■江蘇 陳滬娟

編者按：網(wǎng)絡管理人員配置設備時需要熟悉一些網(wǎng)絡協(xié)議，本文列舉了Radius協(xié)議的一些知識以及可能遇到的問題，希望對大家的工作有所幫助。

答：Radius協(xié)議采用客戶端服務器模型（C/S），其中網(wǎng)絡訪問服務系統(tǒng)作為Radius服務的客戶端，Radius服務負責獲取用戶連接請求，驗證用戶，然后返回所有必要的配置信息，用于客戶端提交服務給用戶。Radius協(xié)議通過挑戰(zhàn)-握手認證協(xié)議、點對點協(xié)議、密碼認證協(xié)議以及簡單的UNIX登錄，來實現(xiàn)鑒權(quán)目的。Radius協(xié)議在客戶端和服務之間的傳輸通過使用共享密鑰認證，該密鑰從來不發(fā)送到網(wǎng)絡上。Radius協(xié)議支持無狀態(tài)協(xié)議，使用UDP協(xié)議，工作在網(wǎng)絡端口1812上，因為UDP協(xié)議更加快捷方便，能夠減輕Radius服務器的壓力，也更安全?；ネㄐ诺陌踩?，雙方使用共享密鑰方式傳輸數(shù)據(jù)報文，來保證重要的配置信息只有被成功加密后，才可以在網(wǎng)絡中正常傳輸，從而避免這些信息被非法用戶竊聽或盜取。Radius協(xié)議一般工作于客戶/服務器結(jié)構(gòu)，在以太網(wǎng)環(huán)境下，那些支持網(wǎng)絡接入功能的交換機作為Radius的客戶端，主要負責將相關請求數(shù)據(jù)包信息傳遞給局域網(wǎng)特定的Radius服務器，接著根據(jù)Radius服務器返回的數(shù)據(jù)包信息，對接入用戶進行掛斷或接入操作。Radius服務器通常工作在特定網(wǎng)絡的中心計算機系統(tǒng)中，該系統(tǒng)必須含用全部用戶認證和網(wǎng)絡服務訪問信息。在客戶端與服務器通信時，Radius協(xié)議規(guī)定了它們?nèi)绾蝹鬟f計費統(tǒng)計信息和用戶配置信息。

答：當Radius系統(tǒng)啟動運行后，如果用戶想連接網(wǎng)絡訪問系統(tǒng)（NAS），來得到特定資源的訪問權(quán)限或獲取其他網(wǎng)絡資源的使用權(quán)利時，網(wǎng)絡訪問系統(tǒng)需要將用戶的請求信息包，包括授權(quán)、認證、計費等信息包，提交給Radius服務器，Radius服務器通過本地用戶數(shù)據(jù)庫所包含的網(wǎng)絡服務訪問信息和用戶認證信息，對接入用戶的登錄賬號合法性進行檢驗，這包括登錄用戶名、密碼等信息，其中登錄密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡傳播，要是認證合法的話，該服務器會將相關的計費統(tǒng)計數(shù)據(jù)和網(wǎng)絡配置信息返回給NAS，并允許接入用戶開展下一步工作。倘若認證沒有通過，Radius服務器也會給NAS返回訪問拒絕數(shù)據(jù)包，這時需要用戶重新輸入登錄賬號，不然的話嚴格禁止用戶的接入訪問。

在認證用戶合法性的時候，Radius服務器與NAS服務器之間的信息交互，必須使用UDP數(shù)據(jù)報文來完成，在這個過程中，為了改善交

網(wǎng)絡訪問系統(tǒng)（NAS）在收到用戶登錄連接網(wǎng)絡請求信息后，將按照特定的數(shù)據(jù)包格式，向RADIUS服務器發(fā)出“接入請求”包，請問這個數(shù)據(jù)包中包含RADIUS協(xié)議的哪些屬性值？

答：主要包括登錄網(wǎng)絡系統(tǒng)的用戶名、用戶口令、訪問服務器的ID、訪問端口的ID等信息。

請問什么是Radius服務器組？創(chuàng)建Radius服務器組時需要注意什么？

答：Radius服務器組既能是一臺相對獨立的Radius服務器主機，也能是兩臺主、備服務器形成的一個組合，不過這兩臺服務器必須是配置參數(shù)相同，僅IP地址不同。所以在實際創(chuàng)建并配置Radius服務器組屬性參數(shù)時，需要特別注意兩點：一是要指定好主服務器的IP地址和備份服務器的IP地址，二是要設置好Radius服務器的類型以及共享密鑰等參數(shù)。

