【轉】RADIUS介紹

RADIUS簡介

RADIUS概述：

RADIUS（Remote Authentication Dial-In User Server，遠程認證撥號用戶服務）是一種分布式的、C/S架構的信息交互協議，能包含網絡不受未授權訪問的干擾，常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。

協議定義了基于UDP（User Datagram Protocol）的RADIUS報文格式及其傳輸機制，并規定UDP端口1812、1813分別作為認證、計費端口。

如果是思科設備：認證和授權端口為UDP1645，計費端口1646.

RADIUS最初僅是針對撥號用戶的AAA協議，后來隨著用戶接入方式的多樣化發展，RADIUS也適應多種用戶接入方式，如以太網接入等。它通過認證授權來提供接入服務，通過計費來收集、記錄用戶對網絡資源的使用。

Radius的架構：

客戶端/服務器模式。

RADIUS客戶端：一般位于網絡接入服務器NAS（Network Access Server）上，可以遍布整個網絡，負責傳輸用戶信息到指定的RADIUS服務器，然后根據從服務器返回的信息進行相應處理（如接受/拒絕用戶接入）。

設備作為RADIUS協議的客戶端，實現以下功能：

支持標準RADIUS協議及擴充屬性，包括RFC（Request For Comments）2865、RFC2866。

支持華為擴展的私有屬性。

對RADIUS服務器狀態的主動探測功能。

計費結束報文的本地緩存重傳功能。

RADIUS服務器的自動切換功能。

RADIUS服務器：一般運行在中心計算機或工作站上，維護相關的用戶認證和網絡服務訪問信息，負責接收用戶連接請求并認證用戶，然后給客戶端返回所有需要的信息（如接受/拒絕認證請求）。RADIUS服務器通常要維護三個數據庫。

Users：用于存儲用戶信息（如用戶名、口令以及使用的協議、IP地址等配置信息）。

Clients：用于存儲RADIUS客戶端的信息（如接入設備的共享密鑰、IP地址等）。

Dictionary：用于存儲RADIUS協議中的屬性和屬性值含義的信息。

RADIUS的特點：

網絡安全

RADIUS客戶端和RADIUS服務器之間認證消息的交互是通過共享密鑰的參與來完成的，并且共享密鑰不能通過網絡來傳輸，增強了信息交互的安全性。另外，為防止用戶密碼在不安全的網絡上傳遞時被竊取，RADIUS協議利用共享密鑰對RADIUS報文中的密碼進行了加密。

良好的擴展性

RADIUS報文是由包頭和一定數目的屬性（Attribute）構成，新屬性的加入不會破壞協議的原有實現。

RADIUS報文

RADIUS報文格式：

RADIUS協議采用UDP報文來傳輸消息。

各字段的解釋如下：

Code：長度為1個字節，用來說明RADIUS報文的類型。

Identifier：長度為1個字節，用來匹配請求報文和響應報文，以及檢測在一段時間內重發的請求報文。客戶端發送請求報文后，服務器返回的響應報文中的Identifier值應與請求報文中的Identifier值相同。

Length：長度為2個字節，用來指定RADIUS報文的長度。超過Length取值的字節將作為填充字符而忽略。如果接收到的報文的實際長度小于Length的取值，則該報文會被丟棄。

Authenticator：長度為16個字節，用來驗證RADIUS服務器的響應報文，同時還用于用戶密碼的加密。

Attribute：不定長度，為報文的內容主體，用來攜帶專門的認證、授權和計費信息，提供請求和響應報文的配置細節。Attribute可以包括多個屬性，每一個屬性都采用（Type、Length、Value）三元組的結構來表示。

RADISU報文類型：

目前RADIUS定義了十六種報文類型。

RADIUS認證報文:

RADIUS計費報文：

RADIUS授權報文：

CoA:（Change of Authorization）是指用戶認證成功后，管理員可以通過RADIUS協議來修改在線用戶的權限。

DM:（Disconnect Message）是指用戶離線報文，即由RADIUS服務器端主動發起的強迫用戶下線的報文。

RADIUS工作原理

RADIUS認證、授權和計費：

接入設備作為RADIUS客戶端，負責收集用戶信息（例如：用戶名、密碼等），并將這些信息發送到RADIUS服務器。RADIUS服務器則根據這些信息完成用戶身份認證以及認證通過后的用戶授權和計費。用戶、RADIUS客戶端和RADIUS服務器之間的交互流程如下：

Radius配置示例

在核心交換機上的配置：

復制

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

定義radius

radius-server template qytang_radius_server-------------定義radius服務器模板

radius-server shared-key simple Huawei@123------------聯動服務器設置密碼

radius-server authentication 192.168.1.100 1812 -----------設置認證的端口

radius-server accounting 192.168.1.100 1813----------------設置計費的端口

radius-server authorization 192.168.1.100 shared-key simple Huawei@123------授權可選

aaa

authentication-scheme qytang_auth

authentication-mode radius

accounting-scheme qytang_acco

accounting-mode radius

domain default

authentication-scheme qytang_auth

accounting-scheme qytang_acco

radius-server ?qytang_radius_server

然后在Radius服務器上配置好，即可與dot1x、Portal等技術結合使用。

TCP/IP 安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。