BiTel

Появилась необходимость завести несколько NAS с одинаковыми NAS-IP-Address, но разными NAS-Identifier.
Фактически железяка одна - сервисы разные.
Предварительно настроили один NAS-1 и прицепили на него сервис - все ОК - авторизация есть....
Добавляем второй NAS-2 c таким же IP, но другим идентификатором... и начались чудеса - "InetServ not found".
Меняем IP на NAS-2 на другой - опять все ОК.
Возвращаем IP на NAS-2, как NAS-1 - опять "InetServ not found".
Перекидываем сервис с NAS-1, на NAS-2 и о чудо - авторизация есть...
Согласно документации:
По факту NAS-Identifier вообще не используется для поиска, а поиск по NAS-IP-Address возвращает NAS с максимальным deviceId.

А уверен что пакеты, приходящие с одного физического NAS имеют разные NAS-Identifier ? (и вообще имеют ли) В студию оба запроса РАДИУСа.

Вполне логично. Сервис то остался к NAS-1 привязан, а при загрузке НАСов Аксес запомнил последний с этим же NAS-IP, т.е. NAS-2, вот на нем и ищет сервис.

Я вроде уже писал что в случае НАСов финт одно физическое - несколько логических не прокатит. В плане NetFlow, ServiceActivator - тут пожалуйста, потому что от обратного идёт, от сервиса идем устройство и что-то с ним делаем и можем для разных сервисов (разных логических устройств) выполнять разные действия на одном физическом. У тебя же поиск сервиса по НАСу, и определить какое же это логическое устройство по пакету с физического, ИМХО - задача нерешаемая.

P.S. Мне кажется что начало пропущено. Лучше расскажи ДЛЯ ЧЕГО такая необходимость? Может есть другой вариант решения задачи, которая не озвучена, а озвучен только путь решения, причем тупиковый.

100% имеют разный NAS-Identifier, та как я их сам в обработчике устанавливаю...


Все равно не могу понять почему нельзя найти NAS, с IP которого пришел запрос...
Согласно доке ищем NAS по идентификатору: находим (можем еще и IP проверить) или если не находим, то ищем дальше по IP.
Исходная задача: беспроводная точка доступа с двумя секторами. Доступна радиус авторизация. Но нужно закрепить сервис клиента за конкретным сектором.
Вот и получается: два NAS c одним IP, но разными идентификаторами. Все логично. Вот только поиск по NAS-Identifier не работает.
Странно почему Inet запоминает последний IP, ведь NAS инициализирутся парой NAS-Identifier и IP:

Поиск по NAS-Identifier можно проверить, если в preprocessRequest удалить атрибут NAS-IP-Address. Это будет 100%-ная проверка. Хотя в первом посте подозрения на неработоспособность этого типа поиска есть, но лучше еще раз убедиться. А вдруг сработает.

preprocessRequest вызывается у обработчика установленного в типе устройства, т.е. устройство уже определено (найдено) - поздно менять идентификатор.
А что-то еще необходимо, кроме указания привязки сервисов к разным секторам? Если только привязка, можно два дочерних устройства создать и к ним сервис привязывать.

Я понял, что обработчик запускается позже чем, чем происходит происходит поиска по идентификатору - установка его в обработчике уже значения не имеет.
Получается возможны 3 варианта:

1) Создается База(NAS c IP, radius.servSearchMode=6) и к ней 2 сектора, как дочерние устройства (с любым идентификатором и без IP)
Клиентов привязываем к секторам. В мониторе видно сколько всего на базе (NAS) + сколько на каждом секторе(по привязанным сервисам).
Все бы ничего, но клиент может авторизоваться на любом секторе и реальная картина по авторизации по секторам не будет соответствовать действительности.

2) Фактически в radius-access (и также в radius-accounting) приходит идентификатор сектора, но он находится в NAS-Port-Id. А вот NAS-Identifier у них одинаковый. Возможно ли как-то переопределить NAS-Identifier=NAS-Port-Id до поиска устройства? Я это делал в обработчике, но он вызывался уже после поиска устройства. Тогда клиент и привязан и может зарегистрироваться только на своем секторе.

3) Использовать Radius-proxy, в котором переписывать NAS-Identifier=NAS-Port-Id. Правда реализация этого еще под вопросом...

Очень бы хотелось реализацию по п.2

Вроде бы должно получиться, если сектора использовать как агентские устройства - в предобработке извлечь идентификатор сектора и подставить его в request.setOption( InetRadiusProcessor.AGENT_REMOTE_ID, sector );
Тогда сессии будут привязаны как обычно к NAS'у, но дополнительно у них будет agentDeviceId - id сектора и если в мониторе выбрать сектор - то эти сессии отобразятся.

У вас используется serv.device.link? Если указать serv.device.link=1 или 2 и сервис будет привязан к сектору, то его не пустит в другой сектор.
Если сервис будет привязан к NAS'у - то пустит в оба сектора.

Спасибо за подсказку AGENT_REMOTE_ID - попробовал: кое-что вышло, но дальше тупик.
1) в обработчике для БС (она же NAS) устанавливается request.setOption( InetRadiusProcessor.AGENT_REMOTE_ID, sector )
2) radius.servSearchMode=1 - сектор находится, но вот сервис не находится, так как он его нужно искать по MAC.

Здесь получается radius.servSearchMode=1 не совсем правильный. Так как нужно сначала искать устройство по agentRemoteId, а вот уже потом на этом устройстве по MAC. Как такой поиск указать?

Спасибо за напоминание про serv.device.link - буду его использовать для ограничения, но сначала авторизацию доделать надо.

Вроде добил авторизацию:
1) в обработчике для БС (она же NAS) устанавливается request.setOption( InetRadiusProcessor.AGENT_REMOTE_ID, sector ) для поиска сектора
2) на NAS radius.servSearchMode=6 (поиск сервиса по MAC на устройстве и подчиненных - поиск на секторах)
3) на сервисе вешаем serv.device.link=1 (авторизация только на привязанном устройстве, которая берется с п.1)
Итого клиент может авторизоваться только на определенном секторе.