Блокировка доступа на Cisco NPE: низкая производительность.

[Yuri8457]

Доступ: ряд Cisco NPE-G1, 7301 + PPPoE.
Задача: при отрицательном балансе перенаправлять исходящий трафик на страницу уведомления.
В настоящий момент для ограничения доступа использую dynamic ACL на каждом BRAS.
ACL длинные, производительность удручающая. Access-list compiled для dynamic не поддерживается. При временном отключении ACL нагрузка значительно снижается (примерно вдвое).
Рассматривал вариант назначения ip-адресов для заблокированных пользователей из отдельного ip-пула. В этом случае для перенаправления необходимо использовать PBR, что опять же сильно снижает производительность.
Рассматриваю возможность привязки интерфейсов Virtual-Access (конкретных pppoe-сессий) заблокированных пользователей к определенной VRF. Это можно реализовать с помощью передачи radius-атрибута в момент авторизации. В документации не обнаружил, каким образом можно передать определенный radius-атрибут только для заблокированного пользователя. Это возможно?
Может кто-то предложит более оптимальный вариант?

[kara]

У нас в сети dhcp+pppoe. Отвалился у пользователя интернет(в тч по балансу) - показывается картинка дай денег/подключи кредит или настрой правильно роутер. Страничку отдает nginx статикой.

[Yuri8457]

UP!

[Nik0n]

Доступ: ряд Cisco NPE-G1, 7301 + PPPoE.
Задача: при отрицательном балансе перенаправлять исходящий трафик на страницу уведомления.
В документации не обнаружил, каким образом можно передать определенный radius-атрибут только для заблокированного пользователя. Это возможно?
Может кто-то предложит более оптимальный вариант?

Могу: через urfa заполнять у связки необходимые RADIUS атрибуты. Заполнять по событию RFW - Смена типа блокировки. Не забывать удалять не нужные атрибуты, когда блокировка снимается.

[Yuri8457]

Благодарю, Nik0n!
Отличный вариант!

[TiRider]

7301 не умеет ISG (он же SSG)? Может стоит попробовать, если есть IOS под эти нужды.

[Yuri8457]

7301 не умеет ISG (он же SSG)? Может стоит попробовать, если есть IOS под эти нужды.

7301 ISG умеет.
Штатный Radius от Netup может заставить ISG заблокировать / открыть доступ к услуге при смене состояния "статуса Интернет"?

[TiRider]

7301 не умеет ISG (он же SSG)? Может стоит попробовать, если есть IOS под эти нужды.

7301 ISG умеет.
Штатный Radius от Netup может заставить ISG заблокировать / открыть доступ к услуге при смене состояния "статуса Интернет"?

Через костыли. Сейчас делают они реализацию для ISG.

[Shiva]

Ага, как с DHCP, можно будет пользоваться, но через год.

[kara]

Доступ: ряд Cisco NPE-G1, 7301 + PPPoE.
Задача: при отрицательном балансе перенаправлять исходящий трафик на страницу уведомления.
В документации не обнаружил, каким образом можно передать определенный radius-атрибут только для заблокированного пользователя. Это возможно?
Может кто-то предложит более оптимальный вариант?

Могу: через urfa заполнять у связки необходимые RADIUS атрибуты. Заполнять по событию RFW - Смена типа блокировки. Не забывать удалять не нужные атрибуты, когда блокировка снимается.

Не могли бы вы привести пример, какие именно радиус-атрибуты заполнять при блокировке? к сервисной связке цеплять что-то, что будет давать понять Cisco какой VRF использовать?