■江蘇 陳滬娟

編者按：Radius是一種應(yīng)用廣泛的遠(yuǎn)程認(rèn)證服務(wù)協(xié)議，對保護(hù)網(wǎng)絡(luò)安全起到非常重要的作用，本文列舉了Radius服務(wù)使用中的一些問題，希望有所幫助。

Radius服務(wù)指的是什么？該服務(wù)的主要作用是什么？

答：Radius服務(wù)的英文全稱為Remote Authentication Dial In User Service，中文意思為遠(yuǎn)程認(rèn)證撥號用戶服務(wù)協(xié)議，它是目前應(yīng)用范圍十分廣泛的AAA協(xié)議。該網(wǎng)絡(luò)服務(wù)認(rèn)證機(jī)制相當(dāng)靈活，可以通過PAP、 CHAP或者Unix登錄認(rèn)證等多種方式，確保特定網(wǎng)絡(luò)系統(tǒng)不受未授權(quán)訪問的影響，在對無線網(wǎng)絡(luò)的安全認(rèn)證時，也可以使用Radius服務(wù)控制無線接入安全。

Radius服務(wù)中實(shí)現(xiàn)EAP認(rèn)證的方式主要有哪些？

答：在設(shè)備端與Radius服務(wù)器之間，可以使用兩種方式來交換數(shù)據(jù)信息，一種是EAP協(xié)議報(bào)文使用EAPOR封裝格式承載于Radius協(xié)議中，另一種是設(shè)備端終結(jié)EAP協(xié)議報(bào)文，采用包含PAP或CHAP屬性的報(bào)文與Radius服務(wù)器進(jìn)行認(rèn)證。這樣，在認(rèn)證過程中就存在兩種認(rèn)證方式，一種是EAP中繼方式，另外一種是EAP終結(jié)方式。

Radius服務(wù)的主要特點(diǎn)有哪些？

答：Radius服務(wù)使用C/S模型，也就是客戶端服務(wù)器模型，其中網(wǎng)絡(luò)訪問服務(wù)系統(tǒng)作為Radius服務(wù)的客戶端，Radius服務(wù)負(fù)責(zé)獲取用戶連接請求，驗(yàn)證用戶，然后返回所有必要的配置信息，用于客戶端提交服務(wù)給用戶。Radius協(xié)議通過挑戰(zhàn)-握手認(rèn)證協(xié)議、點(diǎn)對點(diǎn)協(xié)議、密碼認(rèn)證協(xié)議以及簡單的UNIX登錄，來實(shí)現(xiàn)鑒權(quán)目的。

Radius協(xié)議在客戶端和服務(wù)之間的傳輸通過使用共享密鑰認(rèn)證，該密鑰從來不發(fā)送到網(wǎng)絡(luò)上。Radius協(xié)議支持無狀態(tài)協(xié)議，使用UDP協(xié)議，工作在網(wǎng)絡(luò)端口1812上，因?yàn)閁DP協(xié)議更加快捷方便，能夠減輕Radius服務(wù)器的壓力，也更安全。Radius協(xié)議是可擴(kuò)展的，不少Radius硬件和軟件實(shí)現(xiàn)廠商有它們自己的方言。

能否詳細(xì)介紹一下Radius服務(wù)的工作原理？

答：當(dāng)Radius系統(tǒng)啟動運(yùn)行后，如果用戶想連接網(wǎng)絡(luò)訪問系統(tǒng)（NAS），來得到特定資源的訪問權(quán)限或獲取其他網(wǎng)絡(luò)資源的使用權(quán)利時，網(wǎng)絡(luò)訪問系統(tǒng)需要將用戶的請求信息包，包括授權(quán)、認(rèn)證、計(jì)費(fèi)等信息包，提交給Radius服務(wù)器，Radius服務(wù)器通過本地用戶數(shù)據(jù)庫所包含的網(wǎng)絡(luò)服務(wù)訪問信息和用戶認(rèn)證信息，對接入用戶的登錄賬號合法性進(jìn)行檢驗(yàn)，這包括登錄用戶名、密碼等信息，其中登錄密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播，要是認(rèn)證合法的話，該服務(wù)器會將相關(guān)的計(jì)費(fèi)統(tǒng)計(jì)數(shù)據(jù)和網(wǎng)絡(luò)配置信息返回給NAS，并允許接入用戶開展下一步工作。

