все привратники имеют воз-можность проводить авторизацию и передачу статистики посостоявшимся звонкам по протоколу RADIUS.RADIUS..

В такой схеме все устройства сети должны зарегистрировать-ся на привратнике. При этом авторизация может проводить-ся по протоколу RADIUS с использованием стандартной схе-

мы Access-Request.

7/22/2019 utm5_20070529


0


В итоге у привратника находится таблица IP-адресов и номе-ров всех устройств в сети. Соответственно, все вызовы на-

чинаются с обращения к привратнику для преобразования

набранного номера в IP-адрес. При этом привратник может

запросить у сервера RADIUS авторизацию данного звонкаи передать заполненные атрибуты Called-Station-Id (на-

бранный номер) и Calling-Station-Id (номер вызываю-

щего абонента). При этом сервер RADIUS проверяет баланс

пользователя, тарифный план на вызываемое направление, иесли все вычисления прошли успешно, то передает пакет Ac-

cess-Accept, в котором может указать максимальное время

соединения для данного пользователя по данному направле-

нию. Обычно эта информацию указывается в атрибутеh323-

credit-time, vendor 9 (isco).

В случае, если авторизация прошла успешно, после согласова-

ния всех параметров устанавливается соединение между вы-

зываемым и вызывающим терминалами. При этом приврат-ник передает на сервер RADIUS пакет о начале соединения

(Accounting-Start), в котором указывает параметры установ-

ленного соединения.

В случае, если терминалы находятся в одной сети, то обще-ние между ними производится напрямую. Если вызываемый

терминал находится в другой сети, то общение между терми-

налами производится через один из шлюзов. Также возможен

вариант, когда общение клиента производится только с при-

вратником. В этом случае привратник выполняет функциипрокси, и реальные IP-адреса терминалов скрываются. ТакаяIP-адреса терминалов скрываются. Такая-адреса терминалов скрываются. Такая

схема работы применяется, если канал напрямую между тер-

миналами по качеству хуже (например, большие потери IP-IP--

пакетов либо задержки) чем между привратником и каждымтерминалом.

По окончании соединения привратник пересылает на сер-

вер RADIUS пакет с информацией о завершившемся звонке.RADIUS пакет с информацией о завершившемся звонке.пакет с информацией о завершившемся звонке.

В пакете указываются время соединения, причина заверше-

ния соединения и другие параметры. По этим данным сервер

7/22/2019 utm5_20070529


0


RADIUS проводит тарификацию сессии, списание средствпроводит тарификацию сессии, списание средстви запись в журнал событий.

Кодеки

Алгоритмы сжатия звука на передающей стороне и декодиро-вания на принимающей стороне. В основном это используетсядля минимизации трафика, поэтому кодеки в основном харак-теризуются полосой пропускания необходимой для передачиречи с использованием этого кодека. При передаче голоса безсжатия потребуется полоса пропускания в 64 Кбит/сек.

Кодеки с высокой степенью сжатия требуют больших вычис- лительных ресурсов, поэтому для кодирования большого ко- личества голосовых потоков используются специальные мик-росхемы, так называемые DSP-процессоры.DSP-процессоры.-процессоры.

Название кодека Поток, Кбит/сек Качество

.711 64 Высокое

.723.1 5.3 – 6.4 Среднее

.729 8 Среднее

IVR

Сокращение от «Interactie Voice Response». ПредставляетInteractie Voice Response». Представляет Voice Response». Представляет Voice Response». ПредставляетResponse». ПредставляетResponse». Представляет». Представляет

собой технологию голосовых меню и часто используется дляавторизации пользователей ТфОП для звонков по IP-телефо-IP-телефо--телефо-нии. При этом используется следующая последовательностьшагов.

1. Абонент ТфОП набирает городской номер доступа опера-тора IP-телефонии. При этом трубку поднимает шлюз IP-те-IP-телефонии. При этом трубку поднимает шлюз IP-те--телефонии. При этом трубку поднимает шлюз IP-те-IP-те--те-

лефонии (например, isco 3640 с платой E1), подключенныйisco 3640 с платой E1), подключенный3640 с платой E1), подключенныйE1), подключенный1), подключенныйк этой линии.

2. Шлюз загружает звуковой файл (обычно расширение у фай- лов .au) с записанным приглашением и проигрывает его або-au) с записанным приглашением и проигрывает его або-) с записанным приглашением и проигрывает его або-

7/22/2019 utm5_20070529


0


ненту. При этом обычно предлагается ввести номер и пин-кодпредоплаченной телефонной карты.

3. После ввода определённого количества цифр производится

авторизация с введенными данными на сервере RADIUS. Приэтом номер карты обычно записывается в атрибут 1 (User-Name), а пин-код – в атрибут 2 (Password).

4. В случае успешной авторизации сервер RADIUS присыла-ет пакет Access-Accept, в котором указывает количество ос-тавшихся средств на счету. Для этого используются атрибутыh323-credit-amount и h323-currency с vendor=9 (isco).Шлюз IP-телефонии загружает соответствующие голосовые

файлы и проигрывает абоненту остаток средств на счету и предлагает ввести номер, по которому необходимо выпол-нить вызов. Следует заметить, что в основном IP-телефониявыгодна для звонков на большие расстояния (междугородниеи международные звонки).

5. После ввода номера производится повторная авторизацияна сервере RADIUS, при этом дополнительно передается ат-

рибутCalled-Station-Id

, в котором записывается набран-ный номер. В зависимости от остатка средств на счету и сто-имости минуты соединения по этому направлению серверRADIUS вычисляет максимальное время сессии и передаетвычисленное время в пакете Access-Accept в атрибуте h323-

credit-time.

6. После получения положительного ответа от сервера RA-RA-DIUS шлюз IP-телефонии устанавливает соединение с вызы-шлюз IP-телефонии устанавливает соединение с вызы-IP-телефонии устанавливает соединение с вызы--телефонии устанавливает соединение с вызы-

ваемым абонентом. Соединение будет разорвано, если дли-тельность сессии составит количество секунд, вычисленноена предыдущем шаге.

7. При установлении соединения на сервер RADIUS отсыла-ется пакет Accounting-Start, при разрыве — пакет Account-

ing-Stop.

7/22/2019 utm5_20070529


0


7/22/2019 utm5_20070529


0

А в т о м а т и ч е с

к а я р е г и с т р а ц и я п о л ь з о в а т е л е й

7/22/2019 utm5_20070529


0

Авт ом а т и

ч е с к а я р е г и с т р а цияп о ль з ов а т е л е й

1. Автоматическая

регистрация пользователей

В UTM предусмотрены два варианта активации предопла-UTM предусмотрены два варианта активации предопла-предусмотрены два варианта активации предопла-ченных интернет-карт для получения услуги коммутируемогодоступа: через гостевой доступ и через обычный доступ с ав-томатической регистрацией пользователя. В первом случаепользователь, соединяясь впервые, использует известныйему гостевой логин и пароль и регистрируется в системе. Пос-

ле регистрации он заходит в систему, используя свои собс-твенные параметры доступа. Во втором случае пользователь

вводит номер и пин-код своей карточки в качестве логина ипароля для коммутируемого соединения, его регистрацияпроизводится автоматически, и пользователь сразу же полу-чает доступ в интернет.

Для реализации автоматической регистрации пользователейэтими двумя способами необходимо создать тарифный план иподключить к нему услугу коммутируемого доступа с соответс-

твующей стоимостью соединений по коммутируемым линиям.

После создания тарифного плана необходимо сгенерироватьпул предоплаченных интернет-карт и привязать их к создан-ному тарифному плану.

7/22/2019 utm5_20070529


10



Гостевой доступ

В случае реализации гостевого доступа необходимо создать

пользователя, логин и пароль которого будут известны всемперед регистрацией. Например, логин guest и пароль guest.guest и пароль guest.и пароль guest.guest..

Гость должен быть настроен таким образом, чтобы иметь воз-можность только получать доступ с сайту для активации ин-тернет-карт. Время соединения также может быть ограниче-но, например, 600 секундами.

Необходимо создать услугу «Коммутируемый доступ» со сле-дующими параметрами: пул – UEST, максимальный таймаутUEST, максимальный таймаут, максимальный таймаутсоединения – 600 сек., стоимость соединения – 0 у. е. в час.

7/22/2019 utm5_20070529


11



При этом на маршрутизаторе, либо в UTM, необходимо со-UTM, необходимо со-, необходимо со-здать пул IP-адресов с именем UEST и адресами из опре-IP-адресов с именем UEST и адресами из опре--адресов с именем UEST и адресами из опре-UEST и адресами из опре-и адресами из опре-делённого диапазона, например, 172.16.0.0/16. Маршрутиза-тор необходимо настроить таким образом, чтобы клиенты из

этого диапазона адресов могли получать доступ только к веб-серверу, на котором производится активация карт, и серверу DNS. В целях безопасности рекомендуется организовать. В целях безопасности рекомендуется организоватьотдельный сервер DNS, который не связан с Internet, и со-DNS, который не связан с Internet, и со-, который не связан с Internet, и со-держит только записи, необходимые клиенту для доступа квеб-серверу регистрации.

При входе на веб-сервер регистрации интернет-карт абонентвыбирает пункт меню «Авторегистрация пользователя» и вво-

дит данные, указанные на интернет-карте. Если все данныевведены корректно, и карта не была активирована прежде

либо заблокирована, то в UTM автоматически будет созданUTM автоматически будет созданавтоматически будет созданновый карточный пользователь, и абонент получит информа-цию о логине и пароле для подключения по коммутируемым

линиям. Выбирая пункт меню «Вход в UTM» на странице ре-UTM» на странице ре-» на странице ре-гистрации и указав логин и пароль, выданные системой послерегистрации, абонент может получить доступ к своему лич-

ному кабинету, где для него доступна статистика его лицевогосчёта.

Доступ с автоматической р егист рацией

Для реализации моментального доступа по интернет-картамтребуется дополнительная настройка сервера RADIUS. В кон-

фигурационном файле сервера RADIUS/netup/utm5/radius5.cfg необходимо указать опцию

radius_card_autoadd�es_card_autoadd�escard_autoadd�es_autoadd�esautoadd�es�eses

После перезапуска сервер RADIUS будет автоматически регис-RADIUS будет автоматически регис-будет автоматически регис-трировать пользователя в UTM при первой попытке доступаUTM при первой попытке доступапри первой попытке доступапо предоплаченной карте.

Для получения доступа, абонент должен указать номер интер-нет-карты в качестве логина и её пин-код в качестве пароля.Если пользователь подключается по этой карте впервые, то

7/22/2019 utm5_20070529


12



сервер RADIUS произведёт автоматическую регистрацию,RADIUS произведёт автоматическую регистрацию,произведёт автоматическую регистрацию,и абонент моментально получит доступ в интернет. Каждыйраз при подключении пользователь указывает номер карты,как логин, и пин-код – как пароль. После того, как баланс кар-

ты истечёт, пользователь должен активировать новую карту.

Следует отметить, что подобная автоматическая регистрациявозможна только в случае использования авторизации по про-токолу PAP. Этот способ по умолчанию используется WinosPAP. Этот способ по умолчанию используется Winos. Этот способ по умолчанию используется Winos Winosдля авторизации при подключении с помощью модемногодоступа, поэтому в большинстве случаев дополнительных на-строек не требуется. Однако следует иметь в виду, что иногданеобходимо менять конфигурацию клиентов, прежде чем они

смогут автоматически зарегистрировать таким образом.

При правильно настроенном доступе с автоматической регис-трации пользователя при первом входе в журнале сервера RA-RA-DIUS должны появиться следующие записи:должны появиться следующие записи:

?Debug : Oct 27 12:08:00 RADIUS Auth: Packet from

<example.org>

?Debug : Oct 27 12:08:00 RADIUS Auth: User <5> con-

necting

ERROR : Oct 27 12:08:00 RADIUS DBA: Can’t find login

<5>

ERROR : Oct 27 12:08:00 RADIUS DBA: Can’t find card

login <000000005>

?Debug : Oct 27 12:08:00 RADIUS Auth: Attempt to add

new Card user: <5>

?Debug : Oct 27 12:08:00 RADIUS DBA: Sending Auto-Add

Request for Card-ID: 5

?Debug : Oct 27 12:08:00 RADIUS URFA[plugin]: DLink:

SLID/SID/AID: 14/6/14

?Debug : Oct 27 12:08:00 RADIUS URFA[plugin]: Account

<14> with balance <10.000>

7/22/2019 utm5_20070529


1



?Debug : Oct 27 12:08:00 RADIUS Auth: Got AutoAdd 14

UID from core.

ERROR : Oct 27 12:08:00 RADIUS DBA: Can’t find login

<5>

?Debug : Oct 27 12:08:00 RADIUS DBA: login_store

iter->second.dialup.session_count:0

Info : Oct 27 12:08:00 RADIUS Auth: User <5> added.

?Debug : Oct 27 12:08:00 RADIUS Auth: Auth scheme:

PAP

?Debug : Oct 27 12:08:00 RADIUS Auth: PAP: <51154755>

vs <51154755>

?Debug : Oct 27 12:08:00 RADIUS Auth: PAP: Authorized

user <5>

?Debug : Oct 27 12:08:00 RADIUS Auth: Dialup session

limit:0 session count:0 for user:5

?Debug : Oct 27 12:08:00 RADIUS Auth: Calculated max-

imum session time: 36000

?Debug : Oct 27 12:08:00 RADIUS DBA: dialup_link_up-

date called for slink:14

?Debug : Oct 27 12:08:00 RADIUS DBA: soft dialup_

link_update for slink:14 session_count:1

7/22/2019 utm5_20070529


1

В с п о м о г а т е л ь н ы е у т и л и т ы

7/22/2019 utm5_20070529


1

В с п о м о г а т е л ь

н ы е у т и л и т ы

1. Вспомогательные утилиты


1. Генератор статистики по протоколу NetFlo ....... 3162. Генератор статистики по протоколу RADIUSRADIUS ...... 3183. Утилита get_nf_irect .................................................3214. Утилита utm5_payment_tool .................................... 323

7/22/2019 utm5_20070529


1


1. Генератор статистики по протоколу

Nlw

Для эмулирования работы пользователей и экспорта ста-тистики по протоколу NetFlo .5 используется утилитаutm5_flogen, которая устанавливается по следующему пути:/netup/utm5/bin/utm5_flowgen. В командной строке можнопередать следующие параметры:

-h

IP-адрес хоста, на который пересылать сгенерированныеNetFlo-пакеты. Значение по умолчанию – 127.0.0.1.

-p

Порт, на который пересылать сгенерированные NetFlo-па-кеты. Значение по умолчанию – 9996.

-c

Количество NetFlo-пакетов. Значение по умолчанию –65535.

-t

Период ожидания в микросекундах между посылками NetFlo-NetFlo--пакетов.

-s

IP-адрес, с которого был передан IP-трафик. Этот адрес запи-сывается в поле srcaddr в генерируемых NetFlo-пакетах.

-d

IP-адрес, к которому был передан IP-трафик. Этот адрес запи-

сывается в полеdstaddr

в генерируемых NetFlo-пакетах.

7/22/2019 utm5_20070529


1



-b

Количество переданных байтов. Это значение записываетсяв поле dOctet в генерируемых NetFlo-пакетах.

Следующая команда генерирует один NetFlo-пакет с инфор-NetFlo-пакет с инфор--пакет с инфор-мацией о 1048576 байтах, переданных между адресами 10.0.0.1и 10.0.0.2:

/netup/utm5/bin/utm5_flowgen –c 1 –s 10.0.0.1 –d

10.0.0.2 –b 1048576

7/22/2019 utm5_20070529


1


2. Генератор статистики по протоколу

DIUS

Для эмулирования работы пользователей и экспорта статис-тики по протоколу RADIUS используется утилита utm5_rad-

gen, которая устанавливается по следующему пути: /netup/utm5/bin/utm5_radgen. В командной строке можно передатьследующие параметры:

-p

Порт, на который пересылать сгенерированные RADIUS-па-RADIUS-па--па-кеты.

-h

IP-адрес, на который пересылать сгенерированные RADIUS--адрес, на который пересылать сгенерированные RADIUS-RADIUS--пакеты.

-s

Секретное слово для общения с RADIUS-сервером.RADIUS-сервером.-сервером.

-c

Код RADIUS-пакета. Значение по умолчанию – 1 (Access-Re-quest).

-u

Пароль пользователя в открытом виде. Данное значение бу-дет передано с ID атрибута 2 (Password).

-a

Атрибуты и значения. Возможно указание нескольких атрибу-тов. Строка имеет следующий формат:

vendor_id:attr_id:is_digit:value

7/22/2019 utm5_20070529


1



Поля разделены двоеточием. Первое поле указывает на иден-тификатор вендора. Значение по умолчанию – 0.

Второе поле указывает на идентификатор атрибута.

Третье поле используется для указания типа данных: цифро-вой либо строчный. Если значение 0, то данные передаются,как строка. Если значение 1, то данные передаются, как циф-ры (integer).

Четвёртое поле используется для передачи самого значения.

Примеры

1. Для посылки запроса на авторизацию (Access-request) не-обходимо выполнить следующую команду:

/netup/utm5/bin/utm5_radgen -h 127.0.0.1 -p 1812 -s

secret –u password -a 0:1:0:username

При этом будет сгенерирован RADIUS-пакет с запросом на

авторизацию для пользователяusername

с паролемpassword

.

2. Для посылки запроса на аккаунтинг (Accounting-request)необходимо выполнить следующую команду:

/netup/utm5/bin/utm5_radgen -h 127.0.0.1 -p 1813 -s

secret -a 0:1:0:username -a 0:40:1:1 -a 0:44:0:ses-

sionid1 -c 4

При этом будет сгенерирован RADIUS-пакет с запросом на ак-каунтинг для пользователя username. При этом будет указано,что осуществляется начало сессии (start). Идентификаторсессии sessionid1.

3. Для посылки запроса на аккаунтинг (Accounting-request)необходимо выполнить следующую команду:

/netup/utm5/bin/utm5_radgen -h 127.0.0.1 -p 1813

-s secret -a 0:1:0:username -a 0:32:0:localhost -a

0:40:1:2 -a 0:44:0:sessionid1 -a 0:46:1:100 -c 4

7/22/2019 utm5_20070529


20


При этом будет сгенерирован RADIUS-пакет с запросом на ак-каунтинг для пользователя username. При этом будет указано,что осуществляется окончание сессии (stop). Идентифика-тор сессии sessionid1. Длительность сессии (Acct-Session-

Time) – 100 секунд.

7/22/2019 utm5_20070529


21



3. Утилита g_f_dr�

Утилита get_nf_irect предназначена для формирования

детальных отчетов по трафику на основании сохраненнойпервичной информации о трафике.

Исполняемый файл get_nf_irect называется

/netup/utm5/bin/get_nf_direct


-D <ir> - Имя директории в которой находятся файлы спервичной информацией о трафике

-b <atabase filename> - Имя файла в котором находитсяпервичная информация о трафике

-a Идентификатор лицевого счета в системе, для которо-

го формировать отчет

-s <source aress> - Адрес отправителя трафика, для кото-рого формировать отчет

- <estination aress> - Адрес получателя трафика, длякоторого формировать отчет

-p <source port> - Порт отправителя трафика, для которо-го формировать отчет

-P <estination port> - Порт получателя трафика, для кото-рого формировать отчет

-c <t_class> - Класс трафика, для которого формировать от-чет

-f <from timestamp> - Время в формате Uni Time Stamp,начиная с которого формировать отчет

7/22/2019 utm5_20070529


22


-t <to timestamp> - Время в формате Uni Time Stamp, покоторое формировать отчет. Если значение не указано,используется текущее время

-l <limit> Максимальное количество строк, которые будутиспользоваться при формировании отчета. По умолча-нию - неограничено

-u Первичная информация о трафике хранится в ra-фор-мате

-e Отображать статистику в расширенном варианте

-h Информация о версии и допустимых параметрах ко-мандной строки

7/22/2019 utm5_20070529


2



4. Утилита 5_pay_l

Утилита utm5_payment_tool предназначена для внесения пла-тежей.

Исполняемый файл utm5_payment_tool называется

/netup/utm5/bin/utm5_payment_tool


h IP-адрес хоста, на котором запущено ядро UTM5

Порт, на котором ядро UTM5 слушает URFA

t Дата внесения платежа

m Метод платежа

e Внешний идентификатор платежа

k Комментарий для пользователя

l Логин пользователя для доступа к ядру UTM5

p Пароль пользователя для доступа к ядру UTM5

a Идентификатор лицевого счета в системе

b Сумма платежа

c Код валюты в которой вносится платеж

i Включить интернет

<cfg>- путь к конфигурационному файлу

L Комментарий для администратора

7/22/2019 utm5_20070529


2


По умолчанию utm5_payment_tool использует конфигураци-онный файл /netup/utm5/utm5_payment_tool.cfg.




Параметр Описание

core_hostIP-адрес хоста, на котором запущеноядро UTM5

core_portПорт, на котором ядро UTM5 слушаетURFA

core_user Логин пользователя для доступа к ядру UTM5

core_passorПароль пользователя для доступа к ядру UTM5

user_commentКомментарий для пользователя

amin_comment Комментарий для администратора

currency_iКод валюты в которой вносится пла-теж

payment_methoМетод платежа

turn_on_internet Включить интернет

7/22/2019 utm5_20070529


2



account_iИдентификатор лицевого счета в сис-теме

eternal_number

Внешний идентификатор платежа

Параметры конфигурационного файла имеют больший при-оритет, чем параметры, командной строки.

7/22/2019 utm5_20070529


2

К о н т р о л ь н ы

е п р и м е р ы

7/22/2019 utm5_20070529


2

К о н т р о л ь н ы е п р и м е р ы

1. Контрольные примеры


1. Контрольный пример для передачи трафика ....... 3282. Контрольный пример для коммутируемогодоступа ............................................................................ 3323. Контрольный пример для телефонии ................... 335

7/22/2019 utm5_20070529


2



1. Контрольный пример для передачи

трафика

Контрольный пример предназначен для проверки коррект-ности функционирования биллинговой системы NetUP UTMNetUP UTMUTMUTM

на Вашем сервере. Суть проверки заключается в загрузке вбазу данных параметров пяти клиентов и эмулирования рабо-

ты этих пользователей в течение трёх месяцев. Необходимые

данные для запуска контрольного примера находятся на

D-RM с биллинговой системой NetUP UTM.-RM с биллинговой системой NetUP UTM.RM с биллинговой системой NetUP UTM.с биллинговой системой NetUP UTM.NetUP UTM.UTM.UTM..

Внимание. Остановите сервисы критичные к изменению датына сервере.

Остановите ядро биллинговой системы utm5_core.

Установите дату на сервере на 00 часов 00 минут 1 апреля

2003 года.

Для Free�SD:Free�SD:date 0304010000

Для inu:

date 0401000003

Для загрузки данных в базу выполните команды.

mysqladmin drop UTM5


mysql UTM5 < UTM5_MYSQL_kp.sql

mysql –f UTM5 < UTM5_MYSQL_update.sql

Произведите корректировку данных в файле kp.pl о том, накаком порту принимает NetFlo-пакеты ядро биллинговой

системы, а также путь к программе-генератору NetFlo-паке-

тов – utm5_flowgen (обычно

/netup/utm5/bin/utm5_flowgen).

7/22/2019 utm5_20070529


2


Запустите ядро биллинговой системы utm5_core.

Запустите программу p.pl командой.

perl kp.pl

В процессе работы программы дата на сервере будет менять-

ся с 1 апреля 2003 г. до 1 июля 2003 г. Таким образом, будет

эмулирована работа тестовых пользователей в течение трёхмесяцев: апреля, мая, июня 2003 г.

Первый месяц (апрель 2003 г.�

cli1 cli2 cli3 cli4 cli5

Объем в день,МБ

0,5 2 4 10 40

Количестводней

30 30 30 30 30

Объем за месяц,МБ

15 60 120 300 1200

Стоимость единицы превыше

ния

0,2 0,2 0,2 0,15 0,15

Предоплачено,МБ

50 50 50 500 500

Стоимость превышения

0 2 14 0 105

Абонплата 3 3 3 100 100

Остаток -3 -5 -17 -100 -205

7/22/2019 utm5_20070529


0



Второй месяц (май 2003 г.�


Объем в день,

МБ 1 2,5 5 20 50Количестводней

31 31 31 31 31


31 77,5 155 620 1550

Стоимость единицы превышения

0,2 0,2 0,2 0,15 0,15

Предоплачено,МБ

50 50 50 500 500


0 5,5 21 18 157,5

Абонплата 3 3 3 100 100

Остаток -6 -13,5 -41 -218 -462,5

Третий месяц (июнь 2003 г.�


Объем в день,МБ

1,5,5 3 6 30 60

Количестводней

30 30 30 30 30


45 90 180 900 1800

Стоимость единицы превышения

0,2 0,2 0,2 0,15 0,15

Предоплачено,МБ 50 50 50 500 500

7/22/2019 utm5_20070529


1



0 8 26 60 195

Абонплата 3 3 3 100 100

Остаток -3 -11 -29 -160 -295

Итого остаток -9 -24,5 -70 -378 -757,5

В случае корректной работы биллинговой системы, полу-ченные вами цифры после отработки kp.pl должны совпа-дать с указанными в таблице.

После проведения работ установите корректную дату на сервере.

7/22/2019 utm5_20070529


2



2. Контрольный пример для

коммутируемого доступа

Контрольный пример предназначен для проверки коррект-ности функционирования биллинговой системы NetUP UTMNetUP UTMUTMUTMна вашем сервере. Суть проверки заключается в загрузке в базу данных параметров трех клиентов и эмулирования работыэтих пользователей в течение трёх месяцев. Необходимыеданные для запуска контрольного примера находятся на D-D--RM с биллинговой системой NetUP UTM.с биллинговой системой NetUP UTM.NetUP UTM.UTM.UTM..

Внимание. Остановите сервисы критичные к изменениюдаты на сервере.

Остановите ядро биллинговой системы utm5_core.

Установите дату на сервере на 00 часов 00 минут 1 апреля2003 года.

Для Free�SD:Free�SD:

date 0304010000

Для inu:inu:inu:

date 0401000003

Для загрузки данных в базу выполните команды.

mysqladmin drop UTM5


mysql UTM5 < UTM5_MYSQL_kp_dialup.sql

mysql –f UTM5 < UTM5_MYSQL_update.sql

Произведите корректировку данных в файле kp_dialup.pl о том, на каком порту принимает Raius Accounting-пакетыпроцесс utm5_radius, а также путь к программе-генератору RADIUS-пакетов – utm5_radgen (обычно

/netup/utm5/bin/utm5_radgen).

7/22/2019 utm5_20070529



Запустите ядро биллинговой системы utm5_core и серверRADIUS utm5_radius.

Запустите программу kp.pl командой.

perl kp_dialup.plkp_dialup.plkp_dialup.pl_dialup.pldialup.pl.plpl

В процессе работы программы дата на сервере будет менять-ся с 1 апреля 2003 г. до 1 июля 2003 г. Таким образом, будетэмулирована работа тестовых пользователей в течение трёхмесяцев: апреля, мая, июня 2003 г.

В случае корректной работы биллинговой системы, получен-ные вами цифры после отработки kp_dialup.pl должны сов-

падать с указанными в таблицах.

После проведения работ установите корректную дату на сер-вере.

Первый месяц (апрель 2003 г.�. Количество дней – 30.

dialup11 dialup22 dialup3

8.00-19.59.5959

20.00-.00-7.59.5959

8.00-19.59.5959

20.00-.00-7.59.5959

8.00-19.59.5959

20.00-.00-7.59.5959

Длительностьв день, час 0,1 0,1 0,2 0,2 0,3 0,3

Объем за месяц, час 3 3 6 6 9 9

Стоимость,у.е./час 1 2 1 2 1 2

Стоимость,у.е. 3 6 6 12 9 18

Абонплата 10 10 10

Остаток -19 -28 -37

7/22/2019 utm5_20070529




Второй месяц (май 2003 г.�. Количество дней – 31.


8.00-

19.59.5959

20.00-.00-

7.59.5959

8.00-

19.59.5959

20.00-.00-

7.59.5959

8.00-

19.59.5959

20.00-.00-

7.59.5959Длительностьв день, час 0,1 0,1 0,2 0,2 0,3 0,3

Объем за месяц, час 3,1 3,1 6,2 6,2 9,3 9,3


Стоимость,у.е. 3,1 6,2 6,2 12,4 9,3 18,6


Остаток -19,3 -28,6 -37,9

Третий месяц (июнь 2003 г.�. Количество дней – 30.


8.00-

19.59.5959

20.00-.00-

7.59.5959

8.00-

19.59.5959

20.00-.00-

7.59.5959

8.00-

19.59.5959

20.00-.00-

7.59.5959Длительностьв день, час 0,1 0,1 0,2 0,2 0,3 0,3

Объем за месяц, час 3 3 6 6 9 9


Стоимость,у.е. 3 6 6 12 9 18


Остаток -19 -28 -37

Итого остаток

-57,3 -84,6 -111,9

В случае корректной работы биллинговой системы, полу-ченные вами цифры после отработки kp.pl должны совпа-дать с указанными в таблице.

После проведения работ установите корректную дату на сер-вере.

7/22/2019 utm5_20070529



3. Контрольный пример для

телефонии

Подготовка сервера

Для загрузки базы данных с данными для контрольного при-мера выполните команды:

mysql UTM5 < /netup/utm5/UTM5_tel_kp_clean.sql

mysql -f UTM5 < /netup/utm5/UTM5_MYSQL_update.

sql > /dev/null 2>&1

Запустите RADIUS-сервер и ядро биллинговой системы. Длязагрузки тестовых данных из DR-файла выполните команду:

/netup/utm5/bin/utm5_unif -c /netup/utm5/utm5_

unif_kp.cfg -s /netup/utm5/src.cdr

При этом в базу данных будут загружены и протарифицирова-

ны телефонные звонки по двум тестовым абонентам в июлемесяце 2005 г.

Произведите подключение к ядру интерфейсом администра-тора.

Контрольные данные

В системе должны присутствовать два тестовых абонента.

Настройки Абонента 1

Закрепленный телефонный номер 5409652

Тарифный план – Тариф1

Настройки Абонента 2

Закрепленный телефонный номер 5409653

Тарифный план – Тариф2

7/22/2019 utm5_20070529




В системе также должны присутствовать телефонные направле-ния и тарифные планы согласно времени суток и дням недели.

Рис. 1 Тарифный план 1

Рис. 2 Тарифный план 2

7/22/2019 utm5_20070529



Табл. 1 Телефонные направления

Зона Префикс (код�

Москва(1) 7095

Санкт-Петербург (2) 7812

МТС (моб.) (3) 7910, 7915, 7916, 7917

Челябинск (4) 7351

Тюмень (5) 7345

Италия (6) 81039

Франция (7) 81033

Судан (8) 810249

Настройки тарифного плана 1

Бесплатный порог – 5 сек.

Длительность начального периода – 60 сек.

Шаг тарификации начального периода - 10 сек.

Шаг тарификации следующего периода – 1 сек.

Размер единицы тарификациияЯ – 60 сек.

Абонентская плата – 10 у.е.

Стоимость указана в условных единицах

Табл. 2 Стоимость звонков по тарифному плану 1

Зона Рабочие дни Выходные

дни00:00 – 9:00 9:00 – 23:59:59Москва(1) 0,1 0,2 0,1

Санкт-Петербург (2) 0,2 0,40,3

МТС (моб.) (3) 0,2 0,3 0,2

Челябинск (4) 0,4 0,6 0,4

Тюмень (5) 0,5 0,8 0,6

Италия (6) 1 1,3 1,1

Франция (7) 1,2 1,6 1,2

Судан (8) 2,1 2,9 2,5

7/22/2019 utm5_20070529




Настройки тарифного плана 2

Бесплатный порог – 0 сек.

Длительность начального периода – 60 сек.

Шаг тарификации начального периода - 10 сек.

Шаг тарификации следующего периода – 1 сек.

Абонентская плата – 5 у.е.

Размер единицы тарификации – 60 сек.

Стоимость указана в условных единицах

Табл. 3 Стоимость звонков по тарифному плану 2

Зона

Рабочие дниВыходные

дни00:00 – 9:009:00

– 23:59:59

Москва(1) 0,08 0,15 0,08

Санкт-Петербург (2) 0,15 0,22 0,2

МТС (моб.) (3) 0,2 0,3 0,2

Челябинск (4) 0,35 0,5 0,4

Тюмень (5) 0,4 0,7 0,4

Италия (6) 1,2 1,5 1,2

Франция (7) 1,5 1,9 1,5

Судан (8) 2,4 3,1 2,3

Табл. 4 Тестовые телефонные звонки абонента 1

Дата ЗонаДлитель

ность

Длительн о с т ь ,

сек

Стоимость за минуту

Стоимость

01.07.0511:20:00

Санкт-Петер-бург (2) 00:12:10 730 0,4 4,833

01.07.0515:55:40

МТС (моб.)(3) 01:10:00 4200 0,3 20,975

01.07.0521:05:00

Челябинск(4) 00:02:54 174 0,6 1,690

02.07.0501:25:00 Тюмень (5) 00:12:04 724 0,6 7,190

7/22/2019 utm5_20070529



03.07.0511:15:00 Италия (6) 00:10:01 601 1,1 10,927

04.07.0521:53:00 Франция (7) 01:01:54 3714 1,6 98,907

05.07.05

12:13:00Судан (8) 00:00:24 24 2,9 1,208

06.07.0501:25:00 Москва(1) 00:01:04 64 0,1 0,098

07.07.0511:05:20 Франция (7) 02:00:01 7201 1,6 191,893

08.07.0521:25:00

МТС (моб.)(3) 00:32:05 1925 0,3 9,600

09.07.0509:55:00

Челябинск(4) 00:12:01 721 0,4 4,773

10.07.05

08:05:00

Челябинск

(4)00:00:09 9 0,4 0,027

11.07.0504:35:00 Италия (6) 00:22:52 1372 1 22,783

12.07.0513:10:00

Челябинск(4) 00:01:24 84 0,6 0,790

13.07.0501:05:00 Судан (8) 00:03:13 193 2,1 6,580

14.07.0516:03:00 Франция (7) 00:07:00 420 1,6 11,067

15.07.05

18:04:00

Челябинск

(4) 00:39:12 2352 0,6 23,47016.07.0519:15:00 Италия (6) 00:00:54 54 1,1 1,008

17.07.0516:35:00 Москва(1) 00:00:23 23 0,1 0,042

18.07.0514:10:00 Москва(1) 00:22:05 1325 0,2 4,400

19.07.0523:01:00 Тюмень (5) 00:21:11 1271 0,8 16,880

20.07.0500:35:00

Санкт-Петер-бург (2) 00:12:01 721 0,2 2,387

21.07.0500:35:00 Италия (6) 00:00:13 13 1 0,250

22.07.0510:22:00 Москва(1) 00:01:22 82 0,2 0,257

23.07.0506:16:00

Санкт-Петер-бург (2) 00:00:03 3 0 0,000

24.07.0501:14:00 Судан (8) 00:52:05 3125 2,5 130,000

25.07.0512:19:00 Судан (8) 00:18:19 1099 2,9 52,877

7/22/2019 utm5_20070529


0



26.07.0513:45:00

Санкт-Петер-бург (2) 00:20:21 1221 0,4 8,107

27.07.0511:05:00 Москва(1) 00:01:10 70 0,2 0,217

28.07.05

15:17:00

Санкт-Петер-

бург (2)00:02:12 132 0,4 0,847

29.07.0512:25:00 Москва(1) 00:32:05 1925 0,2 6,400

30.07.0521:25:00 Италия (6) 00:02:14 134 1,1 2,365

31.07.0502:00:10 Москва(1) 00:01:25 85 0,1 0,133

Итого: 642,98

Табл. 4 Тестовые телефонные звонки абонента 2

Дата ЗонаДлитель

ность

Длительность,

сек

Стоимость заминуту

Стоимость

01.07.0504:15:10 Москва(1) 00:00:19 19 0,08 0,019

02.07.0514:25:30 Франция (7) 00:01:11 71 1,5 1,650

03.07.0518:11:24 Москва(1) 00:20:34 1234 0,08 1,639

04.07.0501:21:10 Италия (6) 00:15:39 939 1,2 18,680

05.07.0507:12:23 Москва(1) 00:00:15 15 0,08 0,020

06.07.0517:22:13

Санкт-Петер-бург (2) 00:00:43 43 0,22 0,139

07.07.0522:45:52 Судан (8) 00:00:18 18 3,1 0,775

08.07.0509:10:15

Санкт-Петер-бург (2) 00:00:20 20 0,22 0,055

09.07.0512:32:16 Москва(1) 00:01:21 81 0,08 0,101

10.07.0519:11:25 Тюмень (5) 00:05:45 345 0,4 2,267

11.07.0502:50:38 Италия (6) 00:10:07 607 1,2 12,040

12.07.05

06:00:20

Челябинск

(4)01:15:21 4521 0,35 26,343

13.07.0513:11:45

Санкт-Петер-бург (2) 00:01:32 92 0,22 0,319

7/22/2019 utm5_20070529


1


14.07.0510:12:28

МТС (моб.)(3) 00:02:45 165 0,3 0,800

15.07.0515:27:13 Москва(1) 00:00:13 13 0,15 0,038

16.07.05

11:58:22 Москва(1) 00:07:21 441 0,08 0,58117.07.0514:17:23

Санкт-Петер-бург (2) 00:16:42 1002 0,2 3,323

18.07.0520:34:31 Италия (6) 00:32:15 1935 1,5 48,250

19.07.0511:15:53 Москва(1) 03:15:41 11741 0,15 29,340

20.07.0517:52:33 Москва(1) 01:10:32 4232 0,15 10,568

21.07.0519:20:41 Челябинск(4) 00:04:21 261 0,5 2,133

22.07.0502:16:14 Тюмень (5) 00:09:54 594 0,4 3,927

23.07.0515:47:22 Италия (6) 00:05:34 334 1,2 6,580

24.07.0511:17:27 Франция (7) 00:15:55 955 1,5 23,750

25.07.0522:34:51 Тюмень (5) 00:20:45 1245 0,7 14,467

26.07.0510:37:21 Москва(1) 01:56:17 6977 0,15 17,430

27.07.0514:47:29 Москва(1) 00:21:56 1316 0,15 3,278

28.07.0508:45:23

Санкт-Петер-бург (2) 00:48:12 2892 9,570

29.07.0511:04:03 Италия (6) 00:12:55 775 1,5 19,250

30.07.0518:05:11 МТС (моб.)(3) 00:03:51 231 0,2 0,753

31.07.0523:14:43 Москва(1) 00:08:12 492 0,08 0,649

Итого: 258,76

7/22/2019 utm5_20070529


2



Рис. 3 Отчет по телефонным звонкам

7/22/2019 utm5_20070529



Рис. 4 Счет на оплату для Абонента 1

7/22/2019 utm5_20070529




Рис. 5 Счет на оплату для Абонента 2

7/22/2019 utm5_20070529



7/22/2019 utm5_20070529


М о д у л и р а с ш и р е н и я ф у н к ц и о н

а л а

7/22/2019 utm5_20070529


М о д у л и р а с ш и р е н и я

ф у н к ц и о н а л а

1. Модули расширения

функционала


1. Модуль интеграции с платежными системами ..... 3491.1 Введение ................................................................. 3491.2 Схема работы ..........................................................3511.3 Установка ............................................................... 358

1.3.1 Установка базового модуля ......................... 359

1.3.1.1 NU/inu ............................................ 3591.3.1.2 Free�SD ................................................... 3591.3.2 Установка дополнительных модулей ......... 3601.3.3 Дополнительные сведения по установке ..361

1.3.3.1 e-port .........................................................3611.3.3.2 Уникасса ...................................................3611.3.3.3 Web Money .............................................. 3621.3.3.4 Яндекс.Деньги ........................................ 362

1.3.3.5 Z-PAY ........................................................ 3631.3.4 Активация сертификата .............................. 3641.3.5 Установка центра управления .................... 364

1.4 Настройка ............................................................. 3651.4.1 Конфигурирование серверной части ....... 3651.4.2 Конфигурирование брандмауэра ............... 369

1.5. Запуск серверной части. Журналирование ..... 370

1.5.1 NU/inu ................................................... 3701.5.2 Free�SD .......................................................... 3701.5.3 Журналирование .......................................... 370

1.6. Работа с центром управления. Профили ......... 3721.6.1 Отчет по платежам ....................................... 3751.6.2 Настройка внешних платежных систем ....3811.6.3 Настройка операции .................................... 3861.6.4 Управление ролями .......................................391

1.6.5 Управление событиями ............................... 3291.6.6 Управление запланированными задачами 329

7/22/2019 utm5_20070529



а л а

1.6.7 Управление персоналом ...............................3941.6.8 Текущие соединения ......................................395

1.7 Параметры запросов платежных систем ...........3961.7.1 Бином ..............................................................396

1.7.2 Кредит-Пилот .................................................3981.7.3 Киберплат .......................................................3991.7.4 ОСМП ..............................................................4001.7.5 Уникасса ...........................................................4011.7.6 Яндекс.Деньги ................................................4021.7.7 e-port ................................................................4051.7.8 Rapia ..............................................................406

1.7.9 Web Money ......................................................4071.7.10 Z-PAY ..............................................................4092. Система Интеграции UTM5 & 1С:Предприятие ..412

2.1 Введение .................................................................4122.2 Установка и настройка системы ..........................4142.3 Работа с интерфейсом администрирования Систе-мы Интеграции............................................................4182.4 Работа с сетевым модулем Системы Интегра-

ции ................................................................................422

7/22/2019 utm5_20070529




1. Модуль интеграции UTM5 с платежными

системами

1.1 Введение

Модуль интеграции UTM5 с платежными системами исполь-зуется для регистрации платежей абонентов, произведенныхчерез внешние платежные системы, в биллинговой системеUTM5.

