Сертификат соответствия № ОС-4-СТ-0748 на АСР «NetUP 5+»,
версия ПО 5.5 (16.09.2021 — 16.09.2024)
Единый реестр российских программ для электронных вычислительных машин и баз данных
Запись №4116 от 11.12.2017, с изменениями от 29.04.2021
Сертификат соответствия № ОС-4-СТ-0633 на АСР «NetUP UTM 5»,
версия ПО 5.0 (12.07.2018 — 12.07.2021)
Сертификат соответствия № ОС-4-СТ-0512 на АСР «NetUP UTM 5»,
версия ПО 5.0 (28.04.2015 — 28.04.2018)
Сертификат соответствия № ОС-3-СТ-0366 на АСР «NetUP UTM 5»,
версия ПО 5.0 (23.12.2011 — 23.12.2014)
Сертификат соответствия качества ISO 9001
Сертификат соответствия № ОС-1-СТ-0203 на АСР «NetUP UTM»
версии 5.0 (03/12/2008 — 03/12/2011)
Сертификат соответствия № ОС-1-СТ-0025 на АСР «NetUP UTM»
версии 5.0 (07/12/2005 — 07/12/2008)
Сертификат соответствия «Связь» № ОС/1-СТ-340 на АСР «NetUP UTM»
версии 5.0 (29/06/2004 — 29/06/2005)
Сертификат соответствия «Связь» № ОС/1-СТ-263 на АСР «NetUP UTM»
версии 4.0 (17/04/2003 — 17/04/2004)
Свидетельства
Свидетельство на товарный знак №278526
5.3-001
Биллинговая система
Руководство администратора
1 Лицензионное соглашение — — — — — — — — — — — — — — — — — — — — — — 11
2 Введение — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 13
Назначение документа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13Условные обозначения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13Список терминов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Сетевые технологии 13
Прочие термины 14
3 Описание системы — — — — — — — — — — — — — — — — — — — — — — — — — — — — 15
Основные функции системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15Способы включения системы в сеть . . . . . . . . . . . . . . . . . . . . . . .16Структура системы UTM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18UTM Remote Function Access (URFA) . . . . . . . . . . . . . . . . . . . . . .20Разграничение прав . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20Выпуск новых версий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20Журналирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21Интеграция с системой Рентсофт . . . . . . . . . . . . . . . . . . . . . . . . . .22
4 Базовые объекты системы — — — — — — — — — — — — — — — — — — — — — 23
Пользователи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24Лицевые счета. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Блокировки 24
Системные пользователи. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25Системные группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Карты оплаты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Классы трафика . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26Расчётные периоды . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27Тарифные планы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28Услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Виды услуг 30
Шаблоны услуг 31
Типы услуг 31
Временные диапазоны . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33Валюты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33Платежи. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Откат платежа 35
1
NetUP UTM. Руководство администратора
Документы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35Счета 35
IP-адреса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
5 Интерфейс администратора — — — — — — — — — — — — — — — — — — — — 37
Меню . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37Система 38
Настройки 38
Помощь 39
Общие принципы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39Пользователи и группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
Пользователи 40
Карточные пользователи 44
Системные пользователи 45
Дилеры 45
Группы 45
Системные группы 46
Пул карт оплаты 47
IP-группы 49
Телефонные номера 49
Сообщения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50Тарификация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51
Тарифные планы 51
Классы трафика 52
Телефонные зоны 55
Телефонные направления 55
Расчетные периоды 56
Услуги 57
Шаблоны услуг 64
Временные диапазоны 64
Справочники . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66Методы платежей 66
Валюта 66
IP-зоны 67
Дома 67
Список банков 67
Отчеты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
2
Основной отчет 68
Отчет по трафику 69
Отчет по услугам 69
Отчет по телефонии 70
Телефонные направления 71
Отчет по dialup и VPN 71
Отчет по блокировкам 72
Отчет по платежам 72
Сгорающие платежи 73
Другие списания 73
Движение средств 73
Отчёт по счетам 73
Изменения пользователей 74
Детальный трафик 75
Графические отчеты 75
Индивидуальные услуги 76
Настройки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76Список параметров 76
Дополнительные параметры 76
Список брандмауэров 76
Правила firewall 77
Список NAS 78
Юридические лица 79
Операторы телефонии 80
Экстренные вызовы 80
IP-пулы 80
Шаблоны документов 81
Подшаблоны 81
Динамическое шейпирование 82
Интерфейсы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84Tray приложение 85
Интерфейс кассира 86
Смена тарифа 86
Добровольная блокировка 87
Обещанные платежи 88
Движение средств 89
Дополнительно . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
3
NetUP UTM. Руководство администратора
1С . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89О программе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90Прочие страницы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
Внести платеж 91
Поиск пользователей 91
Лицевой счет 92
Тарифная связка 93
Сервисная связка 94
Иконка в трее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
6 Установка системы — — — — — — — — — — — — — — — — — — — — — — — — — — -103
Общее описание . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103Установка 103
Настройка тарификации 103
Проверка корректности работы 103
Установка базовых компонентов системы . . . . . . . . . . . . . . . . .104Linux с менеджером пакетов rpm 104
Linux Debian 105
FreeBSD 106
Windows 107
Вспомогательные операции . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109Создание базы данных 109
Получение лицензионного ключа 110
Активация лицензионного ключа 110
Создание индексов 111
Обновление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
7 C чего начать — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -113
Установка и запуск. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113Создание расчётных периодов . . . . . . . . . . . . . . . . . . . . . . . . . . .114Создание временных диапазонов . . . . . . . . . . . . . . . . . . . . . . . . .114Создание классов трафика. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115Создание услуги передачи IP-трафика. . . . . . . . . . . . . . . . . . . . .116Создание пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117Удаление пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117Создание лицевого счёта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118Удаление дополнительного лицевого счёта . . . . . . . . . . . . . . . .119
4
Создание сервисной связки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120Создание тарифной связки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121Привязка к дому . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122Привязка к банку . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123Внесение платежа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123Создание дилера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124Назначение привилегий дилеру . . . . . . . . . . . . . . . . . . . . . . . . . .124Привязка пользователей к дилеру . . . . . . . . . . . . . . . . . . . . . . . .125Создание брандмауэра . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125Создание правила firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
8 Ядро системы — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 129
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129Основные компоненты ядра . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129Запуск . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130Настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131
Конфигурационный файл 131
Интерфейсные параметры 134
9 UTM5 RADIUS — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 143
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143Описание взаимодействия по протоколу RADIUS. . . . . . . . . . .143Описание работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147
Авторизация 148
Аккаунтинг 151
Опосредованная тарификация трафика 152
Механизм контроля сессий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153Демон utm5_radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153Настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154
Конфигурационный файл 154
Динамическое распределение IP-адресов . . . . . . . . . . . . . . . . . .158
10Импорт текстовых файлов- — — — — — — — — — — — — — — — — — — — — 161
Схема работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161Разбор файлов с информацией о трафике 161
Разбор файлов с информацией о телефонных звонках 162
Запуск утилит . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164
5
NetUP UTM. Руководство администратора
Конфигурационные файлы 164
11UTM5 RFW- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -167
Схема работы UTM5 RFW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167Правила firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
Переменные 169
События 174
Преобразование правил 176
Брандмауэр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177Настройка службы utm5_rfw. . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
Конфигурационный файл 178
Синхронизация правил 180
12UTM5 Dynashape- — — — — — — — — — — — — — — — — — — — — — — — — — — — — -181
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181Схема работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181Параметры RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
13UTM5 Urfaclient — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -185
Предупреждение. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185Схема . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
Допустимые теги 186
URFA-скрипт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188Допустимые теги 188
Файл данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192Допустимые теги 192
Утилита utm5_urfaclient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192Конфигурационный файл 193
Примеры работы. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194
14Импорт структурированных данных- — — — — — — — — — — — — -195
Интерфейс операции . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195Схема XML-файла . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
Элемент user 197
Элемент zone 199
Элемент direction 200
6
Пример XML-файла . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
15Модуль дилера — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 203
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203Создание дилера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203Интерфейс дилера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
Установка и запуск 204
Пользователи 205
Отчёты 207
Дополнительно 207
О программе 207
16Модуль кассира — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 209
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209Создание кассира . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209Интерфейс кассира . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210
Установка и запуск 210
Внести платеж 211
Отчет 211
Альтернативный интерфейс . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212Установка и запуск 212
Пользователи 213
Платежи 214
17Утилита utm5_tray — — — — — — — — — — — — — — — — — — — — — — — — — — — — 215
Установка и запуск. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215Разделы интерфейса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
Основное 216
Отчёты 217
Платежи 218
Услуги 218
Сообщения 218
Лицевые счета 218
Тарифы 218
Подключение 218
Иконка в трее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .219
7
NetUP UTM. Руководство администратора
18Web-интерфейс — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -221
Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221Вход в систему . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221Разделы интерфейса . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222
Общие 222
Сообщения 223
Отчеты 223
Тарифы и услуги 224
Платежи 224
Выход 225
Конфигурационные файлы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225Общий 225
Платежные системы 226
Дополнительные модули 226
19Модуль hotspot- — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -227
20Модуль IP-телефонии — — — — — — — — — — — — — — — — — — — — — — — — -229
Термины . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229Алгоритм работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230Схема организации сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231
21Автоматическая регистрация — — — — — — — — — — — — — — — — — — -235
Гостевой доступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235Доступ с автоматической регистрацией . . . . . . . . . . . . . . . . . . .236
22Работа с электронной почтой — — — — — — — — — — — — — — — — — — -239
23Обслуживание системы- — — — — — — — — — — — — — — — — — — — — — — -241
Резервное копирование БД . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241Верификация целостности БД . . . . . . . . . . . . . . . . . . . . . . . . . . .241Архивация таблиц списаний . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
24Вспомогательные утилиты — — — — — — — — — — — — — — — — — — — — -245
Генератор статистики по протоколу NetFlow . . . . . . . . . . . . . . .245Генератор статистики по протоколу RADIUS. . . . . . . . . . . . . . .245Утилита get_nf_direct . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
8
25Контрольные примеры- — — — — — — — — — — — — — — — — — — — — — — — 249
Контрольный пример для передачи трафика . . . . . . . . . . . . . . .249Контрольный пример для коммутируемого доступа . . . . . . . . .251Контрольный пример для телефонии. . . . . . . . . . . . . . . . . . . . . .253
26Платёжные системы — — — — — — — — — — — — — — — — — — — — — — — — — — 259
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259Схема работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .261Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .268
Установка базового модуля 268
Установка дополнительных модулей 269
Дополнительные сведения по установке 270
Активация сертификата 272
Установка центра управления 272
Настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .273Конфигурирование серверной части 273
Конфигурирование брандмауэра 273
Запуск серверной части . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274GNU/Linux 274
FreeBSD 274
Порты 275
Журналирование 275
Утилита utm5_payment_tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275Работа с центром управления . . . . . . . . . . . . . . . . . . . . . . . . . . . .276
Профили 277
Система 279
Настройка внешних платёжных систем 283
Настройка операции 287
Отчет по платежам 291
27Платёжные системы v.2 — — — — — — — — — — — — — — — — — — — — — — — 297
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .297Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298
Запуск серверной части 299
Установка центра управления 299
Настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .300Конфигурационный файл 300
9
NetUP UTM. Руководство администратора
1
Дополнительные параметры 302
Журналирование 305
Работа с центром управления . . . . . . . . . . . . . . . . . . . . . . . . . . . .305Настройки 306
Отчет по запросам 308
Система 310
28Интеграция с 1C:Предприятие- — — — — — — — — — — — — — — — — — -313
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314Модуль интеграции в интерфейсе администратора . . . . . . . . . .314Пример работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .316
29Приложения — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — -321
Способы шейпирования трафика . . . . . . . . . . . . . . . . . . . . . . . . .321Параметры RADIUS 322
Внешние скрипты 323
Переменные шаблонов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .326Переменные 326
Типы шаблонов 331
Типы подшаблонов 331
30Алфавитный указатель — — — — — — — — — — — — — — — — — — — — — — — -335
0
ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ
Настоящее лицензионное соглашение (далее <соглашение>) является юридическим со-глашением, заключаемым между Вами (физическим или юридическим лицом, далее <пользователь>) и ЗАО <НетАП> (далее <компания NetUP>), относительно указанного выше программного продукта компании, включающего в себя программное обеспечение, записанное на соответствующих носителях, любые печатные материалы и любую <встро-енную> или <электронную> документацию (далее <продукт>).
1. Объем лицензии.
1.1. Единичный комплект продукта может быть использован для инсталляции только на одном компьютере.
1.2. Продукт считается используемым, если он загружен в оперативную память или за-писан на жестком диске, компакт-диске или ином запоминающем устройстве опре-деленного компьютера.
1.3. Пользователь имеет право на создание архивной копии, предназначенной исклю-чительно для индивидуального использования в целях восстановления продукта, либо на перенесение продукта на жесткий диск при условии, что оригинальный эк-земпляр сохраняется исключительно в качестве резервного или архивного.
2. Компания NetUP или ее поставщики гарантируют замену некачественных оптических, магнитных или иных носителей, на которых поставляется продукт для инсталляции. Права пользователя и услуги, обеспеченные гарантийными обязательствами, предо-ставляются только зарегистрированным пользователям.
3. Настоящая лицензия относится также к обновлениям и добавлениям исходного про-дукта, предоставляемым компанией NetUP, если иное не указано в документах, сопро-вождающих обновление или добавление.
4. Продукт разрешается переносить на другую рабочую станцию. Первоначальный поль-зователь продукта имеет право единовременной передачи его другому лицу. Такая передача должна включать все составные части: носители и печатные материалы, на-стоящее соглашение и сертификат подлинности, если таковой имеется. Запрещается предоставлять продукт в прокат, в аренду или во временное пользование.
5. Запрещается вскрывать технологию или декомпилировать продукт, за исключением тех случаев и только в той степени, когда это явно разрешено действующим законода-тельством, несмотря на наличие в лицензионном соглашении данного ограничения.
6. Компания вправе прекратить действие настоящего соглашения при несоблюдении пользователем его положений и условий. В этом случае пользователь обязан уничто-жить все имеющиеся у него копии продукта и его составных частей.
7. Пользователю необходимо быть согласным с тем, что компания вправе собирать и ис-пользовать по своему усмотрению технические сведения, сообщаемые пользователем службе технической поддержки компании.
11
NetUP UTM5. Руководство администратора
1
8. В наибольшей степени, допускаемой применимым законодательством, ни при каких обстоятельствах компания NetUP и её поставщики не несут ответственность за какой-либо особый, случайный, косвенный или опосредованный ущерб или убытки (вклю-чая, но не ограничиваясь только перечисленным: упущенную выгоду; утрату конфи-денциальной или иной информации; убытки, вызванные перерывами в коммерческой или производственной деятельности; нанесение ущерба здоровью; нарушение непри-косновенности частной жизни; неисполнение любого обязательства, включая обяза-тельство действовать добросовестно и с разумной осмотрительностью; убытки, вызванные небрежностью; любой иной ущерб и прочие убытки имущественного или иного характера), возникающие в связи с использованием или невозможностью ис-пользования продукта, оказанием или неоказанием услуг по поддержке или в иных случаях, предусмотренных или связанных с положениями данного лицензионного сог-лашения, даже в случае нарушения обязательства, возникновения гражданского право-нарушения (включая небрежность), объективной (независящей от вины) ответственности за какой-либо ущерб, нарушения компанией NetUP или её поставщи-ками договорных или гарантийных обязательств, даже если компания или её постав-щики были заранее извещены о возможности такого ущерба. Компания NetUP и её поставщики не несут ответственности и не имеют никаких обязательств в случае несанкционированного использования продукта, не предусмотренного настоящим со-глашением.
9. Настоящее соглашение вступает в силу с момента установки продукта. Настоящее со-глашение действует в течение неограниченного срока, за исключением случая пере-дачи прав на использование продукта, предусмотренного п. 4 настоящего соглашения.
10. Все права собственности, авторские права на продукт и в отношении него принадле-жат компании NetUP или её поставщикам. Данный продукт предоставляется в пользо-вание (<лицензируется>), а не продается.
11. Внедрение и техническая поддержка продукта осуществляются компанией на основа-нии отдельно заключаемого договора с пользователем.
2
ВВЕДЕНИЕ
Назначение документа
Руководство предназначено для системных администраторов организаций, оказы-вающих услуги интернет-соединения и телефонии и использующих биллинговую систему UTM5 компании НетАП. Описано устройство системы UTM5 версии 5.3-001, а также необходимые шаги по её первоначальной настройке, запуску и дальнейшей поддержке.
Условные обозначения
В тексте выделены следующие элементы:
Термины (при первом появлении);
Интерфейсные надписи;
Гиперссылки;
Фрагменты кода и команд;
Примечания;
Предупреждения о несовместимости новых и старых версий UTM5.
Прочие предупреждения.
Список терминов
Сетевые технологии
• DNS – Domain Name Service, распределённая система хранения IP-адресов, доменных имён и прочей информации о доменах.
• TCP/IP – Transmission Control Protocol / Internet Protocol, стек протоколов разного уров-ня, используемых в компьютерных сетях.
• HTTP – Hypertext Transport Protocol, сетевой протокол прикладного уровня для пере-дачи данных.
• HTTPS – HTTP Secure, расширение протокола HTTP, поддерживающее шифрование.
Блоки кода;
13
NetUP UTM5. Руководство администратора
1
• UDP – User Datagram Protocol, сетевой протокол транспортного уровня для передачи данных без подтверждения получения и без гарантии доставки, не включающий уста-новку соединения.
• TCP – Transmission Control Protocol, сетевой протокол транспортного уровня для пере-дачи данных, включающий предварительную установку соединения и гарантию дос-тавки.
• MAC – Media Access Control, уровень взаимодействия систем передачи данных, регу-лирующий доступ к физической среде.
• MAC-адрес – уникальный идентификатор устройства в сети.
• SSL – Secure Socket Layer, криптографический протокол защищённого соединения.
• Коммутатор (switch) – устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента.
Прочие термины
• XML – Extensible Markup Language, язык разметки структурированных данных.
• База данных – структурированный организованный набор данных.
• Кластер – группа компьютеров, используемая как единый вычислительный ресурс.
• Биллинговая система – система автоматического учёта и оплаты услуг.
• ISO – International Organization for Standardization, международная организация по выработке стандартов.
• ANSI – American National Standards Institute, американская организация по выработке стандартов.
4
ОПИСАНИЕ СИСТЕМЫ
Основные функции системы
Биллинговая система (автоматизированная система расчётов) UTM5 компании НетАП является полноценным решением для организации автоматического расчёта операторов связи с абонентами за предоставляемые услуги. Базовый модуль системы поддерживает обсчёт выделенных линий. Помимо этого, система позволяет создавать и вести учёт как периодических, так и разовых услуг. При использовании дополнительных модулей система может обсчитывать услуги IP-телефонии, коммутируемого доступа с учётом стоимости времени и беспроводного доступа к сети (хотспот).
Основные объекты системы (пользователи, услуги, тарифные планы и т.д.), а также их характеристики перечислены в главе Базовые объекты системы на стр. 23. Интерфейс администрирования описан в главе Интерфейс администратора на стр. 37. Примеры ра-боты с системой приведены в главе C чего начать на стр. 113.
В систему заложен универсальный механизм сбора статистики потреблённого трафика, что позволяет одновременно обсчитывать неограниченное количество каналов связи, пост-роенных на основе разнородных устройств.
Система UTM5 поддерживает ведение справочника клиентов, справочника банков, справочника маршрутизаторов и брандмауэров, справочника зон IP-адресов, справочника подключённых домов, справочника предоставляемых услуг и других справочников.
Настоящая версия системы UTM создавалась с учётом опыта работы и пожеланий пользователей предыдущих версий программы. Для удобства работы программа админис-трирования выполнена в виде графического совместимого с любой платформой интер-фейса, написанного на языке программирования Java.
Система полностью поддерживает работу с предоплаченными картами. Есть возмож-ность экспорта сгенерированных карт во внешний файл формата XML. Система поставляется с поддержкой русского и английского языков, но при необходимости пользо-вательский и администраторский интерфейс системы можно перевести на любой язык. Си-стема может работать с несколькими денежными единицами одновременно.
Систему можно использовать для генерирования бухгалтерских счетов и различных от-чётов, ведения базы договоров. Для более удобной технической поддержки клиентов в си-стеме имеется встроенная служба обмена сообщениями.
При необходимости система может блокировать доступ клиента к услугам, например, при исчерпании средств на лицевом счёте.
Пользовательский интерфейс системы построен на основе веб-технологий, что позво-ляет клиенту получать доступ к своему счёту, выпискам и статистике из любой точки мира с помощью любого браузера через Internet. Использование технологии XML и шаблонов при создании клиентского интерфейса позволяет администратору системы самостоятельно менять внешний вид интерфейса без ущерба его функциональности.
15
NetUP UTM5. Руководство администратора
1
Использование в системе такого понятия, как “класс трафика” позволяет вести учёт трафика из разных сетей, например, разделение трафика на отечественный и зарубежный, пиринговый и локальный. Разделение классов трафика можно производить по самым раз-личным признакам: сети источника и получателя, порты источника и получателя, тип службы (TOS), автономные системы источника и получателя, интерфейс маршрутизатора, через который проходит пакет и многое другое.
Cистема не поддерживает перерасчёт уже тарифицированных данных. В слу-чае ошибочного учёта рекомендуется внести поправку с помощью корректиро-вочных платежей.
Серверная часть биллинга (ядро системы) представляет собой многопоточное оптими-зированное приложение, обеспечивающее высокую производительность системы в целом. Это особенно актуально для сетей с большой клиентской базой и потребляющих большие объёмы трафика.
Способы включения системы в сеть
Универсальность биллинга допускает множество способов интеграции системы в существующую или планируемую инфраструктуру сети. Система UTM5 поддерживает ра-боту с множеством аппаратных и программных маршрутизаторов и не накладывает огра-ничения на количество одновременно обсчитываемых каналов связи и тип используемых при организации этих каналов устройств. Рассмотрим основные варианты.
• Локальная сеть подключена к Internet через аппаратный маршрутизатор, поддержива-ющий сбор статистики.
6
Описание системы
Маршрутизаторы Cisco, Mikrotik, NSG, Revolution и других производителей, как пра-вило, включают возможность экспорта статистики о переданном трафике. В этом случае сервер с биллингом может быть установлен как внутри локальной сети, так и вне неё (на-пример, в головном офисе, доступном через интернет). Сбор статистики о трафике и управ-ление маршрутизаторами производится удалённо.
• Локальная сеть подключена к Internet через коммутатор или аппаратный маршрутиза-тор, не поддерживающий сбор статистики.
В данном случае сервер устанавливается в сегмент локальной сети так, чтобы весь тра-фик, подлежащий учёту, был доступен серверу на уровне пакетов IP. Например, между ком-мутатором и локальной сетью включается концентратор (хаб), к порту которого подключается сервер. При работе сервер перехватывает все пакеты, идущие из локальной сети к коммутатору и обратно, анализирует их заголовки и обрабатывает полученную информацию.
• Локальная сеть подключена к интернету через программный маршрутизатор (РС-роу-тер)
При таком способе подключения биллинговую систему можно установить как на самом роутере, так и на удалённом сервере. Статистика снимается с интерфейса роутера и обра-батывается на локальной машине (в первом случае) или передаётся по сети и обрабатыва-ется на другом сервере (во втором случае).
Помимо описанных выше случаев подсчёта трафика локальных сетей возможно мно-жество других вариантов, например, обсчёт спутниковых каналов, либо произвольная комбинация приведенных выше способов подключений.
• Клиент подключается к интернету посредством коммутируемого доступа
Рис. 1. Работа UTM в сети с аппаратным маршрутизатором.
17
NetUP UTM5. Руководство администратора
1
В данном случае сервером доступа может быть как Cisco, так и PС-роутер с подключён-ными к нему модемами. Авторизация клиентов производится по протоколу RADIUS. Тари-фикация может производиться как по времени соединения, так и по объёму трафика клиентов.
• Клиент подключается к интернету по технологии Wi-Fi
Система поддерживает учёт услуг беспроводного доступа по технологии Wi-Fi, широко известных также как хотспот. Данный способ подключения часто используется в местах общественного доступа, например, гостиницы, кафе, аэропорты.
Структура системы UTM
Биллинговая система UTM представляет собой комплекс приложений, составляющий три группы: ядро системы, интерфейс администратора и интерфейс пользователя.
Ядро системы – основная программа, запускаемая на сервере и отвечающая за функ-ционирование биллинга в целом. Устройство ядра описано более подробно в главе Ядро
системы на стр. 129. Кроме ядра, на сервере могут выполняться вспомогательные утили-ты, отвечающие за работу по протоколу RADIUS (см. UTM5 RADIUS на стр. 143), импорт текстовых лог-файлов (см. Импорт текстовых файлов на стр. 161), низкоуровневые опе-рации по протоколу URFA (см. UTM5 Urfaclient на стр. 185), взаимодействие с платёжными системами (см. Платёжные системы на стр. 259), и формирование веб-интерфейса пользо-вателя.
Интерфейс администратора (см. Интерфейс администратора на стр. 37) представляет собой Java-приложение, устанавливаемое на рабочую станцию администратора и позво-ляющее настраивать систему и управлять ею. Это приложение является платформенно-не-зависимым и может исполняться под управлением любой ОС: Windows, Linux, FreeBSD.
Интерфейс пользователя – это набор программ, работающих совместно с веб-сервером и реализующих виртуальный кабинет пользователя системы.
Рис. 2. Работа UTM в сети коммутируемого доступа.
8
Описание системы
Кроме описанных интерфейсов, ядро может взаимодействовать с различными маршру-тизаторами и поставщиками информации о трафике, а также по протоколу NXT работать с внешними приложениями (см. Интеграция с 1C:Предприятие на стр. 313).
NXT (NetUP XML Transaction) – протокол прикладного уровня, использующий TCP в качестве транспортного протокола и SSL для шифрования данных и аутентификации от-правителя. Единицей обмена данными является транзакция. Каждая транзакция может быть адресована одному или нескольким компонентам системы и включает некоторый на-бор событий, предназначенных для обработки получающим компонентом.
Stream – бинарный протокол прикладного уровня, использующий TCP в качестве тран-спортного протокола и предназначенный для синхронной обработки.
Маршрутизатор Cisco
NetFlow поставщик
Брандмауэр
NAS
Интерфейс администратора
rfw
Web-интерфейс
Серверная часть (PHP5)
RADIUS сервер
Преобразователь статистики
Пользователь
Интерфейс дилера
Интерфейс кассира
utm5_flowgen
utm5_tray
utm5_payment_tool
utm5_urfaclient
Пользователь
VPN
HT
TP
HT
TP
S
RA
DIU
S a
uth
.
NetFlow v5 или v9
rsh
UR
FA
utm5_send_traffic+инф. о трафике
1C
Stream
Сервера биллингаutm5_send_cdr
+инф. о звонках
NXT v.1
Маршрутизатор
rfwБрандмауэр
Поставщик информациио трафике
RA
DIU
S a
cct.
UR
FA
Пользователь
Ядро
Stream сервер
NetFlow буфер
URFA сервер
NXT v.1 и NXT v.2 сервера
Модуль интеграциис платёжными системами
NXT v.2
Рис. 3. Схема работы базового модуля ядра с внешним окружением.
19
NetUP UTM5. Руководство администратора
2
UTM Remote Function Access (URFA)
URFA – это модуль доступа к ядру системы из внешних приложений. Он проводит ав-торизацию пользователей по схеме CHAP и обеспечивает работу удалённого пользователя. Протокол поддерживает передачу данных и вызов функций. URFA проверяет, разрешён ли данному пользователю доступ к вызываемой функции и, если разрешён, пользователю по-зволяется начать обмен данными. В противном случае система дает отказ в доступе.
Каждой сессии выделяется 128-битный случайный идентификатор (SID), повторение которого исключается. Этот SID может быть использован повторно для открытия доступа. В случае сбоя при восстановлении сессии SID будет удален, и пользователь вновь будет вы-нужден ввести логин и пароль. SID привязывается к IP-адресу клиента и автоматически удаляется после некоторого времени простоя. Восстановление сессии возможно лишь в случае, когда получен доступ с правами системного пользователя.
При открытии сессии создается таблица разрешенных вызовов, состоящая из списка функций, зарегистрированных на момент генерации в системе, и прав доступа к ним. Если после открытия сессии будут зарегистрированы другие функции, то эти вызовы войдут в число запрещённых для пользователя. В таком случае пользователю необходимо подклю-читься заново.
Разграничение прав
В системе пользователи делятся на три категории: конечные пользователи (клиенты, абоненты), дилеры, и администраторы (системные пользователи). В зависимости от типа пользователя, у него есть некоторый список разрешённых функций. Функции с отрица-тельным идентификатором разрешены для исполнения клиентам, функции с идентифика-торами от 0x70000000 по 0x7fffffff включительно доступны дилерам, все остальные функции – только администраторам. Взаимодействие по протоколам Stream, NXTv1 и NXTv2 разрешено только системным пользователям.
Выпуск новых версий
Перед каждой новой версией UTM5 сначала выпускается одна или несколько версий release candidate, пригодных для тестирования новой функциональности, но не рекомендуемых для коммерческой эксплуатации. Затем выпускается собственно release версия, которая включает в себя новый функционал и является стабильной. При наличии проблем в release версии могут быть выпущены update версии, в которых отсутствует но-вый функционал, однако исправлены найденные в процессе эксплуатации release версии проблемы.
Рекомендуется использовать для установки дистрибутив последней update версии, а при отсутствии таковой – последнюю из release версий.
0
Описание системы
Журналирование
Если какому-либо компоненту системы необходимо записать сообщение в журнал, он обращается к модулю журналирования и передает ему уровень и текст сообщения.
Существуют следующие уровни журналирования:
Модуль журналирования помещает текст сообщения в зависящий от настроек модуля и уровня события поток журналирования. Поток журналирования ассоциируется с указан-ным в настройках модуля файлом. По умолчанию все потоки ассоциированы со стандарт-ным потоком ошибок.
Существуют следующие потоки журналирования:
Некоторые компоненты могут активировать встроенный в модуль журналирования механизм ротации файлов. Если данный механизм активирован, после записи события в файл, модуль проверяет размер файла не превышение размера, указанного в конфигурации модуля. Если размер превышен, файл закрывается, к его имени добавляется суффикс. Если количество файлов ограничено, добавляется суффикс «.0». Если количество файлов не ог-раничено, добавляется суффикс «.<timestamp>», где <timestamp> – время закрытия файла в формате unix timestamp. Если файл с таким суффиксом существует, его суффикс увеличивается на единицу. После переименования всех файлов, проверяется количество файлов на превышение максимального количества, и если оно превышено, старые файлы удаляются.
Номер уровня
Название уровня
Описание
0 EMERG Системный сбой, функционирование невозможно
1 ALERT Сбои в работе, требующие немедленного рассмотрения
2 CRIT Критичные ошибки, сбои в работе
3 ERROR Некритичные ошибки
4 Warn Предупреждения
5 Notice Информация, на которую стоит обращать внимание
6 Info Информация общего характера
7 Debug Отладочная информация
8 Trace Дополнительная отладочная информация
9 Stats Статистика
Название потока Входящие уровни журналирования
Критический от 0 до 2
Основной от 0 до 3 плюс log_level
Отладочный все
21
NetUP UTM5. Руководство администратора
2
Настройки модуля журналирования рассмотрены при описании конфигурационных файлов соответствующих компонентов системы.
Интеграция с системой Рентсофт
UTM5 интегрирован с системой Рентсофт, позволяющей абонентам оформлять ежеме-сячную подписку на антивирус Касперского, ESET NOD32 и другие популярные антиви-русы и программные продукты. Списание оплаты за подписку производится вместе со списанием за интернет. Услуги, оказываемые при посредстве системы Рентсофт, не вно-сятся в список услуг UTM5, однако списания за данные услуги регистрируются, и вынесе-ны в отдельный отчёт – см. Интерфейс администратора: Индивидуальные услуги íà ñòð. 76. Счета за такие списания выставляются непосредственно после самого списания.
Подробные инструкции по настройке модуля интеграции, а также формы для ввода не-обходимых параметров доступны на сайте Рентсофт после регистрации провайдера по ссылке: http://rentsoft.ru/provider/new/netup_netup300/.
2
БАЗОВЫЕ ОБЪЕКТЫ СИСТЕМЫ
В этой главе перечислены базовые объекты системы, т. е. объекты, действующие для всей системы в целом. Базовые объекты могут оказывать на логику работы системы непосредственное или же опосредованное влияние.
Объекты, непосредственно влияющие на работу системы:
• Классы трафика (стр. 26);
• Телефонные зоны;
• Телефонные направления;
• Временные диапазоны (стр. 33).
Объекты, оказывающие опосредованное влияние:
• Тарифные планы (стр. 28);
• Расчётные периоды (стр. 27);
• Услуги (стр. 29);
• Валюты (стр. 33).
Например, такой объект, как класс трафика, влияет на работу системы постоянно и непосредственно, поскольку вся информация о трафике обрабатывается и классифициру-ется постоянно (если существует поставщик данной информации). А такой объект, как ва-люта, оказывает на работу системы опосредованное влияние, поскольку наличие или
Рис. 4. Соотношение базовых объектов системы.
23
NetUP UTM5. Руководство администратора
2
отсутствие той или иной валюты в системе не оказывает влияния на текущую работу, т. к. все расчеты в системе производятся во внутренних условных единицах и только потом, при выставлении счетов, активации карт или внесении платежей, происходит перерасчет из внутренних условных единиц в ту или иную валюту.
Пользователи
Пользователи – это конечные потребители услуг (IP-трафика, телефонии и др.), оплата которых контролируется биллинговой системой UTM5. С пользователями можно выпол-нять широкий круг операций: назначать услуги, выставлять счета, совершать платежи, просматривать статистику и т.д.
Пользователи могут объединяться в группы. У каждого пользователся имеется один или несколько лицевых счетов, с которыми могут быть ассоциированы услуги разных ти-пов, как по отдельности, так и в составе тарифных планов.
Существует разновидность пользователей со специальными свойствами – карточные пользователи, создаваемые при активации предоплаченных карт (см. Карты оплаты на стр. 26).
Интерфейс работы с пользователями описан в разделе Интерфейс администратора:
Пользователи на стр. 40. Групповые операции описаны в разделе Интерфейс админист-
ратора: Группы на стр. 45. Создание пользователей и прочие операции с ними описаны в примере Создание пользователя на стр. 117 и последующих примерах.
Лицевые счета
Лицевой счёт – это объект системы, содержащий информацию о финансовом состо-янии пользователя. C лицевым счётом могут быть связаны услуги посредством сервисных и тарифных связок.
Блокировки
Лицевой счёт может быть заблокирован, что приводит к приостановке предоставления всех связанных с ним услуг. Блокировка может быть системная (т.е. вводимая системой автоматически при недостатке средств на счёте или при превышении квоты) или админист-ративная (вводимая вручную в интерфейсе администратора).
Флаги Пересчитывать абонентскую плату и Пересчитывать предоплачен-
ный трафик, имевшиеся в свойствах счёта до версии 5.2.1-008 и влиявшие на поведение системы при блокировке счёта, перенесены в свойства сервисных связок (см. Сервисная связка на стр. 94).
Все возможные типы блокировки с учётом флагов перечислены ниже:
Тип Значение
0 Лицевой счёт не заблокирован
16 Присутствует системная блокировка
4
Базовые объекты системы
Обратите внимание, что статус интернет для счёта всегда меняется на Выкл. при блокировке, но не всегда включается при её снятии. Если блокировка была снята вручную, необходимо также вручную включить интернет для дан-ного пользователя.
Работа с лицевыми счетами в интерфейсе администратора производится на странице свойств пользователя (см. Тарификация: Лицевые счета на стр. 43). Создание лицевых счетов описано в примере Создание лицевого счёта на стр. 118.
Системные пользователи
Системные пользователи – особый класс пользователей, имеющих доступ к админист-рированию системы через центр управления UTM. Отличительной особенностью сис-темных пользователей является отрицательный идентификатор. Обычный пользователь не может в то же время являться системным, и наоборот . Изначально в системе присутст-вуют следующие системные пользователи:
• init – учётная запись системного администратора;
• web – учётная запись, под которой программа пользовательского интерфейса осу-ществляет доступ к системе;
• radius – учётная запись, под которой входит в систему сервер RADIUS.
• rfw – учётная запись демона rfw.
С системным пользователем связаны следующие свойства: логин, пароль, сеть, из ко-торой разрешено авторизоваться, и список групп, в которых пользователь состоит.
Интерфейс работы с системными пользователями описан в разделе Интерфейс адми-
нистратора: Системные пользователи на стр. 45.
4880112
Присутствует системная блокировка (устаревшие флаги)
256 Присутствует административная блокировка
76812801792
Присутствует административная блокировка (устаревшие флаги)
4112 Присутствует системная блокировка по квоте
414441764208
Присутствует системная блокировка по квоте (устаревшие флаги)
Тип Значение
25
NetUP UTM5. Руководство администратора
2
Системные группы
Права системного пользователя ограничены списком вызовов, разрешенных группам, в которых он состоит. Если системный пользователь входит в состав нескольких системных групп, то действует правило добавления: пользователь имеет суммарные привилегии всех групп, членом которых он является. Случаи вызова запрещённых операций заносятся в си-стемный журнал ядра. Изначально в системе заведены следующие системные группы:
• Wheel – администраторы (разрешены все системные функции ).
• Dealers – дилеры (доступны функции, связанные с заведением пользователей, назначе-нием услуг и внесением платежей).
Интерфейс настройки прав для системных групп описан в разделе Интерфейс адми-
нистратора: Системные группы на стр. 46.
Карты оплаты
Система поддерживает работу с картами оплаты, которые могут активироваться пользователями в web-интерфейсе (см. Web-интерфейс на стр. 221) или приложении utm5_tray (см. Утилита utm5_tray на стр. 215). Карты могут иметь либо ограниченную дату использования, либо ограниченный срок действия.
Если карта активирована для входа в систему, происходит создание карточного пользо-вателя с балансом, равным балансу карты. Созданный карточный пользователь получает логин вида card_NUM, где вместо card_ указывается префикс (системный параметр card_user_prefix, см. Ядро системы: Интерфейсные параметры на стр. 134), а вме-сто NUM – номер карты. Тарифный план карточного пользователя, а также некоторые дру-гие его свойства задаются администратором заранее при создании карт оплаты. Если к данной карте привязан тарифный план, тогда к основному лицевому счету пользователя подключатся услуги из этого тарифного плана. Если у карты задан срок действия, то её ба-ланс поступает на счёт пользователя в виде сгорающего платежа (см. Платежи на стр. 34) с данным сроком истечения.
Если карта активирована существующим пользователем для оплаты, то её баланс до-бавляется к балансу пользователя, а связанный с картой тарифный план игнорируется.
Интерфейс работы с карточными пользователями описан в разделе Интерфейс адми-
нистратора: Карточные пользователи на стр. 44. Создание карт оплаты описано в разделе Интерфейс администратора: Пул карт оплаты на стр. 47.
Классы трафика
Класс трафика – маркер, определяющий принадлежность трафика к определённой категории. Классификация трафика необходима для его последующей тарификации.
Трафик принадлежит классу, если:
• он принадлежит хотя бы одному из подклассов данного класса;
6
Базовые объекты системы
• он не принадлежит ни одному из подклассов данного класса с установленной опцией Пропустить;
• время поступления информации о трафике входит в указанный для класса трафика вре-менной диапазон, если таковой установлен.
Трафик проверяется на принадлежность классам в порядке убывания ID. Если трафик не принадлежит ни к одному классу, он попадает в класс с ID=0 (неклассифицированный).
С классом трафика связаны параметры отнесения межабонентского трафика и сохране-ния первичной информации, а также параметры отображения данного класса в статистике.
Подкласс трафика – набор признаков, по которым определяется принадлежность или отсутствие таковой к данному классу трафика. Отнесение трафика к подклассу происходит на основании набора признаков, присутствующих в информации о трафике. В качестве признаков могут выступать данные, содержащиеся в NetFlow-пакетах (адрес и порт источ-ника и адресата), а также адрес поставщика NetFlow (IP маршрутизатора).
Трафик принадлежит к подклассу, если:
• адрес отправителя и адрес получателя принадлежат сети отправителя и получателя, указанных в параметрах подкласса;
• остальные параметры NetFlow-записи совпадают с указанными в свойствах подкласса параметрами;
• IP-адрес поставщика NetFlow совпадает с IP-адресом, указанным в свойствах подклас-са, либо в свойствах подкласса не задан адрес поставщика.
Интерфейс работы с классами и подклассами трафика описан в разделе Интерфейс ад-
министратора: Классы трафика на стр. 52.
Расчётные периоды
Расчётный период – это период времени, в течение которого производятся периодичес-кие действия, определенные бизнес-логикой системы, например, удержание средств с лицевых счетов пользователей за периодические услуги и услуги с периодической состав-ляющей стоимости.
Расчётные периоды используются для проведения расчетов с абонентами за одно и то же время, например, с первого по первое число каждого месяца.
При закрытии расчётного периода в случае необходимости осуществляются следую-щие действия:
• досписание абонентской платы с учетом блокировок;
• перенос неистраченного предоплаченного трафика на следующий расчётный период;
• выставление счетов;
• автоматическая смена тарифного плана;
• обнуление баланса лицевых счетов у тех пользователей, которым назначена такая оп-ция;
27
NetUP UTM5. Руководство администратора
2
• если подключен модуль динамического шейпирования (см. UTM5 Dynashape на стр. 181): отправление событий Снятие ограничений для IP-адресов из сервисных свя-зок услуг с dynashape и выполнение соответствующих правил firewall;
• автоматическое создание нового расчётного периода. В качестве времени начала следу-ющего периода устанавливается время окончания предыдущего. Время окончания устанавливается автоматически в зависимости от типа периода. Тип периода (т.е. его длительность), а также количество списаний в неделю остаются неизменными. Все сер-висные и/или тарифные связки, ссылавшиеся на предыдущий расчётный период, при-вязываются к новому периоду.
Интерфейс работы с расчётными периодами описан в разделе Интерфейс администра-
тора: Расчетные периоды на стр. 56.
Тарифные планы
Тарифный план представляет собой пакет предоставляемых в комплексе услуг. Система позволяет создавать такие пакеты, а затем одной операцией (выбор тарифного плана) до-бавлять услуги пользователям. При назначении пользователю тарифного плана необходи-мо выбрать расчётный период и ввести настройки услуг (установить требуемые значения свойств сервисных связок), входящих в план. По окончании расчётного периода, в зависи-мости от настроек, план может либо продлеваться на следующий период, либо сменяться на другой совместимый план.
Интерфейс работы с тарифными планами описан в разделе Интерфейс администра-
тора: Тарифные планы на стр. 51. Связь лицевого счёта с тарифными планами осуществ-ляется посредством тарифных связок (см. пример Создание тарифной связки на стр. 121).
Совместимость тарифных планов
Для корректного переключения настроек услуг необходимо, чтобы тарифный план, на который происходит переключение, был совместим с подключенным в текущий момент.
Между услугами совместимых тарифных планов имеется взаимно однозначное соот-ветствие. Это означает, что система без вмешательства оператора может поменять тариф-ный план, сохраняя полезную информацию из сервисных связок, такую, как например IP-адреса в услуге передачи IP-трафика.
Несовместимые тарифные планы система так-же может переключать, но услуги, которых нет в тарифном плане следующего учетного периода, будут удалены.
Пример. Пусть пользователю подключена ус-луга А в составе тарифного плана 1, и тарифный план следующего учетного периода – 2, в состав
Рис. 5. Смена тарифного плана.
8
Базовые объекты системы
которого входит услуга Б. Для того, чтобы произошел корректный перенос всех параме-тров подключенной услуги А, необходимо, чтобы обе услуги (А и Б) происходили от обще-го шаблона В (см. Рис. 5).
Услуги
Услуга – базовый объект системы, определяющий правила тарификации.
Интерфейс работы с услугами описан в разделе Интерфейс администратора: Услуги
на стр. 57. Связь пользователя с услугами осуществляется посредством сервисных связок (см. пример Создание сервисной связки на стр. 120). Сервисные связки могут создавать-ся по одной, или же группами в составе тарифного плана.
В качестве общих параметров услуги выступают:
• Идентификатор услуги;
• Название услуги (обязательный параметр);
• Комментарий к услуге;
• Вид услуги;
• Тип услуги.
Вид услуги определяет область применимости услуги. В системе существуют следую-щие виды услуг:
• Обычная услуга;
• Услуга тарифного плана.
Тип услуги определяет набор правил тарификации, задаваемых данной услугой. В сис-теме существуют следующие типы услуг:
Для каждого типа услуг существуют свои специфичные параметры, которые рассмат-риваются при описании соответствующих типов услуг (см. Типы услуг на стр. 31). Логика тарификации также зависит от типа и рассматривается при описании соответствующих ти-пов услуг.
Тип Значение
1 Разовая
2 Периодическая
3 Услуга передачи IP-трафика
4 Услуга hotspot
5 Услуга коммутируемого доступа
6 Услуга телефонии
29
NetUP UTM5. Руководство администратора
3
Цены услуг указываются без учёта налогов. Ставки налога на добавленную стоимость и налога с продаж указываются в свойствах лицевого счёта пользователя и учитываются при списании средств.
Для услуг всех типов, кроме Разовая услуга, существуют параметры даты начала и даты окончания действия услуги. Дата начала действия услуги – срок начала предоставле-ния услуги и списаний за нее. В текущей версии UTM5 данный параметр не используется. Дата окончания действия услуги – срок завершения предоставления услуги и списаний за неё. При наступлении этой даты услуга будет удалена, если на неё не ссылается ни одна сервисная связка.
Для типов услуг:
• услуга передачи IP-трафика
• услуга коммутируемого доступа
• услуга hotspot
• услуга телефонии
существуют параметры периодической составляющей стоимости услуги. Списания со счетов пользователей по данной составляющей производятся аналогично списаниям по пе-риодической услуге, но в отчётах отображаются как списания за услуги соответствующих типов.
Виды услуг
Обычная услуга
Обычные услуги создаются в случае, если они будут использоваться для некоторых пользователей в системе в определенных ситуациях, не зависящих от тарифного плана, вы-бранного абонентом. Например, разовая услуга “Выезд настройщика”.
Обычная услуга:
• создается непосредственно (без участия шаблонов);
• порождает сервисные связки в неограниченном количестве;
• не может входить в состав тарифного плана.
Услуга, входящая в состав тарифного плана
Услуга, входящая в состав тарифного плана, предназначена для включения в тарифные планы.
Услуга, входящая в состав тарифного плана:
• создается на основании шаблона;
• может использоваться только в составе тарифного плана;
• порождает ограниченное количество сервисных связок (ограничено количеством та-рифных связок).
0
Базовые объекты системы
Специфичным параметром, отличающим данный вид услуги от обычной услуги, явля-ется опция Подключать услугу по умолчанию. Если данная опция установлена, то при создании в ручном режиме тарифной связки для тарифного плана, в который входит услу-га, будет отображено окно создания сервисной связки для данной услуги. При автоматичес-ком создании тарифной связки, в которую входит данная услуга, если данная опция установлена, сервисная связка будет создана автоматически с параметрами по умолчанию.
Шаблоны услуг
Шаблоны услуг используются при создании услуг, входящих в состав тарифных пла-нов, и при автоматической смене тарифных планов в момент закрытия расчетного периода.
Шаблон услуги:
• создается непосредственно;
• не является услугой (не порождает сервисные связки и не входит в тарифные планы);
• играет роль родителя для услуг тарифного плана.
Интерфейс для создания шаблонов услуг и операций с ними описан в разделе Интер-
фейс администратора: Шаблоны услуг на стр. 64.
Имеет смысл создать по одному шаблону для каждого логического типа услуг. Напри-мер,
• один шаблон услуг для абонентской платы;
• один шаблон услуг для оплаты использования реального IP-адреса;
• один шаблон услуг для передачи трафика обычных пользователей;
• один шаблон услуг для передачи трафика пользователей, использующих обособленное адресное пространство и т.д.
В свойствах каждого такого шаблона можно задать наиболее часто используемые пара-метры для данного логического типа услуг. Эти параметры будут использоваться по умол-чанию при создании услуги, входящей в состав тарифного плана.
Типы услуг
Разовая услуга
Разовая услуга предназначена для единовременных списаний денежных средств с ли-цевого счета абонента. Стоимость может быть отрицательной; в этом случае услуга факти-чески применяется для пополнения счёта абонента. Время списания определяется параметрами сервисной связки. Одновременно со списанием средств может быть назна-чено удаление пользователя из заданной группы.
Интерфейс создания услуги см. в разделе Разовая услуга на стр. 58, а соответствую-щей сервисной связки – в разделе Сервисная связка разовой услуги на стр. 94.
31
NetUP UTM5. Руководство администратора
3
Периодическая услуга
Периодическая услуга предназначена для периодических списаний с лицевого счёта абонента. Списания могут происходить в начале расчётного периода, в конце, или порци-ями в течение всего периода. Стоимость, списываемая в начальном расчётном периоде, мо-жет быть перерасчитана в зависимости от указанных при создании сервисной связки параметров, а списываемая в текущем расчётном периоде – в зависимости от параметров лицевого счета или параметров блокировки, установленной на нём.
Интерфейс создания услуги см. в разделе Периодическая услуга на стр. 58, а соот-ветствующей сервисной связки – в разделе Сервисная связка периодической услуги на стр. 95.
Услуга передачи IP-трафика
Услуга передачи IP-трафика предназначена для тарификации трафика. Стоимость мо-жет зависеть от времени и от количества потреблённого трафика. Определённое количест-во трафика может пропускаться бесплатно (т. н. предоплаченный трафик). Также могут быть заданы квоты, по достижении которых клиент блокируется.
Интерфейс создания услуги см. в разделе Услуга передачи трафика на стр. 60, а соот-ветствующей сервисной связки – в разделе Сервисная связка услуги передачи трафика
на стр. 98.
Услуга hotspot
Услуга hotspot предназначена для организации hotspot-доступа с тарификацией по вре-мени, используя авторизацию пользователей по протоколу RADIUS, если это поддержива-ется оборудованием, или с помощью стандартного web-интерфейса системы, входящего в поставку. Стоимость соединения может быть задана разной для разных временных диапа-зонов.
Интерфейс создания услуги см. в разделе Услуга hotspot на стр. 61, а соответствующей сервисной связки – в разделе Сервисная связка услуги hotspot на стр. 100.
Услуга dialup
Услуга dialup предназначена для организации коммутируемого доступа с тарификацией по времени. Стоимость соединения может быть задана разной для разных временных диа-пазонов.
Интерфейс создания услуги см. в разделе Услуга коммутируемого доступа на стр. 62, а соответствующей сервисной связки – в разделе Сервисная связка услуги коммутируе-
мого доступа на стр. 100.
Услуга телефонии
Услуга телефонии предназначена для тарификации телефонных звонков. Стоимость звонка может быть задана зависящей от направления и от времени, а также может включать фиксированную плату за соединение. Абоненту может предоставляться некоторое коли-
2
Базовые объекты системы
чество предоплаченного времени. Вызывающий или вызываемый телефонный номер дол-жен быть зарегистрирован в свойствах сервисной связки услуги телефонии, иначе тарификация звонков невозможна.
Интерфейс создания услуги см. в разделе Услуга телефонии на стр. 63, а соответству-ющей сервисной связки – в разделе Сервисная связка услуги телефонии на стр. 101.
Временные диапазоны
Временной диапазон – период или объединение периодов времени. Временные диапа-зоны используются для задания услуг, доступных только в определённые периоды време-ни, или услуг, стоимость которых зависит от времени.
Интерфейс управления временными диапазонами описан в разделе Интерфейс адми-
нистратора: Временные диапазоны на стр. 64.
Валюты
Валюта – денежная единица системы. NetUP UTM5 поддерживает работу с любым количеством валют . Система оперирует внутренними условными единицами. Валюты ис-пользуются только при внесении платежей и при выставлении счетов. При внесении плате-жей валюты конвертируются во внутренние условные единицы системы для определения суммы средств, поступающих на лицевой счет . При выставлении счетов внутренние ус-ловные единицы системы конвертируются в валюты для определения стоимости позиций в счете, налогов и суммы счета.
C каждой валютой связаны: курс, процент (искусственная поправка к курсу), и история изменения курса за всё время функционирования системы. История используется для оп-ределения курса при финансовых операциях, проводимых задним числом. Имеется воз-можность online-обновления курса.
Интерфейс управления валютами описан в разделе Интерфейс администратора: Ва-
люта на стр. 66.
За каждым абонентом закреплена валюта, в которой будут происходить операции взаи-морасчетов между провайдером и абонентом. По умолчанию закреплённая валюта абонен-та определяется значением системного параметра system_currency (см. Интерфейс
администратора: Список параметров на стр. 76). NetUP UTM5 поддерживает смену закреплённой за абонентом валюты в любой момент времени на любую другую, зарегист-рированную в системе. В результате смены валюты все счета на оплату услуг будут отобра-жаться во вновь выбранной валюте, независимо от того, были ли они сгенерированы системой до момента смены валюты или же после.
Управление закреплённой валютой абонента описано в пункте Пользователь: Другое
на стр. 42.
33
NetUP UTM5. Руководство администратора
3
Платежи
Платежи в системе могут вводиться несколькими способами, а именно:
• автоматический ввод платежей на лицевой счет абонента при оплате абонентом услуг провайдера через электронные платежные системы;
• автоматический ввод платежей на лицевой счёт абонента из стороннего программного обеспечения с помощью утилиты utm5_payment_tool;
• ручной ввод платежа администратором системы (оператором) посредством центра управления UTM, интерфейса дилера или интерфейса кассира.
Ввод платежа администратором или оператором системы производится на странице Внести платеж, вызываемой одноимённой кнопкой из списка пользователей или из окна детализации информации по пользователю.
В диалоге ввода платежа администратору предоставляется возможность внести сумму, валюту, дату платежа, а также некоторые другие данные. В частности, имеется необяза-тельный параметр – номер внешнего или внутреннего платежного документа, являющего-ся основанием для платежа.
Существует возможность указать в свойствах платежа флаг Включить Internet, чтобы включить интернет для пользователя, если его баланс после проведения платежа окажется положительным.
Можно указать у платежа дату истечения. Платежи с установленной датой истечения называются сгорающими платежами и суммируются в отдельном отчёте. При наступлении даты истечения, если платёж истрачен не полностью (т. е. если сумма списаний со счёта за время, прошедшее со внесения этого платежа, меньше суммы платежа), он сгорает: неистраченный остаток платежа изымается со счёта клиента. Если до времени истечения поступают другие сгорающие платежи, то сгорание всех откладывается до самой поздней из их дат истечения.
Имеется возможность вносить платежи с методом Кредит. Платежи данного типа ото-бражаются в балансе лицевых счетов клиента отдельной колонкой. У платежей типа Кре-
дит также обязательно устанавливается дата истечения, при наступлении которой платёж аннулируется. При этом проверяется общий кредит счёта, и если при возврате полной сум-мы кредита он стал бы отрицательным, то возвращается меньшая сумма, так, чтобы общий кредит счёта стал нулевым. Помимо кредитных платежей и возвратов, общий кредит счёта можно быть изменён вручную в интерфейсе администратора (см. Лицевой счет: Кредит на стр. 93).
Интерфейс ввода платежей описан в разделе Интерфейс администратора: Внести
платеж на стр. 91.
4
Базовые объекты системы
Откат платежа
В системе UTM5 реализована функция отката платежа. Операция отката платежа производится администратором или оператором системы UTM5 через центр управления. Формально откат происходит через внесение платежа с противоположной суммой и со спе-циальным методом платежа – Откат.
Процедура отката неприменима к сгорающим и кредитным платежам.
Откат платежей производится через контекстное меню в отчете по платежам, см. Ин-
терфейс администратора: Отчет по платежам на стр. 72.
Документы
Система позволяет формировать следующие виды документов:
• Памятки пользователя;
• Договора;
• Квитанции об оплате;
• Счета;
• Счета-фактуры;
• Акты выполненных работ.
Документы генерируются на основе шаблонов (см. Настройки: Шаблоны документов
на стр. 81). Пользовательские договора хранятся в системе по отдельности, т.е. каждый сформированный договор после создания доступен через интерфейс администратора и мо-жет быть изменён согласно индивидуальным требованиям (см. Пользователь: Договора
на стр. 42). Все остальные документы (памятки, счета и т. д.) генерируются из шаблонов полностью автоматически, непосредственно перед использованием.
Счета
Счета за услуги доступны через отчёт по счетам (см. Отчеты: Отчёт по счетам на стр. 73). Счета можно выставлять вручную и автоматически. При ручном выставлении счёта баланс пользователя не изменяется.
Счет за разовую услугу выставляется сразу после её подключения. Счета за периоди-ческие услуги и периодическую составляющую стоимости специализированных услуг вы-ставляются пользователю в начале расчётного периода, если в свойствах услуги задан метод снятия средств В начале расчётного периода и у соответствующего лицевого счёта пользователя выставлен параметр Работа по предоплате (см. Пользователь: Основные
параметры на стр. 41), а в противном случае – в конце периода.
При автоматическом выставлении счетов позиции в них агрегируются по тарифным связкам (за исключением услуг телефонии, которые выделяются в отдельный счёт) и по расчетным периодам. Новые услуги, подключённые в течение текущего периода, не участ-вуют в агрегации, если у лицевого счёта выставлен параметр Работа по предоплате.
35
NetUP UTM5. Руководство администратора
3
Выставленные счета генерируются из шаблонов непосредственно перед использовани-ем, и могут быть отредактированы для печати, но без сохранения.
Счета с отрицательной ставкой НДС в системе не отображаются.
IP-адреса
Многие объекты системы включают в качестве одного из своих свойств диапазон IP-адресов (т.е. адрес и маску). В интерфейсе администратора IP-адрес и маска, как правило, вводятся в одном общем поле ввода в формате <адрес>/<число значащих бит>. Если введён только адрес, он интерпретируется как диапазон с максимально узкой маской, со-держащей единственный адрес.
UTM5 поддерживает ввод адресов как в формате как IPv4, так и в IPv6. Адреса IPv6 за-писываются стандартным образом, с возможностью сокращения (2001:0db8:0000:0000: 0000:0000:ae21:ad12 сокращается до 2001:db8::ae21:ad12).
6
ИНТЕРФЕЙС АДМИНИСТРАТОРА
Центр управления UTM5 – программа, с помощью которой производится управление учётными записями и настройками биллинговой системы. Примеры работы с центром управления описаны в главе C чего начать на стр. 113.
Версия интерфейса должна совпадать с версией ядра UTM5. В противном слу-чае интерфейс может работать некорректно.
Меню верхнего уровня программы описано в разделе Меню. Общие принципы органи-зации интерфейса различных страниц описаны в разделе Общие принципы (стр. 39). Основные страницы интерфейса доступны с помощью ссылок на левой панели, объеди-нённых в следующие сворачиваемые группы:
• Пользователи и группы (стр. 40);
• Сообщения (стр. 50);
• Тарификация (стр. 51);
• Справочники (стр. 66);
• Отчеты (стр. 67);
• Настройки (стр. 76);
• Интерфейсы (стр. 84);
• Дополнительно (стр. 89);
• 1С (стр. 89) – присутствует при наличии модуля интеграции с 1С;
• О программе (стр. 90).
Отдельные страницы могут быть скрыты от конкретного системного пользователя вви-ду отсутствия полномочий на чтение. Если все страницы группы скрыты, то скрывается также сама группа.
Страницы, не вызываемые непосредственно с левой панели или стандартными кноп-ками Добавить и Редактировать с основных страниц, описаны в разделе Прочие страни-
цы (стр. 91).
Запущенная программа отображается иконкой в системном трее (см. Иконка в трее на стр. 102).
Меню
Ниже описано назначение пунктов меню верхнего уровня.
37
NetUP UTM5. Руководство администратора
3
Система
• Переподключиться – останавливает центр управления и открывает окно подключения (см. C чего начать: Установка и запуск на стр. 113).
• Импорт – открывает окно импорта (см. Импорт структурированных данных на стр. 195).
• Выход – закрывает центр управления.
Настройки
• Настройки – открывает окно ввода настроек. Содержит следующие настройки:
° UsersPerPage – количество пользователей на одной странице (см. Пользователина стр. 40);
° TurnInternetOn – значение по умолчанию флага подключения Интернет для созда-ваемых лицевых счетов;
° CSVSeparator – выбор символа-разделителя для экспортируемых файлов CSV (ва-рианты: запятая или точка с запятой);
° NotVPN – значение по умолчанию флага Не VPN для создаваемых IP-групп;
° DoNotAffectFW – значение по умолчанию флага Не применять правила firewall
для создаваемых IP-групп;
° RecalcAbonPeriodicSL – значение по умолчанию флага Пересчитывать абонент-
скую плату для создаваемых сервисных связок периодических услуг;
° RecalcAbonHotspotSL – то же самое для услуг hotspot;
° RecalcAbonTelSL – то же самое для услуг телефонии;
° RecalcAbonDialupSL – то же самое для услуг коммутируемого доступа;
° RecalcAbonIPSL – то же самое для услуг передачи IP-трафика;
° RecalcTrafficIPSL – значение по умолчанию флага Пересчитывать предоплачен-
ный трафик для создаваемых сервисных связок услуг передачи IP-трафика;
° UseCustomPassword – использовать отдельно задаваемый набор символов при генерации паролей для создаваемых пользователей;
° CustomPasswordCharset – набор символов, используемых для генерации пароля при проставленном флаге UseCustomPassword;
° CustomPasswordLength – длина генерируемых паролей при проставленном флаге UseCustomPassword;
° DoubleRounding – количество цифр после запятой, до которого округляются денежные суммы;
° FirstTime – флаг запуска в первый раз;
° Language – язык интерфейса;
° SavePassword – флаг сохранения пароля;
° SaveSettings – флаг сохранения настроек.
• Горячие клавиши – открывает окно назначения горячих клавиш для различных типич-ных действий.
8
Интерфейс администратора
• Сообщения – позволяет настроить опции предпросмотра сообщений (см. Сообщенияна стр. 50).
• Временная зона – позволяет выбрать часовой пояс из выпадающего списка.
При установке UTM5 часовой пояс автоматически берётся из настроек опера-ционной системы.
Помощь
• О программе – выводит информацию о версии программы.
Общие принципы
На основных страницах интерфейса приведены таблицы со списками сущностей (поль-зователи, услуги и т.д.), с рядом характеристик для каждой сущности.
Нажатие правой кнопкой мыши на списках вызывает контекстное меню, содержащее команды: Редактировать, Удалить (если это допускается полномочиями пользователя), Обновить, Столбцы, а на некоторых страницах также специальные дополнительные команды, описанные в соответствующих разделах.
Столбцы таблиц можно перетаскивать мышью. Можно также индивидуально настраи-вать ширину столбцов, перемещая мышью их границы. Отображение отдельных столбцов включается и выключается посредством контекстного меню (пункт Столбцы). Как прави-ло, настройки по умолчанию подразумевают отображение всех доступных характеристик (т.е. максимально возможное количество столбцов во всех таблицах).
Записи в таблице могут быть отсортированы по любому столбцу путём нажатия на его заголовок. Повторное нажатие изменяет порядок сортировки на обратный.
В таблице можно выделить несколько записей одновременно, пользуясь левой клави-шей мыши при нажатой кнопке Shift (выделяется диапазон) или Ctrl (выделяются отдель-ные записи). Нажатие Ctrl-A выделяет все записи.
Пункт контекстного меню Экспорт позволяет экспортировать список в формате CSV или XML, с учётом текущих настроек отображения столбцов.
Список может иметь интерфейс для добавления, удаления, или изменения своих элементов (кнопки Добавить, Редактировать и Удалить), если это соответствует предназ-начению данной страницы и допускается полномочиями пользователя. В случае недоста-точных полномочий некоторые кнопки могут быть отключены. Если пользователь имеет только права просмотра, кнопка Редактировать заменяется на Просмотреть. Как правило, для добавления или изменения элемента открываются специальные интерфейсные окна.
Кнопка , присутствующая в некоторых окнах редактирования, сбрасывает все
несохранённые изменения.
Кнопка позволяет обновить список, т.е. отобразить изменения, которые
могли быть внесены в других открытых окнах центра управления, или другим админист-ратором, или произойти автоматически.
39
NetUP UTM5. Руководство администратора
4
Верхнее меню (см. Меню на стр. 37), левая панель со списком страниц, и строка статуса в нижней части (отображает время по часам сервера) остаются доступными на любой из страниц интерфейса.
При потере соединения с ядром UTM5 фокус перемещается на всплывающее окно пе-реподключения.
Пользователи и группы
Пользователи
На странице Пользователи приведён сводный список пользователей (см. Базовые
объекты системы: Пользователи на стр. 24), содержащий следующую информацию о клиентах:
• Логин – логин пользователя в системе.
• ID – идентификатор пользователя.
• Наименование – полное имя или название организации.
• Основной лицевой счёт – номер основного лицевого счёта пользователя.
• Тип блокировки – статус блокировки основного лицевого счёта пользователя.
• Баланс – суммарный баланс всех лицевых счетов пользователя.
• IP (VPN) и IP (не VPN) – список сетей, заданных для данного пользователя в свойствах сервисных связок услуг передачи IP-трафика.
Страница содержит следующие интерфейсные элементы:
• Кнопка открывает окно добавления пользователя (см. Добавление поль-
зователя на стр. 41).
• Кнопка открывает окно свойств пользователя. В окне имеется ряд
страниц, доступных с помощью ссылок на левой панели, которые сгруппированы в сле-дующие сворачиваемые группы: Пользователь (стр. 41), Тарификация (стр. 43) и От-
четы (стр. 43).
• Кнопка удаляет пользователя, если предварительно удалены все ассоци-
ированные с ним сервисные и тарифные связки. В противном случае выдаётся сообще-ние об ошибке.
• Кнопка открывает окно поиска (см. Поиск пользователей на стр. 91).
• Кнопка открывает окно внесения платежа (см. Внести платеж на
стр. 91).
Контекстное меню списка пользователей позволяет быстро проделать с выбранным пользователем следующие операции:
• Включить Интернет;
• Выключить Интернет;
0
Интерфейс администратора
• Внести платеж.
Список пользователей, в отличие от большинства других списков, отображается по-странично; интерфейс для выбора настроек отображения (числа пользователей на страни-це и номера страницы) расположен в нижней части списка. Количество пользователей на странице сохраняется при выходе из программы.
Строки списка выделены цветом: красный означает, что счета пользователя заблокиро-ваны, зелёный – что не заблокированы, жёлтый – что некоторые из счетов заблокированы, а некоторые нет.
