远端拨入用户验证服务系统冗余备份方案研究
构建高可靠性网络架构的冗余设计
构建高可靠性网络架构的冗余设计为了确保网络系统的高可靠性和可用性,冗余设计是一个非常重要的方面。
冗余设计通过多重备份和冗余路径来避免单点故障,提高系统的容错性和稳定性。
本文将重点探讨构建高可靠性网络架构的冗余设计方案。
一、冗余设备备份在网络架构中,设备的故障可能会导致整个系统的瘫痪。
为了避免这种情况,我们可以采用冗余设备备份的方式。
具体而言,可以添加备用路由器、交换机、防火墙等网络设备,与主设备构成冗余设备组。
当主设备故障时,备用设备会快速接管工作,确保网络的持续可用性。
此外,为了提高冗余设备备份的效果,也可以采用热备份和冷备份的方式。
热备份指备用设备与主设备同时工作,实时同步数据和状态,可以立即接管工作。
而冷备份是备用设备处于待命状态,只在主设备故障时才启动,较热备份的恢复时间会稍长一些。
二、冗余路径设计除了设备的冗余备份,冗余路径的设计也是构建高可靠性网络架构的重要组成部分。
冗余路径指多条物理路径或逻辑路径与主路径并行,一旦主路径故障,冗余路径能够自动接管网络通信流量。
常用的冗余路径设计包括主备链路、负载均衡和多路径路由。
主备链路是指同时使用两个或多个独立的物理链路,其中一个链路是主链路,其他链路是备用链路。
主链路负责承担主要的通信流量,备用链路处于待命状态。
当主链路故障时,备用链路自动接管通信流量,保证网络的连通性。
负载均衡是将通信流量平均分配到多个链路或设备上,以实现流量的均衡分担和冗余。
通过负载均衡,当某个链路或设备故障时,其他正常的链路或设备可以承担更多的流量,确保网络的可用性。
多路径路由是通过同时使用多条路径来传输数据,以提高网络的容错性和带宽利用率。
当某条路径故障时,数据可以通过其他可用的路径传输,保证通信的连续性。
三、冗余电源设计冗余电源设计是为了防止电源故障导致网络系统的停电和数据丢失。
通过为关键设备和服务器提供冗余电源供应,可以确保在主电源故障时,备用电源能够及时接管,保持网络的正常运行。
XXX容灾备份方案
5
方案产品清单 Symantec部分
Symantec SF HA&GCO 5 节点 Symantec NetBackup 5200 硬件机头 1 台 Symantec NetBackup 5200 存储扩展柜1套,满盘72T可用容量 Symantec NetBackup MASTER 27 套 Symantec NetBackup Client 29套(其中san client 2套)
7
IBM Power 750 2台 IBM FC B24 8口激活 1台 IBM V7000 /SSD 2*400G SAS 22*900G 1台 IBM 3650 M4 标配 4G 4核加4T可用硬盘空间 27台
6
IBM硬件部分
全码特网络
Quanmat network
3
中心机房与北京机房高可用方案
WAN 数据库群集
应用&分部查询 群集
北京IDC机房
业务&应用服务器 (租用) FC交换机
FC交换机
SFHA&GCO 同步复制、高可用 远端阵列 (租用) 存储阵列 存储阵列
4
方案优势 中心机房基于主机的热备,当本地主机网络,系统,及服务器硬件出现故 障,实现本地自动切换。当本地机房发生灾难情况,将自动切换到北京机房。 中心机房基于存储的数据库镜像,当存储及存储网络出现故障,不会影响 数据安全及服务器访问。 数据库服务器和应用服务器分离,分别将数据存放在存储中,实现双机双 柜的冗余架构。数据库或应用任意机器宕机不影响业务运行。 27分公司数据MASTER备份管理,然后通过本地消重复制到中心机房, 中心机房然后恢复到数据库服务器做集中查询。本地基于san client备份,最 大程度的缩短备份&恢复数据库的时间窗口。 中心机房汇总分公司数据库集合,放置于应用服务器这样最大合理利用服 务器资源。并不会影响业务性能。 管理员在成都总公司就能集中管控与监视,所有备份策略执行情况,无需 到分公司现场,节约维护成本。 本方案采用最大程度的利旧,采用易扩展的产品与选件,方便后期的节点 增加与扩展。