Модуль обеспечивает:

прием и регистрацию запросов, предназначенных дляUTM5, по протоколам, специфичным для каждой из вне-шних платежных систем;

ответ на запросы по протоколам, специфичным для каж-дой из внешних платежных систем;

проверку достоверности запросов в реальном времени;

регистрацию платежа в UTM5 в реальном времени;

возможность просматривать зарегистрированные запро-сы платежных систем;

возможность вводить корректировки платежей с последу-ющей повторной регистрацией;

возможность устанавливать комиссионный сбор для каж-дой платежной системы в отдельности;

возможность производить настройку обработки запросовплатежных систем.

Модуль интеграции UTM5 с платежными системами состоит из:

базового модуля — серверной части Eternal PaymentSystems Serer, построенной на платформе NetUP �usinessSerer (N�S)

•

•

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


0


а л а

набора дополнительных модулей для каждой внешнейплатежной системы

центра управления системой, построенного на платфор-

ме Unite ontrol enter (U).

Набор дополнительных модулей включает в себя модули дляследующих платежных систем:

Бином (Элекснет)

Киберплат

КредитПилот

ОСМП

Уникасса Яндекс.Деньги

e-port

Rapia

Z-PAY

WebMoney

Системные требования:

сервер с установленной биллинговой системой UTM5

¡ работающей под управлением одной из ОС

n Free�SD 5.4, 5.5

nNU/inu (ernel 2.6)

¡ использующей для хранения данных одну из СУБД:

nMYSQ версии 5.0.32 и выше

n PostgreSQ версии 8.2 и выше

¡ наличие утилиты utm5_payment_tool

станция с установленным окружением aa RuntimeEnironment версии 5.0 и выше (RE 1.5.0.) для управле-ния Модулем Интеграции.

•

•

•

•

7/22/2019 utm5_20070529


1



Для платежных систем

e-port

Webmoney

Яндекс.Деньги

необходимо наличие библиотеки openssl (.openssl.org)версии 0.9.8 и выше.

Для платежной системы


необходимо наличие библиотеки gnupg (.gnupg.org) вер-сии 1.4.3

Документация для версии Модуля интеграции UTM5 с пла-тежными системами 2.1.7159.

1.2 Схема работы


Модуль принимает запросы от платежных систем

Модуль производит проверку корректности запроса, ре-гистрацию запроса в собственных таблицах базы данныхUTM5

Модуль вызывает для проведения платежа утилиту utm5_payment_tool

Базовый модуль N�S Eternal Payment Serer выступает в ка-честве серверной части, принимая от клиента при помощипротокола HTTPS специальным образом сформированный

запрос методом ET или PST. Запрос содержит идентифи-цирующий платежную систему параметр URI, и параметры,специфичные для каждой платежной системы.

•

•

•

•

1.

2.

3.

7/22/2019 utm5_20070529


2


а л а

Параметр URI - часть HTTP запроса, находящаяся между адре-сом сервера и знаком вопроса. Например, в запросе

https://zao.ru:8080/osmp?command=check&txn_id=1234567&account=0957835959&sum=10.45

параметр URI = osmp.

В договоре с платежной системой указывается параметр, покоторому должна производиться идентификация платежнойсистемы.

Специфичные параметры определяют тип запроса, сумму,дату, валюту, и другие параметры платежа.

Специфичные параметры запросов приведены в Приложе-нии.

Существуют следующие два типа запросов:

Запрос на проверку возможности внесения платежа (про-верка параметров сделки, запрос состояния абонента,проверка состояния счета, предварительный запрос, про-верка заказа и т.д.)

Запрос на внесение платежа (проведение сделки, попол-нение баланса, пополнение лицевого счета, оповещение оплатеже, уведомление об оплате и т.д.)

HTTPS запрос передается соответствующему дополнительно-му модулю платежной системы на обработку. При этом гене-рируется событие разбора HTTPS запроса. Это событие при-надлежит семейству событий [netup:http].

Каждый установленный дополнительный модуль платежнойсистемы добавляет в семейство [netup:http] собственное со-бытие разбора запроса. Например, модуль платежной систе-мы e-port добавляет событие разбора запроса [netup:http]http_

request[1.eport].

•

•

7/22/2019 utm5_20070529




В соответствии с типом запроса событием разбора HTTPS за-проса могут генерироваться события:

Проверки возможности внесения платежа [netup:

business]payment_erification[1.eternal]

Внесения платежа [netup:business]ne_payment[1.eternal]

События инициируют связанные с ними операции, имеющиеряд этапов, настраиваемых администратором системы. Таки-ми этапами являются:

SQ запросы типа SEET к таблицам базы данных UTM5

с выбором значения ровно одного параметра

команды, исполняемые оболочкой операционной системы

Команды могут быть составными и определяются согласноправилам оболочки ОС. Для разделения команд в UNI ис-пользуются разделители операционной системы.

Примеры операций приведены ниже.

Пример 1

Событие проверки возможности внесения платежа [netup:business]payment_erification[1.eternal] инициирует опера-цию проверки платежа, этапом которой является:

1. SQ запрос к таблицам базы данных UTM5

SELECT db.personal_accounts.id AS personal_account_

id FROM personal_accounts WHERE personal_accounts.

id = “$account”

Пример 2

Событие внесения платежа [netup:business]ne_payment[1.

eternal] инициирует операцию внесения платежа, этапамикоторой являются:

•

•

•

•

7/22/2019 utm5_20070529



а л а


SELECT event.sum AS amount

SELECT db.personal_accounts.id AS personal_account_id FROM personal_accounts WHERE personal_accounts.

id = “$cid”

2. Команда оболочки операционной системы


с ключами

-e идентификатор платежа

-k комментарий

-l логин системного пользователя UTM5 от имени

которого производится платеж

-p пароль системного пользователя UTM5 от имени

которого производится платеж-a номер лицевого счета в UTM5

-b сумма

-c код валюты в которой вносится платеж

-i включить интернет

-C путь к файлу конфигурации

-L комментарий для администратора

Результатом исполнения события внесения платежа являетсяприсвоение запросу платежной системы состояния:

PRESSED - обработанный платеж (синтаксис запросакорректен, корректна бизнес-логика проведения платежа,платеж зарегистрирован в системе UTM5)

IDENTIFIED - идентифицированный платеж (синтаксис

запроса корректен, корректна бизнес-логика проведенияплатежа, но платеж не зарегистрирован в системе UTM5:невозможно выполнить shell-команду)

•

•

7/22/2019 utm5_20070529




UNKNWN - неизвестный платеж (синтаксис запроса кор-ректен, но нарушена бизнес-логика проведения платежа)

Для тестовых платежей (платежи при обработке которых про-

изводятся те же действия, что и обычно, но без вызова утили-ты utm5_payment_tool) существуют состояния UNKNWN_N_TEST IDENTIFIED_N_TEST.

Для принудительного переведения платежа из состоянияIDENTIFIED в состояние PRESSED вызывается событие[netup:integration]payment_registration[1.eternal], котороепытается выполнить shell-команду, инициируемую событиемвнесения платежа.

Для платежных систем:


Z-PAY

Web Money

бизнес-логика внесения платежа включает обязательную ста-

дию предварительной проверки возможности проведенияплатежа.

Для данных систем синтаксически корректные платежи:

не прошедшие предварительную проверку

прошедшие проверку, но при окончательном внесенииплатежа имеющие измененные значения суммы, валюты,

номера счета

получат состояние UNKNWN.

В базе данных хранятся только те платежи, на которые систе-ма дала положительный ответ.

Технические операции, вызываемые парсером запроса

Существуют специфичные технические операции (проверки),необходимые для обработки запросов платежных систем.

•

•

•

•

•

•

7/22/2019 utm5_20070529



а л а

В зависимости от платежной системы набор проверок можетотличаться.

В качестве проверок могут выступать операции:

Проверка цифровой подписиПроверка хэш-суммы

Проверка входных параметров (например, секретногослова)

Проверка адресата

Генерация подписи

Примеры проверок приведены ниже.

Этапом проверки цифровой подписи является:


FSIGN=$RANDOM.sign; echo -n “$pgpsignature” |

perl /netup/etc/hex2bin.pl > /netup/etc/$FSIGN ;

FTEXT=$RANDOM.text; echo -n “$orderispaid””;””$order

sumamount””;””$ordersumcurrencypaycash””;””$ordersum

bankpaycash””;””$shopid””;””$ordernumber””;””$custom

ernumber” > /netup/etc/$FTEXT ;gpg --verify /netup/

etc/$FSIGN /netup/etc/$FTEXT;TMP_RESULT=$? ;rm /net-

up/etc/$FSIGN /netup/etc/$FTEXT ; exit $TMP_RESULT ;

Этапами проверки хэш-суммы являются:


SELECT db.staff.password AS staff_password FROM

staff WHERE staff.id = “$staff_id”


expr “$md5” == `echo -n “$orderispaid””;””$ordersum

amount””;””$ordersumcurrencypaycash””;””$ordersumba

nkpaycash””;””$shopid””;””$ordernumber””;””$customernumber””;””$staff_password” | openssl dgst -md5 |

tr “[:lower:]” “[:upper:]”` ;

••

•

•

•

7/22/2019 utm5_20070529




Этапом проверки входных параметров является:


SELECT db.staff.password AS staff_password FROM

staff WHERE staff.id = “$staff_id” AND staff.pass-

word = “$dpass”

Этапом проверки адресата является:


SELECT db.staff.login AS staff_login FROM staff

WHERE staff.id = “$staff_id” AND staff.login =

“$lmi_payee_purse”

Этапом генерации подписи является:


echo -n “$message” | openssl dgst -md5 -sign /net-

up/etc/external-payment-systems/eport/md5/private.

pem -hex

Настройка серверной части, включая настройку операции,происходит с помощью центра управления и описывается вразделе Работа с центром управления.

В системе e-port для проверки/генерации подписи исполь-зуются параметры message и prepare_uri, сгенерированныепарсером запроса в соответствии с документацией.

7/22/2019 utm5_20070529



а л а

1.3 Установка

Модуль интеграции с внешними платежными системами уста-

навливается на компьютер, где уже установлена биллинговаясистема.

Для успешного внесения платежей необходимо наличие кон-сольной утилиты utm5_payment_tool с именем


В случае, если на данном компьютере уже имеется установлен-ная более ранняя версия системы, ее следует удалить:

rm -rf /netup/external-payment-systems

Также следует удалить скрипты запуска

для inu

rm /etc/init.d/nbs-eps-linux

для Free�SD

rm /usr/local/etc/rc.d/nbs-eps-free-bsd.sh

При необходимости перед удалением произведите резервноекопирование конфигурационного файла

/netup/etc/external-payment-systems/netup.cfg

Для проведения установки Модуля Вы должны иметь приви- легии суперпользователя.

7/22/2019 utm5_20070529




1.3.1 Установка базового модуля

1.3.1.1 GNU/Lx

В личном кабинете клиента на сайте http://.netup.ru/ вразделе Платежные Системы необходимо загрузить базовыймодуль:

архив netup-payment-systems-linu-mysql.tar.gz, если в качес-тве базы данных UTM5 используется MySQ,

архив netup-payment-systems-linu-pgsql.tar.gz, если в качес-тве базы данных UTM5 используется PostgreSQ.

На сервере с ОС NU/inu следует распаковать архив ко-мандой:

# tar zxf netup-payment-systems-linux-mysql.tar.gz -C/

если в качестве базы данных UTM5 используется MySQ.

# tar zxf netup-payment-systems-linux-pgsql.tar.gz -C/

если в качестве базы данных UTM5 используется PostgreSQ.

1.3.1.2 rBSD

В личном кабинете клиента на сайте http://.netup.ru/в разделе Платежные Системы необходимо загрузить базо-вый модуль:

архив netup-payment-systems-freebs-mysql.tar.gz, если в ка-честве базы данных UTM5 используется MySQ,

архив netup-payment-systems-freebs-pgsql.tar.gz, если в ка-честве базы данных UTM5 используется PostgreSQ.

•

•

•

•

7/22/2019 utm5_20070529


0


а л а

На сервере с ОС Free�SD следует распаковать архив командой:

# tar zxf netup-payment-systems-freebsd-mysql.

tar.gz -C /если в качестве базы данных UTM5 используется MySQ.

# tar zxf netup-payment-systems-freebsd-pgsql.tar.

gz -C /

если в качестве базы данных UTM5 используется PostgreSQ.

1.3.2 Установка дополнительных модулей

Для установки модулей платежных системам загрузите, вос-пользовавшись ссылкой в личном кабинете в разделе Платеж

ные Системы, модули платежных систем.

Архивы дополнительных модулей имеют названия вида:

netup-<платежная система>-<операционная система>-

<база данных>.tar.gz,

где <платежная система> - название платежной системы, <опе-

рационная система> - linu или freebs, <база данных> - mysqlили pgsql.

7/22/2019 utm5_20070529


1



На сервере с ОС NU/inu или Free�SD распакуйте архивыдополнительных модулей:

# tar zxf netup-<платежная система>-<операционнаясистема>-<база данных>.tar.gz -C /

1.3.3 Дополнительные сведения по

установке

1.3.3.1 -pr

По договору между провайдером и платежной системой бу-дет выдано 2 ключа для openssl-шифрования (публичныйи приватный). Публичный ключ необходимо скопироватьв /netup/etc/eternal-payment-systems/eport/public.pem.Приватный ключ необходимо скопировать в

/netup/etc/eternal-payment-systems/eport/priate.pem.

1.3.3.2 Уникасса

По договору между провайдером и платежной системой будетвыдан идентификатор провайдера (user) и секретное слово

провайдера (pass).

Необходимо создать новую службу, имеющую

Name = <имя новой службы Уникасса>

Login = <идентификатор провайдера>

Password = <секретное слово провайдера>

Данная операция производится с помощью центра управле-ния (вкладка Персонал).

7/22/2019 utm5_20070529


2


а л а

В настройках Внешних платежных систем (вкладка Внешниеплатежные системы) в настройках платежной системы

Уникасса необходимо изменить Автоматическую службу, ука-занную по умолчанию, на созданную в предыдущем действии,

указав в качестве имени автоматической службы <имя новойслужбы Уникасса>.

1.3.3.3 Wb My

По договору между провайдером и платежной системой будетвыдано секретное слово провайдера для расчета m5-суммы.


Name = <имя новой службы Web Money>

Login = <номер кошелька провайдера>



В настройках Внешних платежных систем (вкладка Внешниеплатежные системы) в настройках платежной системы WebMoney необходимо изменить Автоматическую службу, указан-ную по умолчанию, на созданную в предыдущем действии, ука-зав в качестве имени автоматической службы <имя новой

службы Web Money>.

1.3.3.4 Яндекс.Деньги

По договору между провайдером и платежной системой будетвыдан идентификатор провайдера (shopI), секретное сло-во провайдера и публичный ключ для nuP шифрования.

7/22/2019 utm5_20070529





Name = <имя новой службы Яндекс.Деньги>

Login = <идентификатор провайдера>



В настройках Внешних платежных систем (вкладка Внешниеплатежные системы) в настройках платежной системы Ян-

декс.Деньги необходимо изменить Автоматическую службу, указанную по умолчанию, на созданную в предыдущем дейс-твии, указав в качестве имени автоматической службы <Имяновой службы Яндекс.Деньги>.

На сервере с Модулем платежных систем необходимо импор-тировать ключ

gpg --import <файл публичного ключа>

1.3.3.5 Z-PY

По договору между провайдером и платежной системой будетвыдано секретное слово провайдера для расчета m5-суммы.


Name = <имя новой службы Z-PAY>

Login = <номер кошелька провайдера>

7/22/2019 utm5_20070529



а л а

В настройках Внешних платежных систем (вкладка Внешниеплатежные системы) в настройках платежной системы Z-PAY необходимо изменить Автоматическую службу, указанную по

умолчанию, на созданную в предыдущем действии, указав в

качестве имени автоматической службы <имя новой службыZ-PAY>.

1.3.4 Активация сертификата

В личном кабинете клиента на сайте http://.netup.ru/в разделе Платежные Системы необходимо, воспользовав-

шись ссылкой Скачать сертификат, загрузить файл сертифи-ката netup.eystore

и сохранить его в директории /netup/etc/eternal-payment-systems/

В пароле приватного ключа допускается использование ла-тинских букв, цифр, символа подчеркивания и дефиса. Ис-пользование других символов не допускается.

После приобретения нового модуля, необходимо заново ска-чать сертификат.

1.3.5 Установка центра управления

Для установки центра управления Модуля интеграции UTM5с платежными системами загрузите архив utc-payment-systems.

zip, воспользовавшись ссылкой Скачать центр управления в личном кабинете в разделе Платежные системы. Распакуйтеархив ucc-payment-systems.zip.

7/22/2019 utm5_20070529




Скопируйте файл сертификата netup.eystore в директориюс центром управления.

Распаковку новой версии интерфейса не следует проводить

поверх старой.

Для запуска интерфейса администрирования необходимо установить aa Runtime Enironment версии не ниже 5.0(RE 1.5.0.). Дистрибутив доступен для загрузки на сайтепроизводителя http://jaa.sun.com в разделе onloasили на сайте http://.netup.ru в разделе демонстраци-онные версии (http://.netup.ru/onloas/jre-1_5_0- inos-i586.ee).

1.4 Настройка

1.4.1 Конфигурирование серверной части

Конфигурационный файл модуля /netup/etc/eternal-payment-systems/netup.cfg.




7/22/2019 utm5_20070529



а л а

priate_ey_passphraseпароль приватного ключа (указан в па-раметрах сертификата в личном каби-нете)

eystoreпуть к файлу сертификата netup.eystore(скачивается в личном кабинете)

keystore_passwordпароль для сертификата (совпадает спаролем приватного ключа)

additional_config_path путь к конфигурационному файлу UTM5

main_script

shell-команда, запускающая SQ-скрипты,которые устанавливают связи между таблицами UTM5 и таблицами N�S вбазе данных, а также задают начальные

настройки для платежных систем

patch_scriptshell-команда, запускающая SQ-скрипты,обновляющие структуру базы данных

patch_flagфайл, определяющий была ли запущенаshell-команда, указанная в patch_script

verify_scriptShell-команда, проверяющаяструктуру базы данных

httpd_portпорт, на который серверпринимает http/https запросы

7/22/2019 utm5_20070529




nbs_portпорт, на который серверу приходят запросы с ЕдиногоЦентра Управления

plugins_dir путь к директории с плагинами

startup_xml_path путь к файлу startup.ml

database_login логин для входа в базу данныхUTM5

database_passwordпароль для входа в базу данныхUTM5

database имя базы данных UTM5

database_host IP сервера с базой данных UTM5

database_portпорт сервера с базой данныхUTM5

database_sock_path uni-сокет базы данных UTM5

7/22/2019 utm5_20070529



а л а

В конфигурационном файле обязательно следует указать па-раметры priate_ey_passphrase, eystore, eystore_passor.

Если сервер при запуске не находит в /netup/etc/eternal-payment-systems/netup.cfg параметры доступа к базе данныхUTM5, он загружает их из файла /netup/utm5/utm5.cfg.

Пример конфигурационного файла:

additional_config_path=/netup/utm5/utm5.cfg

httpd_port=8080

keystore=/netup/etc/external-payment-systems/netup.keystore

keystore_password=

main_script=

nbs_port=55555

patch_script=psql -U “$database_login”“$database” -f /netup/external-payment-systems/patch_sql/patch-1.0-2.1.sql || true;

patch_flag=/netup/external-payment-systems/patch_sql/patch-1.0-2.1.flag

plugins_dir=/netup/external-payment-systems/plugins

private_key_passphrase=

startup_xml_path=/netup/external-payment-systems/startup/startup.xml

verify_script=

Параметры указанные в файле netup.cfg имеют больший при-оритет над параметрами, указанными в utm5.cfg

7/22/2019 utm5_20070529




1.4.2 Конфигурирование брандмауэра

К системам, отсылающим запросы с определенных IP-адре-

сов, относятся:Бином (Элекснет)

Киберплат

КредитПилот

ОСМП

Rapia

Уникасса

Для возможности внесения платежей только с серверов этихплатежных систем необходимо настроить брандмауэр. Следу-ет разрешить запросы с IP-адресов серверов платежных сис-тем. Следует запретить запросы с любых других IP-адресов.

IP-адреса серверов платежных систем указаны в договоре сплатежной системой.

На конфигурирование брандмауэра следует обратить особоевнимание.

К системам, использующим цифровые подписи, относятся:

e-port


Z-PAY

WebMoney

Для этих платежных систем нет необходимости в настройкебрандмауэра на запрещение запросов к модулю интеграции.

•

•

•

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


0


а л а

1.5 Запуск серверной части.

Журналирование

1.5.1 GNU/Lx

Для запуска базового модуля выполните команду

# /etc/init.d/netup-payment-systems start

Добавьте базовый модуль к списку ПО, запускаемого автома-тически.

1.5.2 rBSD

Для запуска базового модуля выполните команду

# /usr/local/etc/rc.d/netup-payment-systems.

sh start

Для автоматического запуска добавьте в файл /etc/rc.conf строку

netup-payment-systems_enable=”YES”

1.5.3 Журналирование

В файле

/netup/log/external-payment-systems/payments.log

7/22/2019 utm5_20070529


1



находится вся (включая запросы с некорректным синтакси-сом) информация о полученных от платежных систем запро-сах, результаты их обработки.

В файле

/netup/log/external-payment-systems/management.

log

содержится информация о платежах, модифицирование ко-торых производилось с помощью центра управления.

В файле

/netup/log/external-payment-systems/netup.log

содержится информация об обмене информацией между кли-ентом (центром управления) и сервером.

В файле

/netup/log/external-payment-systems/verifier.

содержится информация об ошибках в структуре базы дан-ных.

Файл

/netup/log/external-payment-systems/details.log

является полным логом, содержащим всю техническую ин-формацию.

7/22/2019 utm5_20070529


2


а л а

1.6 Работа с центром управления. Профили

Запуск центра управления производится двойным кликом

мыши на файле control.center.se.jar или командой:


При работе с базами данных, содержащих больше 25 тысяч поль-зователей, рекомендуется использовать ключ запуска -m1g.

Введите логин и пароль для доступа в систему, пароль приват-

ного ключа, указанный в параметрах сертификата. Для указа-ния адреса и порта N�S Eternal Payment Systems сервера на-жмите на кнопку с изображением гаечного ключа.

Для запуска центра управления нажмите на кнопку с надписьюExternal ayment Systems.

При первом запуске и использовании профиля Администрато-ра, введите логин – root, пароль – root. При использовании про-филя Менеджера, введите логин – manager, пароль – manager(подробнее о профилях системы в разделе Профили).

Интерфейс администрирования Системы внешних платежейбудет запущен.

Профили

Профили обеспечивают разграничение привилегий.

7/22/2019 utm5_20070529




По умолчанию в системе заведены профили:

Администратора

Менеджера

Администратор обладает привилегиями на использование все-го функционала системы. Администратор имеет возможность:

производить операции с платежами в Отчете по платежам

настраивать взаимодействие с внешними платежнымисистемами

управлять событиями, ролями, задачами, персоналом

просматривать текущие соединения с сервером

Менеджер имеет возможность производить операции тольков Отчете по платежам.

•

•

•

•

•

•

7/22/2019 utm5_20070529



а л а

В дальнейшем необходимо изменить логин и пароль для вхо-да в систему, отредактировав данные параметры в свойствах

учетных записей подсистем root и manager. Редактирование учетной записи подсистемы описывается в разделе Персонал.

На панели состояния в нижней части окна производится ин-дикация состояния соединения и отображаются дата и время.Зеленый значок индикации соединения означает – соедине-ние установлено, красный – соединение отсутствует. Для уста-новки нового соединения следует кликнуть левой или правой

клавишей мыши на значке индикации или выбрать в главномменю Система пункт Открыть соединение...

Для некоторых объектов системы существует возможностьвызова контекстного меню объекта. Контекстное меню дан-ного объекта вызывается кликом правой клавишей мыши наэтом объекте.

После изменения данных или регистрации новых становится

видимой панель Уведомление об изменении данных. КнопкаОтклонить (красный крестик) – отменяет изменения и закры-вает данную панель. Кнопка Применить (зеленая галочка) – от-правляет изменения на сервер и закрывает данную панель.

При наведении курсора мыши на названия терминов всплыва-

ет подсказка, подробно информирующая о значении термина.

7/22/2019 utm5_20070529




1.6.1 Отчет по платежам

Для отображения отчета по платежам пользователей, по-

полнивших баланс лицевых счетов с помощью внешних пла-тежных систем (пользователи указывали в качестве своегоидентификатора номер лицевого счета в системе UTM5), не-обходимо выбрать в списке типичных задач элемент Отчеты,Отчет по платежам.

Получение данных

С помощью панели Получение данных производится филь-трация платежей по:

Состоянию

Типу

Времени

По значению в таблице

Фильтрация по состоянию

В качестве параметра фильтрации выступает состояние:

не выбрано (платежи в любых состояниях)

идентифицированные (платежи в состоянии IDENTIFIED)

неизвестные (платежи в состоянии UNKNWN)

•

•

•

•

•

•

•

7/22/2019 utm5_20070529



а л а

необработанные (платежи в состояниях IDENTIFIED иUNKNWN)

обработанные (платежи в состоянии PRESSED)

Фильтрация по типу

В качестве параметра фильтрации выступает тип платежа -идентификатор обработчика, который принимал запрос.

Фильтрация по времени

В качестве параметра фильтрации выступает время проведе-

ния платежа.

Фильтрация по значению в таблице

Отображаются платежи, соответствующие заданному в стро-ке фильтрации шаблону.

С помощью правой кнопки мыши в поле фильтрации по про-

извольной строке существует возможность выбрать режимфильтрации:

Все слова фразы

Фраза целиком

Хотя бы одно слово фразы

Таблица c платежами

Для отображения платежей, соответствующих параметрамфильтрации следует нажать кнопку Создать. Будет отображе-на таблица c платежами, содержащая такие параметры плате-жа как:

ID

Дата

Лицевой счет

Имя

СуммаТип

•

•

•

•

•

•

•

•

•

••

7/22/2019 utm5_20070529





Состояние

ID

Идентификатор платежа в базе данных Модуля Интеграции.

Идентификатор платежа играет роль индекса платежа. Принеобходимости передается платежной системе для сверки.

Дата

Момент регистрации платежа в платежной системе. Если пла-тежной системой дата не передается - используется дата ре-гистрации платежа в Модуле Интеграции.

Лицевой счет

Номер лицевого счета в UTM5, на который пришел платеж.

Имя

Имя клиента, которому принадлежит лицевой счет.

Логин

Логин клиента, которому принадлежит лицевой счет.

•

•

7/22/2019 utm5_20070529



а л а

Сумма

Сумма платежа.

Валюта

Валюта платежа.

Тип

Идентификатор обработчика, которым был обработан за-прос.


Уникальный для данной платежной системы идентификаторплатежа, составленный из параметров пришедших в запросев формате

параметр=<значение>&параметр=<значение>....

Названия параметров заданы в нижнем регистре и отсорти-рованы по алфавиту.

Категорически не рекомендуется изменять значение Иденти-фикатора.

Состояние

Состояние платежа, присвоенное ему после обработки.

Выбор необходимых для отображения параметров платежаосуществляется в пункте Столбцы контекстного меню.

Существует возможность изменять значения некоторых пара-метров платежей одним из двух способов:

выделение параметра и ввод нового значения (для суммы

и идентификатора)

•

7/22/2019 utm5_20070529




выделение параметра и выбор нового значения из ниспа-дающего списка (для даты, лицевого счета, имени, логинаи т.д.)

Для того, чтобы в ниспадающем списке присутствовали пара-метры всех пользователей, занесенных в базу UTM5, следуетнажать кнопку Подгрузить Информацию о Клиентах.

Обработанные платежи

При правильной настройке системы платежи должны полу-чать статус обработанные (PRESSED).

Для просмотра обработанных платежей произведите филь-трацию по состоянию обработанные, задайте с помощьюфильтра времени необходимый временной диапазон и на-жмите Создать

Идентифицированные платежи

При невозможности выполнить shell-команду платеж иденти-фицируется Модулем Интеграции, но его регистрация в систе-ме UTM5 не происходит. Такой платеж получает статус иден-тифицированный (IDENTIFIED).

Для просмотра идентифицированных платежей произведитефильтрацию по состоянию идентифицированные, задайте спомощью фильтра времени необходимый временной диапа-

зон и нажмите Создать

•

7/22/2019 utm5_20070529


0


а л а

Попытка регистрации данных платежей в UTM5 и перевода

их в состояние PRESSED (обработанные) производитсясобытием [netup:integration]payment_registration[1.eternal].Данное событие вызывается пунктом контекстного менюПопробовать зарегистрировать платеж или в соответствиис настройками планировщика событий. Для попытки регист-рации всех идентифицированных платежей выберите пунктконтекстного меню Попробовать зарегистрировать всеплатежи.

По умолчанию событие [netup:integration]payment_registration[1.eternal] вызывается автоматически в соответствии с плани-ровщиком событий каждые 90 минут. Планирование событийпроизводится во вкладке Запланированные задачи и описы-вается в соответствующем разделе документации.

Неизвестные платежи

При нарушении бизнес-логики проведения платежа платежне идентифицируется Модулем Интеграции. Такой платежполучает статус неизвестный (UNKNWN).

Для просмотра неизвестных платежей произведите фильтра-цию по состоянию неизвестные, задайте с помощью фильтравремени необходимый временной диапазон и нажмитеСоздать

7/22/2019 utm5_20070529


1



Неидентифицированный платеж при необходимости возмож-но зарегистрировать, изменив его состояние на IDENTIFIED,

и вызвав событие [netup:integration]payment_registration[1.eternal].

Событие предварительной проверки

Если в бизнес-логике проведения платежа предусмотрена не-обходимость предварительной проверки, параметры пред-варительной проверки платежа будут отображены в таблице

Событие предварительной проверки.

Пришедшее событие для платежа

Таблица с полученными от платежной системы параметрамиплатежа.

Предварительно обработанное событие для платежа

Таблица с параметрами платежа, обработанного системой.

1.6.2 Настройка внешних платежных систем

Для просмотра списка всех зарегистрированных внешних пла-тежных систем на панели типичных задач выберите элементНастройки, затем Внешние платежные системы

7/22/2019 utm5_20070529


2


а л а

Платежные системы

В таблице Платежные системы для каждой платежной сис-темы отобразятся

Название

URI

Комиссионный сбор

Состояние

Автоматическая служба

Событие разбора запросаОписание

URI

По URI происходит идентификация запроса платежной сис-темы.


Комиссия в процентах, снимаемая с платежа абонента, в поль-зу платежной системы.

Пример. Абонент внес через платежную систему 100 рублей.Платежная система перевела на баланс провайдера 100 рублейи провела запрос Модулю платежных систем с суммой в 100рублей. Если комиссионный сбор установлен в 10% – на счет

абонента будет перечислено 90 рублей. В дальнейшем провай-дер проводит взаиморасчеты с платежными системами.

•

•

•

•

•

••

7/22/2019 utm5_20070529




Состояние

Состояния платежных систем:

actie – активна, платежи на соответствующий платежной

системе URI принимаютсяbloce – заблокирована, платежи на соответствующийплатежной системе URI не принимаются

setting_up – настраивается в данный момент, платежи насоответствующий платежной системе URI не принима-ются (служит для информации другим администраторамсистемы о производимой настройке)


Учетная запись подсистемы, от имени которой будут произво-диться действия.

Событие разбора запроса

Событие разбора запроса, соответствующие платежной системе.

Выбор необходимых для отображения параметров платеж-ной системы осуществляется при выборе пункта Столбцы контекстного меню.

Над платежной системой существует возможность проводитьоперации:

удаления (пункт Удалить платежную систему контекс-тного меню)

добавления (пункт Добавить платежную систему кон-текстного меню)

Параметры

С помощью панели Параметры для платежной системы су-ществует возможность изменения параметров:

Название

URI

Состояние

•

•

•

•

•

•

•

•

7/22/2019 utm5_20070529



а л а


Описание

Настройки

С помощью панели Настройки для платежной системы су-ществует возможность изменения параметров:

Событие разбора запроса


Операции

Соответствуют основным операциям:

Проверки возможности внесения платежа

Внесения платежа

•

•

•

•

•

•

7/22/2019 utm5_20070529




Над операциями существует возможность проводить:

Удаление (пункт Удалить операцию контекстного меню)

Редактирование (пункт Редактировать операцию кон-текстного меню)

При выборе пункта Редактировать операцию контекстногоменю вызывается вкладка Редактирование операции.

Вкладка Редактирование операции описывается в разделеРедактирование операции.

На данной вкладке для операции существует возможностьвыставить два из трех состояний: активна (галочка в колонке

Активность поставлена) или неактивна (галочка в колонке Активность не поставлена).

Проверки

Соответствуют техническим операциям (проверкам), исполь-зуемым парсером запроса для технических нужд:

Проверки цифровой подписи

Проверки хэш-суммы

Проверки входных параметров

Проверки адресата

Генерации подписи

•

•

•

•

•

•

•

7/22/2019 utm5_20070529



а л а

Над проверками существует возможность проводить: Удаление (пункт Удалить проверку контекстного меню)

Редактирование (пункт Редактировать проверку кон-текстного меню)

При выборе пункта Редактировать проверку контекстногоменю вызывается вкладка Редактирование проверки, полно-стью аналогичная вкладке Редактирование операции.

