Привет! У нас настроена сеть с 10 USW/USW-Pro, которые обслуживают пользователей через аутентификацию портов на основе MAC через radius. При отладке проблемы с прошивкой USW версии 5.64.8 (когда перестали проходить пакеты) я обнаружил, что radius-серверы, помеченные как недоступные (из-за таймаута или количества попыток), остаются в этом состоянии, пока не перезагрузишь коммутатор. Это происходит только с USW-Pro, думаю, потому что у обычных USW просто нет функции пометки radius-серверов как «мертвых» (нет такой опции в CLI-конфиге).
RADIUS[radius_task]: radius.c(2735) 83688 %% [INFO] RADIUS: Все серверы аутентификации недоступны
Подключаясь к коммутатору через telnet localhost, вижу такое:
#show radius servers name auth0
Имя RADIUS-сервера............................. auth0
Текущий IP-адрес сервера......................... 10.0.10.10
Количество повторных попыток....................... 4
Время «мертвости»................................... 0
Длительность таймаута............................... 20
Состояние сервера................................... Dead
Время в текущем состоянии........................... 80992 с
Состояние «бессмертия» сервера.................... True
Было бы здорово, если бы коммутатор периодически проверял radius-сервер снова (параметр Dead Time), а не уходил в режим «да ладно, мне всё равно». Очень раздражает необходимость случайных перезагрузок, только потому что radius-сервер пару секунд не отвечал.
Судя по CLI других коммутаторов, представляется, что одна из этих двух команд могла бы решить проблему.
(1) не даёт эффекта, а (2) исправляет ситуацию:
(1) #radius server deadtime 10
(2) #radius server host auth 10.0.10.10 test username are-you-there-then-say-reject deadtime 1
Я знаю, что в версии, скажем, 5.64.8 таймаут (до 50) и количество повторов (до 10) увеличили, но это не решает проблему, а лишь снижает вероятность её возникновения. Добавление deadtime и тестового username в конфиг могла бы её исправить. Понимаю, что тогда в логах radius могут появляться неожиданные имена пользователей, но это объяснимо и небольшая плата за стабильность в корпоративной среде.
Кто-нибудь сталкивался с похожим?
Модель устройства: UBNT-US48PRO-POE
Версия ПО: 5.43.23.12533
Контроллер: 6.2.26
FreeRadius: 3.0.20
Все сырые логи прикреплены приватно.
RADIUS[radius_task]: radius.c(2735) 83688 %% [INFO] RADIUS: Все серверы аутентификации недоступны
Подключаясь к коммутатору через telnet localhost, вижу такое:
#show radius servers name auth0
Имя RADIUS-сервера............................. auth0
Текущий IP-адрес сервера......................... 10.0.10.10
Количество повторных попыток....................... 4
Время «мертвости»................................... 0
Длительность таймаута............................... 20
Состояние сервера................................... Dead
Время в текущем состоянии........................... 80992 с
Состояние «бессмертия» сервера.................... True
Было бы здорово, если бы коммутатор периодически проверял radius-сервер снова (параметр Dead Time), а не уходил в режим «да ладно, мне всё равно». Очень раздражает необходимость случайных перезагрузок, только потому что radius-сервер пару секунд не отвечал.
Судя по CLI других коммутаторов, представляется, что одна из этих двух команд могла бы решить проблему.
(1) не даёт эффекта, а (2) исправляет ситуацию:
(1) #radius server deadtime 10
(2) #radius server host auth 10.0.10.10 test username are-you-there-then-say-reject deadtime 1
Я знаю, что в версии, скажем, 5.64.8 таймаут (до 50) и количество повторов (до 10) увеличили, но это не решает проблему, а лишь снижает вероятность её возникновения. Добавление deadtime и тестового username в конфиг могла бы её исправить. Понимаю, что тогда в логах radius могут появляться неожиданные имена пользователей, но это объяснимо и небольшая плата за стабильность в корпоративной среде.
Кто-нибудь сталкивался с похожим?
Модель устройства: UBNT-US48PRO-POE
Версия ПО: 5.43.23.12533
Контроллер: 6.2.26
FreeRadius: 3.0.20
Все сырые логи прикреплены приватно.
