radius server是什么意思？最好详细一点

什么是 RADIUS 服务器
RADIUS 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
RADIUS 的关键功能部件为：
客户机／服务器体系结构 网络访问服务器（NAS）作为 RADIUS 客户机运行。客户机负责将订户信息传递至指定的 RADIUS 服务器，然后根据返回的响应进行 *** 作。
RADIUS 服务器负责接收订户的连接请求、认证订户，然后返回客户机所有必要的配置信息以将服务发送到订户。
RADIUS 服务器可以担当其它 RADIUS 服务器或者是其它种类的认证服务器的代理。
网络安全性：
通过使用加密的共享机密信息来认证客户机和 RADIUS 服务器间的事务。从不通过网络发送机密信息。此外，在客户机和 RADIUS 服务器间发送任何订户密码时，都要加密该密码。 灵活认证机制：
RADIUS 服务器可支持多种认证订户的方法。当订户提供订户名和原始密码时，RADIUS 可支持点对点协议（PPP）、密码认证协议（PAP）、提问握手认证协议（CHAP）以及其它认证机制。
可扩展协议：
所有事务都由变长的三元组“属性-长度-值”组成。可在不影响现有协议实现的情况下添加新属性值。
如何配置 RADIUS 服务器
在“ISA 服务器管理”的控制台树中，单击“常规”： 对于 ISA Server 2004 Enterprise Edition，依次展开“Microsoft Internet Security and Acceleration Server 2004”、“阵列”、“Array_Name”、“配置”，然后单击“常规”。 对于 ISA Server 2004 Standard Edition，依次展开“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”，然后单击“常规”。 在详细信息窗格中，单击“定义 RADIUS 服务器”。 在“RADIUS 服务器”选项卡上，单击“添加”。 在“服务器名”中，键入要用于身份验证的 RADIUS 服务器的名称。 单击“更改”，然后在“新机密”中，键入要用于 ISA 服务器与 RADIUS 服务器之间的安全通讯的共享机密。必须在 ISA 服务器与 RADIUS 服务器上配置相同的共享机密，RADIUS 通讯才能成功。 在“端口”中，键入 RADIUS 服务器要对传入的 RADIUS 身份验证请求使用的用户数据报协议 (UDP)。默认值 1812 基于 RFC 2138。对于更早的 RADIUS 服务器，请将端口值设置为 1645。 在“超时（秒）”中，键入 ISA 服务器将尝试从 RADIUS 服务器获得响应的时间（秒），超过此时间之后，ISA 服务器将尝试另一台 RADIUS 服务器。 如果基于共享机密的消息验证程序与每个 RADIUS 消息一起发送，请选择“总是使用消息验证程序”。
注意：
要打开“ISA 服务器管理”，请单击“开始”，依次指向“所有程序”、“Microsoft ISA Server”，然后单击“ISA 服务器管理”。 当为 RADIUS 身份验证配置 ISA 服务器时，RADIUS 服务器的配置会应用于使用 RADIUS 身份验证的所有规则或网络对象。 共享机密用于验证 RADIUS 消息（Access-Request 消息除外）是否是配置了相同的共享机密且启用了 RADIUS 的设备发送的。 请务必更改 RADISU 服务器上的默认预共享密钥。 配置强共享密钥，并经常更改，以防止词典攻击。强共享机密是一串很长（超过 22 个字符）的随机字母、数字和标点符号。 如果选择“总是使用消息验证程序”，请确保 RADIUS 服务器能够接收并配置为接收消息验证程序。 对于 客户端，可扩展的身份验证协议 (EAP) 消息始终是随同消息验证程序一起发送的。对于 Web 代理客户端，将仅使用密码身份验证协议 (PAP)。 如果 RADIUS 服务器运行了 Internet 身份验证服务 (IAS)，并且为此服务器配置的 RADIUS 客户端选择了“请求必须包含消息验证程序属性”选项，则必须选择“总是使用消息验证程序”。

服务器局域相同，快捷方便。radius是一种分布式的、客户端/服务器结构的信息交互协议，该服务采用的协议是udp协议而不是tcp协议，是因为 NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，并且简化了服务端的实现，采用UDP协议可行，RADIUS有自己的机制，来解决UDP丢包特点。

一、目的

通过开源堡垒机Jumpserver与radius服务器管理网络设备可以实现以下功能：

1、ssh、telnet登录网络设备的账户统一在radius进行，方便定期修改密码、账户删减；

2、通过堡垒机登录设备能控制权限、资源，并且有 *** 作记录，符合安全等报；

二、安装步骤

21 开源堡垒机Jumpserver安装

可以参考jumperserver官网安装步骤；

22、radius服务器安装

radius可以使用Windows的NPS（Network Policy Server ）或者是freeradius。

本次使用Windows server 2008安装NPS
23 交换机配置

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa domain enable    ------>开启域名功能

Ruijie(config)#radius-server host  XXXX------>配置radius IP

Ruijie(config)#radius-server key RADIUS      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login radius group radius local  ------>设置登入方法认证列表为ruijie，先用radius组认证，如果radius无法响应，将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication radius    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie  ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie        ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密，这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配限制用户尝试次数为3次，如果3次输入对了用户名但是输错了密码，将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后，需要等待1小时才能再次尝试登入系统

