Kami Posted September 6, 2011 Posted September 6, 2011 Есть рабочая схема c ASR1002 (asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin) и двумя радиусами в виде unis под линуксом. радиусы используются по схеме reorder-fail. в этой схеме один радиус-сервер по сути простаивает, второй - пашет в полный рост. хотя, судя по статье http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/sbrdldbl.html, возможна работа в схеме с балансировкой нагрузки между радиус-серверами. но в этой же статье есть неприятные моменты: Restrictions for RADIUS Server Load Balancing •Load balancing is not supported on proxy RADIUS servers. •Incoming RADIUS requests, such as Packet of Disconnect (POD) requests, are not supported. •Load balancing is not supported for private server-groups. и если с п.1 можно смириться, то с п.2 - никак нельзя. как же будут без POD убиваться сессии, которые надо завершить ? кончились деньги, к примеру. Т.е. вопрос простой, кто-нить пробовал реализовать схему с балансировкой нагрузки между радиус-серверами на asr1002 и подобных коммутаторах ? если да, то как ? Спасибо Вставить ник Quote
secandr Posted September 6, 2011 Posted September 6, 2011 Научите радиус убивать сессии по snmp Вставить ник Quote
Kami Posted September 6, 2011 Author Posted September 6, 2011 Научите радиус убивать сессии по snmp интересная мысль... у вас нет ссылки на цисковскую документацию на эту тему ? действительно, можно же через snmp попробовать убивать сессии. Вставить ник Quote
secandr Posted September 6, 2011 Posted September 6, 2011 Ссылки нет, но эта фишка есть в биллинге. Наш билинг дропает сессии по POD или snmp. Как это реализовано технически - хз, но вроде бы в своё время работало. В документации ни слова, разработчики ничего не скажут, кода нет :) Вставить ник Quote
Kami Posted September 7, 2011 Author Posted September 7, 2011 Ссылки нет, но эта фишка есть в биллинге. Наш билинг дропает сессии по POD или snmp. Как это реализовано технически - хз, но вроде бы в своё время работало. В документации ни слова, разработчики ничего не скажут, кода нет :) а ваш биллинг - это какой ? так-то, можно и по ssh скриптом сессии убивать :) я думал у цисок ASR есть штатный способ, кроме POD Вставить ник Quote
melmaxnvk Posted September 7, 2011 Posted September 7, 2011 У меня сейчас работает ASR 1002 для терминации PPPoE. Для отключения сессий используется такой скрипт (скрипту передается login): #!/bin/sh SNMPWALK="/usr/bin/snmpwalk" SNMPSET="/usr/bin/snmpset" SNMPGET="/usr/bin/snmpget" LOG="/var/log/asr_pppoe.log" COMMUNITY_R="" COMMUNITY_W="" OID_IP=".1.3.6.1.4.1.9.9.150.1.1.3.1.2" OID_INT=".1.3.6.1.4.1.9.9.150.1.1.3.1.5" CISCO="XX.XX.XX.XX" USER=\"$1\" DATE=`/bin/date "+%Y-%m-%d %H:%M:%S"` if [ -z $1 ] then echo "[$DATE] WARNING: User is empty" >> $LOG exit 1 fi INT_NUM=`$SNMPWALK -v2c -c $COMMUNITY_R $CISCO $OID_IP | tr A-Z a-z | grep $USER | awk -F. '{print $10}' | awk '{print $1}'` if [ -z $INT_NUM ] then echo "[$DATE] WARNING: User=$USER not connected" >> $LOG exit 1 fi $SNMPSET -v2c -c $COMMUNITY_W $CISCO $OID_INT.$INT_NUM i 1 echo "[$DATE] OK: Disconnect user=$USER interface=$INT_NUM finish" >> $LOG exit 1 Вставить ник Quote
secandr Posted September 7, 2011 Posted September 7, 2011 а ваш биллинг - это какой ? стыдно называть поставщика, так что ограничимся тем что он пропроитарный и не шибко популярный :) Вставить ник Quote
Kami Posted September 7, 2011 Author Posted September 7, 2011 а ваш биллинг - это какой ? стыдно называть поставщика, так что ограничимся тем что он пропроитарный и не шибко популярный :) почему стыдно ? не BG-Billing случайно ? :) Вставить ник Quote
alks Posted September 7, 2011 Posted September 7, 2011 (edited) я вот что-то понять не могу, а что вам мешает убивать сессии по COA? вот пример с этого-же форума тут #!!! LOg off/bin/echo "User-Name=\"f_annychka\",cisco-avpair=\"subscriber:command=account-logoff\",Cisco-Account-Info=\"S10.10.0.1\"" | /usr/local/bin/radclient -x 10.10.10.10:1700 coa cisco555 Edited September 7, 2011 by alks Вставить ник Quote
Shatnev Posted April 20, 2012 Posted April 20, 2012 (edited) Народ, подскажите каким образом на Cisco ASR1002 по rsh отправлять ACL команды. Стандартная схема описаная многими не подходит. У Cisco IOS-XE нет команды access-template . rsh сам работает нормальн, к примеру команду rsh -l root 10.100.100.253 sh ver - отрабатывает. При отправке: rsh -l root 10.100.100.253 access-template 101 1.1.1.1 0.0.0.0 any в ответ получаем: Line has invalid autocommand "access-template 101 1.1.1.1 0.0.0.0 any" - т.к. access-template нет. IOS asr1000rp1-ipbasek9.03.04.00.S.151-3.S.bin Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-IPBASEK9-M), Version 15.1(3) ---conf Cisco---- no ip rcmd domain-lookup ip rcmd rsh-enable ip rcmd remote-host root 10.100.100.2 root enable ip rcmd remote-host netup 10.100.100.2 root enable ip rcmd remote-host netup 10.100.100.2 netup enable privilege exec level 15 access-enable privilege exec level 15 access-template privilege exec level 15 access-profile privilege exec level 15 clear access-template privilege exec level 15 clear line vty 0 4 privilege level 15 transport input telnet ssh line vty 5 15 exec-timeout 60 0 privilege level 15 rotary 9 transport input telnet ssh Edited April 20, 2012 by Shatnev Вставить ник Quote
Tosha Posted April 23, 2012 Posted April 23, 2012 access-template это же динамические ACL? Если нет динамических - придется строить или редактировать (опять же если есть возможность) простые "access-list" Вставить ник Quote
Shatnev Posted April 23, 2012 Posted April 23, 2012 Да это динамические листы. Вообще в IOS XE реализована возможность динамических листов? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.