1、什麼是伺服器,詳細些,謝謝各位啦!
從廣義上講,伺服器是指網路中能對其它機器提供某些服務的計算機系統(如果一個PC對外提供ftp服務,也可以叫伺服器)。
從狹義上講,伺服器是專指某些高性能計算機,能通過網路,對外提供服務。相對於普通PC來說,穩定性、安全性、性能等方面都要求更高,因此在CPU、晶元組、內存、磁碟系統、網路等硬體和普通PC有所不同。
伺服器解析
伺服器作為網路的節點,存儲、處理網路上80%的數據、信息,因此也被稱為網路的靈魂。做一個形象的比喻:伺服器就像是郵局的交換機,而微機、筆記本、PDA、手機等固定或移動的網路終端,就如散落在家庭、各種辦公場所、公共場所等處的電話機。我們與外界日常的生活、工作中的電話交流、溝通,必須經過交換機,才能到達目標電話;同樣如此,網路終端設備如家庭、企業中的微機上網,獲取資訊,與外界溝通、娛樂等,也必須經過伺服器,因此也可以說是伺服器在「組織」和「領導」這些設備。
它是網路上一種為客戶端計算機提供各種服務的高性能的計算機,它在網路操作系統的控制下,將與其相連的硬碟、磁帶、列印機、Modem及各種專用通訊設備提供給網路上的客戶站點共享,也能為網路用戶提供集中計算、信息發表及數據管理等服務。它的高性能主要體現在高速度的運算能力、長時間的可靠運行、強大的外部數據吞吐能力等方面。
伺服器的構成與微機基本相似,有處理器、硬碟、內存、系統匯流排等,它們是針對具體的網路應用特別制定的,因而伺服器與微機在處理能力、穩定性、可靠性、安全性、可擴展性、可管理性等方面存在差異很大。尤其是隨著信息技術的進步,網路的作用越來越明顯,對自己信息系統的數據處理能力、安全性等的要求也越來越高,如果您在進行電子商務的過程中被黑客竊走密碼、損失關鍵商業數據;如果您在自動取款機上不能正常的存取,您應該考慮在這些設備系統的幕後指揮者————伺服器,而不是埋怨工作人員的素質和其他客觀條件的限制。
伺服器分類
目前,按照體系架構來區分,伺服器主要分為兩類:
非x86伺服器:包括大型機、小型機和UNIX伺服器,它們是使用RISC(精簡指令集)或EPIC處理器,並且主要採用UNIX和其它專用操作系統的伺服器,精簡指令集處理器主要有IBM公司的POWER和PowerPC處理器,SUN與富士通公司合作研發的SPARC處理器、EPIC處理器主要是HP與Intel合作研發的安騰處理器等。這種伺服器價格昂貴,體系封閉,但是穩定性好,性能強,主要用在金融、電信等大型企業的核心系統中。
x86伺服器:又稱CISC(復雜指令集)架構伺服器,即通常所講的PC伺服器,它是基於PC機體系結構,使用Intel或其它兼容x86指令集的處理器晶元和Windows操作系統的伺服器,如IBM的System x系列伺服器、HP的Proliant 系列伺服器等。 價格便宜、兼容性好、穩定性差、不安全,主要用在中小企業和非關鍵業務中。
從當前的網路發展狀況看,以「小、巧、穩」為特點的x86架構的PC伺服器得到了更為廣泛的應用。
從理論定義來看,伺服器是網路環境中的高性能計算機,它偵聽網路上其它計算機(客戶機)提交的服務請求,並提供相應的服務。為此,伺服器必須具有承擔服務並且保障服務質量的能力。
但是這樣來解釋仍然顯得較為深奧模糊,其實伺服器與個人電腦的功能相類似,均是幫助人類處理信息的工具,只是二者的定位不同,個人電腦(簡稱為Personal Computer,PC)是為滿足個人的多功能需要而設計的,而伺服器是為滿足眾多用戶同時在其上處理數據而設計的。而多人如何同時使用同一台伺服器呢?這只能通過網路互聯,來幫助達到這一共同使用的目的。
我們再來看伺服器的功能,伺服器可以用來搭建網頁服務(我們平常上網所看到的網頁頁面的數據就是存儲在伺服器上供人訪問的)、郵件服務(我們發的所有電子郵件都需要經過伺服器的處理、發送與接收)、文件共享&列印共享服務、資料庫服務等。而這所有的應用都有一個共同的特點,他們面向的都不是一個人,而是眾多的人,同時處理的是眾多的數據。所以伺服器與網路是密不可分的。可以說離開了網路,就沒有伺服器;伺服器是為提供服務而生,只有在網路環境下它才有存在的價值。而個人電腦完全可以在單機的情況下完成主人的數據處理任務。
伺服器硬體
其實說起來伺服器系統的硬體構成與我們平常所接觸的電腦有眾多的相似之處,主要的硬體構成仍然包含如下幾個主要部分:中央處理器、內存、晶元組、I/O匯流排、I/O設備、電源、機箱和相關軟體。這也成了我們選購一台伺服器時所主要關注的指標。
整個伺服器系統就像一個人,處理器就是伺服器的大腦,而各種匯流排就像是分布與全身肌肉中的神經,晶元組就像是脊髓,而I/O設備就像是通過神經系統支配的人的手、眼睛、耳朵和嘴;而電源系統就像是血液循環系統,它將能量輸送到身體的所有地方。
對於一台伺服器來講,伺服器的性能設計目標是如何平衡各部分的性能,使整個系統的性能達到最優。如果一台伺服器有每秒處理1000個服務請求的能力,但網卡只能接受200個請求,而硬碟只能負擔150個,而各種匯流排的負載能力僅能承擔100個請求的話,那這台伺服器得處理能力只能是100個請求/秒,有超過80%的處理器計算能力浪費了。
所以設計一個好伺服器的最終目的就是通過平衡各方面的性能,使得各部分配合得當,並能夠充分發揮能力。我們可以從這幾個方面來衡量伺服器是否達到了其設計目的;R:Reliability——可靠性;A:Availability——可用性;S:Scalability——可擴展性;U:Usability——易用性; M:Manageability——可管理性,即伺服器的RASUM衡量標准。
