मुख्य सामग्री पर जाएं
हिन्दी

RADIUS सर्वर हाई एवेलेबिलिटी: Active-Active बनाम Active-Passive

RADIUS हाई एवेलेबिलिटी आर्किटेक्चर का मूल्यांकन करने वाले IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए एक निश्चित तकनीकी संदर्भ मार्गदर्शिका। यह Active-Active और Active-Passive डिप्लॉयमेंट की तुलना करती है, डेटाबेस रेप्लिकेशन आवश्यकताओं का विवरण देती है, और बताती है कि कैसे Cloud RADIUS एंटरप्राइज स्थानों के लिए फ़ेलओवर लेटेंसी को कम करता है।

📖 6 मिनट का पाठ📝 1,317 शब्द🔧 2 हल किए गए उदाहरण3 अभ्यास प्रश्न📚 8 मुख्य परिभाषाएं

इस गाइड को सुनें

पॉडकास्ट ट्रांसक्रिप्ट देखें
# RADIUS सर्वर हाई एवेलेबिलिटी: Active-Active vs Active-Passive ## Purple Technical Briefing — पॉडकास्ट स्क्रिप्ट (~10 मिनट) --- **भाग 1 — परिचय और संदर्भ (लगभग 1 मिनट)** Purple Technical Briefing में आपका स्वागत है। मैं आपका होस्ट हूँ, और आज हम एंटरप्राइज WiFi चलाने वाले किसी भी संगठन के लिए सबसे महत्वपूर्ण इन्फ्रास्ट्रक्चर निर्णयों में से एक पर चर्चा कर रहे हैं: RADIUS सर्वर हाई एवेलेबिलिटी। यदि आप एक नेटवर्क आर्किटेक्ट या IT निदेशक हैं जो किसी होटल समूह, रिटेल श्रृंखला, स्टेडियम या सार्वजनिक क्षेत्र की सुविधा में ऑथेंटिकेशन इन्फ्रास्ट्रक्चर के लिए जिम्मेदार हैं, तो यह ब्रीफिंग आपको सही निर्णय लेने के लिए आवश्यक फ्रेमवर्क और विशिष्ट तकनीकी विवरण देगी — और उन गलतियों से बचने में मदद करेगी जो सबसे खराब समय पर ऑथेंटिकेशन आउटेज का कारण बनती हैं। आइए मैं आपको इसकी पृष्ठभूमि बताता हूँ। RADIUS — रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस — आपके नेटवर्क का गेटकीपर है। हर बार जब कोई कर्मचारी 802.1X के माध्यम से कनेक्ट होता है, या कोई अतिथि आपके कैप्टिव पोर्टल के माध्यम से ऑथेंटिकेट होता है, तो RADIUS क्रेडेंशियल की जांच करने और एक्सेस को अधिकृत करने वाला इंजन होता है। यह IEEE 802.1X और WPA3 enterprise डिप्लॉयमेंट की रीढ़ है। और अधिकांश IT सेवाओं के विपरीत जो विफल होने पर धीरे-धीरे खराब होती हैं, RADIUS बाइनरी है: या तो यह काम करता है, या कोई भी नेटवर्क पर नहीं आ पाता है। यही विषमता हाई एवेलेबिलिटी को इतना महत्वपूर्ण बनाती है। --- **भाग 2 — तकनीकी गहन विश्लेषण (लगभग 5 मिनट)** आइए बुनियादी बातों से शुरू करते हैं। RADIUS UDP पर काम करता है — आमतौर पर ऑथेंटिकेशन के लिए पोर्ट 1812 और अकाउंटिंग के लिए 1813। UDP की स्टेटलेस प्रकृति वास्तव में HA डिज़ाइन के लिए एक फायदा है: क्योंकि प्रत्येक ऑथेंटिकेशन अनुरोध आत्मनिर्भर होता है, इसलिए क्लस्टर का कोई भी सर्वर पहले क्या हुआ था यह जाने बिना किसी भी अनुरोध को संभाल सकता है। यह वह आर्किटेक्चरल विशेषता है जो Active-Active डिप्लॉयमेंट को इतना शानदार बनाती है। अब, दो प्राथमिक हाई-एवेलेबिलिटी मॉडल हैं जिन्हें आपको समझना होगा। **Active-Passive** पारंपरिक दृष्टिकोण है। आपके पास एक प्राइमरी RADIUS सर्वर होता है जो सभी ऑथेंटिकेशन ट्रैफ़िक को संभालता है, और एक सेकेंडरी सर्वर स्टैंडबाय में रहता है, जो रेप्लिकेटेड डेटा प्राप्त करता है लेकिन अनुरोधों को प्रोसेस नहीं करता है। जब प्राइमरी विफल हो जाता है, तो नेटवर्क एक्सेस डिवाइस — आपका एक्सेस पॉइंट, आपका स्विच, आपका VPN गेटवे — विफलता का पता लगाता है और ट्रैफ़िक को सेकेंडरी पर रीडायरेक्ट करता है। उस फ़ेलओवर में कितना समय लगता है? यहीं पर विशिष्ट विवरण मायने रखते हैं। NAS एक RADIUS अनुरोध भेजता है और प्रतीक्षा करता है। डिफ़ॉल्ट पैकेट टाइमआउट आमतौर पर दो सेकंड होता है। उसके बाद, यह पुनः प्रयास करता है — आमतौर पर प्रति सर्वर तीन प्रयास। दो सर्वर कॉन्फ़िगर होने के साथ, आप एक अच्छी तरह से ट्यून किए गए डिप्लॉयमेंट में लगभग छह से बारह सेकंड का अधिकतम फ़ेलओवर डिटेक्शन समय देख रहे हैं। तीन सर्वर और डिफ़ॉल्ट टाइमर वाले सबसे खराब स्थिति में, यह अठारह सेकंड तक बढ़ सकता है। चेक-इन के समय कनेक्ट करने का प्रयास करने वाले होटल के मेहमान के लिए, या लेनदेन को प्रोसेस करने का प्रयास करने वाले रिटेल सहयोगी के लिए, यह एक दर्दनाक समय सीमा है। **Active-Active** अधिक परिष्कृत दृष्टिकोण है, और अधिकांश एंटरप्राइज डिप्लॉयमेंट के लिए यह सही है। दोनों — या सभी — RADIUS सर्वर एक साथ ऑथेंटिकेशन अनुरोधों को प्रोसेस कर रहे होते हैं। ट्रैफ़िक को या तो राउंड-रॉबिन रोटेशन द्वारा या एक समर्पित लोड बैलेंसर द्वारा क्लस्टर में वितरित किया जाता है। जब एक नोड विफल हो जाता है, तो शेष नोड्स तुरंत उसके ट्रैफ़िक को संभाल लेते हैं। इसमें कोई फ़ेलओवर डिटेक्शन देरी नहीं होती है क्योंकि पारंपरिक अर्थों में कोई फ़ेलओवर नहीं होता है: लोड बैलेंसर बस अस्वस्थ नोड पर अनुरोध भेजना बंद कर देता है, जो आमतौर पर हेल्थ-चेक अंतराल के आधार पर एक से दो सेकंड के भीतर होता है। प्रदर्शन के लाभ कई गुना बढ़ जाते हैं। एक बड़े स्थान पर — जैसे कि 60,000 सीटों वाले स्टेडियम या किसी बड़ी प्रदर्शनी की मेजबानी करने वाले सम्मेलन केंद्र में — जब दरवाजे खुलते हैं या सेशन ब्रेक होता है, तो आप हजारों एक साथ ऑथेंटिकेशन अनुरोध देख सकते हैं। एक सिंगल RADIUS सर्वर, यहाँ तक कि एक अच्छी तरह से निर्दिष्ट सर्वर भी, एक बाधा (bottleneck) बन सकता