Jakee_NB

1、 接入层AAA管理
网络服务提供者要对上网用户进行登记、识别，对不同的用户进行分类，赋予不同的访问权限。要对用户上网进行记录和数据采集，以便生成帐单，。这就是通常所说的AAA管理（Authentication, Authorization, Accounting – 验证、授权、统计）。
对于接入层的AAA管理，曾经出现过多种协议规范以及在其之上的应用。这些协议和应用有一个共同的特点，就是它们都是由接入设备供应商开发的。原因就是接入层的认证、授权、统计与网络接入设备有密不可分的关系。现在RADIUS协议已经成为标准的AAA管理通信协议，被广泛使用。

2、 什么是RADIUS协议？
RADIUS协议是指远程验证拨号用户服务（Remote Authentication Dial In User Service）协议。RADIUS协议在协议层里属于应用层协议，采用客户机/服务器模式（Client/Server Model），使用的底层网络协议为用户数据报协议（UDP/IP）。

3、 RADIUS协议规定了什么？
RADIUS协议是IETF（Internet Engineering Task Force）的提议标准（Propoesd Standard）。RADIUS包括两个文档，RFC2138和RFC2139。RFC2138标题为“Remote Authentication Dial In User Service”，。RFC2139标题为“RADIUS Accounting”。RADIUS协议定义了一个严格的通信规范，包括通信包的数据格式、请求和应答方式、安全措施等。RADIUS也提供了一个可扩展的应用规范，开发者可根据这个应用规范完成基本、通用的功能，并可拓展其它专用的应用。

4、 什么是RFC文档
RFC是主要由IAB及其子机构管理的文字资料。IAB（Internet Activities Board）是一个自愿性的独立专业委员会，主要协调与Internet有关的设计、工程、管理等技术问题。IAB有两个机构：1) Internet Engineering Task Force (IETF)；2) Internet Research Task Force (IRTF)。
IETF负责对Internet的协议开发应用，下属指导小组IESG（Internet Engineering Steering Group）。IETF是一个非常开放的社会，由网络设计人员、网络维护人员、网络产品供应商和任何对Internet及Internet协议感兴趣的人组成。
IRTF负责Internet的网络协议研究和新技术的开发，下属指导小组IRSG（Internet Research Steering Group）。
现在的RFC主要出自IETF。RFC是评议征求的意思（Request For Comments）。关于ARPANet和Internet的几乎所有文字资料，都可以在RFC中找到。由于TCP/IP与Internet有密不可分的伴生关系，关于TCP/IP的几乎所有文字资料，包括体系结构，协议规范等等，也可在RFC中找到。既然是征求评议，那么参与评议的观点就不会非常一致，这是RFC内容五花八门的原因。事实上，在RFC中充满了不成熟甚至自相矛盾的东西。
RADIUS最早的文档是RFC2058和RFC2059（1997/1）。在这两个文档里，使用的UDP/IP端口为1645和1646（注意：现在大部分RADIUS应用仍在使用）。后来发现，端口1645早被“datametric service”使用，而端口1646也已经被“samsg-port service”使用。IETF只好重新发布RFC2138和RFC2139，确定RADIUS使用端口为1812和1813，其它内容则一点未变。
应该注意的是，Internet所有的标准都是以RFC的形式发布的，但是，并不是所有的RFC文档都是标准。
RFC上定义的协议有两种互相独立的划分方法：
1) 从协议的成熟性层次划分为六类：标准（Standard）、草案标准（Draft Standard）、提议标准（Proposed Standard）、在实验的（Experimental）、引用的（Informational）、历史的（Historic）
2) 从协议的应用要求层次划分为五类：必须使用（required），建议使用（recommended），选择使用（elective），限制使用（limited use）, or 不建议使用（not recommended）
RADIUS最新的文档为RFC2138和RFC2139，它们属于提议标准。

5、 RAIDIUS协议能在那些场合用？
RADIUS可以应用在一些分布的网络环境下需要进行某种验证过程的系统中。如：针对NAS的用户验证机制；对虚拟专用网（VPN）的验证机制；为需要用户验证的分布的WWW服务提供统一的用户管理；作为不同验证协议之间的代理协议。

