定义
RADIUS(Remote Authentication Dial-In User Service)是由IETF RFC 2865/2866定义的AAA(Authentication、Authorization、Accounting)协议,采用客户端-服务器架构,用于网络接入的集中式用户认证、授权与计费。RADIUS运行于UDP 1812(认证/授权)、1813(计费)端口,支持扩展属性(Attribute)传递用户信息、QoS策略、VPN参数等。在L2TP、VPDN、接入认证等场景中,NAS(网络接入服务器)作为RADIUS客户端,与RADIUS服务器交互完成用户验证与策略下发。
AAA功能详解
- 认证(Authentication):验证用户身份,支持PAP、CHAP、EAP等多种方式;RADIUS服务器可对接LDAP、AD、数据库等用户源
- 授权(Authorization):根据用户属性下发接入策略,如IP地址池、ACL、带宽限制、会话超时等
- 计费(Accounting):记录会话开始/结束、流量、时长,支持实时计费与离线账单,满足运营商与企业审计需求
协议流程与安全
典型流程:用户发起接入请求→NAS向RADIUS发送Access-Request(含用户名、密码或CHAP挑战)→RADIUS服务器验证后返回Access-Accept或Access-Reject→会话期间可发送Accounting-Request记录用量。RADIUS支持共享密钥(Shared Secret)对报文进行完整性保护,敏感属性可加密;RADIUS over TLS(RadSec)可提供传输层加密。
典型应用场景
RADIUS广泛应用于运营商宽带拨号(PPPoE)、企业WiFi(802.1X)、VPN网关、物联网专网接入(专网接入)、VPDN等。物联网设备通过蜂窝网络接入企业专网时,PGW/GGSN可经RADIUS完成设备认证与APN授权,实现集中化接入控制。
达希物联为企业客户提供物联网专网接入方案时,运营商侧常采用RADIUS完成物联网卡/设备的认证与授权。客户可对接自建RADIUS或运营商RADIUS,实现基于IMSI、APN、设备类型的差异化策略。达希物联在配置专网APN、固定IP、QoS时,会协助客户理解RADIUS属性与运营商策略的映射关系,确保物联网设备按预期接入并享受相应网络资源。