RADIUS協(xié)議專題問答

■江蘇 陳滬娟

編者按：網(wǎng)絡(luò)管理人員配置設(shè)備時(shí)需要熟悉一些網(wǎng)絡(luò)協(xié)議，本文列舉了Radius協(xié)議的一些知識以及可能遇到的問題，希望對大家的工作有所幫助。

答：Radius協(xié)議采用客戶端服務(wù)器模型（C/S），其中網(wǎng)絡(luò)訪問服務(wù)系統(tǒng)作為Radius服務(wù)的客戶端，Radius服務(wù)負(fù)責(zé)獲取用戶連接請求，驗(yàn)證用戶，然后返回所有必要的配置信息，用于客戶端提交服務(wù)給用戶。Radius協(xié)議通過挑戰(zhàn)-握手認(rèn)證協(xié)議、點(diǎn)對點(diǎn)協(xié)議、密碼認(rèn)證協(xié)議以及簡單的UNIX登錄，來實(shí)現(xiàn)鑒權(quán)目的。Radius協(xié)議在客戶端和服務(wù)之間的傳輸通過使用共享密鑰認(rèn)證，該密鑰從來不發(fā)送到網(wǎng)絡(luò)上。Radius協(xié)議支持無狀態(tài)協(xié)議，使用UDP協(xié)議，工作在網(wǎng)絡(luò)端口1812上，因?yàn)閁DP協(xié)議更加快捷方便，能夠減輕Radius服務(wù)器的壓力，也更安全?；ネㄐ诺陌踩裕p方使用共享密鑰方式傳輸數(shù)據(jù)報(bào)文，來保證重要的配置信息只有被成功加密后，才可以在網(wǎng)絡(luò)中正常傳輸，從而避免這些信息被非法用戶竊聽或盜取。Radius協(xié)議一般工作于客戶/服務(wù)器結(jié)構(gòu)，在以太網(wǎng)環(huán)境下，那些支持網(wǎng)絡(luò)接入功能的交換機(jī)作為Radius的客戶端，主要負(fù)責(zé)將相關(guān)請求數(shù)據(jù)包信息傳遞給局域網(wǎng)特定的Radius服務(wù)器，接著根據(jù)Radius服務(wù)器返回的數(shù)據(jù)包信息，對接入用戶進(jìn)行掛斷或接入操作。Radius服務(wù)器通常工作在特定網(wǎng)絡(luò)的中心計(jì)算機(jī)系統(tǒng)中，該系統(tǒng)必須含用全部用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息。在客戶端與服務(wù)器通信時(shí)，Radius協(xié)議規(guī)定了它們?nèi)绾蝹鬟f計(jì)費(fèi)統(tǒng)計(jì)信息和用戶配置信息。

答：當(dāng)Radius系統(tǒng)啟動(dòng)運(yùn)行后，如果用戶想連接網(wǎng)絡(luò)訪問系統(tǒng)（NAS），來得到特定資源的訪問權(quán)限或獲取其他網(wǎng)絡(luò)資源的使用權(quán)利時(shí)，網(wǎng)絡(luò)訪問系統(tǒng)需要將用戶的請求信息包，包括授權(quán)、認(rèn)證、計(jì)費(fèi)等信息包，提交給Radius服務(wù)器，Radius服務(wù)器通過本地用戶數(shù)據(jù)庫所包含的網(wǎng)絡(luò)服務(wù)訪問信息和用戶認(rèn)證信息，對接入用戶的登錄賬號合法性進(jìn)行檢驗(yàn)，這包括登錄用戶名、密碼等信息，其中登錄密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播，要是認(rèn)證合法的話，該服務(wù)器會(huì)將相關(guān)的計(jì)費(fèi)統(tǒng)計(jì)數(shù)據(jù)和網(wǎng)絡(luò)配置信息返回給NAS，并允許接入用戶開展下一步工作。倘若認(rèn)證沒有通過，Radius服務(wù)器也會(huì)給NAS返回訪問拒絕數(shù)據(jù)包，這時(shí)需要用戶重新輸入登錄賬號，不然的話嚴(yán)格禁止用戶的接入訪問。

