前面兩節(jié)對802.1X及Radius的環(huán)境搭建和報(bào)文進(jìn)行了介紹盒齿，本節(jié)主要分享一些在學(xué)習(xí)過程中的一些疑問困食？這些疑問所涉及到的知識(shí)可以說是博大精深。

1硕盹、AAA服務(wù)器的流量統(tǒng)計(jì)和時(shí)間計(jì)量主要體現(xiàn)在哪兒？

對于這個(gè)疑問瘩例，我在抓取計(jì)費(fèi)報(bào)文的時(shí)候，發(fā)現(xiàn)在radius屬性中包含一些與流量和時(shí)間相關(guān)的屬性垛贤，然后我查了一下radius屬性表，證實(shí)了這些屬性的作用聘惦。

41 Acct-Delay-Time 生成計(jì)費(fèi)報(bào)文花費(fèi)的時(shí)間，以秒為單位

42 Acct-Input-Octets 上行字節(jié)數(shù)，單位為Byte黔漂、kbyte、Mbyte瘟仿、Gbyte，具體使用何種單位可通過命令配置

43 Acct-Output-Octets 下行字節(jié)數(shù)劳较，單位為Byte、kbyte观蜗、Mbyte臊恋、Gbyte墓捻，具體使用何種單位可通過命令配置

46 Acct-Session-Time 用戶的上線時(shí)間，以秒為單位

47 Acct-Input-Packets 上行的報(bào)文數(shù)

48 Acct-Output-Packets 下行的報(bào)文數(shù)

52 Acct-Input-Gigawords 表示上行字節(jié)數(shù)是4G(232)Byte砖第、kbyte、Mbyte梧兼、Gbyte（單位取何值由命令配置決定）的多少倍

53 Acct-Output-Gigawords 表示下行字節(jié)數(shù)是4G(232)Byte、kbyte羽杰、Mbyte、Gbyte（單位取何值由命令配置決定）的多少倍

所以AAA服務(wù)器的流量統(tǒng)計(jì)和時(shí)間計(jì)量主要體現(xiàn)在報(bào)文的radius屬性中考赛，然后通過服務(wù)器軟件進(jìn)行GUI的顯示惕澎。

2颜骤、AAA域名攜帶問題？

我們在配置radius scheme的時(shí)候會(huì)配上一條“Username format:without-domain”的命令复哆，這個(gè)命令的意思是用戶名不帶上域。我們知道梯找，交換機(jī)是基于域?qū)τ脩艄芾淼模脩魧儆谀膫€(gè)域是由用戶名中帶的“@”后面的字段決定的锈锤，比如user@test就屬于test域闲询。

那么在做802.1X認(rèn)證時(shí)，帶不帶域應(yīng)該怎么去看呢浅辙？

EAP協(xié)議

我們知道802.1X如果是基于EAP協(xié)議做認(rèn)證的話，交換機(jī)作用是封裝報(bào)文再轉(zhuǎn)發(fā)給服務(wù)器记舆，不對報(bào)文去處理，所以我在802.1X客戶端輸入的用戶名是user或者user@test的話泽腮，經(jīng)過交換機(jī)不會(huì)做任何處理，到達(dá)radius服務(wù)器的用戶名以客戶輸入的用戶名為準(zhǔn)诊赊，所以要想認(rèn)證都通過的話，在radius服務(wù)器上應(yīng)該配置user和user@test兩個(gè)用戶碧磅。

CHAP協(xié)議

802.1X使用CHAP協(xié)議做認(rèn)證的話碘箍，交換機(jī)會(huì)自己去發(fā)送隨機(jī)加密字給用戶丰榴，讓用戶發(fā)送加密后的密碼信息給交換機(jī)。交換機(jī)最后會(huì)將用戶名严望、加密后的密碼信息、加密字給radius服務(wù)器像吻。那么复隆，在發(fā)送用戶名的時(shí)候，交換機(jī)會(huì)根據(jù)Username format這個(gè)命令去確定給服務(wù)器發(fā)送用戶名信息的時(shí)候攜不攜帶域的信息挽拂。