答：首先表現(xiàn)在加密方面，該協(xié)議雖然對用戶密碼進行了加密，但是其他的數(shù)據(jù)報文內(nèi)容都沒有進行加密，無法很好地滿足機密性的要求。對用戶密碼是采用流密碼保護，要是服務器端對同一用戶的認證失敗次數(shù)沒有限制，那么惡意用戶或許會通過窮舉搜索來獲得正確的用戶口令。該協(xié)議使用認證碼進行安全檢查，不過其接入請求數(shù)據(jù)包中的請求認證碼只是一個隨機數(shù)，因此Radius服務器并不能對接入請求包的報文進行鑒別。盡管要求接入請求數(shù)據(jù)包的請求鑒別碼，在特定時間內(nèi)不能重復，不過Radius服務器并沒有對它的重復使用進行檢查。

其次表現(xiàn)在數(shù)據(jù)傳輸方面，Radius協(xié)議采用的UDP傳輸協(xié)議，能夠確保對用戶鑒別在很短的時間內(nèi)完成，不過因為UDP協(xié)議沒有出錯重發(fā)機制，鑒別的可靠性就在一定程度上受到影響。同時，Radius協(xié)議也沒有采用任何措施對重播(replay)的避免提供支持。Radius協(xié)議支持代理功能，允許Radius服務器把一個請求轉(zhuǎn)發(fā)給另一個Radius服務器。但每一個代理Radius服務器都有權(quán)對用戶的認證計費信息進行修改，端到端的安全無法得到有效保障。另外，該協(xié)議還存在一個用戶可以以多種方式登錄、用戶密碼及共享密鑰過短、多個RADIUS客戶端和服務器端使用同一個共享密鑰等問題。

大家知道，Radius服務器在實際運行的時候，一般是通過UDP報文方式來傳輸數(shù)據(jù)的。請問為什么在配置參數(shù)的時候，需要將該類型的報文傳輸次數(shù)配置成多次？

答：這是因為UDP報文方式的傳輸性能常常很不穩(wěn)定，倘若Radius服務器在規(guī)定時間內(nèi)，沒有及時響應客戶端系統(tǒng)的相關請求，那么客戶端系統(tǒng)會有必要自動向Radius服務器重新發(fā)送相關數(shù)據(jù)報文。當然，總的傳送次數(shù)要是超過最大限值，而Radius服務器對數(shù)據(jù)報文仍舊沒有正常響應時，那么客戶端系統(tǒng)將會認為其與指定的Radius服務器之間的連接已經(jīng)斷開，這時它會自動將相關數(shù)據(jù)報文發(fā)送給其他的Radius服務器去處理。所以，為了既能保證數(shù)據(jù)報文穩(wěn)定傳輸，又能保證Radius服務器及時響應，配置好合適的數(shù)據(jù)報文傳送次數(shù)是相當重要的。

在缺省狀態(tài)下，Radius服務器限定UDP數(shù)據(jù)請求報文的最大傳輸次數(shù)為3次，倘若管理員想自行修改該參數(shù)時，

該如何操作？

答：只要先以管理員身份登錄進入交換機后臺全局視圖模式，在該模式狀態(tài)下輸入“radius scheme ABC”命令，單擊回車鍵后切換到名稱為“ABC”的Radius服務器組視圖狀態(tài)，繼續(xù)執(zhí)行“retry X”字符串命令，這里的“X”為新設定的最大傳送次數(shù)，這樣就能配置好Radius服務器相關報文的最大傳送次數(shù)了。要想將該數(shù)值還原為缺省設置時，可以執(zhí)行“undo retry”字符串命令。

請問如何在Quidway S8500系列路由交換機中，創(chuàng)建或刪除特定的Radius服務器組？

答：首先以超級用戶權(quán)限登錄進入路由交換機后臺系統(tǒng)，使用“System-view”命令，進入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“radius scheme ABC”（這 里的“ABC”為特定Radius服務器組名稱），就能成功創(chuàng)建好一臺名稱為“ABC”的Radius服務器組了。在缺省狀態(tài)下，交換機后臺系統(tǒng)會將Radius服務器組的名稱取為“system”，并且將其相關屬性參數(shù)都定義為默認數(shù)值。

