-Các mô hình triển khai RADIUS

Một phần của tài liệu nghiên cứu các vấn đề về kỹ thuật, công nghệ của isp (Trang 49 - 51)

Dựa trên cách kiến trúc cung cấp dịch vụ mà có thể chọn một trong các mô hình triển khai dịch vụ RADIUS sau:

1- Cấu hình RADIUS tập trung (Central RADIUS Service)

Là mô hình triển khai đơn giản nhất, trong mô hình này, ISP kiểm soát toàn bộ các dịch vụ RADIUS kể cả việc duy trì CSDL của ngơi dùng.

Các thành phần của mô hình RADIUS tập trung bao gồm: - Một hay nhiều NAS

- Một Home RADIUS server ( có thể nhiều hơn để dự phòng hoặc phân tải).

- CSDL ngời dùng, bao gồm tên truy cập, mật khẩu và các thông tin xác thực. CSDL ngời dùng có thể dặt ngay trong bản thân RADIUS server hoặc có thể là CSDL LDAP hay SQL riêng.

Trang 51 Database Backup Server Communication Network

Remote User POSTISDN DSL WIRELESS NAS RADIUS Server ACCESS PROVIDER

Hình 3 Ví dụ về mô hình RADIUS tập trung

Hình 1 minh hoạ một mô hình RADIUS tập trung. Khi một ngời dùng từ xa truy cập vào mạng qua một NAS. NAS sẽ gửi một yêu cầu truy cập tới Home RADIUS server, Home RADIUS server sẽ truy vấn CSDL xác thực và xác định rõ ngời dùng có đợc phép truy cập hay không, và nếu có thì các loại dịch vụ nào đợc cung cấp. Sau đó nó trả kết quả về NAS, NAS sẽ thiết lập loại kết nối phù hợp cho ngời dùng.

Nếu ngời dùng đợc phép vào mạng, NAS cũng sẽ gửi một thông điệp thống kê cho Home RADIUS server vào thời điểm bắt đầu phiên truy cập và một thông điệp vào thời điểm kết thúc truy cập. RADIUS server tạo một bản tin lu trữ (Accouting Record) dựa trên các thông điệp thống kê, theo dõi các thông tin về mỗi phiên truy cập nh: Tên truy cập, thời gian bắt đầu, thời gian kết thúc., tài nguyên đã sử dụng...

2- Cấu hình Proxy RADIUS Server (Radius phân tán).

Mức độ phức tạp tiếp theo của là việc sử dụng các RADIUS proxy server (hay còn gọi là Distributed Radius Server). Trong mô hình này, nhiệm vụ của RADIUS là xác thực, quản lý và giữ các thông tin về ngời dùng đợc phân phát từ RADIUS server ở vị trí nhận các request (proxy server) đến RADIUS server ở vị trí khác (home server).

NAS gửi yêu cầu tới Proxy server và nếu thông tin không nằm trong Database của Home Server (hay Local Access Server -LAS) cục bộ của nó, yêu cầu sẽ đợc chuyển tiếp tới LAS tơng ứng để giải quyết, sau đó trả lại kết quả về cho Proxy Server.

Việc lựa chọn gửi yêu cầu tới LAS nào dựa vào tên miền của ngời dùng (realm name); có thể chuyển theo tiền tố (Realm/User) hoặc hậu tố (user@realm), ví dụ ptic@hn.vnn.vn sẽ chuyển tới NAS Hà nội, Ptic@hcm.vnn.vn sẽ chuyển tới LAS HCM City; hoặc có thể chuyển tiếp dựa trên DNIS (Dial Name Information Service): chuyển tiếp các yêu cầu đến server đích dựa trên số điện thoại mà ngời dùng từ xa truy cập vào.

Một RADIUS server có thể hoạt động cả 2 chức năng Proxy Server và LAS server tại cùng thời điểm, cấu hình này thờng dùng cho các ISP nhỏ nhng sẽ phát triển nhanh.

Các Proxy server có thể đấu thành chuỗi, nếu một user cha đợc xác thực kết nối, yêu cầu sẽ đ- ợc chuyển tiếp tới server tiếp trong chuỗi cho tới khi tìm thấy server xác thực. Sử dụng phơng pháp này có thể bỏ qua cách dùng Realm nhng làm giảm tốc độ việc xác thực; kỹ thuật này cũng đợc dùng cho các ISP nhỏ nhng sẽ phát triển trong tơng lai.