倘若認(rèn)證沒有通過，Radius服務(wù)器也會給NAS返回訪問拒絕數(shù)據(jù)包，這時需要用戶重新輸入登錄賬號，不然的話嚴(yán)格禁止用戶的接入訪問。

在認(rèn)證用戶合法性的時候，Radius服務(wù)器與NAS服務(wù)器之間的信息交互，必須使用UDP數(shù)據(jù)報(bào)文來完成，在這個過程中，為了改善交互通信的安全性，雙方使用共享密鑰方式傳輸數(shù)據(jù)報(bào)文，來保證重要的配置信息只有被成功加密后，才可以在網(wǎng)絡(luò)中正常傳輸，從而避免這些信息被非法用戶竊聽或盜取。

Radius協(xié)議一般工作于客戶/服務(wù)器結(jié)構(gòu)，在以太網(wǎng)環(huán)境下，那些支持網(wǎng)絡(luò)接入功能的交換機(jī)作為Radius的客戶端，主要負(fù)責(zé)將相關(guān)請求數(shù)據(jù)包信息傳遞給局域網(wǎng)特定的Radius服務(wù)器，接著根據(jù)Radius服務(wù)器返回的數(shù)據(jù)包信息，對接入用戶進(jìn)行掛斷或接入操作。Radius服務(wù)器通常工作在特定網(wǎng)絡(luò)的中心計(jì)算機(jī)系統(tǒng)中，該系統(tǒng)必須含用全部用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息。在客戶端與服務(wù)器通信時，Radius協(xié)議規(guī)定了它們?nèi)绾蝹鬟f計(jì)費(fèi)統(tǒng)計(jì)信息和用戶配置信息。

當(dāng)?shù)卿浾叩尿?yàn)證條件和握手會話全部通過后，網(wǎng)絡(luò)訪問系統(tǒng)會從RADIUS服務(wù)器那里獲得一個用戶配置信息包，請問該信息包中主要包含哪些信息？

答：主要包括服務(wù)類型 ：SLIP、PPP、Login User、Rlogin、Framed、Callback 等等。還包括與服務(wù)類型相關(guān)的配置信息IP地址、時間限制等等。

眾所周知，Radius服務(wù)器在實(shí)際工作的時候，往往是通過UDP報(bào)文方式來傳輸數(shù)據(jù)的。請問為什么在配置參數(shù)的時候，需要將該類型的報(bào)文傳輸次數(shù)配置成多次？

答：這是因?yàn)閁DP報(bào)文方式的傳輸性能常常很不穩(wěn)定，倘若Radius服務(wù)器在規(guī)定時間內(nèi)，沒有及時響應(yīng)客戶端系統(tǒng)的相關(guān)請求，那么客戶端系統(tǒng)會有必要自動向Radius服務(wù)器重新發(fā)送相關(guān)數(shù)據(jù)報(bào)文。

當(dāng)然，總的傳送次數(shù)要是超過最大限值，而Radius服務(wù)器對數(shù)據(jù)報(bào)文仍舊沒有正常響應(yīng)時，那么客戶端系統(tǒng)將會認(rèn)為其與指定的Radius服務(wù)器之間的連接已經(jīng)斷開，這時它會自動將相關(guān)數(shù)據(jù)報(bào)文發(fā)送給其他的Radius服務(wù)器去處理。所以，為了既能保證數(shù)據(jù)報(bào)文穩(wěn)定傳輸，又能保證Radius服務(wù)器及時響應(yīng)，配置好合適的數(shù)據(jù)報(bào)文傳送次數(shù)是相當(dāng)重要的。

請問在成功配置好Radius服務(wù)器組的屬性參數(shù)后，怎么查看具體的地址和網(wǎng)絡(luò)端口是否配置正確？

答 ：在 Quidway S8500品牌路由交換機(jī)后臺系統(tǒng)中，使用“display radius XYZ”命令，就能清楚地查看到名稱為“XYZ”的Radius服務(wù)器組所有配置信息了，包括服務(wù)器使用的地址和網(wǎng)絡(luò)端口信息。

在同時存在主服務(wù)器、備份服務(wù)器的情況下，要是終端計(jì)算機(jī)系統(tǒng)與主Radius服務(wù)器之間的通信發(fā)生故障時，終端系統(tǒng)與主、備份服務(wù)器之間是如何繼續(xù)通信的？