倘若要創(chuàng)建本地Radius服務器組時，只要在交換機后臺系統(tǒng)全局視圖狀態(tài)下，執(zhí)行字符串命令“l(fā)ocal-server nas-ip ABC key DEF”即可，這里的“ABC”為本地Radius服務器組的IP地址，“DEF”為登錄服務器組的密碼內(nèi)容。在缺省狀態(tài)下，成功創(chuàng)建好的本地Radius服務器組IP地址為“127.0.0.1”，缺省使用“huawei”這樣的密碼內(nèi)容登錄服務器組。

日后，倘若管理員不需要某個特定的Radius服務器組時，也可以在交換機后臺系統(tǒng)全局視圖模式下，執(zhí)行字符串命 令“undo radius scheme ABC”命令，將名稱為“ABC”的特定Radius服務器組從后臺系統(tǒng)直接刪除掉。

請問不同的ISP域能否引用相同的一臺Radius服務器組？

答：答案是肯定的！對于Quidway系列路由交換機來說，每個遠程接入用戶都屬于一個ISP域，用戶最多能創(chuàng)建16個ISP域，要是某個用戶在登錄Radius服務器組時，沒有提交ISP域名，那么交換機后臺系統(tǒng)會自動將它歸類為默認的ISP域，而用戶最多可以同時創(chuàng)建16個Radius服務器組。

如果想查看所有或指定ISP域的配置信息時，只要在交換機后臺系統(tǒng)的任意視圖模式下，執(zhí)行“display domain”命令，從返回的結(jié)果界面中，就能輕松查看到特定ISP域的所有配置信息了。

Radius協(xié)議中實現(xiàn)EAP認證的方式主要有哪些？

答：在設備端與Radius服務器之間，可以使用兩種方式來交換數(shù)據(jù)信息，一種是EAP協(xié)議報文使用EAPOR封裝格式承載于Radius協(xié)議中，另一種是設備端終結(jié)EAP協(xié)議報文，采用包含PAP或CHAP屬性的報文與Radius服務器進行認證。這樣，在認證過程中就存在兩種認證方式，一種是EAP中繼方式，另外一種是EAP終結(jié)方式。

一般來說，隔多長時間，客戶端系統(tǒng)會認為Radius服務器響應超時呢？

答：這需要管理員對Radius服務器的響應超時定時器進行正確配置。該參數(shù)既不能配置得太長，也不能配置得太短，配置得太長將無法保證用戶及時獲得Radius服務器提供的相關服務，配置得太短會造成數(shù)據(jù)報文傳輸不穩(wěn)定。在配置這種參數(shù)時，同樣先進入特定名稱的Radius服務器組視圖狀態(tài)，之后執(zhí)行“timer X”命令設置好超時時間，其中“X”為響應超時定時器數(shù)值，該數(shù)值默認為3秒鐘。當成功配置好Radius報文的相關參數(shù)后，可以執(zhí)行“display radius statistics”命令，從返回的結(jié)果界面中，就能判斷出配置是否正確了。

將Radius服務器組成功創(chuàng)建好后，一定要正確配置好它的IP地址以及端口號碼，由于每種服務器都有主從之分，所以最大可以配置四組IP地址以及端口號碼。請問如何詳細配置Radius服務器的地址和端口？

答：這樣的配置操作其實很簡單。只要先以系統(tǒng)管理員權(quán)限登錄交換機后臺系統(tǒng)，使 用“System-view”命令進入到后臺系統(tǒng)全局視圖模式狀態(tài)，執(zhí)行字符串命令“radius scheme ABC”，切 換到名稱為“ABC”的Radius服務器組視圖狀態(tài)下，在該狀態(tài)下，輸入字符串命令“primary authentication IP n”命令，這里的“IP”為Radius服務器組需要用到的IP地址，“n”為服務器使用到的UDP端口號碼，單擊回車鍵后就能配置好主Radius認證/授權(quán)服務器組的IP地址和端口號碼了。

使用“primary accounting IP n”命令，可以配置好主Radius計費服務器組的IP地址以及端口號碼。要是使用字符串命令“secondary authentication IP n”， 能夠指定備份Radius認證/授權(quán)服務器組的IP地址和端口號碼，使用字符串命令“secondary accounting IP n”命令，能夠指定好備份Radius計費服務器組的IP地址和端口號碼。

