Собрана такая схема:
Несколько маршрутизаторов (все Cisco) прикручены по tacacs+ к Cisco Secure ACS Server.
На этих маршрутизаторах висят пользователи на выделенках и по диалапу. Сессии обычно очень долгие - по несколько суток.
В случае некорректной перезагрузки маршрутизатора (например, отключение питания) стоповые записи на ACS-сервер не приходят, и ACS считает, что пользователи в коннекте. Т.е. при попытке повторного коннекта он режектит запросы, поскольку каждому пользователю разрешена только одна сессия.
Попытался побороть это следующим образом:
1. На ACS-сервере включил галку "Single Connect TACACS+ AAA Client" для всех маршрутизаторов. Все маршрутизаторы в одной локалке.
2. На маршрутизаторах сказал: "tacacs-server host ххх.ххх.ххх.ххх single-connection"Про эту фичу у циско написано так:
"Use the single-connection keyword to specify single-connection (only valid with CiscoSecure Release 1.0.1 or later). Rather than have the router open and close a TCP connection to the daemon each time it must communicate, the single-connection option maintains a single open connection between the router and the daemon. This is more efficient because it allows the daemon to handle a higher number of TACACS operations."
http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt2/sctplus.htm#xtocid109054
И в хелпе ACS-а:
"Single Connect TACACS+ AAA Client (Record stop in accounting on failure)
Select this option to enable a single-connect TACACS+ AAA client. This allows all TACACS+ sessions between the AAA client and ACS to occur over a single TCP session rather than separate sessions for each request. If this feature is selected and the connection fails, a stop record is sent to the TACACS+ accounting log for each user connected through the AAA client.
Note: If the TCP connection between ACS and the AAA client is unreliable, do not use this feature."
Теперь вижу такую картину: при логине пользователей записывается старт, а через 3 минуты в аккаунтинг записывается "NAS Reset". Хотя связь между маршрутизатором и ACS-сервером не пропадала.
Можно ли как-то это побороть? Т.е. чтобы сессии на ACS-сервере режектились только в случае пропадания коннекта между сервером и маршрутизатором?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 25-Апр-07, 11:27 
