Jump to content
Калькуляторы

Cisco ASR1002 балансировка нагрузки на Radius

Есть рабочая схема c ASR1002 (asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin) и двумя радиусами в виде unis под линуксом. радиусы используются по схеме reorder-fail. в этой схеме один радиус-сервер по сути простаивает, второй - пашет в полный рост. хотя, судя по статье http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/sbrdldbl.html, возможна работа в схеме с балансировкой нагрузки между радиус-серверами.

 

но в этой же статье есть неприятные моменты:

 

Restrictions for RADIUS Server Load Balancing

 

•Load balancing is not supported on proxy RADIUS servers.

 

•Incoming RADIUS requests, such as Packet of Disconnect (POD) requests, are not supported.

 

•Load balancing is not supported for private server-groups.

 

и если с п.1 можно смириться, то с п.2 - никак нельзя. как же будут без POD убиваться сессии, которые надо завершить ? кончились деньги, к примеру.

 

Т.е. вопрос простой, кто-нить пробовал реализовать схему с балансировкой нагрузки между радиус-серверами на asr1002 и подобных коммутаторах ? если да, то как ?

 

Спасибо

Share this post


Link to post
Share on other sites

Научите радиус убивать сессии по snmp

 

интересная мысль... у вас нет ссылки на цисковскую документацию на эту тему ? действительно, можно же через snmp попробовать убивать сессии.

Share this post


Link to post
Share on other sites

Ссылки нет, но эта фишка есть в биллинге. Наш билинг дропает сессии по POD или snmp. Как это реализовано технически - хз, но вроде бы в своё время работало. В документации ни слова, разработчики ничего не скажут, кода нет :)

Share this post


Link to post
Share on other sites

Ссылки нет, но эта фишка есть в биллинге. Наш билинг дропает сессии по POD или snmp. Как это реализовано технически - хз, но вроде бы в своё время работало. В документации ни слова, разработчики ничего не скажут, кода нет :)

 

 

а ваш биллинг - это какой ?

так-то, можно и по ssh скриптом сессии убивать :) я думал у цисок ASR есть штатный способ, кроме POD

Share this post


Link to post
Share on other sites

У меня сейчас работает ASR 1002 для терминации PPPoE.

 

Для отключения сессий используется такой скрипт (скрипту передается login):

 

#!/bin/sh

 

SNMPWALK="/usr/bin/snmpwalk"

SNMPSET="/usr/bin/snmpset"

SNMPGET="/usr/bin/snmpget"

LOG="/var/log/asr_pppoe.log"

COMMUNITY_R=""

COMMUNITY_W=""

OID_IP=".1.3.6.1.4.1.9.9.150.1.1.3.1.2"

OID_INT=".1.3.6.1.4.1.9.9.150.1.1.3.1.5"

CISCO="XX.XX.XX.XX"

 

USER=\"$1\"

DATE=`/bin/date "+%Y-%m-%d %H:%M:%S"`

 

if [ -z $1 ]

then

echo "[$DATE] WARNING: User is empty" >> $LOG

exit 1

fi

 

INT_NUM=`$SNMPWALK -v2c -c $COMMUNITY_R $CISCO $OID_IP | tr A-Z a-z | grep $USER | awk -F. '{print $10}' | awk '{print $1}'`

if [ -z $INT_NUM ]

then

echo "[$DATE] WARNING: User=$USER not connected" >> $LOG

exit 1

fi

 

$SNMPSET -v2c -c $COMMUNITY_W $CISCO $OID_INT.$INT_NUM i 1

echo "[$DATE] OK: Disconnect user=$USER interface=$INT_NUM finish" >> $LOG

exit 1

Share this post


Link to post
Share on other sites

а ваш биллинг - это какой ?

стыдно называть поставщика, так что ограничимся тем что он пропроитарный и не шибко популярный :)

Share this post


Link to post
Share on other sites

а ваш биллинг - это какой ?

стыдно называть поставщика, так что ограничимся тем что он пропроитарный и не шибко популярный :)

 

почему стыдно ? не BG-Billing случайно ? :)

Share this post


Link to post
Share on other sites

я вот что-то понять не могу, а что вам мешает убивать сессии по COA?

 

вот пример с этого-же форума тут

 

 

#!!! LOg off

/bin/echo "User-Name=\"f_annychka\",cisco-avpair=\"subscriber:command=account-logoff\",Cisco-Account-Info=\"S10.10.0.1\"" | /usr/local/bin/radclient -x 10.10.10.10:1700 coa cisco555

Edited by alks

Share this post


Link to post
Share on other sites

Народ, подскажите каким образом на Cisco ASR1002 по rsh отправлять ACL команды.

Стандартная схема описаная многими не подходит. У Cisco IOS-XE нет команды access-template .

rsh сам работает нормальн, к примеру команду rsh -l root 10.100.100.253 sh ver - отрабатывает.

При отправке: rsh -l root 10.100.100.253 access-template 101 1.1.1.1 0.0.0.0 any

в ответ получаем: Line has invalid autocommand "access-template 101 1.1.1.1 0.0.0.0 any" - т.к. access-template нет.

IOS asr1000rp1-ipbasek9.03.04.00.S.151-3.S.bin

Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-IPBASEK9-M), Version 15.1(3)

 

---conf Cisco----

no ip rcmd domain-lookup

ip rcmd rsh-enable

ip rcmd remote-host root 10.100.100.2 root enable

ip rcmd remote-host netup 10.100.100.2 root enable

ip rcmd remote-host netup 10.100.100.2 netup enable

privilege exec level 15 access-enable

privilege exec level 15 access-template

privilege exec level 15 access-profile

privilege exec level 15 clear access-template

privilege exec level 15 clear

line vty 0 4

privilege level 15

transport input telnet ssh

line vty 5 15

exec-timeout 60 0

privilege level 15

rotary 9

transport input telnet ssh

Edited by Shatnev

Share this post


Link to post
Share on other sites

access-template это же динамические ACL? Если нет динамических - придется строить или редактировать (опять же если есть возможность) простые "access-list"

Share this post


Link to post
Share on other sites

Да это динамические листы.

Вообще в IOS XE реализована возможность динамических листов?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this