配置网络设备的冗余备份确保网络的高可用性
配置网络设备的冗余备份确保网络的高可用性在当今信息时代,网络已经成为人们工作、学习和生活中不可或缺的一部分。
无论是企业的办公网络还是家庭的家庭网络,网络的高可用性是保障正常运行的关键。
为了确保网络的高可用性,配置网络设备的冗余备份是一项重要的措施。
为了更好地理解如何配置网络设备的冗余备份来确保网络的高可用性,我们首先需要了解“冗余备份”的概念。
冗余备份,顾名思义,即在主设备失效或故障时,通过备用设备代替主设备,确保网络的正常运行。
冗余备份可以分为硬件冗余备份和软件冗余备份两种类型。
在硬件冗余备份中,一种常见的配置是使用冗余交换机。
冗余交换机通过使用跨交换机链路聚合技术(LACP)、热备份(HSRP/VRRP)或者堆叠技术来实现。
LACP技术可以将多个物理链路捆绑成一个逻辑链路,并且当其中一个物理链路发生故障时,可以自动转移到其他可用的物理链路上,从而确保网络的连通性。
而热备份则是通过设置一个虚拟网关IP,多个交换机共同拥有这个虚拟网关IP,当其中一个交换机出现故障时,其他交换机将会接管该虚拟网关IP,从而确保网络的连通性。
堆叠技术则是将多个交换机通过特定的物理接口建立逻辑连接,形成一个逻辑交换机,当其中一个交换机出现故障时,其他交换机会自动接管该交换机的功能。
通过这些技术的应用,冗余交换机可以确保在主交换机发生故障时,网络仍然可以正常运行,保障网络的高可用性。
除了硬件冗余备份,软件冗余备份也是确保网络高可用性的重要手段之一。
软件冗余备份以网络设备的操作系统和软件功能为主要对象,通过配置备份软件和系统,实现在主系统出现故障时能够及时切换到备份系统。
备份系统通常具备与主系统相同的功能和配置,并且能够实时同步主系统的状态。
在主系统故障时,备份系统会自动接管主系统的功能,确保网络的正常运行。
此外,软件冗余备份还可以通过配置冗余路由协议(如OSPF、BGP等)来实现。
冗余路由协议会在网络中维护多条到达目的地的路径,并在主路径发生故障时,自动切换到备用路径,从而保证网络的连通性和可用性。
GSM-R核心网冗余实施方案研究
统 後 霾
( 中铁 第四勘 察设 计 院集 团有 限公 司,武 汉 4 5 0 0 6 5 )
摘要 : 主 要研 究 6 S M-R核 心 网的冗 余架构 ,对 比 基 于冗 余架构 的 G S M—i f , 核 心 网的 两种建 设 方案 ,
下降 ,带 来潜 在 的维 护风 险 。 为 解 决 上述 问题 , GS M —R 核 心 网需要 引 进 新 的 网络 架 构 和 冗余 方 案 ,既能 兼 容 现 网各 个 设 备 的 接 入 ,又 能适 应 铁 路 下一 代 无 线 通 信 网络 的升 级进 程 。同时 , 为 了保 证 既 有 GS M —R 网络 的 正 常 运 营 , 应 逐 步 改 造 现有 的无 线 网络 , 在 不 影 响 铁 路正 常 运营 秩序 的前提 下 , 使 GS M -R 核 心 网平滑 升级
要更新数据 ,对武汉、北京 、西安的 MS C网络的 正常运营带来干扰 。此外 ,这 3 处的本地 MS C系 统 升级 、数 据 更新 、 日常维 护 也会 给 TMSC业 务 带 来影 响,直接 影响行车调度指挥及铁路 运输安全 ,
大大 降低 网络 的可靠 性和 安 全性 。 而且 ,GSM —R 核 心 网处 于整 个 网络 的核 心位 置 ,其安 全性 和 可靠 性尤 为 重要 。但 是 GS M —R核 心 网节 点 至 今 已运营 十余 年 ,各 种 电子 设备 已趋 于 陈 旧 ,一 旦 出现故 障 ,将导 致 铁 路 业 务 的大 范 围 中
