RADIUS（RemoteAuthenticationDialInUserService）協議被設計用于AAA?1996年5月，RADIUS協議開始被IETF認可為AAA方面的工業(yè)標準。

（1）RADIUS協議的客戶析；服務器結構。RADIUS協議采用客戶相；服務器（Client/Server）結構。客戶端通常運行于接入服務器（AccessServer）上，它的職責是將用戶的信息發(fā)送到指定的RADIUS服務器，是連接用戶和RADIUS服務器之間的橋梁。

RADIUS服務器通常運行于工作站或服務器上，其職責是接收客戶端發(fā)來的用戶認證請求信息，完成對用戶的認證，同時將提供服務所需要的配置信息返回給客戶端，并對用戶開始進行計費。RADIUS服務器數據庫中的相關安全信息采用了集中存放的方式，避免安全信息凌亂散布帶來的不安全性，同時更可靠且易于管理。

（2）RADIUS協議工作流程。RADIUS客戶端會為每個撥號用戶建立一個會晤（Session）過程，并把第一次服務的開始作為會皤起點，將服務的結束作為會晤終點。

RADIUS協議工作流程如圖4-12所示，其中，A8010表示接入服務器即RADIUS客戶端，TA表示lSDN終端適配器。

RADIUS協議工作流程如下。

①用戶使用ADSL撥號上網，接入A8010.

②A8010從用戶那里獲取用戶名和口令，將其與用戶的一些其他信息（如接入號碼）打包向RADIUS服務器發(fā)送，該報文稱為認證請求（Access~Request）報文。

③RADIUS服務器收到認證請求報文后，首先通過共享密鑰判斷A8010是否已經在本服務器登記注冊，如果已經注冊，則根據報文中用戶名、口令等信息認證用戶是否合法。如果用戶非法，則向A8010發(fā)送訪問拒絕（Access-Reject）報文；如果用戶合法，那么RADIUS服務器會將用戶的配置信息（如IP地址）打包發(fā)送到A8010,該報文稱為訪問接受（Access-Accept）報文。

④A8010收到訪問接受/拒絕報文后，先判斷報文中的數字簽名是否正確，如果不正確就認為收到了一個非法報文，則丟棄該報文；如果數字簽名正確，那么A8010會接受用戶的上網請求，并用收到的信息對用戶進行配置（收到了訪問接受報文）；或者是拒絕該用戶的上網請求（收到了訪問拒絕報文）RADIUS認證/授權過程結束。

⑤在用戶通過認證之后，A8010向RADIUS服務器發(fā)送一個計費開始請求報文，RADIUS計費過程開始。

⑥RADIUS服務器收到后根據用戶類別進行響應。

⑦在用戶斷網之后，A8010向RADIUS服務器發(fā)送一個計費停止請求報文（信息包括接收發(fā)送字節(jié)數、會晤時間及掛斷原因等）。

⑧RADIUS服務器收到后同樣要給予響應。

（3）其他。RADIUS協議使用UDP作為傳送協議，同時使用了兩個UDP端口號分別用于認證和計費。在RADIUS的協議文本RFC2138和RFC2139中，規(guī)定1812作為認證端口號，1813為計費端口號。

在RADIUS服務器上，通常要維護3個數據庫：一個用于存儲用戶信息（包括用戶名、口令以及使用的協議、IP地址等配置），_個用于存儲接入服務器的信息（包括所認可的接入服務器以及它們之間的共享密鑰），另一個數據庫存儲的信息用于解釋RADIUS報文的屬性三元組。

RADIUS報文的數據部分由一個個的屬性三元組組成，屬性三元組由屬性編號、整個屬性的長度和屬性值構成。圖4-13所示的是一個用戶名（User-Name）屬性三元組的示例。

IP城域網的關鍵技術涉及的因素很多，如網絡技術、接入技術等，下面主要介紹用戶認證與接入、用戶管理、接入帶寬控制、IP地址分配與網絡地址轉換、用戶信息安全、網絡管理等城域網的關鍵技術。

（1）用戶認證與接入。運營商建設網絡的根本目的在于能夠通過網絡運營為用戶提供服務而獲取利潤。因此，必須對使用網絡的用戶按照一定的原則進行計費。而最簡單的計費方式莫過于采用包月制方式，但由于用戶的需求不一，如髙速上網可能需要IMbit/s帶寬，看MPEG-1節(jié)目可能需要2Mbit/s帶寬，看MPEG-2節(jié)目可能需要6Mbit/s帶寬，隨著競爭的加劇，這種包月制計費方式將難以適應市場需求，因此網絡必須能夠支持按照用戶使用網絡資源時情況進行計費。要做到這一點，就必須首先能夠對使用網絡的用戶進行身份認證，以防止非法用戶的盜用。