Добавление пользователя
Окно добавления пользователя подразделяется на следующие страницы:
• Основные параметры – логин, наименование, пароль и параметр Работать по пре-
доплате. Логин проверяется на уникальность, и может включать следующие символы: строчные буквы (a-z), цифры (0-9), точки, запятые, “@”, “_”, “-” и “/”. Имеется возмож-ность сгенерировать случайный пароль, который автоматически подставляется в поля Пароль и Подтверждение, а также показывается явно в поле Сгенерированный па-
роль.Данная пара логин:пароль применяется только для доступа к пользовательскому интер-фейсу (см. Утилита utm5_tray на стр. 215 и Web-интерфейс на стр. 221).
• Дополнительные параметры – паспортные данные и банковские параметры, а также дополнительно заведённые параметры пользователя (см. Настройки: Дополнитель-
ные параметры на стр. 76).
• Контакты – персональные данные (адрес, телефон, e-mail) контактного лица.
• Другое – прочие параметры, ассоциированные с данным пользователем (адрес и порт удалённого коммутатора; закреплённая валюта пользователя).
Пользователь
Группа страниц Пользователь в окне свойств пользователя включает следующие стра-ницы:
• Основные параметры – логин, наименование, пароль и следующие элементы:
Рис. 6. Список пользователей.
41
NetUP UTM5. Руководство администратора
4
° параметр Работа по предоплате (если отмечен, то для периодических услуг с мето-дом снятия средств В начале расчётного периода счета выставляются пользовате-лю также в начале периода; на порядок списаний не влияет);
° кнопка Показать памятку пользователя – показывает памятку для пользователя (контактная информация, логин, пароль);
° кнопка Привязать к дилеру – позволяет привязать пользователя к какому-нибудь из существующих дилеров (см. Модуль дилера на стр. 203), т.е. открыть данному ди-леру доступ к этому пользователю.
• Дополнительные параметры – паспортные данные и банковские параметры, а также дополнительно заведённые параметры пользователя (см. Настройки: Дополнитель-
ные параметры на стр. 76). Банковские параметры могут быть заполнены автомати-чески при связывании пользователя с банком (см. Список банков на стр. 67).
• Контакты – персональные данные (адрес, телефон, e-mail) контактного лица. Адрес может быть заполнен автоматически при связывании пользователя с домом (см. Домана стр. 67).Также на этой странице находится флаг Высылать счета по email, активируемый при вводе e-mail.
• Дополнительные контакты – список данных дополнительных контактных лиц.
• Группы – группы, в которые входит данный пользователь, с возможностью добавления в группы и удаления из них.
• Другое – прочие параметры, ассоциированные с данным пользователем (адрес и порт удалённого коммутатора; закреплённая валюта пользователя).
• Договора – список договоров для данного пользователя, с возможностью редактирова-ния, добавления, удаления, и подписания. Первоначально договора создаются на осно-ве шаблонов (см. Шаблоны документов на стр. 81), но могут быть отредактированы произвольным образом. После подписания договор невозможно ни редактировать, ни удалять.
• Информация – служебная информация (дата и время создания пользователя и послед-него изменения его данных), доступная только для просмотра.
Рис. 7. Окно свойств пользователя.
2
Интерфейс администратора
Тарификация
Группа страниц Тарификация в окне свойств пользователя включает следующие стра-ницы:
• Лицевые счета – список лицевых счетов пользователя с интерфейсом для добавления, изменения и удаления лицевых счетов, а также для вноса платежей.
Редактирование и добавление производится в открывающемся окне свойств лицевого счета (см. Лицевой счет на стр. 92).
Использование описано в примерах Создание лицевого счёта на стр. 118 и Удаление
дополнительного лицевого счёта на стр. 119.
Чтобы сменить условия блокировки лицевого счёта, если он уже заблокирован, необходимо временно снять существующую блокировку и затем наложить её снова с изменёнными условиями.
• Сервисные связки – список сервисных связок данного пользователя с интерфейсом для добавления, изменения и удаления, а также со следующими элементами:
° Предоплаченный трафик – настройка предоплаченного трафика (активируется, когда в списке выбрана сервисная связка услуги передачи IP-трафика);
° Установка RADIUS атрибутов – ввод RADIUS-атрибутов для выбранной сервис-ной связки;
° Выбор счета – выпадающий список для выбора одного из лицевых счетов пользо-вателя.
Редактирование и добавление производится в открывающемся окне свойств сервисной связки (см. Сервисная связка на стр. 94).
Использование описано в примере Создание сервисной связки на стр. 120.
• Тарифные связки – список тарифных связок пользователя с интерфейсом для добав-ления, изменения и удаления, а также со следующими элементами:
° История – выводит историю предыдущих тарифных планов пользователя;
° Выбор счета – выпадающий список для выбора одного из лицевых счетов пользо-вателя.
Редактирование и добавление производится в открывающемся окне свойств тарифной связки (см. Тарифная связка на стр. 93).
Использование описано в примере Создание тарифной связки на стр. 121.
• Технические параметры – произвольные параметры, ассоциированные с лицевым счетом данного пользователя. Значения технических параметров могут подставляться в команды для управления сторонним ПО, отправляемые системой при определённых событиях, см. UTM5 RFW: Правила firewall на стр. 168.
Отчеты
Группа страниц Отчеты в окне свойств пользователя содержит интерфейс формирова-ния отчётов для выбранного пользователя. Отдельные виды отчётов расположены на отдельных страницах. Интерфейс идентичен таковому на страницах общих отчётов (см. Отчеты на стр. 67), за исключением следующих деталей:
43
NetUP UTM5. Руководство администратора
4
• Отсутствует возможность выбора группы;
• На всех страницах, за исключением отчётов типа Детальный трафик, Графические
отчеты и Изменения пользователей, имеется выпадающий список, позволяющий вы-брать для формирования отчёта один из лицевых счетов пользователя, или все счета.
• На странице отчёта по счетам присутствует кнопка Новый счет.
Присутствуют следующие виды отчётов:
• Основной – отчет начислений и списаний по услугам всех типов.
• Блокировки – отчет по блокировкам данного пользователя (тип блокировки, время на-чала, время окончания).
• Трафик – потребление трафика с детализацией по классам.
• Телефония – статистика звонков.
• Телефонные направления – сводная статистика звонков по направлениям.
• Dialup и VPN – статистика dialup-соединений.
• Платежи – список платежей.
• Услуги – список услуг.
• Другие списания – списания, не связанные с услугами (сгорание платежа, откат плате-жа, обнуление в начале периода, если такая опция задействована).
• Движение средств – внутренний перенос средств между счетами, осуществляемый самими пользователями.
• Детальный трафик – потребление трафика с полной детализацией (адрес и порт ис-точника и получателя).
• Счета – список счетов. Имеется кнопка Новый счет, позволяющая сформировать но-вый счет с произвольными позициями.
• Изменения пользователя – список изменений пользовательской информации.
• Сгорающие платежи – список сгорающих платежей.
• Графические отчеты – отчет о потреблении услуг (IP-трафик, dialup, телефония) в гра-фической форме.
• Индивидуальные услуги – отчёт по списаниям, произведённым по запросу сторонних приложений, интегрированных с UTM5.
Карточные пользователи
На этой странице перечислены карточные пользователи, сгенерированные автомати-чески при входе по картам оплаты на странице автоматической регистрации в web-интер-фейсе (см. Web-интерфейс: Вход в систему на стр. 221). Добавление карточных пользователей вручную не предусмотрено. Страница содержит следующие интерфейсные элементы:
• Кнопка открывает окно свойств пользователя.
4
Интерфейс администратора
• Кнопка удаляет карточного пользователя, если предварительно удалены
все ассоциированные с ним сервисные и тарифные связки.
• Кнопка открывает окно внесения платежа (см. Внести платеж на
стр. 91).
• Кнопка удаляет пользователей, связанных с просроченными картами.
Интерфейс создания карт оплаты описан в разделе Пул карт оплаты на стр. 47.
Системные пользователи
На данной странице приведён список системных пользователей (см. Базовые объекты
системы: Системные пользователи на стр. 25) с возможностью добавления, редактиро-вания и удаления. При создании или редактировании системного пользователя можно включить его в одну или несколько системных групп (см. Системные группы на стр. 46), что определяет его права.
Кнопки и открывают
окно свойств системного пользователя, содержащее следующие поля ввода:
• ID – идентификатор пользователя.
• Логин – логин в системе.
Логины системных пользователей не могут совпа-дать с логинами обычных пользователей.
• Пароль – пароль для входа в систему.
• IP, маска – адрес подсети, из которой разрешается дос-туп пользователю (необязательный параметр). См. IP-
адреса на стр. 36 по поводу формата ввода.
• Системные группы – список системных групп, в которые входит данный пользова-тель. Изменения, внесённые в список системных групп, вступают в силу только после перезапуска ядра UTM5.
Дилеры
На данной странице приведён список дилеров с возможностью добавления, редактиро-вания и удаления. Дилеры обладают возможностью выполнять отдельные функции адми-нистратора по отношению к части пользователей.
Назначение дилеров, их создание и операции с ними описаны в главе Модуль дилера
на стр. 203.
Группы
На данной странице приведён список групп пользователей с возможностью добавле-ния, редактирования, удаления группы, и групповых операций.
Рис. 8. Добавление системного пользователя
45
NetUP UTM5. Руководство администратора
4
Редактирование может включать в себя удаление пользователей из данной группы. До-бавление пользователей в группу может производиться на странице свойств пользователя (см. Пользователь: Группы на стр. 42), а также на странице поиска (см. Поиск пользова-
телей на стр. 91).
Возможны следующие групповые операции:
• Включить Интернет для всех участников данной группы;
• Выключить Интернет для всех участников данной группы;
• Объединить всех заблокированных в группу (все заблокированные пользователи до-бавляются к данной группе);
• Установить тарифный план следующего расчетного периода для участников данной группы, имеющих данный тарифный план в качестве следующего (или для всех участ-ников данной группы, если выбрано “Любой”).
В норме у каждого пользователя имеется текущий тарифный план, а также назначенный тарифный план для следующего периода. Эти два плана могут как совпадать, так и отличаться. Выбор производится на основе плана для следу-ющего периода.
• Установить тип перерасчета на всех сервисных связках всех участников данной груп-пы (см. Перерасчет абонентской платы на стр. 96).
Системные группы
На данной странице приведён список системных групп с возможностью добавления, редактирования, удаления и копирования (копирование вызывается из контекстного ме-ню). Системные группы служат для настройки прав системных пользователей (см. Систем-
ные пользователи на стр. 45).
6
Интерфейс администратора
Кнопки и открывают окно Системная группа, содержа-
щее две вкладки: Список и Дерево.
Системная группа обладает следующими параметрами: ID, имя, комментарий и доступные функции, для выбора которых существует два альтернативных интерфейса:
• На вкладке Дерево представлен визуальный интерфейс с группировкой функций в иерархическую древовидную структуру по областям приложения и отдельным задачам. Структура сделана перекрывающейся, т. е. низкоуровневые функции могут входить одновременно в несколько разделов. При добавлении или снятии разрешения на такие функции появляется окно предупреждения, перечисляющее их другие области приме-нения.
• На вкладке Список представлен полный неструктурированный список функций, упорядоченный по ID.
Системные группы Wheel и Dealers являются встроенными, и их свойства в ин-терфейсе администратора доступны только для просмотра.
Пул карт оплаты
На этой странице приведён список пулов карт оплаты (см. Базовые объекты системы:
Карты оплаты на стр. 26), с возможностью добавления и редактирования. Удалить создан-ный пул невозможно.
Кнопка открывает окно генерации карт (см. Генерация карт на стр. 48).
Созданные карты невозможно ни изменить, ни удалить.
Кнопка открывает окно свойств пула карт (см. Редактирование пула
на стр. 49).
Рис. 9. Окно “Системная группа”.
47
NetUP UTM5. Руководство администратора
4
Кнопка удаляет просроченные карты в выбранном пуле.
Кнопка открывает окно поиска карт, в котором можно искать карты оплаты
по произвольной комбинации условий, накладываемых на идентификаторы карты, пула и тарифа, ПИН-код, баланс, валюту и срок активации карты.
Генерация карт
Окно генерации карт содержит следующие поля ввода:
• ID – идентификатор пула (если указы-вает на существующий пул, карты до-бавляются в него; в противном случае создаётся новый пул).
• Количество – число генерируемых карт.
• Баланс – стоимость карты.
• Валюта – валюта, в которой указан ба-ланс.
• Длина PIN-кода – количество цифр в генерируемых PIN-кодах карт.
• Случайные номера – генерировать случайные номера для карт; если не отмечено, вы-даются номера подряд.
• Уникальные PIN-коды – гарантировать уникальность генерируемых PIN-кодов.
• Использовать до – дата, до которой необходимо активировать карту (опционально).
• Дни – срок истечения платежа, который вносится при активации карты. Если установ-лено нулевое значение, при активации вносится несгорающий платеж.
• ID тарифа – тариф, привязываемый к карточному пользователю после регистрации (опционально).
Если в тариф, привязанный к карте, входят услуги с периодической составля-ющей, при регистрации пользователя они оказываются привязаны к системно-му периоду (1.01.1970 – 19.01.2038). Поэтому имеет смысл включать в эти тарифы только такие услуги, для которых периодическая составляющая сто-имости пренебрежима.
Рис. 10. Окно генерации карт.
8
Интерфейс администратора
Редактирование пула
Окно редактирования пула карт позволяет просматривать информацию о PIN-кодах карт, о статусе и о датах активации. Кроме этого, окно содержит следующие интерфейсные элементы:
• Добавить – открывает окно генерации (см. Генерация карт на стр. 48) для добавления карт в пул. Для добавляемой партии задаются все те же параметры, что и для нового пула.
• Обновить – обновить список карт.
• Экспорт – экспортировать информацию о картах данного пула в файл в формате XMLили CSV.
• Заблокировать – сменить статус выбранных карт на Заблокировано.
• Разблокировать – сменить статус выбранных карт на Разблокировано.
В нижней части окна имеется список владельцев. Владелец – это системный пользова-тель, который имеет право производить автоматическую регистрацию пользователей на основании карт из этого пула. Разграничение пулов по владельцам может быть актуально при наличии нескольких web-интерфейсов, работающих от имени разных системных поль-зователей. Если список владельцев пустой, то автоматическую регистрацию пользователей по картам из этого пула может производить любой системный пользователь.
Список управляется следующими кнопками:
• Добавить владельца – добавить системного пользователя в список.
• Удалить – удалить системного пользователя из списка.
IP-группы
На этой странице содержится список IP-групп, созданных в составе сервисных связок услуг передачи трафика (см. Сервисная связка услуги передачи трафика на стр. 98).
Телефонные номера
На этой странице содержится список телефонных номеров, созданных в составе серви-сных связок услуг телефонии (см. Сервисная связка услуги телефонии на стр. 101).
Рис. 11. Свойства пула карт оплаты.
49
NetUP UTM5. Руководство администратора
5
Сообщения
На этой странице содержится интерфейс обмена сообщениями с другими администра-торами, а также пользователями. Пользователи могут посылать сообщения через web-ин-терфейс (см. Web-интерфейс: Сообщения на стр. 223) или приложение utm5_tray (см. Утилита utm5_tray: Сообщения на стр. 218). Если задан интерфейсный параметр (см. Интерфейсные параметры на стр. 134) web_message_group (идентификатор систем-ной группы), то сообщения, отправленные через web-интерфейс, видны только системным пользователям из данной группы.
Сообщения подразделяются на папки:
• Входящие;
• Исходящие;
• Новые;
• Удаленные.
На сворачиваемой панели Фильтр можно задать условия фильтрации сообщений по произвольной комбинации условий, накладываемых на параметры сообщения – отправи-тель, получатель, время отправления и т.д.
В зависимости от системных настроек (см. Настройки: Сообщения на стр. 39), одно-временно со списком сообщений может быть видна панель предпросмотра текста выделен-ного сообщения.
C сообщениями можно производить следующие операции:
• Добавить – создать новое сообщение.
• Прочитать – открыть сообщение для чтения в отдельном окне.
• Ответить – создать новое сообщение в ответ на данное.
• Перенаправить – переслать данное сообщение выбранному адресату.
• Удалить – переместить сообщение в папку Удаленные.
Рис. 12. Страница сообщений.
0
Интерфейс администратора
Адресатом сообщения может быть:
• Пользователь (выбирается в отдель-но открываемом окне поиска, см. По-
иск пользователей на стр. 91);
• Группа (выбирается из списка);
• Системный пользователь (выбирает-ся из списка);
• Системная группа (выбирается из списка);
• Все пользователи.
Тип сообщения может принимать значения: Текст и HTML.
Тарификация
Тарифные планы
На данной странице перечислены зарегистрированные в системе тарифные планы (см. Базовые объекты системы: Тарифные планы на стр. 28). Имеется возможность добав-ления, редактирования и удаления.
Удалить тарифный план возможно только в том случае, если он не используется. Для удаления используемого плана необходимо предварительно удалить все тарифные связки, которые ссылаются на него.
Кнопка открывает окно создания
тарифного плана со следующими полями ввода:
• Название тарифа – обязательный параметр.
• Срок завершения действия – дата окончания действия тарифного плана и списаний за него (необязательный параметр).
• Обнулять баланс в конце расч. периода – ус-тановка данного параметра приводит к обнуле-нию баланса лицевого счета, привязанного к тарифной связке этого тарифного плана, при закрытии расчетного периода.
Рис. 13. Новое сообщение.
Рис. 14. Создание тарифного плана.
51
NetUP UTM5. Руководство администратора
5
Кнопка открывает окно свойств
тарифного плана, в котором имеются следующие поля ввода:
• Идентификатор тарифа – присваивается авто-матически.
• Название тарифа – обязательный параметр.
• Создан, Изменен – дата создания и дата послед-него изменения тарифного плана.
• Создал, Изменил – логин системного пользова-теля, создавшего или последним изменившего тарифный план.
• Срок завершения действия – дата окончания действия тарифного плана и списаний за него (необязательный параметр).
• Обнулять баланс в конце расч. периода – установка данного параметра приводит к обнулению баланса лицевого счета, привязанного к тарифной связке этого тарифного плана, при закрытии расчетного периода.
• Услуги – список услуг, входящих в тарифный план.
Для включения новой услуги в тарифный план необходимо нажать кнопку Добавить. Будет отображен список всех существующих в системе шаблонов услуг.
Выберите из списка нужный шаблон и нажмите OK.
В состав тарифного плана не могут входить две услуги, происходящие от од-ного и того же шаблона.
Клас сы трафика
На данной странице перечислены зарегистрированные в системе классы трафика (см. Базовые объекты системы: Классы трафика на стр. 26). Имеется возможность добав-ления, редактирования и удаления. Удалить класс трафика возможно только в том случае, если он не используется. Для удаления используемого класса необходимо предварительно удалить все сущности (услуги и т.д.), которые ссылаются на него. После удаления классов принадлежавший к ним трафик отображается в отчётах центра управления (см. Интер-
Рис. 15. Свойства тарифного плана.
Рис. 16. Окно выбора шаблона услуги.
2
Интерфейс администратора
фейс администратора: Отчеты на стр. 67) как неидентифицированный. В отчётах на web-интерфейсе (см. Web-интерфейс: Отчеты на стр. 223) удалённые классы продолжают отображаться как существующие.
Пример использования см. в разделе Создание классов трафика на стр. 115.
Класс трафика обладает следующими параметрами:
• Идентификатор – обязательный параметр (число). Классы трафика нужно размещать под такими номерами, чтобы идентификатор класса трафика, являющегося подмно-жеством другого класса трафика, был больше идентификатора последнего.
• Название – обязательный параметр.
• Не сохранять первичную информацию – если отмечено, то детальная информация по трафику данного класса не будет сохраняться. Актуально для трафика, стоимость которого равна нулю или детализация по которому не может понадобиться (например, локальный трафик). Позволяет уменьшить размер файлов с первичной информацией.
Формат файлов с первичной информацией о трафике был изменён в версии UTM5.3-001; файлы, сохранённые в предыдущих версиях, несовместимы с но-вой.
• Временной диапазон – если назначен, класс трафика будет действовать только в ука-занное время.
• Цвет на графике – определяет цвет, которым будет отображаться график для трафика данного класса в графических отчётах.
• Показывать – определяет, будет ли отображаться трафик данного класса в графичес-ких отчётах.
• Заливать – определяет тип заливки графика для трафика данного класса в графичес-ких отчётах.
Кроме того, на странице свойств класса имеется возможность настроить подклассы трафика для данного класса. C подклассами возможны следующие операции:
• Добавить;
• Редактировать;
Рис. 17. Добавление класса трафика.
53
NetUP UTM5. Руководство администратора
5
• Удалить;
• Экспорт – сохраняет все подклассы данного класса в CSV- или XML-файл, формат ко-торого описан ниже.
° CSV: каждый подкласс расположен на отдельной строке. Между свойствами, а так-же в конце строки ставится точка с запятой. В первой строке файла перечислены на-звания свойств.
° XML: корневой тег файла – UTM_export. Каждый подкласс находится в отдельном теге row , содержащем тег row_id и далее cвойства в отдельных тегах в том же по-рядке, что и в CSV-файле.
• Импорт – импортирует CSV- или XML-файл аналогичного формата и присоединяет описанные в нём подклассы к данному классу.
Подклассы трафика
Для подкласса трафика приводятся следующие параметры:
• Для источника и/или адресата:
° Адрес сети (обязательный пара-метр, может быть как в формате IPv4, так и IPv6, см. IP-адреса на стр. 36);
° Порт;
° Интерфейс;
° АС (номер автономной системы);
• Протокол;
• Следующий маршрутизатор;
• TOS (поле TCP/IP “тип сервиса”);
• Флаги TCP;
• IP маршрутизатора.
Тип (IPv4 или IPv6) IP-адресов источника и адресата должен совпадать; тип адреса маршрутизатора может быть произвольным.
Если значение поля IP маршрутизатора не задано, адрес поставщика NetFlow не участ-вует в логике определения принадлежности подкласса к классу.
Если отмечен флаг Пропустить, то в логике определения класса данный подкласс учи-тывается со значением отрицания, т.е. трафик из данного подкласса не будет маркировать-ся данным классом. При этом продолжается сравнение с другими классами трафика. Данная схема удобна в том случае, если необходимо отдельный адрес или группу адресов из всей сети выделить в отдельный класс трафика.
Рис. 18. Добавление подкласса трафика.
4
Интерфейс администратора
Телефонные зоны
На данной странице перечислены зарегистрированные в системе телефонные зоны, с возможностью добавления, редактирования и удаления.
Телефонная зона – это набор телефонных направ-лений (см. Телефонные направления). Телефонные направления объединяются в зоны для удобства тари-фикации телефонных разговоров.
Телефонная зона обладает следующими парамет-рами:
• Идентификатор;
• Название;
• Тип, выбираемый из вариантов:
° местный,
° внутризоновый,
° междугородный,
° международный;
• Таблица телефонных направлений.
В таблице задается и редактируется (Добавить / Удалить) перечень телефонных направлений, входящих в данную телефонную зону.
Телефонные нап рав ле ния
На данной странице перечислены зарегистрированные в системе телефонные направ-ления, с возможностью добавления, редактирования и удаления.
Телефонное направление – это мно-жество телефонных звонков. Телефонные направления используются для класси-фикации телефонных звонков и их после-дующей тарификации.
Телефонное направление обладает следующими параметрами:
• Идентификатор – число > 1000000 (присваивается автоматически).
• Зона – название зоны, в которую включено данное телефонное направление (присваи-вается автоматически при включении направления в зону).
Рис. 19. Телефонная зона.
Рис. 20. Телефонное направление.
55
NetUP UTM5. Руководство администратора
5
Каждое направление может входить только в одну зону.
• Тип – тип звонка (местный, междугородный и т.д.; также присваивается автоматически при включении направления в зону).
• Наименование – обязательный параметр.
Критерии классификации направления (должен быть заполнен хотя бы один):
• Вызываемый префикс – префикс или регулярное выражение, на соответствие которо-му проверяется вызываемый номер. Регулярное выражение строится в соответствии со стандартом POSIX 1003.2.
• Вызывающий префикс – префикс или регулярное выражение, на соответствие кото-рому проверяется вызывающий номер.
• Входящий транк;
• Исходящий транк;
• Идентификатор АТС;
• Флаг “Пропустить” – отменяет учёт данного направления (если отмечен этот флаг, ни-какие звонки не будут идентифицированы как принадлежащие к данному направ-лению).
При проведении идентификации звонка все направления сортируются в лексикографи-ческом порядке сначала вызываемого, затем – вызывающего префикса, затем по названию входящего, а затем – исходящего транка. Поиск производится с начала сортированного спи-ска до первого совпадения. Для положительной идентификации звонок должен удовлетво-рять всем параметрам (вызывающий и вызываемый префикс, входящий и исходящий транк, идентификатор АТС), которые заданы для данного направления.
Рекомендуется создать направление “по умолчанию” с выражением ^.*$, включаю-щее все возможные номера.
Расчетные периоды
На данной странице перечислены текущие расчетные периоды (см. Базовые объекты
системы: Расчётные периоды на стр. 27). Имеется возможность добавления и редактиро-вания периодов.
Удалить расчётный период невозможно.
По окончании каждого из периодов автоматически создаётся новый период того же ти-па.
Расчетный период обладает следующими параметрами:
6
Интерфейс администратора
• Начало – дата и время начала периода.
• Окончание – дата и время конца периода (при созда-нии новых периодов не вводится, а рассчитывается автоматически).
• Тип периода – тип, принимающий одно из следую-щих значений:
° ежедневно;
° еженедельно;
° ежемесячно;
° ежеквартально;
° ежегодно;
° другая длина.
Ежемесячный период завершается в следующем календарном месяце после на-чала, того же числа, в которое начался. Однако если дата начала периода боль-ше, чем количество дней в следующем месяце (например, 30 января), то период длится до конца следующего месяца.
• Длина (сек.) – длительность периода. Приводится только для типа Другая длина. Ми-нимально возможная длительность периода составляет 3600 секунд.
• Задать количество списаний – если отмечен, позволяет задать количество списаний.
• Количество списаний в неделю – количество списаний периодической составляю-щей стоимости в неделю. Задаётся только при отмеченном флаге Задать количество
списаний.
При редактировании действующего периода можно менять только дату его окончания.
Услуги
На странице Услуги приведён список услуг (см. Базовые объекты системы: Услуги на стр. 29) с возможностью добавления, изменения, удаления и копирования (копирование вызывается из контекстного меню).
Удалить услугу возможно только в том случае, если она не используется. Для удаления используемой услуги необходимо предварительно удалить все сервисные связки, которые ссылаются на неё.
При нажатии кнопки открывается окно свойств услуги с выбранной стра-
ницей Общие параметры. Эта страница включает поля:
• Наименование – название услуги;
• Комментарий – произвольный комментарий;
• Тип – выпадающий список для выбора типа услуги;
• Юр. лицо – выпадающий список для выбора юридического лица, от имени которого оказывается услуга (см. Юридические лица на стр. 79).
Рис. 21. Расчетный период.
57
NetUP UTM5. Руководство администратора
5
Набор и содержание остальных страниц, содержащих параметры услуги (см. ниже), за-висит от выбранного значения в поле Тип.
При нажатии кнопки открывается окно свойств услуги с деактивиро-
ванным полем Тип.
Назначение услуг пользователям производится посредством создания сервисных свя-зок на странице свойств пользователя (см. Пользователи и группы: Тарификация на стр. 43).
Разовая услуга
Окно свойств разовой услуги содержит следующие страницы:
• Общие параметры – стандартная (см. выше).
• Параметры услуги. Включает поля:
° Стоимость – цена услуги.
° Удалять из группы – выпадающий список для выбора группы, из которой пользо-ватель должен удаляться после списания за данную услугу.
Параметры соответствующей сервисной связки описаны в разделе Сервисная связка
разовой услуги на стр. 94.
Периодическая услуга
Окно свойств периодической услуги содержит следующие страницы:
• Общие параметры – стандартная (см. выше).
• Параметры услуги. Включает поля:
° Периодическая составляющая стоимости – фиксированная часть цены услуги за расчётный период. Услуги специализированных типов имеют, помимо этой сум-мы, также другие составляющие стоимости, зависящие от объёма потребления услуги (т. е. от количества трафика или от длительности соединения).
° Метод снятия средств – порядок списания денежных средств с лицевого счета абонента. Возможные значения:
Рис. 22. Разовая услуга.
Рис. 23. Периодическая услуга.
8
Интерфейс администратора
* В начале расчетного периода – списание средств производится единовремен-но при создании сервисной связки и при установке системой нового расчетного периода для данной сервисной связки. (Расчетный период указывается в свой-ствах сервисной связки периодической услуги).
* В конце расчетного периода – списание средств производится единовременно непосредственно перед закрытием расчетного периода.
* В течение всего расчетного периода – списание средств производится посте-пенно в течение всего расчетного периода. Количество списаний определяется параметром Количество списаний в неделю расчетного периода, на который ссылается сервисная связка данной услуги, а если он не установлен, то наст-ройками ядра (параметром fow_discount_per_period).
Если выбрано постепенное снятие средств, то для услуги на основании её стоимости и длины расчетного периода определяется минимальное количество средств, которые могут быть списаны по данной сервисной связке за один раз. На основании количества списаний определяется минимальный интервал времени между списаниями. При инициализации сервисной связки расчетный период делится на равные интервалы между списаниями. При завершении каждой такой части генерируется событие бизнес-логики, обработчик которого определяет, ка-кое количество средств должно быть списано для данной сервисной связки на мо-мент вызова обработчика, и какое количество средств было списано. Если разница между значениями превышает минимальный объем средств, который списывается по сервисной связке, то производится списание необходимой суммы, кратное минимальному количеству средств.
Если количество списаний в неделю не установлено, то списания осуществля-ются следующим способом. При инициализации сервисной связки, ссылающейся на периодическую услугу с плавным списанием и расчетный период без установ-ленного количества списаний в неделю, расчетный период, на который ссылается данная сервисная связка, делится на fow_discount_per_period равных час-тей (по умолчанию 64). При завершении каждой части генерируется событие биз-нес-логики. Обработчик события выбирает все зарегистрированные сервисные связки, которые ссылаются на периодические услуги с плавным списанием и на расчетный период без установленного количества списаний в неделю. Для каж-дой такой сервисной связки определяется количество средств, которое должно быть списано. Если разница между значениями превышает значение параметра discount_barrier, производится списание необходимой суммы.
° Время начала – Дата начала предоставления услуги. Используется только в информационных целях.
° Время окончания – Дата окончания предоставления услуги. При наступлении дан-ной даты услуга будет удалена, если на неё не ссылается ни одна сервисная связка. По умолчанию не устанавливается.
Описанные параметры имеются также у услуг других типов, которые, таким образом, являются частным случаем периодических услуг, но сверх того обладают собственными параметрами, специфичными для каждого типа.
59
NetUP UTM5. Руководство администратора
6
Параметры соответствующей сервисной связки описаны в разделе Сервисная связка
периодической услуги на стр. 95.
Услуга передачи трафика
Окно свойств услуги передачи трафика содержит следующие страницы:
• Общие параметры – стандартная (см. выше).
• Параметры услуги – см. Периодическая услуга на стр. 58. Дополнительно содержит параметры:
° Период агрегации трафика – действует как аналог интерфейсного параметра traffic_agregation_interval (см. Интерфейсные параметры на стр. 134), но только для данной услуги.
° Обнулять предоплаченный трафик – флаг обнуления предоплаченного трафика в конце расчётного периода. Если флаг установлен, неизрасходованный предопла-ченный трафик в конце периода обнуляется, в противном случае – переносится на следующий расчётный период.
° Динамическая привязка IP-адресов – используется для привязки данной услуги к услуге типа hotspot или dialup (у которой также должен быть выставлен данный флаг) с целью тарификации не только по времени соединения, но и по потребле-нию трафика. С одним лицевым счётом может быть связана только одна услуга передачи трафика с выставленным флагом.
• Границы тарификации. На странице приведены границы количества трафика за рас-чётный период, используемые для назначения различной стоимости мегабайта трафика в заданных этими границами диапазонах. Для каждой границы указаны:
° класс трафика (или группа классов, см. ниже);
° объём трафика;
° цена.
Цена, связанная с данной границей, определяет стоимость трафика данного класса в объёме от данной границы до следующей. По умолчанию присутствует граница 0 со стоимостью 0.
• RADIUS атрибуты – см. UTM5 RADIUS на стр. 143.
• Группы. На странице находится интерфейс настройки групп. Группа – это объединение нескольких классов трафика. Использование группы меняет логику тарификации тра-фика.
Рис. 24. Услуга передачи трафика.
0
Интерфейс администратора
Тип группы, выбираемый из выпадающего списка, может быть max или sum.
Объединение классов трафика в группу max используется для тарификации по прева-лирующему классу, т. е. тариф для всего трафика берётся по заданным границам тари-фикации на основании трафика того класса, которого больше всего.
Объединение классов трафика в группу sum используется для тарификации по сумме трафика для классов трафика, входящих в группу, т. е. тариф берётся по заданным гра-ницам тарификации на основании суммарного количества трафика.
Создание групп должно предшествовать созданию границ тарификации. После того, как заданы границы, интерфейс создания групп блокируется.
• Предоплаченный трафик. Страница содержит список количеств предоплаченного трафика по классам трафика (одна запись для каждого класса). Данный тип трафика расходуется в первую очередь и тарифицируется по нулевой стоимости. Неиспользо-ванный предоплаченный трафик может переноситься на следующий расчетный период. Параметр Накапливать не более ограничивает количество неиспользованного предо-плаченного трафика, переносимого на следующий расчетный период, независимо от происхождения. Если параметр равен нулю, накопление не ограничивается.
Предоплаченный трафик и механизм групп являются взаимоисключающими (т.е. не могут использоваться одновременно).
Параметры соответствующей сервисной связки описаны в разделе Сервисная связка
услуги передачи трафика на стр. 98.
Услуга hotspot
Окно свойств услуги hotspot содержит следующие страницы:
• Общие параметры – стандартная (см. выше).
• Параметры услуги – см. Периодическая услуга на стр. 58. Дополнительно содержит параметры:
° Лимит одновременных сессий – устанавливает максимальное количество одно-временно установленных соединений, которое пользователь может осуществить под одним логином.
° Динамическая привязка IP-адресов – используется для привязки данной услуги к услуге передачи трафика (у которой также должен быть выставлен данный флаг) с целью тарификации не только по времени соединения, но и по потреблению
Рис. 25. Услуга hotspot.
61
NetUP UTM5. Руководство администратора
6
трафика. С одним лицевым счётом может быть связана только одна услуга типа hotspot или dialup с выставленным флагом.
• Разрешенные подсети. Страница содержит список разрешенных сетей, т. е. сетей, в которые должен попадать IP-адрес абонента при авторизации в web-интерфейсе UTM5. В противном случае запрос на авторизацию будет отклонен.
• Стоимость времени – содержит таблицу стоимости времени соединения в зависимос-ти от временного диапазона.
Параметры соответствующей сервисной связки описаны в разделе Сервисная связка
услуги hotspot на стр. 100.
Услуга коммутируемого доступа
Окно свойств услуги коммутируемого доступа содержит следующие страницы:
• Общие параметры – стандартная (см. выше).
• Параметры услуги – см. Периодическая услуга на стр. 58. Дополнительно содержит параметры:
° Название пула – имя пула (см. IP-пулы на стр. 80), из которого будут выдаваться IP-адреса. Параметры кэшируются UTM5 RADIUS. В случае, если пул задан в UTM5, выдается первый свободный адрес из данного пула. Если пул не задан, то выдается его имя.
° Максимальный таймаут – длительность сессии до принудительного обрыва (в се-кундах; типичное значение – 86400, т. е. сутки).
° Лимит одновременных сессий – устанавливает максимальное количество одно-временно установленных соединений, которое пользователь может осуществить под одним логином. Параметр кэшируется UTM5 RADIUS.
° Префикс логина – префикс, автоматически добавляемый к логину при создании сервисной связки.
° Динамическая привязка IP-адресов – используется для привязки данной услуги к услуге передачи трафика (у которой также должен быть выставлен данный флаг) с целью тарификации не только по времени соединения, но и по потреблению тра-фика. С одним лицевым счётом может быть связана только одна услуга типа hotspot или dialup с выставленным флагом.
Рис. 26. Услуга коммутируемого доступа.
2
Интерфейс администратора
• Стоимость времени – содержит таблицу стоимости часа соединения в зависимости от временного диапазона. В таблице обязательно должна быть хотя бы одна запись. Время предоставления услуги учитывается с точностью до секунды.
• RADIUS атрибуты – см. UTM5 RADIUS на стр. 143.
Параметры соответствующей сервисной связки описаны в разделе Сервисная связка
услуги коммутируемого доступа на стр. 100.
Услуга телефонии
Окно свойств услуги телефонии содержит следующие страницы:
• Общие параметры – стандартная (см. выше).
• Параметры услуги – см. Периодическая услуга на стр. 58. Дополнительно содержит параметры:
° Бесплатное время – если длительность звонка меньше данного значения, звонок является бесплатным. При большей длительности – полное время соединения оплачивается по установленной стоимости.
° Длительность начального периода – период времени (сек.) в начале соединения, в течение которого происходит округление с особым шагом.
° Шаг начального периода – шаг округления времени (сек.) для соединений, дли-тельность которых не превосходит начального периода.
° Шаг последующего периода – шаг округления времени (сек.) для более длитель-ных соединений.
° Размер единицы тарификации – время (сек.), цена за которое приводится в табли-це цен.
° Лимит одновременных сессий – максимальное количество одновременно уста-новленных соединений под одним логином.
° Учитывать бесплатное время – учитывать бесплатные звонки в накапливаемой суммарной продолжительности звонков, от которой может зависеть стоимость.
• Редактор цен. На странице приводится стоимость единицы тарификации во внутрен-них условных единицах, задаваемая в зависимости от временного диапазона и телефон-ной зоны или направления.
Рис. 27. Услуга телефонии.
63
NetUP UTM5. Руководство администратора
6
Для создания услуги телефонии необходимо наличие хотя бы одной телефонной зоны и/или направления.
Для массового изменения стоимости единиц тарификации существует возможность использования формулы, расположенной в нижней части окна страницы.
Например, чтобы умножить стоимость на 1.1, следует выделить необходимый диапа-зон единиц тарификации с помощью левой кнопки мыши, задать формулу x*1.1 + 0, и нажать Enter. Для того, чтобы прибавить к стоимости 10, следует выделить необхо-димый диапазон единиц тарификации с помощью левой кнопки мыши, задать форму-лу x*1.0 + 10, и нажать Enter.
• Границы тарификации. На странице приведены границы суммарной длительности звонков за расчётный период, задаваемые в зависимости от телефонной зоны или на-правления. Границы используются для назначения различной стоимости секунды теле-фонного соединения в заданных этими границами диапазонах. Цена от данной границы до следующей будет определяться стоимостью, связанной с данной границей.
Задание границ тарификации для определённого направления или зоны возмож-но только при наличии данного направления или зоны в редакторе цен (см. вы-ше) этой услуги телефонии.
• Предоплаченные единицы. На странице приведены размеры предоплаченного теле-фонного трафика, задаваемые в зависимости от телефонной зоны или направления.
• Плата за соединение. На странице приведены размеры фиксированной платы за соеди-нение, задаваемые в зависимости от телефонной зоны или направления. Данная плата не зависит от длительности звонка и взимается в дополнение к переменной части сто-имости, задаваемой на страницах Редактор цен и Границы тарификации.
• RADIUS атрибуты – см. UTM5 RADIUS на стр. 143.
Параметры соответствующей сервисной связки описаны в разделе Сервисная связка
услуги телефонии на стр. 101.
Шаблоны услуг
На странице Шаблоны услуг приведён список шаблонов услуг (см. Базовые объекты
системы: Шаблоны услуг на стр. 31) с возможностью добавления, изменения и удаления. Удалить шаблон возможно только в том случае, если он не используется. Для удаления ис-пользуемого шаблона необходимо предварительно удалить все услуги, порождённые им.
Шаблоны услуг используются как родительские сущности для услуг в составе тариф-ных планов. Для шаблона вводятся все те же параметры, что и для услуги соответствую-щего типа (см. Услуги на стр. 57), а также опция Подключать по умолчанию.
Временные диапазоны
На данной странице перечислены зарегистрированные в системе временные диапазо-ны (см. Базовые объекты системы: Временные диапазоны на стр. 33). Имеется возмож-ность добавления, редактирования и удаления диапазонов.
4
Интерфейс администратора
Удалить временной диапазон возможно только в том случае, если он не используется. Для удаления используемого диапазона необходимо предварительно удалить все сущности (услуги, тарифные планы, лицевые счета и др.), которые ссылаются на него.
Временной диапазон обладает следующими параметрами:
• ID – идентификатор (порядковый номер).
• Приоритет – порядок важности диапазонов в случае их пересечения (см. ниже).
• Наименование диапазона.
• Диапазон – собственно совокупность интервалов времени, входящих в диапазон.
Кнопки и открывают окно Временной диапазон, содер-
жащее две вкладки: Наглядно и Обычный.
Вкладка Наглядно предоставляет визуальный интерфейс редактирования временных диапазонов. Закрашенные ячейки таблицы соответствуют часам, входящим в диапазон. Выделение и снятие выделения с отдельных ячеек производится однократным нажатием левой кнопки мыши. При нажатой клавише Shift выделение происходит в блочном режиме, т.е. охватывает прямоугольник, противоположные углы которого заданы двумя последова-тельными нажатиями. При нажатой клавише Ctrl выделение происходит в режиме пересе-чения, т.е. распространяется на ячейки, по одной координате совпадающие с выделяемой ячейкой, а по другой – с выделенными ранее.
Вкладка Обычный предоставляет текстовый интерфейс редактирования диапазонов. С помощью кнопок Добавить и Удалить вводятся интервалы дней недели и времени суток, входящие в диапазон.
Визуальный интерфейс отображает время с точностью до часов; задание вре-мён начала и окончания интервалов, не совпадающих с целыми часами, возмож-но только в расширенном интерфейсе. Если введены такие границы, визуальный редактор работает только в режиме просмотра.
Рис. 28. Окно “Временной диапазон”.
65
NetUP UTM5. Руководство администратора
6
В поле Дни при надобности вводятся отдельные дни года, принадлежащие к диапазону. Перечисленные в таблице дни, начиная с 0-00 до 24-00 (т.е. до 0-00 следующего дня), будут полностью включены во временной диапазон. Если заданы и таблица диапазонов времени, и таблица дней – используется их объединение.
Если два временных диапазона пересекаются, спорное время считается при-надлежащим диапазону, имеющему более высокий приоритет. При одинаковом приоритете результат непредсказуем. Таких ситуаций следует избегать.
Справочники
Методы платежей
На данной странице перечислены методы платежей (см. Базовые объекты системы:
Платежи на стр. 34), указываемые при совершении платежа.
Встроенные методы платежей (имеющие id<100) присутствуют по умолчанию и не подлежат редактированию. Для удобства дифференциации платежей можно также созда-вать пользовательские методы, которым автоматически присваиваются последовательные идентификаторы, начиная со 100. По функциональности эти методы эквивалентны стан-дартному методу Оплата наличными. Пользовательские методы платежей можно редакти-ровать, но невозможно удалить.
Валюта
На данной странице перечислены зарегистрированные в системе валюты (см. Базовые
объекты системы: Валюты на стр. 33). Имеется возможность добавления, редактирова-
ния и удаления валют. Кнопки и открывают окно Валюта.
Валюта обладает следующими параметрами:
• Идентификатор валюты – цифровой трёхзначный код валюты согласно стандарту ISO 4217.
• Сокр. назв. – трехбуквенный код валюты согласно стан-дарту ISO 4217.
• Наименование – название валюты.
• Процент – искусственная поправка к курсу, применяе-мая при его online-обновлении.
• Курс – курс валюты относительно внутренней условной единицы системы.
При нажатии кнопки Обновить online происходит авто-матическое установление курса валюты по отношению к рублю согласно текущему курсу ЦБ РФ (с поправкой на параметр Процент, если он отличен от 0). Для рубля всегда устанав-
Рис. 29. Окно “Валюта”.
6
Интерфейс администратора
ливается значение 1. Функция Обновить online доступна, если значение параметра system_currency (см. Список параметров на стр. 76) равно 810, т.е. если системной валютой является российский рубль.
Кнопка на странице со списком валют не обновляет курс валют.
По умолчанию курс рубля к курсу внутренней единицы равен 1, т. е. взаиморасчеты производятся в рублях.
• История изменения курса – таблица прошлых значений курса, действовавших в сис-теме, и дат их введения. В первой строке таблицы указывается курс, действующий в си-стеме на данный момент.
IP-зоны
Справочник Список IP-зон ведётся для удобства работы с большими многосегмент-ными и распределёнными сетями и содержит информацию о различных сегментах сети: сеть, маску и шлюз. IP-зону могут составлять один или несколько сегментов.
Удалить созданную IP-зону невозможно.
Дома
Справочник подключенных домов ведётся для удобства работы с сетями, объединяю-щими несколько зданий. Запись о доме содержит его адрес и идентификатор IP-зоны. В свойствах пользователя (см. Пользователь: Контакты на стр. 42) имеется возможность связать пользователя с определённым домом; в этом случае IP-адреса пользователю выда-ются из IP-зоны дома, см. Сервисная связка услуги передачи трафика на стр. 98.
Удалить созданный дом невозможно.
Привязка пользователя к дому описана в примере Привязка к дому на стр. 122.
Список банков
Справочник банков ведётся для удобства хранения банковских данных клиентов. С идентификатором банка в системе связаны следующие данные: БИК, название, адрес и корреспондентский счет банка. В свойствах пользователя (см. Пользователь: Дополни-
тельные параметры на стр. 42) имеется возможность связать пользователя с определён-ным банком.
Привязка пользователя к банку описана в примере Привязка к банку на стр. 123.
Отчеты
Система UTM5 поддерживает отчёты, виды которых перечислены ниже. Отчёты могут быть сформированы как по одному конкретному пользователю, так и по всем пользовате-лям сразу. Сформированные отчёты можно экспортировать во внешний файл формата XML или CSV.
67
NetUP UTM5. Руководство администратора
6
Можно выбрать любой промежуток времени, за который необходимо создать отчёт . Промежуток либо задаётся вручную, либо выбирается совпадающим с одним из расчётных периодов.
При формировании отчёта по всем пользователям (вызывается из меню левой панели) можно выбрать группу пользователей, чтобы ограничить отчёт участниками этой группы.
При формировании отчёта по одному пользователю (вызывается со страницы свойств пользователя) можно выбрать один из лицевых счетов пользователя, чтобы ограничить от-чёт операциями, связанными с данным лицевым счётом.
На сворачиваемой панели Фильтр можно задать условия дополнительной фильтрации данных для отчёта . Доступные параметры фильтрации варьируются в зависимости от вида отчёта. Можно задавать произвольное количество условий, а также характер их комбина-ции (Все условия или Хотя бы одно условие).
Если число позиций в отчёте превосходит 9999, при его построении выдаётся преду-преждение. В таком случае имеет смысл прервать операцию и построить отчёт повторно с более узкими условиями, чтобы избежать переполнения памяти.
Любой отчёт включает нижнюю строку, в которой содержится суммарная информация по всем столбцам.
Основной отчет
Основной отчёт отображает движения по лицевым счетам пользователей за заданный промежуток времени.
В основной отчёт входят следующие данные:
• Номер лицевого счёта;
• Входящий остаток;
• Сумма списаний за разовые услуги;
• Сумма списаний за периодические услуги;
• Сумма списаний за услугу передачи IP-трафика;
• Сумма списаний за услугу хотспот;
Рис. 30. Выбор промежутка времени для отчета.
Рис. 31. Выбор условий фильтрации для отчета.
8
Интерфейс администратора
• Сумма списаний за услугу коммутируемого доступа;
• Сумма списаний за услугу телефонии;
• Сумма налогов;
• Общая сумма с учётом налогов;
• Сумма осуществлённых платежей;
• Исходящий остаток.
В основном отчёте не отображаются списания, возникшие в результате обнуления баланса в конце расчётного периода (если такая возможность используется) или в резуль-тате сгорания платежа, а также платежи с методом Кредит.
Если за выбранный период движений по счёту не было, то везде, включая колонки вхо-дящего и исходящего остатка, отображается сумма 0.
Отчет по трафику
Отчёт по трафику отображает объёмы переданного IP-трафика для каждого лицевого счёта и класса трафика, стоимость 1 Мб, и цену переданного трафика за заданный проме-жуток времени.
В отчёт по трафику входят следующие данные:
• Номер лицевого счёта;
• Логин;
• Количество байт в килобайте;
• Класс трафика;
• Объём переданного трафика в мегабайтах;
• Цена за единицу переданного трафика (стоимость 1 МБ трафика);
• Сумма списания с лицевого счёта пользователя.
Данные можно группировать по IP-адресам, часам, дням, месяцам, или группам поль-зователей.
Отчет по услугам
Отчёт по услугам отображает информацию о списаниях с лицевых счетов пользовате-лей за оказание разовых и периодических услуг за определённый промежуток времени. В отчёте присутствуют:
• Номер лицевого счёта;
• Дата списания средств с лицевого счёта;
Рис. 32. Выбор параметров отчета по трафику.
69
NetUP UTM5. Руководство администратора
7
• Расчётный период;
• Тип списания;
• Название услуги;
• Объём оказанной услуги;
• Комментарий к списанию.
В нижней части отчёта, помимо строки итоговой суммы, отображаются частные итоги по отдельным типам услуг.
Отчет по телефонии
Отчёт по телефонии базируется на статистике сервера RADIUS и суммирует данные о телефонных звонках. В отчёте присутствуют:
• Идентификатор сессии;
• Номер лицевого счёта;
• Дата получения;
• Дата и время начала и окончания сессии;
• Вызывающий абонент;
• Вызываемый абонент;
• Порт сервера доступа;
• Идентификатор сессии на сервере доступа (NAS);
• Логин;
• IP-адрес сервера доступа;
• Статус сессии;
• Объём входящего трафика;
• Объём исходящего трафика;
• Телефонная зона;
• Телефонное направление;
• Длительность сессии;
• Округлённая длительность (вычисляется с учётом шага тарификации в свойствах под-ключенной услуги телефонии);
• Входящий и исходящий транк;
• Идентификатор АТС;
• Цена за единицу времени;
• Стоимость;
• Причина отключения.
0
Интерфейс администратора
Звонок, попадающий на границу периодов времени с разной стоимостью разговора, бу-дет формально разделён по этой границе и отображен в отчёте по телефонии как два звонка с одинаковыми ID сессии, но разной стоимостью за минуту.
Нетарифицированные звонки также входят в отчёт, и отображаются с нулевой стои-мостью.
В нижней части отчёта по телефонии, помимо строки итоговой суммы, отображаются частичные суммы по отдельным телефонным направлениям.
Телефонные направления
Данный отчёт содержит сводные данные о звонках по различным телефонным направ-лениям. Для каждого направления приводятся:
• Идентификатор телефонной зоны, включающей данное направление;
• Идентификатор направления;
• Название зоны;
• Название направления;
• Общая длительность звонков;
• Общая стоимость звонков;
• Количество звонков;
• Количество звонков ненулевой длительности.
Отчет по dialup и VPN
Отчёт по модемным сессиям и сессиям VPN базируется на статистике сервера RADIUS и суммирует данные о сессиях коммутируемого доступа. В отчёте присутствуют:
• Идентификатор сессии;
• Номер лицевого счёта;
• Дата и время начала сессии;
• Дата и время окончания сессии;
• Вызывающий абонент;
• Вызываемый абонент;
• Выданный IP-адрес;
• Порт сервера доступа (NAS);
• Идентификатор сессии на сервере доступа;
• Логин;
• IP-адрес сервера доступа;
• Статус сессии;
• Объём входящего трафика (в байтах);
• Объём исходящего трафика (в байтах);
71
NetUP UTM5. Руководство администратора
7
• Объём входящего трафика (в гигабайтах);
• Объём исходящего трафика (в гигабайтах);
• Длительность сессии;
• Причина отключения;
• Стоимость.
Сессии, зарегистрированные на сервере RADIUS (т.е., возможно, активные в настоя-щий момент), подсвечиваются зелёным в списке.
Отчет по блокировкам
Отчёт по блокировкам суммирует информацию обо всех блокировках (см. Лицевые
счета на стр. 24), осуществлённых за заданный период времени. В отчёте собрана следую-щая информация:
• Номер лицевого счёта;
• Дата начала действия блокировки;
• Срок блокировки;
• Что заблокировано;
• Тип блокировки;
• Комментарий к блокировке.
Отчет по платежам
Отчёт по платежам представляет информацию о зачисленных на лицевые счета поль-зователей средствах за заданный промежуток времени. В отчёте присутствует следующая информация:
• Номер лицевого счёта;
• Фактическая дата платежа;
• Дата введения платежа в систему;
• Сумма платежа в валюте системы;
• Сумма платежа в валюте оплаты;
• Валюта оплаты;
• Метод осуществления платежа;
• Лицо, внёсшее платеж;
• Комментарий к платежу.
Для платежей типа Кредит в поле Комментарий автоматически вносится описание ста-туса платежа:
• Кредит открыт до: <дата> – статус до срока истечения платежа;
• Кредит успешно закрыт – статус после истечения, если баланс счёта положителен;
• Кредит сгорел – статус после истечения, если баланс счёта отрицателен.
2
Интерфейс администратора
В нижней части отчёта, помимо строки итоговой суммы, отображаются частные итоги по отдельным видам платежей.
В контекстном меню отчёта по платежам, помимо стандартных, присутствуют следую-щие пункты:
• Квитанция – сформировать квитанцию на данный платёж, предназначенную для печа-ти.
• Откат – отменить данный платёж (неприменимо к сгорающим платежам).
Сгорающие платежи
Данный отчёт суммирует информацию по сгорающим платежам за выбранный период. В отчёте собрана следующая информация:
• ID аккаунта;
• Логин;
• Время первого платежа;
• Время последнего платежа;
• Время сгорания;
• Сумма;
• Списано на текущий момент.
Сгоревшие платежи в отчёте не отображаются.
Другие списания
В данном отчёте собрана информация о списаниях, не связанным с услугами. В отчёт включаются списания по следующим причинам:
• Сгорание платежей;
• Откат платежей;
• Обнуление счета в конце расчетного периода.
Кроме этого, в отчёт входят поступления средств в результате возврата за время блоки-ровки, если для какой-либо из сервисных связок пользователя настроена соответствующая опция пересчёта.
В нижней части отчёта, помимо строки итоговой суммы, отображаются частные итоги по отдельным причинам списаний.
Движение средств
В данном отчёте собрана информация о движениях средств между счетами, произве-денных самими пользователями через web-интерфейс или приложение utm5_tray.
Отчёт по счетам
Данный отчёт суммирует информацию по выписанным счетам за выбранный период. В отчёте собрана следующая информация:
73
NetUP UTM5. Руководство администратора
7
• Номер счёта;
• Номер платёжного документа;
• ID аккаунта;
• Полное имя;
• Время;
• Оплачен (статус счёта);
• Сумма.
В отчёте по счетам одного пользователя имеется дополнительная кнопка Новый счет, позволяющая сформировать новый счёт с произвольными позициями. Для каждой позиции вводятся параметры:
• Наименование;
• Количество;
• Цена за единицу;
• Стоимость (рассчитывается автоматически).
В контекстном меню отчёта по счетам, помимо стандартных, присутствуют следующие пункты:
• Оплатить – открыть окно платежа (см. Внести платеж на стр. 91) с методом Оплата
наличными и суммой, равной сумме счёта.
• Счет – сформировать версию для печати выбранного счёта или нескольких счетов.
• Счет-фактура – сформировать для печати счёт-фактуру на выбранный счёт или несколько счетов.
• Акт о выполненной работе – сформировать для печати акт о выполненной работе.
• Отослать на e-mail – отослать выбранный счёт на e-mail, указанный в свойствах поль-зователя (также применимо при выборе нескольких счетов).
Все счета, счета-фактуры и акты о выполненных работах, сформированные для печати, могут быть одноразово (т.е. без сохранения) отредактированы кнопкой Редактировать.
Изменения пользователей
Данный отчёт приводит сведения об изменениях характеристик пользователей и неко-торых других системных объектов (услуг, тарифных планов) за выбранный период. В от-чёте собрана следующая информация:
• ID пользователя (0, если изменение относится не к пользователям).
Рис. 33. Счёт, сформированный для печати.
4
Интерфейс администратора
• Логин пользователя (пуст, если изменение относится не к пользователям).
• Кто – логин системного пользователя, внёсшего изменения.
• Время – дата и время внесения изменений.
• Что – краткое описание изменений.
• Комментарий.
Некоторые изменения могут попадать или не попадать в отчёт в зависимости от того, каким образом они произведены (например, автоматически или вручную).
Детальный трафик
Детальный отчёт по трафику строится на базе исходных данных о переданном трафике и включает детализированную информацию:
• Дата;
• Идентификатор прикреплённой услуги;
• Номер лицевого счёта;
• Класс трафика;
• IP-адрес и порт источника;
• IP-адрес и порт получателя;
• Количество переданных пакетов;
• Количество переданных байт;
• Флаги TCP;
• Протокол;
• TOS.
За большие промежутки времени накапливается огромное количество статистики, по-этому создание такого детализированного отчёта может занять длительное время. Для соз-дания отчёта за большой промежуток времени рекомендуется воспользоваться опцией Отчет по трафику, либо выбрать данные непосредственно из базы данных детальной ста-тистики с помощью утилиты get_nf_direct. Если процесс построения отчёта занимает дольше, чем ожидалось, можно его прервать (см. Иконка в трее на стр. 102).
Графические отчеты
Графический отчёт служит для визуального представления данных. Возможные дан-ные для отображения определяются выбранным значением в выпадающем списке Тип
услуги:
• IP-трафик – отображается график зависимости потребления различных классов трафи-ка всеми пользователями от времени за выбранный период.
• Dialup – отображается количество сессий в час.
• Телефония – отображается количество звонков в час.
75
NetUP UTM5. Руководство администратора
7
Инди ви ду аль ные услуги
В данном отчёте приводятся списания, производимые по запросу модуля интеграции с системой Rentsoft (см. Интеграция с системой Рентсофт на стр. 22). В отчёт входят:
• Номер лицевого счёта;
• Логин;
• Дата;
• Mark (уникальный идентификатор транзакции);
• Сумма;
• Сумма с налогами;
• Услуга;
• ID услуги;
• Отменено (флаг отмены списания).
Настройки
Список параметров
На данной странице приведён сводный список системных параметров и их значений (см. Ядро системы: Интерфейсные параметры на стр. 134) с возможностью добавления, редактирования и удаления.
Допол ни тель ные параметры
Система позволяет назначить пользователям произвольные дополнительные парамет-ры, которые в дальнейшем могут отображаться и редактироваться в интерфейсе админист-ратора, а также участвовать в шаблонах документов. Создание, редактирование и удаление дополнительных параметров происходит на данной странице.
Установка значений параметров для конкретного пользователя производится на стра-нице свойств пользователя (см. Пользователь: Дополнительные параметры на стр. 42). Параметр отображается в свойствах пользователей, если при его создании установлена оп-ция Отображать в интерфейсе.
Список брандмауэров
На данной странице приведён список работающих в системе брандмауэров (см. UTM5
RFW на стр. 167), с возможностью добавления, редактирования и удаления. Подключённые брандмауэры подсвечиваются зелёным.
6
Интерфейс администратора
Брандмауэр обладает следующими параметрами:
• Идентификатор – задаётся автоматически;
• Тип – cуществуют следующие типы брандмауэров:
° Локальный – указывается, если команды будут исполняться локально;
° Cisco (rsh) – указывается, если команды будут пе-редаваться по протоколу rsh.
Тип брандмауэра должен соответствовать параметру firewall_type конфигурационного файла rfw, со-поставляемого с данным брандмауэром.
• Наименование – уникальное имя, по которому происходит идентификация подключа-ющихся к ядру rfw. Наименование брандмауэра должно соответствовать параметру rfw_name конфигурационного файла, сопоставляемого с данным брандмауэром.
• IP – адрес поставщика NetFlow, указываемый в сервисной связке услуги передачи IP-трафика в качестве параметра ID брандмауэра. Т.е. поставщик NetFlow должен быть за-регистрирован в качестве брандмауэра.В следующих версиях интерфейса поле для указания параметра будет перенесено.
• Логин – логин, используемый при авторизации по rsh. Только для типа брандмауэра Remote Cisco. В качестве local login всегда передается netup.
• Комментарий – Носит информационный характер.
Правила f i rewall
На данной странице перечислены введённые правила firewall, с возможностью добав-ления, редактирования и удаления.
Рис. 34. Параметрыбрандмауэра.
Рис. 35. Список правил firewall.
77
NetUP UTM5. Руководство администратора
7
Кнопки и открывают окно Правила firewall, содержа-
щее интерфейс настройки свойств правила.
Значения параметров, а также общие принципы использования правил firewall описаны в главе UTM5 RFW на стр. 167.
Список NAS
На данной странице находится перечень зарегистрированных в системе NAS.
NAS обладает следующими параметрами:
• ID – идентификатор.
• NAS IP – IP-адрес NAS. См. IP-адреса на стр. 36 по поводу формата ввода.
• Auth Secret – пароль, используемый при принятии запросов на проверку доступа от NAS и отправке ответов на запросы проверки доступа на NAS. Должен совпадать с об-щим секретным словом (secret), заданным в настройках NAS для данного типа запро-сов.
Рис. 36. Окно “Правила firewall”.
Рис. 37. Список NAS.
8
Интерфейс администратора
• Acc Secret – пароль, используемый при принятии запросов на учет от NAS и отправке ответов на зап-росы на учет на NAS. Должен совпадать с общим се-кретным словом (secret), заданным в настройках NAS для данного типа запросов.
• DAC secret – пароль, используемый при обмене рас-ширенными сообщениями, описанными в RFC 5176.
• Порт DAE сервера – порт на NAS, выделенный для приёма расширенных сообщений.
• Disconnect-request – флаг, означающий, что при управлении данным NAS можно использовать пакеты Disconnect-request.
• CoA-request – флаг использования пакетов Change-of-Authorization.
• Радиус-атрибуты – открывает окно RADIUS (см. ниже Дополнительные RADIUS-
атрибуты).
Дополнительные RADIUS-атрибуты
В этом окне приводится список RADIUS-атрибутов, которые будут добавлены в любой Access-Accept, направляемый на данный NAS.
Для RADIUS-атрибута задаются следующие параметры:
• ID вендора – идентификатор вендора.
• ID атрибута – идентификатор атрибута.
• Значение – значение атрибута.
• Тип значения – число, строка, IP-адрес или бинарный.
С помощью дополнительных RADIUS-атрибутов производится установка специфич-ных параметров соединения (ограничение скорости, протокол, адреса и др.) для каждой ус-луги, сервисной связки, либо NAS. Обычно требуется поддержка этих атрибутов сервером доступа.
RADIUS-атрибуты описаны в RFC 2865 и RFC 2866.
Юридические лица
Данная страница содержит реквизиты юридического лица или лиц поставщика, пред-назначенные для использования в шаблонах документов.
Рис. 38. Параметры NAS.
Рис. 39. ПараметрыRADIUS-атрибута.
79
NetUP UTM5. Руководство администратора
8
Операторы телефонии
Данная страница содержит список операторов телефонии. Они хранятся в UTM5 с це-лью ведения взаимных расчётов за пропуск трафика. При добавлении или редактировании оператора открывается окно Оператор телефонии, которое включает следующие страни-цы:
• Подробнее – реквизиты юридического лица, связанного с данным оператором, и ба-ланс оператора.
• Услуга – параметры услуги телефонии, применяемой исключительно для взаимных расчётов с данным оператором. Эта услуга не отображается в общем списке услуг, не может назначаться пользователям, не имеет названия, а также связанных с ней предоплаченных единиц трафика и RADIUS-атрибутов. Границы тарификации учи-тываются применительно к каждому звонку в отдельности. В остальном параметры этой услуги такие же, как у обычных услуг телефонии (см. Услуга телефонии на стр. 63).
• Отчёты – отчёты по платежам и списаниям для данного оператора (доступны только при редактировании).
Экстренные вызовы
Данная страница содержит список телефонных зон и/или направлений, звонки на кото-рые можно совершать даже в ситуации, когда лицевой счёт заблокирован.
IP-пулы
Данная страница содержит список пулов, из которых выдаются IP-адреса пользовате-лям услуг коммутируемого доступа.
При наличии нескольких IP-пулов с одинаковым именем порядок выдачи адресов из них регулируется параметром named_pool_shuffle (см. UTM5 RADIUS:
named_pool_shuffle на стр. 157). В более ранних версиях UTM (до 5.2.1-009-update2) поведение системы в этом случае было непредсказуемо.
Рис. 40. Окно свойств оператора.
0
Интерфейс администратора
Шаблоны документов
На данной странице перечислены шаблоны документов (см. Документы на стр. 35), с возможностью добавления, редактирования, предварительного просмотра и удаления. Ша-блон представляет собой файл формата HTML, в котором могут использоваться перемен-ные – имя пользователя, баланс счёта и др. Некоторые переменные являются ссылками на подшаблоны (см. Подшаблоны на стр. 81). Переменная в шаблоне выглядит как буквен-ный идентификатор, ограниченный символами “@”. При генерации документа переменные заменяются на свои значения.
Шаблоны делятся на типы. Набор доступных переменных, в том числе подшаблонов, зависит от типа шаблона. Полный список приведён в главе Приложения: Переменные ша-
блонов на стр. 326.
На печати все документы по умолчанию являются одностраничными. Для формирова-ния многостраничных документов места разрыва страниц должны быть указаны явно с по-мощью специальной переменной @[email protected] Каждая страница должна быть отдельно оформлена тегами <html>…</html> и т.д., как если бы она являлась отдель-ным файлом HTML.
Шаблон может включать блок замен, охваченный тегом <translate>. В сгенериро-ванный документ этот блок не входит. Отдельные заменяемые и подставляемые фрагменты текста должны быть охвачены и разделены символами #:
Если в шаблоне присутствует блок замен, то при генерации документа каждая замена прилагается ко всему тексту шаблона после подстановки значений переменных и подшаб-лонов. Так, в приведённом примере фрагмент “Product ID” по всему тексту документа будет заменён на “Товар”, а “Price” – на “Цена”. Идентичные замены (#текст#текст#) недопустимы. C помощью данного механизма одни и те же подшаб-лоны могут использоваться в разных шаблонах, генерирующих конечные документы на разных языках.
Кнопка По умолчанию позволяет сменить шаблон на вариант по умолчанию для дан-ного типа документов.
Кнопка Загрузить из БД позволяет загрузить шаблон из БД (может быть актуально при обновлении с более ранней версии UTM5).
Подшаблоны
На данной странице перечислены подшаблоны документов, т.е. фрагменты HTML-форматированного текста, которые могут, подобно шаблонам, содержать переменные, и в то же время могут сами вставляться в текст других подшаблонов или шаблонов.