है। एक Active-Active क्लस्टर हॉरिजॉन्टली स्केल करता है: एक और नोड जोड़ें और आप आनुपातिक क्षमता जोड़ते हैं। अब, आइए डेटाबेस परत के बारे में बात करते हैं, क्योंकि यहीं पर कई डिप्लॉयमेंट मुश्किल में पड़ जाते हैं। RADIUS ऑथेंटिकेशन स्वयं काफी हद तक स्टेटलेस है — सर्वर एक निर्देशिका (directory) के खिलाफ क्रेडेंशियल की जांच करता है और Accept या Reject लौटाता है। लेकिन RADIUS अकाउंटिंग स्टेटफुल है: यह सेशन की शुरुआत, अंतरिम अपडेट और सेशन रोकने की घटनाओं को ट्रैक करता है। यदि आप बिलिंग, अनुपालन लॉगिंग या सेशन प्रबंधन के लिए अकाउंटिंग का उपयोग कर रहे हैं, तो आपको वह डेटा सभी नोड्स में सुसंगत होना चाहिए। मानक दृष्टिकोण आपके RADIUS क्लस्टर को एक रेप्लिकेटेड डेटाबेस के साथ बैकअप प्रदान करना है। FreeRADIUS, दुनिया का सबसे व्यापक रूप से डिप्लॉय किया गया ओपन-सोर्स RADIUS सर्वर, MySQL और MariaDB के साथ एकीकृत होता है। Active-Active डिप्लॉयमेंट के लिए, आपके पास दो मुख्य विकल्प हैं: MySQL NDB Cluster, जो सब-सेकंड फ़ेलओवर के साथ सिंक्रोनस मल्टी-मास्टर रेप्लिकेशन प्रदान करता है, या Galera Cluster, जो थोड़े सरल परिचालन प्रबंधन के साथ समान सिंक्रोनस रेप्लिकेशन प्रदान करता है। दोनों नोड विफलता पर डेटा हानि के जोखिम को समाप्त करते हैं। एसिंक्रोनस रेप्लिकेशन — मानक MySQL प्राइमरी-रेप्लिका — सस्ता है लेकिन एक रेप्लिकेशन लैग (देरी) पैदा करता है जिसके परिणामस्वरूप यदि बदलावों के रेप्लिकेट होने से पहले प्राइमरी विफल हो जाता है, तो अकाउंटिंग रिकॉर्ड खो सकते हैं। मुझे भौगोलिक वितरण के प्रश्न पर बात करने दें, क्योंकि यह मल्टी-साइट ऑपरेटरों के लिए तेजी से प्रासंगिक हो रहा है। यदि आप 200 स्टोर वाली एक रिटेल श्रृंखला चला रहे हैं, या कई देशों में संपत्तियों वाला एक होटल समूह चला रहे हैं, तो सवाल केवल यह नहीं है कि "मैं अपने RADIUS सर्वर को रिडंडेंट कैसे बनाऊं?" — बल्कि यह है कि "मेरे RADIUS सर्वर मेरे एक्सेस पॉइंट्स के सापेक्ष कहाँ स्थित होने चाहिए?" किसी दूरस्थ साइट से केंद्रीय डेटा सेंटर में ऑथेंटिकेशन ट्रैफ़िक को वापस ले जाने (backhauling) से WAN लेटेंसी बढ़ती है और WAN लिंक पर सिंगल पॉइंट ऑफ़ फेल्योर पैदा होता है। यदि वह लिंक डाउन हो जाता है, तो दूरस्थ साइट किसी को भी ऑथेंटिकेट नहीं कर सकती है, चाहे आपका केंद्रीय RADIUS क्लस्टर कितना भी रिडंडेंट क्यों न हो। इसका समाधान या तो प्रत्येक साइट पर स्थानीय RADIUS इंस्टेंस डिप्लॉय करना है — जो महत्वपूर्ण परिचालन ओवरहेड पैदा करता है — या भौगोलिक रूप से वितरित एज नोड्स के साथ क्लाउड RADIUS सेवा का उपयोग करना है। Cloud RADIUS प्लेटफॉर्म आर्किटेक्चरल स्तर पर HA समस्या का समाधान करते हैं। आपके द्वारा रिडंडेंट इन्फ्रास्ट्रक्चर बनाने और प्रबंधित करने के बजाय, प्रदाता कई एवेलेबिलिटी ज़ोन और क्षेत्रों में RADIUS संचालित करता है। नोड्स के बीच फ़ेलओवर स्वचालित रूप से होता है, आमतौर पर एक सेकंड से भी कम समय में, क्योंकि यह NAS रीट्राय टाइमर के बजाय प्लेटफॉर्म के आंतरिक लोड बैलेंसिंग द्वारा नियंत्रित किया जाता है। एंटरप्राइज क्लाउड RADIUS प्रदाताओं से SLA प्रतिबद्धताएं आमतौर पर 99.99% अपटाइम होती हैं — यानी प्रति वर्ष 53 मिनट से भी कम का डाउनटाइम। यहाँ एक महत्वपूर्ण अनुपालन (compliance) आयाम भी है। PCI-DSS को कार्डधारक डेटा वातावरण के लिए मजबूत ऑथेंटिकेशन नियंत्रणों की आवश्यकता होती है। GDPR ऑथेंटिकेशन लॉग को व्यक्तिगत डेटा के रूप में मानता है, जिसके लिए उचित हैंडलिंग और डेटा रेजिडेंसी नियंत्रण की आवश्यकता होती है। Cloud RADIUS प्रदाता आमतौर पर SOC 2 Type II प्रमाणपत्र रखते हैं और क्षेत्रीय डेटा रेजिडेंसी विकल्पों के साथ GDPR डेटा प्रोसेसिंग समझौते प्रदान करते हैं। ऑन-प्रिमाइसेस डिप्लॉयमेंट आपको डेटा स्थान पर पूर्ण नियंत्रण देते हैं, जो NHS डेटा गवर्नेंस फ्रेमवर्क के तहत स्वास्थ्य सेवा के वातावरण में, या डेटा संप्रभुता आवश्यकताओं वाले सरकारी सुविधाओं में मायने रखता है। --- **भाग 3 — कार्यान्वयन सिफारिशें और कमियां (लगभग 2 मिनट)** आइए मैं आपको दो वास्तविक दुनिया के परिदृश्यों के माध्यम से ले चलता हूँ जो व्यवहार में इन सिद्धांतों को स्पष्ट करते हैं। पहला: छह देशों में 45 संपत्तियों वाला एक यूरोपीय होटल समूह। उनकी तीन इंजीनियरों की IT टीम प्रत्येक संपत्ति पर वर्चुअल मशीनों पर FreeRADIUS चला रही थी — पैच, निगरानी और रखरखाव के लिए 45 अलग-अलग इंस्टेंस। जब एक संपत्ति पर TLS सर्टिफिकेट समाप्त हो गया, तो इसके कारण एक बड़े सम्मेलन के दौरान अतिथि WiFi पूरी तरह से बंद हो गया। इसके समाधान के लिए एक इंजीनियर को रिमोट से लॉग इन करना पड़ा और मैन्युअल रूप से सर्टिफिकेट को रिन्यू करना पड़ा — एक ऐसी प्रक्रिया जिसमें 40 मिनट लगे जबकि मेहमान कनेक्ट होने में असमर्थ थे। केंद्रीकृत नीति प्रबंधन के साथ क्लाउड RADIUS सेवा पर माइग्रेट करने के बाद, टीम ने प्रति-साइट रखरखाव को पूरी तरह से समाप्त कर दिया। सर्टिफिकेट रोटेशन स्वचालित हो गया। तीनों इंजीनियरों ने पहले RADIUS संचालन पर खर्च किए गए अपने समय का लगभग 40 प्रतिशत वापस पा लिया। इससे भी महत्वपूर्ण बात यह है कि कई क्लाउड क्षेत्रों में प्लेटफॉर्म के Active-Active आर्किटेक्चर का मतलब था कि एक