答：終端計(jì)算機(jī)系統(tǒng)會自動地嘗試與備份服務(wù)建立通信，同時進(jìn)行交互傳輸數(shù)據(jù)報(bào)文。當(dāng)主Radius服務(wù)器的工作狀態(tài)被恢復(fù)為正常后，終端計(jì)算機(jī)系統(tǒng)不會立即與之重新建立通信，而是仍然與備份服務(wù)器保持連接，直到備份服務(wù)器也發(fā)生故障后，才會重新與主Radius服務(wù)器恢復(fù)連接，同時正常進(jìn)行交互通信。

Radius服務(wù)器為什么會用到UDP協(xié)議？

答：主要有下面幾個因素：一是NAS服務(wù)器和Radius服務(wù)器大多位于同一個局域網(wǎng)中，使用UDP協(xié)議更加快捷方便。二是簡化了服務(wù)端的實(shí)現(xiàn)。事實(shí)證明，采用UDP協(xié)議可行，Radius服務(wù)器有自己的機(jī)制，來解決UDP協(xié)議丟包特點(diǎn)。

Radius服務(wù)的重傳機(jī)制指的是什么？

答：如果NAS服務(wù)器向某個Radius服務(wù)器提交請求沒有收到返回信息，那么可以要求備份Radius服務(wù)器重傳。由于有多個備份Radius服務(wù)器，因此NAS進(jìn)行重傳的時候，可以采用輪詢的方法。如果備份Radius服務(wù)器的密鑰和以前Radius服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。

Radius服務(wù)數(shù)據(jù)包由幾部分組成？各個部分作用分別是什么？

答：Radius服務(wù)數(shù)據(jù)包分為五個部分。第一個部分長1個字節(jié)，用于區(qū)分Radius服務(wù)包的類型；第二個部分長一個字節(jié)，用于請求和應(yīng)答包的匹配；第三個部分長兩個字節(jié)，表示Radius服務(wù)數(shù)據(jù)區(qū)；第四個部分長16個字節(jié)，用于驗(yàn)證服務(wù)器端的應(yīng)答，另外還用于用戶口令的加密；第五個部分不定長度，最小可為0個字節(jié)，描述Radius服務(wù)的屬性，如用戶名、口令、IP地址等信息都是存放在本數(shù)據(jù)段。

在Quidway S8500型號的路由交換機(jī)后臺系統(tǒng)中，如何詳細(xì)配置好Radius服務(wù)器的運(yùn)行狀態(tài)？

答：在配置Radius服務(wù)器工作狀態(tài)時，先以管理員權(quán)限登錄交換機(jī)后臺系統(tǒng)，使用“System-view”字符串命令，切換到交換機(jī)后臺全局視圖模式，在該模式狀態(tài)下輸入字符串命令“radius scheme ABC”，進(jìn)入 名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)，接著執(zhí)行字符串命令“state primary authentication active” 或“state primary authentication block”，就能將主授權(quán)/認(rèn)證Radius服務(wù)器的運(yùn)行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)了。要是輸入字符串命令“state secondary authentication active”或“state secondary authentication block”，就能輕松將備份授權(quán)/認(rèn)證Radius服務(wù)器的運(yùn)行狀態(tài)指定為“active”狀態(tài)或“block”狀態(tài)了。

要想將主計(jì)費(fèi)Radius服務(wù)器的工作狀態(tài)設(shè)置為“active”狀態(tài)或“block”狀態(tài)時，只要輸入命令“state primary accounting active” 或“state primary accounting block”即可。要是輸入“state secondary accounting active”或“state secondary accounting block”命令，能夠?qū)浞萦?jì)費(fèi)Radius服務(wù)器的工作狀態(tài)設(shè)置為“active”或“block”。默認(rèn)狀態(tài)下，所有類型的Radius服務(wù)器工作狀態(tài)均為“active”狀態(tài)。

在日常管理維護(hù)網(wǎng)絡(luò)的時候，Radius服務(wù)器的屬性參數(shù)配置，有哪些規(guī)律能夠遵循的？

答：沒有固定的規(guī)律可以遵循，一切要根據(jù)具體情況來配置。比方說，可以配置四組相同的IP地址和端口參數(shù)，讓對應(yīng)的Radius服務(wù)器組既作為局域網(wǎng)的計(jì)費(fèi)服務(wù)器，又作為認(rèn)證/授權(quán)服務(wù)器，同時將它們既作為主服務(wù)器，又作為備份服務(wù)器。也能夠配置其中兩臺服務(wù)器既作為主計(jì)費(fèi)服務(wù)器，又作為備份認(rèn)證/授權(quán)服務(wù)器，配置其他兩臺服務(wù)器既作為備份計(jì)費(fèi)服務(wù)器，又作為主認(rèn)證/授權(quán)服務(wù)器。當(dāng)然，甚至能配置四組不同的數(shù)據(jù)，來對應(yīng)四臺不同的Radius服務(wù)器。