<translate>#Product ID#Товар##Price#Цена#
</translate>
81
NetUP UTM5. Руководство администратора
8
Подшаблоны делятся на типы. Набор доступных переменных определяется типом подшаблона. Полный список приведён в главе Приложения: Переменные шаблонов на стр. 326. Возможность использования подшаблона в конкретном шаблоне или подшаблоне зависит от типов обоих.
Подшаблоны некоторых типов являются итераторами, т. е. их однократное вхождение в документ при подстановке значений преобразуется в многократно повторяемый фрагмент, перечисляющий некоторое множество значений.
Дина ми чес кое шей пи ро ва ние
На данной странице приведены параметры динамического шейпирования для тех уcлуг, для которых оно задано (шейпирование применимо к услугам передачи IP-трафика). Имеется возможность добавления и снятия шейпирования, а также изменения его парамет-ров.
Рис. 41. Список шейпированных услуг.
2
Интерфейс администратора
Кнопка снимает шейпирование для услуги, выбранной в списке. Кнопки
и открывают окно Динамическое шейпирование, содержа-
щее следующие интерфейсные элементы:
• Услуга – выпадающий список для выбора услуги передачи IP-трафика, к которой пред-полагается применить шейпирование. Активен только при добавлении шейпирования; при редактировании неактивен.
• Применять к VPN IP, Применять к не-VPN IP – флаги применения шейпирования к различным типам IP-групп. Активны только при добавлении шейпирования; при редак-тировании неактивны.
• На вкладках Входящий канал и Исходящий канал:
° C помощью кнопок Добавить временной диапазон и Удалить временной диапазон выбираются временные диапазоны, к которым должно применяться шейпирова-ние.
Перекрытие используемых временных диапазонов, как и в других случаях, недопустимо.
° С помощью кнопок Добавить границу и Удалить гра-ницу устанавливаются границы – значения объёма трафи-ка, с которых начинается ограничение полосы пропускания. Можно указывать единицы K (килобайт), M (мегабайт) или G (гигабайт); цифра без указания еди-ниц интерпретируется как значение в байтах. В качестве нижней границы целесообразно ввести нулевое значение.
Рис. 42. Окно “Динамическое шейпирование”.
Рис. 43. Окно выбора временного диапазона.
Рис. 44. Окно выбора границы потребления.
83
NetUP UTM5. Руководство администратора
8
° Для каждой границы и для каждого из временных диапазонов вводятся ограничения полосы пропускания в Кбит/сек (действующие в данное время, начиная с достиже-ния данного объёма трафика).
° В группе Классы трафика с помощью выпадающего списка и кнопок Добавление класса трафика и Удалить вводятся классы трафика, к которым должно применять-ся шейпирование.
• На вкладке RADIUS-параметры вводятся параметры, отправляемые серверу RADIUS: ID вендора, ID атрибута, и команда в поле Значение. В команде можно использовать переменные, выбирая их из выпадающего списка. Перед отправкой данной строки на NAS система подставляет на место переменных их числовые значения, зависящие от потреблённого трафика и заданных границ. Описание переменных см. в UTM5
Dynashape: Параметры RADIUS на стр. 182.
• На вкладке Турбо-режим можно настроить параметры турбо-режима, т.е. временного ускорения интернет-доступа: ограничение скорости (или его отсутствие) на входящем и исходящем канале во время действия режима, длительность действия, и разовую услугу, применяемую в качестве оплаты за включение. Пользователь может включить турбо-режим самостоятельно в web-интерфейсе.
Интерфейсы
В данном разделе описаны настройки пользовательского интерфейса, а также интер-фейса кассира. На странице Tray приложение (стр. 85) расположены настройки приложе-ния utm5_tray (см. Утилита utm5_tray на стр. 215). Аналогичная функциональность web-интерфейса настраивается посредством редактирования xml-шаблонов в корневой ди-ректории интерфейса.
На страницах Смена тарифа, Добровольная блокировка, Обещанные платежи и Движение средств (стр. 89) описываются различные возможности для пользователя, ка-ждая из которых задаётся набором параметров. Можно задавать произвольное количество разных наборов, относящихся к разным группам пользователей и имеющих разный прио-ритет. Для конкретного пользователя применяется один из наборов параметров, подхо-дящий по его групповой принадлежности. Если к пользователю подходит несколько наборов, применяется только один из них, а именно обладающий максимальным приори-тетом. Если этот набор не активирован, то данная возможность для пользователя отключе-на, независимо от наличия и настроек других наборов.
Рис. 45. Окно настройки параметров RADIUS.
4
Интерфейс администратора
Приоритет наборов может настраиваться кнопками Вверх и Вниз. Набор, связанный с группой Все, существует по умолчанию, не может быть удалён и имеет фиксированный приоритет 0 (т. е. применяется в последнюю очередь).
Tray приложение
На этой странице перечислены настройки UTM5, отвечающие за взаимодействие с кли-ентским приложением (см. Утилита utm5_tray на стр. 215).
В группе параметров Обновление приводятся параметры автоматического обновления пользовательских приложений:
• Обновления включены – включает автообновления.
• Версия новой сборки (номер) – номер сборки пользовательского приложения, кото-рый при его запуске сравнивается с текущим, и если текущий меньше, происходит об-новление.
• URL – адрес для скачивания новой версии.
В группе параметров Выберите вкладки настраивается доступ пользователей к от-дельным вкладкам приложения (см. Утилита utm5_tray: Разделы интерфейса на стр. 216).
В группе параметров Выберите отчеты настраивается доступ пользователей к отдель-ным видам отчетов на вкладке Отчеты пользовательского приложения (см. Утилита
utm5_tray: Отчёты на стр. 217).
Рис. 46. Страница настроек пользовательского приложения.
85
NetUP UTM5. Руководство администратора
8
Интерфейс кассира
На этой странице перечислены настройки UTM5, отвечающие за взаимодействие с ин-терфейсом кассира (см. Модуль кассира на стр. 209).
Настройки, относящиеся к странице платежа:
• Показывать – показывать данную страницу в интерфейсе кассира.
• Искать по – характеристики, по которым возможен поиск.
• Показывать параметры – характеристики пользователей, показываемые в результа-тах поиска.
• Количество – количество пользователей, выводимых в результатах поиска.
• Валюта – список возможных валют платежа.
Настройки, относящиеся к странице отчёта:
• Показывать – показывать данную страницу в интерфейсе кассира.
• Показывать параметры – характеристики платежа, показываемые в отчёте.
Сме на та рифа
На данной странице приводится список наборов параметров для смены тарифного пла-на. Применимость наборов для конкретного пользователя определяется групповой принад-лежностью и приоритетом (см. выше).
Рис. 47. Страница настроек интерфейса кассира.
6
Интерфейс администратора
Кнопки и открывают окно деталей смены тарифа, содер-
жащее следующие интерфейсные элементы:
• ID – идентификатор (присваивается автоматически);
• Группа – группа пользователей, к которой применим данный набор;
• Активно – флаг активации набора.
• Доступные тарифы – список тарифных планов, для которых применима смена. Спи-сок регулируется кнопками Добавить, Редактировать и Удалить.
Для каждого плана задаются следующие свойства:
° Тариф – название тарифного плана;
° Минимальная граница баланса – минимальная сумма на счету, при которой мож-но пользоваться сменой тарифного плана;
° Услуга – специально созданная разовая услуга (может применяться для взятия пла-ты за смену тарифного плана);
° Баланс для бесплатной активации – минимальная сумма на счету, при которой можно менять тарифный план бесплатно.
Добровольная блокировка
На данной странице приводится список наборов параметров добровольной блокиров-ки. Применимость наборов для конкретного пользователя определяется групповой принад-лежностью и приоритетом (см. выше).
Кнопки и открывают окно свойств блокировки, содер-
жащее следующие интерфейсные элементы:
Рис. 48. Окно настроек смены тарифного плана.
Рис. 49. Окно настроек смены для конкретного плана.
87
NetUP UTM5. Руководство администратора
8
• ID – идентификатор (присваивает-ся автоматически);
• Группа – группа пользователей, к которой применим данный набор;
• Минимальная длительность;
• Максимальная длительность;
• Интервал между активациями;
• Тип блокировки;
• Минимальная граница балан-са – минимальная сумма на счету, при которой можно пользоваться добровольной блокировкой;
• Услуга – специально заведённая разовая услуга (может применяться для взятия платы за добровольную блокировку);
• Баланс для бесплатной активации – минимальная сумма на счету, при которой мож-но пользоваться добровольной блокировкой бесплатно;
• Самостоятельное снятие блокировки – флаг возможности самостоятельного досроч-ного прекращения добровольной блокировки;
• Активно – флаг активации набора.
После снятия добровольной блокировки счёт остаётся в состоянии Интернет: Выклю-
чен до первого платежа, до конца месяца, или до включения пользователем, смотря по то-му, что из этого происходит раньше. Включить его самостоятельно пользователь может в приложении utm5_tray (см. Утилита utm5_tray: Основное на стр. 216) или в web-интер-фейсе (см. Web-интерфейс: Лицевые счета на стр. 223).
Обещанные платежи
На данной странице отображается список наборов параметров обещанных платежей. Применимость наборов для конкретного пользователя определяется групповой принад-лежностью и приоритетом (см. выше).
Кнопки и открывают окно свойств обещанного платежа,
содержащее следующие интерфейсные элементы:
• ID – идентификатор (присваивается автоматически);
• Группа – группа пользователей, к которой применим данный набор;
• Максимальный платеж – наибольшая возможная сумма обещанного платежа;
• Истекает через – срок истечения обещанного платежа;
• Интервал между активациями;
• Минимальная граница баланса – минимальная сумма на счету, при которой можно производить обещанный платёж;
Рис. 50. Параметры добровольной блокировки.
8
Интерфейс администратора
• Услуга – специально заведённая разовая услуга (может применяться для взятия комис-сионного взноса за обещанный платёж);
• Баланс для бесплатной активации – минимальная сумма на счету, при которой мож-но производить обещанный платёж бесплатно;
• Активно – флаг активации набора.
Движение средств
На данной странице отображается список наборов параметров движения средств. При-менимость наборов для конкретного пользователя определяется групповой принадлежнос-тью и приоритетом (см. выше).
Кнопки и открывают окно свойств движения средств,
содержащее следующие интерфейсные элементы:
• ID – идентификатор (присваивается автоматически);
• Группа – группа пользователей, к которой применим данный набор;
• Активно – флаг активации набора.
Дополнительно
• Статистика – время работы (uptime) и количество записей NetFlow в системе.
• Плагины – список загруженных модулей с указанием версий.
• Таблица символов – список urfa-функций, с указанием их ID и модулей, к которым они принадлежат.
• Сессии – список открытых сессий.
• Сессии Hotspot – список сессий Hotspot, открытых через web-интерфейс. (Сессии RADIUS для услуг hotspot на вкладке не отображаются.)
• RADIUS-атрибуты – список специальных RADIUS-атрибутов. Они могут быть связа-ны с отдельными пользователями, NAS, услугами передачи IP-трафика, коммутируемо-го доступа и телефонии, а также с сервисными связками данных услуг.
• Смена пароля – интерфейс для смены пароля администратора. Смена пароля произво-дится по нажатию кнопки Изменить, которая активна только в том случае, если текст в полях ввода Новый пароль и Подтверждение совпадает.
1С
Группа 1С присутствует в интерфейсе при наличии лицензии на модуль интеграции с 1С, и включает следующие страницы:
• 1С настройки;
• 1C пользователи;
89
NetUP UTM5. Руководство администратора
9
• 1С платежи;
• 1С счета.
Назначение отдельных параметров и работа с модулем интеграции описаны в главе Ин-
теграция с 1C:Предприятие на стр. 313.
О программе
Данная группа содержит две страницы:
• О программе – номер версии программы и информация об организации, для которой была выдана лицензия.
• Лицензии – список загруженных лицензий и сроки их действия. При нажатии на кноп-ку Прочитать отображаются все параметры выбранной лицензии, в том числе список ограничений, которые для неё установлены.
Рис. 51. Страница “Лицензии”.
0
Интерфейс администратора
Прочие страницы
Внести платеж
Окно ввода платежей содержит следую-щие интерфейсные элементы:
• Логин – логин пользователя (только для просмотра).
• Лицевой счёт – выпадающий список для выбора лицевого счета, если у пользовате-ля их несколько.
• Включить интернет – если отмечено, из-менить статус интернет на Включен после внесения платежа (при условии, что ба-ланс окажется положительным).Значение этого флага по умолчанию уста-навливается в настройках интерфейса (см. Настройки: TurnInternetOn на стр. 38).
• Сумма – сумма платежа.
• Валюта – валюта платежа.
• Дата платежа – дата внесения платежа.
• Истекает – дата истечения платежа (необязательный параметр).
• Комментарий (Для администратора, Для пользователя) – необязательные коммен-тарии.
• Метод платежа – выпадающий список для выбора метода платежа из числа зарегист-рированных. Если выбран метод Кредит, дата истечения становится обязательным параметром.
• № платежного документа – номер внешнего документа, согласно которому произво-дится платеж (если таковой существует).
• Платеж по счету – номер счёта, зарегистрированного в системе, согласно которому производится платеж (если таковой существует). Если платёж производится на основа-нии внутреннего счёта системы, выставленного абоненту, то поля ввода суммы и валю-ты платежа заполняются автоматически и становятся неактивными.
• Выписать квитанцию – если отмечено, после нажатия è закрытия окна пла-
тежа появится в отдельном окне квитанция по произведённому платежу, сформирован-ная для печати.
• Посылать уведомления – если отмечено, уведомление о платеже будет отправлено пользователю по e-mail.
Поиск пользователей
Окно поиска пользователей предоставляет следующие возможности:
Рис. 52. Окно внесения платежа.
91
NetUP UTM5. Руководство администратора
9
• На закладке Обычный можно задавать поиск по логину или полному наименованию (текстовый поиск подстроки), а также по ID пользователя, ID основного лицевого счёта, IP-адресу или по балансу.
• На закладке Расширенный можно задавать поиск по комбинации произвольного коли-чества условий, включающих любые свойства пользователя.
• Кнопка Добавить к дилеру позволяет привязать пользователя к дилеру, как и анало-гичная кнопка на странице свойств пользователя (см. Пользователь: Основные пара-
метры на стр. 41).
• Кнопка Редактировать открывает окно свойств пользователя, как и аналогичная кноп-ка в списке пользователей (см. Пользователи на стр. 40).
• Кнопка Добавить в группу позволяет добавить выбранных пользователей в группу, как и аналогичная кнопка на странице свойств пользователя (см. Пользователь: Группы на стр. 42).
• Кнопка Внести платеж открывает окно ввода платежа за выбранного пользователя (см. Внести платеж на стр. 91).
Лицевой счет
Лицевой счёт – это объект системы, со-держащий информацию о финансовом сос-тоянии пользователя. Создание, редактирование и удаление лицевых счетов производится из окна свойств пользователя (см. Тарификация: Лицевые счета на стр. 43). Пользователь может иметь нес-колько лицевых счетов.
Лицевой счёт характеризуется следующими параметрами:
Рис. 53. Окно поиска пользователя.
Рис. 54. Окно свойств лицевого счета.
2
Интерфейс администратора
• Номер счёта (присваивается автоматически).
• Интернет – статус Интернета (включен / выключен).
• Кредит – кредит счёта, может быть изменён вручную в данном окне или посредством совершения платежа с методом Кредит.
• Баланс – баланс счёта (только для просмотра).
• Внешний ID – опциональный идентификатор счёта для интеграции с какими-либо внешними системами.
• Тип блокировки – состояние счёта (может быть заблокирован системой автоматически или администратором вручную, или не заблокирован). Обратите внимание, что после снятия ручной блокировки необходимо также вручную изменить статус интернет для данного счёта на Включен (делается в этом же окне, см. Интернет выше).
• Ставка НДС – налог на добавленную стоимость, применяемый при выписывании сче-тов.
• Ставка НСП – налог с продаж, применяемый при выписывании счетов.
Группа параметров Пересчитывать абонентскую плату и Пересчитывать
предоплаченный трафик , имевшаяся в свойствах счёта до версии 5.2.1-008, перенесена в свойства сервисной связки, см. Сервисная связка периодической
услуги: Установить тип на стр. 96 и Сервисная связка услуги передачи тра-
фика: Пересчитывать предоплаченный трафик на стр. 98.
• Период блокировки – для административной блокировки могут быть заданы произ-вольные даты начала и окончания.
В отличие от текущего статуса, назначенная на будущее блокировка не ото-бражается в свойствах лицевого счёта. Проверить её наличие можно в отчё-те по блокировкам, см. Отчет по блокировкам на стр. 72.
• Безлимитный режим (применять с осторожностью!) – все списания с клиента будут производиться по нулевой стоимости.
Тарифная связка
Тарифная связка – это объект, связывающий тарифный план с лицевым счетом. Созда-ние, редактирование и удаление тарифных связок производится из окна свойств пользова-теля (см. Тарификация: Тарифные связки на стр. 43). Перед созданием связки следует выбрать лицевой счёт, с которым она будет ассоциирована.
Рис. 55. Создание тарифной связки.
93
NetUP UTM5. Руководство администратора
9
Параметрами тарифной связки являются:
• Текущий тарифный план – тарифный план, действующий в текущий расчетный пери-од.
• Следующий тарифный план – тарифный план, на который происходит переключение в момент закрытия расчетного периода. Для корректного перехода необходима совмес-тимость тарифных планов (см. Совместимость тарифных планов на стр. 28). Если следующий тарифный план совпадает с текущим (указано Не менять), произойдёт его продление с сохранением всех услуг. Если вместо следующего плана выбрано значениеОтключить (можно выбрать только при редактировании, но не при создании тарифной связки), произойдет отключение тарифного плана и всех связанных с ним сервисных связок.
В течение расчетного периода идентификатор тарифного плана следующего периода можно менять без ограничений, т. к. переключение тарифного плана произойдет толь-ко при закрытии расчетного периода.
• Расчетный период – выбирается из списка расчётных периодов (см. Расчетные пери-
оды на стр. 56) кнопкой Выбрать. При закрытии расчетного периода происходит пере-ключение на следующий тарифный план, если он отличается от текущего.
После выбора текущего тарифного плана, текущего расчетного периода и нажатия
кнопки система автоматически предложит создать сервисные связки для услуг, у
которых установлен параметр Подключать услугу по умолчанию. Прочие услуги могут быть подключены впоследствии кнопкой Добавить сервисную связку в окне редактиро-вания тарифной связки.
Сервисная связка
Сервисная связка – это объект, связывающий услугу с лицевым счетом. Создание, ре-дактирование и удаление сервисных связок производится из окна свойств пользователя (см. Тарификация: Сервисные связки на стр. 43). Перед созданием связки следует выб-рать лицевой счёт, с которым она будет ассоциирована.
Параметры сервисной связки перечислены ниже. Набор параметров зависит от типа услуги, для которой предназначена связка.
Сервисная связка разовой услуги
Данная сервисная связка имеет следующие параметры:
• Название – название услуги, приводимое в информационных целях.
• Время списания – время, в которое будет произведено списание средств за услугу. Если дата указана в будущем, списание про-изводится при наступлении указанной даты. Если дата указана в настоящем или прош-лом, списание осуществляется сразу же после создания сервисной связки. По
Рис. 56. Сервисная связка разовой услуги.
4
Интерфейс администратора
умолчанию дата списания устанавливается по локальному времени компьютера, на котором запущен интерфейс администратора.
• Стоимость, % – стоимость услуги для данного пользователя может быть произвольно скорректирована относительно её базовой цены.
После проведения списания сервисная связка для разовой услуги удаляется.
Параметры самой услуги описаны в разделе Разовая услуга на стр. 58.
Сервисная связка периодической услуги
Данная сервисная связка имеет следующие пара-метры:
• Название – название услуги.
• Расчётный период – расчетный период, на кото-рый ссылается сервисная связка.
• Время начала – Дата начала предоставления услу-ги данному пользователю.
Время начала предоставления услуги не может выходить за пределы того расчетного периода, на который ссылается сервисная связка.
• Время окончания – Дата окончания предоставле-ния услуги данному пользователю. При наступле-нии этой даты сервисная связка будет удалена.
• Стоимость, % – стоимость услуги для данного пользователя может быть произвольно скорректирована относительно её базовой цены.
Рис. 57. Сервисная связка периодической услуги.
95
NetUP UTM5. Руководство администратора
9
• Перерасчет абонентской платы – учёт времени действия сервисной связки по отно-шению к расчётному периоду и к блокировкам. При создании новой сервисной связки включает следующие два параметра:
° Пересчитывать при добавлении – если данная опция установлена, то в началь-ном расчетном периоде будет произведен перерасчет периодической составляю-щей стоимости согласно доле периода, в течение которой услуга реально предоставлялась (со времени начала действия сервисной связки до конца пери-ода).
Если дата начала действия сервисной связки установлена в прошлом, вместо неё будет использоваться текущая дата по времени ядра UTM5. Т.е.
Пересчитанная стоимость = (Стоимость всего периода)·l1/L,
если дата начала действия сервисной связки установлена в будущем, или
Пересчитанная стоимость = (Стоимость всего периода)·l2/L,
если дата начала действия сервисной связки установлена в прошлом или на теку-щую дату.
° Установить тип – включает аналогичный перерасчёт в течение последующих рас-чётных периодов, учитывающий время, в течение которого счёт был заблокиро-ван. Возможны следующие типы перерасчёта:
* Ничего не делать – время блокировки не учитывается, плата взимается в пол-ном размере;
Рис. 58. Пересчёт абонентской платы.
6
Интерфейс администратора
* Пересчитывать – перерасчёт происходит с учётом времени блокировки на мо-мент списания средств; если в дальнейшем обнаруживается, что произошло из-быточное списание, средства не возвращаются;
При обновлении с более ранней версии UTM (до 5.2.1-008 включительно) флаг Пересчитывать абонентскую плату из свойств лицевого счёта (см. Лицевой
счет на стр. 92) преобразуется в данное свойство сервисной связки, причём на-личие флага переходит в опцию Пересчитывать , а его отсутствие – в опцию Ничего не делать.
* Пересчитывать и возвращать всегда – в конце периода, а также при разбло-кировке, вносе платежа, пользовательском запросе (см. Web-интерфейс: Вер-
нуть на стр. 223), или при удалении сервисной связки, происходит подсчёт актуально использованного времени и возврат избыточно списанных средств за время блокировки;
* Возвращать только полностью – пересчёт с возвратом средств происходит только в том случае, если лицевой счёт клиента был заблокирован в течение всего расчётного периода;
* Возвращать при удалении связки – пересчёт с возвратом средств происходит только в момент удаления сервисной связки.
При редактировании сервисной связки флаг Пере-
считывать при добавлении отсутствует, но име-ется нередактируемый флаг Абон. плата была
пересчитана, информирующий о том, был ли в этом периоде уже произведён перерасчёт. Если счёт заблокирован в данный момент, то приводит-ся также текущий тип перерасчёта. Новый тип пе-рерасчёта после редактирования может быть применён в различные моменты времени, в зави-симости от обстоятельств:
° Если перерасчёт уже производился – в начале следующего периода;
° Если перерасчёт не производился и счёт заблокирован в момент редактирования – после окончания действия текущей блокировки;
° Если перерасчёт не производился и счёт не заблокирован – немедленно.
Параметры самой услуги описаны в разделе Периодическая услуга на стр. 58.
Рис. 59. Редактирование параметров перерасчёта абонентской платы.
97
NetUP UTM5. Руководство администратора
9
Сервисная связка услуги передачи трафика
Данная сервисная связка имеет те же па-раметры, что и связка периодической услуги (см. Сервисная связка периодической услу-
ги), а также следующие специальные пара-метры:
• Пересчитать трафик при создании – если данная опция установлена, то в на-чальном расчетном периоде будет произ-веден перерасчет выделяемого объёма предоплаченного трафика согласно доле периода, в течение которой услуга ре-ально предоставлялась (аналогично пере-расчёту стоимости).
• Пересчитывать предоплаченный тра-фик – если данная опция установлена, то будет производиться перерасчет списыва-емого объёма предоплаченного трафика с учётом времени, в течение которого счёт был заблокирован.
При обновлении с более ранней версии UTM (до 5.2.1-008 включительно) флаг Пересчитывать предоплаченный трафик из свойств лицевого счёта (см. Ли-
цевой счет на стр. 92) переносится в свойства сервисных связок.
При редактировании сервисной связки флаг Пересчитывать трафик при созда-
нии отсутствует, но имеется нередакти-руемый флаг Трафик был пересчитан, информирующий о том, был ли в этом периоде уже произведён перерасчёт тра-фика. Если счёт заблокирован в данный момент, то приводится также текущий статус перерасчёта. Новый статус пере-расчёта трафика после редактирования может быть применён в различные моменты времени, в зависимости от обстоятельств:
° Если перерасчёт уже производился – в начале следующего периода;
° Если перерасчёт не производился и счёт заблокирован в момент редактирования – после окончания действия текущей блокировки;
° Если перерасчёт не производился и счёт не заблокирован – немедленно.
• IP-группы – сети, назначенные пользователю. Идентификация трафика для его после-дующей тарификации будет происходить на основании соответствующих параметров IP-группы, соотнесенных с записями NetFlow-пакетов.
Рис. 60. Сервисная связка услуги передачи трафика.
Рис. 61. Редактирование параметров перерасчёта абонентской платы и трафика.
8
Интерфейс администратора
Если пользователь связан с домом, на место адреса сети подставляется первый свобод-ный адрес из IP-зоны, привязанной к данному дому.
IP-группы обладают следующими параметрами:
° IP – адрес и маска сети IP-группы (обязательный параметр). См. IP-адреса на стр. 36 по поводу формата ввода. Параметр кэшируется UTM5 RADIUS.
° Поставщик NetFlow – брандмауэр, поставляющий NetFlow. Если данный параметр установлен, с данной IP-группой будет сопоставлен только тот трафик, инфор-мация о котором поступила от поставщика с указанным IP-адресом.
° MAC-адрес – параметр, используемый в правилах firewall.
° Логин и Пароль – если данный логин с паролем поступили в запросе на аутентифи-кацию, будет выдан первый свободный IP-адрес из сети, указанной в свойствах IP-группы. Если свободных IP-адресов не осталось, в авторизации будет отказано.
Нажатие кнопки в процессе создания IP-группы позволяет выбрать случай-
ный пароль.Логин подчиняется тем же ограничениям на используемые символы, что и логин пользователя в системе UTM5 (см. Добавление пользователя на стр. 41).Параметры кэшируются UTM5 RADIUS.
° Разрешенные CID – регулярное выражение, на соответствие которому будет про-веряться значение атрибута Calling-Station-ID запроса на авторизацию. Если дан-ный атрибут отсутствует (NAS не поддерживает передачу CID) или не соответствует данному выражению, в авторизации будет отказано.Параметр кэшируется UTM5 RADIUS.
° Не VPN – маркер принадлежности IP-адреса к группе. Имеет информационную функцию.
° Не применять правила firewall – определяет, будут ли для данной IP-группы вы-полняться правила firewall.
• Квоты – предел количества трафика, при достижении которого пользователь будет за-блокирован. В качестве даты начала блокировки будет выступать дата превышения кво-ты, в качестве даты окончания – дата окончания текущего расчетного периода. Квоты могут быть настроены для разных классов трафика по отдельности.
Если для сервисной связки определены квоты для нескольких классов трафика, то бло-кировка произойдет при превышении любой из них.
Если установлена блокировка по квоте, а затем изменена дата окончания расчетного периода, то дата окончания действия блокировки останется неизменной.
Параметры самой услуги описаны в разделе Услуга передачи трафика на стр. 60.
99
NetUP UTM5. Руководство администратора
10
Сервисная связка услуги hotspot
Данная сервисная связка имеет те же параметры, что и связка периодической услуги (см. Сервисная
связка периодической услуги на стр. 95), а также следующие специальные параметры:
• Логин, Пароль – будут использоваться при авто-ризации пользователя в web-интерфейсе.
Логины в сервисных связках услуги hotspot не могут начинаться с цифры, иначе в аутенти-фикации будет отказано.
Параметры самой услуги описаны в разделе Услуга hotspot на стр. 61.
Сервисная связка услуги коммутируемого доступа
Данная сервисная связка имеет те же параметры, что и связка периодической услуги (см. Сервисная
связка периодической услуги на стр. 95), а также следующие специальные параметры:
• Логин, Пароль – будут использоваться при авто-ризации абонента на сервере доступа. При успешной авторизации сервер доступа устано-вит соединение и произведет динамическую вы-дачу абоненту IP-адреса из пула.Параметры кэшируются UTM5 RADIUS.Принимая логин, UTM5 RADIUS может автома-тически отсекать префикс, указанный в пара-метре radius_realm (см. Интерфейсные
параметры на стр. 134).
• Разрешенные CID – регулярное выражение, на соответствие которому будет проверяться значе-ние атрибута Calling-Station-ID (31) запроса на аутентификацию. Параметр кэшируется UTM5 RADIUS. Если регулярное выражение указано, но атрибут в запросе на авторизацию отсутствует или не соответствует данно-му регулярному выражению, то в авторизации будет отказано.
• Разрешенные CSID – регулярное выражение, на соответствие которому будет прове-ряться значение атрибута Called-Station-ID (30) запроса на аутентификацию. Параметр кэшируется UTM5 RADIUS. Если регулярное выражение указано, но атрибут в запросе
Рис. 62. Сервисная связка услуги hotspot.
Рис. 63. Сервисная связка услуги коммутируемого доступа.
0
Интерфейс администратора
на авторизацию отсутствует или не соответствует данному регулярному выражению, то в авторизации будет отказано.
• Разрешен Callback – если данная опция установлена, при авторизации RADIUS-сер-вер проверяет поступивший в запросе логин на соответствие стандарту, принятому для Callback-звонков. Логином считается часть, стоящая после двоеточия. Параметр кэши-руется UTM5 RADIUS.
• Разрешен Ringdown – Если данная опция установлена, при авторизации RADIUS-сер-вер проверяет логин для всех не Callback-звонков. Параметр кэшируется UTM5 RADIUS.
Если опции Разрешен Callback и Разрешен Ringdown не установлены, то в авториза-ции с использованием логина и пароля, указанных в свойствах сервисной связки, будет от-казано.
Параметры самой услуги описаны в разделе Услуга коммутируемого доступа на стр. 62.
Сервисная связка услуги телефонии
Данная сервисная связка имеет те же па-раметры, что и связка периодической услуги (см. Сервисная связка периодической услу-
ги на стр. 95), а также специальный пара-метр:
• Телефонные номера – таблица с теле-фонными номерами. Для каждого номера могут задаваться следующие параметры:
° Логин – логин для идентификации сервисной связки.
° Пароль – пароль, применяемый при регистрации абонента и авторизации звонка.
° Входящий транк, Исходящий транк, ID АТС – параметры для идентификации сер-висной связки.
° Выдаваемый номер – телефонный номер, выдаваемый пользователю при реги-страции (если задан).
° Разрешенные CID – регулярное выражение, на соответствие которому, если оно задано, будет проверяться значение атрибута Calling-Station-ID (31) запроса на ау-тентификацию. Если атрибут в запросе на авторизацию отсутствует или не соот-ветствует данному регулярному выражению, то в авторизации будет отказано.
Рис. 64. Сервисная связка услуги телефонии.
101
NetUP UTM5. Руководство администратора
10
Набор параметров для идентификации сервисной связки (логин, входящий транк, исхо-дящий транк, ID АТС) должен быть уникален; в каждом наборе хотя бы один из параметров должен быть не пуст. Если несколько сервисных связок имеют подходящий набор параме-тров, выбирается та, для которой совпадение происходит по большему числу критериев.
Параметры самой услуги описаны в разделе Услуга телефонии на стр. 63.
Иконка в трее
При работающем центре управления в системном трее отображается иконка: . Икон-ка имеет собственное контекстное меню со следующими пунктами:
• Основное окно – активирует основное окно программы.
• Фреймы – выберите для активации – активен, когда у программы открыто более од-ного окна. Позволяет выбрать и активировать любое из открытых окон программы, по-мимо основного.
• Процессы – выберите для завершения – активен, когда имеются запущенные про-
цессы; при этом иконка сменяется на . Позволяет выбрать и принудительно завер-шить процесс. Может быть актуально, если процесс занимает слишком долгое время.
• Отменить печать – активен, когда происходит печать; прерывает печать.
• Выход – останавливает программу.
2
УСТАНОВКА СИСТЕМЫ
Общее описание
Установка
Перед началом установки убедитесь, что локальное время компьютера соот-ветствует текущей дате. В противном случае система может работать не-корректно.
1. Установите биллинговую систему на сервер.
2. Инициализируйте базу данных.
3. Запустите ядро UTM5 и, в случае необходимости, RADIUS-сервер и аффектор UTM5 RFW.
4. Запустите программу UTM_admin (требует Java; см. Установка и запуск на стр. 113).
5. Смените пароль для системного пользователя init.
Помимо места для установки, системе UTM5 необходимо дисковое прост-ранство для файлов с первичными данными о трафике, размер которых зави-сит от нагрузки на систему и может достигать значительных величин, а также для лог-файлов.
Настройка тарификации
После первой установки системы:
1. Создайте в интерфейсе администратора нужные расчётные периоды.
2. Создайте необходимые классы трафика и временные диапазоны в настройках тарифи-кации.
3. Установите курсы валют в системе. По умолчанию курс рубля к курсу внутренней единицы равен 1, т. е. баланс пользователей отображается в рублях. Если хотите вести лицевые счета в другой валюте, установите курс 1 для этой валюты и скорректируйте курсы остальных валют соответственно.
4. Создайте услуги, выставьте периоды их действия и стоимость.
5. Приступайте к добавлению пользователей.
Проверка корректности работы
1. Настройте и запустите поставщик Netflow.
2. Прокачав некоторое количество трафика в сторону заведённого в системе клиента, проверьте появление данных о прокачанном трафике в отчётах (детальный отчет по трафику, отчет по трафику).
103
NetUP UTM5. Руководство администратора
10
Существуют 64-битные дистрибутивы UTM5 для Debian Squeeze и FreeBSD 9. Корректная работа 32-битных версий в режиме совместимости с 32-битной ОС не гарантируется.
Установка базовых компонентов системы
Linux с менеджером пакетов rpm
На сервер должна быть установлена операционная система Linux (RHEL5, CentOS5 или другой rpm-based дистрибутив, библиотечно совместимый с ними) и дополнительные пакеты: сервер баз данных MySQL 5.0.x, либо PostgreSQL 8.x. Для наибольшей надежно-сти хранения и целостности данных настоятельно рекомендуется использовать MySQL с поддержкой InnoDB.
Также необходимы следующие пакеты:
• openssl;
• glibc;
• libxml2;
• в зависимости от версии ОС:
Система UTM5 несовместима с расширением SELinux.
1. Выполните команду:
В результате будет создана директория /netup, содержащая основные рабочие фай-лы, файлы конфигурации, директорию для системного журнала. Также будут скопиро-ваны скрипты запуска:
° /etc/init.d/utm5_core
° /etc/init.d/utm5_radius
° /etc/init.d/utm5_rfw
2. Создайте базу данных (см. Создание базы данных на стр. 109).
Для RHEL5: Для CentOS5:
krb5-libslibgssapikeyutils-libslibsepollibselinuxe2fsprogs-libs
zliblibgcce2fsprogs-libslibgssapikrb5-develkrb5-libskeyutils-libs-devellibsepollibselinux
rpm -ihv —nodeps utm5-2.1.xxx.rpm
4
Установка системы
3. Импортируйте лицензионный ключ в БД (см. Активация лицензионного ключа на стр. 110).
4. Создайте индексы (см. Создание индексов на стр. 111).
5. Если все предыдущие команды были выполнены успешно, запустите ядро биллинго-вой системы командой
6. Для автоматического запуска ядра UTM при загрузке Linux выполните команды:
и, при необходимости, аналогичные команды для utm5_radius и utm5_rfw.
Linux Debian
На сервер должна быть установлена операционная система Linux Debian (Lenny или Squeeze) и дополнительные пакеты: сервер баз данных MySQL 5.0.x, либо PostgreSQL 8.x. Для наибольшей надежности хранения и целостности данных настоятельно рекомендуется использовать MySQL с поддержкой InnoDB.
Также необходимы следующие пакеты:
• openssl;
• glibc;
• e2fsprogs;
• libkrb53;
• libxml2;
• в зависимости от версии ОС:
Система UTM5 несовместима с расширением SELinux.
/etc/init.d/utm5_core start
chkconfig —add utm5_corechkconfig utm5_core on
Для Debian Lenny: Для Debian Squeeze:
zliblibgcc1libshishi-devlibgss-devlibtasn1-3libgnutlslibldap2libgpg-error0libidn11libkeyutils1
zliblibldap2libtasn1-3libgpg-error0libgnutls26libgcrypt11libsasl2-2libgssapi-krb5-2libkeyutils1
105
NetUP UTM5. Руководство администратора
10
1. Выполните команду:
В результате будет создана директория /netup, содержащая основные рабочие фай-лы, файлы конфигурации, директорию для системного журнала. Также будут скопиро-ваны скрипты запуска:
° /etc/init.d/utm5_core
° /etc/init.d/utm5_radius
° /etc/init.d/utm5_rfw
2. Создайте базу данных (см. Создание базы данных на стр. 109).
3. Импортируйте лицензионный ключ в БД (см. Активация лицензионного ключа на стр. 110).
4. Создайте индексы (см. Создание индексов на стр. 111).
5. Если все предыдущие команды были выполнены успешно, запустите ядро биллинго-вой системы командой
6. Для автоматического запуска ядра UTM при загрузке ОС выполните команду:
и, при необходимости, аналогичные команды для utm5_radius и utm5_rfw.
FreeBSD
На сервер должна быть установлена операционная система FreeBSD 6.x, 7.x или 8.х, а также дополнительные пакеты: сервер баз данных MySQL 5.0.x, либо PostgreSQL 8.x. Для наибольшей надежности хранения и целостности данных настоятельно рекомендуется ис-пользовать MySQL с поддержкой InnoDB.
Также необходимы следующие пакеты:
• openssl;
• gettext (для FreeBSD 8);
• libiconv (для FreeBSD 8);
• libxml2.
1. Для установки необходимо выполнить команду
В результате будет создана директория /netup, содержащая основные рабочие фай-лы, файлы конфигурации, директорию для системного журнала. Также будут скопиро-ваны скрипты запуска:
° /usr/local/etc/rc.d/utm5_core.sh
° /usr/local/etc/rc.d/utm5_radius.sh
dpkg -i utm5-2.1.xxx.deb
/etc/init.d/utm5_core start
update-rc.d utm5_core defaults
pkg_add utm5-2.1.xxx.tgz
6
Установка системы
° /usr/local/etc/rc.d/utm5_rfw.sh
2. Создайте базу данных (см. Создание базы данных на стр. 109).
3. Импортируйте лицензионный ключ в БД (см. Активация лицензионного ключа на стр. 110).
4. Создайте индексы (см. Создание индексов на стр. 111).
5. Если все предыдущие команды были выполнены успешно, запустите ядро биллинго-вой системы командой
Windows
1. Запустите программу установкиutm5-2.1.xxx.exe. После загрузки инсталлятора появится окно выбора язы-ка для установки.
2. Выберите русский язык и нажмите кноп-ку Далее. Появится окно с лицензион-ным соглашением. Примите соглашение, отметив флажок Я принимаю это согла-
шение и нажав Далее.
3. Появится окно выбора директории для установки UTM. При необходимости нажмите Выбор, чтобы сменить дирек-торию по умолчанию. После выбора ди-ректории нажмите Далее.
/usr/local/etc/rc.d/utm5_core.sh start
Рис. 65. Выбор языка установки.
Рис. 66. Выбор директории для установки.
107
NetUP UTM5. Руководство администратора
10
4. Появится окно выбора компонентов для установки. Если какие-либо компонен-ты уже были установлены ранее, убери-те соответствующие флажки и нажмите Далее.
При обновлении UTM с более ранней версии, как правило, не требуется переус-танавливать сервер баз данных MySQL, а также web-сервер Apache, так что соответствующие флажки можно снять. Однако может измениться струк-тура базы данных. Поэтому на следующем шаге на вопрос об обновлении структуры базы данных необходимо ответить утвердительно.
5. Появится окно настроек MySQL. Если установка происходит впервые, следу-ет отметить флажок Инициализиро-
вать базу данных. Если же происходит обновление UTM, и MySQL уже был установлен ранее, следует отметить флажок Обновить структуру базы дан-
ных и указать путь к MySQL. Затем на-жмите Далее.
6. В появившемся окне нажмите Выбор, укажите папку, содержащую файл лицензии (reg.sql), и нажмите Далее.
7. В следующем окне выберите корневую директорию для установки web-сервера Apache и директорию для скриптов CGI. Нажмите Далее.
8. Программа установки приступит к копированию файлов. В зависимости от настроек, сделанных на шаге 4, в процессе может потребоваться указать некоторые опции Apache и MySQL.
На этом установка UTM завершена.
Для корректной работы биллинга рекомендуется в системных настройках (Язык и региональные стандарты) установить в качестве разделителя целой и дробной частей числа символ «.» (точка).
Рис. 67. Выбор компонентов для установки.
Рис. 68. Настройки для установки MySQL.
8
Установка системы
Серверная часть UTM устанавливается как системная служба Windows NT под назва-нием utm5_core. Для её запуска можно выполнить команду
Для запуска серверной части UTM в режиме отладки (при этом вся информация выво-дится на экран вместо файлов протокола) нужно выбрать Пуск – Программы – UserTrafManager 5.0 – UTM5 Core Debug Mode или выполнить команду:
Для установки и удаления службы utm5_core нужно запустить utm5_core.exe c опциями —install или —uninstall, соответственно:
Вспомогательные операции
Создание базы данных
На UNIX системах следует создать базу данных и выполнить в SQL команды по созда-нию таблиц и вводу некоторых предопределенных значений, перечисленные в файле UTM5_MYSQL.sql (для MySQL) или UTM5_PG.sql (для PostgreSQL). В простейшем слу-чае это достигается следующим образом.
• Для MySQL (рекомендуется использовать кодировку UTF-8 по умолчанию, или указы-вать её при создании базы):
• Для PostgreSQL:
В случае использования операционной системы Windows базы создаются инсталлято-ром автоматически.
Название базы (в приведённых примерах – UTM5) может быть любым; при использова-нии названия, отличного от стандартного, необходимо изменить его в конфигурационном файле UTM5 (параметр database, см. Ядро системы: Конфигурационный файл на стр. 131), а также в нижеследующих примерах команд SQL.
net start utm5_core
C:program filesNetUPUTM5utm5_core.exe -d
C:Program FilesNetUPUTM5>utm5_core.exe —installSuccessfully created utm5_core service
C:Program FilesNetUPUTM5>utm5_core.exe —uninstallSuccessfully deleted utm5_core service
mysql -e «create database UTM5 DEFAULT CHARACTER SET=utf8;»mysql UTM5 < /netup/utm5/UTM5_MYSQL.sql
createdb -U postgres UTM5psql -f /netup/utm5/UTM5_PG.sql -U postgres UTM5
109
NetUP UTM5. Руководство администратора
11
Кодировка базы данных указана в параметре database_charset в конфигура-ционном файле UTM5; при использовании кодировки, отличной от UTF-8, необходимо со-ответственно изменить значение этого параметра.
Получение лицензионного ключа
В личном кабинете клиента на сайте http://www.netup.ru/UTM5 в разделе Лицензион-
ные ключи имеется форма запроса ключа, активируемая после оплаты. После того, как сделан запрос, на этой же странице возникает форма активации. Каждый из модулей, дос-
тупных по условиям лицензии, помечен символом (Активировать), который после
нажатия превращается в (Активирован). Активируйте все необходимые модули и наж-
мите на для загрузки ключа (файла reg.sql).
В случае приобретения новых модулей необходимо заново произвести активацию и скачивание ключа.
Активация лицензионного ключа
Ключ скачивается в личном кабинете клиента (см. Получение лицензионного ключа).
Для активации лицензионного ключа на UNIX системах выполните в SQL команды из файла reg.sql.
При выполнении команд возможны некритические ошибки, указывающие на по-пытку удаления несуществующих объектов или повторного создания уже су-ществующих; их можно игнорировать.
В случае использования операционной системы Windows инсталляционный пакет автоматически запросит путь к директории, где находится файл reg.sql. Если инсталля-тор этого не сделал, выполните команду:
По умолчанию исполняемые файлы MySQL устанавливаются по адресу C:Program FilesMySQLMySQL Server 5.0bin.
[ïóòü ê MySQL]mysql.exe UTM5 < reg.sql
Рис. 69. Формы активации и запроса ключей.
0
Установка системы
Создание индексов
Для создания индексов баз данных на UNIX системах выполните в SQL команды из файла UTM5_indexes.sql, что в простейшем случае достигается следующим образом:
• Для MySQL:
• Для PostgreSQL:
При создании индексов возможны некритические ошибки (например, попытки удаления объектов, которые уже были удалены); их можно игнорировать.
В случае использования операционной системы Windows индексы создаются инстал-лятором автоматически.
Обновление
1. Остановите все компоненты UTM5.
2. Произведите резервное копирование конфигурационных файлов.
3. Произведите резервное копирование SQL базы данных.
4. Удалите старую версию пакета UTM5.
5. Установите новую версию пакета UTM5.
При обновлении базы возможны некритические ошибки типа ERROR 1060 (ко-лонка уже создана) или ERROR 1091 (колонка уже удалена); их можно игнори-ровать.
6. Произведите восстановление конфигурационных файлов из резервной копии.
7. Произведите действия, указанные в инструкции по обновлению к новой версии паке-та.
При обновлении до версии UTM5.3-001 необходимо произвести конвертацию таблиц модуля телефонии приложением /netup/utm5/bin/tel_conv. Программа принимает следующие параметры:
8. Произведите запуск необходимых компонентов UTM5.
mysql -f UTM5 < /netup/utm5/UTM5_indexes.sql
psql -f /netup/utm5/UTM5_indexes.sql -U postgres UTM5
Ключ Значение
-c <путь> Путь к конфигурационному файлу UTM5
-d Удалить все данные из новых таблиц (актуально при повторных запусках)
-fКонвертировать без разрешения конфликтов (в противном случае при обнару-жении конфликтующих данных программа останавливается и требует ис-правления данных вручную и повторного запуска)
111
NetUP UTM5. Руководство администратора
11
Все компоненты системы обязаны иметь один и тот же номер сборки. Cов-местное использование компонентов системы с различными номерами сборки недопустимо.
2
C ЧЕГО НАЧАТЬ
Данный раздел содержит примеры типичных действий с системой UTM. Все действия производятся с помощью различных интерфейсов единого центра управления, работа с ко-торым описывается в примере Установка и запуск. Полный список интерфейсов приводит-ся в главе Интерфейс администратора на стр. 37.
Первоначальная настройка системы, как правило, включает в себя следующие опера-ции:
• создание расчётных периодов (см. примеры Создание расчётных периодов на стр. 114);
• создание классов трафика (см. Создание классов трафика на стр. 115);
• создание услуг (см. Создание услуги передачи IP-трафика на стр. 116);
• заведение пользователей (см. Создание пользователя на стр. 117);
• назначение услуг пользователям (см. Создание сервисной связки на стр. 120 и Созда-
ние тарифной связки на стр. 121).
Установка и запуск
1. Загрузите центр управления, находящийся в личном кабинете клиента на сайте http://www.netup.ru/UTM5 в разделе Файлы под названием utm_admin.zip.
2. Распакуйте полученный файл на рабочей станции администратора, т.е. на компьютере, с которого будет производиться администрирование UTM.
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 6.0 (Java 1.6.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
3. Для начала работы запустите центр управления (файл utm_admin.jar) либо двойным нажатием мыши на этом файле, либо из командной строки:
После запуска появится окно подключения.
4. Укажите IP-адрес сервера и, через двоеточие, порт для подключения. Если используется стандартный порт (11758), его можно не указывать.
5. Укажите логин и пароль системного пользователя. По умолчанию логин init и пароль init.
6. В группе параметров Настройки выберите язык интерфейса.
java -jar utm_admin.jar
Рис. 70. Окно подключенияцентра управления.
113
NetUP UTM5. Руководство администратора
11
Выбранный язык не применяется немедленно к самому окну подключения. Сме-на языка происходит при следующем запуске программы.
7. Если отмечен флажок Сохранять настройки, то выбранные параметры (кроме пароля) сохраняются в конфигурационном файле и автоматически подставляются в форму при следующем запуске программы. Если отмечен флажок Сохранять пароль, то сохраня-ется также и пароль.
После входа в систему рекомендуется изменить пароль для системного поль-зователя init (см. Интерфейс администратора: Смена пароля на стр. 89).
Создание расчётных периодов
Расчётный период (см. Базовые объекты системы: Расчётные периоды на стр. 27) – это период времени, применительно к которому определяются различные периодические действия, например, списания.
Чтобы создать расчётный период:
1. На левой панели в группе страниц Тарификация откройте пункт Расчетные периоды
. Откроется страница со списком существующих периодов.
2. Нажмите , чтобы создать новый период. Откроется окно Расч. период.
3. Выберите дату начала периода.
4. Выберите тип периода (ежедневный, еженедельный, ежемесячный, ежеквартальный, ежегодный или другой).
5. Нажмите . Новый расчетный период будет создан.
По окончании текущего расчётного периода будет автоматически создан новый период того же типа.
Создание временных диапазонов
Временной диапазон (см. Базовые объекты системы: Временные диапазоны на стр. 33) – это период времени (например, ночь), используемый для задания дифференциро-ванного поведения системы в зависимости от времени.
Чтобы создать временной диапазон:
1. На левой панели в группе страниц Тарификация откройте пункт Временные диапазо-
ны . Откроется страница со списком существующих диапазонов.
2. Нажмите , чтобы создать новый диапазон. Откроется окно Временной
диапазон.
3. Задайте диапазону имя Ночь.
4. Назначьте диапазону приоритет.
4
C чего начать
5. В визуальном редакторе диапазонов выделите ночные часы:
6. Нажмите , чтобы завершить создание нового диапазона.
Создание классов трафика
Для классификации трафика (см. Базовые объекты системы: Классы трафика на стр. 26) по умолчанию в системе заведены классы трафика Входящий (идентификатор 10, включает единственный подкласс, у которого параметр Адресат содержит адрес и маску локальной сети) и Исходящий (идентификатор 20, параметр Источник содержит те же адрес и маску). Можно завести дополнительные классы, например, для тарификации тра-фика в разное время суток по разной ставке.
Для создания классов, принадлежность трафика к которым определяется в за-висимости от времени, требуется сначала создать временные диапазоны – см. Создание временных диапазонов на стр. 114.
Чтобы создать новые классы трафика:
1. На левой панели в группе страниц Тарификация откройте пункт Классы трафика . Откроется страница со списком существующих классов.
2. Нажмите , чтобы создать новый класс. Откроется окно Класс трафика.
3. Установите идентификатор класса равным 15.
4. Задайте классу имя Ночной входящий.
5. В выпадающем списке Временной диапазон выберите диапазон Ночь.
6. Нажмите над списком подклассов трафика. Откроется окно свойств под-
класса трафика.
7. В свойствах подкласса трафика, в группе параметров Адресат введите IP-адрес и мас-
ку подсети для локальной сети, и нажмите .
8. После создания подкласса, нажмите в окне Класс трафика.
Рис. 71. Задание временного диапазона.
115
NetUP UTM5. Руководство администратора
11
9. Аналогично создайте класс Дневной исходящий со следующими свойствами:
° Идентификатор: 25;
° Временной диапазон: День;
° Свойства подкласса: введите IP-адрес и маску локальной сети в группу Источник.
10. Аналогично создайте класс Внутренний со следующими свойствами:
° Идентификатор: 1000;
° Временной диапазон: Не установлено (значение по умолчанию);
° Свойства подкласса: введите IP-адрес и маску локальной сети как в группу параме-тров Источник, так и в группу Адресат.
Создание услуги передачи IP-трафика
В системе могут присутствовать услуги разных типов (см. Базовые объекты систе-
мы: Услуги на стр. 29). Для создания услуги передачи IP-трафика необходимо предва-рительно создать классы трафика (см. Создание классов трафика на стр. 115).
Чтобы создать услугу передачи IP-трафика:
1. На левой панели в группе страниц Тарификация откройте пункт Услуги . Откроется страница со списком существующих услуг.
2. Нажмите , чтобы создать новую услугу. Откроется окно Услуга.
3. Введите наименование услуги.
4. Установите тип услуги Передача IP-трафика. На левой панели возникнут дополни-тельные ссылки.
5. Выберите Параметры услуги, введите периодическую составляющую стоимости и выберите метод снятия денег (в начале, в конце, или в течение всего расчетного перио-да). Здесь же установите даты начала и окончания срока действия услуги.
6. Выберите Границы тарификации и нажмите над списком границ тари-
фикации.
7. В появившемся окне выберите класс трафика для границы, граничное количество тра-фика (0), и цену трафика, превышающего границу, в валютных единицах за мегабайт.
Нажмите .
8. Если нужно добавить предоплаченный трафик, нажмите над списком на
странице Предоплаченный трафик.
9. В появившемся окне выберите класс предоплаченного трафика и его количество. На-
жмите .
10. Нажмите в окне Услуга, чтобы завершить создание новой услуги.
6
C чего начать
Создание пользователя
Создание новой учетной записи клиента осуществляется при помощи диалогового окна добавления пользователя. Обязательной информацией является логин пользователя. При создании новой учётной записи пароль генерируется автоматически, но есть возмож-ность его изменения. Одновременно с учётной записью для пользователя заводится основ-ной лицевой счёт.
Чтобы создать пользователя:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Нажмите . Откроется окно свойств пользователя.
3. Введите логин пользователя и, при надобности, личную информацию.
4. Нажмите Применить. На левой панели возникнут дополнительные ссылки.
5. На левой панели нажмите Другое и выберите вылюту пользователя из списка Валюта.
6. При необходимости добавьте тарифные и сервисные связки, как описано в соответст-вующих примерах.
7. Нажмите в окне свойств пользователя. Новый пользователь будет создан.
После того, как учётная запись пользователя создана, можно приступать к добавлению услуг пользователю (см. Создание сервисной связки на стр. 120 и Создание тарифной
связки на стр. 121).
Удаление пользователя
Для удаления пользователя:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
Рис. 72. Окно добавления пользователя.
117
NetUP UTM5. Руководство администратора
11
3. Если к лицевым счетам пользователя привязаны сервисные связки:
3.1. В окне свойств пользователя на левой панели в группе параметров Тарификация
откройте пункт Сервисные связки. Откроется страница со списком сервисных связок.
3.2. Удалите каждую сервисную связку в списке нажатием кнопки (в окне
подтверждения удаления нажимайте OK).
3.3. Повторите предыдущий шаг с другими лицевыми счетами пользователя, если таковые имеются.
4. Если к лицевым счетам пользователя привязаны тарифные связки:
4.1. На левой панели в группе параметров Тарификация откройте пункт Тарифные
связки. Откроется страница со списком тарифных связок.
4.2. Удалите каждую тарифную связку в списке нажатием кнопки (в окне
подтверждения удаления нажимайте OK).
4.3. Повторите предыдущий шаг с другими лицевыми счетами пользователя, если таковые имеются.
5. Нажмите , чтобы закрыть окно редактирования пользователя.
6. Выберите пользователя в списке и нажмите .
Пока существуют сервисные или тарифные связки, указывающие на лицевые счета пользователя, удаление этого пользователя невозможно.
Создание лицевого счёта
Одновременно с созданием пользователя автоматически создаётся его основной лице-вой счёт. Кроме этого, с пользователем может быть связано произвольное количество до-полнительных лицевых счетов.
Чтобы создать дополнительный лицевой счёт у определённого пользователя:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
3. В окне свойств пользователя на левой панели в группе параметров Тарификация от-кройте пункт Лицевые счета. Откроется страница со списком лицевых счетов (содер-жащая первоначально только один счёт).
8
C чего начать
4. Нажмите . Откроется
окно свойств лицевого счёта.
5. Выберите статус Интернет при созда-нии счёта (Выключен / Включен).
6. Введите Кредит счёта (сумму, которая оказывается на счету при его создании).
7. Выберите Тип блокировки для счёта (см. список в разделе Лицевые счета
на стр. 24; для выставления вручную доступна только административная блокировка). В случае типа блокиров-ки, отличного от Нет, при необходимости поставьте флажок Период блокировки и выберите период времени, в течение которого должна действовать блокировка.
8. Введите параметры Ставка НДС и Ставка НСП для создаваемого счёта.
9. При необходимости поставьте флажки Пересчитывать абонентскую плату и Пере-
считывать предоплаченный трафик для системной блокировки.
Значения этих свойств по умолчанию определяются системными параметрами block_recalc_abon, block_recalc_prepaid и default_vat_rate(см. Интерфейсные параметры на стр. 134).
10. При необходимости поставьте флажок Безлимитный режим.
11. Нажмите . Новый лицевой счёт будет создан.
Удаление дополнительного лицевого счёта
Для удаления дополнительного лицевого счёта пользователя:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
3. Если к счёту привязаны сервисные связки:
3.1. В окне свойств пользователя на левой панели в группе параметров Тарификация
откройте пункт Сервисные связки. Откроется страница со списком сервисных связок лицевого счёта.
3.2. Если выбран другой лицевой счёт, выберите в выпадающем списке нужный. Появится список сервисных связок этого счёта.
3.3. Удалите каждую сервисную связку в списке нажатием кнопки (в окне
подтверждения удаления нажимайте OK).
Рис. 73. Окно свойств лицевого счёта.
119
NetUP UTM5. Руководство администратора
12
4. Если к счёту привязаны тарифные связки:
4.1. На левой панели в группе параметров Тарификация откройте пункт Тарифные
связки. Откроется страница со списком тарифных связок лицевого счёта.
4.2. Если выбран другой лицевой счёт, выберите в выпадающем списке нужный. Появится список тарифных связок этого счёта.
4.3. Удалите каждую тарифную связку в списке нажатием кнопки (в окне
подтверждения удаления нажимайте OK).
5. На левой панели в группе параметров Тарификация откройте пункт Лицевые счета. Откроется страница со списком лицевых счётов.
6. Выберите нужный счёт в списке и нажмите
.
7. В окне подтверждения удаления нажмите OK.Лицевой счёт будет удалён.
Основной лицевой счёт пользователя не может быть удалён.
Создание сервисной связки
Сервисная связка – объект системы, связывающий услугу с лицевым счётом пользова-теля. Кроме счёта и услуги, для создания сервисной связки необходимо предварительно со-здать расчётный период (см. Создание расчётных периодов на стр. 114).
Чтобы создать новую сервисную связку:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
3. В окне свойств пользователя на левой панели в группе параметров Тарификация от-кройте пункт Сервисные связки. Откроется страница со списком сервисных связок основного лицевого счёта.
4. При необходимости выберите другой ли-цевой счёт. Появится список сервисных связок этого счёта.
Рис. 74. Подтверждение удаления лицевого счёта.
Рис. 75. Выбор лицевого счёта.
0
C чего начать
5. Нажмите . Откроется окно
выбора услуги.
6. Выберите услугу из списка и нажмите
. Откроется окно параметров
сервисной связки.
7. Нажмите и выберите расчёт-
ный период действия услуги.
8. Выберите время начала предоставления услуги.
9. Введите время окончания предоставления услуги, или оставьте флажок неограни-ченного времени.
10. При надобности поставьте флажки Пере-
считывать абонентскую плату и (если существует) Пересчитывать предопла-
ченный трафик.(Механизм пересчета описан в разделе Сервисная связка периодической услу-
ги на стр. 95).
11. Введите параметры, специфичные для конкретного типа услуги.
12. Нажмите . Новая сервисная связка будет создана.
Создание тарифной связки
Тарифная связка – объект системы, связывающий тарифный план с лицевым счётом пользователя. Кроме счёта и тарифного плана, для создания тарифной связки необходимо предварительно создать расчётный период (см. Создание расчётных периодов на стр. 114).
Чтобы создать новую тарифную связку:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
Рис. 76. Выбор услуги.
Рис. 77. Окно свойств сервисной связкидля услуги передачи IP-трафика.
121
NetUP UTM5. Руководство администратора
12
3. В окне свойств пользователя на левой панели в группе параметров Тарификация от-кройте пункт Тарифные связки. Откроется страница со списком тарифных связок основного лицевого счёта.
4. При необходимости выберите другой лицевой счёт. Появится список тарифных связок для этого счёта.
5. Нажмите . Откроется окно
свойств тарифной связки.
6. Выберите Текущий тарифный план из выпадающего списка.
7. Выберите из выпадающего списка Сле-
дующий тарифный план, или оставьте выбор по умолчанию Не менять.
8. Нажмите и выберите расчётный период действия тарифной связки.
9. Нажмите для создания новой тарифной связки.
10. Если в текущем тарифном плане присутствуют разовые услуги с помеченным флаж-ком Подключать по умолчанию, то для каждой из них появится окно свойств серви-сной связки разовой услуги. Выберите желаемую дату и время списания и нажмите
.
Привязка к дому
В системе UTM5 имеется возможность поддерживать список домов (Справочники: До-
ма). Для привязки пользователя к дому:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
3. В окне свойств пользователя на левой панели в группе параметров Пользователь от-кройте пункт Контакты. Откроется страница с контактной информацией пользователя.
4. Нажмите около пункта Дом и выберите дом из списка зарегистрирован-
ных в системе домов.
5. Нажмите , чтобы закрыть список домов.
6. Нажмите в окне свойств пользователя, чтобы сохранить изменения.
Рис. 78. Свойства тарифной связки.
Рис. 79. Выбор дома.
2
C чего начать
Привязка к банку
В системе UTM5 имеется возможность поддерживать список банков (Справочники:
Список банков). Для привязки пользователя к банку:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя.
3. В окне свойств пользователя на левой панели в группе параметров Пользователь от-кройте пункт Дополнительные параметры. Откроется страница со списком дополни-тельных параметров пользователя.
4. Нажмите около пункта Банк и выберите банк из списка зарегистрирован-
ных в системе банков.
5. Нажмите , чтобы закрыть список банков.
6. Нажмите в окне свойств пользователя, чтобы сохранить изменения.
Внесение платежа
Чтобы внести платёж на счёт пользователя:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке
и нажмите . Откроется
окно параметров платежа.
3. Если у пользователя несколько лицевых счетов, выберите нужный счёт из выпада-ющего списка.
4. Выберите из списка валюту платежа.
5. Введите сумму платежа.
6. Введите дату платежа или оставьте значе-ние по умолчанию (текущую дату).
7. Введите дату истечения платежа или оставьте значение по умолчанию (не истекает).
8. Введите произвольные комментарии для администратора и для пользователя.
Рис. 80. Выбор банка.
Рис. 81. Параметры платежа.
123
NetUP UTM5. Руководство администратора
12
9. Выберите из списка метод платежа.
10. Если платёж производится согласно внешнему платёжному документу, введите номер этого документа.
11. Если платёж производится по счёту, зарегистрированному в системе, выберите номер этого счёта.
12. Нажмите , чтобы произвести платёж.
Создание дилера
Для создания нового дилера:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Дилеры
. Откроется страница со списком зарегистрированных дилеров.
2. Нажмите . Откроется окно свойств дилера.
3. Введите логин и наименование дилера.
4. Скопируйте сгенерированный пароль дилера для передачи оператору, или дважды вве-дите новый пароль.
5. При необходимости введите адрес и маску сети, из которой разрешена авторизация ди-лера.
6. Нажмите . Новый дилер будет создан.
Назначение привилегий дилеру
Чтобы определить, к каким объектам системы дилер может иметь доступ:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Дилеры
. Откроется страница со списком зарегистрированных дилеров.
2. Выберите нужного дилера и нажмите . Откроется окно свойств диле-
ра.
Рис. 82. Окно свойств дилера.
4
C чего начать
3. В окне свойств дилера на левой панели в группе параметров Права доступа откройте пункт Пользователи. Откроется страница со списком пользователей.
4. В столбце Права доступа проставьте флажки в строки по выбору, чтобы обеспечить доступ данного дилера к пользователям.
Пользователи (в отличие от других сущностей) привязываются к дилерам в ре-жиме исключения, т.е. каждый – только к одному дилеру . Флажки пользова-телей, уже привязанных к другим дилерам, отключены .
5. Аналогично настройте доступ дилера к соответствующим сущностям в списках Рас-
четные периоды, Услуги, Тарифы и Дома.
6. Нажмите , чтобы сохранить изменения.
Привязка пользователей к дилеру
Помимо способа, описанного в примере Назначение привилегий дилеру, доступ ди-лера к отдельному пользователю может быть настроен следующим образом:
1. На левой панели в группе страниц Пользователи и группы откройте пункт Пользова-
тели . Откроется страница со списком зарегистрированных пользователей.
2. Выберите нужного пользователя в списке и нажмите . Откроется окно
свойств пользователя (по умолчанию, на пункте Основные параметры в группе Пользователь).
3. Нажмите кнопку Привязать к дилеру. Откроется список зарегистрированных диле-ров.
4. Выберите дилера из списка и нажмите , чтобы произвести привязку.
5. Закройте окно свойств пользователя.
Кнопка Привязать к дилеру с аналогичной функциональностью имеется также в фор-ме поиска (см. Поиск пользователей на стр. 91).
Создание брандмауэра
Для cоздания брандмауэра:
1. На левой панели в группе страниц Настройки откройте пункт Список брандмауэров
. Откроется страница со списком существующих брандмауэров.
Рис. 83. Список брандмауэров.
125
NetUP UTM5. Руководство администратора
12
2. Нажмите . Откроется окно Брандмауэр.
3. Выберите из выпадающего списка Тип – Локальный, если команды будут исполняться локально, и Cisco
(rsh), если команды будут передаваться по протоколу rsh.
4. Введите Наименование брандмауэра. Предваритель-но убедитесь, что в системе не зарегистрирован брандмауэр с таким же наименованием.
5. Если брандмауэр используется в какой-либо сервис-ной связке услуги передачи IP-трафика в качестве параметра Поставщик NetFlow, вве-дите его IP-адрес в поле IP.
6. Если Тип равен Cisco (rsh), введите Логин для авторизации по rsh.
7. Введите произвольный Комментарий.
8. Нажмите , чтобы завершить создание брандмауэра.
Создание правила firewall
Для cоздания правила firewall:
1. На левой панели в группе страниц Настройки откройте пункт Правила firewall . От-кроется страница со списком зарегистрированных правил.
2. Нажмите . Откроется окно Правило firewall.
3. Введите комментарий в поле Комментарий, чтобы легко отличать данное правило от других в общем списке.
4. В выпадающем списке Брандмауэр выберите брандмауэр, на котором должна выпол-няться команда, или позицию Любой для выполнения команды на всех брандмауэрах, подключённых в момент выполнения.