सिंगल नोड विफलता — जो पहले एक साइट आउटेज का कारण बनती थी — अब एक गैर-घटना (non-event) बन गई। दूसरा परिदृश्य: एक राष्ट्रीय खेल स्टेडियम जो एक बड़े कार्यक्रम के लिए 60,000 प्रशंसकों की मेजबानी कर रहा है। नेटवर्क टीम ने एक प्राइमरी सर्वर और एक हॉट स्टैंडबाय के साथ Active-Passive RADIUS कॉन्फ़िगरेशन डिप्लॉय किया था। एक प्री-इवेंट लोड टेस्ट के दौरान, उन्होंने पाया कि गेट खुलने पर ऑथेंटिकेशन उछाल के दौरान प्राइमरी सर्वर संतृप्त (saturated) हो रहा था — प्रति मिनट 8,000 ऑथेंटिकेशन अनुरोधों को प्रोसेस कर रहा था। जब प्राइमरी संघर्ष कर रहा था, तब पैसिव सेकेंडरी निष्क्रिय बैठा था। समाधान दोनों सर्वरों पर राउंड-रॉबिन लोड बैलेंसिंग का उपयोग करने के लिए NAS उपकरणों को पुन: कॉन्फ़िगर करना था, जिससे डिप्लॉयमेंट प्रभावी रूप से Active-Active में बदल गया। ऑथेंटिकेशन थ्रूपुट तुरंत दोगुना हो गया। उन्होंने चरम लोड के लिए हेडरूम प्रदान करने के लिए एक तीसरा सर्वर भी जोड़ा, और अकाउंटिंग डेटाबेस के लिए Galera Cluster रेप्लिकेशन कॉन्फ़िगर किया। इसका परिणाम एक ऐसा डिप्लॉयमेंट था जो बिना किसी उपयोगकर्ता-दृश्य प्रभाव के किसी भी सिंगल नोड के नुकसान को सहन कर सकता था। अब, कमियों की बात करते हैं। सबसे आम गलती सेकेंडरी RADIUS सर्वर को "सेट एंड फॉरगेट" बैकअप के रूप में मानना है। कॉन्फ़िगरेशन ड्रिफ्ट होते हैं। जब प्राइमरी ठीक चल रहा होता है, तो सेकेंडरी पर सर्टिफिकेट समाप्त हो जाते हैं। जब प्राइमरी अंततः विफल हो जाता है और सेकेंडरी कार्यभार संभालता है, तो वह भी विफल हो जाता है — एक पूरी तरह से अलग कारण से। इसका समाधान सरल है: नियमित रूप से, कम से कम त्रैमासिक (quarterly), अपने फ़ेलओवर का परीक्षण करें और दोनों नोड्स को प्रोडक्शन सिस्टम के रूप में मानें। दूसरी कमी डेटाबेस रेप्लिकेशन लैग (देरी) की उपेक्षा करना है। यदि आप एसिंक्रोनस रेप्लिकेशन का उपयोग कर रहे हैं और आपका प्राइमरी डेटाबेस नोड विफल हो जाता है, तो आप उन सेशन के लिए अकाउंटिंग रिकॉर्ड खो सकते हैं जो विफलता के क्षण में सक्रिय थे। PCI-DSS अनुपालन के लिए, यह एक गंभीर कमी है। किसी भी ऐसे डिप्लॉयमेंट के लिए सिंक्रोनस रेप्लिकेशन — Galera या MySQL NDB Cluster — का उपयोग करें जहाँ अकाउंटिंग डेटा अखंडता एक अनुपालन आवश्यकता है। --- **भाग 4 — रैपिड-फायर प्रश्नोत्तर (लगभग 1 मिनट)** आइए मैं उन सवालों के जवाब दूं जो मैं नेटवर्क आर्किटेक्ट्स से सबसे अक्सर सुनता हूँ। "न्यूनतम व्यवहार्य (minimum viable) HA कॉन्फ़िगरेशन क्या है?" Active-Passive फ़ेलओवर, साझा गुप्त सिंक्रोनाइज़ेशन (shared secret synchronisation), और एक रेप्लिकेटेड डेटाबेस बैकएंड के साथ दो RADIUS सर्वर। यह आपका न्यूनतम स्तर है। 500 से अधिक समवर्ती उपयोगकर्ताओं के लिए, Active-Active पर जाएं। "क्या मैं RADIUS के लिए हार्डवेयर लोड बैलेंसर का उपयोग कर सकता हूँ?" हाँ, लेकिन RADIUS UDP का उपयोग करता है, और कई लोड बैलेंसर TCP के लिए अनुकूलित होते हैं। सुनिश्चित करें कि आपका लोड बैलेंसर हेल्थ चेक के साथ UDP लोड बैलेंसिंग का समर्थन करता है। HAProxy Enterprise में एक समर्पित RADIUS UDP मॉड्यूल है। F5 BIG-IP इसे मूल रूप से (natively) संभालता है। "मैं एक HA क्लस्टर में EAP सर्टिफिकेट ट्रस्ट को कैसे संभालूं?" सभी नोड्स को समान सर्वर सर्टिफिकेट, या कम से कम एक ही CA चेन से सर्टिफिकेट प्रस्तुत करने चाहिए। क्लाइंट EAP-TLS और PEAP हैंडशेक के दौरान सर्वर सर्टिफिकेट को सत्यापित करते हैं — यदि नोड्स अलग-अलग सर्टिफिकेट प्रस्तुत करते हैं, तो आप फ़ेलओवर के बाद ऑथेंटिकेशन विफलताएं देखेंगे। "क्या क्लाउड RADIUS ऑन-प्रिमाइसेस Active Directory के साथ काम करता है?" हाँ, एक लाइटवेट कनेक्टर या LDAP प्रॉक्सी के माध्यम से जो आपके स्थानीय AD को सीधे इंटरनेट पर उजागर किए बिना क्वेरी करता है। हाइब्रिड वातावरण के लिए यह मानक एकीकरण पैटर्न है। --- **भाग 5 — सारांश और अगले कदम (लगभग 1 मिनट)** आइए मैं उन प्रमुख निर्णयों के साथ समाप्त करूँ जो आपको लेने की आवश्यकता है। यदि आप बुनियादी ढांचे के प्रबंधन के लिए एक स्थिर टीम के साथ एक ही साइट पर 500 से कम समवर्ती उपयोगकर्ताओं को चला रहे हैं, तो एक अच्छी तरह से परीक्षण की गई फ़ेलओवर प्रक्रिया के साथ Active-Passive एक उचित विकल्प है। इसे सरल रखें, नियमित रूप से इसका परीक्षण करें, और सिंक्रोनस डेटाबेस रेप्लिकेशन का उपयोग करें। यदि आप एक एस्टेट, एक हाई-डेंसिटी वाला स्थान चला रहे हैं, या यदि आपकी टीम की बैंडविड्थ सीमित है, तो Active-Active सही आर्किटेक्चर है — और क्लाउड RADIUS स्वयं इन्फ्रास्ट्रक्चर का निर्माण किए बिना वहां पहुंचने का सबसे तेज़ रास्ता है। आप जो भी मॉडल चुनें, सिद्धांत समान हैं: डुप्लिकेट करने के बजाय वितरित करें, फ़ेलओवर निर्णयों को स्वचालित करें, और अपनी विफलता परिदृश्यों का परीक्षण इससे पहले करें कि वे आपका परीक्षण करें। पैमाने पर RADIUS ऑथेंटिकेशन को संभालने के Purple के प्लेटफॉर्म के बारे में अधिक जानने के लिए — जिसमें 802.1X, WPA3 enterprise, और Guest WiFi पोर्टल्स के साथ एकीकरण शामिल है — purple.ai पर जाएं। अगली बार तक के लिए विदा। --- *स्क्रिप्ट का अंत। 150 शब्द प्रति मिनट की दर से अनुमानित पढ़ने का समय: 10 मिनट।*