由於伺服器在網路中提供服務,那麼這個服務的質量對承擔多種應用的網路計算環境是非常重要的,承擔這個服務的計算機硬體必須有能力保障服務質量。這個服務首先要有一定的容量,能響應單位時間內合理數量的伺服器請求,同時這個服務對單個服務請求的響應時間要盡量快,還有這個服務要在要求的時間范圍內一直存在。
如果一個WEB伺服器只能在1分鍾里處理1個主頁請求,1個以外的其他請求必須排隊等待,而這一個請求必須要3分鍾才能處理完,同時這個WEB伺服器在1個小時以前可以訪問到,但一個小時以後卻連接不上了,這種WEB伺服器在現在的Internet計算環境里是無法想像的。
現在的WEB伺服器必須能夠同時處理上千個訪問,同時每個訪問的響應時間要短,而且這個WEB伺服器不能停機,否則這個WEB伺服器就會造成訪問用戶的流失。
為達到上面的要求,作為伺服器硬體必須具備如下的特點:性能,使伺服器能夠在單位時間內處理相當數量的伺服器請求並保證每個服務的響應時間;可靠性,使得伺服器能夠不停機;可擴展性,使伺服器能夠隨著用戶數量的增加不斷提升性能。因此我們說不能把一台普通的PC作為伺服器來使用,因為,PC遠遠達不到上面的要求。這樣我們在伺服器的概念上又加上一點就是伺服器必須具有承擔服務並保障服務質量的能力。這也是區別低價伺服器和PC的差異的主要方面。
在信息系統中,伺服器主要應用於資料庫和Web服務,而PC主要應用於桌面計算和網路終端,設計根本出發點的差異決定了伺服器應該具備比PC更可靠的持續運行能力、更強大的存儲能力和網路通信能力、更快捷的故障恢復功能和更廣闊的擴展空間,同時,對數據相當敏感的應用還要求伺服器提供數據備份功能。而PC機在設計上則更加重視人機介面的易用性、圖像和3D處理能力及其他多媒體性能。
伺服器內存
制約伺服器性能的硬體條件中,內存可以說是重中之重!其性能和品質也是考核伺服器產品的一個重要方面。可是對於伺服器內存,相信由於大多數人接觸不多,還是缺乏了解。本文主要給讀者朋友回答兩個方面的問題:何謂伺服器內存?它與台式機的內存存在著什麼本質的差別?
伺服器內存重要性闡述
伺服器運行著企業關鍵業務,一次內存錯誤導致的宕機將使數據永久丟失。本身內存作為一種電子器件,很容易出現各種錯誤。
因此,面臨著企業事實的壓力和本身的不足,各個廠商都早已積極推出自己獨特的伺服器內存技術,像HP的「在線備份內存」和熱插拔鏡像內存;IBM的ChipKill內存技術和熱更換和熱增加內存技術。而隨著企業信息系統的擴展所需,內存的密度和容量也將會得到相應的發展。
伺服器內存性能探討
*伺服器內存也是內存,它與我們平常在電腦城所見的普通內存在外觀和結構上沒有什麼實質性的區別,它主要是在內存上引入了一些新的技術,僅從外觀上是不得出什麼結論的。這樣或許你就擔心了,如果別人拿普通PC機的內存條當伺服器內存條賣給你,咋辦?這一般來說可以放心,其可能性幾乎為零。因為普通PC機上的內存在伺服器上一般是不可用的,這也說明伺服器內存不能隨便為了貪便宜而用普通PC機的內存來替代就可了事。
*如今常用的伺服器內存主要有SDRAM和DDR二類,還有另一種RAMBUS內存,是一種高性能、晶元對晶元介面技術的新一代存儲產品。 現在剛興起的DDR2,也逐漸延伸到伺服器內存。現代Hynix在去年六月份已經開始量產供伺服器和工作站使用的DDR2內存了。
*而從技術層面來說,之所以與普通內存有著區別,都是因為ECC。這是 ErrorChecking and Correcting的簡寫。它廣泛應用於各種領域的計算機指令中。ECC和奇偶校驗(Parity)類似。然而,在那些Parity只能檢測到錯誤的地方,ECC實際上可以糾正絕大多數錯誤。經過內存的糾錯,計算機的操作指令才可以繼續執行。這在無形中也就保證了伺服器系統的穩定可靠。但ECC技術只能糾正單比特的內存錯誤, 當有多比特錯誤發生的時候,ECC內存會生成一個不可隱藏(non-maskable interrupt)的中斷 (NMI),系統將會自動中止運行。
產品了解
對於一般內存而言,用戶很注重他們參數,如帶寬、內存匯流排速度、等待周期、CAS的延遲時間等參數。但對於伺服器而言,我們考慮往往是內存的製作工藝,伺服器內存一般都採用8層PCB板,完美的電源層和布線層完全體現著穩定性的差距;以及內存的封裝技術,它不僅能夠給內存帶來體積的理想性、容量的擴展性,更重要的是解決了散熱、可靠性和密度的問題。在這些方面做得比較好的廠商產品,比如:
Kingston伺服器內存。金士頓kingston作為目前全球最大、最專業的內存製造廠商,憑借長期積累下的經驗,使得在高端伺服器內存製造中同樣出色,有著其它內存製造廠商所無法比擬的生產技術優勢。它以極高的品質和嚴密的測試為您的伺服器提供高效而穩定的產品,為保證每塊伺服器內存的產品質量,Kingston公司對所有的內存產品實行全面的品質控制流程,對每一塊伺服器內存產品上的每個晶元的每個存儲單元都進行了嚴格的測試,從而使得Kingston伺服器內存的可靠性接近於100%。下圖是Kingston的一款主流產品512MB(PC-133/SDRAM/E)Samsung單條1GB PC2100 ECC DDR。這款條子主要面對的是入門級別伺服器市場,它採用Samsung自己生產的內存晶元,型號為K4H510638E-TCB0。該晶元容量高達64M,4 Bank架構設計,SSTL2介面界面,66針TSOP2封裝形式,默認工作電壓2.5V,默認工作頻率當CL=2時為DDR200、當CL=2.5以上時為DDR266。 晶元的物理結構與我們平時使用的DDR內存晶元有所不同,由兩層晶元組成。
伺服器CPU
