web-dev-qa-db-ja.com

RADIUSでDiameterを使用しないのはなぜですか?

プロトコルの名前は、2倍のRADIUS=円の2倍であるワード直径の遊びです-言い換えれば、著者はそれが2倍良いと言って、より多くの機能を持っています。

このウェブサイト によれば、プロは短所を上回っているようですが、プロはかなり良いです(すべての情報を保証することはできません。表を参照していました)。

たとえば、DiameterはTCPを使用し、優れたスケーラビリティ(TCPによって支援されます)を備え、クライアントのIPSecおよびTLSをサポートし、エラー報告スキームを備えています。

しかし、今日まで私はプロトコルについて聞いたことがありません。本は、多くの会社がDiameterにアップグレードしていると言います。また、Diameter OOTBをサポートしているMicrosoftへの参照も見当たらず、下位互換性がないこともわかっています。 MicrosoftはDiameterに移行したいと考えており、両方のプロトコルをサポートする移行フェーズを設けることは可能だと思います。

ただし、マイクロソフトが Microsoft Vendor-specific RADIUS Attributes のRFCを持っていることは知っていますが、CHAPについて言及しているため、そのほとんどがどれほど関連性があるかわかりません( v2)そして1999年に書かれました。しかし、RFCがあなたのものであるなら、あなたに行きます。

この本には、RADIUS経由でDiameterに移行する組織が増えていると書いてありますが、聞いたことはありません。人々がそうしていない理由がありますか、それとも私はループの外にいますか?

1
cutrightjm

DiameterはRADIUSに取って代わるように設計されました。 Diameterが優れた機能を提供することは間違いありません。残念ながら、古いRADIUS環境のアップグレードは注意が必要です。

「そこには大きなRADIUS展開ベースがあり、翻訳エージェントの展開とRADIUSとDiameterの共存を含む適切な移行計画がない限り、移行はありません。 Diameterへの変換は簡単ではありません。」[1]

上記の「翻訳エージェント」は、RADIUSのみをサポートする新しいDiameterサーバーとレガシーハードウェア間のアダプタとして機能するソフトウェアまたはデバイスです。翻訳エージェントはアップグレードに必要な労力を軽減できますが、彼ら自身の問題ももたらします。

「...独自の非IETFの方法で翻訳エージェントの多くのバリアントと実装が存在する可能性があります。また、RADIUSとDiameterが同時に標準化されているため、さまざまなRADIUSメッセージは、プロセスに応じて異なる翻訳エージェントによって異なる方法で処理される可能性があります。完全かつ正確なセッション状態情報にアクセスできると見なすことができます。」[1]

難しいですね。したがって、RADIUS拡張機能は、より簡単なオプションであることが証明されています。

「しかし、Diameterの導入は非常に遅く、RADIUSは依然として予測可能な将来の事実上の標準のままです。これの主な理由は、Diameterの多くの拡張機能がもたらすことになっているさまざまなRADIUS拡張機能によってすでにカバーされています。たとえば、RADIUS over TCPおよびTLS。」[2]

もちろん、RADIUS拡張機能には制限があります。Diameterは4G LT-Advancedモバイルネットワークにはるかに優れたサポートを提供できます。RADIUSは非常に貧弱です選択[3]。

TACACS +も利用できますが、

「TACACS +の全体的な機能は、RADIUSの機能と似ていますが、RADIUSはCiscoの独自仕様(sic)ではないため、より広く使用されています。」[ 3]

TACACS +は、大規模なユーザーベース(ISP、Telcoなど)の一般的なネットワークアクセスよりもネットワーク管理に適していると主張する人もいます[4]。

私の参考文献の一部は古く、古くなっています。最近、新しい小規模ネットワークの導入では、Diameter/TACACS +よりもRADIUSを選択しています。これらの場合、スタッフはRADIUSを知っており、拡張機能は必要なセキュリティを提供します。そしてRADIUSはシスコとは関係ありません。

DiameterがRADIUSを追い抜くまでには時間の問題だと思いますが、どれだけの時間かを判断するのは非常に困難です。

[1] Nakhjiri、M.&M.、AAA and Network Security for Mobile Access:Radius、Diameter、EAP、PKI and IP Mobility、Section 7.4、John Wiley&Sons、2005

[2]ファンデルウォルト、D.、FreeRADIUS初心者向けガイド、Packt Publishing、2011年

[3]Håkan、V.、Diameter:次世代AAAプロトコル、Institutionenförsystemteknik、2001

[4] A. Woland、RADIUS vs TACACS +、 http://www.networkworld.com/article/2838882/radius-versus-から取得) tacacs.html

5
user68527

私の意見では、それは単に実際的な理由です。直径は長い間あります。私は10年前のように私はそれの心を思います。 実際、最初のRFCは2003年のものです

RADIUSプロトコルは完全に至る所にあります。各ルーター、ファイアウォール、スイッチ、VPN ...最小のデバイスすべてがRADIUS as a RADIUSクライアント。そして、smallは、軽量であるため、ここでも理由になる可能性があります。互換性のないプロトコルへの切り替え...ここで?RADIUSサーバーをDiameterサーバーに置き換えますか?細かいですが、ネットワークに直径を話すことができるクライアントがありませんか?

誤解しないでください。別のより安全な認証プロトコルが欲しいです。 RADIUSは、EAP、EAP-TLSなど、これを補正するための多くの拡張機能を提供しています...拡張性は、RADIUSの長所の1つです(直径に対する利点ではありませんが、理由はそれは単に死ぬだけではありません;-)

その上-直径のように-RADIUSは、単なる認証プロトコルではなく、承認とアカウンティングを行うためのプロトコルでもあります。

1
cornelinux