在認(rèn)證用戶合法性的時(shí)候，Radius服務(wù)器與NAS服務(wù)器之間的信息交互，必須使用UDP數(shù)據(jù)報(bào)文來完成，在這個(gè)過程中，為了改善交

網(wǎng)絡(luò)訪問系統(tǒng)（NAS）在收到用戶登錄連接網(wǎng)絡(luò)請求信息后，將按照特定的數(shù)據(jù)包格式，向RADIUS服務(wù)器發(fā)出“接入請求”包，請問這個(gè)數(shù)據(jù)包中包含RADIUS協(xié)議的哪些屬性值？

答：主要包括登錄網(wǎng)絡(luò)系統(tǒng)的用戶名、用戶口令、訪問服務(wù)器的ID、訪問端口的ID等信息。

請問什么是Radius服務(wù)器組？創(chuàng)建Radius服務(wù)器組時(shí)需要注意什么？

答：Radius服務(wù)器組既能是一臺(tái)相對獨(dú)立的Radius服務(wù)器主機(jī)，也能是兩臺(tái)主、備服務(wù)器形成的一個(gè)組合，不過這兩臺(tái)服務(wù)器必須是配置參數(shù)相同，僅IP地址不同。所以在實(shí)際創(chuàng)建并配置Radius服務(wù)器組屬性參數(shù)時(shí)，需要特別注意兩點(diǎn)：一是要指定好主服務(wù)器的IP地址和備份服務(wù)器的IP地址，二是要設(shè)置好Radius服務(wù)器的類型以及共享密鑰等參數(shù)。

答：首先表現(xiàn)在加密方面，該協(xié)議雖然對用戶密碼進(jìn)行了加密，但是其他的數(shù)據(jù)報(bào)文內(nèi)容都沒有進(jìn)行加密，無法很好地滿足機(jī)密性的要求。對用戶密碼是采用流密碼保護(hù)，要是服務(wù)器端對同一用戶的認(rèn)證失敗次數(shù)沒有限制，那么惡意用戶或許會(huì)通過窮舉搜索來獲得正確的用戶口令。該協(xié)議使用認(rèn)證碼進(jìn)行安全檢查，不過其接入請求數(shù)據(jù)包中的請求認(rèn)證碼只是一個(gè)隨機(jī)數(shù)，因此Radius服務(wù)器并不能對接入請求包的報(bào)文進(jìn)行鑒別。盡管要求接入請求數(shù)據(jù)包的請求鑒別碼，在特定時(shí)間內(nèi)不能重復(fù)，不過Radius服務(wù)器并沒有對它的重復(fù)使用進(jìn)行檢查。

其次表現(xiàn)在數(shù)據(jù)傳輸方面，Radius協(xié)議采用的UDP傳輸協(xié)議，能夠確保對用戶鑒別在很短的時(shí)間內(nèi)完成，不過因?yàn)閁DP協(xié)議沒有出錯(cuò)重發(fā)機(jī)制，鑒別的可靠性就在一定程度上受到影響。同時(shí)，Radius協(xié)議也沒有采用任何措施對重播(replay)的避免提供支持。Radius協(xié)議支持代理功能，允許Radius服務(wù)器把一個(gè)請求轉(zhuǎn)發(fā)給另一個(gè)Radius服務(wù)器。但每一個(gè)代理Radius服務(wù)器都有權(quán)對用戶的認(rèn)證計(jì)費(fèi)信息進(jìn)行修改，端到端的安全無法得到有效保障。另外，該協(xié)議還存在一個(gè)用戶可以以多種方式登錄、用戶密碼及共享密鑰過短、多個(gè)RADIUS客戶端和服務(wù)器端使用同一個(gè)共享密鑰等問題。

