开源RADIUIUS，支持灵活的策略管理

TOUGHRADIUS 开源 RADIUS V6.1.0.1 发布

TOUGHRADIUS 是一个开源的Radius服务软件，支持标准RADIUS协议（RFC 2865, RFC 2866），提供完整的AAA实现。支持灵活的策略管理，支持各种主流接入设备并轻松扩展，具备丰富的计费策略支持。

开源RADIUIUS，支持灵活的策略管理

开源RADIUIUS，支持灵活的策略管理

开源RADIUIUS，支持灵活的策略管理

至 6.x 版本开始，基于Ja语言重新开发。提供了一个高性能的 RADIUS 处理引擎，同时提供了一个简洁易用的 WEB管理界面，可以轻松上手。

TOUGHRADIUS 的功能类似于 freeRADIUS，但它使用起来更简单，更易于扩展开发。

生产环境高性能统计

RADIUS ( Remote Authentication Dial In User Serv 远程认证拨号用户服务 )是一种在网络接入设备和认证之间承载认证、授权、计费（AAA）和配置信息的协议。RADIUS 协议是在认证、授权、计费方面应用为广泛的协议之一具有以下特点：

客户端/结构

采用共享密钥保证网络传输安全性

良好的可扩展性

认证机制灵活

RADIUS 协议承载于UDP 之上指定端口号为认证授权端口1812，计费端口1813。RADIUS 协议通过ISO标准定义，详情见《RFC2865》、《RFC2866》相关文档。

Portal在英语中是入口的意思。Portal认证通常也称为Web认证，一般将Portal认证网站称为门户网站。

在传统的组网环境中，用户只要能接入局域网设备，就可以访问网络中的设备或资源，为加强网络资源的安全控制和运营管理，很多情况下需要对用户的访问进行控制。例如，在一些公共场合、小区或公司的网络接入点，提供接入服务的供应商希望只允许付费的合法用户接入，所以供应商为每个用户提供一个接入网络的账号和密码。另外，一些企业会提供一些内部关键资源给外部用户访问，并且希望经过有效认证的用户才可以 访问这些资源。 现有的802.1x和PPPoE等访问控制方式，都需要客户端的配合，并且只能在接入层对用户的访问进行控制。

Portal认证技术则提供一种灵活的访问控制方式，不需要安装客户端，就可以在接入层以及需要保护的关键数据入口处实施访问控制。

路由器WPA加密的radiusip怎么设置？

1．锁定交换机端口

对于交换机的每一个以太网端口，采用MAC地址表（MAC-address-table）的方式对端口进行锁定。只有网络在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接，其他的网卡地址不能通过该端口访问网络。

2．应用ARP绑定IP地址和MAC地址

ARP（Address Resolution Protocol）即地址解析协议，这个协议是将IP地址与网络物理地址一一对应的协议。

3. 用PPPoE协议进行用户认证

对于盗用者使用第二种方法同时修改IP地址和MAC地址时，可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件，在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet（基于局域网的点对点通讯协议），这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而制定开发的标准，它基于两个广泛接受的标准，即以太网和PPP点对点拨号协议。

AP是密码身份验证协议，它使用原文（不加密）密码，是一种简单的身份验证协议。如果网络的接入不能用更安全的验证方式，一般就使用PAP。

是什么意思啊？

AAA

AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1、 验证(Authentication): 验证用户是否可以获得访问权限；

2、 授权(Authorization) : 授权用户可以使用哪些服务；

3、 记账(Accounting) : 记录用户使用网络资源的情况。

目前RADIUS（Remote Authentication Dial In User Serv）协议是的AAA标准，在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/协议。RADIUS客户机是网络访问，它通常是一个路由器、交换机或访问点。RADIUS通常是在UNIX或Windows 2000上运行的一个监护程序。RADIUS 协议的认证端口是1812 ，计费端口是1813。

RADIUS协议的主要特点

概括的来说，RADIUS 的主要特点如下：

1、 客户/服务模式(/)

RADIUS是一种C/S结构的协议，它的客户端初就是网络接入NAS（Network Access ），现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS，并负责执行返回的响应。

RADIUS负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。

一个RADIUS可以为其他的RADIUS 或其他种类认证担当。

2、 网络安全

客户端和RADIUS之间的交互经过了共享保密字的认证。另外，为了避免某些人在不安全的网络上获取用户密码的可能性，在客户端和RADIUS之间的任何用户密码都是被加密后传输的。

3、 灵活的认证机制

RADIUS可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录作（UNIX Login）和其他认证机制。

4． 扩展协议

所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。

RADIUS的工作过程

RADIUS协议旨在简化认证流程。其典型认证授权工作过程是：

1、用户输入用户名、密码等信息到客户端或连接到NAS；

2、客户端或NAS产生一个“接入请求（Access-Request）”报文到RADIUS，其中包括用户名、口

令、客户端（NAS）ID 和用户访问端口的ID。口令经过MD5算法进行加密。

3、RADIUS对用户进行认证；

4、若认证成功，RADIUS向客户端或NAS发送允许接入包（Access-Accept），否则发送拒绝加接

入包（Access-Reject）；

5、若客户端或NAS接收到允许接入包，则为用户建立连接，对用户进行授权和提供服务，并转入6；若

接收到拒绝接入包，则拒绝用户的连接请求，结束协商过程；

6、客户端或NAS发送计费请求包给RADIUS；

7、RADIUS接收到计费请求包后开始计费，并向客户端或NAS回送开始计费响应包；

8、用户断开连接，客户端或NAS发送停止计费包给RADIUS；

9、RADIUS接收到停止计费包后停止计费，并向客户端或NAS回送停止计费响应包，完成该用户的

一次计费，记录计费信息。

流媒体中的AAA系统

AAA是本流媒体系统中非常重要的一个部分，它完成接入认证、授权以及计费的功能。目前，由于RADIUS协议仍然是的AAA协议标准，因此我们的系统中AAA的实现仍采用RADIUS协议，实现RADIUS协议中提供的AAA服务功能。同时系统提供用户和计费信息的存储与管理等功能。

