ケーキ-小額の請求。

ほとんどすべての現代の企業は、仕事にインターネットに接続されたコンピューターを使用しています。 この会社が製品を生産、販売、またはサービスを提供するかどうかにかかわらず、インターネットは人々がビジネスを運営するのに役立ちます。 他のリソースと同様に、インターネットアクセスを考慮する必要があります。





アカウンティングは、さまざまなプロキシサーバーログファイルを分析することで事後的に実行できます。 ただし、これではリソースをリアルタイムで制御できません。 この問題を解決するために、通常請求と呼ばれる特殊なソフトウェアシステムがあります。 請求とは何か、それが実行できる機能を決めましょう。



したがって、請求は、通信サービスの消費のアクセス、アカウンティング、および制限を提供し、ユーザー、サービスを管理し、サービスの消費に関するレポートを生成するためのインターフェースを提供するソフトウェアとハ​​ードウェアの複合体です。



この機能はさまざまな方法で実装できます。 ファイアウォールカウンターに基づく課金の最も一般的な実装。 このために、スクリプトを使用してそれらを読み取り、DBMS（通常はMySQL）にデータを入力し、ユーザーが制限に達しているかどうかを確認します。 DBMSは、データを操作するためにのみ使用されます。 このような決定の欠点は、ユーザーをIPアドレスにバインドすること、システムにユーザー認証がないこと、およびシステムを特定のものにバインドすることです。 このようなソリューションの利点は、その実装の容易さと、ソリューションを自分自身で変更できることです。



別の一般的な実装では、external_aclとDBMSにデータを記録するリアルタイムアナライザーを使用して、squidプロキシサーバーをインストールします。 この方法で機能します。ユーザーが制限を設定すると、外部ACLを読み取るアクセスグループから削除されます。 このソリューションの欠点は、システムの慣性が高いことと、システムの安定性が高すぎないこと、およびプロキシサーバーを通過するトラフィックを考慮することです。 プラスは、ユーザー認証の可用性、統計の詳細化およびクロスプラットフォームソリューションの可能性です。



ご覧のとおり、最初と2番目の実装にはマイナスとプラスがないわけではありません。 3番目の実装を見てみましょう。 その主なアイデアは、VPNを使用してアクセスを提供し、測定し、通信サービスの消費を制限することです。 このために、pptpd接続マネージャーが使用されます。pppdは、pppプロトコルとRADIUSサーバーを操作するためのデーモンです。 すべての仕組み：クライアントはpptpdに接続し、pppdを起動して制御を転送します。 次に、クライアントは認証パラメーターを送信します。 pppdデーモンは、それらを受け取った後、RADIUSサーバーに要求を出します。 データを受け取った彼は、接続の許可または拒否に関する応答を作成します。 次に、それをpppdに送信します。 pppdが禁止を受け取った場合、接続は切断されます。 許可が得られた場合、pppdは接続を開き、RADIUSにセッションの開始を通知します。 pppdの設定に応じて、セッション中に、RADIUSサーバーへの中間状態を送信できます。 ユーザーがシャットダウンして切断するとすぐに、pppdはセッションの終了と消費されたリソースの量に関する通知をRADIUSサーバーに送信します。 ご覧のとおり、解決策は非常に興味深いものです。 しかし、彼には長所と短所もあります。 欠点は、ソリューションのインストールがかなり複雑であることと、トラフィックの詳細が欠けていることです。 利点は、クラックするのが非常に難しい認証システムの可用性、IPアドレスをユーザー名にバインドする機能、セッションに制限を指定し、到達時に自動的に切断する機能に加えて、標準コンポーネントの使用により、システムは適切に拡張され、動作が安定しています。

この実装を使用しているシステムはたくさんあります。 しかし、私たちの目標は、100〜200台以下のコンピューターを備えた中小規模オフィス向けのシステムを検討することです。 そのようなシステムの中で、FreeNIBSとCakeが興味深いです。



