kilam Posted December 23, 2015 · Report post Доброго времени суток многоуважаемые. Столкнулся с такой задачкой. имеем биллинг1 начальство решило замутить биллинг2. при этом Разовый переход на биллинг2 невозможен. ВСех новых юзверей требуют заводить на биллинге2. соответственно вопрос можно ли сконфигурить asr1002 так чтобы аутентификацию он раскидывал на оба радиус сервера. пробовал завести 2 группы, но он отстреливает 3 попытки на 1 радиус и умолкает не пытаясь опросить второй сервер. aaa group server radius VPN2 server name VPN2 ! aaa group server radius VPN server name VPN ! aaa authentication login 1 local aaa authentication ppp default group VPN group VPN2 aaa authorization network default group VPN group VPN2 aaa accounting delay-start aaa accounting update periodic 5 aaa accounting network default start-stop group VPN group VPN2 заранее спасибо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted December 23, 2015 · Report post Начальство на кол за такую миграцию без технической разведки! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted December 23, 2015 · Report post Я делал для миграции хитрую схему на новом биллинге. freeradius проверял наличие юзера в новом биллинге - и если есть - авторизовал, иначе - пробрасывал на другой биллинг. Теоретически можно написать такой прокси, который будет анализировать ответы от нового и старого биллинга. Но это все деньги... у меня причины для такой схемы были "политические". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted December 24, 2015 · Report post +1 за фрирадиус + свою логику на его анленге или перле. Писать своё дольше (хотя бы немного) и получится тот же результат что и на фрирадиусе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
n.lobanov Posted December 24, 2015 · Report post Лет 7 назад на Cisco 7301 работал такой конфиг: Interface Loopback1 description For_RAD1 ip address a.a.a.a Interface Loopback2 description For_RAD2 ip address b.b.b.b aaa group server radius RAD1 server 1.1.1.1 auth-port 1645 acct-port 1646 server-private 1.1.1.1 auth-port 1645 acct-port 1646 key secret ip radius source-interface Loopback1 attribute nas-port format a ! aaa group server radius RAD2 server 2.2.2.2 auth-port 1812 acct-port 1813 server-private 2.2.2.2 auth-port 1812 acct-port 1813 key tayna ip radius source-interface Loopback2 attribute nas-port format a ! aaa authentication ppp rad1 group RAD1 aaa authentication ppp rad2 group RAD2 aaa authorization network rad1 group RAD1 aaa authorization network rad2 group RAD2 aaa accounting update periodic 2 aaa accounting network rad1 action-type start-stop group RAD1 ! aaa accounting network rad2 action-type start-stop group RAD2 bba-group pppoe rad1 virtual-template 1 vendor-tag circuit-id service sessions per-vlan limit 800 sessions per-mac throttle 4 60 300 bba-group pppoe rad2 virtual-template 2 vendor-tag circuit-id service sessions per-vlan limit 800 sessions per-mac throttle 4 60 300 interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address pool PPPoE_POOL1 ppp authentication pap rad1 ppp authorization rad1 ppp accounting rad1 interface Virtual-Template2 ip unnumbered Loopback2 peer default ip address pool PPPoE_POOL2 ppp authentication pap rad2 ppp authorization rad2 ppp accounting rad2 interface GigabitEthernet0/0.100 encapsulation dot1Q 100 pppoe enable group rad1 interface GigabitEthernet0/1.200 encapsulation dot1Q 200 pppoe enable group rad2 И вуаля - абоненты из VLAN 100 - уходят на первый биллинг, а VLAN 200 - на второй. ip radius source-interface LoopbackN - очень полезный параметр - cisco всегда отправляет пакеты с src IP интерфейса LoopbackN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kilam Posted December 24, 2015 · Report post 2 vlad11 да согласен 2 Ivan 83 тоже склоняемся к такому варианту только вот вопрос не загнется ли он при нагрузке в 50к+ юзверей 2 n.lobanov разруливать vlan немного не комельфо так как на акцесе в 1 влане могут быть как юзвери из одного так и из второго биллингов. будем думать дальше. всем огромное спасибо за ответы Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...