UTIM 5. Руководство администратора

Описание системы Основные функции системы

Биллинговая система (автоматизированная система расчётов, АСР) NetUP UTM является полноценным решением для организации автоматического расчёта операторов связи с абонентами за предоставляемые услуги. Базовый модуль системы поддерживает обсчёт выделенных линий. Помимо этого, система позволяет создавать и вести учёт как периодических, так и разовых услуг. При использовании дополнительных модулей система может обсчитывать услуги IP-телефонии, коммутируемого доступа с учётом стоимости времени и беспроводного доступа к сети (хотспот).

В систему заложен универсальный механизм сбора статистики потреблённого трафика, что позволяет одновременно обсчитывать неограниченное количество каналов связи, построенных на основе разнородных устройств.

АСР NetUP UTM поддерживает ведение справочника клиентов, справочника банков, справочника маршрутизаторов и брандмауэров, справочника зон IP-адресов, справочника подключённых домов, справочника предоставляемых услуг и других справочников.

Описание системы

Настоящая версия системы NetUP UTM создавалась с учётом опыта работы и пожеланий пользователей предыдущих версий программы. Так, в системе реализована функция клиента, как дилера оказываемых провайдером услуг. Для удобства работы программа администрирования выполнена в виде графического совместимого с любой платформой интерфейса, написанного на языке программирования Java.

Система полностью поддерживает работу с предоплаченными картами. Есть возможность экспорта сгенерированных карт во внешний файл формата XML. Система поставляется с поддержкой русского и английского языков, но при необходимости пользовательский и администраторский интерфейс системы можно перевести на любой язык. Система может работать с несколькими денежными единицами одновременно.



Систему можно использовать для генерирования бухгалтерских счетов и различных отчётов, ведения базы договоров. Для более удобной технической поддержки клиентов в системе имеется встроенная служба обмена сообщениями.

При необходимости система может блокировать доступ клиента к услугам, например, при исчерпании средств на лицевом счёте.

Пользовательский интерфейс системы построен на основе веб-технологий, что позволяет клиенту получать доступ к своему счёту, выпискам и статистике из любой точки мира с помощью любого браузера через интернет. Использование технологии XML и шаблонов при создании клиентского интерфейса позволяет администратору системы самостоятельно менять внешний вид интерфейса без ущерба его функциональности.

Использование в системе такого понятия, как «класс трафика» позволяет вести учёт трафика из разных сетей, например, разделение трафика на отечественный и зарубежный, пиринговый и локальный. Разделение классов трафика можно производить по самым различным признакам: сети источника и получателя, порты источника и получателя, тип службы (TOS), протокол, автономные системы источника и получателя, интерфейс маршрутизатора, через который проходит пакет и многое другое.

Описание системы

Серверная часть биллинга (ядро системы) представляет собой многопоточное оптимизированное приложение, обеспечивающее высокую производительность системы в целом. Это особенно актуально для сетей с большой клиентской базой и потребляющих большие объёмы трафика.

Способы включения системы в сеть

Универсальность биллинга допускает множество способов интеграции системы в существующую или планируемую инфраструктуру сети. АСР NetUP UTM поддерживает работу с множеством аппаратных и программных маршрутизаторов и не накладывает ограничения на количество одновременно обсчитываемых каналов связи и тип используемых при организации этих каналов устройств. Рассмотрим основные варианты.

Локальная сеть подключена к интернету через аппаратный маршрутизатор, поддерживающий сбор статистики

Маршрутизаторы Cisco, Mikrotik, NSG, Revolution и других производителей, как правило, включают возможность экспорта статистики о переданном трафике. В этом случае сервер с биллингом может быть установлен как внутри локальной сети, так и вне неё (например, в головном офисе, доступном через интернет). Сбор статистики о трафике и управление маршрутизаторами производится удалённо.

Интернет При таком способе подключения биллинговую систему можно установить как на самом роутере, так и на удалённом сервере. Статистика снимается с интерфейса роутера и обрабатывает-

Описание системы

ся на локальной машине (в первом случае) или передаётся по сети и обрабатывается на другом сервере (во втором случае).

Помимо описанных выше случаев подсчёта трафика локальных сетей возможно множество других вариантов, например, обсчёт спутниковых каналов, либо произвольная комбинация приведенных выше способов подключений.

Клиент подключается к интернету посредством коммутируемого доступа

В данном случае сервером доступа может быть как Cisco, так и PC-роутер с подключёнными к нему модемами. Авторизация клиентов производится по протоколу RADIUS. Тарификация может производиться как по времени соединения, так и по объёму трафика клиентов.

Система поддерживает учёт услуг беспроводного доступа по технологии Wi-Fi, широко известных также как хотспот. Данный способ подключения часто используется в местах общественного доступа, например, гостиницы, кафе, аэропорты.

Структура системы UTM

Биллинговая система UTM представляет собой комплекс приложений, составляющий три группы: ядро системы, интер-

приложение, устанавливаемое на рабочую станцию администратора и позволяющее настраивать систему и управлять ею. Это приложение является платформенно-независимым и может исполняться под управлением любой ОС: Windows, Linux, FreeBSD. Интерфейс пользователя — это набор программ, работающих совместно с веб-сервером и реализующих виртуальный кабинет пользователя системы.

Ядро биллинговой системы

Ядро системы - это основной модуль, отвечающий за работу с базой данных, обеспечение доступа к ней и обработку входящей информации согласно внутренним правилам (таких как тарификация, периодические списания). Ядро - это отдельный многопоточный процесс, работающий в пользовательском режиме. При запуске ядро требует администраторских привилегий. Структура ядра такова, что оно органично вписывается в многопроцессорные архитектуры и при высоких нагрузках равномерно использует все предоставленные ресурсы.

Основные компоненты ядра

Обработчик запросов URFA (UTM Remote Function Access) является сервером вызовов удалённых процедур. Он принимает

Описание системы



Flow версии 5. Для устройств, не поддерживающих выдачу статистики по этому протоколу, необходимо воспользоваться преобразователем статистики из любого протокола в NetFlow версии 5 - утилитой get_xyz.

Классификатор трафика - модуль ядра, осуществляющий сортировку всего трафика на категории (классы трафика) по признакам, обозначенным в настройках системы. Признаки классификации задаются в центре управления UTM.

Модуль бизнес-логики отвечает за тарификацию всех услуг, в том числе и передачу IP-трафика. Он осуществляет перевод количества оказанных оператором услуг в денежный эквивалент, принимая во внимание все зависимости, указанные администратором системы.

Системный журнал сообщений ведёт все записи о функционировании UTM. Он позволяет администраторам проводить диагностику системы и получать информацию о сбоях в работе системы.

Описание системы

Модуль доступа к базам данных представляет собой унифицированный интерфейс БД и осуществляет перевод внутрисистемных запросов к данным в запросы к внешней базе данных. Это позволяет добиться независимости UTM от какой-либо конкретной системы управления БД.

Прием данных происходит посредством буфера NetFlow и URFA. Исходные данные считываются из базы данных при запуске. Изменения, сделанные впоследствии напрямую в базу, могут привести к неконтролируемому поведению системы.

NetFlow данные поступают на обработку в бизнес-модуль, где рассчитываются все необходимые списания. В случае высокой пиковой загрузки NetFlow поток может быть буферизован, что несколько снизит возможные потери. «Сырые» данные

NetFlow сохраняются посредством объектно-ориентированной базы данных GigaBase ( gigabase.html). При старте модуль этой БД создаётся в отдельной нити и, по возможности, с высоким приоритетом.

URFA поддерживает динамическую загрузку модулей (libur-fa). Они могут быть как выгружаемыми, так и постоянными. Последние - это модули, содержащие критичные для управления системой вызовы или выгрузка которых может привести к сбоям. Первые - это, обычно, просто библиотеки вызовов. Загруженные в данный момент модули можно просмотреть в интерфейсе администратора во вкладке (Дополнительно | Плагины).

Разграничение прав

В системе пользователи делятся на две категории: пользователи (клиенты, абоненты) и администраторы (системные пользователи). В зависимости от типа пользователя, у него есть некоторый список разрешённых операций. Проверить список разрешённых пользователям операций можно в разделе (Дополнительно | Символы). Операции с идентификатором, большим 0x80000000, разрешены на исполнение только клиентам, остальные операции - только администраторам.

Описание системы

Разделение ролей администраторов происходит на основе системных групп, которым принадлежит администратор. Существует специальная группа с идентификатором 1 (wheel). Если системный пользователь в неё входит, то ему разрешено исполнение любых операций. Иначе права будут ограничены списком вызовов, разрешенных группам, в которых он состоит. Случаи вызова запрещённых операций заносятся в системный журнал ядра.

UTM Remote Function Access (URFA)

URFA - это модуль доступа к ядру системы из внешних приложений. Он проводит авторизацию пользователей по схеме CHAP и обеспечивает работу удалённого пользователя. Протокол поддерживает передачу данных и вызов функций. URFA проверяет, разрешён ли данному пользователю доступ к вызы-

ваемой функции и, если разрешён, пользователю позволяется начать обмен данными. В противном случае система дает отказ в доступе.

Каждой сессии выделяется 128-битный случайный идентификатор (SID), повторение которого исключается. Этот SID может быть использован повторно для открытия доступа. В случае сбоя при восстановлении сессии SID будет удален, и пользователь вновь будет вынужден ввести логин и пароль. SID привязывается к IP-адресу клиента и автоматически удаляется после некоторого времени простоя (см. переменную web_session_timeout). Восстановление сессии возможно лишь в случае, когда получен доступ с правами системного пользователя.

При открытии сессии создается таблица разрешенных вызовов, состоящая из списка символов, имевшихся на момент генерации в системе, и прав доступа к ним. Если после открытия сессии будет подгружен дополнительный модуль, то эти вызовы будут в числе запрещённых для пользователя. В таком случае, пользователю необходимо подключиться заново.

Описание системы

В случае, если в момент выгрузки модуля, кто-то работает с ним, операция выгрузки завершится неудачей. Однако все символы этого модуля будут помечены как удаленные и в дальнейшем все вызовы к ним не будут успешными. В тот момент, когда последняя ссылка на символы будет удалена (сессия закрыта), модуль можно окончательно выгрузить. Постоянные модули выгружать нельзя, при попытке их выгрузить будет возвращена ошибка и на работе модуля это никак не скажется.

В случае сбоя при проверке лицензий модуль не будет подгружен. Лицензии привязываются к двоичному коду модуля, что гарантирует пользователю то, что загруженный модуль действительно собран в компании NetUP и полностью отвечает требованиям безопасности и корректности работы. Однако это требует, чтобы при обновлении модуля была получена обновленная лицензия.

Установка и первоначальная настройка системы Краткая последовательность шагов при установке и настройке системы Установка и запуск

• Установите биллинговую систему на сервер согласно инструкции. Запустите программу utm5_core.

• Загрузите и установите на компьютер администратора виртуальную машину Java версии 2. Запустите программу UTM_admin.

• Смените пароли для системных пользователей web, init и radius.

• После смены паролей внесите соответствующие коррективы в файлы/netup/utm5/web5.cfg и /netup/utm5/radius5. cfg.

Настройка тарификации (в случае первой установки системы)

• Создайте в интерфейсе администратора нужные расчётные периоды.

• Создайте необходимые классы трафика, временные диапазоны в настройках тарификации.

Установка системы

• Выставьте курсы валют в системе. По умолчанию курс рубля к курсу внутренней единицы равен 1, т. е. баланс пользователей отображается в рублях. Измените этот курс, если хотите вести лицевые счета в других единицах.

• Создайте услуги, выставьте периоды их действия и стоимость.

• Приступайте к добавлению пользователей.

Конвертирование базы данных (в случае обновления системы)

Произведите преобразование базы данных предыдущей версии биллинга по инструкции. Необходимые параметры для тарификации будут перенесены из существующей БД.

Проверка корректности работы

• Настройте и запустите коллектор.

• Прокачав некоторое количество трафика в сторону заведённого в системе клиента, проверьте появление данных о прокачанном трафике в отчётах (детальный отчет по трафику, отчет по трафику).

Проверить корректность работы бизнес-модуля можно, проведя тест по контрольному примеру. Тест следует проводить непосредственно после установки системы.

Установка серверной части Linux

На сервер должна быть установлена операционная система Linux (RedHat 9.0, либо любой другой дистрибутив) и дополнительные пакеты: веб-сервер Apache 1.3.x с поддержкой SSL и сервер баз данных MySQL 3.x, 4.x, либо Postgresql 7.x. Настоятельно рекомендуем использовать MySQL с поддержкой InnoDB, так как данное решение позволит существенно повысить надежность хранения целостности данных. Более подробная информация доступна на сайте разработчика http:// dev.mysql.com/doc/mysql/ru/InnoDB.html.

Для установки необходимо выполнить команду:

Установка системы

rpm -i utm-5-0.i386.rpm

В результате будут созданы директории:

/netup - содержит основные рабочие файлы, файлы конфигурации, директорию для системного журнала.

/usr/local/apache/cgi-bin/utm5 - веб-интерфейс пользователя.

/usr/local/apache/htdocs/utm - таблица стилей, скрипты.