在平時管理維護局域網(wǎng)的時候，Radius服務器的屬性參數(shù)配置，有什么規(guī)律可以遵循嗎？

答：沒有固定的規(guī)律可以遵循，一切要根據(jù)具體情況來配置。例如，可以配置四組相同的IP地址和端口參數(shù)，讓對應的Radius服務器組既作為局域網(wǎng)的計費服務器，又作為認證/授權(quán)服務器，同時將它們既作為主服務器，又作為備份服務器。也能夠配置其中兩臺服務器既作為主計費服務器，又作為備份認證/授權(quán)服務器，配置其他兩臺服務器既作為備份計費服務器，又作為主認證/授權(quán)服務器。當然，甚至能配置四組不同的數(shù)據(jù)，來對應四臺不同的Radius服務器。

考慮到Radius服務器在收發(fā)計費報文和認證/授權(quán)報文時，會使用不同的UDP端口，所以在指定服務器工作端口號碼時，一定要保證計費端口號碼和認證/授權(quán)端口號碼不能相同。默認狀態(tài)下，計費服務使用的端口號碼應該設置為1813，認證/授權(quán)服務端口號碼應該設置為1812，而無論哪一種類型的服務器，默認使用的IP地址都為0.0.0.0。

Radius服務器收到客戶端系統(tǒng)接入請求包后，它是如何認證用戶請求信息的？

答：首先查驗網(wǎng)絡訪問服務器的共享密碼與Radius服務器中事先配置的是否一致，以判斷是所屬的Radius客戶端。在判斷了數(shù)據(jù)包的正確性之后，Radius服務器會依據(jù)數(shù)據(jù)包中的用戶名，在用戶數(shù)據(jù)庫中搜索是否有此用戶記錄。要是用戶信息不符合，就向網(wǎng)絡訪問服務器發(fā)出接入拒絕包。網(wǎng)絡訪問服務器在收到拒絕包后，會立即停止用戶連接端口的服務要求，用戶被強制退出。倘若用戶信息全部符合，Radius服務器向網(wǎng)絡訪問服務器發(fā)出接入質(zhì)詢數(shù)據(jù)包，對用戶的登錄請求作進一步的認證。

Radius服務器采用UDP協(xié)議的原因有哪些？

答：主要原因有下面幾個：一是NAS服務器和Radius服務器大多位于同一個局域網(wǎng)中，使用UDP協(xié)議更加快捷方便。二是簡化了服務端的實現(xiàn)。事實證明，采用UDP協(xié)議可行，Radius服務器有自己的機制，來解決UDP協(xié)議丟包特點。

請問在成功配置好Radius服務器組的屬性參數(shù)后，如何查看具體的地址和網(wǎng)絡端口是否配置正確？

答：在Quidway S8500系列路由交換機后臺系統(tǒng)中，通過字符串命令“display radius ABC”，就能直觀地查看到名稱為“ABC”的Radius服務器組所有配置信息了，包括服務器使用的地址和網(wǎng)絡端口信息。

在同時存在主服務器、備份服務器的情況下，要是終端計算機系統(tǒng)與主Radius服務器之間的通信發(fā)生故障時，終端系統(tǒng)與主、備份服務器之間是如何繼續(xù)通信的？

答：終端計算機系統(tǒng)會自動地嘗試與備份服務建立通信，同時進行交互傳輸數(shù)據(jù)報文。當主Radius服務器的工作狀態(tài)被恢復為正常后，終端計算機系統(tǒng)不會立即與之重新建立通信，而是仍然與備份服務器保持連接，直到備份服務器也發(fā)生故障后，才會重新與主Radius服務器恢復連接，同時正常進行交互通信。

當主Radius服務器的運行狀態(tài)恢復正常后，如何才能讓終端計算機系統(tǒng)立即與其重新建立連接并通信，而不是繼續(xù)與備份服務器建立通信連接呢？

答：很簡單，管理員只需要采取手工配置措施，強行將主Radius服務器的運行狀態(tài)設置為“active”狀態(tài)。一旦主服務器處于“active”工作狀態(tài)，那么Radius備份服務器不管處于“active”運行狀態(tài)，還是“block”運行狀態(tài)，終端計算機系統(tǒng)都會自動將Radius數(shù)據(jù)報文發(fā)送給主Radius服務器去處理。