На данной вкладке для проверки существует возможностьвыставить два из трех состояний: активна (галочка в колонке

Активность поставлена) или неактивна (галочка в колонке Ак-тивность не поставлена).

Существующие по умолчанию наборы активных проверок со-ответствуют текущей логике взаимодействия с внешней пла-тежной системой.

1.6.3 Настройка операции

Использование данного функционала системы предполагаетпродвинутый уровень пользователя.

Существуют операции двух типов:

Основная операцияТехническая операция (проверка)

•

•

••

7/22/2019 utm5_20070529




Параметры

С помощью панели Параметры для операции существует воз-можность изменения:

НазванияСостояния

Описания

Состояние

Операция может иметь состояния:

actie – активна, для основных операций запросы данноготипа будут обработаны, для технических операций – про-верка будет произведена

bloce – заблокирована, для основных операций запро-

сы данного типа не будут обработаны, для техническихопераций – проверка не будет произведена

setting up – настраивается в данный момент, для основныхопераций запросы данного типа не будут обработаны, длятехнических операций – проверка не будет произведена(служит для информации другим администраторам систе-мы, что производится настройка операции)

Описание

Подробное описание операции/проверки.

••

•

•

•

•

7/22/2019 utm5_20070529



а л а

Настройки

С помощью панели Настройки для платежной системы су-ществует возможность изменения параметров:

Автоматическая службаСобытие


Учетная запись подсистемы, от имени которой будут произво-диться операции/проверки.

Событие

Событие, инициирующее операцию/проверку.

Существуют следующие этапы выполнения операции, кото-рые могут быть настроены администратором системы:

SQ-запрос (если задан, выполняется в первую очередь)

Shell-команда (если задана, выполняется после SQ-запроса)

••

•

•

7/22/2019 utm5_20070529




SQLзапрос

На панели SQL отображаются существующие данной опера-ции SQL запросы.

В нижней части панели SQL будет отображен общий вид вы-бранного запроса.

SQ запрос задается согласно ANSI SQ.

Например, запрос заданный в виде

+-----------+--------------+---------+

| Значение | Переменная | Условие |

+-----------+--------------+---------+

| event.sum | event.amount | |

+-----------+--------------+---------+

Означает, что значение переменной sum присваивается пере-менной amount.

Например, запрос заданный в виде

7/22/2019 utm5_20070529


0


а л а

+-------------------------+---------------------------+---------------------------+

| Значение | Переменная | Условие |

+-------------------------+---------------------------+---------------------------+

| db.personal_accounts.id | event.personal_account_id | db.personal_accounts.id = |

| | | event.account |

+-------------------------+---------------------------+---------------------------+

Означает, что значение переменной personal_account_i при-сваивается значению поля i таблицы personal_accounts избазы данных, если поле i равно значению параметра account,пришедшему в запросе.

Для удаления SQ запроса необходимо выбрать пункт Уда лить SQL контекстного меню.

Для создания SQ запроса необходимо задать Значение,Переменную, Условие в пустой строке.

Shellкоманда

На панели Shellкоманда отображаются команды, исполняе-мые оболочкой операционной системы. Команды могут бытьсоставными и определяются согласно правилам оболочки ОС.

В нижней части панели Shellкоманда будет отображен об-

щий вид команды.

7/22/2019 utm5_20070529


1



Shell-команда должна быть составлена так, чтобы возвращать0, в случае успешного выполнения, и не 0 во всех остальныхслучаях.

При подстановке в shell-команду вместо параметра его значе-ния экранируются символы одмнарной и двойной кавычки.

При необходимости использования в Shell-команде или SQ-запросе значения параметра HTTPS-запроса, следует исполь-зовать слово из словаря EVENT (применимо только для сло-варя EVENT), написание которого полностью совпадает с на-писанием параметра (без учета заглавных букв). Тогда при вы-полнении SQ-запроса или Shell-команды EVENT.<название

параметра> заменяется на <значение параметра>, если такоевозможно. Если такое не возможно - произойдет интерпрета-ция стандартным образом, т.е. как <название параметра>.

1.6.4 Управление ролями

Для просмотра списка зарегистрированных в системе ролейна панели типичных задач выберите элемент Система, затемРоли.

7/22/2019 utm5_20070529


2


а л а

Над ролями существует возможность проводить операции:

Добавления

Редактирования

Удаления

1.6.5 Управление событиями

Для просмотра списка событий и ролей, способных вызыватьэти события на панели типичных задач выберите элементСистема, затем События.

Для событий существует возможность назначать роли, спо-

собные вызывать события.

1.6.6 Управление запланированными

задачами

Для просмотра перечня запланированных событий выберитев списке типичных задач элемент Система, Запланирован

ные задачи.

•

•

•

7/22/2019 utm5_20070529




Будут отображены события, запуск которых планируется, а также дата последнего запуска события и периодичность запускасобытия.

По умолчанию единственным запланированным событи-ем в системе является событие netup:integration:payment_

registration:1.eternal, которое производит попытку переводаплатежа из состояния IDENTIFIED в состояние PRESSED.

С помощью контекстного меню можно добавлять, удалять,редактировать запланированные события. При редактирова-нии события имеется возможность выбрать нужное событиеиз общего списка событий системы, периодичность запуска,названия, типы и значения передаваемых параметров.

7/22/2019 utm5_20070529



а л а

1.6.7 Управление персоналом

Служба - учетная запись подсистемы. Для просмотра перечнязарегистрированных в системе автоматических служб выбе-

рите в списке типичных задач элемент Система, Персонал.

Каждый установленный дополнительный модуль платежнойсистемы добавляет собственную службу. Например, модульплатежной системы e-port добавляет Службу e-port.

7/22/2019 utm5_20070529




Будет отображен список логинов и имен автоматическихслужб системы. Существует возможность добавления, удале-ния и редактирования автоматических служб.

Над учетными записями существует возможность проводитьоперации:

Добавления (пункт Добавить контекстного меню)

Редактирования (пункт Редактировать контекстногоменю)

Удаления (пункт Удалить контекстного меню)

При добавлении указываются логин, пароль, имя службы.

При редактировании изменяются пароль, имя службы.

В текущей версии Модуля интеграции параметры Адрес сервера и Порт сервера не используются.

1.6.8 Текущие соединения

Для просмотра текущих соединений на панели типичных за-дач выберите элемент Система, затем Текущие соединения.

•

•

•

7/22/2019 utm5_20070529



а л а

1.7 Параметры запросов платежных систем

1.7.1 Бином

Сайт системы: http://.elecsnet.ru/

Для системы Бином поддерживаются параметры

параметрвозможные

значенияописание

Action Auth запрос на внесение платежа

Pre запрос на проверку возможностивнесения платежа

Timestamp yyyymmhhmmssдата и время платежа (дата и времяполучения запроса от клиента)

lient строка идентификатор абонента

Key число (128 he) уникальный идентификатор плате-жа в системе Бином

7/22/2019 utm5_20070529




Sum число (ec) сумма платежа в копейках

Stan числономер транзакции в процессингесистемы Бином

heque число номер чека

Sign строка (512 he) АСП банка (на данный момент сис-темой Бином не поддерживается)

Код валюты платежа 810.

Примеры запросов:

https://zao.ru:8080/binom?action=pre&key=705591aba85a60acc2179df3d42a7717&stan=XXXXXX&client=2821&sum=

20000&timestamp=20061201121059&term=5577&cheque=876

54321&sign=28162ff1459e0eaa7402c37aacdf0900fc0116e3

f2ac34eafb262438c0d278eb185bb464807f09290aa3c87cf5c

bd5c11930049b0489e03a3ce933e62201525a20cf4ea59bb107

2ef9e05f9eb26da1c0545edf86991215c7196eb55d1e92a646b

9986a8ce4c64c467b0f452fc6d6fab129dcdf71c911ffd0508a

025e0540aad9d68ca253ef2aeae0f2369a8e2ca46571afc5f49

c0766f3a741d88d4d6a9e08e662e2669efff06871bed79f4dbd

e048ad0e7e2b4b16747410fa9a69014b1e1327578b662a62d57f830bf25654808916d65315b2f33dffdd94020136c4f216f646

863727ac5784d9f80111c384b814dcb297165644b02a638b13d

9a63aa4fcc53a

https://zao.ru:8080/binom?action=auth&key=68b329da9

893e34099c7d8ad5cb9c940&stan=121212&client=2821&sum

=20000&timestamp=20061201121059&term=5577&cheque=87

654321&sign=9d1f673b5c7e065ebea1e7e2dce2ebc45302579

8755a5a47d42b3f3a0fe946335ac48ed8e7f78307059c0b3e5a006ff2ad81b30c03dbb667e52286f4ecc3123cfecb1602d9316

4df3b7253f6ebffd0fddcff3d9f8f

a5ccce3a217767ac4509e367e2e634ffd7e2064d7de9375bd0

86db0c6ac25aadd35f9e0234550e1f659f784bd38fbb0a775a

14e26c50166189e08e5285927d1845a0848fa1134b4d244742

4d4de2182a1a326c93c23c6c8f1048d7a02112fc9e26998efb

306fdadc25490117986d52299f14bbc55cd1f2dd62b9a46005

786facd11f9717934d11721c620cf0e9e2ccb635c6226f4127

fb39f052606dd157a9672de4670f2e387cccdead0

7/22/2019 utm5_20070529



а л а

За более подробной информацией обратитесь к документа-ции и технической части договора с платежной системой.

1.7.2 Кредит-Пилот

айт системы: http://.p-ealer.ru/

Для системы Кредит-Пилот поддерживаются параметры:



comman getabstateaccзапрос на проверку возможностивнесения платежа

atobalanceacc запрос на внесение платежа

bani число дата и время платежа (дата и времяполучения запроса от клиента)

ei число идентификатор организиции

qi число идентификатор запроса

abacc числ лицевой счет

crci число тип валюты

sum число начисляемая сумма



https://zao.ru:8080/credit_pilot?command=getabstate

acc&bankid=1234&devid=1&qid=34342324&abacc=1234567

https://zao.ru:8080/credit_pilot?command=addtobalan

ceacc&bankid=1235&devid=1&qid=34342324&abacc=123456

7&crcid=810sum=300

7/22/2019 utm5_20070529




За более подробной информацией обратитесь к документа-ции и технической части договора с платежной системой. па-раметр URI = osmp.

1.7.3 Киберплат

Сайт системы: http://.cyberplat.ru/

Для системы Киберплат поддерживаются параметры:

параметр возможныезначения

описание

action chec

проверка возможности проведе-ния платежа в биллинговой сис-теме провайдера услуг по уникаль-ному идентификатору абонентаи сумме платежа (поиск абонента,проверка номера)

payment запрос на внесение платежа

numberстрока, до 30символов

номер абонента. Тип этого поляможет быть уточнен при интегра-ции платежной системы и Провай-дера услуг

type целое числотип платежа задаёт тип поляnumber

amount

число до 10

знаков, денеж-ный форматNNNNNN.NN

сумма платежа в рублях с копейка-ми. Разделитель ‘.’ (точка)

receiptцелое число до15 знаков

уникальный номер платежа, сфор-мированный платежной системой(номер транзакции)

ate YYYY-MM-DDThh:mm:ss

дата и время операции по часово-му поясу платежной системы

7/22/2019 utm5_20070529


00


а л а

aitional строка

опциональное поле. Данные, передава-

емые в этом параметре, формируются

дилерским ПО и не проходят предвари-

тельной проверки на стороне платеж-

ной системы. Наличие этого параметра

и форматы передаваемых в нём данныхдолжны отдельно согласовываться с

Киберплат



https://zao.ru:8080/cyberplat?action=check&number=9166438476&type=1&amount=25.34

https://zao.ru:8080/cyberplat?action=payment&number

=9166438476&amount=25.34&receipt=3568264&date=2005-

09-20T15:53:00

За более подробной информацией обратитесь к документа-

ции и технической части договора с платежной системой.

1.7.4 ОСМП

Сайт системы: http://.osmp.ru

Для системы ОСМП поддерживаются параметры:



commanpay запрос на внесение платежа

checзапрос на проверку возможностивнесения платежа

7/22/2019 utm5_20070529


01



bani ГГГГММДДЧЧММСС дата и время платежа (дата и времяполучения запроса от клиента)

tn_i integer ec до 20знаков уникальный идентификатор плате-жа в системе ОСМП

accountstring до 200знаков

идентификатор абонента

sumденежный формат

NNNNNN.NNсумма платежа



https://zao.ru:8080/osmp?command=check&txn_id=12345

67&account=0957835959&sum=10.45

https://zao.ru:8080/osmp?command=pay&txn_

id=1234567&txn_date=20050815120133&account=09578359

59&sum=10.45


1.7.5 Уникасса

Сайт системы: http://.uniassa.ru/

Для системы Уникасса поддерживаются параметры:



user строка 64 символа идентификатор провайдера

7/22/2019 utm5_20070529


02


а л а

pass строка 128 символа секретное слово провайдера

si строка 64 символа идентификатор типа услуги

sum строка 64 символа идентификатор клиента

uactget_info запрос на проверку возможнос-ти внесения платежа

payment запрос на внесение платежа

Term строкаидентификатор пункта приемаплатежа

Trans строка

идентификатор транзакциив системе Уникасса (вместе спараметром Term играет роль

уникального идентификатораплатежа в системе Уникасса)

Sumденежный форматNNNNNN.NN

сумма платежа



https://zao.ru:8080/unikassa?duser=dealer1&dpass=1d

ad01d23ads4567&cid=123123123&uact=get_info

https://zao.ru:8080/unikassa?duser=dealer1&dpass=1d

ad01d23ads4567&cid=123123123&uact=payment&term=10&t

rans=12345&sum=123.00


1.7.6 Яндекс.Деньги

Сайт системы: http://money.yane.ru/

Для системы Yane.Деньги поддерживаются параметры:

7/22/2019 utm5_20070529


0





Action

paymentSuccess запрос на внесение платежа

hec запрос на проверку возмож-ности внесения платежа

paymentFaile уведомление об отказе от пла-тежа

orerreate-Datetime

YYYY-MM-DDThh:

mm:ss.fZZZZZ

дата и время платежа (дата ивремя получения запроса отклиента)

customerNumberстрока до 64

символов

уникальный идентификатор

абонента

orerNumber строка уникальный идентификаторплатежа в системе Yane.Деньги

orerSum- Amount

денежный формат


orerSumurrency-

Paycashчисло код валюты

orerIsPai

1 абонент оплатил (модулеминтеграции не используется)

!=1абонент не оплатил(модулеминтеграции не используется)

orerSum�an-Paycash

строка код банка

pgpSignature строка контрольная PP-подпись

m5 строка контрольная m5 сумма

requestDatetime YYYY-MM-DDThh:

mm:ss.fZZZZZ

момент формирования запро-са в системе Яндекс.Деньги(модулем интеграции не ис-пользуется)

shopI строка идентификатор провайдера

shopSumAmount числосумма без комиссии (модулеминтеграции не используется)

shopSumurrency--Paycash число код валюты в shopSumAmount

7/22/2019 utm5_20070529


0


а л а

shopSum�an-Paycash

число код процессингового центра

paymentPayeroe число номер кошелька абонента

paymentDatetime YYYY-MM-DDThh:mm:ss.fZZZZZ

время регистрации оплаты

(модулем интеграции не ис-пользуется)

paymentType строкатип платежа по классифика-ции Яндекс.Деньги



https://zao.ru:8080/yandex_money?requestDatetime=2

007-01-21T10:20:06Z&action=Check&md5=8256D2A032A35

709EAF156270C9EFE2E&shopId=13&orderNumber=55&custo

merNumber=8123294469&orderCreatedDatetime=2007-01-

21T10:20:04Z&orderSumAmount=87.10&orderSumCurrency

Paycash=643&orderSumBankPaycash=1001&shopSumAmount

6.23&shopSumCurrencyPaycash=643&shopSumBankPaycash

=1001&paymentType=1&paymentPayerCode=42007148320&orderIsPaid=0&md5=&pgpSignature=&MyField=Добавленное

магазином поле

https://zao.ru:8080/yandex_money?requestDatetime=2

007-01-21T10:20:10Z&action=PaymentSuccess&md5=4512

5C95A20A7F25B63D58EA34AFED2&shopId=13&orderNumber=5

5&customerNumber=8123294469&orderCreatedDatetime=2

007-01-21T10:20:04Z&orderSumAmount=87.10&orderSumC

urrencyPaycash=643&orderSumBankPaycash=1001&shopSumAmount=86.23&shopSumCurrencyPaycash=643&shopSumBa

nkPaycash=1001&orderIsPaid=1&paymentDatetime=2005-

01-21T10:20:10Z&paymentType=PC&paymentPayerCode=4

2007148320&md5=&pgpSignature=&MyField=Добавленное

магазином поле


7/22/2019 utm5_20070529


0



1.7.7 -pr

Сайт системы: http://e-port.ru

Для системы e-port поддерживаются параметры:



type

1 запрос на внесение платежа

2запрос на проверку возможности

внесения платежа

3запрос на аннулирование сделки(модулем интеграции не поддержи-вается)

4запрос на коррекцию сделки (мо-дулем интеграции не поддержива-ется)

i Число (целое ненулевое) уникальный идентификатор плате-жа в системе e-port

ateDD.MM.YY HH:MM:SS

дата и время платежа (дата и времяполучения запроса от клиента)

account строка идентификатор абонента

Sumденежный формат


sign число (he) RSA MD5 подпись запроса

hash числохэш-сумма параметров запроса (мо-дулем интеграции не используется)

testMoe 0идентификатор тестового внесе-ния платежа

1 идентификатор внесения платежа

Код валюты платежа 810

7/22/2019 utm5_20070529


0


а л а


https://zao.ru:8080/eport?account=1234%20567&date=21.10.03%2016%3A07%3A14&hash=5237893&id=30275&sum=23

4.56&type=1&sign=2BA555F3746588078D99419B2FB52E0303

BB87F1EF9D8943CE02D8A2B8D8EFF3AA9899C80D537625E9000

A2123AAEFCE8D68ADFC836823C7847203C635521E02D4F4C681

CE65AD4AF3C14FE7D55EB2CCEB4DD2B17C15F922ECFE850E23A

85FCE81EFABC845B3E7B2EAB98DA2DF03125F6097FCD9E3B835

0726D453750303499F

https://zao.ru:8080/eport?account=1234%20567&date=21.10.03%2016%3A07%3A14&sum=234.56&type=2&sign=3C5A0

FBFD8443512B1B3340036040F46BC0BB848D88A19345A52AA9A

25CFE79C58FC480BABD2A08067D1911CE5FEDCA9D5C75AE4C6C

0B3D1D0040E47146ACD75120FA298ADC9B343AA6C54D24E3AB0

E2DFADE07F810F0780986B5C03BB4BAD9BA2763FB528DE2F680

0CA1150213DCA53AA3CBCFDD4DA7783AFB79BB22ED0C300

За более подробной информацией обратитесь к документа-

ции и технической части договора с платежной системой.

1.7.8 apda

Сайт системы: http://.rapia.ru

Для системы Rapia поддерживаются параметры



type2 запрос на внесение платежа

1запрос на проверку возможности

внесения платежа

7/22/2019 utm5_20070529


0



orer число (int) уникальный идентификатор плате-жа в системе Rapia

Sum

уникальныйидентификатор

платежа в систе-ме Rapia


i строка идентификатор абонента


Пример запроса:

https://zao.ru:8080/rapida?order=123456&sum=100.00&

id=ХХХХХХХ&type=1

https://zao.ru:8080/rapida?order=123456&sum=100.00&

id=ХХХХХХХ&type=2


1.7.9 Wb My

Сайт системы: http://.ebmoney.ru/

Для системы WebMoney поддерживаются параметры:

параметрвозможные зна

ченияописание

MI_PREREQUEST

1запрос на проверку возмож-ности внесения платежа

!=1 или отсутс-твует

запрос на внесение платежа

MI_PAYEE_

PURSE буквы и 15 цифр

кошелек провайдера, на ко-торый абонент совершаетплатеж

7/22/2019 utm5_20070529


0


а л а

MI_

PAYMENT_

AMUNT

денежный формат


MI_

PAYMENT_N

строка уникальный идентификатор

платежа в системе WebMoney

MI_MDE

1запрос на тестовое внесениеплатежа



MI_PAYER_

WMстрока

идентификатор абонента всистеме WebMoney (модулеминтеграции не используется)

MI_PAYMER_NUM�ER

строканомер ВМ-карты (модулем ин-теграции не используется)

MI_PAYMER_EMAI

числоe-mail абонента(модулем интег-рации не используется)

MI_TEEPAT_

NENUM�ER число

номер телефона абонента (мо-дулем интеграции не исполь-зуется)

MI_SYS_TRANS_DATE

YYYYMMDD HH:MM:SS


MI_SYS_INVS_N

строка

номер лицевого счета абонен-та в системе WebMoney (моду-

лем интеграции не использу-ется)

MI_SYS_TRANS_N строка

уникальный идентификаторплатежа в системе WebMoney

MI_PAYER_PURSE

буквы и 15 цифркошелек абонента с которогосовершен платеж

MI_HASH строкаконтрольная m5-сумма пара-метров запроса

MI_SERET_KEY

строка ключ магазина

account строка номер лицевого счета абонен-та в UTM5

7/22/2019 utm5_20070529


0





https://zao.ru:8080/web_money?LMI_PREREQUEST=1&LMI_

PAYMENT_AMOUNT=1.0&LMI_PAYMENT_NO=1&LMI_PAYEE_

PURSE=R397656178472&LMI_MODE=1&LMI_PAYER_

WM=809399319852&FIELD_1=VALUE_1&FIELD_2=VALUE_

2&FIELD_N=VALUE_N&account=123

https://zao.ru:8080/web_money?LMI_PAYMENT_

AMOUNT=1.0&LMI_PAYMENT_NO=1&LMI_PAYEE_

PURSE=R397656178472&LMI_MODE=1&LMI_SYS_

INVS_NO=281&LMI_SYS_TRANS_NO=558&LMI_PAYER_

PURSE=R397656178472&LMI_PAYER_WM=809399319852&LMI_

SYS_TRANS_DATE=20020314 14:01:14&LMI_HASH=114128B

8AEFD8CAA76D3CF75B9AEBC17&FIELD_1=VALUE_1&FIELD_

2=VALUE_2&FIELD_N=VALUE_N&account=123


1.7.10 Z-PY

Сайт системы: http://.z-pay.ru

Для системы Z-PAY поддерживаются параметры:

параметрвозможные зна

ченияописание

MI_PREREQUEST

1запрос на проверку возмож-ности внесения платежа



7/22/2019 utm5_20070529


10


а л а

MI_PAYEE_

PURSE буквы и 15 цифр

идентификатор магазина всистеме Z-PAY, на который або-нент совершает платеж

MI_PAYMENT_

AMUNT

денежный форматNNNNNN.NN


MI_

PAYMENT_Nстрока

уникальный идентификаторплатежа в системе Z-PAY

MI_MDE

1запрос на тестовое внесениеплатежа

!=1 или отсутс-

твует


MI_PAYER_

WMстрока

идентификатор абонента всистеме Z-PAY (модулем интег-рации не используется)

MI_PAYMER_NUM�ER

строканомер ВМ-карты (модулем ин-теграции не используется)

MI_PAYMER_EMAI

числоe-mail абонента(модулем интег-

рации не используется)

MI_TEEPAT_

PHNENUM�ER число

номер телефона абонента (мо-дулем интеграции не исполь-зуется)

MI_SYS_TRANS_DATE

YYYYMMDD HH:MM:SS


MI_SYS_INVS_N

строканомер лицевого счета абонен-та в системе Z-PAY (модулеминтеграции не используется)

MI_SYS_TRANS_N

строка уникальный идентификаторплатежа в системе Z-PAY

MI_PAYER_PURSE

буквы и 15 цифркошелек абонента с которогосовершен платеж

MI_HASH строкаконтрольная m5-сумма пара-метров запроса

MI_SERET_KEY

строка ключ магазина

7/22/2019 utm5_20070529


11



account строканомер лицевого счета абонен-та в UTM5

DES_PAY строканазначение платежа. Описа-ние товара или услуги. Форми-

руется продавцом

ID_PAY строка

внутренний номер счета всистеме Z-PAY. Номер счета всистеме Z_PAY, выставленныйпокупателю от магазина в про-цессе обработки запроса навыполнение платежа

IENT_MAI

строка e-mail клиента



https://zao.ru:8080/z_pay?LMI_PREREQUEST=1&LMI_

PAYMENT_AMOUNT=1.0&LMI_PAYMENT_NO=1&LMI_PAYEE_

PURSE=R397656178472&LMI_MODE=1&LMI_PAYER_

WM=809399319852&FIELD_1=VALUE_1&FIELD_2=VALUE_

2&FIELD_N=VALUE_N&account=123

https://zao.ru:8080/z_pay?LMI_PAYMENT_

AMOUNT=1.0&LMI_PAYMENT_NO=1&LMI_PAYEE_

PURSE=R397656178472&LMI_MODE=1&LMI_SYS_

INVS_NO=281&LMI_SYS_TRANS_NO=558&LMI_PAYER_

PURSE=R397656178472&LMI_PAYER_WM=809399319852&LMI_

SYS_TRANS_DATE=20020314 14:01:14&LMI_HASH=114128B

8AEFD8CAA76D3CF75B9AEBC17&FIELD_1=VALUE_1&FIELD_

2=VALUE_2&FIELD_N=VALUE_N&account=123


7/22/2019 utm5_20070529


12


а л а

2. Система Интеграции UTM5 & 1С:Пред-

приятие


Система Интеграции UTM5 и 1С:Предприятие1 используетсядля интеграции и синхронизации данных биллинговой систе-мы NetUP UTM5 и системы автоматизации бухгалтерскогодокументооборота 1С.

Система Интеграции UTM5 и 1С:Предприятие состоит из:

серверной части N�S Integration Serer, построенной наплатформе NetUP �usiness Serer (N�S)

интерфейса администрирования серверной части,построенного на платформе NetUP ontrol enter SpecialEition (SE)

сетевого модуля системы автоматизации бухгалтерского до-кументооборота 1С:Предприятие, установленного на ком-пьютере с программным обеспечением 1С:Предприятие.

•

•

•

7/22/2019 utm5_20070529


1



Данная система позволяет:

передавать информацию между биллинговой системойUTM5 и системой 1С:Предприятие

обеспечивать синхронизацию данных между этими системами

контролировать передаваемые данные и отслеживать рас-синхронизации

выбирать типы контролируемых и передаваемых данных

проводить следующие операции в системе 1С:Предприятие:

o регистрация, изменение и удаления информации оконтрагентах

o регистрация, изменение и удаления информации о платежахo регистрация, изменение и удаления информации о счетахo регистрация, изменение и удаления информации о пози-

циях счетов

регистрировать информацию о платежах в биллинговой

системе UTM5

осуществлять передачу данных по протоколу TP/IPс поддержкой SS3

не изменять конфигурацию 1С:Предприятия — системаможет работать с доработанными конфигурациями.

Для интегрирования биллинговой системы UTM5 и системы1С:Предприятие необходимы:

сервер с биллинговой системой UTM версии 5.2.0 иливыше (ОС NU/inu, Free�SD, Solaris, Winos)Версии ниже 5.2.0 не поддерживаются, поскольку в этихверсиях в базе данных UTM5 отсутствует таблицаuser_log. Синхронизация проводится только по пользо-вателям, зарегистрированным после обновления версии

UTM до 5.2.0. Для получения дополнительной информа-ции обращайтесь в службу технической поддержки ком-пании.

•

•

•

•

•

•

•

•

•

7/22/2019 utm5_20070529


1


а л а

сервер с ОС entoo inu с установленным N�S IntegrationSerer. Другие дистрибутивы ОС inu могут потребоватьдополнительной настройки. Работа N�S Integration Sererс ними не гарантируется.

сервер базы данных MySQ 5. версии или выше с подде-ржкой транзакционной обработки данных

компьютер с ОС Winos с установленными MicrosoftM Parser 3.0 и выше и системой программ 1С:Предпри-ятие 7.7 релиз 7.70.021 и выше в конфигурации:

o бухгалтерский учет типовая, редакция 4.5 (релиз конфи-

гурации 7.70.450 и выше)

Из-за несовместимости полей баз данных без доработокне работает с конфигурациями Комплексная, Торговляи склад, Производство+Услуги+Бухгалтерия.

компьютер с наличием aa Runtime Enironment версиине ниже 5.0 (RE 1.5.0.) и интерфейсом управления Сис-темой Интеграции UTM5 и 1С:Предприятие (SE ин-

терфейс администрирования).

2.2 Установка и настройка системы

Для предварительной настройки системы в личном кабинете кли-ента на сайте http://.netup.ru в разделе Интеграция с 1С не-обходимо воспользоваться ссылкой Изменить настройки

•

•

•

•

7/22/2019 utm5_20070529


1



Для установки серверной части Системы Интеграции UTM5и 1С:Предприятие загрузите архив is-utm5-1c-serer.tar.gz, вос-пользовавшись ссылкой в личном кабинете в разделе Интег-рация с 1 С.

На сервере с ОС entoo NU/inu распакуйте архив командой:

# tar zxf is-utm5-1c-server.tar.gz -C /

В результате будет созданы директория /netup/integration_system_solution/, в которой находятся испол-няемые и конфигурационные файлы системы, директо-рия /netup/logs/nbs, в которой находятся логи, скрипт

запуска системы интеграции /etc/init./nbs.iss.

Для создания базы N�S выполните:

# mysql -u root

mysql> create database NBS;

mysql> quit

1.

2.

7/22/2019 utm5_20070529


1


а л а

Настройте доступ для пользователя с логином login_MySQ,хостом host и паролем passor_MySQ к базе данных N�S:

# mysql -u root

mysql> grant all privileges on NBS.* to

login_MySQL@host identified by “password_

MySQL” with grant option;

mysql> quit

Запустите серверную часть Системы Интеграции UTM5и 1С:Предприятие командой:

# /etc/init.d/nbs.iss start

Для изменения конфигурации серверной части следуетзадать требуемые параметры в файле /netup/integration_system_solution/nbs.cfg.

Для регистрации нового системного пользователя N�Sв файле /netup/integration_system_solution/startup.mlнеобходимо заменить login_N�S на логин нового пользо-вателя и passor_N�S на пароль нового пользователя

<new_staff family=”netup:sys”

version=”1.0”>

<password type=”string”>password_NBS</password>

<login type=”string”>login_NBS</login>

</new_staff>

и перезапустить N�S Integration сервер.

3.

4.

7/22/2019 utm5_20070529


1



Для установки интерфейса управления Системы ИнтеграцииUTM5 и 1С:Предприятие загрузите модуль управления СистемыИнтеграции UTM5 и 1С:Предприятие, воспользовавшись ссыл-кой в личном кабинете. Распакуйте архив is-utm5-1c-ccse.zip.

Для запуска интерфейса управления необходимо установить aa Runtime Enironment не ниже версии 5.0 (RE 1.5.0.).Дистрибутив доступен для загрузки на сайте производите- ля http://jaa.sun.com в разделе onloas или на сайтеhttp://.netup.ru в разделе демонстрационные версии(http://.netup.ru/onloas/jre-1_5_0-inos-i586.ee_).

Распаковку новой версии интерфейса не следует проводить

поверх старой.

Для установки сетевого модуля системы 1С: Предприятиезагрузите сетевое расширение для системы 1:Предприятие,воспользовавшись ссылкой в личном кабинете. Распакуйтеархив is-utm5-1c-etension.zip. Установите сетевое расшире-ние для 1:Предприятие на компьютере с Winos , запустивsetup.ee.

Для изменения конфигурации необходимо задать требуемыепараметры в файле 1c_etension.ini дистрибутива сетевогомодуля и переустановить его.

Выберите ту конфигурацию 1, с базами которой необходимасинхронизация.

Для синхронизации с конфигурацией Типовая укажите ката-

лог конфигурации :\Program Files\177\1S�D�

7/22/2019 utm5_20070529


1


а л а

Если была установлена новая конфигурация 1С, следует про-извести ее запуск в монопольном режиме до установки сете-вого модуля.

2.3 Работа с интерфейсом

администрирования Системы Интеграции

Запуск интерфейса администрирования Системы Интегра-ции UTM5 и 1С:Предприятие производится двойным кликоммыши на файле control.center.se.jar или командой:


Введите адрес и порт сервера, логин и пароль для доступав Систему Интеграции UTM5 и 1С:Предприятие

7/22/2019 utm5_20070529


1



В списке типичных задач выберите элемент Синхрониза-ция. Выберите типы передаваемых данных, периодичностьопераций синхронизации и дату последней синхронизации.

Нажмите Применить

Для первой синхронизации с сервером UTM5 в поле Пос ледняя синхронизация выберите дату обновления сервераUTM5 до 5.2.0, например 01.01.2006.

Для работы с клиентами, имеющими измененный статус, в на-стройках синхронизации следует поставить галочку Изменять в1С.

7/22/2019 utm5_20070529


20


а л а

Рассмотрим конкретный пример работы системы. В системезарегистрировано семь пользователей. Пользователям вы-ставлен счет за подключение к тарифу с периодической со-ставляющей стоимости 500 рублей. Счет был оплачен внесе-нием платежа с помощью интерфейса администратора.

В списке типичных задач выберите элемент Клиенты

В списке типичных задач выберите элемент Платежи

7/22/2019 utm5_20070529


21



В списке типичных задач выберите элемент Счета на оплату

Для обновления содержимого полей кликните на поле правойкнопкой мыши и нажмите обновить.

Если был создан пользователь, проведены платежи, выставле-ны счета за услуги, а затем пользователь был удален, и не былопроведено ни одной синхронизации с момента его регистра-ции — эти платежи и счета не отобразятся в системе 1.

На панели состояния в нижней части окна производится ин-дикация состояния соединения и отображаются дата и время.Зеленый значок индикации соединения означает — соедине-

ние установлено, красный — соединение отсутствует. Для уста-новки нового соединения следует кликнуть клавишей мыши

7/22/2019 utm5_20070529


22


а л а

на значке индикации или выбрать в главном меню Система пункт Открыть соединение...

2.4 Работа с сетевым модулем Системы

Интеграции

Запустите 1:Предприятие и загрузите необходимую конфи-гурацию

Из меню Сервис выберете пункт Дополнительные возможности. Выберете расширение Синхронизация с NetU UTM5 (1.0�.Нажмите Открыть

затем Параметры.

7/22/2019 utm5_20070529


2



Введите параметры: адрес, порт сервера, настройки синх-ронизации, период для которого нужно провести синхрони-зацию

и нажмите кнопку OK .

Введите логин и пароль для доступа в Систему ИнтеграцииUTM5 и 1С:Предприятие

7/22/2019 utm5_20070529


2


а л а

и нажмите кнопку Выполнить.

В 1С:Предприятие должна быть зарегистрирована валютаRU� с кодом 643.

Клиенты отобразятся в полях базы Справочники, Контрагенты

Платежи отобразятся в полях базы Журналы, Касса

При необходимости осуществляется проводка приходныхкассовых ордеров

7/22/2019 utm5_20070529


2



Для внесения платежа наличными в 1С выберите Документы,Приходный кассовый ордер, заполните необходимые поляи проведите платеж

Выполните синхронизацию в сетевом модуле и интерфей-се администрирования, предварительно поставив галочкиЗагружать из 1С, Создавать в UTM5

7/22/2019 utm5_20070529


2


а л а

Платеж будет внесен в систему UTM5

Внесение платежей задним числом может привести к некор-ректной работе системы.

7/22/2019 utm5_20070529


2



7/22/2019 utm5_20070529


2

Р у к о в о д с т в о

п о л ь з о в а т е л я

7/22/2019 utm5_20070529


2

Р у к о в о д с т в о п о л ь з о в а т е л я

20. Руководство пользователя


1. Личный кабинет ......................................................... 4302. Утилита utm5 intray ................................................. 4323. Настройка компьютера клиента на работу с VPN . 433

7/22/2019 utm5_20070529


0



1. Личный кабинет

Для входа в личный кабинет пользователя необходимо запус-тить любой интернет-браузер (Internet Eplorer, pera, Mozil-Internet Eplorer, pera, Mozil-Eplorer, pera, Mozil-Eplorer, pera, Mozil-, pera, Mozil-pera, Mozil-, Mozil-Mozil-

la, Konqueror, lyn и др.) и набрать в адресной строке:, Konqueror, lyn и др.) и набрать в адресной строке:Konqueror, lyn и др.) и набрать в адресной строке:, lyn и др.) и набрать в адресной строке:lyn и др.) и набрать в адресной строке:и др.) и набрать в адресной строке:

https://SERVER/cgi-bin/utm5/aaa5://SERVER/cgi-bin/utm5/aaa5SERVER/cgi-bin/utm5/aaa5/cgi-bin/utm5/aaa5cgi-bin/utm5/aaa5-bin/utm5/aaa5bin/utm5/aaa5/utm5/aaa5utm5/aaa55/aaa5aaa55

где SERVER замените на IP-адрес либо доменное имя серверапровайдера. При этом префикс https:// указывает на то, чтонеобходимо использовать шифрование SS. В случае если веб-сервер не поддерживает SS, то интернет-браузером будетвыдана ошибка. В этом случае можно использовать префикс

http://, но при этом возникает опасность перехвата логинаи пароля злоумышленниками.

