Соответственно это req limit для acct

понял, auth-port=0 я когда-то по вашему совету указал) то есть чтобы лимит указать для auth нужно указать как ниже?

server=192.168.1.2,pass,auth-port=1812,req-limit=50,fail-timeout=0,max-fail=0,acct-timeout=0,weight=1
server=192.168.1.2,pass,acct-port=1813,req-limit=0,fail-timeout=0,max-fail=0,acct-timeout=0,weight=1

Немного не так, нужно добавлять port0 что бы разделить auth и acct по двум серверам

server=192.168.1.2,pass,auth-port=1812,acct-port=0,req-limit=50,fail-timeout=0,max-fail=0,acct-timeout=0,weight=1
server=192.168.1.2,pass,acct-port=1813,auth-port=0,req-limit=0,fail-timeout=0,max-fail=0,acct-timeout=0,weight=1

теперь все ясно, спасибо большое

привет.

планирую использовать режим

mode=L2,shared=1,ifcfg=1,start=up,ip-unnumbered=1

т.е. старт по первому пакету, клиентам статика, авторизация в LB по IP, VLAN общий.

Подскажите как можно клиентам запретить брать чужие адреса статикой, ведь по сути Framed-IP-Address == User-Name и LB даёт access accept если находит IP в учётной записи. Понимаю что это кривой дизайн, но QinQ тут пока нет возможности сделать целиком сейчас.

на доступах D-Link, попробовал функционал address_binding в режиме arp_inspection и strict, связку коммутатор заблокировал, но первые пакеты всё равно на BRAS долетели и он стартанул сессию по "чужому" IP.

Без dhcp,  address binding не заработает

статические связки работают без dhcp snoop

ручные записи скажем так

Так на статике долго не выжить

Лучше сразу пытаться на вланы делить

Если это л2 то скорее всего мак может быть дополнительной проверкой

Для авторизации

Но это все велосипеды

я уже думал в эту сторону, в LB можно привязать, попробую.

а какой тогда бест практикс если статика нужна ?

статику без dhcp и выделенного vlan сделать нормально нельзя

это будет целый букет велосипедов

QinQ

Или просто влан на пользователя

спасибо, а сработает QinQ, но так же авторизация по IP или же по svid.cvid ?