Если у вашего веб-сервера другие пути, то следует переместить файлы в соответствующие директории.

Также будут скопированы скрипты запуска:

/etc/rc.d/init.d/utm5_core

/etc/rc.d/init.d/ndsad

Для создания первоначальной базы данных выполните команды:

Для MySQL

mysqladmin create UTM5

mysql UTM5 < /netup/utm5/UTM5_MYSQL.sql

Для Postgresql

createdb -U postgres UTM5

psql -f /netup/utm5/UTM5_PG.sql -U postgres UTM5

Если все предыдущие команды были выполнены успешно, запустите ядро биллинговой системы командой

/etc/rc.d/init.d/utm5_core start

Для автоматического запуска ядра UTM при загрузке Linux выполните команды:

chkconfig --add utm5_core chkconfig utm5_core on

FreeBSD

Установка системы

На сервер должна быть установлена операционная система FreeBSD 4.x, 5.x, а также дополнительные пакеты: веб-сервер Apache 1.3.x с поддержкой SSL и сервер баз данных MySQL 3.x, 4.x, либо Postgresql 7.x. Настоятельно рекомендуем использовать MySQL с поддержкой InnoDB, так как данное решение позволит существенно повысить надежность хранения целостности данных. Более подробная информация доступна на сайте разработчика doc/mysql/ru/InnoDB.html.

Для установки необходимо выполнить команду

pkg_add utm5.tgz

В результате будут созданы директории.

/netup - содержит основные рабочие файлы, файлы конфигурации, директорию для системного журнала.

/usr/local/apache/cgi-bin/utm5 - веб-интерфейс пользователя.

/usr/local/apache/htdocs/utm - таблица стилей, скрипты.

Если у вашего веб-сервера другие пути, то следует переместить файлы в соответствующие директории.

Также будут скопированы скрипты запуска.

/usr/local/etc/rc.d/utm5_core.sh

/usr/local/etc/rc.d/ndsad.sh

Для создания первоначальной базы данных выполните команды.

Для MySQL.

mysqladmin create UTM5

mysql UTM5 < /netup/utm5/UTM5_MYSQL.sql

Для Postgresql.

createdb -U postgres UTM5

psql -f /netup/utm5/UTM5_PG.sql -U postgres UTM5

Установка системы

Если все предыдущие команды были выполнены успешно, запустите ядро биллинговой системы командой

/usr/local/etc/rc.d/utm5_core.sh start

Внимание: Под FreeBSD может появиться ошибка вида: /usr/ libexec/ld-elf.so.1: Shared object “libc.so.4” not found. В этом случае понадобится установить библиотеки compat4x.

Solaris

На сервер должна быть установлена операционная система SUN Solaris 9 либо 10 на плат-форме SPARC. Требования к вебсерверу и базе данных аналогичны Linux и FreeBSD.

Для установки необходимо выполнить команды:

gzip -d utm-5-solaris9-sparc-demo.gz pkgadd -d utm-5-solaris9-sparc

Для создания первоначальной базы данных выполните команды.

Для MySQL.

mysqladmin create UTM5

mysql UTM5 < /netup/utm5/UTM5_MYSQL.sql

Для Postgresql.

createdb -U postgres UTM5

psql -f /netup/utm5/UTM5_PG.sql -U postgres UTM5

Если все предыдущие команды были выполнены успешно, запустите ядро биллинговой системы командой

/usr/local/etc/rc.d/utm5_core.sh start

Windows

Запустите программу установки UTM UTM5Setup.exe.

Установка системы

После загрузки инсталлятора появится окно выбора языка для установки.



либо компоненты уже были установлены ранее, уберите соответствующие галочки и нажмите «Next».

При обновлении UTM с предыдущего выпуска программы до более новой сборки или версии не требуется переустанавливать сервер баз данных MySQL. Поэтому в этом окне следует убрать галочку напротив MySQL, говоря, чтобы осталась текущая установка MySQL. Однако при обновлении до более новой версии UTM может измениться структура базы данных. Поэтому далее, когда программа установки спросит о том, нужно ли обновлять структуру базы данных, необходимо ответить утвердительно.

Если компонент «Java Virtual Machine» был выбран для установки, запустится его инсталлятор.



сервера Apache. Нажмите «Next».



d

Для установки и удаления службы utm5_core нужно запустить utm5_ core. exe c опциями -install или -uninstall соответственно:

C:\Program Files\NetUP\UTM5>utm5_core.exe --uninstall

Successfully deleted utm5_core service

C:\Program Files\NetUP\UTM5>utm5_core.exe --install

Successfully created utm5_core service

Активация лицензионного ключа

Для активации лицензионного ключа необходимо выполнить команду под Linux/FreeBSD/Solaris:

mysql UTM5 < reg.sql

В случае использования операционный системы Windows инсталляционный пакет автома-тически запросит путь к директории где находится файл reg.sql.

Запуск интерфейса администратора

На рабочей станции администратора необходимо установить пакет Sun Java 2 (), а затем запустить приложение UTM_Admin.jar. По умолчанию логин init и пароль init. После входа в систему рекомендуется изменить пароль для системных пользователей. После смены пароля на системного пользователя web, также укажите его в файле /netup/utm5/web5.cfg.

Установка системы

Для входа в виртуальный кабинет пользователя необходимо запустить интернет-браузер (например, Internet Explorer, Opera, Netscape Navigator, Konqueror) и набрать в адресной строке URL https:// your.server / cgi-bin / utm5/aaa5.

Перенос данных из предыдущих версий UTM, либо из других баз данных

Для осуществления переноса данных об учетных записях пользователей, тарифах, списаниях служит утилита

/netup/utm5/to_utm.pl

Утилита написана на языке perl и поставляется в исходном коде. Благодаря этому имеется возможность перенести дан-

Установка системы

адрес сервера и порт для подключения. Также можно указать опции шифрования. Настоятельно рекомендуется использовать шифрование. Если отмечена галочка «Сохранить параметры», то выбранные параметры (кроме пароля) сохраняются в конфигурационном файле и автоматически подставляются в форму при следующем запуске программы.

Предварительная настройка системы Настройка валют

Все операции внутри системы производятся в условных единицах. Для правильной настройки работы с валютами выполните следующие шаги.

Зайдите в раздел (Тарификация | Валюта). Нажмите кнопку «Обновить». Появится список доступных валют.

Быстрый старт

ка.



адреса и маски сетей для входящего трафика, нажмите «ОК». После добавления всех подклассов нажмите кнопку «ОК» в окне «Добавление класса трафика».

Повторите указанную последовательность действий и создайте классы трафика «Исходящий» с идентификатором «20» и «Локальный» с идентификатором «1000».

Настройка услуги ІР-трафика

Зайдите в раздел (Тарификация | Услуги). Нажмите кнопку «Обновить». Появится список существующих услуг.



«Передача IP-трафика». Отметьте галочку «Только для тарифного плана», если создаваемая услуга в дальнейшем будет частью пакета (тарифного плана). Кроме того, можно добавить комментарий, введя его в соответствующем поле. Нажмите кнопку «Продолжить».

Появится окно с дополнительными параметрами услуги. Введите размер периодической составляющей стоимости услуги и выберите способ её списания (в начале или в конце расчётного периода, либо плавное снятие в течение всего расчёт-



трафика».

В появившемся окне «Добавление предоплаченных единиц» выберите класс предоплаченного трафика и введите количество в байтах. Нажмите кнопку «OK».

Нажмите кнопку «OK» в окне «Добавление услуги IP-трафика». Если услуга не предназначалась для тарифного плана, то

Быстрый старт



персональную информацию и нажмите «Применить». В нижней части окна появятся дополнительные вкладки.



активной. Нажмите на эту кнопку.

В появившемся списке услуг, которые включены в тарифный план, выберите соответствующую услугу передачи IP-трафика и нажмите кнопку «Подключить услугу».

В появившемся окне «Сервисная связка» выберите даты начала и окончания подключения пользователя к услуге и нажмите кнопку добавить над списком IP-групп. Введите IP-адрес и маску сети, которые следует привязать к пользователю. Нажмите кнопку «OK» сначала в окне «Добавление IP-группы», а потом, после добавления всех IP-адресов, в окне «Сервисная связка».

Нажмите кнопку «OK» для закрытия списка услуг в тарифном плане.

Нажмите кнопку «OK» ниже вкладок в окне «Добавление пользователя». Новый пользователь с установленными тарифным планом и параметрами будет создан.

Быстрый старт

Далее необходимо проконтролировать появление трафика в разделе «Отчёты».

Работа с учётными записями пользователей Пользователи и группы

В сводном списке пользователей содержится основная информация о клиентах: полное имя, логин в системе, идентификатор пользователя, основной лицевой счёт, идентификатор расчётного периода, статус блокировки клиента и баланс его лицевого счёта.

Создание учётной записи пользователя

Создание новой учетной записи клиента осуществляется при помощи диалогового окна добавления пользователя. Обязательной информацией являются логин и пароль пользователя. При создании новой учётной записи пароль генерируется автоматически, но есть возможность его изменения. Одновременно с учётной записью, для пользователя заводится основной лицевой счёт.



учётная запись системного администратора; web - учётная запись, под которой программа пользовательского интерфейса осуществляет доступ к системе; radius - учётная запись, под которой входит в систему сервер RADIUS.

Как и обычных пользователей, системных пользователей можно объединять в группы. Для каждой группы системных пользователей настраивается политика безопасности. Политика безопасности - это набор прав на исполнение системных функций. С точки зрения политик безопасности, можно выделить следующие типовые группы системных пользователей: администраторы (полные права), кассиры (пополнение лицевых счетов пользователей), бухгалтеры (доступ к отчётам системы) и другие.

Если системный пользователь входит в состав нескольких системных групп, то действует правило добавления: пользователь имеет суммарные привилегии всех групп, членом которых он является.

Создание системной учётной записи

При создании системной учётной записи обязательными параметрами являются логин и пароль. Можно указать IP-адрес компьютера или подсеть, из которой разрешается доступ пользователю. Создаваемую учётную запись можно сразу включить в одну или несколько системных групп.



трафика, услуги коммутируемого доступа, услуги хотспот и услуги телефонии. Каждая услуга имеет название и уникальный целочисленный идентификатор.

Подключение услуг

Подключенная услуга - это «сервисная связка». При подключении услуги создается запись в таблице service_links и в со-

ответствии с типом услуги записи в таблицах periodic_ser-vice_links, iptraffic_service_links, hotspot_service_ links, dialup_service_links, once_service_links. Если услуга не разового типа, то также создается запись в таблице

periodic_service_links.

Удаление услуги

Для того чтобы удалить услугу, необходимо произвести следующие действия.

1. Отключить все подключения этой услуги ко всем лицевым счетам.

2. В разделе (Тарификация | Услуги) выбрать нужную услугу (она должна иметь статус «обычная услуга») и нажать кнопку «Удалить».

Разовые услуги

Стоимость разовой услуги списывается с лицевого счёта абонента единовременно при оказании услуги.

Тарификация



трафика В настройках услуги передачи IP-трафика в свойствах услуги указываются стоимость её периодической составляющей, количество предоплаченного трафика и стоимость трафика сверх предоплаченного. В стоимости трафика, составляющего превышение предоплаченных единиц, можно указать несколько диапазонов с различной стоимостью. Сначала добавляется граница с размером 0 и указывается стоимость - это стоимость трафика после исчерпания предоплаченного. После этого можно указать другую границу для того же класса трафика, например, 104 857 600 байт, которая будет указывать на стоимость трафика, потребленного после использования предоплаченного трафика плюс 104 857 600 байт.



трафика» необходимо классы трафика объединить в группу. При этом средства будут списываться только за тот класс трафика, которого пользователь потребил больше.



килобайт, M - мегабайт, G - гигабайт.

Чтобы данные обозначения корректно обработались системой, необходимо отметить галочку “HS”. Например, если в поле «Количество» ввести следующую строку:

1G 100M 100К

То система пересчитает данную строку в байты по следующей формуле:

1 * (1024^Л3) + 100 * (1024^л2) + 100 * 1024 = 1178701824 байт.

При этом количество байт в килобайте будет выбрано из параметра bytes_in_kbyte в разделе настройки. По умолчанию в килобайте 1024 байт. Соответственно в мегабайте 1024 во второй степени и в гигабайте 1024 в третьей степени.

При подключении услуги данного типа к лицевому счёту пользователя необходимо указать IP-адреса, назначенные пользователю (IP-группы). По ним будет происходить соотнесение трафика и пользователя при тарификации потока NetFlow.



группы указаны логин и пароль, то эти данные будут автоматически переданы серверу RADIUS и по ним будет возможно установление VPN-соединения. В случае, если указано поле «Разрешённые CID», то при подключении пользователя по VPN либо Dial-up это значение будет сравниваться с атрибутом RADIUS Calling-Station-Id (31). Обычно в этом атрибуте записывается адрес вызывающей станции (компьютера клиента). В случае VPN это может быть IP-адрес, в случае PPPoE это может быть MAC-адрес, в случае Dial-up это может быть телефонный номер вызывающего абонента.

