1RADIUS系统概述1.1系统原理RADIUS(RemoteAuthenticationDialInUserServ-ice)即远程用户拨号认证系统,由RFC2865.RFC2866定义,是目前应用最广泛的AAA协议.RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccess
更多精彩就在: 51免费论文网|www.jxszl.com Server)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端.RADIUS协议认证机制灵活,可以采用PAP.CHAP或者Unix登录认证等多种方式.它更是一种可扩展的协议,进行的全部工作都是Attribute-Length-Value(属性长度值)的向量进行的.由于RADIUS协议简单明确,可扩充(RADIUS也支持厂商扩充厂家专有属性),因此得到了广泛应用,包括普通电话上网.ADSL上网.小区宽带上网.IP电话.VPDN(VirtualPrivateDialupNetworks,拨号用户的虚拟专用拨号网业务).移动电话预付费等业务.IEEE提出了802.1x标准,这是一种端口的标准,用于对无线网络的接入认证,在认证时也采用RADI-US协议.在济宁分公司的宽带上网业务中,也是使用RA-DIUS服务器来进行宽带上网的认证.1.2通过WIRESHARK软件对一次PPPOE拨号过程进行描述图1为整个的PPPOE连接过程,接下来分步描述整个过程.1.2.1发现阶段Discovery(1)PADI:客户机以广播的形式发送PADI数据包,请求建立链路.主机发送DESTINATION_ADDR为广播地址的PADI数据包,CODE域设置为0x09,SESSION_ID域必须设置为0x0000.如图2所示第497条记录.(2)PADO:访问集中器AC收到请求后会以单播的方式发送一个PADO数据包对客户机作出应答.如果访问集中器能够为收到的PADI(PPPOEActiveDis-coveryInitiation,主动发现初始)请求提供服务,它将通过发送一个PADO(PPPoEActiveDiscoveryOffer,活动发现提供报文)数据包来作出应答.DESTINATION_ADDR为发送PADI的主机的单播地址,CODE域为0x07,SESSION_ID域必须设置为0x0000.如图3第498条记录.(3)PADR:客户机收到PADO后,选择其中一个AC,然后客户机根据选中的AC的MAC地址向AC单播发送一个PADR(PPPoEActiveDiscoveryRequest,活动发现请求)数据包,表示请求该AC作为服务器.由于PADI是广播的,主机可能收到不止一个PADO,它将审查接收到的所有PADO并从中选择一个,可以根据其中的AC-Name或PADO所提供的服务来作出选择.然后主机向选中的访问集中器发送一个PADR数据包.其中DESTINATION_ADDR域设置为发送PA-DO的访问集中器的单播地址,CODE域设置为0x19,SESSION_ID必须设置为0x0000.如图4第499条记录.(4)PADS:AC收到客户机发送的PADR数据包后,会创建一个唯一的会话ID,并单播一个PADS数据包给客户机作为响应.当访问集中器收到一个PADR数据包,它就准备开始一个PPP会话.它为PPPoE会话创建一个唯一的SESSION_ID并用一个PADS(PP-PoEActiveDiscoverySession-confirmation,活动发现会话)数据包来给主机作出响应.DESTINATION_ADDR域为发送PADR数据包的主机的单播以太网地址,CODE域设置为0x65,SESSION_ID必须设置为所创建好的PPPoE会话标识符.如图5第500条记录.1.2.2会话阶段PPP(1)协商阶段:客户机和AC要互相发送LCPRe-quest给对方,来确认发送的最大传输单元.是否认证和采用何种认证方式的协商,如图6第504条记录.(2)认证阶段:双方通过LCP确定好认证方式后,就立刻进行认证,认证完成后才可以进行之后的网络层的协商.