...
В некоторых IPoE-схемах для обработки этого событие требуется использовать не Calling-Station-Id, а User-Name. Для этого нужно указать параметр radius.connection.checkDuplicate.type=1. В этом режиме будет проверяться User-Name из Access-Request с полем username сессии. Этот параметр можно указать для типа сервиса, в конфигурации типа сервиса: serv.radius.connection.checkDuplicate.type.
Блокировка частых Access-Request -> Access-Reject
Спам-запросы на авторизацию порождаются, обычно, забытым оборудованием, самостоятельно предпринимающем попытки авторизации на RADIUS. Постоянные обращения при таких запросах могут существенно повышать загрузку. Признаком спам-запроса являются несколько Reject-ответов на одинаковые запросы авторизации в течение определённого интервала времени. В этом случае подобные запросы попадают в спам-кэш на определённое время и по ним автоматически выдаётся Reject-ответ без полных проверок, производимых при авторизации. Для включения антиспам-системы в конфигурации модуля добавьте:
| Блок кода | ||||
|---|---|---|---|---|
| ||||
antispam.key.attributes=<key_attributes>
antispam.reject.count=<reject_count>
antispam.reject.per.time=<per_time>
antispam.ban.time=<ban_time> |
Где:
- <key_attributes> - RADIUS-атрибуты, идентифицирующие запрос, через запятую;
- <reject_count> - количество Reject, возвращённых на запрос с одинаковыми идентифицирующими атрибутами;
- <per_time> - за какое количество секунд выдано указанное в <reject_count> количество Reject-ответов;
- <ban_time> - время в секундах, на которое данный запрос попадает в спам-базу.
Например, запрос идентифицируется атрибутами User-Name и Calling-Station-Id. При десяти Reject-ответах в течении минуты запрос попадает в спам-базу на полчаса.
| Блок кода | ||||
|---|---|---|---|---|
| ||||
antispam.key.attributes=User-Name,Calling-Station-Id
antispam.reject.count=10
antispam.reject.per.time=60
antispam.ban.time=900 |