★Radius的基本知識:
1)Radius是標準的客戶端/服務器協議,其傳輸協議爲UDP。
2)Radius協議的主要用途:提供對網絡接入行爲的認證、授權和記賬功能。
3)描述Radius標準的RFC:Radius規範(RFC 2865,舊版本是RFC 2138);Radius記賬標準(RFC 2866,舊版本是RFC 2139)。
4)Radius協議中的基本元素是屬性,通過屬性來定義事件或操作。屬性通常表示爲一組值,當在客戶端和服務器間交換Radius包時,屬性和值會成對發送,它們稱爲屬性-值對(A-V pair)。
★Radius的工作流程
如圖所示,網絡接入服務器(NAS)作爲Radius客戶端,而AAA(認證、授權和記賬)服務器則作爲Radius服務器。它們之間的工作流程如下:
1)NAS發送訪問請求(Access Request)到AAA服務器,在請求中包含了用戶名、密碼、NAS的IP地址及端口。
2)AAA服務器接收到請求,如果其用戶名和密碼匹配,服務器會發送訪問接受(Access Accept)響應給NAS;如果在服務器上找不到用戶,服務器會自動載入一個默認帳號,或者是直接發送訪問拒絕(Access Reject)響應給NAS。在訪問接受響應中發送的屬性包括:服務類型、協議類型、分配的IP地址(靜態或動態)、應用的訪問列表或靜態路由。
3)AAA服務器可以發送Access Challenge消息給NAS,以向用戶請求獲得更多信息。
★Cisco路由器上配置Radius
1)激活AAA功能:在全局配置模式下使用aaa new-model命令。
2)定義Radius認證的方法列表:在全局配置模式下使用aaa authentication global命令。
3)使用line和接口命令來激活定義的方法列表。
4)定義Radius服務器和密鑰:使用命令radius-server host ip-address key secret key.