[MASOCH-L] Navis Radius

Alexandre Gorges algorges at gmail.com
Fri Dec 21 06:25:41 -03 2007


Obrigado Ricardo,

eu não fui bem claro no meu primeiro email.
a rede aqui funciona assim:

o banco roda em openldap.

as informacoes dos clientes sao replicadas em 4 servidores Sun usando a 
propria replicacao do openldap.

o servidor master se encontra em um predio da empresa. e os 3 slaves estão 
hoje espalhados em outras localidades.

Ou seja. hoje as informacoes dos clientes já estão com uma redundancia. 
estão replicados em servidores fora do predio e tal.

nesses servidores roda tambem o navis radius, onde os PDSN da Nortel e UT 
autenticam os usuarios.
toda a conexao ele joga os logs em um servidor sql para consulta.

agora o que eu estava pensando era fazer um virtual server para que eu possa 
ter mais seguranca.

ou seja

nos PDSN ficaria configurado um ip do virtual-server e no switch eu iria 
fazer o virtual server para ficar via load-balance consultando os 
servidores.

ex.


                       virtual server 10.x.x.x
                                     | |
                                     | |
---------------  --------------    --------------- -----------------
Servidor A     Servidor B     Servidor C    Servidor D

assim penso eu, eu poderia acrescentar mais servidores se preciso ou caso 
algum servidor parar o switch iria jogar a consulta para outro servidor.

O que você me diz?

----- Original Message ----- 
From: "Ricardo Rodrigues" <rcr.listas at ig.com.br>
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Sent: Friday, December 21, 2007 9:02 AM
Subject: Re: [MASOCH-L] Navis Radius


Alexandre,

o que você quer dizer exatamente com "forma mais segura"? Seria alta
disponibilidade?

Eu sugeriria duas opções:
1. Se o equipamento que você estiver usando para autenticar no Radius
permitir, basta você pode configurá-lo para se autenticar nos vários
servidores Radius. Dependendo do equipamento, ele permite que você use
políticas de round-robin, master/backup, etc.
Vantagem: baixo custo de implementação
Desvantagem: alto custo de manutenção. A cada inserção/remoção de servidor
Navis Radius na sua rede, você terá que alterar a configuração de todos os
seus equipamentos. Se você tiver dezenas/centenas de equipamentos que se
autenticam no Radius, essa solução provavelmente não te atenderá.

2. Adquirir um balanceador de carga, configurar um endereço IP virtual,
aplicar a política de balanceamento desejada (master/backup, round-robin,
hash, etc) e configurar seus equipamentos para enviarem os pacotes Radius
para este endereço IP virtual. Ao receber os pacotes Radius, o balanceador
os redireciona para os servidores Radius
Vantagem: Menor custo de manutenção. A cada inserção/remoção de servidor
Navis Radius, só é preciso alterar a configuração do balanceador de carga.
Os equipamentos da rede continuarão enviando os pacotes Radius para o mesmo
IP virtual.
Desvantagem: Maior custo de implantação

Obviamente, dependendo do tipo de rede e dos clientes, o custo adicional
pela compra do(s) balanceador(es) será menor que o custo de manutenção da
solução 1.

Mais: não adianta ter vários servidores Radius se você tiver todos ligados
num mesmo switch ou usando um único balanceador. Se o switch pifar, seus
servidores Radius ficarão indisponíveis. É necessário criar uma
infra-estrutura de alta disponibilidade de rede chegando até os servidores.
Logo, os servidores devem ter ao menos duas placas de rede para se
configurar alta disponibilidade neles também.

Se precisar de mais informação, conte comigo.

[]'s
Ricardo

Em 20/12/07, Alexandre Gorges <algorges at gmail.com> escreveu:
>
> Alguém ai da lista usa o NavisRadius para autenticação dos usuários?
>
> Se alguém usa, eu gostaria de saber se é usado alguma solução de cluster
> ou redundancia.
>
> Aqui na empresa existe 3 AAA NavisRadius. e estamos vendo para ano que vem
> mudar para uma forma mais segura.
> Aceito todas as sugestões.
>
> []´s
> Alexandre
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l 




More information about the masoch-l mailing list