并讨 论核 心 网冗余 架构 下 B S C的互联 方 案 ,给 出相应 的 实施建 议 。
关键词 : 6 S M - R; 核 心 网 ;冗余 ; 实施 方 案
基站传输网络的冗余设计和备份策略
基站传输网络的冗余设计和备份策略随着通信技术的发展,基站传输网络的稳定性和可靠性对于移动通信网络的正常运行变得至关重要。
在设计基站传输网络时,冗余设计和备份策略成为了确保网络连续性和数据安全性的关键要素。
本文将探讨基站传输网络的冗余设计和备份策略,以提高网络的可靠性、恢复能力和性能。
1. 冗余设计在基站传输网络中,冗余设计指的是通过增加冗余设备、链路和机制来提供备份和备选路径,以确保在主路径出现故障时,网络能够继续正常运行。
以下是几种常见的冗余设计方法:a. 设备冗余:通过增加冗余设备,如交换机、光纤转接器等来提高基站传输网络的可用性。
当主设备发生故障时,冗余设备可以立即接管工作,确保网络的连续性。
b. 路径冗余:在基站传输网络中设置备份路径,以防止主路径发生故障导致通信中断。
例如,在光纤传输中,可以使用环形拓扑或双向链路设计来实现路径冗余。
c. 电源冗余:为基站传输设备提供多个独立的电源供应,确保在主电源故障时,备用电源能够及时接管工作,避免网络中断。
d. 协议冗余:在基站传输网络中采用冗余的协议和路由机制,以提高网络的可靠性和恢复能力。
例如,使用冗余的转发机制和路由算法,通过多路径选择来实现冗余。
2. 备份策略备份策略是基站传输网络中的另一个重要方面,用于确保数据的安全性和完整性。
以下是几种常见的备份策略:a. 数据备份:定期对基站传输网络中的数据进行备份,以防止数据丢失或损坏。
备份数据可以存储在本地设备上或远程服务器上,以确保在数据丢失或系统崩溃时能够及时恢复。
b. 系统镜像:将基站传输网络的系统镜像备份到独立的存储设备上,以便在主系统发生故障时快速恢复。
系统镜像备份记录了设备的配置、操作系统和应用程序等信息,能够快速还原系统状态。
c. 安全备份:为了防止数据的丢失和非法访问,基站传输网络应采取安全备份策略。
通过使用加密技术、访问控制和防火墙等安全措施,确保备份数据的机密性和完整性。
d. 多点备份:基站传输网络的备份策略应考虑到数据存储在多个地点的需求,以防止地域性灾害或设备故障导致数据的丢失。
网络规划中如何实现网络设备的冗余备份(五)
网络规划中如何实现网络设备的冗余备份随着互联网的迅猛发展,网络已成为现代社会的重要基础设施之一。
为了确保网络的稳定运行,网络规划中的冗余备份策略成为一项重要的需求。
本文将探讨网络规划中如何实现网络设备的冗余备份,以保障网络的高可用性和可靠性。
一、冗余备份的概念与意义冗余备份是指在网络规划中设置备用设备,以确保主设备出现故障时能够及时切换到备用设备上,从而保证网络的连续性和稳定性。
冗余备份的作用在于降低硬件故障导致的网络中断时间,并提供关键任务的持续执行能力,从而最大限度地减少业务中断和数据丢失风险。
二、冗余备份的实现方法1. 主备式冗余备份主备式冗余备份是一种常见的冗余备份方案,主备设备将在工作状态下进行同步数据和状态的交换,以实现故障自动切换。
在此方案中,主设备负责正常的网络数据传输和处理,而备用设备则处于待命状态,随时可以接管主设备的工作。
当主设备出现故障时,备用设备会立即接管并继续提供网络服务。
2. 联机式冗余备份联机式冗余备份是一种基于冗余虚拟机(Virtual Machine, VM)的备份方案。
通过将主设备的虚拟机状态实时复制到备用设备上,保持两台设备的状态一致性,从而实现故障切换。
此方案相对于主备式冗余备份更具有灵活性和可伸缩性,可以适应不同规模的网络环境。
三、冗余备份方案的应用场景冗余备份方案的应用场景主要包括以下几个方面:1. 数据中心数据中心是企业关键业务数据存储和处理的重要场所。
