Mettre 2 serveurs radius en parallele?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Mettre 2 serveurs radius en parallele?

Messagepar clerk » 26 Avr 2005 10:40

Bonjour !

Alors voila, j'ai un serveur radius qui va bientot être mis en place pour le réseau wifi de mon entreprise. Le seul soucis, c'est que si le serveur tombe bah plus de réseau wifi !!

Le wlan est composé de bornes Cisco et Linksys. Avec les Cisco : aucun problème on peut rentrer jusqu'à 4serveurs radius en natif. Le problème vient des bornes Linksys qui n'accepte qu'un seul serveur!

J'aurait donc voulu savoir si il était possible de mettre un second serveur radius qui se mettrait en marche seulement si le premier est crashé ou que l'authentification ne fonctionne plus ?

Pis si c'est possible, merci de me dire quelles solutions sont envisageable (mettre les 2serveurs sur la mm IP? , faire vérifier le second serveur si le 1ier fonctionne bien en permanence? ..)

Merci :)
clerk
Matelot
Matelot
 
Messages: 9
Inscrit le: 26 Avr 2005 10:31

Messagepar Gandalf » 26 Avr 2005 14:25

Je ne vois pas trop comment ça pourrait être possible puisque sur les AP Linksys tu peux rentrer une seule IP d'un serveur RADIUS, alors même si une fonction de ton serveur lui permettait de fonctionner en fail over, le deuxième serveur RADIUS n'aurait pas la même IP, il faudrait quand même reparamétrer les bornes AP non ?
A moins qu'il n'existe un firmware particulier qui le permette, car je sais que les APs Linksys bénéficient de pas mal de recherches de la part d'une certaine communauté !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar tomtom » 26 Avr 2005 15:00

Il y a plein de moyens de faire de l'équilibrage et/ou du failover sur une seule IP.

Sous linux, heartbeat par exemple.

Sinon, avec des outils dédiés (type Altéon...)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Gandalf » 26 Avr 2005 16:50

tomtom a écrit:Il y a plein de moyens de faire de l'équilibrage et/ou du failover sur une seule IP.


:shock: on en apprend tous les jours ! C'est intéressant comme architecture, est-ce que tu peux nous expliquer rapidement comment ça fonctionne stp ?
Merci !

PS : désolé de créer une parenthèse dans ton post Clerk !
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar vanvan » 27 Avr 2005 02:19

si je dis pas de betise, il me semble que tu peux faire de la répartition de charges sur plusieurs machines ayant la même ip et quand l'une des machines tombe, l'autre reprend le travail en cours de celle tombée en plus du sien pour assurer le service. En gros du heartbeat actif/actif.

Sinon dans le même genre avec heartbeat, il est toujours possible d'avoir deux machines reliées par cable croisé ( elles ont chacunes deux cartes réseaux ) et quand l'une tombe, elle envoie un signal à l'autre qui s'active à ce moment là et prend le relai sur les requêtes à destination de l'ip précise dont ces deux machines bénéficient à l'identique ( heartbeat actif/passif ).
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar clerk » 27 Avr 2005 08:25

PS : désolé de créer une parenthèse dans ton post Clerk !


Y'as pas de problème, si c'est un moyen de mettre mes 2serveurs ensemble, ca m'interesse :D

Sinon bah merci bien, jvais aller voir ce que je peut tirer de ce heartbeat :)

Bye!
clerk
Matelot
Matelot
 
Messages: 9
Inscrit le: 26 Avr 2005 10:31

Messagepar Gandalf » 27 Avr 2005 08:31

Merci Vanvan, c'est excellent tout ça, pour ceux que ça intéresse Heartbeat est expliqué ici :
http://www.regit.org/article.php3?id_article=11 . Il est même possible de relier les 2 serveurs en série en plus du réseau pour augmenter les contrôles.

En revanche je ne trouve rien sur Altéon dont nous parle Tom, si tu reviens dans le coin Tom, est-ce que tu aurais des infos ?
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar clerk » 27 Avr 2005 11:06

Bah jme suis lancer dans l'aventure heartbeat mais déjà un problème avant de commencer :cry:

http://forums.fr.ixus.net/viewtopic.php?p=187530#187530

jredirige juste, c'est juste au cas ou ca irait plus vite lol :)
clerk
Matelot
Matelot
 
Messages: 9
Inscrit le: 26 Avr 2005 10:31

Messagepar vanvan » 27 Avr 2005 11:08

ReBonjour.

Pour l'avoir mis en place ( heartbeat actif/passif ), c'est vraiment bien pour assurer une redondance de service par contre il est clair que l'architecture machines est dans ce cas sous utilisé.

