أستكشاف ميزة التحكم في المصادقة والتفويض والمحاسبة (AAA) وإصلاحها
المحتويات
المقدمة
يصف هذا المستند تقييد ميزة سجلات AAA (RADIUS) التي تدعم تقييد الوصول (المصادقة والتخويل) وسجلات المحاسبة التي يتم إرسالها إلى خادم RADIUS.
تتيح هذه الميزة للمستخدم تكوين معدل التقييد المناسب لتجنب إزدحام الشبكة وعدم الاستقرار عندما لا يكون هناك نطاق ترددي كاف لاستيعاب الاندفاع المفاجئ للسجلات التي تم إنشاؤها من موجه Cisco إلى خادم RADIUS.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى قاعدة بيانات ASR5k.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
عندما يرسل AAMGR رسائل RADIUS إلى خادم RADIUS بمعدل مرتفع (على سبيل المثال، عندما ينهار عدد كبير من الجلسات في نفس الوقت، يتم إنشاء رسائل توقف المحاسبة لجميع الجلسات في نفس الوقت) قد لا يتمكن خادم RADIUS من تلقي الرسائل بهذه المعدلات العالية. للتعامل مع هذا الشرط، نحتاج إلى آلية فعالة للتحكم في المعدل عند كل خادم، بحيث يرسل الخادم رسائل بمعدل مثالي بحيث يكون خادم RADIUS قادرا على تلقي جميع الرسائل ويضمن عدم إسقاط أية رسالة بسبب التحميل الزائد على خادم RADIUS.
آلية العمل
عندما ترسل AAMGR رسائل بمعدل تم تكوينه إلى خادم RADIUS، فإنها ترسل رسائل بشكل متساو طوال الوقت
كل ثانية بدلا من إرسال كل الرسائل في دفعة واحدة. ووفقا للتكوين، يتم تقسيم كل ثانية إلى عدة فتحات زمنية متساوية (مع فترة زمنية محددة لكل فتحة). الحد الأدنى للفترة الزمنية للفتحة
يمكن أن يكون 50 مللي ثانية.
يجب تكوين المعدل مع أخذ هذه الأمور في الاعتبار
- معدل المكالمات الواردة،
- عدد مثيلات AAMGR
- معدل تلقي خادم RADIUS للرسائل و
- الفاصل الزمني للأنساق الداخلية (لتكوين المحاسبة)
- الخوارزمية المستخدمة لتحديد الخادم
إذا كانت القيمة التي تم تكوينها لخوادم المصادقة منخفضة للغاية، فسيكون هناك عنق زجاجة يؤدي إلى
الازدحام، الذي قد يؤدي إلى إسقاط المكالمات بسبب انتهاء مهلة إعداد الجلسة. إذا تم تكوين قيمة منخفضة لخوادم المحاسبة، فسيتم ملاحظة الكثير من إزالة رسائل المحاسبة، بسبب تجاوز قائمة الانتظار.
عند تكوين الميزة، يتم حساب عدد الفتحات الزمنية في الثانية والفترة الزمنية في الثانية وتخزينها على مستوى نصف القطر. عندما تكون الرسالة جاهزة للإرسال إلى خادم RADIUS، يتم التحقق مما إذا كانت الحصة النسبية (عدد الرسائل لفتحة الوقت هذه) قد وصلت أم لا. في حالة عدم الوصول إلى الحد المسموح به، يتم إرسال الرسالة، وإذا كان كذلك، يتم وضع الرسالة في قائمة انتظار على مستوى الخادم لإرسالها في فتحات الوقت المستقبلية. يحتوي كل خادم RADIUS على تفاصيل حول عدد الرسائل المرسلة في فتحة الوقت الحالية والوقت الذي تنتهي فيه صلاحية فتحة الوقت. عند انتقاء الرسائل الموجودة في قائمة انتظار على مستوى الخادم، يتم وضعها في رأس قائمة انتظار مستوى المثيل، مما يضمن تفضيل الرسائل القديمة أكثر من أي رسالة جديدة أخرى. يتم انتقاء الرسائل من قائمة انتظار مستوى المثيل للخدمة.
قوائم انتظار AAMGR
هناك نوعان من قوائم الانتظار في AAMGR للرسائل:
- قوائم انتظار مستوى المثيل
- قوائم انتظار على مستوى الخادم
عند إنشاء رسالة، يتم وضعها في قائمة انتظار مستوى المثيل للخدمة بشكل مبدئي.
تتم معالجة قائمة انتظار مستوى المثيل ل 25 مللي ثانية لكل 50 مللي ثانية. ستتم محاولة إرسال أي رسالة يتم وضعها في قائمة انتظار على مستوى المثيل إلى خادم RADIUS. في بعض الحالات قد لا نتمكن من إرسال الرسائل (لا يتوفر عرض النطاق أو لا تتوفر معرفات). وفي مثل هذه الحالات، سيتم وضع الرسائل التي فشلت المحاولة في قائمة الانتظار على مستوى الخادم. لكل 50 مللي ثانية تقوم باختيار أكبر عدد ممكن من الرسائل التي تحتوي على معرفات متوفرة وكذلك عرض النطاق الترددي وتوضعهم على رأس قائمة انتظار مستوى المثيل (تكون هذه الرسائل أقدم من أي رسالة أخرى موجودة في قائمة انتظار مستوى المثيل).
