MRにおける RADIUS フェイルオーバーおよびリトライ

ロードバランシングポリシー 

ダッシュボードの「ロードバランシングポリシー」設定は、認証試行時に最初に接続するRADIUSサーバーを指定したり、再試行が必要な場合の順序を決定します。

この設定は、ワイヤレス > アクセス制御 で、”Splashページ" で サインオン方法 に "マイ RADIUS サーバー" を設定した場合に表示されます。”完全優先順位”(デフォルト)と”ラウンドロビン”のオプションがあります。

接続の再試行 

RADIUS サーバーに到達できない場合、ダッシュボード は各サーバーに最大 3 回（最初のリクエスト 1 回と再試行 2 回）問い合わせを試みます。

上記の例では、ロードバランシングポリシーによって動作が異なります。

• ポリシーが「完全優先順位」に設定されており、3 台のサーバーすべてが使用できない場合、ダッシュボード は合計 9 つの RADIUS パケットを「1,2,3,1,2,3,1,2,3」の順番で送信します。
• 「ラウンドロビン」に設定されている場合、最初に試行するサーバーは異なる場合があります。（例:2,3,1,2,3,1,2,3,1)

再試行してもどのサーバーからも有効な応答が得られない場合、リクエストは「フェイルオーバー・ポリシー」の設定（下記参照）に従って処理されます。

リトライのタイミング

ダッシュボード は、2 秒のパケットタイムアウトが設定されています。これは、RADIUS 要求パケットを送信した後、ダッシュボード は最大 2 秒間応答を待ちます。2秒間応答がなかった場合 2 回再試行し、いずれもタイムアウトした場合、次のサーバに接続します。
以下のいずれかの条件を満たした場合次のサーバーへ接続します。

• RADIUS要求への応答がタイムアウトした
• エラーパケットを受信した

エラーパケットは通常、ICMP "Destination Unreachable" パケットで、接続が拒否されたか（例：宛先ホストの指定UDPポートでプログラムがリッスンされていない）、ホスト自体が到達不可能である（例：無効なIPアドレス）ことを示します。このようなパケットを受信した場合、ダッシュボード はそのサーバーからの応答パケットを受信できないと判断し、リスト上の次のサーバーに直ちに接続します。

パケットタイムアウトが必要なのは、過負荷状態にあるRADIUSサーバーや、要求パケットをドロップするファイアウォールの背後にあるサーバーが、認証要求に対するエラーパケットを送信しない可能性があるためです。

設定したすべてのRADIUSサーバーが到達不可能な場合、エンドユーザーがサインオンスプラッシュでログインしようとした後に応答を待つ必要がある最大時間は、3*N*T（Nは設定されたRADIUSサーバーの数、Tはパケットごとのタイムアウト）です。T=2秒の通常のケースでは、ユーザーはサーバーごとに最大6秒待つ必要があり、3つのRADIUSサーバーが設定されている場合は最大18秒になります。

フェイルオーバーポリシー

”フェイルオーバーポリシー" 設定は、設定した全ての RADIUS サーバーが到達できない場合の認証要求パケットの処理を決定します。

もしポリシーが "アクセスを拒否" ならば、一つ以上の RADIUS サーバーが再び利用可能になるまで新規に接続するユーザーはネットワークに接続できません。(既存のセッションを持つユーザーは、そのセッションが終了するまでネットワークを使用できます）。デフォルトではこちらが設定されています。

ポリシーが「アクセスを許可」の場合、RADIUS サーバーに接続できない場合、ユーザーはネットワークでの 1 時間の特別セッションで接続できます。

フェイルオーバーポリシーは Splas ページで RADIUS 認証を設定している場合のみ設定できます。

RADIUS アカウンティング

RADIUSアカウンティング・サーバーが設定されている場合、RADIUS認証リクエストの再試行について前述したのと同じ動作が、RADIUSアカウンティング・メッセージの再試行にも適用されます。唯一の違いは、「フェイルオーバーポリシー」設定がRADIUSアカウンティングに適用されないことです（アカウンティングサーバーの可用性が、ネットワーク上でクライアントが許可されるかどうかに影響することはありません）。