構(gòu)建可靠的Radius系統(tǒng)

Radius系統(tǒng)現(xiàn)狀及存在的問題

現(xiàn)狀

濟寧分公司的Radius系統(tǒng)應(yīng)該運行了兩年多，期間經(jīng)過了若干次重要的系統(tǒng)升級，目前已經(jīng)承載了15萬余戶的寬帶用戶認證工作。

網(wǎng)絡(luò)拓撲結(jié)果如圖1所示，核心路由器與Radius系統(tǒng)之間通過交換機進行通訊，目前只有核心路由器1與Radius系統(tǒng)通訊，核心路由器直接連接強推服務(wù)器，為用戶強推到期提醒，Radius App1的第二塊網(wǎng)卡接入EBOSS系統(tǒng)交換機，完成EBOSS與Radius之間的數(shù)據(jù)交互。在BRAS上設(shè)置NAS服務(wù)器地址（Radius App地址），實現(xiàn)用戶的AAA認證。

承載用戶的情況：

系統(tǒng)上線之初承載用戶數(shù) ：5000。

目前每天增加的用戶數(shù)：150。

到2016年底，計劃承載的用戶數(shù)：25萬。

圖1 Radius系統(tǒng)組網(wǎng)拓撲圖

圖2 原有認證模式

存在的問題

隨著用戶持續(xù)不斷的增長，該系統(tǒng)出現(xiàn)幾次故障，有網(wǎng)絡(luò)故障、數(shù)據(jù)庫故障、Radius與EBOSS數(shù)據(jù)交互故障等，網(wǎng)絡(luò)故障主要體現(xiàn)在核心路由器與交換機之間網(wǎng)絡(luò)不通，將原來的電口連接改為光口連接后故障排除。

數(shù)據(jù)庫異常故障，用戶撥號大面積 691，原因是Radius老版本不帶旁路功能，Radius與EBOSS數(shù)據(jù)交互故障主要表現(xiàn)是在EBOSS中新開的賬戶，沒有成功被Radius系統(tǒng)接收，導(dǎo)致用戶撥號錯誤代碼606，原因是數(shù)據(jù)庫異常，接口無法新增授權(quán)信息。

數(shù)據(jù)庫單臺服務(wù)器，如果數(shù)據(jù)庫出現(xiàn)問題，會導(dǎo)致系統(tǒng)旁路，數(shù)據(jù)庫服務(wù)器遇到硬件問題時，數(shù)據(jù)難以恢復(fù)。

整改計劃

（1）Radius版本改進

原有的認證模式如圖2所示。

用戶撥號上網(wǎng)，BRAS發(fā)送認證請求到App前置機服務(wù)器，當前置機服務(wù)器接受到認證命令時，發(fā)送獲取數(shù)據(jù)的信息到DB數(shù)據(jù)服務(wù)器，DB數(shù)據(jù)服務(wù)器通過查詢用戶信息，將用戶資料信息反饋給App服務(wù)器，App服務(wù)器通過檢測獲取到的數(shù)據(jù)，對用戶本次的認證請求做出相應(yīng)的回執(zhí)結(jié)果。

該認證模式中，每次用戶的認證請求都會發(fā)送到數(shù)據(jù)庫服務(wù)器執(zhí)行，數(shù)據(jù)庫服務(wù)器的運行性能決定了整個認證性能，當上網(wǎng)用戶激增時，往往會出現(xiàn)無法認的問題。

改進的認證模式如圖3所示。

用戶撥號上網(wǎng)，BRAS發(fā)送認證請求到App前置機服務(wù)器，當前置機服務(wù)器接受到認證命令時，檢測緩存服務(wù)器是否存活，當緩存服務(wù)處于存活狀態(tài)時，前置機直接從緩存服務(wù)器中，讀取用戶數(shù)據(jù)，由于用戶數(shù)據(jù)從緩存中讀取，大大減輕了數(shù)據(jù)庫服務(wù)器的壓力，同時提高了認證的性能。當緩存服務(wù)器不存活時，前置機自動的尋找數(shù)據(jù)庫服務(wù)器，獲取認證信息完成用戶認證。

Bbn后臺管理系統(tǒng)、EBOSS接口提供用戶屬性信息的修改，分發(fā)服務(wù)器檢測數(shù)據(jù)庫用戶信息更改的情況，發(fā)現(xiàn)用戶信息被更改，獲取更改后的用戶信息，立即分發(fā)到每個緩存服務(wù)器。

圖3 改進的認證模式

圖4 Radius雙機示意圖

圖5 數(shù)據(jù)庫雙機示意圖

緩存服務(wù)器與分發(fā)服務(wù)器實現(xiàn)心跳檢測連接，當緩存服務(wù)器發(fā)現(xiàn)分發(fā)服務(wù)器不可用時，標記緩存服務(wù)器為不可用狀態(tài)。

Radius雙機

Radius系統(tǒng)通過分別與BRAS設(shè)備實現(xiàn)了雙機熱備（如圖4）。

用戶撥號信息發(fā)送到BRAS設(shè)備，BRAS設(shè)備通過配置，通過主要認證路徑，發(fā)送認證信息到Radius App前置機一，當前置機一正確響應(yīng)時，BRAS收到Radius認證反饋結(jié)果信息，執(zhí)行上線認證操作主要認證前置機一不響應(yīng)時，BRAS更換到備用認證路徑，發(fā)送認證系統(tǒng)到App前置機二進行認證。

