Изучение сервера доступа и сервера Radius
Для наглядности объединим основные характеристики в таблицу
Download 277.44 Kb.
|
Изучение сервера доступа и сервера Radius
|
Для наглядности объединим основные характеристики в таблицу:
RADIUS TACACS+ Используемые протоколы и порты UDP: 1812 & 1813 или UDP: 1645 & 1646 TCP: 49 Сервисы Объединяет аутентификацию и авторизацию Разные процессы для аутентификации, авторизации и учета Шифрование Шифруется только пароль Шифруется все тело пакета Поддерживаемые типы аутентификации Clear text (ASCII, PAP), CHAP Clear text (ASCII, PAP), CHAP, ARAP Возможность перенаправления запроса Есть Нет Основное назначение Доступ к сети Администрирование устройств Основные различия между RADIUS и TACACS+ Основные различия сводятся к тому, что TACACS+ шифрует все содержимое пакета, оставляя только простой заголовок. Такой способ защищает от злоумышленников, которые прослушивают сообщения, передаваемые между устройствами. Также TACACS+ реализует функции AAA раздельно, что позволяет вынести каждую из них на отдельный сервер или даже использовать другой протокол (не TACACS+). TACACS+ также предлагает более тесную интеграцию с устройствами Cisco и позволяет осуществлять детальное управление маршрутизаторами (процесс авторизации). С сервером TACACS + возможно реализовать управление командами с применением уровней доступа (которые далее настраиваются на самих устройствах). RADIUS позволяет частично реализовать эту возможность, но не так хорошо и гибко, как TACACS+. TACACS+ также поддерживает несколько других протоколов (отличных от IP), таких как AppleTalk, NetBIOS, NetWare Asynchronous Service Interface (NASI) и X.25, но в современных сетях их использование сошло на нет. При использовании протокола TACACS+ между клиентом и сервером не может быть брендмауэра, так как сервер должен получить запрос от клиента с его IP-адресом, а не с адресом брендмауэра. У RADIUS IP-адрес клиента содержится еще и в самом пакете, что позволяет ААА-серверу получить его оттуда. А вот самый большой недостаток TACACS+ заключается в том, что Cisco разработала этот протокол для собственных нужд и поэтому самую широкую его поддержку получили именно сетевые устройства этой компании. Однако постепенно ситуация меняется, и остальные производители стали также поддерживать TACACS+. Какой протокол для ААА-сервера использовать, необходимо выбирать в зависимости от задачи. Если это администрирование устройств, то TACACS+ станет лучшим вариантом, а если доступ к сети, то более универсальный и быстрый – RADIUS. В версии 6.0 СКАТ DPI стала доступна авторизация IPoE-сессий на RADIUS, что расширило возможности оператора связи по осуществлению контроля доступа абонентов к сети Интернет и применения политик тарифных планов и дополнительных тарифных опций: назначение и изменение политик (тарифных планов и опций); перенаправление пользователей в Captive Portal (блокировка); работа на уровне L3; идентификация пользователей по IP или по метке Q-in-Q. Более подробную информацию о преимуществах СКАТ DPI, ее эффективном использовании на сетях операторов связи, а также о миграции с других платформ вы можете узнать у специалистов компании VAS Так как на вход рассматриваемой СМО поступает суммарный нестационарный пуассоновский поток L, рассмотрение характеристик обслуживания будет вестись в виде определения показателей на момент времени t, что позволяет свести рассмотрение работы СМО к случаю стационарного потока входящих заявок. Следует отметить, что рассмотрение RADIUS-сервера в качестве СМО вида M(t)4 / M4 / K сильно упрощает действительность, зато позволяет с помощью аналитических методов получить оценки характеристик обслуживания. Более приближенный к реальности вид СМО можно рассмотреть при имитационном моделировании. Для данной работы к рассмотрению предлагается схема обработки запросов популярной реализации сервера под названием FreeRADIUS [5]. Для данной схемы необходимо отметить следующее: 1. Время обслуживания каждого класса заявок можно разложить на несколько составляющих: T = Т№еп + Tpm + TBPex, где TRpen и T^ -время обслуживания заявки на входе и выходе из RADIUS-процес-сора соответственно, а TPRi - время обслуживания зявки i-го класса ядром сервера. 2. Значения TRPen, TPRi и TRPex можно считать случайными величинами, распределенными по экспоненциальному закону с параметрами Заключение С помощью представленных в данной работе результатов предлагается получение характеристик обслуживания простейшей реализации RADIUS-сервера как с помощью аналитических расчетов, так и с помощью имитационного моделирования. Причем, как показывают результаты моделирования на реальных данных, погрешность результатов имитационного и математического моделирования является несущественной для анализа качества работы СМО и, скорее всего, обусловлена различиями в детализации моделей.Разработанная имитационная модель может служить в дальнейшем шаблоном для проектирования и моделирования более сложных вариантов RADIUS-серверов и оценки их характеристик обслуживания по сравнению с простейшей реализацией на одних и тех же входных данных.К недостатку разработанной имитационной модели можно отнести отсутствие ограничения на время обработки запроса, при достижении которого большинство серверов доступа в реальной жизни начинают отправлять повторные запросы, которые могут привести к падению производительности RADIUS-сервера. Устранение данного замечания может найти себя как направление для дальнейших исследований. Список литературы: 1. Алиев Т.И. Основы моделирования дискретных систем - СПб: СПбГУ ИТМО, 2009. - 363 с. 2. Киселева М.В. Имитационное моделирование систем в среде AnyLogic: учебно-методическое пособие. - Екатеринбург: УГТУ-УПИ, 2009. - 88 с. 3. Петров Н.В. Архитектура RADIUS-сервера с кэшированием данных: дисс. магистра техники и технологии / НИУ «МИЭТ». - Москва, 2012. 4. Тихоненко О.М. Модели массового обслуживания в информационных системах: учеб. пособие. - Мн.: УП «Технопринт», 2003. - 327 с. 5. FreeRADIUS: The world's most popular RADIUS Server [Электронный ресурс]. - Режим доступа: http://www.freeradius.org (дата обращения: 12 сентября 2013). 6. Remote Authentication Dial In User Service (RADIUS) [Электронный ресурс]. - Режим доступа: http://tools.ietf.org/html/rfc2138 (дата обращения: 12 сентября 2013). Download 277.44 Kb. Do'stlaringiz bilan baham: 
|