如何搭建Radius服务器

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

搭建Radius服务器的方法：

用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。

RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也更安全。

RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。

拓扑图

规格

适用于所有版本、所有形态的AR路由器。

组网需求

PC通过Router访问网络。为了保证网络的安全性，要求在用户接入网络时进行802.1x认证。认证服务器为两台Radius服务器，IP为10.10.10.1/24服务器作为主认证服务器，IP为10.10.10.2/24的服务器为备用认证服务器。当主用服务器不可用时，Router可以实现最快3s内切换到备用服务器。

操作步骤

1.Router上的配置

2.验证配置结果

RADIUS服务器添加用户 user1@huawei ，密码 Huawei@2012 ，共享密钥与路由器保持一致配置为 radius 。客户端认证成功后，执行display access-user可以查看 Username 字段里有用户名为 user1@huawei ，并且相应 Status 字段显示为 Success 。

配置注意事项

·路由器与RADIUS服务器上认证端口的值需要保持一致。

·路由器和RADIUS服务器上共享密钥需要保持一致。

·路由器与RADIUS服务器间需要路由可达

可以参考一下锐捷交换机配置信息查看十大命令

1、Ruijie#show version

这个命令可以查看交换机具体型号、软件版本、硬件版本、交换机序列号等信息；

命令用途：

（1）通常我们在一开始交付锐捷设备时需要检查设备版本是否符合转维要求，如果不符合需要升级版本；

（2）在进行故障定位的时候可能需要检查版本是否有已知bug；

2、Ruijie#show power

这个命令可以查看交换机的电源供电状态；

命令用途：当日志有电源相关的告警时可以使用该命令检查交换机的供电状态；

3、Ruijie#show memory

该命令可以查看总的内存大小，可用内存大小及当前内存利用率 ；

命令用途：

（1）网络设备的内存和电脑的内存一样，如果超过80%就可能影响设备性能；

（2）当网络设备有内存告警是，可以使用该命令检查内存的利用率；

说明：健康状态，内存使用率应该维持在75%以下；承载业务的压力越大，内存使用就会升高，但超出80%时就务必引起注意

4、Ruijie#show tem

该命名可以查看交换机的温度；

命令用途：

（1）网络设备的温度和电脑的温度一样，温度过高会对设备造成影响；

（2）当网络设备有温度过高告警时，可以使用该命令检查当前温度，可能是风扇故障或者机房空调故障等导致设备温度过高；

5、Ruijie#show cpu

通过show cpu进行查看，可以查看5分钟、1分钟、5秒钟的CPU利用率。

命令用途：

（1）网络设备的CPU和电脑的CPU一样，CPU占用率过高可能会影响正常的业务转发；

（2）当网络设备有CPU过高告警时，可以使用该命令检查当前CPU使用率，确认哪些进程的CPU的占用率过高或者异常，如果CPU过高，很可能是有攻击或者路由环路；

说明：健康状态下，“CPU utilization in five minutes”应该维持在30%以下；承载业务的压力越大，CPU会越高，也属正常现象，但超出60%时就务必引起注意

6、Ruijie#show int status

可以查看交换机的接口是否UP

命令用途：

（1）在网络设备交付的过程中经常会使用到该命令检查端口是否UP，端口down可能是连线问题，或者配置问题等；

（2）设备维护过程中，有端口down告警时，可以使用该命令检查哪些端口down，从而进行故障定位；

7

Radius服务器的状态只有两种：Active，Dead。

Active->Dead

radius服务器的死亡判断条件是（即从Active->Dead），同时满足两个条件：

1）距离上次收到该RADIUS服务器的正确响应超过radius-server dead-criteria time seconds设定的时间。

2）在上次收到该RADIUS服务器的正确响应之后，设备发往该RADIUS服务器的请求而未收到正确响应的次数（包括重传），达到radius-server dead-criteria tries number设定的次数。

这边有一个需要注意的是由于配置了radius-server timeout，radius-server retransmit（有默认值），当timeout*（retransmit+1）的总时长小于dead-criteria time，或者是retransmit+1小于dead-criteria tries number的时候，也就是此时设备已经检测到主服务器不可用了，需要切换到下一个服务器，但是主服务器由于还没有达到Active->Dead的两个条件，所以主服务器的状态还是Active的，而不是dead，只有当后续的其他用户继续认证，累计dead-criteria time以及dead-criteria tries number到配置值的时候才会变到dead状态。

---