大家知道，Radius服務(wù)器在實(shí)際運(yùn)行的時(shí)候，一般是通過UDP報(bào)文方式來傳輸數(shù)據(jù)的。請問為什么在配置參數(shù)的時(shí)候，需要將該類型的報(bào)文傳輸次數(shù)配置成多次？

答：這是因?yàn)閁DP報(bào)文方式的傳輸性能常常很不穩(wěn)定，倘若Radius服務(wù)器在規(guī)定時(shí)間內(nèi)，沒有及時(shí)響應(yīng)客戶端系統(tǒng)的相關(guān)請求，那么客戶端系統(tǒng)會(huì)有必要自動(dòng)向Radius服務(wù)器重新發(fā)送相關(guān)數(shù)據(jù)報(bào)文。當(dāng)然，總的傳送次數(shù)要是超過最大限值，而Radius服務(wù)器對數(shù)據(jù)報(bào)文仍舊沒有正常響應(yīng)時(shí)，那么客戶端系統(tǒng)將會(huì)認(rèn)為其與指定的Radius服務(wù)器之間的連接已經(jīng)斷開，這時(shí)它會(huì)自動(dòng)將相關(guān)數(shù)據(jù)報(bào)文發(fā)送給其他的Radius服務(wù)器去處理。所以，為了既能保證數(shù)據(jù)報(bào)文穩(wěn)定傳輸，又能保證Radius服務(wù)器及時(shí)響應(yīng)，配置好合適的數(shù)據(jù)報(bào)文傳送次數(shù)是相當(dāng)重要的。

在缺省狀態(tài)下，Radius服務(wù)器限定UDP數(shù)據(jù)請求報(bào)文的最大傳輸次數(shù)為3次，倘若管理員想自行修改該參數(shù)時(shí)，

該如何操作？

答：只要先以管理員身份登錄進(jìn)入交換機(jī)后臺(tái)全局視圖模式，在該模式狀態(tài)下輸入“radius scheme ABC”命令，單擊回車鍵后切換到名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)，繼續(xù)執(zhí)行“retry X”字符串命令，這里的“X”為新設(shè)定的最大傳送次數(shù)，這樣就能配置好Radius服務(wù)器相關(guān)報(bào)文的最大傳送次數(shù)了。要想將該數(shù)值還原為缺省設(shè)置時(shí)，可以執(zhí)行“undo retry”字符串命令。

請問如何在Quidway S8500系列路由交換機(jī)中，創(chuàng)建或刪除特定的Radius服務(wù)器組？

答：首先以超級用戶權(quán)限登錄進(jìn)入路由交換機(jī)后臺(tái)系統(tǒng)，使用“System-view”命令，進(jìn)入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“radius scheme ABC”（這 里的“ABC”為特定Radius服務(wù)器組名稱），就能成功創(chuàng)建好一臺(tái)名稱為“ABC”的Radius服務(wù)器組了。在缺省狀態(tài)下，交換機(jī)后臺(tái)系統(tǒng)會(huì)將Radius服務(wù)器組的名稱取為“system”，并且將其相關(guān)屬性參數(shù)都定義為默認(rèn)數(shù)值。

倘若要?jiǎng)?chuàng)建本地Radius服務(wù)器組時(shí)，只要在交換機(jī)后臺(tái)系統(tǒng)全局視圖狀態(tài)下，執(zhí)行字符串命令“l(fā)ocal-server nas-ip ABC key DEF”即可，這里的“ABC”為本地Radius服務(wù)器組的IP地址，“DEF”為登錄服務(wù)器組的密碼內(nèi)容。在缺省狀態(tài)下，成功創(chuàng)建好的本地Radius服務(wù)器組IP地址為“127.0.0.1”，缺省使用“huawei”這樣的密碼內(nèi)容登錄服務(wù)器組。

