1 RADIUS和谈道理及利用
1.1   RADIUS和谈概述
1987年，，，，，Merit Network, Inc.公司从美国科学基金会获得了NSFnet（Internet前身）的运营权。。。。。。。Merit必要将原先运行在专有网络和谈上的大量拨号业务移植到基于IP网络的NSFnet上。。。。。。。通过招标，，，，，一家名为Livingston的公司为Merit提供了一套规划，，，，，并将其定名为RADIUS（Remote Authentication Dial-In User Service，，，，，远程认证拨号用户服务）。。。。。。。RADIUS和谈最初用于拨号用户的认证和计费，，，，，在经过屡次批改之后，，，，，成为事实上的网络接入尺度。。。。。。。
RADIUS和谈是基于UDP的利用层和谈，，，，，其切合AAA尺度，，，，，同时拥有方便部署、网络传输安全、和谈易于扩大、支持多种认证机造蹬着点，，，，，在通常电话上网、ADSL上网、幼区宽带上网、IP电话等业务得到了宽泛利用。。。。。。。
1.2   RADIUS和谈与AAA
1.2.1  AAA介绍
AAA（Authentication Authorization and Accounting，，，，，认证、授权和记账）是一种治理网络安全的机造，，，，，可以为接入网络的用户提招认证、授权和记账（计费）三种根基服务，，，，，具体内容如下：
●    认证服务：在用户接见网络前对其身份进行鉴别，，，，，用于验证用户是否拥有接见权。。。。。。。
●    授权服务：对用户权限进行分类，，，，，为分歧用户提供分歧的接见权限。。。。。。。
●    记账服务：纪录用户使用网络资源的情况，，，，，统计的数据可用于进行分析、计费等。。。。。。。
图1-1    AAA根基网络结构图

如上图所示：AAA根基网络结构由Host（用户）、NAS（Network Access Server，，，，，网络接入设备）和AAA server（远程服务器）组成。。。。。。。
(1)    用户向NAS提议AAA申请，，，，，NAS收到AAA申请后，，，，，将其发送给AAA server进行处置。。。。。。。
(2)    AAA server处置后将了局返回给NAS。。。。。。。NAS凭据处置了局为Host提供相应的AAA服务。。。。。。。
1.2.2  RADIUS与AAA的关系
AAA作为一种安全机造，，，，，能够通过分歧的和谈来实现。。。。。。。
RADIUS是一种基于UDP的利用层和谈，，，，，支持认证、授权和记账职能，，，，，和谈单一、矫捷、可拓展性强，，，，，是一种盛行的AAA实现规划。。。。。。。
图1-2    RADIUS和谈部署示意图

如上图所示，，，，，在NAS上部署RADIUS client和谈，，，，，在AAA server上部署RADIUS server和谈，，，，，即可用RADIUS和谈实现AAA服务。。。。。。。
1.3   RADIUS和谈个性
1.     C/S模型
RADIUS和谈基于C/S（Client/Server）模式，，，，，分为RADIUS客户端和RADIUS服务端。。。。。。。
RADIUS客户端和谈部署在接入设备上，，，，，将用户的要求传递给RADIUS服务端，，，，，并对服务器端的处置了局作出响应。。。。。。。
RADIUS服务端和谈部署在服务器上，，，，，用于响应RADIUS客户端的要求。。。。。。。
2.     网络安全
RADIUS客户端和服务器之间传输的用户密码都经过加密，，，，，且用于加密的共享密钥不经过网络传输，，，，，预防用户密码在经过不安全的网络环境时被监听窃取。。。。。。。
3.     矫捷的认证机造
RADIUS服务器支持多种用户认证步骤。。。。。。。
用户提供用户名和用户密码后，，，，，RADIUS服务器支持使用PAP、CHAP、UNIX登录和其他认证机造。。。。。。。
4.     和谈可扩大
RADIUS拥有优良的扩大性。。。。。。。
RADIUS报文通过可变长度的Attributes字段来携带认证、授权和记账信息。。。。。。。Attributes字段中携带一连串的TLV（Type、Length、Value）三元组属性信息。。。。。。。
若要新增全新的属性，，，，，则直接在Attributes字段中增长TLV三元组即可，，，，，不会对原有的和谈造成滋扰。。。。。。。
1.4   RADIUS报文与和谈交互过程
1.4.1  RADIUS和谈报文
图1-3    RADIUS报文结构图

1.4.2  RADIUS和谈交互过程
图1-4    RADIUS认证、授权和记账流程图

●    RADIUS的认证和授权流程
a     用户输入用户名、密码等身份信息，，，，，并将其发送给RADIUS客户端。。。。。。。
b     RADIUS客户端接管用户的用户名、密码信息，，，，，并向RADIUS服务器发送认证要求报文。。。。。。。认证要求报文中的密码为加密大局。。。。。。。
c     RADIUS服务器收到认证要求后，，，，，验证用户名、密码信息是否合法。。。。。。。若合法令接受认证要求，，，，，并同时下发该用户的授权信息；；；；；；；若不合法，，，，，则回绝该认证要求。。。。。。。
●    RADIUS的记账流程
d     若用户提议认证流程中，，，，，RADIUS服务器返回认证成功，，，，，则RADIUS客户端持续发送记账起头要求报文。。。。。。。
e     RADIUS服务器回应记账起头响应报文，，，，，起头记账。。。。。。。
f     若用户必要实现接见网络资源，，，，，则向RADIUS客户端申请断开衔接。。。。。。。
g     RADIUS客户端发送记账实现要求报文。。。。。。。
h     RADIUS服务器返回记账实现响应报文，，，，，并终场记账。。。。。。。
i     用户断开衔接，，，，，无法再接见网络资源。。。。。。。
1.5   RADIUS和谈典型利用场景
RADIUS和谈常见的一个场景是在办公网场景中结合802.1X认证为用户提招认证服务。。。。。。。
如果某公司存在几个办公区，，，，，员工在办公区内接见网络时必要受到权限管控。。。。。。。公司辅导但愿可能对分歧级此外员工配发分歧的权限，，，，，且统一员工在分歧办公区办公时，，，，，其权限等级是一致的。。。。。。。
图1-5    办公网802.1X认证场景

如图2-5所示，，，，，在各个办公区的接入设备上配置802.1X认证，，，，，认证步骤指定为RADIUS服务器。。。。。。。同时在RADIUS服务器为分歧员工配置相应的账号和权限，，，，，即可治理员工的网络权限。。。。。。。
员工在接见网络时，，，，，接入设备会要求员工提供账号进行认证。。。。。。。账号的网络接见权限由RADIUS服务器配置指定。。。。。。。
使用RADIUS服务器认证有如下利益：
●    方便部署，，，，，账号统一治理，，，，，不易混乱。。。。。。。所有办公区的接入设备都能够指定统一个RADIUS服务器，，，，，接入设备不必要沉复配置员工的账号，，，，，只必要在服务器上配置好员工账号后，，，，，即可在所有办公区内生效。。。。。。。同时，，，，，若有新增办公区时，，，，，只必要在对应的接入设备上指定原有的RADIUS服务器进行认证即可。。。。。。。
●    安全性。。。。。。。RADIUS数据传输经过加密，，，，，预防账号信息在经过公用网络时被监听窃取。。。。。。。
●    支持备用RADIUS服务器。。。。。。。支持使用多组RADIUS服务器来提招认证服务器，，，，，在某台服务器宕机时，，，，，能够自动切换为备用服务器，，，，，预防影响正常办公。。。。。。。