構(gòu)建可靠的Radius系統(tǒng)

Radius系統(tǒng)現(xiàn)狀及存在的問(wèn)題

現(xiàn)狀

濟(jì)寧分公司的Radius系統(tǒng)應(yīng)該運(yùn)行了兩年多，期間經(jīng)過(guò)了若干次重要的系統(tǒng)升級(jí)，目前已經(jīng)承載了15萬(wàn)余戶的寬帶用戶認(rèn)證工作。

網(wǎng)絡(luò)拓?fù)浣Y(jié)果如圖1所示，核心路由器與Radius系統(tǒng)之間通過(guò)交換機(jī)進(jìn)行通訊，目前只有核心路由器1與Radius系統(tǒng)通訊，核心路由器直接連接強(qiáng)推服務(wù)器，為用戶強(qiáng)推到期提醒，Radius App1的第二塊網(wǎng)卡接入EBOSS系統(tǒng)交換機(jī)，完成EBOSS與Radius之間的數(shù)據(jù)交互。在BRAS上設(shè)置NAS服務(wù)器地址（Radius App地址），實(shí)現(xiàn)用戶的AAA認(rèn)證。

承載用戶的情況：

系統(tǒng)上線之初承載用戶數(shù) ：5000。

目前每天增加的用戶數(shù)：150。

到2016年底，計(jì)劃承載的用戶數(shù)：25萬(wàn)。

圖1 Radius系統(tǒng)組網(wǎng)拓?fù)鋱D

圖2 原有認(rèn)證模式

存在的問(wèn)題

隨著用戶持續(xù)不斷的增長(zhǎng)，該系統(tǒng)出現(xiàn)幾次故障，有網(wǎng)絡(luò)故障、數(shù)據(jù)庫(kù)故障、Radius與EBOSS數(shù)據(jù)交互故障等，網(wǎng)絡(luò)故障主要體現(xiàn)在核心路由器與交換機(jī)之間網(wǎng)絡(luò)不通，將原來(lái)的電口連接改為光口連接后故障排除。

數(shù)據(jù)庫(kù)異常故障，用戶撥號(hào)大面積 691，原因是Radius老版本不帶旁路功能，Radius與EBOSS數(shù)據(jù)交互故障主要表現(xiàn)是在EBOSS中新開的賬戶，沒有成功被Radius系統(tǒng)接收，導(dǎo)致用戶撥號(hào)錯(cuò)誤代碼606，原因是數(shù)據(jù)庫(kù)異常，接口無(wú)法新增授權(quán)信息。

數(shù)據(jù)庫(kù)單臺(tái)服務(wù)器，如果數(shù)據(jù)庫(kù)出現(xiàn)問(wèn)題，會(huì)導(dǎo)致系統(tǒng)旁路，數(shù)據(jù)庫(kù)服務(wù)器遇到硬件問(wèn)題時(shí)，數(shù)據(jù)難以恢復(fù)。

整改計(jì)劃

（1）Radius版本改進(jìn)

原有的認(rèn)證模式如圖2所示。

用戶撥號(hào)上網(wǎng)，BRAS發(fā)送認(rèn)證請(qǐng)求到App前置機(jī)服務(wù)器，當(dāng)前置機(jī)服務(wù)器接受到認(rèn)證命令時(shí)，發(fā)送獲取數(shù)據(jù)的信息到DB數(shù)據(jù)服務(wù)器，DB數(shù)據(jù)服務(wù)器通過(guò)查詢用戶信息，將用戶資料信息反饋給App服務(wù)器，App服務(wù)器通過(guò)檢測(cè)獲取到的數(shù)據(jù)，對(duì)用戶本次的認(rèn)證請(qǐng)求做出相應(yīng)的回執(zhí)結(jié)果。

該認(rèn)證模式中，每次用戶的認(rèn)證請(qǐng)求都會(huì)發(fā)送到數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行，數(shù)據(jù)庫(kù)服務(wù)器的運(yùn)行性能決定了整個(gè)認(rèn)證性能，當(dāng)上網(wǎng)用戶激增時(shí)，往往會(huì)出現(xiàn)無(wú)法認(rèn)的問(wèn)題。

