kilam Опубликовано 23 декабря, 2015 · Жалоба Доброго времени суток многоуважаемые. Столкнулся с такой задачкой. имеем биллинг1 начальство решило замутить биллинг2. при этом Разовый переход на биллинг2 невозможен. ВСех новых юзверей требуют заводить на биллинге2. соответственно вопрос можно ли сконфигурить asr1002 так чтобы аутентификацию он раскидывал на оба радиус сервера. пробовал завести 2 группы, но он отстреливает 3 попытки на 1 радиус и умолкает не пытаясь опросить второй сервер. aaa group server radius VPN2 server name VPN2 ! aaa group server radius VPN server name VPN ! aaa authentication login 1 local aaa authentication ppp default group VPN group VPN2 aaa authorization network default group VPN group VPN2 aaa accounting delay-start aaa accounting update periodic 5 aaa accounting network default start-stop group VPN group VPN2 заранее спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 23 декабря, 2015 · Жалоба Начальство на кол за такую миграцию без технической разведки! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 23 декабря, 2015 · Жалоба Я делал для миграции хитрую схему на новом биллинге. freeradius проверял наличие юзера в новом биллинге - и если есть - авторизовал, иначе - пробрасывал на другой биллинг. Теоретически можно написать такой прокси, который будет анализировать ответы от нового и старого биллинга. Но это все деньги... у меня причины для такой схемы были "политические". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 декабря, 2015 · Жалоба +1 за фрирадиус + свою логику на его анленге или перле. Писать своё дольше (хотя бы немного) и получится тот же результат что и на фрирадиусе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n.lobanov Опубликовано 24 декабря, 2015 · Жалоба Лет 7 назад на Cisco 7301 работал такой конфиг: Interface Loopback1 description For_RAD1 ip address a.a.a.a Interface Loopback2 description For_RAD2 ip address b.b.b.b aaa group server radius RAD1 server 1.1.1.1 auth-port 1645 acct-port 1646 server-private 1.1.1.1 auth-port 1645 acct-port 1646 key secret ip radius source-interface Loopback1 attribute nas-port format a ! aaa group server radius RAD2 server 2.2.2.2 auth-port 1812 acct-port 1813 server-private 2.2.2.2 auth-port 1812 acct-port 1813 key tayna ip radius source-interface Loopback2 attribute nas-port format a ! aaa authentication ppp rad1 group RAD1 aaa authentication ppp rad2 group RAD2 aaa authorization network rad1 group RAD1 aaa authorization network rad2 group RAD2 aaa accounting update periodic 2 aaa accounting network rad1 action-type start-stop group RAD1 ! aaa accounting network rad2 action-type start-stop group RAD2 bba-group pppoe rad1 virtual-template 1 vendor-tag circuit-id service sessions per-vlan limit 800 sessions per-mac throttle 4 60 300 bba-group pppoe rad2 virtual-template 2 vendor-tag circuit-id service sessions per-vlan limit 800 sessions per-mac throttle 4 60 300 interface Virtual-Template1 ip unnumbered Loopback1 peer default ip address pool PPPoE_POOL1 ppp authentication pap rad1 ppp authorization rad1 ppp accounting rad1 interface Virtual-Template2 ip unnumbered Loopback2 peer default ip address pool PPPoE_POOL2 ppp authentication pap rad2 ppp authorization rad2 ppp accounting rad2 interface GigabitEthernet0/0.100 encapsulation dot1Q 100 pppoe enable group rad1 interface GigabitEthernet0/1.200 encapsulation dot1Q 200 pppoe enable group rad2 И вуаля - абоненты из VLAN 100 - уходят на первый биллинг, а VLAN 200 - на второй. ip radius source-interface LoopbackN - очень полезный параметр - cisco всегда отправляет пакеты с src IP интерфейса LoopbackN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kilam Опубликовано 24 декабря, 2015 · Жалоба 2 vlad11 да согласен 2 Ivan 83 тоже склоняемся к такому варианту только вот вопрос не загнется ли он при нагрузке в 50к+ юзверей 2 n.lobanov разруливать vlan немного не комельфо так как на акцесе в 1 влане могут быть как юзвери из одного так и из второго биллингов. будем думать дальше. всем огромное спасибо за ответы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...