日后，倘若管理員不需要某個(gè)特定的Radius服務(wù)器組時(shí)，也可以在交換機(jī)后臺(tái)系統(tǒng)全局視圖模式下，執(zhí)行字符串命 令“undo radius scheme ABC”命令，將名稱為“ABC”的特定Radius服務(wù)器組從后臺(tái)系統(tǒng)直接刪除掉。

請問不同的ISP域能否引用相同的一臺(tái)Radius服務(wù)器組？

答：答案是肯定的！對于Quidway系列路由交換機(jī)來說，每個(gè)遠(yuǎn)程接入用戶都屬于一個(gè)ISP域，用戶最多能創(chuàng)建16個(gè)ISP域，要是某個(gè)用戶在登錄Radius服務(wù)器組時(shí)，沒有提交ISP域名，那么交換機(jī)后臺(tái)系統(tǒng)會(huì)自動(dòng)將它歸類為默認(rèn)的ISP域，而用戶最多可以同時(shí)創(chuàng)建16個(gè)Radius服務(wù)器組。

如果想查看所有或指定ISP域的配置信息時(shí)，只要在交換機(jī)后臺(tái)系統(tǒng)的任意視圖模式下，執(zhí)行“display domain”命令，從返回的結(jié)果界面中，就能輕松查看到特定ISP域的所有配置信息了。

Radius協(xié)議中實(shí)現(xiàn)EAP認(rèn)證的方式主要有哪些？

答：在設(shè)備端與Radius服務(wù)器之間，可以使用兩種方式來交換數(shù)據(jù)信息，一種是EAP協(xié)議報(bào)文使用EAPOR封裝格式承載于Radius協(xié)議中，另一種是設(shè)備端終結(jié)EAP協(xié)議報(bào)文，采用包含PAP或CHAP屬性的報(bào)文與Radius服務(wù)器進(jìn)行認(rèn)證。這樣，在認(rèn)證過程中就存在兩種認(rèn)證方式，一種是EAP中繼方式，另外一種是EAP終結(jié)方式。

一般來說，隔多長時(shí)間，客戶端系統(tǒng)會(huì)認(rèn)為Radius服務(wù)器響應(yīng)超時(shí)呢？

答：這需要管理員對Radius服務(wù)器的響應(yīng)超時(shí)定時(shí)器進(jìn)行正確配置。該參數(shù)既不能配置得太長，也不能配置得太短，配置得太長將無法保證用戶及時(shí)獲得Radius服務(wù)器提供的相關(guān)服務(wù)，配置得太短會(huì)造成數(shù)據(jù)報(bào)文傳輸不穩(wěn)定。在配置這種參數(shù)時(shí)，同樣先進(jìn)入特定名稱的Radius服務(wù)器組視圖狀態(tài)，之后執(zhí)行“timer X”命令設(shè)置好超時(shí)時(shí)間，其中“X”為響應(yīng)超時(shí)定時(shí)器數(shù)值，該數(shù)值默認(rèn)為3秒鐘。當(dāng)成功配置好Radius報(bào)文的相關(guān)參數(shù)后，可以執(zhí)行“display radius statistics”命令，從返回的結(jié)果界面中，就能判斷出配置是否正確了。

將Radius服務(wù)器組成功創(chuàng)建好后，一定要正確配置好它的IP地址以及端口號碼，由于每種服務(wù)器都有主從之分，所以最大可以配置四組IP地址以及端口號碼。請問如何詳細(xì)配置Radius服務(wù)器的地址和端口？

答：這樣的配置操作其實(shí)很簡單。只要先以系統(tǒng)管理員權(quán)限登錄交換機(jī)后臺(tái)系統(tǒng)，使 用“System-view”命令進(jìn)入到后臺(tái)系統(tǒng)全局視圖模式狀態(tài)，執(zhí)行字符串命令“radius scheme ABC”，切 換到名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)下，在該狀態(tài)下，輸入字符串命令“primary authentication IP n”命令，這里的“IP”為Radius服務(wù)器組需要用到的IP地址，“n”為服務(wù)器使用到的UDP端口號碼，單擊回車鍵后就能配置好主Radius認(rèn)證/授權(quán)服務(wù)器組的IP地址和端口號碼了。