ケーキの話。

この記事では、（これまでのところ）あまり知られていない請求ケーキ（英語から翻訳された「パイ」）について説明します。 このシステムは、インターネット上で動作するために消費されるトラフィックを考慮して制御するように設計されています。 小規模なインターネットサービスプロバイダーと中規模企業の両方で、内部会計に使用できます。 請求を使用する品質（プロバイダーとして、または会社内）に基本的な違いはないため、これに焦点を合わせません。



このプロジェクトは、愛好家が自由時間に開発し、完全にオープンです。 プロジェクトを率いるのは2人だけです。 改善作業が進行中です。 Cakeの請求は、いくつかの小規模なインターネットアクセス企業で既に正常に実装されています。 また、従業員によるインターネットリソースの使用に関する内部統制のためのいくつかの企業でも、そのような企業の数は増加しています。



これにはいくつかの理由があります。

•GPL v.2ライセンスの下では請求は無料です。

•インストールが簡単。 （もちろん、時々問題が発生しますが、ユーザーの質問はプロジェクトサポートフォーラムで非常に迅速に処理されます。）

•課金は標準のGNUコンポーネント上に構築されており、実際、どのシステムにも既にある（またはインストールが簡単な）ものを使用します。

•低エントリレート。 請求の原則を理解することは難しくありません。

•使いやすさ-インストール後、すべての作業はWebインターフェイスを介して行われます。

•プロジェクトは開いているため、システムの一部をユーザーの個々の希望に変更する機会が常にあります。 （たとえば、インターフェース。以下でさらに詳しく説明します。）



これにより、非常に短い時間で「パイ」を設定し、アカウンティングを開始できます。



請求を使用して会社の従業員を管理することは、プロバイダーの作業とは多少異なるため、システムに追加の要件が課されます。 リソースに対するユーザーの制限をトラフィックの制限よりも効果的であると考える人々とは議論しません。 トラフィックが制限されている場合、貪欲なユーザーは数日以内にインターネットにアクセスできなくなり、次回はクォータをはるかに正確に使用する可能性が高くなります。 さらに、この問題も簡単に解決されます。



トラフィックの量のみを考慮した請求の存在は、システム管理者を制限するものではなく、ログファイルのさまざまなアナライザー（プロキシサーバーなど）の使用を妨げません。 したがって、ユーザーが割り当てられたクォータをユーザーが費やしたリソースを確認する機会を提供します。 この場合、請求は単純に費用の分析に役立ち、ユーザートラフィックの合計を示します。



請求の機能：

最大253人のユーザーのみを使用します。 この制限は、Cakeがいくつかのサブネットで動作するための適切な機能をまだ持っていないという事実によるものです。そのため、ユーザーの最大数はアドレス指定の物理的な制限に起因します。 大規模なネットワークがある場合、Cakeはあなたに向いていません。

各ユーザーは、VPN接続を確立すると、VPNサーバーの内部スペースの一意のIPアドレスを受け取ります。 このユーザーが次に接続するアドレスに関係なく、内部ネットワーク上のIPは変更されません。 これは、ログファイルのアナライザーでsquidを構成できるため、トラフィックの詳細を表示したい人にとって非常に便利な機能です。 ユーザーログインをVPNネットワークのアドレスにバインドするだけで、ユーザーの冒険の詳細が完成しました。

Cakeシステムは複数の外部サブネットでは動作しないため、一部のユーザーに外部アドレスと一部の内部アドレスを発行させたい場合は失望します。 システムは1つのサブネットでのみ動作できます。



どのように機能しますか？

クライアント側で、VPNネットワークへの接続が作成されます。 pptpd（VPN）サーバーに接続しようとすると、pppdが起動してVPNトンネルを作成します。 許可を許可するために、pppdはradiusを参照します。radiusはDBMSでアカウントを検索し、応答を生成します。 radius、pppdから受信した情報に基づいて、パケットが許容範囲内であれば、ユーザーにさまざまな接続パラメーター（時間、トラフィック）を設定します。 その後、pppdは、セッションの開始に関する半径情報をサーバーに送信します。 ユーザーが（または他の理由で）サーバーへのVPN接続を切断するとセッションが終了し、制限を超えるとpppdはセッションを終了できます。