數(shù)據(jù)庫雙機

通過第三方軟件實現(xiàn)Oracle數(shù)據(jù)庫服務(wù)的雙機，增加數(shù)據(jù)庫服務(wù)的安全性（如圖5）。

通過atang的雙機業(yè)務(wù)軟件，實現(xiàn)兩個數(shù)據(jù)庫服務(wù)器的鏡像數(shù)據(jù)同步，兩個數(shù)據(jù)庫服務(wù)器同時映射出虛擬服務(wù)器，供程序使用。

安全可靠的Radius系統(tǒng)的構(gòu)建方案

功能描述

網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖6所示，引進用戶到期提醒強推功能后，用戶強推是以Web的形式體現(xiàn)，用戶可以根據(jù)強推服務(wù)器的地址進而攻擊Radius系統(tǒng)，網(wǎng)絡(luò)的安全性受到威脅。計劃在Radius系統(tǒng)與用戶、強推服務(wù)器之間新增一臺防火墻，要滿足以下三點要求，一是強推服務(wù)器只與用戶之間進行通訊，而且強推服務(wù)器使用虛擬機實現(xiàn)，方便用戶攻擊后通過鏡像快速恢復(fù)強推功能。二是核心路由器與Radius之間互相通訊。三是只有網(wǎng)管人員方可登錄Radius系統(tǒng)。

關(guān)鍵技術(shù)點

在Radius系統(tǒng)中，我們要特別關(guān)注硬件防火墻、核心路由器和Radius系統(tǒng)之間的協(xié)同配合關(guān)系，具體內(nèi)容如下所示。

硬件防火墻配置

防火墻在網(wǎng)絡(luò)中有效阻止來自網(wǎng)絡(luò)內(nèi)部攻擊同時，有效定義可以訪問Radius服務(wù)器的IP地址，從而在用戶和Radius建立一個安全屏障。

防火墻上的配置主要是在核心路由器和Radius交換機創(chuàng)建互聯(lián)地址（如圖7），然后在交換機上配置默認路由，最后需要在防火墻上回指訪問Radius服務(wù)器的路由即可。具體配置如圖8所示。

過期強推服務(wù)器的配置（通過虛擬機實現(xiàn)）

強推服務(wù)，該界面是靜態(tài)的，通過虛擬機實現(xiàn)。

系 統(tǒng) ：Windows Server 2008R2，內(nèi)存1GB以上。

服務(wù) ：tomcat7，jdk7。

物理存儲位于RAID5硬盤集群中，為虛擬機分配40GB硬盤。

物理處理器為E5-2650v3，取其中一個內(nèi)核虛擬成一顆單核虛擬CPU。

圖6 完善的Radius系統(tǒng)拓撲圖

圖7 防火墻端口配置示意圖

圖8 防火墻回指路由配置示意圖

虛擬機內(nèi)存分配2GB，保證1GB，動態(tài)分配1GB。

虛擬網(wǎng)卡依照常規(guī)設(shè)置，接入本網(wǎng)絡(luò)。

Tomcat7與jdk7使用官方安裝包，并打上了最新的補丁。

T8000路由器及BRAS配置

在T8000上設(shè)置和防火墻的互聯(lián)地址，然后在防火墻和路由器上互指下靜態(tài)路由即可，在T8000上的BGP路由已經(jīng)重分發(fā)靜態(tài)和直連路由，這樣就保證BRAS可以和Radius正常通信。

interfacegei-0/15/0/5

description DP-RADIUS

ip address 172.28.0.49 255.255.255.252

interfacegei-0/3/0/17

description DP-RADIUS

ip address 172.28.0.53 255.255.255.252

ip route 10.253.141.0 255.255.255.224 gei-0/15/0/5 172.28.0.50

ip route 10.253.141.0 255.255.255.224 gei-0/3/0/17 172.28.0.54

（4）Radius系統(tǒng)配置

Radius服務(wù)器1:10.253.141.7、10.66.6.178。

R a d i u s服 務(wù) 器2:10.253.141.8。

數(shù)據(jù)庫服務(wù)器 :1 0.2 5 3.1 4 1.4、10.253.141.5，生成虛擬IP地址 ：10.253.141.6。

Radius主要服務(wù)是10.253.141.7，如 果 系 統(tǒng)出現(xiàn)問題時，BRAS可以通過Server2的方式跳轉(zhuǎn)到10.253.141.8進行認證。

兩臺Radius服務(wù)的版本是一致的。

10.66.6.178是EBOSS接口服務(wù)地址，接受EBOSS授權(quán)服務(wù)。

結(jié)論

Radius系統(tǒng)是我公司寬帶業(yè)務(wù)系統(tǒng)的重要組成部分，這套系統(tǒng)是否可以安全、可靠、穩(wěn)定地運行，直接決定了寬帶業(yè)務(wù)是否可以順利的開展。

我公司開展大規(guī)模的雙向網(wǎng)絡(luò)之初，就建立了Radisu系統(tǒng)，隨著寬帶業(yè)務(wù)的不斷發(fā)展，Radius系統(tǒng)也逐漸暴露出一些問題，在一定程度上影響了寬帶業(yè)務(wù)的發(fā)展。針過這個問題，我們通過增加硬件防火墻，實施雙機熱備，將強推服務(wù)器設(shè)置在虛擬機系統(tǒng)上等一序列的措施，進一步提高了Radius系統(tǒng)的安全性和可靠性，使之與快速發(fā)展的寬帶接入業(yè)務(wù)相適應(yīng)。實際應(yīng)用結(jié)果證明，這些措施是確實有效的。