通过RADIUS服务器可以实现对远端用户访问目的网络时进行认证和计费服务，常用于外网接入内网时进行认证、远程登录设备时进行认证、无线用户接入运营商网络时进行认证和计费等多种应用场合。同时，RADIUS服务器还可以远端集中部署，便于统一管理和维护。

组网需求

如图1所示，net1域内的用户通过Internet访问目的资源网络Network A，USG做为Network A的网络接入服务器使用，USG远端连接到两台主备RADIUS服务器。要求net1域内的用户通过RADIUS服务器的认证后才能访问目的资源网络Network A，同时RADIUS服务器要对net1域内的用户进行计费。

配置思路

1在USG上配置接口、路由等数据，使USG能够和主备RADIUS服务器、Network A、以及net1域内的用户互通。

2配置RADIUS服务器模板。

3配置认证方案123、计费方案123 。

4配置net1域，在域下采用认证方案123、计费方案123、RADIUS模板temp。

5配置主备RADIUS服务器。

操作步骤

配置USG。

1在USG上配置接口、路由等数据，使USG能够和主备RADIUS服务器、Network A、以及net1域内的用户互通，具体配置过程略。

2配置RADIUS服务器模板。

# 创建RADIUS服务器模板temp。

<USG> system-view

[USG] radius-server template temp

# 配置主用RADIUS认证、计费服务器的IP地址和端口。

[USG-radius-temp] radius-server authentication 11.1.1.1 1645

[USG-radius-temp] radius-server accounting 11.1.1.1 1646

# 配置备用RADIUS认证、计费服务器的IP地址和端口。

[USG-radius-temp] radius-server authentication 22.1.1.1 1645 secondary

[USG-radius-temp] radius-server accounting 22.1.1.1 1646 secondary

说明： 常用的认证/计费服务器的端口号为:1645/1646和1812/1813，本例以1645/1646为例进行介绍，实际应用中要和RADIUS服务器端的配置保持一致。

# 配置RADIUS服务器密钥。

[USG-radius-temp] radius-server shared-key hello

# 配置RADIUS服务器的用户名格式。

[USG-radius-temp] radius-server user-name domain-included

说明： 用户名通常采用“username@domain”格式。如果RADIUS服务器不接受带域名的用户名，需要配置将用户名的域名去除后再发送给RADIUS服务器。 执行undo radius-server user-name domain-included命令后，USG向RADIUS服务器发送认证、授权请求时，会自动将用户名中的域名都去掉。

# 配置RADIUS服务器的协议版本。

[USG-radius-temp] radius-server type standard

[USG-radius-temp] quit

说明： 缺省情况下，设备端采用的RADIUS服务器协议版本为standard。当RADIUS服务器端采用的协议版本为Portal RADIUS（也称为RADIUS+）时，则此处应配置为portal。

只有当该RADIUS模板没有用户使用时，才能改变此配置。

3 配置认证方案、授权方案和计费方案 。

# 配置认证方案123，认证方法为RADIUS。

[USG] aaa

[USG-aaa] authentication-scheme 123

[USG-authen-123] authentication-mode radius

[USG-authen-123] quit

# 配置计费方案123，计费方法为RADIUS。

[USG-aaa] accounting-scheme 123

[USG-accounting-123] accounting-mode radius

[USG-accounting-123] quit

4 配置net1域，在域下采用认证方案123、计费方案123、RADIUS模板temp。

说明： 如果用户名不带域名，则采用缺省的default域即可；如果用户名带域名，则需要创建对应的域。

[USG-aaa] domain net1

[USG-aaa-domain-net1] authentication-scheme 123

[USG-aaa-domain-net1] accounting-scheme 123

[USG-aaa-domain-net1] radius-server temp

[USG-aaa-domain-net1] quit

[USG-aaa] quit

配置主备RADIUS服务器。

说明： 本例仅以Shiva Access Manager服务器为例进行介绍，实际应用中RADIUS服务器的详细配置请参考对应RADIUS服务器的相关文档。

在PC机上安装Shiva Access Manager软件（安装步骤略）。

单击“开始 > 程序 > Shiva Access Manager > Shiva Access Manager”，启动Shiva Access Manager软件。

在弹出的对话框中输入用户名和密码。用户名系统默认为supermanager，密码为空。界面如图2所示。

图2 登录Shiva Access Manager服务器

单击“Login”，在弹出的对话框中单击“Start Console Now”，界面如图3所示。

图3 启动Shiva Access Manager

在弹出的对话框中输入用户名和密码。用户名系统默认为supermanager，密码为空。界面如图4所示。

图4 登录Shiva Access Manager Console

单击“Login”，进入“Shiva Access Manager Console”界面。界面如图5所示。

图5 Shiva Access Manager Console界面

单击工具栏中的“”。在弹出的“Encryption Configuration”对话框中输入NAS地址和密钥，界面如图6所示。NAS地址为USG与RADIUS服务器通信的接口IP地址，密钥为USG端设置的共享密钥。

图6 加密设置

单击“Add”，在NAS list区域框中显示已经添加的NAS Address，界面如图7所示。

图7 加密设置成功

单击“Exit”。

单击工具栏中的“”。在弹出的“General Options”对话框中输入Authentication UDP Port和Accouting UDP Port，界面如图8所示。

图8 设置RADIUS服务器端口

单击工具栏中的“”。在弹出的“Manage Users”对话框中，选择“General Attributes”页签，输入以下参数，界面如图9所示。其中“Username”和“Password”为客户端接入的用户名和密码。“Username”为域名接入用户，域名与USG端设置的域名相同。

注意： 不能选择“Disable Accout”前的复选框，否则配置不成功。

图9 配置用户

单击“Add User”，添加用户成功。

结果验证

在USG上执行display radius-server configuration template命令后，可以观察到该RADIUS服务器模板的配置与要求一致。

<USG> display radius-server configuration template temp

-------------------------------------------------------------------

Server-template-name : temp

Protocol-version : standard

Traffic-unit : B

Shared-secret-key : %$%$i%Ni2'0_|Rey(*=`o`T<oE<3%$%$

Group-filter : class

Timeout-interval(in second) : 5

Primary-authentication-server : 11.1.1.1:1645: LoopBack-1

Primary-accounting-server : 11.1.1.1:1646: LoopBack-1

Secondary-authentication-server : 22.1.1.1:1645: LoopBack-1

Secondary-accounting-server : 22.1.1.1:1646: LoopBack-1

Retransmission : 3

Domain-included : YES

DM-enabled : NO

-------------------------------------------------------------------