由于Radius服務(wù)器在收發(fā)計(jì)費(fèi)報(bào)文和認(rèn)證/授權(quán)報(bào)文時，會使用不同的UDP端口，因此在指定服務(wù)器工作端口號碼時，必須要確保計(jì)費(fèi)端口號碼和認(rèn)證/授權(quán)端口號碼不能相同。默認(rèn)狀態(tài)下，計(jì)費(fèi)服務(wù)使用的端口號碼應(yīng)該設(shè)置為1813，認(rèn)證/授權(quán)服務(wù)端口號碼應(yīng)該設(shè)置為1812，而不管哪一種類型的服務(wù)器，缺省使用的IP地址都為0.0.0.0。

Radius服務(wù)器組指的是什么？創(chuàng)建Radius服務(wù)器組時應(yīng)該注意哪些事項(xiàng)？

答：Radius服務(wù)器組既能是一臺相對獨(dú)立的Radius服務(wù)器主機(jī)，也能是兩臺主、備服務(wù)器形成的一個組合，不過這兩臺服務(wù)器必須是配置參數(shù)相同，僅IP地址不同。所以在實(shí)際創(chuàng)建并配置Radius服務(wù)器組屬性參數(shù)時，需要特別注意兩點(diǎn)：一是要指定好主服務(wù)器的IP地址和備份服務(wù)器的IP地址，二是要設(shè)置好Radius服務(wù)器的類型以及共享密鑰等參數(shù)。

網(wǎng)絡(luò)訪問系統(tǒng)（NAS）在收到用戶登錄連接網(wǎng)絡(luò)請求信息后，將按照特定的數(shù)據(jù)包格式，向RADIUS服務(wù)器發(fā)出“接入請求”包，請問這個數(shù)據(jù)包中包含RADIUS協(xié)議的哪些屬性值？

答：主要包括登錄網(wǎng)絡(luò)系統(tǒng)的用戶名、用戶口令、訪問服務(wù)器的ID、訪問端口的ID等信息。

Radius服務(wù)主要有哪些安全隱患？

答：首先表現(xiàn)在加密方面，該服務(wù)雖然對用戶密碼進(jìn)行了加密，但是其他的數(shù)據(jù)報(bào)文內(nèi)容都沒有進(jìn)行加密，無法很好地滿足機(jī)密性的要求。對用戶密碼是采用流密碼保護(hù)，要是服務(wù)器端對同一用戶的認(rèn)證失敗次數(shù)沒有限制，那么惡意用戶或許會通過窮舉搜索來獲得正確的用戶口令。

該協(xié)議使用認(rèn)證碼進(jìn)行安全檢查，不過其接入請求數(shù)據(jù)包中的請求認(rèn)證碼只是一個隨機(jī)數(shù)，因此Radius服務(wù)器并不能對接入請求包的報(bào)文進(jìn)行鑒別。盡管要求接入請求數(shù)據(jù)包的請求鑒別碼，在特定時間內(nèi)不能重復(fù)，不過Radius服務(wù)器并沒有對它的重復(fù)使用進(jìn)行檢查。

其次表現(xiàn)在數(shù)據(jù)傳輸方面，Radius服務(wù)采用的UDP傳輸協(xié)議，能夠確保對用戶鑒別在很短的時間內(nèi)完成，不過因?yàn)閁DP協(xié)議沒有出錯重發(fā)機(jī)制，鑒別的可靠性就在一定程度上受到影響。

同時，Radius服務(wù)也沒有采用任何措施對重播(replay)的避免提供支持。Radius服務(wù)支持代理功能，允許Radius服務(wù)器把一個請求轉(zhuǎn)發(fā)給另一個Radius服務(wù)器。

但每一個代理Radius服務(wù)器都有權(quán)對用戶的認(rèn)證計(jì)費(fèi)信息進(jìn)行修改，端到端的安全無法得到有效保障。另外，該協(xié)議還存在一個用戶可以以多種方式登錄、用戶密碼及共享密鑰過短、多個RADIUS客戶端和服務(wù)器端使用同一個共享密鑰等問題。