設置

システムは、作業のために次のコンポーネントを使用します（それらの一部はすでに上で言及されています）：

* nixシステムを搭載したコンピューター。

FreeRADIUSバージョン0.9.3以降。

Pptpdバージョン1.1.3以降。

PPPバージョン2.4.2.b3以降。

PostgreSQLサーバーバージョン7.4.x（バージョン8.xを使用している場合は、これらのCake.opennet.ru/develスキーマとWebインターフェースを使用してください）。

JDK（Sun JDK、Blackdown JDKまたはBEA Jrockit JDK）バージョン1.3以降。

サーブレット/ JSPコンテナ。 resin 3.0.xおよびtomcat 4.1.31でテスト済み

PostgreSQL JDBC Driverはバージョン3xを使用します。

インストールはいくつかの段階に簡単に分割できます。各段階については、開発サイト（http://npj.ru/Cake/）で詳細に説明されています。

インストールドキュメントはgentoo linuxシステムについて説明されていることを明確にする必要がありますが、選択したディストリビューションの使い方を知っているなら（結局、そうですか？）-これらのリンクからの情報で十分です。 それ以外の場合は、インストールしたLinuxディストリビューションの学習に時間を費やす必要があります。



すべての設定ファイルのアーカイブ（Gentoo！用）はCake.opennet.ru/release/etc/etc.tar.bz2で入手できます。



障害物に遭遇することなく1日でシステムをインストールしました。 私が注意したい唯一のことは、737：loopback detectedのようなWindowsクライアントで作業しているときのエラーです。 エラーが発生すると、このクライアントは長時間接続できなくなるため、このエラーは非常に不快です。 これは次のように修正されています。「nologfd」行が構成ファイルoptions.pptpdに追加され、「silent」および「connect-delay」行が反対にコメント化されます。



使用します。

システムがインストールされて動作可能になった後、システムを動作させます。 これを行うには、セットアップ時に樹脂を指定したアドレスに移動します。 通常、これは設定に応じてip / Cakeまたはip ：8080 / Cakeです。

デフォルトでは、ログイン：admin、パスワード：1234が設定されています。入力後、メインウィンドウに、最も頻繁に要求される主な情報が表示されます。 つまり、ユーザーの課金ステータス（メガバイトと金額に相当）および別のテーブルには、VPNサーバーに現在接続しているユーザーが表示されます。





図1.メインウィンドウ。



デフォルトでは、請求には管理者ユーザーが1人だけ含まれます。 ユーザーはタブに移動してパスワードを変更し、ACPユーザーを追加する必要があります。 ここでは、ユーザーに関するすべての情報を入力できます。これには、ユーザーの名前、ログイン、パスワードのほか、関税計画やマイナスのユーザーバランスでインターネットへのアクセスをブロックする必要性などの情報が含まれます。 同じページで、アカウントに対して支払いが行われるため、ユーザーごとに割り当てが割り当てられます。





図2.ユーザーアカウントの管理。



プロバイダーの請求システムとしてCakeを使用する場合、次のタブ「関税」に興味があります。 このページでは、お金とメガバイトの比率、または単にメガバイトあたりの価格などのパラメーターを設定します。





図3.関税。



ところで、社内で請求を使用する場合は、プロバイダーがトラフィックを販売するメガバイトあたりの価格を設定することをお勧めします。



何らかの理由でこれが都合が悪い場合、1メガバイトあたりの価格を1ルーブルに設定すると、クォータを設定するときに実際にルーブルから離れます。 したがって、ユーザーのページで条件付きの「支払い」を行うと、計算で頭を痛めることなく、実際にメガバイト数を示します。 陳腐に聞こえますが、何らかの理由で多くの人がこのような明らかな利便性を逃しています。



次のページ「レポート」は、インターネットトラフィックの消費の強度を追跡するのに役立ちます。 対象の時間間隔を指定することにより、ユーザーとシステム全体の両方の個別の統計を表示できます。