使用“primary accounting IP n”命令，可以配置好主Radius計(jì)費(fèi)服務(wù)器組的IP地址以及端口號碼。要是使用字符串命令“secondary authentication IP n”， 能夠指定備份Radius認(rèn)證/授權(quán)服務(wù)器組的IP地址和端口號碼，使用字符串命令“secondary accounting IP n”命令，能夠指定好備份Radius計(jì)費(fèi)服務(wù)器組的IP地址和端口號碼。

在平時(shí)管理維護(hù)局域網(wǎng)的時(shí)候，Radius服務(wù)器的屬性參數(shù)配置，有什么規(guī)律可以遵循嗎？

答：沒有固定的規(guī)律可以遵循，一切要根據(jù)具體情況來配置。例如，可以配置四組相同的IP地址和端口參數(shù)，讓對應(yīng)的Radius服務(wù)器組既作為局域網(wǎng)的計(jì)費(fèi)服務(wù)器，又作為認(rèn)證/授權(quán)服務(wù)器，同時(shí)將它們既作為主服務(wù)器，又作為備份服務(wù)器。也能夠配置其中兩臺(tái)服務(wù)器既作為主計(jì)費(fèi)服務(wù)器，又作為備份認(rèn)證/授權(quán)服務(wù)器，配置其他兩臺(tái)服務(wù)器既作為備份計(jì)費(fèi)服務(wù)器，又作為主認(rèn)證/授權(quán)服務(wù)器。當(dāng)然，甚至能配置四組不同的數(shù)據(jù)，來對應(yīng)四臺(tái)不同的Radius服務(wù)器。

考慮到Radius服務(wù)器在收發(fā)計(jì)費(fèi)報(bào)文和認(rèn)證/授權(quán)報(bào)文時(shí)，會(huì)使用不同的UDP端口，所以在指定服務(wù)器工作端口號碼時(shí)，一定要保證計(jì)費(fèi)端口號碼和認(rèn)證/授權(quán)端口號碼不能相同。默認(rèn)狀態(tài)下，計(jì)費(fèi)服務(wù)使用的端口號碼應(yīng)該設(shè)置為1813，認(rèn)證/授權(quán)服務(wù)端口號碼應(yīng)該設(shè)置為1812，而無論哪一種類型的服務(wù)器，默認(rèn)使用的IP地址都為0.0.0.0。

Radius服務(wù)器收到客戶端系統(tǒng)接入請求包后，它是如何認(rèn)證用戶請求信息的？

答：首先查驗(yàn)網(wǎng)絡(luò)訪問服務(wù)器的共享密碼與Radius服務(wù)器中事先配置的是否一致，以判斷是所屬的Radius客戶端。在判斷了數(shù)據(jù)包的正確性之后，Radius服務(wù)器會(huì)依據(jù)數(shù)據(jù)包中的用戶名，在用戶數(shù)據(jù)庫中搜索是否有此用戶記錄。要是用戶信息不符合，就向網(wǎng)絡(luò)訪問服務(wù)器發(fā)出接入拒絕包。網(wǎng)絡(luò)訪問服務(wù)器在收到拒絕包后，會(huì)立即停止用戶連接端口的服務(wù)要求，用戶被強(qiáng)制退出。倘若用戶信息全部符合，Radius服務(wù)器向網(wǎng)絡(luò)訪問服務(wù)器發(fā)出接入質(zhì)詢數(shù)據(jù)包，對用戶的登錄請求作進(jìn)一步的認(rèn)證。

Radius服務(wù)器采用UDP協(xié)議的原因有哪些？

答：主要原因有下面幾個(gè)：一是NAS服務(wù)器和Radius服務(wù)器大多位于同一個(gè)局域網(wǎng)中，使用UDP協(xié)議更加快捷方便。二是簡化了服務(wù)端的實(shí)現(xiàn)。事實(shí)證明，采用UDP協(xié)議可行，Radius服務(wù)器有自己的機(jī)制，來解決UDP協(xié)議丟包特點(diǎn)。

