Перемещение при сбое RADIUS-сервера и балансировка нагрузки
RADIUS-серверы — критически важные компоненты любого решения для защиты беспроводных сетей, основанного на стандарте 802.1X, и от их доступности зависит доступность беспроводной сети. Решение RADIUS, поддерживающее беспроводные сети, должно быстро реагировать на запросы и обладать надежностью и избыточностью, чтобы обеспечивать доступность и производительность, сравнимую с проводными сетями. Именно поэтому службу проверки подлинности в Интернете рекомендуется устанавливать на имеющиеся контроллеры доменов. Перед выбором стратегии балансировки нагрузки важно понять, что в стандарте 802.1X протокол EAP в RADIUS (EAP-RADIUS) реализуется между точкой доступа и RADIUS-сервером. Хотя RADIUS-сервер использует протокол UDP, в нем осуществляется туннелирование протокола EAP, ориентированного на установление сеанса. Это означает, что пакеты EAP-RADIUS, составляющие одну операцию проверки подлинности, должны быть возвращены тому же RADIUS-серверу, в противном случае эта попытка проверки подлинности завершится неудачей. В беспроводных сетях применяют два подхода к обеспечению перемещения при сбоях серверов службы проверки подлинности в Интернете и балансировке нагрузки на них. Первый состоит в использовании прокси-серверов службы проверки подлинности в Интернете с группами RADIUS-серверов, а второй — в конфигурировании основных и дополнительных RADIUS-серверов путем настройки параметров точек доступа. Преимущества и недостатки каждого подхода указаны в следующей таблице. Таблица 4. Перемещение при сбоях RADIUS-сервера и балансировка нагрузки на него при использовании протокола EAP
В более крупных компаниях следует рассмотреть целесообразность распределения нагрузки на серверы RADIUS с помощью прокси-серверов RADIUS, сконфигурированных в группах серверов RADIUS. Это обеспечивает дополнительную гибкость, позволяя распределять трафик на основе ряда настраиваемых параметров, в число которых помимо взвешенных коэффициентов и значений приоритета входят тип трафика RADIUS и атрибуты RADIUS. Кроме того, такая архитектура обеспечивает максимальную гибкость и масштабируемость обслуживания запросов проверки подлинности, и ее легче администрировать. Упрощенные функции перемещения при сбоях RADIUS-серверов, встроенные в точки доступа, отвечают требованиям большинства организаций, но это менее гибкое решение, чем использование групп прокси-серверов. Однако перейти с этой архитектуры на решение для перемещения при сбоях и балансировки нагрузки, основанное на прокси-серверах RADIUS, сравнительно легко. Если компании нужна небольшая или ограниченная зона покрытия, первое решение окажется эффективным и простым в реализации, но по мере увеличения размера и сложности беспроводной сети его реализация и администрирование будут требовать все больше усилий, потому что для поддержания равномерного распределения нагрузки между серверами нужно тщательно планировать установку каждого устройства и следить за его работой.
Рис. 3. Методы перемещения при сбоях RADIUS-серверов и балансировки нагрузки на них в беспроводной сети
Для балансировки нагрузки с использованием встроенных функций точек доступа нужно в каждой зоне доступа разделить точки доступа примерно пополам и сконфигурировать их так, чтобы в каждой половине в качестве основного RADIUS-сервера использовался дополнительный RADIUS-сервер другой половины и наоборот (см. рис. 3). Высокие накладные расходы при этом подходе связаны с необходимостью тщательно контролировать нагрузку на точки доступа для достижения и поддержания оптимального уровня ее распределения.
|