5. В группе параметров Выполнять для либо поставьте флажок Все пользователи, либо задайте одно или более из следующих условий для определения области приме-нимости:
° Идентификатор пользователя в поле ID пользователя;
° Группу в выпадающем списке Имя группы;
Рис. 84. Свойства брандмауэра.
Рис. 85. Список правил firewall.
6
C чего начать
° Тарифный план в выпадающем списке Название тарифа.
Если задано более одного условия, по умолчанию учитывается их объединение. При надобности отметьте флажок Совпадают все параметры, чтобы учитывать пересече-ние условий.
Для правил, инициируемых системными событиями (Закрытие файла деталь-
ной статистики и Закрытие файла логов), должна выставляться опция Все
пользователи.
6. В группе Выполнять при выберите инициирующее событие или несколько событий, при наступлении которых должно срабатывать данное правило, пользуясь выпадаю-щим списком всех возможных событий и кнопками Добавить и Удалить.
7. В поле Правило firewall введите шаблон команды. При необходимости используйте переменные (выпадающий список + кнопка Вставить, см. список в разделе UTM5
RFW: Переменные на стр. 169) для построения шаблонов команд. Переменные заме-няются своими значениями непосредственно при выполнении команды. Набор допус-тимых переменных зависит от выбранных инициирующих событий (см. список в разделе UTM5 RFW: События на стр. 174). При использовании неприменимых пере-менных выдаётся предупреждение.
8. Нажмите , чтобы завершить создание правила.
Рис. 86. Фрагмент окна Правило firewall.
127
NetUP UTM5. Руководство администратора
12
8
ЯДРО СИСТЕМЫ
Введение
Ядро системы – это основной модуль, отвечающий за работу с базой данных, обеспе-чение доступа к ней и обработку входящей информации согласно внутренним правилам (таких как тарификация, периодические списания). Ядро – это отдельный многопоточный процесс, работающий в пользовательском режиме. Структура ядра такова, что оно орга-нично вписывается в многопроцессорные архитектуры и при высоких нагрузках равномер-но использует все предоставленные ресурсы.
Основные компоненты ядра
Обработчик запросов URFA (UTM Remote Function Access) является сервером вызовов удалённых процедур. Он принимает соединения от клиентов системы и осуществляет вы-полнение запрошенных команд внутри ядра. Эта компонента служит в большей степени для организации пользовательских и администраторских интерфейсов.
Буфер NetFlow принимает данные о трафике в формате NetFlow версий 5, 7 и 9. Для устройств, поддерживающих выдачу статистики по иным протоколам, необходимо вос-пользоваться преобразователем статистики в совместимый формат.
Классификатор трафика – модуль ядра, осуществляющий сортировку всего трафика на категории (классы трафика) по признакам, обозначенным в настройках системы. Признаки классификации задаются в центре управления UTM.
NetFlow буфер
Тарификатор
Менеджер очередей транзакций
NXT v.1 и NXT v.2 сервера
Stream сервер
URFA сервер
БД SQL
NXT клиенты (1C и др.)
Ядро UTM5
DBA
Внутренний кэш
Поставщик NetFlow
Планировщик
Хранилище агрегации
Сохранение детальной статистики
Классификаторсерв. связок
Классификатор трафика
libURFA
Обработчики транзакций
Соединения с БД
RADIUS, rfw
Клиенты URFA
Обработчики событий
Файлы детальной статистики
urgent system user
Внешние библиотеки
Лог-файлы Модуль журналирования
Верификатор БД
Модуль инициализации
Рис. 87. Схема устройства ядра UTM версии 5.3-001.
129
NetUP UTM5. Руководство администратора
13
Модуль бизнес-логики (тарификатор и классификаторы) отвечает за тарификацию всех услуг, в том числе и услуг передачи IP-трафика. Он осуществляет перевод количества ока-занных оператором услуг в денежный эквивалент, принимая во внимание все зависимости, указанные администратором системы.
Системный журнал сообщений ведёт все записи о функционировании UTM. Он позво-ляет администраторам проводить диагностику системы и получать информацию о сбоях в работе системы.
Модуль доступа к базам данных (DBA) представляет собой унифицированный интер-фейс БД и осуществляет перевод внутрисистемных запросов к данным в запросы к внеш-ней базе данных. Это позволяет добиться независимости UTM от какой-либо конкретной системы управления БД.
Прием данных происходит посредством буфера NetFlow и URFA. Исходные данные считываются из базы данных при запуске. Изменения, сделанные впоследствии напрямую в базу, могут привести к неконтролируемому поведению системы.
NetFlow данные поступают на обработку в бизнес-модуль, где рассчитываются все не-обходимые списания. В случае высокой пиковой загрузки NetFlow поток может быть буфе-ризован, что несколько снизит возможные потери. Сырые данные NetFlow сохраняются в файлах специального формата. При старте модуль, сохраняющий эти данные, создаётся в отдельной нити и, по возможности, с высоким приоритетом.
Запуск
Исполняемый файл ядра UTM5 называется /netup/utm5/bin/utm5_core.
В командной строке можно передавать следующие параметры:
Существуют три способа запуска utm5_core:
1. Непосредственный запуск бинарного файла /netup/utm5/bin/utm5_core с необ-ходимыми параметрами;
2. Запуск с помощью скрипта watchdog с указанием параметра start
Скрипт автоматически перезапустит utm5_core в случае, если он по каким либо причинам некорректно завершит работу;
3. Запуск с помощью скрипта автоматического запуска (рекомендуемый способ).В Linux:
-p <путь> Путь к pid-файлу
-c <путь> Путь к конфигурационному файлу
-v Вывод информации о полном номере сборки, времени сборки и допусти-мых параметрах командной строки
/netup/utm5/bin/safe_utm5_core start
/etc/init.d/utm5_core start
0
Ядро системы
В FreeBSD:
Для остановки utm5_core и скрипта watchdog следует выполнить следующую коман-ду:
в Linux –
в FreeBSD –
Настройка
Настройка ядра производится с помощью:
• параметров, задаваемых в конфигурационном файле (см. Конфигурационный файл);
• параметров, задаваемых с помощью интерфейса администратора (см. Интерфейсные
параметры на стр. 134).
Параметры, задаваемые в конфигурационном файле, используются при инициализации ядра и компонентов системы. Изменения параметров вступают в силу при следующем запуске ядра.
Параметры, задаваемые с помощью интерфейса администратора, определяют поведе-ние ядра и его компонентов после запуска. Существует возможность изменять значения данных параметров, если не указано обратное, в любой момент работы ядра. Изменения вступают в силу с момента их внесения.
Конфи гу ра ци он ный файл
По умолчанию ядро биллинговой системы UTM5 на unix-системах использует конфи-гурационный файл /netup/utm5/utm5.cfg, а в сборке UTM 5 под Win32 – файл utm5.cfg, расположенный в директории установки (по умолчанию C:Program FilesNetUPUTM5).
Формат конфигурационного файла:
Набор символов, находящийся до знака равенства, является названием параметра, по-сле – значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка, начинающаяся с символа #, считается комментарием.
Ниже приводится список возможных параметров.
/usr/local/etc/rc.d/utm5_core.sh start
/etc/init.d/utm5_core stop
/usr/local/etc/rc.d/utm5_core.sh stop
параметр=значение
131
NetUP UTM5. Руководство администратора
13
Параметры, связанные с базой данных:
Параметры, связанные c URFA-сервером:
Параметр Возможные значения
По умолчанию
Описание
database_type mysql, postgres обязательный параметр Тип базы данных
database Строка обязательный параметр Название базы данных
database_host Строка localhost Адрес хоста, на котором располагается база данных
database_login Строка логин текуще-го пользователя Логин для доступа к базе данных
database_password Строка пустая строка Пароль для доступа к базе данных
database_sock_path(a)
Строка
a. Действует только для MySQL.
/tmp/ mysql.sock
Путь к unix-сокету, использующемуся для подключения к серверу базы дан-ных. Используется только в случае, ког-да database_host не указан или его значение равно localhost
database_port(a) Строка 3306 Номер порта для доступа к базе данных
dbcount Число от 4 до 64 8Количество соединений, открываемых ядром биллинговой системы к базе дан-ных для пользовательских операций
dbcount_sys Число от 2 до 64 4Количество соединений, открываемых ядром системы к базе данных для си-стемных операций
database_reconnect_countНатуральное число
5
Количество попыток соединения с ба-зой данных, если соединение не было установлено, или количество попыток выполнения SQL-запроса, если его вы-полнение закончилось неудачно
database_reconnect_sleepНатуральное число
2
Задержка в секундах перед повторной попыткой соединения с базой данных или перед повторным выполнением SQL-запроса
database_charset(a) Кодировка utf8 Кодировка соединения с базой данных
Параметр Возможные значения
По умолчанию
Описание
urfa_bind_host(a)
a. Возможно указание нескольких значений.
IP-адрес интер-фейса или 0.0.0.0
сервер отклю-чен
IP-адрес, на котором будет прослуши-ваться порт для принятия URFA-за-просов
urfa_bind_port Число от 1 до 65534 11758 Порт, который будет прослушиваться
URFA-сервером
2
Ядро системы
Параметры, связанные со Stream-сервером:
Параметры, связанные с NXT-серверами:
Параметры буфера NetFlow:
Параметры, связанные с подсчетом трафика:
Параметр Возможные значения
По умолчанию
Описание
stream_bind_host IP-адрес интерфейса или 0.0.0.0 0.0.0.0
IP-адрес, на котором будет прослушиваться порт для принятия Stream-запросов
stream_bind_port Число от 1 до 65534 12758 Порт, который будет прослу-шиваться Stream-сервером
Параметр Возможные значения
По умолчанию
Описание
nxt_bind_host IP-адрес интерфейса или 0.0.0.0 0.0.0.0
IP-адрес, на котором будет прослушиваться порт для принятия запросов NXT v.1
nxt_bind_port Число от 1 до 65534 11777 Порт, который будет прослу-шиваться сервером NXT v.1
nxt_v2_bind_host IP-адрес интерфейса или 0.0.0.0 0.0.0.0
IP-адрес, на котором будет прослушиваться порт для принятия запросов NXT v.2
nxt_v2_bind_port Число от 1 до 65534 11778 Порт, который будет прослу-шиваться сервером NXT v.2
Параметр Возможные значения
По умолчанию Описание
nfbuffer_host Строка 0.0.0.0IP-адрес, на котором будет прослу-шиваться UDP-порт для принятия NetFlow-потока
nfbuffer_port Строка 9997 Порт, на котором ядро принимает поток NetFlow
nbuffer_bufsize Натуральное число
устанавливается ОС
Размер буфера UDP-сокета, исполь-зуемого для принятия потока NetFlow
Параметр Возможные значения
По умолчанию Описание
classifier_traffic_fileПуть к файлу
/netup/utm5/db/ traffic.dat
Файл для хранения информации о тра-фике при остановке ядра UTM5
133
NetUP UTM5. Руководство администратора
13
Параметры журналирования (подробнее – в разделе Описание системы: Журналиро-
вание на стр. 21):
Параметры, связанные cо специальной лицензией:
Интерфейс ные па ра мет ры
Параметры системы, настраиваемые с помощью интерфейса администратора, отобра-жаются и устанавливаются во вкладке Настройки: Список параметров интерфейса адми-нистратора. В поле Переменная задается название параметра, в поле Значение – его значение. Существует возможность как редактировать существующие параметры, так и добавлять новые.
Ниже приводится список возможных параметров, влияющих на работу ядра UTM5.
Параметр Возможные значения
По умолчанию Описание
log_level Числоот 0 до 3 1
Определяет уровень сообщений, которые пишутся в основной по-ток сообщений
log_file_main Путь к файлу Стандартный поток ошибок
Файл основного потока сообще-ний
log_file_debug Путьк файлу
Стандартный поток ошибок
Файл отладочного потока сооб-щений
log_file_critical Путьк файлу
Стандартный поток ошибок
Файл критического потока сооб-щений
log_file_verificatorПуть к файлу
/netup/utm5/log/ verificator.log
Файл сообщений верификатора базы данных
core_pid_file Путь к файлу /var/run/utm5_core.pid PID-файл
rotate_logs yes, on, enable Ротация отключена Включает ротацию лог-файлов
max_logfile_count(a) Число
a. Действует, если включена ротация лог-файлов.
Не ограничено Максимальное количество храни-мых лог-файлов
max_logfile_size(a) Размерв байтах
10485760 Размер файла, при достижении которого производится ротация
Параметр Возможные значения
По умолчанию Описание
ssl_cert_file Путь к файлу /netup/utm5/ cert.crt Файл сертификата
ssl_privkey_file Путь к файлу /netup/utm5/ privkey.pem Файл приватного ключа
ssl_privkey_passphrase Строка Пустая строка Пароль приватного ключа
4
Ядро системы
Параметры, связанные с детальной статистикой:
Параметры, связанные с подсчетом трафика:
Параметры, связанные с агрегацией трафика:
Оба параметра действуют одновременно, т. е. списание производится при на-ступлении любого из условий: прохождение указанного времени или накопление указанной стоимости.
Параметр Возможные значения
По умолчанию Описание
raw_records_send_limitНатуральное число
100 000Максимальное количество строк, возвра-щаемых функцией детального отчёта по трафику
raw_buffer_sizeРазмер в байтах
1 000 000 Размер внутреннего буфера записи деталь-ной статистики
raw_commit_intervalНатуральное число
5 Интервал между сбросами буфера на диск (в сек.)
raw_max_filesНатуральное число
10
Максимальное количество файлов с пер-вичной информацией о трафике. Если чи-сло файлов больше, чем указано, то старые файлы автоматически удаляются
raw_max_sizeРазмер в байтах,больший 5242880
100 000 000
Максимальный размер каждого файла с первичной информацией о трафике. При превышении установленного размера файл автоматически закрывается и откры-вается новый
raw_prefix Путь к дирек-тории
/netup/ utm5/db
Директория, в которой находятся файлы с первичной информацией о трафике
raw_fd_process_sсriptПуть к исполняемомуфайлу
/netup/utm5/bin/ raw_fd_script(a)
a. В сборке UTM 5 под Win32 значение по умолчанию не задано.
Скрипт, исполняемый после закрытия файла с первичной информацией о трафи-ке. Имя закрытого файла передается скрипту в качестве параметра
Параметр Возможные значения
По умолчанию
Описание
bytes_in_kbyteНатуральное число
1024 Количество байт в килобайте (количество в мегабайте вычисляется как его квадрат)
traffic_mult_coefВещественное число
1 Коэффициент, на который умножается коли-чество трафика
Параметр Возможные значения
По умолчанию
Описание
traffic_agregation_intervalНатуральное число 900
Время (в сек.), по истечении которого будет произведено списание за агрегированный трафик
135
NetUP UTM5. Руководство администратора
13
Уменьшение данных параметров приводит к ускорению роста таблиц списаний – наиболее объёмной части БД, в связи с чем могут потребоваться специальные меры, см. Архивация таблиц списаний на стр. 242.
Параметры, связанные с плавным списанием периодической составляющей стоимости.
Параметры, определяющие значения полей при создании лицевого счета с помощью интерфейса администратора:
Параметры, связанные с автоматической регистрацией пользователя:
aggregation_todisc_barrierПоложительное 5вещественное число
Стоимость трафика, при достижении которой бу-дет произведено списание за агрегированный трафик
Параметр Возможные значения
По умолчанию
Описание
discount_barrierВещественноечисло> 0.0001
0.01
При использовании стандартного механизма плав-ного списания периодической составляющей стои-мости услуги со счета не будут списываться суммы меньше discount_barrier, чтобы не нака-пливалась арифметическая ошибка
flow_discounts_per_periodНатуральное 64число > 5
Минимальное количество списаний в расчетном пе-риоде за периодические услуги, если выбран стан-дартный механизм плавного списания периодической составляющей стоимости
Параметр Возможные значения
По умолчанию
Описание
default_vat_rateВещественное число
0 Значение НДС по умолчанию для вновь со-здаваемого лицевого счета
Параметр Возможные значения
По умолчанию
Описание
card_callback_enable0, 1, 2 или 3
0
Задает значение параметров Разрешен Callback и Разрешен Ringdown сервисной связки услуги коммутируемого доступа при автоматической регистрации пользователя:0 – параметр Разрешен Callback установлен;1 – оба параметра установлены;2 – оба параметра не установлены;3 – параметр Разрешен Ringdown установлен
default_dialup_cidСтрока
Не установ-лено
Задает значение параметра Разрешенные CID сервисной связки услуги коммутируемого досту-па при автоматической регистрации пользователя
default_dialup_csidСтрока
Не установ-лено
Задает значение параметра Разрешенные CSID сервисной связки услуги коммутируемого досту-па при автоматической регистрации пользователя
Параметр Возможные значения
По умолчанию
Описание
6
Ядро системы
Параметры, регулирующие запись данных в базу данных:
Параметры, связанные с шаблонами:
Различные параметры:
card_tel_uid_lenНатуральное число
Весь пин-код
Задает длину части пин-кода карты, которая используется в качестве логина для сервисной связки услуги телефонии при автоматическом со-здании сервисной связки; оставшаяся часть ис-пользуется как пароль
card_user_prefixСтрока
card_Задает префикс логина пользователя при автома-тической регистрации(т. н. Карточные пользователи, см. Пользо-ватели и группы на стр. 40).
Параметр Возможные значения
По умолчанию
Описание
tel_attrs_writeПроизвольное
не установленоВключает запись RADIUS-атрибутов для те-лефонных сессий в таблицу tel_sessions_log_attrs
dialup_attrs_writeПроизвольное
не установлено
Включает запись RADIUS-атрибутов для сессий услуг передачи трафика, коммути-руемого доступа и hotspot в таблицу dhs_sessions_log_attrs
access_attrs_writeПроизвольное
не установленоВключает запись RADIUS-атрибутов для за-просов на авторизацию в таблицу dhs_access_log_attrs
access_log_writeПроизвольное
не установлено Включает запись параметров запросов на ав-торизацию в таблицу dhs_access_log
Параметр Возможные значения
По умолчанию Описание
templates_prefix Путь/netup/utm5/ templates Путь к файлам шаблонов
Параметр Возможные значения
По умолчанию Описание
hotspot_refresh_timeoutНатуральное число
300
Время (в сек.), в течение которого действительна hotspot-сессия. Ис-числяется с момента последнего обновления сессии
system_currency Натуральное число 840
ID системной валюты. Если не равно 810 – будет заблокирована кнопка Обновить online в свойствах ва-люты
web_session_timeoutНатуральное число
300Максимальное время (в сек.), в тече-ние которого хранится уникальный ключ URFA-сессии (SID)
Параметр Возможные значения
По умолчанию
Описание
137
NetUP UTM5. Руководство администратора
13
Параметры, связанные с почтой:
null_prepaid_traffic_if_tarif_change1 Не установлено
Если установлено значение 1 – при смене тарифного плана предоплачен-ные единицы обнуляются
lite_search_ent Натуральное число 5
Максимальное количество записей, возвращаемых функцией поиска, вы-зываемой интерфейсом кассира
login_prefix_separatorСимвол
:
Символ, отделяющий префикс логи-на от номера или пин-кода карты. Используется при автоматической регистрации пользователя. Не рекомендуется изменять значение по умолчанию
tel_report_dont_show_idПроизвольноезначение
Идентификатор отображается
Отключает отображение идентифи-катора направления/зоны в отчетах телефонии в веб-интерфейсе пользо-вателя
legacy_invoices 1 Не установленоОтключает в счетах агрегацию раз-ных типов трафика в пределах одной услуги
enchanced_telephony_invoice_algorithm1 или 0 0
Если установлено значение 0 – за те-лефонию выставляется один счёт, а при любом другом значении – от-дельные счета от разных телефон-ных операторов
Параметр Возможные значения
По умолчанию
Описание
smtp_relay IP-адрес или имя хоста не установлено
IP-адрес сервера SMTP, через кото-рый производится отсылка почто-вых сообщений
smtp_port Число от 1 до 65534 25 Порт сервера SMTP
smtp_fqdn Строка localhostИмя, указываемое в качестве имени домена при отсылке почтовых сооб-щений
smtp_sender e-mail utm5_coreАдрес отправителя, используемый по умолчанию при отсылке почто-вых сообщений
smtp_recipient e-mail rootАдрес получателя, используемый по умолчанию при отсылке почтовых сообщений
invoice_subject Строка Invoice Тема, используемая при отправке сообщений со счетом на оплату
invoice_text Строка Invoicemessage
Текст, используемый при отправке сообщения со счетом на оплату
Параметр Возможные значения
По умолчанию Описание
8
Ядро системы
1. Переменные, используемые в параметре notification_message:
2. Переменные, используемые в параметре payment_notification_message:
notification_bordersСписок вещественных чисел,разделенных пробелами
0
Задает границы количества средств на счету, при переходе через кото-рые пользователю высылается по-чтовое сообщение
notification_message Строкас переменными (1)
сообщения не отсылаются
Текст уведомления о переходе ба-ланса через границы
notification_message_subjectСтрока пустая строка
Тема уведомления о переходе ба-ланса через границы
notification_message_frome-mail
utm5_core Адрес электронной почты отправи-теля сообщения
balance_notification_emaile-mail
root
Адрес электронной почты, на кото-рый будут отсылаться копии уве-домлений о переходе баланса через границы
payment_notification_messageСтрока с переменными(2) Your
payment succeeded!Payment_Sum=AMOUNTPayment id = PAYMENT_ID
Текст уведомления о вносе платежа, если опция Уведомить пользо-вателя по email была установлена при внесении платежа
payment_notification_subjectСтрока Payment
Тема уведомления о вносе платежа
Переменная Описание
FULL_NAME наименование абонента
ACCOUNT_ID идентификатор основного лицевого счета абонента
BALANCE баланс основного лицевого счета абонента на момент под-готовки сообщения
DATE дата на момент подготовки сообщения
EMAIL адрес e-mail, на который производится отправка сообщений
Переменная Описание
FULL_NAME наименование абонента
ACCOUNT_ID идентификатор основного лицевого счета абонента
AMOUNT сумма платежа во внутренних условных единицах
PAYMENT_ID идентификатор платежа
Параметр Возможные значения
По умолчанию
Описание
139
NetUP UTM5. Руководство администратора
14
Параметры механизма системных сообщений:
Параметры, влияющие на работу UTM5 RADIUS:
Параметры, влияющие на работу UTM5 RFW:
Параметры, связанные с внешними платёжными системами (см. Платёжные системы
v.2 на стр. 297):
Параметр Возможные значения
По умолчанию
Описание
web_message_group Число Не установле-но
ID системной группы, членам которой приходят сообщения пользователей (если не установлено – приходят всем систем-ным пользователям)
notification_message_by_wintrayyes Не
установлено
Включает отправку пользователям уве-домлений о переходе баланса через гра-ницы с помощью системных сообщений
Параметр Возможные значения
По умолчанию Описание
radius_max_session_ageНатуральное число
86400
Задает максимальный возраст (в сек.) от-крытых сессий, которые будут переданы RADIUS-серверу при его запуске. При значении 0 загрузка открытых сессий производиться не будет
radius_do_accounting1
Не установлено Включает тарификацию трафика на ос-новании Stop-пакета
radius_do_interim_accounting1 Не установлено
Включает тарификацию трафика на ос-новании пакета Interim-update
radius_realm(a)
a. Возможно указание нескольких значений.
Строка Не установлено Отсекаемый суффикс логина
Параметр Возможные значения
По умолчанию Описание
fw_rule_offsetНатуральное число
5000Число, которое будет добавлено к идентифи-катору пользователя для получения значения переменной RULE_ID
Параметр Возможные значения
По умолчанию
Описание
ext_payment_inet_onСтрока
Не установ-лено
Если установлено в любое непустое значение, включает свойство Включить интернет (см. Внести платеж: Включить интернет на стр. 91) для платежей внешних платёжных систем, производимых через модуль интеграции v.2
0
Ядро системы
Прочие параметры являются устаревшими и категорически не рекомендуются к ис-пользованию, если не сказано обратное. Описание прочих параметров не приводится.
ext_payment_notifyСтрока
Не установ-лено
Если установлено в любое непустое значение, включает свойство Посылать уведомления (см. Внести платеж: Посылать уведомления на стр. 91) для платежей внешних платёжных сис-тем, производимых через модуль интеграции v.2
Параметр Возможные значения
По умолчанию
Описание
141
NetUP UTM5. Руководство администратора
14
2
UTM5 RADIUS
Введение
UTM5 RADUIS взаимодействует с серверами доступа (далее NAS) по протоколу RADIUS в соответствии со стандартами RFC 2865, 2866 и 5176.
Протокол Remote Authentication Dial In User Service (RADIUS) предназначен для обес-печения авторизации, аутентификации и аккаунтинга между сервером доступа и сервером авторизации.
Данный протокол предназначен для облегчения управления большим количеством NAS. Например, когда в сети имеются несколько устройств, к которым должны иметь до-ступ пользователи, и на каждом устройстве содержится информация обо всех пользовате-лях, то администрирование такой системы значительно усложняется. Проблема может быть решена установкой одного центрального сервера авторизации, а все сетевые уст-ройства производили бы запросы к нему по стандартному протоколу RADIUS. При этом в качестве серверов доступа могут выступать устройства любых производителей, поддержи-вающие протокол RADIUS.
Кроме того по данному протоколу возможна передача информации о потребленных пользователями услугах, такая как время соединения, количество потребленного трафика, используемый пользователем IP-адрес и т.д.
Работа с NAS описана в разделе Интерфейс администратора: Список NAS на стр. 78.
UTM5 RADIUS взаимодействует с ядром UTM5 по протоколу Stream.
Один экземпляр ядра UTM5 не может работать более чем с одним RADIUS-сервером.
Пакет RADIUS входит в состав трёх модулей, требующих отдельных лицензий. Прове-рить наличие и срок действия лицензий можно в интерфейсе администратора UTM5 (см. О
программе: Лицензии, пункты Модуль Hotspot, Модуль коммутируемых и VPN соеди-
нений и Модуль телефонии).
Описание взаимодействия по протоколу RADIUS
В случае, если NAS настроен на взаимодействие с UTM5 RADIUS по протоколу RADIUS, он не хранит базу данных пользователей.
При подключении пользователя, NAS отправляет запрос на проверку доступа (Access-Request).
143
NetUP UTM5. Руководство администратора
14
UTM5 RADIUS принимает решение о возможности подключения абонента. В случае принятия положительного решения, на NAS отправляется ответ о возможности подклю-чения абонента (Access-Accept). В случае принятия отрицательного решения, на NAS от-правляется ответ, запрещающий доступ (Access-Reject).
В случае, если для принятия решения требуется дополнительная информация, которую NAS должен предоставить основываясь на информации от UTM5 RADIUS, на NAS отправляется ответ Access-Challenge
В случае, если NAS настроен на передачу информации о соединении, UTM5 RADIUS после установки соединения отправляет запрос на учет (Accounting-Request), содержащий информацию о начале сессии. В зависимости от конфигурации, NAS также может отправ-лять дополнительные запросы на учет (Accounting-Request), содержащие информацию о текущем состоянии установленного соединения, с периодичностью определенной в конфигурации NAS.
При разрыве соединения, NAS должен отправить Accounting-Request с итоговой информацией о соединении в случае, если для данного соединения был отправлен хотя бы один Accounting-Request.
При получении Accounting-Request UTM5 RADIUS создает, изменяет или удаляет объ-ект, ассоциированный с соединением. В зависимости от содержания Accounting-Request, могут также выполняться дополнительные действия, направленные на сохранение в опера-тивном доступе необходимой информации о соединении.
В случае успешной обработки Accounting-Request, UTM5 RADIUS отправляет на NAS ответ на данный запрос (Accounting-Response), в котором информирует NAS о успешной отработке запроса.
В случае неудачной обработки любого запроса ответы на NAS не передаются.
Пакеты от неизвестного (незарегистрированного в системе) NAS игнорируются.
Взаимодействие между UTM5 RADIUS и NAS осуществляется посредством RADIUS-пакетов. Передача RADIUS-пакетов осуществляется по протоколу UDP. Для принятия за-просов на проверку доступа (Access-Request) UTM5 RADIUS обычно использует порт 1812. Для принятия запросов на учет (Accounting-Request) UTM5 RADIUS обычно исполь-зует порт 1813.
-+-+-+-+-+-+-+- -+-+-+-+-+-+-+-+-+-| | —->Access-Request | || NAS | <—-Access-Challenge | UTM5 RADIUS || | —->Access-Request | || | <—-Access-Accept | |+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+
4
UTM5 RADIUS
В общем случае RADIUS-пакет выглядит следующим образом:
Описание полей пакета:
• Code – поле, используемое для идентификации типа RADIUS-пакета. UTM5 RADIUS поддерживает RADIUS-пакеты со следующими кодами:
• Identifier – число, предназначенное для соотнесения запроса и ответа. Дублирующие запросы с одинаковым идентификатором, поступившие в течение короткого проме-жутка времени от одного и того же NAS, игнорируются.
• Length – суммарная длина полей Code, Identifier, Authenticator и Attributes.
• Authenticator – для запроса это уникальная последовательность символов, использу-емая совместно с md5-суммой общего для UTM5 RADIUS и NAS секретного слова (secret), для шифрования пароля пользователя с помощью обратимого алгоритма. Для ответа это md5-сумма полей Code, Identifier, Length, Authenticator, Attributes и общего секретного слова.В целях обеспечения безопасности общее секретное слово должно быть достаточно длинным и сложным для подбора. Категорически не рекомендуется использовать пу-стое общее секретное слово. UTM5 RADIUS использует адрес отправителя RADIUS-пакета для определения того, какое общее секретное слово будет использоваться.
• Attributes – поле переменной длины, содержащее в себе список RADIUS-атрибутов.
00 1 2 3 4 5 6 7 8 9 0
1 1 2 3 4 5 6 7 8 9 0
2 1 2 3 4 5 6 7 8 9 0
3 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier | Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| || Authenticator || || |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Attributes …+-+-+-+-+-+-+…
Тип Название Принимается или передается UTM5 RADIUS
1 Access-Request принимается
2 Access-Accept передается
3 Access-Reject передается
4 Accounting-Request принимается
5 Accounting-Response передается
11 Access-Challenge передается
145
NetUP UTM5. Руководство администратора
14
Каждый RADIUS-атрибут содержит специфичную дополнительную информацию о за-просе или ответе. В общем случае RADIUS-атрибут выглядит следующим образом:
• Type – число, определяющее назначение данного атрибута. Типы RADIUS-атрибутов описаны в RFC 1700.
• Length – суммарная длина полей Type, Length и Value.
• Value – Информация, специфичная для каждого типа атрибута. В зависимости от типа атрибута в данном поле могут содержаться данные следующих типов:
° text – от 1 до 253 байт, содержащих текст в UTF-8 (в строке недопустимо исполь-зование символа с нулевым кодом);
° string – от 1 до 253 байт, содержащих бинарную информацию;
° address – 32 бита, интерпретируемых как адрес;
° integer – 32 бита, интерпретируемых как беззнаковое целое число;
° time – 32 бита, интерпретируемых как время в секундах с 00:00:00 1 января 1970 UTC.
Некоторые атрибуты могут быть включены в пакет более одного раза. В этом случае их интерпретация зависит от типа атрибута. Порядок следования атрибутов является сущест-венным.
В дальнейшем при указании на какой-либо RADIUS-атрибут будет использоваться его общепринятое название, а идентификатор типа будет указан в скобках. Например, атрибут User-Name (1).
Существует тип атрибута Vendor-specific (26), предназначенный для передачи расши-ренных атрибутов, назначение которых определяется различными организациями. Дан-ные, передаваемые в этом атрибуте, интерпретируются следующим образом:
• Vendor-Id – число, идентифицирующее организацию, которая определяет назначение данного атрибута (подробнее – в RFC 1700).
• Vendor-Type – число, определяющее назначение данного атрибута.
• Vendor-Length – суммарная длина полей Vendor-Type, Vendor-Length и Data.
• Data – данные специфичной части атрибута.
00 1 2 3 4 5 6 7 8 9 0
1 1 2 3 4 5 6 7 8 9 0
2 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Type | Length | Value …+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+…
00 1 2 3 4 5 6 7 8 9 0
1 1 2 3 4 5 6 7 8 9 0
2 1 2 3 4 5 6 7 8 9 0
3 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Vendor-Id |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Vendor-Type | Vendor-Length | Data…+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+…
6
UTM5 RADIUS
В дальнейшем при упоминании vendor-specific атрибутов будет использоваться их общепринятое название, а Vendor-Id и Vendor-Type будут указаны в скобках через точку с запятой. Например, Cisco-AVPair (9;1).
Описание работы
Краткое описание схемы работы:
1. Соединение с ядром UTM5.
2. Получение от ядра UTM5 информации о необходимых для работы событиях.
3. Взаимодействие с NAS.
4. Передача данных о взаимодействии ядру UTM5.
При запуске UTM5 RADIUS подключается к ядру UTM5, авторизуется, используя соот-ветствующие параметры конфигурационного файла, и устанавливает соединение по пото-ковому протоколу Stream.
После установления соединения ядро UTM5 направляет UTM5 RADIUS информацию обо всех необходимых объектах в соответствующих событиях.
UTM5 RADIUS поддерживает постоянное соединение с ядром по потоковому прото-колу Stream. При создании, изменении, удалении объектов системы, параметры которых необходимы UTM5 RADIUS, ядро UTM5 отправляет определенное событие по протоколу Stream.
При получении соответствующего события UTM5 RADIUS создает, модифицирует или удаляет во внутренних таблицах данные о следующих объектах:
• IP-группы;
• NAS;
• лицевые счета;
• временные диапазоны;
Рис. 88. Схема работы RADIUS.
147
NetUP UTM5. Руководство администратора
14
• услуги передачи трафика и телефонии;
• сервисные связки услуг коммутируемого доступа и телефонии;
• телефонные зоны;
• телефонные направления;
• именованные IP-пулы.
Авторизация
При поступлении Access-Request UTM5 RADIUS выполняет следующие действия:
1. Проводит процедуру аутентификации пользователя, используя один из следующих ме-тодов:
° PAP
° CHAP
° MS-CHAP v1
° MS-CHAP v2
° EAP-MD5
° EAP-TTLS
° Digest
Аутентификация по методу Digest отклоняется от RFC и реализована соглас-но спецификации http://tools.ietf.org/id/draft-sterman-aaa-sip-00.txt.
В запросе на авторизацию в обязательном порядке должен быть указан атрибут User-Name (1). Часть значения атрибута User-Name (1) до символа ‘:’ записывается в пара-метр Callback_prefix. Логин рассматривается без префикса. Все буквенные символы в логине принудительно переводятся в нижний регистр. Если атрибут User-Name (1) не указан, Access-Request игнорируется и последующие действия не производятся.
Если аутентификация прошла неудачно, либо же метод аутентификации не поддержи-вается, на NAS отправляется Access-Reject.
Если в конфигурационном файле UTM5 RADIUS (см. ниже) установлен параметр guest_pool_name, то незарегистрированные пользователи также могут быть авторизованы.
2. По логину, полученному на первом этапе, определяется сервисная связка, которой принадлежит данный логин. Перечень производимых действий зависит от типа сер-висной связки.
• Для сервисной связки услуги передачи IP-трафика:
° Если в конфигурационном файле UTM5 RADIUS установлен параметр radius_auth_vap, на отсутствие действующей в данный момент блокировки проверяется лицевой счет, на который ссылается сервисная связка.
° Проверяется наличие хотя бы одного свободного IP-адреса для данной IP-группы.
8
UTM5 RADIUS
° Если параметр IP-группы Разрешенные CID имеет непустое значение, проверяется соответствие значения атрибута Calling-Station-Id (31) установленному в значении данного параметра регулярному выражению.
° Если в конфигурационном файле UTM5 RADIUS установлен параметр radius_nas_port_vpn, проверяется значение атрибута NAS-Port-Type (61) на точное соответствие значению хотя бы одного параметра radius_nas_port_ vpn.
Если хотя бы одна из проверок завершится неудачно – отправляется Access-Reject, дальнейшие действия не производятся.
При успешном прохождении проверок отправляется Access-Accept, содержащий следующие атрибуты:
° Service-Type (6) – передается значение 2.
° Framed-IP-Netmask (9) – передается значение 0xFFFF FFFF.
° Framed-Routing (10) – передается значение 0.
° Framed-Protocol (7) – передается значение 1.
° Framed-IP-Address (8) – передается первый свободный IP-адрес для данной IP-груп-пы, IP-адрес помечается как занятый на время, указанное в значении параметра radius_ippool_acct_timeout конфигурационного файла UTM5 RADIUS.
° Session-Timeout (27) – передается значение параметра radius_default_ session_timeout конфигурационного файла UTM5 RADIUS.
• Для сервисной связки услуги коммутируемого доступа:
° Проверяется соответствие наличия или отсутствия Callback_prefix установленным параметрам Разрешен Callback и Разрешен Ringdown. Если параметр Разрешен Callback не установлен, проверка возвращает отрицательный результат в случае на-личия Callback_prefix. Если параметр Разрешен Ringdown не установлен, возвращает отрицательный результат в случае отсутствия Callback_prefix.
° Если параметр Разрешенные CID имеет непустое значение, проверяется соответс-твие значения атрибута Calling-Station-Id (31) установленному в значении данного параметра регулярному выражению.
° Если параметр Разрешенные CSID имеет непустое значение, проверяется соответс-твие значения атрибута Called-Station-Id (30) установленному в значении данного параметра регулярному выражению.
° Проверяется количество установленных для данной сервисной связки соединений на соответствие максимальному числу одновременных сессий, установленному в свойствах услуги, на которую ссылается сервисная связка.
° Если в конфигурационном файле UTM5 RADIUS не установлен параметр blocked_pool_name, проверяется отсутствие действующей блокировки лицево-го счета.
° Вычисляется максимальное время соединения по балансу лицевого счета и пара-метрам сервисной связки. Проверка пройдет успешно, если значение максималь-ного времени соединения больше 0, и текущее время входит в установленный временной диапазон, а также если средств на балансе лицевого счета достаточно для оплаты как минимум одной секунды соединения в текущее время.
149
NetUP UTM5. Руководство администратора
15
° Если в свойствах услуги указан пул, зарегистрированный в UTM5 RADIUS, опре-деляется первый свободный IP-адрес в данном пуле. Если свободные IP-адреса от-сутствуют – проверка не проходит.
° Если в конфигурационном файле UTM5 RADIUS установлен параметр radius_ nas_port_dialup, проверяется значение атрибута NAS-Port-Type (0;61) на точ-ное соответствие значению хотя бы одного параметра radius_nas_port_ di-alup.
Если хотя бы одна из проверок завершится неудачно – отправляется Access-Reject, дальнейшие действия не производятся.
При успешном прохождении проверок отправляется Access-Accept.
Если пользователь заблокирован и в конфигурационном файле UTM5 RADIUS уста-новлен параметр blocked_pool_name, то адрес будет выдан из пула, предназначен-ного для заблокированных пользователей (заданного этим параметром).
Если пользователь не зарегистрирован и в конфигурационном файле UTM5 RADIUS установлен параметр guest_pool_name, то адрес будет выдан из пула, предназна-ченного для гостевых пользователей (заданного этим параметром).
Если в свойствах услуги коммутируемого доступа в качестве параметра Название
пула установлено имя зарегистрированного в системе IP-пула, передаются следующие атрибуты:
° Service-Type (6) – передается значение 2.
° Framed-IP-Netmask (9) – передается значение 0xFFFF FFFF.
° Framed-Routing (10) – передается значение 0.
° Framed-Protocol (7) – передается значение 1.
° Framed-IP-Address (8) – передается свободный IP-адрес для данной IP-группы, IP-адрес помечается как занятый на время, указанное в значении параметра radius_ippool_acct_timeout конфигурационного файла UTM5 RADIUS.
° Session-Timeout (27) – передается максимальное время текущей сессии.
Если в свойствах услуги коммутируемого доступа в качестве параметра Название
пула установлено имя незарегистрированного в системе IP-пула, передаются следую-щие атрибуты:
° Service-Type (6) – передается значение 2.
° Framed-MTU (12) – передается значение 1500.
° Framed-Routing (10) – передается значение 0.
° Framed-Protocol (7) – передается значение 1.
° Session-Timeout (27) – передается максимальное время сессии.
° Cisco-AVPair (9;1) – передается значение addr-pool=<имя пула>, где <имя пула> – имя незарегистрированного в системе IP-пула.
Кроме этого, если на этапе авторизации был выделен ненулевой Callback_prefix, в от-вет добавляются следующие атрибуты:
0
UTM5 RADIUS
° Callback-Number (19) – передается значение callback number (если не установлен па-раметр radius_callback_avpair_enable конфигурационного файла UTM5 RADIUS).
° Callback-Id (20) – передается логин для Callback (если не установлен параметр radius_callback_avpair_enable конфигурационного файла UTM 5 RADIUS).
° Cisco-AVPair (9;1) – передается значение lcp:callback-dialstring= <callback_prefix> (если параметр radius_callback_avpair_enableконфигурационного файла UTM5 RADIUS установлен).
После выдачи IP-адреса он помечается как занятый на время, указанное в параметре radius_ippool_timeout конфигурационного файла UTM5 RADIUS.
• Для сервисной связки услуги телефонии: см. Модуль IP-телефонии: Алгоритм работы
на стр. 230.
Для любых сервисных связок в Access-Accept включаются атрибуты, установленные для услуги, на которую ссылается сервисная связка, NAS.
Аккаунтинг
Запросы на учет (Accounting-Request) используются UTM5 RADIUS для определения занятости выделенных IP-адресов, тарификации услуг hotspot, коммутируемого доступа, телефонии, тарификации трафика, а также динамического создания, изменения, удаления IP-групп.
В Accounting-Request в обязательном порядке должны присутствовать следующие атрибуты:
• Acct-Status-Type (40)
• Acct-Session-Id (44)
• Framed-IP-Address (8)
При отсутствии хотя бы одного из данных атрибутов запрос игнорируется.
Тип запроса на учет определяется атрибутом Acct-Status-Type (40).
UTM5 RADIUS различает три типа Accounting-Request:
• При получении Start-пакета:
° Создается объект, описывающий сессию с идентификатором, указанным в атрибуте Acct-Session-Id (44), по Stream протоколу передается событие, сообщающее об этом ядру UTM5.
Значение атрибута Acct-Status-Type
Название Комментарий
1 Start Сообщает о начале сессии
2 Stop Сообщает о завершении сессии
3 Interim-Update Сообщает промежуточные данные установленного соединения
151
NetUP UTM5. Руководство администратора
15
° Если логин, указанный в атрибуте User-Name (1) принадлежит IP-группе или сер-висной связке услуги коммутируемого доступа, последний IP-адрес для данной IP-группы или сервисной связки помечается как занятый на неопределенное время. IP-адрес помечается как занятый на время, указанное в параметре radius_ippool_timeout, если параметр radius_ippool_timeout конфи-гурационного файла не установлен, и механизм контроля сессий на основании за-проса Interim-Update отключен. IP-адрес помечается как занятый на тройной промежуток времени, указанный в параметре interim_update_interval, если данный параметр установлен.
° IP-адрес, ассоциированный с сессией, помечается как занятый.
Параметр radius_ippool_timeout имеет больший приоритет, чем параметр interim_update_interval.
• При получении Stop-пакета:
° Если значение атрибута User-Name (1) соответствует логину сервисной связки услу-ги коммутируемого доступа, осуществляется тарификация сессии, на основании времени, указанного в атрибуте Acct-Session-Time (46). Информация о необходи-мом списании передается ядру по протоколу Stream соответствующим событием.
° Объект, описывающий сессию с идентификатором, указанным в атрибуте Acct-Session-Id (44), удаляется. Информация об удалении данного объекта передается ядру по протоколу Stream соответствующим событием.
° IP-адрес помечается как свободный.
• При получении Interim-Update-пакета:
° Обновляется объект, описывающий сессию с идентификатором, указанным в атри-буте Acct-Session-Id (44), по Stream протоколу передается событие, сообщающее об этом ядру UTM5.
° Если логин, указанный в значение атрибута User-Name (1), принадлежит IP-группе или сервисной связке услуги коммутируемого доступа, и включен механизм контро-ля сессий по Interim-Update пакету, IP-адрес для данной сервисной связки помеча-ется как занятый на тройной промежуток времени, указанный в параметре interim_update_interval, если данный параметр установлен.
Опосредованная тарификация трафика
В случае, если сервер доступа не поддерживает экспорт статистики по протоколу NetFlow, существует возможность получать информацию по потребленному трафику на основании пакетов Stop или Interim-Update. Для использования этого механизма необходи-мо установить в произвольное значение системный параметр radius_do_accounting(для тарификации по пакетам Stop) или radius_do_interim_accounting (для тари-фикации по пакетам обоих типов).
При получения пакета Stop или Interim-Update RADIUS-сервер создаст две записи ин-формации о трафике, которые далее будут тарифицироваться в ядре биллинговой системы по стандартному механизму.
2
UTM5 RADIUS
В первой записи информации о трафике в качестве адреса отправителя будет значиться IP-адрес сервера доступа, а в качестве получателя будет указан IP-адрес абонента, исполь-зованный в данной сессии. Количество потребленных байт берётся из атрибутов Acct-Input-Octets (42) и Acct-Input-Gigawords (52) из пакета Stop или Interim-Update. Во второй записи информации о трафике в качестве адреса получателя будет значиться IP-адрес сер-вера доступа, а в качестве отправителя будет указан IP-адрес абонента, использованный в данной сессии. Количество байт берётся из атрибутов Acct-Output-Octets (43) и Acct-Output-Gigawords (53) из пакета.
Сформированные записи передаются ядру UTM5 в соответствующем событии по протоколу Stream.
Механизм контроля сессий
Если задан параметр interim_update_interval (см. ниже), то подразумевается, что NAS должен присылать пакеты Interim-Update по каждой открытой сессии с данной пе-риодичностью. При отсутствии новых пакетов в течение утроенного периода, либо по при-ходе пакета Stop, сессия считается прекращённой, а связанные с ней IP-адреса освобождаются.
По умолчанию данный параметр не задан, и сессия прекращается только по пакету Stop. Если NAS поддерживает отправку пакетов Interim-Update, данный параметр лучше задать, чтобы избежать образования “повисших” сессий.
Демон utm5_radius
Исполняемый файл UTM5 RADIUS называется /netup/utm5/bin/utm5_radius.
В командной строке можно передавать следующие параметры:
Существуют 3 способа запуска utm5_radius:
1. Непосредственный запуск бинарного файла /netup/utm5/bin/utm5_radius с необходимыми параметрами;
2. Запуск с помощью скрипта watchdog с указанием параметра start:
Скрипт автоматически перезапустит utm5_radius в случае, если он по каким-либо при-чинам некорректно завершит работу.
3. Запуск с помощью скрипта автоматического запуска (рекомендуемый способ):в Linux –
-p <путь> Путь к PID-файлу
-c <путь> Путь к конфигурационному файлу
-v Вывод информации о версии и допустимых параметрах командной строки
/netup/utm5/bin/safe_utm5_radius start
/etc/init.d/utm5_radius start
153
NetUP UTM5. Руководство администратора
15
в FreeBSD –
В этом случае произойдет запуск скрипта watchdog.
Для остановки utm5_radius и скрипта watchdog следует выполнить команду:
в Linux –
в FreeBSD –
Настройка
Настройка UTM5 RADIUS производится с помощью:
• параметров, задаваемых в конфигурационном файле;
• параметров системы, задаваемых с помощью интерфейса администратора (подробнее – в разделе Ядро системы: Интерфейсные параметры на стр. 134).
Параметры, задаваемые в конфигурационном файле, используются при инициализации UTM5 RADIUS.
Конфи гу ра ци он ный файл
По умолчанию UTM5 RADIUS на unix-системах использует конфигурационный файл /netup/utm5/radius5.cfg, а в сборке UTM5 под Win32 – файл radius5.cfg, рас-положенный в директории установки (по умолчанию C:Program FilesNetUP UTM5).
Формат конфигурационного файла:
Набор символов, находящийся до знака равенства, является названием параметра, по-сле – значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка, начинающаяся с символа #, считается комментарием.
Список возможных параметров:
/usr/local/etc/rc.d/utm5_radius.sh start
/etc/init.d/utm5_radius stop
/usr/local/etc/rc.d/utm5_radius.sh stop
параметр=значение
Параметр Возможные значения
Значение по умолчанию
Описание
core_host IP-адрес обязательный па-раметр
IP-адрес хоста, на котором запуще-но ядро UTM5
4
UTM5 RADIUS
core_port от 1 до 65534 обязательный па-раметр
Порт, на котором ядро UTM5 слу-шает Stream (параметр stream_bind_port в конфигурационном файле ядра)
radius_login строка radius Логин пользователя для доступа к ядру UTM5
radius_password строка radius Пароль пользователя для доступа к ядру UTM5
radius_pid_file имя файла /var/run/ utm5_radius.pid PID-файл
radius_ping_interval число 30 Длительность (в сек.) повторных попыток соединения с ядром
radius_acct_hostIP-адрес ин-терфейса или 0.0.0.0
0.0.0.0 Адрес хоста для принятия запросов на учет (Accounting-Request)
radius_acct_port от 1 до 65534 1813 Порт для принятия запросов на учет (Accounting-Request)
radius_auth_hostIP-адрес ин-терфейса или 0.0.0.0
0.0.0.0Адрес хоста для принятия запросов на проверку доступа (Access-Request)
radius_auth_port от 1 до 65534 1812 Порт для принятия запросов на проверку доступа (Access-Request)
radius_auth_mppe enableгенерация клю-чей не произво-дится
Включает генерацию ключей MPPE 128 бит, используемых при автори-зации по протоколу MS-CHAP-v2
radius_auth_vap 1 авторизация раз-решена
Если значение установлено, забло-кированным пользователям, логи-ны которых установлены в сервисной связке услуги передачи трафика, запрещается авторизо-ваться
radius_ippool_acct_timeoutвремя в секундах
30Время, на которое IP-адрес помеча-ется как занятый после отправки Access-Accept
radius_ippool_timeoutвремя в секундах
до момента при-хода Stop-пакета
Время, на которое IP-адрес помеча-ется как занятый после прихода Accounting-Start
radius_auth_null yes или enable не установлено
При включении этой опции сервер RADIUS будет принимать и успеш-но авторизовать запросы без атри-бута User-Password(2), если пароль пользователя, указанный в серви-сной связке, пуст
Параметр Возможные значения
Значение по умолчанию
Описание
155
NetUP UTM5. Руководство администратора
15
radius_auth_h323_remote_addressenable, on, yes не установлено
При включении данной опции для телефонных звонков аутентифика-ция производится не по атрибуту User-Name (1), а по значению атри-бута h323-remote-address (9;23). Значение атрибута используется в качестве логина
radius_nas_port_vpn(a)
натуральноечисло
не установлено (проверка не производится)
На соответствие указанному в дан-ном поле значению, будет про-веряться значение атрибута NAS-Port-Type (61) при подключении с помощью логина, указанного в сер-висной связке услуги передачи тра-фика
radius_nas_port_dialup(a)
натуральноечисло
не установлено (проверка не производится)
На соответствие указанному в дан-ном поле значению, будет прове-ряться значение атрибута NAS-Port-Type (61) при подключении с помощью логина, указанного в сер-висной связке услуги комму-тируемого доступа
radius_nas_port_tel(a)
натуральноечисло
не установлено (проверка не производится)
На соответствие указанному в дан-ном поле значению, будет про-веряться значение атрибута NAS-Port-Type (61) при подключении с помощью логина, указанного в сер-висной связке услуги телефонии
radius_card_autoaddyes, on, enable
авторегистрация не производится
Разрешает проводить автоматичес-кую регистрацию пользователей через сервер RADIUS по предопла-ченной карте. При этом пользова-тель в поле Логин указывает номер карты, а в поле Пароль – пин-код карты. В случае услуги телефонии в логине указывается пин-код или часть пин-кода, оставшаяся часть выступает в качестве пароля.
send_xpgk_ep_number любоене установлено (номера не пере-даются)
При включении данной опции при авторизации абонента, в случае ис-пользования услуги телефонии, в Access-Accept будет передан атри-бут Cisco-AVPair (9;1) со значени-ем: xpgk-ep-number=<список телефонных номеров через “;”>
send_h323_ivr_in любоене установлено (номера не пере-даются)
При включении данной опции при авторизации абонента в случае ис-пользования услуги телефонии в Access-Accept будет передан атри-бут Cisco-AVPair (9;1) со значени-ем: h323-ivr-in=terminal-alias: <список телефонных номеров че-рез “;”>
Параметр Возможные значения
Значение по умолчанию
Описание
6
UTM5 RADIUS
h323_origin_reject строка не установлено
Устанавливает нулевую стоимость для Accounting-Request, в которых атрибут h323-call-origin (9;26) ра-вен значению данного параметра
interim_update_intervalвремя в секундахбольшее 60
не установлено (используется стандартный ме-ханизм)
Включает механизм контроля сес-сий на основании Interim-Update пакетов. Значение передается в атрибуте Acct-Interim-Interval (85) пакета Acces-Accept
radius_default_session_timeoutнатуральное число 86400
Значение атрибута Session-Timeout (27) передаваемое в Access-Accept для сервисной связки услуги пере-дачи трафика
radius_callback_avpair_enableлюбое не установлено
Включает передачу атрибута Cisco-AVPair (9;1) со значением lcp:callback-dial-string=<callback number>, где callback number – часть логина от начала строки до символа ‘:’
radius_acct_rewrite_login_answerenable, on, true не установлено
Если атрибут h323-call-origin (9;26) имеет значение originate – задание параметра включает замену логина на значение атрибута h323-remote-address (9;23) при обработке паке-тов Accounting-Request
radius_acct_rewrite_login_originateenable, on, true не установлено
Если атрибут h323-call-origin (9;26) имеет значение answer – задание параметра включает замену логина на значение атрибута h323-remote-address (9;23) при обработке паке-тов Accounting-Request
blocked_pool_name строка не установлено
Имя IP-пула, адреса из которого выдаются заблокированным поль-зователям для ограниченного до-ступа
guest_pool_name строка не установленоИмя IP-пула, адреса из которого выдаются гостевым пользователям для ограниченного доступа
named_pool_shuffle yes, no
не установлено
Включает выдачу адресов из слу-чайного диапазона (если в системе заведено несколько IP-пулов с од-ним именем). По умолчанию адре-са выдаются последовательно из очередного пула до его исчерпания; пулы следуют в порядке их добав-ления
radius_auth_tel_ext_reg yes, on, enable
не установлено
Включает распознавание запроса на регистрацию тел.звонка по ра-венству Calling-Station-Id = Called-Station-Id в Access-Request
Параметр Возможные значения
Значение по умолчанию
Описание
157
NetUP UTM5. Руководство администратора
15
Параметры журналирования (подробнее – в разделе Описание системы: Журналиро-
вание на стр. 21):
Динамическое распределение IP-адресов
Для реализации возможности тарификации трафика в случае, если IP-адрес был выдан пользователю из пула или UTM5 не выдавался, введена схема динамической привязки IP-адреса к сервисной связке услуги передачи IP-трафика.
Для использования схемы к лицевому счету необходимо привязать услугу передачи IP-трафика с установленной опцией Динамическое распределение IP-адресов и услугу ком-мутируемого доступа/hotspot с установленной опцией Динамическое распределение IP-
адресов.
При поступлении запроса Accounting-Start в атрибуте User-Name (1) которого указан логин, указанный в свойствах сервисной связки услуги коммутируемого доступа/hotspot с установленной опцией “Динамическое распределение IP-адресов”, а в атрибуте Framed-IP-Address (8) установлен ненулевой IP-адрес, ядром UTM5 передается событие, инициализи-рующее процедуру привязки выданного IP-адреса к лицевому счету. В событии передают-
tls_certificate_path строка
не установлено Путь к файлу сертификата при ис-пользовании EAP-TTLS
tls_pricate_key_path строка
не установлено Путь к файлу приватного ключа при использовании EAP-TTLS
a. Возможно указание нескольких параметров.
Параметр Возможные значения
Значение по умолчанию
Описание
log_level число от 0 до 3 1Определяет уровень сообщений, ко-торые пишутся в основной поток со-общений
log_file_main имя файла стандартный поток ошибок Файл основного потока сообщений
log_file_debug имя файла стандартный поток ошибок
Файл отладочного потока сообще-ний
log_file_critical имя файла стандартный поток ошибок
Файл критического потока сообще-ний
rotate_logs yes, on, enable ротация отклю-чена Включает ротацию лог-файлов
max_logfile_size(a) размерв байтах
a. Действует, если включена ротация лог-файлов.
10485760 Размер файла, при достижении кото-рого производится ротация
Параметр Возможные значения
Значение по умолчанию
Описание
8
UTM5 RADIUS
ся данные о лицевом счете абонента и выданном IP-адресе. Обработчик события вызывает функцию, осуществляющую все необходимые проверки и непосредственную динамичес-кую привязку в случае необходимости.
Функцией динамической привязки IP-адреса выполняются следующие действия:
1. осуществляется поиск сервисной связки, ссылающейся на данный лицевой счет и на услугу передачи IP-трафика с установленной опцией Динамическое распределение
IP-адресов. Если сервисная связка не найдена, дальнейшие действия не производятся;
2. осуществляется поиск IP-группы, в которую входит указанный IP-адрес. Если такая IP-группа найдена, она удаляется;
3. создается IP-группа, для которой в качестве IP-адреса сети устанавливается указанный IP-адрес, а в качестве маски – 255.255.255.255. Остальные параметры IP-группы уста-навливаются в значение по умолчанию;
4. создается IP-группа, привязанная к найденной на этапе 1 сервисной связке.
При создании или удалении IP-группы выполняются следующие действия: если статус Internet для лицевого счета, которому принадлежит IP-группа, установлен в состояние Включен –
• Перед созданием или удалением IP-группы статус Internet устанавливается в состояние Выключен;
• После создания или удаления IP-группы статус Internet устанавливается в состояние Включен.
Помимо указанных действий возможна генерация одного или нескольких событий на выключение Internet для лицевого счета в случае, если статус Internet Выключен.
Во избежание возникновения проблем категорически не рекомендуется использовать функционал динамической привязки IP-адреса, если IP-адреса из пула пересекаются с IP-адресами, статически привязанными к сервисным связкам услуги передачи IP-трафика.
159
NetUP UTM5. Руководство администратора
16
0
ИМПОРТ ТЕКСТОВЫХ ФАЙЛОВ
NetUP UTM5 поддерживает (посредством отдельных вспомогательных утилит) импорт текстовых файлов, содержащих информацию о трафике или телефонных звонках.
По поводу импорта подклассов трафика в виде CSV-файлов см. Интерфейс админист-
ратора: Классы трафика на стр. 52.
По поводу импорта организованной информации о некоторых объектах, см. Импорт структурированных данных на стр. 195.
Утилиту utm5_send_traffic следует использовать для импорта информации о тра-фике в случае, если эта информация не содержит данных об адресах отправителя или по-лучателя трафика, но содержит информацию о количестве трафика, его классе, логине сервисной связки услуги передачи трафика, которой должен принадлежать данный трафик. В случае, если поставщик информации о трафике поддерживает передачу данной инфор-мации по протоколу NetFlow, рекомендуется передавать информацию о трафике по прото-колу NetFlow.
Утилиту utm5_send_cdr следует использовать для импорта информации о телефон-ных звонках в случае, если поставщик информации не поддерживает ее передачу RADIUS-серверу с помощью RADIUS-запросов на учет (Accounting-Request). В случае, если постав-щик информации о телефонных звонках поддерживает ее передачу с помощью запросов на учет (Accounting-Request), рекомендуется непосредственно передавать ее RADIUS-серве-ру.
До версии UTM5.3-001 обе этих задачи решались единым приложением – UTM5 Unif. Формат импортируемых файлов и большинство конфигурацион-ных параметров UTM5 Unif совместимы с описываемыми утилитами.
Схема работы
Разбор файлов с информацией о трафике
В случае разбора файла с информацией о трафике выполняются следующие действия:
1. Устанавливается соединение с ядром UTM5 по протоколу URFA.
2. Построчно считывается текстовый файл, каждая строка которого разбирается в соот-ветствии со стандартным форматом.
3. Данные, содержащиеся в каждой строке, сохраняются во внутренней структуре хране-ния данных.
4. Структура с данными передается ядру UTM5 посредством вызова URFA-функции 0x5511.
5. utm5_send_traffic завершает работу.
161
NetUP UTM5. Руководство администратора
16
Файл с информацией о трафике должен содержать данные, отвечающие следующим требованиям:
1. Каждая строка файла должна содержать данные формата:
где
• LOGIN – логин, указанный в свойствах услуги передачи трафика, которому должен принадлежать данный трафик;
• BYTES – количество трафика в байтах (не должно превышать 2Гб);
• TCLASS – класс трафика, зарегистрированный в ядре UTM5, которому должен принад-лежать трафик;
• IP – IP-адрес, который будет указываться для данного трафика при формировании от-чета по трафику с группировкой по IP. Поле IP-адрес может иметь произвольное зна-чение в формате IP-адреса.
2. В файле не должно содержаться строк, содержащих иную информацию, либо инфор-мацию в ином формате.
Разбор файлов с информацией о телефонных звонках
В случае разбора файла с информацией о телефонных звонках выполняются следую-щие действия:
1. Устанавливается соединение с ядром UTM5 по протоколу URFA.
1. Построчно считывается текстовый файл, каждая строка которого разбирается в соот-ветствии форматом, заданным в конфигурационном файле.
2. Данные, содержащиеся в каждой строке, сохраняются во внутренней структуре хране-ния данных.
3. Структура с данными передается ядру UTM5 посредством вызова URFA-функции 0x10310.
4. utm5_send_cdr завершает работу.
Файл с информацией о телефонных звонках должен содержать данные, отвечающие следующим требованиям:
1. Каждая запись о звонке должна находиться в отдельной строке.
2. Запись о каждом звонке должна занимать не более одной строки.
3. Каждая запись о звонке должна соответствовать формату записи, заданному в конфи-гурационном файле. Формат записи должен соответствовать общим требованиям к формату записи о звонке.
4. В файле не должно содержаться строк, содержащих иную информацию, либо инфор-мацию в ином формате.
Требования к формату записи о звонке:
1. Каждая запись о звонке должна содержать данные в текстовом виде.
<LOGIN> <BYTES> <TCLASS> <IP>
2
Импорт текстовых файлов
2. Каждая запись о звонке должна быть разделена одинаковыми разделителями на несколько полей. Обязательно присутствие следующих полей:
° Идентификатор вызывающего абонента (телефонный номер);
° Идентификатор вызываемого абонента (телефонный номер);
° Длительность звонка в секундах без указания единицы измерения;
° Дата и время начала звонка, если необходимо датировать звонок временем, отлич-ным от времени передачи информации о нем;
Могут присутствовать также следующие необязательные поля:
° Входящий транк;
° Исходящий транк;
° Идентификатор АТС (PBX ID);
° Уникальный числовой идентификатор звонка (идентификатор сессии).
Если формат длительности звонка в конфигурационном файле не задан, используется следующий формат (формат по умолчанию):
Например, 00:35:05.000 UTC Tue Jul 19 2007.
Миллисекунды и день недели игнорируются.
Символ, разделяющий поля в записи о звонке, задается в конфигурационном файле и является единым для всего разбираемого файла.
<чч>:<мм>:<сс>.<мск> <врз> <днл> <мес> <дт> <гггг>
Поле Количество символов
Описание
чч 2 часы
мм 2 минуты
сс 2 секунды
мск 3 миллисекунды
врз 3 временная зона
днл 3 день недели
мес 3 месяц
дт 2 дата
гггг 4 год
163
NetUP UTM5. Руководство администратора
16
Запуск утилит
Запуск утилит производится командами:
и
В командной строке можно передавать обеим утилитам следующие параметры:
Конфигурационные файлы
Утилиты используют конфигурационные файлы utm5_send_traffic.cfg и utm5_send_cdr.cfg, расположенные на unix-системах в /netup/utm5/, а в сборке UTM5 под Win32 – в директории установки (по умолчанию C:Program Files NetUPUTM5).
Формат конфигурационных файлов:
Набор символов, находящийся до знака равенства, является названием параметра, по-сле – значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка, начинающаяся с символа #, считается комментарием.
Ниже следует список возможных параметров.
Параметры соединения с ядром UTM5 (общие для обеих утилит):
/netup/utm5/bin/utm5_send_traffic
/netup/utm5/bin/utm5_send_cdr
-c <путь> Путь к конфигурационному файлу
-s <путь>Путь к файлу, содержащему импортируемую информацию. Если задан сим-вол “-”, то читается стандартный поток ввода.По умолчанию используется файл /netup/utm5/source.dat
-v Вывод информации о версии и допустимых параметрах командной строки
параметр=значение
Параметр Возможные значения
Значение по умолчанию
Описание
core_host IP-адрес 127.0.0.1 IP-адрес хоста, на котором запуще-но ядро UTM5
core_port натуральное чи-сло от 1 до 65534 11758
Порт, на котором ядро UTM5 слу-шает URFA (параметр urfa_bind_port в конфи-гурационном файле ядра)
core_login строка init Логин пользователя для доступа к ядру UTM5
core_password строка init Пароль пользователя для доступа к ядру UTM5
4
Импорт текстовых файлов
Параметры разбора файлов, содержащих информацию о телефонных звонках (актуаль-но для utm5_send_cdr.cfg):
Параметр Возможные значения
По умолч. Описание
pbx_calling_sid натуральное число 0
Номер позиции в импортируемом файле, в которой находится запись о вызывающем номере
pbx_called_sid натуральное число 1
Номер позиции в импортируемом файле, в которой находится запись о вызываемом номере
pbx_duration натуральное число 2
Номер позиции в импортируемом файле, в которой находится запись о длительности звонка
pbx_duration_formatстрока формата
формат по умолчанию Формат записи времени звонка(a)
a. В строке формата времени допускается использование спецификаторов %H, %h, %M, %m, %S и %s (см. ниже).
pbx_session_id натуральное число 3
Номер позиции в импортируемом файле, в которой находится запись об идентифика-торе сессии
pbx_date_time натуральное число 4
Номер позиции в импортируемом файле, в которой находится запись о дате и времени начала звонка
pbx_date_format строка фор-мата
формат по умолчанию
Формат, в котором задана дата и время на-чала звонка(b)
b. В строке формата допускается использование спецификаторов (см. ниже).
pbx_time натуральное число
не установ-лено
Номер позиции в импортируемом файле, в которой находится запись о времени звонка (если время хранится отдельно от даты)
pbx_time_format строка фор-мата
не установ-лено
Формат, в котором задано время начала звонка(b)
pbx_accounting_codeнатуральное число
не установ-лено
Номер позиции в импортируемом файле, в которой находится запись об имени пользо-вателя (если она есть)
pbx_incoming_trunkнатуральное число
не установ-лено
Номер позиции в импортируемом файле, в которой находится запись о входящем тран-ке (если она есть)
pbx_outgoing_trunkнатуральное число
не установ-лено
Номер позиции в импортируемом файле, в которой находится запись об исходящем транке (если она есть)
pbx_id натуральное число
не установ-лено
Номер позиции в импортируемом файле, в которой находится запись об идентифика-торе АТС (если она есть)
pbx_delimiter строка пробел Символ-разделитель между полями
pbx_quote строка пустая стро-ка Символ, в который заключены поля
165
NetUP UTM5. Руководство администратора
16
Спецификаторы для задания времени и даты:
Параметры журналирования (подробнее см. в разделе Описание системы: Журнали-
рование на стр. 21):
Спецификатор Описание
%Y год (1970…)
%y последние два разряда года (00..99)
%N месяц (01..12)
%n месяц без нулей слева (1..12)
%H час (00..23)
%h час без нулей слева (0..23)
%D день месяца (01..31)
%d день месяца без нулей слева (1..31)
%M минуты (00..59)
%m минуты без нулей слева (0..59)
%S секунды (00..60)
%s секунды без нулей слева (0..60)
%b сокращенное название месяца (Jan..Dec)
%U время в формате unix timestamp
%z временная зона (например MSK) – только для ОС FreeBSD и Linux
Параметр Возможные значения
Значение по умолчанию
Описание
log_level число от 0 до 3 1
Определяет уровень сообщений, которые пишутся в основной поток сообщений (если при запуске не задан параметр -d)
log_file_main имя файла стандартный поток ошибок Файл основного потока сообщений
log_file_debug имя файла стандартный поток ошибок
Файл отладочного потока сообще-ний
log_file_critical имя файла стандартный поток ошибок
Файл критического потока сообще-ний
6
UTM5 RFW
Схема работы UTM5 RFW
Аффектор UTM5 RFW является демоном исполнения команд, поступающих от ядра UTM5. RFW предназначен для управления сторонним ПО, включая брандмауэры, маршру-тизаторы, шейперы и т.д.