改進(jìn)的認(rèn)證模式如圖3所示。

用戶撥號(hào)上網(wǎng)，BRAS發(fā)送認(rèn)證請(qǐng)求到App前置機(jī)服務(wù)器，當(dāng)前置機(jī)服務(wù)器接受到認(rèn)證命令時(shí)，檢測(cè)緩存服務(wù)器是否存活，當(dāng)緩存服務(wù)處于存活狀態(tài)時(shí)，前置機(jī)直接從緩存服務(wù)器中，讀取用戶數(shù)據(jù)，由于用戶數(shù)據(jù)從緩存中讀取，大大減輕了數(shù)據(jù)庫(kù)服務(wù)器的壓力，同時(shí)提高了認(rèn)證的性能。當(dāng)緩存服務(wù)器不存活時(shí)，前置機(jī)自動(dòng)的尋找數(shù)據(jù)庫(kù)服務(wù)器，獲取認(rèn)證信息完成用戶認(rèn)證。

Bbn后臺(tái)管理系統(tǒng)、EBOSS接口提供用戶屬性信息的修改，分發(fā)服務(wù)器檢測(cè)數(shù)據(jù)庫(kù)用戶信息更改的情況，發(fā)現(xiàn)用戶信息被更改，獲取更改后的用戶信息，立即分發(fā)到每個(gè)緩存服務(wù)器。

圖3 改進(jìn)的認(rèn)證模式

圖4 Radius雙機(jī)示意圖

圖5 數(shù)據(jù)庫(kù)雙機(jī)示意圖

緩存服務(wù)器與分發(fā)服務(wù)器實(shí)現(xiàn)心跳檢測(cè)連接，當(dāng)緩存服務(wù)器發(fā)現(xiàn)分發(fā)服務(wù)器不可用時(shí)，標(biāo)記緩存服務(wù)器為不可用狀態(tài)。

Radius雙機(jī)

Radius系統(tǒng)通過(guò)分別與BRAS設(shè)備實(shí)現(xiàn)了雙機(jī)熱備（如圖4）。

用戶撥號(hào)信息發(fā)送到BRAS設(shè)備，BRAS設(shè)備通過(guò)配置，通過(guò)主要認(rèn)證路徑，發(fā)送認(rèn)證信息到Radius App前置機(jī)一，當(dāng)前置機(jī)一正確響應(yīng)時(shí)，BRAS收到Radius認(rèn)證反饋結(jié)果信息，執(zhí)行上線認(rèn)證操作主要認(rèn)證前置機(jī)一不響應(yīng)時(shí)，BRAS更換到備用認(rèn)證路徑，發(fā)送認(rèn)證系統(tǒng)到App前置機(jī)二進(jìn)行認(rèn)證。

數(shù)據(jù)庫(kù)雙機(jī)

通過(guò)第三方軟件實(shí)現(xiàn)Oracle數(shù)據(jù)庫(kù)服務(wù)的雙機(jī)，增加數(shù)據(jù)庫(kù)服務(wù)的安全性（如圖5）。

通過(guò)atang的雙機(jī)業(yè)務(wù)軟件，實(shí)現(xiàn)兩個(gè)數(shù)據(jù)庫(kù)服務(wù)器的鏡像數(shù)據(jù)同步，兩個(gè)數(shù)據(jù)庫(kù)服務(wù)器同時(shí)映射出虛擬服務(wù)器，供程序使用。

安全可靠的Radius系統(tǒng)的構(gòu)建方案

功能描述

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6所示，引進(jìn)用戶到期提醒強(qiáng)推功能后，用戶強(qiáng)推是以Web的形式體現(xiàn)，用戶可以根據(jù)強(qiáng)推服務(wù)器的地址進(jìn)而攻擊Radius系統(tǒng)，網(wǎng)絡(luò)的安全性受到威脅。計(jì)劃在Radius系統(tǒng)與用戶、強(qiáng)推服務(wù)器之間新增一臺(tái)防火墻，要滿足以下三點(diǎn)要求，一是強(qiáng)推服務(wù)器只與用戶之間進(jìn)行通訊，而且強(qiáng)推服務(wù)器使用虛擬機(jī)實(shí)現(xiàn)，方便用戶攻擊后通過(guò)鏡像快速恢復(fù)強(qiáng)推功能。二是核心路由器與Radius之間互相通訊。三是只有網(wǎng)管人員方可登錄Radius系統(tǒng)。

關(guān)鍵技術(shù)點(diǎn)

在Radius系統(tǒng)中，我們要特別關(guān)注硬件防火墻、核心路由器和Radius系統(tǒng)之間的協(xié)同配合關(guān)系，具體內(nèi)容如下所示。

