Kami Опубликовано 6 сентября, 2011 · Жалоба Есть рабочая схема c ASR1002 (asr1000rp1-advipservicesk9.03.03.02.S.151-2.S2.bin) и двумя радиусами в виде unis под линуксом. радиусы используются по схеме reorder-fail. в этой схеме один радиус-сервер по сути простаивает, второй - пашет в полный рост. хотя, судя по статье http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/sbrdldbl.html, возможна работа в схеме с балансировкой нагрузки между радиус-серверами. но в этой же статье есть неприятные моменты: Restrictions for RADIUS Server Load Balancing •Load balancing is not supported on proxy RADIUS servers. •Incoming RADIUS requests, such as Packet of Disconnect (POD) requests, are not supported. •Load balancing is not supported for private server-groups. и если с п.1 можно смириться, то с п.2 - никак нельзя. как же будут без POD убиваться сессии, которые надо завершить ? кончились деньги, к примеру. Т.е. вопрос простой, кто-нить пробовал реализовать схему с балансировкой нагрузки между радиус-серверами на asr1002 и подобных коммутаторах ? если да, то как ? Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 6 сентября, 2011 · Жалоба Научите радиус убивать сессии по snmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kami Опубликовано 6 сентября, 2011 · Жалоба Научите радиус убивать сессии по snmp интересная мысль... у вас нет ссылки на цисковскую документацию на эту тему ? действительно, можно же через snmp попробовать убивать сессии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 6 сентября, 2011 · Жалоба Ссылки нет, но эта фишка есть в биллинге. Наш билинг дропает сессии по POD или snmp. Как это реализовано технически - хз, но вроде бы в своё время работало. В документации ни слова, разработчики ничего не скажут, кода нет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kami Опубликовано 7 сентября, 2011 · Жалоба Ссылки нет, но эта фишка есть в биллинге. Наш билинг дропает сессии по POD или snmp. Как это реализовано технически - хз, но вроде бы в своё время работало. В документации ни слова, разработчики ничего не скажут, кода нет :) а ваш биллинг - это какой ? так-то, можно и по ssh скриптом сессии убивать :) я думал у цисок ASR есть штатный способ, кроме POD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
melmaxnvk Опубликовано 7 сентября, 2011 · Жалоба У меня сейчас работает ASR 1002 для терминации PPPoE. Для отключения сессий используется такой скрипт (скрипту передается login): #!/bin/sh SNMPWALK="/usr/bin/snmpwalk" SNMPSET="/usr/bin/snmpset" SNMPGET="/usr/bin/snmpget" LOG="/var/log/asr_pppoe.log" COMMUNITY_R="" COMMUNITY_W="" OID_IP=".1.3.6.1.4.1.9.9.150.1.1.3.1.2" OID_INT=".1.3.6.1.4.1.9.9.150.1.1.3.1.5" CISCO="XX.XX.XX.XX" USER=\"$1\" DATE=`/bin/date "+%Y-%m-%d %H:%M:%S"` if [ -z $1 ] then echo "[$DATE] WARNING: User is empty" >> $LOG exit 1 fi INT_NUM=`$SNMPWALK -v2c -c $COMMUNITY_R $CISCO $OID_IP | tr A-Z a-z | grep $USER | awk -F. '{print $10}' | awk '{print $1}'` if [ -z $INT_NUM ] then echo "[$DATE] WARNING: User=$USER not connected" >> $LOG exit 1 fi $SNMPSET -v2c -c $COMMUNITY_W $CISCO $OID_INT.$INT_NUM i 1 echo "[$DATE] OK: Disconnect user=$USER interface=$INT_NUM finish" >> $LOG exit 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 7 сентября, 2011 · Жалоба а ваш биллинг - это какой ? стыдно называть поставщика, так что ограничимся тем что он пропроитарный и не шибко популярный :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kami Опубликовано 7 сентября, 2011 · Жалоба а ваш биллинг - это какой ? стыдно называть поставщика, так что ограничимся тем что он пропроитарный и не шибко популярный :) почему стыдно ? не BG-Billing случайно ? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 7 сентября, 2011 (изменено) · Жалоба я вот что-то понять не могу, а что вам мешает убивать сессии по COA? вот пример с этого-же форума тут #!!! LOg off/bin/echo "User-Name=\"f_annychka\",cisco-avpair=\"subscriber:command=account-logoff\",Cisco-Account-Info=\"S10.10.0.1\"" | /usr/local/bin/radclient -x 10.10.10.10:1700 coa cisco555 Изменено 7 сентября, 2011 пользователем alks Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shatnev Опубликовано 20 апреля, 2012 (изменено) · Жалоба Народ, подскажите каким образом на Cisco ASR1002 по rsh отправлять ACL команды. Стандартная схема описаная многими не подходит. У Cisco IOS-XE нет команды access-template . rsh сам работает нормальн, к примеру команду rsh -l root 10.100.100.253 sh ver - отрабатывает. При отправке: rsh -l root 10.100.100.253 access-template 101 1.1.1.1 0.0.0.0 any в ответ получаем: Line has invalid autocommand "access-template 101 1.1.1.1 0.0.0.0 any" - т.к. access-template нет. IOS asr1000rp1-ipbasek9.03.04.00.S.151-3.S.bin Cisco IOS Software, IOS-XE Software (PPC_LINUX_IOSD-IPBASEK9-M), Version 15.1(3) ---conf Cisco---- no ip rcmd domain-lookup ip rcmd rsh-enable ip rcmd remote-host root 10.100.100.2 root enable ip rcmd remote-host netup 10.100.100.2 root enable ip rcmd remote-host netup 10.100.100.2 netup enable privilege exec level 15 access-enable privilege exec level 15 access-template privilege exec level 15 access-profile privilege exec level 15 clear access-template privilege exec level 15 clear line vty 0 4 privilege level 15 transport input telnet ssh line vty 5 15 exec-timeout 60 0 privilege level 15 rotary 9 transport input telnet ssh Изменено 20 апреля, 2012 пользователем Shatnev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 23 апреля, 2012 · Жалоба access-template это же динамические ACL? Если нет динамических - придется строить или редактировать (опять же если есть возможность) простые "access-list" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shatnev Опубликовано 23 апреля, 2012 · Жалоба Да это динамические листы. Вообще в IOS XE реализована возможность динамических листов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...