Ответственность за заполнение этого поля полностью лежит на сервере доступа. Если не будет найдено точного совпадения между значением, указанным в поле «Разрешённые CID» и тем, что указано в радиус атрибуте Calling-Station-Id, то авторизация не пройдёт и пользователь не сможет воспользоваться услугой.

Более подробную информацию о настройке серверов доступа можно найти в документации «Модуль коммутируемых и VPN-соединений».

При подключении услуги данного типа к лицевому счёту пользователя можно указать, каким образом списывать средства за периодическую составляющую услуги, а так же какой объем предоплаченного трафика предоставлять. Управление осуществляется галочками: ППТ - пересчитывать предоплаченный трафик и ПАП - пересчитывать абонентскую плату.

Примеры

1. Если не отмечены обе галочки, то за оставшееся время в текущем учетном периоде будет списан полный объем абонентской платы и предоставлен полный объем предоплаченного трафика. Например, услугу с периодической составляющей в 10 у. е. и 100 МБ предоплаченного трафика подключаем 15-го числа, при этом учетный период длится с 1-го числа по 1-е число. В этом случае с пользователя будет списано 10 у. е. и будет предоставлено 100 МБ трафика.

Тарификация

2. Если не отмечена галочка ППТ, а галочка ПАП отмечена, то за оставшееся время в текущем учетном периоде будет списана часть абонентской платы пропорционально оставшемуся времени и предоставлен полный объем предоплаченного трафика. Например, услугу с периодической составляющей в 10 у. е. и 100 МБ предоплаченного трафика подключаем 15го числа, при этом учетный период длится с 1го числа по 1е число (длительность месяца 30 дней). В этом случае с пользователя будет списано 5 у. е. и будет предоставлено 100 МБ трафика.

3. Если не отмечена галочка ПАП, а галочка ППТ отмечена, то за оставшееся время в текущем учетном периоде будет списан полный объем абонентской платы и предоставлен объем пре-

доплаченного трафика пропорционально оставшемуся времени. Например, услугу с периодической составляющей в 10 у. е. и 100 МБ предоплаченного трафика подключаем 15-го числа, при этом учетный период длится с 1-го числа по 1-е число (длительность месяца 30 дней). В этом случае с пользователя будет списано 10 у. е. и будет предоставлено 50 МБ трафика.

4. Если отмечены обе галочки, то за оставшееся время в текущем учетном периоде будет списана часть абонентской платы пропорционально оставшемуся времени и предоставлен объем предоплаченного трафика пропорционально оставшемуся времени. Например, услугу с периодической составляющей в 10 у. е. и 100 МБ предоплаченного трафика подключаем 15-го числа, при этом учетный период длится с 1-го числа по 1-е число (длительность месяца 30 дней). В этом случае с пользователя будет списано 5 у. е. и будет предоставлено 50 МБ трафика.

Аналогично галочки действуют при блокировках.

Классы трафика

Тарификация

Весь трафик, прошедший в сторону клиента или от него, разделяется на классы. Набор признаков, по которым происходит объединение записей о трафике в классы, задается при помощи определённых правил. Признаки, по которым можно объединять записи о трафике в классы, - это любые поля в записи NetFlow версии 5: принадлежность IP-адреса источника или получателя какой-либо сети, порт источника или получателя, автономная система источника или получателя, сетевой протокол, следующий маршрутизатор, TOS, TCP-флаги, интерфейс маршрутизатора, через который проходит пакет. Помимо этого запись о трафике можно отнести к тому или иному классу в зависимости от времени суток и дня недели.



трафика, как правило, достаточно завести три класса: «Входящий», «Исходящий» и «Локальный» трафик. Входящий трафик определяется как трафик из сети, составляющей всё множество IP-адресов (сеть 0.0.0.0 маска 0.0.0.0), в локальную сеть (например, сеть 10.0.0.0 маска 255.255.255.0). Исходящий трафик определяется как трафик от IP-адресов локальной сети в сеть 0.0.0.0/0.0.0.0. Для исключения учёта локального трафика как интернет-трафика следует создать класс трафика «Локальный», определяемый как трафик из локальной сети в эту же сеть. Для раздельного учёта трафика по другим признакам необходимо создавать класс трафика с указанием признака, по которому необходимо классифицировать трафик. В каждом классе можно указывать неограниченное количество правил для отбора записей о трафике. Эти правила называются подклассами.



либо классу определяется классификатором путём перебора «совместимости» записи о трафике с правилами, указанными в классах, начиная с класса трафика с максимальным идентификатором (id). Трафик маркируется первым совпавшим классом. Таким образом, классы трафика нужно размещать под такими номерами, чтобы идентификатор класса трафика, являющегося подмножеством другого класса трафика, был больше идентификатора последнего.

Например, используя приведенные выше обозначения, запись о трафике «от IP 10.0.0.5 к IP 10.0.0.10» попадает как под правила класса трафика «Входящий» (класс трафика 10), так и под правила классов трафика «Исходящий» (класс трафика 20) и «Локальный» (класс трафика 1000). Чтобы эта запись правильно обрабатывалась классификатором, классы нужно

Тарификация

расположить в порядке: «Входящий», «Исходящий», «Локальный». В этом случае запись о трафике будет помечена как класс трафика 1000 («Локальный» трафик).

Если отмечена галочка «Не сохранять», то детальная информация по трафику данного класса не будет сохраняться в базу данных с детальным трафиком. Данная опция будет полезна для трафика, стоимость которого равно нулю или детализация по которому не понадобится. Таким трафиком может быть, например, локальный трафик. Данный функционал позволяет уменьшить размер базы данных с детальным трафиком.

Если отмечена галочка «Пропустить», то совпадающий с указанным шаблоном трафик не будет маркироваться данным классом. При этом продолжается сравнение с другими классами трафика. Данная схема удобна в том случае, если необходимо отдельный адрес из всей сети выделить в отдельный класс трафика.

Пример работы классов трафика

В системе присутствует абонент с IP-адресом 10.0.0.10. При этом данный абонент осуществил закачку 50 МБ с сайта www. netup.ru (IP-адрес сайта 195.161.112.6).

Ниже приводится последовательность действия системы для определения класса трафика.

Тарификация

1. Проверяется совпадение с классом трафика с наибольшим идентификатором. Идентификатор класса трафика: 1000. Название класса: «Локальный». Направление из сети 10.0.0.0/255.0.0.0 в сеть 10.0.0.0/255.0.0.0.

2. Трафик с адреса 195.161.112.6 к адресу 10.0.0.10 не попадает под данные условия. Следовательно, система проверяет совпадение со следующим по убыванию идентификатора классом трафика. Идентификатор класса трафика: 20 Название класса: «Исходящий». Направление из сети 10.0.0.0/255.0.0.0 в сеть 0.0.0.0/0.0.0.0.

3. Трафик с адреса 195.161.112.6 к адресу 10.0.0.10 не попадает под данные условия. Следовательно, система проверяет сов-

падение со следующим по убыванию идентификатора классом трафика. Идентификатор класса трафика: 10. Название класса: «Входящий». Направление из сети 0.0.0.0/0.0.0.0 в сеть 10.0.0.0/255.0.0.0. Трафик с адреса 195.161.112.6 к адресу 10.0.0.10 попадает под данные условия. На этом система заканчивает поиск класса трафика и маркирует данный трафик классом 10.

Соотнесение трафика на пользователей

После определения класса трафика производится определение пользователя, для которого будет тарифицирован данный трафик. Определение производится по IP-адресам, указанным в прикреплённой к пользователю услуге «Передача IP-трафика». Если к пользователю прикреплена группа IP-адресов, то соотнесение будет происходить для всей группы.

В том случае, если происходит обмен данными между пользователем системы и внешними сетями, происходит тарификация как входящего, так и исходящего трафика согласно стоимости, указанной в параметрах услуги «Передача IP-трафика».

В случае передачи данных между двумя пользователями системы, каждому из пользователей будет приписан и соответствующим образом тарифицирован входящий для него трафик.

Тарификация

Например, к пользователям А и Б подключена услуга «Передача IP-трафика». К пользователю А прикреплён IP-адрес 10.0.0.10 (маска сети - 255.255.255.255), а к пользователю Б - IP-сеть 10.1.20.0 (маска сети - 255.255.255.0). В UTM поступила следующая информация от коллектора:

ІР-адрес источника	ІР-адрес получателя	Объём трафика
195.161.112.6	10.0.0.10	10МБ
195.161.112.6	10.1.20.34	15МБ
10.0.0.10	10.1.20.1	20МБ
10.1.20.1	10.0.0.10	30МБ

Основываясь на этих данных, UTM припишет и тарифицирует 10 МБ входящего трафика для пользователя А (строка

1), 15 МБ входящего трафика для пользователя Б (строка 2), 20 МБ входящего трафика для пользователя А (строка 3) и 30 МБ входящего трафика для пользователя Б.

Агрегация трафика

Для более экономного использования ресурсов базы данных производится процесс агрегирования поступающих записей по протоколу NetFlow ?. 5. Агрегирование производится по полям «Сервисная связка» (slink_id), «IP-адрес» (ipid), «Класс трафика» (tclass), «Идентификатор расчётного периода» (discount_period_id). Запись в базу данных агрегированного трафика происходит периодически через количество секунд указанное в настройках в поле traffic_agregation_interval. Если в течение указанного времени придёт два пакета, у которых параметры slink_id, ipid, tclass, discount_period_id совпадают, то они будут объединены в одну запись. В итоге в базе данных в таблице discount_transactions_iptraffic_ all будет одна запись, а не две.

Запись агрегированного трафика в базу данных происходит также, если количество средств на лицевом счёте клиента стало меньше кредитного предела, в случае закрытия расчётного периода, либо если к списанию накоплено средств больше, чем указано в настройках в поле aggregation_todisc_bar-rier.

Тарификация

В связи с агрегацией трафика может возникнуть ситуация, когда в разделе (Отчёты | Детальный отчёт по трафику) записи появляются сразу, после того как их передал в ядро коллектор, но списания с лицевого счёта за этот трафик не производится и в разделе (Отчёты | Отчёт по трафику) новые записи не появляются. В этом случае необходимо выполнение следующих условий:

1. Дождаться, когда истечёт интервал агрегации (по умолчанию время traffic_agregation_interval равно 15 минутам).

2. Дождаться, когда стоимость агрегированного трафика превысит барьер агрегации (по умолчанию aggregation_todisc_ barrier равен 5 условным единицам).

3. Дождаться, когда баланс лицевого счёта перейдет через лимит либо 0. В этом случае произойдет сброс агрегированного трафика и произойдет списание средств.

Примеры тарификации трафика

1. Пусть в системе существуют три класса трафика с идентификаторами 10 («Входящий»), 20 («Исходящий») и 1000 («Локальный»). Так же создана услуга IP-трафик, согласно которой стоимость трафика от 0 до 100 МБ (104857600 байт) по 1 у. е./ МБ, от 100 МБ до 1000 МБ (1048576000 байт) по 0.9 у. е./МБ и выше по 0.07 у. е./МБ.

Если пользователь в течение одного расчётного периода скачал меньше 100 МБ «Входящего» трафика, то стоимость составит 1 у. е. за каждый мегабайт.

Если пользователь в течение одного расчётного периода скачал больше 100 МБ, но меньше 1000 МБ «Входящего» трафика, то стоимость составит 1 у. е. за каждый мегабайт от 0 до 100 МБ и по 0.9 у. е. за каждый мегабайт свыше 100 МБ.

Если пользователь в течение одного расчётного периода скачал больше 1000 МБ «Входящего» трафика, то стоимость составит 1 у. е. за каждый мегабайт от 0 до 100 МБ, по 0.9 у. е. за каждый мегабайт от 100 до 1000 МБ и по 0.07 у. е. за каждый мегабайт свыше 1000 МБ.

Итоговый отчет при потреблении более 1000 МБ «Входящего» IP-трафика будет выглядеть следующим образом:

Тарификация



100 у. е. Стоимость превышения - 1 у. е. за мегабайт. Неизрасходованный трафик не переносится на следующий расчетный период.

В данном случае периодическая стоимость услуги выставляется 100 у. е. В границах по трафику прописываются две записи. Первая - граница 0, стоимость 0. Вторая - 104 857 600 байт - стоимость 1.

Количество предоплаченного трафика равно нулю.



100 у. е. Стоимость превышения - 1 у. е. за мегабайт. Неизрасходованный трафик переносится на следующий расчетный период.

Стоимость услуги выставляется 100 у. е., предоплаченные единицы (для входящего трафика) - 104 857 600. В границы заносится одна запись: граница - 0 байт, стоимость - 1 у. е.

Группы IP-адресов

адресов, присвоенных пользователям, реализовано в системе в виде списка групп IP. В списке указываются сеть, присвоенная пользователю (IP-адрес и маска сети), и логин.

Временные диапазоны

Для настройки зависимости стоимости услуг от времени суток или дней недели используются временные диапазоны.

Тарификация

ременного доступа можно задавать в зависимости от времени суток и дней недели, в которые оказывается услуга.



адресов на сервере доступа. Более подробная информация по настройке серверов доступа приведена в документации «Модуль коммутируемых и VPN-соединений».

