測(cè)試RADIUS服務(wù)器

相關(guān)專題: 無(wú)線
  過(guò)去RADIUS更多地用在遠(yuǎn)程撥號(hào)接入這樣的領(lǐng)域,但是在未來(lái)的企業(yè)網(wǎng)絡(luò)中,RADIUS將更多被使用在以太網(wǎng)接入、無(wú)線局域網(wǎng)接入等領(lǐng)域。選擇好的RADIUS將變得更重要。



  美國(guó)的一家實(shí)驗(yàn)室決定評(píng)估企業(yè)RADIUS服務(wù)器,要求參評(píng)的產(chǎn)品不僅支持Microsoft Active Directory和RSA Security SecureID,而且還可以連接多種客戶機(jī),即NAS(網(wǎng)絡(luò)接入服務(wù)器)設(shè)備,如撥號(hào)服務(wù)器、VPN集中器、WLAN接入點(diǎn)和防火墻。Cisco、Funk Software、IEA Software、Interlink Networks和Lucent的產(chǎn)品參加了這個(gè)測(cè)試。



  衡量RADIUS的標(biāo)準(zhǔn)



  RADIUS的性能是用戶該關(guān)注的地方,比如,能接受多少請(qǐng)求以及能處理多少事務(wù)。同時(shí),遵循標(biāo)準(zhǔn),并具備良好的與接入控制設(shè)備的互操作性是RADIUS服務(wù)器好壞的重要指標(biāo)。從測(cè)試的情況看,所有的產(chǎn)品都符合RADIUS規(guī)范和EAP(擴(kuò)展認(rèn)證協(xié)議)定義。不過(guò),為了發(fā)現(xiàn)所支持的認(rèn)證機(jī)制和后端認(rèn)證存儲(chǔ)的種類,測(cè)試者進(jìn)行了更深入的研究。在互操作性方面,他們測(cè)試了這些服務(wù)器與多種RADIUS客戶機(jī)(包括接入點(diǎn)、VPN和撥號(hào)服務(wù)器)一起工作時(shí)的情況。他們根據(jù)創(chuàng)建用戶和工作組配置文件的難易程度以及配置用戶專有屬性的靈活性,對(duì)參評(píng)產(chǎn)品的配置管理評(píng)分。安全性也是關(guān)注的重點(diǎn)。測(cè)試者希望了解服務(wù)器在和NAS設(shè)備通信的過(guò)程中是如何保證安全和完整性的。



  另外RADIUS是否能夠讓管理員實(shí)現(xiàn)諸多管理安全特性和策略是非常重要的一環(huán)。為此測(cè)試者評(píng)估了能夠通過(guò)RADIUS服務(wù)器執(zhí)行的不同規(guī)則,特別將重點(diǎn)放在按用戶、用戶組或角色實(shí)施的時(shí)段限制上。測(cè)試者還留意了產(chǎn)品是否支持強(qiáng)制時(shí)間配額。這種功能使網(wǎng)絡(luò)管理員可以限制用戶或用戶組能夠通過(guò)RADIUS服務(wù)器接入網(wǎng)絡(luò)多長(zhǎng)時(shí)間。



  大多數(shù)參測(cè)的RADIUS服務(wù)器都通過(guò)ODBC或JDBC,利用SQL Server數(shù)據(jù)庫(kù)保存和訪問(wèn)用戶配置文件。數(shù)據(jù)庫(kù)集成對(duì)于處理大量為賬戶和事件日志采集的數(shù)據(jù)至關(guān)重要。假如網(wǎng)絡(luò)管理員不能分析和報(bào)告數(shù)據(jù)的話,這些數(shù)據(jù)沒(méi)有任何意義,為此他們測(cè)試了用于顯示信息、顯示信息的動(dòng)態(tài)性以及利用信息可執(zhí)行什么任務(wù)的工具。



  除了上述基本特性外,測(cè)試者還對(duì)RADIUS服務(wù)器的功能進(jìn)行了測(cè)試。他們測(cè)評(píng)了服務(wù)器主動(dòng)與網(wǎng)絡(luò)管理系統(tǒng)合作的情況。例如,他們?cè)u(píng)估了實(shí)現(xiàn)電子郵件報(bào)警的復(fù)雜性。實(shí)現(xiàn)電子郵件報(bào)警在Cisco和IEA Software的服務(wù)器中十分流暢,但在一些其他設(shè)備上就沒(méi)有那么輕松。測(cè)試者還評(píng)估了證書(shū)請(qǐng)求工具。請(qǐng)求工具可將簽名的證書(shū)授予發(fā)出請(qǐng)求的RADIUS服務(wù)器。具有VoIP賬戶功能的產(chǎn)品很少,只有Cisco和IEA Software的產(chǎn)品才提供。



  測(cè)試方法



  為了測(cè)試RADIUS服務(wù)器,測(cè)試者搭建了一個(gè)近乎真實(shí)的測(cè)試環(huán)境。



  測(cè)試者將服務(wù)器配置為連接多臺(tái)RADIUS客戶機(jī),包括一臺(tái)Cisco VPN 3000集中器、一臺(tái)Cisco Aironet 1100接入點(diǎn)和一臺(tái)Proxim AP-600接入點(diǎn)。他們還使用商用RADIUS測(cè)試實(shí)用工具(如NAS Simulator和Evolynx RADIUS Load Test)來(lái)模擬多個(gè)認(rèn)證請(qǐng)求。這些測(cè)試實(shí)用工具為測(cè)試者提供了檢查服務(wù)器支持RADIUS客戶機(jī)的能力和靈活性。



