Perché non usare Diameter su RADIUS?

Diameter è stato progettato per sostituire RADIUS. Non c'è dubbio che Diameter offre funzionalità superiori. Sfortunatamente, l'aggiornamento dei vecchi ambienti RADIUS può essere complicato.

“There is a large RADIUS deployment base out there and unless a proper migration plan that includes deployment of translation agents and co-existence of RADIUS and Diameter, migration to Diameter will not be simple.” [1]

Gli "agenti di traduzione" menzionati sopra sono software o dispositivi che fungono da adattatori tra i nuovi server Diameter e l'hardware legacy che supporta solo RADIUS. Gli agenti di traduzione potrebbero alleviare lo sforzo richiesto per l'aggiornamento, ma portano anche i loro problemi.

“... there can be many variants and implementations of translation agents in proprietary non-IETF manners. Also due to the simultaneous standardizations of RADIUS and Diameter, various RADIUS messages may be handled differently by different translation agents along the process, while none of those translation agents can be assumed to have access to complete and accurate session state information.” [1]

Sembra difficile. Le estensioni RADIUS hanno dimostrato di essere l'opzione più semplice.

“… The uptake of Diameter has been very slow though, and RADIUS still remains the de facto standard for the foreseeable future. A major reason for this is probably the fact that the many enhancements that Diameter was supposed to bring are already covered by the various RADIUS extensions. There is, for instance, the RadSec protocol that transports RADIUS over TCP and TLS.” [2]

Naturalmente, ci sono limitazioni alle estensioni RADIUS. Diameter può fornire un supporto di gran lunga superiore per le reti mobili 4G LT-Advanced, per le quali RADIUS sarebbe una scelta molto scarsa [3].

TACACS + è anche disponibile, ma

“TACACS+ overall function is similar to that of RADIUS but RADIUS has enjoyed a more widespread use since it is not a proprietary (sic) of Cisco.“ [3]

Alcuni sostengono inoltre che TACACS + è più adatto all'amministrazione di rete rispetto all'accesso di rete generale per una vasta base di utenti (ad esempio ISP, Telco) [4].

Apprezzo che alcune mie referenze siano vecchie e che non sia aggiornato. Sebbene, recentemente, ho visto nuove distribuzioni di rete su piccola scala scegliere RADIUS su Diameter / TACACS +. In questi casi, lo staff conosce RADIUS; le estensioni forniscono la sicurezza richiesta; e RADIUS non ha legami con Cisco.

Penso che sia questione di tempo prima che Diameter abbia superato RADIUS, ma è molto difficile dire solo quanto tempo.

[1] Nakhjiri, M. & M., AAA e Network Security per Mobile Access: Radius, Diameter, EAP, PKI e IP Mobility, Sezione 7.4, John Wiley & Figli, 2005

[2] van der Walt, D., Guida per principianti FreeRADIUS, Packt Publishing, 2011

[3] Håkan, V., Diameter: protocollo AAA delle generazioni successive, Institutionen för systemteknik, 2001

[4] Woland, A., RADIUS vs TACACS +, recuperati dal link

Secondo me è semplicemente una ragione pratica. Il diametro è stato intorno a lungo. Penso che ne abbia il cuore come 10 anni fa. In effetti il primo RFC è del 2003 .

Il protocollo RADIUS è totalmente ovunque. Ogni router, firewall, switch, VPN ... Tutti i dispositivi più piccoli utilizzano RADIUS come client RADIUS. E piccolo potrebbe anche essere un motivo qui, perché è leggero. Passare a un protocollo non compatibile ... dove? Sostituire il server RADIUS con un server Diameter? Bene - ma poi nella tua rete non ci sono clienti capaci di parlare di diametro?

Non fraintendermi, mi piacerebbe avere un altro protocollo di autenticazione più sicuro. RADIUS offre molte estensioni per compensare questo tipo di EAP, EAP-TLS ... L'estensibilità è uno dei punti di forza di RADIUS. (Non è un vantaggio contro il diametro, ma una ragione per cui non muore semplicemente; -)

Oltre - come diametro - RADIUS non è semplicemente un protocl di autenticazione ma anche un protocollo per fare l'autorizzazione e la contabilità - piuttosto bene.