伺服器CPU,顧名思義,就是在伺服器上使用的CPU(Center Process Unit中央處理器)。接觸過區域網絡的讀者一定,伺服器是網路中的重要設備,要接受成千上萬用戶的訪問,因此對伺服器具有大數據量的快速吞吐、超強的穩定性、長時間運行等嚴格要求。所以才將CPU比喻成計算機的「大腦」,同時CPU也是是衡量伺服器性能的首要指標。本文通過對兩家CPU廠商的的產品簡要分析,旨在給讀者朋友們一個認識,能與普通CPU作區別就行!
我們先來看看伺服器CPU的一些特性。目前,伺服器的CPU仍按CPU的指令系統來區分,通常分為CISC型CPU和RISC型CPU兩類,後來又出現了一種64位的VLIM(Very Long Instruction Word超長指令集架構)指令系統的CPU。
CISC型CPU
CISC是英文「Complex Instruction Set Computer」的縮寫,中文意思是「復雜指令集」,它是指英特爾生產的x86(intel CPU的一種命名規范)系列CPU及其兼容CPU(其他廠商如AMD,VIA等生產的CPU),它基於PC機(個人電腦)體系結構。這種CPU一般都是32位的結構,所以我們也把它成為IA-32 CPU。(IA: Intel Architecture,Intel架構)。CISC型CPU目前主要有intel的伺服器CPU和AMD的伺服器CPU兩類。
RISC型CPU
RISC是英文「Reced Instruction Set Computing 」 的縮寫,中文意思是「精簡指令集」。它是在CISC(Complex Instruction Set Computer)指令系統基礎上發展起來的,相對於CISC型CPU ,RISC型CPU不僅精簡了指令系統,還採用了一種叫做「超標量和超流水線結構」,架構在同等頻率下,採用RISC架構的CPU比CISC架構的CPU性能高很多,這是由CPU的技術特徵決定的。RISC型CPU與Intel和AMD的CPU在軟體和硬體上都不兼容。
接著我們來認識一下市場上常見的兩大CPU廠商的伺服器產品:
Intel公司的產品。Pentium 4和Celeron是面向個人電腦的,「Xeon(至強)」、「Xeon MP」和「Itanium(安騰)」是面向工作站和伺服器的。此外,雖然每個品種的最高工作頻率、所支持的FSB以及高速緩存容量等都有一些微小的區別,但內部設計基本相同,確保了軟體的兼容性。Pentium 4(或者Celeron)和Xeon的最大區別是對一台機器中安裝多個CPU的「多處理器系統」的支持。Pentium 4在整個系統中只能安裝一個物理CPU,而Xeon可以集成2個,XeonMP甚至可以集成4個以上。這里要特別提提安騰處理器:
這類處理器應該說是大多數人不是很了解的處理器之一。因為它是專為要求苛刻的企業和技術應用而設計,是瞄準高端企業市場的,並且相對Intel其他系列的處理器來說,其價格昂貴,即使最便宜的型號價值仍然超過1000美元!安騰處理器是構建在IA-64(Intel Architecture 64)上,64位只是安騰處理器的一個技術特徵。最新的安騰2處理器具有6.4GB/秒的系統匯流排帶寬、6MB的集成三級高速緩存和1.5GHz的主頻。
AMD的產品。AMD 從2001年開始在伺服器領域躍躍欲試,並於6月推出了支持雙處理器的Althlon MP及配套的AMD-760 MP晶元組,支持DDR ECC SDRAM和AGP 4X。該晶元組包括AMD-762系統控制器(北橋)和AMD-766周邊匯流排控制器(南橋),稍顯不足的是AMD-762隻在33MHz上支持64位PCI。AMD Athlon MP 處理器可與穩定可靠的 AMD Socket A 結構兼容,並可支持 DDR 內存。這款處理器採用 AMD 的 0.13 微米銅導線工藝技術製造,由 AMD 設於德國德累斯頓的 Fab 30 晶元廠負責生產。
AMD Athlon MP處理器是AMD Athlon系列處理器的最新型號,可確保多處理器系統能發揮前所未有的高效能。這款處理器是全球首款有如此能力的第七代x86處理器,可支持高效能多處理器平台的伺服器及工作站。M 同時MP型的處理器是配置單處理器(1-way)和雙處理器(2-way)伺服器及工作站平台所必要的組件,尤其適用於商用及企業系統。這款處理器的設計獨特,最適合執行多線程序以及負責重要任務的應用軟體。
機架式伺服器
機架式伺服器的外形看來不像計算機,而像交換機,有1U(1U=1.75英寸=4.45CM)、2U、4U等規格。機架式伺服器安裝在標準的19英寸機櫃裡面。這種結構的多為功能型伺服器。
對於信息服務企業(如ISP/ICP/ISV/IDC)而言,選擇伺服器時首先要考慮伺服器的體積、功耗、發熱量等物理參數,因為信息服務企業通常使用大型專用機房統一部署和管理大量的伺服器資源,機房通常設有嚴密的保安措施、良好的冷卻系統、多重備份的供電系統,其機房的造價相當昂貴。如何在有限的空間內部署更多的伺服器直接關繫到企業的服務成本,通常選用機械尺寸符合19英寸工業標準的機架式伺服器。機架式伺服器也有多種規格,例如1U(4.45cm高)、2U、4U、6U、8U等。通常1U的機架式伺服器最節省空間,但性能和可擴展性較差,適合一些業務相對固定的使用領域。4U以上的產品性能較高,可擴展性好,一般支持4個以上的高性能處理器和大量的標准熱插拔部件。管理也十分方便,廠商通常提供人相應的管理和監控工具,適合大訪問量的關鍵應用,但體積較大,空間利用率不高。
機櫃式伺服器
在一些高檔企業伺服器中由於內部結構復雜,內部設備較多,有的還具有許多不同的設備單元或幾個伺服器都放在一個機櫃中,這種伺服器就是機櫃式伺服器。
對於證券、銀行、郵電等重要企業,則應採用具有完備的故障自修復能力的系統,關鍵部件應採用冗餘措施,對於關鍵業務使用的伺服器也可以採用雙機熱備份高可用系統或者是高性能計算機,這樣的系統可用性就可以得到很好的保證。
