【转】RADIUS介绍

RADIUS简介

RADIUS概述：

RADIUS（Remote Authentication Dial-In User Server，远程认证拨号用户服务）是一种分布式的、C/S架构的信息交互协议，能包含网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。

如果是思科设备：认证和授权端口为UDP1645，计费端口1646.

RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入等。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。

Radius的架构：

客户端/服务器模式。

RADIUS客户端：一般位于网络接入服务器NAS（Network Access Server）上，可以遍布整个网络，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入）。

设备作为RADIUS协议的客户端，实现以下功能：

支持标准RADIUS协议及扩充属性，包括RFC（Request For Comments）2865、RFC2866。

支持华为扩展的私有属性。

对RADIUS服务器状态的主动探测功能。

计费结束报文的本地缓存重传功能。

RADIUS服务器的自动切换功能。

RADIUS服务器：一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS服务器通常要维护三个数据库。

Users：用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息）。

Clients：用于存储RADIUS客户端的信息（如接入设备的共享密钥、IP地址等）。

Dictionary：用于存储RADIUS协议中的属性和属性值含义的信息。

RADIUS的特点：

网络安全

RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的，并且共享密钥不能通过网络来传输，增强了信息交互的安全性。另外，为防止用户密码在不安全的网络上传递时被窃取，RADIUS协议利用共享密钥对RADIUS报文中的密码进行了加密。

良好的扩展性

RADIUS报文是由包头和一定数目的属性（Attribute）构成，新属性的加入不会破坏协议的原有实现。

RADIUS报文

RADIUS报文格式：

RADIUS协议采用UDP报文来传输消息。

各字段的解释如下：

Code：长度为1个字节，用来说明RADIUS报文的类型。

Identifier：长度为1个字节，用来匹配请求报文和响应报文，以及检测在一段时间内重发的请求报文。客户端发送请求报文后，服务器返回的响应报文中的Identifier值应与请求报文中的Identifier值相同。

Length：长度为2个字节，用来指定RADIUS报文的长度。超过Length取值的字节将作为填充字符而忽略。如果接收到的报文的实际长度小于Length的取值，则该报文会被丢弃。

Authenticator：长度为16个字节，用来验证RADIUS服务器的响应报文，同时还用于用户密码的加密。

Attribute：不定长度，为报文的内容主体，用来携带专门的认证、授权和计费信息，提供请求和响应报文的配置细节。Attribute可以包括多个属性，每一个属性都采用（Type、Length、Value）三元组的结构来表示。

RADISU报文类型：

目前RADIUS定义了十六种报文类型。

RADIUS认证报文:

RADIUS计费报文：

RADIUS授权报文：

CoA:（Change of Authorization）是指用户认证成功后，管理员可以通过RADIUS协议来修改在线用户的权限。

DM:（Disconnect Message）是指用户离线报文，即由RADIUS服务器端主动发起的强迫用户下线的报文。

RADIUS工作原理

RADIUS认证、授权和计费：

接入设备作为RADIUS客户端，负责收集用户信息（例如：用户名、密码等），并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如下：

Radius配置示例

在核心交换机上的配置：

复制

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

定义radius

radius-server template qytang_radius_server-------------定义radius服务器模板

radius-server shared-key simple Huawei@123------------联动服务器设置密码

radius-server authentication 192.168.1.100 1812 -----------设置认证的端口

radius-server accounting 192.168.1.100 1813----------------设置计费的端口

radius-server authorization 192.168.1.100 shared-key simple Huawei@123------授权可选

aaa

authentication-scheme qytang_auth

authentication-mode radius

accounting-scheme qytang_acco

accounting-mode radius

domain default

authentication-scheme qytang_auth

accounting-scheme qytang_acco

radius-server  qytang_radius_server

然后在Radius服务器上配置好，即可与dot1x、Portal等技术结合使用。

TCP/IP 安全

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。