为了防止因主设备故障而导致数据丢失和业务中断,数据中心通常采用主备式或联机式冗余备份方案,以确保数据的持续可用性和安全性。
2. 云计算环境在云计算环境下,网络设备冗余备份方案可以提供更高的可靠性和弹性。
云计算服务商通常使用主备式或联机式冗余备份方案,以确保云服务的连续性和稳定性,并提供更好的服务体验。
3. 大型企业网络大型企业网络通常由多个地理位置分布的子网络组成,为了确保整个网络的连通性和可用性,可以在关键节点或骨干网络设备上配置主备式冗余备份方案,以便在主设备故障时快速恢复。
赛远的远程SCADA冗余通讯系统方案
赛远的远程SCADA冗余通讯系统方案一、引言目前,越来越多的工程项目要求监控系统将现场设备信息纳入其中,通过SCADA系统可以将不同的信号通过不同的传输通道传递到中控室,但现场设备的复杂性,如各种通讯协议不利于系统的信息共享,速度慢。
因而需要一种设备能将现场通讯设备中的信息协议转换,进行工业数据的远程传输,并可以进行标准的OPC协议对接,进行远程的控制器诊断。
但是单一的通讯通道由于受通道的稳定性影响较大,对于一些监控数据需要具有连续的实时性,不能中断的场合,采用通信冗余则提高了监控系统可靠性。
在此介绍一种采用赛远工业远程通讯冗余系统作为通讯管理机实现通信冗余的方案。
现场信息采集和控制系统,大部分采用可编程控制器(PLC),PLC具有可靠性高、抗干扰能力强;编程简单、使用方便;功能完善、通用性强;设计安装简单、维护方便;体积小、重量轻、能耗低等特点,这是区别于计算机的重要特征。
PLC解决了工业领域中普遍关心的可靠、安全、灵活、方便、经济等问题。
PLC的功能齐全,通常来说,来自于欧美的PLC通讯功能比较强大,可适用各种层次工业自动化网络的不同需要,实现PLC与计算机、PLC与PLC、PLC 与其他智能控制装置之间的通讯联网。
PLC与计算机联网,可发挥各自所长,PLC用于现场设备的直接控制,计算机用于对PLC的编程、监控与管理;PLC 与PLC联网能够扩大控制地域,PLC与智能控制装置(如智能仪表)联网,可有效地对智能装置实施管理。
但各个品牌的PLC的协议是不同的,如:Modbus、Profibus DP、Profinet、Ethernet/IP、EtherCAT、CANopen、DeviceNet等,如何通过同一套系统进行协议转换,并进行稳定的发送和接收数据,支持使用局域网和广域网的OPC进行数据传输,方便地进行协议转换,支持灵活多变的设计方案,包括通讯的通道单冗余和双冗余方案,是当前在做工业通讯项目中遇到的普遍难题。
网络冗余方案 (自动保存的)
网络冗余升级方案第一章现状与分析源达投顾网络系统,是一项重要的计算机网络系统工程。
在信息时代,可靠高效的网络系统是企业单位提高效率的有效保证,并提供经济适用型的网络系统。
本次方案中,主要包括华为的S9306,S5704和接入层的S2700,AR2240S等设备,本次方案的最终目的将现有网络平滑地过渡,最终到达网络实施方案中的规划。
我们详细研究了用户现有网络的情况(服务数据),由于新的网络设备与原网络有有较大的变动,工程实施量很大,为了保证业务在网络整改过程中不受影响,我们强烈建议实施前和用户进行多次交流,从时间安排,具体实施步骤,可能遇到的问题,我们采取的应急措施等等进行更加深入和可靠性分析。
1.1网络现状源达投顾网络系统,通过有线、无线等方式覆盖面积将近八千平米,分布在各楼层,各部门,在这样的网络建设上,既有覆盖面积广的有限网络,同时兼顾无线终端的使用,还要与和讯、阿里云这样的广域网服务商联系.目前源达投顾网络系统已建成,全公司十余条多模光纤,从三楼中心机房辐射到各个办公区指定地点;采用快速以太网交换技术,网络中心机房使用一台S9303三层交换机做为核心交换机,在交换机下层配备两台S5720做为汇聚层,通过主干以百兆、千兆的光纤连接到达各个楼层的交换机,全部共500个信息点划分为15个网段.广域网络通过联通50M、铁通80M,利用AR2240S 路由器来实现双线路接入,通过逻辑管理来合理分配流量.通过软VPN 连接到和讯网络.1.2需求分析现有网络拓扑图现有网络面临的问题有:网络中心只有唯一的1台S9306核心交换机承担所有网络内数据的传输与交换,如果核心交换机出现损伤,业务板卡出现运行不稳定的状态,对网络稳定性是一个很大的隐患。