Краткое описание схемы работы:
1. Соединение с ядром UTM5;
2. Получение команд от ядра UTM5;
3. Выполнение команд локально или удаленно.
При запуске UTM5 RFW авторизуется в системе, используя параметры, указанные в конфигурационном файле. Для успешной авторизации UTM5 RFW должен быть зарегист-рирован в списке брандмауэров (см. Интерфейс администратора: Список брандмауэров
на стр. 76). Количество зарегистрированных в системе UTM5 RFW не ограничено.
UTM5 RFW устанавливает постоянное соединение с ядром UTM5 по потоковому протоколу Stream, ожидая команд, генерируемых ядром при наступлении некоторых собы-тий. Соотнесение событий и исполняемых команд производится в интерфейсе админи-стратора на странице Настройки: Правила firewall.
Рис. 89. Схема работы RFW.
167
NetUP UTM5. Руководство администратора
16
Команды исполняются локально на том же сервере, где запущен RFW, если в качестве типа брандмауэра выбрано Local, и удаленно по rsh – если в качестве типа брандмауэра вы-брано Cisco (rsh).
Если RFW не подключён к ядру, команды кэшируются в течение 24 часов. При перепод-ключении RFW к ядру может происходить выполнение некоторых команд согласно задан-ным флагам синхронизации (см. Синхронизация правил на стр. 180); при подключении без указания флагов все кэшированные правила будут отправлены на аффектор. Также при запуске RFW или при его переподключении к ядру может исполняться произвольная ко-манда, заданная параметром firewall_flush_cmd (см. Конфигурационный файл на стр. 178).
Правила firewall
Правило firewall – это объект, задающий шаблон выполняемой команды и определяю-щий условия её выполнения.
Перечень зарегистрированных в системе правил firewall находится во вкладке На-
стройки: Правила firewall интерфейса администратора.
Полностью подготовленные для выполнения правила передаются на исполнение UTM5 RFW.
Правила firewall обладают следующими группами параметров:
• Областью применимости (для каких пользователей правило выполняется);
• Инициирующим событием (причина, по которой правило выполняется);
• Местом выполнения (RFW, которому передается правило, и соответствующий ему брандмауэр, на котором правило выполняется);
• Шаблоном (собственно команда).
Для построения шаблонов команд используются переменные, которые непосредствен-но при отправке команды на RFW заменяются соответствующими значениями.
• Область применимости – свойство, определяющее лицевые счета, к которым приме-нимо данное правило. Если выбрана опция Все пользователи, под действие правила подпадают все лицевые счета, зарегистрированные в системе. В противном случае для выбора подмножества лицевых счетов можно использовать следующие условия: вы-бор по идентификатору пользователя, выбор по принадлежности пользователя к груп-пе и выбор по тарифному плану. По умолчанию правило применяется к лицевым счетам, удовлетворяющим любому из заданных условий, если их более одного (т.е. учитывается объединение условий – логическое ИЛИ). При выборе альтернативной опции учитывается пересечение условий (логическое И), т.е. правило применяется к лицевым счетам, удовлетворяющим всем условиям.
При выборе лицевых счетов по тарифному плану под условие подпадают лице-вые счета, на которые ссылаются тарифные связки, имеющие указанный та-рифный план в качестве текущего. Правила, применимые к сервисным связкам
8
UTM5 RFW
или IP-группам, будут действовать на все сервисные связки или IP-группы этих лицевых счетов, включая те, которые связаны с другими тарифными планами.
• Инициирующее событие (одно или более) – выбирается из списка (см. События на стр. 174).
• Место выполнения правила – свойство, задающее конкретный брандмауэр путём вы-бора из списка, или (если выбрана соответствующая опция) все брандмауэры.
• Шаблон команды – строка, которая может содержать переменные (см. Переменные), заменяемые соответствующими значениями непосредственно при отправке команды на RFW.
В случае локального исполнения RFW выполняет команду следующим образом:
где необязательные параметры sudo_path и firewall_path берутся из конфигу-рационного файла, а остальная часть строки – из шаблона команды после подстановки зна-чений переменных. Таким образом, если оба параметра sudo_path и firewall_pathне установлены, шаблон команды должен начинаться с имени внешнего исполняемого файла.
В сборке UTM5 под Win32 параметры sudo_path и firewall_path не ис-пользуются.
В случае выполнения по rsh команда отправляется в том виде, в котором поступила от ядра (т.е. шаблон с подставленными значениями).
Создание правил описано в примере Создание правила firewall на стр. 126.
Для использования правил, созданных в сборке 5.2.1-006 или более ранней, необ-ходимо их предварительно конвертировать (см. Преобразование правил на стр. 176).
Переменные
В этом разделе приведён список возможных переменных, доступных для использова-ния в шаблонах команд, и область применимости каждой из них (т.е. тип событий, при ко-торых возможно использование данной переменной). Если в команде используются переменные, не применимые для событий данного типа, они заменяются значениями по умолчанию.
[sudo_path ][firewall_path ]arg1[ arg2[ arg3…]]
169
NetUP UTM5. Руководство администратора
17
Список событий приведён ниже (см. События на стр. 174).
Переменная Значение по умолчанию
Область применимости
Описание
UID пустая строкаВсе события, кроме со-бытий Закрытие фай-ла детальной статистики и Закры-тие файла логов
Идентификатор пользователя
UGROUP пустая строкаСписок идентификаторов групп, в ко-торых состоит пользователь, разде-ленных ‘;’
LOGIN пустая строка Логин пользователя
EMAIL пустая строка
Все события, кроме со-бытий Закрытие фай-ла детальной статистики, Закры-тие файла логов и Удаление пользова-теля
Адрес электронной почты, установ-ленный в свойствах пользователя
ACCOUNT_ID 0 Идентификатор лицевого счета
RULE_ID 0
Идентификатор пользователя плюс значение параметра fw_rule_ offset из списка системных пара-метров
FULL_NAME пустая строка Полное наименование пользователя
SWITCH_IP пустая строка
Название брандмауэра, установлен-ного в поле Удалённый коммута-тор (см. Пользователь: Другое на стр. 42)
SWITCH_PORT пустая строкаПорт, установленный в свойствах пользователя (см. Пользователь: Другое на стр. 42)
SLINK_ID 0
Все события, кроме со-бытий Закрытие фай-ла детальной статистики, Закры-тие файла логов, До-бавление пользователя, Изме-нение пользователя и Изменение балан-са счёта
Идентификатор сервисной связки
0
UTM5 RFW
ULOGIN пустая строка
Включение/Выклю-чение Internet,Добавление/Измене-ние/Удаление связ-ки dialup,Включение hotspot, Выключение hotspot, Установка ширины входящего канала, Изменение ширины входящего канала, Снятие огра-ничений на входя-щий канал, Установка ширины исходящего канала, Изменение ширины исходящего канала и Снятие ограниче-ний на исходящий канал
Логин, указанный в свойствах серви-сной связки или IP-группы
UIP 0.0.0.0 Включение/Выклю-чение Internet, Вклю-чение hotspot, Выключение hotspot, Установка ширины входящего канала, Изменение ширины входящего канала, Снятие огра-ничений на входя-щий канал, Установка ширины исходящего канала, Изменение ширины исходящего канала и Снятие ограниче-ний на исходящий канал
Адрес сети пользователя, указанный в свойствах IP-группы в поле IP
UMASK 255.255. 255.255
Маска сети через точку (например, 255.255.255.0)
UINVERTMASK 0.0.0.0Инвертированная маска сети через точку (например, 0.255.255.255). Ис-пользуется при работе с марш-рутизаторами Cisco
UBITS 32Бинарная маска сети (например,32 означает то же, что и 255.255.255.255)
MAC пустая строка
Включение/Выклю-чение Internet, Уста-новка ширины входящего канала, Изменение ширины входящего канала, Снятие ограниче-ний на входящий ка-нал, Установка ширины исходя-щего канала, Изме-нение ширины исходящего канала и Снятие ограниче-ний на исходящий канал
MAС-адрес, указанный в свойствах IP-группы
Переменная Значение по умолчанию
Область применимости
Описание
171
NetUP UTM5. Руководство администратора
17
SERVICE_ID 0
Добавление/ Изме-нение/Удаление связки dialup, От-крытие сессии, За-крытие сессии, Добавление/Измене-ние/Удаление связ-ки IP-трафика, Добавление/Измене-ние/Удаление связ-ки телефонии, Добавление/Измене-ние/Удаление тех. параметра
Идентификатор услуги
UPASS пустая строка
Добавление/Измене-ние/Удаление связ-ки dialup, Включение hotspot и Выклю-чение hotspot
Пароль сервисной связки услуги hotspot или услуги коммутируемого доступа
DIALUP_ FLAGS пустая строка
Добавление/Измене-ние/Удаление связ-ки dialup
Флаги сервисной связки услуги ком-мутируемого доступа:0 – установлен параметр Разрешен Ringdown;3 – установлен параметр Разрешен Callback;1 – установлены оба параметра
UCID пустая строкаЗначение параметра CID сервисной связки услуги коммутируемого до-ступа
UCSID пустая строкаЗначение параметра CSID сервисной связки услуги коммутируемого до-ступа
DIALUP_LIST пустая строка
Изменение состоя-ния блокировки
Список параметров сервисных связок услуги коммутируемого доступа для данного лицевого счета в формате «идентификатор/ логин/пароль/CID/CSID/ флаги» через «;»
BLOCK_TYPE -1Числовое представление типа блоки-ровки (см. Типы блокировки на стр. 174)
SLINK_LIST пустая строкаСписок всех идентификаторов сер-висных связок, принадлежащих лице-вому счету, через «;»
BALANCE 0 Изменение баланса счёта Баланс счёта
Переменная Значение по умолчанию
Область применимости
Описание
2
UTM5 RFW
TECH_PARAM_TYPE 0
Добавление тех. па-раметра, Изменение тех. параметра и Удаление тех. пара-метра
Тип технического параметра: 1 — web, 2 — email
TECH_PARAM_ ID 0 Идентификатор технического параме-
тра
TECH_PARAM_VALUE пустая строка Значение технического параметра
TECH_PARAM_PASS пустая строка Пароль технического параметра
SERVICE_ TYPE
Открытие сессии, Закрытие сессии, Добавление тех. па-раметра, Изменение тех. параметра и Удаление тех. пара-метра
Тип услуги (см. Типы услуг на стр. 174)
TARIFF_ LINK_ID 0
Добавление связки IP-трафика, Измене-ние связки IP-трафи-ка и Удаление связки IP-трафика
Идентификатор тарифной связки
DISCOUNT_ PERIOD_ID 0 Идентификатор расчетного периода
START_DATE 0 Дата начала действия сервисной связ-ки
END_DATE 0 Дата окончания действия сервисной связки
IP_GROUP_ID 0 Идентификатор IP-группы сервисной связки
IP_GROUP_ LIST пустая строка
Изменение состоя-ния блокировки, До-бавление связки IP-трафика, Изменение связки IP-трафика и Удаление связки IP-трафика
Список IP-групп в формате «адрес/маска/логин/ пароль/MAC/поставщик NetFlow» через «;»
TIME_LIMIT 0 Включение hotspot, Выключение hotspot
Остаток времени для сервисной связ-ки услуги hotspot
TEL_LIST пустая строка
Добавление связки телефонии, Измене-ние связки телефо-нии, Удаление связки телефонии и Изменение типа бло-кировки
Список телефонных номеров в фор-мате «номер/логин/ разреш.CID» через «;»
Переменная Значение по умолчанию
Область применимости
Описание
173
NetUP UTM5. Руководство администратора
17
Переменные SPLINK_ID, TRAFFIC_LIMIT, UTELLOGINS, UTELNUMBERS, и IP_LIST являются устаревшими и не используются.
Среди переменных используются следующие перечисления:
• Типы блокировки – см. Лицевые счета на стр. 24.
• Типы услуг – см. Услуги на стр. 29.
События
Ниже приведён список возможных событий, инициирующих выполнение команды:
• Включение Internet – выполняется для каждой IP-группы в каждой сервисной связке услуги передачи IP-трафика, принадлежащего лицевому счёту, при изменении статуса Internet данного счёта с «выключен» на «включен»;
• Выключение Internet – выполняется дважды для каждой IP-группы в каждой сервис-ной связке услуги передачи IP-трафика, принадлежащего лицевому счёту, при измене-нии статуса Internet данного счёта с «включен» на «выключен»;
• Добавление пользователя – выполняется для пользователя при добавлении данного пользователя в систему (через интерфейс администратора или автоматически);
NAS_ID пустая строка
Открытие сессии иЗакрытие сессии
Идентификатор NAS
NAS_IP 0.0.0.0 IP-адрес NAS
SESSION_ID пустая строка Идентификатор сеcсии (строка)
ACCT_STATUS_TYPE 0 Статус сессии:
1 — открыта, 2 — закрыта
CALLING_SID пустая строка ID вызывающей станции
CALLED_SID пустая строка ID вызываемой станции
FRAMED_IP 0.0.0.0 IP-адрес, указанный в RADIUS-атри-буте Framed-IP-Address (8)
BANDWIDTH 0
Установка ширины входящего канала, Изменение ширины входящего канала, Снятие огра-ничений на входя-щий канал, Установка ширины исходящего канала, Изменение ширины исходящего канала и Снятие ограниче-ний на исходящий канал
Текущая пропускная способность по-лосы
PATH пустая строка
Закрытие файла де-тальной статистики и Закрытие файла логов
Путь к файлу детальной статистики либо лог-файлу
Переменная Значение по умолчанию
Область применимости
Описание
4
UTM5 RFW
• Изменение пользователя – выполняется для пользователя при изменении данных этого пользователя;
• Удаление пользователя – выполняется для пользователя при его удалении;
• Изменение состояния блокировки – выполняется для лицевого счёта при изменении состояния блокировки (т.е. при его блокировке или разблокировке);
• Изменение баланса счёта – выполняется для лицевого счёта при прохождении его ба-ланса через границы, заданные системным параметром notification_borders;
• Открытие сессии – выполняется для сервисной связки при приходе RADIUS-запроса Accounting-Start;
• Закрытие сессии – выполняется для сервисной связки при приходе RADIUS-запроса Accounting-Stop;
• Добавление связки dialup – выполняется для сервисной связки услуги коммутируе-мого доступа при её создании;
• Изменение связки dialup – выполняется для сервисной связки услуги коммутируемо-го доступа при изменении её параметров;
• Удаление связки dialup – выполняется для сервисной связки услуги коммутируемого доступа при её удалении;
• Добавление связки IP-трафика – выполняется для сервисной связки услуги передачи IP-трафика при её добавлении;
• Изменение связки IP-трафика – выполняется для сервисной связки услуги передачи IP-трафика при изменении её параметров;
• Удаление связки IP-трафика – выполняется для сервисной связки услуги передачи IP-трафика при её удалении;
• Добавление связки телефонии – выполняется для сервисной связки услуги телефо-нии при её добавлении;
• Изменение связки телефонии – выполняется для сервисной связки услуги телефонии при изменении её параметров;
• Удаление связки телефонии – выполняется для сервисной связки услуги телефонии при её удалении;
• Включение hotspot – выполняется для сервисной связки hotspot при авторизации пользователя;
• Выключение hotspot – выполняется для сервисной связки hotspot при выходе пользо-вателя или прекращении сессии;
• Добавление тех. параметра – выполняется для сервисной связки при добавлении к ней технического параметра (см. Тарификация: Технические параметры на стр. 43);
• Изменение тех. параметра – выполняется для сервисной связки при изменении свя-занного с ней технического параметра;
• Удаление тех. параметра – выполняется для сервисной связки при удалении связан-ного с ней технического параметра;
175
NetUP UTM5. Руководство администратора
17
• Установка ширины входящего канала – выполняется для каждой IP-группы при нас-туплении условий шейпирования для входящего канала по данной сервисной связке (см. Интерфейс администратора: Динамическое шейпирование на стр. 82);
• Изменение ширины входящего канала – выполняется для каждой IP-группы при сме-не условий шейпирования для входящего канала по данной сервисной связке (напри-мер, при переходе трафика через границы шейпирования);
• Снятие ограничений на входящий канал – выполняется для каждой IP-группы при выходе входящего канала по данной сервисной связке из-под условий шейпирования (например, при обнулении количества трафика в момент завершения отчётного пери-ода);
• Установка ширины исходящего канала – выполняется для каждой IP-группы при нас-туплении условий шейпирования для исходящего канала по данной сервисной связке (например, при достижении трафиком нижней границы шейпирования);
• Изменение ширины исходящего канала – выполняется для каждой IP-группы при смене условий шейпирования для исходящего канала по данной сервисной связке;
• Снятие ограничений на исходящий канал – выполняется для каждой IP-группы при выходе исходящего канала по данной сервисной связке из-под условий шейпирования;
• Закрытие файла детальной статистики – выполняется для файла детальной статис-тики при его закрытии;
• Закрытие файла логов – выполняется для лог-файла при его закрытии.
Преобразование правил
Преобразование правил брандмауэров, созданных в UTM сборки 5.2.1-006 или ранее, производится с помощью включённой в поставку программы fix_fwrules. Программа принимает следующие параметры:
Таким образом, при стандартном расположении файлов UTM преобразование запуска-ется командой:
В сборке для Win32 –
-f Преобразовывать правила
-c <путь>Путь к конфигурационному файлу UTM5 (по умолчанию /netup/utm5/utm5.cfg, в сборке для Win32 –C:Program FilesNetUPUTM5utm5.cfg).
-l <путь> Путь к лог-файлу, по умолчанию ./fix_fwrules.log
-h Вывод информации о версии и допустимых параметрах командной строки
fix_fwrules -f
C:Program FilesNetUPUTM5binfix_fwrules -f
6
UTM5 RFW
Брандмауэр
Брандмауэр – это объект системы, предназначенный для идентификации аффектора, коммутатора или поставщика NetFlow.
На странице интерфейса администратора Настройки: Список брандмауэров приведён список зарегистрированных в системе брандмауэров, с возможностью добавления, редак-тирования и удаления.
Брандмауэр обладает следующими параметрами:
• Идентификатор брандмауэра – задается автоматически.
• Тип – Локальный, если команды будут исполняться локально, или Cisco (rsh), если ко-манды будут передаваться по протоколу rsh. Тип брандмауэра должен соответствовать параметру firewall_type конфигурационного файла RFW, сопоставляемого с дан-ным брандмауэром.
• Наименование – уникальное имя, по которому происходит идентификация подклю-чающихся к ядру RFW. Наименование брандмауэра должно соответствовать пара-метру rfw_name конфигурационного файла RFW, сопоставляемого с данным брандмауэром.
• IP – адрес поставщика NetFlow, указываемый в свойствах IP-группы.
• Логин – логин, используемый в качестве remote login при авторизации по rsh. Толь-ко для типа брандмауэра Cisco (rsh). В качестве local login всегда передаётся net-up.
• Комментарий – носит информационный характер.
Сценарий создания брандмауэра описан в примере Создание брандмауэра на стр. 125.
Настройка службы utm5_rfw
Исполняемый файл utm5_rfw называется /netup/utm5/bin/utm5_rfw .
В сборке UTM5 под Win32 файл называется utm5_rfw.exe и расположен в поддиректории bin директории установки (по умолчанию – C:Program FilesNetUPUTM5).
В командной строке можно передавать следующие параметры:
-c <путь> Путь к конфигурационному файлу
-s <флаги>Синхронизация правил firewall при запуске (выполняются только команды, свя-занные с данным RFW, и только на данном RFW). Возможные флаги см. в разде-ле Синхронизация правил на стр. 180.
-f Параметр устарел (аналог -s enable)
-o Параметр устарел (аналог -s disable)
-v Вывод информации о версии и допустимых параметрах командной строки
177
NetUP UTM5. Руководство администратора
17
В сборке UTM5 под Win32 RFW запускается как системная служба. Пара-метры командной строки в этом случае не могут быть переданы. Аналогом па-раметра -s является параметр конфигурационного файла sync_flags.
В unix-системах существует 3 способа запуска utm5_rfw:
1. Непосредственный запуск бинарного файла /netup/utm5/bin/utm5_rfw с необ-ходимыми параметрами.
2. Запуск с помощью скрипта watchdog с указанием параметра start:
В этом случае исполняемому файлу будет передан параметр -f. Скрипт автоматичес-ки перезапустит utm5_rfw в случае, если он по каким-либо причинам некорректно завершит работу.
3. Запуск с помощью скрипта автоматического запуска (рекомендуемый способ).
в Linux:
в FreeBSD:
В этом случае произойдет запуск скрипта watchdog.
Для остановки utm5_rfw и скрипта watchdog следует выполнить команду:
в Linux –
в FreeBSD –
Для запуска RFW на удалённой машине необходимо, чтобы его параметры конфигура-ционного файла core_host и core_port соответствовали адресу и порту, которые ис-пользуются ядром UTM5 для соединений по протоколу Stream.
На одной машине может одновременно работать несколько RFW с различными конфи-гурационными и PID-файлами.
Конфи гу ра ци он ный файл
По умолчанию UTM5 RFW на unix-системах использует конфигурационный файл /netup/utm5/rfw5.cfg, а в сборке UTM5 под Win32 – файл rfw5.cfg, расположен-ный в директории установки (по умолчанию C:Program FilesNetUPUTM5).
Формат конфигурационного файла:
/netup/utm5/bin/safe_utm5_rfw start
/etc/init.d/utm5_rfw start
/usr/local/etc/rc.d/utm5_rfw.sh start
/etc/init.d/utm5_rfw stop
/usr/local/etc/rc.d/utm5_rfw.sh stop
ïàðàìåòð=çíà÷åíèå
8
UTM5 RFW
Набор символов, находящийся до знака равенства, является названием параметра, по-сле – значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка, начинающаяся с символа #, считается комментарием.
Ниже приведён список возможных параметров.
Параметр Возможные значения
Значение по умолчанию
Описание
Общие параметры:
rfw_name строка обязательный параметр
Имя UTM5 RFW, по которому происходит его идентификация при подключении к ядру UTM5. Это же значение должно быть указано в поле Название при добавлении брандмауэра в список брандмауэров
core_host IP-адрес обязательный параметр
IP-адрес хоста, на котором запущено ядро UTM5
core_port число от 1 до 65534
обязательный параметр
Порт, на котором ядро UTM5 слушает Stream (параметр stream_bind_port в конфигу-рационном файле ядра)
rfw_login строка обязательный параметр Логин пользователя для доступа к ядру UTM5
rfw_ password строка обязательный
параметр Пароль пользователя для доступа к ядру UTM5
firewall_ type local, cisco local
Тип firewall. Должен соответствовать парамет-ру Тип брандмауэра с соответствующим именем. Если установлено значение local, команды будут исполняться локально, а в слу-чае cisco – будут передаваться по протоколу rsh
rfw_ssl_ type tls1, ssl3, none ssl3
Тип безопасного соединения SSL. В случае, если указано значение none, будет использо-ваться нешифрованное соединение
sync_flags см. ниже не установлен Флаги синхронизации
Параметры, действующие при установленном firewall_type=local:
sudo_path имя исполня-емого файла не установлено Имя исполняемого файла sudo
firewall_ path
имя исполня-емого файла пустая строка Имя исполняемого файла, осуществляющего
управление сторонним ПО
firewall_ flush_cmd
имя исполня-емого файла пустая строка Скрипт, выполняемый при соединении и пере-
соединении с ядром
dont_fork yes, enable, true
команды испол-няются парал-лельно
Если значение установлено – правила выпол-няются последовательно, т.е. каждое правило исполняется только после выполнения преды-дущего. При использовании команды iptables рекомендуется установить дан-ную опцию
Параметры, действующие при установленном firewall_type=cisco:
cisco_ip IP-адрес обязательный параметр
IP-адрес, на который будут передаваться коман-ды по протоколу rsh
179
NetUP UTM5. Руководство администратора
18
Параметры журналирования (подробнее см. в разделе Описание системы: Журнали-
рование на стр. 21):
Параметр core_timeout является устаревшим и не рекомендуется к использованию.
Синхронизация правил
При автоматическом запуске модуля при старте системы может быть инициировано вы-полнение определённых правил для восстановления конфигурации стороннего ПО. Выполняются только команды, связанные с данным RFW, и только на данном RFW. Набор правил для выполнения определяется флагами.
Флаги синхронизации (возможные значения перечислены ниже) задаются параметром конфигурационного файла sync_flags или параметром командной строки -s, причём последний имеет приоритет. Можно одновременно употреблять несколько флагов, разде-ляя их двоеточиями.
• enable – выполнить правила, ассоциированные с событием «Включение Internet»;
• disable – выполнить правила «Выключение Internet»;
• users – выполнить правила «Добавление пользователя»;
• iptraffic – выполнить правила «Добавление связки IP-трафика»;
• dialup – выполнить правила «Добавление связки dialup»;
• blocks – выполнить правила «Изменение типа блокировки»;
• shaping – выполнить правила «Установление ограничений dynashape».
Параметр Возможные значения
Значение по умолчанию
Описание
log_level число от 0 до 3 1Определяет уровень сооб-щений, которые пишутся в основной поток сообщений
log_file_main имя файла стандартный поток ошибок
Файл основного потока со-общений
log_file_debug имя файла стандартный поток ошибок
Файл отладочного потока сообщений
log_file_critical имя файла стандартный поток ошибок
Файл критического потока сообщений
rotate_logs yes, on, enable ротация отключена Включает ротацию лог-файлов
max_logfile_count(a)
a. Действует, если включена ротация лог-файлов.
число не ограничено Максимальное количество хранимых лог-файлов
max_logfile_size(a) размер в байтах 10485760Размер файла, при дости-жении которого произво-дится ротация
pid_file имя файла /var/run/ utm5_rfw.pid PID-файл
0
UTM5 DYNASHAPE
Введение
Модуль UTM5 Dynashape предназначен для управления изменением пропускной спо-собности канала (шейпинга) пользователя в зависимости от времени и от объема трафика, потребленного пользователем.
Ядро биллинговой системы формирует правила в соответствии с заданными парамет-рами шейпирования и передаёт их на исполнение. Реализация исполняемых файлов управ-ления программными шейперами для конкретной сетевой конфигурации возлагается на системного администратора. Примеры приведены в разделе Приложения: Способы шей-
пирования трафика на стр. 321.
Для работы модуля необходимо наличие отдельной лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администратора UTM5 (см. О программе:
Лицензии, пункт Модуль динамического шейпирования).
Схема работы
Шейпирование может быть настроено отдельно для каждой услуги передачи IP-трафи-ка. Настройки шейпирования включают набор ограничений на полосу пропускания и параметры, определяющие условия применения того или иного ограничения.
Чтобы настроить шейпирование услуги, необходимо:
1. Выбрать услугу и задать основные параметры шейпирования (см. Интерфейс адми-
нистратора: Динамическое шейпирование на стр. 82), в том числе:
° типы IP-групп, к которым будет применяться шейпирование (VPN или не VPN);
° временные диапазоны действия шейпирования;
° границы потребления трафика, при превышении которых будут последовательно налагаться ограничения;
° значения полосы пропускания для каждого временного диапазона и для каждого уровня потребления трафика;
° классы трафика, к которым будет применяться шейпирование.
2. В случае шейпирования с помощью RADIUS-атрибутов – на той же странице задать RADIUS-атрибуты, устанавливающие ширину полосы пропускания. Динамическое изменение атрибутов в зависимости от потреблённого трафика обеспечивается ис-пользованием переменных, выбираемых из списка (см. Параметры RADIUS).
3. Назначить правила firewall (см. Интерфейс администратора: Правила firewall на стр. 77) для событий Установление ширины, Изменение ширины и Снятие ограни-
чений входящего (исходящего) канала, используя переменную BANDWIDTH, которая в момент применения правила заменяется на заданное значение полосы пропускания.
181
NetUP UTM5. Руководство администратора
18
Ограничения применяются в течение выбранных диапазонов времени для IP-групп вы-бранных типов и для выбранных классов трафика, в зависимости от потребления трафика по данной сервисной связке. При попадании под условия шейпирования (т.е. при наступ-лении заданного временного диапазона, или при переходе количества трафика через задан-ные границы) выполняется событие Установление ширины, а при смене условий – Изменение ширины входящего (исходящего) канала. Также при каждом из этих событий посылаются соответствующие RADIUS-атрибуты и удаляются их предыдущие значения. При выходе из-под условий шейпирования (т.е. при окончании времени ограничений, или при обнулении трафика в момент смены отчётного периода) происходит событие Снятие
ограничений и удаление RADIUS-атрибутов.
Смена ограничений при наступлении временного диапазона происходит не позднее 5 минут после начала диапазона. Смена ограничений в зависимости от количества трафика происходит после очередной агрегации трафика, периодичность которой задаётся парамет-ром traffic_agregation_interval (см. Ядро системы: Интерфейсные парамет-
ры на стр. 134).
Заданная величина полосы пропускания в случае использования внешних скриптов пе-редаётся в них непосредственно (т.е. ядро UTM5 не производит с ней никаких действий). В случае использования RADIUS-атрибутов величина интерпретируется как значение в Кбит/сек и может пересчитываться в значения в других единицах, а также в зависимые ве-личины, см. Параметры RADIUS.
Параметры RADIUS
Для построения RADIUS-атрибутов используются переменные, которые непосредст-венно при отправке команды заменяются соответствующими значениями. Значения вычис-ляются из заданной полосы пропускания.
Ниже приведён список возможных переменных:
Переменная Описание Значение(W – заданная полоса)
IN_BANDWIDTH_BITS Полоса пропускания вхо-дящего канала (в бит/сек)
W*1024
IN_BANDWIDTH_KBITS То же, в Кбит/сек W
IN_BANDWIDTH_MBITS То же, в Мбит/сек W/1024
OUT_BANDWIDTH_BITS Полоса пропускания исхо-дящего канала (в бит/сек)
W*1024
OUT_BANDWIDTH_KBITS То же, в Кбит/сек W
OUT_BANDWIDTH_MBITS То же, в Мбит/сек W/1024
IN_CISCO_NORMAL_BURST Размер всплеска (burst) для входящего потока (в байтах)
1.5*(W*1024)/8
IN_CISCO_EXTENDED_BURST Расширенный размер вспле-ска для входящего потока (в байтах)
1.5*2(W*1024)/8
2
UTM5 Dynashape
OUT_CISCO_NORMAL_BURST Размер всплеска для исходя-щего потока (в байтах)
1.5*(W*1024)/8
OUT_CISCO_EXTENDED_BURST Расширенный размер вспле-ска для исходящего потока (в байтах)
1.5*2*(W*1024)/8
Переменная Описание Значение(W – заданная полоса)
183
NetUP UTM5. Руководство администратора
18
4
UTM5 URFACLIENT
Предупреждение
При проведении требуемых действий в некоторых случаях может не проводиться ряд проверок, которые проводят интерфейс администратора или web-интерфейс пользователя при выполнении того или иного действия. Кроме этого вызов некоторых функций может потребовать последующего вызова других функций с целью создания объектов, необходи-мых для сохранения логической целостности данных.
Перед выполнением любого действия на системах, находящихся в коммерческой эк-сплуатации, с помощью пакета UTM5 urfaclient, необходимо проверить корректность дей-ствий на стендовой системе.
Пакет UTM5 urfaclient предназначен для взаимодействия с ядром UTM5 на низком уровне и требует четкого понимания логики производимых действий.
Компания NetUP не несет ответственности за любые последствия, вызванные некор-ректным использованием пакета.
Введение
Пакет предназначен для осуществления унифицированного доступа к структурам ядра UTM5 посредством RPC интерфейса (URFA).
Пакет UTM5 urfaclient состоит из:
• модуля ядра биллинговой системы – библиотеки liburfa-client.so, обеспечива-ющего взаимодействие утилиты utm5_urfaclient и ядра UTM5;
• утилиты utm5_urfaclient, предназначенной для выполнения требуемых действий;
• схемы, описывающей URFA-функциии, входные и выходные параметры используемых URFA-функций;
• URFA-скриптов, специфичных для производимого действия или последовательности действий.
Вывод вызываемых URFA-функций пишется в стандартный поток вывода (stdout).
Для работы модуля необходимо наличие отдельной лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администратора UTM5 (см. О программе:
Лицензии, пункт URFA Client).
Схема
Схема api.xml содержит представленные в виде XML-тегов описания
• входных и выходных параметров функций;
• последовательности действий в зависимости от значения данных параметров.
185
NetUP UTM5. Руководство администратора
18
Путь к файлу api.xml может быть указан в качестве параметра командной строки -api. По умолчанию – /netup/utm5/xml/api.xml.
Значение выражений в текущей реализации представляют собой либо значения пере-менной, составляющей выражение, либо значение встроенной функции, либо константу, если не найдено переменной или функции с соответствующим именем.
Переменные в системе представляют собой массивы строк. По умолчанию происходит обращение к нулевому элементу данного массива, если явно не указан индекс массива.
Интерпретация значений переменных зависит от контекста. Например, в случае тега integer на этапе передачи значения из переменной происходит парсинг строк, на этапе при-ема значения в переменную происходит сериализация строк.
Необходимо внимательно относиться к выбору имен переменных, так как все перемен-ные в данной реализации являются глобальными.
Встроенные функции системы:
• now() – возвращает строковое представление текущего времени в формате unix;
• max_time() – возвращает строковое представление максимального значения времени в системе UTM5 в формате unix (2000000000, ~2033 год);
• size(varname) – возвращает длину массива с именем var_name.
Допустимые теги
• urfa – корневой тег. Не содержит атрибутов. Может содержать один или несколько те-гов function.
• function – описывает функцию. Обязательные атрибуты:
° name – имя функции
° id – идентификатор функции.
Должен содержать теги input и output (по одному на описание функции). Порядок сле-дования тегов input и output значения не имеет.
• input – содержит описание входных параметров функции. Не имеет атрибутов. Может содержать упорядоченную последовательность тегов:
° integer
° long
° double
° string
° ip_address
° if
° for
° error
• output – то же, что и input, только для выходных параметров функции.
6
UTM5 Urfaclient
• integer – может находиться внутри тега input или output; передает целое значение со знаком длиной 32 бита. Должен содержать свойство name – имя переменной-источ-ника или получателя. Может содержать свойства:
° default – выражение для значения по умолчанию. Имеет значение только для входных параметров, в случае если не найдена переменная с именем, указанным в свойстве name. При отсутствии переменной и значения по умолчанию произойдет завершение программы с ненулевым кодом возврата.
° array_index – выражение для номера ячейки массива-источника или массива-получателя.
• long – аналогичен тегу integer, но содержат описание целых знаковых параметров длиной 64 бита (int64_t).
• double – аналогичен тегу integer, но содержат описание параметров с плавающей точкой (double).
• string – аналогичен тегу integer, но содержат описание строковых параметров.
• ip_address – аналогичен тегу integer, но содержат описание параметров типа IPv4-адреса (например 192.168.0.1 или 255.255.0.0). Внутренним представлением IPv4 адре-са является целое число длиной 32 бит (тип int32_t).
• if – предназначен для обеспечения ветвления в последовательности параметров в зави-симости от значения переменной. Должен иметь атрибуты:
° variable – имя проверяемой переменной,
° value – выражение для сравниваемого значения,
° condition – условие сравнения (eq – равно, ne – не равно).
Может содержать упорядоченную последовательность тегов:
° integer
° long
° double
° string
° ip_address
° if
° for
° error
Другие вложенные теги недопустимы.
• for – предназначен для обеспечения реализации циклов. Должен иметь атрибуты:
° name – имя переменной-счетчика
° from – выражение для начального значения счетчика
° count – выражение для числа итераций цикла
Может содержать упорядоченную последовательность тегов:
° integer
° long
187
NetUP UTM5. Руководство администратора
18
° double
° string
° ip_address
° if
° for
° error
Другие вложенные теги недопустимы.
• error – вызывает выход из программы с ненулевым кодом возврата, если не указано обратное. Может иметь атрибуты:
° icode – код возврата программы
° comment – описание ошибки
° variable – имя переменной, значение которой будет выведено после комментария при завершении программы.
URFA-скрипт
URFA-скрипт описывает последовательность действий: вызова URFA-функций, цик-лов и условных операторов, представленную в виде XML-тегов. На каждое действие при-сутствует по одному файлу с именем <имя_действия.хml>.
Имя директории, в которой находятся URFA-скрипты, может быть указано в качестве параметра командной строки -x. По умолчанию имя директории – /netup/utm5/xml/. Например, для действия add_user по умолчанию будет использоваться файл /netup/utm5/xml/add_user.xml.
URFA-скрипт должен соответствовать требованиям схемы.
Допустимые теги
• urfa – корневой тег. Должен содержать упорядоченную последовательность тегов:
° call
° parameter
° add
° sub
° mul
° div
° cat
° if
° for
° message
°out
° set
8
UTM5 Urfaclient
° error
° remove
• call – осуществляет вызов URFA-функции, определенной в api-файле.Должен иметь атрибут function – имя вызываемой функции.Может иметь атрибут output, при нулевом значении которого не происходит вывода результата работы функции в виде xml-документа.Может содержать теги parameter.Другие вложенные теги недопустимы.
• parameter – должен содержать свойство name – имя переменной.Может определять начальные значения переменных, если имеет атрибут value, в про-тивном случае определяет допустимый параметр командной строки.В случае, если значение переменной указано как в файле действия в атрибуте value, так и в командной строке – приоритетной является командная строка. Все присутст-вующие в командной строке значения данного параметра, либо его значение по умол-чанию, помещаются в список переменных как массив под именем, определенным свойством name.
Многомерные массивы при надобности могут быть переданы в функцию через файл данных – см. Файл данных на стр. 192.
Также может иметь атрибут comment – описание переменной и соответствующего ключа командной строки, выводимое при одновременном указании ключей командной строки -a [имя_действия] и -help.
• add – тег арифметического действия (сложения). Должен иметь атрибуты:
° arg1 – первое слагаемое,
° arg2 – второе слагаемое,
° dst – имя переменной для записи результата.
• sub – тег арифметического действия (вычитания). Должен иметь атрибуты:
° arg1 – уменьшаемое,
° arg2 – вычитаемое,
° dst – имя переменной для записи результата.
• mul – тег арифметического действия (умножения). Должен иметь атрибуты:
° arg1 – первый множитель,
° arg2 – второй множитель,
° dst – имя переменной для записи результата.
• div – тег арифметического действия (деления). Должен иметь атрибуты:
° arg1 – делимое,
° arg2 – делитель,
° dst – имя переменной для записи результата.
189
NetUP UTM5. Руководство администратора
19
• cat – тег операции конкатенации строк. Должен иметь атрибуты:
° arg1 – первая строка,
° arg2 – вторая строка,
° dst – имя переменной для записи результата.
• if – предназначен для обеспечения ветвления в последовательности параметров в зави-симости от значения переменной. Должен иметь атрибуты:
° variable – имя проверяемой переменной,
° value – выражение для сравниваемого значения,
° condition – условие сравнения (eq – равно, ne – не равно).
Может содержать упорядоченную последовательность тегов:
° call
° parameter
° add
° sub
° mul
° div
° cat
° if
° for
° message
°out
° set
° error
° break
° remove
Другие вложенные теги недопустимы.
• for – предназначен для обеспечения реализации циклов. Должен иметь атрибуты:
° name – имя переменной-счетчика
° from – выражение для начального значения счетчика
° count – выражение для числа итераций цикла
Может содержать упорядоченную последовательность тегов:
° call
° parameter
° add
° sub
° mul
° div
0
UTM5 Urfaclient
° cat
° if
° for
° message
°out
° set
° error
° break
° remove
Другие вложенные теги недопустимы.
• message – должен иметь атрибут text. Данный тег осуществляет вывод в поток STDOUT отладочных сообщений, определенных в атрибуте text.
• out – должен иметь атрибут var. Выводит в поток STDOUT значение переменной, за-данной атрибутом var, в виде массива.
• set – определяет значения переменных. Должен иметь атрибут dst и один из атрибу-тов: src либо value. Одновременное указание атрибутов src и value недопусти-мо.Может также иметь атрибуты:
° dst_index – выражение для номера ячейки массива-приемника (0, если атрибут не указан);
° src_index – выражение для номера ячейки массива-источника (0, если атрибут не указан).
° dst определяет имя переменной-приемника (если переменная-приемник не су-ществовала, она будет создана),
° src определяет имя переменной-источника,
° value определяет выражение для присвоения переменной.
В текущей реализации допускается присвоение нового элемента массива либо в су-ществующую ячейку, либо в ячейку с индексом, равным текущему размеру массива. Индекс первого элемента массива – 0. Выход за границы массива-источника также недопустим и приводит к аварийному завершению программы.
• error – вызывает выход из программы с ненулевым кодом возврата, если не указано обратное. Может иметь атрибуты:
° code – код возврата программы
° comment – описание ошибки
° variable – имя переменной, значение которой будет выведено после комментария при завершении программы.
• shift – предполагает сдвиг значений массива, указанного в свойстве name, на одну по-зицию влево с удалением первого элемента. Данный тег предназначен для внутреннего использования, и его применение не рекомендуется.
191
NetUP UTM5. Руководство администратора
19
• break – осуществляет выход из первого по вложенности тега for с продолжением вы-полнения скрипта со следующей за циклом строки.
• remove – удаляет элемент массива либо весь массив, имя которого должно присутст-вовать в свойстве name. Индекс элемента массива может быть указан в виде выра-жения в свойстве array_index, в противном случае удаляется весь массив. При удалении элемента массива последующие элементы смещаются на одну позицию вле-во.
Файл данных
Файл данных описывает массив или несколько массивов, которые следует передать как аргументы в функции. Путь к файлу данных должен быть указан в качестве параметра ко-мандной строки -datafile.
Допустимые теги
• urfa – корневой тег. Должен содержать один или несколько тегов array.
• array – массив произвольной размерности.Должен иметь атрибуты:
° name – имя переменной;
° dimension – размерность массива.
Также может иметь атрибут comment – произвольный комментарий.Должен содержать упорядоченную последовательность тегов dim.Другие вложенные теги недопустимы.
• dim – элемент массива, который может сам по себе быть массивом.Может иметь атрибут comment – произвольный комментарий.Содержимое тега должно представлять собой либо значение элемента массива, либо упорядоченную последовательность тегов dim.Другие вложенные теги недопустимы.
Утилита utm5_urfaclient
Вызов утилиты осуществляется из командной строки с указанием параметров.
Запуск UTM5 Urfaclient производится командой
Параметры командной строки начинаются со знака “-”, затем следует название ключа и через пробел значение параметра (исключение составляет ключи -help, -debug, -u и -dealer, не требующие значения).
Большинство ключей имеют соответствия среди параметров конфигурационного фай-ла. Общий список всех ключей и параметров приведён ниже.
Допускается указание параметров, специфичных для определенного действия. В зави-симости от действия некоторые специфичные параметры могут являться обязательными.
/netup/utm5/bin/utm5_urfaclient
2
UTM5 Urfaclient
Все строковые значения должны передаваться в кодировке UTF-8.
Порядок указания параметров не имеет значения.
Конфигурационный файл
По умолчанию UTM5 Urfaclient на unix-системах использует конфигурационный файл /netup/utm5/utm5_urfaclient.cfg, а в сборке UTM5 под Win32 – файл utm5_urfaclient.cfg, расположенный в директории установки (по умолчанию C:Program FilesNetUPUTM5).
Формат конфигурационного файла:
Набор символов, находящийся до знака равенства, является названием параметра, по-сле – значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка, начинающаяся с символа #, считается комментарием.
Все значения параметров файла конфигурации могут быть указаны и в командной стро-ке. Параметры, указанные в командной строке, имеют приоритет над параметрами, указан-ными в файле конфигурации и в файле данных.
Список возможных параметров и ключей командной строки:
ïàðàìåòð=çíà÷åíèå
Ключ Параметр Значение по умолчанию
Описание
-h core_host 127.0.0.1 IP-адрес хоста, на котором запущено ядро UTM5
-p core_port 11758Порт, на котором ядро UTM5 слушает URFA (параметр urfa_bind_port в конфигурационном файле ядра)
-l core_login init Логин для доступа к ядру UTM5
-P core_password init Пароль для доступа к ядру UTM5
-x xml_path /netup/utm5/xml/ Имя директории, содержащей схему и URFA-скрипты(a)
-api api /netup/utm5/xml/ api.xml Путь к файлу схемы(a)
-u plain_user не установлено
Если указано значение “yes”, возмо-жен вызов только пользовательских функций, в противном случае – только системных
-dealer dealer не установлено Если указано значение “yes”, возмо-жен вызов только функций дилера
-s session_key не установлено
При указании данного параметра про-исходит восстановление сессии пользо-вателя по ключу, указанному в качестве значения параметра. При этом в файле конфигурации, либо в командной стро-ке должны быть указаны логин и па-роль системного пользователя
193
NetUP UTM5. Руководство администратора
19
Примеры работы
Примеры URFA-скриптов расположены в директории /netup/utm5/xml (в сборке для Win32 по умолчанию – C:Program FilesNetUPUTM5share). Там же нахо-дятся схема (api.xml) и примеры файлов данных – search_users_new_data.xml и teldata.xml.
Пример запуска утилиты:
В данном примере выполняется скрипт link_tariff_with_services.xml, со-держащий пример подключения к лицевому счету пользователя тарифного плана с подключением всех услуг, входящих в состав этого тарифного плана с отмеченным флагом Подключать услугу по умолчанию.
По результатам работы утилита пишет данные в стандартный поток вывода.
-i user_ip 127.0.0.1
При восстановлении сессии по ключу значение данного параметра определяет IP-адрес, с которого была инициализи-рована восстанавливаемая сессия
-a нет не установлено Имя действия (обязательный параметр)
-c нет /netup/utm5/ utm5_urfaclient.cfg Путь к конфигурационному файлу(b)
-help нет не установлено Показывает справку по параметрам вызванного скрипта (если таковая есть)
-debug нет не установлено Выводит дополнительные отладочные данные в процессе выполнения
-datafile нет не установлено Имя файла данных
-<имя> нет не установлено Значение специфичного параметра <имя>
a. В сборке для Win32 по умолчанию файлы схемы и скриптов расположены по адресу C:Program FilesNetUPUTM5share.
b. Под Win32 – C:Program FilesNetUPUTM5utm5_urfaclient.cfg.
utm5_urfaclient -a link_tariff_with_services -user_id 5-account_id 5 -discount_period_id 2 -tariff_current 1-ip_address 10.4.5.7 -iptraffic_login test4-iptraffic_password 123
Ключ Параметр Значение по умолчанию
Описание
4
ИМПОРТ СТРУКТУРИРОВАННЫХ ДАННЫХ
NetUP UTM5 поддерживает импорт XML-файлов, содержащих следующие сущности: пользователей, телефонные направления и телефонные зоны.
По поводу импорта подклассов трафика в виде CSV-файлов см. Интерфейс админист-
ратора: Классы трафика на стр. 52.
По поводу импорта первичной информации о трафике и звонках из текстовых файлов, см. Импорт текстовых файлов на стр. 161.
Интерфейс операции
Для импорта данных:
1. В меню центра управления выберите Система: Импорт.
2. Нажмите Обзор и выберите XML-файл.
3. Установите флажки, соответствующие сущностям, кото-рые предполагается импортировать. (Прочие сущности, если они встретятся в файле, будут проигнорированы.)
4. Нажмите Импорт.
Импортируемый файл XML проверяется на соответствие схеме (см. ниже). Также проверяется отсутствие дублирова-ния существующих объектов и валидность перекрестных ссылок (т.е. существование объ-ектов, на которые имеются ссылки в импортируемых данных). При успешной проверке файл импортируется в базу. В противном случае выдаётся сообщение об ошибке и импорт не производится.
Схема XML-файла
Полная схема XML-файла расположена по адресу http://www.netup.ru/xsd/import.xsd. Пример приведён в разделе Пример XML-файла на стр. 201.
XML-дерево файла начинается с элемента верхнего уровня import, содержащего эле-менты users, zones и directions (см. схемы ниже), каждый из которых может вклю-чать произвольное количество дочерних элементов user, zone и direction, соответственно.
Рис. 90. Окно “Импорт”.
195
NetUP UTM5. Руководство администратора
19
Рис. 91. Схема XML-файла (элемент users).
6
Импорт структурированных данных
Элемент user
Содержит информацию о пользователе. Может включать следующие элементы (все, кроме логина и одного счёта, являются необязательными):
Элемент Тип Значение по умолчанию
Описание
id число не установлено
Идентификатор (зарезервирован для использования в будущем). При записи в базу элементу присваивается другой идентификатор
login строка Обязательный элемент Логин
accounts коллекция элементов account (см. account на стр. 198)Обязательно наличие хотя бы одного элемента
password строка не установлено Пароль
full_name строка не установлено Наименование
is_juridical 0, 1 0 1 – юридическое лицо,0 – физическое
jur_address строка не установлено Юридический адрес
act_address строка не установлено Фактический адрес
district строка не установлено Район
building строка не установлено Строение
entrance строка не установлено Подъезд
floor строка не установлено Этаж
flat_number строка не установлено Квартира
passport строка не установлено Паспортные данные
house_id число не установлено ID дома в списке домов в UTM
work_tel строка не установлено Рабочий телефон
home_tel строка не установлено Домашний телефон
mod_tel строка не установлено Мобильный телефон
icq_number строка не установлено Номер ICQ
tax_number строка не установлено ИНН
kpp_number строка не установлено КПП
email строка не установлено Е-mail
bank_id число не установлено Идентификатор банка
bank_account строка не установлено Номер расчётного счёта
comments строка не установлено Комментарий
197
NetUP UTM5. Руководство администратора
19
account
Элемент account может содержать:
Тип блокировки
• 0 – не заблокировано;
• 256 – присутствует системная блокировка;
• 768 – присутствует системная блокировка, пересчитывать абонентскую плату;
• 1280 – присутствует системная блокировка, пересчитывать трафик;
• 1792 – присутствует системная блокировка, пересчитывать абон. плату и трафик;
personal_manager строка не установлено Персональный менеджер
connect_date число не установлено Дата подключения в формате Unix timestamp
is_send_invoice 0, 1 0 Параметр Высылать счет по email (1 – да, 0 – нет)
advance_payment 0, 1 0 Параметр Работать по предопла-те (1 – да, 0 – нет)
switch_id число не установлено ID коммутатора
port_number число не установлено Номер порта коммутатора
binded_currency_id число не установлено ID закреплённой валюты пользователя
parameters коллекция элементов parameter (см. parameter на стр. 199)
groups коллекция элементов group (см. group на стр. 199)
Элемент Тип Значение по умолчанию
Описание
id число не установле-но
Идентификатор (зарезервирован для использования в будущем). При записи в базу элементу при-сваивается другой идентификатор
is_blocked число 0 см. Тип блокировки
balance вещественное число 0 Баланс счёта
credit вещественное число 0 Кредит
vat_rate вещественное число 0 Ставка НДС
sale_tax_rate вещественное число 0 Ставка НСП
int_status 0, 1 1 Статус интернета(0 – заблокирован, 1 – включён).
Элемент Тип Значение по умолчанию
Описание
8
Импорт структурированных данных
parameter
Элемент parameter должен содержать:
group
Элемент group должен содержать:
Элемент zone
Содержит информацию о телефонной зоне. Может включать следующие элементы:
Элемент Тип Значение по умолчанию Описание
parameter_id число Обязательный параметр Идентификатор дополнитель-ного параметра
parameter_value строка Обязательный параметр Значение параметра
Элемент Тип Значение по умолчанию
Описание
group_id число Обязательный па-раметр
Идентификатор группы, в которую входит пользователь
Элемент Тип Значение по умолчанию
Описание
id число не установлено
Идентификатор (зарезервирован для использования в будущем). При записи в базу элементу присваивается другой идентификатор
name строка Обязательный эле-мент Наименование
zone_type число 0
Тип звонков: 0 – местный,1 – внутризоновый,2 – междугородный,3 – международный
directionsколлекция элементов direction(a)
a. Не имеют отношения к элементу второго уровня directions и его дочернему элементу direction, описанному ниже.
Присутствует обя-зательно, но может быть пустой
Каждый элемент direction содер-жит id (число) – идентификатор вклю-чённого направления
Рис. 92. Схема XML-файла (элемент zones).
199
NetUP UTM5. Руководство администратора
20
Элемент direction
Содержит информацию о телефонном направлении. Может включать:
Элемент Тип Значение по умолчанию
Описание
id число не установлено
Идентификатор. Используется только для перекрестных ссылок из элементов zone, находящихся в этом же файле. При записи в базу элементу присваивается другой иден-тификатор
name строка Обязательный элемент Наименование
prefix строка не установлено
То же, что и called_prefix (оставлено для совместимости со старой версией; при одновременном указании обоих приоритет-ным является called_prefix)
called_prefix строка не установлено Префикс или регулярное выражение для проверки входящего номера
calling_prefix строка не установлено Префикс или регулярное выражение для проверки исходящего номера
zone_id число не установлено Идентификатор зоны, в которую входит на-правление
incoming_trunk строка не установлено Наименование входящего транка
outgoing_trunk строка не установлено Наименование исходящего транка
pbx_id строка не установлено Идентификатор АТС
calling_prefix_regexp÷èñëî
1Интерпретация calling_prefix:0 – префикс,1 – регулярное выражение
Рис. 93. Схема XML-файла (элемент directions).
0
Импорт структурированных данных
Обязательным является указание хотя бы одного элемента из следующих пяти: called_prefix, calling_prefix, incoming_trunk, outgoing_trunk или pbx_id.
Пример XML-файла
При импорте файла, приведённого ниже, создаются следующие сущности:
• Телефонное направление “Москва”, включающее звонки, входящие номера которых определяются регулярным выражением ^749(5|9)[0-9]{7}$.
• Телефонная зона “Россия” типа 2 (для междугородных звонков), включающая направ-ление “Москва”.
• Пользователь Иванов (физическое лицо), входящий в группу 2, с определёнными логи-ном и паролем, с одним счётом и остатком 650 р. на счёте.
<?xml version=»1.0″ encoding=»utf-8″?><import>
<users><user>
<accounts><account>
<id>1</id><balance>650</balance><vat_rate>0.18</vat_rate><int_status>1</int_status>
</account></accounts><id>11</id><login>ivanov</login><password>aipsw123</password><full_name>Èâàíîâ</full_name><is_juridical>0</is_juridical>
called_prefix_regexp÷èñëî
1Интерпретация called_prefix:0 – префикс,1 – регулярное выражение
skip число 0 1 – отменить учёт данного направления (не относить к нему никакие звонки)
dir_type число
То же, что в со-держащей зо-не; если зона не задана – 0
Тип звонков: 0 – местный,1 – внутризоновый,2 – междугородный,3 – международный
Элемент Тип Значение по умолчанию
Описание
201
NetUP UTM5. Руководство администратора
20
<groups><group>
<group_id>2</group_id></group>
</groups></user>
</users><zones>
<zone><id>1</id><name>Ðîññèÿ</name><zone_type>2</zone_type><directions>
<direction><id>1</id>
</direction></directions>
</zone></zones><directions>
<direction><id>1</id><name>Ìîñêâà</name><called_prefix>^749(5|9)[0-9]{7}$</called_prefix><called_prefix_regexp>1</called_prefix_regexp>
</direction></directions>
</import>
2
МОДУЛЬ ДИЛЕРА
Введение
Модуль дилера предоставляет возможность создания дилеров и управления ими. В состав модуля входят:
• библиотека ядра биллинговой системы liburfa-dealer.so, реализующая функ-циональность дилера;
• часть интерфейса администратора, ответственная за управление дилерами;
• интерфейс дилера.
Дилер – это объект, дающий возможность подключаться к биллинговой системе извне и выполнять отдельные функции администратора по отношению к части пользователей. Интерфейс дилера представляет собой приложение на платформе UTM Control Center, ана-логичное интерфейсу администратора, но с более ограниченной функциональностью.
Для возможности создания и работы дилера необходимо наличие отдельной лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администратора UTM5 (см. О программе: Лицензии, пункт Интерфейс дилера).
Ниже описано создание дилеров и их возможности.
Создание дилера
Создание дилера осуществляется в интерфейсе администратора в разделе Пользовате-
ли и группы: Дилеры.
Подобно системным пользователям, дилер обладает правами, список которых ассоци-ирован с одной из системных групп, а именно с группой Дилеры. Свойства данной группы (в частности, список разрешённых операций) могут быть просмотрены в разделе Пользо-
ватели и группы: Системные группы.
Системная группа Дилеры является встроенной, и её свойства в интерфейсе администратора доступны только для просмотра.
На странице свойств дилера имеется группа параметров Права доступа, в которой ре-гулируется доступ данного дилера к следующим сущностям:
• Пользователи (см. Пользователи на стр. 24);
• Расчетные периоды (см. Расчётные периоды на стр. 27);
• Услуги (см. Услуги на стр. 29);
• Тарифы (см. Тарифные планы на стр. 28);
• Дома (справочник подключенных домов).
203
NetUP UTM5. Руководство администратора
20
Для каждого из пунктов приводится список сущностей с возможностью разрешить дан-ному дилеру доступ к каждой из них по отдельности. По умолчанию дилер не имеет досту-па к этим сущностям, за исключением тех пользователей, которые созданы им самим.
Каждый пользователь может быть привязан только к одному дилеру.
Доступ дилера к отдельному пользователю также может быть настроен на странице свойств пользователя посредством кнопки Привязать к дилеру.
Создание дилера и настройка его прав доступа описаны в примерах Создание дилера
на стр. 124, Назначение привилегий дилеру на стр. 124 и Привязка пользователей к ди-
леру на стр. 125.
После создания и настройки дилер может действовать как администратор с ограничен-ными привилегиями по отношению к доступным ему пользователям и другим объектам, а именно выполнять следующие операции (см. соответствующие примеры в главе C чего на-
чать на стр. 113):
• Создание и удаление пользователя;
• Изменение свойств пользователя (за исключением удалённого коммутатора, закреплён-ной валюты, технических параметров, групповой принадлежности и привязки к диле-ру);
• Создание, изменение, удаление лицевого счёта;
• Создание, изменение, удаление сервисной связки;
• Создание, изменение, удаление тарифной связки;
• Привязка пользователя к дому;
• Внесение платежа;
• Формирование отчётов;
• Смена собственного пароля.
Интерфейс дилера
Установка и запуск
1. Загрузите интерфейс дилера, находящийся в личном кабинете клиента на сайте http://www.netup.ru в разделе Файлы под названием utm_dealer.zip.
2. Распакуйте полученный файл на рабочей станции дилера, т.е. на компьютере, с кото-рого будет производиться работа дилера.
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 6.0 (Java 1.6.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
4
Модуль дилера
3. Запустите центр управления дилера (файл utm_dealer.jar) либо двойным нажатием мыши на этом файле, либо из командной строки:
После запуска появится окно подключения, анало-гичное такому же окну интерфейса администратора.
4. Укажите IP-адрес сервера и, через двоеточие, порт для подключения. Если используется стандартный порт (11758), его можно не указывать.
5. Укажите логин и пароль дилера, с которыми он был создан в интерфейсе администратора.
6. В группе параметров Настройки выберите язык интерфейса.
Выбранный язык не применяется немедленно к самому окну подключения. Сме-на языка происходит при следующем запуске программы.
7. Если отмечен флажок Сохранять настройки, то выбранные параметры (кроме пароля) сохраняются в конфигурационном файле и автоматически подставляются в форму при следующем запуске программы. Если отмечен флажок Сохранять пароль, то сохраня-ется также и пароль.
После первого входа в систему рекомендуется изменить пароль (см. в разделе интерфейса Дополнительно).
Интерфейс дилера включает следующие разделы, доступные через ссылки в левой па-нели: Пользователи, Отчёты, Дополнительно и О программе. Поведение элементов ин-терфейса совместимо с описанным в разделе Интерфейс администратора: Общие
принципы на стр. 39.
В отличие от администратора, дилер не имеет возможности просматривать и изменять списки дилеров, системных пользователей, групп и системных групп.
Пользователи
На странице Пользователи приведён сводный список пользователей, доступных для данного дилера, содержащий следующую информацию о клиентах:
• Логин – логин пользователя в системе.
• ID – идентификатор пользователя.
• Наименование – полное имя или название организации.
• Основной лицевой счёт – номер основного лицевого счёта пользователя.
• Тип блокировки – статус блокировки основного лицевого счёта пользователя.
java -jar utm_dealer.jar
Рис. 94. Окно подключенияинтерфейса дилера.
205
NetUP UTM5. Руководство администратора
20
• Баланс – суммарный баланс всех лицевых счетов пользователя.
• IP (VPN) и IP (не VPN) – список IP-адресов пользователя.
Имеется возможность добавления, редактирования, удаления и поиска пользователей, а также вноса платежа.
Кнопки и открывают окно свойств пользователя, анало-
гично той же функциональности в интерфейсе администратора (см. Интерфейс админист-
ратора: Пользователи на стр. 40). В окне имеется ряд страниц, доступных с помощью ссылок на левой панели, которые сгруппированы в следующие сворачиваемые разделы:
Пользователь
• Основные параметры – логин, наименование, пароль и следующие элементы:
° параметр Работать по предоплате;
° кнопка Показать памятку пользователя – показывает памятку для пользователя (контактная информация, логин, пароль);
• Дополнительные параметры – паспортные данные и банковские параметры.
• Контакты – персональные данные (адрес, телефон, e-mail) контактного лица.
• Дополнительные контакты – список данных дополнительных контактных лиц.
• Информация – служебная информация (дата и время создания пользователя и послед-него изменения его данных), доступная только для просмотра.
В отличие от администратора, дилер не имеет возможности просматривать и изменять групповую принадлежность пользователя, договора, закреплённую валюту и технические параметры.
Тарификация
• Лицевые счета – список лицевых счетов пользователя.
• Сервисные связки – список сервисных связок, привязанных к лицевым счетам дан-ного пользователя.
• Тарифные связки – список тарифных связок, привязанных к лицевым счетам данного пользователя.
Дилер имеет возможность добавлять сервисные и тарифные связки, применяя только те услуги, тарифы и расчётные периоды, доступ к которым был разрешён ему администрато-ром. В отличие от этого, для редактирования доступны все сервисные и тарифные связки, включая те, которые используют другие услуги, тарифы и расчётные периоды.
Отчеты
В данном разделе содержится интерфейс формирования отчётов для выбранного поль-зователя. Представлены все виды отчётов, перечисленные в разделе Отчёты на стр. 207.
Кнопка на странице со списком пользователей удаляет пользователя, если
предварительно удалены все ассоциированные с ним сервисные и тарифные связки. В противном случае выдаётся сообщение об ошибке.
6
Модуль дилера
Кнопка открывает окно поиска (см. Поиск пользователей на стр. 91).
Кнопка открывает окно внесения платежа (см. Внести платеж на
стр. 91).
Отчёты
Интерфейс дилера поддерживает часть отчётов, доступных администратору, а именно:
• Основной отчёт (см. Основной отчет на стр. 68);
• Отчёт по трафику (см. Отчет по трафику на стр. 69);
• Отчёт по услугам (см. Отчет по услугам на стр. 69);
• Отчёт по телефонии (см. Отчет по телефонии на стр. 70);
• Отчёт по dialup и VPN (см. Отчет по dialup и VPN на стр. 71);
• Отчёт по блокировкам (см. Отчет по блокировкам на стр. 72);
• Отчёт по платежам (см. Отчет по платежам на стр. 72);
Отчёт по всем пользователям ограничен теми пользователями, к которым у дилера име-ется доступ.
В отличие от администратора, дилер не имеет возможности формировать отчёты по группам пользователей.
Дополнительно
Данная страница содержит интерфейс для смены пароля дилера. Смена пароля произ-водится по нажатию кнопки Изменить, которая активна только в том случае, если текст в полях ввода Новый пароль и Подтверждение совпадает.
О программе
На данной странице приведена информация о дилере и номер версии программы.
207
NetUP UTM5. Руководство администратора
20
8
МОДУЛЬ КАССИРА
Введение
Кассир – это системный пользователь, имеющий возможность проводить ограничен-ный набор операций: вносить платежи и просматривать отчёты. Интерфейс кассира пред-ставляет собой приложение на платформе UTM Control Center, аналогичное интерфейсам администратора и дилера, но с более ограниченной функциональностью.
Для возможности работы кассира необходимо наличие отдельной лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администратора UTM5 (см. О про-
грамме: Лицензии, пункт Интерфейс кассира). Лицензия может ограничивать количество кассиров, одновременно подключаемых к ядру UTM5.
Ради совместимости с более ранней версией ядра UTM5 поддерживается альтернатив-ный интерфейс кассира (см. Альтернативный интерфейс на стр. 212), лицензируемый от-дельно.
Ниже описано создание кассиров и их возможности.
Создание кассира
Как любые системные пользователи, кассиры создаются в интерфейсе администратора в разделе Пользователи и группы: Системные пользователи. Желательно завести для них системную группу Кассиры (см. Системные группы на стр. 46) с ограниченными полномочиями. Необходимые функции сгруппированы в отдельную ветку в древовидном представлении, и включают:
Можно также указать маску подсети, из которой разрешено подключение данного кас-сира.
