1 RADIUS和谈道理及利用
1.1   RADIUS和谈概述
1987年
，Merit Network, Inc.公司从美国科学基金会获得了NSFnet（Internet前身）的运营权。Merit必要将原先运行在专有网络和谈上的大量拨号业务移植到基于IP网络的NSFnet上。通过招标
，一家名为Livingston的公司为Merit提供了一套规划
，并将其定名为RADIUS（Remote Authentication Dial-In User Service
，远程认证拨号用户服务）。RADIUS和谈最初用于拨号用户的认证和计费
，在经过屡次批改之后
，成为事实上的网络接入尺度。
RADIUS和谈是基于UDP的利用层和谈
，其切合AAA尺度
，同时拥有方便部署、网络传输安全、和谈易于扩大、支持多种认证机造蹬着点
，在通常电话上网、ADSL上网、幼区宽带上网、IP电话等业务得到了宽泛利用。
1.2   RADIUS和谈与AAA
1.2.1  AAA介绍
AAA（Authentication Authorization and Accounting
，认证、授权和记账）是一种治理网络安全的机造
，可以为接入网络的用户提招认证、授权和记账（计费）三种根基服务
，具体内容如下：
●    认证服务：在用户接见网络前对其身份进行鉴别
，用于验证用户是否拥有接见权。
●    授权服务：对用户权限进行分类
，为分歧用户提供分歧的接见权限。
●    记账服务：纪录用户使用网络资源的情况
，统计的数据可用于进行分析、计费等。
图1-1    AAA根基网络结构图

如上图所示：AAA根基网络结构由Host（用户）、NAS（Network Access Server
，网络接入设备）和AAA server（远程服务器）组成。
(1)    用户向NAS提议AAA申请
，NAS收到AAA申请后
，将其发送给AAA server进行处置。
(2)    AAA server处置后将了局返回给NAS。NAS凭据处置了局为Host提供相应的AAA服务。
1.2.2  RADIUS与AAA的关系
AAA作为一种安全机造
，能够通过分歧的和谈来实现。
RADIUS是一种基于UDP的利用层和谈
，支持认证、授权和记账职能
，和谈单一、矫捷、可拓展性强
，是一种盛行的AAA实现规划。
图1-2    RADIUS和谈部署示意图

如上图所示
，在NAS上部署RADIUS client和谈
，在AAA server上部署RADIUS server和谈
，即可用RADIUS和谈实现AAA服务。
1.3   RADIUS和谈个性
1.     C/S模型
RADIUS和谈基于C/S（Client/Server）模式
，分为RADIUS客户端和RADIUS服务端。
RADIUS客户端和谈部署在接入设备上
，将用户的要求传递给RADIUS服务端
，并对服务器端的处置了局作出响应。
RADIUS服务端和谈部署在服务器上
，用于响应RADIUS客户端的要求。
2.     网络安全
RADIUS客户端和服务器之间传输的用户密码都经过加密
，且用于加密的共享密钥不经过网络传输
，预防用户密码在经过不安全的网络环境时被监听窃取。
3.     矫捷的认证机造
RADIUS服务器支持多种用户认证步骤。
用户提供用户名和用户密码后
，RADIUS服务器支持使用PAP、CHAP、UNIX登录和其他认证机造。
4.     和谈可扩大
RADIUS拥有优良的扩大性。
RADIUS报文通过可变长度的Attributes字段来携带认证、授权和记账信息。Attributes字段中携带一连串的TLV（Type、Length、Value）三元组属性信息。
若要新增全新的属性
，则直接在Attributes字段中增长TLV三元组即可
，不会对原有的和谈造成滋扰。
1.4   RADIUS报文与和谈交互过程
1.4.1  RADIUS和谈报文
图1-3    RADIUS报文结构图

1.4.2  RADIUS和谈交互过程
图1-4    RADIUS认证、授权和记账流程图

●    RADIUS的认证和授权流程
a     用户输入用户名、密码等身份信息
，并将其发送给RADIUS客户端。
b     RADIUS客户端接管用户的用户名、密码信息
，并向RADIUS服务器发送认证要求报文。认证要求报文中的密码为加密大局。
c     RADIUS服务器收到认证要求后
，验证用户名、密码信息是否合法。若合法令接受认证要求
，并同时下发该用户的授权信息；若不合法
，则回绝该认证要求。
●    RADIUS的记账流程
d     若用户提议认证流程中
，RADIUS服务器返回认证成功
，则RADIUS客户端持续发送记账起头要求报文。
e     RADIUS服务器回应记账起头响应报文
，起头记账。
f     若用户必要实现接见网络资源
，则向RADIUS客户端申请断开衔接。
g     RADIUS客户端发送记账实现要求报文。
h     RADIUS服务器返回记账实现响应报文
，并终场记账。
i     用户断开衔接
，无法再接见网络资源。
1.5   RADIUS和谈典型利用场景
RADIUS和谈常见的一个场景是在办公网场景中结合802.1X认证为用户提招认证服务。
如果某公司存在几个办公区
，员工在办公区内接见网络时必要受到权限管控。公司辅导但愿可能对分歧级此外员工配发分歧的权限
，且统一员工在分歧办公区办公时
，其权限等级是一致的。
图1-5    办公网802.1X认证场景

如图2-5所示
，在各个办公区的接入设备上配置802.1X认证
，认证步骤指定为RADIUS服务器。同时在RADIUS服务器为分歧员工配置相应的账号和权限
，即可治理员工的网络权限。
员工在接见网络时
，接入设备会要求员工提供账号进行认证。账号的网络接见权限由RADIUS服务器配置指定。
使用RADIUS服务器认证有如下利益：
●    方便部署
，账号统一治理
，不易混乱。所有办公区的接入设备都能够指定统一个RADIUS服务器
，接入设备不必要沉复配置员工的账号
，只必要在服务器上配置好员工账号后
，即可在所有办公区内生效。同时
，若有新增办公区时
，只必要在对应的接入设备上指定原有的RADIUS服务器进行认证即可。
●    安全性。RADIUS数据传输经过加密
，预防账号信息在经过公用网络时被监听窃取。
●    支持备用RADIUS服务器。支持使用多组RADIUS服务器来提招认证服务器
，在某台服务器宕机时
，能够自动切换为备用服务器
，预防影响正常办公。