1 RADIUS協議原理及應用
1.1   RADIUS協議概述
1987年，Merit Network, Inc.公司從美國科學基金會獲得了NSFnet（Internet前身）的運營權。Merit需要將原先運行在專有網絡協議上的大量撥號業務移植到基于IP網絡的NSFnet上。通過招標，一家名為Livingston的公司為Merit提供了一套方案，并將其命名為RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）。RADIUS協議最初用于撥號用戶的認證和計費，在經過多次修改之后，成為事實上的網絡接入標準。
RADIUS協議是基于UDP的應用層協議，其符合AAA標準，同時具有方便部署、網絡傳輸安全、協議易于擴展、支持多種認證機制等優點，在普通電話上網、ADSL上網、小區寬帶上網、IP電話等業務得到了廣泛應用。
1.2   RADIUS協議與AAA
1.2.1  AAA介紹
AAA（Authentication Authorization and Accounting，認證、授權和記賬）是一種管理網絡安全的機制，可以為接入網絡的用戶提供認證、授權和記賬（計費）三種基本服務，具體內容如下：
●    認證服務：在用戶訪問網絡前對其身份進行識別，用于驗證用戶是否具有訪問權。
●    授權服務：對用戶權限進行分類，為不同用戶提供不同的訪問權限。
●    記賬服務：記錄用戶使用網絡資源的情況，統計的數據可用于進行分析、計費等。
圖1-1    AAA基本網絡結構圖

如上圖所示：AAA基本網絡結構由Host（用戶）、NAS（Network Access Server，網絡接入設備）和AAA server（遠程服務器）組成。
(1)    用戶向NAS發起AAA申請，NAS收到AAA申請后，將其發送給AAA server進行處理。
(2)    AAA server處理后將結果返回給NAS。NAS根據處理結果為Host提供相應的AAA服務。
1.2.2  RADIUS與AAA的關系
AAA作為一種安全機制，可以通過不同的協議來實現。
RADIUS是一種基于UDP的應用層協議，支持認證、授權和記賬功能，協議簡單、靈活、可拓展性強，是一種流行的AAA實現方案。
圖1-2    RADIUS協議部署示意圖

如上圖所示，在NAS上部署RADIUS client協議，在AAA server上部署RADIUS server協議，即可用RADIUS協議實現AAA服務。
1.3   RADIUS協議特性
1.     C/S模型
RADIUS協議基于C/S（Client/Server）模式，分為RADIUS客戶端和RADIUS服務端。
RADIUS客戶端協議部署在接入設備上，將用戶的請求傳遞給RADIUS服務端，并對服務器端的處理結果作出響應。
RADIUS服務端協議部署在服務器上，用于響應RADIUS客戶端的請求。
2.     網絡安全
RADIUS客戶端和服務器之間傳輸的用戶密碼都經過加密，且用于加密的共享密鑰不經過網絡傳輸，避免用戶密碼在經過不安全的網絡環境時被監聽竊取。
3.     靈活的認證機制
RADIUS服務器支持多種用戶認證方法。
用戶提供用戶名和用戶密碼后，RADIUS服務器支持使用PAP、CHAP、UNIX登錄和其他認證機制。
4.     協議可擴展
RADIUS具有良好的擴展性。
RADIUS報文通過可變長度的Attributes字段來攜帶認證、授權和記賬信息。Attributes字段中攜帶一連串的TLV（Type、Length、Value）三元組屬性信息。
若要新增全新的屬性，則直接在Attributes字段中增加TLV三元組即可，不會對原有的協議造成干擾。
1.4   RADIUS報文與協議交互過程
1.4.1  RADIUS協議報文
圖1-3    RADIUS報文結構圖

1.4.2  RADIUS協議交互過程
圖1-4    RADIUS認證、授權和記賬流程圖

●    RADIUS的認證和授權流程
a     用戶輸入用戶名、密碼等身份信息，并將其發送給RADIUS客戶端。
b     RADIUS客戶端接收用戶的用戶名、密碼信息，并向RADIUS服務器發送認證請求報文。認證請求報文中的密碼為加密形式。
c     RADIUS服務器收到認證請求后，驗證用戶名、密碼信息是否合法。若合法則接受認證請求，并同時下發該用戶的授權信息；若不合法，則拒絕該認證請求。
●    RADIUS的記賬流程
d     若用戶發起認證流程中，RADIUS服務器返回認證成功，則RADIUS客戶端繼續發送記賬開始請求報文。
e     RADIUS服務器回應記賬開始響應報文，開始記賬。
f     若用戶需要結束訪問網絡資源，則向RADIUS客戶端申請斷開連接。
g     RADIUS客戶端發送記賬結束請求報文。
h     RADIUS服務器返回記賬結束響應報文，并停止記賬。
i     用戶斷開連接，無法再訪問網絡資源。
1.5   RADIUS協議典型應用場景
RADIUS協議常見的一個場景是在辦公網場景中結合802.1X認證為用戶提供認證服務。
假設某公司存在幾個辦公區，員工在辦公區內訪問網絡時需要受到權限管控。公司領導希望能夠對不同級別的員工配發不同的權限，且同一員工在不同辦公區辦公時，其權限等級是一致的。
圖1-5    辦公網802.1X認證場景

如圖2-5所示，在各個辦公區的接入設備上配置802.1X認證，認證方法指定為RADIUS服務器。同時在RADIUS服務器為不同員工配置相應的賬號和權限，即可管理員工的網絡權限。
員工在訪問網絡時，接入設備會要求員工提供賬號進行認證。賬號的網絡訪問權限由RADIUS服務器配置指定。
使用RADIUS服務器認證有如下優點：
●    方便部署，賬號統一管理，不易混亂。所有辦公區的接入設備都可以指定同一個RADIUS服務器，接入設備不需要重復配置員工的賬號，只需要在服務器上配置好員工賬號后，即可在所有辦公區內生效。同時，若有新增辦公區時，只需要在對應的接入設備上指定原有的RADIUS服務器進行認證即可。
●    安全性。RADIUS數據傳輸經過加密，防止賬號信息在經過公用網絡時被監聽竊取。
●    支持備用RADIUS服務器。支持使用多組RADIUS服務器來提供認證服務器，在某臺服務器宕機時，可以自動切換為備用服務器，避免影響正常辦公。