radius id

[dadv]

ВНЕЗАПНО осознал, что в протоколе RADIUS идентификатор запроса/ответа - 8-битное поле. Поэтому идея транслировать DHCP-запросы в RADIUS-запросы для крупных сетей порочна изначально - более чем 256 одновременных запросов от одного DHCP-сервера к одному RADIUS-серверу независимо от мощностей оборудования делать нельзя без какого-нибудь хитрого мультиплексирования (типа тысячи IP-алиасов на DHCP-сервере), что тоже криво само по себе.

Интересно, насколько хорошо работает FreeRADIUS в роли транслятора между DHCP-протоколом и базой MS SQL. И бывают ли другие трансляторы такого сорта.

Comments

[fuflolog.livejournal.com]

Что-то не пойму, что ты пытаешься соорудить и с какой целью. Выдачу IP адресов для некоей крупной подсети через RADIUS? А зачем?

[dadv.livejournal.com]

Мне нужно решение такой задачи: на циску в роли DHCP-релея приходит куча DHCP-запросов с option 82, нужен софт, который слазит с этими данным в MS SQL, запустит там хранимую процедуру и в зависимости от результата выдаст адрес или нет.

Первая попытка была "свести задачу к уже решенной" путем конверсии DHCP-запросов в RADIUS-запросы и ответы обратно. Не масштабируемо оказалось.

[fuflolog.livejournal.com]

А просто тупо перенаправлять все эти запросы на DHCP сервер нельзя?

[dadv.livejournal.com]

Можно. Вся проблема в том, чтобы найти DHCP-сервер, умеющий ходить в MS SQL.

[fuflolog.livejournal.com]

Как часто обновляется база MS SQL?

[dadv.livejournal.com]

Часто. Платеж может прийти в любую минуту и часто таки и приходит.

[fuflolog.livejournal.com]

То есть вручную заданный IP адрес позволяет с платежами на заморачиваться? Мне нравится эта идея.

Теоретически, DHCP сервер с управлением из командной строки и скрипт, лазающий в MS SQL могут выдать приличный результат. Но могут и неприличный.

[dadv.livejournal.com]

> То есть вручную заданный IP адрес позволяет с платежами на заморачиваться?

Если это намёк про работу нахаляву, то ничего не выйдет - циска прописывает маршрут /32 для выданного IP-адреса в vlan юзера только после собственно выдачи адреса.

[fuflolog.livejournal.com]

Каким образом она это делает? Если обычным способом - один VLAN на юзера, и когда в VLAN появляется трафик, int Vlan поднимается и подсеть через redistribute connected попадает в таблицу адресов - то покатит и вручную прописанный адрес.

[dadv.livejournal.com]

Нет, не так. Это фича циски: если на int Vlan стоит ip unnumbered Loopback0 и на Loopback0 стоит адрес /32 и через DHCP в этот vlan выдаётся адрес/маска/шлюз, соответствующие этому цискиному адресу, то циска создаёт _static_ route /32 в этот vlan. И сама потом удаляет.

[fuflolog.livejournal.com]

Понятно, спасибо.

А насчет остального: мышки, станьте ежиками diameter поддерживает 32-битные поля и реализован все в том же free radius.

[dadv.livejournal.com]

Тогда нужен DHCP-сервер с поддержкой diameter.

[fuflolog.livejournal.com]

Ты ж вроде как-то скрестил free radius с dhcp?

[dadv.livejournal.com]

Я использовал левый (и кривой, как оказалось в процессе тестирования) патч на isc-dhcpd древней версии. Для diameter такого патча я не знаю. Да уже и не хочется этим путем идти, хочется напрямую DHCP-запросы конвертировать в SQL.

[fuflolog.livejournal.com]

Видишь, как оно бывает: соберешь джунипер, так предложат собрать биллинг. Соберешь биллинг - попросят обзвонить клиентов. А в конце концов тебя выгонят и на твое место посадят сынка директора.

[dadv.livejournal.com]

В данном случае биллинг собираю не я, а другой соседний отдел. Я их лишь консультирую. На моё место сынка директора не посадят, потому что у всех есть осознание, что мало кто справится. Но даже если окажется, что он квалификацией реально не ниже меня, я быстро найду себе другое место, спецов мало.

Я недавно вдруг осознал, что общаюсь по поводу проблем с BGP аплинка с тем же инженером, с которым общался 5 лет назад по поводу BGP, когда и я работал в другом месте, и он тоже в другом. В своём архиве почты (у меня с 1999-го всё хранится) нашел переписку с ним за те годы.

[xeonvs.livejournal.com]

У меня FreeRadius работает DHCP сервером в связке с MySQL. В продакшене чуть более года, всё стабильно.
Есть еще такая тема http://forum.nag.ru/forum/index.php?showtopic=64724 (http://forum.nag.ru/forum/index.php?showtopic=64724)

[dadv.livejournal.com]

Указанную на НАГе тему видел, там поддержки MS SQL нету, её надо писать отдельно.

Что касается FreeRadius, у его DHCP-модуля тоже обнаружилась проблема. Он считает, что с одного IP не должно приходить много запросов за короткое время, а если приходит, то он начинает их дропать. При этом автор этого кода упускает из виду существование высоконагруженных DHCP-релеев, через которые совершенно нормален большой поток DHCP-запросов в течение короткого времени и всех их нужно обслужить, искуственные дропы недопустимы.

[xeonvs.livejournal.com]

Согласен, дропать нельзя.
Я для себя попилил релеи по географическому принципу между двумя БД, проблем с нагрузкой и масштабированием нет в принципе.

[alex pilipenko (from livejournal.com)]

На самом деле все немного проще -- радиус-запросы можно слать с разных source-портов, тогда ограничение на 256 одновременно обрабатываемых запросов снимается.

[dadv.livejournal.com]

Запросы и так шлются с разных source-портов и на ограничение это не влияет никак.