济宁分公司的Radius系统应该运行了两年多,期间经过了若干次重要的系统升级,目前已经承载了15万余户的宽带用户认证工作。
网络拓扑结果如图1所示,核心路由器与Radius系统之间通过交换机进行通讯,目前只有核心路由器1与Radius系统通讯,核心路由器直接连接强推服务器,为用户强推到期提醒,Radius App1的第二块网卡接入EBOSS系统交换机,完成EBOSS与Radius之间的数据交互。在BRAS上设置NAS服务器地址(Radius App地址),实现用户的AAA认证。
承载用户的情况:
系统上线之初承载用户数 :5000。
目前每天增加的用户数:150。
到2016年底,计划承载的用户数:25万。
图1 Radius系统组网拓扑图
图2 原有认证模式
随着用户持续不断的增长,该系统出现几次故障,有网络故障、数据库故障、Radius与EBOSS数据交互故障等,网络故障主要体现在核心路由器与交换机之间网络不通,将原来的电口连接改为光口连接后故障排除。
数据库异常故障,用户拨号大面积 691,原因是Radius老版本不带旁路功能,Radius与EBOSS数据交互故障主要表现是在EBOSS中新开的账户,没有成功被Radius系统接收,导致用户拨号错误代码606,原因是数据库异常,接口无法新增授权信息。
数据库单台服务器,如果数据库出现问题,会导致系统旁路,数据库服务器遇到硬件问题时,数据难以恢复。
(1)Radius版本改进
原有的认证模式如图2所示。
用户拨号上网,BRAS发送认证请求到App前置机服务器,当前置机服务器接受到认证命令时,发送获取数据的信息到DB数据服务器,DB数据服务器通过查询用户信息,将用户资料信息反馈给App服务器,App服务器通过检测获取到的数据,对用户本次的认证请求做出相应的回执结果。
该认证模式中,每次用户的认证请求都会发送到数据库服务器执行,数据库服务器的运行性能决定了整个认证性能,当上网用户激增时,往往会出现无法认的问题。
改进的认证模式如图3所示。
用户拨号上网,BRAS发送认证请求到App前置机服务器,当前置机服务器接受到认证命令时,检测缓存服务器是否存活,当缓存服务处于存活状态时,前置机直接从缓存服务器中,读取用户数据,由于用户数据从缓存中读取,大大减轻了数据库服务器的压力,同时提高了认证的性能。当缓存服务器不存活时,前置机自动的寻找数据库服务器,获取认证信息完成用户认证。
Bbn后台管理系统、EBOSS接口提供用户属性信息的修改,分发服务器检测数据库用户信息更改的情况,发现用户信息被更改,获取更改后的用户信息,立即分发到每个缓存服务器。
图3 改进的认证模式
图4 Radius双机示意图
图5 数据库双机示意图
缓存服务器与分发服务器实现心跳检测连接,当缓存服务器发现分发服务器不可用时,标记缓存服务器为不可用状态。
Radius双机
Radius系统通过分别与BRAS设备实现了双机热备(如图4)。
用户拨号信息发送到BRAS设备,BRAS设备通过配置,通过主要认证路径,发送认证信息到Radius App前置机一,当前置机一正确响应时,BRAS收到Radius认证反馈结果信息,执行上线认证操作主要认证前置机一不响应时,BRAS更换到备用认证路径,发送认证系统到App前置机二进行认证。
数据库双机
通过第三方软件实现Oracle数据库服务的双机,增加数据库服务的安全性(如图5)。
通过atang的双机业务软件,实现两个数据库服务器的镜像数据同步,两个数据库服务器同时映射出虚拟服务器,供程序使用。
网络拓扑结构如图6所示,引进用户到期提醒强推功能后,用户强推是以Web的形式体现,用户可以根据强推服务器的地址进而攻击Radius系统,网络的安全性受到威胁。计划在Radius系统与用户、强推服务器之间新增一台防火墙,要满足以下三点要求,一是强推服务器只与用户之间进行通讯,而且强推服务器使用虚拟机实现,方便用户攻击后通过镜像快速恢复强推功能。二是核心路由器与Radius之间互相通讯。三是只有网管人员方可登录Radius系统。
在Radius系统中,我们要特别关注硬件防火墙、核心路由器和Radius系统之间的协同配合关系,具体内容如下所示。
硬件防火墙配置
防火墙在网络中有效阻止来自网络内部攻击同时,有效定义可以访问Radius服务器的IP地址,从而在用户和Radius建立一个安全屏障。
防火墙上的配置主要是在核心路由器和Radius交换机创建互联地址(如图7),然后在交换机上配置默认路由,最后需要在防火墙上回指访问Radius服务器的路由即可。具体配置如图8所示。
过期强推服务器的配置(通过虚拟机实现)
强推服务,该界面是静态的,通过虚拟机实现。
系 统 :Windows Server 2008R2,内存1GB以上。
服务 :tomcat7,jdk7。
物理存储位于RAID5硬盘集群中,为虚拟机分配40GB硬盘。
物理处理器为E5-2650v3,取其中一个内核虚拟成一颗单核虚拟CPU。
图6 完善的Radius系统拓扑图
图7 防火墙端口配置示意图
图8 防火墙回指路由配置示意图
虚拟机内存分配2GB,保证1GB,动态分配1GB。
虚拟网卡依照常规设置,接入本网络。
Tomcat7与jdk7使用官方安装包,并打上了最新的补丁。
T8000路由器及BRAS配置
在T8000上设置和防火墙的互联地址,然后在防火墙和路由器上互指下静态路由即可,在T8000上的BGP路由已经重分发静态和直连路由,这样就保证BRAS可以和Radius正常通信。
interfacegei-0/15/0/5
description DP-RADIUS
ip address 172.28.0.49 255.255.255.252
interfacegei-0/3/0/17
description DP-RADIUS
ip address 172.28.0.53 255.255.255.252
ip route 10.253.141.0 255.255.255.224 gei-0/15/0/5 172.28.0.50
ip route 10.253.141.0 255.255.255.224 gei-0/3/0/17 172.28.0.54
(4)Radius系统配置
Radius服务器1:10.253.141.7、10.66.6.178。
R a d i u s服 务 器2:10.253.141.8。
数据库服务器 :1 0.2 5 3.1 4 1.4、10.253.141.5,生成虚拟IP地址 :10.253.141.6。
Radius主要服务是10.253.141.7,如 果 系 统出现问题时,BRAS可以通过Server2的方式跳转到10.253.141.8进行认证。
两台Radius服务的版本是一致的。
10.66.6.178是EBOSS接口服务地址,接受EBOSS授权服务。
Radius系统是我公司宽带业务系统的重要组成部分,这套系统是否可以安全、可靠、稳定地运行,直接决定了宽带业务是否可以顺利的开展。
我公司开展大规模的双向网络之初,就建立了Radisu系统,随着宽带业务的不断发展,Radius系统也逐渐暴露出一些问题,在一定程度上影响了宽带业务的发展。针过这个问题,我们通过增加硬件防火墙,实施双机热备,将强推服务器设置在虚拟机系统上等一序列的措施,进一步提高了Radius系统的安全性和可靠性,使之与快速发展的宽带接入业务相适应。实际应用结果证明,这些措施是确实有效的。