■江苏 陈沪娟

编者按：Radius是一种应用广泛的远程认证服务协议，对保护网络安全起到非常重要的作用，本文列举了Radius服务使用中的一些问题，希望有所帮助。

Radius服务指的是什么？该服务的主要作用是什么？

答：Radius服务的英文全称为Remote Authentication Dial In User Service，中文意思为远程认证拨号用户服务协议，它是目前应用范围十分广泛的AAA协议。该网络服务认证机制相当灵活，可以通过PAP、 CHAP或者Unix登录认证等多种方式，确保特定网络系统不受未授权访问的影响，在对无线网络的安全认证时，也可以使用Radius服务控制无线接入安全。

Radius服务中实现EAP认证的方式主要有哪些？

答：在设备端与Radius服务器之间，可以使用两种方式来交换数据信息，一种是EAP协议报文使用EAPOR封装格式承载于Radius协议中，另一种是设备端终结EAP协议报文，采用包含PAP或CHAP属性的报文与Radius服务器进行认证。这样，在认证过程中就存在两种认证方式，一种是EAP中继方式，另外一种是EAP终结方式。

Radius服务的主要特点有哪些？

答：Radius服务使用C/S模型，也就是客户端服务器模型，其中网络访问服务系统作为Radius服务的客户端，Radius服务负责获取用户连接请求，验证用户，然后返回所有必要的配置信息，用于客户端提交服务给用户。Radius协议通过挑战-握手认证协议、点对点协议、密码认证协议以及简单的UNIX登录，来实现鉴权目的。

Radius协议在客户端和服务之间的传输通过使用共享密钥认证，该密钥从来不发送到网络上。Radius协议支持无状态协议，使用UDP协议，工作在网络端口1812上，因为UDP协议更加快捷方便，能够减轻Radius服务器的压力，也更安全。Radius协议是可扩展的，不少Radius硬件和软件实现厂商有它们自己的方言。

能否详细介绍一下Radius服务的工作原理？

答：当Radius系统启动运行后，如果用户想连接网络访问系统（NAS），来得到特定资源的访问权限或获取其他网络资源的使用权利时，网络访问系统需要将用户的请求信息包，包括授权、认证、计费等信息包，提交给Radius服务器，Radius服务器通过本地用户数据库所包含的网络服务访问信息和用户认证信息，对接入用户的登录账号合法性进行检验，这包括登录用户名、密码等信息，其中登录密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播，要是认证合法的话，该服务器会将相关的计费统计数据和网络配置信息返回给NAS，并允许接入用户开展下一步工作。

倘若认证没有通过，Radius服务器也会给NAS返回访问拒绝数据包，这时需要用户重新输入登录账号，不然的话严格禁止用户的接入访问。

在认证用户合法性的时候，Radius服务器与NAS服务器之间的信息交互，必须使用UDP数据报文来完成，在这个过程中，为了改善交互通信的安全性，双方使用共享密钥方式传输数据报文，来保证重要的配置信息只有被成功加密后，才可以在网络中正常传输，从而避免这些信息被非法用户窃听或盗取。

Radius协议一般工作于客户/服务器结构，在以太网环境下，那些支持网络接入功能的交换机作为Radius的客户端，主要负责将相关请求数据包信息传递给局域网特定的Radius服务器，接着根据Radius服务器返回的数据包信息，对接入用户进行挂断或接入操作。Radius服务器通常工作在特定网络的中心计算机系统中，该系统必须含用全部用户认证和网络服务访问信息。在客户端与服务器通信时，Radius协议规定了它们如何传递计费统计信息和用户配置信息。

当登录者的验证条件和握手会话全部通过后，网络访问系统会从RADIUS服务器那里获得一个用户配置信息包，请问该信息包中主要包含哪些信息？

答：主要包括服务类型 ：SLIP、PPP、Login User、Rlogin、Framed、Callback 等等。还包括与服务类型相关的配置信息IP地址、时间限制等等。

众所周知，Radius服务器在实际工作的时候，往往是通过UDP报文方式来传输数据的。请问为什么在配置参数的时候，需要将该类型的报文传输次数配置成多次？

答：这是因为UDP报文方式的传输性能常常很不稳定，倘若Radius服务器在规定时间内，没有及时响应客户端系统的相关请求，那么客户端系统会有必要自动向Radius服务器重新发送相关数据报文。