Примеры

1. Стоимость услуги с 00 часов 00 минут до 08 часов 00 минут каждого дня составляет 10 р. за час. Стоимость услуги с 08 часов 00 минут до 23 часов 59 минут каждого дня составляет 20 р. за час.

Тарификация

В системе заводятся два временных диапазона - с 00:00 до 07:59, все дни недели - «Ночной» и с 08:00 до 23:59, все дни недели - «Дневной». При добавлении услуги периодическая стоимость выставляется 0, и добавляются две позиции: временной диапазон «Ночной» со стоимостью 10 р. и временной диапазон «Дневной» со стоимостью 20 р.

2. Ночной неограниченный доступ. Стоимость услуги - 500 р. в месяц.

Периодическая стоимость услуги выставляется 500 р. Выставляется стоимость временного диапазона «Ночной», равная нулю. Диапазон «Дневной» не добавляется. В этом случае днем авторизация пользователя будет невозможна.

Тарификация IP-трафика при динамическом распределении IP-адресов

В случае если IP-адреса абонентам распределяются из пула IP-адресов, то в этом случае применяется особая схема настройки биллинговой системы.

Необходимо настроить пулы IP-адресов либо в биллинговой системе либо на сервере доступа. Описание настройки пулов на сервере доступа Cisco можно посмотреть в разделе «Модуль коммутируемых и VPN-соединений». В биллинговой системе пулы настраиваются в разделе «Настройки» - «IP-пулы».

После настройки пулов необходимо создать тарифный план с услугами «Передача IP-трафика» и «Коммутируемый доступ». В настройках услуги «Коммутируемый доступ» необходимо указать стоимость соединения 0 у.е./час, а так же указать наименование существующего пула IP-адресов. Во всех услугах должна быть отмечена галочка «Подключать по умолчанию».



трафика» можно указать любой IP-адрес из неиспользуемой сети (например, сетей 172.16.0.0, 10.0.0.0, 192.168.0.0).

При авторизации абонента на сервере доступа будет использоваться логин и пароль из настроек услуги «Коммутируемый доступ». При успешной авторизации сервер доступа устано-

вит соединение и произведет динамическую выдачу абоненту IP-адреса из пула. Этот адрес будет динамически привязан к услуге «Передача IP-трафика» данного абонента. Таким образом, биллинговая система всегда содержит актуальную информацию о том, какой IP-адрес используется в данный момент абонентом и может корректно соотносить по абонентам приходящую с сервера доступа статистику.

Расчётные периоды

Расчётный период - это период времени, в течение которого производится удержание средств с лицевых счетов пользователей за периодические услуги. Каждый пользователь, лицевой счёт, услуга и тарифный план имеют свои расчётные периоды.

Стандартные расчётные периоды: ежедневный, еженедельный, ежемесячный, ежеквартальный, ежегодный, период с фиксированным числом дней.

Ведение общего справочника расчётных периодов позволяет вести расчеты со всеми либо группами абонентов в одно и то же время, например, с первого по первое число каждого месяца.

Тарификация

При закрытии расчётного периода осуществляется подведение итогов: пересчёт абонентской платы и предоплаченного трафика с учётом блокировок, перенос неистраченного предоплаченного трафика на следующий расчётный период, выписка счетов. При закрытии производится продление расчётного периода без участия оператора. Например, если имеется расчётный период с длительность 1 месяц и производится его закрытие 1 сентября 2004 года, то данный период будет автоматически продлен до 1 октября 2004 года и так далее.



трафика» это будут позиции, соответствующие суммарной стоимости переданного объёма информации за весь расчётный период), ещё и позицию, соответствующую периодической составляющей услуги на следующий расчётный период (абонентская плата за следующий расчётный период). При такой схеме работы система также генерирует счёт на оплату и при подключении услуги к лицевому счёту пользователя, такой счёт будет содержать единственную позицию - периодическую составляющую подключаемой услуги (абонентскую плату). Вышеописанная схема выставления счетов работает только при выполнении следующих условий: пользователь работает по предоплате и подключаемая услуга имеет в качестве значения параметра «Метод снятия денег» - «В начале расчётного периода», то есть в счета на оплату включается абонентская плата за следующий расчётный период только при выполнении вышеуказанных условий.

Для того чтобы регламентировать работу с пользователем по схеме предоплаты, необходимо в окне редактирования пользователя в закладке «Основные параметры» выставить галочку «Работа по предоплате».

Налоговые ставки

Налоговые ставки задаются в разделе редактирования данных абонента. Имеется возможность задать ставку налога на добавленную стоимость (НДС) и налога с продаж (НСП). Стоимость всех услуг указывается без НДС и НСП. При списаниях за услуги так же будет вычислена и списана сумма налогов.



100 у. е. Ставка НДС указана 18 %, ставка НСП - 0 %. Со счёта абонента за эту услугу будет списано (100*1.18) * 1.00 = 118 у. е., из которых 18 у. е. составляют налоги.

Тарификация

2. Стоимость разовой услуги -100 у. е. Ставка НДС указана 0 %, ставка НСП - 0 %. Со счёта абонента за эту услугу будет списано (100*1.0) * 1.0 = 100 у. е., из которых налоги составляют 0 у. е.

Валюты

Система поддерживает работу с любым количеством валют. Все лицевые счета и расчеты ведутся в условных единицах. По умолчанию, условная единица равна российскому рублю. При добавлении или редактировании валюты указываются её идентификатор, сокращённое название, полное название, курс по отношению к условной единице и произвольный про-

центный коэффициент, на который умножается официальный курс валюты для получения внутреннего курса провайдера. Также в окне редактирования валюты доступна история изменения курса.



это набор определённых телефонных направлений.



адреса в услуге «Передача IP-трафика».

Несовместимые тарифные планы система также может переключать, но услуги, которых нет в тарифном плане следующего учётного периода, будут удалены.

Услуги группируются посредством родительской услуги. В этом случае можно выделить 3 группы услуг.

1. Простейшие услуги, не включаемые в состав тарифного плана. Подключение таких услуг производится напрямую.

2. «Фиктивные» услуги, которые не содержат в себе полезной информации, кроме названия, и только играют роль родительских для услуг третьей группы.

3. Услуги, имеющие родителя и находящиеся в составе тарифного плана.



2, в состав которого входит услуга Б. Для того, чтобы произошёл корректный перенос всех параметров подключенной услуги А, необходимо, чтобы обе услуги А и Б имели общую родительскую услугу В, как показано на рисунке.

В течение текущего учётного периода идентификатор тарифного плана следующего учётного периода можно менять без ограничений, но переключение тарифного плана произойдёт только при закрытии учётного периода.

Краткое описание таблиц базы данных, отвечающих за тарификацию

service_links

id - сквозной идентификатор услуги, появляется также в таблицах *_service_link.

user_id - идентификатор пользователя из таблицы users.

account_id - идентификатор лицевого счёта пользователя из таблицы accounts.

service_id - идентификатор услуги.

is_deleted - если услуга отключается от пользователя, то is_ deleted устанавливается в ненулевое значение.

periodic_service_links

is_blocked - битовая маска, характеризующая блокировку.

discount_period_id - идентификатор расчётного периода.

Тарификация

discounted_in_curr_period - сколько было списано со счёта за эту услугу в текущем расчётном периоде.

start_date - дата начала предоставления услуги. В момент наступления start_date is_planned переводится в 0.

is_planned - пока услуга находится в планируемом состоянии, средства за неё списываться не будут. Услуга является планируемой, если значение в этом поле равно нулю.

need_del - услуга требует удаления. При наступлении даты большей, чем expire_date поле need_del устанавливается в 1.

Любая периодическая услуга имеет расчётный период (dis-count_period), при закрытии которого проверяется поле need_del. Если need_del не равно нулю, то услуга отключается от лицевого счёта пользователя.

iptraffic_service_links

ip_group_id - идентификатор группы IP-адресов. downloaded_id - идентификатор в таблице downloaded. downloaded

Таблица описывает, сколько трафика каждого класса скачал пользователь в текущем расчётном периоде.

downloaded_id - идентификатор из iptraffic_service_ links.

tclass_id - идентификатор класса трафика.

qnt - количество скачанного трафика в байтах.

old_prepay - количество предоплаченного трафика, который был перенесён из предыдущего расчётного периода.

ip_groups

Тарификация

ip_group_id - идентификатор группы IP-адресов. Допускается наличие нескольких записей с одинаковым ip_group_id.

ip - IP-адрес.

mask - маска подсети.

uname - имя пользователя.

upass - пароль. mac - MAC-адрес.

discount_periods

Информация обо всех расчётных периодах, зарегистрированных в системе, находится в базе данных в этой таблице.

id - идентификатор расчётного периода.

start_date - начало расчётного периода в формате UNIX timestamp.

end_date - дата окончания расчётного периода.

periodic_type - тип расчётного периода. Используется при вычислении длительности следующего расчётного периода. Возможные следующие значения: 1 - ежедневный расчётный период, 2 - еженедельный, 3 - ежемесячный, 4 - ежеквартальный, 5 - ежегодный, 0x100000 - фиксированное количество дней.

canonical_len - длина расчётного периода в секундах, заполняется при создании расчётного периода и в дальнейшем не изменяется. Цель данного поля - правильный пересчёт абонентской платы и предоплаченного трафика, когда были изменены границы расчётного периода.

is_expired - устанавливается не ноль, когда end_date больше, чем текущее время.

Тарификация

Платежи Поддержка нескольких валют

АСР NetUP UTM поддерживает работу с любым количеством валют. Курсы валют указываются, по умолчанию, по отношению к российскому рублю. Более подробно смотрите в разделе (Тарификация | Валюты).

Персональные настройки валюты абонента

АСР NetUP UTM предоставляет провайдеру возможность настройки валюты и её коэффициента для каждого абонента в отдельности.

Закреплённая валюта

Настройка валюты заключается в закреплении за абонентом валюты, в которой будут происходить операции взаиморасчетов между провайдером и абонентом.

NetUP UTM поддерживает смену в любой момент времени закреплённой за абонентом валюты на любую другую, зарегистрированную в системе. В результате смены валюты все счета на оплату услуг будут отображаться во вновь выбранной валюте, не зависимо от того, были ли они сгенерированы системой до момента смены валюты или же после.

По умолчанию закреплённая валюта абонента есть российский рубль.

Платежи

Смена закрепленной валюты производится администратором или оператором АСР NetUP UTM через центр управления. Для этого необходимо во вкладке «Дополнительно» окна детализации пользователя выбрать из списка «Основная валюта» необходимую валюту, затем сохранить выбор путем нажатия кнопки «Сохранить» на панели управления этой вкладки.

Персональный коэффициент валюты

Персональный коэффициент валюты - персональная настройка абонента, регламентирующая процент увеличения или уменьшения суммы оплаты услуг провайдера абонентом при внесении платежа на основании счета, в валюте, отличной от закреплённой. Смена персонального коэффициента производится администратором или оператором АСР NetUP UTM через центр управления. Для этого необходимо во вкладке «Дополнительно» окна детализации пользователя выставить значение, от 0 до 100, и знак, «+» или «-», процента, затем сохранить значение путем нажатия кнопки «Сохранить» на панели управления этой вкладки.

Пример

Закрепленная валюта - 840, доллар США (USD); персональный коэффициент +10%; оплата на основании счёта за услугу стоимостью 300.00 российских рублей; курс USD - 29,9441; ввод платежа осуществляется в российских рублях.

Исходя из начальных условий, счёт выставлен на сумму 10.02USD. Счёт выглядит следующим образом.

Плателхпдо: , ИНН Ватт: $40 • USDfUSA Dollar), Курс: Курс ЦБ Р4 на день оплаты

# То* ар Цена Кол-во Ед Сулша 1 Подключение^) 10.02 1.000 10.02

Сулила 10.02

Сулила налогов 0.00

Итого 10.02

Платежи

После выбора данного счета в качестве основания платежа, диалог «Внести платеж» содержит следующие данные:



10%, тогда при оплате этого же счёта в рублях абоненту пришлось бы заплатить не 330.00 рублей, а 270.00 рублей, при этом на счёт абонента поступили бы средства в размере 300.00 рублей. Таким образом, провайдер оплачивает часть стоимости услуги в размере 10% за свой счет.

Платежи

Ввод платежей

Платежи в системе могут вводиться несколькими способами, а именно:

• автоматический ввод платежей на лицевой счет абонента при оплате абонентом услуг провайдера через расчётную систему «Рапида»;

• автоматический ввод платежей на лицевой счёт абонента из стороннего программного обеспечения;

• ручной ввод платежа администратором системы (оператором) посредством центра управления UTM.

Оплата через систему «Рапида»

Абонент пополняет свой лицевой счёт посредством платёжной системы «Рапида», например, через кассу в супермаркете. Расчётная система Рапида после приема информации от абонента (идентификационные данные абонента, сумма платежа, основание платежа и т. п.), для краткости - ИПА (Информация о Платеже Абонента), оповещает систему о факте ввода платежа абонентом посредством сообщения, содержащего ИПА в виде файла. Система разбирает сообщение и вносит на счёт абонента сумму платежа, указанную в сообщении. После внесения платежа на счёт система уведомляет абонента о приёме платежа, путём отправки сообщения на адрес электронной почты.