図4.統計。



課金管理パネルの最後のタブは設定です。 ここでは、次のパラメーターを設定できます。

iddle_timeout-ユーザーが指定された期間アクティビティを表示しない場合、シャットダウンが発生します。

ipnetmask-仮想サブネットのマスク。

ipsubnet-「..」形式の仮想サブネット。

max_pool_ip-クライアントが受信できる最大IPアドレス。

max_timeout-最大セッション時間（秒）;

max_trafout-セッションごとの最大トラフィック。

min_pool_ip-クライアントが受信できる最小IPアドレス。

taffinterval-トラフィック消費に関するデータを更新する期間（秒単位）。

max_traffoutパラメーター（ユーザーが1つのセッションで消費できる最大トラフィック、その後pppdが終了してトンネルが壊れる。その後の接続の再初期化）を変更するとき、余分なビットを追加しないように注意する必要がある）番号の最後。 残念ながら、その後は誰もVPNサーバーへの接続を確立できません。





図5.設定。



必要なすべての設定を行ってユーザーデータベースに追加すると、請求の操作が可能になります。

Cakeシステムは、一般ユーザーを忘れませんでした。 ユーザーが請求ページでユーザー名とパスワードを入力すると、アカウントの残高と日ごとの詳細な統計を確認できます。





図6.個人ユーザーの統計。



インターフェイスのいくつかの変更。

プロジェクトサポートフォーラムでは、発信トラフィックに関する質問が長らく寄せられています。 実際、ほとんどのプロバイダーは発信トラフィックがないため、この変数は統計に表示するのにそれほど興味深いものではありませんでした。 この情報はデータベースで実際に利用可能であり、画面に表示するだけでよいという点で状況はおもしろいです。



これを行うために、いくつかのファイルを変更しました。 npj.akeeper.ru/akeeper/Cakemodifiedで 、私が変更したjspファイルを見つけることができます。 これらはstat.all.jspとreport.list.jspです。ファイルは完全であるため、コピーして既存のファイルを置き換えるだけです。 サーバーはそれらをコンパイルします。 残念ながら、発信トラフィックの量はオンラインユーザーに対してのみ表示されます。 これは、共通ユーザーテーブルを変更する際のいくつかの困難が原因です。 ただし、発信トラフィックに関する同じ完全な情報は、レポートページで簡単に入手できます。 特定のユーザーと一般の両方の両方。



実際、私の知る限り、Cakeの開発者は自分のシステムにそのような変更を加えようとしていました。 ですから、おそらく、雑誌がリリースされる頃には、あなた自身の手でそのような変更をする必要はなくなるでしょう。



開発者の現在の仕事と将来の計画。

上記のように、課金デベロッパーは栄光にとどまることはせず、可能な限り（自由時間と思われます）、製品を完成させています。 最新の変更点は次のとおりです。

PostgreSQLバージョン8.xで機能するためのデータベース構造の変更

データベーススキーマが読み取り可能な形式に縮小されました。

システムのWebインターフェイスにいくつかの変更が加えられました。 （Webインターフェイスを使用する場合、データベースへの接続は1つだけで、以前のように複数ではありません。）

統計ベースの自動クリーニングが開発されています。

今、あなたはゼロ関税で作業することができます。

両方のトラフィック方向を考慮します（上記で、どのように表示されるかを説明しました）。

着信トラフィックと発信トラフィックの両方に制限を設定する機能が追加されました。

gentoo guide xml形式でドキュメントを書く予定です。

GNAPに基づく配布が計画されています。 （一言で言えば、これは組み込みシステム用のディストリビューションビルドシステムです。詳細については、 www.gentoo.org / proj / en / base / embedded / gnap - userguide.xmlを参照してください ）。 これにより、「サットダウンアンドゴー」の原則に基づいてシステムを迅速に展開できます。

現在、開発者は請求ブランチ1.xのバージョンの改善に取り組んでおり、現在のバージョンに必要なすべての変更が加えられると、製品の2番目のバージョンで作業が開始されます。 すべてのプランはまだ公開されていませんが、たとえばVoIPなどのサービスの料金プランについてはすでに知られています。



一般に、Cakeの請求は、インストールが簡単で使いやすい柔軟なシステムです。



（c） キーパーのアレクセイ・コルシュノフ。

OSAという名前の雑誌「システム管理者」の電子サプリメントで初めて公開されました。



追加：最近、Cakeプロジェクトが移動したことを知りました。