RADIUS server je jednou z nejdůležitějších součástí infrastruktury každého poskytovatele internetu. Zajišťuje autentizaci klientů při připojení přes PPPoE, IPoE nebo hotspot a často také ověřování techniků při přístupu do sítě. Dokud funguje, vše běží bez problémů. Pokud ale primární RADIUS server selže, může se během několika minut projevit zásadní problém napříč celou sítí.
Právě proto ISPadmin nabízí řešení v podobě submodulu Záložní RADIUS server, který minimalizuje riziko výpadku autentizace a pomáhá udržet služby plně funkční i v případě technických komplikací.
Jak záložní RADIUS funguje?
Submodul Záložní RADIUS server je rozšířením modulu RADIUS a umožňuje provozovat oddělenou instalaci systému ISPadmin jako sekundární autentizační server. Tato instalace běží na samostatném serveru nebo virtuálním stroji a slouží jako plnohodnotná náhrada primárního RADIUSu v případě jeho nedostupnosti.
Mezi primárním a záložním serverem probíhá synchronizace autentizačních dat, takže záložní instance disponuje aktuálními údaji potřebnými pro ověřování klientů i techniků. Pokud dojde k výpadku primárního serveru, síťová zařízení automaticky začnou využívat sekundární RADIUS a autentizace pokračuje bez přerušení.
Důležitou součástí řešení je také automatizace aktualizací. Při aktualizaci primární instalace ISPadminu dochází prostřednictvím SSH také k aktualizaci záložní instance, takže není nutné provádět správu dvou serverů odděleně.
Připraveno pro MikroTik i další zařízení
ISPadmin dokáže automaticky zapsat parametry primárního i záložního RADIUS serveru do evidovaných zařízení MikroTik. Routery jsou tak připraveny na failover scénář bez nutnosti ruční konfigurace každého zařízení zvlášť. Pokud primární RADIUS neodpovídá, zařízení plynule přepne na sekundární server.
Tento princip výrazně snižuje riziko plošného výpadku při údržbě, havárii hardwaru nebo problému s virtualizační platformou.
Proč nestačí jeden server?
Mnoho ISP provozuje RADIUS pouze na jedné instanci serveru, často navíc ve stejné infrastruktuře jako další klíčové služby. Takové řešení představuje jediný bod selhání, který může ovlivnit stovky nebo tisíce zákazníků. Záložní RADIUS umístěný na stejném hypervizoru nebo ve stejné lokalitě přitom skutečné riziko plně neřeší.
Správně navržená architektura by měla počítat s odděleným serverem, ideálně v jiné lokalitě nebo alespoň na jiné virtualizační vrstvě. Jen tak lze dosáhnout skutečné redundance.
Testování jako součást provozu
Nasazení záložního RADIUS serveru by nemělo být pouze formální. Doporučujeme pravidelně ověřovat synchronizaci dat a simulovat výpadek primárního serveru, aby bylo jisté, že síťová zařízení skutečně přecházejí na sekundární instanci. Redundance, která není otestovaná, neposkytuje reálnou ochranu.
Pro koho je řešení určeno?
Záložní RADIUS server je vhodný zejména pro poskytovatele s vyššími nároky na stabilitu a SLA, pro ISP s větší zákaznickou základnou nebo pro ty, kteří chtějí minimalizovat riziko výpadků během plánované údržby. Stabilita autentizace dnes není jen technickou otázkou, ale i součástí celkové zákaznické zkušenosti.