header_image.png

कार्यकारी सारांश

एंटरप्राइज नेटवर्क के लिए, ऑथेंटिकेशन बाइनरी है: या तो यह त्रुटिहीन रूप से काम करता है, या व्यावसायिक संचालन पूरी तरह से बंद हो जाता है। RADIUS (रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस) आधुनिक स्थानों पर IEEE 802.1X, WPA3 enterprise, और Guest WiFi डिप्लॉयमेंट के लिए महत्वपूर्ण गेटकीपर के रूप में कार्य करता है। लोड के तहत धीरे-धीरे खराब होने वाली एप्लिकेशन सेवाओं के विपरीत, RADIUS की विफलता तुरंत उपयोगकर्ताओं, पॉइंट-ऑफ-सेल टर्मिनलों और परिचालन उपकरणों को नेटवर्क एक्सेस से ब्लॉक कर देती है।

यह तकनीकी संदर्भ मार्गदर्शिका हाई एवेलेबिलिटी वाले RADIUS इन्फ्रास्ट्रक्चर को डिप्लॉय करने के लिए आर्किटेक्चरल मॉडल का मूल्यांकन करती है। विशेष रूप से, यह पारंपरिक Active-Passive कॉन्फ़िगरेशन की तुलना आधुनिक Active-Active क्लस्टर से करती है। IT प्रबंधकों, नेटवर्क आर्किटेक्ट्स और Retail , Hospitality और स्टेडियमों जैसे हाई-डेंसिटी वाले वातावरण का प्रबंधन करने वाले वेन्यू ऑपरेशंस निदेशकों के लिए, इन फ़ेलओवर रणनीतियों, लोड बैलेंसिंग मैकेनिक्स और डेटाबेस रेप्लिकेशन आवश्यकताओं को समझना आवश्यक है।

इसके अलावा, यह मार्गदर्शिका यह जांचती है कि कैसे Cloud RADIUS प्लेटफॉर्म हाई एवेलेबिलिटी की जटिलता को दूर करते हैं, जिससे ऑन-प्रिमाइसेस इन्फ्रास्ट्रक्चर को बनाए रखने के परिचालन बोझ के बिना स्वचालित फ़ेलओवर और इलास्टिक स्केलेबिलिटी मिलती है। इन वेंडर-न्यूट्रल सर्वोत्तम प्रथाओं को लागू करके, इंजीनियरिंग टीमें ऐसे ऑथेंटिकेशन आर्किटेक्चर को डिज़ाइन कर सकती हैं जो सिंगल पॉइंट ऑफ़ फेल्योर को समाप्त करते हैं और कड़े अपटाइम सर्विस लेवल एग्रीमेंट (SLAs) को पूरा करते हैं।

तकनीकी गहन विश्लेषण: RADIUS आर्किटेक्चर को समझना

RADIUS UDP पर एक क्लाइंट-सर्वर प्रोटोकॉल के रूप में काम करता है, जो आमतौर पर ऑथेंटिकेशन के लिए पोर्ट 1812 और अकाउंटिंग के लिए पोर्ट 1813 का उपयोग करता है, जैसा कि RFC 2865 and RFC 2866 में परिभाषित किया गया है। UDP ऑथेंटिकेशन अनुरोधों की स्टेटलेस प्रकृति हाई एवेलेबिलिटी डिज़ाइन के लिए एक संरचनात्मक लाभ है। चूंकि प्रत्येक Access-Request पैकेट में सभी आवश्यक क्रेडेंशियल और पैरामीटर होते हैं, इसलिए क्लस्टर के भीतर कोई भी RADIUS सर्वर ऑथेंटिकेशन चरण के लिए जटिल स्टेट सिंक्रोनाइज़ेशन की आवश्यकता के बिना, स्वतंत्र रूप से किसी भी अनुरोध को प्रोसेस कर सकता है।

Active-Passive आर्किटेक्चर

Active-Passive (या प्राइमरी-स्टैंडबाय) डिप्लॉयमेंट में, एक सिंगल RADIUS सर्वर सभी इनकमिंग ऑथेंटिकेशन और अकाउंटिंग ट्रैफ़िक को प्रोसेस करता है। एक सेकेंडरी सर्वर ऑनलाइन रहता है लेकिन निष्क्रिय (idle) रहता है, जो डेटाबेस रेप्लिकेशन अपडेट प्राप्त करता है लेकिन नेटवर्क एक्सेस डिवाइसेस (NADs) जैसे एक्सेस पॉइंट, स्विच या VPN गेटवे को सक्रिय रूप से प्रतिक्रिया नहीं देता है।

जब प्राइमरी सर्वर विफल हो जाता है, तो NAD टाइमआउट का पता लगाता है और बाद के अनुरोधों को सेकेंडरी सर्वर पर रीडायरेक्ट करता है। फ़ेलओवर डिटेक्शन का समय पूरी तरह से NAD के कॉन्फ़िगरेशन टाइमर पर निर्भर करता है। एक सामान्य NAD एक RADIUS अनुरोध भेजता है और एक डिफ़ॉल्ट पैकेट टाइमआउट (अक्सर दो सेकंड) की प्रतीक्षा करता है। यदि कोई प्रतिक्रिया प्राप्त नहीं होती है, तो यह पुनः प्रयास करता है। प्रति सर्वर तीन प्रयासों के मानक कॉन्फ़िगरेशन के साथ, NAD प्राइमरी सर्वर को निष्क्रिय घोषित करने और सेकेंडरी पर फ़ेलओवर करने से पहले छह सेकंड तक प्रतीक्षा कर सकता है। तीन कॉन्फ़िगर किए गए सर्वरों वाले वातावरण में, यह फ़ेलओवर विंडो अठारह सेकंड तक बढ़ सकती है। लेन-देन को प्रोसेस करने वाले व्यस्त Hospitality स्थल या Retail वातावरण के लिए, यह देरी सेवा में एक ध्यान देने योग्य व्यवधान पैदा करती है।