عندما يكون هناك تحكم في معدل رسائل المحاسبة، وإذا كانت هناك الكثير من رسائل المحاسبة في قائمة انتظار مستوى المثيل، فعندئذ تنتقل أي رسالة مصادقة جديدة إلى أسفل قائمة انتظار مستوى المثيل. للحصول على معالجة، يجب أن ينتظر حتى يتم إرسال كافة رسائل المحاسبة (التي تسبق رسالة المصادقة الجديدة) إلى خادم RADIUS أو أن يتم نقلها إلى قائمة انتظار على مستوى الخادم. إنه سلوك قائم ولا يتم تعديله. لذلك يمكن أن يسبب تأخيرا صغيرا لرسالة المصادقة الجديدة ليتم معالجتها.
مثال
استنادا إلى الحد الأقصى للمعدل بقيمة 5، يمكنك إرسال خمس رسائل في ثانية واحدة والحصول على 256 رسالة مصادقة RADIUS معلقة (تهيئة افتراضية للحد الأقصى من الأداء المتميز) دون إجابة لكل خادم مصادقة RADIUS. في حالة وجود أكثر من 5 رسائل، يتم في ثانية واحدة وضع الرسائل في قائمة الانتظار حتى يستجيب خادم AAA للطلبات الموجودة.
في حالة وصول رسائل مصادقة RADIUS إلى 256 مرسلة من أحد المراجع إلى الخادم، فسيتم وضع الطلبات المتبقية في قائمة الانتظار حتى يستجيب خادم AAA للطلبات الموجودة. سوف تدخل مرة أخرى في نفس قائمة الانتظار مثل الحد الأقصى للمعدل. يتم التقاط الرسالة من قائمة الانتظار فقط عندما يكون لديك فتحة حرة. يتم إدخال الفتحة الحرة عندما تتلقى إستجابة للرسالة أو عندما ينتهي الوقت.
القيود
بما أن Cisco ASR5K هو نظام موزع به أزواج مستقلة للخادم/الذاكرة المؤقتة التي تعالج المكالمات، يمكن تنفيذ تقييد المعدل فقط لمثيلات AAMGR المستقلة. من النظرية توسيع معدل مثيل واحد إلى مربع Cisco ASR5K بأكمله عن طريق ضرب العدد الإجمالي للمثيلات فقط باستخدام المعدل الأقصى
لكل حالة.
هذا الرقم هو مجرد الحد الأعلى المطلق في سيناريو يوم مشمس. لا يمكنك التعامل مع Cisco ASR5K كمربع أسود ولا يمكنك افتراض أن جميع المكالمات يجب أن تنجح إذا لم تتجاوز القيمة المحسوبة التي تمت رؤيتها في النظام الحد الأعلى.
يتم ربط الحد الأقصى لسرعة RADIUS بمعلمات داخلية وخارجية أخرى متعلقة بالنظام. الرجاء الاطلاع على التأثير المتوقع في حالة عدم استيفاء أحد الشروط.
| شروط |
التأثير إذا لم يتم الاستجابة له |
| التوزيع الموحد للمكالمات من Demuxmgr إلى كافة المجموعات |
إذا كان توزيع المكالمات غير منتظم، فقد تكون رسائل RADIUS |
| التوزيع الموحد لنظام المعلومات (IMSI) |
تستند جولة محاسبة الوساطة إلى التوجيه القائم على IMSI. |
| لا توجد نوبات مفاجئة من المكالمات |
إذا كان هناك تدفق من المكالمات الجديدة، فسيتم مرة أخرى وضع رسائل RADIUS التي تم إنشاؤها حديثا في قائمة الانتظار في النظام. وبحلول الوقت الذي تتم فيه معالجة طلبات RADIUS الجديدة. قد تنتهي صلاحية وقت إعداد جلسة العمل مما يؤدي إلى عمليات إسقاط المكالمات. |
| يجب أن تستجيب خوادم RADIUS في الوقت المناسب |
عند طلب RADIUS مهلة زمنية بسبب مشاكل الخادم، سيتم إنشاء قائمة انتظار مرة أخرى، لأن الطلبات الجديدة لن يتم إرسالها ما لم تتم إزالة الطلبات الحالية التي تتوقع إستجابة من النظام. يعتمد معدل إزالة الرسائل التي انتهت مهلتها من النظام على تكوينات الحد الأقصى من التكوينات المعلقة والمنتهية أيضا. |
في العديد من الحالات، يمكننا أن نرى أن طلبات الوصول لا تتم معالجتها بواسطة جميع مهام السجل النشطة. وهذا يعني أن توزيع المكالمات غير متكافئ داخل مهام جلسة العمل وغير ذلك، فليست جميع مثيلات جلسة العمل مسؤولة عن معالجة المكالمات.
لا يستند توزيع المكالمات إلى آلية الترتيب الدوري الصارمة حيث إذا كانت هناك 10 مكالمات واردة، فسوف تنتقل إلى 10 جلسات في خوارزمية أحادية.
يعتمد توزيع المكالمات على هذه العوامل الأربعة الرئيسية
- active_session_count
- cpu_load
- round_trip_delay (demuxmgr - sesmgr - demuxmgr)
- outstanding_add_request (demux to sesmgr)
هذا هو التطبيق الحالي. المعدل الأقصى هو مجرد حد أعلى، ولكن بسبب الطبيعة الموزعة للهندسة المعمارية التي لدينا، لا يمكنك تخمينها مباشرة لحمل الهيكل. يعتمد السلوك على التحميل على AGR معين
في وقت معين.
يجب إستخدام قائمة انتظار RADIUS ذات المعدل الأقصى لمراقبة حالة النظام. إذا كان هناك تجميع لقائمة انتظار، فعندئذ
وهذا يعني أن أحد هذه الشروط الأربعة (ارجع إلى الجدول) غير مستوف ويجب عليك تحديد السبب الجذري لنفس الشروط.
**يمكن تنفيذ حد قائمة الانتظار ذي المعدل الأقصى والمراقبة المستمرة.
التعليقات