Hình 4: Ví dụ về mô hình RADIUS phân tán

Cần lu ý trong mô hình RADIUS này là nơi phân phát các bản ghi Accounting. Các khách hàng có thể muốn giữ các bản ghi thông tin về việc sử dụng của họ để kiểm tra, hoặc ISP có thể phải chịu trách nhiệm lu giữ các thông tin về việc sử dụng.

+ Lu trữ cục bộ: Proxy Server lu trữ các thống kê RADIUS vào một log file cục bộ.

+ Chuyển tiếp: Proxy Server chuyển tất cả các Accounting Record đến home RADIUS server đích và home RADIUS server sẽ lu trữ chúng.

+ Lu trữ và chuyển tiếp: Proxy Server vừa lu trữ tất cả Accounting Record, vừa chuyển tiếp các thông tin này cho home RADIUS server đích để xử lý.

Communication Network Remote User POST ISDN DSL WIRELESS NAS ACCESS PROVIDER RADIUS Server Internet/ Intranet Database Database Database Database RADIUS Server RADIUS Server CUSTOMER A CUSTOMER B

Một chức năng đặc biệt của RADIUS server là cho phép hạn chế số lợng các kết nối đồng thời dùng một tên truy cập (Concurrency User), cho phép nhận diện các account bị lấy cắp, hạn chế sử dụng,... các concurent login này có thể thực hiện trên một hoặc nhiều Radius Server. Việc triển khai một Concurrency Server cho phép nhà cung cấp dịch vụ Internet kiểm soát đợc các gian lận trong việc chia sẻ tên và mật khẩu truy cập. Một Proxy hay Home RADIUS server cũng có thể đóng vai trò của một Concurrency server hoặc trong trờng hợp nhà cần theo dõi những login trùng nhau ở một số RADIUS server có thể thiết lập một RADIUS server riêng.

Nói chung, nên chọn mô hình RADIUS phân tán nếu ISP cung cấp các dịch vụ nh quản lý một VPN cho khách hàng hay khách hàng có thể là các ISP khác hoặc các nhà kinh doanh. Mô hình này đáp ứng đợc các đòi hỏi của khách hàng về việc họ có thể tự duy trì và kiểm soát dữ liệu xác thực của mình. Nó cũng làm giảm gánh nặng quản trị cho nhà cung cấp trong trờng hợp khách hàng là số lợng lớn.

3- Cấu hình Hosted RADIUS (Hosted RADIUS Service)

Mô hình này kết hợp các đặc điểm của cả hai mô hình trên. Nó là mô hình phân tán bởi vì mỗi tài nguyên của khách hàng đều đợc cung cấp bởi một RADIUS server riêng, tuy nhiên các server này đợc đặt tại các ISP. Các server của khách hàng có thể khác nhau về mặt vật lý hay về mặt lôgic (các server ảo) chạy trên cùng Server.

Trong mô hình này ISP thiết lập và duy trì một RADIUS server tại vị trí của mình phục vụ cho mỗi khách hàng của bạn. Mô hình này rất phổ biến khi có các khách hàng không muốn duy trì các RADIUS server của riêng mình.. . .

Triển khai theo mô hình hosting RADIUS có các đặc trng sau:

+ Một số môi trờng gồm 4 thành phần: các NAS, RADIUS server thiết lập cho mỗi host của khách hàng, Một CSDL xác thực cho mỗi host của khách hàng. Ngoài ra có thể có riêng một CSDL thống kê.

+ Tất cả các thành phần đều đợc đặt trên cùng một mạng.

+ ISP có trách nhiệm duy trì CSDL tên và mật khẩu của khách hàng hoặc phải thiết lập xử lý làm làm sao cho khách hàng có thể truy cập quản lý dữ liệu của họ.

Hình 5: Mô hình Hosted RADIUS

Trong mô hình này mỗi khách hàng có một RADIUS server riêng và một Proxy server để giao tiếp giữa NAS và các RADIUS Proxy. Trong trờng hợp này các Accounting Record sẽ đợc chuyển tới cùng một home RADIUS server cũng nh yêu cầu xác thực.

Có thể dùng một RADIUS server cấu hình directed realm để phục vụ tất cả các host của khách hàng. Trong trờng hợp này NAS giao tiếp với RADIUS server truy vấn các vùng thông tin dành cho khách hàng tơng ứng của CSDL để xác định nếu ngời dùng đợc quyền kết nối.

Một phần của tài liệu nghiên cứu các vấn đề về kỹ thuật, công nghệ của isp (Trang 49 - 51)

Tải bản đầy đủ (DOC)

(102 trang)
w