Active-Active आर्किटेक्चर

इसके विपरीत, एक Active-Active आर्किटेक्चर ऑथेंटिकेशन लोड को एक साथ कई चालू RADIUS सर्वरों पर वितरित करता है। ट्रैफ़िक को या तो NADs पर राउंड-रॉबिन कॉन्फ़िगरेशन के माध्यम से या एक समर्पित लोड बैलेंसर के माध्यम से क्लस्टर में रूट किया जाता है।

comparison_chart.png

यह मॉडल Active-Passive सेटअप में अंतर्निहित फ़ेलओवर डिटेक्शन देरी को समाप्त करता है। यदि कोई नोड विफल हो जाता है, तो लोड बैलेंसर (या राउंड-रॉबिन का उपयोग करने वाले NADs) बस अनुत्तरदायी सर्वर पर ट्रैफ़िक रूट करना बंद कर देता है, जो आमतौर पर हेल्थ-चेक अंतराल के आधार पर एक से दो सेकंड के भीतर होता है। शेष सक्रिय नोड्स तुरंत ट्रैफ़िक को संभाल लेते हैं। इसके अलावा, Active-Active क्लस्टर हॉरिजॉन्टली स्केल करते हैं; हाई-डेंसिटी वाले इवेंट्स के लिए क्षमता जोड़ने के लिए बस क्लस्टर में अतिरिक्त नोड्स को प्रोविज़निंग करने की आवश्यकता होती है।

डेटाबेस रेप्लिकेशन की चुनौती

जबकि RADIUS ऑथेंटिकेशन स्टेटलेस है, RADIUS अकाउंटिंग स्वाभाविक रूप से स्टेटफुल है। यह सेशन की शुरुआत (Start), निरंतर उपयोग (Interim-Update), और समाप्ति (Stop) को ट्रैक करता है। WiFi Analytics या बिलिंग सिस्टम का उपयोग करने वाले स्थानों के लिए, यह अकाउंटिंग डेटा सभी नोड्स में सुसंगत रहना चाहिए।

मजबूत हाई एवेलेबिलिटी के लिए रेप्लिकेटेड डेटाबेस (जैसे FreeRADIUS के साथ एकीकृत MySQL या MariaDB) के साथ RADIUS क्लस्टर का समर्थन करना अनिवार्य है। Active-Active डिप्लॉयमेंट के लिए, सिंक्रोनस मल्टी-मास्टर रेप्लिकेशन—जैसे Galera Cluster या MySQL NDB Cluster—आवश्यक है। सिंक्रोनस रेप्लिकेशन यह सुनिश्चित करता है कि एक अकाउंटिंग रिकॉर्ड एक साथ सभी नोड्स पर कमिट हो जाए, जिससे नोड विफल होने पर डेटा हानि को रोका जा सके। पारंपरिक एसिंक्रोनस रेप्लिकेशन, जिसका उपयोग अक्सर Active-Passive सेटअप में किया जाता है, रेप्लिकेशन लैग (देरी) पैदा करता है। यदि सेकेंडरी को अपडेट प्राप्त होने से पहले प्राइमरी नोड विफल हो जाता है, तो सक्रिय सेशन डेटा स्थायी रूप से खो जाता है, जो PCI-DSS जैसे अनुपालन ढांचों का उल्लंघन कर सकता है।

कार्यान्वयन मार्गदर्शिका: क्लाउड बनाम ऑन-प्रिमाइसेस

आर्किटेक्चरल निर्णय केवल सर्वरों को क्लस्टर करने के तरीके से आगे जाता है; इसमें यह भी शामिल है कि वे सर्वर कहाँ स्थित हैं। मल्टी-साइट ऑपरेटरों के लिए, ऑथेंटिकेशन ट्रैफ़िक को एक केंद्रीकृत ऑन-प्रिमाइसेस डेटा सेंटर में वापस ले जाने (backhauling) से WAN लेटेंसी बढ़ती है और WAN लिंक पर सिंगल पॉइंट ऑफ़ फेल्योर पैदा होता है।

Cloud RADIUS प्लेटफॉर्म

Cloud RADIUS सेवाएं कई वैश्विक एवेलेबिलिटी ज़ोन में ऑथेंटिकेशन इन्फ्रास्ट्रक्चर की मेजबानी करके भौगोलिक वितरण की चुनौतियों का समाधान करती हैं। जब कोई उपयोगकर्ता किसी ब्रांच लोकेशन पर कनेक्ट होता है, तो अनुरोध निकटतम क्लाउड एज नोड पर रूट किया जाता है, जिससे लेटेंसी कम से कम होती है।

architecture_overview.png

क्लाउड प्लेटफॉर्म स्वाभाविक रूप से Active-Active आर्किटेक्चर का उपयोग करते हैं। एवेलेबिलिटी ज़ोन के बीच फ़ेलओवर प्रदाता के आंतरिक लोड बैलेंसिंग द्वारा स्वचालित रूप से नियंत्रित किया जाता है, जो ग्राहक की इंजीनियरिंग टीम से जटिलता को पूरी तरह से दूर कर देता है। यह मॉडल आमतौर पर 99.99% अपटाइम SLAs प्रदान करता है और मैन्युअल सर्टिफिकेट प्रबंधन, ऑपरेटिंग सिस्टम पैचिंग और डेटाबेस रेप्लिकेशन ट्यूनिंग की आवश्यकता को समाप्त करता है। वितरित परिसरों में Wayfinding या Sensors को डिप्लॉय करने वाले संगठनों के लिए, क्लाउड-होस्टेड ऑथेंटिकेशन स्थानीयकृत हार्डवेयर निर्भरता के बिना लगातार नीति प्रवर्तन सुनिश्चित करता है।

ऑन-प्रिमाइसेस डिप्लॉयमेंट के विचार

अत्यधिक विनियमित क्षेत्रों में काम करने वाले संगठन—जैसे कि विशिष्ट Healthcare या सरकारी वातावरण—सख्त डेटा संप्रभुता शासनादेशों के कारण ऑन-प्रिमाइसेस डिप्लॉयमेंट की आवश्यकता हो सकती है। इन परिदृश्यों में, Galera सिंक्रोनस रेप्लिकेशन के साथ Active-Active FreeRADIUS क्लस्टर को डिप्लॉय करना उच्चतम स्तर का लचीलापन (resilience) प्रदान करता है।

हालांकि, इंजीनियरिंग टीमों को परिचालन ओवरहेड का ध्यान रखना चाहिए। कई नोड्स में TLS सर्टिफिकेट प्रबंधित करना, कॉन्फ़िगरेशन स्थिरता सुनिश्चित करना और डेटाबेस रेप्लिकेशन स्वास्थ्य की सक्रिय रूप से निगरानी करना इसके लिए समर्पित प्रशासनिक संसाधनों की आवश्यकता होती है। हार्डवेयर लोड बैलेंसर्स को विशेष रूप से उपयुक्त RADIUS हेल्थ चेक के साथ UDP ट्रैफ़िक का समर्थन करने के लिए कॉन्फ़िगर किया जाना चाहिए, क्योंकि कई मानक लोड बैलेंसर्स केवल TCP HTTP/HTTPS ट्रैफ़िक के लिए अनुकूलित होते हैं।