Для предоставления провайдером возможности внесения платежей через платёжную систему «Рапида» для своих абонентов, он должен заключить договор с системным интегратором, предоставляющим техническое подключение к системе «Рапида».

Платежи

Схема взаимодействия между участниками операции ввода платежа отображена на рисунке.

Технические детали взаимодействия АСР NetUP UTM с платёжной системой «Рапида» смотрите в разделе «Приём платежей в АСР NetUP UTM через платёжную систему «Рапида».

Ввод платежа посредством стороннего ПО

В АСР NetUP UTM предусмотрена возможность ввода платежа на счёт абонента, исходя из данных, находящихся в стороннем ПО - программное обеспечение и автоматизированные системы, не имеющие отношения к UTM. Такой способ ввода платежей осуществляется на базе модуля ввода платежей через расчётную систему «Рапида». Для ввода платежа стороннее ПО должно иметь возможность генерировать файлы с информацией о платеже, структура которых в точности совпадает со структурой сообщений от расчётной системы «Рапида». Разница между этим методом и методом ввода платежей через расчётную систему «Рапида» состоит в том, что сообщение (файл), содержащее ИПА, генерируется не системой «Рапида», а именно сторонним ПО. Для доступа АСР NetUP UTM к этому сообщению достаточно его поместить в системную папку, из которой модуль ввода платежей через расчётную систему «Рапида» получает доступ к сообщениям о платежах от «Рапида».



выбрать абонента из списка пользователей и выбрать операцию «Внести платёж».

Второй вариант - выбрать операцию «Внести платёж» в окне детализации информации по пользователю (абоненту). Нажатие кнопки «Внести платёж» инициирует вызов диалога «Внести платёж».



сумма платежа;

• Валюта - валюта ввода платежа;

• Дата платежа - дата ввода платежа, по умолчанию - текущая дата;

• Коммент. для админ. - комментарий о платеже для администратора системы;

• Коммент. для пользов. - комментарий о платеже для абонента системы;

• Метод платежа - метод ввода средств на счет абонента, по умолчанию - Оплата наличными;

Платежи

• Номер плат. документа - номер платёжного документа - номер внешнего (не системного) платёжного документа, являющегося основание ввода платежа, например, номер счёта выписанного из какой-либо бухгалтерской программы или выписанного какой-либо организацией;

• Платеж по счёту - внутренний номер счёта (номер счёта внутри системы), по которому производится оплата. Если счёт выбран, то он является основанием платежа.

Флаг «Turn on met» означает, что интернет должен быть включен для пользователя, если это позволяет его баланс после проведения платежа. Если галочка «Turn on inet» не отмечена, то статус интернета для пользователя меняться не будет. Значение этого флага по умолчанию может быть задано в конфигурационном файле utm5admin.cfg, находящемся в текущей директории, при помощи параметра payment_inet_switch. Параметр может принимать значения on (галочка отмечена по умолчанию) и off (галочка не отмечена по умолчанию).

Ввод платежа без основания

Ввод платежа без основания соответствует пополнению счёта абонента. Для ввода платежа достаточно ввести сумму платежа, указать дату платежа и указать метод платежа «Оплата наличными», метод не обязательно должен быть таковым.

Ввод платежа на основании счёта

Для ввода платежа на основании внутреннего счёта системы, который генерируется по окончании расчётного периода, закреплённого за абонентом, достаточно выбрать счёт из списка неоплаченных счетов, выставленных абоненту в диалоге «Счета». Диалоговое окно вызывается путём нажатия кнопки «Выбрать» в строке «Платёж по счету».



жа) необходимо в поле «Метод платежа» выбрать «Кредит» и в поле «Истекает» выбрать дату, до которой этот платеж должен быть погашен. С момента внесения платежа пользо-вателю открывается кредит на указанную сумму. Если за указанный промежуток времени пользователь внес обещанные средства, то кредит снимается с пометкой «успешно за-крыт». В этом случае оператор связи может позволить пользователю и в дальнейшем вно-сить обещанные платежи т.к. у него положительная кредитная история. В случае если деньги не были внесены, то кредит закрывается со статусом «неуспешно закрыт». В даль-нейшем оператор связи может запретить этому пользователю вносить обещанные плате-жи.

Откат платежа

В АСР NetUP UTM реализована функция отката платежа. Операция отката платежа производится администратором или оператором АСР NetUP UTM через центр управления.

Операция осуществляется в отчёте по платежам (Отчёты | Платежи) в главном окне приложения или в окне детализации пользователя. Далее необходимо сформировать отчёт за выбранный период времени, выбрать в таблице нужный платёж и вызвать всплывающее меню нажатием правой кнопки мыши. В меню необходимо выбрать пункт «Откат». Наиболее простая навигация по платежам абонента осуществляется через окно детализации пользователя, так как в нем в отчете по платежам отображается информация о платежах в пользу конкретного абонента.

После применения процедуры отката платежа, с лицевого счёта абонента снимется сумма равная фактической сумме платежа, поступившей на счёт абонента (см. пример в подразделе «Персональные настройки валюты абонента»).

Отчёты

Система поддерживает все основные виды отчётов, необходимых для ведения успешной операторской деятельности. Отчёты могут быть сформированы как по одному конкретному пользователю, так и по всем пользователям сразу. Можно выбрать любой промежуток времени, за который необходимо создать отчёт. Сформированные отчёты можно записать во внешний файл формата XML.

Основной отчёт

Основной отчёт (оборотная ведомость) суммирует списания с лицевых счетов пользователей за оказание различных услуг за заданный промежуток времени.

В основной отчёт входят следующие данные:

• номер лицевого счёта;

• входящий остаток;

• сумма списаний за разовые услуги;

• сумма списаний за периодические услуги;

• сумма списаний за услугу передачи IP-трафика;

• сумма списаний за услугу хотспот;

• сумма списаний за услугу коммутируемого доступа;

• сумма списаний за услугу телефонии;

• сумма налогов;

• общая сумма с учётом налогов;

• сумма осуществлённых платежей;

• исходящий остаток.

Отчёты

Отчёт по трафику

Отчёт по трафику суммирует объёмы переданного IP-трафика для каждого лицевого счёта и класса трафика за заданный промежуток времени.

В отчёт по трафику входят следующие данные:

• номер лицевого счёта;

• логин;

• количество байт в килобайте;

• класс трафика;

• объём переданного трафика в мегабайтах;

• цена за единицу переданного трафика (стоимость 1 МБ трафика);

• сумма списания с лицевого счёта пользователя.

Графический отчёт по трафику

Графический отчёт по трафику служит для визуального представления предыдущего отчёта и представляет собой график зависимости потребления различных классов трафика всеми пользователями от времени за выбранный период. Так же в этом отчете доступна информация по максимальной, минимальной и средней скорости потребления IP-трафика.

Детальный отчёт по трафику

Детальный отчёт по трафику строится на базе исходных данных о переданном трафике и включает детализированную информацию:

• дата;

• идентификатор прикреплённой услуги;

• номер лицевого счёта;

• класс трафика;

• IP-адрес и порт источника;

• IP-адрес и порт получателя;

• количество переданных пакетов;

• количество переданных байт;

Отчёты

• флаги TCP;

• протокол;

• TOS.

За большие промежутки времени накапливается огромное количество статистики, поэтому создание такого детализированного отчёта может занять длительное время. Для создания отчёта за большой промежуток времени мы рекомендуем воспользоваться опцией «Отчёт по трафику».

Отчёт по услугам

Отчёт по услугам суммирует информацию о списаниях с лицевых счетов пользователей за оказание конкретных услуг за определённый промежуток времени. В отчёте присутствуют:

• номер лицевого счёта;

• дата списания средств с лицевого счёта;

• расчётный период;

• тип услуги;

• название услуги;

• объём оказанной услуги;

• комментарий к списанию.

Отчёты по модемным сессиям, VPN и телефонии

Отчёт по модемным сессиям и сессиям VPN базируется на статистике сервера RADIUS и суммирует данные о сессиях коммутируемого доступа. В отчёте присутствуют:

• идентификатор сессии;

• номер лицевого счёта;

• дата и время начала сессии;

• дата и время окончания сессии;

• выданный IP-адрес;

• вызывающий абонент;

• вызываемый абонент;

• порт сервера доступа (NAS);

• идентификатор сессии на сервере доступа;

• логин;

Отчёты

• IP-адрес сервера доступа;

• статус сессии;

• объём входящего трафика;

• объём исходящего трафика;

• длительность сессии;

• объём списанных средств.

Отчёт по телефонии аналогичен отчёту по модемным сессиям, но содержит дополнительную информацию:

Отчёты

84

¦ телефонная зона;

¦ направление звонка.

Отчёт по платежам

Отчёт по платежам представляет информацию о зачисленных на лицевые счета пользователей средствах за заданный промежуток времени. В отчёте присутствует следующая информация:

• номер лицевого счёта;

• фактическая дата платежа;

• дата введения платежа в систему;

• сумма платежа в валюте системы;

• сумма платежа в валюте оплаты;

• валюта оплаты;

• метод осуществления платежа;

• лицо, внёсшее платеж;

• комментарий к платежу.

Так же в отчете по платежам имеется возможность отменить любой платеж.

Отчёт по блокировкам

Блокировка - это приостановка предоставления одной или нескольких услуг. Блокировка может применяться к клиенту (блокируются все счета клиента), к счёту (блокируются все ус-



значение». В списке можно как редактировать существующие параметры, так и добавлять новые.

Описание доступных параметров:

raw_max_fi1es

Максимальное количество файлов с детальной информацией о переданном трафике. Если число файлов больше, чем указано, то старые файлы удаляются. Значение по умолчанию: 10.

raw_max_size

Максимальный размер каждого файла с детальной статистикой о переданном трафике. Значение по умолчанию: 100 000 000 байт (около 100 МБ).

raw_prefix

Путь к файлам с детальной статистикой о прокачанном трафике. Значение по умолчанию: /netup/utm5/db.

Настройки

В этой директории создаются и хранятся файлы со статистикой. В каждом файле хранятся данные о трафике за период, предшествующий цифре в названии файла (дата в формате Unix timestamp). Названия файлов имеют вид iptraffic_raw_ unixtimestamp.dbs.

Примеры названий файлов:

iptraffic_raw_107 0957 880.dbs iptraffic_raw_107 0957930.dbs iptraffic_raw_107 0957 980.dbs

raw_c1eanup_s1eep

Периодичность удаления файлов с устаревшей детальной статистикой в микросекундах. Значение по умолчанию: 1800000000 (30 минут). В случае если по истечению заданного периода времени количество файлов с детальной статистикой превышает значение, указанное в переменной raw_max_ files, то самые старые файлы удаляются до тех пор, пока общее количество файлов с детальной статистикой не станет raw_max_files.

smtp_relay

IP-адреса сервера SMTP, через который производится отсылка уведомлений и почтовых сообщений. Значение по умолчанию: 127.0.0.1.

smtp_port

Порт сервера SMTP. Значение по умолчанию: 2 5. smtp_fqdn

Полное доменное имя при посылке почтовых сообщений. Значение по умолчанию: localhost.

smtp_sender

Адрес отправителя при посылке почтовых сообщений. Значение по умолчанию: admin@localhost.

smtp_subject

Тема сообщения при посылке почтовых сообщений. admin_email

Почтовый адрес администратора, на который будут высылаться сообщения об ошибках.

invoice_subject

Тема сообщения со счетом на оплату.

invoice_text

Настройки

87

Настройки



границы. Когда количество средств на счету переходит через одну из указанных границ, всем пользователям, владеющих этим лицевым счётом, высылается уведомление. Возможно указание нескольких значений.

notification_message

Текст уведомления, который будет отсылаться на e-mail пользователя при переходе баланса через границы указанные в notification_borders. В сообщении можно использовать следующие переменные:

FULL_NAME - полное имя абонента;

ACC0UNT_ID - идентификатор основного лицевого счёта абонента;

BALANCE - баланс основного лицевого счёта абонента на момент подготовки сообщения;

DATE - дата на момент подготовки сообщения;

EMAIL - адрес e-mail, на который производится отсылка.

notification_message_subject

Тема уведомления, которое будет отсылаться на e-mail пользователя при переходе баланса через границы, указанные в no-

tification_borders.

notification_message_from

Имя отправителя уведомления. Будет записано в поле From: сообщения.

discount_barrier

При плавном списании платы за периодические услуги со счёта не будут списываться суммы меньше чем discountjbarrier, чтобы не накапливалась арифметическая ошибка.

traffic_agregation_interval

Как часто производить сброс агрегированного трафика в базу. Значение по умолчанию - 900 секунд.

aggregation_todisc_barrier

Сбрасывать агрегированный трафик в базу, если агрегированного трафика больше, чем на указанную в этом поле сумму. Значение по умолчанию: 5.

flow_discounts_per_period

Количество списаний в расчётном периоде за периодические услуги, если выбран режим плавного списания.

flow_discount_random_coef

Настройки

Если у большого количества периодических услуг стоит плавный метод списания, увеличение этого параметра способствует балансировке нагрузки. Когда вычисляется время для следующего снятия средств, к нему прибавляется небольшая случайная величина, максимальное значение которой пропорционально этому параметру.

web_session_timeout

Указывает максимальное время, в течение которого хранится уникальный ключ сессии (SID) веб-интерфейса пользователя.

hotspot_refresh_timeout

Сколько времени действительна хотспот сессия, считая от последнего обновления страницы пользователем.

traffic_mult_coef

Коэффициент, на который умножается собранный трафик (поправочный коэффициент). Если не указывать эту строку, то коэффициент будет равен 1.

block_recalc_abon

Переменная задаёт порядок перерасчёта абонентской платы (периодической составляющей стоимости услуги) при автоматической блокировке лицевого счёта или пользователя. Может принимать следующие значения: 0 (абонентская плата должна быть списана даже за те промежутки времени, когда пользователь был заблокирован) и 1 (абонентская плата списывается только за время, когда пользователь не находится в состоянии системной блокировки).

block_recalc_prepaid

Настройки

Переменная задаёт порядок перерасчёта предоплаченных единиц (мегабайты трафика или минуты в случае услуг коммутируемого доступа, хотспот и телефонии) при автоматической блокировке лицевого счёта или пользователя. Может принимать следующие значения: 0 (предоплаченные единицы предоставляются в полном объёме, несмотря на блокировки пользователя) и 1 (производится перерасчёт предоплаченных единиц пропорционально тому времени, в течение которого пользователь не находился в состоянии системной блокировки).

radius_max_session_age

Переменная задаёт максимальный возраст открытых сессий, которые будут восстановле-ны из базы данных при старте сервера RADIUS. Сессия остаётся открытой в том случае, если

был получен пакет RADIUS Accounting-Start, но по какой-либо причине не пришёл пакет Accounting-Stop. Значение переменной задаётся в секундах. При значении 0 загрузка открытых сессий производиться не будет. Значение по умолчанию - 86400 (24 часа).