В личном кабинете доступна информация по лицевому счёту абонента, отчёты по потребленным услугам, возможность уп-равлять доступом, пополнение счёта, отсылка сообщения ад-министратору и др.

Вкл/Выкл интернета

Здесь можно включить или выключить Интернет. Если не удается включить Интернет, то это означает, что аккаунт за-блокирован. Заблокирован он может быть по двум причинам:

либо закончились деньги на счету, либо администратор забло-кировал аккаунт.

Отчёты

В этом разделе можно узнать информацию, которая известнао Вас системе. Здесь есть данные о состоянии счёта, исполь-зуемом тарифном плане, логин (для тех, кто забыл). Можно

узнать дату начала и дату окончания учётного периода, а так-же посмотреть статистику по использованному трафику, раз-делённую по разным классам трафика и за указанный период.Также здесь содержится информация и времени предыдущейсессии в рабочем кабинете и размер установленной абонент-

ской платы. Здесь же доступны графики загрузки за текущийдень и месяц.

7/22/2019 utm5_20070529


1


История платежей

Здесь можно посмотреть даты и суммы всех платежей, кото-рые осуществлялись на вашем счету.

Пополнение счёта

Можно пополнить свой счёт самостоятельно, если есть пре-доплаченная Интернет-карточка. Карточка содержит номери пин-код. Если ввести их в соответствующие поля, ваш счётпополнится на номинал карточки. Также можно выписатьквитанцию на оплату через банк.

Настройки

В этом разделе можно поменять пароль на вход в рабочийкабинет.

7/22/2019 utm5_20070529


2



2. Утилита 5 wray 5 wray 5 wray wray

Для оперативного и удобного доступа к балансу лицевого сче-та Вы можете использовать утилиту utm5_intray.utm5_intray.5_intray. intray..

Данная программа запускается на компьютере пользователяи с настраиваемым периодом обновляет информацию о теку-щем состоянии баланса и количестве оставшегося предопла-ченного трафика. При запуске необходимо указать где нахо-дится ядро биллинговой системы и логин/пароль для доступа.

Также при помощи этой утилиты можно производить включе-

ние и выключение Интернета.

7/22/2019 utm5_20070529



3. Настройка компьютера клиента

на работу с VPN VPN

Пример приведён для установленной ОС Winos 2000. Winos 2000.inos 2000.Откройте раздел «Сетевые соединения» («Netor onnec-Netor onnec-onnec-onnec-tions»). Выберите создание нового соединения: «Добавить но-»). Выберите создание нового соединения: «Добавить но-вое соединение» («reate a ne connection»).

7/22/2019 utm5_20070529




Выберите тип подключения: VPN.

Укажите IP-адрес или имя сервера VPN. Например, pn.local. VPN. Например, pn.local.. Например, pn.local. pn.local..local.local..

Выберите, для кого будет создано соединение: для всех пользо-вателей компьютера или только для текущего пользователя.

7/22/2019 utm5_20070529



Выберите, будет ли соединение общим для всех пользовате- лей локальной сети (если соединение устанавливается на сер-вере локальной сети).

Введите название соединения и нажмите кнопку «Finish» дляFinish» для» длязавершения работы мастера.

После окончания работы мастера будет создано новое соеди-нение VPN. Для того, чтобы его установить нужно в разделе VPN. Для того, чтобы его установить нужно в разделе. Для того, чтобы его установить нужно в разделе

7/22/2019 utm5_20070529




«Сетевые соединения» дважды кликнуть на него мышкой,затем ввести корректные логин и пароль.

7/22/2019 utm5_20070529



7/22/2019 utm5_20070529


П р и л о ж е н и

е 1

7/22/2019 utm5_20070529


П

р и л о ж е н и е 1

21. Приложение 1


1. Совместная работа UTM5 и почтового сервера .. 4402. Повышение производительности ядра UTM5 ..... 4433. Совместная работа UTM5 и DAP ......................... 4464. Создание отказоустойчивого кластера для системыUTM5 ............................................................................... 4625. Управление сервисами системы UTM5 и

Solaris10 .......................................................................... 4746. Примеры вспомогательных утилит ....................... 516

7/22/2019 utm5_20070529


0


е 1

1. Совместная работа UTM5 и

почтового сервера

В интерфейсе администратора в разделе (Настройки | Спи-сок параметров) укажите корректно следующие параметры(через символ «=» указаны значения для примера):

smtp_rela = 10.0.0.1

smtp_port = 25

smtp_fqdn = host.example.org

smtp_sender = [email protected]

smtp_subject = Message from UTM5

admin_email = [email protected]

notification_borders = 5



notification_message = Уважаемый абонент, FULL_NAME!

На Вашем лицевом счёте номер ACCOUNT_ID возник дефицит

средств в размере BALANCE. Дата сообщения: DATE Данное

сообщение послано на EMAIL. С уважением, Провайдер.

notification_message_subject = Уведомление

notification_message_from = [email protected]

Адрес электронной почты абонента, на который производит-ся рассылка уведомлений, можно задать в свойствах пользова-теля, в разделе «Контакты».

Для проверки корректности отсылки сообщений пользовате- лям можно искусственно провести баланс пользователя через

7/22/2019 utm5_20070529


1

П


одну из указанных границ – 5, 3 либо 0 условных единиц. Этоможно сделать внеся платеж на сумму 10 у. е. и затем оказавразовую услугу на 6, 8 либо 11 условных единиц. В этом случаебаланс пользователя будет изменен с 10 у. е. до 4, 2 либо у. е.

При этом можно проверить прохождение пакетов к почтово-му серверу командой:

tcpdump –ni eth0 port 25

где eth0 – интерфейс, через который осуществляется соеди-

нение с почтовым сервером.

Должны появиться пакеты примерно следующего вида:

12:45:34.738410 127.0.0.1.57021 > 127.0.0.1.25: . ack

1 win 35840 <nop,nop,timestamp 603505811 603505811>

(DF)

12:45:34.875100 127.0.0.1.25 > 127.0.0.1.57021: P1:37(36) ack 1 win 35840 <nop,nop,timestamp 603505824

603505811> (DF)

12:45:34.875187 127.0.0.1.57021 > 127.0.0.1.25: P

1:16(15) ack 37 win 35840 <nop,nop,timestamp 603505824

603505824> (DF)

12:45:34.875249 127.0.0.1.25 > 127.0.0.1.57021:

P 37:59(22) ack 16 win 35840 <nop,nop,timestamp

603505824 603505824> (DF)

Если пакеты есть, но почтовые сообщения не приходят к абонен-там, то необходимо убедиться в правильности настройки почто-вого сервера. Подробная информация о его настройке приведе-на в его документации, а возможные причины некорректной ра-боты можно извлечь из файлов журнала почтового сервера.

Ещё один способ инициировать отправку почтовых сообще-ний пользователям – выполнить отсылку счёта на адрес элект-ронной почты абонента. Для этого необходимо оказать поль-

7/22/2019 utm5_20070529


2


е 1

зователю разовую услугу, в результате чего будет подготовленсчёт в разделе (Отчёты | Счета). Необходимо выделить под-готовленный счёт и нажать кнопку «Отослать на email». Приэтом в файле журнала ядра UTM должна появиться запись:

?Debug : Jul 21 12:54:04 BusLogic: call SmtpLogger::

smtp

При прослушивании трафика должны появляться пакеты, от-правленные на почтовый сервер.

Если все шаги проходят успешно и почтовые сообщения по-

падают в почтовые ящики абонентов, то настройку связки спочтовым сервером можно считать успешной.

7/22/2019 utm5_20070529


П р и л о ж е н и е 1

2. Повышение производительности

биллинговой системы

Зачастую необходимо принимать и тарифицировать большиеобъемы NetFlo потока с маршрутизаторов. Для того, что быпакеты не уничтожались при заполнении приемного буферанеобходимо в конфигурационном файле utm5.cfg увеличитьразмер этого буфера:

nfbuffer_bufsize�10485760

Данная директива устанавливает размер приемного буфераравный 10 МБ. При этом при старте ядра биллинговой систе-мы в ebug.log должна быть указана строка об успешном уве-

личении приемного буфера:

?Debug : Jan 29 19:39:30 NFBuffer: Setting SO_RCVBUF

to <10485760> btes

В некоторых случаях понадобится увеличить максимально до-пустимый размер приемного буфера в операционной системе.Произвести данную операцию под inu можно командой:

ssctl -w net.core.rmem_max�10485760

под Free�SD:

kern.ipc.maxsockbuf�10485760

net.inet.udp.recvspace�10485760

net.local.dgram.recvspace�10485760

net.inet.udp.maxdgram�100000

В результате таких настроек биллинговая система сможет

принимать большие объемы NetFlo пакетов. В частностине будет происходить потеря пакетов в моменты пиковыхзагрузок.

7/22/2019 utm5_20070529



е 1

Для уменьшения нагрузки на PU и уменьшения занимаемогона жестком диске места необходимо использовать новый ме-ханизм хранения детальных данных по трафику. Детальныеданные представляют собой полную копию всего NetFlo по-тока принятого биллинговой системой. Для включения но-

вого механизма необходимо в центре управления в разделе«Настройки» добавить опцию:

raw_storage_file�1

после добавления данного параметра необходимо произвестиперезапуск ядра биллинговой системы.

При этом детальные данные будут записываться в файлы срасширением .utm. Формат файлов разработан в компанииNetUP. Для дальнейшего анализа этих данных можно восполь-зоваться утилитой get_nf_direct. Пример использования:

/netup/utm5/bin/get_nf_direct -b /netup/utm5/db/ip-

traffic_raw_1138443603.utm –u

Результатом работы будет вывод данных сохраненных в фай- ле /netup/utm5/db/iptraffic_raw_1138443603.utm.

Ядро биллинговой системы производит запись детальных дан-ных в файл в течение 1 часа. Далее производится закрытиефайла и открытие нового. После того как файл был закрытвызывается внешняя программа /netup/utm5/bin/raw_fd_

script, которой в параметрах передается путь к закрытому файлу. Данная программа производит необходимые действия

– архивирование, резервное копирование и др.

Пример программы /netup/utm5/bin/raw_fd_script на язы-ке shell:

#!/bin/sh

gzip $*

В результате таких настроек биллинговая система будет опти-мально использовать ресурсы PU и дисковой подсистемы.

7/22/2019 utm5_20070529



На стенде компании NetUP были произведены испытанияпроизводительности биллинговой системы при большихобъемах статистики. Для тестирования был использован сер-вер следующей конфигурации:

CPU: Intel Pentium 4 частота 3.00 ГГц

Оперативная память: 2 ГБ

Жесткий диск: Serial ATA 250 ГБ

Сетевая карта: Intel 100 Мбит/сек

Операционная система: Gentoo Linux

Для создания тестового NetFlo потока использовался от-дельный сервер. В качестве генератора Netflo пакетов ис-пользовалась утилита utm5_flogen. Загрузка фиксировалась

утилитой top. Для того, чтобы условия были максимальноприближены к реальным, Net-Flo поток на 100% содержитстатистику, принадлежащую зарегистрированным в биллин-говой системе тестовым абонентам. Корректность приема итарификации контролировалась по данным отчета по трафи-

ку и данным из раздела «Дополнительно» - «Статистика».

Результаты испытаний приведены на графике.

Производительность UTM5 по обработке NetFlow

0

10

20

30

40

50

60

70

80

90

50 100 300 500 1 00 0 1 200 1 40 0 1 60 0 1 80 0 1845 2215 2252 2333 2605 2 73 2 2 88 2 2 99 2

Netflow пакетов в секунду

З а г р у з к а C P U

, %

Рисунок 1. Загрузка PU в зависимости от интенсивности NetFlo – потока

7/22/2019 utm5_20070529



е 1

3. Совместная работа UTM5 и LDP

Данный вопрос детально рассмотрен в статье «Настройка ииспользование централизованного управления сервисами

сети при помощи сервера DAP» расположенной на сайтекомпании NetUP в разделе «Документация».

Использование биллинговой системы NetUP UTM в связкеNetUP UTM в связкеUTM в связкеUTM в связкев связкес сервером penDAP позволяет более гибко и удобно адми-penDAP позволяет более гибко и удобно адми-позволяет более гибко и удобно адми-нистрировать услуги, предоставляемые пользователям. В ре-зультате описанных ниже настроек сервер DAP будет игратьDAP будет игратьбудет игратьроль единого хранилища пользовательских данных (логин,пароль, почтовый ящик и прочее), доступ к которому можетиметь любое программное обеспечение в сети, поддерживаю-щее протокол DAP. Таким образом, можно поддерживать ак-DAP. Таким образом, можно поддерживать ак-. Таким образом, можно поддерживать ак-туальность данных (наличие пользователя, его пароль и т. д.)для всех серверов в сети через единое хранилище.

7/22/2019 utm5_20070529


П


При этом все указанные сервисы могут работать как на одномфизическом сервере, так и на разных физических серверах.

Установка программного обеспечения

Последовательность шагов по установке и конфигурированиепрограммного обеспечения.

BerkeleyDB

Скачайте �ereleyD�:�ereleyD�:: http://.sleepycat.com/upate/snapshot/b-4.2.52.tar.gz.

Установите �ereleyD� командами.�ereleyD� командами.командами.

tar xvfz db-4.2.52.tar.gz

cd db-4.2.52

cd build_unix/

../dist/configure --prefix=/usr/ --exec-prefix=/usr/

make

make install

7/22/2019 utm5_20070529



е 1

OpenLDA

качайте penDAP:качайте penDAP:penDAP: ftp://ftp.openlap.org/pub/pen-DAP/openlap-release/openlap-2.1.26.tgz.

Установите penDAP командами.penDAP командами.командами..

tar xvfz openldap-2.1.26.tgz

cd openldap-2.1.26

./configure

make depend

make

make install

Отредактируйте конфигурационный файлконфигурационный файлконфигурационный файлфайлфайл /usr/local/etc/

openldap/slapd.conf. Пример содержимого конфигурацион-Пример содержимого конфигурацион-содержимого конфигурацион-содержимого конфигурацион-конфигурацион-конфигурацион-ного файла приведён ниже.файла приведён ниже.файла приведён ниже.приведён ниже.приведён ниже.ниже.ниже..

include /usr/local/etc/openldap/schema/core.schema

include /usr/local/etc/openldap/schema/cosine.schema

include /usr/local/etc/openldap/schema/inetorgper-

son.schema

include /usr/local/etc/openldap/schema/nis.schema

include /usr/local/etc/openldap/schema/openldap.

schema

include /usr/local/etc/openldap/schema/misc.schema

include /usr/local/etc/openldap/schema/java.schema

pidfile /usr/local/var/run/slapd.pid

argsfile /usr/local/var/run/slapd.args

allow bind_v2

database bdb

suffix “dc=example,dc=ru”

rootdn “cn=Manager,dc=example,dc=ru”

rootpw secret

directory /usr/local/var/openldap-netup

index cn,sn,uid pres,eq,sub

7/22/2019 utm5_20070529


П


Произведите запуск сервера penDAP командой.penDAP командой.командой.

/usr/local/libexec/slapd

Создайте файл example.ldiff следующего содержания.

dn: dc=example,dc=ru

objectclass: dcObject

objectclass: organization

o: Example company

dc: example

dn: cn=Manager,dc=example,dc=ruobjectclass: organizationalRole

cn: Manager

Примените его командой.его командой.его командой.командой.командой..

ldapadd –D “cn=Manager,dc=example,dc=ru” –w secret <

example.ldiff

Почтовый сервер yrus

Скачайте демон авторизации, почтовый (PP3/IMAP) сер-PP3/IMAP) сер-3/IMAP) сер-IMAP) сер-) сер-вер yrus и патч к нему по адресам:yrus и патч к нему по адресам:и патч к нему по адресам:

ftp://ftp.anre.cmu.eu/pub/cyrus-mail/cyrus-imap-2.2.3.tar.gz;

ftp://ftp.anre.cmu.eu/pub/cyrus-mail/cyrus-sasl-2.1.18.tar.gz;

http://email.uoa.gr/onloa/cyrus/cyrus-imap-2.2.3/cyrus-imap-2.2.3-autocreate-0.8.6.iff.

Установите демон авторизации командами.

7/22/2019 utm5_20070529


0


е 1

tar xvfz cyrus-sasl-2.1.18.tar.gz

cd cyrus-sasl-2.1.18

./configure --with-ldap --with-bdb-incdir=/usr/lo-

cal/BerkeleyDB.4.2/include/

make

make install

Создайте файлфайлфайл /usr/local/etc/saslauthd.conf, в которомв которомкоторомкотором укажите строки.строки.строки..

ldap_servers: ldap://127.0.0.1/

ldap_bind_dn: cn=Manager,dc=example,dc=ru

ldap_password: secret

ldap_search_base: ou=users,dc=example,dc=ru

ldap_mech: DIGEST_MD5

ldap_auth_method: custom

Произведите запуск демона командой.запуск демона командой.запуск демона командой.демона командой.демона командой.командой.командой..

/usr/local/sbin/saslauthd -a ldap

Установите почтовый сервер командами.

tar xvfz cyrus-imapd-2.2.3.tar.gz

patch < cyrus-imapd-2.2.3-autocreate-0.8.6.diff

cd cyrus-imapd-2.2.3

./configure --with-ldap --with-sasl=/usr/local/ --

with-bdb=/usr/local/BerkeleyDB.4.2/ --with-bdb-inc-

dir=/usr/local/BerkeleyDB.4.2/include/

make

make install

Создайте файлфайлфайл /etc/imapd.conf и укажите в нём строки.и укажите в нём строки. укажите в нём строки. укажите в нём строки.в нём строки.в нём строки.нём строки.нём строки.строки.строки..

7/22/2019 utm5_20070529


1

П


configdirectory: /var/imap

partition-default: /var/spool/imap

sasl_pwcheck_method: saslauthd

admins: aospan

mboxlist_db: flat

autocreatequota: 1000000

createonpost: yes

Добавьте в систему пользователя cyrus командой auser.cyrus командой auser.командой auser.auser..

оздайте директории.оздайте директории.

/var/imap/

/var/imap/proc

/var/imap/db

/var/imap/socket

/var/imap/log

/var/imap/msg

/var/spool/imap/

Важно! Укажите владельцем созданных папок пользователя! Укажите владельцем созданных папок пользователя Укажите владельцем созданных папок пользователяcyrus..

Выполните команды, находясь в директориикоманды, находясь в директориикоманды, находясь в директории, находясь в директориинаходясь в директориив директориив директориидиректориидиректории cyrus-imapd-

2.2.3.

./tools/mkimap

cp master/conf/normal.conf /etc/cyrus.conf

Произведите запуск почтового сервера командой.

/usr/cyrus/bin/master &

Почтовый сервер ostfix

Скачайте почтовый (SMTP) сервер postfi по адресу почтовый (SMTP) сервер postfi по адресу почтовый (SMTP) сервер postfi по адресу (SMTP) сервер postfi по адресу сервер postfi по адресу postfi по адресу по адресу адресу адресу ftp://ftp.easynet.be/postfi/official/postfi-2.0.19.tar.gz

7/22/2019 utm5_20070529


2


е 1

Установите его командами.

tar xvfz postfix-2.0.19.tar.gz

cd postfix-2.0.19

make tidy

make makefiles CCARGS=”-I./ -DHAS_LDAP” AUXLIBS=”-

lldap -llber”

make

make install

Создайте конфигурационный файл /etc/postfix/main.cf примерно следующего содержания.

mailbox_transport = lmtp:unix:/var/imap/socket/lmtp

alias_maps = hash:/etc/aliases, ldap:ldapsource

ldapsource_server_host = example.ru

ldapsource_search_base = ou=users,dc=example,dc=ru

ldapsource_version = 3

ldapsource_bind_dn = cn=Manager,dc=example,dc=ru

ldapsource_bind_pw = secret

ldapsource_result_attribute = mail

ldapsource_query_filter = (&(mail=%s))

readme_directory = no

sample_directory = /etc/postfix

sendmail_path = /usr/sbin/sendmail

setgid_group = postdrop

command_directory = /usr/sbin

manpage_directory = /usr/local/man

daemon_directory = /usr/libexec/postfix

newaliases_path = /usr/bin/newaliases

mailq_path = /usr/bin/mailq

queue_directory = /var/spool/postfix

mail_owner = postfix

unknown_local_recipient_reject_code = 450

7/22/2019 utm5_20070529


П


Произведите запуск почтового сервера командой.

/usr/libexec/postfix/master &

Создание схемы LDA

Создайте файл netup.ldiff следующего сдержания.

dn: ou=users, dc=example, dc=ru

objectclass: organizationalUnit

ou: users

dn: cn=test, ou=users, dc=example, dc=ru

cn: test

sn: test

givenName: Test Test

objectClass: inetOrgPerson

objectClass: uidObject

objectClass: organizationalPerson

objectClass: top

mail: test

mail: [email protected]

uid: test

userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA==

Затем примените созданный файл командой.ldapadd -D “cn=Manager,dc=example,dc=ru” -w secret

< netup.ldiff

В результате будет создана учётная запись почты test@exam-

ple.ru. Для получения почты по протоколу PP3 (рекоменду-PP3 (рекоменду-3 (рекоменду-ется настроить PP3S) необходимо использовать логинPP3S) необходимо использовать логин3S) необходимо использовать логинS) необходимо использовать логин) необходимо использовать логин test и пароль qwerty (в DAP хранится его MD5-хеш:DAP хранится его MD5-хеш:хранится его MD5-хеш:MD5-хеш:5-хеш: {MD5}2FeO34

RYzgb7xbt2pYxcpA==).

7/22/2019 utm5_20070529



е 1

Сгенерировать хеши можно perl-скриптом, который можнонайти по адресу http://.netup.ru/onloa/pas_m5.pl,

либо использовать команду

slappasswd -h {MD5}

Просмотреть содержимое DAP можно при помощи утили-DAP можно при помощи утили-можно при помощи утили-ты командной строки ldapsearch либо при помощи графи-ческой утилиты «DAP �roser/Eitor»:DAP �roser/Eitor»:�roser/Eitor»:�roser/Eitor»:/Eitor»:Eitor»:»: http://.iit.eu/

~gaojar/lap/.

Установка и настройка сервера DH

Скачайте сервер DHP по адресу ftp://ftp.isc.org/isc/hcp/DHP по адресу ftp://ftp.isc.org/isc/hcp/по адресу ftp://ftp.isc.org/isc/hcp/hcp-3.0pl2.tar.gz и обновление к нему по адресу http://.lunytune.net/hcp-3.0pl2.lap.iff.gz.

Установите командами.

tar xvfz dhcp-3.0pl2.tar.gz

gzip -d dhcp-3.0pl2.ldap.diff.gz

cp dhcp-3.0pl2.ldap.diff dhcp-3.0pl2

cd dhcp-3.0pl2

patch -p1 < dhcp-3.0pl2.ldap.diff

./configure

файлефайлеwork.freebsd/server/Makefile укажите строку укажите строку строку строку

LIBS = -lldap

вместо строки

LIBS =

Выполните команды.

makemake install

7/22/2019 utm5_20070529


П


Если у вас уже имеется файл конфигурации dhcpd.conf, то дляавтоматического переноса данных в DAP следует использо-DAP следует использо-следует использо-вать скрипт contrib/dhcpd-conf-to-ldap.pl (предваритель-но в него необходимо вписать ваши данные).

Примерный вариант DIFF-файла:DIFF-файла:-файла:

dn: cn=dhcpd.example.ru, dc=example, dc=ru

objectClass: top

objectClass: dhcpServer

cn: dhcpd.example.ru

dhcpServiceDN: cn=DHCP Config, dc=example, dc=ru

dn: cn=DHCP Config, dc=example, dc=rucn: DHCP Config

objectClass: top

objectClass: dhcpService

objectClass: dhcpOptions

dhcpPrimaryDN: cn=dhcpd.example.ru, dc=example,

dc=ru

dhcpStatements: default-lease-time 600

dhcpStatements: max-lease-time 7200

dhcpStatements: log-facility local7

dhcpOption: domain-name “example.ru”

dhcpOption: domain-name-servers 10.1.2.1

dn: cn=10.1.2.0, cn=DHCP Config, dc=example, dc=ru

cn: 10.1.2.0

objectClass: top

objectClass: dhcpSubnet


dhcpNetMask: 24

dhcpRange: 10.1.2.2 10.1.2.253

dhcpOption: domain-name-servers 10.1.2.1

dhcpOption: routers 10.1.2.1

dn: cn=test, cn=DHCP Config, dc=example, dc=ru

cn: testobjectClass: top

7/22/2019 utm5_20070529



е 1

Создайте конфигурационный файл /etc/dhcpd.conf пример-но следующего содержания:

ldap-server “localhost”;

ldap-port 389;ldap-username “cn=Manager, dc=example, dc=ru”;

ldap-password “secret”;

ldap-base-dn “dc=example, dc=ru”;

ldap-method dynamic;

ddns-update-style ad-hoc;

Запуск сервера DHP произведите командой (вместоDHP произведите командой (вместопроизведите командой (вместо fxp0

укажите ваш интерфейс)./usr/sbin/dhcpd fxp0

В результате поиск данных для выдачи IP-адресов по DHP бу-IP-адресов по DHP бу--адресов по DHP бу-DHP бу-бу-дет производиться в DAP.DAP..

Установка и настройка сервера FT

Скачайте FTP-сервер -FTP-сервер --сервер - ftp://ftp.proftp.org/istrib/source/proftp-1.2.9.tar.bz2

Установите сервер командами.tar xvfj proftpd-1.2.9.tar.bz2

cd proftpd-1.2.9

./configure --with-modules=mod_ldap

make

make install

В конфигурационном файлеконфигурационном файлеконфигурационном файлефайлефайле /usr/local/etc/proftpd.conf укажите строки.строки.строки..

LDAPServer localhost

LDAPDNInfo cn=Manager,dc=example,dc=ru secret

LDAPDoAuth on “ou=users,dc=examle,dc=ru”

Файл DIFF для добавления тестового пользователя выглядитDIFF для добавления тестового пользователя выглядитдля добавления тестового пользователя выглядитследующим образом.

7/22/2019 utm5_20070529


П


dn: cn=test, ou=users, dc=netup, dc=ru

cn: test

sn: test

givenName: Test

objectClass: inetOrgPerson

objectClass: uidObject

objectClass: organizationalPerson

objectClass: posixAccount

objectClass: top

uid: test

userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA==

uidNumber: 10001

gidNumber: 10001

homeDirectory: /home/test

Применить файл можно командой.файл можно командой.файл можно командой.можно командой.можно командой.командой.командой..

ldapadd -D “cn=Manager,dc=example,dc=ru” -w secret <

netup.ldiff

В результате будет создана учётная запись FTP test с паролемFTP test с паролемtest с паролемtest с паролемс паролем

qerty (в DAP хранится MD5-хеш(в DAP хранится MD5-хешDAP хранится MD5-хешхранится MD5-хешMD5-хеш5-хеш{MD5}2FeO34RYzgb7xbt2pY

xcpA==). Домашняя директория пользователя – /home/test.

Запуск сервера FTP можно осуществить командой.FTP можно осуществить командой.можно осуществить командой.

/usr/local/sbin/proftpd

Установка и настройка сервера DNS

Скачайте сервер DNS по адресу DNS по адресу по адресу ftp://ftp.isc.org/isc/bin9/9.2.3/bin-9.2.3.tar.gz.

Разархивируйте командами.

tar xvfz bind-9.2.3.tar.gz

cd bind-9.2.3

Скопируйте файлы командами:

7/22/2019 utm5_20070529



е 1

cp contrib/sdb/ldap/ldapdb.c bin/named/

cp contrib/sdb/ldap/ldapdb.h bin/named/include/

Отредактируйте файл bin/named/Makefile.in.Необходи-

мо указать строки вместо тех, что есть.

DBDRIVER_OBJS = ldapdb.@O@

DBDRIVER_SRCS = ldapdb.c

DBDRIVER_INCLUDES = -I/usr/local/include

DBDRIVER_LIBS = -L/usr/local/lib -lldap -llber

Отредактируйте файл bin/named/main.c. Необходимо ука-зать строки.

include <ldapdb.h>

после строкистрокистроки

#include “xxdb.h

ldapdb_init();


xxdb_init();

ldapdb_clear();


xxdb_clear();

После этого можно произвести сборку и установку командами.

./configure

make

make install

Сервер DNS будет установлен по путиDNS будет установлен по путибудет установлен по пути установлен по пути установлен по путипо путипо путипутипути /usr/local/sbin/

named.

7/22/2019 utm5_20070529


П


Конфигурационный файл /etc/named.conf.

Пример конфигурации домена, данные для которого хранят-ся в DAP.DAP..

zone “hosting.example.ru” {

type master;

database “ldap ldap://127.0.0.1/dc=hosting,dc=example,dc=ru 172800”;

};

Примерный вариант DIFF-файла для создания зоны с однойDIFF-файла для создания зоны с одной-файла для создания зоны с однойзаписью.

dn: dc=hosting,dc=example,dc=ru

dc: hosting

objectClass: dcObject

objectClass: Organization

o: DNS

dn: relativeDomainName=zzz,dc=hosting,dc=example,dc=ru

objectClass: top

objectClass: dNSZonerelativeDomainName: zzz

aRecord: 10.1.2.105

dNSTTL: 3600

zoneName: hosting.example.ru

dn: dNSTTL=3600+relativeDomainName=@,dc=hosting,dc=example,dc=ru

objectClass: top

objectClass: dNSZone

relativeDomainName: @

sOARecord: hosting.example.ru. root.example.ru.2004040304 86400 900 3600000 360

0

dNSTTL: 3600

zoneName: hosting.example.ru

mXRecord: 10 mail.example.ru.

nSRecord: ns.example.ru.

nSRecord: ns2.example.ru.

aRecord: 10.0.0.1

7/22/2019 utm5_20070529


0


е 1

Настройка биллинговой системы

Настройки доступа к серверу DAP из UTM указываются вDAP из UTM указываются виз UTM указываются вUTM указываются в указываются вконфигурационном файле /netup/utm5/utm5.cfg. Для этого

используются следующие параметры:

Параметры, связанные с LDA, задаваемые в конфигурационном файле ядра*

Параметр Возможные

значения

Значение по

умолчанию

Описание

lap_enable yes поддержка

отключена

Включает поддержку

DAP

lap_base_n строка пустая строка

Верхняя часть дерева

DAP. Эта строка добавля-

ется к запросам на сервер

DAP

lap_host IP-адрес или

имя хоста

127.0.0.1 IP-адрес сервера DAP

lap_login строка пустая строка Логин для доступа к

серверу DAP

lap_

passor

строка пустая строка Пароль для доступа к

серверу DAP

lap_ping_

timeout

число больше

59 60

Периодичность проверки

соединения с сервером

DAP в секундах

lap_port число от 1 до

65534

не установлено Номер порта сервера

DAP

* – параметры секции действуют если поддержка DAP вклю-

чена

7/22/2019 utm5_20070529


1

П


Для добавления почтового ящика пользователю через бил- линговую систему необходимо задать новый технический па-раметр на подключённую услугу. Обычно это периодическая услуга, стоимость которой равна абонентской плате за поль-зование почтовым ящиком.

При добавлении технического параметра произойдет автома-тическое создание новой записи на сервере DAP, и почтовыйDAP, и почтовый, и почтовый

ящик будет доступен пользователю.

Для добавления связки адресов MA- IP через биллинговуюMA- IP через биллинговую- IP через биллинговуюIP через биллинговуючерез биллинговуюсистему необходимо подключить пользователю услугу типа«Передача IP-трафика» и указать IP-адрес и MA-адрес. ПриIP-трафика» и указать IP-адрес и MA-адрес. При-трафика» и указать IP-адрес и MA-адрес. ПриIP-адрес и MA-адрес. При-адрес и MA-адрес. ПриMA-адрес. При-адрес. Приэтом будет автоматически добавлена запись на сервере DAPDAPв раздел cn=DHCP Config. Например,

dn: cn=10.1.2.45, cn=DHCP Config, dc=example, dc=ru

cn: 10.1.2.45objectClass: top

objectClass: dhcpHost


dhcpHWAddress: ethernet 00:00:e2:58:ac:a6

dhcpStatements: fixed-address 10.1.2.45

Ссылки

RF-2251 по протоколу DAP –-2251 по протоколу DAP –DAP –– http://.rfc-eitor.org/rfc/rfc2251.tt.

Проект penDAP –penDAP –– http://.openlap.org/.

Проект �ereleyD� –�ereleyD� –– http://.sleepycat.com/.

7/22/2019 utm5_20070529


2


4. Создание отказоустойчивого

кластера для биллинговой системы

NUP UTM

В данной главе рассматриваются вопросы создания отказо- устойчивого кластера для работы с биллинговой системойNetUP UTM на базе двух физических серверов. В качествеоперационной системы используется entoo inu. Базаданных mysql

Рисунок 1. Общая схема кластера

7/22/2019 utm5_20070529



Каждый сервер укомплектован двумя сетевыми картами стан-дарта igabit Ethernet и двумя жесткими дисками одинаково-го размера.

Внутренние коммуникации между серверами осуществляютсяна внутренних сетевых картах, на скорости 1 Гбит/сек. Приэтом для большей надежности можно использовать «перевер-нутый» кабель (crossoer) без промежуточного коммутатора.Внешние сетевые карты подключены в коммутатор и черезних осуществляется связь кластера с остальной сетью. Приэтом для внешних устройств данный кластер доступен пододним общим адресом – 192.168.0.200. Этот адрес использует-ся только одним сервером в один момент времени. Если на

этом сервере произошел сбой, то адрес автоматически при-сваивается второму, резервному серверу и кластер доступен впрежнем режиме. Работу по определению сбоев осуществляетпакет heartbeat [2].

Сетевые настройки сервера 1:

Имя хоста: netup1

IP-адрес на внутренней сетевой карте. Интерфейсeth1: 172.16.0.1

IP-адрес на внешнем интерфейсе 192.168.0.200

(eth0:1). Настраивается автоматически пакетом heart-

beat.

Сетевые настройки сервера 2:

Имя хоста: netup2

IP-адрес на внутренней сетевой карте. Интерфейс

eth1: 172.16.0.2

IP-адрес на внешнем интерфейсе 192.168.0.200

(eth0:1). Настраивается автоматически пакетом heart-

beat.

Установка операционной системы entoo inu производит-

ся на первый жесткий диск - /dev/sda. Второй жесткий диск- /dev/sdb будет полностью использоваться для синхрониза-

7/22/2019 utm5_20070529



ции данных между серверами средствами пакета rb [1]. Ус-тановка этого пакета осуществляется командой:

emerge drbd

После успешной установки создайте конфигурационныйфайл /etc/drbd.conf следующего содержания:

resource r0 {

protocol C;

incon-degr-cmd “echo ‘!DRBD! pri on incon-degr’ |wall ; sleep 60 ; halt -f”;

startup {

degr-wfc-timeout 120; # 2 minutes.

}

disk {

on-io-error detach;

}

net {

}

syncer {

rate 200M;

group 1;

al-extents 257;

}

on netup2 {

device /dev/drbd0;

disk /dev/sdb1;

7/22/2019 utm5_20070529



address 172.16.0.2:7788;

meta-disk internal;

}

on netup1 {

device /dev/drbd0;

disk /dev/sdb1;

address 172.16.0.1:7788;

meta-disk internal;

Пример конфигурационного файла с комментариями приве-ден в файле /usr/share/doc/drbd-0.7.11/drbd.conf.gz.

Согласно приведенным настройкам синхронизация данных

будет осуществляться на разделе/dev/sdb1

. При этом для до-ступа к этому разделу необходимо использовать устройство/dev/drbd0 в противном случае синхронизация данных осу-ществляться не будет.

Для запуска пакета rb выполните команду на обоих серве-рах:

/etc/init.d/drbd start

На сервере 1 выполните команду:

drbdadm -- --do-what-I-say primary all

Если все настройки верны, то с этого момента раздел /dev/

sdb1 на обоих серверах будет синхронизироваться. Для про-

смотра статуса можно использовать команду:

7/22/2019 utm5_20070529



/etc/init.d/drbd status

Пример вывода данной команды:

drbd driver OK; device status:

version: 0.7.11 (api:77/proto:74)

SVN Revision: 1807 build by netup@netup1, 2006-01-17

00:52:49

0: cs:Connected st:Primary/Secondary ld:Consistent

В данном выводе строка l:onsistent означает, что все дан-ные синхронизированы между обоими серверами в кластере.В случае если идет синхронизация данных, вывод будет содер-жать планируемое время и текущий статус этого процесса.

Далее необходимо отформатировать синхронизируемый раз-

дел под файловую систему reiserfs и создать директорию, в ко-торую будет монтироваться данный раздел. Для этого выпол-ните на сервере 1 команды:

mkreiserfs /dev/drbd0

mkdir /mnt/sync

на сервере 2 команду:

mkdir /mnt/sync

Следующим этапом в настройке отказоустойчивого кластераявляется установка и настройка пакета heartbeat. Для установ-ки этого пакета необходимо выполнить команду:

7/22/2019 utm5_20070529



echo “sys-cluster/heartbeat ~x86” >> /etc/portage/

package.keywords

emerge sys-cluster/heartbeat

После успешной установки необходимо создать конфигураци-онные файлы.