上述兩種方法均是指定了域?yàn)閠est惭每，如果交換機(jī)未指定默認(rèn)域亏栈，即默認(rèn)域仍為system。那么我們在輸入user的時(shí)候會(huì)默認(rèn)帶上system域绒北，認(rèn)證不會(huì)通過。我們可以輸入user@test闷游，這樣我們自己指定了用戶名的域贴汪，也可以認(rèn)證通過。

3扳埂、Radius協(xié)議采用UDP作為其傳輸協(xié)議的好處？

這個(gè)問題涉及到TCP與UDP的區(qū)別瘤礁，回顧一下TCP與UDP的區(qū)別

1、基于連接和無連接的

2柜思、對系統(tǒng)資源的要求（TCP多、UDP少）

3酝蜒、開發(fā)程序難度（TCP復(fù)雜、UDP簡單）

4亡脑、基于流模式和數(shù)據(jù)報(bào)模式（tcp流堕澄、udp數(shù)據(jù)報(bào)霉咨，這個(gè)想理解的話可以百度將tcp流的發(fā)送和接收比喻成水池注水和放水的模式）

5、TCP不丟包且按順序發(fā)送途戒，UDP可能丟包且不保證時(shí)序

以上，我們再來分析radius協(xié)議為何采用udp作為傳輸層協(xié)議喷斋。首先radius服務(wù)器有主服務(wù)器和備份服務(wù)器地址，其次我們可以為其配置retry次數(shù)星爪。這兩者的作用是如果我們報(bào)文丟失了，我們擁有重傳機(jī)制顽腾，如果主服務(wù)器沒有響應(yīng)近零，我們可以向備份服務(wù)器發(fā)送數(shù)據(jù)報(bào)抄肖。所以我們允許丟包，使用udp也無所謂漓摩。我們的radius報(bào)文一般都是幾十字節(jié)到上百字節(jié)的長度，這些認(rèn)證報(bào)文簡短幌甘，且對實(shí)時(shí)性有要求痊项，不能讓用戶在認(rèn)證階段停留太長時(shí)間，所以我們采用UDP協(xié)議酥诽。當(dāng)一個(gè)radius服務(wù)器同時(shí)處理成百上千的用戶進(jìn)行認(rèn)證的時(shí)候，UDP協(xié)議可以簡化服務(wù)器端的操作肮帐，提高系統(tǒng)效率。

4训枢、PAP和CHAP認(rèn)證的區(qū)別，此處針對802.1X中的傳輸過程進(jìn)行分析

PAP認(rèn)證協(xié)議（PasswordAuthenticationProtocol,口令認(rèn)證協(xié)議）：客戶端將自己的用戶名和密碼發(fā)送給服務(wù)器恒界，服務(wù)器在數(shù)據(jù)庫中查找該用戶名和密碼并告知客戶端是否驗(yàn)證通過。

CHAP認(rèn)證協(xié)議（ChallengeHandshakeAuthenticationProtocol,質(zhì)詢握手認(rèn)證協(xié)議）：客戶端將用戶名發(fā)送給服務(wù)器十酣，服務(wù)器通過用戶名查找到密碼信息涩拙，用隨機(jī)生成的一個(gè)加密字對其進(jìn)行處理耸采，得到MD5值。并將加密字發(fā)給客戶端虾宇，客戶端通過該加密字同樣生成一個(gè)MD5值發(fā)送給服務(wù)器，服務(wù)器將兩者進(jìn)行比對并返回是否通過驗(yàn)證的結(jié)果嘱朽。

CHAP挑戰(zhàn)的安全性由此可見，整個(gè)過程中密碼都是不可見的燥翅，而PAP就談不上安全性了骑篙。

5森书、802.1X和PPPoE谎势、Web認(rèn)證之間的區(qū)別

802.1X功能在交換機(jī)和路由器上很常見，一般用在校園網(wǎng)脏榆；PPPoE一般用在家庭網(wǎng)關(guān)上，私人家里用的比較多须喂；web認(rèn)證一般用在企業(yè)網(wǎng)趁蕊；