15.网络协议-Radius协议

AAA概述

功能介绍
1. AAA：分别为Authentication、Authorization、Accounting
2. 认证(Authentication)：验证用户的身份（用户名，密码认证）与可使用的网络服务（服务范围广）；
3. 授权(Authorization)：依据认证结果开放网络服务给用户；
4. 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。
AAA的优势
1. 灵活性
2. 可控性
3. 可扩展性
4. 可靠性
5. 标准化协议

AAA概述-认证模型

AAA认证基本模型
AAA基本模型包括用户，NAS，认证服务器三个部
分
版权所有© 2020深信服科技股份有限公司 第6页
AAA认证流程
1，用户向NAS发起认证连接请求
2，NAS设备将用户的认证请求转发给认证服务器
3，认证服务器返回认证结果给NAS
4，NAS设备根据认证的返回结果对用户进行相应的
认证，授权和计费操作
PS：NAS(Network Authentication Server)不是
(Network Attached Storage)网络附属存储

Radius需求背景-1 

场景1：通过AAA(Radius服务器)为上网用户提供认证、授权和计费：
某企业网络通过LANSwitch与AC/NGAF作为目的网络接入服务器。用户需要通过服务器的远端认证才能通过建立连接，该网络中的用户需要访问Internet资源。为了保证网络的安全性，
企业管理员希望控制用户对于Internet的访问。
通过在AC/NGAF上配置AAA，实现AC/NGAF与AAA服务器的对接，可以由AAA服务器对用户进行统一管理。用户在客户端上输入用户名和密码后，AC/NGAF可以接收到用户的用户名和密码等认证信息并将用户信息发送给AAA服务器，由AAA服务器对其进行认证。如果认证通过，则用户可以开始访问Internet。在用户访问过程中，AAA服务器还可以记录用户使用网络资源的情况。为了提高可靠性，可以部署两台AAA服务器，并在AC/NGAF上进行相应配置实现AAA服务器的主备备份，主服务器发生故障时，备服务器可以接替主服务器工作，保证用户业务不会中断。

Radius需求背景-2 

场景1：通过AAA对管理用户进行认证和授权：
管理用户（Administrator）与AC/AD/NGAF建立连接，对AC/AD/NGAF进行管理、配置和维护。
在AC/AD/NGAF上配置AAA后，当管理用户登录Switch时，AC/AD/NGAF将管理用户的用户名和密码等信息发送给AAA服务器，由AAA服务器来进行统一认证，同时记录这些用户的操作行为

Radius概述 

AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS协议。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP（User DatagramProtocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入等。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。
RADIUS协议的主要特征如下：
1. 客户端/服务器模式
2. 安全的消息交互机制
3. 良好的扩展性

Radius概述-客户端/服务器模式

• RADIUS客户端
1. 持标准RADIUS协议及扩充属性，包括RFC2865、
RFC2866。
2. RADIUS服务器主备或负载分担功能。
3. 针对我们公司可以作为NAS的包括AC/AF/NGAF/SSL/
都可以作为Radius客户端
• RADIUS服务器
1. 一般运行在中心计算机或工作站上，维护相关的用户认
证和网络服务访问信息，负责接收用户连接请求并认证
用户，然后给客户端返回所有需要的信息（如接受/拒
绝认证请求）。
2. 我们公司合作的radius服务应用主要是飞天OTP平台
+Mysql数据库。

Radius认证数据包结构 

 

认证/计费请求报文格式