На сервере 1 файл /etc/ha.d/ha.cf следующего содержания:

logfacility local0

ucast eth1 172.16.0.2

auto_failback on

node netup1 netup2

На сервере 2 файл /etc/ha.d/ha.cf следующего содержа-ния:

logfacility local0

ucast eth1 172.16.0.1

auto_failback on

node netup1 netup2

В этих файлах мы указали имена и IP-адреса серверов исполь-зуемых в кластере. Далее необходимо создать конфигурацион-ный файл /etc/ha.d/haresources следующего содержания:

7/22/2019 utm5_20070529



netup1 192.168.0.200/24/eth0:1 drbddisk File-

system::/dev/drbd0::/mnt/sync::reiserfs apache2

mysql utm5_core utm5_radius

При этом необходимо проконтролировать, что бы дан-

ный файл был одинакового содержания на обоих серве-

рах. В данном файле мы указали внешний IP-адрес кластера– 192.168.0.200, маску подсети – 24 и интерфейс eth0:1, на кото-

ром использовать данный IP-адрес. Так же мы указали пакеты,

которые необходимо запускать, когда данный сервер берет на

себя роль ведущего сервера в кластере. Запуск сервисов осу-ществляется в том порядке, в котором они указаны в файле.

Согласно приведенному файлу первым будет запущен пакет

rbis, который переведет данный сервер в режим «веду-

щего» (Primary) для пакета rb. После этого можно произво-дить монтирование раздела /dev/drbd0. Данную операцию

производит второй пакет – Filesystem. В параметрах данный

пакет принимает указание на раздел - /dev/drbd0, дирек-

торию для монтирования - /mnt/sync и тип используемойфайловой системы – reiserfs. Таким образом после старта этих

двух пакетов директория /mnt/sync будет содержать синхро-

низированные между двумя серверами данные. Записанные в

эту директорию данные будут автоматически дублироватьсяна втором резервном сервере. В случае если на основном сер-

вере произойдет сбой, то резервный сервер будет содержать

абсолютно те же данные, что и основной сервер до сбоя.

Далее по списку будут запущены прикладные сервисы – веб-сервер apache2, сервер базы данных mysql , ядро биллинговой

системы utm5_core, RADIUS сервер utm5_raius. Биллинговая

система NetUP UTM во время работы делает запись биллин-

говой информации в базу данных mysql, поэтому для синхро-низации этих данных необходимо переместить директорию

/var/lib/mysql на синхронизируемый раздел /mnt/sync.

Данную операцию необходимо производить при остановлен-ном сервисе mysql. Так же необходимо в конфигурационном

7/22/2019 utm5_20070529



файле /etc/mysql/my.cnfв разделе [mysql] указать новыйпуть:

datadir = /mnt/sync/mysql

Таким образом, после запуска сервиса mysql данные по або-нентам, списаниям и другая биллинговая информация храня-щиеся в этой базе данных будут синхронизироваться с резер-вным сервером.

Для корректной работы пакета heartbeat так же необходимосоздать файл /etc/ha.d/authkeys с ключами для безопасной

работы между серверами. В этом файле указывается тип клю-ча и сам ключ:

auth 1

1 sha1 somethinglong

Этот файл так же должен быть идентичен на обоих серверах

в кластере.

На этом настройка пакета heartbeat завершена и можно про-извести его запуск на обоих серверах командой:

/etc/init.d/heartbeat start

Для проверки работоспособности кластера можно использо-вать утилиты ifconfig, f, ps. Сервер, который в настоящий

момент является ведущим, должен иметь:

1. настроенный интерфейс eth0:1 с IP-адресом 192.168.0.200

2. смонтированную директорию /mnt/sync

3. запущенные сервисы apache2, mysql, utm5_core, utm5_raius

7/22/2019 utm5_20070529


0


Резервный сервер при этом не должен иметь вышеуказанныенастройки. Для того, что бы резервный сервер стал основ-

ным необходимо остановить сервис heartbeat на основном

сервере либо эмулировать аппаратный сбой физическим

выключением основного сервера. При этом резервный сер-вер присваивает себе общий IP-адрес 192.168.0.1, монтирует

директорию /mnt/sync и запускает сервисы apache2, mysql,

utm5_core и utm5_raius. На тестовом стенде компании Не-

тАП восстановление работы кластера после сбоя основногосервера не превышало 30 секунд. Таким образом, работа отка-

зоустойчивого кластера позволяет минимизировать перебои

в работе биллинговой системы и тем самым повысить сервис,

предоставляемый абонентам.

Для автоматического запуска сервисов после перезагрузки

сервера необходимо на обоих серверах выполнить команды:

rc-update add drbd default

rc-update add heartbeat default

Проблема синхронизации данных и

ситуация «pl-bra»

В случае если по какой-то причине произошел сбой связи

между серверами и в один момент времени оба сервера пере-

шли в режим «ведущего», может произойти ситуация когдаданные на синхронизируемом разделе будут отличаться меж-

ду серверами. Данная ситуация называется «расщепление ра-

зума» («split-brain»). В этом случае администратор в ручном

режиме должен произвести действия по разрешению этогоконфликта.

Идентифицировать данную проблему можно по статусу паке-та drbd. Получить статус можно командой:

7/22/2019 utm5_20070529


1



Вывод при конфликтной ситуации на основном сервере будет

содержать строку следующего содержания:

0: cs:StandAlone st:Primary/Unknown ld:Consistent

Вывод при конфликтной ситуации на резервном сервере бу-дет содержать строку следующего содержания:

0: cs:StandAlone st:Secondary/Unknown ld:Consistent

В такой ситуации администратор определяет, какой из серве-ров содержит наиболее актуальную информацию. Эта инфор-мация останется на дисках и будет перенесена на второй сер-вер. При этом изменения сделанные на другом сервер будут

считаться неактуальными и будут потеряны. Ниже приводят-ся команды, которые необходимо выполнить для разрешенияконфликта.

На обоих серверах выполняем команды:

drbdadm disconnect all

/etc/init.d/heartbeat stop

Затем на сервере с неактуальными данными выполняем ко-манду:

drbdadm secondary all

и после этого на сервере с актуальными данными команду:

7/22/2019 utm5_20070529


2


drbdadm secondary all

Далее на сервере с актуальными данными выполняем коман-

ду:

drbdadm -- --human primary all

После этих действий необходимо подключить устройства наобоих серверах командой:

drbdadm connect all

При этом автоматически неактуальные данные будут удалены,и оба сервера будут иметь актуальные и полностью идентич-ные данные. Проверить результат можно командой просмот-ра статуса:


Вывод на основном сервере должен выглядеть следующим об-разом:

drbd driver OK; device status:

version: 0.7.11 (api:77/proto:74)

SVN Revision: 1807 build by netup@netup1, 2006-01-17

00:52:49

0: cs:Connected st:Secondary/Primary ld:Consistent

Строка «st:Seconary/Primary l:onsistent» свидетельствуето том, что данные полностью синхронизированы между сер-верами и конфликт был успешно разрешен.

7/22/2019 utm5_20070529



[1] Страница пакета rb в Интернете - http://.rb.org/

[2] Страница пакета heartbeat в Интернете - http://linu-ha.org/HeartbeatProgram

7/22/2019 utm5_20070529


П р и л о ж е н и е

1

5. Управление сервисами биллинговой

системы в ОС Slar 10

В ОС Solaris 10 появилась новая подсистема управления сер-висами - System Management Facility (SMF) [1], позволяющая

лучше контролировать запуск и остановку сервисов биллинго-вой системы. Преимуществами данной подсистемы является:

Отсутствует необходимость запускать дополнительныйконтролирующий процесс (atchog). В случае если всепроцессы сервиса по каким-то причинам завершают ра-

боту, его перезапуск выполняется автоматически и немед- ленно.

Также отпадает необходимость контролировать порядокзапуска сервисов и перезапуска зависимых сервисов – до-статочно описать зависимости сервисов, и какие действиявыполнять в случае останова «главного» сервиса. Системавсе будет делать автоматически.

Если при запуске сервиса обнаружится ошибка, из-за кото-рой не происходит нормальный запуск, то он переводитсяв состояние, предотвращающее дальнейшие бесполезныепопытки его запуска.

Так как все сервисы, описываемые тут, идентичны с точкизрения SMF, то в этом документе рассмотрен пример реализа-ции управления запуском одного сервиса на примере сервераMySQ и описан минимум команд для управления сервисом.

Также приведены листинги необходимых файлов для запускаостальных сервисов биллинговой системы с помощью SMF.В дополнение приведен листинг функции notify_amin, кото-рая определена в файле /netup/utm5/smf/mail.sh. Даннаяфункция предназначена для отправки сообщений по элек-тронной почте администратору. Эта функция используетсядля информирования администратора об остановах сервисовбиллинговой системы, при этом дополнительно в электрон-ном письме можно высылать определенное администраторомколичество последних строк из журнальных файлов сер-виса

•

•

•

7/22/2019 utm5_20070529


П


на момент останова. Таким образом, администратор получитважную информацию по работе сервиса и своевременно смо-жет принять меры для устранения неполадок.

База данных MySQL

Предварительно необходимо произвести установку серверабазы данных MySQ, произвести инициализацию базы, за-пустить сервер и проверить работоспособность. Далее будетрассмотрен процесс интегрирования MySQ в подсистему уп-равления процессами ОС Solaris 10.

Описания и параметры запуска всех сервисов, запуском ко-

торых занимается SMF, хранятся в репозитарии и могут бытьпросмотрены и отредактированы с помощью программыsccfg(1M).

Чтобы добавить сервис в репозитарий SMF необходимо со-здать его «манифест» (manifest) – файл в формате M, опи-сывающий параметры запуска сервиса, и «метод» (metho)

– это может быть любая команда. В данном примере методпредставляет собой скрипт на языке �ourne Shell.

Создадим манифест для сервера MySQ как указано в листин-ге 1.1. Манифесты хранятся в каталоге /var/svc/manifest иразделены по категориям (подкаталогам). Эти катего-рии со-зданы только для удобства администратора. Подходящей ка-тегорией для сервера баз данных является application, а длясервисов UTM5 создадим отдельную категорию, напримерutm.

7/22/2019 utm5_20070529



1

Л и с т и н

г 1 . 1 – ф а й л

/ v a r

/ s v c

/ m a n

i f e s t

/ a p p

l i c a t

i o

n / m y s q

l . x m

l

< ? x m

l

v e r s

i o n = ’

1 .

0 ’ ? >

< ! D O C T

Y P E

s e r v

i c e_

b u n

d l e

S Y S T E M

‘ / u s r

/ s

h a r e

/ l

i b / x m

l / d t

d / s e r v

i c e_

b u n

d l e .

d t

d .

1 ’ >

< s e r v

i

c e_

b u n

d l e

t y p e = ’ m a n

i f e s t ’

n a m e = ’ m y s q

l : m

y s q

l ’ >

< ! - - И м я с е р в и с а - - >

< s e r v

i c e

n a m e = ’ a p p

l i c a t

i o n

/ m y s q

l ’

t y p e = ’ s e r v

i c e ’

v e r s

i o n = ’

1 ’ >

< c r e a t e_

d e

f a u

l t_

i n s t a n c e

e n a b

l e

d = ’

f a

l s e ’

/ >

< s

i n g

l e_

i n s t a n c e

/ >

< ! - -

7/22/2019 utm5_20070529


П


З а в и с и

м о с т и .

Е с л и с е р в и с ы о б о з н а ч е н ы е к а к з а в и с и м о с т и н е р а б о т а ю т – с е р в и с н е д о л ж

е н з а п у с к а т с я .

- - >

< d e p e n

d e n c y

n a m e = ’

f s ’

g r o u p

i n g = ’ r e q u

i r e_

a l l

’

r e s t a r t_

o n = ’ n o n e ’


i c e ’ >

< s e r v

i c e_

f m r

i

v a

l u e = ’

s v c :

/ s y s t e m

/ f i l e s y s

t e m

/ l o c a

l ’

/ >

< / d e p e n

d e n c y >

< d e p e n

d e n c y

n a m e = ’ n e t ’

g r o u p

i n g = ’ r e q u

i r e_

a l l

’

r e s t a r t_

o n = ’ n o n

e ’

7/22/2019 utm5_20070529



1


i c e

’ >

< s e r v

i c e_

f m r

i

v a

l u e = ’

s v c :

/ n e t w o r

k / l o o p

b a

c k ’

/ >

< / d e p e n

d e n c y >

< ! - -

К о м а н д ы д л я з а п у с к а . О

б р а т и

т е в н и м а н и е , ч т о з д е с ь ж е з а д а е т с я и м я п о л ь з о в а т е л я о т к о т о р о г о к о м а н д а б у д е т

в ы п о л н е н а .

- - >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t a r t ’

e x e c = ’

/ l i b / s v c

/ m e t

h o d

/ s v c - m y s q

l

s t a r t ’

t i m e o u t_

s e c o n

d s = ’ -

1 ’ >

7/22/2019 utm5_20070529


П


< m e t

h o

d_

c o n t e x t >

< m e t

h o

d_

c r e

d e

n t

i a

l

u s e r = ’ m y s q

l ’

g r o u p =

’ m y s q

l ’

/ >

< / m e t

h o

d_

c o n t e x t >

< / e x e c_

m e t

h o

d >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t o p ’

e x e c

= ’ :

k i l l ’

t i m e o u t_

s e c o n

d s = ’ -

1 ’ >

< / e x e c_

m e t

h o

d >

< / s e r v

i c e >

7/22/2019 utm5_20070529


0


1

< / s e r v

i c e_

b u n

d l e >

П о с л е э т о г о н е о б х о д и м о с о з д

а т ь « м е т о д » , к о т о р ы й б у д е т и с п о л ь з о в а т ь с я д л я з а п у с к а с е р в е р а б а з ы д а н н ы х к а к

у к а з а н о в л и с т и н г е 1 . 2 . М е т о д

ы о б ы ч н о р а с п о л о ж е н

ы в к а т а л о г е

/ l i b / s v c

/ m e t

h o

d .

Л и с т и н

г 1 . 2 – ф а й л

/ l i b / s v c

/ m e t

h o

d / s v c - m y s q

l

# !

/ s

b i

n / s

h

#

m y s q

l

# #

П у т и

к ф а й л а м н е о б х о д и м о

з а м е н и т ь с о о т в е т с т в е

н н о к о н ф и г у р а ц и и

# .

/ l i b /

s v c

/ s

h a r e

/ s m

f_

i n c

l u

d e . s

h

D B_

D I R

= / v a r

/ m y s q

l

P I D_

F I

L E =

$ { D B_

D I R

} / ` / u s r

/ b i n

/ u n a m e

- n

` . p

i d

7/22/2019 utm5_20070529


1

П


c a s e

“

$ 1 ”

i n

s t a r t

)

/ u

s r

/ l o c a

l / m y s q

l / b i n

/ m y s q

l d

_ s a

f e

- - u s e r = m

y s q

l

- -

d a t a

d i r =

$ { D B

_ D I R

}

- - p

i d -

f i l e =

$ {

P I D_

F I L E

}

>

/ d e v

/ n

u l l

&

; ;

s t o p

)

i f

[

- f

$ { P I D_

F I L E

}

] ;

t h e n

/ u s r

/ b i n

/ p

k i l l

m y s q

l d

_ s a

f e

>

/ d e v

/ n u

l l

2 > &

1

/ u s r

/ b i n

/ k i l l

` c a t

$ { P I D_

F I L E

} `

>

/ d e v

/ n u

l l

2 > &

1

& &

e c

h o

- n

m y s q

l

f i

; ;

‘ r e s t a r t ’

)

s t o p

w h i l e

p g r e p

m y s q

l d

>

/ d e v

/ n u

l l

7/22/2019 utm5_20070529


2


1

d o

s l e e p

1

d o n e

s t a r t

; ;

* )

e c

h o

“ U s a g e :

` b a s e n a m e

$ 0 `

{ s t a r t

|

s t o p

|

r e s t a r t

} ”

e x

i t

6 4

; ;

e s a c

П о с л е э т о г о н е о б х о д и м о у с т а

н о в и т ь к о р р е к т н ы е п р

а в а д о с т у п а к о м а н д а м и :

c h o w n

r o o t : s y s

/ v a r

/ s v c

/ m a n

i f e s t

/ a p p

l i c a t

i o n /

m y s q

l . x m

l

c h m o

d

4 4 4

/ v a r

/ s v c

/ m a n

i f e s t

/ a p p

l i c a t

i o n

/ m y s q l

. x m

l

7/22/2019 utm5_20070529


П


c h o w n

r o o t :

b i n

/ l i b / s v c

/ m e t

h o

d / s v c - m y s q

l

c h m o

d

5 5 5

/ l i b / s v c

/ m e t

h o

d / s v c - m y s q

l

П р о в е р и т ь к о р р е к т н о с т ь н а с

т р о е к м о ж н о к о м а н д о й :

s v c c

f g

v a

l i d a t e

/ v a r

/ s v c

/ m a n

i f e s t

/ a p p

l i c a t

i o n

/ m y s q

l . x m

l

& &

e c

h o

O K

O K

Д а л е е н

е о б х о д и м о п р о и з в е с т и и м п о р т д а н н ы х и з M � ф а й л а в р е п о з и т а р и й к о м а н д о й :

s v c c

f g

i m p o r t

/ v a r

/ s v c

/ m a n

i f e s t

/ a p p

l i c a t

i o n

/ m

y s q

l . x m

l

З а п у с к

с е р в и с а м о ж н о п р о и з в е с т и к о м а н д о й :

s v c a

d m

– v

e n a

b l e

m y s q

l

п р и э т о м в ы в о д д о л ж е н с о д е р

ж а т ь с т р о к у :

s v c :

/ a

p p

l i c a t

i o n

/ m y s q

l :

d e

f a u

l t

e n a

b l e

d .

П р о в е р и т ь з а п у с т и л с я л и с е р

в и с м о ж н о к о м а н д о й :

7/22/2019 utm5_20070529



1

s v c s

-

a

|

g r e p

m y s q

l

П р и у с п е ш н о м з а п у с к е в ы в о д

д о л ж е н с о д е р ж а т ь с т р

о к у :

o n

l i n e

1 2 :

2 9 :

5 9

s

v c :

/ a p p

l i c a t

i o n

/ m y s q

l :

d e

f a u

l t

Д л я п р о с м о т р а д е т а л ь н о й и н ф о р м а ц и и о с е р в и с е с л

е д у е т в о с п о л ь з о в а т ь с я

с л е д у ю щ е й к о м а н д о й :

s v c s

-

x

m y s q

l

в ы в о д э т о й к о м а н д ы :

s v c :

/ a

p p

l i c a t

i o n

/ m y s q

l :

d e

f a u

l t

( ?

)

S t a t e

:

o n

l i n e

s i n c e

T u e

D e c

2 7

1 2 :

1 8 :

4 0

2 0 0 5

S e e

:

/ v a r

/ s v c

/ l o g

/ a p p

l i c a t

i o n - m y s q

l :

d e

f a u l

t .

l o g

I m p a c t

:

N o n e .

Ч т о б ы

у в и д е т ь с п и с о к п р о ц е с

с о в з а п у щ е н н ы х с е р в и

с о м , в о с п о л ь з у й т е с ь с л е д у ю щ е й к о м а н д о й :

s v c s

-

p

m y s q

l

7/22/2019 utm5_20070529


П


В ы в о д

с о д е р ж и т с л е д у ю щ у ю и н ф о р м а ц и ю :

S T A T E

S T I M E

F M R I

o n

l i n e

D e c_

2 7

s v

c :

/ a p p

l i c a t

i o n

/ m y s q

l :

d e

f a u

l t

D e c_

2 7

2 1 2

m y s q

l d

_ s a

f e

D e c_

2 7

2 9 1

m y s q

l d

В с л у ч а

е н е о б х о д и м о с т и с т а н

о в и т ь с е р в и с м о ж н о к о м а н д о й :

s v c a

d m

– v

d i s a

b l e

m y s q

l

Е с л и в о в р е м я з а п у с к а п р о и з о

ш л а о ш и б к а и с е р в и с н е с м о г з а п у с т и т ь с я , н а п р и м е р и з - з а о ш и б к и

в к о н ф и г у р а -

ц и и , п о д с и с т е м а S M F п е р е в о

д и т е г о в с о с т о я н и е m

a i n t e n a n c e и п о с л е э т о г о с е р в и с н е з а п у с т и т

с я к о м а н д о й

s c a m

e n a b l e . Д л я т о г о ч т о б

ы з а п у с т и т ь с е р в и с п о

с л е у с т р а н е н и я о ш и б к

и , н е о б х о д и м о с н а ч а л

а « с б р о с и т ь »

е г о с о с

т о я н и е к о м а н д о й :

s v c a

d m

c l e a r

m y s q

l

Д л я к а ж д о г о с е р в и с а в е д е т с я с в о й ж у р н а л с о б ы т и й .

Ж у р н а л ы р а с п о л а г а ю т

с я в к а т а л о г е

/ v a r

/ s v c

/ l o g .

7/22/2019 utm5_20070529



1

Р е к о м е

н д у е т с я , т а к ж е , и з у ч и т ь с т р а н и ц ы с п р а в о ч н

о г о р у к о в о д с т в а m a n к п р и в е д е н н ы м к о м а н д а м . Н а э т о м

и н т е г р

а ц и я с е р в е р а б а з ы д а н

н ы х M y S Q � в п о д с и с т е

м у S M F з а в е р ш е н а .

Я д р о б

и л л и н г о в о й с и с т е м ы

u t m 5_ c o r e

И н т е г р

а ц и я с е р в и с о в б и л л и н

г о в о й с и с т е м ы п р о и з в

о д и т с я а н а л о г и ч н о с е р

в е р у б а з ы д а н н ы х . Н и ж е п р и в о д я т -

с я л и с т

и н г и с о о т в е т с т в у ю щ и х ф а й л о в .

Л и с т и н

г 3 . 1 – ф а й л

/ v a r

/ s v c

/ m a n

i f e s t

/ u t m

/ u t m

5_

c o r e . x m

l

< ? x m

l

v e r s

i o n = ’

1 .

0 ’ ? >

< ! D O C T

Y P E

s e r v

i c e_

b u n

d l e

S Y S T E M

‘ / u s r

/ s

h a r e

/ l

i b / x m

l / d t

d / s e r v

i c e_

b u n

d l e .

d t

d .

1 ’ >

< s e r v

i

c e_

b u n

d l e

t y p e = ’ m a n

i f e s t ’

n a m e = ’ U T M

5 : u t

m 5

_ c o r e ’ >

< s e r v

i c e

n a m e = ’ u t m

/ u t m

5_

c o r e ’


i c e ’

v e r s

i o n = ’

1 ’ >

< c r e a t e_

d e

f a u

l t_

i n s t a n c e

e n a

b l e

d = ’ f

a l s e ’

/ >

7/22/2019 utm5_20070529


П


< s

i n g

l e_

i n s t a n c e

/ >

< ! - -

C a n n o t

w o r

k

w i t

h o u t

a p p

l i c a t

i o n

- - >

< d e p e n

d e n c y

n a m e = ’ m y s q

l ’

g r o u p

i n g = ’ r e q

u i r e_

a l l ’

r e s t a r t_

o n = ’ r e s t a r t ’


i c e ’ >

< s e r v

i c e_

f m r

i

v a

l u e = ’ s v c :

/ a p p

l i c a t

i o n

/ m

y s q

l ’

/ >

< / d e p e n

d e n c y >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t a r t ’

7/22/2019 utm5_20070529



1

e x e c = ’

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_

c o

r e

s t a r t ’

t i m e o u t_

s e c o n

d s = ’

1 2 0 ’

>

< m e t

h o

d_

c o n t e x t >

< m e t

h o

d_

c r e

d e n t

i a

l

u s e r = ’ r o o t ’

g r o u p = ’

r o o t ’

/ >

< / m e t

h o

d_

c o n t e x t >

< / e x e c_

m e t

h o

d >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t o p ’

e x e c = ’

/ l i b / s v c

/ m e t

h o d

/ s v c - u t m

5_

c o r e

s t o p

% { r e s t a r t e r

/ c o n t r a c

t } ’

t i m e o u t_

s e c o n

d s = ’

1 2 0 ’

>

< m e t

h o

d_

c o n t e x t >

< m e t

h o

d_

c r e

d e n t

i a

l

u s e r = ’ r o o t ’

g r o u p = ’

r o o t ’

/ >

7/22/2019 utm5_20070529


П


< / m e t

h o

d_

c o n t e x t >

< / e x e c_

m e t

h o

d >

< t e m p

l a t e >

< c o m m o n_

n a m e >

< l o c t e x t

x m

l :

l a

n g = ’ C ’ >

N e t U P U

T M

5

c o r e

< / l o c t e x t >

< / c o m m o n_

n a m e >

< d e s c r

i p t

i o n >

< l o c t e x t

x m

l : l

a n g = ’ C ’ >

T h e

C o r e

o f

U T M

5

S y s t e m

< / l o c t e x t >

< / d e s c r

i p t

i o n >

7/22/2019 utm5_20070529


0


1

< d o c u m e n t a t

i o n >

< d o c_

l i n

k

n a m e = ’

n e t u p . r u ’

u r

i = ’

h t t p :

/ / w w w . n e t u

p . r u ’

/ >

< / d o c u m e n t a t

i o n >

< / t e m p

l a t e >

< / s e r v

i c e >

< / s e r v

i c e_

b u n

d l e >

Л и с т и н

г 3 . 2 – ф а й л

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_

c o r e

# !

/ s

b i

n / s

h

# #

N e t U

P

U T M

5

C o r e

M e t

h o

d

# .

/ l i b /

s v c

/ s

h a r e

/ s m

f_

i n c

l u

d e . s

h

7/22/2019 utm5_20070529


1

П


.

/ n e t u

p / u t m

5 / s m

f / m a

i l . s

h

C F G F I L

E =

/ n e t u p

/ u t m

5 / u t m

5 . c

f g

[

!

- f

$ C F G F I L E

]

& &

e x

i t

$ S M F_

E X I T_

E R R_

C O N F I

G

.

$ C F G F

I L E

B I N D I R

= / n e t u p

/ u t m

5 / b i n

E X E C = u

t m

5_

c o r e

[

!

- x

$ B I N D I R

/ $ E X E C

]

& &

e x

i t

$ S M F_

E X I T_

E R R_

C O N F I G

P I D F I L

E =

$ { c o r e_

p i d

_ f i l e : -

/ v a r

/ r u n

/ u t m

5_

c o r e . p

i d }

M A I N L O

G =

$ { l o g_

f i l e_

m a

i n : -

/ n e t u p

/ u t m

5 / l o g

/ m a

i n

. l o g

}

S V C L O G

= ”

/ v a r

/ s v c

/ l o g

/ u t m - u t m

5_

c o r e :

d e

f a u

l t .

l o

g ”

c h e c

k_

a n

d_

k i l l

( )

{

P I D =

` h e a

d

- 1

$ 1 `

7/22/2019 utm5_20070529


2


1

k i l l

- 0

$ P I D

>

/ d e v

/ n u

l l

2 > &

1

[

$ ?

- e q

0

]

& &

k i l l

- U S R

1

$ P I D

} c a s e

“

$ 1 ”

i n

‘ s t a r t ’

)

[

- x

$ B I N D I R

/ $ E X E C

]

& &

$ B I N D I R

/ $ E X E C

&

s l e e p

5

i f

k i l l

- 0

$ !

>

/ d e v

/ n u

l l

2 > &

1

;

t h e n

e c

h o

“ S u c c e s s . ”

e x

i t

$ S M F_

E X I T_

O K

e l s e

e c

h o

“ E r r o r .

”

e x

i t

$

S M F_

E X I T_

E R R_

F A T A L

7/22/2019 utm5_20070529


П


f i

; ;

‘ s t o p ’

)

#

K i l l

p r o c e s s

[

- f

$ P I D F I L E

]

& &

c h e c

k_

a n

d_

k i l l

$ P I D F I L E

s l e e p

1 0

[

- f

$ P I D F I L E

]

& &

r m

- f

$ P I D

F I L E

#

N o t

i f y

a d m

i n s

a b o u t

s e r v

i c e

s t o p

n o t

i f y

_ a

d m

i n

E

“ U T M

5

C o r e

e x

i t e

d ! ”

“ $ { S V C L O G }

. 4 0 ”

“ $ { M A I N L O G

} .

3 0

”

s m

f_

k i l l

_ c o n t r a c t

$ 2

K I L L

1

; ;

7/22/2019 utm5_20070529



1

* )

e c

h o

“ U s a g e :

` b a s e n a m e

$ 0 `

{ s

t a r t

|

s t o p

} ”

; ;

e s a c

R A D I U

S � с е р в е р u t m 5_ r a d i u s

Л и с т и н

г 4 . 1 – ф а й л

/ v a r

/ s v c

/ m a n

i f e s t

/ u t m

/ u t m

5_ r

a d i u s . x m

l

< ? x m

l

v e r s

i o n = ’

1 .

0 ’ ? >

< ! D O C T

Y P E

s e r v

i c e_

b u n

d l e

S Y S T E M

‘ / u s r

/ s

h a r e

/ l

i b / x m

l / d t

d / s e r v

i c e_

b u n

d l e .

d t

d .

1 ’ >

< s e r v

i

c e_

b u n

d l e

t y p e = ’ m a n

i f e s t ’

n a m e = ’ n e t u p : u

t m

5_

r a

d i u s ’ >

< s e r v

i c e

n a m e = ’ u t m

/ u t m

5_

r a

d i u s ’


i c e ’

v e r s

i o n = ’

1 ’ >

7/22/2019 utm5_20070529


П


< c r e a t e_

d e

f a u

l t_

i n s t a n c e

e n a

b l e

d = ’

f a

l s e ’

/ >

< s

i n g

l e_

i n s t a n c e

/ >

< ! - -

C a n n o t

w o r

k

w i t

h o u t

u t m

5_

c o r e

- - >

< d e p e n

d e n c y

n a m e = ’ u t m

5_

c o r e ’

g r o u p

i n g = ’ r e q u

i r e_

a l l

’

r e s t a r t_

o n = ’ r e s t a r t ’


i c e ’ >

< s e r v

i c e_

f m r

i

v a

l u e = ’ s v c :

/ u t m

/ u t m

5_

c o r e ’

/ >

< / d e p e n

d e n c y >

< ! - -

E x e c u t

i o n

m e t

h o

d s

- - >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

7/22/2019 utm5_20070529



1

n a m e = ’ s t a r t ’

e x e c = ’

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_

r a

d i

u s

s t a r t ’

t i m e o u t_

s e c o n

d s = ’

1 2 0 ’

>

< m e t

h o

d_

c o n t e x t >

< m e t

h o

d_

c r e

d e n t

i a

l

u s e r = ’ r o o t ’

g r o u p = ’

r o o t ’

/ >

< / m e t

h o

d_

c o n t e x t >

< / e x e c_

m e t

h o

d >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t o p ’

e x e c = ’

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_

r a

d i u s

s t o p

% {

r e s t a r t e r

/ c o n t r a c t

}

’

t i m e o u t_

s e c o n

d s = ’

1 2 0 ’ >

< / e x e c_

m e t

h o

d >

7/22/2019 utm5_20070529


П


< t e m p

l a t e >

< c o m m o n_

n a m e >

< l o c t e x t

x m

l : l

a n g = ’ C ’ >

N e t U P

U T M

5

r a

d i u s

< / l o c t e x t >

< / c o m m o n_

n a m e >


i o n >

< d o c_

l i n

k

n a m e = ’ n e t u p

. r u ’

u r

i = ’

h t t p :

/ / w w w . n e t u p . r u ’

/ >


i o n >

< / t e m p

l a t e >

1

< / s e r v

i c e >

< / s e r v

i c e_

b u n

d l e >

7/22/2019 utm5_20070529



1

Л и с т и н

г

4 .

2

–

ф а

й л

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_ r

a d i u s

# !

/ s

b i

n / s

h

# #

R a

d i

u s

m e t

h o

d

# .

/ l i b /

s v c

/ s

h a r e

/ s m

f_

i n c

l u

d e . s

h

.

/ n e t u

p / u t m

5 / s m

f / m a

i l . s

h

C F G F I L

E =

/ n e t u p

/ u t m

5 / r a

d i u s

5 . c

f g

[

!

- f

$ C F G F I L E

]

& &

e x

i t

$ S M F_

E X I T_

E R R_

C O N F I

G

.

$ C F G F

I L E

M A I N L O

G =

$ { l o g_

f i l e_

m a

i n : -

/ n e t u p

/ u t m

5 / l o g

/ r a

d i

u s_

m a

i n .

l o g

}

B I N D I R

= / n e t u p

/ u t m

5 / b i n

E X E C = u

t m

5_

r a

d i u s

7/22/2019 utm5_20070529


П


P I D F I L

E =

/ v a r

/ r u n

/ u t m

5_

r a

d i u s . p

i d

S V C L O G

= ”

/ v a r

/ s v c

/ l o g

/ u t m - u t m

5_

r a

d i u s :

d e

f a u

l t .

l o g ”

P I N G = c

o r e_

p i n g

c a s e

“

$ 1 ”

i n

‘ s t a r t ’

)

[

- x

$ B I N D I

R / $ P I N G

- a

- x

$ B I N D I

R / $ E X E C

]

& &

P I N G_

A R G S = ” -

h

$ { c o r e_

h o s t :

- 1 2 7 .

0 .

0 .

1 }

- P

$ { c o

r e_

p o r t : -

1 1 7 5 8 }

- l

$ { r a

d i u s_

l o g

i n : - r a

d i u s

}

- p

$ { r a

d i u s_

p a s

s w o r

d : - r a

d i u s

}

- i

2

- c

1 ”

i f

[

- n

“ $ P I N G_

A R G S ”

] ;

t h e n

$ B I N D I R

/ $ P I N G

$ P I N G_

A R G S

& &

$ B I N D I

R / $ E X E C

&

s l e e p

3

k i l l

- 0

$ !

| |

e x

i t

$ S M F_

E X I T_ E

R R_

F A T A L

e x

i t

$ S M F_

E X I T_

O K

e l s e

e x

i t

$ S M F_

E X I T_

E R R_

C O

N F I G

7/22/2019 utm5_20070529


00


1

f i

; ;

‘ s t o p ’

)

n o t

i f y_

a d m

i n

W

“ R a

d i u s

e x

i t e

d ! ”

“ $ { S V C L O G

} .

4 0 ”

“ $ {

M A I N L O G

} .

3 0 ”

s m

f_

k i l l

_ c o n t r a c t

$ 2

K I L L

1

& &

r m

- f

$ P I D F I L E

& &

e

x i t

$ S M F_

E X I T_

O K

; ;

* )

e c

h o

“ U s a g e :

` b a s e n a m e

$ 0 `

{ s t o p

| s t a r t

} ”

; ;

e s a c

С е р в и с u t m 5_ r f w

Л и с т и н

г

5 .

1

–

ф а

й л

/ v a r

/ s v c

/ m a n

i f e s t

/ u t m

/ u t m 5

_ r

f w . x m

l

< ? x m

l

v e r s

i o n = ’

1 .

0 ’ ? >

7/22/2019 utm5_20070529


01

П


< ! D O C T

Y P E

s e r v

i c e_

b u n

d l e

S Y S T E M

‘ / u s r

/ s

h a r e

/ l

i b / x m

l / d t

d / s e r v

i c e_

b u n

d l e .

d t

d .

1 ’ >

< s e r v

i

c e_

b u n

d l e

t y p e = ’ m a n

i f e s t ’

n a m e = ’ n e t u p : u

t m

5_

r f w ’ >

< s e r v

i c e

n a m e = ’ u t m

/ u t m

5_

r f w ’


i c e ’

v e r s

i o n = ’

1 ’ >

< c r e a t e_

d e

f a u

l t_

i n s t a n c e

e n a

b l e

d = ’ f

a l s e ’

/ >

< s

i n g

l e_

i n s t a n c e

/ >

< ! - -

C a n n o t

w o r

k

w i t

h o u t

u t m

5_

c o r e

- - >

< d e p e n

d e n c y

n a m e = ’ u t m

5_

c o r e ’

7/22/2019 utm5_20070529


02


1

g r o u p

i n g = ’ r e q u

i r e_

a l l

’

r e s t a r t_

o n = ’ r e s t a r t ’


i c e ’ >

< s e r v

i c e_

f m r

i

v a

l u e = ’ s v c :

/ u t m

/ u t m

5_

c o r e ’

/ >

< / d e p e n

d e n c y >

< ! - -

E x e c u t

i o n

m e t

h o

d s

- - >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t a r t ’

e x e c = ’

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_ r

f w

s t a r t ’

t i m e o u t_

s e c o n

d s = ’

1 2 0 ’

>

< m e t

h o

d_

c o n t e x t >

< m e t

h o

d_

c r e

d e n t

i a

l

u s e r = ’ r o o t ’

g r o u p = ’

r o o t ’

/ >

7/22/2019 utm5_20070529


0

П


< / m e t

h o

d_

c o n t e x t >

< / e x e c_

m e t

h o

d >

< e x e c_

m e t

h o

d

t y p e = ’ m e t

h o

d ’

n a m e = ’ s t o p ’

e x e c = ’

/ l i b / s v c

/ m e t

h o d

/ s v c - u t m

5_

r f w

s t o p

% { r e s t a r t e r

/ c o n t r a c t

} ’

t i m e o u t_

s e c o n

d s = ’

1 2 0 ’

>

< / e x e c_

m e t

h o

d >

< t e m p

l a t e >

< c o m m o n_

n a m e >

< l o c t e x t

x m

l : l

a n g = ’ C ’ >

N e t U P

U T M

5

r f w

< / l o c t e x t >

7/22/2019 utm5_20070529


0


1

< / c o m m o n_

n a m e >


i o n >

< d o c_

l i n

k

n a m e = ’

n e t u p . r u ’

u r

i = ’

h t t p :

/ / w w w . n e t u

p . r u ’

/ >


i o n >

< / t e m p

l a t e >

< / s e r v

i c e >

< / s e r v

i c e_

b u n

d l e >

Л и с т и н

г

5 .