硬件防火墻配置

防火墻在網(wǎng)絡(luò)中有效阻止來(lái)自網(wǎng)絡(luò)內(nèi)部攻擊同時(shí)，有效定義可以訪問(wèn)Radius服務(wù)器的IP地址，從而在用戶和Radius建立一個(gè)安全屏障。

防火墻上的配置主要是在核心路由器和Radius交換機(jī)創(chuàng)建互聯(lián)地址（如圖7），然后在交換機(jī)上配置默認(rèn)路由，最后需要在防火墻上回指訪問(wèn)Radius服務(wù)器的路由即可。具體配置如圖8所示。

過(guò)期強(qiáng)推服務(wù)器的配置（通過(guò)虛擬機(jī)實(shí)現(xiàn)）

強(qiáng)推服務(wù)，該界面是靜態(tài)的，通過(guò)虛擬機(jī)實(shí)現(xiàn)。

系 統(tǒng) ：Windows Server 2008R2，內(nèi)存1GB以上。

服務(wù) ：tomcat7，jdk7。

物理存儲(chǔ)位于RAID5硬盤集群中，為虛擬機(jī)分配40GB硬盤。

物理處理器為E5-2650v3，取其中一個(gè)內(nèi)核虛擬成一顆單核虛擬CPU。

圖6 完善的Radius系統(tǒng)拓?fù)鋱D

圖7 防火墻端口配置示意圖

圖8 防火墻回指路由配置示意圖

虛擬機(jī)內(nèi)存分配2GB，保證1GB，動(dòng)態(tài)分配1GB。

虛擬網(wǎng)卡依照常規(guī)設(shè)置，接入本網(wǎng)絡(luò)。

Tomcat7與jdk7使用官方安裝包，并打上了最新的補(bǔ)丁。

T8000路由器及BRAS配置

在T8000上設(shè)置和防火墻的互聯(lián)地址，然后在防火墻和路由器上互指下靜態(tài)路由即可，在T8000上的BGP路由已經(jīng)重分發(fā)靜態(tài)和直連路由，這樣就保證BRAS可以和Radius正常通信。

interfacegei-0/15/0/5

description DP-RADIUS

ip address 172.28.0.49 255.255.255.252

interfacegei-0/3/0/17

description DP-RADIUS

ip address 172.28.0.53 255.255.255.252

ip route 10.253.141.0 255.255.255.224 gei-0/15/0/5 172.28.0.50

ip route 10.253.141.0 255.255.255.224 gei-0/3/0/17 172.28.0.54

（4）Radius系統(tǒng)配置

Radius服務(wù)器1:10.253.141.7、10.66.6.178。

R a d i u s服 務(wù) 器2:10.253.141.8。

數(shù)據(jù)庫(kù)服務(wù)器 :1 0.2 5 3.1 4 1.4、10.253.141.5，生成虛擬IP地址 ：10.253.141.6。

Radius主要服務(wù)是10.253.141.7，如 果 系 統(tǒng)出現(xiàn)問(wèn)題時(shí)，BRAS可以通過(guò)Server2的方式跳轉(zhuǎn)到10.253.141.8進(jìn)行認(rèn)證。

兩臺(tái)Radius服務(wù)的版本是一致的。

10.66.6.178是EBOSS接口服務(wù)地址，接受EBOSS授權(quán)服務(wù)。

結(jié)論

Radius系統(tǒng)是我公司寬帶業(yè)務(wù)系統(tǒng)的重要組成部分，這套系統(tǒng)是否可以安全、可靠、穩(wěn)定地運(yùn)行，直接決定了寬帶業(yè)務(wù)是否可以順利的開展。

我公司開展大規(guī)模的雙向網(wǎng)絡(luò)之初，就建立了Radisu系統(tǒng)，隨著寬帶業(yè)務(wù)的不斷發(fā)展，Radius系統(tǒng)也逐漸暴露出一些問(wèn)題，在一定程度上影響了寬帶業(yè)務(wù)的發(fā)展。針過(guò)這個(gè)問(wèn)題，我們通過(guò)增加硬件防火墻，實(shí)施雙機(jī)熱備，將強(qiáng)推服務(wù)器設(shè)置在虛擬機(jī)系統(tǒng)上等一序列的措施，進(jìn)一步提高了Radius系統(tǒng)的安全性和可靠性，使之與快速發(fā)展的寬帶接入業(yè)務(wù)相適應(yīng)。實(shí)際應(yīng)用結(jié)果證明，這些措施是確實(shí)有效的。