[李桃梅原创]认证系统(RADIUS+AD)冗余和均衡的设计思路
本帖最后由 李桃梅 于 2017-5-24 15:26 编辑你的企业中网络信息安全部署的如何? 是否已经启用有线和无线的802.1x? 从整体设计方面, 认证系统(RADIUS+AD)是否既实现了冗余备份, 又达成了负载均衡? 今天我将从设计层面(兼有一些技术内容)分享一些我的经验. 我近期在带领团队实施Chevron的一个新项目, 将老的RADIUS Server – Juniper SBR(Steel-Belted RADIUS) 替换为Aruba ClearPass, 此项目不仅是产品的更新升级, 从设计层面也做了更多优化, 提升网络的弹性和稳定性. 我们现在的认证系统(RADIUS+AD)主要为三个方面服务:
[*]有线PC端802.1x接入.
[*]无线PC端802.1x接入.
[*]无线iPhone/iPad端802.1x接入.
RADIUS Server的主要作用是与客户端作双向的证书认证, 现在Chevron都用的EAP-TLS方式. AD (Active Directory) 的主要作用是确认用户身份, 即用户ID是否存在于AD中.
方便起见, 以下内容我都会用缩写:C1 = Core 1 (核心站点1)B1 = Branch 1 (分支站点1)RA1 = RADIUS Server Aruba ClearPass 1AD1 = Active Directory 1
下面我从四个设计模型来逐个分析其特点 (如上图):
(1) 单RA+单AD
一些小型企业, 网络规模不大, 而且受限于费用问题, 可能只有C1和B1或更少的站点, 所以只部署了RA1和AD1.
此模型部署简单, 费用低, 但无备份, 企业要承受宕机的风险.
(2) 单RA+双AD 或 双RA+单AD
即RA1+AD1+AD2或RA1+RA2+AD1. 相对于模型1, 提升了一倍的备份能力, 但还是存在宕机的风险.
(3) 双RA+双AD [冗余备份]
这里先讲两个概念: 冗余备份(Redundancy/Failover): 是指当X故障后, Y可以接替其工作. 负载均衡(Load Balancing): 是指当X和Y都正常的情况下, 等分(或不等分)一定的工作量. 这是两个不同的概念, 不要混为一谈, 它们可用于很多方面, 如线路, 设备…… 双RA+双AD, 即RA1+RA2+AD1+AD2, 所有站点的设备/用户都先去RA1和AD1认证, 如果RA1或AD1故障后, 再切换到RA2和AD2认证. 这种做法, 仅仅实现了冗余备份, 即正常情况下, 只有RA1和AD1在工作, RA2和AD2处于空闲状态. 那我们既然都已经花了钱买了双设备, 为什么不在冗余备份的基础上, 通过技术手段再实现负载均衡呢? 这样才能使投入的资金产出最大化, 设备利用率最合理化, 才能体现出你手里的CCIE证书的价值. 好, 我们重点来看模型4.
(4) 双RA+双AD [冗余备份+负载均衡]
要实现这个目标, 我们先得做整体规划和设计, 比如:
[*]Gourp1 (C1, B1, B2) 站点的所有设备/用户都先去RA1和AD1认证, 如果RA1故障, 切换到RA2, 如果AD1故障, 切换到AD2.
[*]Gourp2 (C2, B3, B4) 站点的所有设备/用户都先去RA2和AD2认证, 如果RA2故障, 切换到RA1, 如果AD2故障, 切换到AD1.
这种设计就既实现了冗余备份,又达成了负载均衡. 至于如何划分Group1和Group2, 一般常见的做法有两种:
[*]按企业实际地理位置划分, 把一些和C1较近的B划成Group1 (比如C1, B1). 另一些和C2较近的B划成Group2 (比如C2, B2, B3, B4). 地理位置在一定程度上也决定了线路的Bandwidth和Delay.
[*]按设备/用户数划分, 把大约一半的用户数所覆盖的站点规划成Group1 (比如C1, B1, B2, B3), 把另一半规划成Group2 (比如C2, B4).
当然你可以结合企业的实际情况,综合”地理位置”和”设备用户数”或其他因素来合理划分Group, 大体原则就是尽量让双RA和双AD各承担大约一半的负载. 好, 整体架构规划好了, 实际怎么实施呢? (我以”有线802.1x”为例) Switch端: Group1中的所有交换机应该这样配置(RA1为主, RA2为备):radius-server host RA1’s IP auth-port 1812 acct-port 1813 key xxx
radius-server host RA2’s IP auth-port 1812 acct-port 1813 key xxx Group2中的所有交换机应把RA的顺序反一下(RA2为主, RA1为备):radius-server host RA2’s IP auth-port 1812 acct-port 1813 key xxx
radius-server host RA1’s IP auth-port 1812 acct-port 1813 key xxx RADIUS端: Aruba ClearPass RADIUS支持Cluster的概念, 即两台RA可形成一个Cluster, 主的那台叫Publisher, 次的那台叫Subscriber, 所有的配置只需要在Publisher做, 然后它会自动同步给Subscriber, Cluster最大的好处就是相同的配置不需重新配置一遍或多遍, 管理方便. 现在各大厂商都有类似的技术, 如Firewall, Wireless.
既然两台RA的配置一样, 那如何区分Group1和Group2呢? 这就需要在RA上定义这两个组, 然后把相应的交换机放进相应的组里. 接下来, 定义两个Services, 比如:
[*]802.1x Wired – Group1
[*]802.1x Wired – Group2
在802.1x Wired – Group1 定义: Match Group1时, 去AD1认证, 然后把AD2作为备份. 类似, 在802.1x Wired – Group2 定义: Match Group2时, 去AD2认证, 然后把AD1作为备份. 至此, 模型四的重点内容就给大家介绍完了.
以上四种模型大家可以从部署难易程度, 管理难易程度, 网络稳定性, 业务连续性, 费用等各方面作个比较, 相信这个对你来说不是什么难事. 这里要提到的一点就是, 没有哪种模型是最好的, 只有最适合的. 企业部署信息化, 架构师需要从多角度考虑设计方案, 比如企业目标, 需求, 费用, 约束条件等等. 只有权衡各方面, 设计出来的方案才是最适合企业的. 欢迎留言指正错误或分享更好的设计方案.
技术小贴士 Tips 1. 类似像多RA这种情况, 在给RA申请Server Certificate时, 不需要每个RA申请一个, 你总共就需要一个, 然后每个RA都可以用. 即在申请时, 把所有RA的DNS Name都放在Subject Alternative Name中. 这样管理一个Server CERT就OK了.
Tips 2. 类似我这个项目, 替换新的RADIUS Server, 那就意味着交换机的radius-server命令行都得改, 如果你企业很大, 几百台交换机, 那你需要一个能写脚本, 刷配置的工具, 一次性搞定几百台交换机的命令更改, 我们这用的是SolarWinds NCM.
http://bbs.hh010.com/data/attachment/forum/201705/24/144837wztdnv0vo6ojgx5q.gif 感谢楼主分享! {:6_290:}{:6_290:} Thanks for sharing. {:6_267:}理无专在,而学无止境也,然则问可少耶 感谢,学习了 好久没来鸿鹄了,大概是从毕业以后就很少来着看资料了!支持下 李sri 重新回归鸿鹄。。。。 {:6_299:} 感谢分享 {:6_267:} 谢谢老师,学习了 {:6_269:} {:6_267:} thanks for sharing 企业局域网安全网络构架,赞