2

–

ф а

й л

/ l i b / s v c

/ m e t

h o

d / s v c - u t m

5_ r

f w

# !

/ s

b i

n / s

h

# #

U T M 5

r f w

m e t

h o

d

#

7/22/2019 utm5_20070529


0

П


.

/ l i b /

s v c

/ s

h a r e

/ s m

f_

i n c

l u

d e . s

h

.

/ n e t u

p / u t m

5 / s m

f / m a

i l . s

h

C F G F I L

E =

/ n e t u p

/ u t m

5 / r

f w

5 . c

f g

[

!

- f

$ C F G F I L E

]

& &

e x

i t

$ S M F_

E X I T_

E R R_

C O N F I

G

.

$ C F G F

I L E

M A I N L O

G =

$ { l o g_

f i l e_

m a

i n : -

/ n e t u p

/ u t m

5 / l o g

/ r

f w_

m a

i n .

l o g

}

B I N D I R

= / n e t u p

/ u t m

5 / b i n

E X E C = u

t m

5_

r f w

E X E C_ F

L A G S = ” -

f ”

P I D F I L

E =

/ v a r

/ r u n

/ u t m

5_

r f w . p

i d

S V C L O G

= ”

/ v a r

/ s v c

/ l o g

/ u t m - u t m

5_

r f w :

d e

f a u

l t .

l o g

”

c a s e

“

$ 1 ”

i n

‘ s t a r t ’

)

7/22/2019 utm5_20070529


0


1

[

- x

$ B I N D I R

/ $ E X E C

]

& &

$ B I N D I R

/ $ E X E C

$ E X E C

_ F L A G S

&

s l e e p

3

k i l l

- 0

$ !

| |

e x

i t

$ S M F_

E X I T_ E

R R_

F A T A L

e x

i t

$ S M F_

E X I T_

O K

; ;

‘ s t o p ’

)

n o t

i f y_

a d m

i n

W

“ U T M

5

R F W

e x

i t

e d ! ”

“ $ { S V C L O G

} .

4 0 ”

“ $ { M A I N L O G

} .

3 0 ”

s m

f_

k i l l

_ c o n t r a c t

$ 2

K I L L

1 &

&

r m

- f

$ P I D F I L E

& &

e x

i t

$ S M F_

E X I T_

O K

; ;

* )

e c

h o

“ U s a g e :

` b a s e n a m e

$ 0 `

{ s t o p

| s t a r t

} ”

; ;

e s a c

7/22/2019 utm5_20070529


0

П


Ф у н к ц

и я n o t i f y_ a d m i n

Л и с т и н

г

7 .

1

–

ф а

й л

/ n e t u p

/ u t m

5 / s m

f / m a

i l . s

h

# !

/ s

b i

n / s

h

#

C o p y

r i g

h t

( c

)

2 0 0 1 -

2 0 0 5

N e t U P

I n c .

 .

A l l

r i g

h t s

r e s e r v e

d .

# #

C o m m

o n

v a r

i a

b l e s

#

- - - -

- - - - - - - - - - - -

# n o t

i f y

_ a

d m

i n_

A R G S =

$ @

#

У к а ж

и т е

а д р е с а

э л е к т р о н н о

й

п о ч т ы

а д м и н и с т р а

т о р а .

#

П о

э

т и м

а д р е с а м

б у д у т

п р и х о д и т ь

у в е д о м л е н и я

.

M A I L_ A

D M I N_

M A I L = a n y

@ e m a

i l

. a

d d r e s s

M A I L_ C

O P Y_

T O = a n o t

h e r

@ e m a

i

l . a

d d r e s s

7/22/2019 utm5_20070529


0


1

#

F u n c

t i o n

#

= = = =

= = = =

#

N a m e

:

n o t

i f y_

a d m

i n

( )

#

D e s c

r :

S e n

d s

f o r m a t t e

d

e m a

i l

t o

a d m

i n

#

V e r s

i o n :

0 .

2

#

U s a g

e :

n o t

i f y_

a d m

i n

[ t y p e

]

[ s u

b j e c t

]

[ m e s s a

g e

]

[ l o g

f i l e .

l i n e s

. . .

]

#

[ t y p e

]

c h a r

{ E

| W

| N

}

E R R O R ,

W A R N I N G ,

N O T I C E

r e s

p e c t

i v e

l y .

D e

f a u

l t “

I N F O ” .

#

[ s u

b j e c t

]

s t r

i n g

S u

b j e c t .

I f

c o n

t a

i n s

s p a c e s

M U S T

b

e

“ Q U O T E D ” .

#

[ m e s s a g e

]

s t r

i n g

M e s s a g e

b o

d y . I

f

c o n t a

i n s

s p a c e s

M

U S T

b e

“ Q U O T E D ” .

#

[ l o g

f i l e .

l i n e s

. . .

]

s t r

i n g

L a s t

$ l i n e s

t o

b e

i n c l

u d e

d

i n t o

m e s s a g e

b

o d y

o f

t h e

$ l o g

f i

l e

#

( ` t a

i l

- $ l i n e s

$ l o g

f i l e ’

u

s e

d )

#

A l l

p a r a m e t e r s

a r e

o p t

i o n a

l .

#

7/22/2019 utm5_20070529


0

П


n o t

i f y

_ a

d m

i n

( )

{ # #

I n

i t

i a

l i z e

s o m e

v a r

i a

b l e s

#

- - - -

- - - - - - - - - - - - - - - - - - - - -

n o t

i f y_

a d m

i n_

A D M I N_

M A I L =

$ { M A I L_

A D M I N_

M A I L : - r o o t

}

n o t

i f y_

a d m

i n_

C O P Y_

T O =

$ M A I L_

C O P Y_

T O

n o t

i f y_

a d m

i n_

S T A T U S = ” I N F O ”

n o t

i f y_

a d m

i n_

S U B J E C T = ” ”

n o t

i f y_

a d m

i n_

M E S S A G E = ” ”

n o t

i f y_

a d m

i n_

M A I L E R_

A R G S = ” ”

# #

I f

c

o m m a n

d

l i n e

c o n t a

i n s

s t a t u s

#

- - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - -

7/22/2019 utm5_20070529


10


1

c a s e

“ $ 1 ”

i n

‘ E ’

)

n o t

i f y_

a d m

i n_

S T A T U S = ”

E R R O R ”

s h i f t

; ;

‘ W ’

)

n o t

i f y_

a d m

i n_

S T A T U S = ”

W A R N I N G ”

s h i f t

; ;

‘ N ’

)

n o t

i f y_

a d m

i n_

S T A T U S = ”

N O T I C E ”

s h i f t

; ;

e s a c

7/22/2019 utm5_20070529


11

П


# #

S e t

n o t

i f y_

a d m

i n_

S U B J E C T

a n

d

n o t

i f y_

a d m

i n_ M

E S S A G E

v a r

i a

b l e s

#

- - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

# w h i l e

e c

h o

“ $ 1 ”

|

e g r e p

-

v

‘ ^ [ ^

] * \ .

[ 0 -

9 ] ? + $

’

>

/ d e v

/ n u

l l

2 > &

1

d

o

i f

[

- z

“ $ n o t

i f y_

a d m

i n_

S U B J E C T ”

] ;

t h e n

n o t

i f y_

a d m

i n_

S U B J E C T =

” $ 1 ”

s h i f t

c o n t

i n u e

f i

i f

[

- z

“ $ n o t

i f y_

a d m

i n_

M E S S A G E ”

] ;

t h e n

7/22/2019 utm5_20070529


12


1

n o t

i f y_

a d m

i n_

M E S S A G E =

” $ { 1 } \ n ”

s h i f t

c o n t

i n u e

f i

b r e a

k

d o n e

# #

C h e c

k

o t

h e r

a r g u m e n t s

i f

a n y

a n

d

p r e p a r e

m e

s s a g e

#

- - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - -

i f

[

- n

“ $ 1 ”

] ;

t h e n

f o r

o p t

i n

“ $ @ ”

d o

7/22/2019 utm5_20070529


1

П


n o t

i f y_

a d m

i n_

N U M_

L I N E S

= ` e c

h o

“ $ o p t ”

|

g r e

p

- v

‘

‘

|

a w

k

- F .

‘

{

p r

i n t

$ N F

} ’

|

e

g r e p

‘ ^ [ 0 -

9 ] ? +

$ ’

2 > /

d e v

/ n u

l l `

i f

[

$

?

- n e

0

- o

- z

“ $ n o t

i f y_

a d m

i n_

N U M_

L I N E S ”

] ;

t h e n

c o n t

i n u e

e l s e

# #

w o r k

w i t

h

t h e

a r g u m e n t

a s

i t

i s

a

l o g

f i l e .

#

- - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

n o t

i f y_

a d m

i n

_ L O G_

F N A M E =

` e c

h o

“ $ o p t ”

|

s e

d

“ s

/ \ .

$ { n o

t i f y_

a d m

i n_

N U M_

L I

N E S

} $ / / ; ”

`

[

- f

“ $ n o t

i f y_

a d m

i

n_

L O G_

F N A M E ”

]

| |

{

n o t

i f y_

a d m

i n_

M E S S A G E

= ”

$ { n o t

i f y_

a d m

i n_

M E S S A G E

} \ n - - -

\ n

$ { n o t

i f y_

a d m

i n_

L O G_

F N A M E

}

d o e s

n o t

e x

i s t .

\ n

\ n ” ;

c o n t

i n u e ;

}

[

- r

$ n o t

i f y_

a d m

i n_

L O G_

F N A M E

]

| |

{

n o t

i f y_

a d m

i n_

M E S S A G E

= ”

$ { n o t

i f y_

a d m

i n_

M E S S A G E

} \ n - - -

\ n

$ { n o t

i f y_

a d m

i n_

L O G_

F N A M E

}

i s

n o t

r e a

d a

b l e .

\

n \ n ” ;

c o n t

i n u e ;

}

[

- s

$ n o t

i f y_

a d m

i n_

L O G_

F N A M E

]

| |

{

n o t

i f y_

a d m

i n_

M E S S A G E

= ”

$ { n o t

i f y_

a d m

i n_

M E S S A G E

} \ n - - -

\ n

$ { n o t

i f y_

a d m

i n_

L O G_

F N A M E

}

i s

e m p t y .

\ n

\ n ” ;

c

o n t

i n u e ;

}

7/22/2019 utm5_20070529


1


1

n o t

i f y_

a d m

i n_

M E S S A G E = ”

$ n o t

i f y_

a d m

i n_

M E S S A G E

\ n - - -

\ n - -

-

$ { n o t

i f y_

a d m

i n_

L O G_

F N A M E

} :

L a s t

$

n o t

i f y_

a d m

i n_

N U M_

L I

N E S

l i n e s .

\ n - - -

\ n

` e

v a

l

t a

i l

- $ { n o t

i f y

_ a

d m

i n_

N U M_

L I N E S }

$ n o t

i f y_

a d m

i n_

L O G_

F N A M E

` \ n ”

f i

d o n e

f i

# #

F i n a

l l y

c o m p o s e

a n

d

s e n

d

t h e

m e s s a g e

#

- - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

#

[

- n

“ $ n o t

i f y_

a d

m i n_

C O P Y_

T O ”

]

& &

n o t

i f y_

a d m

i n_

M A I L E R_ A

R G S = ”

$ n o t

i f y_

a d m

i n_

M A I L E R_

A R G S

- c

$ n o t

i f y_

a d m

i n_

C O P Y_

T O ”

{

e c

h o

“ D a t e :

` d a t e

` ”

e c

h o

“ H o s t :

` h o s t n a m e

` ”

7/22/2019 utm5_20070529


1

П


e c

h o

“ O S :

` u n a m e

- s r `

”

e c

h o

“ U p t

i m e :

` u p t

i m e

| s

e d

‘ s

/ ^ [

] * / / ; ’

` ”

e c

h o

“ C o m m a n

d :

$ 0 ”

[

- n

“ $ n o t

i f y_

a d m

i n_

A R G S ”

] &

&

e c

h o

“ A r g s :

$ n o t

i f y_

a d m

i n_

A R G S ”

e c

h o

“ - - - ”

e c

h o

“ $ n o t

i f y_

a d m

i n_

S U B J E C T ”

e c

h o

“ ”

e c

h o

“ $ n o t

i f y_

a d m

i n_

M E S S A G E ”

e c

h o

“ * * *

E n

d

* * * ”

}

|

m a

i l x

- s

“ $ { n o t

i f y_

a d m

i n_

S T A T U S

} :

$ n o t

i f y_

a d m

i n_

S U B J

E C T ”

\

$ n o t

i f y_

a d m

i n_

M A I L E R_

A R G S

$ n o t

i f y_

a d m

i n_

A D M I N_

M A I L

} [ 1 ]

С т р а н и ц а

в

и н т е р н е т

с

о п и с а н и е м

п о д с и с т е м ы

S M F

h t t p :

/ / w w w . s u n . c o m

/ b i g a

d m

i n

/ c o n t e n

t / s e

l f h e a

l /

s d e v_ i

n t r o .

h t m

l

7/22/2019 utm5_20070529


1


6. Примеры вспомогательных утилит

Утилита для резервного копирования базы

данных

Для обеспечения сохранности данных рекомендуется перио-дически делать резервное архивирование SQ-базы данных.Для этого необходимо выполнить скрипт из поставки UTM:UTM::

/netup/utm5/bin/utm5_backup.sh

При этом будет создан файл

/netup/utm5/backup/UTM5.YY_MM_DD.gz,

где YY – год создания архива, MM – месяц, DD – день.

Для периодического выполнения процедуры резервного ко-пирования следует добавить строку вида:

0 5 * * * root

/netup/utm5/bin/utm5_backup.sh

в файл конфигурации планировщика задач /etc/crontab и

перезапустить планировщик задач. При этом каждый день в5 часов утра будет выполняться резервное копирование базыданных.

Утилита для загрузки IP-сетей из файла

Утилита для загрузки IP-сетей в классы трафика из файла. Для

получения справки наберите следующую команду:

7/22/2019 utm5_20070529


1

П


/netup/utm5/bin/utm5_load_tc.pl -h

usage: utm5_load_tc.pl -f file -c tc_class -n our_

net -m our_mask [-r incoming]

В командной строке можно передать следующие параметры:

-ff

Имя файла с информацией об IP-сетях следующего формата:

IP_NET/MASK_NET/MASKNET/MASK/MASKMASK

где IP_NET – адрес сети, MASK – маска подсети.

-c

Идентификатор класса трафика в UTM. Например, 10.

-n

Адрес нашей IP-сети. Например,192.168.10.0

.

-m

Маска нашей IP-сети. Например 255.255.255.0.

-r

Если указать -r 1, то наша IP-сеть будет рассматриваться, как

сеть назначения. Если данный ключ не указан, то наша IP-сетьбудет рассматриваться, как источник.

Пример содержимого файла с информацией о сетях

128.134.151.128/25

144.206.166.0/24

144.206.176.0/24

7/22/2019 utm5_20070529


1


Утилита для сканирования P-таблицы P-таблицы -таблицы

Данная утилита позволяет автоматизировать процесс выдачи

IP-адресов и осуществления связки с MA-адресами. Для за--адресов и осуществления связки с MA-адресами. Для за-MA-адресами. Для за--адресами. Для за-пуска этой утилиты наберите команду

/netup/utm5/bin/utm5_arp.pl

При этом на экране появятся записи, которые были обнару-жены в ARP-таблице операционной системы и которые будутзагружены в базу данных для дальнейшего использования.

Для периодического обновления записей в базе данных реко-мендуется установить выполнение данной утилиты по распи-санию посредством системной утилиты cron. Для этого зане-сите запись в файл /etc/crontab:

*/5 * * * * root /netup/utm5/bin/utm5_arp.pl > /dev/

null 2>/dev/null

После этого необходимо перезапустить утилиту cron.

В результате при добавлении оператором IP-адресов черезIP-адресов через-адресов черезинтерфейс администратора будут предложены на выбор всенайденные пары IP-адрес/MA-адрес.IP-адрес/MA-адрес.-адрес/MA-адрес.MA-адрес.-адрес.

7/22/2019 utm5_20070529


1

П


Утилита для связки IP-адрес/M-адрес IP-адрес/M-адрес -адрес/M-адрес M-адрес -адрес

Для запуска этой утилиты укажите корректные параметры длядоступа к базе данных в файле /netup/utm5/bin/arp.sh и вы-

полните команду:

/netup/utm5/bin/arp.sh

При этом в ARP-таблице операционной системы должны поя- ARP-таблице операционной системы должны поя--таблице операционной системы должны поя-виться неизменяемые связки IP-адрес/MA-адрес. Они обыч-IP-адрес/MA-адрес. Они обыч--адрес/MA-адрес. Они обыч-MA-адрес. Они обыч--адрес. Они обыч-обыч-обыч-но помечаются как permanent либо PERM. Например:помечаются как permanent либо PERM. Например:помечаются как permanent либо PERM. Например:как permanent либо PERM. Например:как permanent либо PERM. Например:permanent либо PERM. Например: либо PERM. Например:PERM. Например:Например::

(10.1.2.27) at 00:0c:29:8e:be:86 on lnc0 permanent

[ethernet]

Для периодического обновления записей в ARP-таблице реко-мендуется установить выполнение данной утилиты по распи-санию посредством системной утилиты cron. Для этого зане-сите запись в файл /etc/crontab:

*/5 * * * * root /netup/utm5/bin/arp.sh > /dev/null2>/dev/null

После этого необходимо перезапустить утилиту cron.

Данная технология позволяет избежать подмены IP-адресовIP-адресов-адресовсо стороны злоумышленников, в результате чего уменьшаетсяриск хищения IP-трафика.IP-трафика.-трафика.

7/22/2019 utm5_20070529


20


е 2

7/22/2019 utm5_20070529


21

П


22. Приложение 2


1. Настройка поставщиков NetFlo ........................... 5231.1 Введение ................................................................ 5231.2 Экспорт информации о трафике с помощьюNDSAD ......................................................................... 5241.3 бор статистики по протоколу NetFlo с маршру-тизатора isco ..............................................................531

1.4 Преобразование информации о трафике в NetFloпоток с помощью get_yz ...........................................537

2. Настройка NAS .......................................................... 5442.1 Введение ................................................................ 5442.2 Настройка VPN-сервера PoPToP ........................ 5442.3 Настройка RRAS ................................................... 5482.4 Настройка VPN-сервера на маршрутизатореisco .................................................................5482.5 Настройка авторизации 802.1 с EAP ................5512.6 Настройка Miroti для предоставления услугHotSpot ........................................................................ 5582.7 Настройка isco 2511 для предоставления услугкоммутируемого доступа ........................................... 5642.8 Настройка маршрутизатора isco на ограничениескорости подключения ............................................. 566

3. Использование fireall ............................................ 5723.1 Введение ................................................................ 5723.2 Настройка политики безопасности iptables в ОСinu ............................................................................. 5733.3 Включение поддержки файрвола в ОСFree�SD ........................................................................ 5733.4 Настройка файрвола на маршрутизатореisco ............................................................................. 5753.5 Использование NAT ............................................ 578

7/22/2019 utm5_20070529


22


е 2

4. Настройка стороннего программного обеспечения вслучае использования HotSpot ................................... 582

4.1 Конфигурация сервера DHP .............................5824.2 Настройка fireall ................................................ 584

4.3 Настройка веб-сервера Apache ...........................5875. Настройка стороннего программного обеспечения вслучае использования телефонии .............................. 589

5.1 Установка и запуск H323 гейткипера NUK 5895.2 Настройка isco ATA-186 .................................... 5945.3 Настройка шлюза VoIP на базе isco 26, 36,53 ............................................................................... 595

5.4 Настройка сервера tftp .........................................5975.5 Настройка isco для совместной работы сIVR ............................................................................... 5985.6 Совместная работа Altertes ProySoftSitch иUTM ............................................................................. 600

7/22/2019 utm5_20070529


2

П


1. Настройка поставщиков Nlw


В общем случае возможны два способа включения в сеть:

• nsa и биллинговая система UTM работают на одном серве-ре, служащем маршрутизатором между локальной и глобаль-ной сетями;

Èíòåðíåò

Ñåðâåð UTM,ndsad



• nsa запускается на роутере, а биллинговая система – на уда- ленном сервере, находящемся либо внутри локальной сети, либо вне её.

В первом случае на роутере запущены демон nsa, регист-рирующий прошедший через роутер трафик, и ядро биллин-

говой системы, получающее и обрабатывающее полученнуюинформацию о трафике. Для обмена данными между демономnsa и ядром системы используется протокол UDP, данные

7/22/2019 utm5_20070529


2


передаются в формате NetFlo версии 5. Для правильной ра-боты системы в рассмотренной конфигурации необходимонаправить поток UDP-пакетов, содержащих информацию отрафике, на локальную машину на порт, «прослушиваемый»ядром системы. Порт UDP и хост для принятия данных отрафике задаются в конфигурационном файле /netup/utm5/

utm5.cfg. Если статистика собирается с локальной машины,то хостом для принятия данных следует указать 127.0.0.1.

1.2 Экспорт информации о трафике с

помощью NDSD

Для настройки демона nsa необходимо внести изменения вфайл /netup/utm5/ndsad.cfg. Если поток NetFlo необходи-мо направить на локальную машину, то значение параметраip должно быть равным 127.0.0.1, значение параметра port – 9996.

Для правильной работы демона nsa в файле конфигурациинеобходимо указать семейство интерфейсов, на которых нуж-

но собирать информацию о трафике. Список интерфейсовможно узнать при помощи системной команды ifconfig. Ин-терфейсы, на которых необходимо собирать статистику, ука-зываются с помощью параметра force. Нужно иметь в виду,что если Вы не используете транслирование адресов (NAT) ивключите сбор статистики с внешнего и внутреннего интер-фейсов, то трафик на клиентов будет удваиваться, так как про-ходящие пакеты будут регистрироваться два раза: при входе вмаршрутизатор и при выходе из него.

В ОС Free�SD nsa запускается командой:Free�SD nsa запускается командой:nsa запускается командой:nsa запускается командой:запускается командой:

/usr/local/etc/rc.d/ndsad.sh start

В ОС inu nsa запускается командой:inu nsa запускается командой:nsa запускается командой:nsa запускается командой:запускается командой:

/etc/rc.d/init.d/ndsad start

7/22/2019 utm5_20070529


2

П


В Winos NT-подобных системах nsa работает в качествесистемной службы. Для установки и удаления службы исполь-зуются ключи командной строки --install и --uninstall соответственно. Служба устанавивается в автоматическом ре-жиме, что обеспечит её запуск при старте компьютера.

C:\Program Files\NetUP\UTM5>ndsad.exe --install

Successfully created ndsad service

C:\Program Files\NetUP\UTM5>ndsad.exe --uninstall

Successfully deleted ndsad service

Запуск службы NDSAD производится стандартной командой Winos NT (или через графический интерфейс администратора).

net start ndsadstart ndsadstart ndsadndsadndsad

Возможен также запуск NDSAD как консольного приложения.

c:\program files\NetUP\UTM5\ndsad.exe

После запуска демона нужно проверить наличие регистрациии сбора информации о трафике. Для этого необходимо зайтив администраторский интерфейс системы и сделать деталь-ный отчет по трафику по всем пользователям за небольшой(несколько секунд) период времени. При этом при наличиитрафика, должна отобразиться таблица примерно следующе-го вида:

Если такой таблицы не появилось, то необходимо проверить:

• факт наличия самого трафика. Для его генерирования до-статочно пустить несколько ping-запросов к какому-нибудьресурсу в сети с учетом того, что ping-запросы должны че-рез интересующий нас интерфейс (тот, на котором собираетстатистику nsa);

• корректность работы демона nsa. Для этого нужно убе-диться в том, что UDP-пакеты с информацией о трафике пе-

7/22/2019 utm5_20070529


2


редаются на локальную машину по указанному в настройкахпорту. Чтобы проверить это, выполните команду:

su# tcpdump –ni lo0 port 9996

При этом должно отобразиться примерно следующее:

12:40:51.958448 127.0.0.1.4675 > 127.0.0.1.9996: udp

1464

12:40:51.959051 127.0.0.1.4675 > 127.0.0.1.9996: udp

408

12:40:51.959074 127.0.0.1.4675 > 127.0.0.1.9996: udp

648

Если этого не наблюдается, нужно проверить настройки де-

мона nsa (файл ndsad.cfg). Полное описание структурыфайла ndsad.cfg приводится ниже.

После того, как данные о трафике появятся в детальном отче-те по трафику, демон nsa в связке с биллинговой системойnsa в связке с биллинговой системойв связке с биллинговой системойготов к работе.

Получить последнюю версию nsa можно на сайте проектав Интернете – http://sourceforge.net/projects/nsa . Приэтом необходимо отметить, что данный коллектор так же до-ступен в виде исходных кодов, что позволяет при необходи-мости самостоятельно вносить изменения

Конфигурационный файл

В файле допустимы пустые строки. Весь остаток строки, иду-

щий после символа # считается комментарием и игнорируется.

Синтаксис строк:

<слово> <значение>

Если пропущено значение или неправильно написано ключе-вое слово, демон выдаст при старте предупреждение, которое

не попадёт в журнал. Ошибки в конфигурационном файле неприведут к сбою в старте демона, и nsa запустится.nsa запустится.запустится.

7/22/2019 utm5_20070529


2

П


«Семьей» устройств называются сетевые устройства, отлича-ющиеся только индексом. Например, в семью eth входят уст-ройства: eth0, eth1, eth12 и т. д.

Значением параметра может быть одно неразрывное слово(кроме параметров heap и hash). Если имеется несколько зна-чений параметра (например, нужно обрабатывать несколько устройств), то параметр должен задаваться несколько раз:

force rl0

force fxp0

Ключевые слова

ip

Адрес назначения. По этому адресу (и порту) будет происхо-дить отсылка статистики по трафику. Значение по умолча-нию: ip 127.0.0.1.

Пример: ip 10.0.0.1.

port

Порт назначения. См также ip. Значение по умолчанию: port9996.

Пример: port 10001.

force

Указанные здесь устройства будут обрабатываться в любомслучае. Кроме тех, которые не поддерживаются. Это ключе-вое слово имеет больший приоритет, чем ignore и dummy. Вконце главы приведён список поддерживаемых устройств.

Пример: force eth0.

ignore

Строка указывает на то, что указанное устройство не будет об-рабатываться. См. также ключевое слово force.

7/22/2019 utm5_20070529


2


Пример: ignore eth0.

На платформе Win32 в опциях force и ignore вместо имёнинтерфейсов возможно задание любого из IP-адресов, на ко-торые это устройство настроено.

Пример для платформы Win32: Win32:32::

force \Device\NPF_{A07050FE-62B3-40AF-B6D2-

658701A56089}

ignore 192.168.1.1

force 192.168.0.1

dumm

Строка указывает на то, что все устройства из этой семьи небудут обрабатываться. См. также force. Указание в качествесемьи ключевого слова all приведёт к тому, что все устройс-тва, не помеченные, как force, будут игнорироваться.

Пример:dummy eth

.

promisc

Строка указывает на то, что устройство должно быть поме-щено в режим прослушивания всех пакетов, проходящих посети. Отсутствие этой строки не гарантирует, что устройствоне будет находиться этом режиме.

Пример: promisc ex0.

filter

Фильтр для ограничения количества обрабатываемых паке-тов. Формат фильтра аналогичен формату фильтров для tcp-tcp-ump (man tcpump).(man tcpump).man tcpump).tcpump).tcpump).).

Пример: filter fp0 not port 135: filter fp0 not port 135

Пример: filter fp0 net 10.0.0.0/24 an not port 135: filter fp0 net 10.0.0.0/24 an not port 135

hash

7/22/2019 utm5_20070529


2

П


Размер хеша для семьи устройств. Это значение должно бытьстепенью двойки. Иначе использование памяти будет оченьнеэффективным. Значение по умолчанию: hash all 128.

Пример: hash lo 64.

heap

Размер буфера хранения. Такой максимальный объём памятив байтах может быть занят, но не обязательно использован.В случае необходимости память берётся из этой кучи, а не у системы. Разумные размеры увеличивают быстродействие.Значение по умолчанию: heap 16384.

Пример: heap 65536.

dump

Насколько часто будет происходить запись информации озагрузке разных частей демона в журнал. Измеряется в секун-дах. Указание значения 0 приведёт к тому, что записи не будутпроисходить. Статистику можно получить, послав программесигнал SIHUP. Значение по умолчанию: dump 0.

Пример: dump 5.

log

Файл, в который будет записываться журнал работы демона.Если значение не указано, то будет использован stderr (стан-дартный вывод для ошибок, обычно прямо на терминал). Зна-чение по умолчанию: /netup/utm5/log/ndsad.log.

Пример: log /var/log/ndsad.log.

bsd_div_port

Порт, на который необходимо производить перенаправле-ние (копирование) трафика из ipf методом iert (tee). Дляиспользования данного функционала необходимо добавитьследующее примерное правило в ipf:

ipfw add 10 tee 21000 all from any to any

7/22/2019 utm5_20070529


0


В данном примере используется порт 21000, соответственнозапись в конфигурационном файле должна выглядеть следую-щим образом:

bsd_div_port 21000

Значение по умолчанию не предусмотрено. Данный функцио-нал доступен только под ОС Free�SD.

bsd_div_cop

В случае если правило в файрволл добавляется с использова-нием директивы iert вместо tee, то необходимо установитьданную опцию равную значению yes. В противном случае па-

кеты не будут проходить.

ulog_group

Номер группы используемый при сборе статистики черезинтерфейс U в ОС inu при использовании файрволаiptables. Пример использования:

ulog_group 13

В этом примере указано использовать группу с номером 13.Соответственно правила в файрволл необходимо добавлятьпримерно следующей командой:

iptables -A OUTPUT -s 10.0.0.1 -d 10.0.0.2 -j

ULOG --ulog-nlgroup 13

В случае если в лог-файле появляются ошибки вида “No bufferspace aailable”, то необхо-димо увеличить системные сетевыебуферы командой:

sysctl -w net/core/rmem_max=1048576

sysctl -w net/core/rmem_default=1048576

Значение по умолчанию для данной директивы не предусмотрено.

7/22/2019 utm5_20070529


1

П


Список поддерживаемых семей устройств

Для ОС семейства �SD: vlan, bfe, tun, ng, nv, lo, dc, fxp, pcn,rl, sf, sis, ste, tl, tx, vr, wb, xl, de, txp, vx, bge, em, gx, lge,

nge, sk, ti, wx, cx, ed, el, ep, ie, is, le, ex, lnc, my, wi, an.

Для ОС семейства inu: lo, eth, ppp.

На платформе Win32 в стандартной поставке поддерживают-ся устройства Ethernet, которые объединены в семейство ethи устройства связанные с VPN-соединениями, которые име-ют имена \Deice\NPF_enericDialupAapter либо \Deice\ NPF_enericNisanAapter.

1.3 бор статистики по протоколу Nlw с бор статистики по протоколу Nlw с Nlw с с

маршрутизатора � �

На маршрутизаторе isco необходимо включить на нужномisco необходимо включить на нужномнеобходимо включить на нужноминтерфейсе NetFlo командами.NetFlo командами.командами.

CiscoRouter# conf t

CiscoRouter(config)# interface FastEthernet 0/0

CiscoRouter(config-if)# ip route-cache flow

Затем указать адрес и порт сервера, на который производитьотсылку пакетов Netflo:

CiscoRouter# conf tconf tconf t

CiscoRouter(config)# ip flow-export version 5

CiscoRouter(config)# ip flow-export destination

10.1.1.1 9996

7/22/2019 utm5_20070529


2


Cбор статистики по протоколу etlo� с марру-бор статистики по протоколу etlo� с марру-etlo� с марру-с марру-

тизатора Cisco в случае использования AT Cisco в случае использования AT в случае использования AT AT

Основная проблема при использовании NetFlo совместно стехнологией преобразования IP-адресов NAT, заключается втом, что на внутреннем интерфейсе будет фиксироваться ин-формация о переданном от клиента трафике, а на внешнеминтерфейсе будет фиксироваться трафик переданный изInternet на внешний IP-адрес маршрутизатора. Таким образом,в NetFlo-потоке будет информация о переданном трафикеот клиента, но не будет фигурировать информация о данных

переданных в сторону клиента.

Например, в рассмотренном ниже конфигурационном фай- ле внутренняя сеть имеет IP-адреса 10.11.0.0 и маску подсетиIP-адреса 10.11.0.0 и маску подсети-адреса 10.11.0.0 и маску подсети255.255.0.0, а внешний интерфейс маршрутизатора имеет IP-IP--адрес 10.1.0.1. При этом пользователь 10.11.0.6 пытается за-грузить страницу .netup.ru с IP-адресом 195.161.112.6.IP-адресом 195.161.112.6.-адресом 195.161.112.6.

Ïîëüçîâàòåëè


Èíòåðíåò

Ethernet 1/0

Ethernet 1/1Cisco 3620

Ниже приводится работающий конфигурационный файл мар-шрутизатора isco с комментариями:isco с комментариями:с комментариями:

7/22/2019 utm5_20070529


П


Current configuration : 4013 bytes

!

version 12.3

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

ip subnet-zero

!

ip cef

!Интерфейс, на который производится перенаправлениепакетов после обратного преобразования. Таким образом,

на данном интерфейсе будет проходить трафик с IP-адреса195.161.112.6 на IP-адрес 10.11.0.6. Чтобы данный трафик экс-портировался по NetFlo, указываем опцию ip route-cache

flow.

!

interface Loopback0

ip address 192.168.0.1 255.255.255.0

ip route-cache policy

ip route-cache flow

!

Внешний интерфейс маршрутизатора. На данном интерфей-се проходит трафик с IP-адреса 195.161.112.6 на IP-адрес этогоже интерфейса – 10.1.0.1. Что бы данный трафик экспортиро-вался по NetFlo, указываем опцию ip route-cache flow.

Кроме того, на данном интерфейсе необходимо указать оп-цию ip policy route-map NETUP_MAP, чтобы пакеты после

7/22/2019 utm5_20070529



обратного преобразования направлялись на интерфейс Loop-back 0 согласно правилам, указанным в route-map.

!

interface Ethernet1/0ip address 10.1.0.1 255.255.0.0

ip nat outside


ip route-cache flow

ip policy route-map NETUP_MAP

!

Внутренний интерфейс маршрутизатора. На данном интер-фейсе проходит трафик с IP-адреса клиента 10.11.0.6 на IP-ад-рес 195.161.112.6. Чтобы данный трафик экспортировался поNetFlo, указываем опцию ip route-cache flow.

!

interface Ethernet1/1

ip address 10.11.0.1 255.255.0.01 255.255.0.0255.255.0.0

ip nat inside


ip route-cache flow

!

Опции, указывающие IP-адрес какого интерфейса исполь-

зовать для преобразования, а также информация о версииNetFlo-потока и адресе сервера UTM.UTM..

7/22/2019 utm5_20070529


П


!

ip nat inside source list 1 interface

Ethernet1/0 overload

ip flow-export version 5

ip flow-export destination 10.1.0.5 9996

ip classless

ip route 0.0.0.0 0.0.0.0 10.1.0.5

!

Списки доступа. Первый список доступа (номер 1) использу-ется для указания, какую сеть необходимо преобразовыватьво внешний IP-адрес при работе NAT. Второй список доступа(номер 108) используется для указания в route-map.

!

access-list 1 permit 10.11.0.0 0.0.255.255

access-list 108 permit ip any 10.11.0.0 0.0.255.255

!

Правила, указывающие, что если пакет направляется в сеть,

указанную в списке доступа 108 (в данном случае 10.11.0.0),перенаправлять на интерфейс Loopback 0. Таким образом,все пакеты с внешних IP-адресов, в частности с IP-адреса195.161.112.6, после обратного преобразования по техноло-гии NAT, попадут на интерфейс oopbac 0, где будут зафик-сированы и информация о них появится в потоке NetFlo.

!

route-map NETUP_MAP permit 10

match ip address 108

set interface Loopback0 Ethernet1/1

!

End

В случае если информация о трафике, переданном в сторону клиента, не появляется в NetFlo проверьте следующие пун-NetFlo проверьте следующие пун-проверьте следующие пун-кты:

7/22/2019 utm5_20070529



1. Работает ли route-map. Для этого выполните на маршрути-заторе команду:

show route-map NETUP_MAPNETUP_MAP_MAPMAP

При этом счетчики переданных пакетов и байт должны уве- личиваться.

2. Появляются ли пакеты в кэше NetFlo. Для этого сразу пос-Появляются ли пакеты в кэше NetFlo. Для этого сразу пос- ле получения клиентом информации из интернета выполни-те на маршрутизаторе команду:

show ip cache flow | include 195.161.112.6

При этом должна появиться информация о трафике пример-но следующего вида:

Router#show ip cache flow | include 10.1.2.2

SrcIf SrcIPaddress DstIf DstIPaddress

Pr SrcP DstP Pkts

Et1/0 195.161.112.6 Et1/1 10.11.0.6

06 0050 1093 3

Et1/1 10.11.0.6 Et1/0 195.161.112.6

06 1093 0050 5

Et1/0 195.161.112.6 Local 10.1.0.11/0 195.161.112.6 Local 10.1.0.1Local 10.1.0.110.1.0.1

06 0050 1093 2

SrcIf – интерфейс, с которого пришел пакет.