FID Название функции Описание
0x1205 rpcf_search_users_new Поиск пользователя
0x2033 rpcf_get_user_account_list Получение списка идентификаторов пользователей
0x2910 rpcf_get_currency_list Список доступных валют
0x3008 rpcf_payments_report_owner Генерация отчета по платежам теку-щего кассира
0x3100 rpcf_get_payment_methods_list Получение списка методов платежа
0x3110 rpcf_add_payment_for_account Внесение платежа
0x440A __rpcf_whoami Получение информации о текущем кассире (системном пользователе)
209
NetUP UTM5. Руководство администратора
21
Помимо разрешений, определяемых системной группой, кассиры зависят от интер-фейсных настроек, выбранных администратором (см. Интерфейс кассира на стр. 86).
После создания и настройки кассир может выполнять следующие операции:
• Внесение платежа;
• Формирование отчётов по платежам.
Интерфейс кассира
Установка и запуск
1. Загрузите интерфейс кассира, находящийся в личном кабинете клиента на сайте http://www.netup.ru в разделе Файлы под названием utm_cashier.zip.
2. Распакуйте полученный файл на рабочей станции кассира, т.е. на компьютере, с кото-рого будет производиться работа кассира.
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 6.0 (Java 1.6.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
3. Запустите центр управления кассира (файл utm_cashier.jar) либо двойным нажа-тием мыши на этом файле, либо из командной строки:
После запуска появится окно подключения, аналогичное такому же окну интерфейса администратора.
4. Укажите IP-адрес сервера и, через двоеточие, порт для подключения. Если использует-ся стандартный порт (11758), его можно не указывать.
5. Укажите логин и пароль кассира, с которыми он был создан в интерфейсе администра-тора.
6. В группе параметров Настройки выберите язык интерфейса.
Выбранный язык не применяется немедленно к самому окну подключения. Сме-на языка происходит при следующем запуске программы.
7. Если отмечен флажок Сохранять настройки, то выбранные параметры (кроме пароля) сохраняются в конфигурационном файле и автоматически подставляются в форму при следующем запуске программы. Если отмечен флажок Сохранять пароль, то сохраня-ется также и пароль.
Интерфейс кассира включает следующие страницы, доступные через ссылки в левой панели: Внести платеж и Отчет.
Поведение элементов интерфейса совместимо с описанным в разделе Интерфейс ад-
министратора: Общие принципы на стр. 39.
java -jar utm_cashier.jar
0
Модуль кассира
Внести платеж
На странице Внести платеж расположен интерфейс поиска пользователя и вноса пла-тежа.
Для вноса платежа необходимо предварительно выбрать пользователя в результатах по-иска. Полный список пользователей кассиру недоступен.
Поиск может производиться по номеру счёта, номеру пользователя, фрагменту логина или фрагменту полного имени (отдельные возможности из этого перечня могут быть запре-щены администратором). Количество пользователей, выводимых в результатах поиска, также может быть ограничено настройками в интерфейсе администратора.
Метод платежа (Оплата наличными) фиксирован. Выбираются только: счёт, если у пользователя их несколько, валюта (из определённого администратором списка) и сумма платежа.
Отчет
В данном разделе содержится интерфейс формирования отчётов по платежам, анало-гичный таковому в интерфейсе администратора (см. Отчет по платежам на стр. 72), со сле-дующими отличиями:
• В отчёт включены только платежи, произведённые данным кассиром;
• Отсутствует возможность выбора по группе пользователей;
• Отсутствуют нерелевантные колонки, в том числе “Метод осуществления платежа” и “Лицо, внёсшее платеж”;
• В контекстном меню отсутствуют пункты “Квитанция” и “Откат”.
Рис. 95. Страница платежа в интерфейсе кассира.
211
NetUP UTM5. Руководство администратора
21
Альтернативный интерфейс
Альтернативный интерфейс кассира существует в двух версиях: базовый и расширен-ный. Минимальный перечень функций, которые необходимо разрешить для работы дан-ного интерфейса, приведён ниже:
Установка и запуск
1. Загрузите интерфейс кассира, находящийся в личном кабинете клиента на сайте http://www.netup.ru в разделе Интерфейс кассира под названием cashier.zip (базо-вая версия) или cashier_ext.zip (расширенная версия).
2. Распакуйте полученный файл на рабочей станции кассира, т.е. на компьютере, с кото-рого будет производиться работа кассира.
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 5.0 (Java 1.5.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
3. Загрузите в том же разделе личного кабинета файл ccse.keystore и поместите его в директорию, куда распакован интерфейс кассира.
4. Загрузите в том же разделе личного кабинета файлы приватного ключа privkey.pemи сертификата cert.crt, и поместите их на сервер, где работает ядро UTM5.
FID Название функции Описание
0x1202 rpcf_search_users_liteПоиск пользователя по части логина и отображение пяти результатов пои-ска
0x2001 rpcf_get_users_listВыводит атрибуты для требуемого количества записей таблицы пользо-вателей(a)
a. Необходимы только для работы расширенной версии интерфейса кассира.
0x2011 rpcf_get_users_count Выводит количество карточных или обыкновенных пользователей (a)
0x2030 rpcf_get_accountinfo Получение информации о личном счете пользователя
0x2033 rpcf_get_user_account_list Получение списка идентификаторов пользователей
0x2910 rpcf_get_currency_list Список доступных валют
0x3008 rpcf_payments_report_owner Генерация отчета по платежам теку-щего кассира
0x3100 rpcf_get_payment_methods_list Получение списка методов платежа
0x3110 rpcf_add_payment_for_account Внесение платежа
0x440A __rpcf_whoami Получение информации о текущем кассире (системном пользователе)
2
Модуль кассира
5. В конфигурационном файле ядра utm5.cfg добавьте следующие строки:
6. Перезапустите ядро UTM5.
7. Запустите центр управления кассира (файл control.center.se.jar) либо двой-ным нажатием мыши на этом файле, либо из командной строки:
После запуска появится окно подключения.
Язык интерфейса кассира зависит от текущей локали ОС, в которой произво-дится запуск файла .jar .
8. Укажите IP-адрес сервера и, через двоеточие, порт для подключения. Если использует-ся стандартный порт (11758), его можно не указывать.
9. Укажите логин и пароль кассира, с которыми он был создан в интерфейсе администра-тора.
Интерфейс кассира включает следующие страницы, доступные через ссылки в левой панели: Пользователи и Платежи.
Поведение элементов интерфейса совместимо с описанным в разделе Интерфейс ад-
министратора: Общие принципы на стр. 39, со следующими отличиями:
• В контекстных меню списков отсутствует пункт Экспорт;
• Строка статуса в нижней части окна отображает не только дату и время, но и статус со-единения.
Пользователи
На данной странице отображается интерфейс поиска пользователей.
В базовой версии интерфейса поиск возможен только по логину, в списке выводятся только первые пять результатов, а при пустом поисковом шаблоне – список также пуст . В расширенной версии интерфейса кассира возможен поиск по всем видимым полям, резуль-таты поиска отображаются полностью, а если шаблон пуст – отображаются все пользо-ватели.
ssl_cert_file=<путь к файлу cert.crt>ssl_privkey_file=<путь к файлу privkey.pem>ssl_privkey_passphrase=<пароль, указанный в личном кабинете>
java -jar control.center.se.jar
213
NetUP UTM5. Руководство администратора
21
Внесение платежа производится на отдельной странице Платёж, открываемой двой-ным нажатием на строке в результатах поиска или пунктом контекстного меню Совершить
платёж.
На странице Платёж можно ввести следующие параметры платежа:
• Логин – логин пользователя (только для просмотра).
• Лицевой счёт – выпадающий список для выбора лицевого счета, если у пользователя их несколько.
• Сумма платежа.
• Валюта платежа.
• Метод платежа.
• Комментарий (Для администратора, Для пользователя) – необязательные коммен-тарии.
Платежи
На данной странице содержится интерфейс формирования отчётов по платежам, анало-гичный таковому в интерфейсе администратора (см. Отчет по платежам на стр. 72), со сле-дующими отличиями:
• В отчёт включены только платежи, произведённые данным кассиром;
• Отсутствует возможность выбора по группе пользователей;
• Отсутствует возможность фильтрации данных в отчёте;
• Отсутствуют нерелевантные колонки, в том числе “Метод осуществления платежа” и “Лицо, внёсшее платеж”;
• В контекстном меню отсутствуют пункты “Квитанция” и “Откат”.
Рис. 96. Страница платежа в альтернативном интерфейсе кассира.
4
УТИЛИТА UTM5_TRAY
Утилита utm5_tray предназначена для запуска на компьютерах конечных пользо-вателей, и может использоваться для проверки состояния счёта, пополнения счёта, вклю-чения/выключения интернета, отслеживания статуса подключения, а также других операций. В качестве альтернативы существует web-интерфейс (см. Web-интерфейс на стр. 221), частично реализующий ту же функциональность.
Установка и запуск
1. Загрузите интерфейс пользователя, находящийся в личном кабинете клиента на сайте http://www.netup.ru в разделе Файлы под названием utm5_tray.zip.
2. Распакуйте полученный файл на компьютере пользователя.
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 6.0 (Java 1.6.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
3. Запустите файл utm5_tray.jarлибо двойным нажатием мыши на этом файле, либо из командной строки:
Появится окно подключения.
4. Укажите IP-адрес сервера и, через двоеточие, порт для подключения. Если используется стандартный порт (11758), его можно не указы-вать.
5. Укажите логин и пароль, введён-ные администратором при созда-нии пользователя.
6. Укажите в поле Время обновления период обновления статусной информации (в се-кундах), или оставьте значение по умолчанию.
7. Укажите в поле Предупреждение при балансе значение баланса (в единицах закреп-лённой валюты пользователя), при котором должно выдаваться предупреждение, или оставьте значение по умолчанию.
8. Выберите язык интерфейса.
java -jar utm5_tray.jar
Рис. 97. Окно подключения utm5_tray.
215
NetUP UTM5. Руководство администратора
21
Выбранный язык не применяется немедленно к самому окну подключения. Сме-на языка происходит при следующем запуске программы.
9. При желании проставьте флаги Включать Интернет при подключении и/или Отклю-
чать Интернет при закрытии, чтобы привязать статус подключения к запуску утили-ты utm5_tray.
10. При желании проставьте флаг Отключать Интернет при потере связи, чтобы пере-дать ядру биллинговой системы инструкцию отключать Интернет данному пользова-телю, если связь с ним потеряна.
11. При желании проставьте флаг Сворачивать в трей при запуске, чтобы минимизиро-вать окно utm5_tray сразу при включении.
12. При желании проставьте флаг Подключаться при запуске, чтобы запускать утилиту utm5_tray при включении компьютера.
13. Нажмите Подключиться. Откроется основное окно программы.
Запущенная программа отображается иконкой в системном трее (см. Иконка в трее на стр. 219). При закрытии основного окна программа остаётся в памяти, причём окно может быть активировано двойным нажатием на данную иконку.
Разделы интерфейса
Окно интерфейса программы utm5_tray разделено на несколько закладок, переклю-чение между которыми производится в верхней части окна. Доступ пользователей к от-дельным закладкам регулируется в интерфейсе администратора (см. Интерфейс
администратора: Tray приложение на стр. 85).
Основное
На закладке Основное
приведена следующая ин-формация:
• ID пользователя;
• Логин;
• ФИО;
• Номер основного счёта;
• Баланс основного счёта;
• Кредит основного счёта;
• Ставка НДС;
• Тип блокировки;
• Дата создания; Рис. 98. Закладка “Основное”.
6
Утилита utm5_tray
• Статус Интернет (с возможностью изменения, если это допускается балансом).
Также на странице имеются кнопки:
• Подробнее – открывает окно с подробной информацией пользователя (паспортные данные, адрес, контактная информация).
• Изменение данных – открывает окно редактирования данных пользователя. Имя, адрес, паспортные данные и банк можно ввести, если они не введены, но нельзя редак-тировать в дальнейшем. Контактные данные (телефоны, веб-адрес, номер ICQ) подле-жат неограниченному редактированию.
• Смена пароля – открывает окно, содержащее интерфейс смены пароля пользователя.
Отчёты
На закладке Отчеты содержится интерфейс формирования отчётов для данного пользо-вателя, аналогичный таковому в интерфейсе администратора (см. Отчеты на стр. 67).
Представлены следующие виды отчётов:
• Траффик;
• Траффик с группировкой по дате;
• Траффик с группировкой по IP;
• Услуги;
• Платежи;
• Сгорающие платежи;
• Счета;
• Телефония;
• VPN;
• Блокировки;
• Движение средств.
Доступ пользователей к отдельным видам отчётов регулируется в интерфейсе адми-нистратора (см. Интерфейс администратора: Tray приложение на стр. 85).
Рис. 99. Закладка “Отчеты”.
217
NetUP UTM5. Руководство администратора
21
Платежи
На закладке Платежи находятся следующие интерфей-сные элементы:
В разделе Активация карточки пользователь может пополнить свой счёт, введя номер и PIN-код карты оплаты.
В разделе Квитанция об оплате находится интерфейс формирования платежных квитанций для распечатки.
Услуги
На данной закладке находится список услуг, предоставляемых пользователю. Для ка-ждой услуги приводится: название, тип, тарифный план (для услуг из тарифных планов), расчётный период и периодическая составляющая стоимости.
Сообщения
Данная закладка содержит интерфейс для обмена системными сообщениями с адми-нистратором. Аналогичный интерфейс на стороне администратора описан в разделе Ин-
терфейс администратора: Сообщения на стр. 50.
Лицевые счета
На данной закладке приводится баланс всех лицевых счетов пользователя. Имеется возможность изменения статуса Интернет и добровольной блокировки (если это разреше-но настройками администратора и допускается балансом пользователя).
Тарифы
На данной закладке приводится список тарифных планов пользователя. Имеется воз-можность просмотра истории тарифных планов, а также смены следующего тарифного плана (если это разрешено настройками администратора и допускается балансом пользо-вателя).
Подключение
Данная закладка дублирует окно подключения. Любые изменения настроек будут при-менены при следующем подключении.
Рис. 100. Закладка “Платежи”.
8
Утилита utm5_tray
Иконка в трее
При работающей программе utm5_tray в системном трее отображается иконка. В зависимости от соединения с ядром и статуса Интернет, иконка может иметь разный вид:
• – происходит соединение с ядром (при запуске программы).
• – соединение установлено, Интернет включен.
• – соединение установлено, Интернет включен, но не для всех лицевых счетов поль-зователя (некоторые заблокированы).
• – соединение установлено, Интернет выключен.
При поднесении курсора мыши иконка демонстрирует всплывающую надпись, содер-жащую баланс основного счёта пользователя. Также всплывающая надпись появляется самопроизвольно, когда баланс понижается до нуля.
Иконка имеет собственное контекстное меню со следующими пунктами:
• Открыть – активирует основное окно программы.
• Включить / Отключить Интернет – позволяет включить или отключить Интернет.
• О программе – выводит номер версии программы и контактную информацию.
• Выход – закрывает программу.
219
NetUP UTM5. Руководство администратора
22
0
WEB-ИНТЕРФЕЙС
UTM5 обладает web-интерфейсом, в котором конечные пользователи могут проверить состояние своего счёта, пополнить счёт, а также совершить некоторые другие операции. Альтернативным средством для выполнения всех этих операций является утилита utm5_tray (см. Утилита utm5_tray на стр. 215).
Установка
Web-интерфейс UTM5 устанавливается следующим образом:
Для работы web-интерфейса необходим интерпретатор PHP версии 5.3 или выше.
1. Загрузите серверную часть web-интерфейса, находящуюся в личном кабинете клиента на сайте http://www.netup.ru в разделе Файлы под названием utm5_web_new.tgz.
2. Распакуйте полученный файл на web-сервере.
3. В конфигурационном файле web-интерфейса (см. Конфигурационные файлы: Об-
щий на стр. 225) введите адрес, порт, логин и пароль для доступа к ядру UTM5, а так-же путь к web-интерфейсу относительно корня сайта.
4. В конфигурационном файле PHP (обычно php.ini) введите следующие параметры:
° параметр short_open_tag должен быть установлен в значение 1 (эквиваленты: On, True или Yes);
° должна быть корректно установлена временная зона, например:date.timezone =’Europe/Moscow’
В зависимости от типа ОС и версии интерпретатора PHP, может понадобиться установ-ка и настройка расширений OpenSSL и PCRE для PHP.
Вход в систему
На странице авторизации (при установке по умолчанию – http://ваш.сервер/utm5, где вместо ваш.сервер необходимо подставить имя сервера UTM5) введите логин и пароль пользователя.
221
NetUP UTM5. Руководство администратора
22
Для входа по предоплачен-ной карте введите в поля Логини Пароль номер и PIN-код кар-ты, соответственно. Если дан-ные введены верно, в системе будет создан карточный поль-зователь с логином card_NUM, где NUM – номер карты. В каче-стве пароля устанавливается PIN-код карты.
Для входа в интерфейс hotspot перейдите по ссылке Вход (hotspot) (если это не проис-ходит автоматически) и введите номер и PIN-код карты в поля Логин и Пароль. Отобра-зится страница с параметрами текущей сессии (начало, оставшееся время, IP-адрес и др.), а также в отдельном окне откроется первоначально запрошенная страница, с которой прои-зошла переадресация.
Разделы интерфейса
Общие
Пользователь
На первой вкладке приведена общая информация о пользова-теле: ID, логин, полное имя, дата создания, суммарный баланс ли-цевых счётов и статус.
На вкладке Дополнительно
приведена полная информация о пользователе, включая юридичес-кий и фактический адрес, кон-тактные данные и банковские реквизиты.
На вкладке Редактировать
предоставляется возможность ре-дактирования данных пользовате-ля. Имя, адрес, паспортные данные и банк можно ввести, если они не введены, но нельзя редактировать в дальнейшем. Контактные данные (телефоны, веб-адрес, номер ICQ) подлежат неограниченному редактированию.
Рис. 101. Страница входа в систему.
Рис. 102. Страница информации о пользователе.
2
Web-интерфейс
Лицевые счета
На этой странице перечислены все счета пользователя. Для каждого счёта приведены баланс, кредит, заблокированные средства, ставки налогов, статус блокировки и состояние интернета. Под заблокированными средствами понимается избыточно списанная сумма, которая должна быть возвращена пользователю в конце периода. Кроме того, для каждого из счетов пользователь может произвести следующие действия:
• Вернуть – вернуть заблокированные средства на счёт, не дожидаясь конца расчётного периода.
• Включить интернет – если он выключен и счёт не заблокирован.
• Выключить интернет – если он включен.
• Обещанный платёж – произвести обещанный платёж, т. е. кредитный платёж на свой счёт с ограниченной суммой и фиксированным сроком. За обещанный платёж может взиматься комиссия. Параметры кредита (максимальная сумма, срок действия кредита, минимальный интервал между обещанными платежами, минимальный баланс для пла-тежа, комиссия, минимальный баланс для платежа без комиссии) вводятся админист-ратором (см. Интерфейсы: Обещанные платежи на стр. 88).
• Добровольная блокировка – блокировка ограниченной длительности, которую поль-зователь может применить, например, чтобы не платить абонентскую плату в период, когда он не нуждается в услугах. За установку блокировки может взиматься комиссия. Параметры блокировки (минимальная и максимальная длительность, минимальный интервал между блокировками, возможность самостоятельного снятия блокировки, минимальный баланс для блокировки, комиссия) вводятся администратором (см. Интерфейсы: Добровольная блокировка на стр. 87). Обратите внимание, что после выхода из добровольной блокировки пользователь должен вручную изменить статус интернет для счёта на Включен (делается на этой же странице, см. Включить интернет выше).
• Движение средств – перевод средств с одного счёта пользователя на другой.
Пароль
На этой странице приведен интерфейс для изменения пользовательских паролей ко всем услугам, требующим пароля, а также к самому web-интерфейсу (личному кабинету).
Сообщения
Страница содержит интерфейс для обмена системными сообщениями с администрато-ром. Сообщения подразделяются на новые, входящие и отправленные, и могут также пока-зываться с фильтрацией по критерию времени. Аналогичный интерфейс на стороне администратора описан в разделе Интерфейс администратора: Сообщения на стр. 50.
Отчеты
Страница содержит на отдельных вкладках отчёты для данного пользователя. Включе-ны следующие виды:
• Отчёт по трафику;
223
NetUP UTM5. Руководство администратора
22
• Отчёт по услугам;
• Отчёт по платежам;
• Счета;
• Отчёт по телефонии;
• Отчёт по сессиям;
• Отчёт по блокировкам;
• Движение средств;
• Прочие списания.
Классы трафика, удалённые с помощью интерфейса администратора, продол-жают отображаться в отчётах на web-интерфейсе как существующие.
Функциональность полностью аналогична отчётам тех же типов в интерфейсе адми-нистратора (см. Интерфейс администратора: Отчеты на стр. 67), за исключением кон-текстного меню.
Тарифы и услуги
На вкладке Тарифы приводится список лицевых счетов пользователя. Для каждого счёта приведены связанные с ним тарифные планы. У каждого тарифного плана указаны даты начала и окончания расчетного периода, а также следующий тарифный план. Кроме того, имеется возможность смены следующего тарифного плана на совместимый с ним (см. Совместимость тарифных планов на стр. 28). За смену плана может взиматься ко-миссия, определяемая администратором (см. Интерфейсы: Смена тарифа на стр. 86).
На вкладке Услуги приводится список услуг, привязанных ко всем лицевым счетам пользователя. Для каждой услуги приводятся: даты начала и окончания расчетного перио-да, цена и сумма списаний за текущий период.
На вкладке История смены тарифа приводится список тарифных планов, бывших привязанными в прошлом к каждому из лицевых счетов.
Платежи
На вкладке Активация карты пользователь может пополнить любой из своих лицевых счетов, введя номер и PIN-код карты оплаты.
На вкладке Платежный документ находится интерфейс формирования платежных кви-танций для распечатки.
На прочих вкладках (если они активированы) располагается интерфейс вноса платежей с помощью различных платёжных систем. Данная функциональность контролируется отдельным конфигурационным файлом, см. Конфигурационные файлы: Платежные
системы на стр. 226.
4
Web-интерфейс
Выход
Нажатие на эту ссылку приводит к выходу из web-интерфейса пользователя и возврату на страницу авторизации.
Конфигурационные файлы
Общий
По умолчанию web-интерфейс UTM5 использует конфигурационный файл, располо-женный по адресу /lib/config.php относительно корня web-интерфейса. Файл содер-жит следующие параметры:
Параметр Возможные значения
Значение по умолчанию
Описание
$CONF_DEFAULT_MODULE1 строка 00_user Страница по умолчанию по-сле захода пользователя
$CONF_DEFAULT_MODULE2 строка card Страница по умолчанию по-сле захода по карте
$CONF_DEFAULT_MODULE3 строка hotspot Страница по умолчанию по-сле логина hotspot
$CONF_DEFAULT_LOGIN строка 00_login Страница по умолчанию до логина
$CONF_PATH строка /utm5/ Положение web-интерфейса относительно корня сайта
$CONF_WEB_USER строка web Логин системного пользова-теля в биллинговой системе
$CONF_WEB_PASS строка web Пароль системного пользова-теля в биллинговой системе
$CONF_CORE_HOST IP-адрес 127.0.0.1Адрес хоста, на котором запу-щено ядро биллинговой си-стемы
$CONF_CORE_PORT Число 11758 Номер порта для обращения к ядру
$CONF_LANG ru, en ru Язык web-интерфейса
$CONF_REDIRECT_HOTSPOT 0, 1 1Переадресация после логина hotspot на страницу, запро-шенную перед этим
225
NetUP UTM5. Руководство администратора
22
Платежные системы
Интерфейс взаимодействия с платёжными системами использует отдельный конфигу-рационный файл /lib/payment_systems_config.php, содержащий (среди прочих) следующие параметры:
За каждым из перечисленных следуют другие параметры, специфичные для соответст-вующей платёжной системы.
Дополнительные модули
Некоторые модули, расположенные в директории /modules (в частности, модуль об-ещанных платежей promised_payment.php и модуль движения средств funds_flow.php) содержат собственный параметр $MOD_VISIBLE, отвечающий за включение модуля в интерфейс. Для включения параметру должно быть присвоено значе-ние true.
Параметр Возможные значения
Значение по умолчанию
Описание
$web_money_visible true, false false Включает поддержку системы WebMoney
$yandex_money_visible true, false false Включает поддержку системы Yandex Money
$chronopay_visible true, false false Включает поддержку системы Chronopay
$mobi_money_visible true, false false Включает поддержку системы MobiMoney
$web_creds_visible true, false false Включает поддержку системы WebCreds
6
МОДУЛЬ HOTSPOT
Модуль hotspot предназначен для тарификации услуги доступа в сеть по времени. Для организации услуги hotspot необходимо наличие отдельной лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администратора UTM5 (см. О программе:
Лицензии, пункт Модуль Hotspot).
Модуль hotspot может использоваться как с web-интерфейсом UTM5 (см. Web-интер-
фейс на стр. 221), так и посредством авторизации по протоколу RADIUS.
При работе через web-интерфейс после ввода пользователем номера и пин-кода карты в процессе активации карты страничка в браузере будет автоматически регулярно обнов-ляться, давая тем самым серверу знак, что пользователь все ещё пользуется услугой. В слу-чае если в течение указанного в настройках промежутка времени не было обновления страницы (пользователь закрыл эту страничку или просто выключил компьютер), либо по-ступил сигнал закрытия сессии (пользователь выбрал в меню пункт Выход), то доступ в интернет блокируется и производится списание средств за время работы. Время жизни сес-сии контролируется параметром hotspot_refresh_timeout (см. Ядро системы:
Интерфейсные параметры на стр. 134). Также блокирование доступа в интернет наступа-ет при окончании средств.
Для использования модуля hotspot необходимо добавить тарифный план, содержащий услугу hotspot (см. Услуга hotspot на стр. 61). Цены на услугу могут устанавливаться в за-висимости от временных диапазонов. Можно также задавать список разрешенных сетей, из которых возможна авторизация на wеb-интерфейсе, и количество одновременных сес-сий для данной пары логин/пароль.
Для совместного использования модуля hotspot с карточной платформой необходимо связать идентификатор тарифного плана, содержащего услугу hotspot, с создаваемыми кар-тами доступа (см. Генерация карт: ID тарифа на стр. 48). Пользователь, получивший карту, должен сначала зарегистрировать её в разделе “Авторегистрация пользователя” web-ин-терфейса и получить логин и пароль для доступа к интерфейсу hotspot. Эти данные в даль-нейшем используются при авторизации в разделе “Вход (hotspot)” (см. Web-интерфейс:
Вход в систему на стр. 221).
Если для пользователей hotspot необходима тарификация по трафику, то можно исполь-зовать услугу hotspot совместно с услугой передачи трафика с установленной в свойствах обеих услуг опцией Динамическая привязка IP-адресов. Авторизация пользователя на web-интерфейсе UTM5 при этом будет происходит по паре логин/пароль из сервисной связки услуги hotspot.
227
NetUP UTM5. Руководство администратора
22
8
МОДУЛЬ IP-ТЕЛЕФОНИИ
Модуль IP-телефонии предназначен для обработки запросов на авторизацию и учёт по-требленных услуг от голосовых шлюзов, гейткиперов (gatekeepers), голосовых прокси-сер-веров. Поддерживается как классическая, так и IP-телефония.
Учёт данных происходит либо на основе запросов UTM5 RADIUS (см. UTM5 RADIUS
на стр. 143), либо на основе CDR-файлов посредством вспомогательной утилиты utm5_send_cdr (см. Импорт текстовых файлов на стр. 161).
Модуль требует отдельной лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администратора UTM5 (см. О программе: Лицензии, пункт Модуль
телефонии).
Термины
• IP-телефония (IP telephony) – общий термин, означающий передачу речи по сетям с использованием протокола IP. Также для обозначения этой технологии используются термины: Voice over IP (VoIP), Internet Telephony.
• ТфОП (PSTN) – сокр. “телефонная сеть общего пользования”. В это понятие включены городские и национальные сети обычной телефонии. Также используется термин PSTN – сокращение от “Public Switched Telephony Network”.
• АОН (Caller ID) – номер вызывающего абонента. Также используется термин ANI – со-кращение от “Automatic Number Identification”. Часто услуга определения номера вы-зывающего абонента называется АОН.
• Шлюз IP-телефонии (VoIP gateway) – устройство, имеющее порт для подключения к сети на базе протокола IP, а также по необходимости порты для подключения к ТфОП. Обычно данное устройство служит для стыковки ТфОП и IP-сети.Примером может служить маршрутизатор Cisco 3620 с модулем NM-2V + VIC2FXO.
• H.323 – стандарт, предложенный Международным союзом электросвязи (ITU-T), опи-сывающий построение сетей IP-телефонии.Стандарт описывает протоколы, связанные с регистрацией оборудования IP-телефо-нии (RAS – Registration, Admission and Status), установления соединения (H.225.0, H.245), передачи речи, авторизации пользователей и др.
• H.323 привратник (H.323 гейткипер, H.323 gatekeeper) – привратник отвечает за ре-гистрацию оконечного оборудования (шлюзов, клиентских устройств), контроль прав доступа, номерной план. Практически все привратники имеют возможность проводить авторизацию и передачу статистики по состоявшимся звонкам по протоколу RADIUS.
• Кодеки – алгоритмы сжатия звука на передающей стороне и декодирования на прини-мающей стороне. В основном это используется для минимизации трафика, поэтому ко-деки в основном характеризуются полосой пропускания, необходимой для передачи речи с использованием этого кодека. При передаче голоса без сжатия потребуется
229
NetUP UTM5. Руководство администратора
23
полоса пропускания в 64 Кбит/сек.Кодеки с высокой степенью сжатия требуют больших вычислительных ресурсов, поэтому для кодирования большого количества голосовых потоков используются специальные микросхемы, так называемые DSP-процессоры.
• IVR – сокращение от Interactive Voice Response. Представляет собой технологию голо-совых меню и часто используется для авторизации пользователей ТфОП для звонков по IP-телефонии.
Алгоритм работы
RADIUS-запросы, имеющие отношение к телефонии, опознаются системой по нали-чию атрибута cisco-h323-conf-id. В противном случае запрос интерпретируется как относя-щийся к услуге коммутируемого доступа.
Для регистрации абонента привратник посылает на сервер RADIUS запрос на регист-рацию с указанием ID вызывающего абонента Calling-ID (31) и его логина, но без указания Called-ID (30). Сервер RADIUS ищет сервисную связку услуги телефонии, идентифицируя её по логину, указанному в свойствах сервисной связки (см. Сервисная связка услуги
телефонии: Логин на стр. 101). Если сервисная связка обнаружена и соответствующий ли-цевой счёт не заблокирован, то выдаётся положительный ответ; в противном случае выда-ётся отказ в регистрации. Положительный ответ может содержать телефонный номер пользователя, если таковой задан в свойствах сервисной связки.
Для авторизации звонка привратник или голосовой шлюз посылает на сервер RADIUS запрос на регистрацию с указанием Calling-ID (31) и Called-ID (30). Сервер RADIUS ищет сервисную связку услуги телефонии, идентифицируя её по логину, указанному в свойствах сервисной связки. Если связка обнаружена, баланс счёта положителен, звонок входит в на-правление, включённое в состав услуги телефонии (непосредственно или в составе зоны), и текущее время входит в разрешённый временной диапазон (также задаваемый в свойст-вах услуги), то выдаётся положительный ответ; в противном случае сервер RADIUS вы-даёт отказ в авторизации. Положительный ответ включает максимальную длительность соединения, рассчитываемую либо как срок окончания временного диапазона, для кото-рого задана цена услуги (если данный диапазон не покрывает всё время суток), либо как срок исчерпания баланса счёта, с учётом текущего баланса и стоимости услуги (возможно, меняющейся со временем), в зависимости от того, что из этого наступает скорее.
Для тарификации звонка привратник или голосовой шлюз при начале звонка посылает на сервер RADIUS запрос Accounting-Start с указанием Calling-ID (31), Called-ID (30) и, возможно, времени начала соединения. Если время начала не указано, таковым считается время прихода запроса Accounting-Start. Сервер RADIUS ищет сервисную связку услуги
Название кодека Поток, Кбит/сек Качество
G.711 64 Высокое
G.723.1 5.3 – 6.4 Среднее
G.729 8 Среднее
0
Модуль IP-телефонии
телефонии, идентифицируя её по логину, указанному в свойствах сервисной связки. Если связка не обнаружена, запрос игнорируется. В противном случае определяется стоимость минуты разговора, заданная в свойствах услуги для данного временного диапазона и теле-фонного направления (или зоны). Если звонок не подпадает под направления, заданные в свойствах услуги, или время звонка не входит в заданные временные диапазоны, звонок тарифицируется по нулевой стоимости. В момент окончания звонка посылается запрос Accounting-Stop с указанием Calling-ID (31), Called-ID (30) и, возможно, длительности звонка и/или времени окончания соединения. Сервер RADIUS осуществляет тарификацию с учётом стоимости минуты разговора, определённой ранее, и длительности соединения. Если длительность соединения не указана, за неё принимается разность между временем окончания и временем начала. Если время окончания не указано, таковым считается время прихода запроса Aссounting-Stop. Если на протяжении звонка происходит смена времен-ных диапазонов и, как следствие, стоимости минуты разговора – звонок разбивается на ча-сти, в пределах которых стоимость минуты постоянна, и тарифицируется по частям. Информация о списании передаётся в ядро UTM5.
Звонки, для которых не передан запрос Accounting-Stop, в зависимости от настроек RADIUS могут быть либо проигнорированы, либо признаны завершившимися в опреде-лённый момент на основании запросов Interim-Update, и тарифицированы соответственно.
В случае, если поставщик информации не поддерживает ее передачу RADIUS-серверу посредством запросов Accounting-Request, для разбора информации о звонках исполь-зуется утилита utm5_send_cdr (см. Импорт текстовых файлов на стр. 161). Данная вспомогательная утилита разбирает файлы с информацией о звонках и передаёт получен-ные данные в ядро UTM5 по протоколу URFA.
Схема организации сети
Шлюз VoIP, соединяющий ТфОП с IP-сетью, организует преобразование голосового трафика из сети на базе протокола IP в ТфОП. Таким образом, пользователь с IP-теле-фоном либо компьютером с установленным программным телефоном (Microsoft NetMeeting, OpenPhone и др.) может вызывать абонента городской телефонной сети (ТфОП).
231
NetUP UTM5. Руководство администратора
23
Аналогично и в обратную сторону: абонент городской телефонной сети (ТфОП) может вызывать абонента в сети с протоколом IP. Для этого необходимо набрать номер шлюза в сети ТфОП (на схеме это 9391000) и затем после авторизации (если этот механизм включен на шлюзе) набрать внутренний номер абонента в сети с протоколом IP (на схеме это номе-ра 100 и 200).
В схеме с участием привратника H.323 все устройства сети должны зарегистрироваться на привратнике. При этом авторизация может проводиться по протоколу RADIUS с исполь-зованием стандартной схемы Access-Request.
Рис. 103. Работа шлюза VoIP.
Рис. 104. Привратник H.323.
2
Модуль IP-телефонии
В итоге у привратника находится таблица IP-адресов и номеров всех устройств в сети. Соответственно, все вызовы начинаются с обращения к привратнику для преобразования набранного номера в IP-адрес. При этом привратник может запросить у сервера RADIUS авторизацию данного звонка и передать заполненные атрибуты Called-Station-Id (30) – наб-ранный номер, и Calling-Station-Id (31) – номер вызывающего абонента. Сервер RADIUS проверяет баланс пользователя, тарифный план на вызываемое направление, и если баланс позволяет, то передает пакет Access-Accept, в котором может указать максимальное время соединения для данного пользователя по данному направлению. Обычно эта информация указывается в атрибуте h323-credit-time, vendor 9 (Cisco).
В случае, если авторизация прошла успешно, после согласования всех параметров устанавливается соединение между вызываемым и вызывающим терминалами. При этом привратник передает на сервер RADIUS пакет о начале соединения (Accounting-Start), в ко-тором указывает параметры установленного соединения.
В случае, если терминалы находятся в одной сети, то общение между ними произ-водится напрямую. Если вызываемый терминал находится в другой сети, то общение меж-ду терминалами производится через один из шлюзов. Также возможен вариант, когда общение клиента производится только с привратником. В этом случае привратник выпол-няет функции прокси, и реальные IP-адреса терминалов скрываются. Такая схема работы применяется, если канал напрямую между терминалами по качеству хуже (например, боль-шие потери IP-пакетов либо задержки), чем между привратником и каждым терминалом.
По окончании соединения привратник пересылает на сервер RADIUS пакет с инфор-мацией о завершившемся звонке. В пакете указываются время соединения, причина завер-шения соединения и другие параметры. По этим данным сервер RADIUS проводит тарификацию сессии, списание средств и запись в журнал событий.
Для авторизации пользователей ТФоП может применяться IVR по следующей модели:
1. Абонент ТфОП набирает городской номер доступа оператора IP-телефонии. При этом трубку поднимает шлюз IP-телефонии (например, Cisco 3640 с платой E1), подключен-ный к этой линии.
2. Шлюз загружает звуковой файл (обычно *.au) с записанным приглашением и проиг-рывает его абоненту. При этом обычно предлагается ввести номер и пин-код предопла-ченной телефонной карты.
3. После ввода определённого количества цифр производится авторизация с введенными данными на сервере RADIUS. При этом номер карты обычно записывается в атрибут User-Name (1), а пин-код – в атрибут Password (2).
4. В случае успешной авторизации сервер RADIUS присылает пакет Access-Accept, в ко-тором указывает количество оставшихся средств на счету. Для этого используются атрибуты h323-credit-amount и h323-currency с vendor=9 (Cisco). Шлюз IP-телефонии загружает соответствующие голосовые файлы, проигрывает абоненту остаток средств на счету и предлагает ввести номер, по которому необходимо выполнить вызов. Следует заметить, что в основном IP-телефония выгодна для звонков на большие рас-стояния (междугородние и международные звонки).
233
NetUP UTM5. Руководство администратора
23
5. После ввода номера производится повторная авторизация на сервере RADIUS, при этом дополнительно передается атрибут Called-Station-Id (30), в котором записывается набранный номер. В зависимости от остатка средств на счету и стоимости минуты соединения по этому направлению сервер RADIUS вычисляет максимальное время сессии и передает вычисленное время в пакете Access-Accept в атрибуте h323-credit-time.При отсутствии в запросе на аутентификацию атрибута Called-Station-Id (30) сервер RADIUS отдает атрибут h323-return-code (9,103) со следующим значением:
° 0 – пользователь активен;
° 1 – пользователь не существует;
° 2 – пользователь заблокирован.
6. После получения положительного ответа от сервера RADIUS шлюз IP-телефонии устанавливает соединение с вызываемым абонентом. Соединение будет разорвано, если длительность сессии составит количество секунд, вычисленное на предыдущем шаге.
7. При установлении соединения на сервер RADIUS отсылается пакет Accounting-Start, при разрыве – пакет Accounting-Stop.
4
АВТОМАТИЧЕСКАЯ РЕГИСТРАЦИЯ
В UTM5 предусмотрены два варианта активации предоплаченных интернет-карт для получения услуги коммутируемого доступа: через гостевой доступ и через обычный дос-туп с автоматической регистрацией пользователя. В первом случае пользователь, соединя-ясь впервые, использует известный ему гостевой логин и пароль и регистрируется в системе. После регистрации он заходит в систему, используя свои собственные параметры доступа. Во втором случае пользователь вводит номер и пин-код своей карточки в качестве логина и пароля для коммутируемого соединения, его регистрация производится автомати-чески, и пользователь сразу же получает доступ в интернет.
Для реализации автоматической регистрации пользователей этими двумя способами необходимо создать тарифный план и подключить к нему услугу коммутируемого доступа с соответствующей стоимостью соединений по коммутируемым линиям.
После создания тарифного плана необходимо сгенерировать пул предоплаченных ин-тернет-карт и привязать их к созданному тарифному плану.
Гостевой доступ
В случае реализации гостевого доступа необходимо создать пользователя, логин и па-роль которого будут известны всем перед регистрацией. Например, логин guest и пароль guest.
Гость должен быть настроен таким образом, чтобы иметь возможность получать до-ступ только к сайту для активации интернет-карт. Время соединения также может быть ограничено, например, 600 секундами.
Необходимо создать услугу Коммутируемый доступ со следующими параметрами: пул – GUEST, максимальный таймаут соединения – 600 сек., стоимость соединения – 0 у. е. в час.
При этом на маршрутизаторе, либо в UTM, необходимо создать пул IP-адресов с име-нем GUEST и адресами из определённого диапазона, например, 172.16.0.0/16. Маршрути-затор необходимо настроить таким образом, чтобы клиенты из этого диапазона адресов могли получать доступ только к вебсерверу, на котором производится активация карт, и серверу DNS. В целях безопасности рекомендуется организовать отдельный сервер DNS, который не связан с Internet, и содержит только записи, необходимые клиенту для доступа к веб-серверу регистрации.
При входе на веб-сервер регистрации интернет-карт абонент выбирает пункт меню Ав-
торегистрация пользователя и вводит данные, указанные на интернет-карте. Если все данные введены корректно, и карта не была активирована прежде либо заблокирована, то в UTM автоматически будет создан новый карточный пользователь, и абонент получит информацию о логине и пароле для подключения по коммутируемым линиям. Выбирая
235
NetUP UTM5. Руководство администратора
23
пункт меню Вход в UTM на странице регистрации и указав логин и пароль, выданные си-стемой после регистрации, абонент может получить доступ к своему личному кабинету, где для него доступна статистика его лицевого счёта.
Доступ с автоматической регистрацией
Для реализации моментального доступа по интернет-картам требуется дополнительная настройка сервера RADIUS. В конфигурационном файле сервера RADIUS /netup/ utm5/radius5.cfg необходимо указать опцию
После перезапуска сервер RADIUS будет автоматически регистрировать пользователя в UTM при первой попытке доступа по предоплаченной карте.
Для получения доступа абонент должен указать номер интернет-карты в качестве логи-на и её пин-код в качестве пароля. Если пользователь подключается по этой карте впервые, то сервер RADIUS произведёт автоматическую регистрацию, и абонент моментально по-лучит доступ в интернет. Каждый раз при подключении пользователь указывает номер кар-ты в качестве логина и пин-код в качестве пароля. После того, как баланс карты истечёт, пользователь должен активировать новую карту.
Следует отметить, что подобная автоматическая регистрация возможна только в случае использования авторизации по протоколу PAP. Этот способ по умолчанию используется Windows для авторизации при подключении с помощью модемного доступа, поэтому в большинстве случаев дополнительных настроек не требуется. Однако следует иметь в ви-ду, что иногда необходимо менять конфигурацию клиентов, прежде чем они смогут авто-матически зарегистрироваться таким образом.
При правильно настроенном доступе с автоматической регистрации пользователя при первом входе в журнале сервера RADIUS должны появиться следующие записи:
radius_card_autoadd=yes
?Debug : Oct 27 12:08:00 RADIUS Auth: Packet from <example.org>?Debug : Oct 27 12:08:00 RADIUS Auth: User <5> connectingERROR : Oct 27 12:08:00 RADIUS DBA: Can’t find login <5>ERROR : Oct 27 12:08:00 RADIUS DBA: Can’t find card login <000000005>?Debug : Oct 27 12:08:00 RADIUS Auth: Attempt to add new Card us-er: <5>?Debug : Oct 27 12:08:00 RADIUS DBA: Sending Auto-Add Request for Card-ID: 5?Debug : Oct 27 12:08:00 RADIUS URFA[plugin]: DLink: SLID/SID/AID: 14/6/14?Debug : Oct 27 12:08:00 RADIUS URFA[plugin]: Account <14> with balance <10.000>?Debug : Oct 27 12:08:00 RADIUS Auth: Got AutoAdd 14 UID from core.
6
Автоматическая регистрация
ERROR : Oct 27 12:08:00 RADIUS DBA: Can’t find login <5>?Debug : Oct 27 12:08:00 RADIUS DBA: login_store iter->sec-ond.dialup.session_count:0Info : Oct 27 12:08:00 RADIUS Auth: User <5> added.?Debug : Oct 27 12:08:00 RADIUS Auth: Auth scheme: PAP?Debug : Oct 27 12:08:00 RADIUS Auth: PAP: <51154755> vs <51154755>?Debug : Oct 27 12:08:00 RADIUS Auth: PAP: Authorized user <5>?Debug : Oct 27 12:08:00 RADIUS Auth: Dialup session limit:0 ses-sion count:0 for user:5?Debug : Oct 27 12:08:00 RADIUS Auth: Calculated maximum session time: 36000?Debug : Oct 27 12:08:00 RADIUS DBA: dialup_link_up-date called for slink:14?Debug : Oct 27 12:08:00 RADIUS DBA: soft dialup_ link_update for slink:14 session_count:1
237
NetUP UTM5. Руководство администратора
23
8
РАБОТА С ЭЛЕКТРОННОЙ ПОЧТОЙ
Система UTM5 может автоматически отсылать пользователям некоторые сообщения по электронной почте (в случае, если её адрес указан в свойствах пользователя). Глобаль-ные параметры системы, относящиеся к отсылке почты, описаны в разделе Интерфейсные
параметры на стр. 134.
Отправка происходит через SMTP-сервер, определяемый параметром smtp_relay. SMTP-сервер должен быть корректно настроен и своевременно отправлять исходящие сообщения не позднее 1 секунды с момента получения данных. Задержка в обработке пере-сылаемых писем может резко ухудшить быстродействие биллинга. Рекомендуется исполь-зовать локальный SMTP-сервер.
Сообщения могут быть следующих типов:
• Счета – отправка происходит при выставлении счёта данному пользователю, если в свойствах пользователя отмечен параметр Высылать счета по email (см. Пользова-
тель: Контакты на стр. 42), или при выборе пункта Отослать на email в контекстном меню данного счёта в отчёте по счетам (см. Отчёт по счетам на стр. 73). Тема сообще-ния определяется системным параметром invoice_subject. Текст сообщения определяется системным параметром invoice_text, а в приложении содержится счёт (HTML-файл), формируемый на основе шаблона документа Счёт (см. Шаблоны
документов на стр. 81).
• Уведомления о платежах – отправка происходит в момент принятия системой плате-жа на счёт данного пользователя, если в свойствах платежа отмечен соответствующий параметр (см. Внести платеж: Посылать уведомления на стр. 91). Тема сообщения – Payment nofication. Текст сообщения формируется на основе шаблона, хранящегося в системном параметре payment_notification_message.
• Уведомления о состоянии счёта – сообщение отправляется, когда баланс пользовате-ля (без учёта кредита) пересекает границы, заданные системным параметром notification_borders, если он задан. Тема сообщения определяется системным параметром notification_message_subject. Текст сообщения формируется на основе шаблона, хранящегося в системном параметре notification_message.
239
NetUP UTM5. Руководство администратора
24
0
ОБСЛУЖИВАНИЕ СИСТЕМЫ
Резервное копирование БД
Для предотвращения потери данных необходимо регулярно проводить резервное копи-рование БД с помощью штатных средств сервера БД (см. документацию для используемой БД). Рекомендуется делать резервные копии БД перед всеми нетривиальными операциями с базой (архивация таблиц списаний, прямое обращение к базе вручную, отладка скриптов urfaclient и т. п.), а также на регулярной основе, как минимум раз в месяц.
Существует два вида резервных копий: краткая и полная. В полную входят все таблицы БД, в краткую – все, кроме таблиц со списаниями. В связи с большим объемом таблиц со списаниями создание полной копии может занимать длительное время. Рекомендуется при проведении этой процедуры останавливать ядро UTM5. В противном случае длительная блокировка таблиц может привести к аварийному завершению работы ядра.
Для крупных проектов, когда таблицы особенно велики и в то же время простой бил-линга особенно критичен по времени, рекомендуется использование slave-сервера БД, с помощью которого можно создать резервную копию, не останавливая биллинг.
Верификация целостности БД
В момент загрузки ядра UTM5 одновременно с заполнением системного кэша происхо-дит верификация базы данных. Найденные несоответствия в отношении кэшируемых дан-ных разрешаются автоматически. Те же данные в базе должны быть исправлены вручную с помощью информации из лог-файла верификатора.
Расположение лог-файла верификатора определяется значением системного параметра log_file_verificator (по умолчанию – /netup/log/verificator.log). Для каждого несоответствия приводятся:
• описание ошибки, включающее её уровень (ERROR или WARNING);
• предположительные действия по её устранению;
• команда SQL (если требуется), эквивалентная автоматическому исправлению, которое было применено к данным в кэше:
Объекты, перечисленные в verificator.log , не загружаются системой, не учитываются в тарификации и не отображаются в интерфейсе админист-ратора.
— WARNING slink 4876 exists only in dtagg_periodic— SQL DESC check slink exists and delete dtagg_periodic entry for deleted slinkUPDATE dtagg_periodic SET is_closed=1 WHERE slink_id=4876;
241
NetUP UTM5. Руководство администратора
24
Для исправления ошибок рекомендуется останавливать ядро UTM5 и создавать резерв-ную копию базы данных (по крайней мере, таблиц, задействованных в исправлении).
В простейшем случае исправление сводится к подаче лог-файла верификатора на вход MySQL:
Некоторые SQL-запросы в лог-файле, однако, закомментированы по умолчанию, т. к. их непосредственное применение может привести к потере данных. При наличии таких зап-росов необходимо проверять каждый случай в отдельности.
Архивация таблиц списаний
Внимание! Перед выполнением любых действий с БД UTM5 в обязательном по-рядке следует сделать полную резервную копию БД UTM5 и проверить возмож-ность восстановления данных из этой резервной копии. Дальнейший текст предназначен только для тех, кто понимает, что делает, и имеет достаточ-ный уровень технических знаний в области работы с СУБД. Перед проведением любых действий рекомендуется отработать их на стендовой машине.
Архивирование применяется к определённым наиболее быстро растущим таблицам с целью снизить накладные расходы на операции вставки. В ходе архивирования таблица переносится (переименовывается) в архивную, и одновременно создаётся пустая (теку-щая) таблица с первоначальным названием и с той же структурой для вновь поступающих данных. Операция может применяться периодически по мере роста таблиц. Ограничения описаны ниже.
1. В настоящий момент механизм архивирования распространяет свое действие на табли-цы, перечисленные ниже:
2. Транзакции списаний за трафик являются подмножеством транзакций изменения балансов лицевых счетов, поэтому записи в указанных выше таблицах связаны. Если для записи в таблице discount_transactions_all установлен service_type, равный 3, то должна существовать запись с таким же id, discount_date и
mysql UTM5 < /netup/utm5/log/verificator.log
Таблица Тип Название поля даты
discount_transactions_all 1 discount_date
discount_transactions_ iptraffic_all 2 discount_date
tel_sessions_log 3 recv_date
tel_sessions_detail 4 recv_date
dhs_sessions_log 5 recv_date
dhs_sessions_detail 6 recv_date
payment_transactions 7 payment_enter_date
2
Обслуживание системы
discount в таблице discount_transactions_iptraffic_all. Невыполне-ние данного условия считается нарушением логической целостности БД.
3. Начиная со сборки 5.2.1-006, существует таблица archives со следующими полями:
° id – уникальный идентификатор записи;
° archive_id – идентификатор архива, не может быть равен 0, должен быть иденти-чен для всех таблиц, архивируемых одновременно;
° table_type – тип архивной таблицы (см. выше);
° table_name – имя архивной таблицы;
° start_date – время, которым датировано первое списание в архиве (UNIX TIMESTAMP);
° end_date – время, которым датировано последнее списание в архиве (UNIX TIMESTAMP);
Все архивные таблицы должны быть перечислены в таблице archives.
4. Каждая архивная таблица должна иметь такую же структуру, как и соответствующая текущая таблица в установленной сборке.
5. Каждая архивная таблица должна содержать все данные, датированные временем, вхо-дящим в диапазон, указанный в соответствующей записи в таблице archives, и только эти данные.
6. Все данные за время, не покрытое архивными таблицами, должны содержаться в теку-щих таблицах.
7. Архивирование должно происходить одновременно для всех таблиц, к которым оно применимо. Создаваемые одновременно архивные таблицы должны иметь одинако-вые start_date, end_date и archive_id.
8. Минимальное значение поля id в текущих таблицах payment_transactions, dhs_sessions_log, dhs_sessions_detail, tel_sessions_log и tel_sessions_detail должно быть больше, чем максимальное значение того же поля в соответствующих архивных таблицах.
9. В UTM сборки 5.2.1-006 архивирование применялось только к таблицам discount_ transactions_all и discount_transactions_iptraffic_all. Использо-вание архивных таблиц, созданных для этой сборки, требует архивирования «задним числом» всех остальных таблиц, к которым оно применимо. Т.е. для каждой из них должны быть созданы архивные таблицы по тем же периодам времени, и данные за эти периоды перенесены в эти таблицы. Наименование полей таблиц, содержащих да-ту, перечислено в п. 1 выше.
10. Для облегчения ручной обработки (в случае надобности) рекомендуется давать архив-ным таблицам интуитивно понятные имена, например, имя_основной_таблицы_ метка, где метка – timestamp (отметка времени) создания архивной таблицы.
11. Архивная таблица может не поддерживать транзакции и быть доступна в режиме только чтения.
243
NetUP UTM5. Руководство администратора
24
4
ВСПОМОГАТЕЛЬНЫЕ УТИЛИТЫ
Генератор статистики по протоколу NetFlow
Для эмулирования работы пользователей и экспорта статистики по протоколу NetFlow v.5 используется утилита utm5_flowgen, которая устанавливается по следующему пути: /netup/utm5/bin/utm5_flowgen. В командной строке можно передать следующие параметры:
Следующая команда генерирует один NetFlow-пакет с информацией о 1048576 байтах, переданных между адресами 10.0.0.1 и 10.0.0.2:
Генератор статистики по протоколу RADIUS
Для эмулирования работы пользователей и экспорта статистики по протоколу RADIUS используется утилита utm5_radgen, которая устанавливается по следующему пути: /netup/utm5/bin/utm5_radgen. В командной строке можно передать следующие параметры:
-h IP-адрес хоста, на который пересылать сгенерированные NetFlow-пакеты. Значение по умолчанию – 127.0.0.1.
-p Порт, на который пересылать сгенерированные NetFlow-пакеты. Значение по умолчанию – 9996.
-c Количество записей NetFlow. Значение по умолчанию — 65535.
-t Период ожидания в микросекундах между посылками NetFlow-пакетов.
-s IP-адрес, с которого был передан IP-трафик. Этот адрес записывается в поле srcaddr в генерируемых NetFlow-пакетах.
-d IP-адрес, к которому был передан IP-трафик. Этот адрес записывается в поле dstaddr в генерируемых NetFlow-пакетах.
-b Количество переданных байтов. Это значение записывается в поле dOctet в генерируе-мых NetFlow-пакетах.
/netup/utm5/bin/utm5_flowgen -c 1 -s 10.0.0.1 -d 10.0.0.2 -b 1048576
-p Порт, на который пересылать сгенерированные RADIUS-пакеты.
-h IP-адрес, на который пересылать сгенерированные RADIUS-пакеты.
-s Секретное слово для общения с RADIUS-сервером.
-c Код RADIUS-пакета. Значение по умолчанию – 1 (Access-Request).
-u Пароль пользователя в открытом виде. Данное значение будет передано с ID атрибута Password (2).
-a Атрибуты и значения.
245
NetUP UTM5. Руководство администратора
24
Возможно указание нескольких атрибутов. Строка имеет следующий формат:
Поля разделены двоеточием. Первое поле указывает на идентификатор вендора. Значе-ние по умолчанию – 0.
Второе поле указывает на идентификатор атрибута.
Третье поле используется для указания типа данных: цифровой либо строчный. Если значение 0, то данные передаются, как строка. Если значение 1, то данные передаются, как цифры (integer).
Четвёртое поле используется для передачи самого значения.
Примеры
1. Для посылки запроса на авторизацию (Access-request) необходимо выполнить следую-щую команду:
При этом будет сгенерирован RADIUS-пакет с запросом на авторизацию для пользова-теля username с паролем password.
2. Для посылки запроса на аккаунтинг (Accounting-request) необходимо выполнить сле-дующую команду:
При этом будет сгенерирован RADIUS-пакет с запросом на аккаунтинг для пользовате-ля username. При этом будет указано, что осуществляется начало сессии (start). Иден-тификатор сессии sessionid1.
3. Для посылки запроса на аккаунтинг (Accounting-request) необходимо выполнить сле-дующую команду:
При этом будет сгенерирован RADIUS-пакет с запросом на ак-каунтинг для пользова-теля username. При этом будет указано, что осуществляется окончание сессии (stop). Идентификатор сессии sessionid1. Длительность сессии (Acct-Session-Time) – 100 се-кунд.
Утилита get_nf_direct
Утилита get_nf_direct предназначена для формирования детальных отчетов по трафику на основании сохраненной первичной информации о трафике.
vendor_id:attr_id:is_digit:value
/netup/utm5/bin/utm5_radgen -h 127.0.0.1 -p 1812 -s secret -u password -a 0:1:0:username
/netup/utm5/bin/utm5_radgen -h 127.0.0.1 -p 1813 -s secret -a 0:1:0:username -a 0:40:1:1 -a 0:44:0:ses-sionid1 -c 4
/netup/utm5/bin/utm5_radgen -h 127.0.0.1 -p 1813 -s secret -a 0:1:0:username -a 0:32:0:localhost -a 0:40:1:2 -a 0:44:0:sessionid1 -a 0:46:1:100 -c 4
6
Вспомогательные утилиты
Исполняемый файл называется /netup/utm5/bin/get_nf_direct.
В командной строке можно передавать следующие параметры:
-D <путь> Имя директории в которой находятся файлы с первичной информацией о трафике
-b <путь> Имя файла с первичной информацией о трафике
-a Идентификатор лицевого счета в системе, для которого формировать отчет
-s <IP-адрес> Адрес отправителя трафика, для которого формировать отчет
-d <IP-адрес> Адрес получателя трафика, для которого формировать отчет
-p <порт> Порт отправителя трафика, для которого формировать отчет
-P <порт> Порт получателя трафика, для которого формировать отчет
-c <класс> Класс трафика, для которого формировать отчет
-f <время> Время в формате Unix Time Stamp, начиная с которого формировать отчет
-t <время> Время в формате Unix Time Stamp, по которое формировать отчет. Если значение не указано, используется текущее время
-l <число> Максимальное количество строк, которые будут использоваться при фор-мировании отчета. По умолчанию – неограничено
-u Первичная информация о трафике хранится в raw-формате
-e Отображать статистику в расширенном варианте
-h Вывод информации о версии и допустимых параметрах командной строки
247
NetUP UTM5. Руководство администратора
24
8
КОНТРОЛЬНЫЕ ПРИМЕРЫ
Все контрольные примеры функционируют корректно только при работе UTM5 с демо-лицензией.
Контрольный пример для передачи трафика
Контрольный пример предназначен для проверки корректности функционирования биллинговой системы NetUP UTM на Вашем сервере. Суть проверки заключается в загруз-ке в базу данных параметров пяти клиентов и эмуляции работы этих пользователей в тече-ние трёх месяцев. Необходимые данные для запуска контрольного примера входят в комплект поставки биллинговой системы NetUP UTM.
Внимание!Остановите сервисы, критичные к изменению даты на сервере.
1. Остановите ядро биллинговой системы utm5_core.
2. Установите дату на сервере на 00 часов 00 минут 1 апреля 2003 года.
Для FreeBSD:
Для Linux:
3. Для загрузки данных в базу выполните команды:
4. Произведите корректировку данных в файле kp.pl о том, на каком порту принимает NetFlow-пакеты ядро биллинговой системы, а также путь к программе-генератору NetFlow-пакетов – utm5_flowgen (обычно /netup/utm5/bin/utm5_flowgen).
5. Запустите ядро биллинговой системы utm5_core.
6. Запустите программу kp.pl командой:
date 0304010000
date 0401000003
mysqladmin drop UTM5mysqladmin create UTM5mysql UTM5 < UTM5_MYSQL_kp.sqlmysql -f UTM5 < UTM5_MYSQL_update.sql
perl kp.pl
249
NetUP UTM5. Руководство администратора
25
В процессе работы программы дата на сервере будет меняться с 1 апреля 2003 г. до 1 июля 2003 г. Таким образом, будет эмулирована работа тестовых пользователей в течение трёх месяцев: апреля, мая, июня 2003 г.
Первый месяц (апрель 2003 г.)
Второй месяц (май 2003 г.)
Третий месяц (июнь 2003 г.)
cli1 cli2 cli3 cli4 cli5
Объем в день, МБ 0,5 2 4 10 40
Количество дней 30 30 30 30 30
Объем за месяц, МБ 15 60 120 300 1200
Стоимость единицы превышения 0,2 0,2 0,2 0,15 0,15
Предоплачено, МБ 50 50 50 500 500
Стоимость превышения 0 2 14 0 105
Абонплата 3 3 3 100 100
Остаток -3 -5 -17 -100 -205
cli1 cli2 cli3 cli4 cli5
Объем в день, МБ 1 2,5 5 20 50
Количество дней 31 31 31 31 31
Объем за месяц, МБ 31 77,5 155 620 1550
Стоимость единицы превышения 0,2 0,2 0,2 0,15 0,15
Предоплачено, МБ 50 50 50 500 500
Стоимость превышения 0 5,5 21 18 157,5
Абонплата 3 3 3 100 100
Остаток -6 -13,5 -41 -218 -462,5
cli1 cli2 cli3 cli4 cli5
Объем в день, МБ 1,5 3 6 30 60
Количество дней 30 30 30 30 30
Объем за месяц, МБ 45 90 180 900 1800
Стоимость единицы превышения 0,2 0,2 0,2 0,15 0,15
Предоплачено, МБ 50 50 50 500 500
Стоимость превышения 0 8 26 60 195
Абонплата 3 3 3 100 100
Остаток -3 -11 -29 -160 -295
Итого остаток -9 -24,5 -70 -378 -757,5
0
Контрольные примеры
В случае корректной работы биллинговой системы, полученные вами цифры после от-работки kp.pl должны совпадать с указанными в таблице.
После проведения работ восстановите корректную дату на сервере.
Контрольный пример для коммутируемого доступа
Контрольный пример предназначен для проверки корректности функционирования биллинговой системы NetUP UTM на вашем сервере. Суть проверки заключается в загруз-ке в базу данных параметров трех клиентов и эмулирования работы этих пользователей в течение трёх месяцев. Необходимые данные для запуска контрольного примера входят в комплект поставки биллинговой системы NetUP UTM.
Внимание!Остановите сервисы, критичные к изменению даты на сервере.
1. Остановите ядро биллинговой системы utm5_core.
2. Установите дату на сервере на 00 часов 00 минут 1 апреля 2003 года.
Для FreeBSD:
Для Linux:
3. Для загрузки данных в базу выполните команды:
4. Произведите корректировку данных в файле kp_dialup.pl о том, на каком порту принимает Radius Accounting-пакеты процесс utm5_radius, а также путь к програм-ме-генератору RADIUS-пакетов – utm5_radgen (обычно /netup/utm5/bin/ utm5_radgen).
5. Запустите ядро биллинговой системы utm5_core и сервер RADIUS utm5_radius.
6. Запустите программу kp.pl командой:
В процессе работы программы дата на сервере будет меняться с 1 апреля 2003 г. до 1 июля 2003 г. Таким образом, будет эмулирована работа тестовых пользователей в течение трёх месяцев: апреля, мая, июня 2003 г.
В случае корректной работы биллинговой системы, полученные вами цифры после от-работки kp_dialup.pl должны совпадать с указанными в таблицах.
date 0304010000
date 0401000003
mysqladmin drop UTM5mysqladmin create UTM5mysql UTM5 < UTM5_MYSQL_kp_dialup.sqlmysql -f UTM5 < UTM5_MYSQL_update.sql
perl kp_dialup.pl
251
NetUP UTM5. Руководство администратора
25
После проведения работ установите корректную дату на сервере.
Первый месяц (апрель 2003 г.). Количество дней – 30.
Второй месяц (май 2003 г.). Количество дней – 31.
Третий месяц (июнь 2003 г.). Количество дней – 30.
В случае корректной работы биллинговой системы, полученные вами цифры после от-работки kp_dialup.pl должны совпадать с указанными в таблице.
После проведения работ восстановите корректную дату на сервере.
dialup1 dialup2 dialup3
8.00-19.59 20.00-7.59 8.00-19.59 20.00-7.59 8.00-19.59 20.00-7.59
Длительность в день, час 0,1 0,1 0,2 0,2 0,3 0,3
Объем за месяц, час 3 3 6 6 9 9
Стоимость, у.е./час 1 2 1 2 1 2
Стоимость, у.е. 3 6 6 12 9 18
Абонплата 10 10 10
Остаток -19 -28 -37
dialup1 dialup2 dialup3
8.00-19.59 20.00-7.59 8.00-19.59 20.00-7.59 8.00-19.59 20.00-7.59
Длительность в день, час 0,1 0,1 0,2 0,2 0,3 0,3
Объем за месяц, час 3,1 3,1 6,2 6,2 9,3 9,3
Стоимость, у.е./час 1 2 1 2 1 2
Стоимость, у.е. 3,1 6,2 6,2 12,4 9,3 18,6
Абонплата 10 10 10
Остаток -19,3 -28,6 -37,9
dialup1 dialup2 dialup3
8.00-19.59 20.00-7.59 8.00-19.59 20.00-7.59 8.00-19.59 20.00-7.59
Длительность в день, час 0,1 0,1 0,2 0,2 0,3 0,3
Объем за месяц, час 3 3 6 6 9 9
Стоимость, у.е./час 1 2 1 2 1 2
Стоимость, у.е. 3 6 6 12 9 18
Абонплата 10 10 10
Остаток -19 -28 -37
Итого остаток -57,3 -84,6 -111,9
2
Контрольные примеры
Контрольный пример для телефонии
1. Для загрузки базы данных с данными для контрольного примера выполните команды:
2. Запустите RADIUS-сервер и ядро биллинговой системы.
3. Для загрузки тестовых данных из CDR-файла выполните команду:
При этом в базу данных будут загружены и протарифицированы телефонные звонки по двум тестовым абонентам в июле месяце 2005 г.
4. Произведите подключение к ядру интерфейсом администратора.
В системе должны присутствовать два тестовых абонента.
Настройки Абонента 1: закрепленный телефонный номер 5409652, план Тариф1.
Настройки Абонента 2: закрепленный телефонный номер 5409653, план Тариф2.
В системе также должны присутствовать телефонные направления и тарифные планы согласно времени суток и дням недели:
Настройки тарифного плана 1:
Бесплатный порог – 5 сек.
Длительность начального периода – 60 сек.
Шаг тарификации начального периода – 10 сек.
Шаг тарификации следующего периода – 1 сек.