我们的AAA系统主要包括认证、计费外，还包括用户和计费信息的存储、用户和计费策略管理等。在整个AAA系统中，RADIUS之间以及RADIUS认证与客户端通讯遵循RADIUS协议标准；用户信息和计费信息保存在 MySQL 数据库中。

1、 用户认证

用户在申请享受服务时，需要得到用户信息的认证。在本系统中，客户端发送AAA认证数据包给，数据包包含用户ID和password，对数据包进行验证给出结果。验证过程加密传输。

2、 用户服务授权

在本系统中，不同的用户可以享受不同的服务。AAA在通过用户的认证请求后，按照该用户的权限来决定用户是否可以享受申请的服务内容。

3、 服务计费

系统提供基本的计费信息和计费算法，支持一定的计费策略，并保存计费过程产生的中间数据。系统达到实时计费的要求。计费的小单位为分，并且能够保证用户不会透支费用。

4、 用户信息管理

主要功能包括用户注册、费用管理查询、权限设置等。管理平台可以对用户信息数据库和计费信息数据库进行管理。一般用户只能查询本帐号的基本情况，如用户基本信息和帐户余额，可修改本人的基本信息；能查询和修改用户的基本信息、为用户充值、查询用户余额、完成计费策略的编辑、访问和修改。

RADIUS协议的基本概念、特点和认证过程是什么？

【】：(1)RADIUS(Remote Authentication Dial-in User Serv)是一个在拨号网络中提供注册、验证功能的工业标准。

(2)是由朗讯公司提出的C/S安全协议，已成为Internet的正式协议标准，是当前流行的AAA(认证Authentication、授权Authorization、计费Accounting)协议。

(3)是网络接入(NAS)和后台(RADIUS，有DB)之间的一个常见协议，使得拨号和认证放在两个分离网络设备上。

RADIUS的特点

(1) RADIUS协议使用UDP作为传输协议。使用两个UDP端口分别用于认证(以及认证通过后对用户的授权)和计费。1812号是认证端口，1813号是计费端口。

(2) RADIUS能支持多种认证方法。当用户提交用户名和密码时，RADIUS能支持PPP PAP(口令认证协议)或者CHAP(质询握手协议)、UNIX Login和其他认证方法。

RADIUS的认证过程

(1)接入从用户那里获取用户名和口令(PAP口令或CHAP加密口令)，将其同用户的一些其他信息(如主叫号码、接入号码、占用的端口等)打成RADIUS数据包向RADIUS发送，通常称为认证请求包。

(2)RADIUS收到认证请求包后，首先查看接入是否已经登记，然后根据包中用户名、口令等信息验证用户是否合法。如果用户非法，则向接入发送访问拒绝包;如果用户合法，那么RADIUS会将用户的配置信息(如用户类型、IP地址等)打包发送到接入，该包被称为访问接受包。

(3)接入收到访问接受/拒绝包时，首先要判断包中的签名是否正确，如果不正确将认为收到一个非法的包。如果签名正确，那么接入会接受用户的上网请求，并用收到的信息对用户进行配置、授权(收到了访问接受包);或者是拒绝该用户的上网请求(收到了访问拒绝包)。

radius作用

Radius作用

Radius能用来管理使用串口和调制解调器的大量分散用户。当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时，NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别，授权，记账信息传递给Radius。Radius协议规定了NAS与Radius之间如何传递用户信息和记账信息，即两者之间的通信规则。Radius负责接收用户的连接请求，完成鉴别，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius完成对用户账号计费的功能。

RADIUS协议的认证端口号为1812（1645端口由于冲突已经不再使用），计费端口号为1813或（1646端口由于冲突已经不再使用）。RADIUS通过建立一个的用户数据库，存储用户名，用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的Radius。为了提供一些功能，常常要定义一些非标准的(RFC上没有定义过的)属性。

为什么RADIUS协议有两组端口1812/1813和1645/1646

在Catalyst，默认端口是1812/1813。 如果使 用Cisco安全设备或与其他Cisco设备联络的一个，使用的端口 是1645/1646。

RFC 2026中指出，RADIUS也可能使用UDP 1812/1813,一些新的RADIUS 同时UDP 1645/1646及UDP 1812/1813。

所以在做安全访问过滤时要认定是哪一组端口号。

tp-linkac300用户手册如何配置radiu

1、在中创建Radius。

2、在Radius中创建用户账号和密码。

3、在中配置网络的Radius认证方式，并输入Radius的IP地址和端口号。

4、在客户端中输入Radius认证的用户名和密码即可连接网络。具体的配置步骤和参数设置可以参考用户手册中的详细说明。