如何使用Anycast为RADIUS服务器提供高可用性

在小型RADIUS服务器/ ISE部署中提供高可用性的出色解决方案

RADIUS服务器高可用性的任意播

经过几个月的讨论,他们终于恢复了我对我博客的访问权限!经过这样的休息之后,我很高兴担任这个职位。我敢肯定,许多人会以一种“我是网络怪胎”的方式,或者甚至更好的方式找到它,至少会觉得很酷:您会发现它很有教育意义,甚至可以在您自己的世界中利用它。 

这是我很久以来一直想写的解决方案了,我们要弄清楚-这不是我的。整篇文章都归功于我的一个长期私人朋友,他也是当今漫游地球的最有才华和才华的技术专家之一。他的名字叫Epaminondas Peter Karelis,CCIE#8068(Pete)。

Pete为具有两个数据中心的小型ISE部署设计了这种特殊的高可用性解决方案,如下图所示。 

图1-体系结构 亚伦·T·沃兰德

2 DC架构和IP SLA

我经常在我的身份服务引擎(ISE)部署中使用Anycast。它是安全性工具箱中的绝佳工具,可帮助确保流量流向一个地方-正确的地方,最近的地方-并且在没有更近的地方可用时进行备份。但是,Anycast的这种特殊用法是我以前从未考虑过的。  

对于那些可能不是网络负责人的人来说,Anycast是一种网络技术,其中网络中的多个位置存在相同的IP地址。在这种情况下,会将相同的IP地址(2.2.2.2)分配给所有RADIUS服务器(在本例中为ISE PSN)上的Gig1接口。每个数据中心的路由器都配置了一条到2.2.2.2/32的静态路由,下一跳是PSN的Gig0 IP地址。这些静态路由重新分配到路由协议中。在这种情况下,将使用EIGRP。 Anycast依靠路由协议来确保将发往Anycast地址(2.2.2.2)的流量发送到该IP地址的最近实例。 

现在,将Anycast设置为将2.2.2.2路由到ISE PSN,Pete使用EIGRP度量标准来确保首选路由指向主要数据中心,而到次要数据中心的路由被列为可行后继(FS)。使用EIGRP,将路由(称为后继)替换为备用路由(称为可行后继)会导致亚秒级延迟。 

当ISE节点故障时,如何使后继路由从路由表中删除? Pete在路由器上配置了IP服务级别协议(IP SLA),该协议每五秒钟检查一次数据中心中ISE PSN上HTTP服务的状态。如果HTTP服务停止对活动PSN的响应,则路由将被删除,可行的后继者将接管,导致2.2.2.2的所有流量都发送到辅助数据中心中的PSN。下图说明了IP SLA功能。而且,当发生这种情况时,路由表中剩下的唯一路由是到辅助数据中心的路由器的路由。

图2-工作中的IP SLA 亚伦·T·沃兰德

导致路由表更改的IP SLA

所有网络设备都配置为使用Anycast地址(2.2.2.2)作为其配置中唯一的RADIUS服务器。 RADIUS请求将始终发送到活动的ISE节点。

下面的示例1显示了ISE PSN上的接口配置。 Gig0接口是PSN的实际可路由IP地址,而Gig1不在VLAN中使用Anycast IP地址。

示例1-ISE接口配置

Interface gig 0

  !Actual  IP of Node
  ip address 1.1.1.1 255.255.255.0
interface gig 1
  !Anycast VIP assigned to all PSN nodes on G1
  ip address 2.2.2.2 255.255.255.255
ip default-gateway [Real Gateway for Gig0]
!note no static routes needed.

示例2显示了路由器上的IP SLA配置,该配置每五秒钟测试PSN上的端口80,但在1000毫秒后超时。当超时发生时,路由器将被删除。

示例2 — IP SLA配置

ip sla 1

  !Test TCP to port 80 to the actual IP of the node.
  !"control disable" is necessary, since you are connecting
  !to a host instead of an SLA responder
  tcp-connect 1.1.1.1 80 control disable
  ! Consider the SLA as down if response gt 1000msec
    threshold 1000
    ! Timeout after 1000 msec.
    timeout 1000
    !Test every 5 Seconds:
    frequency 5
ip sla Schedule 1 Life forever Start-Time Now
跟踪1 ip sla 1
ip路由2.2.2.2 255.255.255.255 1.1.1.1轨道1

示例3显示了应用EIGRP指标的路由重新分配配置。皮特能够使用他专门选择的指标,因为他非常熟悉自己的网络。他对其他尝试相同操作的人的警告是,熟悉您的网络或在确定适用于您的指标时进行彻底测试。

示例3 —路由重新分配

router eigrp [Autonomous System Number]
  redistribute static route-map STATIC-TO-EIGRP
route-map STATIC-TO-EIGRP permit 20
  match ip address prefix-list ISE_VIP
  !Set metrics correctly
  set metric 1000000 1 255 1 1500
ip prefix-list ISE_VIP seq 5 permit 2.2.2.2/32

好吧,就是这样!我希望您喜欢它,就像我看到它投入生产一样。与往常一样,我期待着您在下面阅读您的评论。

加入以下网络世界社区 脸书领英 对最重要的话题发表评论。

版权© 2016 IDG通讯,Inc.