伺服器選購
伺服器在普通電腦用戶眼裡,總是顯得神秘莫測。隨著網路環境的普及,伺服器得到越來越多的應用,普通用戶接觸伺服器的機會也越來越多,本文就是為了揭開伺服器神秘的面紗而作。
伺服器的概念
伺服器英文名稱為「Server」,指的是網路環境下為客戶機(Client)提供某種服務的專用計算機,伺服器安裝有網路操作系統(如Windows 2000 Server、Linux、Unix等)和各種伺服器應用系統軟體(如Web服務、電子郵件服務)的計算機。這里的「客戶機」指安裝有DOS、Windows 9x等普通用戶使用的操作系統的計算機。
伺服器的處理速度和系統可靠性都要比普通PC要高得多,因為伺服器是在網路中一般是連續不斷工作的。普通PC死機了大不了重啟,數據的丟失損失也僅限於單台電腦。
伺服器則完全不同,許多重要的數據都保存在伺服器上,許多網路服務都在伺服器上運行,一旦伺服器發生故障,將會丟失大量的數據,造成的損失是難以估計的,而且伺服器提供的功能如代理上網、安全驗證、電子郵件服務等都將失效,從而造成網路的癱瘓,對伺服器可靠性的要求可見一斑。
伺服器的種類
按照不同的分類標准,伺服器分為許多種。
1、按網路規模劃分
按網路規模劃分,伺服器分為工作組級伺服器、部門級伺服器、企業級伺服器。
工作組級伺服器用於聯網計算機在幾十台左右或者對處理速度和系統可靠性要求不高的小型網路,其硬體配置相對比較低,可靠性不是很高。
部門級伺服器用於聯網計算機在百台左右、對處理速度和系統可靠性中等的中型網路,其硬體配置相對較高,其可靠性居於中等水平。
企業級伺服器用於聯網計算機在數百台以上、對處理速度和數據安全要求最高的大型網路,硬體配置最高,系統可靠性要求最高。
需要注意的是,這三種伺服器之間的界限並不是絕對的,而是比較模糊的,比如工作組級伺服器和部門級伺服器的區別就不是太明顯,有的乾脆統稱為「工作組/部門級」伺服器。
2、按架構劃分
按照伺服器的結構,可以分為CISC架構的伺服器和RISC架構的伺服器。
CISC架構主要指的是採用英特爾架構技術的伺服器,即我們常說的「PC伺服器」;RISC架構的伺服器指採用非英特爾架構技術的伺服器,如採用Power PC、Alpha、PA-RISC、Sparc等RISC CPU的伺服器。
RISC架構伺服器的性能和價格比CISC架構的伺服器高得多。近幾年來,隨著PC技術的迅速發展,IA架構伺服器與RISC架構的伺服器之間的技術差距已經大大縮小,用戶基本上傾向於選擇IA架構伺服器,但是RISC架構伺服器在大型、關鍵的應用領域中仍然居於非常重要的地位。
3、按用途劃分
按照使用的用途,伺服器又可以分為通用型伺服器和專用型(或稱「功能型」)伺服器,如實達的滄海系列功能伺服器。
通用型伺服器是沒有為某種特殊服務專門設計的可以提供各種服務功能的伺服器,當前大多數伺服器是通用型伺服器。
專用型(或稱「功能型」)伺服器是專門為某一種或某幾種功能專門設計的伺服器,在某些方面具有與通用型伺服器有所不同。如光碟鏡像伺服器是用來存放光碟鏡像的,那麼需要配備大容量、高速的硬碟以及光碟鏡像軟體。
4、按外觀劃分
按照伺服器的外觀,可以分為台式伺服器和機架式伺服器。
台式伺服器有的採用大小與立式PC台式機大致相當的機箱,有的採用大容量的機箱,像一個碩大的櫃子一樣,圖1、圖
機架式伺服器的外形看起來不像計算機,而是像交換機,有1U(1U=1.75英寸)、2U、4U等規格,圖4為1U機架式伺服器。機架式伺服器安裝在標準的19英寸機櫃裡面。
說了這么多,那麼究竟應該買一台什麼樣的伺服器呢?對這個問題不能一概而論,而是應該因地制宜。
如果您的網路是由幾十台電腦構成的小型網路,用戶不會在短時間內大量訪問伺服器,選購1~2萬元或2~3萬元的PC伺服器就可以勝任了。如果您的網路由幾百台甚至上千台電腦構成,用戶需要經常訪問伺服器,就需要購買價格在3~5萬元甚至6~8萬元左右的部門級甚至更昂貴的企業級伺服器。
2、怎麼設置伺服器啊
置RADIUS伺服器
找到一篇關於在Linux上搭建RADIUS伺服器的文章
請笑納:
Linux上構建一個RADIUS伺服器詳解
為一名網路管理員,您需要為您所需管理的每個網路設備存放用於管理的用戶信息。但是網路設備通常只支持有限的用戶管理功能。學習如何使用Linux上的一個外部RADIUS伺服器來驗證用戶,具體來說是通過一個LDAP伺服器進行驗證,可以集中放置存儲在LDAP伺服器上並且由RADIUS伺服器進行驗證的用戶信息,從而既可以減少用戶管理上的管理開銷,又可以使遠程登錄過程更加安全。
數據安全作為現代系統中網路安全的一部分,與系統安全一樣的重要,所以保護數據--確保提供機密性、完整性和可用性--對管理員來說至關重要。
在本文中,我將談到數據安全性的機密性方面:確保受保護的數據只能被授權用戶或系統訪問。您將學習如何在Linux系統上建立和配置一個Remote Authentication Dial-In User Service 伺服器(RADIUS),以執行對用戶的驗證、授權和記帳(AAA)。
各組成元素介紹
首先讓我們談一談RADIUS協議、AAA組件以及它們如何工作,另外還有LDAP協議。
Remote Authentication Dial-In User Service 協議是在IET的RFC 2865中定義的(請參閱參考資料獲得相關鏈接)。它允許網路訪問伺服器(NAS)執行對用戶的驗證、授權和記帳。RADIUS是基於UDP的一種客戶機/伺服器協議。RADIUS客戶機是網路訪問伺服器,它通常是一個路由器、交換機或無線訪問點(訪問點是網路上專門配置的節點;WAP是無線版本)。RADIUS伺服器通常是在UNIX或Windows 2000伺服器上運行的一個監護程序。