Конфигурационный файл ядра

Конфигурационный файл ядра биллинговой системы доступен по пути /netup/utm5/utm5.cfg. Файл состоит из строк вида

параметр=значение

В некоторых случаях возможно указание нескольких строк с одинаковым значением «параметр». Строки, начинающиеся с символа «#», считаются комментарием.

Список возможных параметров.

database_type

Тип базы данных. Возможны значения: mysql, postgres. database

Название базы данных. По умолчанию: UTM5. database_host

Адрес хоста, на котором располагается база данных. Значение по умолчанию: localhost.

database_login

Логин для доступа к базе данных.

database_password

Пароль для доступа к базе данных.

dbcount

Настройки

91

Количество соединений открываемых ядром биллинговой системы к базе данных. Значение по умолчанию 20.

urfa_bind_host

Адрес, на котором будет слушать сервер URFA. По умолчанию: 0.0.0.0 (на всех интерфейсах). Может быть несколько записей.

urfa_lib_file

Файл динамического модуля (.so), который будет загружен при старте ядра. Значения по умолчанию нет. Может быть указано несколько файлов. Путь может быть как абсолютным (/netup/utm5/lib/liburfa-utils.so), так и относительным (./liburfa/liburfa-utils.so, liburfa/liburfa-utils.so). В случае, если путь либо абсолютен, либо начинается с ./, перегрузка из центра управления UTM будет происходить корректно. Иначе будет загружен именно тот код, который был на момент запуска ядра.

nfbuffer_port

Порт, на котором ядро принимает поток NetFlow. По умолчанию: 9996.

nfbuffer_host

Хост, на котором будет прослушиваться UDP-порт для принятия NetFlow-потока. По умолчанию: 0.0.0.0 (все интерфейсы).

Настройки

log_level=3

Уровень протоколирования ядра. Число от 0 до 3, большие и меньшие значения будут сброшены до ближайшей границы. Значение по умолчанию - 1. Чем выше уровень, тем больше сообщений попадает в основной поток логов. Уровень 3 - всё, 2 - всё без информационных сообщений, 1 - всё без замечаний, 0 - только ошибки.

log_file_main

Файл записи журнала уровня информации, замечаний, предупреждений, ошибок.

1og_fi1e_debug

Файл записи журнала отладочного уровня.

1og_fi1e_critica1

Файл записи журнала уровня критических ошибок и сбоев.

Конфигурационный файл веб-интерфейса пользователя

Конфигурационный файл для веб-интерфейса пользователя называется /netup/utm5/web5.cfg. В данном файле записываются параметры доступа веб-интерфейса к ядру биллинговой системы.

Список возможных параметров. core_host

Адрес хоста, на котором запущено ядро биллинговой системы. Значение по умолчанию: 127.0.0.1.

web_1ogin

Логин системного пользователя в биллинговой системе. Значение по умолчанию: web.

Настройки

web_password

Пароль системного пользователя в биллинговой системе. Значение по умолчанию: web.

Список брандмауэров

Список брандмауэров содержит информацию о типе брандмауэра, его идентификационном имени (может быть IP-адрес). По этому имени происходит идентификация подключающихся модулей utm5_rfw.

Правила файрволов

В этом разделе администратором задаются команды, при выполнении которых на соответствующих удалённых маршрутизаторах происходит блокирование или разблокирование доступа клиентов в интернет. В свойствах раздела указываются: идентификатор брандмауэра, на котором выполнять команды; собственно команда для открытия доступа к ресурсам сети и команда для закрытия доступа к ресурсам. Если выполнение данных команд на конкретном маршрутизаторе актуально не для всех клиентов, то указывается идентификатор клиента, идентификатор группы, или идентификатор тарифа, для которых актуально выполнение команд для манипулирования доступом в сеть.

При задании команд для включения и выключения доступа к ресурсам сети можно использовать следующие переменные:

UID - идентификатор пользователя в системе;

RULE_ID - идентификатор пользователя плюс 5000;

UIP - IP-адрес (сеть) пользователя без маски, например, 10.0.0.1;

UMASK - маска подсети через точку, например, 255.255.255.255;

UBITS - маска в виде битов, например, 32 (означает то же, что и 255.255.255.255);

Настройки

UINVERTMASK - инвертированная маска (используется при работе с маршрутизаторами Cisco), например, 0.255.255.255.

Пример для FreeBSD. Включение:

/sbin/ipfw add RULE_ID allow ip from UIP to any

Выключение:

/sbin/ipfw delete RULE_ID

Следует обратить внимание на то, что выполнение команд происходит не при их добавлении в список, а при включении и выключении интернета для пользователя.

Более полную информацию по настройке файрволла можно найти в разделе «Использование файрволлов».

Список IP-зон

Справочник «Список IP-зон» ведётся для удобства работы с большими многосегментными и распределёнными сетями и содержит информацию о различных сегментах сети: сеть, маску и шлюз. IP-зону могут составлять один или несколько сегментов.

Список домов

Справочник подключенных домов ведётся для удобства работы с сетями, объединяющими несколько зданий. Запись о доме содержит его адрес и идентификатор IP-зоны.

Список банков

Данные из справочника банков предназначены для удобства заполнения форм. Например, при создании новых клиентов в системе, нет необходимости вводить данные банка клиента каждый раз. Достаточно один раз внести данные в список банков или импортировать списки из файла формата XML. С идентификатором банка в системе связаны следующие данные: БИК, название, адрес и корреспондентский счет банка.

Настройки

Настройка и отладка работы с почтовым сервером

В интерфейсе администратора в разделе (Настройки | Список параметров) укажите корректно следующие параметры (через символ «=» указаны значения для примера):

smtp_relay = 10.0.0.1 smtp port = 25

smtp_fqdn = host.example.org

smtp_sender = smtp_subject = Message from UTM5 admin_email = notification_borders = 5 notification_borders = 3 notification_borders = 0

notification_message = Уважаемый абонент, FULL_NAME! На Вашем лицевом счёте номер ACCOUNT_ID возник дефицит средств в размере BALANCE. Дата сообщения:

DATE Данное сообщение послано на EMAIL. С уважением, Провайдер.

notification_message_subject = Уведомление notification_message_from = Отдел биллинга

Адреса электронной почты абонента, на которые производится рассылка уведомлений, можно задать в свойствах пользователя, в разделе «Контакты».

Для проверки корректности отсылки сообщений пользователям можно искусственно провести баланс пользователя через одну из указанных границ - 5, 3 либо 0 условных единиц. Это можно сделать внеся платеж на сумму 10 у. е. и затем оказав разовую услугу на 6, 8 либо 11 условных единиц. В этом случае баланс пользователя будет изменен с 10 у. е. до 4,2 либо у.е.

При этом можно проверить прохождение пакетов к почтовому серверу командой:

tcpdump -ni eth0 port 25

Настройки

где eth0 - интерфейс, через который осуществляется соединение с почтовым сервером.

Должны появиться пакеты примерно следующего вида:

12:45:34.738410 127.0.0.1.57021 > 127.0.0.1.25: . ack

1 win 35840 <nop,nop,timestamp 603505811 603505811> (DF)

12:45:34.875100 127.0.0.1.25 > 127.0.0.1.57021: P 1:37(36) ack 1 win 35840 <nop,nop,timestamp 603505824 603505811> (DF)

12:45:34.875187 127.0.0.1.57021 > 127.0.0.1.25:

P 1:16(15) ack 37 win 35840 <nop,nop,timestamp 603505824 603505824> (DF)

12:45:34.875249 127.0.0.1.25 > 127.0.0.1.57021:

P 37:59(22) ack 16 win 35840 <nop,nop,timestamp 603505824 603505824> (DF)

Если пакеты есть, но почтовые сообщения не приходят к абонентам, то необходимо убедиться в правильности настройки почтового сервера. Подробная информация о его настройке приведена в его документации, а возможные причины некорректной работы можно извлечь из файлов журнала почтового сервера.

Ещё один способ инициировать отправку почтовых сообщений пользователям - выполнить отсылку счёта на адрес электронной почты абонента. Для этого необходимо оказать пользователю разовую услугу, в результате чего будет подготовлен счёт в разделе (Отчёты | Счета). Необходимо выделить подготовленный счёт и нажать кнопку «Отослать на email». При этом в файле журнала ядра UTM должна появиться запись:

?Debug : Jul 21 12:54:04 BusLogic: call SmtpLogger:: smtp

При прослушивании трафика должны появляться пакеты, отправленные на почтовый сервер.

Если все шаги проходят успешно и почтовые сообщения попадают в почтовые ящики абонентов, то настройку связки с почтовым сервером можно считать успешной.

Настройки

Использование файрволов

Файрвол (брандмауэр) - это программа, которая, основываясь на некоторых правилах, разрешает или запрещает передачу информации, проходящей через маршрутизатор, с целью ограждения сети от внешнего доступа или, наоборот, для недопущения прохождения IP-пакетов во внешние сети.

Включение и выключение доступа в интернет пользователям в биллинговой системе UTM осуществляется посредством добавления и удаления правил файрвола. По умолчанию, прохождение пакетов через маршрутизатор для пользователей закрыто. При включении интернета пользователям в файрвол добавляются правила, разрешающие прохождение пакетов до и с IP-адреса пользователя, заведенного в биллинговой системе UTM.

Использование файрволов

Кроме того, файрвол используется для трансляции сетевых адресов (NAT, Network Address Translation). Технология NAT сводится к подмене в заголовках IP-пакетов приватного IP-адреса источника данных, IP-адресом внешнего интерфейса маршрутизатора. Использование технологии NAT позволяет машинам, не имеющим реальных IP-адресов, практически полноценно работать в сети интернет.

Система NetUP UTM поддерживает работу с удалёнными брандмауэрами для блокирования доступа клиентов к ресурсам сети. Блокирование может производиться как автоматически (например, при появлении задолженности на счету клиента), так и вручную (самим клиентом или администратором). Состояние физической блокировки доступа в сеть определяется статусом интернета для данного пользователя. Статус может принимать два значения: включен или выключен.

Настройка политики безопасности файрвола в ОС Linux с ipchains и iptables

Запрет прохождения пакетов пользователям по умолчанию в ОС Linux осуществляется настройкой политики безопасности (policy) в цепочке forward в файрволах ipchains или iptables.

Настройка политики безопасности в ipchains:

ipchains -P forward DENY

Настройка политики безопасности в iptables

iptables -P FORWARD DROP

Проверка правил файрвола в ipchains или iptables осуществляется выполнением команд.

В ipchains:

[root@rh73 /]# ipchains -nL Chain input (policy ACCEPT):

Chain forward (policy DENY):

Chain output (policy ACCEPT):

[root@rh73 /]# _

В iptables:

Использование файрволов

[root@rh73 /]# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy DROP) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@rh73 /]# _

Включение поддержки файрвола в ОС FreeBSD

По умолчанию ОС FreeBSD устанавливается с ядром GENERIC, в которое не включена поддержка файрвола. Для использования файрвола в ОС FreeBSD, ядро системы следует пересобрать с опцией

options IPFIREWALL

Файрвол ipfw в ОС FreeBSD также может быть загружен в форме модуля. С этой целью в файл /boot/loader.conf следует добавить строку

ipfw_load="YES"

Для включения запуска файрвола при загрузке ОС FreeBSD в конфигурационный файл /etc/rc.conf следует добавить строку

firewall_enable="YES"

В процессе загрузки системы правила файрвола подгружаются из конфигурационного файла /etc/rc.firewall. Если необходимо разрешить прохождение пакетов к серверу и от него, то в этом файле необходимо прописать следующие правила:

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

${fwcmd} add 100 allow ip from any to me ${fwcmd} add 200 allow ip from me to any

При загрузке правил ipfw, последнее правило, по умолчанию, запрещает прохождение пакетов через маршрутизатор.