该过程可以抓包到PPPOE拨号的用户名及加密后的密码.如图7第509条记录.(3)IPCP协商阶段:双方协商IP服务阶段的一些要求,以决定双方都能接收的约定.双方的协议是通过报文中的Option进行协商的,每一个Option都是一个需要协商的问题.整个过程一般协商多次,最后双方都需要答复Configure_ACK的同意报文.①认证成功后,AC会将分配IP地址发送请求给客户机,再由客户机同意,同意报文分为客户机发起申请Request及确认.发起ACK报文,如图8.图9第512及515条记录.②AC同意报文,该过程可能需要很多次协商,如图10.图11第519~523条记录所示.当双方都发完ACK报文后,用户确认收到,获得IP和DNSServerIP,PPPOE即拨号成功.2济宁广电RADIUS系统的现状及存在的问题2.1现状济宁分公司的RADIUS系统运行了两年多,期间经过了若干次重要的系统升级,目前已经承载了15万余户的宽带用户认证工作.2.1.1网络拓扑如图12所示,核心路由器与RADIUS系统之间通过交换机进行通讯,目前只有核心路由器1与RADI-US系统通讯,核心路由器直接连接强推服务器,为用户强推到期提醒,RADIUSApp1的第二块网卡接入EBOSS系统交换机,完成EBOSS与RADIUS之间的数据交互.在BRAS上设置NAS服务器地址(RADIUSApp地址),实现用户的AAA认证.2.1.2承载用户的情况系统上线之初承载用户数:5000目前每天增加的用户数:150到2016年底计划承载的用户数:25万2.2存在的问题随着用户持续不断增长,该系统出现几次故障,有网络故障.
数据库故障.RADIUS与EBOSS数据交互故障等,网络故障主要体现在核心路由器与交换机之间网络不通,将原来的电口连接改为光口连接后故障排除.数据库异常故障,用户拨号大面积691,原因是RADIUS老版本不带旁路功能,RADIUS与EBOSS数据交互故障主要表现是在EBOSS中新开的账户,没有成功被RADIUS系统接收,导致用户拨号错误代码606,原因是数据库异常,接口无法新增授权信息(到底用户侧出现的错误是691还是606).数据库单台服务器,如果数据库出现问题,会导致系统旁路,数据库服务器遇到硬件问题时,数据难以恢复.3整改计划3.1RADIUS版本改进原有的认证模式如图13所示:
用户拨号上网,BRAS发送认证请求到APP前置机服务器,当前置机服务器接收到认证命令时,发送获取数据的信息到DB数据服务器,DB数据服务器通过查询用户信息,将用户资料信息反馈给APP服务器,APP服务器通过检测获取到的数据,对用户本次的认证请求作出相应的回执结果.该认证模式中,每次用户的认证请求都会发送到数据库服务器执行,数据库服务器的运行性能决定了整个认证性能,当上网用户激增时,往往会出现无法认证的问题.改进的认证模式如图14所示.用户拨号上网,BRAS发送认证请求到APP前置机服务器,当前置机服务器接收到认证命令时,检测缓存服务器是否存活,当缓存服务处于存活状态时,前置机直接从缓存服务器中读取用户数据,由于用户数据从缓存中读取,大大减轻了数据库服务器的压力,同时提高了认证的性能.当缓存服务器不存活时,前置机自动地寻找数据库服务器,获取认证信息完成用户认证.BBN后台管理系统.EBOSS接口提供用户属性信息的修改,分发服务器检测数据库用户信息更改的情况,发现用户信息被更改,获取更改后的用户信息,立即分发到每个缓存服务器.缓存服务器与分发服务器实现心跳检测连接,当缓存服务器发现分发服务器不可用时,标记缓存服务器为不可用状态.3.2RADIUS双机RADIUS系统分别与BRAS设备实现了双机热备(如图15所示).用户拨号信息发送到BRAS设备,BRAS设备通过配置,通过主要认证路径,发送认证信息到RADIUSApp前置机一,当前置机一正确响应时,BRAS收到RADIUS认证反馈结果信息,执行上线认证操作,主要认证前置机一不响应时,BRAS更换到备用认证路径,发送认证系统到APP前置机二进行认证.3.3数据库双机通过第三方软件实现Oracle数据库服务的双机,增加数据库服务的安全性[1](如图16所示).