RADIUS和AAA
如果NAS收到用戶連接請求,它會將它們傳遞到指定的RADIUS伺服器,後者對用戶進行驗證,並將用戶的配置信息返回給NAS。然後,NAS接受或拒絕連接請求。
功能完整的RADIUS伺服器可以支持很多不同的用戶驗證機制,除了LDAP以外,還包括:
PAP(Password Authentication Protocol,密碼驗證協議,與PPP一起使用,在此機制下,密碼以明文形式被發送到客戶機進行比較);
CHAP(Challenge Handshake Authentication Protocol,挑戰握手驗證協議,比PAP更安全,它同時使用用戶名和密碼);
本地UNIX/Linux系統密碼資料庫(/etc/passwd);
其他本地資料庫。
在RADIUS中,驗證和授權是組合在一起的。如果發現了用戶名,並且密碼正確,那麼RADIUS伺服器將返回一個Access-Accept響應,其中包括一些參數(屬性-值對),以保證對該用戶的訪問。這些參數是在RADIUS中配置的,包括訪問類型、協議類型、用戶指定該用戶的IP地址以及一個訪問控制列表(ACL)或要在NAS上應用的靜態路由,另外還有其他一些值。
RADIUS記帳特性(在RFC 2866中定義;請參閱參考資料獲得相關鏈接)允許在連接會話的開始和結束發送數據,表明在會話期間使用的可能用於安全或開單(billing)需要的大量資源--例如時間、包和位元組。
輕量級目錄訪問協議
輕量級目錄訪問協議(Lightweight Directory Access Protocol,LDAP)是一種開放標准,它定義了用於訪問和更新類X.500 目錄中信息的一種方法。LDAP可用於將用戶信息保存在一個中央場所,從而不必將相同的信息存儲在每個系統上。它還可以用於以一種一致的、可控制的方式維護和訪問信息。
LDAP在一個集中的目錄中管理用戶,從而簡化了用戶管理工作。除了存儲用戶信息外,在LDAP中定義用戶還可以使一些可選特性得到啟用,例如限制登錄的數量。在本文中,您將學習如何配置RADIUS伺服器,以便基於LDAP驗證用戶--由於本文的重點在於RADIUS,我不會描述關於LDAP伺服器的安裝和配置的細節。
OpenLDAP是LDAP的一種開放源碼實現。在OpenLDAP.org上可以找到關於它的詳細信息(請參閱參考資料獲得相關鏈接)。
場景
想像以下場景:
用戶在家裡可以通過撥號驗證訪問他公司的內部網。
帶無線支持的筆記本電腦可以通過無線驗證連接到一個校園網。
管理員使用他們的工作站通過管理用戶驗證以telnet或HTTP登錄到網路設備。
所有這些驗證任務都可以通過一個RADIUS伺服器基於一個中央LDAP伺服器來完成(見圖 1)。
在本文中,我將重點描述對最後一種選項的實現,作為對該解決方案的一個介紹。首先安裝RADIUS伺服器。
安裝 RADIUS
RADIUS伺服器軟體可以從多個地方獲得。在本文中,我將使用FreeRADIUS(請參閱參考資料獲得相關鏈接),但Cisco Secure Access Control Server (ACS)是一種集中式用戶訪問控制框架,可用於跨UNIX和Windows上多個Cisco設備的用戶管理,並支持Cisco 特有的協議TACACS+(據說在支持TACACS+的設備上可擁有更多的特性)。
FreeRADIUS是來自開放源碼社區的一種強大的Linux上的RADIUS伺服器,可用於如今的分布式和異構計算環境。FreeRADIUS 1.0.2 支持LDAP、MySQL、PostgreSQL和Oracle資料庫,並與諸如EAP和Cisco LEAP之類的網路協議兼容。FreeRADIUS目前被部署在很多大型生產網路系統中。
下面的步驟演示如何在Red Hat Enterprise Linux Advanced Server 3.0上安裝和測試FreeRADIUS 1.0.2:
清單1 安裝和測試FreeRADIUS
tar -zxvf freeradius-1.0.2.tar.gz - extract it with gunzip and tar
./configure
make
make install - run this command as root
radiusd or - start RADIUS server
radiusd -X - start RADIUS server in debug mode
radtest test test localhost 0 testing123 - test RADIUS server
如果radtest收到一個響應,則表明FreeRADIUS伺服器工作正常。
同時我還推薦另一種免費工具,那就是NTRadPing,它可用於測試來自Windows客戶機的驗證和授權請求。它可以顯示從RADIUS伺服器發回的詳細的響應,例如屬性值。
現在讓我們來配置FreeRADIUS。
配置FreeRADIUS
RADIUS伺服器的配置包括對伺服器、客戶機和用戶的配置(都是用於驗證和授權)。出於不同的需要,對RADIUS伺服器可以有不同的配置。幸運的是,大多數配置都是類似的。
* 配置伺服器
FreeRADIUS配置文件通常位於/etc/raddb文件夾下。首先,我們需要像下面這樣修改radiusd.conf文件。
清單2 修改radiusd.conf
1) Global settings:
log_auth = yes - log authentication requests to the log file