Radius協(xié)議數(shù)據(jù)包分為哪幾個部分？每個部分各有什么作用？

答：Radius協(xié)議數(shù)據(jù)包分為五個部分。第一個部分長1個字節(jié)，用于區(qū)分Radius協(xié)議包的類型；第二個部分長一個字節(jié)，用于請求和應答包的匹配；第三個部分長兩個字節(jié)，表示Radius協(xié)議數(shù)據(jù)區(qū)；第四個部分長16個字節(jié)，用于驗證服務器端的應答，另外還用于用戶口令的加密；第五個部分不定長度，最小可為0個字節(jié)，描述Radius協(xié)議的屬性，如用戶名、口令、IP地址等信息都是存放在本數(shù)據(jù)段。

請問Radius服務器支持哪幾種安全認證機制？

答：Radius服務器可支持點對點協(xié)議（PPP）、密碼認證協(xié)議（PAP）、提問握手認證協(xié)議（CHAP）以及其它認證機制。

在Quidway S8500系列路由交換機后臺系統(tǒng)中，如何詳細配置好Radius服務器的運行狀態(tài)？

答：在配置Radius服務器運行狀態(tài)時，先以管理員權(quán)限登錄交換機后臺系統(tǒng)，使用“System-view”字符串命令，切換到交換機后臺全局視圖模式，在該模式狀態(tài)下輸入字符串命令“radius scheme ABC”，進 入 名 稱 為“ABC”的Radius服務器組視圖狀態(tài)，接著執(zhí)行字符串命令“state primary authentication active” 或“state primary authentication block”，就能將主授權(quán)/認證Radius服務器的運行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)了。

要是輸入字符串命令“state secondary authentication active”或“state secondary authentication block”，就能輕松將備份授權(quán)/認證Radius服務器的運行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)了。

同樣地，要想將主計費Radius服務器的運行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)時，執(zhí)行“state primary accounting active”或“state primary accounting block”命令即可。如果執(zhí)行“state secondary accounting active”或“state secondary accounting block”命令，可以將備份計費Radius服務器的運行狀態(tài)配置為“active”或“block”。在缺省狀態(tài)下，所有類型的Radius服務器運行狀態(tài)均為“active”狀態(tài)。

請問什么是Radius協(xié)議的重傳機制？

答：倘若NAS服務器向某個Radius服務器提交請求沒有收到返回信息，那么可以要求備份Radius服務器重傳。由于有多個備份Radius服務器，因此NAS進行重傳的時候，可以采用輪詢的方法。如果備份Radius服務器的密鑰和以前Radius服務器的密鑰不同，則需要重新進行認證。

終端計算機系統(tǒng)與Radius服務器組在進行交互通信時，怎樣才能確保數(shù)據(jù)交互的安全性？

答：一定要采取MD5加密算法，來對Radius數(shù)據(jù)報文進行加密傳輸，防止重要配置信息被惡意用戶偷竊或盜取。只有在加密內(nèi)容一致的情況下，終端計算機系統(tǒng)與Radius服務器組之間，才能正常傳輸數(shù)據(jù)報文。

請問如何在H3C品牌交換機中，為UDP數(shù)據(jù)報文設置加密密碼？

答：先以系統(tǒng)管理員權(quán)限登錄進入交換機后臺系統(tǒng)，使用“System-view”命令進入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸入字符串命令“radius scheme ABC”命令，進入名稱為“ABC”的Radius服務器組視圖狀態(tài)，輸入“key authentication passwd”命令并回車，其中“passwd”為詳細的密碼字符串，就能設置好Radius服務器認證/授權(quán)數(shù)據(jù)報文的加密密碼了，輸入“key accounting passwd”命令并回車，就能配置好Radius服務器計費數(shù)據(jù)報文的加密密碼了。

對于H3C系列路由交換機來說，不管是Radius服務器的計費數(shù)據(jù)報文，還是認證/授權(quán)數(shù)據(jù)報文，它們?nèi)笔〉拿艽a內(nèi)容都為“huawei”。當然，要是配置的密碼因為時間長了而被忘記時，大家可以嘗試執(zhí)行“undo key authentication”或“undo key accounting”字符串命令，將相關密碼內(nèi)容還原為缺省數(shù)值。