RADIUS 协议

如果单个管理员想要访问 100 个路由器，并且设备的本地数据库用于用户名和密码（身份验证），那么管理员必须在不同时间创建相同的用户帐户。此外，如果他想为设备保留不同的用户名和密码，那么他必须手动更改设备的身份验证。当然，这是一项繁重的任务。

为了在一定程度上简化此任务，使用了 ACS（访问控制服务器）。 ACS 提供了一个集中管理系统，其中保存了用户名和密码的数据库。此外，还可以配置授权（表示用户被授权执行的操作）。但为此，我们必须告诉路由器参考 ACS 来决定身份验证和授权。

ACS 服务器和客户端之间使用两种协议来实现此目的：'

1. TACACS+
   
2. 半径
   

但在这里我们将只讨论 RADIUS。

半径 -
RADIUS 代表 Remote Authentication Dial-In User Service，是 AAA 框架中使用的一种安全协议，用于为想要访问网络的用户提供集中式身份验证。

特性 – RADIUS 的一些特性包括：

1. AAA 框架的开放标准协议，即它可以在任何供应商设备和 Cisco ACS 服务器之间使用。
   
2. 它使用UDP作为传输协议。
   
3. 它使用 UDP 端口号 1812 进行身份验证和授权，使用 1813 进行计费。
   
4. 如果设备和 ACS 服务器使用 RADIUS，则只有 AAA 数据包的密码被加密。
   
5. 不能实施明确的命令授权。
   
6. 它提供比 TACACS+ 更广泛的会计支持。
   
7. 在 RADIUS 中，身份验证和授权是耦合在一起的。
   

在职的 -
当其他设备想要访问网络访问服务器（RADIUS 的 NAS-client）时，它会向 ACS 服务器发送访问请求消息以匹配凭据。 ACS 服务器响应客户端的访问请求，如果凭据有效，则向客户端提供 access-accept 消息，如果凭据不匹配，则向客户端提供 access-reject 消息。

优势 -

1. 由于它是一个开放标准，因此它也可以在其他设备之间使用。
   
2. 比 TACACS+ 更广泛的会计支持
   

坏处 -

1. 由于 RADIUS 使用 UDP，因此它不如 TACACS+ 可靠。
   
2. 不能实施明确的命令授权。
   
3. RADIUS 仅加密密码。它不保护其他数据，例如用户名。