log_auth_badpass = no - don't log passwords if request rejected
log_auth_goodpass = no - don't log passwords if request accepted
2) LDAP Settings:
moles {
ldap {
server = "bluepages.ibm.com" - the hostname or IP address of the LDAP server
port = 636 - encrypted communications
basedn = "ou=bluepages,o=ibm.com" - define the base Distinguished Names (DN),
- under the Organization (O) "ibm.com",
- in the Organization Unit (OU) "bluepages"
filter = "(mail=%u)" - specify search criteria
base_filter = "(objectclass=person)" - specify base search criteria
}
authenticate { - enable authentication against LDAP
Auth-Type LDAP {
ldap
}
參數被設為使用 IBM BluePages,這是LDAP服務的一個實例。對於其他LDAP伺服器,參數可能有所不同。
* 配置客戶機
客戶機是在/etc/raddb/clients.conf 文件中配置的。有兩種方式可用於配置RADIUS客戶機。您可以按IP subnet將NAS分組(清單 3),或者可以按主機名或 IP 地址列出NAS(清單4)。如果按照第二種方法,可以定義shortname和nastype。
清單3 按IP subnet將NAS分組
client 192.168.0.0/24 {
secret = mysecret1 - the "secret" should be the same as configured on NAS
shortname = mylan - the "shortname" can be used for logging
nastype = cisco - the "nastype" is used for checkrad and is optional
}
清單4 按主機名或 IP 地址列出 NAS
client 192.168.0.1 {
secret = mysecret1
shortname = myserver
nastype = other
}
* 為驗證而配置用戶
文件 /etc/raddb/user 包含每個用戶的驗證和配置信息。
清單5 /etc/raddb/user 文件
1) Authentication type:
Auth-Type := LDAP - authenticate against LDAP
Auth-Type := Local, User-Password == "mypasswd"
- authenticate against the
- password set in /etc/raddb/user
Auth-Type := System - authenticate against the system password file
- /etc/passwd or /etc/shadow
2) Service type:
Service-Type = Login, - for administrative login
* 為授權而配置用戶
下面的驗證伺服器屬性-值對(AV)應該為用戶授權而進行配置。在驗證被接受後,這個屬性-值對被返回給NAS,作為對管理員登錄請求的響應。
對於Cisco路由器,有不同的許可權級別:
級別1是無特權(non-privileged)。提示符是 router>,這是用於登錄的默認級別。
級別15是特權(privileged)。 提示符是 router#,這是進入 enable 模式後的級別。
級別2到14 在默認配置中不使用。
下面的命令可以使一個用戶從網路訪問伺服器登錄,並獲得對EXEC命令的立即訪問:
cisco-avpair ="shell:priv-lvl=15"
下面的代碼處理相同的任務,這一次是對於Cisco無線訪問點:
Cisco:Avpair= "aironet:admin-capability=write+snmp+ident+firmware+admin"
任何功能組合都和這個屬性一起返回:
Cisco:Avpair = "aironet:admin-capability=ident+admin"
Cisco:Avpair = "aironet:admin-capability=admin"
請與 Cisco 聯系,以獲得關於這些命令的更多信息。
配置網路訪問伺服器
接下來我們將配置NAS,首先是配置一個Cisco路由器,然後輪到一個Cisco WAP。
對於Cisco IOS 12.1路由器,我們將啟用AAA,然後配置驗證、授權和記帳。
清單6 啟用AAA
aaa new-model
radius-server host 192.168.0.100
radius-server key mysecret1
AAA 在路由器上應該被啟用。然後,指定能為 NAS 提供 AAA 服務的 RADIUS 伺服器的列表。加密密鑰用於加密 NAS 和 RADIUS 伺服器之間的數據傳輸。它必須與 FreeRADIUS 上配置的一樣。