請問在成功配置好Radius服務(wù)器組的屬性參數(shù)后，如何查看具體的地址和網(wǎng)絡(luò)端口是否配置正確？

答：在Quidway S8500系列路由交換機(jī)后臺(tái)系統(tǒng)中，通過字符串命令“display radius ABC”，就能直觀地查看到名稱為“ABC”的Radius服務(wù)器組所有配置信息了，包括服務(wù)器使用的地址和網(wǎng)絡(luò)端口信息。

在同時(shí)存在主服務(wù)器、備份服務(wù)器的情況下，要是終端計(jì)算機(jī)系統(tǒng)與主Radius服務(wù)器之間的通信發(fā)生故障時(shí)，終端系統(tǒng)與主、備份服務(wù)器之間是如何繼續(xù)通信的？

答：終端計(jì)算機(jī)系統(tǒng)會(huì)自動(dòng)地嘗試與備份服務(wù)建立通信，同時(shí)進(jìn)行交互傳輸數(shù)據(jù)報(bào)文。當(dāng)主Radius服務(wù)器的工作狀態(tài)被恢復(fù)為正常后，終端計(jì)算機(jī)系統(tǒng)不會(huì)立即與之重新建立通信，而是仍然與備份服務(wù)器保持連接，直到備份服務(wù)器也發(fā)生故障后，才會(huì)重新與主Radius服務(wù)器恢復(fù)連接，同時(shí)正常進(jìn)行交互通信。

當(dāng)主Radius服務(wù)器的運(yùn)行狀態(tài)恢復(fù)正常后，如何才能讓終端計(jì)算機(jī)系統(tǒng)立即與其重新建立連接并通信，而不是繼續(xù)與備份服務(wù)器建立通信連接呢？

答：很簡單，管理員只需要采取手工配置措施，強(qiáng)行將主Radius服務(wù)器的運(yùn)行狀態(tài)設(shè)置為“active”狀態(tài)。一旦主服務(wù)器處于“active”工作狀態(tài)，那么Radius備份服務(wù)器不管處于“active”運(yùn)行狀態(tài)，還是“block”運(yùn)行狀態(tài)，終端計(jì)算機(jī)系統(tǒng)都會(huì)自動(dòng)將Radius數(shù)據(jù)報(bào)文發(fā)送給主Radius服務(wù)器去處理。

Radius協(xié)議數(shù)據(jù)包分為哪幾個(gè)部分？每個(gè)部分各有什么作用？

答：Radius協(xié)議數(shù)據(jù)包分為五個(gè)部分。第一個(gè)部分長1個(gè)字節(jié)，用于區(qū)分Radius協(xié)議包的類型；第二個(gè)部分長一個(gè)字節(jié)，用于請求和應(yīng)答包的匹配；第三個(gè)部分長兩個(gè)字節(jié)，表示Radius協(xié)議數(shù)據(jù)區(qū)；第四個(gè)部分長16個(gè)字節(jié)，用于驗(yàn)證服務(wù)器端的應(yīng)答，另外還用于用戶口令的加密；第五個(gè)部分不定長度，最小可為0個(gè)字節(jié)，描述Radius協(xié)議的屬性，如用戶名、口令、IP地址等信息都是存放在本數(shù)據(jù)段。

請問Radius服務(wù)器支持哪幾種安全認(rèn)證機(jī)制？

答：Radius服務(wù)器可支持點(diǎn)對點(diǎn)協(xié)議（PPP）、密碼認(rèn)證協(xié)議（PAP）、提問握手認(rèn)證協(xié)議（CHAP）以及其它認(rèn)證機(jī)制。

在Quidway S8500系列路由交換機(jī)后臺(tái)系統(tǒng)中，如何詳細(xì)配置好Radius服務(wù)器的運(yùn)行狀態(tài)？