接入层交换机均采用单机单用,部分交换机若出现宕机,或者逻辑出现故障,会对当前使用的用户造成影响.部分接入交换机与汇聚、核心单链路连接,当上行链路出现或接口出现故障时,将导致整个接入层交换机所接接的用户无法访问企业核心网络资源。
局域网组建的网络负载均衡与冗余备份
局域网组建的网络负载均衡与冗余备份现如今,企业和组织依赖于网络的重要性不言而喻。
为了确保网络的高可用性和连续性,局域网的网络负载均衡和冗余备份成为关键的技术措施。
本文将探讨局域网组建的网络负载均衡与冗余备份的概念、原理以及其在企业网络中的应用。
一、概念解析1. 网络负载均衡网络负载均衡是指在多台服务器之间均衡地分配网络负载,以实现高性能、高可用性和高容量的网络服务。
它可以通过将流量分发到多个后端服务器上,重定向请求的方式来提高服务的处理能力。
通过使用网络负载均衡,能够避免某个服务器的过载和故障对整个网络的影响,提高网络的可靠性。
2. 冗余备份冗余备份是指在网络中使用多个相同或相似的设备或系统来提供相同的服务,从而保证在一个设备或系统出现故障时,其他设备或系统可以顶上,保持服务的连续性。
通过建立冗余备份的网络环境,能够避免单点故障带来的服务中断,提供可靠的网络服务。
二、原理分析1. 网络负载均衡原理网络负载均衡的原理是通过使用负载均衡设备(如负载均衡器),将来自外部网络的流量均匀分发到多个后端服务器上。
负载均衡设备根据预设的算法,将请求分配到服务器池中的某个服务器上,从而实现流量的均衡分布和请求的快速响应。
常见的负载均衡算法有轮询、加权轮询、最少连接数等。
2. 冗余备份原理冗余备份是通过建立主备关系来保证网络服务的连续性。
主设备负责正常的服务提供,而备设备处于待命状态,监控主设备的工作状态。
一旦主设备发生故障,备设备就会接管服务,保持服务的连续性。
常见的冗余备份技术有热备份、冷备份、温备份等。
三、企业网络中的应用1. 实现负载均衡局域网组建的网络负载均衡可以在企业网络中实现负载均衡。
通过将负载均衡器部署在局域网内,将外部流量分发到内部服务器集群中,实现对服务的均衡访问。
这样可以提高服务器的利用率,提升网络的性能和可靠性。
2. 提供冗余备份局域网组建的冗余备份可用于保障企业网络的连续性。
通过设置主备关系,当主设备发生故障或故障后恢复正常后,备设备能够及时接管或切换回主设备的功能,确保服务不中断。
手把手教你部署冗余服务器
手把手教你部署冗余服务器简介在当今信息时代,服务器的稳定性和可靠性对于企业和个人来说都至关重要。
为了保证服务器的持续可用性,冗余服务器被广泛应用。
冗余服务器通过部署多个服务器并实现数据同步,以实现高可用性和容错能力。
本文将手把手教你如何部署冗余服务器。
1. 硬件和网络要求冗余服务器需要满足以下硬件和网络要求:1.1 硬件要求•两台或更多的服务器,建议使用相同配置的服务器,以保证冗余服务器之间的性能一致性。
•网络交换机或路由器,用于连接服务器和组成冗余服务器集群。
1.2 网络要求•服务器之间的网络连接应稳定可靠,建议使用千兆以太网连接。
•如果网络连接不可靠,可以考虑使用冗余网络设备或者使用双网卡方式实现冗余网络。
2. 软件要求冗余服务器需要满足以下软件要求:2.1 操作系统•可以选择各种操作系统作为服务器的操作系统,如Windows Server、Ubuntu Server等。