請問怎樣在Quidway S8500型號的路由交換機(jī)中，創(chuàng)建或刪除特定的Radius服務(wù)器組？

答：首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入路由交換機(jī)后臺系統(tǒng)，使用“System-view”命令，進(jìn)入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“radius scheme ABC”（這 里的“ABC”為特定Radius服務(wù)器組名稱），就能成功創(chuàng)建好一臺名稱為“ABC”的Radius服務(wù)器組了。在缺省狀態(tài)下，交換機(jī)后臺系統(tǒng)會將Radius服務(wù)器組的名稱取為“system”，并且將其相關(guān)屬性參數(shù)都定義為默認(rèn)數(shù)值。

如果要創(chuàng)建本地Radius服務(wù)器組時，只要在交換機(jī)后臺系統(tǒng)全局視圖狀態(tài)下，執(zhí)行字符串命令“l(fā)ocal-server nas-ip ABC key DEF”即可，這里的“ABC”為本地Radius服務(wù)器組的IP地址，“DEF”為登錄服務(wù)器組的密碼內(nèi)容。在缺省狀態(tài)下，成功創(chuàng)建好的本地Radius服務(wù)器組IP地址為“127.0.0.1”，缺省使用“huawei”這樣的密碼內(nèi)容登錄服務(wù)器組。

日后，如果管理員不需要某個特定的Radius服務(wù)器組時，也能夠在交換機(jī)后臺系統(tǒng)全局視圖模式下，輸入“undo radius scheme ABC”命令，將名稱為“ABC”的特定Radius服務(wù)器組從后臺系統(tǒng)直接刪除掉。

請問不同的ISP域能否引用相同的一臺Radius服務(wù)器組？

答：答案是肯定的！對于Quidway系列路由交換機(jī)來說，每個遠(yuǎn)程接入用戶都屬于一個ISP域，用戶最多能創(chuàng)建16個ISP域，要是某個用戶在登錄Radius服務(wù)器組時，沒有提交ISP域名，那么交換機(jī)后臺系統(tǒng)會自動將它歸類為默認(rèn)的ISP域，而用戶最多可以同時創(chuàng)建16個Radius服務(wù)器組。

如果想查看所有或指定ISP域的配置信息時，只要在交換機(jī)后臺系統(tǒng)的任意視圖模式下，執(zhí)行“display domain”命令，從返回的結(jié)果界面中，就能輕松查看到特定ISP域的所有配置信息了。

正常情況下，我們應(yīng)該怎樣正確配置Radius服務(wù)器的響應(yīng)超時時間呢？

答：一般來說，該參數(shù)既不能配置得太長，也不能配置得太短，配置得太長將無法保證用戶及時獲得Radius服務(wù)器提供的相關(guān)服務(wù)，配置得太短會造成數(shù)據(jù)報(bào)文傳輸不穩(wěn)定。

在配置這種參數(shù)時，同樣先進(jìn)入特定名稱的Radius服務(wù)器組視圖狀態(tài)，之后執(zhí)行“timer X”命 令 設(shè) 置 好超時時間，其中“X”為響應(yīng)超時定時器數(shù)值，該數(shù)值默認(rèn)為3秒鐘。當(dāng)成功配置好Radius報(bào)文的相關(guān)參數(shù)后，可以執(zhí)行“display radius statistics”命令，從返回的結(jié)果界面中，就能判斷出配置是否正確了。

將Radius服務(wù)器組成功創(chuàng)建好后，一定要正確配置好它的IP地址以及端口號碼，由于每種服務(wù)器都有主從之分，所以最大可以配置四組IP地址以及端口號碼。請問如何詳細(xì)配置Radius服務(wù)器的地址和端口？

答：這樣的配置操作其實(shí)很簡單。只要先以系統(tǒng)管理員權(quán)限登錄交換機(jī)后臺系統(tǒng)，使 用“System-view”命令進(jìn)入到后臺系統(tǒng)全局視圖模式狀態(tài)，執(zhí)行字符串命令“radius scheme ABC”，切 換到名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)下，在該狀態(tài)下，輸入字符串命令“primary authentication IP n”命令，這里的“IP”為Radius服務(wù)器組需要用到的IP地址，“n”為服務(wù)器使用到的UDP端口號碼，單擊回車鍵后就能配置好主Radius認(rèn)證/授權(quán)服務(wù)器組的IP地址和端口號碼了。

