CCIE security学习之安全性协议（1）―― Radius

★ Radius 的基本知识：

1 ） Radius 是标准的客户端 / 服务器协议，其传输协议为 UDP 。

2 ） Radius 协议的主要用途：提供对网络接入行为的认证、授权和记账功能。

3 ）描述 Radius 标准的 RFC ： Radius 规范（ RFC 2865 ，旧版本是 RFC 2138 ）； Radius 记账标准（ RFC 2866 ，旧版本是 RFC 2139 ）。

4 ） Radius 协议中的基本元素是属性，通过属性来定义事件或操作。属性通常表示为一组值，当在客户端和服务器间交换 Radius 包时，属性和值会成对发送，它们称为属性 - 值对（ A-V pair ）。

 

★ Radius 的工作流程

如图所示，网络接入服务器（ NAS ）作为 Radius 客户端，而 AAA （认证、授权和记账）服务器则作为 Radius 服务器。它们之间的工作流程如下：

1 ） NAS 发送访问请求（ Access Request ）到 AAA 服务器，在请求中包含了用户名、密码、 NAS 的 IP 地址及端口。

2 ） AAA 服务器接收到请求，如果其用户名和密码匹配，服务器会发送访问接受（ Access Accept ）响应给 NAS ；如果在服务器上找不到用户，服务器会自动载入一个默认帐号，或者是直接发送访问拒绝（ Access Reject ）响应给 NAS 。在访问接受响应中发送的属性包括：服务类型、协议类型、分配的 IP 地址（静态或动态）、应用的访问列表或静态路由。

3 ） AAA 服务器可以发送 Access Challenge 消息给 NAS ，以向用户请求获得更多信息。

 

★ Cisco 路由器上配置 Radius

1 ）激活 AAA 功能：在全局配置模式下使用 aaa new-model 命令。

2 ）定义 Radius 认证的方法列表：在全局配置模式下使用 aaa authentication global 命令。

3 ）使用 line 和接口命令来激活定义的方法列表。

4 ）定义 Radius 服务器和密钥：使用命令 radius-server host ip-address key secret key .