当然，总的传送次数要是超过最大限值，而Radius服务器对数据报文仍旧没有正常响应时，那么客户端系统将会认为其与指定的Radius服务器之间的连接已经断开，这时它会自动将相关数据报文发送给其他的Radius服务器去处理。所以，为了既能保证数据报文稳定传输，又能保证Radius服务器及时响应，配置好合适的数据报文传送次数是相当重要的。

请问在成功配置好Radius服务器组的属性参数后，怎么查看具体的地址和网络端口是否配置正确？

答 ：在 Quidway S8500品牌路由交换机后台系统中，使用“display radius XYZ”命令，就能清楚地查看到名称为“XYZ”的Radius服务器组所有配置信息了，包括服务器使用的地址和网络端口信息。

在同时存在主服务器、备份服务器的情况下，要是终端计算机系统与主Radius服务器之间的通信发生故障时，终端系统与主、备份服务器之间是如何继续通信的？

答：终端计算机系统会自动地尝试与备份服务建立通信，同时进行交互传输数据报文。当主Radius服务器的工作状态被恢复为正常后，终端计算机系统不会立即与之重新建立通信，而是仍然与备份服务器保持连接，直到备份服务器也发生故障后，才会重新与主Radius服务器恢复连接，同时正常进行交互通信。

Radius服务器为什么会用到UDP协议？

答：主要有下面几个因素：一是NAS服务器和Radius服务器大多位于同一个局域网中，使用UDP协议更加快捷方便。二是简化了服务端的实现。事实证明，采用UDP协议可行，Radius服务器有自己的机制，来解决UDP协议丢包特点。

Radius服务的重传机制指的是什么？

答：如果NAS服务器向某个Radius服务器提交请求没有收到返回信息，那么可以要求备份Radius服务器重传。由于有多个备份Radius服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份Radius服务器的密钥和以前Radius服务器的密钥不同，则需要重新进行认证。

Radius服务数据包由几部分组成？各个部分作用分别是什么？

答：Radius服务数据包分为五个部分。第一个部分长1个字节，用于区分Radius服务包的类型；第二个部分长一个字节，用于请求和应答包的匹配；第三个部分长两个字节，表示Radius服务数据区；第四个部分长16个字节，用于验证服务器端的应答，另外还用于用户口令的加密；第五个部分不定长度，最小可为0个字节，描述Radius服务的属性，如用户名、口令、IP地址等信息都是存放在本数据段。

在Quidway S8500型号的路由交换机后台系统中，如何详细配置好Radius服务器的运行状态？

答：在配置Radius服务器工作状态时，先以管理员权限登录交换机后台系统，使用“System-view”字符串命令，切换到交换机后台全局视图模式，在该模式状态下输入字符串命令“radius scheme ABC”，进入 名称为“ABC”的Radius服务器组视图状态，接着执行字符串命令“state primary authentication active” 或“state primary authentication block”，就能将主授权/认证Radius服务器的运行状态指定为“active”状态或“block”状态了。要是输入字符串命令“state secondary authentication active”或“state secondary authentication block”，就能轻松将备份授权/认证Radius服务器的运行状态指定为“active”状态或“block”状态了。

要想将主计费Radius服务器的工作状态设置为“active”状态或“block”状态时，只要输入命令“state primary accounting active” 或“state primary accounting block”即可。要是输入“state secondary accounting active”或“state secondary accounting block”命令，能够将备份计费Radius服务器的工作状态设置为“active”或“block”。默认状态下，所有类型的Radius服务器工作状态均为“active”状态。

在日常管理维护网络的时候，Radius服务器的属性参数配置，有哪些规律能够遵循的？

答：没有固定的规律可以遵循，一切要根据具体情况来配置。比方说，可以配置四组相同的IP地址和端口参数，让对应的Radius服务器组既作为局域网的计费服务器，又作为认证/授权服务器，同时将它们既作为主服务器，又作为备份服务器。也能够配置其中两台服务器既作为主计费服务器，又作为备份认证/授权服务器，配置其他两台服务器既作为备份计费服务器，又作为主认证/授权服务器。当然，甚至能配置四组不同的数据，来对应四台不同的Radius服务器。