•不同操作系统的设置略有差异,这里我们以Ubuntu Server为例进行演示部署。
2.2 冗余技术•冗余服务器需要选择一种合适的冗余技术,如:RAID、双机热备份等。
•本文以RAID作为冗余技术进行演示。
3. 步骤3.1 硬件和网络连接•将服务器连接到网络交换机或路由器上。
确保服务器之间可以相互通信和访问。
•确保每台服务器都有一个可用的IP地址,并在同一网段下。
•如果使用双网卡方式实现冗余网络,需要绑定IP地址和网卡,确保冗余网络的正常运行。
3.2 安装操作系统•在每台服务器上安装选择的操作系统,这里以Ubuntu Server为例。
•下载并制作操作系统安装盘或U盘启动盘。
•插入安装盘或U盘启动盘,按照屏幕提示进行操作系统的安装过程。
3.3 配置RAID•在每台服务器上配置RAID,以实现数据的冗余和故障容错。
•进入服务器的BIOS界面,启用磁盘阵列功能。
•配置RAID级别,常见的RAID级别有RAID 0、RAID 1、RAID 5等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
远端拨入用户验证服务 系统冗余备份方案研究
蒋笑冰:北京铁路局北京铁路通信技术中心,工程师,北京,1 00038 摘要:研究铁路GSM-R,网络GPES子系统中的远 端拨入用户验证服务(EADIUS)系统,介绍 EADIUS系统的组成及功能,提出本地冗余备份和 异地冗余备份方案,通过双机集群技术和数据 库设计实现EADIUS系统的数据同步,保证GSM--E 网络安全可靠。 关键词:远端拨入用户验证服务;EADIUS;冗余 备份;方案研究
1概述 2010年4月国际铁路联盟(UIC)发布了通用分组 无线业务(GPRS)承载ETCS ̄iJ控信息传输的可行性研 究测试总结报告。在我国,GSM—R网络除了承载列车 调度通信和列控信息传输业务两项主要业务外,还引入 了GPRS系统,承载调度命令、车次号、列车尾部风压 等信息传送。在GPRS子系统中,远端拨入用户验证服务 (RADIUS,Remote Authentication Dial In User Service) 系统由RFC2 1 3 8定义,是目前应用最广泛的认证、 Ch|NEsERA/LWAYs 2010/07( 授权、记账(AAA,Authenticati0n、Authorization、 Accounting)安全协议,应用于各种各样的需要高级别 安全且需要网络远程访问的网络环境。RADIUS系统认 证GPRS移动用户的入网合法性,RADIus服务器上包 含所有用户认证和网络服务访问的信息,研究RADIUS 系统的安全性、冗余容错及系统间数据同步,是提高 GSM—R网络安全可靠的保证。 2 RADIUS系统组成及功能 2.1 AAA安全协议 AAA安全协议是因特网工程T作小组(IETF, Internet Engineering Task Force)提出模型来实现移动IP  ̄I/GPRS网络中的认证、授权和记账。安全协议是两个节 点在数据发送前商定的发送者如何对数据进行保密传输 的协议。即安全协议包含告诉接收者如何解密和验证消 息中的认证数据的必要信息。如果使用一台AAA服务器 来集中管理AAA安全策略,需要在路由器和AAAJ] ̄务器之 间使用一个安全协议。用这个协议交换AAA消息。在大