通过atang的双机业务软件,实现两个数据库服务器的镜像数据同步,两个数据库服务器同时映射出虚拟服务器,供程序使用.4安全可靠的RADIUS系统的构建方案4.1网络拓扑(如图17所示)4.2功能描述引进用户到期提醒强推功能后,用户强推是以WEB的形式体现,用户可以根据强推服务器的地址进而攻击RADIUS系统,网络的安全性受到威胁,计划在RADIUS系统与用户.强推服务器之间新增一台防火墙,要满足以下3点要求:一是强推服务器只与用户进行通讯,而且强推服务器使用虚拟机实现,方便用户攻击后通过镜像快速恢复强推功能;二是核心路由器与RADIUS互相通讯;三是只有网管人员方可登录RA-DIUS系统.4.3关键技术点在RADIUS系统中,我们要特别关注硬件防火墙.核心路由器和RADIUS系统之间的协同配合关系,具体内容如下.4.3.1硬件防火墙的配置防火墙在网络中有效阻止来自网络内部的攻击,同时有效定义可以访问RADIUS服务器的IP地址,从而在用户和RADIUS之间建立一个安全屏障[2].防火墙上的配置主要是在核心路由器和RADIUS交换机创建互联地址,然后在交换机上配置默认路由,最后需要在防火墙上回指访问RADIUS服务器的路由即可.4.3.2过期强推服务器的配置(通过虚拟机实现)强推服务,该界面是静态的,通过虚拟机实现.系统:WindowsServer2008r2,内存1G以上.服务:tomcat7,jdk7.物理存储位于RAID5硬盘集群中,为虚拟机分配40GB硬盘.物理处理器为E5-2650v3,取其中一个内核虚拟成一颗单核虚拟CPU.虚拟机内存分配2GB,保证1GB,动态分配1GB.虚拟网卡依照常规设置,接入本网络.Tomcat7与jdk7使用官方安装包,并打上最新的补丁.4.3.3T8000路由器及BRAS的配置在T8000上设置和防火墙的互联地址,然后在防火墙和路由器上互指静态路由即可,在T8000上的BGP路由已经重分发静态和直连路由,这样就保证BRAS可以和RADIUS正常通信.interfacegei-0/15/0/5descriptionDP-RADIUSipaddress172.28.0.49255.255.255.252interfacegei-0/3/0/17descriptionDP-RADIUSipaddress172.28.0.53255.255.255.252iproute10.253.141.0255.255.255.224gei-0/15/0/5172.28.0.50iproute10.253.141.0255.255.255.224gei-0/3/0/17172.28.0.544.3.4RADIUS系统的配置RADIUS服务器1:10.253.141.7.10.66.6.178.RADIUS服务器2:10.253.141.8.数据库服务器:10.253.141.4.10.253.141.5,生成虚拟IP地址:10.253.141.6.RADIUS主要服务是10.253.141.7,如果系统出现问题时,BRAS可以通过SERVER2的方式跳转到10.253.141.8进行认证.两台RADIUS服务的版本是一致的.10.66.6.178是EBOSS接口服务地址,接受EB-OSS授权服务.5结论RADIUS系统是我公司宽带业务系统的重要组成部分,这套系统是否可以安全.可靠.稳定运行,直接决定了宽带业务是否可以顺利开展.我公司开展大规模的双向网络之初,就建立了RADISU系统,随着宽带业务的不断发展,RADIUS系统也逐渐暴露出一些问题,在一定程度上影响了宽带业务的发展.针过这个问题,我们通过增加硬件防火墙.实施双机热备.将强推服务器设置在虚拟机系统上等一序列举措,进一步提高了RADIUS系统的安全性和可靠性,使之与快速发展的宽带接入业务相适应.实践证明,这些举措是有效的.参考文献:[1]袁津生,齐建东,曹佳.计算机网络安全基础[M].北京:人民邮电出版社,2008:125-129.[2]刘晓辉肖铁岭.网管天下-交换机·路由器·防火墙[M].北京:电子工业出版社,2012:416-422.
原文链接:http://www.jxszl.com/lwqt/mflw/16725.html
