Функция Authentication Failover EcoRouter Documentation / BRAS / Удаленная аутентификация, авторизация и аккаунтинг / Функция Authentication Failover
Если по какой-либо причине удалённый AAA-сервер недоступен, BRAS может автоматически применять локальные политики аутентификации и авторизации. Для этого предусмотрена функция Authentication Failover. Благодаря этой функции абоненты смогут получить доступ в Интернет и даже не заметят сбоя в сети оператора. По умолчанию данная функция выключена. Для её использования должны быть выполнены два условия:
- Функция должна быть включена командой authentication-failover в режиме конфигурации интерфейса bmi.
- В subscriber-map или в pppoe-profile, в зависимости от типа абонентов сети, должен быть сконфигурирован локальный сервис.
Ниже представлен пример настройки функции authentication-failover для локального сервиса с именем 2mbps и недоступного RADIUS-сервера из группы с именем NEW_RADIUS.
...
interface bmi.1
connect port te0 service-instance clients
dhcp-profile 1
subscriber-map clients
session-trigger dhcp
authentication-failover
ip address 10.1.1.1/24
subscriber-map clients 1
set idle-timeout 30
set session-timeout 1440
match dynamic prefix-list PERMITANY
set subscriber-service 2mbps
set aaa radius
subscriber-aaa radius
authentication radius NEW_RADIUS
accounting radius NEW_RADIUS
radius-group NEW_RADIUS
radius-server 192.168.255.2 secret pass1234 vrf management priority 10
subscriber-policy 2mbps
bandwidth in mbps 2
bandwidth out mbps 2
set filter-map in default
set filter-map out default
subscriber-service 2mbps
set policy 2mbps
...
После аутентификации и авторизации абонента с помошью функции authentication-failover его сессия в таблице IPoE обозначается меткой "F", а также записью "auth. failed" в столбце Status, которая говорит о невозможности связаться с удалённым AAA-сервером.
ecorouter#show subscribers bmi.1
VRF: default
Total subscribers: 2
Accepted: 2, Rejected: 0, Authenticating: 0, DHCP conversation: 0
Codes:
l - local authentication (prefix-list), r - remote authentication (subscriber-aaa)
L - local authorization (subscriber-service), R - remote authorization (radius attribute SERVICE_NAME)
B - blocked by IP Source Guard, F - local auth during Radius unavailable (authentication-failover)
U - unknown (internal error), N - not specified
IP Address MAC Address Port S-tag C-tag Status Type
----------------------------------------------------------------------------------
F> 10.1.1.3 0050.7966.6801 te0 ----- 10 auth. failed IPoE L2
При вводе команды authentication-failover можно задать тайм-аут для автоматического сброса абонентских сессий с меткой F:
authentication-failover <0-65535>, где число – это время в минутах, по истечении которого произойдёт сброс всех абонентских сессий с меткой F (0 означает бесконечность).
Задание тайм-аута для authentication-failover позволит абонентским устройствам автоматически пересоздавать сессии в BRAS, и сетевому администратору не придётся вручную закрывать все необходимые сессии командой clear.
Применение тайм-аута authentication-failover происходит следующим образом. При аутентификации абонента параметру session-timeout в настройках соответствующей subscriber-map присваивается значение, указанное в команде authentication-failover. При восстановлении связи с удалённым AAA-сервером тайм-аут authentication-failover продолжает действовать. BRAS сможет инициировать новую сессию для абонентского устройства через запрос к удалённому AAA-серверу только по истечении тайм-аута authentication-failover или после принудительного закрытия текущей сессии командой clear.
Следует также помнить, что при использовании функции authentication-failover значение параметра idle-timeout для абонентских сессий не изменяется и остаётся равным значению из соответствующей subscriber-map. Поэтому сброс абонентской сессии может произойти до истечения тайм-аута session-timeout.