由于Radius服务器在收发计费报文和认证/授权报文时，会使用不同的UDP端口，因此在指定服务器工作端口号码时，必须要确保计费端口号码和认证/授权端口号码不能相同。默认状态下，计费服务使用的端口号码应该设置为1813，认证/授权服务端口号码应该设置为1812，而不管哪一种类型的服务器，缺省使用的IP地址都为0.0.0.0。

Radius服务器组指的是什么？创建Radius服务器组时应该注意哪些事项？

答：Radius服务器组既能是一台相对独立的Radius服务器主机，也能是两台主、备服务器形成的一个组合，不过这两台服务器必须是配置参数相同，仅IP地址不同。所以在实际创建并配置Radius服务器组属性参数时，需要特别注意两点：一是要指定好主服务器的IP地址和备份服务器的IP地址，二是要设置好Radius服务器的类型以及共享密钥等参数。

网络访问系统（NAS）在收到用户登录连接网络请求信息后，将按照特定的数据包格式，向RADIUS服务器发出“接入请求”包，请问这个数据包中包含RADIUS协议的哪些属性值？

答：主要包括登录网络系统的用户名、用户口令、访问服务器的ID、访问端口的ID等信息。

Radius服务主要有哪些安全隐患？

答：首先表现在加密方面，该服务虽然对用户密码进行了加密，但是其他的数据报文内容都没有进行加密，无法很好地满足机密性的要求。对用户密码是采用流密码保护，要是服务器端对同一用户的认证失败次数没有限制，那么恶意用户或许会通过穷举搜索来获得正确的用户口令。

该协议使用认证码进行安全检查，不过其接入请求数据包中的请求认证码只是一个随机数，因此Radius服务器并不能对接入请求包的报文进行鉴别。尽管要求接入请求数据包的请求鉴别码，在特定时间内不能重复，不过Radius服务器并没有对它的重复使用进行检查。

其次表现在数据传输方面，Radius服务采用的UDP传输协议，能够确保对用户鉴别在很短的时间内完成，不过因为UDP协议没有出错重发机制，鉴别的可靠性就在一定程度上受到影响。

同时，Radius服务也没有采用任何措施对重播(replay)的避免提供支持。Radius服务支持代理功能，允许Radius服务器把一个请求转发给另一个Radius服务器。

但每一个代理Radius服务器都有权对用户的认证计费信息进行修改，端到端的安全无法得到有效保障。另外，该协议还存在一个用户可以以多种方式登录、用户密码及共享密钥过短、多个RADIUS客户端和服务器端使用同一个共享密钥等问题。

请问怎样在Quidway S8500型号的路由交换机中，创建或删除特定的Radius服务器组？

答：首先以系统管理员权限登录进入路由交换机后台系统，使用“System-view”命令，进入系统全局视图模式状态，在该状态下执行字符串命令“radius scheme ABC”（这 里的“ABC”为特定Radius服务器组名称），就能成功创建好一台名称为“ABC”的Radius服务器组了。在缺省状态下，交换机后台系统会将Radius服务器组的名称取为“system”，并且将其相关属性参数都定义为默认数值。

如果要创建本地Radius服务器组时，只要在交换机后台系统全局视图状态下，执行字符串命令“local-server nas-ip ABC key DEF”即可，这里的“ABC”为本地Radius服务器组的IP地址，“DEF”为登录服务器组的密码内容。在缺省状态下，成功创建好的本地Radius服务器组IP地址为“127.0.0.1”，缺省使用“huawei”这样的密码内容登录服务器组。

日后，如果管理员不需要某个特定的Radius服务器组时，也能够在交换机后台系统全局视图模式下，输入“undo radius scheme ABC”命令，将名称为“ABC”的特定Radius服务器组从后台系统直接删除掉。

请问不同的ISP域能否引用相同的一台Radius服务器组？

答：答案是肯定的！对于Quidway系列路由交换机来说，每个远程接入用户都属于一个ISP域，用户最多能创建16个ISP域，要是某个用户在登录Radius服务器组时，没有提交ISP域名，那么交换机后台系统会自动将它归类为默认的ISP域，而用户最多可以同时创建16个Radius服务器组。