DstIf – интерфейс, на который был направлен пакет. Еслиданное поле равно Null, то данная информация может не экс-портироваться в NetFlo. Проверьте списки доступа.

7/22/2019 utm5_20070529


П


1.4 Преобразование информации о трафике

в Nlw поток с помощью g_xyz

Ядро биллинговой системы NetUP UTM 5 рассчитано на сборстатистики по протоколу NetFlo . 5. Для приведения статис-тики в формат NetFlo предназначен универсальный сборщикстатистики NetUP get_yz. Сборщик написан на языке ++ ипоставляется в исходных кодах. Благодаря этому возможенсбор статистики и преобразование в NetFlo .5 практическис любых устройств или файлов. При этом также имеется воз-можность запускать неограниченное число сборщиков get_yz

и отправлять статистику в одно ядро биллинговой системы.

Схема сбора статистики с использованием

etUP get_xyz

Àïïàðàòíûéìàðøðóòèçàòîð

ëþáîé

ôîðìàò

NetFlow 5get_xyz ßäðî UTM

Утилита get_yz в стандартной поставке имеет возможностьсобирать статистику по трафику с маршрутизаторов isco IP-

Accounting, Miroti, NS, Reolution и передачи ее по про-токолу isco NetFlo 5 либо сохранения в файл. Запуск осу-ществляется командой:

/netup/utm5/bin/get_xyz

Ключи командной строки запуска:

-d – запустить в режиме демона

-l LOGFILE – выводить отладочную информацию в файлFIE

-k – остановить запущенный процесс

7/22/2019 utm5_20070529



-h – помощь.

Конфигурационный файл расположен по следующему пути:

/netup/utm5/get_xyz.confnetup/utm5/get_xyz.conf/utm5/get_xyzconf

Файл состоит из строк вида


Строки, начинающиеся с символа «#», считаются коммента-рием.

Список возможных параметров:

outfile�/tmp/traffic.log�/tmp/traffic.logtmp/traffic.log/traffic.logtraffic.log.loglog

Файл, в который будет сохраняться статистика.

outhost�127.0.0.1

IP-адрес сервера, на который передается статистика по про-токолу NetFlo . 5. . 5.. 5.

outport�9996�9996

Порт, на который передается статистика по протоколу NetFlo .5. .5..5.

loop�600

Интервал (в секундах), через который производить снятиестатистики. Если этот параметр не указан, то статистика сни-мается один раз, после этого выполнение программы завер-шается.

Раздел конфигурационного файла указания устройств, с кото-рых снимается статистика. Настройки для каждого маршрути-

затора заключаются в фигурные скобки {}.

host {

7/22/2019 utm5_20070529


П


tpe�nsgtpe�nsg

Тип маршрутизатора, с которого снимается статистика. Воз-можные значения: cisco, revolution, mikrotik, nsg.

ip�192.168.0.1ip�192.168.0.1�192.168.0.1

IP-адрес маршрутизатора.

port�23port�23�23

TP-порт маршрутизатора.

timeout�5timeout�5

Тайм-аут соединения.

login�rootlogin�root�rootroot

Логин пользователя.

password�foopassword�foo

Пароль пользователя.

}

Такую секцию необходимо создать для каждого маршрутиза-тора, с которого планируется собирать статистику.

Cбор статистики по протоколу IP-accounting с

маррутизатора Cisco

На сервере с биллинговой системой необходимо создать кон-фигурационный файл /netup/utm5/get_xyz.conf следующе-го содержания:

7/22/2019 utm5_20070529


0


outhost=127.0.0.1

outport=9996

loop=30

host {

type=cisco

ip=10.1.2.99

port=514

login=root

timeout=5

}

При этом на маршрутизаторе isco необходимо включить наisco необходимо включить нанеобходимо включить нанужном интерфейсе аккаунтинг командами.

CiscoRouter#conf t

CiscoRouter(config)# interface FastEthernet 0/0

CiscoRouter(config-if)#ip accounting

Разрешить машине с get_yz забирать статистику.get_yz забирать статистику._yz забирать статистику.yz забирать статистику.забирать статистику.

CiscoRouter#conf t

CiscoRouter(config)#username netup privilege 8 pass-

word 0 plain_text_password

CiscoRouter(config)#ip rcmd rsh-enable

CiscoRouter(config)#no ip rcmd domain-lookup

CiscoRouter(config)#ip rcmd remote-host netup

REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8

REMOTE_IP_ADDRESS – IP-адрес сервера с get_yz.

REMOTE_USER_NAME – имя пользователя на сервере с get_yz, откоторого производится запуск сборщика.

7/22/2019 utm5_20070529


1

П


CiscoRouter(config)#privilege exec level 8 show ip

accounting checkpoint

CiscoRouter(config)#privilege exec level 1 show ip

CiscoRouter(config)#privilege exec level 8 clear ip

accounting

После завершения настройки маршрутизатора isco произве-isco произве-произве-дите запуск сборщика командой.

/netup/utm5/bin/get_xyz –d

Проверьте, происходит ли забор статистики с маршрутизато-ра isco командой.isco командой.командой.

show ip accounting

Проверьте, появляется ли статистика в формате NetFlo .5NetFlo .5 .5 .5.5на указанном интерфейсе. Чтобы проверить это, выполнитекоманду.

su# tcpdump –ni lo0 port 9996

При этом должно отобразиться примерно следующее:

12:40:51.958448 127.0.0.1.4675 > 127.0.0.1.9996: udpudp

1464

12:40:51.959051 127.0.0.1.4675 > 127.0.0.1.9996: udpudp

408

12:40:51.959074 127.0.0.1.4675 > 127.0.0.1.9996: udpudp

648

7/22/2019 utm5_20070529


2


Cбор статистики по протоколу IP-accounting с

коллектора ipcad

На сервере с биллинговой системой необходимо создать кон-фигурационный файл /netup/utm5/get_xyz.conf следующе-го содержания:

outhost=127.0.0.1

outport=9996

loop=30

host {type=cisco

ip=10.0.0.1

# IP-адрес сервера с установленным ipcad.

port=514

login=root

password=root

timeout=5

}

На удаленном сервере необходимо установить пакет ipca(http://sourceforge.net/projects/ipca/) и создать конфигу-рационный файл /usr/local/etc/ipcad.conf примерно сле-дующего содержания:

7/22/2019 utm5_20070529


П


interface fxp0;

rsh enable;

rsh [email protected] admin;

rsh [email protected] admin;

# IP-адрес сервера с get_xyz и логин пользователя,

от которого производится запуск get_xyz

pidfile = /var/run/ipcad.pid;

memory_limit = 32m;

dumpfile = ipcad.dump;

ttl = 3;

rsh timeout = 30;

В результате статистика в формате isco IP-Accounting с ipcaisco IP-Accounting с ipcaIP-Accounting с ipcaIP-Accounting с ipca-Accounting с ipca Accounting с ipcaс ipcaipcaбудет передаваться утилите get_yz, которая будет произво-get_yz, которая будет произво-_yz, которая будет произво-yz, которая будет произво-, которая будет произво-дить преобразование в формат isco NetFlo и экспортиро-isco NetFlo и экспортиро-NetFlo и экспортиро-NetFlo и экспортиро-и экспортиро-вать ее на локальный хост (127.0.0.1) порт 9996. Если всё на-строено корректно, то на локальном сервере должны прохо-

дить UDP-пакеты на порт 9996. Проверить можно утилитойUDP-пакеты на порт 9996. Проверить можно утилитой-пакеты на порт 9996. Проверить можно утилитойtcpump::

su-2.05b# tcpdump -ni lo0 port 9996

tcpdump: listening on lo0

17:38:26.347689 127.0.0.1.2789 > 127.0.0.1.9996: udp

1464

17:38:26.550360 127.0.0.1.2789 > 127.0.0.1.9996: udp

1464

17:38:26.751455 127.0.0.1.2789 > 127.0.0.1.9996: udp

1464

17:38:26.952631 127.0.0.1.2789 > 127.0.0.1.9996: udp

1464

7/22/2019 utm5_20070529



е 2

2. Настройка NS


Схема сетевого комплекса для работы с виртуальнымичастными сетями (VPN) с авторизацией по протоколу RA- VPN) с авторизацией по протоколу RA-) с авторизацией по протоколу RA-RA-DIUS. В приведённой модели сервер доступа (NAS) и сервер. В приведённой модели сервер доступа (NAS) и серверNAS) и сервер) и серверавторизации RADIUS являются разными машинами, однако,RADIUS являются разными машинами, однако,являются разными машинами, однако,довольно часто встречаются варианты, когда они являютсяодним физическим сервером.

Èíòåðíåò

Ïîëüçîâàòåëè

Ñåðâåð

NAS

Ñåðâåð

RADIUS

2.2 Настройка VPN-сервера PPTP

Настройка в среде reeBSD

Установите сервер VPN (пакет PoPToP). Его можно устано- VPN (пакет PoPToP). Его можно устано-(пакет PoPToP). Его можно устано-вить из поставляемых с дистрибутивом Free�SD портов.Free�SD портов.портов.

Создайте файл конфигурации /etc/pptpd.conf. Он имеетследующий формат.

option /etc/ppp/ppp.conf

localip 172.16.0.1

pidfile /var/run/pptpd.pid

7/22/2019 utm5_20070529


П


Создайте файл конфигурации /etc/ppp/ppp.conf. Он имееттакой формат.

loop:

set timeout 0

set device /dev/ppp

local

set ifaddr 172.16.0.1 172.16.0.2-254

255.255.255.255

set server /tmp/loop “” 0177

pptp:

load loop

enable chap

#enable mschapv2

#enable pap

set radius /etc/radius.conf

В данном случае включена авторизация HAP. Строки, вклю-HAP. Строки, вклю-. Строки, вклю-чающие авторизацию PAP, MSHAP-2 закомментированы.PAP, MSHAP-2 закомментированы. AP, MSHAP-2 закомментированы.

Создайте файл конфигурации /etc/radius.conf. Он имеетследующий формат.

auth 127.0.0.1:1812 mysecret127.0.0.1:1812 mysecretmysecret

acct 127.0.0.1:1813 mysecret127.0.0.1:1813 mysecretmysecret

В данном случае указывается, что сервер UTM5 RADIUS при-нимает соединения на адрес 127.0.0.1 (на локальной машине)на портах 1812 и 1813. Секретное слово для общения с серве-ром RADIUS – mysecretRADIUS – mysecret– mysecret

Запустите cервер VPNcервер VPNервер VPN VPN

pptpd

7/22/2019 utm5_20070529



е 2

На этом конфигурация сервера доступа на базе Free�SDзакончена. Клиенты могут начать беспрепятственно автори-зоваться.

Настройка в среде Linux (на примере RedHat 9.0)

Для обновления пакета ppp необходимо выполнить команды.ppp необходимо выполнить команды.необходимо выполнить команды.

cvs -d :pserver:[email protected]:/cvsroot login

cvs

cvs -z5 -d :pserver:[email protected]:/cvsroot

co ppp

cd ppp/

./configure

make

make install

Если сервер VS недоступен, то можно скачать исходный кодVS недоступен, то можно скачать исходный коднедоступен, то можно скачать исходный кодпрограммы по следующей ссылке ftp://ftp.samba.org/pub/ftp://ftp.samba.org/pub/://ftp.samba.org/pub/ftp.samba.org/pub/.samba.org/pub/samba.org/pub/.org/pub/org/pub//pub/pub//

ppp/ppp-2.4.2.tar.gz./ppp-2.4.2.tar.gz.ppp-2.4.2.tar.gz.-2.4.2.tar.gz.tar.gz..gz.gz..

Далее необходимо выполнить команды.

tar xvfz ppp-2.4.2.tar.gzxvfz ppp-2.4.2.tar.gzxvfz ppp-2.4.2.tar.gzppp-2.4.2.tar.gzppp-2.4.2.tar.gz-2.4.2.tar.gztar.gzgz

cd ppp-2.4.2

./configure

make

make install

Установите сервер VPN (пакет PoPToP). Его можно взять из VPN (пакет PoPToP). Его можно взять из(пакет PoPToP). Его можно взять издистрибутива ReHat, либо загрузить с сервера http://.ReHat, либо загрузить с сервера http://., либо загрузить с сервера http://.poptop.org/.

Создайте файл конфигурации /etc/pptpd.conf. Он имеет

следующий формат.

7/22/2019 utm5_20070529


П


option /etc/ppp/options

localip 172.16.0.1

Создайте файл конфигурации /etc/ppp/options. Он имееттакой формат.

auth

#require-paprequire-pap-pappap

require-chap

#require-mschap-v2

local

172.16.0.1:

plugin radius.soradius.soradius.so.soso

В данном случае включена авторизация HAP. Строки, вклю-HAP. Строки, вклю-. Строки, вклю-чающие авторизацию PAP, MSHAP-2 закомментированы.PAP, MSHAP-2 закомментированы. AP, MSHAP-2 закомментированы.

Внесите корректировки в файл конфигурации /etc/radius-

client/radiusclient.conf. Необходимо внести информа-

цию о вашем сервере RADIUS.

authserver localhost:1812localhost:1812localhost:1812:1812

acctserver localhost:1813localhost:1813localhost:1813:1813

В данном случае указывается, что сервер UTM5 RADIUS на-ходится по адресу 127.0.0.1 (на локальной машине) на пор-тах 1812 и 1813. Секретное слово для общения с серверомRADIUS — mysecret указывается в другом конфигурационномфайле /etc/radiusclient/servers.

localhost mysecretmysecretmysecret

Запустите сервер VPN. VPN..

pptpd

7/22/2019 utm5_20070529



е 2

На этом конфигурация сервера доступа на базе inu Re Hat9.0 закончена. Если всё выполнено без ошибок, то клиентыдолжны беспрепятственно авторизоваться.

2.3 Настройка S

Для настройки VPN в среде Winos (Winos 2000 и Winosнастройки VPN в среде Winos (Winos 2000 и Winosнастройки VPN в среде Winos (Winos 2000 и Winos VPN в среде Winos (Winos 2000 и Winosв среде Winos (Winos 2000 и Winosсреде Winos (Winos 2000 и Winosсреде Winos (Winos 2000 и Winos Winos (Winos 2000 и Winosи Winos Winos2003) используется служба RRAS (Routing an Remote Accessиспользуется служба RRAS (Routing an Remote Accessслужба RRAS (Routing an Remote Accessслужба RRAS (Routing an Remote AccessRRAS (Routing an Remote AccessSerice).

Для ее настройки используется пункт меню (ontrol Panel | A-(ontrol Panel | A-ministratie Tools | Routing an Remote Access serice). ВыбравВыбрав

этот пункт, вы попадаете в консоль MM администрированияMM администрированияадминистрированияданной службы. Вам необходимо нажать правой кнопкой наимя компьютера и выбрать “onfigure an Enable Routing anonfigure an Enable Routing anan Enable Routing anan Enable Routing anEnable Routing anEnable Routing anRouting anRouting anananRemote Access” и следовать шагам помощника. Access” и следовать шагам помощника. Access” и следовать шагам помощника.” и следовать шагам помощника.

После окончания работы помощника будет настроена базоваяконфигурация службы RRAS. Для настройки адреса Raius-RRAS. Для настройки адреса Raius-. Для настройки адреса Raius-Raius--сервера надо нажать правой кнопкой на имя компьютера, вы-звать свойства объекта. На вкладке Security в поле Authentica-вкладке Security в поле Authentica-вкладке Security в поле Authentica-Security в поле Authentica-в поле Authentica-поле Authentica-поле Authentica- Authentica-

tion proier выбрать RADIUS Authentication и нажать кнопку выбрать RADIUS Authentication и нажать кнопку RADIUS Authentication и нажать кнопку и нажать кнопку нажать кнопку нажать кнопку кнопку кнопку onfigure. Далее внести адрес raius-сервера в список и на-Далее внести адрес raius-сервера в список и на-raius-сервера в список и на--сервера в список и на-жать K. То же самое повторить с полем Raius Accouting.K. То же самое повторить с полем Raius Accouting.. То же самое повторить с полем Raius Accouting.Raius Accouting.

На этом базовая конфигурация сервера доступа закончена.Для получения более подробной информации пользуйтесьсправочной системой консоли RRAS и документацией на сай-RRAS и документацией на сай-и документацией на сай-те http://.microsoft.com.http://.microsoft.com.://.microsoft.com. .microsoft.com..microsoft.com.microsoft.com..com.com..

2.4 Настройка VPN -сервера на

маршрутизаторе �

Примерный вариант конфигурационного файла на маршру-

тизаторе isco, версия IS - IS (tm) 3600 Softare (3620-IS-M), Version 12.3(3a), REEASE SFTWARE (fc2):

7/22/2019 utm5_20070529


П


!

vpdn enable

!

vpdn-group 1

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1

!

!

interface Virtual-Template1

ip address 192.168.20.1 255.255.255.0

ip tcp header-compression

ip mroute-cache

no peer default ip address

ppp authentication ms-chap-v2 chap

!

radius-server host 10.0.0.1 auth-port 1812 acct-port

1813

radius-server key secret

!

При этом маршрутизатор будет принимать подключения отклиентов с авторизацией по MS HAP версии 2 либо HAPи авторизацией на сервере RADIUS 10.0.0.1.

Активные сессии на маршрутизаторе можно просмотреть,выполнив команду

7/22/2019 utm5_20070529


0


е 2

Router#show vpdn session

%No active L2TP tunnels

%No active L2F tunnels

PPTP Session Information Total tunnels 1 sessions 1

LocID RemID TunID Intf Username State Last

Chg Uniq ID

10 32768 11 Vi3 vpn_netup estabdVi3 vpn_netup estabd3 vpn_netup estabdvpn_netup estabd_netup estabdnetup estabdestabdestabd

00:00:23 9

7/22/2019 utm5_20070529


1

П


2.5 Настройка авторизации 802.1x с EP

Сервер UTM5 RADIUS поддерживает протокол аутентифика-ции EAP согласно RF 3579 и RF 3748. Основным методом

авторизации является EAP-MD5.

В данном разделе будет рассмотрена организация доступаабонентов в сеть с использованием авторизации абонентовна портах управляемых коммутаторов. В качестве таких уст-ройств были выбраны коммутатор isco atalyst 2950T с вер-сией ПО 12.1(19)EA1c и коммутатор D-in DES-3226S. Сов-местная работа этих коммутаторов и биллинговой системыNetUP UTM 5 протестированы в компании NetUP.

Рисунок 1. Общая схема сети

Как видно по этому рисунку доступ в сеть регулируется напорту коммутатора, к которому подключен абонент. По умол-чанию порт находится в неавторизованном состоянии т.е. об-мен данным с сетью по этому порту невозможен, пока не будетпройдена авторизация. Авторизация в данной схеме осущест-вляется по логину и паролю.

Эти данные абонент вводит в специальном окне выдаваемом

операционной системой Winos после включения компью-тера в сеть. Приглашение ввести логин и пароль обычно вы-дается в системном трее.

7/22/2019 utm5_20070529


2


е 2

Рисунок 2. Приглашение ввести логин и пароль для авторизации в ОС

Winos

Для тестирования были использованы Следующие версии ОС Winos:

Winos P SP2

Winos serer 2003 SP1

В свойствах сетевого адаптера в Winos необходимо указать,что будет использоваться протокол 802.1 и метод авториза-ции MD5-hallenge.

Рисунок 3. Настройки авторизации по протоколу 802.1 в Winos

7/22/2019 utm5_20070529


П


До успешного прохождения авторизации компьютер або-нента может обмениваться данными только с коммутатором.Далее коммутатор преобразуется пакеты в запросы согласнопротоколу RADIUS и направляет их на UTM5 RADIUS. Если

авторизация прошла успешно, то данный порт на коммутато-ре переводится в авторизованное состояние и абонент можетработать в сети обычным образом.

В биллинговой системе Необходимо зарегистрировать або-нента и подключить к нему услугу «Передача IP-трафика». Ло-гин и пароль указываемые при подключении услуги использу-ются абонентом для авторизации.

Указанные выше коммутаторы позволяют гибко настраиватьпараметры авторизации 802.1х. Рассмотрим настройку комму-татора на примере isco atalyst 2950T.

Для включения авторизации по RADIUS необходимо указать:

!

aaa new-model

aaa authentication dot1x default group radius

aaa authorization network default group radius

!

Для включения поддержки 802.1х необходимо указать:

!

dot1x system-auth-control

!

Настраиваем параметры доступа к RADIUS серверу:

7/22/2019 utm5_20070529



е 2

!

radius-server host 10.0.0.1 auth-port 1812 acct-port

1813

radius-server key testkey

!

Включения авторизации по протоколу 802.1х можно прово-дить выборочно на отдельных портах. Для этого необходимов свойствах порта указать параметры:

!

interface FastEthernet0/1

switchport mode access

no ip address

dot1x port-control auto

dot1x host-mode multi-host

!

На этом конфигурация коммутатора окончена. Необходимо

проверить прохождение авторизации. Для этого подключи-те компьютер абонента к порту коммутатора с настроеннойавторизацией по 802.1х и введите зарегистрированные вбиллинговой системы логин и пароль. При этом в логфай- ле UTM5 RADIUS сервера должна появляться информацияо прохождении авторизации. Ниже приведен пример логфай- ла при успешной авторизации. Незначащие строки в логфай- ле удалены для облегчения восприятия.

7/22/2019 utm5_20070529


П


Первая стадия авторизации:

?Debug : Jan 07 00:18:21 RADIUS Server Auth: User

<test> connecting?Debug : Jan 07 00:18:21 RADIUS Server Auth: EAP mes-

sage detected without State. State <test_1136582301_

33> generated. Using it as session id for storing in

sessions cache.

?Debug : Jan 07 00:18:21 RADIUS DBA: Info for login

<test> found. type <2>

?Debug : Jan 07 00:18:21 RADIUS Server Auth: Auth

scheme: EAP

ERROR : Jan 07 00:18:21 RADIUS Server Auth: EAP sub-

system called. Supporting: EAP-MD5?Debug : Jan 07 00:18:21 RADIUS Server Auth: EAP:

Message-Authenticator verify success

?Debug : Jan 07 00:18:21 RADIUS Server Auth: EAP:

Current state: 0

?Debug : Jan 07 00:18:21 RADIUS Server Auth: EAP

Dump: eap code <2> eap type <1> eap size 4 (eap id 0)


Identity <test> got

?Debug : Jan 07 00:18:21 RADIUS EAPState: Setting

replay code to ‘request’, Type to ‘auth_chap (EAP-MD5

request)’


state challenge! Setting State<test_1136582301_33>

?Debug : Jan 07 00:18:21 RADIUS Server Auth: EAP: Re-

ply send

?Debug : Jan 07 00:18:21 RADIUS Server Auth: EAP in

progress! Storing session with id <test_1136582301_

33>

Как видно на данном этапе UTM5 RADIUS сервер получает за-прос на авторизацию, генерирует HAP hallenge для даннойсессии и отсылает его обратно на адрес коммутатора. При этомRADIUS сервер сохраняет информацию по данной сессии. Вдальнейшем она будет использована на второй стадии авториза-ции.

7/22/2019 utm5_20070529



е 2

Вторая стадия авторизации:

!

radius-server host 10.0.0.1 auth-port 1812 acct-port1813

radius-server key testkey

!

?Debug : Jan 07 00:18:22 RADIUS Server Auth: User

<test> connecting

?Debug : Jan 07 00:18:22 RADIUS Server Auth: Session

for <test_1136582301_33> found in <10.1.2.254> cache

?Debug : Jan 07 00:18:22 RADIUS Server Auth: Auth

scheme: EAP

ERROR : Jan 07 00:18:22 RADIUS Server Auth: EAP sub-

system called. Supporting: EAP-MD5

?Debug : Jan 07 00:18:22 RADIUS Server Auth: EAP: Mes-

sage-Authenticator verify success

?Debug : Jan 07 00:18:22 RADIUS Server Auth: EAP: Cur-

rent state: 3

?Debug : Jan 07 00:18:22 RADIUS Server Auth: EAP Dump:

eap code <2> eap type <4> eap size 21 (eap id 1)

?Debug : Jan 07 00:18:22 RADIUS EAPState: Chap re-

sponce check success! Setting state to ‘success’!


state success !

?Debug : Jan 07 00:18:22 RADIUS Server Auth: EAP: Re-

ply send

Как видно на данном этапе получен ответ от абонента, в ко-

тором содержится результат работы хешфункции, однимиз входных данных для которой служит пароль абонента.UTM5 RADIUS сервер проверяет корректность входных

7/22/2019 utm5_20070529


П


данных для хешфункции. Успешным результатом проверкиявляется вывод о том, что пароль введенный абонентом со-ответствует паролю для данного абонента зарегистрирован-ному в биллинговой системе. В этом случае UTM5 RADIUS

сервер передает коммутатору пакет с кодом ‘Access-Accept’,на основании которого абоненту открывается доступ в сеть.В случае неуспешной проверки UTM5 RADIUS сервер переда-ет коммутатору пакет с кодом ‘Access-Reject’ и доступ в сетьабоненту не предоставляется.

Дополнительная информация

RF- 3579

RF- 3748

7/22/2019 utm5_20070529



е 2

2.6 Настройка Mkrk для

предоставления услуг HSp

Организация HotSpot на базе MikroTik Router OS и бил линговой системы NetU UTM версии 5.0.

Общая схема организации точки беспроводного доступа набазе MiroTi Router S и биллинговой системы NetUP UTMверсии 5.0.

В данной схеме выдачу IP-адреса по DHP, работу со страни-

цей авторизации, включение-выключение Интернета осу-ществляет маршрутизатор под управлением MiroTi RouterS (а дальнейшем просто MiroTi). Более подробную инфор-мацию по MiroTi можно получить на сайте компании-разра-ботчика .miroti.com.

Непосредственно тарифы, база пользователей хранятся вбиллинговой системе расположенной на отдельном серве-ре. Авторизация и аккаунтинг осуществляются по протоколу

Raius.

7/22/2019 utm5_20070529


П


Для включения HotSpot на MiroTi необходимо настроитьсетевые интерфейсы и выполнить команды:

[admin@MikroTik] ip hotspot> setup

Select interface to run HotSpot onhotspot interface: ether2

Add hotspot authentication for existing interface

setup?

interface already configured: yes

Use SSL authentication?

use ssl: no

Use transparent web proxy for hotspot clients?

use transparent web proxy: no

Use local DNS cache?

use local dns cache: no

DNS name of local hotspot server

dns name: 192.168.0.1

Select another port for (www) service

port 80 is used by www service, select some other

port for this service

another port for service: 8081

Create local hotspot user

name of local hotspot user: admin

password for the user: admin

[admin@MikroTik] ip hotspot>

Для настройки на работу с радиус-сервером необходимо вы-полнить команды:

[admin@MikroTik] ip hotspot> aaa set use-radius=yes

accounting=yes

[admin@MikroTik] radius> add service=hotspot

address=10.1.2.105 secret=secret

authentication-port=1812 accounting-port=1813

7/22/2019 utm5_20070529


0


е 2

Для включения DHP-сервера необходимо выполнить коман-ды:

[admin@MikroTik] ip dhcp-server> setup

Select interface to run DHCP server on

dhcp server interface: ether2

Select network for DHCP addresses

dhcp address space: 192.168.0.0/24

Select gateway for given network

gateway for dhcp network: 192.168.0.1

Select pool of ip addresses given out by DHCP server

addresses to give out: 192.168.0.2-192.168.0.254

Select DNS servers

dns servers: 10.1.2.5

Select lease time

lease time: 3d

[admin@MikroTik] ip dhcp-server>

Так же необходимо включить кэширующий DNS-сервер ко-

мандами:

[admin@MikroTik] ip dns> set primary-dns=10.1.2.5

[admin@MikroTik] ip dns> set

allow-remote-requests=yes

В результате таких настроек при подключении пользователяпо беспроводной сети ему по DHP будет автоматически вы-дан IP-адрес, шлюз по умолчанию, DNS-сервер. При этом по умолчанию все пакеты от клиента будут заворачиваться настраницу авторизации MiroTi:

7/22/2019 utm5_20070529


1

П


При этом после ввода пользователем логина и пароля MiroTiделает попытку авторизовать пользователя через Raius-сер-вер.

В лог-файле Raius-сервера должны появиться записи вида:

?Debug : Oct 01 22:14:47 RADIUS Auth: Packet from

?Debug : Oct 01 22:14:47 RADIUS Auth: User connect-

ing

?Debug : Oct 01 22:14:47 RADIUS DBA: login_store

iter->second.dialup.session_count:0

?Debug : Oct 01 22:14:47 RADIUS Auth: Auth scheme:

CHAP

?Debug : Oct 01 22:14:47 RADIUS Auth: CHAP:

Challenge size: 16

?Debug : Oct 01 22:14:47 RADIUS Auth: CHAP:

Authorized user

?Debug : Oct 01 22:14:47 RADIUS Auth: Dialup sessionlimit:0 session count:0 for user:hsptest

?Debug : Oct 01 22:14:47 RADIUS Auth: Calculated

maximum session time: 67

?Debug : Oct 01 22:14:47 RADIUS DBA: dialup_link_up-

date called for slink:41

?Debug : Oct 01 22:14:47 RADIUS DBA: soft dialup_

link_update for slink:41 session_count:1

Согласно строке “alculate maimum session time: 67” у поль-зователя средств хватит на 67 секунд работы в Интернет. Дан-

7/22/2019 utm5_20070529


2


е 2

ное значение отсылается на Miroti в Access-Accept пакете(подтверждение успешной авторизации). Дамп такого пакетаполученный при помощи утилиты tcpump:

length: 109) 10.1.2.105.1812 > 10.1.2.67.1024: [udp

sum ok] RADIUS, length: 81

Access Accept (2), id: 0x12, Authenticator:

3fdcd4d2ef3a1272554cfa9389cd73e2

Service Type Attribute (6), length: 6, Value: Framed

0x0000: 0000 0002

Framed Protocol Attribute (7), length: 6, Value: PPP

0x0000: 0000 0001

Framed Routing Attribute (10), length: 6, Value:

None

0x0000: 0000 0000

Framed MTU Attribute (12), length: 6, Value: 1500

0x0000: 0000 05dc

Framed Compression Attribute (13), length: 6, Value:

None

0x0000: 0000 0000

Session Timeout Attribute (27), length: 6, Value:

01:12 min

0x0000: 0000 0048

В данном случае авторизация прошла успешно и пользовательможет беспрепятственно работать в Интернет в течение доз-воленного времени.

По окончании отведенного времени сессия будет закрыта ивсе запросы пользователя будут перенаправляться на стра-ницу авторизации. При этом на Raius-сервер будет выслан Accounting-Stop пакет.

В лог-файле Raius-сервера должны появиться записи вида:

7/22/2019 utm5_20070529


П


Acct: Packet from MikroTik

?Debug : Oct 01 22:15:54 RADIUS Acct: Acct packet

with session ID: 80100007

?Debug : Oct 01 22:15:54 RADIUS Acct: Acct-Stop

packet

?Debug : Oct 01 22:15:54 RADIUS DBA: Dialup

Discount: TR ID 1: 0.019 for 67 sec

Из этих строк видно, что прошла тарификация сессии и былисписаны средства с лицевого счета пользователя.

7/22/2019 utm5_20070529



е 2

2.7 Настройка � 2511

для предоставления услуг

коммутируемого доступа Пример конфигурационного файла маршрутизатора iscoiscoдля работы по коммутируемым соединениям. Пример приве-ден для isco 2511 с 16 модемами. Версия IS (tm) 2500 Soft-isco 2511 с 16 модемами. Версия IS (tm) 2500 Soft-2511 с 16 модемами. Версия IS (tm) 2500 Soft-IS (tm) 2500 Soft-(tm) 2500 Soft-tm) 2500 Soft-) 2500 Soft-Soft- are (2500-IS-), Version 12.3(3).(2500-IS-), Version 12.3(3).2500-IS-), Version 12.3(3).2500-IS-), Version 12.3(3).IS-), Version 12.3(3).-), Version 12.3(3).), Version 12.3(3).), Version 12.3(3). Version 12.3(3).12.3(3).

aaa new-model

aaa authentication password-prompt password:

aaa authentication username-prompt login:

aaa authentication login default local

aaa authentication ppp default group radius

aaa authorization exec default local

aaa authorization network default group radius

aaa accounting delay-start

aaa accounting network default start-stop group

radius!

interface Group-Async0

ip unnumbered Ethernet0

encapsulation ppp

async mode interactive

peer default ip address pool TEST

ppp authentication pap

group-range 1 16!

interface Ethernet0

ip address 192.168.0.2 255.255.255.0

no ip mroute-cache

!

ip local pool TEST 172.16.0.2 172.16.0.254

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.0.1no ip http server

async-bootp dns-server 195.161.112.6

7/22/2019 utm5_20070529


П


!radius-server host 192.168.0.3 auth-port 1812

acct-port 1813

radius-server retransmit 3

radius-server key mysecret

!

line 1 16

script modem-off-hook offhook

script callback callback

modem InOut

modem autoconfigure type usr_sportster

transport input all

autoselect during-login

autoselect ppppppppp

speed 115200speed 115200115200

!

end

Дополнительная информация

RF-2138

RF-2139

7/22/2019 utm5_20070529



е 2

2.8 Настройка маршрутизатора

� на ограничение скорости

подключения Очень часто возникает задача передавать в RADIUS Access- Accept пакетах те либо иные атрибуты, не предусмотренныев базовой поставке биллинговой системы либо атрибуты,значение которых требуется изменять в зависимости оттипа услуги. Одним из таких атрибутов является атрибут скодом производителя 9 (isco) и значением 1 (isco-AVPair).

Данный атрибут может содержать различные стоковые зна-чения, которые управляют параметрами соединения. В част-ности данный атрибут может содержать:

значения, указывающие какой пул IP-адресов использо-вать для выделения IP-адреса абоненту. Формат записи:ip:ar-pool=PNAME

значения, указывающие лимит скорости на данном под-

ключении. Формат записи: lcp:interface-config#1=rate-limitinput 64000 8000 8000 conform-action transmit ecee-actionrop где 64000 это скорость в Кбит/сек. Ключевое словоinput, указывает на то, что ограничение производится длявходящих пакетов. Замените input на output, если необхо-димо ограничивать скорость для исходящих пакетов.

Рассмотрим создание услуги «Передача IP-трафика» с ограни-чением скорости на 64 Кбит/сек. Для этого создайте услугу вцентре управления биллинговой системы NetUP UTM. В раз-

деле «Установка радиуспараметров» создайте две записи:

Первая запись для ограничения скорости входящих пакетов:Vendor: 9

Attr: 1

Значение: lcp:interface-config#1=rate-limit input

64000 8000 8000 conform-action transmit exceed-ac-

tion drop

Тип значения: String

1.

2.

7/22/2019 utm5_20070529


П


Рисунок 1. Настройка RADIUS-атрибутов в биллинговой системе NetUP UTM

В результате UTM5 RADIUS – сервер при успешной авториза-ции абонента будет передавать дополнительно два атрибута, указанные выше.

Для тестирования на стенде компания NetUP был использо-ван сервер доступа isco 3640 Version 12.3(11)T3. В качествеклиентов выступали два сервера под управлением операцион-ной системы entoo inu. В качестве PPTP клиента исполь-зовался проект pptpclient [1]. На сервере доступа настроенpptp сервер и указаны адрес и секретный ключ RADIUS-сервера.Ниже приводится вырезка из конфигурационного файла сер-

вера доступа:

7/22/2019 utm5_20070529



е 2

!

no ip cef

vpdn enable

!

vpdn-group 1

accept-dialin

protocol pptp

virtual-template 1

!

interface Virtual-Template1

ip address negotiated

no peer default ip address

ppp authentication ms-chap-v2 chap

!

radius-server host 10.1.2.6 auth-port 1812

acct-port 1813

radius-server key secret

radius-server vsa send accounting

!

Настройка PPTP-клиента заключается в созданиие конфигура-ционного файла /etc/ppp/options следующего содержания:

7/22/2019 utm5_20070529


П


name net11

debug

local

noproxyarp

где net11 – логин абонента зарегистрированного в биллинго-вой системе. Пароль указывается в файле

/etc/ppp/chap-secrets:

net11 * 123

На этом настройка PPTP-клиента окончена и можно произво-дить подключение. Для этого выполните команду:

pptp 10.1.2.99

где 10.1.2.99 – локальный IP-адрес сервера доступа.

В результате после успешной авторизации между компьюте-ром абонента и сервером доступа будет создано виртуальныйтуннель, по которому будут проходить пакеты абонента вовнешние сети. Для проверки наличия соединения на сторонеклиента можно воспользоваться командой ifconfig. Вывод

должен содержать информацию об интерфейсе ppp0:/etc/ppp/chap-secrets:

net11 * 123

На сервере доступа получить информацию о созданных туннеляхможно командой:

show users

7/22/2019 utm5_20070529


0


е 2

Вывод должен содержать информацию о виртуальных интер-фейсах:

Interface User Mode Idle

Peer Address

Vi408 net11 PPPoVPDN 00:02:03

172.16.111.146

Скорость на данном туннеле должна быть установлена равной64 Кбит/сек. Проконтролировать данный параметр можнона сервере доступа командой:

show interfaces rate-limit

Вывод этой команды должен содержать значения скорости установленной на виртуальных интерфейсах:

Virtual-Access408

Input

matches: all traffic

params: 64000 bps, 8000 limit, 8000 extended

limit

conformed 0 packets, 0 bytes; action: transmit

exceeded 0 packets, 0 bytes; action: drop

last packet: 107912740ms ago, current burst: 0

bytes

last cleared 00:03:13 ago, conformed 0 bps, exceeded 0

bps

Output

matches: all traffic

7/22/2019 utm5_20070529


1

П


params: 64000 bps, 8000 limit, 8000 extended

limit

conformed 0 packets, 0 bytes; action: transmit

exceeded 0 packets, 0 bytes; action: drop

last packet: 107912744ms ago, current burst: 0

bytes

last cleared 00:03:13 ago, conformed 0 bps,

exceeded 0 bps

Проверку скорости можно производить как обычным копи-рованием файлов, так и специализированными утилитами[2, 3].