  性能取決于服務(wù)器運(yùn)行在什么平臺(tái)上。很多RADIUS服務(wù)器運(yùn)行在專用的機(jī)器上,測(cè)試者可以對(duì)它們進(jìn)行壓力測(cè)試:生成多個(gè)會(huì)話,直至服務(wù)器的CPU利用率達(dá)到90%到95%。將認(rèn)證請(qǐng)求速率保持在這種水平上,讓測(cè)試者可以觀察到丟失的請(qǐng)求數(shù)量。然后,測(cè)試者添加多位用戶,而只增加一個(gè)會(huì)話,檢查數(shù)據(jù)庫(kù)處理用戶配置文件的效率。這時(shí)得到的結(jié)果與單用戶情景的結(jié)果類似。不過(guò),在訪問(wèn)外部數(shù)據(jù)庫(kù)上出現(xiàn)了顯著差異,但是這些結(jié)果取決于RADIUS代理所連接的服務(wù)器性能。



  為了模擬真實(shí)的情景,測(cè)試者讓測(cè)試工具建立了5個(gè)并行會(huì)話,同時(shí)在5位有效用戶和兩位無(wú)效用戶之間交替變換。為了保證公平的比較,測(cè)試者讓所有的產(chǎn)品都使用Active Directory進(jìn)行認(rèn)證。IEA的RadiusNT、Lucent的NavisRadius和Cisco的ACS平均每秒處理170次請(qǐng)求,而Funk的Steel-Belted Radius平均每秒處理320次請(qǐng)求。Interlink的RAD-Series每秒竟然支持令人吃驚的1900次請(qǐng)求。取得這種高性能主要是由于其Linux平臺(tái)。但是性能不應(yīng)當(dāng)成為網(wǎng)絡(luò)管理者做出選擇的惟一依據(jù),因?yàn)槠骄饋?lái)看,Interlink服務(wù)器在峰值時(shí)間每秒處理不超過(guò)90到120次請(qǐng)求。而測(cè)試的所有服務(wù)器都可以輕松躍過(guò)這一門(mén)檻。



  測(cè)試者驗(yàn)證了這些服務(wù)器是否支持RFC 2865到RFC 2869(RADIUS規(guī)范)和RFC 2716(EAP規(guī)范)。測(cè)試者還研究了服務(wù)器符合CERT Advisory CA-2002-06的情況。CA-2002-06確定了RADIUS服務(wù)器上存在的拒絕服務(wù)安全漏洞。



  最后,測(cè)試者評(píng)估了服務(wù)器能夠多好地滿足企業(yè)IT部門(mén)需要以及提供什么標(biāo)準(zhǔn)規(guī)范之外的特性,如嵌入式數(shù)據(jù)包檢查工具、SNMP與DHCP服務(wù)器支持、數(shù)字證書(shū)獲取工具、事件報(bào)警電子郵件、測(cè)試實(shí)用工具配置和VoIP支持。



  RADIUS工作原理



  RADIUS原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來(lái)經(jīng)過(guò)多次改進(jìn),形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。



  RADIUS是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS服務(wù)器,現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。






  RADIUS的基本工作原理:用戶接入NAS,NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息,包括用戶名、密碼等相關(guān)信息,其中用戶密碼是經(jīng)過(guò)MD5加密的,雙方使用共享密鑰,這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播;RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn),必要時(shí)可以提出一個(gè)Challenge,要求進(jìn)一步對(duì)用戶認(rèn)證,也可以對(duì)NAS進(jìn)行類似的認(rèn)證;如果合法,給NAS返回Access-Accept數(shù)據(jù)包,允許用戶進(jìn)行下一步工作,否則返回Access-Reject數(shù)據(jù)包,拒絕用戶訪問(wèn);如果允許訪問(wèn),NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require,RADIUS服務(wù)器響應(yīng)Account-Accept,對(duì)用戶的計(jì)費(fèi)開(kāi)始,同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。



  RADIUS還支持代理和漫游功能。簡(jiǎn)單地說(shuō),代理就是一臺(tái)服務(wù)器,可以作為其他RADIUS服務(wù)器的代理,負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包。所謂漫游功能,就是代理的一個(gè)具體實(shí)現(xiàn),這樣可以讓用戶通過(guò)本來(lái)和其無(wú)關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證。



  RADIUS服務(wù)器和NAS服務(wù)器通過(guò)UDP協(xié)議進(jìn)行通信,RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證,1813端口負(fù)責(zé)計(jì)費(fèi)工作。采用UDP的基本考慮是因?yàn)镹AS和RADIUS服務(wù)器大多在同一個(gè)局域網(wǎng)中,使用UDP更加快捷方便。



  RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個(gè)RADIUS服務(wù)器提交請(qǐng)求沒(méi)有收到返回信息,那么可以要求備份RADIUS服務(wù)器重傳。由于有多個(gè)備份RADIUS服務(wù)器,因此NAS進(jìn)行重傳的時(shí)候,可以采用輪詢的方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同,則需要重新進(jìn)行認(rèn)證。






摘自 網(wǎng)絡(luò)世界
   

微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書(shū)
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書(shū)-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國(guó)移動(dòng):6G至簡(jiǎn)無(wú)線接入網(wǎng)白皮書(shū)
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國(guó)聯(lián)通5G終端白皮書(shū)》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國(guó)電信5GNTN技術(shù)白皮書(shū)
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國(guó)移動(dòng)算力并網(wǎng)白皮書(shū)
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息

    最新論壇貼子