清單7 配置驗證
aaa authentication login default group radius local
line vty 0 4
login authentication default
在這個例子中,網路管理員使用 RADIUS 驗證。如果 RADIUS 伺服器不可用,則使用 NAS 的本地用戶資料庫密碼。
清單8 配置授權
aaa authorization exec default group radius if-authenticated
允許用戶在登錄到 NAS 中時運行 EXEC shell。
清單9 配置記帳
aaa accounting system default start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting exec default stop-only group radius
aaa accounting commands 1 default stop-only group radius
aaa accounting commands 15 default wait-start group radius
必須對路由器進行特別的配置,以使之發送記帳記錄到RADIUS伺服器。使用清單9中的命令記錄關於NAS系統事件、網路連接、輸出連接、EXEC操作以及級別1和級別15上的命令的記帳信息。
這樣就好了。現在讓我們看看為Cisco無線訪問點而進行的配置。下面的配置適用於帶有Firmware 12.01T1的Cisco 1200 Series AP。如圖2中的屏幕快照所示,您:
* 輸入伺服器名或 IP 地址和共享的秘密。
* 選擇「Radius」作為類型,並選中「User Authentication」。
記帳:工作中的RADIUS
現在所有配置都已經完成,FreeRADIUS伺服器可以開始記錄NAS發送的所有信息,將該信息存儲在/var/log/radius/radius.log文件中,就像這樣:
清單10 /var/log/radius/radius.log文件
Thu Mar 3 21:37:32 2005 : Auth: Login OK: [David] (from client
mylan port 1 cli 192.168.0.94)
Mon Mar 7 23:39:53 2005 : Auth: Login incorrect: [John] (from
client mylan port 1 cli 192.168.0.94)
詳細的記帳信息被存放在/var/log/radius/radacct目錄中。清單11表明,David在2005年3月4日19:40到19:51這段時間里從 192.168.0.94登錄到了路由器192.168.0.1。這么詳細的信息對於正在調查安全事故以及試圖維護易於審計的記錄的管理員來說無疑是一大幫助。
清單11 RADIUS 提供的記帳細節示例
Fri Mar 4 19:40:12 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192.168.0.94"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.1
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109936412
Fri Mar 4 19:51:17 2005
NAS-IP-Address = 192.168.0.1
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "David"
Calling-Station-Id = "192.168.0.94"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
Service-Type = NAS-Prompt-User
Acct-Session-Id = "00000026"
Acct-Terminate-Cause = Idle-Timeout
Acct-Session-Time = 665
Acct-Delay-Time = 0
Client-IP-Address = 192.168.0.1
Acct-Unique-Session-Id = "913029a52dacb116"
Timestamp = 1109937077
結束語
通過遵循本文中列出的簡單步驟,您可以建立一個Remote Authentication Dial-In User Service伺服器,該伺服器使用一個外部的LDAP伺服器來處理為網路安全問題而進行的驗證、授權和記帳。本文提供了以下內容來幫助您完成此任務:
* 對RADIUS和LDAP伺服器以及AAA概念的介紹。
* 一個融入了安裝和配置任務的場景。
* 關於安裝和配置RADIUS伺服器的說明。
* 關於配置網路訪問伺服器的細節。
* RADIUS將提供和管理的詳細信息的一個示例。
這些指示可以快速確保受保護的數據只能由Linux系統上已授權的實體訪問。
3、想在公司內部搭建一個日誌伺服器,可以接收其他所有伺服器以及各種設備產生的日誌。不知道用什麼伺服器。
http://wenku.baidu.com/view/8053931cff00bed5b9f31d8a.html
詳細步驟
建立一個中央日誌伺服器
1建立中央日誌伺服器前的准備工作
