[kilam]

Доброго времени суток многоуважаемые. Столкнулся с такой задачкой. имеем биллинг1 начальство решило замутить биллинг2. при этом Разовый переход на биллинг2 невозможен. ВСех новых юзверей требуют заводить на биллинге2.

соответственно вопрос можно ли сконфигурить asr1002 так чтобы аутентификацию он раскидывал на оба радиус сервера.

пробовал завести 2 группы, но он отстреливает 3 попытки на 1 радиус и умолкает не пытаясь опросить второй сервер.

 

 

aaa group server radius VPN2

server name VPN2

!

aaa group server radius VPN

server name VPN

!

 

aaa authentication login 1 local

aaa authentication ppp default group VPN group VPN2

aaa authorization network default group VPN group VPN2

aaa accounting delay-start

aaa accounting update periodic 5

aaa accounting network default start-stop group VPN group VPN2

 

заранее спасибо

[vlad11]

Начальство на кол за такую миграцию без технической разведки!

[nuclearcat]

Я делал для миграции хитрую схему на новом биллинге. freeradius проверял наличие юзера в новом биллинге - и если есть - авторизовал, иначе - пробрасывал на другой биллинг.

Теоретически можно написать такой прокси, который будет анализировать ответы от нового и старого биллинга. Но это все деньги... у меня причины для такой схемы были "политические".

[Ivan_83]

+1 за фрирадиус + свою логику на его анленге или перле.

Писать своё дольше (хотя бы немного) и получится тот же результат что и на фрирадиусе.

[n.lobanov]

Лет 7 назад на Cisco 7301 работал такой конфиг:

 

  Interface Loopback1
   description For_RAD1
   ip address a.a.a.a

  Interface Loopback2
   description For_RAD2
   ip address b.b.b.b


  aaa group server radius RAD1
   server 1.1.1.1 auth-port 1645 acct-port 1646
   server-private 1.1.1.1 auth-port 1645 acct-port 1646 key secret
   ip radius source-interface Loopback1
   attribute nas-port format a
  !
  aaa group server radius RAD2
   server 2.2.2.2 auth-port 1812 acct-port 1813
   server-private 2.2.2.2 auth-port 1812 acct-port 1813 key tayna
   ip radius source-interface Loopback2
   attribute nas-port format a
  !
  aaa authentication ppp rad1 group RAD1
  aaa authentication ppp rad2 group RAD2
  aaa authorization network rad1 group RAD1 
  aaa authorization network rad2 group RAD2 
  aaa accounting update periodic 2
  aaa accounting network rad1
   action-type start-stop
   group RAD1
  !
  aaa accounting network rad2
   action-type start-stop
   group RAD2

  bba-group pppoe rad1
  virtual-template 1
   vendor-tag circuit-id service
   sessions per-vlan limit 800
   sessions per-mac throttle 4 60 300

  bba-group pppoe rad2
  virtual-template 2
   vendor-tag circuit-id service
   sessions per-vlan limit 800
   sessions per-mac throttle 4 60 300

  interface Virtual-Template1
   ip unnumbered Loopback1
   peer default ip address pool PPPoE_POOL1
   ppp authentication pap rad1
   ppp authorization rad1
   ppp accounting rad1

  interface Virtual-Template2
   ip unnumbered Loopback2
   peer default ip address pool PPPoE_POOL2
   ppp authentication pap rad2
   ppp authorization rad2
   ppp accounting rad2

  interface GigabitEthernet0/0.100
  encapsulation dot1Q 100
  pppoe enable group rad1

  interface GigabitEthernet0/1.200
  encapsulation dot1Q 200
  pppoe enable group rad2

И вуаля - абоненты из VLAN 100 - уходят на первый биллинг, а  VLAN 200 - на второй.
ip radius source-interface LoopbackN - очень полезный параметр - cisco всегда
отправляет пакеты с src IP интерфейса  LoopbackN.

[kilam]

2 vlad11 да согласен

2 Ivan 83 тоже склоняемся к такому варианту только вот вопрос не загнется ли он при нагрузке в 50к+ юзверей

2 n.lobanov разруливать vlan немного не комельфо так как на акцесе в 1 влане могут быть как юзвери из одного так и из второго биллингов.

будем думать дальше. всем огромное спасибо за ответы