RADIUS认证、授权、计费流程

RADIUS认证、授权、计费流程

RADIUS认证、授权和计费
接入设备作为RADIUS客户端，负责收集用户信息（例如：用户名、密码等），并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如图2-4所示。
图2-4  RADIUS认证、授权和计费的交互流程

（1）当用户需要访问外部网络时，用户发起连接请求，向RADIUS客户端（即接入设备）发送用户名和密码。
（2）RADIUS客户端根据获取的用户名和密码，向RADIUS服务器提交认证请求报文。该报文中包含用户名、密码等用户的身份信息。
（3）RADIUS服务器对用户身份的合法性进行检验：
如果用户身份合法，RADIUS服务器向RADIUS客户端返回认证接受报文，允许用户进行下一步工作。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。
如果用户身份不合法，RADIUS服务器向RADIUS客户端返回认证拒绝报文，拒绝用户访问接入网络。
（4）RADIUS客户端通知用户认证是否成功。
（5）RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
（6）RADIUS服务器返回计费开始响应报文，并开始计费。
（7）用户开始访问网络资源。    （8）（可选）在使能实时计费功能的情况下，RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文，以避免因付费用户异常下线导致的不合理计费。
（9）（可选）RADIUS服务器返回实时计费响应报文，并实时计费。
（10） 用户发起下线请求，请求停止访问网络资源。
（11）RADIUS客户端向RADIUS服务器提交计费结束请求报文。
（12）RADIUS服务器返回计费结束响应报文，并停止计费。
（13）RADIUS客户端通知用户访问结束，用户结束访问网络资源。

CoA
用户认证成功后，管理员可以通过CoA（Change of Authorization）报文来修改在线用户的权限。例如，通过CoA为用户下发VLAN，可以保证某一部分的员工无论从哪个设备端口接入网络，均属于同一个VLAN。CoA的报文交互流程如图2-5所示。
图2-5  CoA的交互流程

（1）RADIUS服务器根据业务信息，向RADIUS客户端发送CoA-Request报文，请求更改用户的授权信息。该报文中可以包括策略名（具体策略在RADIUS客户端上配置）或是ACL规则。
（2）RADIUS客户端根据CoA-Request报文里的授权属性，在保持用户在线的情况下更改用户的授权信息。
（3）RADIUS客户端在回应CoA-ACK/NAK报文。
        如果更改成功（例如：CoA报文中的策略名与客户端上的配置匹配），则RADIUS客户端向RADIUS服务器回应CoA-ACK报文。
        如果更改失败，则RADIUS客户端向RADIUS服务器回应CoA-NAK报文。
DM
DM（Disconnect Message）是指用户离线报文，RADIUS服务器端通过DM报文主动发起强迫用户下线操作。DM的报文交互流程如图2-6所示。
图2-6  DM的交互流程

（1）管理员在RADIUS服务器上强制用户下线，RADIUS服务器向RADIUS客户端发送DM Request报文，请求用户下线。
（2）RADIUS客户端接收到RADIUS服务器的DM Request报文后，通知用户离线。
（3）RADIUS客户端回应DM ACK/NAK报文。
        如果用户成功离线，RADIUS客户端给RADIUS服务器回应DM ACK报文；
        否则，RADIUS客户端给RADIUS服务器回应DM NAK报文。

NAC网络准入控制、radius、802.1X（列表、list、全）radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html