Просмотр загруженных правил файрвола осуществляется командой.

server# ipfw show

Использование файрволов

00100 8 736 allow ip from any to me 00200 8 596 allow ip from me to any 65535 0 0 deny ip from any to any server# _

Настройка файрвола на маршрутизаторе Cisco

Управление доступом в сеть осуществляется динамическими access-list. Необходимо создать два листа - для прохождения пакетов к клиенту и от него. Для этого перейдите в режим конфигурирования маршрутизатора командой.

configure terminal

Затем выполните команды.

access-list 105 dynamic testl permit ip any any access-list 106 dynamic test2 permit ip any any

При этом будут созданы два динамических access-list, в которые будут добавляться правила для разрешения выхода пользователей в сеть. Если необходимо определенному адресу разрешить доступ в сеть статически, то необходимо выполнить команду.

access-list 105 permit ip host 10.0.0.10 any access-list 106 permit ip any host 10.0.0.10

Важно! Добавьте разрешение для адреса хоста, с которого осуществляется администрирование маршрутизатора. В противном случае возможна потеря управления.

Остальные правила будут добавляться в лист динамически в зависимости от статуса Интернета у абонента. По умолчанию доступ для всех абонентов закрыт.

Созданные листы необходимо привязать к интерфейсу на маршрутизаторе. Рекомендуется привязку делать на интерфейсе, к которому непосредственно подключаются абоненты. Для этого выполните команды.

interface Ethernet 1/0 ip access-group 105 in ip access-group 106 out

Использование файрволов

Добавление и удаление правил на маршрутизаторе осуществляется по протоколу rsh, поэтому необходимо разрешить выполнять эти действия на маршрутизаторе командами:

CiscoRouter#conf t

CiscoRouter(config)#username netup privilege 8 password 0 plain text password

CiscoRouter(config)#ip rcmd rsh-enable CiscoRouter(config)#no ip rcmd domain-lookup

CiscoRouter(config)#ip rcmd remote-host netup REMOTE_ IP_ADDRESS REMOTE_USER_NAME enable

CiscoRouter(config)#privilege exec level 8 access-template

CiscoRouter(config)#privilege exec level 8 clear access-template

REM0TE_IP_ADDRESS - IP-адрес сервера с запущенным utm5_ rfw.

REMOTE_USER_NAME - имя пользователя на сервере с utm5_rfw, от которого производится запуск сборщика. Имя по умолчанию - netup.

После настройки маршрутизатора сохраните конфигурацию командой write.

В интерфейсе администратора правила для включения интернета пользователю будут выглядеть следующим образом:

access-template 105 testl host UIP any access-template 106 test2 any host UIP

Правила для выключения:

clear access-template 105 testl host UIP any clear access-template 106 test2 any host UIP

Непосредственная отправка правил на маршрутизатор Cisco по протоколу rsh осуществляется модулем utm5_rfw. В конфигурационном файле rfw5.cfg обязательно должны быть указаны параметры:

Использование файрволов

firewall_type=cisco

cisco_ip=IP_ADDRESS

где IP_ADDRESS - IP-адрес маршрутизатора Cisco.

После этого произведите запуск utm5_rfw командой /netup/utm5/bin/utm5_rfw

Для проверки прохождения правил на маршрутизатор Cisco можно использовать команду

tcpdump -nXli eth0 -s 65000 port 514

Пример настройки Cisco при работе с Windows

CiscoRouter(config)#username Administrator privilege 8 password 0 plain text password

CiscoRouter(config)#ip subnet-zero

CiscoRouter(config)#no ip rcmd domain-lookup CiscoRouter(config)#ip rcmd rsh-enable

CiscoRouter(config)#ip rcmd remote-host Administrator REMOTE_IP_ADDRESS REMOTE_USER_NAME enable

В данном примере необходимо настроить запуск служб Windows таким образом, чтобы они работали от имени учётной записи Administrator (по умолчанию все службы Windows запускаются от имени учётной записи SYSTEM).

Использование NAT Использование NAT в ОС FreeBSD с ipfw

Для использования NAT в ОС FreeBSD необходимо пересобрать ядро системы с опцией IPDIVERT.

Для этого в конфигурационный файл нового ядра следует добавить строку.

options IPDIVERT

Трансляция сетевых адресов в ОС FreeBSD осуществляется посредством демона natd, который слушает порт 8668.

Использование файрволов

Для включения NAT при загрузке системы в конфигурационном файле /etc/rc.conf следует добавить строки.

natd_enable=«YES«

natd_interface=«rlO«

Указать на автоматический запуск демона natd при загрузке системы можно так же в файле /etc/rc.local. В него следует добавить строку.

/sbin/natd -n rlO

Проверить, запущен ли демон natd, можно выполнив команду.

server# ps ax | grep natd

145 ?? Is O:OO.51 /sbin/natd -n rlO

server# _

Проверить, слушает ли демон natd порт 8668, можно выполнив команду.

server# sockstat | grep 8668 root natd 145 3 div4 *:8668 *:* server# _

При трансляции сетевых адресов перенаправление пакетов на порт 8668 осуществляется посредством файрвола.

Для перенаправления всех пакетов на интерфейс, на IP-адрес которого транслируются сетевые адреса (NAT), следует выполнить команду.

ipfw add 50 divert natd ip from any to any via rlO

Если необходимо транслировать определенную сеть, например, 192.168.0.0/16, то необходимо выполнить команды.

ipfw add 50 divert natd ip from 192.168.0.0/16 to any via rlO

ipfw add 50 divert natd ip from any to me via rlO

Правила, осуществляющие перенаправление пакетов на natd, должны находиться в самом начале списка правил ipfw.

Использование файрволов

00050 0 0 divert 8668 ip from any to any via rl0 00200 8 736 allow ip from any to me 00300 8 596 allow ip from me to any 65535 0 0 deny ip from any to any

Для того чтобы правила, осуществляющие перенаправление пакетов на natd, выполнялись при загрузке системы, в конфигурационный файл /etc/rc.firewall необходимо добавить строки:

${fwcmd} add 50 divert 8668 ip from any to any via rl0

или

${fwcmd} add 50 divert natd ip from 192.168.0.0/16 to any via rl0

${fwcmd} add 50 divert natd ip from any to me via rl0

Строки, которые необходимо добавить в самое начало списка правил:

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush

${fwcmd} add 50 divert 8668 ip from any to any via rlO

${fwcmd} add 100 allow ip from any to me ${fwcmd} add 200 allow ip from me to any

В указанных выше примерах предполагается, что трансляция IP-адресов осуществляется на IP-адрес интерфейса rl0. Вместо него следует указать название интерфейса, на IP-адрес которого необходимо осуществлять NAT.

Для того чтобы посмотреть сетевые интерфейсы в системе, необходимо выполнить команду ifconfig.

Использование NAT в ОС Linux

Использование файрволов

Трансляция сетевых адресов в iptables осуществляется в таблице nat в цепочке POSTROUTING. Для того чтобы транслировать адреса сети 192.168.0.0/16 на IP-адрес интерфейса eth0 с IP-адресом 195.161.112.6, необходимо выполнить следующую команду.

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 195.161.112.6

где 192.168.0.0/16 - адрес локальной сети;

eth0 - внешний интерфейс с IP-адресом 195.161.112.6, на который осуществляется NAT.

Посмотреть список текущих правил iptables в таблице nat можно, выполнив команду.

[root@rh73 /]# iptables -t nat -nL Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination

SNAT all -- 192.168.0.0/16 0.0.0.0/0 to:195.161.112.6

Использование файрволов

106

Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@rh73 /]# _

Переход на другой файрвол в ОС Linux

Последовательность перехода в Linux с ipchains на iptables.

Необходимо отключить ipchains, чтобы предотвратить загрузку соответствующих модулей в будущем.

chkconfig --level 0123456 ipchains off

Необходимо остановить сервис ipchains.

service ipchains stop

Если ipchains загружен в форме модуля ядра Linux, его необходимо выгрузить.

rmmod ipchains

Включить iptables на автозагрузку.

chkconfig --level 235 iptables on

Активировать сервис iptables.

service iptables start

Переход с iptables на ipchains осуществляется аналогичным образом. После остановки iptables необходимо выгрузить все загруженные для его работы модули ядра Linux. Посмотреть, какие модули ядра загружены, можно, выполнив команду lsmod.

Некоторые модули ядра, которые используются для iptables.

[root@rh73 /]# lsmod | grep ip

iptable_nat

ip_conntrack

iptable_filter

ip_tables

[root@rh73 /]# _

Также следует проверить конфигурационный файл программы sudo, в нём должна быть записана строка на выполнение исполняемого файла файрвола, на который осуществляется переход.

nobody ALL= NOPASSWD: /sbin/iptables

Автосохранение правил файрвола в Linux при перезагрузке системы

Для того, чтобы при перезагрузке маршрутизатора сохранялись текущие правила файрвола ipchains или iptables, следует изменить конфигурационные файлы.

Для ipchains в файле /etc/init.d/ipchains после строки

stop)

добавить запись

/sbin/ipchains-save > /etc/sysconfig/ipchains

Для iptables в файле /etc/init.d/iptables после строки

stop() {

добавить запись

Использование файрволов

/sbin/iptables-save > /etc/sysconfig/iptables

Добавление правил файрвола в центре управления

Добавление правил файрвола осуществляется в администраторском интерфейсе биллинговой системы UTM в закладке (Настройки | Правила файрволов).

Таблица отображает шаблоны команд, по которым строятся и выполняются конкретные команды при включении и выключении интернета пользователям.



идентификатор пользователя в системе;

RULE_ID - идентификатор пользователя + 5000;

UIP - IP-адрес (сеть) пользователя без маски, например 10.0.0.1;

ULOGIN - логин пользователя из IP-группы;

UMASK - маска подсети через точку, например

255.255.255.255;

UBITS - маска подсети в виде битов, например 32;

UINVERTMASK - инвертированная маска (используется при работе с Cisco), например 0.255.255.255;

SLINK_ID - идентификатор сервисной связки услуги IP-трафика;

SPLINK_ID - идентификатор сервисной связки услуги IP-трафика + 10000.

Например, команды для добавления правил, разрешающих пользователю выход в интернет по любому протоколу и порту при использовании FreeBSD будут выглядеть так:

/sbin/ipfw add RULE_ID allow ip from UIP/UBITS to any /sbin/ipfw add RULE_ID allow ip from any to UIP/UBITS

Команда для удаления правил:

/sbin/ipfw delete RULE_ID

Использование файрволов

При использовании Linux с ipchains команды будут выглядеть примерно так:

Включение:

/sbin/ipchains -A forward -b -s UIP/UBITS -j ACCEPT

Выключение:

/sbin/ipchains -D forward -b -s UIP/UBITS -j ACCEPT

Также можно добавлять правила, запрещающие доступ на определенные порты или ресурсы, либо ограничивающие скорость скачивания из интернета.

Полностью подготовленные для выполнения правила передаются на исполнение соответствующему модулю utm5_rfw. Количество зарегистрированных в ядре биллинговой системы модулей utm5_rfw не ограничено.



v

Для того чтобы при запуске модуля произошла синхронизация правил файрвола с сервером UTM, нужно запустить команду

utm5_rfw -f

Синхронизацию правил рекомендуется использовать при автоматическом запуске модуля при старте системы.

Файл конфигурации utm5_rfw

Файл состоит из строк вида параметр=значение

Строки, начинающиеся с символа «#», считаются комментарием.

Список возможных параметров: rfw_name

Имя модуля, по которому происходит идентификация модулей. Например, 127.0.0.1. Это же значение должно быть указано при добавлении записи в список брандмауэров. При включении или выключении интернета пользователям именно по этому полю происходит идентификация файрвола, на котором производить выполнение команд.

sudo_path

Путь к программе sudo. Например, /usr/bin/sudo. firewall_path

Путь к файрвол. Например, /sbin/ipfw. firewall_flush_cmd

Использование файрволов

Команда для очистки правил файрвола. Например, /sbin/ iptables -F.

core_host

Адрес хоста, на котором запущено ядро биллинговой системы. Значение по умолчанию: 127.0.0.1.

core_port

Порт, на котором запущено ядро биллинговой системы. Значение по умолчанию: 117 58.

rfw_login

Логин системного пользователя в биллинговой системе.

rfw_password

Использование файрволов



адрес маршрутизатора фирмы Cisco, управление которым производится по протоколу rsh.

dont_fork

Если не указана данная опция либо значение не равно “yes”, то правила выполняются параллельно т.е. последующее правило применяется на файрволле не дожидаясь выполнения предыдущего. На некоторых типах файрволл, в частности для linux iptables, крайне рекомендуется указать данную опцию равную “yes”. При этом правила применяются на файрволле последовательно.

