如何搭建Radius服务器

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

搭建Radius服务器的方法：

用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。

RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也更安全。

RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。

radius　常用词汇　

英 ['reɪdiəs] 美 ['reɪdiəs]

n 半径范围；半径；桡骨；辐射区

Nobody is allowed to enter the operation radius

不允许任何人进入工作半径范围以内。

What is the radius of this circle

这个圆的半径有多长

We can compute the circular area with radius

我们能用半径计算出圆的面积。

The radius expands markedly at its lower end

桡骨下端明显扩张。

The police searched all the woods within a six-mile radius

警察搜索了在周围六英里以内的树林各处。

RADIUS(Remote Authentication Dial In User Service)是一种在网络接入服务器（Network Access

Server）和共享认证服务器间传输认证、授权和配置信息的协议。 RADIUS 使用 UDP 作为其传输协议。此外 RADIUS

也负责传送网络接入服务器和共享计费服务器间的计费信息。

RADIUS是分布式客户机/服务器系统，它保护网络不受未授权访问的干扰。在Cisco实现中，Radius客户机运行于路由器上，并向中央RADIUS服务器发出认证请求，这里的中央服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用于其他AAA安全协议，比如，TACACS,KERBEROS或本地用户名查找，所有Cisco平台都支持RADIUS。

RADIUS 主要特征如下：

客户 / 服务器模式：网络接入服务器作为 RADIUS 的客户端，负责将用户信息传递给指定的 RADIUS

服务器，然后根据返回信息进行操作。 RADIUS 服务器负责接收用户连接请求，认证用户后，返回所有必要的配置信息以便客户端为用户提供服务。 RADIUS

服务器可以作为其他 RADIUS 服务器或认证服务器的代理。

网络安全：客户端与 RADIUS

记帐服务器之间的通信是通过共享密钥的使用来鉴别的，这个共享密钥不会通过网络传送。此外，任何用户口令在客户机和 RADIUS

服务器间发送时都需要进行加密过程，以避免有人通过嗅探非安全网络可得到用户密码。

灵活认证机制： RADIUS 服务器支持多种用户认证方法。当用户提供了用户名和原始口令后， RADIUS

服务器可支持 PPP PAP 或 CHAP, UNIX 登录和其它认证机制。

协议的可扩充性：所有的事务都是由不同长度的“属性－长度－值”的三元组构成的。新的属性值的加入不会影响到原有协议的执行。

RADIUS

通信的例子：

The following example assumes login authentication, exec

authorization, and start−stop exec accounting is implemented with RADIUS when a

user Telnets to a router, performs a command, and exits the router (other

management services are not available)

TACACS & TACACS+：Terminal Access Controller Access Control

System终端访问控制器访问控制系统。通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS

支持独立的认证（Authentication）、授权（Authorization）和计费（Accounting）功能。

TACACS+应用传输控制协议（TCP），而RADIUS使用用户数据报协议（UDP）。

TACACS+ Traffic Example：

The following example assumes

login authentication, exec authorization, command authorization, start−stopexec

accounting, and command accounting is implemented with TACACS+ when a user

Telnets to a router,performs a command, and exits the router

8021x协议起源于80211协议，后者是IEEE的无线局域网协议， 制订8021x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch) ，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必 要对端口加以控制以实现用户级的接入控制，802lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。

IEEE 8021X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。

8201X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 8021X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个8021x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。

一下分别介绍三者的具体内容:

请求者系统

请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持8021x认证的用户终端设备，用户通过启动客户端软件发起8021x认证，后文的认证请求者和客户端二者表达相同含义。

认证系统

认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802 1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备 (如LAN Switch和AP) 上实现8021x认证。文的认证系统、认证点和接入设备三者表达相同含义。

认证服务器系统

认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。

请求者和认证系统之间运行8021x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。

认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

整个8021x的认证过程可以描述如下

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始8021x认证接入;

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;

(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备

(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证

(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;

(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;

(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

RADIUS是英文(Remote Authentication Dial In User Service)的缩写，是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档，如：用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面：认证部分、客户协议以及记费部分,其中：

RADIUS 认证部分一般安装在网络中的某台服务器上，即RADIUS认证服务器；

客户协议运行在远程接入设备上，如：远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器，并按照服务器发回的响应做出行动；

RADIUS记费部分收集统计数据，并可以生成有关与网络建立的拨入会话的报告。