如果想查看所有或指定ISP域的配置信息时，只要在交换机后台系统的任意视图模式下，执行“display domain”命令，从返回的结果界面中，就能轻松查看到特定ISP域的所有配置信息了。

正常情况下，我们应该怎样正确配置Radius服务器的响应超时时间呢？

答：一般来说，该参数既不能配置得太长，也不能配置得太短，配置得太长将无法保证用户及时获得Radius服务器提供的相关服务，配置得太短会造成数据报文传输不稳定。

在配置这种参数时，同样先进入特定名称的Radius服务器组视图状态，之后执行“timer X”命 令 设 置 好超时时间，其中“X”为响应超时定时器数值，该数值默认为3秒钟。当成功配置好Radius报文的相关参数后，可以执行“display radius statistics”命令，从返回的结果界面中，就能判断出配置是否正确了。

将Radius服务器组成功创建好后，一定要正确配置好它的IP地址以及端口号码，由于每种服务器都有主从之分，所以最大可以配置四组IP地址以及端口号码。请问如何详细配置Radius服务器的地址和端口？

答：这样的配置操作其实很简单。只要先以系统管理员权限登录交换机后台系统，使 用“System-view”命令进入到后台系统全局视图模式状态，执行字符串命令“radius scheme ABC”，切 换到名称为“ABC”的Radius服务器组视图状态下，在该状态下，输入字符串命令“primary authentication IP n”命令，这里的“IP”为Radius服务器组需要用到的IP地址，“n”为服务器使用到的UDP端口号码，单击回车键后就能配置好主Radius认证/授权服务器组的IP地址和端口号码了。

使用“primary accounting IP n”命令，可以配置好主Radius计费服务器组的IP地址以及端口号码。要是使用字符串命令“secondary authentication IP n”， 能够指定备份Radius认证/授权服务器组的IP地址和端口号码，使用字符串命令“secondary accounting IP n”命令，能够指定好备份Radius计费服务器组的IP地址和端口号码。

默认状态下，Radius服务器限定UDP数据请求报文的最大传输次数为3次，如果管理员想自行调整该参数时，该怎么操作？

答：只要先以管理员身份登录进入交换机后台全局视图模式，在该模式状态下输入“radius scheme ABC”命令，单击回车键后切换到名称为“ABC”的Radius服务器组视图状态，继续执行“retry X”字符串命令，这里的“X”为新设定的最大传送次数，这样就能配置好Radius服务器相关报文的最大传送次数了。要想将该数值还原为缺省设置时，可以执行“undo retry”字符串命令。

Radius服务器收到客户端系统接入请求包后，它是怎样对用户请求信息进行认证的？

答：首先查验网络访问服务器的共享密码与Radius服务器中事先配置的是否一致，以判断是所属的Radius客户端。在判断了数据包的正确性之后，Radius服务器会依据数据包中的用户名，在用户数据库中搜索是否有此用户记录。要是用户信息不符合，就向网络访问服务器发出接入拒绝包。网络访问服务器在收到拒绝包后，会立即停止用户连接端口的服务要求，用户被强制退出。倘若用户信息全部符合，Radius服务器向网络访问服务器发出接入质询数据包，对用户的登录请求作进一步的认证。

当主Radius服务器的工作状态恢复正常后，怎样才能让终端计算机系统立即与其重新建立连接并通信，而不是继续与备份服务器建立通信连接呢？

答：很简单，管理员只需要采取手工配置措施，强行将主Radius服务器的运行状态设置为“active”状态。一旦主服务器处于“active”工作状态，那么Radius备份服务器不管处于“active”运行状态，还是“block”运行状态，终端计算机系统都会自动将Radius数据报文发送给主Radius服务器去处理。

请问Radius服务器支持哪几种安全认证机制？

答：Radius服务器可支持密码认证协议（PAP）、点对点协议（PPP）、提问握手认证协议（CHAP）以及其它认证机制。

普通计算机系统与Radius服务器组在进行交互通信时，怎样才能确保数据交互的安全性？

答：一定要采取MD5加密算法，来对Radius数据报文进行加密传输，防止重要配置信息被恶意用户偷窃或盗取。只有在加密内容一致的情况下，普通计算机系统与Radius服务器组之间，才能正常传输数据报文。