Перемещение при сбое radius-сервера и балансировка нагрузки

RADIUS-серверы — критически важные компоненты любого решения для защиты беспроводных сетей, основанного на стандарте 802.1X, и от их доступности зависит доступность беспроводной сети. Решение RADIUS, поддерживающее беспроводные сети, должно быстро реагировать на запросы и обладать надежностью и избыточностью, чтобы обеспечивать доступность и производительность, сравнимую с проводными сетями. Именно поэтому службу проверки подлинности в Интернете рекомендуется устанавливать на имеющиеся контроллеры доменов.

Перед выбором стратегии балансировки нагрузки важно понять, что в стандарте 802.1X протокол EAP в RADIUS (EAP-RADIUS) реализуется между точкой доступа и RADIUS-сервером. Хотя RADIUS-сервер использует протокол UDP, в нем осуществляется туннелирование протокола EAP, ориентированного на установление сеанса. Это означает, что пакеты EAP-RADIUS, составляющие одну операцию проверки подлинности, должны быть возвращены тому же RADIUS-серверу, в противном случае эта попытка проверки подлинности завершится неудачей.

В беспроводных сетях применяют два подхода к обеспечению перемещения при сбоях серверов службы проверки подлинности в Интернете и балансировке нагрузки на них. Первый состоит в использовании прокси-серверов службы проверки подлинности в Интернете с группами RADIUS-серверов, а второй — в конфигурировании основных и дополнительных RADIUS-серверов путем настройки параметров точек доступа. Преимущества и недостатки каждого подхода указаны в следующей таблице.

Таблица 4. Перемещение при сбоях RADIUS-сервера и балансировка нагрузки на него при использовании протокола EAP

Метод	Преимущества	Недостатки
Прокси-серверы службы проверки подлинности в Интернете с группами RADIUS-серверов	Диагностика сбоев службы RADIUS с возможностями перемещения при сбое и отказовозвращения Распределение нагрузки по трафику в соответствии с его свойствами Сохранение состояния сеанса EAP при балансировке нагрузки Распределение запросов серверов в соответствии с параметрами приоритета и весовых коэффициентов	Необходимы дополнительные серверы службы проверки подлинности в Интернете Необходимо конфигурировать адреса основных и дополнительных RADIUS-серверов
Параметры основных и дополнительных RADIUS-серверов на точках доступа	Простота настройки в небольших сетях Точка беспроводного доступа регистрирует сбои при передаче трафика и выполняет перемещение на другой ресурс Используются интегрированные функции точек доступа	Распределение основного и дополнительного трафика RADIUS требует дополнительных усилий по планированию и мониторингу Некоторые точки доступа не поддерживают функцию отказовозвращения, из-за чего балансировка нагрузки по трафику может быть неравномерной

В более крупных компаниях следует рассмотреть целесообразность распределения нагрузки на серверы RADIUS с помощью прокси-серверов RADIUS, сконфигурированных в группах серверов RADIUS. Это обеспечивает дополнительную гибкость, позволяя распределять трафик на основе ряда настраиваемых параметров, в число которых помимо взвешенных коэффициентов и значений приоритета входят тип трафика RADIUS и атрибуты RADIUS. Кроме того, такая архитектура обеспечивает максимальную гибкость и масштабируемость обслуживания запросов проверки подлинности, и ее легче администрировать.

Упрощенные функции перемещения при сбоях RADIUS-серверов, встроенные в точки доступа, отвечают требованиям большинства организаций, но это менее гибкое решение, чем использование групп прокси-серверов. Однако перейти с этой архитектуры на решение для перемещения при сбоях и балансировки нагрузки, основанное на прокси-серверах RADIUS, сравнительно легко. Если компании нужна небольшая или ограниченная зона покрытия, первое решение окажется эффективным и простым в реализации, но по мере увеличения размера и сложности беспроводной сети его реализация и администрирование будут требовать все больше усилий, потому что для поддержания равномерного распределения нагрузки между серверами нужно тщательно планировать установку каждого устройства и следить за его работой.

Рис. 3. Методы перемещения при сбоях RADIUS-серверов и балансировки нагрузки на них в беспроводной сети

Для балансировки нагрузки с использованием встроенных функций точек доступа нужно в каждой зоне доступа разделить точки доступа примерно пополам и сконфигурировать их так, чтобы в каждой половине в качестве основного RADIUS-сервера использовался дополнительный RADIUS-сервер другой половины и наоборот (см. рис. 3). Высокие накладные расходы при этом подходе связаны с необходимостью тщательно контролировать нагрузку на точки доступа для достижения и поддержания оптимального уровня ее распределения.

Требования к ведению журналов RADIUS

Серверы службы проверки подлинности в Интернете могут регистрировать два типа необязательных событий.

• Успешные и неудачные попытки проверки подлинности.

• Данные RADIUS, связанные с проверкой подлинности и учетом.

События проверки подлинности генерируются устройствами и пользователями при попытке доступа к беспроводной сети и регистрируются службой проверки подлинности в Интернете в журнале системных событий Windows Server 2003. Эта информация может пригодиться при устранении неполадок, обнаружении вторжений и аудите безопасности. Первоначально следует активировать регистрацию событий, извещающих и об успешных, и о неудачных попытках проверки подлинности, но рано или поздно нужно начать фильтровать эту информацию, чтобы избежать переполнения журнала системных событий. Использование регистрации запросов проверки подлинности RADIUS может сделать ненужным использование этих событий для обеспечения безопасности.