RADIUS हाई एवेलेबिलिटी के लिए सर्वोत्तम प्रथाएं

  1. डुप्लिकेट करने के बजाय वितरित करें (Distribute Rather Than Duplicate): 500 से अधिक समवर्ती (concurrent) उपयोगकर्ताओं वाले डिप्लॉयमेंट के लिए, थ्रूपुट को अधिकतम करने और फ़ेलओवर लेटेंसी को कम करने के लिए Active-Passive सेटअप पर Active-Active आर्किटेक्चर को प्राथमिकता दें।
  2. सिंक्रोनस रेप्लिकेशन लागू करें: एसिंक्रोनस प्राइमरी-रेप्लिका मॉडल के बजाय सिंक्रोनस मल्टी-मास्टर डेटाबेस रेप्लिकेशन (जैसे, Galera Cluster) का उपयोग करके स्टेटफुल अकाउंटिंग डेटा को सुरक्षित रखें।
  3. सर्टिफिकेट ट्रस्ट को मानकीकृत करें: Active-Active क्लस्टर में, सुनिश्चित करें कि सभी नोड्स समान सर्वर सर्टिफिकेट या बिल्कुल उसी सर्टिफिकेट अथॉरिटी (CA) चेन से सर्टिफिकेट प्रस्तुत करें। विसंगतियों के कारण नोड रोटेशन के दौरान EAP-TLS और PEAP हैंडशेक विफल हो जाएंगे।
  4. NAD टाइमर को ट्यून करें: अपने नेटवर्क एक्सेस डिवाइसेस पर RADIUS रीट्राय और टाइमआउट टाइमर को अनुकूलित करें। दो रीट्राय के साथ दो सेकंड का टाइमआउट त्वरित फ़ेलओवर डिटेक्शन और मामूली नेटवर्क कंजेशन के दौरान समय से पहले फ़ेलओवर को रोकने के बीच एक संतुलन प्रदान करता है।
  5. विफलता परिदृश्यों का परीक्षण करें: सेकेंडरी नोड्स को प्रोडक्शन सिस्टम के रूप में मानें। यह सत्यापित करने के लिए कि स्वचालित फ़ेलओवर तंत्र डिज़ाइन के अनुसार काम करते हैं, नियमित रूप से नोड विफलताओं, डेटाबेस डीसिंक्रोनाइज़ेशन और WAN लिंक ड्रॉप का अनुकरण (simulate) करें।

समस्या निवारण और जोखिम न्यूनीकरण

RADIUS हाई एवेलेबिलिटी में सबसे प्रचलित विफलता मोड कॉन्फ़िगरेशन ड्रिफ्ट (configuration drift) है। Active-Passive सेटअप में, एडमिनिस्ट्रेटर अक्सर प्राइमरी नोड पर नीतियों को अपडेट करते हैं या सर्टिफिकेट को रिन्यू करते हैं लेकिन सेकेंडरी की उपेक्षा करते हैं। जब कोई फ़ेलओवर इवेंट होता है, तो सेकेंडरी नोड समाप्त हो चुके (expired) क्रेडेंशियल या पुरानी नीतियों के कारण वैध ट्रैफ़िक को अस्वीकार कर देता है।

इस जोखिम को कम करने के लिए, सभी नोड्स में सममित रूप से (symmetrically) परिवर्तनों को डिप्लॉय करने के लिए कॉन्फ़िगरेशन प्रबंधन टूल (जैसे कि Ansible या Terraform) लागू करें। सर्टिफिकेट प्रबंधन के लिए, अपडेट किए गए सर्टिफिकेट को एक साथ पूरे क्लस्टर में वितरित करने के लिए कॉन्फ़िगर किए गए स्वचालित रिन्यूअल प्रोटोकॉल (जैसे ACME) का उपयोग करें।

दूसरा महत्वपूर्ण जोखिम लोड बैलेंसर का गलत कॉन्फ़िगरेशन है। यदि कोई लोड बैलेंसर एप्लिकेशन-लेयर हेल्थ चेक (विशेष रूप से UDP पोर्ट 1812 प्रतिक्रिया की पुष्टि करना) नहीं करता है, तो यह उस नोड पर ट्रैफ़िक रूट करना जारी रख सकता है जहाँ ऑपरेटिंग सिस्टम चल रहा है लेकिन RADIUS डेमन क्रैश हो गया है। सुनिश्चित करें कि हेल्थ चेक स्पष्ट रूप से RADIUS सेवा की उपलब्धता को सत्यापित करते हैं।

ROI और व्यावसायिक प्रभाव

मजबूत RADIUS हाई एवेलेबिलिटी के लिए निवेश पर रिटर्न (ROI) को मुख्य रूप से जोखिम न्यूनीकरण और परिचालन दक्षता के माध्यम से मापा जाता है। ऑथेंटिकेशन आउटेज के परिणामस्वरूप कर्मचारियों के लिए तत्काल उत्पादकता का नुकसान होता है और सार्वजनिक स्थानों के लिए गंभीर प्रतिष्ठा की हानि होती है।

मैन्युअल, सिंगल-सर्वर डिप्लॉयमेंट से स्वचालित, Active-Active आर्किटेक्चर (विशेष रूप से Cloud RADIUS के माध्यम से) में संक्रमण करके, संगठन पहले नियमित रखरखाव के लिए समर्पित महत्वपूर्ण इंजीनियरिंग घंटों को वापस पा लेते हैं। यह परिचालन दक्षता नेटवर्क टीमों को ऑथेंटिकेशन विफलताओं को सुलझाने के बजाय रणनीतिक पहलों पर ध्यान केंद्रित करने की अनुमति देती है, जैसे कि The Core SD WAN Benefits for Modern Businesses को डिप्लॉय करना या हाई-डेंसिटी कवरेज को अनुकूलित करना। अंततः, विश्वसनीय ऑथेंटिकेशन वह बुनियादी परत है जिस पर बाद की सभी नेटवर्क सेवाएं निर्भर करती हैं।

मुख्य परिभाषाएं

Active-Active आर्किटेक्चर

एक हाई एवेलेबिलिटी डिज़ाइन जहाँ कई RADIUS सर्वर एक साथ ऑथेंटिकेशन अनुरोधों को प्रोसेस करते हैं, लोड को वितरित करते हैं और बिना किसी डिटेक्शन देरी के तत्काल फ़ेलओवर प्रदान करते हैं।

हाई-डेंसिटी वाले स्थानों (स्टेडियम, बड़े रिटेल) के लिए आवश्यक है जहाँ एक सिंगल सर्वर चरम ऑथेंटिकेशन उछाल को नहीं संभाल सकता है।

Active-Passive आर्किटेक्चर

एक रिडंडेंसी मॉडल जहाँ एक प्राइमरी सर्वर सभी ट्रैफ़िक को संभालता है, और एक सेकेंडरी सर्वर प्राइमरी के विफल होने तक स्टैंडबाय पर निष्क्रिय रहता है।

छोटे, लागत-संवेदनशील डिप्लॉयमेंट के लिए उपयुक्त है, लेकिन जब नेटवर्क एक्सेस डिवाइस विफलता का पता लगाता है तो 6-18 सेकंड की फ़ेलओवर देरी होती है।

सिंक्रोनस रेप्लिकेशन

एक डेटाबेस रेप्लिकेशन विधि जहाँ लेनदेन को पूरा मानने से पहले डेटा को एक साथ क्लस्टर के सभी नोड्स में लिखा जाता है।

डेटा हानि को रोकने और अनुपालन सुनिश्चित करने के लिए Active-Active RADIUS अकाउंटिंग डेटाबेस (जैसे Galera Cluster) के लिए अनिवार्य है।

एसिंक्रोनस रेप्लिकेशन

एक डेटाबेस रेप्लिकेशन विधि जहाँ प्राइमरी नोड डेटा रिकॉर्ड करता है और बाद में इसे सेकेंडरी नोड्स में कॉपी करता है, जिससे थोड़ी देरी (lag) होती है।

अक्सर Active-Passive सेटअप में उपयोग किया जाता है लेकिन यदि प्राइमरी नोड अचानक विफल हो जाता है तो हाल के अकाउंटिंग रिकॉर्ड खोने का जोखिम रहता है।

नेटवर्क एक्सेस डिवाइस (NAD)

हार्डवेयर घटक (जैसे कि WiFi एक्सेस पॉइंट, स्विच, या VPN गेटवे) जो उपयोगकर्ता की ओर से RADIUS सर्वर से ऑथेंटिकेशन का अनुरोध करता है।

NAD के आंतरिक रीट्राय और टाइमआउट टाइमर यह तय करते हैं कि Active-Passive फ़ेलओवर कितनी जल्दी होता है।

स्टेटलेस प्रोटोकॉल

एक संचार प्रोटोकॉल जो प्रत्येक अनुरोध को एक स्वतंत्र लेनदेन के रूप में मानता है, जो किसी पिछले अनुरोध से संबंधित नहीं होता है।

UDP पर RADIUS ऑथेंटिकेशन स्टेटलेस है, जिससे लोड बैलेंसर्स किसी भी अनुरोध को किसी भी सक्रिय सर्वर पर आसानी से रूट कर सकते हैं।

कॉन्फ़िगरेशन ड्रिफ्ट

वह घटना जहाँ समय के साथ नीतियों, अपडेट या सर्टिफिकेट के संबंध में सेकेंडरी या बैकअप सर्वर प्राइमरी सर्वर के साथ सिंक से बाहर हो जाते हैं।

Active-Passive RADIUS डिप्लॉयमेंट में विफलता का प्रमुख कारण जब सेकेंडरी नोड को कार्यभार संभालने के लिए मजबूर किया जाता है।

Cloud RADIUS

विश्व स्तर पर वितरित क्लाउड इन्फ्रास्ट्रक्चर पर होस्ट की गई एक प्रबंधित ऑथेंटिकेशन सेवा, जो इन-बिल्ट Active-Active रिडंडेंसी और स्वचालित स्केलिंग प्रदान करती है।

IT टीमों के लिए मैन्युअल रूप से रिडंडेंट ऑन-प्रिमाइसेस RADIUS सर्वरों को बनाने, पैच करने और उनकी निगरानी करने की आवश्यकता को प्रतिस्थापित करता है।

हल किए गए उदाहरण

एक यूरोपीय होटल समूह छह देशों में 45 संपत्तियों का प्रबंधन करता है। वे वर्तमान में प्रत्येक संपत्ति पर स्वतंत्र FreeRADIUS वर्चुअल मशीन चलाते हैं। हाल ही में एक स्थान पर समाप्त हो चुके (expired) TLS सर्टिफिकेट के कारण एक बड़े सम्मेलन के दौरान अतिथि WiFi पूरी तरह से बंद हो गया। स्थानीयकृत आउटेज को रोकने और रखरखाव ओवरहेड को कम करने के लिए उन्हें अपने ऑथेंटिकेशन आर्किटेक्चर को कैसे नया रूप देना चाहिए?

होटल समूह को स्थानीयकृत, सिंगल-नोड FreeRADIUS इंस्टेंस से Active-Active आर्किटेक्चर का उपयोग करने वाले केंद्रीकृत Cloud RADIUS प्लेटफॉर्म पर माइग्रेट करना चाहिए। भौगोलिक रूप से वितरित एज नोड्स वाले क्लाउड प्रदाता का लाभ उठाकर, प्रत्येक संपत्ति से ऑथेंटिकेशन अनुरोधों को निकटतम क्षेत्रीय नोड पर रूट किया जाता है, जिससे लेटेंसी कम से कम होती है। केंद्रीकृत नीति प्रबंधन IT टीम को एक बार ऑथेंटिकेशन नियम परिभाषित करने और उन्हें विश्व स्तर पर लागू करने की अनुमति देता है। क्लाउड प्रदाता स्वचालित रूप से TLS सर्टिफिकेट रोटेशन, ऑपरेटिंग सिस्टम पैचिंग और डेटाबेस रेप्लिकेशन को संभालता है।

परीक्षक की टिप्पणी: यह दृष्टिकोण 45 सिंगल पॉइंट ऑफ़ फेल्योर को समाप्त करता है और प्रति-साइट रखरखाव के परिचालन बोझ को हटाता है। Active-Active क्लाउड आर्किटेक्चर यह सुनिश्चित करता है कि यदि किसी विशिष्ट क्षेत्रीय नोड में कोई समस्या आती है, तो ट्रैफ़िक स्वचालित रूप से और तुरंत अगले निकटतम एवेलेबिलिटी ज़ोन में रूट हो जाता है, जिसके परिणामस्वरूप मेहमानों के लिए शून्य डाउनटाइम का अनुभव होता है।

एक राष्ट्रीय खेल स्टेडियम 60,000 दर्शकों वाले कार्यक्रम की तैयारी कर रहा है। उनका वर्तमान RADIUS सेटअप एक Active-Passive कॉन्फ़िगरेशन है। लोड टेस्टिंग के दौरान, गेट खुलने पर प्रति मिनट 8,000 ऑथेंटिकेशन अनुरोधों को प्रोसेस करने में प्राइमरी सर्वर संतृप्त (saturated) हो गया, जिससे गंभीर कनेक्शन देरी हुई, जबकि सेकेंडरी सर्वर पूरी तरह से निष्क्रिय रहा। वे इस डिप्लॉयमेंट को कैसे अनुकूलित कर सकते हैं?

नेटवर्क इंजीनियरिंग टीम को डिप्लॉयमेंट को Active-Passive से Active-Active में बदलना होगा। सबसे पहले, उन्हें स्टेडियम के नेटवर्क एक्सेस डिवाइसेस (NADs) को दोनों RADIUS सर्वरों पर राउंड-रॉबिन लोड बैलेंसिंग का उपयोग करने के लिए पुन: कॉन्फ़िगर करना चाहिए, जिससे उनका ऑथेंटिकेशन थ्रूपुट तुरंत दोगुना हो जाएगा। दूसरा, उन्हें चरम उछाल (peak surges) के लिए आवश्यक हेडरूम प्रदान करने के लिए एक तीसरा RADIUS नोड प्रोविज़न करना चाहिए। अंत में, यह सुनिश्चित करने के लिए कि अकाउंटिंग डेटा सभी तीन सक्रिय नोड्स में सुसंगत रहे, उन्हें एक सिंक्रोनस मल्टी-मास्टर डेटाबेस रेप्लिकेशन समाधान लागू करना होगा, जैसे कि Galera Cluster.

परीक्षक की टिप्पणी: Active-Active में परिवर्तित करने से प्रोसेसिंग क्षमता हॉरिजॉन्टली स्केल होती है, जो सीधे तौर पर बाधा (bottleneck) को दूर करती है। इस परिदृश्य में सिंक्रोनस डेटाबेस रेप्लिकेशन का उपयोग करना महत्वपूर्ण है; यह गारंटी देता है कि उपयोगकर्ताओं की भारी आमद के दौरान यदि कोई नोड विफल हो जाता है, तो सेशन अकाउंटिंग डेटा नहीं खोता है, जो सटीक एनालिटिक्स और अनुपालन के लिए आवश्यक है।

अभ्यास प्रश्न

Q1. आपके एंटरप्राइज रिटेल क्लाइंट को उनके पॉइंट-ऑफ-सेल टर्मिनलों के लिए एक अत्यधिक उपलब्ध (highly available) RADIUS समाधान की आवश्यकता है। उनके पास सख्त PCI-DSS अनुपालन आवश्यकताएं हैं जो यह निर्देश देती हैं कि सर्वर फ़ेलओवर के दौरान बिल्कुल भी अकाउंटिंग सेशन डेटा नहीं खोना चाहिए। आपको RADIUS बैकएंड के लिए कौन सी डेटाबेस रेप्लिकेशन रणनीति लागू करनी चाहिए?

संकेत: इस अंतर पर विचार करें कि डेटा को एक साथ लिखा जा रहा है बनाम बाद में कॉपी किया जा रहा है।

मॉडल उत्तर देखें

आपको सिंक्रोनस रेप्लिकेशन (जैसे कि Galera Cluster या MySQL NDB Cluster) लागू करना चाहिए। सिंक्रोनस रेप्लिकेशन यह सुनिश्चित करता है कि लेनदेन को स्वीकार करने से पहले अकाउंटिंग रिकॉर्ड एक साथ सभी नोड्स पर कमिट हो जाए। यदि आप एसिंक्रोनस रेप्लिकेशन का उपयोग करते हैं, तो नोड की विफलता के परिणामस्वरूप हाल के लेनदेन का नुकसान हो सकता है जिन्हें अभी तक सेकेंडरी डेटाबेस में कॉपी नहीं किया गया था, जो सख्त अनुपालन आवश्यकता का उल्लंघन करेगा।

Q2. एक विश्वविद्यालय परिसर नेटवर्क Active-Passive RADIUS सेटअप का उपयोग करता है। छात्र शिकायत करते हैं कि जब प्राइमरी सर्वर का रखरखाव (maintenance) होता है, तो उनके लैपटॉप को WiFi से कनेक्ट होने में लगभग 20 सेकंड का समय लगता है। एक्सेस पॉइंट्स को 3-सेकंड के RADIUS टाइमआउट और 5 रीट्राय के साथ कॉन्फ़िगर किया गया है। आप सर्वर आर्किटेक्चर को बदले बिना फ़ेलओवर देरी को कैसे कम कर सकते हैं?

संकेत: सेकेंडरी सर्वर पर प्रयास करने से पहले NAD टाइमर के आधार पर अधिकतम प्रतीक्षा समय की गणना करें।

मॉडल उत्तर देखें

आपको नेटवर्क एक्सेस डिवाइसेस (एक्सेस पॉइंट्स) पर टाइमर को ट्यून करना चाहिए। वर्तमान में, AP 3 सेकंड प्रतीक्षा करता है और 5 बार पुनः प्रयास करता है, जिसके परिणामस्वरूप पैसिव सर्वर पर फ़ेलओवर होने से पहले 18 सेकंड की देरी (3 सेकंड × 6 कुल प्रयास) होती है। कॉन्फ़िगरेशन को 2-सेकंड के टाइमआउट और 2 रीट्राय तक कम करके, फ़ेलओवर डिटेक्शन का समय घटकर 6 सेकंड हो जाता है, जिससे रखरखाव विंडो के दौरान उपयोगकर्ता अनुभव में काफी सुधार होता है।

Q3. आप एक मल्टी-साइट कॉर्पोरेट नेटवर्क को Active-Passive ऑन-प्रिमाइसेस RADIUS सर्वर से Active-Active Cloud RADIUS प्लेटफॉर्म पर माइग्रेट कर रहे हैं। पायलट चरण के दौरान, डिवाइस Cloud Node A के खिलाफ सफलतापूर्वक ऑथेंटिकेट होते हैं, लेकिन जब लोड बैलेंसर उन्हें Cloud Node B पर रूट करता है, तो EAP-TLS हैंडशेक विफल हो जाते हैं। सबसे संभावित कॉन्फ़िगरेशन त्रुटि क्या है?

संकेत: विचार करें कि नया सर्वर के साथ सुरक्षित EAP टनल स्थापित करते समय क्लाइंट डिवाइस क्या सत्यापित करता है।

मॉडल उत्तर देखें

सबसे संभावित समस्या सर्टिफिकेट ट्रस्ट बेमेल (Certificate Trust mismatch) है। Active-Active क्लस्टर में, सभी RADIUS नोड्स को बिल्कुल समान सर्वर सर्टिफिकेट (या बिल्कुल उसी विश्वसनीय CA चेन द्वारा जारी किए गए सर्टिफिकेट) प्रस्तुत करने चाहिए। यदि Cloud Node B एक अलग सर्टिफिकेट प्रस्तुत कर रहा है जिस पर क्लाइंट डिवाइस भरोसा नहीं करते हैं, तो EAP-TLS हैंडशेक को क्लाइंट द्वारा अस्वीकार कर दिया जाएगा, जिससे सर्वर के सही ढंग से काम करने के बावजूद ऑथेंटिकेशन विफल हो जाएगा।

इस श्रृंखला में आगे पढ़ें

विक्रेता द्वारा प्रति-डिवाइस PSK: iPSK, DPSK, MPSK और PPSK की तुलना (और WPA3 सपोर्ट)

Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet, और Ubiquiti UniFi में प्रति-डिवाइस PSK इम्प्लीमेंटेशन की एक व्यापक तुलना। जानें कि WPA3-SAE प्रति-डिवाइस की (key) रणनीतियों को कैसे प्रभावित करता है और कब ट्रांज़िशन मोड को तैनात करना चाहिए बनाम 802.1X पर जाना चाहिए।

गाइड पढ़ें →

कैप्टिव पोर्टल प्रमाणीकरण विधियों की तुलना

यह आधिकारिक तकनीकी संदर्भ गाइड पांच मुख्य कैप्टिव पोर्टल प्रमाणीकरण विधियों के आर्किटेक्चरल, परिचालन और अनुपालन ट्रेड-ऑफ का मूल्यांकन करती है। यह नेटवर्क आर्किटेक्ट्स, IT निदेशकों और मार्केटिंग प्रबंधकों को एंटरप्राइज वेन्यू में डेटा-संग्रह आवश्यकताओं के साथ गेस्ट ऑनबोर्डिंग घर्षण को संतुलित करने के लिए आवश्यक मात्रात्मक डेटा और निर्णय ढांचे प्रदान करती है।

गाइड पढ़ें →

MAC एड्रेस ऑथेंटिकेशन क्या है? इसका उपयोग कब करें और इससे कब बचें

यह आधिकारिक तकनीकी संदर्भ गाइड एंटरप्राइज़ WiFi वातावरण में MAC एड्रेस ऑथेंटिकेशन को कवर करती है — कैसे RADIUS-आधारित MAC ऑथेंटिकेशन लेयर 2 पर काम करता है, इसकी अंतर्निहित सुरक्षा कमजोरियां (जिसमें MAC स्पूफिंग और OS-स्तरीय MAC रैंडमाइजेशन का प्रभाव शामिल है), और सटीक परिचालन संदर्भ जहां यह IoT और हेडलेस डिवाइसों के प्रबंधन के लिए एक वैध उपकरण बना हुआ है। यह हॉस्पिटैलिटी, रिटेल, हेल्थकेयर और सार्वजनिक क्षेत्र के परिसरों में IT प्रबंधकों और नेटवर्क आर्किटेक्ट्स के लिए व्यावहारिक परिनियोजन मार्गदर्शन प्रदान करता है, जिसमें वास्तविक दुनिया के व्यावहारिक उदाहरण, निर्णय ढांचे और Purple के गेस्ट WiFi और एनालिटिक्स प्लेटफॉर्म के लिए एकीकरण संदर्भ शामिल हैं।

गाइड पढ़ें →