一67— 多数情况下,使用3个安全协议:TACACS+、 Kerberos,主要使用TACACS+、RADIUS协议。 RADIUS、 2.3 RADIUS系统功能 RADIUS协议是一个开放标准,采用客户端/服 务器(C/S,Client/Server)模式,使用用户数据协议 (UDP)共享设备和安全服务器之间的信息。客户端负 责传递所有的认证信息到RADIUS JJ ̄务器,RADIUSI] ̄务 器负责认证用户并将所有必要的信息返回到发起请求的 设备。RADIUS协议使用一个共享密钥来保护存两个设 备之问传输的信息。基本上,共享密钥被用来加密和解 密口令。不同于TACACS+协议,RADIUS协议加密整个 AAAT ̄息,包括口令信息。RADIUS协议通常应用于以 下情况: (1)有来自多个厂商的网络设备,并需要一个单 一的安全协议来实现它们之间的通信; (2)需要实施资源记账,如记录用户登录到网络 设备或拨号到网络多长时间; (3)有些智能卡认证系统只支持RADIUS协议; (4)在允许用户发起到设备的访问之前使用预认 证。 考虑到GSM—R网络GPRS子系统的安全性,在网络 中采用RADIUS协议。 2.2 RADIUS系统组成 RADIUS系统包含有关用户属性,如:川户名、接 人口令、接人权限等。RAD1US系统认证部分一般安装 存网络巾的某台服务器上, ̄IIRAD1US认证服务器;客 户协议运行在远程接人设备上,如:远程接入服务器或 路Fh器。这些RADIUS客户把认证请求发送给RADIUS 认证服务器,并按照服务器发同的响应做 行动; RADIUS系统记费部分收集统计数据,并可以生成有关 与网络建立的拨入会话的报告。RADIUS系统通过Gi接 口与GPRS网关支持节点(GGSN,Gateway GPRS Support Node)连接。RADIUS系统硬件由AAA服务器和磁盘阵 列组成,软件由操作系统、数据库和RADIUS应用软件 系统构成(见图1)。 巨 一68. 图1 RADIUS系统组成 RADIUS系统是一种分布式的C/S认证系统,拒绝 未经验证的访问,实现安全网络 GSM—R网络的移动 终端在进行GPRS的分组数据协议(PDP,Packet Data Protoco1)上下文激活过程中,要发送认证请求到巾心 RADIUs Jlb.务器,通过认证后才能接人GSM—R网络。 RADIUS J] ̄务器上包含所有用户认证和网络服务访问的 信息,具有以下功能: (1)RADIUS系统具有XCGPRS用户入网合法性进 行认证的功能。 (2)RADIUS系统具有GPRS用户终端静态IP地址分 配功能,对于机车综合无线通信设备、列尾通信设备等 涉及行车安全的移动终端,GPRS网络应文现lP地址与用 户名的绑定功能。 (3)RADIUS系统应存储Hj户名与IP地址的映射 表。 (4)RADIUS系统应具有记录认证消息、查询认证 记录、统计认证信息等功能。 (5)RADIUS系统应支持界面化的用户数据和配置 数据备份、恢复功能。
3 RADIUS系统冗余备份方案 3.1系统冗余需求
5.1.1 系统安全性 RADIUSI] ̄务器在网络中占据着极其关键的位置, 它一旦失效,会影响网络巾移动用户的接入访问,这直 接影响到铁路通信的畅通。所以一个弹性的、高可靠的 RADIus服务需要存任何环境下能够分发任何接人服务。 即使RADlus服务体系无缺点,但是RADIUS J] ̄.务 器还是会遭受大量的安全威胁,例如:UDP泛洪(UDP Floods),使用大量的uDP数据包消耗用户网络和服务 器资源,导致服务器停止服务;RAD1IJS服务器架构存 通用操作系统上。任何一种通用操作系统都有一系列的 漏洞。如果黑客发现了这些漏洞,RADIUS JJ ̄务器将会 面临极大的安全威胁。为了保证RAD1us服务_在任何情 『兄下能够T作,安全威胁是必须考虑的问题。
.1.2 系统可维护性 随着AAA协议的发展和演进,RADIUS系统的软 硬件版本更新、升级是不可避免的,而且是频繁的