Включение интернета пользователям осуществляется через центр управления или через веб-интерфейс пользователя системы.

Работа с предоплаченными картами

Добавить, просмотреть или экспортировать информацию о предоплаченных картах можно в разделе «Карточки». Для удобства работы карточки объединяются в группы (пулы).

Вновь созданные карты добавляются в пул: новый или уже существующий. Чтобы добавить карточки в существующую группу, в окне «Добавление карты» нужно указать её номер. Если не существует пула с указанным номером, то такой пул автоматически создаётся, и в него добавляются карты.



кода и срок действия карт. Информацию о созданных картах нельзя изменить или удалить. Пулы также не могут быть удалены.

Различаются два типа предоплаченных карт: карты с фиксированной датой истечения срока действия и карты с плавающей датой истечения срока действия.

Карты первого типа используются для регистрации пользователей в системе, которые смогут воспользоваться услугами провайдера до даты, указанной на карте. Для создания карт этого типа достаточно выставить значение поля «Использовать до» позднее текущей даты.

Работа с предоплаченными картами



коде (пароле), сроке действия, валюте и дате активации (если карта уже активирована).

Информацию о предоплаченных картах можно экспортировать в файл формата XML, который имеет следующий формат:

<?xml version="1.О" encoding="UTF-8" ?>

<UTM>

<pool id="1">

<card id="1" secret="562О5393" balance="100.О" currency="810" expire_date="31.12.2004" />

<card id="2" secret="95672099" balance="100.0" currency="810" expire_date="31.12.2004" />

</pool>

</UTM>

id - идентификатор пула (карты); secret - пароль (пин-код) карты;

balance - номинал карты;

currency - идентификатор валюты, в которой выражен номинал карты;

expire_date - дата истечения срока действия карты в формате ДД.ММ.ГГГГ.

При создании карт имеется возможность указать (привязать к карте) тарифный план, услуги которого будут привязаны к основному лицевому счету пользователя при автоматической активации карты. При активации карты к основному лицевому счёту пользователя привязываются только услуги, относящиеся к типам «Hotspot», «Коммутируемый доступ» и «Телефония», если помимо этих типов услуг тарифный план содержит услуги других типов, то такие услуги не подключаются.

Для активации карты пользователю необходимо зайти на страницу автоматической регистрации и ввести корректные данные с карты.



коду карты. Баланс пользователя будет равен балансу активированной карты, и при этом карта будет помечена, как активированная. Если к активируемой карте привязан тарифный план, тогда к основному лицевому счету пользователя подключаться услуги из этого тарифного плана со значениями логина и пароля такими же вновь созданный пользователь. С лицевого счета пользователя снимутся средства в размере суммы стоимостей периодических составляющих услуг, входящих в состав тарифного плана.

Работа с предоплаченными картами



на удаленном сервере, находящемся либо внутри локальной сети, либо вне её.

Интернет боты системы в рассмотренной конфигурации необходимо направить поток UDP-пакетов, содержащих информацию о трафике, на локальную машину на порт, «прослушиваемый» ядром системы. Порт UDP и хост для принятия данных о трафике задаются в конфигурационном файле /netup/utm5/ utm5.cfg. Если статистика собирается с локальной машины, то хостом для принятия данных следует указать 127.0.0.1.

Для настройки демона ndsad необходимо внести изменения в файл /netup/utm5/ndsad.cfg. Если поток NetFlow необходимо направить на локальную машину, то значение параметра ip должно быть равным 127.0.0.1, значение параметра port

— 9996.

Для правильной работы демона ndsad в файле конфигурации необходимо указать семейство интерфейсов, на которых нужно собирать информацию о трафике. Список интерфейсов можно узнать при помощи системной команды ifconfig. Интерфейсы, на которых необходимо собирать статистику, указываются с помощью параметра force. Нужно иметь в виду, что если вы не используете транслирование адресов (NAT) и включите сбор статистики с внешнего и внутреннего интерфейсов, то трафик на клиентов будет удваиваться, так как проходящие пакеты будут регистрироваться два раза: при входе в маршрутизатор и при выходе из него.

В ОС FreeBSD ndsad запускается командой:

/usr/local/etc/rc.d/ndsad.sh start

В ОС Linux ndsad запускается командой:

/etc/rc.d/init.d/ndsad start

В Windows NT-подобных системах ndsad работает в качестве системной службы. Для установки и удаления службы используются ключи командной строки --install и --uninstall соответственно. Служба устанавивается в автоматическом режиме, что обеспечит её запуск при старте компьютера.

C:\Program Files\NetUP\UTM5>ndsad.exe Successfully created ndsad service C:\Program Files\NetUP\UTM5>ndsad.exe

Successfully deleted ndsad service

NetUP Data Stream Accounting Daemon (ndsad)

install



запросов к какому-нибудь ресурсу в сети с учетом того, что ping-запросы должны через интересующий нас интерфейс (тот, на котором собирает статистику ndsad);

• корректность работы демона ndsad. Для этого нужно убедиться в том, что UDP-пакеты с информацией о трафике передаются на локальную машину по указанному в настройках порту. Чтобы проверить это, выполните команду:

su# tcpdump -ni loO port 9996

При этом должно отобразиться примерно следующее:

12:40:51.958448 127. O . O.1.4675 > 127. O . O .1.9996 : udp 1464

12:4O:51.959O51 127.O.O.1.4675 > 127. O . O .1.9996: udp 4O8

12:4O :51.959O74 127. O.O.1.4675 > 127.O.O.1.9996: udp 648

Если этого не наблюдается, нужно проверить настройки демона ndsad (файл ndsad.cfg). Полное описание структуры файла ndsad.cfg приводится ниже.

После того, как данные о трафике появятся в детальном отчете по трафику, демон ndsad в связке с биллинговой системой готов к работе.

Получить последнюю версию ndsad можно на сайте проекта в Интернете - . При этом необходимо отметить, что данный коллектор так же доступен в виде исходных кодов, что позволяет при необходимо самостоятельно вносить изменения

Конфигурационный файл

В файле допустимы пустые строки. Весь остаток строки, идущий после символа # считается комментарием и игнорируется.

Синтаксис строк:

<слово> <значение>

Если пропущено значение или неправильно написано ключевое слово, демон выдаст при старте предупреждение, которое не попадёт в журнал. Ошибки в конфигурационном файле не приведут к сбою в старте демона, и ndsad запустится.

«Семьей» устройств называются сетевые устройства, отличающиеся только индексом. Например, в семью eth входят устройства: ethO, ethl, eth12 и т. д.

Значением параметра может быть одно неразрывное слово (кроме параметров heap и hash). Если имеется несколько значений параметра (например, нужно обрабатывать несколько устройств), то параметр должен задаваться несколько раз:

force rlO force fxpO

Ключевые слова ip

Адрес назначения. По этому адресу (и порту) будет происходить отсылка статистики по трафику. Значение по умолчанию: ip 127. O . O .1.

NetUP Data Stream Accounting Daemon (ndsad)

19

адресов, на которые это устройство настроено.

Пример для платформы Win32:

force \Device\NPF_{A07 05 0FE-62B3-40AF-B6D2-6587 01A5 6089}

ignore 192.168.1.1 force 192.168.0.1

dummy

Строка указывает на то, что все устройства из этой семьи не будут обрабатываться. См. также force. Указание в качестве семьи ключевого слова all приведёт к тому, что все устройства, не помеченные, как force, будут игнорироваться.

Пример: dummy eth. promise

Строка указывает на то, что устройство должно быть помещено в режим прослушивания всех пакетов, проходящих по сети. Отсутствие этой строки не гарантирует, что устройство не будет находиться этом режиме.

Пример: promise exO.

filter

Фильтр для ограничения количества обрабатываемых пакетов. Формат фильтра аналогичен формату фильтров для tcp-dump (man tcpdump).

Пример: filter fxp0 not port 135

Пример: filter fxp0 net 10.0.0.0/24 and not port 135

hash

Размер хеша для семьи устройств. Это значение должно быть степенью двойки. Иначе использование памяти будет очень неэффективным. Значение по умолчанию: hash all 128.

Пример: hash lo 64.

heap

Размер буфера хранения. Такой максимальный объём памяти в байтах может быть занят, но не обязательно использован. В случае необходимости память берётся из этой кучи, а не у системы. Разумные размеры увеличивают быстродействие. Значение по умолчанию: heap 16384.

Пример: heap 65536.

dump

Насколько часто будет происходить запись информации о загрузке разных частей демона в журнал. Измеряется в секун-

NetUP Data Stream Accounting Daemon (ndsad)

NetUP Data Stream Accounting Daemon (ndsad)

дах. Указание значения 0 приведёт к тому, что записи не будут происходить. Статистику можно получить, послав программе сигнал SIGHUP. Значение по умолчанию: dump 0.

Пример: dump 5.

log

Файл, в который будет записываться журнал работы демона. Если значение не указано, то будет использован stderr (стандартный вывод для ошибок, обычно прямо на терминал). Значение по умолчанию: /netup/utm5/log/ndsad.log.

Пример:log /var/log/ndsad.log.

config

Изменить конфигурационный файл. Текущий файл после такой директивы не используется. Проверок на циклы нет, поэтому неправильное указание следующего файла может привести к тому, что программа зависнет. Значение по умолчанию:

config /netup/utm/ndsad.cfg.

Пример:config /usr/local/etc/ndsad.cfg.

bsd_div_port

Порт, на который необходимо производить перенаправление (копирование) трафика из ipfw методом divert (tee). Для использования данного функционала необходимо добавить следующее примерное правило в ipfw:

ipfw add 10 tee 21000 all from any to any

В данном примере используется порт 21000, соответственно запись в конфигурационном файле должна выглядеть следующим образом:

bsd_div_port 21000

Значение по умолчанию не предусмотрено. Данный функционал доступен только под ОС FreeBSD.

bsd_div_copy

В случае если правило в файрволл добавляется с использованием директивы divert вместо tee, то необходимо установить данную опцию равную значению yes. В противном случае пакеты не будут проходит.

ulog_group

Номер группы используемый при сборе статистики через интерфейс ULOG в ОС Linux при использовании файрвола iptables. Пример использования:

ulog_group 13

В этом примере указано использовать группу с номером 13. Соответственно правила в файрволл необходимо добавлять примерно следующей командой:

iptables -A OUTPUT -s 10.0.0.1 -d 10.0.0.2 -j ULOG --ulog-nlgroup 13

В случае если в лог-файле появляются ошибки вида “No buffer space available”, то необхо-димо увеличить системные сетевые буферы командой:

sysctl -w net/core/rmem_max=1048576 sysctl -w net/core/rmem_default=1048576

Значение по умолчанию для данной директивы не предусмотрено.

Список поддерживаемых семей устройств

Для ОС семейства BSD: vlan, bfe, tun, ng, nv, lo, dc, fxp, pcn,

rl, sf, sis, ste, tl, tx, vr, wb, xl, de, txp, vx, bge, em, gx, lge, nge, sk, ti, wx, cx, ed, el, ep, ie, is, le, ex, lnc, my, wi, an.

Для ОС семейства Linux: lo, eth, ppp.

NetUP Data Stream Accounting Daemon (ndsad)

23

соединениями, которые имеют имена \Device\NPF_GenericDialupAdapter либо \Device\ NPF_GenericNdiswanAdapter.

get_xyz

NetFlow 5



Accounting, Mikrotik, NSG, Revolution и передачи ее по протоколу Cisco NetFlow ?5 либо сохранения в файл. Запуск осуществляется командой:

/netup/utm5/bin/get_xyz

Ключи командной строки запуска:

-d - запустить в режиме демона

-l LOGFILE - выводить отладочную информацию в файл LOGFILE

-k - остановить запущенный процесс -h - помощь.

Конфигурационный файл расположен по следующему пути:

Универсальные сборщики статистики

Универсальные сборщики статистики

26

/netup/utm5/get_xyz.conf

Файл состоит из строк вида

параметр=значение

Строки, начинающиеся с символа «#», считаются комментарием.

Список возможных параметров: outfile=/tmp/traffic.log

Файл, в который будет сохраняться статистика. outhost=127.0.0.1

IP-адрес сервера, на который передается статистика по протоколу NetFlow ?. 5.

outport=9996

Порт, на который передается статистика по протоколу NetFlow ?.5.

loop=600

Интервал (в секундах), через который производить снятие статистики. Если этот параметр не указан, то статистика снимается один раз, после этого выполнение программы завершается.

Раздел конфигурационного файла указания устройств, с которых снимается статистика. Настройки для каждого маршрутизатора заключаются в фигурные скобки {}.

host {

type=nsg

Тип маршрутизатора, с которого снимается статистика. Возможные значения:cisco, revolution, mikrotik, nsg.

ip=192.168.0.1

IP-адрес маршрутизатора.

port=23

TCP-порт маршрутизатора. timeout=5

Тайм-аут соединения.

login=root Логин пользователя.

password=foo Пароль пользователя.

}

Такую секцию необходимо создать для каждого маршрутизатора, с которого планируется собирать статистику.

Содержание раздела

---