注：锐捷交换机3760设备型号较老旧，使用ip domain-lookup

    22 ssh配置

    1）开启交换机的web服务功能

      Ruijie#configure terminal

      Ruijie(config)#enable service ssh-server

   2) 生成加密密钥：

      Ruijie(config)#crypto key generate dsa            ------>加密方式有两种：DSA和RSA,可以随意选择

      Choose the size of the key modulus in the range of 360 to 2048 for your

      Signature Keys Choosing a key modulus greater than 512 may take

      a few minutes

      How many bits in the modulus [512]:  1024               ------>输入1024直接敲回车

      % Generating 512 bit DSA keys [ok]

注：Jumpserver管理网络设备建议使用ssh方式，同时交换机、路由器、防火墙等网络安全设备创建ssh秘钥长度一定要大于1024

Radius作用
Radius服务器能用来管理使用串口和调制解调器的大量分散用户。当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时，NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别，授权，记账信息传递给Radius服务器。Radius协议规定了NAS与Radius服务器之间如何传递用户信息和记账信息，即两者之间的通信规则。Radius服务器负责接收用户的连接请求，完成鉴别，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器完成对用户账号计费的功能。
RADIUS协议的认证端口号为1812（1645端口由于冲突已经不再使用），计费端口号为1813或（1646端口由于冲突已经不再使用）。RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的Radius服务器。为了提供一些功能，常常要定义一些非标准的(RFC上没有定义过的)属性。

radius的意思是半径；桡骨；半径距离；辐射距离；半径范围；辐射对称轴；径脉。

网络释义：

1、半径。

计算圆的面积的成员函数，声明并实现一个圆(Circle)类，有数据成员半径(Radius)、无参构造函数，带参数构造函数、拷贝构造函数、析构函数、计算圆周长的成员函数。

2、远程用户拨号认证系统。

Radius是一个免费的RADIUS服务器，可以支持RFC2865和RFC2866。RADIUS(远程用户拨号认证系统)是一种在网络接入服务器和共享认证服务器间传输认证、授权。

3、桡骨。

肩胛骨：前躯由肩胛骨(scapular)，肱骨(humerus)，桡骨(radius)，尺骨(ulna)，腕骨(carpus)，掌骨(metacarpusz)和趾骨(phalanges)。

4、用户服务。

远程验证拨入用户服务(“RADIUS”)服务器1142可用于当移动蜂窝装置的用户呼叫公司网络1140时的呼叫方验证。

5、远程认证拨号用户服务。

对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权"。它采用远程认证拨号用户服务(RADIUS)方法。

双语例句：

1、Noisy towns are around the telescope within a 5-kilometer radius

望远镜周围方圆5公里内都是嘈杂的城镇。

2、With further outgrowth the radius and ulna develop

随着长出过程的进一步发展桡骨和尺骨发育了。

3、There are plenty of local pubs within a two-mile radius

在两英里范围内有许多本地酒馆。

4、A circle's area is proportional to the square of its radius

圆的面积与它半径的平方成正比。

5、The radius of the moon is estimated to be 1736 kilometres

月球半径估计有1736公里。

1、在控制器中创建Radius服务器。
2、在Radius服务器中创建用户账号和密码。
3、在控制器中配置无线网络的Radius认证方式，并输入Radius服务器的IP地址和端口号。
4、在无线客户端中输入Radius认证的用户名和密码即可连接无线网络。具体的配置步骤和参数设置可以参考用户手册中的详细说明。

rfc2865原文:

上面两段话的意思是:
如果radius服务器收到一个请求,该请求的发送方在服务器的secret列表中找不到shared secret的话,则应该悄悄丢弃
服务器必须使用radius udp包的源ip地址来决定使用哪一个secret,这样radius请求才能被代理

而且,在radius协议中,User-Password, Chap-Password等属性的值都会用shared secret来进行加密
值得注意的是,shared secret是不会在网络上传输的,即shared secret只能事先约定好,然后人工在ap设备(如无线认证等)上进行设置,服务器收到请求再根据ip地址从secret表中查询,如果有,则接收请求,否则丢弃

我以前一直以为shared secret是通过什么方式获取的,但实际上是事先设置好的

利用交换机的Port-Security功能实现
以下是一个配置实例：
switch#config t
switch（config）#int f0/1
switch（config-if）#switchport mode access
//设置交换机的端口模式为access模式，注意缺省是dynamic
//dynamic模式下是不能使用Port-security功能
switch（config-if）#switchport port-security
//打开port-security功能
switch（config-if）#switchport port-security mac-address xxxxxxxxxxxx
//xxxxxxxxxxxx就是你要关联的mac地址
switch（config-if）#switchport port-security maximum 1
//其实缺省就是1
switch（config-if）#switchport port-security violation shutdown
//如果违反规则，就shutdown端口
//这个时候你show int f0/1的时候就会看到接口是err-disable的
附：
switchport port-security命令语法
Switch（config-if）#switchport port-security ？
aging Port-security aging commands
mac-address Secure mac address
//设置安全MAC地址
maximum Max secure addresses
//设置最大的安全MAC地址的数量，缺省是1
violation Security violation mode
//设置违反端口安全规则后的工作，缺省是shutdown

---