基曼CHINESERA/L 2010/07 远端拨入用户验证服务系统冗余备份方案研究蒋笑冰 RADIUS系统的数据调整而引起服务器重启都将会导致 用户认证中断。 随着用户数量的增加,超负荷的RADIUS J] ̄务器缓 慢的认证过程将会影响服务质量,RADIUS)] ̄务的可扩 展性将重新调整。RADIUS)] ̄务器的调整需要对用户完 全透明,不会 现任何服务的中断。 可见,RADIUS系统只有采用冗余方案才能满足系 统的安全性和可维护性,保证GPRS网络用户接人认证能 得到及时的处理。 3.2冗佘机制 5.2.1 本地冗余机制 本地两台AAA服务器采用集群数据库技术进行主备 用控制,属于双机热备型。当主用服务器故障时,备用 服务器会自动切换为主用,提供对外服务。本地双机逻 辑上可使用同一个数据库或者使用两个数据库。AAA服 务器双机冗余备份,服务器之间采用双机集群软件,应 用高可靠性(HA,High Availability)技术实现服务器间 切换控制,AAA服务器问通过心跳线进行系统检测,系 统安全可靠;AAA服务器双机与交换机问链路冗余,网 络安全可靠;严格权限管理,定期备份,操作系统安全 可靠;方便的数据备份和恢复手段,数据库安全可靠。 RADIUS本地冗余备份方案示意图见图2。 影响。 全网设Master(主)为首选RADIUS系统,Slave (从)为次选RADIUS系统。异地冗余由RADIUS系统的 访问终端控制,当向Master RADIUS系统连续发送3次认 证请求均无响应时,第4次将自动向Slave RADIUS系统 发送认证请求(不同厂家设备的重复访问尝试次数与每 次的问隔时间,会略有不同)。目前需要访问RADIUS 系统的设备有GGSN。 当Master RADIUS系统故障时,为防止故障设备影 响正常访问请求,需断开Master RADIUS系统与网络的 连接处理故障。故障处理完毕后再将Master RADIUS系 统割接入网。 Master RADIUS系统故障期间, ̄HSlave RADIUS系 统中进行过数据制作,故障恢复13 ̄Master需先将数据与 Slave数据库同步,通过人T方式将Slave最新数据导入 Master RADIUS系统,使两端数据一致。冉将RADIUS系 统接人数据网,恢复Master RADIUS系统服务。RADIUS 系统冗余备份方案示意图见图3。 RADIUS JJ ̄务器大致来说包括3个重要的处理模块: 收发包处理模块、计费/认证处理模块和代理Client。 其中,收发包处理模块接 ̄RADIUS客户端发送过来的 RADIUS数据包,进行处理,然后把数据包转发给认证
图2 RADIUS系统本地冗余备份方案示意图 5.2.2异地冗余机制 RADIUS系统负责全网GPRS终端用户PDP激活时终 端身份认证及终端IP地址的分配。RADIUS系统互联实 现数据网内GPRS业务中RADIUS系统的地理冗余备份功 能,异地设备问的数据库应支持主从实时同步功能。 正常情7兄下,全网业务均由主用RADIUS系统负责处 理,当主用RADIUS系统发生故障(即终端请求没有响 应),终端自动尝试向备用RADIUS系统请求,转由备 用RADIUS系统负责处理全网业务,保证业务处理不受 CHINESE RA/LI/VAYS 2810/07 篡要 /计费处理模块,并将服务器处理过的数据包按 照RADIUS协议进行打包,然后发送到RADIUS 客户端。认证/计费处理模块的主要的功能是对 发送过来的数据包进行认证和计费处理。如果 Master RADIUS系统正常,那么就对数据包直接进 行认证处理;如果Master RADIUS系统故障,那么 就向Slave RADIUS系统转发这个请求。代理Client 的主要功能是根据要求将非本地认证/计费请求 按要求转发给相应的上一层服务器,同时接受其他服务 器处理过的请求,将之转发给收发包处理模块,甫收发 包处理模块转发 ̄IJRADIUS客户端。 4数据同步 4.1 AAA ̄.务器间 AAA SERVERl与AAA SERVER2采用基于数据库引 擎的集群技术,多机服务器可以组成一个集群。根据应 用的实际情况,可以灵活地在这些服务器上进行部署,