配置良好的網路服務(DNS和NTP)有助於提高日誌記錄工作的精確性。在默認情況下,當有其他機器向自己發送日誌消息時,中央日誌伺服器將嘗試解析該機器的FQDN(fullyqualifieddomainname,完整域名)。(你可以在配置中央伺服器時用「-x」選項禁止它這樣做。)如果syslog守護進程無法解析出那個地址,它將繼續嘗試,這種毫無必要的額外負擔將大幅降低日誌記錄工作的效率。類似地,如果你的各個系統在時間上不同步,中央日誌伺服器給某個事件打上的時間戳就可能會與發送該事件的那台機器打上的時間戳不一致,這種差異會在你對事件進行排序分析時帶來很大的困擾;對網路時間進行同步有助於保證日誌消息的時間准確性。如果想消除這種時間不同步帶來的麻煩,先編輯/etc/ntp.conf文件,使其指向一個中央時間源,再安排ntpd守護進程隨系統開機啟動就可以了。
2配置一個中央日誌伺服器
只須稍加配置,就可以用syslog實現一個中央日誌伺服器。任何一台運行syslog守護進程的伺服器都可以被配置成接受來自另一台機器的消息,但這個選項在默認情況下是禁用的。在後面的討論里,如無特別說明,有關步驟將適用於包括SUSE和RedHat在內的大多數Linux發行版本。我們先來看看如何激活一個syslog伺服器接受外來的日誌消息:
1. 編輯/etc/sysconfig/syslog文件。
在「SYSLOGD_OPTIONS」行上加「-r」選項以允許接受外來日誌消息。如果因為關於其他機器的DNS記錄項不夠齊全或其他原因不想讓中央日誌伺服器解析其他機器的FQDN,還可以加上「-x」選項。此外,你或許還想把默認的時間戳標記消息(--MARK--)出現頻率改成比較有實際意義的數值,比如240,表示每隔240分鍾(每天6次)在日誌文件里增加一行時間戳消息。日誌文件里的「--MARK--」消息可以讓你知道中央日誌伺服器上的syslog守護進程沒有停工偷懶。按照上面這些解釋寫出來的配置行應該是如下所示的樣子:
SYSLOGD_OPTIONS="-r-x-m240"
2.重新啟動syslog守護進程。修改只有在syslog守護進程重新啟動後才會生效。如果你只想重新啟動syslog守護進程而不是整個系統,在RedHat機器上,執行以下兩條命令之一:
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart
3.如果這台機器上運行著iptables防火牆或TCPWrappers,請確保它們允許514號埠上的連接通過。syslog守護進程要用到514號埠。
4為中央日誌伺服器配置各客戶機器
讓客戶機把日誌消息發往一個中央日誌伺服器並不困難。編輯客戶機上的/etc/syslog.conf文件,在有關配置行的操作動作部分用一個「@」字元指向中央日誌伺服器,如下所示:
另一種辦法是在DNS里定義一個名為「loghost」的機器,然後對客戶機的syslog配置文件做如下修改(這個辦法的好處是:當你把中央日誌伺服器換成另一台機器時,不用再修改每一個客戶機上的syslog配置文件):
authpriv.*@loghost
接下來,重新啟動客戶機上的syslog守護進程讓修改生效。讓客戶機在往中央日誌伺服器發送日誌消息的同時繼續在本地進行日誌工作仍有必要,起碼在調試客戶機的時候不必到中央日誌伺服器查日誌,在中央日誌伺服器出問題的時候還可以幫助調試。
4、什麼是伺服器?它長什麼樣子?
1.伺服器定義
從廣義上講,伺服器是指網路中能對其它機器提供某些服務的計算機系統(如果一個PC對外提供ftp服務,也可以叫伺服器)。
從狹義上講,伺服器是專指某些高性能計算機,能通過網路,對外提供服務。相對於普通PC來說,穩定性、安全性、性能等方面都要求更高,因此在CPU、晶元組、內存、磁碟系統、網路等硬體和普通PC有所不同。
2.伺服器硬體
其實說起來伺服器系統的硬體構成與我們平常所接觸的電腦有眾多的相似之處,主要的硬體構成仍然包含如下幾個主要部分:中央處理器、內存、晶元組、I/O匯流排、I/O設備、電源、機箱和相關軟體。這也成了我們選購一台伺服器時所主要關注的指標。
3.伺服器一般可分為:機架式伺服器和機櫃式伺服器
機架式伺服器
機架式伺服器的外形看來不像計算機,而像交換機,有1U(1U=1.75英寸=4.45CM)、2U、4U等規格。機架式伺服器安裝在標準的19英寸機櫃裡面。這種結構的多為功能型伺服器。
對於信息服務企業(如ISP/ICP/ISV/IDC)而言,選擇伺服器時首先要考慮伺服器的體積、功耗、發熱量等物理參數,因為信息服務企業通常使用大型專用機房統一部署和管理大量的伺服器資源,機房通常設有嚴密的保安措施、良好的冷卻系統、多重備份的供電系統,其機房的造價相當昂貴。如何在有限的空間內部署更多的伺服器直接關繫到企業的服務成本,通常選用機械尺寸符合19英寸工業標準的機架式伺服器。機架式伺服器也有多種規格,例如1U(4.45cm高)、2U、4U、6U、8U等。通常1U的機架式伺服器最節省空間,但性能和可擴展性較差,適合一些業務相對固定的使用領域。4U以上的產品性能較高,可擴展性好,一般支持4個以上的高性能處理器和大量的標准熱插拔部件。管理也十分方便,廠商通常提供人相應的管理和監控工具,適合大訪問量的關鍵應用,但體積較大,空間利用率不高。
機櫃式伺服器
在一些高檔企業伺服器中由於內部結構復雜,內部設備較多,有的還具有許多不同的設備單元或幾個伺服器都放在一個機櫃中,這種伺服器就是機櫃式伺服器。
對於證券、銀行、郵電等重要企業,則應採用具有完備的故障自修復能力的系統,關鍵部件應採用冗餘措施,對於關鍵業務使用的伺服器也可以採用雙機熱備份高可用系統或者是高性能計算機,這樣的系統可用性就可以得到很好的保證。