RADIUS协议

如果单个管理员想要访问100个路由器，并且设备的本地数据库用于用户名和密码（身份验证），那么管理员必须在不同的时间创建相同的用户帐户。此外，如果他想为设备保留不同的用户名和密码，那么他必须手动更改设备的身份验证。当然，这是一项繁忙的任务。

为了在一定程度上简化这项任务，使用了ACS（访问控制服务器）。ACS提供了一个集中管理系统，其中保存了用户名和密码数据库。此外，还可以配置授权（指用户有权执行的操作）。但对于这一点，我们必须告诉路由器参考ACS，以获得其关于身份验证和授权的决定。

ACS服务器和客户端之间使用两种协议来实现此目的：

1. 塔卡克斯+
2. 半径

但这里我们只讨论半径。

半径- RADIUS代表远程身份验证拨入用户服务，是AAA框架中使用的一种安全协议，用于为希望访问网络的用户提供集中身份验证。

特色—— RADIUS的一些功能包括：

1. AAA框架的开放标准协议，即可以在任何供应商设备和Cisco ACS服务器之间使用。
2. 它使用UDP作为传输协议。
3. 它使用UDP端口号1812进行身份验证和授权，使用1813进行记帐。
4. 如果设备和ACS服务器正在使用RADIUS，则只加密AAA数据包的密码。
5. 无法实现明确的命令授权。
6. 它提供了比TACACS+更广泛的会计支持。
7. 在RADIUS中，身份验证和授权是耦合在一起的。

工作—— 当其他设备想要访问网络访问服务器（RADIUS的NAS客户端）时，它将向ACS服务器发送访问请求消息，以匹配凭据。为了响应客户端的访问请求，如果凭据有效，ACS服务器将向客户端提供访问接受消息，如果凭据不匹配，ACS服务器将向客户端提供访问拒绝消息。

优势——

1. 由于它是一个开放标准，因此也可以在其他设备之间使用。
2. 比TACACS更广泛的会计支持+

劣势——

1. 由于RADIUS使用UDP，因此其可靠性不如TACACS+。
2. 无法实现明确的命令授权。
3. RADIUS只加密密码。它不保护用户名等其他数据。