窄帶接入方式是利用PPP技術通過AAA服務器實現用戶的身份認證并分配IP地址，使得用戶能夠通過接入服務器接入網絡，進行信息交互。在寬帶接入方式下，通過以太網交換機或路由器實現的網絡，并不提供相應的功能對用戶進行身份認證。因此，要做到這一點，必須引入有關技術與相應的設備，如客戶管理系統。目前與此有關的技術可以歸為兩類，不需要嚴格認證的方法和需要嚴格認證的方法。

①不需要嚴格認證的方法。不需要嚴格認證的方法是將用戶靜態(tài)配置的IP地址或者采用DHCP自動獲取的IP地址與用戶終端設備的MAC地址和基于端口的VLANID捆綁在一起，用戶一開機就自動接入到網絡中，不需要對用戶的身份進行認證，上述IP地址、MAC地址與LANID的捆綁能夠有效地保證合法的終端才能接入網絡中，以確保用戶信息的安全性。但這種方法存在著一個嚴重的缺陷，只是保證合法終端接入網絡，而不是保證合法用戶接入網絡，不管是集團用戶還是家庭用戶，對此都幾乎難以容忍，這直接導致了DHCP+的出現。而且，這種方式目前還不能做到按用戶進行計費。因此，這種方式只能在網絡建設初期包月制情況下使用。

②需要嚴格認證的方法。需要嚴格認證的方法能夠保證每一個網絡使用者都是合法的用戶，一個終端可以有多個不同的用戶，如果與客戶管理系統一起使用，不同用戶還可以擁有訪問網絡資源的不同權限。目前，需要嚴格認證的方法分為兩種，PPPoE/A技術和DHCP+技術。

?PPPoE/A技術。PPPoE/A技術既能夠實現一個客戶端與多個遠程主機連接的功能，又能夠提供類似于PPP的訪問控制和計費功能。使用PPPoE/A技術，類似于使用點對點協議的撥號服務方式，每個主機使用自己的點對點協議棧，用戶使用他們所熟悉的撥號網絡用戶接口進行撥號。通PPPoE/A技術，每個用戶可以有他自己的接入管理、計費和業(yè)務類型。

PPPoE/A技術有IETF的遠程過程調用（RPC），技術與設備比較成熟，可以防止地址沖突與地址盜用，既可以按時長計費也可以按流ft計費，能夠對特定用戶設置訪問列表過濾或防火墻功能，能夠對特定用戶訪問網絡的速率進行控制，能夠利用現有的用戶認證、管理和計費系統實現寬窄帶用戶的統一管理認證和計費，能夠方便地提供動態(tài)業(yè)務選擇特性，而這些都是DHCP+所不具備的。因此，目前建議使用這種方法建設寬帶IP城域網。

DHCP+、DHCP+是為了適應網絡發(fā)展的霜要而對傳統的DHCP協議進行了改進，主要增加了認證功能，即DHCP服務器在將配置參數發(fā)給客戶端之前必須將客戶端提供的用戶名和密碼送到RADlUS服務器進行認證，通過后才將配置信息發(fā)給客戶端。與PPPoE/A技術一樣，DHCP+也需要在客戶端上安裝客戶端軟件，但不同的是，DHCP+客戶端與服務器可以通過在每個子網內增加中繼代理而跨越三層，不一定要在同一個二層內。而且，服務器只是在獲得1P配置信息階段起作用，以后的通信完全不經過它，而PPPoE/A技術由于服務器與客戶端之間存在PPP連接，因此服務器是所有通信的必經之路。

DHCP+的主要優(yōu)點是使用DHCP+服務器只在用戶接入網絡前為用戶提供配置與管理信息，一般不會成為瓶頸，并能夠很容易地實現組播的應用。但是，DHCP+還沒有正式的標準，產品和應用很少；不能防止地址沖突和地址盜用；不能按流最進行計費：不能對用戶的數據流微進行控制：應用DHCP+需要改變現有的后臺管理系統。

（2）用戶管理。寬帶IP城域網的用戶主要有兩類：集團用戶和家庭用戶。集團用戶一般采用包月制方式，不需要認證：而家庭用戶一般希望網絡能夠根據其實際需要提供業(yè)務和計費。因此，用戶管理主要是對需要進行嚴格認證的用戶的管理。

[1]  [2]  [3]