Размер единицы тарификации – 60 сек.
Абонентская плата – 10 у.е.
Стоимость указана в условных единицах
mysql UTM5 < /netup/utm5/UTM5_tel_kp_clean.sqlmysql -f UTM5 < /netup/utm5/UTM5_MYSQL_update. sql /dev/null 2>&1
/netup/utm5/bin/utm5_send_cdr -c /netup/utm5/utm5_send_cdr.cfg -s /netup/utm5/src.cdr
Зона Префикс (код)
Москва(1) 7095
Санкт-Петербург (2) 7812
МТС (моб.) (3) 7910, 7915, 7916, 7917
Челябинск (4) 7351
Тюмень (5) 7345
Италия (6) 81039
Франция (7) 81033
Судан (8) 810249
253
NetUP UTM5. Руководство администратора
25
Стоимость звонков по тарифному плану 1:
Настройки тарифного плана 2
Бесплатный порог – 0 сек.
Длительность начального периода – 60 сек.
Шаг тарификации начального периода – 10 сек.
Шаг тарификации следующего периода – 1 сек.
Абонентская плата – 5 у.е.
Размер единицы тарификации – 60 сек.
Стоимость указана в условных единицах.
Стоимость звонков по тарифному плану 2:
Зона Рабочие дни Выходные дни
00:00 – 9:00 9:00 – 23:59:59
Москва(1) 0,1 0,2 0,1
Санкт-Петербург (2) 0,2 0,4 0,3
МТС (моб.) (3) 0,2 0,3 0,2
Челябинск (4) 0,4 0,6 0,4
Тюмень (5) 0,5 0,8 0,6
Италия (6) 1 1,3 1,1
Франция (7) 1,2 1,6 1,2
Судан (8) 2,1 2,9 2,5
Зона Рабочие дни Выходные дни
00:00 – 9:00 9:00 – 23:59:59
Москва(1) 0,08 0,15 0,08
Санкт-Петербург (2) 0,15 0,22 0,2
МТС (моб.) (3) 0,2 0,3 0,2
Челябинск (4) 0,35 0,5 0,4
Тюмень (5) 0,4 0,7 0,4
Италия (6) 1,2 1,5 1,2
Франция (7) 1,5 1,9 1,5
Судан (8) 2,4 3,1 2,3
4
Контрольные примеры
Тестовые телефонные звонки абонента 1:
Дата Зона Длительность Длительность (округленная)
Стоимость за минуту Стоимость
01.07.05 11:20:00 С.-Петербург (2) 730 730 0,4 4,867
01.07.05 15:55:40 МТС (моб.) (3) 4200 4200 0,3 21
01.07.05 21:05:00 Челябинск (4) 174 174 0,6 1,74
02.07.05 01:25:00 Тюмень (5) 724 724 0,6 7,24
03.07.05 11:15:00 Италия (6) 601 601 1,1 11,018
04.07.05 21:53:00 Франция (7) 3714 3714 1,6 99,04
05.07.05 12:13:00 Судан (8) 24 30 2,9 1,45
06.07.05 01:25:00 Москва(1) 64 64 0,1 0,107
07.07.05 11:05:20 Франция (7) 7201 7201 1,6 192,027
08.07.05 21:25:00 МТС (моб.) (3) 1925 1925 0,3 9,625
09.07.05 09:55:00 Челябинск (4) 721 721 0,4 4,807
10.07.05 08:05:00 Челябинск (4) 9 10 0,4 0,067
11.07.05 04:35:00 Италия (6) 1372 1372 1 22,867
12.07.05 13:10:00 Челябинск (4) 84 84 0,6 0,84
13.07.05 01:05:00 Судан (8) 193 193 2,1 6,755
14.07.05 16:03:00 Франция (7) 420 420 1,6 11,2
15.07.05 18:04:00 Челябинск (4) 2352 2352 0,6 23,52
16.07.05 19:15:00 Италия (6) 54 60 1,1 1,1
17.07.05 16:35:00 Москва(1) 23 30 0,1 0,05
18.07.05 14:10:00 Москва(1) 1325 1325 0,2 4,417
19.07.05 23:01:00 Тюмень (5) 1271 1271 0,8 16,947
20.07.05 00:35:00 С.-Петербург (2) 721 721 0,2 2,403
21.07.05 00:35:00 Италия (6) 13 20 1 0,333
22.07.05 10:22:00 Москва(1) 82 82 0,2 0,273
23.07.05 06:16:00 С.-Петербург (2) 3 3 0 0
24.07.05 01:14:00 Судан (8) 3125 3125 2,5 130,208
25.07.05 12:19:00 Судан (8) 1099 1099 2,9 53,118
26.07.05 13:45:00 С.-Петербург (2) 1221 1221 0,4 8,14
27.07.05 11:05:00 Москва(1) 70 70 0,2 0,233
28.07.05 15:17:00 С.-Петербург (2) 132 132 0,4 0,88
29.07.05 12:25:00 Москва(1) 1925 1925 0,2 6,417
30.07.05 21:25:00 Италия (6) 134 134 1,1 2,457
255
NetUP UTM5. Руководство администратора
25
Тестовые телефонные звонки абонента 2:
31.07.05 02:00:10 Москва(1) 85 85 0,1 0,142
Итого: Италия (6) 2174 2187 37,775
Челябинск (4) 3340 3341 30,973
Москва (1) 3574 3581 11,638
МТС (моб.) (3) 6125 6125 30,625
Тюмень (5) 1995 1995 24,187
Судан (8) 4441 4447 191,531
С.-Петербург (2) 2807 2807 16,29
Франция (7) 11335 11335 302,267
35791 35818 645,287
Дата Зона Длительность Длительность (округленная)
Стоимость за минуту Стоимость
01.07.05 04:15:10 Москва(1) 19 20 0,08 0,027
02.07.05 14:25:30 Франция (7) 71 71 1,5 1,775
03.07.05 18:11:24 Москва(1) 1234 1234 0,08 1,645
04.07.05 01:21:10 Италия (6) 939 939 1,2 18,78
05.07.05 07:12:23 Москва(1) 15 20 0,08 0,027
06.07.05 17:22:13 С.-Петербург (2) 43 50 0,22 0,183
07.07.05 22:45:52 Судан (8) 18 20 3,1 1,033
08.07.05 09:10:15 С.-Петербург (2) 20 20 0,22 0,073
09.07.05 12:32:16 Москва(1) 81 81 0,08 0,108
10.07.05 19:11:25 Тюмень (5) 345 345 0,4 2,3
11.07.05 02:50:38 Италия (6) 607 607 1,2 12,14
12.07.05 06:00:20 Челябинск (4) 4521 4521 0,35 26,373
13.07.05 13:11:45 С.-Петербург (2) 92 92 0,22 0,337
14.07.05 10:12:28 МТС (моб.) (3) 165 165 0,3 0,825
15.07.05 15:27:13 Москва(1) 13 20 0,15 0,05
16.07.05 11:58:22 Москва(1) 441 441 0,08 0,588
17.07.05 14:17:23 С.-Петербург (2) 1002 1002 0,2 3,34
18.07.05 20:34:31 Италия (6) 1935 1935 1,5 48,375
19.07.05 11:15:53 Москва(1) 11741 11741 0,15 29,353
20.07.05 17:52:33 Москва(1) 4232 4232 0,15 10,58
21.07.05 19:20:41 Челябинск (4) 261 261 0,5 2,175
6
Контрольные примеры
22.07.05 02:16:14 Тюмень (5) 594 594 0,4 3,96
23.07.05 15:47:22 Италия (6) 334 334 1,2 6,68
24.07.05 11:17:27 Франция (7) 955 955 1,5 23,875
25.07.05 22:34:51 Тюмень (5) 1245 1245 0,7 14,525
26.07.05 10:37:21 Москва(1) 6977 6977 0,15 17,443
27.07.05 14:47:29 Москва(1) 1316 1316 0,15 3,29
28.07.05 08:45:23 С.-Петербург (2) 2892 877 0,15 2,193
28.07.05 08:45:23 С.-Петербург (2) 2892 2015 0,22 7,388
29.07.05 11:04:03 Италия (6) 775 775 1,5 19,375
30.07.05 18:05:11 МТС (моб.) (3) 231 231 0,2 0,77
31.07.05 23:14:43 Москва(1) 492 492 0,08 0,656
Итого: Челябинск (4) 4782 4782 28,548
Италия (6) 4590 4590 105,35
МТС (моб.) (3) 396 396 1,595
Москва (1) 26561 26574 63,766
Тюмень (5) 2184 2184 20,785
Судан (8) 18 20 1,033
С.-Петербург (2) 6941 4056 13,515
Франция (7) 1026 1026 25,65
46498 43628 260,241
257
NetUP UTM5. Руководство администратора
25
8
ПЛАТЁЖНЫЕ СИСТЕМЫ
Введение
Модуль интеграции UTM5 с платёжными системами используется для регистрации платежей абонентов, произведённых через внешние платёжные системы, в биллинговой системе UTM5.
Модуль обеспечивает:
• прием и регистрацию запросов, предназначенных для UTM5, по протоколам, специ-фичным для каждой из внешних платёжных систем;
• ответ на запросы по протоколам, специфичным для каждой из внешних платёжных сис-тем;
• проверку достоверности запросов в реальном времени;
• регистрацию платежа в UTM5 в реальном времени;
• возможность просматривать зарегистрированные запросы платёжных систем;
• возможность вводить корректировки платежей с последующей повторной регист-рацией;
• возможность устанавливать комиссионный сбор для каждой платёжной системы в от-дельности;
• возможность производить настройку обработки запросов платёжных систем.
Модуль интеграции UTM5 с платёжными системами состоит из:
• базового модуля – серверной части External Payment Systems Server, построенной на платформе NetUP Business Server (NBS);
• набора дополнительных модулей для каждой внешней платёжной системы;
• центра управления системой, построенного на платформе United Control Center (UCC).
По умолчанию модуль интеграции идентифицирует получателя платежа по номеру ли-цевого счета или наименованию, в зависимости от выбранного типа при установке.
Набор дополнительных модулей включает в себя модули для следующих платёжных систем:
• Бином (Элекснет);
• Волжский банк;
• КредитПилот;
• Номинал;
• ОДНО.КАСАНИЕ;
• ОСМП;
• Рапида;
259
NetUP UTM5. Руководство администратора
26
• Свободная касса;
• Уникасса;
• Яндекс.Деньги;
• Яндекс.Деньги v2;
• Chronopay;
• Ciberpay;
• CyberPlat;
• E-port;
• E-port v2;
• HandyBank;
• Mobi Money;
• Mobw;
• Money Money;
• Novoplat;
• PayPal;
• Quickpay;
• SMS4Pay;
• WebCreds;
• WebMoney;
• Wmer;
• Z-pay.
Системные требования:
• сервер с установленной биллинговой системой UTM5 (системные требования UTM5 см. на сайте http://www.netup.ru/),
° работающей под управлением одной из ОС:
* FreeBSD 5.4 или совместимая с ней;
* GNU/Linux (kernel 2.6);
° и использующей для хранения данных одну из СУБД:
* MySQL версии 5.0.32 или выше;
* PostgreSQL версии 8.2 или выше;
° наличие утилиты utm5_payment_tool (поставляется в составе дистрибутива UTM5);
° наличие библиотеки openssl (см. www.openssl.org) версии 0.9.8 и выше;
• станция с установленным окружением Java Runtime Environment версии 6.0 и выше (JRE 1.6.0.x) для управления Модулем Интеграции.
0
Платёжные системы
Для платёжной системы Яндекс.Деньги необходимо наличие библиотеки gnupg (см. www.gnupg.org) версии 1.4.3.
Существует альтернативный модуль интеграции UTM5 с платёжными системами, фун-кционирующий в тестовом режиме и описанный отдельно ниже, см. Платёжные системы
v.2 на стр. 297.
Схема работы
Краткое описание схемы работы:
1. Модуль принимает запросы от платёжных систем;
2. Модуль производит проверку корректности запроса, регистрацию запроса в собствен-ных таблицах базы данных UTM5;
3. Модуль вызывает для проведения платежа утилиту utm5_payment_tool.
Утилита utm5_payment_tool, её конфигурационный файл и возможные параметры командной строки описаны в разделе Утилита utm5_payment_tool на стр. 275.
Базовый модуль NBS External Payment Server выступает в качестве серверной части, принимая от клиента при помощи протокола HTTPS специальным образом сформирован-ный запрос методом GET или POST. Запрос содержит идентифицирующий платёжную си-стему параметр URI, и параметры, специфичные для каждой платёжной системы.
Рис. 105. Схема работы модуля.
261
NetUP UTM5. Руководство администратора
26
Параметр URI – часть HTTP-запроса, находящаяся между адресом сервера и знаком во-проса. Например, в запросе
параметр URI = /osmp.
URI платежных систем при использовании настроек по умолчанию:
https://example.com:8080/osmp?command=check&txn_id=1234567& account=0957835959&sum=10.45
Платежная система URI
Бином /binom
ВолжскийБанк
/vb_ok_pay_step1
/vb_ok_pay_step2
Кредит-Пилот /credit_pilot
Номинал /nominal
ОдноКасание
/ok_pay_step1
/ok_pay_step2
ОСМП /osmp
Рапида /rapida
СвободнаяКасса /freecash
Уникасса /unikassa
Яндекс.Деньги /yandex-money
Яндекс.Деньги v2 /yandex-money-v2
ChronoPay /chronopay
Ciberpay /ciberpay
CyberPlat /cyberplat
e-port /eport
e-portv2 /eport_v2
HandyBank /handy_bank
Mobi Money /mobi_money
Mobw /mobw-wrapper
Money Money /money-money
Novoplat /novoplat
PayPal /paypal
Quickpay /quickpay
SMS4PAY /sms4pay
2
Платёжные системы
Существуют следующие типы запросов:
• Запрос верификации (запрос состояния абонента, проверка состояния счета и т.д.);
• Запрос проведения платежа (проведение сделки, пополнение баланса, пополнение ли-цевого счета, оповещение о платеже, уведомление об оплате и т.д.);
• Запрос проверки состояния платежа.
HTTPS-запрос передается соответствующему дополнительному модулю платёжной системы на обработку. При этом генерируется событие разбора HTTPS-запроса. Это собы-тие принадлежит семейству событий [netup:http].
Каждый установленный дополнительный модуль платёжной системы добав-ляет в семейство [netup:http] собственное событие разбора запроса. На-пример, модуль платёжной системы e-port добавляет событие разбора запроса [netup:http]http_request[1.eport].
В соответствии с типом запроса событием разбора HTTPS-запроса могут генерировать-ся события:
• Проверки возможности внесения платежа [netup: business]payment_ verification [1.external];
• Внесения платежа [netup:business]new_payment[1.external].
События инициируют связанные с ними операции, имеющие ряд этапов, настраива-емых администратором системы. Такими этапами являются:
• SQL запросы типа SELECT к таблицам базы данных UTM5 с выбором значения ровно одного параметра;
• команды, исполняемые оболочкой операционной системы.
Команды могут быть представлять собой shell-скрипты, определяемые пользователем. Для разделения команд в UNIX-подобных ОС используются разделители операционной системы.
Примеры операций приведены ниже.
Пример 1
Событие проверки возможности внесения платежа [netup: business]payment_ verification[1.external] инициирует операцию проверки платежа, этапом кото-рой является:
WebCreds /webcreds
WebMoney /web_money
Wmer /wmer
Z-Pay /z_pay
Платежная система URI
263
NetUP UTM5. Руководство администратора
26
1. SQL запрос к таблицам базы данных UTM5
Пример 2
Событие внесения платежа [netup:business]new_payment[1.external] инициирует операцию внесения платежа, этапами которой являются:
1. SQL запрос к таблицам базы данных UTM5
(случай аутентификации платежа по номеру лицевого счёта).
2. Команда оболочки операционной системы
имеющая ключи:
Результатом исполнения события внесения платежа является присвоение запросу пла-тёжной системы состояния:
• PROCESSED – обработанный платеж (синтаксис запроса корректен, корректна бизнес-логика проведения платежа, платеж зарегистрирован в системе UTM5);
• IDENTIFIED – идентифицированный платеж (синтаксис запроса корректен, корректна бизнес-логика проведения платежа, но платеж не зарегистрирован в системе UTM5, т.к. невозможно выполнить shell-команду);
• UNKNOWN – неизвестный платеж (синтаксис запроса корректен, но нарушена бизнес-ло-гика проведения платежа).
SELECT db.personal_accounts.id AS personal_account_ id FROM personal_accounts WHERE personal_accounts. id = «$account»
SELECT event.sum AS amountSELECT db.personal_accounts.id AS personal_account_ id FROM personal_accounts WHERE personal_accounts. id = «$cid»
/netup/utm5/bin/utm5_payment_tool
-e идентификатор платежа;
-k комментарий;
-l логин системного пользователя UTM5, от имени которого производится платёж;
-p пароль системного пользователя UTM5, от имени которого производится платёж;
-a номер лицевого счета в UTM5;
-b сумма;
-c код валюты, в которой вносится платёж;
-i включить интернет;
-C путь к файлу конфигурации;
-L комментарий для администратора.
4
Платёжные системы
Пример 3
Событие проверки состояния платежа [netup:business]required_payments[1.external] инициирует операцию проверки состояния платежа, этапами которой являются:
1. SQL запрос к таблицам базы данных UTM5
2. Команда оболочки операционной системы
Для тестовых платежей (платежи, при обработке которых производятся те же действия, что и обычно, но без вызова утилиты utm5_payment_tool) существуют состояния UNKNOWN_ON_TEST и IDENTIFIED_ON_TEST..
Для принудительного переведения платежа из состояния IDENTIFIED в со-стояние PROCESSED вызывается событие [netup:integration] payment_registration[1.external], которое пытается выполнить shell-команду, инициируемую событием внесения платежа.
Для платёжных систем Яндекс.Деньги, Z-PAY и WebMoney бизнес-логика внесения платежа включает обязательную стадию предварительной проверки возможности прове-дения платежа. Для данных систем синтаксически корректные платежи:
• не прошедшие предварительную проверку;
• прошедшие проверку, но при окончательном внесении платежа имеющие изменённые значения суммы, валюты, номера счета;
– получат состояние UNKNOWN.
В базе данных хранятся только те платежи, на которые система дала положительный ответ.
Технические операции, вызываемые парсером запроса
Существуют специфичные технические операции (проверки), необходимые для обра-ботки запросов платёжных систем.
В зависимости от платёжной системы набор проверок может отличаться.
В качестве проверок могут выступать операции:
• Проверка цифровой подписи;
• Проверка хэш-суммы;
• Проверка входных параметров (например, секретного слова);
• Проверка адресата;
• Генерация подписи;
• Проверка подписи;
SELECT db.payments.id AS payment_id FROM payments WHERE payments.bill_number = «$bill_number» AND payments.state = «$state_processed» AND payments.type = «$type_cyberplat»
echo -n «$payment_id»
265
NetUP UTM5. Руководство администратора
26
• Поиск идентификатора договора;
• Поиск клиента;
• Поиск расчётного счёта.
Примеры проверок приведены ниже.
• Проверка цифровой подписи:
1. Команда оболочки операционной системы
• Проверка хэш-суммы:
1. SQL запрос к таблицам базы данных UTM5
2. Команда оболочки операционной системы
• Проверка входных параметров:
1. SQL запрос к таблицам базы данных UTM5
• Проверка адресата:
1. SQL запрос к таблицам базы данных UTM5
• Генерация подписи:
FSIGN=$RANDOM.sign; echo -n «$pgpsignature» perl /netup/etc/hex2bin.pl > /netup/etc/$FSIGN ; FTEXT=$RANDOM.text; echo -n «$orderispaid»»;» «$order sumamount»»;»»$ordersumcurrencypaycash»»;» «$ordersum bankpaycash»»;»»$shopid»»;»»$ordernumber»»;» «$customernumber» > /netup/etc/$FTEXT ;gpg —verify /netup/ etc/$FSIGN /netup/etc/$FTEXT;TMP_RESULT=$? ;rm /netup/ etc/$FSIGN /netup/etc/$FTEXT ; exit $TMP_RESULT ;
SELECT db.staff.password AS staff_password FROM staff WHERE staff.id = «$staff_id»
expr «$md5» == `echo -n «$orderispaid»»;»»$ordersumamount»»;» «$ordersumcurrencypaycash»»;»»$ordersumbankpaycash»»;» «$shopid»»;»»$ordernumber»»;»»$customernumber»»;» «$staff_password» | openssl dgst -md5 tr «[:lower:]» «[:upper:]»` ;
SELECT db.staff.password AS staff_password FROM staff WHERE staff.id = «$staff_id» AND staff.password = «$dpass»
SELECT db.staff.login AS staff_login FROM staff WHERE staff.id = «$staff_id» AND staff.login = «$lmi_payee_purse»
6
Платёжные системы
1. Команда оболочки операционной системы
• Проверка цифровой подписи:
1. Команда оболочки операционной системы
• Поиск идентификатора договора:
1. SQL запрос к таблицам базы данных UTM5
2. Команда оболочки операционной системы
• Поиск клиента:
1. SQL запрос к таблицам базы данных UTM5
2. Команда оболочки операционной системы
• Поиск расчётного счёта:
1. SQL запрос к таблицам базы данных UTM5
echo -n «$message» | openssl dgst -md5 -sign /net-up/etc/ external-payment-systems/eport/md5/private. pem -hex
FSIGN=$RANDOM.sign; echo -n «$pgpsignature» | perl /netup/etc/hex2bin.pl > /netup/etc/$FSIGN ; FTEXT=$RANDOM.text; echo -n «$orderispaid»»;»»$ordersumamount»»;»»$ordersumcurrencypaycash»»;»»$ordersumbankpaycash»»;»»$shopid»»;»»$ordernumber»»;»»$customernumber» > /netup/etc/$FTEXT ;gpg —verify /netup/etc/$FSIGN /netup/etc/$FTEXT;TMP_RESULT=$? ;rm /netup/etc/$FSIGN /netup/etc/$FTEXT ; exit $TMP_RESULT ;
SELECT db.personal_accounts.id AS personal_account_id FROM personal_accounts WHERE personal_accounts.id = «$agreement_number$i»
echo -n «$personal_account_id»
SELECT db.customers.login AS login FROM customers, personal_accounts WHERE customers.id = personal_accounts.customer_id AND personal_accounts.id = «$agreement_number$i»
echo -n «$login»
SELECT db.settlement_accounts.debit AS balance FROM settlement_accounts, personal_accounts WHERE settlement_accounts.personal_account_id = personal_accounts.id AND personal_accounts.id = «$agreement_number$i»
267
NetUP UTM5. Руководство администратора
26
2. Команда оболочки операционной системы
Настройка серверной части, включая настройку операции, происходит с помощью цен-тра управления и описывается в разделе Работа с центром управления на стр. 276.
В системе e-port для проверки/генерации подписи используются параметры messageи prepared_uri, сгенерированные парсером запроса в соответствии с документацией.
Установка
Модуль интеграции с внешними платёжными системами устанавливается на компью-тер, где уже установлена биллинговая система. Если модуль ставится на отдельную маши-ну, на ней необходимо обеспечить наличие утилиты openssl, клиента доступа к БД, и копии конфигурационного файла биллинговой системы /netup/utm5/utm5.cfg.
Для успешного внесения платежей необходимо наличие консольной утилиты utm5_payment_tool. Если её адрес отличается от значения по умолчанию /netup/utm5/bin/, он должен быть указан при установке модуля интеграции в пара-метре -t.
В случае, если на данном компьютере уже имеется установленная более ранняя версия системы, установочный скрипт создаёт архив с её резервной копией.
Для проведения установки Модуля Вы должны иметь привилегии суперпользо-вателя.
Установка базового модуля
В личном кабинете клиента на сайте http://www.netup.ru/ в разделе Платёжные Систе-
мы необходимо загрузить установочный скрипт базового модуля, имеющий название
где <операционная система> – linux или freebsd, <база данных> – mysql или pgsql, <версия> – номер версии модуля интеграции.
При установке на платформе FreeBSD крайне не рекомендуется использовать директорию /netup в качестве символической ссылки на другую директорию.
Скачайте также файлы netup.keystore и security.tar.gz и поместите их в од-ной директории с установочным скриптом. Если на сервере работает предыдущая версия модуля интеграции, остановите демон netup-payment-systems.
Запустите на сервере установочный скрипт базового модуля:
echo -n «$balance»
netup-payment-systems-<операционная система>-<база данных>-<версия>.sh
# ./netup-payment-systems-<операционная система>-<база данных>-<версия>.sh
8
Платёжные системы
Для справки по параметрам установки наберите следующую команду:
Установочный скрипт может принимать следующие параметры командной строки:
Установка дополнительных модулей
Загрузите по ссылке в личном кабинете установочные скрипты дополнительных моду-лей платёжных систем.
Названия установочных скриптов дополнительных модулей имеют вид:
где <платёжная система> – название платёжной системы, <операционная система> – linux или freebsd, <база данных> – mysql или pgsql, <âåðñèÿ> – номер версии модуля интеграции.
После установки базового модуля запустите на сервере установочные скрипты допол-нительных модулей:
Установочные скрипты дополнительных модулей могут принимать следующие пара-метры командной строки:
# ./netup-payment-systems-<операционная система>-<база данных>-<версия>.sh -h
-b [backup] включает режим сохранения резервной копии
-c [external_config] имя файла конфигурации
-d [destination_folder] путь установки
-h [help] справка
-p [patch] включает режим восстановления
-s [security] путь к файлу с настройками безопасности
-t [external_tool] путь к файлу utm5_payment_tool
-u [uninstall] включает режим деинсталляции
-v [verify] включает режим проверки
netup-<платежная система>-<операционная система>-<база данных>-<версия>.sh,
# ./netup-<платежная система>-<операционная система>-<база дан-ных>-<версия>.sh
-c [external_config] имя файла конфигурации
-d [destination_folder] путь установки
-h [help] справка
-i [installation_scheme] схема авторизации (account / login – по номеру учёт-ной записи или по логину, соответственно)
269
NetUP UTM5. Руководство администратора
27
Установочные скрипты некоторых модулей (см. список ниже) требуют так-же указания определённых дополнительных параметров.
Для справки по параметрам установки наберите следующую команду:
Дополнительные сведения по установке
Список платёжных систем, требующих при установке указания дополнительной ин-формации:
-t [external_tool] путь к файлу utm5_payment_tool
-u [uninstall] включает режим деинсталляции
-v [verify] включает режим проверки
# ./netup-<платежная система>-<операционная система>-<база дан-ных>-<версия>.sh -h
Платежная система Ключ Требуемая дополнительная информация
Кредит-Пилот -l COMPANY_ID (идентификатор провайдера)
Свободная касса -p SECRET_KEY (секретное слово провайдера)
Уникасса-l-p
COMPANY_IDSECRET_KEY
Яндекс-Деньги-l-p
COMPANY_IDSECRET_KEY
Яндекс-Деньги v.2-l-p
COMPANY_ID
SECRET_KEY
ChronoPay -l SITE_ID
CyberPlat Сертификат x509 (см. ниже)
E-Port-k-s
публичный ключ платёжной системыприватный ключ клиента
E-Port v2-k-s
публичный ключ платёжной системыприватный ключ клиента
Handy Bank
-l-k-s
SERVICE_ID (Handy-номер + со-номер)публичный ключ платёжной системыприватный ключ клиента
Mobi Money-l-p
ACCOUNTSHOPPARAMS
MobW-l-p
COMPANY_IDSECRET_KEY
0
Платёжные системы
Идентификатор и пароль
В ряде систем (см. список выше) при установке модуля интеграции требуется сообщить идентификатор провайдера (номер кошелька или другой аналогичный параметр) и / или се-кретное слово провайдера. Данные параметры выдаются по договору между провайдером и платежной системой. Названия параметров, которые для разных платёжных систем мо-гут различаться, также приведены в списке. Идентификатор и/или пароль (секретное сло-во) передаются скрипту установки в параметрах -l и -p, соответственно.
Обмен ключами
В платёжных системах E-port и Handy Bank по договору между провайдером и платеж-ной системой производится обмен публичными ключами для openssl-шифрования (перед этим необходимо сгенерировать собственную пару ключей, приватный и публичный). Для успешной установки модуля интеграции с данными платежными системами необходимо передать ему публичный ключ провайдера и собственный приватный ключ, либо указав полный путь к ним в параметрах установочного скрипта -k и -s, соответственно, либо по-местив ключи в директорию с установочными скриптами.
Публичный ключ
В системе Яндекс.Деньги по договору между провайдером и платежной системой, кро-ме идентификатора провайдера (COMPANY_ID) и секретного слова провайдера (SECRET_KEY), опционально может выдаваться также публичный ключ для GnuPG шиф-рования.
В случае использования шифрования необходимо импортировать ключ на сервере с Модулем платёжных систем:
Money Money-l-p
AUTH_LOGINAUTH_PASSWORD
Novoplat-l-p
AUTH_LOGINAUTH_PASSWORD
PayPal -l RECEIVER_EMAIL
WebCreds-l-p
COMPANY_IDSECRET_KEY
WebMoney-l-p
MAIN_PURSESECRET_KEY
Wmer -p SECRET_KEY
Z-Pay-l-p
MAIN_PURSESECRET_KEY
gpg —import <файл публичного ключа>
Платежная система Ключ Требуемая дополнительная информация
271
NetUP UTM5. Руководство администратора
27
Сертификат x509
В системе CyberPlat необходимо передать платежной системе сертификат x509, полу-чаемый из файла netup.keystore следующей командой:
Активация сертификата
В личном кабинете клиента на сайте http://www.netup.ru/ в разделе Платёжные Систе-
мы по ссылке Скачать сертификат загрузите архив security.tar.gz, содержащий файл хранилища сертификатов netup.keystore и пароль к нему.
В пароле приватного ключа допускается использование латинских букв, цифр, символа подчеркивания и дефиса. Использование других символов не допуска-ется.
После приобретения нового модуля необходимо скачать сертификат заново.
Установка центра управления
Для установки центра управления Модуля интеграции UTM5 с платёжными сис-темами:
1. Загрузите инсталлятор (netup-payment-systems-ucc-install.jar), доступ-ный по ссылке Скачать центр управления в личном кабинете в разделе Платёжные
Системы, а также (при установке впервые) файл netup.keystore в том же разделе.
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 6.0 (Java 1.6.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
2. Запустите инсталлятор.
Язык интерфейса установки, а также самого центра управления зависит от текущей локали ОС, в которой производится запуск файла .jar..
openssl pkcs12 -in netup.keystore | openssl x509 -text
2
Платёжные системы
3. Выберите директорию для уста-новки единого центра управления. При установке поверх старой вер-сии можно пометить флажок Ко-
пировать настройки; при этом директория, содержащая старую версию, будет переименована.
4. Пропишите путь к файлу храни-лища сертификатов(netup.keystore).
5. Нажмите Установить, чтобы установить центр управления.
Настройка
Конфигурирование серверной части
По умолчанию модуль использует конфигурационный файл, расположенный по адресу /netup/etc/netup-payment-systems.config.xml.
Параметры конфигурационного файла устанавливаются автоматически при установке, и в случае надобности редактируются вручную. В частности, необходимо прописать вруч-ную пароль приватного ключа из личного кабинета:
Атрибут ssl_mode в описании портов для HTTP соединений может принимать следу-ющие значения:
• «off» – соединение по HTTP;
• «on» – соединение по HTTPS;
• «certificate verification» – соединение по HTTPS, проводить проверку SSL-сертификата (актуально для платёжных систем, осуществляющих аутентифика-цию на его основе).
Конфигурирование брандмауэра
К системам, отсылающим запросы с определенных IP-адресов, относятся:
• Бином (Элекснет);
• Киберплат;
• КредитПилот;
• Номинал;
<security password=»secret» />
Рис. 106. Установка центра управления.
273
NetUP UTM5. Руководство администратора
27
• ОСМП;
• PayPal;
• Rapida;
• Уникасса.
Для возможности внесения платежей только с серверов этих платёжных систем необ-ходимо настроить брандмауэр. Следует разрешить запросы с IP-адресов серверов платёж-ных систем. Следует запретить запросы с любых других IP-адресов. IP-адреса серверов платёжных систем указаны в договоре с платёжной системой.
К системам, использующим цифровые подписи, относятся:
• e-port;
• e-port по протоколу 2007 года;
• Яндекс.Деньги;
• Z-PAY;
• WebMoney.
Для этих платёжных систем нет необходимости в настройке брандмауэра на запреще-ние запросов к модулю интеграции.
Запуск серверной части
GNU/Linux
Для запуска базового модуля выполните команду
Добавьте базовый модуль к списку ПО, запускаемого автоматически. Например, в Gentoo добавление модуля в список автоматически загружаемых при старте ОС прило-жений производится следующей командой:
Для успешной установки Вам необходимо обладать правами администратора.
FreeBSD
Требуется наличие интерпретатора bash и пакета compat5x.
Для запуска базового модуля выполните команду:
# /etc/init.d/netup-payment-systems start
rc-update add netup-payment-systems default
# /usr/local/etc/rc.d/netup-payment-systems.sh start
4
Платёжные системы
Для автоматического запуска скрипт добавляет в файл /etc/rc.conf строку
Порты
По умолчанию используются следующие порты:
• порт TCP:51010 – при соединении с центром управления по протоколу NetUP XML transaction;
• порт TCP:8080 – при соединении с серверами платежных систем по протоколу HTTPS.
TCP-порты, используемые модулем, задаются в конфигурационном файле мо-дуля.
Журналирование
Лог-файлы располагаются по адресу /netup/log/netup-payment-systems/ и включают:
Утилита utm5_payment_tool
Утилита utm5_payment_tool предназначена для внесения платежей. Исполняемый файл утилиты располагается по адресу /netup/utm5/bin/utm5_payment_tool.
Метод платежа Кредит утилитой не поддерживается.
В командной строке можно передавать следующие параметры:
nbs_eps_enable=»YES»
Файл Описание
common.log Общий лог модуля находится в файле
payments.log Информация о запросах, полученных от платежных систем, включая запросы с некорректным синтаксисом, и результаты их обработки
details.log Полный лог, содержащий всю техническую информацию
database.log Лог работы модуля с базой данных
-h IP-адрес хоста, на котором запущено ядро UTM5
-P Порт, на котором ядро UTM5 слушает URFA
-t Дата внесения платежа в формате unix timestamp
-m Метод платежа
-e Внешний идентификатор платежа
-k Комментарий для пользователя
-l Логин пользователя для доступа к ядру UTM5
275
NetUP UTM5. Руководство администратора
27
По умолчанию utm5_payment_tool использует конфигурационный файл /netup/utm5/utm5_payment_tool.cfg.
Формат конфигурационного файла:
Набор символов, находящийся до знака равенства, является названием параметра, по-сле – значением параметра. Пробелы учитываются. Пустые строки игнорируются. Строка, начинающаяся с символа #, считается комментарием.
Параметры конфигурационного файла имеют больший приоритет, чем параметры ко-мандной строки.
Работа с центром управления
1. Запуск центра управления производится одним из следующих способов:
° двойным нажатием левой клавишей мыши на файле control.center.se.jar, находящемся в директории с распакованным единым центром управления,
-p Пароль пользователя для доступа к ядру UTM5
-a Идентификатор лицевого счета в системе
-b Сумма платежа
-c Код валюты, в которой вносится платеж
-i Включить интернет
-c <путь> Путь к конфигурационному файлу
-L Комментарий для администратора
параметр=значение
Параметр Описание
core_host IP-адрес хоста, на котором запущено ядро UTM5
core_port Порт, на котором ядро UTM5 слушает URFA
core_user Логин пользователя для доступа к ядру UTM5
core_password Пароль пользователя для доступа к ядру UTM5
user_comment Комментарий для пользователя
admin_comment Комментарий для администратора
currency_id Код валюты, в которой вносится платеж
payment_method Метод платежа, по умолчанию 1 (наличными)
turn_on_internet Включить интернет
account_id Идентификатор лицевого счета в системе
external_number Внешний идентификатор платежа
6
Платёжные системы
или
° из консоли Windows или UNIX-подобной ОС (в директории с распакованным еди-ным центром управления) командой
При работе с базами данных, содержащих больше 25 тысяч пользователей, рекомендуется использовать ключ запуска -Xmx1g.
После запуска control.center.se.jar появится окно Параметры соединения.
2. Введите логин и пароль для доступа в систему, а также пароль приватного ключа, указанный в пара-метрах сертификата. Для указания адреса и порта сервера NBS External Payment Systems нажмите
на кнопку Options .
3. При первом запуске и использовании профиля Администратора, введите логин – root, пароль – root. При использовании профиля Менеджера, введите логин – manager, пароль – manager (подробнее о профилях системы в разделе Профили).
4. Для запуска центра управления нажмите на кнопку с надписью External Payment
Systems.Интерфейс администрирования Системы внешних платежей будет запущен.
Профили
Профили обеспечивают разграничение привилегий.
По умолчанию в системе заведены профили Администратора и Менеджера.
java -jar control.center.se.jar
Рис. 107. Окно ввода параметров соединения.
277
NetUP UTM5. Руководство администратора
27
Администратор обладает привилегиями на использование всего функционала системы. Администратор имеет возмож-ность:
• производить операции с платежами в Отчете по платежам;
• настраивать взаимодействие с внешними платёжными систе-мами;
• управлять событиями, ролями, задачами, персоналом;
• просматривать текущие соединения с сервером.
Менеджер имеет возможность производить операции только в Отчете по платежам.
В дальнейшем необходимо изменить логин и пароль для входа в систему, отредактировав данные параметры в свойствах учёт-ных записей подсистем root и manager. Редактирование учёт-ной записи подсистемы описывается в разделе Персонал на стр. 282.
На панели состояния в нижней части окна производится индикация состояния соеди-нения и отображаются дата и время. Зеленый значок индикации соединения означает, что соединение установлено, красный – соединение отсутствует. Для установки нового соеди-нения следует кликнуть левой или правой клавишей мыши на значке индикации, или вы-брать в главном меню Система пункт Открыть соединение…
Для некоторых объектов системы существует возможность вызова контекстного меню объекта путём нажатия правой клавишей мыши на этом объекте.
Рис. 108. Функционал администратора.
Рис. 109. Функционал менеджера.
8
Платёжные системы
После редактирования или добавления данных становится видимой панель уведом-
ления об изменении данных. Кнопка Отклонить отменяет изменения и закрывает дан-
ную панель. Кнопка Применить отправляет изменения на сервер и закрывает данную
панель.
При наведении курсора мыши на названия терминов всплывает подсказка, подробно информирующая о значении термина.
Система
События
Для просмотра списка событий и ролей, способных вызывать эти события, на левой па-нели выберите элемент Система, затем События.
Для событий существует возможность назначать роли, способные вызывать события.
Рис. 110. Панель сообщений.
Рис. 111. Страница События.
279
NetUP UTM5. Руководство администратора
28
Текущие соединения
Для просмотра текущих соединений на левой панели выберите элемент Система, затем Текущие соединения.
Роли
Для просмотра списка зарегистрированных в системе ролей на левой панели выберите элемент Система, затем Роли.
Над ролями существует возможность проводить операции добавления, редактирования и удаления, а также смены порядка в иерархии.
Рис. 112. Страница Текущие соединения.
Рис. 113. Страница Роли.
0
Платёжные системы
Запланированные задачи
Для просмотра перечня запланированных событий выберите на левой панели элемент Система, затем Запланированные задачи.
Будут отображены события, запуск которых планируется, а также дата последнего за-пуска события и периодичность запуска события.
По умолчанию единственным запланированным событием в системе является событие [netup:integration] payment_registration [1.external], которое произ-водит попытку перевода платежа из состояния IDENTIFIED в состояние PROCESSED.
С помощью контекстного меню можно добавлять, удалять, редактировать запланиро-ванные события. При редактировании события имеется возможность выбрать нужное со-бытие (из общего списка событий системы), периодичность запуска, названия, типы и значения передаваемых параметров.
Рис. 114. Страница Запланированные задачи.
Рис. 115. Редактирование задач.
281
NetUP UTM5. Руководство администратора
28
Персонал
Служба – учетная запись подсистемы. Для просмотра перечня зарегистрированных в системе автоматических служб выберите на левой панели элемент Система, затем Персо-
нал.
Будет отображен список логинов и имен автоматических служб системы. Существует возможность добавления, удаления и редактирования автоматических служб.
Каждый установленный дополнительный модуль платёжной системы добавляет собст-венную службу. Например, модуль платёжной системы e-port добавляет службу e-port.
Над учетными записями существует возможность проводить операции:
• Добавления (пункт Добавить контекстного меню);
• Редактирования (пункт Редактировать контекстного меню);
• Удаления (пункт Удалить контекстного меню).
При добавлении указываются логин, пароль, имя службы. При редактировании изменя-ются пароль, имя службы.
Рис. 116. Страница Персонал.
Рис. 117. Редактирование персонала.
2
Платёжные системы
В текущей версии Модуля интеграции параметры Адрес сервера и Порт сервера не используются.
Настройка внешних платёжных систем
Для просмотра списка всех зарегистрированных внешних платёжных систем на левой панели выберите элемент Настройки, затем Внешние платёжные системы.
В таблице Платёжные системы для каждой платёжной системы отобразятся
• Название
• URI
• Комиссионный сбор
• Состояние
• Автоматическая служба
• Событие разбора запроса
• Описание
URI: по URI происходит идентификация запроса платёжной системы.
Комиссионный сбор: комиссия в процентах, снимаемая с платежа абонента в пользу платёжной системы. Пример: абонент внес через платёжную систему 100 рублей, платёж-ная система перевела на баланс провайдера 100 рублей и провела запрос Модулю платёж-ных систем с суммой в 100 рублей. Если комиссионный сбор установлен в 10% – на счет абонента будет перечислено 90 рублей. В дальнейшем провайдер проводит взаиморасчеты с платёжными системами.
Состояние – состояния платёжных систем:
• active – активна, платежи на соответствующий платёжной системе URI прини-маются;
Рис. 118. Страница со списком внешних платежных систем.
283
NetUP UTM5. Руководство администратора
28
• blocked – заблокирована, платежи на соответствующий платёжной системе URI не принимаются;
• setting_up – настраивается в данный момент, платежи на соответствующий платёж-ной системе URI не принимаются (служит для информации другим администраторам системы о производимой настройке).
Автоматическая служба – учетная запись подсистемы, от имени которой будут произ-водиться действия.
Событие разбора запроса – события, соответствующие платёжной системе.
Выбор необходимых для отображения параметров платёжной системы осу-ществляется при выборе пункта Столбцы контекстного меню.
Над платёжной системой существует возможность проводить операции:
• удаления (пункт Удалить платёжную систему контекстного меню);
• добавления (пункт Добавить платёжную систему контекстного меню).
Параметры
С помощью панели Параметры для платёжной системы существует возможность из-менения параметров:
• Название;
• URI;
• Состояние;
• Комиссионный сбор;
• Описание.
Рис. 119. Параметры платежной системы.
4
Платёжные системы
Настройки
С помощью панели Настройки для платёжной системы существует возможность изме-нения параметров:
• Событие разбора запроса;
• Автоматическая служба.
Операции
Соответствуют основным операциям:
• Проверки возможности внесения платежа;
• Внесения платежа;
Рис. 120. Настройки платежной системы.
285
NetUP UTM5. Руководство администратора
28
• Проверки состояния платежа (поддерживается системами Киберплат, E-Port v2, Сво-бодная касса, Мобильный кошелёк).
Над операциями существует возможность проводить:
• Удаление (пункт Удалить операцию контекстного меню);
• Редактирование (пункт Редактировать операцию контекстного меню).
При выборе пункта Редактировать операцию контекстного меню вызывается вкладка Редактирование операции, описанная в разделе Настройка операции на стр. 287.
На данной вкладке для операции существует возможность выставить два из трех состо-яний: активна (галочка в колонке Активность поставлена) или неактивна (галочка в колон-ке Активность не поставлена).
Проверки
Соответствуют техническим операциям (проверкам), используемым парсером запроса для технических нужд:
• Проверки цифровой подписи;
• Проверки хэш-суммы;
• Проверки входных параметров;
• Проверки адресата;
• Генерации подписи;
• Получения баланса;
• Получения логина;
Рис. 121. Операции над платежной системой.
6
Платёжные системы
• Получения номера лицевого счета.
Над проверками существует возможность проводить
• Удаление (пункт Удалить проверку контекстного меню);
• Редактирование (пункт Редактировать проверку контекстного меню).
При выборе пункта Редактировать проверку контекстного меню вызывается вкладка Редактирование проверки, аналогичная вкладке Редактирование операции.
На данной вкладке для проверки существует возможность выставить два из трех состо-яний: активна (галочка в колонке Активность поставлена) или неактивна (галочка в колон-ке Активность не поставлена).
Существующие по умолчанию наборы активных проверок соответствуют текущей ло-гике взаимодействия с внешней платёжной системой.
Настройка операции
Использование данного функционала системы предполагает продвинутый уро-вень пользователя.
Существуют операции двух типов:
• Основная операция;
• Техническая операция (проверка).
Параметры
С помощью панели Параметры для операции существует возможность изменения:
Рис. 122. Проверки для платежной системы.
287
NetUP UTM5. Руководство администратора
28
• Названия;
• Состояния;
• Описания.
Состояние
Операция может иметь состояния:
• active – активна, для основных операций запросы данного типа будут обработаны, для технических операций – проверка будет произведена
• blocked – заблокирована, для основных операций запросы данного типа не будут об-работаны, для технических операций – проверка не будет произведена
• setting_up – настраивается в данный момент, для основных операций запросы дан-ного типа не будут обработаны, для технических операций – проверка не будет произ-ведена (служит для информации другим администраторам системы, что производится настройка операции)
Описание
Подробное описание операции/проверки.
Настройки
С помощью панели Настройки для платёжной системы существует возможность изме-нения параметров:
• Автоматическая служба – учетная запись подсистемы, от имени которой будут произ-водиться операции/проверки.
• Событие – событие, инициирующее операцию/проверку.
Рис. 123. Страница с параметрами операции.
8
Платёжные системы
Существуют следующие этапы выполнения операции, которые могут быть настроены администратором системы:
• SQL-запрос (если задан, выполняется в первую очередь);
• Shell-команда (если задана, выполняется после SQL-запроса).
SQL-запрос
На панели SQL отображаются существующие данной операции SQL запросы.
В нижней части панели SQL будет отображен общий вид выбранного запроса.
SQL запрос задается согласно ANSI SQL.
Например, запрос заданный в виде
означает, что значение переменной sum присваивается переменной amount.
Запрос, заданный в виде
Значение Переменная Условие
event.sum event.amount
Значение Переменная Условие
Рис. 124. Страница с настройками операции.
Рис. 125. SQL запрос.
289
NetUP UTM5. Руководство администратора
29
означает, что значение переменной personal_account_id присваивается значению поля id таблицы personal_accounts из базы данных, если поле id равно значению параметра account, пришедшему в запросе.
Для удаления SQL запроса необходимо выбрать пункт Удалить SQL контекстного ме-ню.
Для создания SQL запроса необходимо задать Значение, Переменную, Условие в пу-стой строке.
Shell-команда
На панели Shell-команда отображаются команды, исполняемые оболочкой операцион-ной системы. Команды могут быть составными и определяются согласно правилам оболоч-ки ОС.
В нижней части панели будет отображен общий вид команды.
Shell-команда должна быть составлена так, чтобы возвращать 0 в случае успешного вы-полнения, и не 0 во всех остальных случаях.
При подстановке в shell-команду вместо параметра его значения экранируются симво-лы одинарной и двойной кавычки.
При необходимости использования в Shell-команде или SQL-запросе значения параме-тра HTTPS-запроса следует использовать слово из словаря EVENT (применимо только для словаря EVENT), написание которого полностью совпадает с написанием параметра (без учета заглавных букв). Тогда при выполнении SQL-запроса или Shell-команды
db.personal_ accounts.id
event.personal_ account_id
db.personal_accounts.id = event.account
Рис. 126. Команда shell.
0
Платёжные системы
EVENT<название параметра> заменяется на <значение параметра>, если такое возможно. В противном случае происходит интерпретация стандартным образом, т.е. как <название параметра>.
Отчет по платежам
Для отображения отчета по платежам пользователей, пополнивших баланс лицевых счетов с помощью внешних платёжных систем (пользователи указывали в качестве своего идентификатора номер лицевого счета в системе UTM5), необходимо выбрать на левой па-нели элемент Отчеты, затем Отчет по платежам.
Получение данных
С помощью панели Получение данных производится фильтрация платежей по следу-ющим параметрам:
• Состояние:
° не выбрано (платежи в любых состояниях);
° идентифицированные (платежи в состоянии IDENTIFIED);
° неизвестные (платежи в состоянии UNKNOWN);
° необработанные (платежи в состояниях IDENTIFIED и UNKNOWN);
° обработанные (платежи в состоянии PROCESSED).
• Тип: идентификатор обработчика, который принимал запрос.
• Время проведения платежа.
• Произвольная строка: отображаются платежи, соответствующие заданному в строке фильтрации шаблону. С помощью контекстного меню можно выбрать режим фильт-рации:
° Все слова фразы
° Фраза целиком
Рис. 127. Страница отчета по платежам.
291
NetUP UTM5. Руководство администратора
29
° Хотя бы одно слово фразы
Таблица c платежами
Для отображения платежей, соответствующих параметрам фильтрации, следует нажать кнопку Создать. Будет отображена таблица c платежами, содержащая следующие параметры платежа:
• ID;
• Дата;
• Лицевой счет;
• Имя;
• Сумма;
• Тип;
• Идентификатор;
• Состояние.
• ID – идентификатор платежа в базе данных Модуля Интеграции. Играет роль индекса платежа. При необходимости передается платёжной системе для сверки.
• Дата – момент регистрации платежа в платёжной системе. Если платёжной системой дата не передается – используется дата регистрации платежа в Модуле Интеграции.
• Лицевой счет – номер лицевого счета в UTM5, на который пришел платёж.
• Имя – имя клиента, которому принадлежит лицевой счет.
• Логин – логин клиента, которому принадлежит лицевой счет.
• Сумма – сумма платежа.
Рис. 128. Таблица платежей.
2
Платёжные системы
• Валюта – валюта платежа.
• Тип – идентификатор обработчика, которым был обработан запрос.
• Идентификатор – уникальный для данной платёжной системы идентификатор плате-жа, составленный из параметров, пришедших в запросе, в формате
• Состояние – состояние платежа, присвоенное ему после обработки.
Названия параметров заданы в нижнем регистре и отсортированы по алфавиту.
Категорически не рекомендуется изменять значение Идентификатора.
Выбор необходимых для отображения параметров платежа осуществляется в пункте Столбцы контекстного меню.
Существует возможность изменять значения некоторых параметров платежей одним из двух способов:
• выделение параметра и ввод нового значения (для суммы и идентификатора);
• выделение параметра и выбор нового значения из выпадающего списка (для даты, ли-цевого счета, имени, логина и т.д.)
Для того, чтобы в выпадающем списке присутствовали параметры всех пользователей, занесенных в базу UTM5, следует нажать кнопку Подгрузить Информацию о Клиентах.
Обработанные платежи
При правильной настройке системы платежи должны получать статус обработанных (PROCESSED).
параметр=<значение>&параметр=<значение>…
293
NetUP UTM5. Руководство администратора
29
Для просмотра обработанных платежей произведите фильтрацию по состоянию Обра-
ботанные, задайте с помощью фильтра времени необходимый временной диапазон и на-жмите Создать.
Идентифицированные платежи
При невозможности выполнить shell-команду платеж идентифицируется Модулем Ин-теграции, но его регистрация в системе UTM5 не происходит. Такой платеж получает ста-тус идентифицированного (IDENTIFIED).
Для просмотра идентифицированных платежей произведите фильтрацию по состо-янию Идентифицированные, задайте с помощью фильтра времени необходимый времен-ной диапазон и нажмите Создать.
Рис. 129. Обработанные платежи.
Рис. 130. Идентифицированные платежи.
4
Платёжные системы
Попытка регистрации данных платежей в UTM5 и перевода их в состояние PROCESSED (обработанные) производится событием [netup:integration] payment_registration[1.external]. Данное событие вызывается пунктом кон-текстного меню Попробовать зарегистрировать платеж или в соответствии с настрой-ками планировщика событий. Для попытки регистрации всех идентифицированных платежей выберите пункт контекстного меню Попробовать зарегистрировать все плате-
жи.
По умолчанию событие [netup:integration]payment_registration [1.external] вызывается автоматически в соответствии с планировщиком событий каждые 90 минут. Планирование событий производится во вкладке Запланированные
задачи и описывается в соответствующем разделе документации.
Неизвестные платежи
При нарушении бизнес-логики проведения платежа платеж не идентифицируется Мо-дулем Интеграции. Такой платеж получает статус неизвестного (UNKNOWN).
Для просмотра неизвестных платежей произведите фильтрацию по состоянию Неиз-
вестные, задайте с помощью фильтра времени необходимый временной диапазон и на-жмите Создать.
Неидентифицированный платеж при необходимости возможно зарегистрировать, изменив его состояние на IDENTIFIED, и вызвав событие [netup:integration] payment_registration[1. external].
События
• Если в бизнес-логике проведения платежа предусмотрена необходимость предвари-тельной проверки, параметры предварительной проверки платежа будут отображены на панели Событие предварительной проверки.
• Панель Пришедшее событие для платежа отображает полученные от платёжной сис-темы параметры платежа.
Рис. 131. Неизвестные платежи.
295
NetUP UTM5. Руководство администратора
29
• Панель Предварительно обработанное событие для платежа отображает параметры платежа, обработанного системой.
6
ПЛАТЁЖНЫЕ СИСТЕМЫ V.2
Введение
Новый модуль интеграции с платёжными системами работает с UTM начиная с версии 5.2.1-008. В настоящее время данный модуль функционирует только на платформе x86 под ОС Linux или FreeBSD с базой данных MySQL, и поддерживает следующие платёжные системы:
• ChronoPay;
• CiberPay;
• Comepay;
• CyberPlat;
• CyberPlat v2;
• E-port v2;
• Handy Bank;
• HyperPay;
• Mainpay;
• MOBI.Деньги;
• Money-Money;
• PayBox;
• Paynet;
• PayPal;
• Quickpay;
• SMS4Pay;
• WebMoney;
• Z-Payment;
• Волжский банк;
• ЕСГП;
• Кассира.Нет;
• КредитПилот;
• Мобильный кошелек;
• НовоПлат;
• Номинал;
• Одно касание;
• ОСМП;
297
NetUP UTM5. Руководство администратора
29
• ПСКБ;
• ПСКБ ЕС;
• Рапида;
• Свободная касса;
• ТелСелл;
• Терминал;
• Уникасса;
• Элекснет-СПб;
• Элекснет-У;
• Яндекс.Деньги v2 (протокол взаимодействия версии 1.16 от 21.04.2010).
Для работы с новым модулем необходим также новый центр управления.
Платежи, проведённые с помощью предыдущей версии модуля интеграции, не отображаются в новом интерфейсе управления. Отчеты по таким платежам следует просматривать через интерфейс администратора биллинга UTM5.
Установка
Для установки нового модуля интеграции требуется сервер с операционной системой FreeBSD (7.x или совместимой) или Linux, а также сервер баз данных MySQL 5.0.x. Перед установкой модуля интеграции необходимо создать отдельную базу MySQL:
В личном кабинете клиента на сайте http://www.netup.ru/ в разделе Платёжные Систе-
мы необходимо загрузить установочный скрипт базового модуля, имеющий название netup-payment-systems-<система>-5.0.sh, где <система> – Linux или FreeBSD.
Если на сервере работает предыдущая версия модуля интеграции, остановите демон netup-payment-systems.
Запустите на сервере установочный скрипт базового модуля:
Для справки по параметрам установки наберите следующую команду:
Установочный скрипт может принимать следующие параметры командной строки:
mysqladmin create PAYMENT_SYSTEMS
# ./netup-payment-systems-<система>-5.0.sh -i
# ./netup-payment-systems-<система>-5.0.sh -h
-i —install включает режим установки
-u —update включает режим обновления
—uninstall включает режим удаления
8
Платёжные системы v.2
После установки необходимо:
1. Сменить пароль приватного ключа в конфигурационном файле (см. Конфигурацион-
ный файл на стр. 300) на значение, указанное в личном кабинете.
2. Скачать в личном кабинете файл netup.keystore и поместить его в директории /netup/etc.
3. Запустить демон модуля (см. Запуск серверной части на стр. 299).
4. Установить и запустить центр управления (см. Установка центра управления на стр. 299).
5. Настроить параметры соединения с UTM5 (см. Соединение с UTM 5 на стр. 308);
6. Настроить параметры соединения с платежными системами (см. Внешние платежные
системы на стр. 306).
Для успешной установки Вам необходимо обладать правами администратора.
Запуск серверной части
Базовый модуль запускается следующей командой.
° Для Linux:
° Для FreeBSD:
В случае Linux добавьте базовый модуль к списку ПО, запускаемого автоматически. Например, в Gentoo добавление модуля в список автоматически загружаемых при старте ОС приложений производится следующей командой:
Установка центра управления
Для установки центра управления модуля интеграции:
1. Загрузите инсталлятор (payment-systems-v2.jar), доступный по ссылке Скачать
центр управления в личном кабинете в разделе Платёжные Системы, а также (при установке впервые) файл netup.keystore в том же разделе.
-p —patch-db включает режим восстановления
-b —backup включает режим сохранения резервной копии
-e —extract распаковать в текущую директорию
-h —help отображает справку
-v —version отображает номер версии
/etc/init.d/netup-payment-systems-v2 start
/usr/local/etc/rc.d/netup-payment-systems-v2.sh start
rc-update add netup-payment-systems-v2 default
299
NetUP UTM5. Руководство администратора
30
Для запуска интерфейса необходимо установить Java Runtime Environment (JRE) версии 6.0 (Java 1.6.x) или выше. Дистрибутив JRE доступен для загрузки на сайте производителя http://java.com в разделе Downloads.
2. Запустите инсталлятор.
Язык интерфейса установки, а также самого центра управления зависит от текущей локали ОС, в которой производится запуск файла .jar..
3. Выберите директорию для уста-новки единого центра управления. При установке поверх старой вер-сии можно пометить флажок Ко-
пировать настройки; при этом директория, содержащая старую версию, будет переименована.
4. Пропишите путь к файлу храни-лища сертификатов(netup.keystore).
5. Нажмите Установить, чтобы уста-новить центр управления.
Настройка
Конфи гу ра ци он ный файл
По умолчанию новый модуль интеграции использует конфигурационный файл /netup/etc/netup-payment-systems-v2.config.xml.
Параметры конфигурационного файла прописываются автоматически при установке, и в случае надобности редактируются вручную. После внесения изменений рекомендуется перезагрузить модуль интеграции.
К необходимым настройкам относятся:
• Параметры соединения с собственной базой данных
• Пароль приватного ключа из личного кабинета
Остальные настройки включают:
• Параметры портов
<database host=»your_ip» login=»your_db_login» password=»your_db_passwd» name=»payment_systems» />
<security password=»secret» />
<transport>
Рис. 132. Установка центра управления.
0
Платёжные системы v.2
Атрибут ssl_mode в описании портов для HTTP-соединений может принимать сле-дующие значения:
° «off» – соединение по HTTP;
° «on» – соединение по HTTPS;
° «certificate verification» – соединение по HTTPS, проводить провер-ку SSL-сертификата (актуально для платёжных систем, осуществляющих аутен-тификацию на его основе).
• Параметры журналирования
Атрибут level перечисляет через запятую типы событий, записываемых в лог-файл (см. Журналирование на стр. 305).
• Команду проверки платежа (по умолчанию не задана, см. Внешние платежные систе-
мы: Тип проверки на стр. 307).
Здесь <команда> – полный путь к исполняемому файлу, осуществляющему провер-ку параметров платежа.
• Дополнительные параметры (по умолчанию закомментированы):
При высокой нагруженности системы можно раскомментировать данную строку и отрегулировать значение времени ожидания ответа биллинга на уведомление о плате-же с помощью параметра timeout. Его значение по умолчанию равно 10.
• Код валюты платежа по умолчанию:
Необходимо удостовериться, что в биллинге зарегистрирована валюта с таким кодом.
<xml port=»51010″ max_connections=»10″ /><https port=»8080″ ssl_mode=»on» priority=»3″/><https port=»8081″ ssl_mode=»on» priority=»4″/>
</transport>
<logger><appender level=»error, debug, warning, info, sql»/>
</logger>
<tool><filter command=»<êîìàíäà>» />
</tool>
<!— <system pid_file=»/var/run/netup-payment-systems.pid » plugins_path=»/netup/netup-payment-systems/plugins» timeout=»20″/> —>
<system default_iso_currency_code=»398″/>
301
NetUP UTM5. Руководство администратора
30
• Идентификатор провайдера для системы ОСМП (используется в событии запроса от-чёта по платежам, см. События на стр. 310):
• Путь к конфигурационному файлу для системы PayBox (см. Система PayBox на стр. 304):
Дополнительные параметры
Для работы с некоторыми платёжными системами (см. список ниже) требуются допол-нительные параметры, которые передаются модулю интеграции после установки, через центр управления, на странице Настройки: Внешние платежные системы, либо исполь-зуются внешними утилитами проверки транзакций.
В системе Яндекс-Деньги v.2 параметр shopPassword необходимо заносить в поле Па-
роль только при договоренности с Яндексом о проверке md5. Если пароль не указан, то мо-дуль интеграции автоматически включает проверку PGP (как рекомендованную самим Яндексом).
<osmp pay_id=»osmp_unique_provider_id»/>
<sfour configuration=»/netup/etc/sfour.xml» />
Платежная система Требуемая дополнительная информация
Свободная касса SECRET_KEY (секретное слово провайдера)
Уникасса,Terminal,PSKB,PSKB_EC
COMPANY_IDSECRET_KEY
Яндекс-Деньги v.2ShopIDshopPassword
ChronoPay SITE_ID
ComePay SECRET (пароль)
CyberPlat Сертификат x509 (см. ниже)
Handy BankSERVICE_ID (Handy-номер + со-номер)публичный ключ платёжной системыприватный ключ клиента
Mainpay Секретное слово провайдера (пароль)
WebMoneyMAIN_PURSESECRET_KEY
2
Платёжные системы v.2
Идентификатор и пароль
В ряде систем (см. список выше) при установке модуля интеграции требуется сообщить идентификатор провайдера (номер кошелька или другой аналогичный параметр) и / или се-кретное слово провайдера. Данные параметры выдаются по договору между провайдером и платежной системой. Названия параметров, которые для разных платёжных систем мо-гут различаться, также приведены в списке.
Обмен ключами
В платёжной системе Handy Bank по договору между провайдером и платежной систе-мой производится обмен публичными ключами для openssl-шифрования (перед этим необ-ходимо сгенерировать собственную пару ключей, приватный и публичный). Для успешной работы модуля интеграции с данной платежной системой необходимо обеспечить ему до-ступ к публичному ключу системы (см. Работа с центром управления: Внешние платеж-
ные системы на стр. 306, параметр Доверенный сертификат) и собственному приватному ключу (там же, параметр Приватный ключ).
Публичный ключ
В системе Яндекс.Деньги по договору между провайдером и платежной системой, кро-ме идентификатора провайдера (COMPANY_ID) и секретного слова провайдера (SECRET_KEY), опционально может выдаваться также публичный ключ для GnuPG шиф-рования.
В случае использования шифрования необходимо импортировать ключ на сервере с Модулем платёжных систем:
Сертификат x509
В системе CyberPlat необходимо передать платежной системе сертификат x509, полу-чаемый из файла netup.keystore следующей командой:
Система mainpay
Взаимодействие с системой mainpay возможно только по протоколу HTTP. Поэтому для данной платежной системы рекомендуется выделить отдельный порт, на котором отклю-чить SSL (заданием параметра ssl_mode=»off», см. Конфигурационный файл: Пара-
метры портов на стр. 300). Для приема платежей необходимо задать секретное слово в поле Пароль на странице настроек центра управления (см. Работа с центром управления:
Внешние платежные системы на стр. 306) для mainpay.
Режим тестовых платежей mainpay в модуле не поддерживается.
gpg —import <файл публичного ключа>
openssl pkcs12 -in netup.keystore | openssl x509 -text
303
NetUP UTM5. Руководство администратора
30
Система PayBox
Протокол взаимодействия с PayBox предполагает, что с модулем интеграции напрямую взаимодействуют терминалы, каждый из которых имеет свой идентификатор и пароль. Список терминалов следует хранить в отдельном XML-файле следующего формата:
Для каждого терминала указываются: идентификатор, пароль, идентификатор группы (ClearingNumber), и опционально – состояние.
Путь к данному файлу указывается в атрибуте тега <sfour/> (см. Конфигурацион-
ный файл на стр. 300). При модификации файла новые настройки применяются автомати-чески без перезапуска системы.
Система Paynet
В качестве шаблонов для ответов платёжной системе используются XML-файлы, находящиеся в /netup/etc/:
• paynet_export.xml
• paynet_export_fail.xml
• paynet_payment_fail.xml
• paynet_payment_success.xml
• paynet_precheck_fail.xml
• paynet_precheck_success.xml
• paynet_status_fail.xml
• paynet_status_success.xml
Файлы содержат переменные, которые при генерации ответа заменяются своими значе-ниями. Список допустимых переменных включает:
• __TRANSACTION_TIME__ – время совершения транзакции;
• __TIMESTAMP__ – текущее время;
• __DESCRIPTION__ – пояснение;
• __STATUS__ – статус операции в Paynet;
• __ERROR_CODE__ – код ошибки в UTM5;
• __PAYMENT_ID__ – идентификатор платежа в UTM5;
• __STATE__ – статус операции в UTM5 (по существу не используется, всегда «обрабо-тано»).
В остальном содержимое файлов (структуру, названия тэгов, их атрибуты) можно ме-нять произвольным образом.
<terminal MachineMark=»No1″ ClearingNumber=»gr1″ Secret=»pwd1″ State=»Blocked»/><terminal MachineMark=»2″ ClearingNumber=»gr1″ Secret=»pwd2″ />
4
Платёжные системы v.2
Журна ли ро ва ние
Служебные сообщения модуля интеграции с платёжными системами пишутся в лог-файл, расположенный по адресу /netup/log/netup-payment-systems-v2.log.
При перезагрузке модуля или получении им сигнала SIGHUP лог-файл закрывается, к его имени добавляется суффикс «.<timestamp>» (время закрытия файла в формате unix timestamp), и открывается новый лог-файл под прежним именем.
Старые лог-файлы не удаляются автоматически.
Работа с центром управления
1. Запустите центр управления одним из следующих способов:
° двойным нажатием левой клавишей мыши на файле control.center.se.jar, находящемся в директории с распакованным центром управления,
или
° из консоли Windows или UNIX-подобной ОС (в директории с распакованным цен-тром управления) командой
После запуска control.center.se.jar появится окно Параметры соединения.