6、 什么是NAS
NAS是网络访问服务器（Network Access Server）的缩写，也称为接入服务器。NAS提供了集中和网络功能。用户接入系统通过NAS端接多种接入网，如PSTN（公共交换电话网）、ISDN（综合业务数字网）、GSM（环球移动通信）、DSL（数字用户线路）型接入网及固定线路网等，以及IP功能，提供对局域网（LAN）或广域网（WAN）的适配功能，并实施增值网络功能的实时部分。NAS所处的地位，使它成为完成用户接入认证、提供特定网络服务和接入计费统计功能的重要组成部分。
NAS的主要特点是，它是主要的分布网络部件，通常处于不同网络位置。NAS的另一个特点是种类繁多，在一个接入系统中可能出现多个供应商的多种产品。NAS的这些特点使得建立一个统一的服务管理中心变得非常重要。NAS将用户验证请求和计费信息通过网络传给服务管理中心，并根据应答完成相应的功能。

7、 什么是服务管理中心？
服务管理中心（SMC）包含了用户数据库和服务器数据库，它存储计费和统计所需得所有信息，以及执行用户验证、授权、统计和其它增值网络功能。它是一个中央系统，但在一个很大的网络中，SMC可以包括一个中央系统及若干分散的服务器，以便尽量减少对NAS的响应时间。通常，不管采用何种结构，SMC的集中系统上均具有整个网络的所有用户资料。
SMC在某种情况下，完成“代理服务管理”功能。在这种场合里，SMC将与用户有关的请求发送给另外的SMC，并从其获得包括用户部分资料的应答。其中一种典型应用就是“用户漫游”。

8、 什么是C/S模式？
客户机/服务器模式（Client/Server Model）简称C/S模式。在C/S模式中，客户机作为通信的主动方，服务器作为通信的被动方。服务器方在特定的网络端口上（通常是公开的）循环侦听客户机从网络发送来的处理请求。所以，C/S模式中，在进行通信之前，对于客户机来说，服务器是已知的，包括网络地址、服务端口以及所用协议。另一方面，在通信之前，对于服务器来说，客户机是未知的，只有取得网络连接时，服务器才会知道客户机的网络位置。
只要确定了服务器和客户机共同遵守的通信协议，C/S模式允许服务器和客户机使用不同的硬件和软件平台。
9、 在RADIUS中什么是服务器？
在RADIUS体系中，服务器指运行在服务管理中心（SMC）的RADIUS服务器进程。RADIUS服务器为能够同时响应大量的客户请求，一般采用多进程或多线程的技术，当每来一个客户请求，则派生出一个新进程或线程处理。RADIUS服务器的职责是：应答客户机的请求，验证用户身份、统计上网记录，并用户授权信息。

10、 在RADIUS中什么是客户机？
在RADIUS体系中，常见的有两类客户机。
一种客户机是NAS（接入服务器），它的职责是将用户上网基本信息传递给RADIUS服务器，并接收RADIUS服务器的应答信息，根据应答信息决定为用户提供何种网络服务。
另一种客户机是代理客户（proxy client）。这种客户本身是RADIUS服务器或其它验证服务器，同时也作为其它的RADIUS服务器（位于另一个SMC）的客户机。它对其本身的客户请求作一定处理后，以客户机的身份向其它的RADIUS服务器发出请求，得到服务器应答后，再将经处理后的信息转发给自己的客户机。代理客户通常出现在“用户漫游”验证过程中。

11、 什么叫用户漫游？
和大家所知道的一样，每一个SMC拥有它所管理的整个网络的用户资料和其它管理资料。假设有一个某SMC管理的用户到另一个SMC管理的网络请求上网，并取得上网资格，这个过程叫做“用户漫游”。用户漫游的实现需不同的SMC之间有一个预先明确的协议。这个协议允许SMC之间通过某种途径共享部分用户资料，它被称之为用户漫游协议。
漫游协议要解决通信双方（服务器和代理客户机）协调工作，如代理请求和应答的方式，计费信息如何处理等等。RADIUS是一种常用的漫游协议。

12、 什么是用户分类？
由于网络用户多种多样，各种用户对网络服务需求也不尽相同。网络管理者为了吸引更多的用户上网，将需求相同的用户分为一种类型。各类用户的网络权限和所获得的网络服务不一样，收费方式也不同，用户可根据需要选择何种类型。解决用户分类的方法就是在用户取得上网服务之前根据不同用户类型进行特定授权。