Avec de l'actif / actif ça permet vraiment d'assurer une meilleure répartition et d'assurer le service en cas de soucis. Perso, c'est sur cette solution qui est choisie dans l'université pour laquelle je travaille et bonjour le nombre de traitement à gérer et ça marche sans soucis.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar tomtom » 27 Avr 2005 11:30

vanvan a écrit:Sinon dans le même genre avec heartbeat, il est toujours possible d'avoir deux machines reliées par cable croisé ( elles ont chacunes deux cartes réseaux ) et quand l'une tombe, elle envoie un signal à l'autre qui s'active à ce moment là et prend le relai sur les requêtes à destination de l'ip précise dont ces deux machines bénéficient à l'identique ( heartbeat actif/passif ).


En général, c'est plutot celle qui est encore en vie qui se rend compte que l'autre n'est plus disponible.
Textuellement, elle "prend le pouls" ( d'ou le nom heartbeat) de la machine active, et si elle la trouve en mauvaise forme, elle la "tue", elle flood le reseau de reponses arp pour recuperer l'ip et demarre le service de son coté si ce n'est pas déja le cas.

En actif/actif, ce ne sera pas du heartbeat, il faudra justement des outils d'equilibrage de charge.
Ca peut etre une simple machine avec un relais tcp et de l'equilibrage de charge (ex : http://w.ods.org/tools/haproxy/README-fr.txt pub pub pub ;) ). dans ce cas, une machine est en coupure et c'est elel qui possède l'adresse ip de service, et elle fait de l'equilibrage de charge sur deux serveurs. Bien sur, c'est cette machine qui devient le point faible de l'infrastructure ;)

Sinon, je reviens donc sur les altéons.. Ce sont en fait des switches, mais qui sont capables de faire de grandes choses : Equilibrage de charge sur plusieurs machines (avec une seule ip), et même de la gestion jusqu'au niveau 7 avec par exemple le maintien de session http en focntion de cookes de sessions.
Altéon est un produit (cher !!! ) de Nortel, il existe bien sur des concurents, chez cisco, chez extreme et autres.

Lien vers chez nortel : http://www130.nortelnetworks.com/cgi-bi ... tOID=-8962
2208 c'est l'entrée de gamme et c'est deja pas mal (et cher ;) )

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar tomtom » 27 Avr 2005 11:39

Au fait, heartbeat peut fonctionner aussi avec une liasion serie entre les machines, c'est plus fiable et moins cher que du reseau... ;)

Au pasage, il y a un outil sous lonux qui permet de faire du vrrp (c'est à dire deux serveurs avec ip distinctes + une adresse de servcie qui peut se ballader d'une machine à l'autre) et qui permet du actif/actif il s'agit de keepalived (http://www.keepalived.org/index.html)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar clerk » 28 Avr 2005 13:46

tomtom a écrit:
En actif/actif, ce ne sera pas du heartbeat, il faudra justement des outils d'equilibrage de charge.
Ca peut etre une simple machine avec un relais tcp et de l'equilibrage de charge (ex : http://w.ods.org/tools/haproxy/README-fr.txt pub pub pub ;) ). dans ce cas, une machine est en coupure et c'est elel qui possède l'adresse ip de service, et elle fait de l'equilibrage de charge sur deux serveurs. Bien sur, c'est cette machine qui devient le point faible de l'infrastructure ;)



Serait tu en train de dire que pour faire du actif/actif il faut une 3eme machine et que heartbeat n'en est pas capable?? ou j'ai rien compris? :D

Car a la base je devait juste mettre un serveur de secours mais j'ai eu le malheur de parler du mode actif/actif a mon chef qui m'as dit cash "c'est ca que jveut" donc bah si y'avait moyen d'avoir un peu plus de détails la dessus ca serait cool merci :)
clerk
Matelot
Matelot
 
Messages: 9
Inscrit le: 26 Avr 2005 10:31

Messagepar tomtom » 29 Avr 2005 21:44

Salut,

Il me semble que heartbeat est plutot fait pour du actif/passif.

Mais le meiux est encore de chercher dans les docs !

http://www.linux-ha.org/

Si tu ne trouves pas ton bonheur là....

Mais n'oublie pas, il faudra du travail de config, d'architecture, de maintenance etc. La HA, ce n'est pas du plug and play !!!


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar clerk » 04 Mai 2005 08:54

Bonjour!

Alors je me suis mis a heartbeat pis bah forcément j'ai des problemes lol

Enfin surtout un tres important : l'adresse IP virtuelle qui est censée etre attribuée au serveur maitre s'atribue gentillement au serveur esclave. Ensuite le serveur maitre qui est censé reprendre cette IP après un crash la reprend correctement mais elle reste attribuée au serveur esclave !
ex: le maitre crash, l'esclave garde son IP virtuelle (qu'il a depuis le debut?!), le maitre reboot et reprend l'IP virtuelle, l'esclave garde l'IP virtuelle --> je me retrouve avec les 2 serveurs qui ont l'IP virtuelle en meme temps :?

donc bah si qqun a déjà bosser dessus et aurait une solution jsuis preneur :)

merci bye :)
clerk
Matelot
Matelot
 
Messages: 9
Inscrit le: 26 Avr 2005 10:31


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité