> > Каждый сервер выдает собственный пул IP адресов, и пытается хранить адрес
> > для логина как можно дольше. У сервера есть своя структура в виде .db
> > (indexed by login), где описаны все нужные параметры типа
> > password,enable,group,seconds_left,fix_ip,routing.
>
> То есть если юзеру случилось перезвонить на пул, который обслуживается
> другим NAS/другим сервером авторизации, то он получает другой адрес?
Да, именно так.
> > Паралельно работает некая тулза, которая обходит по SNMP все пулы,
> > изучает вопрос двойных заходов (каждый сервер авторизации обеспечивает
> > один заход только внутри себя), лечит нарушителей сначала почтой, а
> > потом закрытием, и сносит тех кому сейчас не положено работать. Плюс
> > делает еще кое-какие полезные вещи.
> >
> > Сшибалка - вещь сколь странная, столько и полезная. Это плата за
> > слабосвязанные сервера авторизации. Заметим, что distributed решение
> > от Cisco (Secure Server) стоит $32k.
>
> А почему вы отказались от учета всех пулов адресов в одном месте,
> например, в DB? Или в другом месте, которое выдает адреса по запросу
> извне и которое легче сдублировать, научив эти модули общаться друг
> с другом?
В централизованной и сложно DB - точно плохо. Я уже выссказывал.
Умер он - и нет ничего.
Для авторизации нужно делать что-то отдельное и легкое по схемам
Master-Slave или равноправную. В первом случае придется делать достаточно
хитрый алгоритм синхронизации и переключений при сбое и обратно, особенно
весело получается при потере взаимной коннективити.
Равноправная сразу решает эту проблему, но она сложнее в реализации. С
учетом спорности самой потребности в кешировании IP, мы остановились на
данном промежуточном варианте. Кому нужно - у того кешируется.
Boris.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