2. Введите логин и пароль для доступа в систему (при первом запуске логин – root, па-роль – root, в дальнейшем смените пароль, см. Персонал на стр. 311), а также пароль приватного ключа, указанный в параметрах сертификата.
3. Нажмите на кнопку Options
и укажите адрес и
порт сервера NBS External Payment Systems.
4. Для запуска центра управле-ния нажмите на кнопку с надписью External Payment
Systems.
Функционал нового модуля и интерфейс его центра управления в целом аналогичны стандартным (см. Работа с центром управления на стр. 276), со следующими отличиями:
• Для взаимодействия с ядром UTM5 используется новый протокол NXT v.2;
• Поддерживаются более новые версии протоколов взаимодействия с платежными сис-темами;
• Все модули для платежных систем входят в состав одного дистрибутива, т.е. не нужно устанавливать отдельные модули;
• Утилита utm5_payment_tool не используется;
java -jar control.center.se.jar
Рис. 133. Окно ввода параметров соединения.
305
NetUP UTM5. Руководство администратора
30
• Метод платежа фиксирован (Банковский перевод);
• Свойства платежа Включить интернет и Посылать уведомления контролируются ин-терфейсными параметрами UTM5 (см. Ядро системы: Интерфейсные параметры на стр. 134) ext_payment_inet_on и ext_payment_notify, соответственно;
• На странице Отчет по запросам в группе Отчеты добавлена возможность фильтрации по типу запроса (новый платеж, проверка платежа, отмена платежа, неизвестный тип, или все типы).
• Для системы ОСМП добавлена возможность отправки отчёта по платежам за день (см. События на стр. 310).
Ниже описаны страницы интерфейса центра управления.
Настройки
Внешние платежные системы
Для просмотра списка всех зарегистрированных платёжных систем на левой панели выберите элемент Настройки, затем Внешние платежные системы.
Появится список, в котором для каждой из доступных платёжных систем отображены название и состояние (подключена/заблокирована/настраивается).
Для выбранной системы отображаются следующие параметры:
• URL – по нему происходит идентификация запроса платёжной системы. Модуль ожи-дает запроса по адресу https://server:port/url, где:
° server – адрес сервера;
° port – порт для HTTPS-соединений, указанный в конфигурационном файле, см. Конфигурационный файл на стр. 300 (по умолчанию 8080);
° url – значение данного параметра.
Рис. 134. Настройки платёжных систем.
6
Платёжные системы v.2
• Схема авторизации – выбор параметра, по которому происходит идентификация ли-цевого счёта. Возможные значения:
° Номер лицевого счёта;
° Логин (указывает на основной лицевой счёт пользователя);
° IP-адрес (указывает на основной лицевой счёт пользователя);
° Внешний идентификатор счёта.
• Комиссия – комиссия в процентах, снимаемая с платежа абонента в пользу платёжной системы.
• Описание платёжной системы.
• Логин, Пароль, Приватный ключ, Пароль к приватному ключу, Доверенный серти-фикат – различные параметры идентификации и шифрования, необходимые для рабо-ты некоторых систем (см. Настройка: Дополнительные параметры на стр. 302).
• Тип проверки – проверка параметров платежа. Может принимать значения:
° Не задан – принимается значение по умолчанию (Улучшенный);
° Стандартный – проверяются только параметры, необходимые для совершения платежа;
° Улучшенный – проверяются все параметры согласно протоколу данной платёжной системы;
Для системы ОСМП стандартная проверка совместима как со старым, так и с новым протоколом, а улучшенная – только со старым. При стандартной про-верке параметр txn_date проверяется на наличие цифр, при улучшенной – на соответствие шаблону ГГГГММДДЧЧММСС.
° Внешний – проверка внешней утилитой, заданной в конфигурационном файле (см. Конфигурационный файл на стр. 300). Предполагается, что данная утилита при-нимает в стандартный поток ввода сериализованное событие, содержащее все па-раметры платежа, осуществляет проверку, возможно, преобразовывает данное событие, и выводит его в стандартный поток вывода. После этого осуществляется также базовая проверка. Если возникла ошибка при парсинге преобразованного события или при проведении базовой проверки, то считается, что платеж с такими параметрами проведен быть не может.
307
NetUP UTM5. Руководство администратора
30
Соединение с UTM 5
На данной странице указываются параметры соединения с сервером UTM5: адрес и порт сервера, а также логин и пароль системного пользователя, от которого будут вносить-ся платежи.
Адрес и порт должны соответствовать тем, которые указаны в параметрах nxt_v2_bind_host и nxt_v2_bind_port в системном конфигурационном файле UTM5 (см. Ядро системы: Конфигурационный файл на стр. 131).
Отчет по запросам
Для отображения отчета по платежам пользователей, пополнивших баланс лицевых счетов с помощью внешних платёжных систем, необходимо выбрать на левой панели эле-мент Отчеты, затем Отчет по запросам.
Рис. 135. Настройки соединения.
Рис. 136. Страница отчётов.
8
Платёжные системы v.2
С помощью панели Получение данных производится фильтрация платежей по следу-ющим параметрам:
• Тип системы (идентификатор обработчика, который принимал запрос).
• Тип запроса (новый платеж, проверка платежа, отмена платежа, неизвестный тип, или все типы).
• Состояние:
° Все (платежи в любых состояниях);
° Обработанные;
° Ошибочные.
• Время проведения платежа.
• Произвольная строка: отображаются платежи, соответствующие заданному в строке фильтрации шаблону. С помощью контекстного меню можно выбрать режим фильт-рации:
° Все слова фразы;
° Фраза целиком;
° Хотя бы одно слово фразы.
Для отображения платежей, соответствующих параметрам фильтрации, следует нажать кнопку Выбрать. Будет отображён список платежей, содержащий следующие параметры:
Некоторые параметры могут быть скрыты по умолчанию. Выбор необходи-мых для отображения параметров осуществляется в пункте Столбцы кон-текстного меню.
• ID – идентификатор платежа в базе данных Модуля Интеграции.
• ID пришедшего запроса – идентификатор события обработки.
• ID платежа – внешний идентификатор платежа (если задан).
• Номер платежа – внешний номер платежа (если задан).
• Идентификатор – номер лицевого счёта, на который поступает платёж.
• Дата обработки платежа – момент регистрации платежа в платёжной системе.
• Дата проведения платежа – момент завершения обработки платежа.
• Описание ошибки – текстовое описание (если платёж не обработан корректно).
• Сумма – сумма платежа.
• Валюта – валюта платежа.
• Тип запроса – действие, содержащееся в запросе.
• Тип системы – идентификатор платёжной системы, которой был обработан запрос.
• Состояние – состояние платежа, присвоенное ему после обработки.
Если платёж проведён успешно, он получает состояние Обработанный, а в противном случае – Ошибочный.
Панель Пришедшее событие для платежа отображает полученные от платёжной сис-темы параметры платежа.
309
NetUP UTM5. Руководство администратора
31
Система
События
На этой странице перечислены системные события. С каждым событием ассоциирова-ны роли, способные вызывать эти события.
Для системы ОСМП существует специальное событие, вызывающее отправку отчёта о платежах за прошедший день на заданный адрес email. Это событие http_request се-мейства export_payments версии 1.osmp, имеющее следующие параметры:
• email – строковый параметр, по умолчанию [email protected] Задаёт адрес, на который надо выслать отчёт.
• pay_id – строковый параметр. Задаёт идентификтор провайдера для системы ОСМП. Значение по умолчанию хранится в системных настройках (см. Конфигурационный
файл на стр. 300).
• timestamp – время в формате unix timestamp, по умолчанию текущее время. Задаёт мо-мент времени, для которого необходимо создать отчёт о платежах за предыдущий день.
• command – строка, содержащая путь к выполняемому скрипту по отправке отчёта, по умолчанию /netup/bin/report. Данный скрипт будет выполнен после генерации отчёта; путь к файлу отчёта и email будут переданы ему в виде параметров командной строки.
• directory – строка, содержащая путь к директории, где будет создан отчёт.
Чтобы получать отчёт каждый день, следует добавить данное событие в планировщик (см. Запланированные задачи).
Текущие соединения
На этой странице перечислены текущие соединения.
Роли
На этой странице перечислены зарегистрированные в системе роли. Над ролями су-ществует возможность проводить операции добавления, редактирования и удаления, а так-же смены порядка в иерархии.
Запланированные задачи
На этой странице перечислены события, запуск которых запланирован в системе, а так-же дата последнего запуска события и периодичность запуска события. Можно добавлять, удалять и редактировать запланированные события. При редактировании события имеется возможность выбрать нужное событие (из общего списка событий системы), перио-дичность запуска, названия, типы и значения передаваемых параметров.
0
Платёжные системы v.2
Например, чтобы каждый день получать отчёт по платежам от системы ОСМП, следует добавить соответствующее событие (см. События на стр. 310) в запланированные задачи с желаемой периодичностью:
Персонал
На этой странице перечислены учётные записи. По умолчанию в системе существует две учётные записи: root – для связи с центром управления и utm – для связи с UTM5. Су-ществует возможность добавления, удаления и редактирования записей. При редактирова-нии учётной записи можно сменить пароль и прочие параметры.
Рис. 137. Настройка запланированной задачи.
311
NetUP UTM5. Руководство администратора
31
2
ИНТЕГРАЦИЯ С 1C:ПРЕДПРИЯТИЕ
Введение
Модуль Интеграции UTM5 и 1С:Предприятие используется для интеграции и синхро-низации данных биллинговой системы NetUP UTM5 и системы автоматизации бухгалтерс-кого документооборота 1С.
Данный модуль позволяет:
• передавать информацию между биллинговой системой UTM5 и системой 1С:Предпри-ятие;
• обеспечивать синхронизацию данных между этими системами;
• контролировать передаваемые данные и отслеживать рассинхронизации;
• выбирать типы контролируемых и передаваемых данных;
• проводить следующие операции в системе 1С:Предприятие:
° регистрация, изменение и удаление информации о контрагентах;
° регистрация информации о платежах;
° регистрация информации о счетах;
° регистрация информации о позициях и номенклатуре счетов;
• регистрировать информацию о платежах в биллинговой системе UTM5;
• осуществлять передачу данных по протоколу NXT v.1;
• не изменять конфигурацию 1С:Предприятия – система может работать с доработанны-ми конфигурациями.
Для интегрирования биллинговой системы UTM5 и системы 1С:Предприятие необхо-димы:
• сервер с биллинговой системой UTM версии 5.2.1-007 или выше;
• компьютер с ОС Windows с установленными Microsoft XML Parser 3.0 и выше и систе-мой программ 1С:Предприятие версии 7.7 (релиз 7.70.021) или совместимой с ней, в конфигурации Бухгалтерский учет типовая, редакция 4.5 (релиз конфигурации 7.70.450) или совместимая с ней;
Из-за несовместимости полей баз данных без доработок не работает с конфи-гурациями Комплексная, Торговля и склад, Производство + Услуги + Бухгал-
терия.
• компьютер с наличием Java Runtime Environment версии не ниже 6.0 (JRE 1.6.0.x) и ин-терфейсом администратора UTM5 (UCC).
Для работы с версией 1С:Предприятие 8 существует сторонний модуль синхронизации, см. http://portal-ug.ru/develop/#topic10.
313
NetUP UTM5. Руководство администратора
31
Установка
Модуль Интеграции UTM5 и 1С:Предприятие включается в состав UTM5 при наличии лицензии. Проверить наличие и срок действия лицензии можно в интерфейсе администра-тора UTM5 (см. О программе: Лицензии, пункт Модуль интеграции с 1С).
Для работы модуля синхронизации необходимо:
1. Скачать и распаковать архив 1C_client.zip, находящийся в личном кабинете клиента на сайте http://www.netup.ru в разделе Файлы.
2. Поместить в корневой каталог базы 1С файлы:
° 1CUTM5IntegrationClient.dll
° Netup_IntegrationClient_03.ert
3. Файл MFC71u.dll поместить в системную директорию Windows (по умолчанию – C:WINDOWSsystem32).
4. Проверить наличие в системной директории Windows следующих файлов:
° GdiPlus.dll
° msvcr71.dll
° winhttp.dll
Модуль интеграции в интерфейсе администратора
Модуль интеграции представлен в интерфейсе администратора UTM5 следующими страницами: 1С настройки, 1С пользователи, 1С платежи и 1С счета.
На странице 1С настройки задаются настройки синхронизации. Сама синхронизация инициируется только со стороны 1С, как описано ниже (см. Пример работы на стр. 316). При синхронизации все пользователи, счета и платежи из UTM5 отправляются в 1С, а так-же происходит получение платежей “в обратную сторону” (из 1С в UTM5). В настройках можно включить или отключить синхронизацию каждой из сущностей (в случае пользова-телей – отдельно для некоторых типов), а также ограничить её временными рамками.
На стороне 1C также существуют настройки, разрешающие синхронизацию отдельных сущностей – см. Пример работы, пункт 4.2 на стр. 317. Синхрони-зация каждой отдельной сущности происходит успешно только в том случае, если она разрешена как в UTM5, так и в 1С.
Платежи и счета синхронизируются только для синхронизированных пользова-телей, т.е. если пользователь был удалён до синхронизации или настройками исключён из её рамок – его платежи и счета не отобразятся в системе 1С.
4
Интеграция с 1C:Предприятие
На странице 1С пользователи перечислены все пользователи, зарегистрированные в UTM5, их статус по отношению к синхронизации с 1С, и время последней синхронизации. Статус выделен также цветом: Синхронизирован – зелёный, Рассинхронизирован – жёл-тый, Не синхронизирован – красный.
Рис. 138. Страница “1С настройки”.
Рис. 139. Список клиентов.
315
NetUP UTM5. Руководство администратора
31
В контекстном меню списка пользователей присутствуют следующие нестандартные пункты:
• Установить 1С статус (активен, когда выделен один пользо-ватель) – принудительно установить выделенному пользова-телю произвольный 1С статус (выбирается из выпадающего списка). Если устанавливается статус Синхронизирован или Рассинхронизирован, необходимо также ввести 1С ID дан-ного пользователя.
Произвольная смена статуса должна использоваться с осторожностью, т. к. может привести к возникновению взаимных несоответствий между базами UTM5 и 1С.
• Установить статус Не синхронизирован (активен также при множественном выделе-нии) – принудительно установить выделенному пользователю или пользователям ста-тус Не синхронизирован.
На страницах 1С платежи и 1С счета аналогично отображены платежи и счета.
Пример работы
Рассмотрим конкретный пример работы системы. В системе зарегистрировано семь пользователей. Пользователям выставлен счет за подключение к тарифу с периодической составляющей стоимости 500 рублей. Счет был оплачен внесением платежа с помощью интерфейса администратора.
1. Запустите 1С:Предприятие и загрузите необходимую конфигурацию.
Рис. 140. Смена статуса.
Рис. 141. Загрузка конфигурации 1С.
6
Интеграция с 1C:Предприятие
2. Откройте модуль синхронизации с UTM5 (в меню Файл – Открыть выберите файл Netup_IntegrationClient_03.ert). Введите логин и пароль для доступа в сис-тему UTM5.
3. Нажмите Параметры.
4. В окне параметров:
4.1. Введите IP-адрес и Порт сервера UTM5 (порт должен соответствовать параметру nxt_bind_port в конфигурационном файле ядра UTM5).
4.2. Проставьте флажки, разрешающие получение пользователей, счетов и платежей из UTM5 в 1С, а также отсылку платежей из 1С в UTM5.
Для успешной синхронизации каждой отдельной сущности разрешение на неё должно быть выставлено также на стороне UTM5 – см. Модуль интеграции
в интерфейсе администратора на стр. 314.
Рис. 142. Окно синхронизации в 1С.
Рис. 143. Окно параметров синхронизации в 1С.
317
NetUP UTM5. Руководство администратора
31
4.3. При необходимости проставьте флажок Принудительное создание счета на оп-
лату, чтобы при синхронизации создавать заново счета, уже имеющиеся в 1С.
4.4. Установите Период с … по – период, информацию о платежах за который следует отправить в UTM5.
4.5. В пункте Организация выберите расчётный счёт организации для подставления в счета на оплату.
4.6. При необходимости проставьте флажок Непосредственное удаление объектов, чтобы при синхронизации автоматически удалять из 1С объекты, удалённые из UTM5.
5. Нажмите кнопку OK, чтобы завершить ввод параметров.
6. Нажмите кнопку Выполнить в окне синхронизации.
Валюты платежей должны быть предварительно зарегистрированы в 1С: Предприятие. Коды валют в UTM5 и в 1С:Предприятие должны совпадать.
7. Клиенты отобразятся в полях базы Справочники, Контрагенты.
Рис. 144. Список контрагентов 1С.
8
Интеграция с 1C:Предприятие
8. Платежи отобразятся в полях базы Журналы, Касса.
При необходимости осуществляется проводка приходных кассовых ордеров.
9. Для внесения платежа наличными в 1С:
9.1. Выберите Документы, Приходный кассовый ордер, заполните необходимые поля и проведите платёж.
9.2. Убедитесь, что на странице 1С настройки в UTM5 отмечен флажок Получать пла-
тежи.
9.3. Выполните синхронизацию (см. п. 2–6). Платеж будет внесен в систему UTM5.
Рис. 145. Список платежей в 1С.
Рис. 146. Проводка платежа в 1С.
319
NetUP UTM5. Руководство администратора
32
0
ПРИЛОЖЕНИЯ
Способы шейпирования трафика
Шейпирование – это ограничение полосы пропускания для абонентов сети передачи данных. По характеру ограничения оно может быть:
• статическим (постоянным, т.е. зависящим только от тарифного плана);
• динамическим (меняющимся в зависимости от объёмов израсходованного трафика, а также от времени суток).
Система UTM5 предоставляет возможность настроить для отдельных видов трафика, услуг и тарифов как статическое, так и динамическое шейпирование.
Регулировка полосы пропускания фактически происходит на маршрутизаторах трафи-ка. В качестве таких устройств могут выступать PC-маршрутизаторы, маршрутизаторы Cisco, управляемые коммутаторы и т.п. Взаимодействие биллингового ПО с этими устрой-ствами может происходить следующим образом:
1. Средствами внешних скриптов. По некоторому событию (например, при расходовании определённого количества трафика) биллинговая система запускает внешний скрипт управления шейпером, который меняет полосу пропускания (или, возможно, разрывает соединение). В параметрах скрипту обычно передаётся IP-адрес пользователя и новое значение установленной для него полосы пропускания.
Скрипт вызывает внешние утилиты управления трафиком (например, tc из пакета iproute2 в случае Linux и ipfw в случае FreeBSD со включённой функциональнос-тью dummynet). Для использования данных утилит может требоваться предваритель-ная настройка операционной системы или стороннего ПО.
2. При помощи RADIUS-атрибутов (в случае услуг передачи трафика и коммутируемого доступа). В ответе на запрос аутентификации RADIUS-сервер может отсылать атрибут или набор атрибутов, определённый для данного абонента и данного NAS, и содержа-щий в себе инструкции по управлению пропускной способностью устанавливаемого соединения. В данном случае необходима поддержка этой возможности программным обеспечением со стороны NAS. Такой поддержкой обладают, в частности, маршрути-заторы Cisco.
При данном способе управления полоса пропускания устанавливается в момент уста-новления соединения, и её корректировка в зависимости от израсходованного трафика происходит не мгновенно при достижении определённого значения, а только при следую-щем соединении.
Описанные способы регулировки полосы пропускания могут применяться как по-рознь, так и одновременно.
Система UTM5 предлагает следующий подход к шейпированию:
321
NetUP UTM5. Руководство администратора
32
1. В случае шейпирования с помощью внешних скриптов передаваемые скрипту парамет-ры настраиваются на странице Правила firewall (см. Интерфейс администратора:
Правила firewall на стр. 77). Каждое правило ассоциировано с одним или несколькими событиями, при наступлении которых выполняется внешний скрипт с заданными пара-метрами. Путь к скрипту указывает переменная firewall_path в конфигурацион-ном файле utm5_rfw.cfg.
° Статическое шейпирование можно реализовать с помощью правил, выполняемых, например, при наступлении события Включение Интернета.
° Динамическое шейпирование (возможно при наличии соответствующего модуля) осуществляется правилами, выполняемыми при наступлении событий Установле-ние ширины, Изменение ширины и Снятие ограничений входящего (исходящего) канала. События первых двух типов происходят в тот момент, когда суммарное количество трафика за отчётный период переходит через определённые границы, а событие Снятие ограничений – при закрытии отчётного периода или при удалении сервисной связки. Если настроены разные границы для разных временных диапа-зонов, события любого типа могут также происходить при наступлении времени на-чала/окончания диапазона. О задании границ см. Интерфейс администратора: Динамическое шейпирование на стр. 82.
Модуль динамического шейпирования требует отдельной лицензии.
2. С помощью RADIUS-атрибутов:
° Статическое шейпирование настраивается на вкладке RADIUS-параметры на стра-нице Услуга в группе Тарификация (см. Интерфейс администратора: Услуги на стр. 57).
° Динамическое (возможно при наличии модуля динамического шейпирования) на-страивается на вкладке RADIUS-параметры на странице Динамическое шейпиро-вание в группе Настройки (см. Интерфейс администратора: Динамическое шейпирование на стр. 82). Для каждой услуги, наряду с границами потребления трафика, можно задать RADIUS-атрибуты, устанавливающие ширину полосы пропускания. Динамическое изменение атрибутов в зависимости от потреблённого трафика обеспечивается использованием переменных, выбираемых из списка.
Параметры RADIUS
Ниже приведён пример RADIUS-атрибута для динамического шейпирования в случае маршутизатора Cisco.
• ID вендора – 9;
• ID атрибута – 1;
• Тип атрибута – строка;
2
Приложения
• Значение –
Перед отправкой данной строки на NAS система подставляет на место переменной IN_BANDWIDTH_BITS числовое значение полосы пропускания для пользователя (в бит/сек), зависящее от потреблённого трафика и заданных границ. Остальные пара-метры интерпретируются следующим образом:
IN_CISCO_NORMAL_BURST – количество байт, пересылаемых за один всплеск (burst). Рассчитывается как поток за 1.5 сек. при заданной полосе пропускания.
IN_CISCO_EXTENDED_BURST – возможное количество байт сверх нормы (т.е. сверх IN_CISCO_NORMAL_BURST), пересылаемое за один интервал при кратковременном по-вышении нагрузки. Будучи потрачено, восполняется за счёт полосы пропускания в перио-ды, когда нагрузка ниже максимально разрешённой. Рассчитывается как 2*IN_CISCO_NORMAL_BURST.
Последующие инструкции указывают, что трафик в пределах разрешённой полосы с учётом допустимых превышений пропускается маршрутизатором (conform-action transmit), а при превышении нагрузки и исчерпании EXTENDED_BURST приходящие пакеты данных сверх NORMAL_BURST игнорируются (exceed-action drop).
Внешние скрипты
Ниже приведены примеры исполняемых файлов. Предполагается, что созданы правила firewall для событий Установление ширины, Изменение ширины и Снятие ограничений, и для каждого из них заданы параметры скрипта в формате:
Первые пять параметров представляют собой переменные. При вызове скрипта они бу-дут заменены своими значениями:
В качестве последнего параметра надо указать значение 0, 1 или 2 в зависимости от типа события:
• 0 – Снятие ограничений;
• 1 – Установление ширины;
• 2 – Изменение ширины.
lcp:interface-config#1=rate-limit input IN_BANDWIDTH_BITSIN_CISCO_NORMAL_BURST IN_CISCO_EXTENDED_BURSTconform-action transmit exceed-action drop
UID UIP UBITS UMASK BANDWIDTH [0|1|2]
UID идентификатор пользователя
UIP адрес пользователя
UMASK маска сети
UBITS количество бит в маске сети
BANDWIDTH текущая скорость соединения
323
NetUP UTM5. Руководство администратора
32
Linux
Пример для программного шейпера iproute2 под ОС GNU/Linux.
Предполагается, что предварительно выполнены следующие команды:
– создана очередь (qdisc, queueing discipline), ассоциированная со входящим интер-фейсом eth0, имеющая идентификатор 1. Для очереди выбран метод упорядочения htb(Hierarchy Token Bucket), отличающийся простотой и высоким быстродействием.
– создан корневой класс очереди (root class) с идентификатором 1:1, имеющий гарантированную полосу пропускания 50 Мбит/сек (rate 50mbit) с возможностью по-вышения до 100 Мбит/сек при наличии незанятой пропускной способности (ceil 100mbit), пропускаемый всплесками размером по 200 Кб (burst 200k). Он будет использоваться как родительский для всех остальных классов и распределять между ними полосу пропускания, предоставляя им возможность занимать (borrow) друг у друга неиспользуемую часть. Также создан класс с идентификатором 1:10, имеющий полосу пропускания 1 Мбит/сек без возможности превышения, и предназначенный для пропуска-ния трафика неопределённой принадлежности из очереди.
– создан фильтр, направляющий неклассифицированные пакеты трафика из очереди в класс с наименьшей пропускной способностью.
В дальнейшем при вызове скрипта по событию Установление ширины происходит следующее:
• создаётся правило iptables, помечающее входящие пакеты трафика, направленные на данный IP-адрес (исходящий трафик при необходимости шейпируется аналогично, для чего надо создать отдельное правило);
• создаётся новый фильтр, отправляющий помеченные таким образом пакеты в новый класс;
• создаётся новый класс с указанной пропускной способностью.
По событию Изменение ширины происходит изменение пропускной способности класса, а по событию Снятие ограничений – удаление самого класса, соответствующего фильтра и правила iptables.
Трафик, не подпадающий под фильтры (т.е. принадлежащий пользователям, для кото-рых шейпирование не настроено), не ставится в очередь, а пропускается непосредственно.
tc qdisc add dev eth0 root handle 1: htb
tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit ceil 100mbit burst 200ktc class add dev eth0 parent 1:1 classid 1:10 htb rate 1mbit burst 20k
tc filter add dev eth0 parent 1: protocol ip prio 3 handle 1 fw classid 1:10
4
Приложения
Содержимое исполняемого файла:
FreeBSD
Пример исполняемого файла для программного шейпера dummynet под ОС FreeBSD.
При вызове скрипта по событию Установление ширины создаётся канал (pipe) с огра-ниченной пропускной способностью, а также правило, которое направляет входящий тра-фик данного пользователя на интерфейсе em0 в созданный канал. По событию Изменение
ширины изменяется пропускная способность канала, а по событию Снятие ограничений
– удаляется канал и соответствующее правило.
#!/bin/bashif=»eth1″echo $*echo «First create: tc qdisc add dev $if root handle 1: htb»case «$6» in0)
iptables -t mangle -D FORWARD -s 0/0 -d $2/$3 -j MARK—set-mark $1
tc filter del dev $if parent 1: protocol ip prio 3 handle $1 fw classid 1:$1
tc class del dev $if parent 1:1 classid 1:$1 htb rate $5kbit burst 20k;;1)
iptables -t mangle -A FORWARD -s 0/0 -d $2/$3 -j MARK—set-mark $1
tc filter add dev $if parent 1: protocol ip prio 3 handle $1 fw classid 1:$1
tc class add dev $if parent 1:1 classid 1:$1 htb rate $5kbit burst 20k;;2)
tc class change dev $if parent 1:1 classid 1:$1 htb rate $5kbit burst 20k;;*)
echo «Usage: `basename $0` {UID UIP UBITS UMASK BANDWIDTH [0|1|2]}» >&2exit 64;;esac
325
NetUP UTM5. Руководство администратора
32
Скрипт работает корректно при многопроходном режиме обработки правил (команда sysctl net.inet.ip.fw.one_pass должна возвращать значение 0).
Переменные шаблонов
Ниже приведён список переменных, которые могут применяться в шаблонах и подшаб-лонах (см. Шаблоны документов на стр. 81), в зависимости от типа документа.
Переменные
Переменные, входящие в шаблоны, делятся на несколько групп:
• Пользователь
#!/bin/sh case «$6» in0)
/sbin/ipfw delete $1/sbin/ipfw pipe delete $1;;
1)/sbin/ipfw pipe $1 config bw $5Kbit/s/sbin/ipfw add $1 pipe $1 ip from any to $2/$3 via em0;;
2)/sbin/ipfw pipe $1 config bw $5Kbit/s;;
esac
Наименование Переменная
ID @[email protected]
Логин @[email protected]
Пароль @[email protected]
Основной лицевой счёт @[email protected]
Полное имя @[email protected]
Юридический адрес @[email protected]
Фактический адрес @[email protected]
ИНН @[email protected]
КПП @[email protected]
Email @[email protected]
Паспортные данные @[email protected]
Номер счёта @[email protected]
Банк @[email protected]
6
Приложения
Город @[email protected]
БИК @[email protected]
Корр. счёт @[email protected]
IP @[email protected] (включает подшаблон Табли-ца – IP пользователя)
Телефонные номера @[email protected] (включает подшаблон Таблица – телефон пользователя)
Коммутируемый доступ @[email protected] (включает подшаблон Та-блица – Dialup логин пользователя)
Мобильный телефон @[email protected]
Домашний телефон @[email protected]
Рабочий телефон @[email protected]
Веб-страница @[email protected]
ICQ @[email protected]
Комментарий @[email protected]
Руководитель @[email protected]
Почтовый индекс @[email protected]
Страна @[email protected]
Область @[email protected]
Улица @[email protected]
Дом @[email protected]
Строение @[email protected]
Район @[email protected]
Подъезд @[email protected]
Этаж @[email protected]
Квартира @[email protected]
VPN IP @[email protected]
VPN Шлюз @[email protected]
VPN Маска @[email protected]
VPN Логин @[email protected]
VPN Пароль @[email protected]
VPN MAC @[email protected]
Не-VPN IP @[email protected]
Наименование Переменная
327
NetUP UTM5. Руководство администратора
32
• Поставщик
Не-VPN Шлюз @[email protected]
Не-VPN Маска @[email protected]
Не-VPN Логин @[email protected]
Не-VPN Пароль @[email protected]
Не-VPN MAC @[email protected]
Договор @[email protected]
Руководитель – Полное имя @[email protected]
Руководитель – Сокр. название @[email protected]
Руководитель – Контакт @[email protected]
Руководитель – Email @[email protected]
Руководитель – Должность @[email protected]
Руководитель – Основание @[email protected]
Бухгалтер – Полное имя @[email protected]
Бухгалтер – Сокр. название @[email protected]
Бухгалтер – Контакт @[email protected]
Бухгалтер – Email @[email protected]
Бухгалтер – Должность @[email protected]
Бухгалтер – Основание @[email protected]
Наименование Переменная
Наименование @[email protected]
Юридический адрес @[email protected]
Фактический адрес @[email protected]
ИНН @[email protected]
КПП @[email protected]
Руководитель @[email protected]
Бухгалтер @[email protected]
Руководитель: Сокр. название @[email protected]
Бухгалтер: Сокр. название @[email protected]
Наименование: Сокр. название @[email protected]
Номер счёта @[email protected]
Наименование Переменная
8
Приложения
• Счёт
Банк @[email protected]
Город @[email protected]
БИК @[email protected]
Корр.счёт @[email protected]
Наименование Переменная
Число @[email protected]
Дата @[email protected]
Дата платежа @[email protected]
Номер плат.документа @[email protected]
Список услуг@[email protected](включает подшаблон Таблица – счёт)
Сумма @[email protected]
НДС @[email protected]
Итого @[email protected]
Валюта: ID @[email protected]
Валюта: Полное имя @[email protected]
Валюта: Сокр.название @[email protected]
Валюта: Курс @[email protected]
Начало периода @[email protected]
Окончание периода @[email protected]
ID лицевого счёта @[email protected]
Баланс @[email protected]
Разница между суммой и балансом на момент выставления счёта @[email protected]
Задолженность @[email protected]
Личный коэффициент пользователя @[email protected]
Подитог задолженности @[email protected]
Общая сумма (строковое представле-ние)(a) @[email protected]
Общая задолженность @[email protected]
Курс валюты @[email protected]
ID валюты @[email protected]
Наименование Переменная
329
NetUP UTM5. Руководство администратора
33
• Акт
• Сумма
• Документ
Количество позиций @[email protected]
Сокр. название валюты @[email protected]
Полное название валюты @[email protected]
Внешний идентификатор лицевого счета, для которого выставлен дан-ный счет
@[email protected]
a. Переменная @[email protected] заменяется на сумму прописью в рублях. Для выставления счёта в другой валюте необходимо использовать либо другие переменные, либо стандартный механизм замены в конце документа.
Наименование Переменная
Таблица расходов для юр. лиц@[email protected] (включает под-шаблон Таблица – Акт об окончании для юр.лица)
Таблица расходов-поступлений для физ. лиц@[email protected] (включает под-шаблон Таблица – Акт об окончании для физ. лица)
Наименование Переменная
Лицевой счёт @[email protected]
Сумма в валюте @[email protected]
Валюта: ID @[email protected]
Валюта: Полное имя @[email protected]
Валюта: Сокр.название @[email protected]
Валюта: Курс @[email protected]
Фактическая дата @[email protected]
Дата внесения платежа @[email protected]
Метод платежа @[email protected]
№ платёжного документа @[email protected]
Наименование Переменная
Дата создания @[email protected]
Наименование Переменная
0
Приложения
• Прочие
Типы шаблонов
В зависимости от типа шаблона, в него могут входить переменные из следующих групп, перечисленных выше:
• Квитанция об оплате – переменные групп Пользователь, Поставщик, Сумма, Доку-
мент и Прочие.
• Договор – переменные групп Пользователь, Поставщик, Документ и Прочие.
• Квитанция для Web-интерфейса – то же самое.
• Памятка пользователя – то же самое.
• Акт выполненных работ для юр.лица – переменные групп Пользователь, Постав-
щик, Документ, Счёт, Акт и Прочие.
• Акт выполненных работ для физ.лица – то же самое.
• Счёт – то же самое.
• Счёт для Web-интерфейса – то же самое.
• Счёт для физического лица – то же самое.
• Счёт-фактура – то же самое.
• Счёт-фактура для Web-интерфейса – то же самое.
Типы подшаблонов
В зависимости от типа, в подшаблон могут входить переменные из разных групп, пере-численных выше, а также отдельные переменные, специфические для каждого типа:
• Строка – Акт об окончании для физ. лица – переменные группы Акт об окончании для физ. лица:
Наименование Переменная
Разделитель страниц @[email protected]
Дополнительные параметры@[email protected], где i – идентификатор параметра в интерфейсе администратора (см. Дополнительные параметры на стр. 76)
Наименование Переменная
Число @[email protected]
ID @[email protected]
Цена @[email protected]
Количество @[email protected]
Единица @[email protected]
Сумма @[email protected]
331
NetUP UTM5. Руководство администратора
33
Подшаблоны типов Строка – ? являются итераторами, т. е. при подстановке значений преобразуются в многократно повторяемый фрагмент, перечисляю-щий некоторое множество значений.
• Строка – Акт об окончании для юр. лица – переменные группы Акт об окончании для юр. лица:
• Строка – счёт – переменные группы Строка – счёт:
• Строка – счёт для физ.лица – переменные группы Строка – счёт для физ.лица:
• Строка – счёт-фактура – переменные группы Строка – счёт-фактура:
Наименование Переменная
Число @[email protected]
ID @[email protected]
Цена @[email protected]
Количество @[email protected]
Единица @[email protected]
Сумма @[email protected]
Наименование Переменная
Число @[email protected]
ID @[email protected]
Цена @[email protected]
Количество @[email protected]
Единица @[email protected]
Сумма @[email protected]
Наименование Переменная
ID @[email protected]
Сумма @[email protected]
Наименование Переменная
ID @[email protected]
Юнит @[email protected]
Количество @[email protected]
Цена за шт. @[email protected]
Итог до налога @[email protected]
Ставка налога @[email protected]
2
Приложения
• Строка – IP пользователя – переменные группы Пользователь – IP:
• Строка – Dialup логин пользователя – переменные группы Пользователь – Коммути-руемый доступ:
• Строка – телефон пользователя – переменные группы Пользователь – Телефония:
• Таблица – IP пользователя – переменная @[email protected] (Пользователь-IP-Стро-ки), вызывающая включение подшаблона Строка – IP пользователя.
• Таблица – Dialup логин пользователя – переменная @[email protected] (Поль-зователь-Коммутируемый доступ-Строки), вызывающая включение подшаблона Стро-
ка – Dialup логин пользователя.
• Таблица – телефон пользователя – переменная @[email protected] (Пользова-тель-Телефония-Строки), вызывающая включение подшаблона Строка – телефон
пользователя.
Сумма налога @[email protected]
Итог с налогом @[email protected]
Наименование Переменная
IP @[email protected]
Маска @[email protected]
Шлюз @[email protected]
Логин @[email protected]
Пароль @[email protected]
MAC-адрес @[email protected]
Наименование Переменная
Логин @[email protected]
Пароль @[email protected]
Разрешенные CID @[email protected]
Разрешенные CSID @[email protected]
Наименование Переменная
Номер @[email protected]
Логин @[email protected]
Пароль @[email protected]
Разрешенные CID @[email protected]
Наименование Переменная
333
NetUP UTM5. Руководство администратора
33
• Таблица – Акт об окончании для физ. лица – переменные групп Пользователь, Пос-
тавщик, Документ и Прочие (см. выше), а также переменная @INDIVIDUAL_END_ [email protected], вызывающая включение подшаблона Строка – Акт об оконча-
нии для физ. лица.
• Таблица – Акт об окончании для юр.лица – переменные групп Пользователь, Пос-
тавщик, Документ и Прочие (см. выше), а также переменная @LEGAL_END_OF_ [email protected], вызывающая включение подшаблона Строка – Акт об окончании
для юр. лица.
• Таблица – счёт – переменные групп Пользователь, Поставщик, Документ и Прочие(см. выше), а также переменная @[email protected], вызывающая включение под-шаблона Строка – счёт.
• Таблица – счёт-фактура – переменные групп Пользователь, Поставщик, Документ и Прочие (см. выше), а также переменная @[email protected], вызываю-щая включение подшаблона Строка – счёт-фактура.
4
Алфавитный указатель
АЛФАВИТНЫЙ УКАЗАТЕЛЬ
A-ZUTM5 Dynashape. . . . . . . . . .181UTM5 RADIUS . . . . . . . . . . .143UTM5 RFW . . . . . . . . . . . . . .167UTM5 Urfaclient . . . . . . . . . .185utm5_send_cdr . . . . . . . . . . . .161utm5_send_traffic . . . . . . . . . .161Web-интерфейс . . . . . . . . . . .221
ААрхивация таблиц . . . . . . . . .242
ББлокировки . . . . . . . . . . . . . . .24
Отчет …………………………….72
ВВалюты. . . . . . . . . . . . . . . . . . .33
Интерфейс……………………..66Web-интерфейс . . . . . . . . . . .221Верификация БД . . . . . . . . . .241Временные диапазоны . . . . . .33
Интерфейс……………………..64Пример ………………………..114
ДДилеры . . . . . . . . . . . . . . . . . .203
Интерфейс……………………..45Примеры ………………124–125
Документы . . . . . . . . . . . . . . . .35Шаблоны ……………………….81
ИИмпорт данных . . . 54, 161, 195Интеграция с 1C. . . . . . . . . . 313
Настройки ……………………..89
ККассиры. . . . . . . . . . . . . . . . . 209
Настройки ……………………..86Классы трафика . . . . . . . . . . . 26
Интерфейс……………………..52Пример ………………………..115
ЛЛицевые счета . . . . . . . . . . . . 24
Блокировки ……………………24Интерфейс……………………..92Примеры ………………118–119
ООбслуживание системы. . . . 241Отчеты. . . . . . . . . . . . . . . . . . . 67
Dialup и VPN …………………71Блокировки ……………………72Платежи ………………………..72Счета ……………………….70, 73Трафик…………………………..69Трафик (графический) ……75Трафик (детальный)……….75Услуги …………………………..69
335
NetUP UTM5. Руководство администратора
33
ППлатежи . . . . . . . . . . . . . . . . . .34
Интерфейс……………………..91Методы………………………….66Отчет …………………………….72Пример ………………………..123
Платёжные системы . . . . . . .259Платёжные системы v.2 . . . .297Пользователи . . . . . . . . . . . . . .24
Группы ………………………….45Интерфейс……………………..40
Основные параметры 41Отчеты 43Создание 41Тарификация 43
Карточные……………………..44Поиск…………………………….91Примеры ……………………..117
Правила firewall. . . . . . . . . . .168Интерфейс……………………..77Переменные …………………169Пример ………………………..126События ………………………174
РРасчётные периоды . . . . . . . . .27
Интерфейс……………………..56Пример ………………………..114
Резервное копирование БД .241
ССервисные связки . . . . . . . . . .94
Пример ………………………..120Системные пользователи . . . .25
Группы ………………………….26
Интерфейс……………………..45Сообщения . . . . . . . . . . . . . . . 50Счета . . . . . . . . . . . . . . . . . . . . 35
Отчет ……………………….70, 73
ТТарифные планы . . . . . . . . . . 28
Интерфейс……………………..51Совместимость ………………28
Тарифные связки . . . . . . . . . . 93Пример ………………………..121
Телефония. . . . . . . . . . . . . . . 229Зоны………………………………55Направления ………………….55
УУслуги . . . . . . . . . . . . . . . . . . . 29
Интерфейс……………………..57Отчет …………………………….69Пример ………………………..116Типы ……………………………..31
Dialup 32, 62Hotspot 32, 61IP-трафик 32, 60Периодическая 32, 58Разовая 31, 58Телефония 32, 63
Шаблоны……………………….31Установка системы . . . . . . . 103Утилита utm5_tray . . . . . . . . 215
Настройки ……………………..85
ШШейпирование . . . . . . . . . . . 181
Интерфейс……………………..82
6
Для получения более подробной информации посетите http://netup.ru
© ООО НетАП. Все права защищены. Версия от 15.11.2013
Тел.: +7 495 510 1025
Факс: +7 499 783 0080
Адрес: Москва, ул. Улофа Пальме, д. 1, секция 7
Почтовый адрес: 119311, Москва, а/я #87
E-mail: [email protected]
libcats.org
Главная →
NETUP UTM Версия 5.0. Руководство администратора
Скачать книгу бесплатно (pdf, 9.02 Mb)
Читать «NETUP UTM Версия 5.0. Руководство администратора»
Популярные книги за неделю:
#1
Ф.И.Бурдейный, Н.В.Казанский. Карманный справочник радиолюбителя-коротковолновика (1959, DjVu)
440 Kb
#2
Я.Войцеховский. Радиоэлектронные игрушки (1977, djvu)
13.76 Mb
#3
Подготовка саперов, подразделений специального назначения по разминированию
Категория: Научно-популярная литература (разное)
1.49 Mb
#4
Приспособления для ремонта автомобилей
Росс Твег
Категория: civil, civil, transport
7.37 Mb
#5
128 советов начинающему программисту
Очков В.Ф., Пухначев Ю.В.
Категория: computers, computers, prog
8.91 Mb
#6
Английский язык в картинках
I.A. Richards; Christine M. Gibson
Категория: Иностранные языки
5.77 Mb
#7
Ограждение участка. Ограды. Заборы. Калитки. Ворота
В.И.Рыженко
Категория: Строительство
1.23 Mb
#8
Самоделки школьника
Тарасов Б.В.
Категория: science, science, technical, hobby, oddjob
41.91 Mb
#9
Фаллос. Священный мужской образ
Юджин Моник
Категория: НАУЧНО-ПОПУЛЯРНОЕ, ЧЕЛОВЕК
3.37 Mb
#10
Наука и жизнь.Маленькие хитрости
Категория: E_Engineering, EM_Mechanics of elastic materials
3.50 Mb
Только что пользователи скачали эти книги:
#1
Новые методы торговли по Фибоначчи
Фишер Р.
7.44 Mb
#2
Новый практический курс китайского языка. Пособие для преподавателей
Лю Сюнь
Категория: Иностранные языки
17.74 Mb
#3
Вэйвлеты в обработке сигналов
Малла С.
Категория: science, exact, science, technical
11.26 Mb
#4
Фрагменты русской языковой картины мира (модели пространства, времени и восприятия)
Яковлева Е.С.
Категория: Филология
13.59 Mb
#5
Аппликация с детьми раннего возраста (1-3 года)
Янушко А.
Категория: Детский уголок, Обучающая, развивающая литература
8.46 Mb
#6
Английский для юристов. Учебное пособие для студентов ВУЗов
А. Я. Зеликман
Категория: ГУМАНИТАРНЫЕ НАУКИ
1.14 Mb
#7
Исторические исследования и статьи
Победоносцев К.П.
12.47 Mb
#8
Шахматы — школе. Научно-популярное издание
Гершунский Борис Семенович, Под редакцией Б.С.Гершунского, Н.В.Крогиуса, В.С.Хелемендика. Составители: Б.С.Гершунский, А.Я.Костьев. Авторы: Я.П.Алексеев, А.А.Барташников, Б.С.Гершунский, Е.Я.Гик, Э.Е.Гуфельд, Б.А.Злотник, А.Я.Костьев, Н.В.Крогиус, Е.М.Лаз
Категория: образование, педагогика
63.26 Mb
#9
Zinn-Justin. Quantum field theory and critical phenomena (1ed., 1989)(K)(150dpi)(T)(924s).djvu
6.84 Mb
#10
Самодельная ветроэлектростанция
Кажинский
2.03 Mb
Время на прочтение
7 мин
Количество просмотров 10K
Под катом будет рассказано о настройке отказоустойчивого кластера, для запуска биллинговой системы NetUР UTM5, настройке шифрования и резервного копирования «ценных» данных.
Почему именно кластер?
Надеюсь, что я не открою большой секрет сказав, что биллинг должен быть максимально отказоустойчивым. А как известно основной способ добиться отказоустойчивости — избыточность. Добиваться этого будем посредством Ganeti.
Ganeti — система управления кластером виртуализации, построенном на основе систем виртуализации Xen или KVM. Использует DRBD для организации отказоустойчивых кластеров.
Для претворения в жизнь данной идеи нам потребуется 2 сервера, с предустановленным Debian lenny. Фактически на одном «будет запущен биллинг», второй будет находиться в горячем резерве.
Пускай один из серверов, будет node1, тогда оставшийся будет node2.
Все ниже перечисленное необходимо проделать на каждой из нод.
Начнем с разбиения дисков. Предполагается, что у нас в каждом сервер стоит 2 одинаковых жестких диска. При установке я создал программный «зеркальный» рейд размером 2 гб и на него установил базовую систему.
Выглядит это так.
node1:~# fdisk -l /dev/hda
Device Boot Start End Blocks Id System
/dev/hda1 1 243 1951866 fd Linux raid autodetect
node1:~# fdisk -l /dev/hdb
/dev/hdb1 1 243 1951866 fd Linux raid autodetect
node1:~# cat /proc/mdstat
Personalities : [raid1]
md0 : active raid1 hda1[0] hdb1[1]
1951744 blocks [2/2] [UU]
Теперь создадим еще один зеркальный рейд массив, например размеров в 5 гб, размеры создаваемого массива но обеих нодах должны обязательно совпадать.
node1:~# fdisk -l /dev/hda
/dev/hda1 1 243 1951866 fd Linux raid autodetect
/dev/hda2 244 865 4996215 83 Linux
node1:~# fdisk -l /dev/hdb
/dev/hdb1 1 243 1951866 fd Linux raid autodetect
/dev/hdb2 244 865 4996215 83 Linux
Создаем рейд.
node1:~# mdadm —create /dev/md1 —level 1 —raid-devices=2 /dev/hda2 /dev/hdb2
Прописываем в автозагрузку.
node1:~# mdadm —examine —scan|grep -v /dev/md0 >> /etc/mdadm/mdadm.conf
Добавляем в /etc/hosts описание хостов, нужно для корректной авторизации
node1:~# mcedit /etc/hosts
192.168.0.111 node1.name.org node1
192.168.0.112 node2.name.org node2
192.168.0.113 cluster1.name.org cluster1
192.168.0.114 inst1.name.org inst1
Описание настройки интерфейсов опущу, я верю что вы справитесь с этим самостоятельно.
Устанавливаем пакет LVM2
node1:~# apt-get install lvm2
node1:~# pvcreate /dev/md1
Physical volume «/dev/md1» successfully created
node1:~# vgcreate xenvg /dev/md1
Volume group «xenvg» successfully created
Ставим ganeti
node1:~# apt-get install ganeti
Настраиваем Xen
node1:~# mcedit /etc/xen/xend-config.sxp
(xend-relocation-server yes)
(xend-relocation-port 8002)
(xend-relocation-address »)
(network-script network-bridge)
#(network-script network-dummy)
(vif-script vif-bridge)
(dom0-min-mem 0)
Настраиваем grub
node1:~# mcedit /boot/grub/menu.lst
## Xen hypervisor options to use with the default Xen boot option
# xenhopt=dom0_mem=256M
Обновляем загрузчик
node1:~# /sbin/update-grub
Перезагружаемся и если все работает приступаем к созданию кластера.
Устанавливаем DRBD
node1:~# apt-get install drbd8-modules-2.6.26-2-xen-686 drbd8-utils
Добавляем в автозагрузку
node1:~# echo drbd minor_count=64 >> /etc/modules
Загружаем модуль (конечно, если Вы не перезагрузили ноду)
node1:~# modprobe drbd minor_count=64
Настраиваем LVM
node1:~# mcedit /etc/lvm/lvm.conf
filter = [ «r|/dev/cdrom|», «r|/dev/drbd[0-9]+|» ]
Теперь все готово, для инициации кластера. Пускай, владельцем кластера будет node1.
На первой ноде (node1) выполняем команду
node1:~# gnt-cluster init -b eth0 -g xenvg —master-netdev eth0 cluster1.name.org
Добавляем node2 в кластер.
node1:~# gnt-node add node2.name.org
Если все прошло успешно, создаем instance (виртуальную машину в которой и будет работать биллинг)
node1:~# gnt-instance add -t drbd -n node2.name.org:node1.name.org -o debootstrap -s 2g —swap-size 128 -m 256 —kernel /boot/vmlinuz-2.6.26-2-xen-686 —ip 192.168.0.114 inst1.name.org
И так, что данная команда предполагает.
1.Мы создаем в кластере новую виртуальную машину именуемую inst1.name.org
2.Выделив ей 2 гб диска, 128 мб своп файла и 256 мб оперативной памяти.
3.Дистрибутив для виртуальной машины — Debian(debootstrap), ядро xen
4.Обязательно прошу обратить внимание опцию -n. Она определяет какая нода будет главной, а какая будет находиться в резерве.
Так запись node2.name.org:node1.name.org обозначает, что node2 основная, а node1 вспомогательная( в горячем резерве).
Если владельцем кластера у нас является первая нода (node1), instance предпочтительнее запускать на второй ноде(node2). В случае выхода из строя первой ноды(node1), биллинг будет и дальше работать, как только первая нода(node1) вернется в строй — произойдет синхронизация сетевого рейда и штатная работа кластера будет восстановлена. При выходе из строя второй ноды(node2) мы сохраняем управление кластером и имеем возможность перенести instance на первую ноду(node1) с минимальным простоем, и спокойно вводить в строй вторую не опасаясь «split-brian».
Для получения доступа к instance проведем несколько манипуляций.
node1:~# gnt-instance shutdown inst1.name.org
node1:~# gnt-instance startup —extra «xencons=tty1 console=tty1» inst1.name.org
Только теперь мы сможем получить полноценный доступ
node1:~# gnt-instance console inst1.name.org
Список манипуляций «внутри» instance.(по умолчанию у root`а пустой пароль).
Настраиваем сеть. (опять же надеюсь на Ваш интеллект, либо упорство)
Настраиваем apt.
Устанавливаем openssh-server и udev
Добавляем в /etc/fstab строчку
none /dev/pts devpts gid=5,mode=620 0 0
echo inst1 > /etc/hostname (Настраиваем hostname)
apt-get install locales (Ставим локали)
dpkg-reconfigure locales (Конфигурируем локали)
tasksel install standard (Доустанавливаем пакеты включенные в «стандартную сборку»)
Первоначальная настройка кластера завершена.
Рекомендую в обязательном порядке изучить документацию к ganeti. Вам должно быть ясно как переносить instance с ноды на ноду в штатном режиме, как перенести при аварии и т.д. Опять же в обязательном порядке необходимо составить памятку: как действовать в экстренной ситуации, заламинировать и повесить перед глазами, ибо аварии случаются редко, а мозг имеет тенденцию забывать.
О чем стоит задуматься в первую очередь после запуска кластера? Лично мне кажется, что нужно быть предельно готовым к неожиданному визиту суровых мужчин в масках, которым очень тяжело отказать в чем либо. Готовность будет заключаться в шифровании всех ценных данных и их своевременном резервном копировании.
Все дальнейшие настройки относятся непосредственно к виртуальной машине (instance).
Начнем с шифрования. Осуществлять его будем таким образом. При старте instance загружается базовая система, далее система ожидает пасс фразы для монтирования файла с зашифрованным разделом, после чего запускаем базу данных, биллинг и прочие «нужные сервисы».
Благодаря этому все храниться внутри instance, но для миграции нам необходимо погасить машину(размонтировать шифрованный раздел), иначе данные на зашифрованном разделе не будут полностью синхронизированы.
Устанавливаем необходимые пакеты.
inst1:~# apt-get install loop-aes-modules-2.6.26-2-xen
inst1:~# apt-get install loop-aes-utils
Выгружаем «старый» модуль(можете перезагрузить instance, что бы уже наверняка)
inst1:~# modprobe -r loop
Загружаем обновленный модуль
inst1:~# insmod /lib/modules/2.6.26-2-xen/updates/loop.ko
Создаем файл для зашифрованного раздела
inst1:~# dd if=/dev/zero of=/var/encrypt_file bs=4k count=10000
Монтируем созданный файл. Рекомендаций по пасс фразе давать не буду, это дело вкуса.
inst1:~# losetup -e AES256 /dev/loop1 /var/encrypt_file
Создаем файловую систему, при нашем уровне дублирования ext2 будет достаточно
inst1:~# mkfs -t ext2 /dev/loop1
Размонтируем файл
inst1:~# losetup -d /dev/loop1
Пример монтирование зашифрованного раздела
inst1:~# mount volume -o loop=/dev/loop1,encryption=AES256 /var/secure/ -t ext2
Шифрование swap файла на Ваше усмотрение, но учтите — паранойя заразная штука.
Как организовать резервное копирование данных? Можно по крону запускать чудесные самописные скрипты бекапа. Либо подойти ответственно и настроить централизованную систему бекапов, например bacula, рекомендации по настройке и примеры можно посмотреть здесь Настройка и понимание Bacula. Бекапы лучше тоже хранить на зашифрованном разделе, а сам сервер с бекапами желательно держать где то далеко, в известном узкому кругу лиц месте, а для надежности можно его обильно присыпать голубиными какашками, что бы даже пнуть мыслей не возникало.
Для резервного копирования базы данных советую добавить в описание задания (job) строки
ClientRunBeforeJob = «/usr/local/bin/create_mysql_dump»
ClientRunAfterJob = «/bin/rm -f /var/lib/bacula/mysql.dump»
Нужно учитывать, что база данных имеет обыкновение разрастаться в размерах, из-за чего увеличивается время дампа базы. Для избежания данной проблемы можно воспользоваться функцией архивации таблиц, которая была реализована начиная со сборки 006. Логика простая, архивные таблицы храним в отдельной базе, для доступа ядра биллинга к архивным данным создаем представления(view) на архивные таблицы. Бекап делается ощутимо быстрее, так как сохраняется только структура вида, без самих данных. Данные из архивных таблиц можно не резервировать, достаточно хранить только 2 копии на случай пожара.
Итогом всего вышеперечисленного может стать создание отказоустойчивый кластера, с увеличенной избыточностью дисковой подсистемы, возможностью географического разнесенния нод, шифрованием и резервным копированием ценных данных.
P.S. Почему выбор пал на NetUР UTM5?
Когда фирма купила лицензию, я сначала думал, что это из-за подробной документации, которой на момент приобретения (конец 2006 года) оказалось аж целых 260 страниц, правда он была откровенно сырой. Потом думал, что из-за грамотной тех. поддержки. Не спорю, поддержка оказалась на высоком уровне, но была исключительна «недружелюбна», что в купе с сырой документацией омрачало радость от приобретения «продукта» и растянуло переход больше чем на год. В итоге, все оказалось просто, наш директор съездил к своим друзьям, а как известно обезьянка будет с остервенением пожирать красные ягоды, только если она видит, как другие обезьянки делают тоже самое. Вот так вот мы стали гордыми обладателями данного «продукта».
Если уже быть честным до конца, то «продукт» показал себя крайне капризным, мало документированным, но как оказалось при правильной настройке — весьма стабильным, так настроенная система без особых вмешательств проработала больше года, единственное, пришлось чистить базу.
Доброго времени суток, коллеги!
В
прошлой статье мы рассматривали ограничение скорости абонентам. В этой статье
будет рассмотрена автоматическая привязка абонентов к портам коммутаторов и к ACL маршрутизаторов. Ядро UTM5 работает на ОС Centos 5.7. Данные с маршрутизаторов UTM5 получает по протоколу
NetFlow. Информацию по установке и настройке UTM5
можно найти в документации с официального сайта.
Возьмем
прошлую схему.
Рассмотрим
географически распределенную систему в трех районах Москвы: Ясенево, Бутово,
Люберцы. Центр обработки данных находится в Ясенево, там же будет физически
располагаться сервер UTM5.
Type |
Нostname |
IP |
router |
Yasenevo |
1.1.1.1 |
switch |
Switch10021 |
1.1.1.2 |
switch |
Switch10022 |
1.1.1.3 |
router |
Lyuber |
2.2.2.1 |
switch |
Switch10023 |
2.2.2.2 |
switch |
Switch10024 |
2.2.2.3 |
router |
Butovo |
3.3.3.1 |
switch |
Switch10025 |
3.3.3.2 |
Логика
работы:
При
включении интернета, IP
адрес абонента
добавляется в разрешающий ACL
на маршрутизаторе.
Также добавляется в ACL
на порт коммутатора.
При
выключении интернета, IP
адрес абонента
удаляется из разрешающего ACL
на маршрутизаторе. Также удаляется из ACL на порту коммутатора, и отключается
порт.
Приступим
к предварительной настройке.
1. Для коммутаторов при включении
интернета.
conf t
no ip access-list extended UTM4
ip access-list extended UTM4
permit ip host 1.1.1.4
any
exit
interface FastEthernet0/4
ip access-group UTM4
in
no shutdown
exit
exit
wr
exit
2. Для коммутаторов при выключении
интернета.
conf t
interface FastEthernet0/4
ip access-group UTM4
in
shutdown
exit
no ip access-list extended UTM4
ip access-list extended UTM4
deny ip any any
exit
exit
wr
3. Для маршрутизаторов при включении
интернета.
conf t
ip access-list extended 160
permit ip host 1.1.1.4
any
exit
wr
4. Для маршрутизаторов при
выключении интернета.
conf t
ip access-list extended 160
no permit ip host 1.1.1.4
any
exit
wr
На
маршрутизаторе привязываем ACL
к интерфейсу:
conf t
interface GigabitEthernet0/0
ip
access-group 160 out
exit
Устанавливаем expect: yum install expect –y
Настройку с примерами можно найти в интернете или в предыдущей статье «Ограничение скорости абонентам в UTM5 при помощи Expect.»
Подключаемся к коммутатору: autoexpect ssh cisco@1.1.1.2
Применяем первый список команд. Создаем новую папку для хранения скриптов: mkdir /scripts/
Копируем скрипт в данную папку: cp script.exp /scripts/Switch_on.exp
Редактируем: nano /scripts/Switch_on.exp
В зависимости от версий expect’a синтаксис будет немного различаться. Поэтому рассмотрим, что нужно заменить в данном скрипте на нашем шаблонном наборе команд:
$name#conf t
$name(config)# no ip access-list extended UTM$port
$name(config)# ip access-list extended UTM$port
$name(config-ext-nacl)# permit ip host $ip any
$name(config-ext-nacl)# exit
$name(config)# interface FastEthernet0/$port
$name(config-if)#ip access-group UTM$port in
$name(config-if)#no shutdown
$name(config)# exit
$name#exit
$name#wr
$name#exit
Передавать скрипту будем три параметра: IP адрес коммутатора, порт коммутатора, IP адрес абонента.
Добавим в скрипт соответствующие строчки:
set sw [lindex $argv 0]
set port [lindex $argv 1]
set ip [lindex $argv 2]
Т.к. имена коммутаторов различаются, а скрипт
один на все коммутаторы, то добавим присвоение соответствующих имен к IP адресу коммутатора:
set switch10021 1.1.1.2
set switch10022 1.1.1.3
set switch10023 2.2.2.2
set switch10024 2.2.2.3
set switch10025 3.3.3.2
if {$sw==$switch10021} {set nom switch10021}
if {$sw==$switch10022} {set nom switch10022}
if {$sw==$switch10023} {set nom switch10023}
if {$sw==$switch10024} {set nom switch10024}
if {$sw==$switch10025} {set nom switch10025}
Сохраняем и тестируем. Абонент с IP адресом 1.1.1.4 подключен к коммутатору 1.1.1.3
в порт 9: /scripts/Switch_on.exp
1.1.1.2 9 1.1.1.4
Получаем на выходе:
switch10022#conf
t
switch10022(config)#
no ip access-list extended UTM9
switch10022(config)#
ip access-list extended UTM9
switch10022(config-ext-nacl)#
permit ip host 1.1.1.4 any
switch10022(config-ext-nacl)#
exit
switch10022(config)#
interface FastEthernet0/9
switch10022(config-if)#ip
access-group UTM9 in
switch10022(config-if)#no
shutdown
switch10022(config)#
exit
switch10022#exit
switch10022#wr
switch10022#exit
Скрипт для привязки абонента к порту
коммутатора при включении интернета готов.
Аналогичные действия проделываем и для
отключения интернета:
1. Подключаемся к коммутатору,
применяем команды из пункта 2, копируем скрипт /scripts/Switch_off.exp
2. Вносим
соответствующие изменения в скрипт и проверяем что все работает.
Приступаем
к настройке.
Копируем 4 файла:
1. cp /netup/utm5/rfw5.cfg /netup/utm5/rfw5_Switch_on.cfg
2. cp /netup/utm5/bin/utm5_rfw /netup/utm5/bin/utm5_rfw_Switch_on
3. cp /netup/utm5/bin/safe_utm5_rfw /netup/utm5/bin/safe_utm5_rfw_Switch_on
4. cp /etc/init.d/utm5_rfw /etc/init.d/utm5_rfw_Switch_on
Редактируем соответствующие файлы:
1. Nano /netup/utm5/rfw5_Switch_on.cfg
rfw_name=Switch_Internet_on //Имя фраервола, которое указываем в UTM5
core_host=127.0.0.1 //IP адрес, где запущен UTM5
core_port=12758 //Порт подключения к ядру
rfw_login=login // Логин
rfw_password=passwd // Пароль
firewall_type=local // Тип фраервола
rfw_ssl_type=none
sync_flags=enable:disable
firewall_path=/scripts/Switch_on.exp //Путь до скрипта
log_level=3
log_file_main=/netup/utm5/log/rfw5_main_Switch_on.log
log_file_debug=/netup/utm5/log/rfw5_debug_Switch_on.log
log_file_critical=/netup/utm5/log/rfw5_critical_Switch_on.log
2. Nano /netup/utm5/bin/safe_utm5_rfw_Switch_on
#!/bin/sh
# description: UTM Billing System Radius Safe start script trap '' 1 2 3 15
pid_file=/var/run/utm5_Switch_on.pid //Имя процесса
utm_exec=utm5_rfw_Switch_on //Имя исполняемого файла
err_log=/netup/utm5/log/rfw5_Switch_on.log
exec_dir=/netup/utm5/bin
root_email=root
rfw_flags=""
rfw_cfg=/netup/utm5/rfw5_Switch_on.cfg //Путь до конф файла.
3.Nano /etc/init.d/utm5_rfw_Switch_on
#!/bin/sh
# chkconfig: 2345 90 10
# description: UTM Billing System firewall control tool trap '' 1 2 3 15
utm_exec=safe_utm5_rfw_Switch_on
exec_dir=/netup/utm5/bin
Запускаем: /etc/init.d/utm5_rfw_Switch_on star
Добавляем в автозагрузку: chkconfig —level 35 utm5_rfw_Switch_on on
Приступаем к настройке в UTM5:
Регистрируем
коммутатор:
Добавляем
брандмауэр:
Добавляем
правило Firewall:
Заходим
в настройки пользователей и добавляем информацию о коммутаторе и порте:
Перезапускаем:
/etc/init.d/utm5_rfw_Switch_on stop
/etc/init.d/utm5_rfw_Switch_on start
Аналогичные действия проделываем и для
отключения интернета.
Приступим к настройке маршрутизатора.
Подключаемся к маршрутизатору: autoexpect ssh cisco@1.1.1.1
Применяем первый список команд для маршрутизатора при включении интернета.
Копируем скрипт в созданную папку: cp script.exp /scripts/cisco_1.1.1.1_on.exp
Редактируем: nano /scripts/cisco_1.1.1.1_on.exp
Рассмотрим, что нужно заменить в данном скрипте на нашем шаблонном наборе команд:
conf t
ip access-list extended 160
permit ip host $ip any
exit
wr
Передавать скрипту будем один параметр: IP адрес абонента.
Добавим в скрипт строчку:
set ip [lindex $argv 0]
Сохраняем
и тестируем: cisco_1.1.1.1_on.exp 1.1.1.7
conf t
ip access-list extended 160
permit ip host 1.1.1.7 any
exit
wr
Приступаем
к настройке:
Копируем 4 файла:
cp /netup/utm5/rfw5.cfg /netup/utm5/rfw5_cisco_1.1.1.1_on.cfg
cp /netup/utm5/bin/utm5_rfw /netup/utm5/bin/utm5_rfw_ cisco_1.1.1.1_on
cp /netup/utm5/bin/safe_utm5_rfw /netup/utm5/bin/safe_utm5_rfw_cisco_1.1.1.1_on
cp /etc/init.d/utm5_rfw /etc/init.d/utm5_rfw_cisco_1.1.1.1_on
И настраиваем соответственно.
После
настройки скриптов, приступим к настройки UTM5:
Добавляем
брандмауэр:
Добавляем
правило firewall:
Заходим
в настройки пользователя и добавляем его в группу «Ясенево».
Перезапускаем:
/etc/init.d/utm5_rfw_cisco_1.1.1.1_on stop
/etc/init.d/utm5_rfw_cisco_1.1.1.1_on start
Аналогичные действия проделываем и для
отключения интернета.
Скрипты для маршрутизаторов рекомендуется
не группировать, в отличие от коммутаторов. Маршрутизаторы могут быть разными,
как и интерфейсы. Обрабатывание скриптов на маршрутизаторах ограничиваем по
группам.
На этом предлагаю закончить.
Вопросы, замечания и предложения пишите в комментариях или на почту.
Удачного тестирования!