13、 为什么要用户授权？
用户授权是实现用户分类的重要手段。用户授权包括制定服务类型和访问限制。制定服务类型指决定用户以何种方式连接入网，如采用PPP、SLIP、telnet、rlogin或终端方式等。访问限制指对用户访问作出行为规定，限制访问的网络资源范围或规定允许连接的主机。在RADIUS协议中，用户授权信息由RADIUS服务器通过应答通信包传给客户机（NAS）。这些授权信息首先是NAS能够接受的数据信息。RADIUS协议定义的一些通用的用于用户授权的属性字段。这些字段对来自不同厂家的NAS均能接受，它能完成基本的授权功能，但对于一些特殊的增强型的授权功能，各个厂家有自己的解决方案和属性字段，只有自家的NAS产品能够识别这些属性字段 ，而其它厂家的NAS产品不能识别。这正是RADIUS的灵活性的体现，既能完成基本的通用功能，又能使不同的厂家可以开发自己独特的功能应用。

14、 用户授权有几种方式？
如上所说，用户授权包括制定服务类型和访问限制。“制定服务类型”主要是在NAS上实现的。在NAS上，授权信息的来源有两种：1）自身的配置文件；2）通过RADIUS得到的授权信息。这两种来源的关系并不是互相独立的，而是具有一定的优先级别，NAS会根据信息来源和优先级综合出一个授权信息，给予用户相应的接入服务。“访问限制”是在NAS或其它路由设备上实现的，通常也是共同存在的。一般情况下，在NAS上和在路由器上的访问限制都是通过IP过滤器的方式实施的（在路由器上也叫ACL， Access Control List），即通过限制用户IP的访问范围来规范用户行为。

15、 什么是上网记录？
上网记录指用户从进行网络连接到终止连接的过程中，所占用的资源情况。RADIUS能记录的数据与使用的NAS有关，不同厂家的NAS提供的数据范围有大有小。一般情况下，上网记录有如下项目：用户名、主叫号码、被叫号码、上网时间、下网时间、上网时长、NAS的IP地址、NAS的端口号、帧协议、帧IP地址、流出数据包数目、流入数据包数目、流出数据字节数目、流入数据字节数目等。

16、 RADIUS的上网记录能对计费起什么作用？
RADIUS的上网记录是用户接入层计费的主要依据。计费系统根据用户上网的原始记录，以及用户的计费类型、优惠时段设置、费率等综合出一条计费话单，并在一定时期内累计出用户帐单。用户计费类型、优惠时段设置和费率等数据存放在SMC的用户和计费数据库中。
另外，RADIUS服务器在用户漫游申请时充当代理客户，它所记录的数据是两个不同SMC之间进行结算的依据。

17、 什么是被叫限制和主叫限制？
在可以取到用户主叫和被叫的用户接入系统中，可以实现软件上的被叫限制和主叫限制。被叫限制指的是某个用户或某个用户群只可以拨一个特定电话号码（特服号）上网。这种功能对需要用被叫号码来区分用户群的应用非常有用。主叫限制指上网用户方电话必须为指定的号码。

18、 什么是“唯一用户上网”？
“唯一用户上网”指在一个SMC管理的网络中，一个用户帐号只能同时有一个用户使用。例如：用户甲已经用了帐号“abc”上网，那么，别人就不能再使用帐号“abc”上网了。这种功能对管理采用固定收费方式（如包月制）的用户很重要。
在RADIUS协议里，并未包含对“唯一用户上网”应用的支持。但开发人员可在RADIUS服务器程序加上这种功能。采用的办法通常是设置一个用户上网标志。

19、 Guest用户接入服务
Guest用户接入服务指的是电话亭似的接入服务，即不需验证身份的接入。对信息网运营者来说，这是一项很重要的业务。Guest用户接入服务允许用户不必事先登记身份就可以拨号进入网络并接入服务，为那些只是偶尔使用接入服务的用户节省可观的费用，非常方便。这一点对运营者也很重要，因为这可以简化管理，避免用户流失，运营者通过电话帐单收取各次费用，这样就使所有手续都大大简化，能使运营者节省不少成本。
Guest用户平时也称为主叫号码用户。