Стоит отметить, что максимальное количество интерфейсовна сервере доступа лимитируется количеством структур ID�[4]. Информацию по ним можно получить командой:

show idb

Вывод должен содержать общее количество возможных струк-тур и количество занятых в данный момент времени:

Maximum number of Software IDBs 800. In use 732.

В случае если возникают проблемы при подключении можноиспользовать команду debug radius на сервере доступа дляполучения отладочной информации по соединению.

[1] Страница проекта pptpclient в Интернете http://pptpclient.sourceforge.net/

[2] Страница проекта iperf в Интернете — http://sourceforge.net/projects/iperf

[3] Страница проекта netperf в Интернете — http://.freebs.org/projects/netperf/[4] Более подробную информацию о ID� можно найти на стра-

нице http://.cisco.com/en/US/proucts/s/iossrel/ps1835/proucts_tech_note09186a0080094322.shtml

7/22/2019 utm5_20070529


2


3. Использование frwall


Файрвол (брандмауэр) – это программа, которая, основыва-ясь на некоторых правилах, разрешает или запрещает переда-чу информации, проходящей через маршрутизатор, с цельюограждения сети от внешнего доступа или, наоборот, для не-допущения прохождения IP-пакетов во внешние сети.

Включение и выключение доступа в интернет пользователям

в биллинговой системе UTM осуществляется посредствомдобавления и удаления правил файрвола. По умолчанию, про-хождение пакетов через маршрутизатор для пользователейзакрыто. При включении интернета пользователям в файр-вол добавляются правила, разрешающие прохождение паке-тов до и с IP-адреса пользователя, заведенного в биллинговойсистеме UTM.

Кроме того, файрвол используется для трансляции сетевыхадресов (NAT, Netor Aress Translation). Технология NATсводится к подмене в заголовках IP-пакетов приватного IP-адреса источника данных, IP-адресом внешнего интерфейсамаршрутизатора. Использование технологии NAT позволяетмашинам, не имеющим реальных IP-адресов, практическиполноценно работать в сети интернет.

Система NetUP UTM поддерживает работу с удалёнными

брандмауэрами для блокирования доступа клиентов к ресур-сам сети. Блокирование может производиться как автомати-чески (например, при появлении задолженности на счету кли-ента), так и вручную (самим клиентом или администратором).Состояние физической блокировки доступа в сеть определя-ется статусом интернета для данного пользователя. Статус мо-жет принимать два значения: включен или выключен.

7/22/2019 utm5_20070529


П


3.2 Настройка политики безопасности

pabl в ОС Lx

Запрет прохождения пакетов пользователям по умолчанию вОС inu осуществляется настройкой политики безопаснос-ти (policy) в цепочке FRWARD в iptables:

iptables -P FRWARD DRP

Проверка правил iptables осуществляется выполнением ко-манды:

[root@rh73 /]# iptables –nL

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy DROP)


Chain OUTPUT (policy ACCEPT)


3.3 Включение поддержки файрвола в ОС

rBSD

По умолчанию ОС Free�SD устанавливается с ядром ENERI,в которое не включена поддержка файрвола. Для использова-ния файрвола в ОС Free�SD, ядро системы следует пересоб-

рать с опцией

options IPFIREWALL

Файрвол ipf в ОС Free�SD также может быть загружен в фор-ме модуля. С этой целью в файл /boot/loader.conf следуетдобавить строку

ipfw_load=”YES”

7/22/2019 utm5_20070529



Для включения запуска файрвола при загрузке ОС Free�SD вконфигурационный файл /etc/rc.conf следует добавить строку

firewall_enable=”YES”

В процессе загрузки системы правила файрвола подгружа-ются из конфигурационного файла /etc/rc.firewall. Еслинеобходимо разрешить прохождение пакетов к серверу и отнего, то в этом файле необходимо прописать следующие пра-вила:

fwcmd=”/sbin/ipfw -q”

${fwcmd} -f flush

${fwcmd} add 100 allow ip from any to me

${fwcmd} add 200 allow ip from me to any

При загрузке правил ipf, последнее правило, по умолчанию,

запрещает прохождение пакетов через маршрутизатор.

Просмотр загруженных правил файрвола осуществляется ко-мандой.

server# ipfw show

00100 8 736 allow ip from any to me

00200 8 596 allow ip from me to any

65535 0 0 deny ip from any to any

server# _

7/22/2019 utm5_20070529


П


3.4 Настройка файрвола на маршрутизаторе

�

Управление доступом в сеть осуществляется динамическимиaccess-list. Необходимо создать два листа – для прохож-дения пакетов к клиенту и от него. Для этого перейдите в ре-жим конфигурирования маршрутизатора командой.

configure terminal

Затем выполните команды.

access-list 105 dynamic test1 permit ip any any

access-list 106 dynamic test2 permit ip any any

При этом будут созданы два динамических access-list, в кото-рые будут добавляться правила для разрешения выхода поль-

зователей в сеть. Если необходимо определенному адресу раз-решить доступ в сеть статически, то необходимо выполнитькоманду.

access-list 105 permit ip host 10.0.0.10 any

access-list 106 permit ip any host 10.0.0.10

Важно! Добавьте разрешение для адреса хоста, с которого осу-ществляется администрирование маршрутизатора. В против-ном случае возможна потеря управления.

Остальные правила будут добавляться в лист динамически взависимости от статуса Интернета у абонента. По умолчаниюдоступ для всех абонентов закрыт.

Созданные листы необходимо привязать к интерфейсу намаршрутизаторе. Рекомендуется привязку делать на интер-

7/22/2019 utm5_20070529



фейсе, к которому непосредственно подключаются абоненты.Для этого выполните команды.

interface Ethernet 1/0

ip access-group 105 in

ip access-group 106 out

Добавление и удаление правил на маршрутизаторе осущест-вляется по протоколу rsh, поэтому необходимо разрешитьвыполнять эти действия на маршрутизаторе командами:

CiscoRouter#conf t

CiscoRouter(config)#username netup privilege 8 pass-

word 0 plain_text_password




REMOTE_IP_ADDRESS REMOTE_USER_NAME enable

CiscoRouter(config)#privilege exec level 8 access-

template

CiscoRouter(config)#privilege exec level 8 clear ac-

cess-template

REMOTE_IP_ADDRESS – IP-адрес сервера с запущенным

utm5_rfw.

REMOTE_USER_NAME – имя пользователя, указанное в

конфигурации брандмауэра.

После настройки маршрутизатора сохраните конфигурациюкомандой rite.

В интерфейсе администратора правила для включения интер-нета пользователю будут выглядеть следующим образом:

access-template 105 test1 host UIP any

access-template 106 test2 any host UIP

7/22/2019 utm5_20070529


П


Правила для выключения:

clear access-template 105 test1 host UIP any

clear access-template 106 test2 any host UIP

Непосредственная отправка правил на маршрутизатор iscoпо протоколу rsh осуществляется модулем utm5_rf. В конфи-гурационном файле rf5.cfg обязательно должны быть указа-ны параметры:

firewall_type=cisco

cisco_ip=IP_ADDRESS

где IP_ADDRESS – IP-адрес маршрутизатора Cisco.

После этого произведите запуск utm5_rf командой

/netup/utm5/bin/utm5_rfw

Для проверки прохождения правил на маршрутизатор iscoможно использовать команду

tcpdump -nXli eth0 -s 65000 port 514

Пример настройки isco при работе с Windows Windows

CiscoRouter(config)#ip subnet-zero




REMOTE_IP_ADDRESS REMOTE_USER_NAME enable

7/22/2019 utm5_20070529



3.5 Использование NT

Использование AT в ОС reeBSD с ipf�

Для использования NAT в ОС Free�SD необходимо пересоб-рать ядро системы с опцией IPDIVERT.

Для этого в конфигурационный файл нового ядра следует до-бавить строку.

options IPDIVERT

Трансляция сетевых адресов в ОС Free�SD осуществляетсяпосредством демона nat, который слушает порт 8668.

Для включения NAT при загрузке системы в конфигурацион-ном файле /etc/rc.conf следует добавить строки.

natd_enable=”YES”

natd_interface=”rl0”

Указать на автоматический запуск демона nat при загрузкесистемы можно так же в файле /etc/rc.local. В него следуетдобавить строку.

/sbin/natd -n rl0

Проверить, запущен ли демон nat, можно выполнив команду.

server# ps ax | grep natd

145 ?? Is 0:00.51 /sbin/natd -n rl0

Проверить, слушает ли демон nat порт 8668, можно выпол-нив команду.

7/22/2019 utm5_20070529


П


server# sockstat | grep 8668

root natd 145 3 div4 *:8668 *:*

При трансляции сетевых адресов перенаправление пакетовна порт 8668 осуществляется посредством файрвола.

Для перенаправления всех пакетов на интерфейс, на IP-адрескоторого транслируются сетевые адреса (NAT), следует вы-полнить команду.

ipfw add 50 divert natd ip from any to any via rl0

Если необходимо транслировать определенную сеть, напри-мер, 192.168.0.0/16, то необходимо выполнить команды.

ipfw add 50 divert natd ip from 192.168.0.0/16 to any

via rl0

ipfw add 50 divert natd ip from any to me via rl0

Правила, осуществляющие перенаправление пакетов на nat,должны находиться в самом начале списка правил ipf.

00050 0 0 divert 8668 ip from any to any via rl0

00200 8 736 allow ip from any to me

00300 8 596 allow ip from me to any

65535 0 0 deny ip from any to any

Для того чтобы правила, осуществляющие перенаправлениепакетов на nat, выполнялись при загрузке системы, в конфи-гурационный файл /etc/rc.firewall необходимо добавитьстроки:

${fwcmd} add 50 divert 8668 ip from any to any via

rl0

7/22/2019 utm5_20070529


0


или

${fwcmd} add 50 divert natd ip from 192.168.0.0/16 to

any via rl0

${fwcmd} add 50 divert natd ip from any to me via

rl0

Строки, которые необходимо добавить в самое начало спискаправил:

fwcmd=”/sbin/ipfw -q”

${fwcmd} -f flush

${fwcmd} add 50 divert 8668 ip from any to any via

rl0

${fwcmd} add 100 allow ip from any to me

${fwcmd} add 200 allow ip from me to any

В указанных выше примерах предполагается, что трансляцияIP-адресов осуществляется на IP-адрес интерфейса rl0. Вместонего следует указать название интерфейса, на IP-адрес кото-рого необходимо осуществлять NAT.

Для того чтобы посмотреть сетевые интерфейсы в системе,необходимо выполнить команду ifconfig.

Использование AT в ОС Linux

Трансляция сетевых адресов в iptables осуществляется в табли-це nat в цепочке PSTRUTIN. Для того чтобы транслиро-вать адреса сети 192.168.0.0/16 на IP-адрес интерфейса eth0 сIP-адресом 195.161.112.6, необходимо выполнить следующуюкоманду.

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o

eth0 -j SNAT --to-source 195.161.112.6

7/22/2019 utm5_20070529


1

П


где 192.168.0.0/16 – адрес локальной сети;

eth0 – внешний интерфейс с IP-адресом 195.161.112.6, на ко-торый осуществляется NAT.

Посмотреть список текущих правил iptables в таблице natможно, выполнив команду.

[root@rh73 /]# iptables -t nat –nL

Chain PREROUTING (policy ACCEPT)


Chain POSTROUTING (policy ACCEPT)


SNAT all -- 192.168.0.0/16 0.0.0.0/0

to:195.161.112.6

Chain OUTPUT (policy ACCEPT)


7/22/2019 utm5_20070529


2


4. Настройка стороннего программного

обеспечения в случае использования

HSp

4.1 Конфигурация сервера DHP

Для полностью автоматического входа клиента в сеть нужно установить и настроить сервер DHP, который будет выда-DHP, который будет выда-, который будет выда-вать компьютеру клиента IP-адрес. Наиболее распространён-ный и широко используемый сервер DHP – isc-hcp. ЕгоDHP – isc-hcp. Его– isc-hcp. Его

можно загрузить по адресу ftp://ftp.isc.org/isc/hcp/hcp-latest.tar.gz.

Установку произвести командами.

./configure

make

make install

Также isc-hcp можно установить из дистрибутивов, поставля-ющихся с операционной системой.

Главный конфигурационный файл – dhcpd.conf. Он долженсодержать следующие строки.

7/22/2019 utm5_20070529


П


option domain-name »yourdomain.com«;

option domain-name-servers 10.1.2.1;

option subnet-mask 255.255.255.0;default-lease-time 36000;

max-lease-time 86400;

authoritative;

ddns-update-style none;

log-facility local7;

subnet 10.1.2.0 netmask 255.255.255.0

{

option routers 10.1.2.1;

pool

{

range 10.1.2.10 10.1.2.200 ;

allow unknown clients;

}

}

При такой конфигурации сервер будет выдавать адреса издиапазона 10.1.2.10–10.1.2.200, как правило, начиная с концадиапазона. Сам сервер при этом должен иметь адрес 10.1.2.1.Очень важно проследить, на каком интерфейсе будет рабо-тать сервер DHP, так как выдача адресов, например, в интер-нет может привести к нежелательным последствиям. Поэтому

сервер DHP должен запускаться с указанием интерфейса, накотором ему следует работать. Например, внутренний интер-фейс fxp0. Правильная команда запуска – dhcpd fxp0. Интер-фейс указывается в качестве параметра командной строки.Несколько интерфейсов можно указывать через пробел, на-пример, dhcpd fxp0 fxp1 ed0

После настройки автоматического получения адресов нужнопозаботиться о том, чтобы клиент мог без труда активировать

свою карточку. Для этого необходимо принудительно перена-правлять на страницу активации запросы от неавторизовав-

7/22/2019 utm5_20070529



шегося клиента. Такое перенаправление делается при помо-щи файрвола.

4.2 Настройка frwall

В ОС Free�SD файрволом является программа ipf.Free�SD файрволом является программа ipf.файрволом является программа ipf.ipf..

Для перенаправления всех пакетов, следующих на 80 порт(как правило, просмотр веб-сайтов) от неавторизовавшихсяклиентов, будем использовать nat с опцией -proy_rule. Этаопция позволяет перенаправлять указанные пакеты на любой

другой адрес, в нашем случае на страничку UTM с вводом но-мера и пин-кода предоплаченной карты.

Предположим, наш сервер имеет локальный адрес 10.1.2.1и локальная сеть 10.1.2.0/24, внешний IP-адрес сервераIP-адрес сервера-адрес сервера

– 10.10.10.1. Запускаем nat.nat..

# natd -p 9000 -a 10.1.2.1 -proxy_rule port 80 server

10.1.2.1:80 -reverse

В соответствии с этим нужно сконфигурировать файрвол.Один из вариантов рабочей конфигурации – следующий.

7/22/2019 utm5_20070529


П


10000 divert 9000 tcp from 10.1.2.0/24 to not

10.1.2.1 dst-port 80 via fxp0

10100 divert 9000 tcp from 10.1.2.1 80 to

10.1.2.0/24

10200 allow tcp from 10.1.2.0/24 to any dst-port 80

via fxp0

10300 allow tcp from any 80 to 10.1.2.0/24

10400 skipto 20000 ip from any to me

10500 skipto 20000 ip from me to any

15000 deny log ip from any to any

20000 divert 8668 ip from 10.1.2.0/24 to any via

fxp1

20100 divert 8668 ip from any to 10.10.10.1 via fxp1

65535 allow ip from any to any

В этом варианте конфигурации приняты следующие обозна-чения:

fxp0 – интерфейс с адресом 10.1.2.1;

fxp1 – внешний интерфейс маршрутизатора;

8668 – порт, на котором принимает соединения обычный nat(вида natd -n fxp1).

При такой конфигурации необходимо добавить в UTM прави- ла файрвола для включения доступа пользователям.

7/22/2019 utm5_20070529



/sbin/ipfw add RULE_ID skipto 20000 ip from UIP to

any

/sbin/ipfw add RULE_ID skipto 20000 ip from any to

UIP,

И для выключения.

/sbin/ipfw delete RULE_ID,

В результате получим, что после активации карточки пользо-

ватель будет попадать сразу на правила iert 20000 и сможетбеспрепятственно загружать странички из Интернета. В слу-

чае если карточка не активирована, то все запросы пользова-

теля будут перенаправлены на страницу авторизации.

В ОС inu файрволом является программа iptables.inu файрволом является программа iptables.файрволом является программа iptables.iptables..

В iptables существует действие REDIRET, которое позволя-

ет перенаправлять указываемые пакеты на порт локальноймашины, подменяя адрес назначения. Воспользуемся этим

действием для перенаправления запросов от неавторизовав-шихся клиентов на страницу UTM с вводом номера и пин-кода

предоплаченной карты. Для этого в таблице nat в цепочку

PRERUTIN нужно добавить правило.

iptables -t nat -A PREROUTING -s 10.1.2.0/24 -p tcp--dport 80 -j REDIRECT --to-ports 80

Далее, в UTM нужно добавить на каждого пользователя дваправила для включения доступа.

7/22/2019 utm5_20070529


П


/sbin/iptables -t nat -I PREROUTING 1 -s UIP/UBITS

-j ACCEPT

/sbin/iptables -A FORWARD -s UIP/UBITS -j ACCEPT

/sbin/iptables -A FORWARD -d UIP/UBITS -j ACCEPT

И для выключения.для выключения.для выключения.выключения.выключения..

/sbin/iptables -t nat -D PREROUTING -s UIP/UBITS -j

ACCEPT

/sbin/iptables -D FORWARD -s UIP/UBITS -j ACCEPT

/sbin/iptables -D FORWARD -d UIP/UBITS -j ACCEPT

При этом должна быть выставлена запрещающая политикадля цепочки FRWARD (iptables -P FORWARD DROP).

4.3 Настройка веб-сервера pa�h

Необходимо переопределить начальную страницу и страни-цу 404 в конфигурационном файле httpd.conf.

ErrorDocument 404 “/cgi-bin/utm5/aaa5?cmd=card_log-in”

DirectoryIndex “/cgi-bin/utm5/aaa5?cmd=card_login”

index.html

При этом на любой запрос пользователя будет выдаватьсястраница, с приглашением ввести номер и пин-код карты для

выхода в Интернет.

7/22/2019 utm5_20070529



После исправления конфигурационного файла необходимоперезапустить веб-сервер.

apachectl restart

В случае, если после успешной авторизации необходимо орга-низовать автоматическое перенаправление пользователя напервоначально набранный UR, то необходимо в параметрахaaa5 передать redirect=yes. В этом случае параметры в кон-фигурации веб-сервера будут выглядеть следующим образом:

ErrorDocument 404 “/cgi-bin/utm5/aaa5?cmd=card_

login&redirect=yes”

DirectoryIndex “/cgi-bin/utm5/aaa5?cmd=card_

login&redirect=yes” index.html

Также необходимо в конфигурационном файле web5.cfg ука-

зать строку

src_redirect=yes

В этом случае при первом обращении к aaa5 будет сохранён

адрес из переменной окружения SERVER_HOST и, если поль-зователь ввёл корректные данные для авторизации, то он бу-

дет автоматически переправлен по сохраненному адресу.

Например, пользователь после получения IP-адреса по DHP

запустил интернет-браузер и в строке адреса набрал сайт .netup.ru. В результате срабатывания перенаправления поль-

зователю будет выдано приглашение для ввода номера карты

и пин-кода. После успешной авторизации автоматически бу-

дет загружена страница .netup.ru.

7/22/2019 utm5_20070529


П


5. Настройка стороннего

программного обеспечения в случае

использования телефонии

5.1 Установка и запуск H323 гейткипера

GNUGK

Для установки загрузите установочный пакет с http://.

gnug.org/h323onloa.html для вашей операционной сис-темы (доступны версии под Free�SD, inu, Winos, Solaris)и установите согласно инструкциям.

Гейткипер можно также установить из исходных кодов. Дляэтого необходимо загрузить библиотеку PWLib, доступную поадресу http://.openh323.org/bin/plib_1.5.2.tar.gz и ус-тановить её командами:

tar xvfz pwlib_1_5_2.tgzcd pwlib

./configure

gmake

gmake install

Загрузить пакет Openh323 можно по адресу http://.openh323.org/bin/openh323_1.12.2.tar.gz.

Он устанавливается командами:

tar xvfz openh323_1_12_3.tgz

cd openh323

./configure

gmake

gmake install

7/22/2019 utm5_20070529


0


е 2

Загрузить пакет openh323gk можно по адресу http://.gnug.org/onloa/gnug-2.2beta2.tgz.

Он устанавливается командами:

tar xvfz gnugk-2.2beta2.tgz

cd openh323gk

export HAS_ACCT=1

./configure

gmake

gmake install

Конфигурационный файл /etc/opengk.ini

Подробное описание опций можно найти в документе http:// .gnug.org/h323manual.html.

Ниже приведён пример конфигурационного файла /etc/

opengk.ini с кратким описанием.

[Gatekeeper::Main]

Fourtytwo=42

TimeToLive=600

Name=localhost

[RoutedMode]

GKRouted=1

[RasSrv::GWPrefixes]cisco=5,8,9

Префиксы телефонных номеров (E.164), которые будут пе-ренаправляться на шлюз, зарегистрированный под именемcisco. В данном примере номера, начинающиеся на 5, 8 и 9будут перенаправляться на шлюз. При этом шлюз должен самзарегистрироваться на гейткипере.

[RasSrv::PermanentEndpoints]

212.1.1.1=voip;1,2,3

7/22/2019 utm5_20070529


1

П


Префиксы телефонных номеров (E.164), которые будут пере-направляться на шлюз с адресом 212.1.1.1. В данном приме-ре номера, начинающиеся на 1, 2 и 3 будут перенаправлятьсяна этот шлюз. При этом шлюз не должен сам регистрировать-ся на гейткипере.

[GkStatus::Auth]

rule=allow

[Gatekeeper::Acct]

RadAcct=required;start,stop

default=allow

[RadAcct]

Servers=127.0.0.1:1813;

IP-адрес и порт, на котором принимает соединения серверUTM5 RADIUS.

LocalInterface=

RadiusPortRange=10000-11000

DefaultAcctPort=1813

SharedSecret=secret

RequestTimeout=3500

IdCacheTimeout=9000

SocketDeleteTimeout=60000

RequestRetransmissions=4

RoundRobinServers=1

AppendCiscoAttributes=1

IncludeEndpointIP=1

FixedUsername=

[Gatekeeper::Auth]

RadAliasAuth=required;RRQ,ARQ

default=allow

[RadAliasAuth]

Servers=127.0.0.1:1812;

7/22/2019 utm5_20070529


2


е 2

IP-адрес и порт, на котором принимает соединения серверUTM5 RADIUS.

LocalInterface=

RadiusPortRange=10000-11000

DefaultAuthPort=1812

SharedSecret=secret

RequestTimeout=2000

IdCacheTimeout=9000

SocketDeleteTimeout=60000

RequestRetransmissions=2

RoundRobinServers=1

AppendCiscoAttributes=1

IncludeTerminalAliases=1

IncludeEndpointIP=1

FixedUsername=

FixedPassword=

[CallTable]

DefaultCallDurationLimit=3600

[Proxy]

Enable=1

Включить режим прокси. В этом режиме пакеты от ATA-186идут только до и от гейткипера. Если не указывать эту опцию,то пакеты от ATA-186 будут направляться на шлюз, минуя гей-

ткипер.

При таких настройках гейткипер будет проводить автори-зацию при каждом звонке через сервер RADIUS (порт 1812).Статистика звонков будет передаваться на сервер RADIUS(порт 1813).

7/22/2019 utm5_20070529


П


Запуск гейткипера

Запуск гейткипера осуществляется командой:

/usr/local/bin/gnugk -c /etc/opengk.ini -o /var/log/

gnugk.log –ttttt &

Протоколирование работы гейткипера будет вестись в файл/var/log/gnugk.log. За работой гейткипера можно наблю-дать, подключившись по протоколу telnet на порт состоя-ния командой

telnet 127.0.0.1 7000

7/22/2019 utm5_20070529



е 2 .

5.2 Настройка � T-186

В настройках ATA-186 необходимо указать следующиепараметры

UID0: 100

Первый телефонный номер.

UID1: 200

Второй телефонный номер.

GkOrProx: 10.1.2.105

Адрес гейткипера.

LoginID0: test1

Логин, который будет использоваться для авторизации звон-ков первого телефонного номера. При этом на гейткипербудет отсылаться пароль такой же, как логин.

LoginID1: test2

LBRCodec:3

RxCodec:3

TxCodec: 3

ConnectMode: 0x00060403

UseSIP: 0

7/22/2019 utm5_20070529


П р и л о ж е н и е 2 .

5.3 Настройка шлюза VIP на базе � 26xx,

36xx, 53xx

Пример приведен для isco 3640 IS 12.2(11)T8 с контролле-ром E1.

aaa accounting connection h323 start-stop

group radius

!

controller E1 1/0

pri-group timeslots 1-31

!

!

voice class codec 1

codec preference 1 g729r8

codec preference 2 g711ulaw

codec preference 3 g723r63

!!

gw-accounting aaa

acct-template callhistory-detail

!

!

interface Ethernet0/1

ip address 21.1.1.1 255.255.255.252

no ip mroute-cache

full-duplex

no cdp enable

h323-gateway voip interface

h323-gateway voip id GK ipaddr 21.1.1.2 1718

h323-gateway voip h323-id cisco

!

!

interface Serial1/0:15

7/22/2019 utm5_20070529



е 2 .

no ip address

no logging event link-status

isdn switch-type primary-net5

isdn protocol-emulate network

isdn incoming-voice voice

isdn map address .* plan isdn type subscriber

isdn calling-number xxxxxx

no isdn outgoing display-ie

no cdp enable

!

!

dial-peer voice 2 pots

destination-pattern T

direct-inward-dial

port 1/0:15

prefix 96

!

gateway

!dial-peer voice 4 voip

destination-pattern 100

voice-class codec 1

session target ras

!

Для звонков через Microsoft NetMeeting также следует указать

следующие команды:!

voice service voip

h323

h245 tunnel disable

h245 caps mode restricted

!

В настройках аудио программы NetMeeting необходимовыбрать кодек ITT u-a, 8,000 KHz; 8�it;Mono.

7/22/2019 utm5_20070529


П


5.4 Настройка сервера fp

Загрузить сервер tftp можно по адресу ftp://ftp.ernel.org/pub/softare/netor/tftp/tftp-hpa-0.34.tar.bz2.

Далее необходимо его установить командами:

tar xvfj tftp-hpa-0.34.tar.bz2

cd tftp-hpa-0.34

./configure

gmake

gmake install

Создайте директорию, где будут находиться файлы, доступ-ные по tftp.tftp..

mkdir /netup/tftp/netup/tftpnetup/tftp/tftptftp

Произведите запуск сервера tftp командойtftp командойкомандой

/usr/sbin/in.tftpd -l -s /netup/tftp

Для автоматического запуска сервера tftp при загрузке опе-рационной системы нужно добавить данную команду в файл/etc/rc.local.

7/22/2019 utm5_20070529



е 2 .

5.5 Настройка � для совместной работы с

IV

Необходимо указать, расположение T–скрипта для обра-T–скрипта для обра-–скрипта для обра-ботки системы голосовых сообщений (IVR), расположениеIVR), расположение), расположениеголосовых файлов и длину номера и пин-кода карты.

!

call application voice debit tftp://10.1.2.2/

debitcard.1.1.3.tcl

call application voice debit uid-len 4

call application voice debit pin-len 6

call application voice debit language 1 en

call application voice debit set-location en 0

tftp://10.1.2.2/prompts/en/

!

Введённые пользователем при авторизации первые четырецифры (uid-len) будут использоваться, как логин, а последу-ющие шесть цифр (pin-len) – как пароль.

Если скрипт загрузился успешно, то по команде

sh call application voice debitcall application voice debitcall application voice debitapplication voice debitapplication voice debitvoice debitvoice debitdebitdebit

можно увидеть содержание файла скрипта.

В настройках dial-peer нужно указать использование этогоскрипта:

!

dial-peer voice 2 voip

application debit

!

7/22/2019 utm5_20070529


П


Необходимо задать параметры aaa:

!

aaa authentication login h323 group radius

aaa authorization exec h323 group radius

aaa accounting connection h323 start-stop

group radius

!

!

gw-accounting aaa-accounting aaaaccounting aaaaaaaaa

!

radius-server vsa send accounting

radius-server vsa send authentication

!

В результате таких настроек шлюз VoIP будет запрашивать но-мер (номер и пин-код) карты, затем проводить авторизациюпо протоколу RADIUS. При успешной авторизации серверRADIUS в VSA-атрибутах (h323-credit-amount/h323-cur-rency) отсылает текущий баланс пользователя и код валюты.Затем шлюз запрашивает направление звонка и после вводазаново проводит авторизацию через сервер RADIUS. Приэтом сервер отсылает количество секунд (атрибут h323-cred-it-time), доступных для разговора по данному направлению.Если всё прошло успешно, то производится попытка устано-вить соединение согласно настройкам.

По окончании разговора шлюз отсылает серверу RADIUS па-кет Accounting STOP с указанием времени разговора.

7/22/2019 utm5_20070529


00


е 2

5.5 Совместная работа lrk

PrxySfSw�h и UTM UTM

Выдержка с сайта http://http://://.altertes.ru:

«Altertes Proy SoftSitch (AlterPSS) - это программный пе-реключатель (или коммутатор), позволяющий направлятьсигналы и голосовой трафик с одного шлюза IP-телефониина другой, или пропускать данные через себя (проксировать).При этом управляющие сигналы могут исправляться или пол-ностью изменяться софт-свичом. Таким образом, появляется

возможность установки соединения между оборудованием,использующим несовместимые протоколы…»

Настройка ProxySoftS�itch

Предполагается компьютер с операционной системой Winos 2000 или Winos Serer 2003 и установленный2000 или Winos Serer 2003 и установленный Winos Serer 2003 и установленныйSerer 2003 и установленныйSerer 2003 и установленный2003 и установленныйProxySoftSwitch.

1. Скопируйте приведённый ниже конфигурационный файлСкопируйте приведённый ниже конфигурационный файлmonitor.ini в каталог PSS. Обратите внимание на переводыPSS. Обратите внимание на переводы. Обратите внимание на переводыстрок, строки с русскими комментариями должны начинать-ся с символа «;».

; Данный файл содержит дополнительные настройки,

; наличие этих настроек позволяет включать

вспомогательные сервисы,

; а отсутствие этих настроек не приведет к потере

работоспособности AlterPSS

[IVR]

; Префикс телефонных номеров для работы с

интерактивным голосовым меню,

7/22/2019 utm5_20070529


01

П


; может принимать значения: ’no’, ’all’ или строка

цифр.

; PhoneNumber=no

PhoneNumber=000

[MONITOR]

; Через этот порт с помощью telnet можно

просматривать H323 обмен между AlterPss и удаленным

шлюзом

Port=5099

; Список AccessIPaddrN позволит ограничить доступ к

этому сервису,

; при отсутствии хотя бы одной записи доступ

неограничен

AccessIPaddr1=127.0.0.1

[WEB]

; Через этот порт доступна WEB-страница с информацией

о текущих соединениях

Port=801

; Список AccessIPaddrN позволит ограничить доступ к

этому сервису,

; при отсутствии хотя бы одной записи доступ

неограничен

7/22/2019 utm5_20070529


02


е 2

;AccessIPaddr1=127.0.0.1

; Доступ к WEB-странице ограничен по логину/паролю

Login=user

Password=123

; Время автоматической перезагрузки WEB-страницы,

; если на изображении WEB-страницы находится

указатель »мышки«, то перезагрузка блокируется.

ReloadTime=3000

[RADIUS]

; Настройки NAS для работы по RADIUS

Server=127.0.0.1

Secret=secret

AuthorizationPort=1812

AuthorizationNasPort=1812

AccountingPort=1813

AccountingNasPort=1813

SessionID=34

Setup=0

Access=0

Connect=1

Stop=1

7/22/2019 utm5_20070529


0

П


; Получить таблицу маршрутизации от RADIUS сервера.

RouteMode=0

GatewayID=Pss

; при установке этого параметра в “1” при переходе на

следующий маршрут

; будет отправлятся STOP пакет для оригинирующего

соединения, а затем вновь посылатся ложный START.

ReAccountingReroute=0

; Настройки встроенного конференц сервера.

[CONFERENCE]

;Prefix=00

;Amount=2

;MaxChannels=4

;NewMemberWav=gong.wav

;WaitWav=wait.wav

[GATEWAY]

; Включение/выключение режима преобразования кодеков

CodecConversion=1

; В режиме транскодинга использовать для

терминирующего шлюза информацию из таблицы шлюзов.

GetCodecFromTable=1

7/22/2019 utm5_20070529


0


е 2

; Правила преобразования номера к формату E.164в

режиме IVR.

;InternationalAccessCode=810

;AreaAccessCode=8

;CountryCode=7

;AreaCode=095

[DYNDNS]

; Время обновления ip-адресов шлюзов согласно их DNS

(в милисекундах).

PollingTime=1000

[ROUTE]

; Список кодов завершения, по которым прекращается

перебор маршрутов.

CauseStop1=17

[CAUSE]

; Подмена кодов завершения.

;3=17

Параметр Server определяет IP-адрес компьютера, на кото-IP-адрес компьютера, на кото--адрес компьютера, на кото-ром запущен сервер RADIUSRADIUS utm5_radius. Через этот сервербудут проходить все запросы авторизации (authorization) иauthorization) и) и

7/22/2019 utm5_20070529


0

П


учёта (accounting) голосовых звонков. Соответственно, необ-accounting) голосовых звонков. Соответственно, необ-) голосовых звонков. Соответственно, необ-ходимо настроить параметры AuthorizationPort, Account-

ingPort.

Параметры Setup, Access, Connect и Stop определяют,когда необходимо посылать серверу RADIUS пакеты Account-RADIUS пакеты Account-пакеты Account- Account-ing. Правильные значения для биллинговой системы UTM:. Правильные значения для биллинговой системы UTM:UTM::

Setup=0=0

Access=0=0

Connect=1=1

Stop=1=1

Параметр RouteMode=0 выключает динамическую маршрути-зацию и инструктирует ProySoftSitch использовать жёсткоProySoftSitch использовать жёсткоиспользовать жёсткозаданную таблицу маршрутизации (см. ниже).

2. Запустите конфигуратор PSS (Пуск | Программы | AlterTesЗапустите конфигуратор PSS (Пуск | Программы | AlterTesPSS (Пуск | Программы | AlterTes(Пуск | Программы | AlterTes| Proy Soft Sitch | Конфигуратор PSS). Во вкладке «Парамет-ры доступа к eb-интерфейсу подсистемы маршрутизации» eb-интерфейсу подсистемы маршрутизации»-интерфейсу подсистемы маршрутизации»

установите порт, логин и пароль для доступа. Убедитесь, что вправой части окна в списке IP-адресов есть ваш адрес.IP-адресов есть ваш адрес.-адресов есть ваш адрес.

3. Скачайте модуль авторизации RADIUS по адресу http://Скачайте модуль авторизации RADIUS по адресу http://модуль авторизации RADIUS по адресу http://модуль авторизации RADIUS по адресу http://авторизации RADIUS по адресу http://авторизации RADIUS по адресу http://RADIUS по адресу http://по адресу http://адресу http://адресу http://http://netup.ru/alinin/pss_utm5_lls.zip. Необходимо скопиро-Необходимо скопиро-скопиро-скопиро-

вать файлыфайлыфайлы PssControl.dll ии ivr.dll в каталог PSSв каталог PSSкаталог PSSкаталог PSSPSS (c:\pro-gram files\alterteks\ProxySoftSwitch).

7/22/2019 utm5_20070529


0


е 2

4. Перезапустите службу Перезапустите службу ProxySoftSwitch. Убедитесь в успеш-ном старте службы.

5. Зайдите в систему администрирования подсистемы марш-рутизации по адресу http://localhost:5080, введите указанныйвыше пароль.

Настройте один или более шлюзов (gateays). Создайте таб-gateays). Создайте таб-). Создайте таб-

лицу маршрутизации (table of routing) с именемtable of routing) с именемof routing) с именемof routing) с именемrouting) с именемrouting) с именем) с именемdefault

, на-стройте правила трансляции при различных префиксах.

В примере указано, что все звонки с префиксом «7» (Россия)будут направляться на маршрутизатор с именем monster.monster..

Более подробно процесс конфигурации маршрутизаторов итаблиц роутинга описан в документации по Altertes ProySoft- Altertes ProySoft-ProySoft-ProySoft-Sitch..

Настройка UT UT

Необходима версия UTM 5 (любая поддерживаемая платфор-UTM 5 (любая поддерживаемая платфор-5 (любая поддерживаемая платфор-ма) не младше 5.1.9-004.

1. Внесите изменения в конфигурационный файлВнесите изменения в конфигурационный файл

radius5.cfg. Добавьте следующие строки:

radius_auth_h323_remote_address=enable

7/22/2019 utm5_20070529


radius_auth_null=enable

utm5_20070529

Documents