RADIUS使用UDP端口1645和1812进行认证,1646和1813进行记账
RADIUS的操作分为三部分:authentication(认证),authority(授权),accounting(记账),但是认证和授权是不能分开进行的。
Authentication and Authorization(认证和授权)
AAA服务器收到AAA客户端发送的Access-Request 报文,他会到自己的数据库查找username。
- 如果用户名不在数据库中,RADIUS服务器发送Access-Reject 数据包到客户端,这个数据包中可能还会包含一些文字信息,如请求拒绝的原因
- 如果用户名在数据库中,并且密码正确。RADIUS服务器返回一个Access-Accept 报文, 并包含了一系列的Attribute-Value pairs值,描述了一系列会话使用的参数,包括服务类型,分配给用户的IP地址,访问列表,或在AAA客户端上插入静态路由,这样在RADIUS服务器中定义了安装到AAA客户端的配置信息。
- 此外,AAA服务器也可能会发送 Access-Challenge 请求到AAA客户端来请求一个新的密码
授权也是关联在认证过程中的,当RADIUS服务端返回Access-Accept 报文时,也会包含为用户授权用的AV pairs
accounting(记账)
AAA服务器和AAA客户端之间发送的报文是Accounting-Request 和 Accounting-Response
