AAA 服务器与 RADIUS 协议笔记

一、AAA 服务器概述

AAA 是认证（Authentication）、授权（Authorization）和计费（Accounting） 的简称，是网络安全领域中实现访问控制的核心安全管理机制，通过整合三种服务确保网络资源的安全访问。

认证（Authentication） ：验证用户身份的合法性，确认 "你是谁"。
核心动作包括核对用户名、密码、数字证书等用户凭证。
授权（Authorization） ：在认证通过后，明确用户可访问的资源范围，规定 "你能做什么"。
具体表现为下发用户权限（如读写权限）、允许访问的目录 / 服务、用户操作级别等规则。
计费（Accounting） ：记录用户对网络资源的使用情况，统计 "你用了多少"。
主要记录内容包括上网流量、连接时长、资源访问次数等数据，为计费结算或审计提供依据。

AAA 服务器通过精细化配置，可对多种网络服务提供安全保障，支持的典型服务包括 FTP、TELNET、PPP（点到点协议）、端口接入（如交换机端口准入）等。

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是基于 AAA 模型的分布式网络协议，专为远程用户接入认证场景设计，是实现 AAA 机制的最常用协议之一。

用户：远程接入网络的终端用户（如拨号用户、无线接入用户等），需提供身份凭证（用户名、密码等）。
RADIUS 客户端（网络接入服务器，NAS）：直接接收用户接入请求的设备（如路由器、交换机、无线 AP），负责将用户凭证封装为协议报文并转发给 RADIUS 服务器。
RADIUS 服务器：核心处理节点，负责接收客户端转发的认证 / 授权请求，查询后端用户数据库（如 AD、LDAP）验证身份，执行授权规则，并记录计费信息；通常对接策略管理系统实现动态规则配置。

用户向 RADIUS 客户端（如无线 AP）输入用户名和密码等身份凭证；
RADIUS 客户端将凭证封装为Access-Request（认证请求） 报文，通过共享密钥加密后发送给 RADIUS 服务器；
RADIUS 服务器从后端用户数据库查询用户信息，比对凭证合法性：
- 若认证通过，返回Access-Accept（认证通过） 报文，同时携带授权规则（如分配 IP 地址、会话超时时间）；
- 若认证失败，返回Access-Reject（认证拒绝） 报文，拒绝用户接入。

RADIUS 报文由固定头部和可变属性两部分组成，结构如下：

Code（1 字节） ：定义报文类型，核心类型包括：
1=Access-Request（认证请求）、2=Access-Accept（认证通过）、3=Access-Reject（认证拒绝）、4=Accounting-Request（计费请求）、5=Accounting-Response（计费响应）。
Identifier（1 字节）：报文标识，用于匹配请求与响应，防止报文重复或乱序。
Length（2 字节）：整个报文的总长度（字节数），范围为 20~4096 字节。
Authenticator（16 字节）：认证字段，由共享密钥和报文内容计算生成，用于验证报文完整性、防止篡改及客户端 / 服务器身份校验。
Attributes（可变长度）：携带具体业务数据的属性列表，每个属性格式为 "类型（1 字节）+ 长度（1 字节）+ 值（可变长度）"。

属性是 RADIUS 协议灵活性的核心，用于传递用户信息、认证数据、授权规则等关键内容。常见核心属性如下：

这些属性可根据实际需求扩展，支持自定义业务规则（如带宽限制、VLAN 分配等）。