Документация NetAMS

account NNN

name AAA

[description BBB]

password CCC

plan MM1

nextplan MM2

[beblock | block | unblock]

balance {add|remove|set} ZZ

[credit–limit ZZ]

unit {name AAA | oid NN} {add | delete }

Команда account создает аккаунт, или запись о клиенте, в базе NeTAMS. Эта информация хранится в SQL, не в конфигурационном файле. Число NNN представляет собой объект OID, являющийся ключом в базе данных.

• name AAA — задает короткое имя аккаунту

• description BBB — задает описание аккаунта

• password CCC — задает пароль на доступ аккаунта с своей статистике

• plan MM1 — задает текущий тарифный план (номер MM1 должен соответствовать описанному выше плану)

• nextplan MM2 — задает тарифный план на следующий месяц — таким образом реализуется смена плана клиентом

• [ beblock | block | unblock ] - задает текущее состояние аккаунта: добровольно_блокирован, блокирован_администратором и разблокирован (активен)

• balance { add | remove | set } ZZ — позволяет добавлять, вычитать заданную сумму с баланса (лицевого счета) клиента, или выставлять баланс в указанное значение.

• [credit–limit ZZ] - указывает минимально допустимый баланс клиента, когда он еще не отключается (отрицательное число или 0, т.е. нет кредита).

• unit {name AAA | oid NN} {add | delete } - добавляет или отнимает заранее созданные в service processor юниты, делая их принадлежащими текущему аккаунту.

Подобно командам subplan и plan, команда account конфигурирует параметры аккаунта по одному параметру за команду:

account NNN description BBB

account NNN password CCC

account NNN plan MM1

account NNN nextplan MM2

account NNN [beblock | block | unblock]

account NNN balance {add|remove|set} ZZ

account NNN unit {name AAA | oid NN} {add | delete }

delay NN

Устанавливает интервал времени ( в секундах), который будет использоваться между циклами проверки аккаунтов.

default–credit–limit XX

Устанавливает кредитный лимит для всех вновь создаваемых аккаунтов, т.е. порог баланса при котором будет производиться отключение. По умолчанию значение равно нулю, т.е. кредит пользователю не выдается. Величина кредитного лимита XX должна быть отрицательной. Действует только на вновь создаваемые аккаунты. Для каждого аккаунта индивидуально в дальнейшем можно изменить этот лимит при помощи команды credit–limit.

storage MM {all | plans | subplans}

Указывает, в каком хранилище (storage) будет сохраняться биллинговая информация, и какая именно.

show plan [N [account|list]]

Выдает информацию о тарифном плане (планах):

fedora:~#netamsctl show plan

Plan ID 000001 Name «aaa» Desc. «super–puper tarifny plan»

Subplan ID 000001

Fee 10.000000, spread: 'M', policy ip(0B23C6)

Incl. 0 in 0 out, Over. 0.000000/M in 0.000000/M out

Plan ID 000002 Name «bbb» Desc. «plan dlya aktivnyh»

Subplan ID 000001

Fee 10.000000, spread: 'M', policy ip(0B23C6)

Incl. 0 in 0 out, Over. 0.000000/M in 0.000000/M out

Subplan ID 000002

Fee 15.000000, spread: 'M', policy www(0C9869)

Incl. 0 in 0 out, Over. 10.000000/M in 0.000000/M out

show account {XXX [full][bdata] |list}

Выдает информацию о аккаунте (аккаунтах):

fedora:~#netamsctl show account client1 full

Name a1 (01BFEF) BLOCKED SYNC bal: 100.00 cred_lim: — 5.00 plan: aaa

Plan aaa 000001 1107234000 Nextplan aaa 000001 1107234000

Changed 1108397456 Blocked 1108397423 Created 1108397423

Email — Password — Units: client1 08944A

Сервис acl–server занимается контролем доступа клиентов через удаленный маршрутизатор. В общем случае для источников данных типов netflow, ulog и libpcap управление трафиком невозможно, т.к. эти источники являются «односторонними», предоставляя данные по трафику безо всякой возможности воздействовать на сам процесс доставки этого трафика. С помощью данного сервиса можно организовать передачу команд вида «открыть–закрыть» на расположенный где–то в сети роутер. Это может быть маршрутизатор Cisco, PC–роутер с генератором потока netflow, или даже локальная машина (роутер/бридж) с настроенным data–source libpcap.

