Документация NetAMS

• [credit–limit ZZ] - указывает минимально допустимый баланс клиента, когда он еще не отключается (отрицательное число или 0, т.е. нет кредита).

• unit {name AAA | oid NN} {add | delete } - добавляет или отнимает заранее созданные в service processor юниты, делая их принадлежащими текущему аккаунту.

Подобно командам subplan и plan, команда account конфигурирует параметры аккаунта по одному параметру за команду:

account NNN description BBB

account NNN password CCC

account NNN plan MM1

account NNN nextplan MM2

account NNN [beblock | block | unblock]

account NNN balance {add|remove|set} ZZ

account NNN unit {name AAA | oid NN} {add | delete }

delay NN

Устанавливает интервал времени ( в секундах), который будет использоваться между циклами проверки аккаунтов.

default–credit–limit XX

Устанавливает кредитный лимит для всех вновь создаваемых аккаунтов, т.е. порог баланса при котором будет производиться отключение. По умолчанию значение равно нулю, т.е. кредит пользователю не выдается. Величина кредитного лимита XX должна быть отрицательной. Действует только на вновь создаваемые аккаунты. Для каждого аккаунта индивидуально в дальнейшем можно изменить этот лимит при помощи команды credit–limit.

storage MM {all | plans | subplans}

Указывает, в каком хранилище (storage) будет сохраняться биллинговая информация, и какая именно.

show plan [N [account|list]]

Выдает информацию о тарифном плане (планах):

fedora:~#netamsctl show plan

Plan ID 000001 Name «aaa» Desc. «super–puper tarifny plan»

Subplan ID 000001

Fee 10.000000, spread: 'M', policy ip(0B23C6)

Incl. 0 in 0 out, Over. 0.000000/M in 0.000000/M out

Plan ID 000002 Name «bbb» Desc. «plan dlya aktivnyh»

Subplan ID 000001

Fee 10.000000, spread: 'M', policy ip(0B23C6)

Incl. 0 in 0 out, Over. 0.000000/M in 0.000000/M out

Subplan ID 000002

Fee 15.000000, spread: 'M', policy www(0C9869)

Incl. 0 in 0 out, Over. 10.000000/M in 0.000000/M out

show account {XXX [full][bdata] |list}

Выдает информацию о аккаунте (аккаунтах):

fedora:~#netamsctl show account client1 full

Name a1 (01BFEF) BLOCKED SYNC bal: 100.00 cred_lim: — 5.00 plan: aaa

Plan aaa 000001 1107234000 Nextplan aaa 000001 1107234000

Changed 1108397456 Blocked 1108397423 Created 1108397423

Email — Password — Units: client1 08944A

Сервис acl–server занимается контролем доступа клиентов через удаленный маршрутизатор. В общем случае для источников данных типов netflow, ulog и libpcap управление трафиком невозможно, т.к. эти источники являются «односторонними», предоставляя данные по трафику безо всякой возможности воздействовать на сам процесс доставки этого трафика. С помощью данного сервиса можно организовать передачу команд вида «открыть–закрыть» на расположенный где–то в сети роутер. Это может быть маршрутизатор Cisco, PC–роутер с генератором потока netflow, или даже локальная машина (роутер/бридж) с настроенным data–source libpcap.

Сервис acl–server появился в NeTAMS начиная с версии 3.3.0 (build 2710). В настоящий момент поддерживается только управление удаленным роутером Cisco по протоколу RSH с набором некоторых стандартных команд. Они передаются на роутер при:

• (пере)запуске NeTAMS

• перезагрузке удаленного роутера

• при изменении системной политики

Эти правила действуют на юниты типа USER и HOST, у которых установлены IP–адреса.

Для начала вам необходимо настроить маршрутизатор Cisco:

no ip rcmd domain–lookup

ip rcmd rsh–enable

ip rcmd remote–host netams 192.168.0.10 root enable

!

ip flow–export source FastEthernet0/1

ip flow–export version 5

ip flow–export destination 192.168.0.10 20001

!

access–list 100 dynamic NETAMS deny ip any any

access–list 100 permit ip any any

!

interface FastEthernet0/1

ip address 192.168.0.1 255.255.255.0

ip access–group 100 in

!

В данном случае внутренний IP–адрес маршрутизатора равен 192.168.0.1, к интерфейсу fa0/1 подключена внутреняя сеть, а в этой сети на адресе 192.168.0.10 висит UNIX–компьюер с запущенным NeTAMS. Поток статистики netflow отправляется роутером туда же.

Хотя и считается, что протокол RSH небезопасный, на самом деле не все так плохо. Если вы явно указали разрешенный IP–адрес, с которого можно принимать команды, и на этом компьютере нет «лишних» клиентов, то все в порядке.

acl–server работает путем установки динамических списком доступа (access–lists) на роутере Cisco, это значит что перезагрузке роутера список потеряется (но будет восстановлен вновь). В данном примере список доступа имеет номер 100, и его динамическая часть имеет имя NETAMS. Обратите внимание на то, что все попадающие в этот список записи будут иметь политику DENY, в то время как сам список будет иметь политику ALLOW. Это значит, что при пустом списке доступа будет разрешен весь трафик, а добавление каких–то новых записей (IP–адресов) будет означать их блокировку. Далее, этот список доступа ставится на «вход» внутреннего интерфейса.

Справочник команд сервиса acl–server:

hostname AAAA [NN]

Задает имя или IP–адрес удаленного маршрутизатора, которым управляем. Опциональный параметр NN — номер TCP–порта, на котором роутер по принимает команды по протоколу RSH (по умолчанию 514).