如何搭建Radius服务器

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

搭建Radius服务器的方法：

用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。

RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也更安全。

RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。

组网配置：pc+华为三层交换机+radius服务器（2003系统） 交换机配置如下：

[Switch A]vlan 10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

[SwitchA]interface Vlan-interface 10

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

[SwitchA]vlan 100

[SwitchA-vlan100]port GigabitEthernet 1/1

[SwitchA]interface Vlan-interface 100

[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0

//802.1X本地认证自建域相关配置

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

[SwitchA]local-user test@huawei

[SwitchA-user-test@huawei]password simple test

[SwitchA-user-test@huawei]service-type lan-access

[SwitchA-user-test@huawei]state active

//802.1X RADIUS认证相关配置

[SwitchA]dot1x

[SwitchA]dot1x interface eth 0/1 to eth 0/10

[SwitchA]radius scheme radius1

[SwitchA-radius-radius1]primary authentication 192.168.0.100

[SwitchA-radius-radius1]primary accounting 192.168.0.100

[SwitchA-radius-radius1]key authentication test

[SwitchA-radius-radius1]key accounting test

[SwitchA-radius-radius1]user-name-format without-domain

[SwitchA]domain Huawei

[SwitchA-isp-huawei]radius-scheme radius1

求radius服务器的配置步骤，使得个人pc能用802.1x客户端登陆上，可发邮箱：

mindin123@126.com,本人初学者

如果能telnet不能ssh的话试试：

line vty 0 4

transport input ssh

如果telnet也不行的话就检查aaa和radius配置了

配置radius服务器：

radius-server host x.x.x.x auth-port xxx acct-port xxx

aaa配置：

aaa authentication login xxx group radius local

确保radius服务器上有添加cisco设备的地址

天互数据 为您解答，希望能帮到你

---