Как ограничить количество одновременных PPPoE подключений?

[Shurreg]

Здравствуйте.
Осваиваю UTM5, появляются вопросы.

Ситуация: пользователи подключаются по PPPoE, авторизация через RADIUS. Нужно, чтобы один логин не мог быть подключен одновременно более одного раза. Нужно также, чтобы при блокировке пользователя из биллинга его бы сбрасывало "с линии".

Дилемма: при услуге "передача IP-трафика" генерируются события фаерволла при установке блокировки, но не указывается имя пула (что было бы удобно, вообще говоря) и, самое главное, невозможно ограничить количество одновременных подключений. В результате одним и тем же аккаунтом можно подключиться и два, и десять раз одновременно, что недопустимо. Кроме того, насколько я понял, не имеет смысла/содержания переменная FRAMED_IP.
При услуге "Коммутируемый доступ" не генерируются события фаерволла при установке блокировок (насколько я понял), поэтому пользователь будет работать до истечения таймаута сессии, что не есть гуд.

Посоветуйте пожалуйста. Может, я что-то неправильно понял?
Заранее спасибо.

[RuffiAn]

В настройках тарифа есть такой пункт "Лимит одновременных сессий" у меня стоит 1. Проблем не возникало. Если второй пользователь подключается с тем же логином то у него выдает ошибку 691

[Shurreg]

В настройках тарифа есть такой пункт "Лимит одновременных сессий" у меня стоит 1.

См. проблему с использованием услуг "коммутируемый доступ": при услуге "Коммутируемый доступ" не генерируются события фаерволла при установке блокировок (насколько я понял), поэтому пользователь будет работать до истечения таймаута сессии, что не есть гуд.
А в услугах передачи трафика у меня такого пункта вроде нет. У вас есть? Тогда давайте сравнивать версии.

[serjk]

Обрыв сессии в новых версиях можно организовать с помощью механизма Packet of Disconnect, если NAS его поддерживает (как для услуг Dialup, так и для передачи трафика)

Так же в 5.3-002 появилась возможность указать IP-пул в свойствах услуги передачи трафика (при этом не указывается конкретный адрес). Контроль количества одновременных сессий при этом механизме пока не реализовали (к релизу будет сделан)

[maxxsoft]

Нужно, чтобы один логин не мог быть подключен одновременно более одного раза.

Вообще, правильным было бы ограничить количество сессий на BRAS
на cisco например это делается так:

Код: Выделить всё

bba-group pppoe global
 virtual-template 1
 sessions max limit 5000
 sessions per-vc limit 1
 sessions per-mac limit 1
 sessions per-vlan limit 1
 sessions auto cleanup

на микротике в настройках сервера галочка:

Код: Выделить всё

One Session Per Host

ну и т.д.

[Витька]

Нужно, чтобы один логин не мог быть подключен одновременно более одного раза.

Вообще, правильным было бы ограничить количество сессий на BRAS
на cisco например это делается так:

Всё ок, но только ваш подход работает в случае одного браса. А если их несколько?

[maxxsoft]

Всё ок, но только ваш подход работает в случае одного браса. А если их несколько?

поскольку у меня реализована схема VLAN per Customer я не сталкивался с размещением нескольких брасов в одной сети...

навскидку могу предложить вам промежуточный радиус с парсингом сессий по брасам.... (не критикуйте сильно, это первое, что пришло в голову, возможно есть и другие варианты....)

либо дополнительно вводить привязку по МАКадресу...