RADIUS là một giao thức AAA tiêu chuẩn IETF. Giống như với TACACS+, nó tuân theo mô hình máy khách/máy chủ nơi máy khách khởi tạo các yêu cầu đến máy chủ. RADIUS là giao thức AAA được lựa chọn để truy cập mạng AAA. Nếu bạn kết nối với mạng không dây an toàn thường xuyên, thì rất có thể RADIUS được sử dụng giữa thiết bị không dây và máy chủ AAA. Bởi vì RADIUS là giao thức truyền tải cho EAP, cùng với nhiều giao thức xác thực khác.
Ban đầu, RADIUS được sử dụng để mở rộng xác thực từ Giao thức điểm- điểm (PPP) lớp 2 được sử dụng giữa người dùng cuối và máy chủ truy cập mạng (NAS) và mang lưu lượng xác thực đó từ NAS đến máy chủ AAA thực hiện xác thực. Điều này cho phép giao thức xác thực lớp 2 được mở rộng qua ranh giới lớp 3 đến máy chủ xác thực tập trung.
Như được mô tả trước đây trong chương này, RADIUS đã phát triển vượt xa các trường hợp sử dụng mạng quay số mà nó ban đầu được tạo ra. Ngày nay, RADIUS vẫn được sử dụng theo cùng một cách, mang lưu lượng xác thực từ thiết bị mạng đến máy chủ xác thực. Với IEEE 802.1X, RADIUS được sử dụng để mở rộng EAP lớp 2 từ người dùng cuối đến máy chủ xác thực, như được minh họa trong Hình 2 – 6.
Có nhiều sự khác biệt giữa RADIUS và TACACS +. Một sự khác biệt như vậy là xác thực và ủy quyền không được tách riêng trong RADIUS. Khi yêu cầu xác thực được gửi đến máy chủ AAA, máy khách AAA sẽ có kết quả ủy quyền được gửi lại trong phản hồi.
Chỉ có một vài loại thông báo có xác thực và ủy quyền RADIUS:
Access-Accept: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu xác thực đã qua. Kết quả ủy quyền sẽ được bao gồm dưới dạng cặp AV. Các cặp AV có thể bao gồm các mục như Vlan được chỉ định, danh sách kiểm soát truy cập có thể tải xuống (dACL), thẻ nhóm bảo mật (SGT) và nhiều hơn nữa.
Hình 2 – 7, cho thấy xác thực và ủy quyền được kết hợp với RADIUS. Thông báo Chấp nhận (Access-Accept) truy cập bao gồm các cặp AV xác định những gì người dùng được ủy quyền để làm.
Một chức năng chính của AAA không thể bỏ qua là accounting (kiểm toán hay tính cước). Điều quan trọng đối với an ninh là có một bản ghi lại một cách đầy đủ về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần có các bản ghi lại accounting về các hoạt động của người dùng.
Chỉ có hai loại thông điệp được sử dụng trong tính cước (accounting):
Hình 2 – 8 minh họa một luồng accounting RADIUS mẫu. Hình này là sự tiếp nối trực tiếp của Hình 2 – 7 nơi xảy ra xác thực và ủy quyền.
Hình 2 – 8 minh họa một luồng Accounting
Không giống như TACACS +, RADIUS sử dụng UDP làm giao thức truyền. Các cổng tiêu chuẩn được RADIUS sử dụng là UDP/1812 để xác thực và UDP/1813 cho accounting. Cisco đã hỗ trợ RADIUS trước khi tiêu chuẩn được phê chuẩn và các cổng được sử dụng là UDP/1645 (xác thực) và UDP/1646 (accounting). Hầu hết các thiết bị của Cisco sẽ hỗ trợ sử dụng một trong hai bộ cổng để đảm bảo khả năng tương thích ngược.
Sự khác nhau giữa RADIUS và TACACS+
Bảng 2 – 2 So sánh RADIUS và TACAS+
---------------------------------
Các bạn học viên hãy nhanh tay LIKE và bấm THEO DÕI TRƯỚC trên fanpage VnPro để cập nhật tin tức 1 cách nhanh nhất và các bài viết mới nhất nhé!!!
Fanpage: https://facebook.com/vnpro
Zalo: https://zalo.me/1005309060549762169
Twitter: www.twitter.com/VnVnPro
LinkedIn: www.linkedin/in/VnPro
Telegram: t.me/trungtamvnpro