Сервис acl–server появился в NeTAMS начиная с версии 3.3.0 (build 2710). В настоящий момент поддерживается только управление удаленным роутером Cisco по протоколу RSH с набором некоторых стандартных команд. Они передаются на роутер при:

• (пере)запуске NeTAMS

• перезагрузке удаленного роутера

• при изменении системной политики

Эти правила действуют на юниты типа USER и HOST, у которых установлены IP–адреса.

Для начала вам необходимо настроить маршрутизатор Cisco:

no ip rcmd domain–lookup

ip rcmd rsh–enable

ip rcmd remote–host netams 192.168.0.10 root enable

!

ip flow–export source FastEthernet0/1

ip flow–export version 5

ip flow–export destination 192.168.0.10 20001

!

access–list 100 dynamic NETAMS deny ip any any

access–list 100 permit ip any any

!

interface FastEthernet0/1

ip address 192.168.0.1 255.255.255.0

ip access–group 100 in

!

В данном случае внутренний IP–адрес маршрутизатора равен 192.168.0.1, к интерфейсу fa0/1 подключена внутреняя сеть, а в этой сети на адресе 192.168.0.10 висит UNIX–компьюер с запущенным NeTAMS. Поток статистики netflow отправляется роутером туда же.

Хотя и считается, что протокол RSH небезопасный, на самом деле не все так плохо. Если вы явно указали разрешенный IP–адрес, с которого можно принимать команды, и на этом компьютере нет «лишних» клиентов, то все в порядке.

acl–server работает путем установки динамических списком доступа (access–lists) на роутере Cisco, это значит что перезагрузке роутера список потеряется (но будет восстановлен вновь). В данном примере список доступа имеет номер 100, и его динамическая часть имеет имя NETAMS. Обратите внимание на то, что все попадающие в этот список записи будут иметь политику DENY, в то время как сам список будет иметь политику ALLOW. Это значит, что при пустом списке доступа будет разрешен весь трафик, а добавление каких–то новых записей (IP–адресов) будет означать их блокировку. Далее, этот список доступа ставится на «вход» внутреннего интерфейса.

Справочник команд сервиса acl–server:

hostname AAAA [NN]

Задает имя или IP–адрес удаленного маршрутизатора, которым управляем. Опциональный параметр NN — номер TCP–порта, на котором роутер по принимает команды по протоколу RSH (по умолчанию 514).

direction { src|dst }

Определяет, в какое поле (src или dst) записи access–template будет вставлен IP–адрес юнита. Применять совместно направлением access–group на интерфейсе роутера. Например, если у вас записано:

interface FastEthernet0/1

ip access–group 100 in

то для конструкции «direction src» и IP–адреса юнита 192.168.0.10 в случае его блокировки будет исполнена команда:

access–template 100 NETAMS host 192.168.0.10 any

Аналогично, для «direction dst» будет:

access–template 100 NETAMS host any 192.168.0.10

При разблокировании юнита будет послана команда:

clear access–template 100 NETAMS …

dynamic–name AAAA

Задает имя динамической части списка доступа (в данном примере NETAMS)

acl–number NNN [cisco]

Задает номер списка доступа access–list (в данном примере 100), значение по умолчанию: 180. Ключевое слово «cisco» определяет, что удаленная сторона представляет из себя роутер Cisco, а не что–то иное (в данной версии других вариантов нет, так что указывать обязательно).

delay NNN

Задает промежуток времени между периодическими проверками состояния роутера и подачи команд его управления (в секундах). Рекомендуется значение порядка 300 секунд (значение по умолчанию).

set–uptime NNN

Позволяет вручную выставить параметр uptime удаленного роутера, полезно для отладки. NNN — время работы роутера в секундах, с момента последней его перезагрузки.