Cisco Access Registarar или просто CAR

Есть у cisco очень мощный продукт для AAA - Cisco Access Registarar или сокращённо CAR. История его создания уходит ещё в конец 90ых, начало 2000ых. Решение настолько гибкое, что живо до сих пор, хочется отметить, что оно стоит своих денег, причём не малых. Вставлю своё ИМХО и спозиционирую его как решение для уверенно средних(с аутентификацией от 100 запросов в секунду), крупных и мегакрупных операторов. Если unix консоль для вас родное место, чётко понимаете принципы ААА, умеете и не боитесь программировать на C/java/tcl, то можно создать невероятные алгоритмы для AAA. Ставится как ПО надстройка на unix/solaris. Я для теста ставил на Centos 5.8, работает. Лицензирование идет на Transaction per second(TPS). Минимальная лицензия TPS - 100. Цены на TPS на 5000 по тому же GPL просто заоблачные. Update`ы софта на закрытие дыр кумулятивные. Ставил CAR 5.1.0.4 который включал в себя 5.1.0.0.

Установка тривиальная, лицензия, пути куда ставить, вопросы по связке с Oracle`ом, где установлен JDK или JRE и т.п Я ставил с jdk-6u33-linux от sun.  Всё управление идет через консольную утилиту aregcmd, удобно, но так же есть www надстройка на 8080 порту. Суть работы CAR`а в следующем - принять radius запрос и обработать согласно вашему сценарию. Это например может быть запрос для аутентификации к локальной базе где хранятся пользователи. Кстати cisco рекомендует использовать локальные базы с пользователями если у вас до 10 000 абонентов, иначе лучше делать связку с внешними хранилищами - базами оракла, ldap`ом. Принятый запрос может быть обработан с использованием локальной базы или удаленной. Меня интересовал вариант принять radius запрос и в зависимости от сервиса перенаправить его в нужное хранилище/внешний сервис. Например wifi аутентификацию по определенному BSID`у направлять в внешний радиус сервер-1, от другого BSID`а в внешний радиус сервер-2 и т.п.

Все устройства от которых приходит запрос должны быть описаны в нем, если проводить аналогию то как clients.conf в freeradius. Все внешние устройства -ldap, radius`ы к которым будет перенаправлен запрос, тоже должны быть описаны в нем.

Точки входа. Их может быть несколько, и есть своя иерархия, их можно делать с привязкой к описанному устройству от которого приходит запрос, с привязкой к вендору, полисям, скрипт по умолчанию. Если у вас ничего из этого не описано, естественно ваш ААА завершится провалом. К точке входа "привязан" скрипт, либо стандартный, либо самописный. Принцип работы с переменными в скриптах основан на трех словарях - request, responce, environ. Варьируя этими словарями, можно доформировывать radius запросы/ответы нужными вам атрибутами.

Проще всего изучать CAR это поставить www, подсматривая в него, делать консольную настройку.

Хочу заметить ещё то что очень легко сохраняются и бэкапятся конфигурационные файлы, они все хранятся в бинарных db файлах. Есть много примеров по написанию своих скриптов. Простой пример с привязкой к устройству от которого будет принят radius запрос. Скрипт естественно должен быть "зарегистрирован" в CAR`е. В SS-testA и SS-testB - запросы к внешним radius серверам.

proc KronParse {request response environ} {           

    set BSID [ $request get Called-Station-Id ]           
    if { [ string length $BSID ] == 0 } {                       
        set BSID [ $request get Called-Station-Id 0 bMore ]
          }                                                                           
    if { [ regsub ":testA_kron" $BSID "" newUserName ] } {
          $environ put Authentication-Service "SS-testA"
       }                                                                           
    if { [ regsub ":testB_kron" $BSID "" newUserName ] } {
          $environ put Authentication-Service "SS-testB" 
       }                                                                           

    }

Реализован очень удобный механизм отладки через trace, изменения логов xtail. CAR также позволяет делать лимиты по сессиям через Session Manager, например подключением под логином vasia только одной сессией. Всю детальную информацию можно взять тут или тут.

Level Up
Sponsors:

Контактная информация

Если у Вас есть какие-либо вопросы, Вы можете связаться с нами:

Отдел продаж: (с 10:00 до 18:00)

Icq: 155-10-6525

E-mail: sales@golas.ru