答：在配置Radius服務(wù)器運(yùn)行狀態(tài)時(shí)，先以管理員權(quán)限登錄交換機(jī)后臺(tái)系統(tǒng)，使用“System-view”字符串命令，切換到交換機(jī)后臺(tái)全局視圖模式，在該模式狀態(tài)下輸入字符串命令“radius scheme ABC”，進(jìn) 入 名 稱 為“ABC”的Radius服務(wù)器組視圖狀態(tài)，接著執(zhí)行字符串命令“state primary authentication active” 或“state primary authentication block”，就能將主授權(quán)/認(rèn)證Radius服務(wù)器的運(yùn)行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)了。

要是輸入字符串命令“state secondary authentication active”或“state secondary authentication block”，就能輕松將備份授權(quán)/認(rèn)證Radius服務(wù)器的運(yùn)行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)了。

同樣地，要想將主計(jì)費(fèi)Radius服務(wù)器的運(yùn)行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)時(shí)，執(zhí)行“state primary accounting active”或“state primary accounting block”命令即可。如果執(zhí)行“state secondary accounting active”或“state secondary accounting block”命令，可以將備份計(jì)費(fèi)Radius服務(wù)器的運(yùn)行狀態(tài)配置為“active”或“block”。在缺省狀態(tài)下，所有類型的Radius服務(wù)器運(yùn)行狀態(tài)均為“active”狀態(tài)。

請問什么是Radius協(xié)議的重傳機(jī)制？

答：倘若NAS服務(wù)器向某個(gè)Radius服務(wù)器提交請求沒有收到返回信息，那么可以要求備份Radius服務(wù)器重傳。由于有多個(gè)備份Radius服務(wù)器，因此NAS進(jìn)行重傳的時(shí)候，可以采用輪詢的方法。如果備份Radius服務(wù)器的密鑰和以前Radius服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。

終端計(jì)算機(jī)系統(tǒng)與Radius服務(wù)器組在進(jìn)行交互通信時(shí)，怎樣才能確保數(shù)據(jù)交互的安全性？

答：一定要采取MD5加密算法，來對Radius數(shù)據(jù)報(bào)文進(jìn)行加密傳輸，防止重要配置信息被惡意用戶偷竊或盜取。只有在加密內(nèi)容一致的情況下，終端計(jì)算機(jī)系統(tǒng)與Radius服務(wù)器組之間，才能正常傳輸數(shù)據(jù)報(bào)文。

請問如何在H3C品牌交換機(jī)中，為UDP數(shù)據(jù)報(bào)文設(shè)置加密密碼？

答：先以系統(tǒng)管理員權(quán)限登錄進(jìn)入交換機(jī)后臺(tái)系統(tǒng)，使用“System-view”命令進(jìn)入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸入字符串命令“radius scheme ABC”命令，進(jìn)入名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)，輸入“key authentication passwd”命令并回車，其中“passwd”為詳細(xì)的密碼字符串，就能設(shè)置好Radius服務(wù)器認(rèn)證/授權(quán)數(shù)據(jù)報(bào)文的加密密碼了，輸入“key accounting passwd”命令并回車，就能配置好Radius服務(wù)器計(jì)費(fèi)數(shù)據(jù)報(bào)文的加密密碼了。

對于H3C系列路由交換機(jī)來說，不管是Radius服務(wù)器的計(jì)費(fèi)數(shù)據(jù)報(bào)文，還是認(rèn)證/授權(quán)數(shù)據(jù)報(bào)文，它們?nèi)笔〉拿艽a內(nèi)容都為“huawei”。當(dāng)然，要是配置的密碼因?yàn)闀r(shí)間長了而被忘記時(shí)，大家可以嘗試執(zhí)行“undo key authentication”或“undo key accounting”字符串命令，將相關(guān)密碼內(nèi)容還原為缺省數(shù)值。