使用“primary accounting IP n”命令，可以配置好主Radius計(jì)費(fèi)服務(wù)器組的IP地址以及端口號碼。要是使用字符串命令“secondary authentication IP n”， 能夠指定備份Radius認(rèn)證/授權(quán)服務(wù)器組的IP地址和端口號碼，使用字符串命令“secondary accounting IP n”命令，能夠指定好備份Radius計(jì)費(fèi)服務(wù)器組的IP地址和端口號碼。

默認(rèn)狀態(tài)下，Radius服務(wù)器限定UDP數(shù)據(jù)請求報(bào)文的最大傳輸次數(shù)為3次，如果管理員想自行調(diào)整該參數(shù)時，該怎么操作？

答：只要先以管理員身份登錄進(jìn)入交換機(jī)后臺全局視圖模式，在該模式狀態(tài)下輸入“radius scheme ABC”命令，單擊回車鍵后切換到名稱為“ABC”的Radius服務(wù)器組視圖狀態(tài)，繼續(xù)執(zhí)行“retry X”字符串命令，這里的“X”為新設(shè)定的最大傳送次數(shù)，這樣就能配置好Radius服務(wù)器相關(guān)報(bào)文的最大傳送次數(shù)了。要想將該數(shù)值還原為缺省設(shè)置時，可以執(zhí)行“undo retry”字符串命令。

Radius服務(wù)器收到客戶端系統(tǒng)接入請求包后，它是怎樣對用戶請求信息進(jìn)行認(rèn)證的？

答：首先查驗(yàn)網(wǎng)絡(luò)訪問服務(wù)器的共享密碼與Radius服務(wù)器中事先配置的是否一致，以判斷是所屬的Radius客戶端。在判斷了數(shù)據(jù)包的正確性之后，Radius服務(wù)器會依據(jù)數(shù)據(jù)包中的用戶名，在用戶數(shù)據(jù)庫中搜索是否有此用戶記錄。要是用戶信息不符合，就向網(wǎng)絡(luò)訪問服務(wù)器發(fā)出接入拒絕包。網(wǎng)絡(luò)訪問服務(wù)器在收到拒絕包后，會立即停止用戶連接端口的服務(wù)要求，用戶被強(qiáng)制退出。倘若用戶信息全部符合，Radius服務(wù)器向網(wǎng)絡(luò)訪問服務(wù)器發(fā)出接入質(zhì)詢數(shù)據(jù)包，對用戶的登錄請求作進(jìn)一步的認(rèn)證。

當(dāng)主Radius服務(wù)器的工作狀態(tài)恢復(fù)正常后，怎樣才能讓終端計(jì)算機(jī)系統(tǒng)立即與其重新建立連接并通信，而不是繼續(xù)與備份服務(wù)器建立通信連接呢？

答：很簡單，管理員只需要采取手工配置措施，強(qiáng)行將主Radius服務(wù)器的運(yùn)行狀態(tài)設(shè)置為“active”狀態(tài)。一旦主服務(wù)器處于“active”工作狀態(tài)，那么Radius備份服務(wù)器不管處于“active”運(yùn)行狀態(tài)，還是“block”運(yùn)行狀態(tài)，終端計(jì)算機(jī)系統(tǒng)都會自動將Radius數(shù)據(jù)報(bào)文發(fā)送給主Radius服務(wù)器去處理。

請問Radius服務(wù)器支持哪幾種安全認(rèn)證機(jī)制？

答：Radius服務(wù)器可支持密碼認(rèn)證協(xié)議（PAP）、點(diǎn)對點(diǎn)協(xié)議（PPP）、提問握手認(rèn)證協(xié)議（CHAP）以及其它認(rèn)證機(jī)制。

普通計(jì)算機(jī)系統(tǒng)與Radius服務(wù)器組在進(jìn)行交互通信時，怎樣才能確保數(shù)據(jù)交互的安全性？

答：一定要采取MD5加密算法，來對Radius數(shù)據(jù)報(bào)文進(jìn)行加密傳輸，防止重要配置信息被惡意用戶偷竊或盜取。只有在加密內(nèi)容一致的情況下，普通計(jì)算機(jī)系統(tǒng)與Radius服務(wù)器組之間，才能正常傳輸數(shù)據(jù)報(bào)文。