RFC 2865: RADIUS - AAA pro podnikové sítě

Ve světe podnikových sítí, zejména pokud se připravujete na certifikace jako CCNA nebo CCNP, se určitě setkáte s termínem RADIUS – Remote Authentication Dial-In User Service. Tento protokol, definovaný v RFC 2865, je základem AAA (Autentifikace, Autorizace, Účtování) v bezdrátových sítích, VPN i přístupu k WAN. V této podrobné příručce probereme, jak RADIUS funguje, jak vypadá komunikace mezi klientem, serverem a NAS (Network Access Server), co se posílá v atributech a jak to efektivně nakonfigurovat v Cisco prostředí.

Co je RFC 2865 a proč je tak důležitý?

RFC 2865 (červen 2000) specifikuje RADIUS protokol pro autentifikaci a autorizaci uživatelů, stejně jako účtování („accounting“). Umožňuje centrální správu přístupu v podnikových sítích – bezdrátových i kabelových, VPN či přímých připojení. Princip je jasný a bezpečný: NAS (např. Wi‑Fi controller, VPN gateway) přepošle přihlašovací údaje uživatele RADIUS serveru (např. Cisco ISE), který odesílá odpověď Access‑Accept, Reject nebo Challenge.

Jak funguje RADIUS – výměna paketů

Komunikace probíhá takto:

Access‑Request – NAS pošle požadavek (uživatelské jméno, heslo, info o klientovi).
Access‑Accept – server schválí přístup a zasílá autorizační atributy.
Access‑Reject – server zamítne přístup, často s vysvětlením (např. špatné heslo).
Access‑Challenge – server žádá další údaje (např. OTP code).

Example RADIUS exchange:
NAS → RADIUS: Access‑Request (User‑Name=john, User‑Password=…)
RADIUS → NAS: Access‑Accept (Tunnel‑Type=VLAN, Tunnel‑Private‑Group‑ID=10)

RADIUS atributy – co se posílá

RADIUS výsledky tvoří balíček atributů typu AVP (Attribute‑Value Pair):

User‑Name, User‑Password
NAS‑IP‑Address nebo NAS‑Identifier
Service‑Type, Framed‑Protocol
Tunnel‑Type, Tunnel‑Medium‑Type (užitečné pro VLAN assignment)
Acct‑Status‑Type, Acct‑Session‑Time (pro accounting pakety, viz RFC 2866)

Například obdržíte:

Access‑Accept:
  Tunnel‑Type = VLAN
  Tunnel‑Private‑Group‑ID = „10“

To znamená, že NAS přidělí klientovi VLAN 10.

Bezpečnost – sdílený tajný klíč a ochrana hesel

RADIUS běží nad UDP porty 1812 (auth) a 1813 (accounting). Bezpečnost zajišťuje sdílený tajný klíč mezi NAS a serverem – všechna hesla se posílají zakódovaná MD5 s tímto klíčem. Neexistuje ale šifrování kompletního paketu – to můžete vylepšit pomocí IPsec tunelů.

Networking Vás výzýva!

Chcete zažiariť? Za 5 dní nadobudnete skvelé základy administrácie TCP/IP sietí, ktoré vám dajú networking skills na celý život. Stačí konať a prijať Networking výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Ovládnite VLANy a Switche

Počítač môžete využiť aj inak ako na hry a zábavu. Poďte zarábať ako králi. Iba týždeň Vám stačí a máš skvelé základy TCP/IP networkingu nato, aby ste si napr. našli job ako jr. Networking engineer. Stačí prijať Networking výzvu

Prvá hodina zadarmo!

Konfigurace RADIUS v Cisco CLI

Pro Wi‑Fi controller nebo VPN gateway:

radius server ISE
 address ipv4 10.0.0.5 auth-port 1812 acct-port 1813
 key SuperSecretKey

aaa group server radius RADIUS-GRP
 server name ISE

aaa authentication login WIFI-RADIUS group RADIUS-GRP
aaa authorization network WIFI-RADIUS group RADIUS-GRP

Pro zjištění stavu přihlášení:

show radius statistics
show authentication sessions
debug radius authentication

Účtování – co je zaznamenáno

RADIUS accounting pomocí RFC 2866 posílá informace o započaté a ukončené relaci. Typické atributy:

Acct‑Status‑Type: Start, Stop, Interim‑Update
Acct‑Session‑Time, Acct‑Input‑Packets/Bytes
User‑Name, NAS‑IP‑Address, Framed‑IP‑Address

Pomocí těchto informací můžete fakturovat, analyzovat zatížení nebo detekovat neobvyklé chování.

Tipy pro laboratoře a praktické nasazení

Simulujte 802.1X autentifikaci s nasazením radius, lab s Cisco ISE.
Sledujte Access‑Request / Access‑Accept v Wiresharku – zkontrolujte atributy.
Nastavte VLAN assignment a ověřte, že klient získá správnou VLAN.
Vyzkoušejte accounting – stop/start sesí a analyzujte data v ISE nebo log serveru.

FAQ – nejčastější otázky

Je RADIUS bezpečný?
Částečně – hesla jsou MD5-heslována, ale paket jako celek není šifrován. Povoluje se IPsec pro ochranu citlivých dat.
Mohu použít RADIUS pro certifikáty?
Ano – EAP-TLS přenáší certifikáty a používá RADIUS back-end.
Co je EAP?
Extensible Authentication Protocol – vrstva nad RADIUS, umožňuje různé metody (PEAP, TLS…)
Proč jsou VLAN atributy v RADIUS?
Aby NAS dynamicky přiřadil klienta do správné bezpečnostní VLAN.
Co dělat při selhání RADIUS serveru?
Připravte záložní radius server a timeout/fallover v konfiguraci.

Top 5 zajímavostí o RADIUS (RFC 2865)

RADIUS — jeden z prvních AAA protokolů – pochází z 1990.
Rozšíření EAP podporuje certifikáty – narozdíl od hesel.
VLAN assignment pomocí RADIUS umožňuje dynamickou segmentaci přístupů.
SDílený tajný klíč chrání hesla – ale ne celý paket.
Accounting je klíčové pro audit a fakturaci – zejména u Wi‑Fi hotspotů a VPN.

Závěr

RFC 2865 – RADIUS je nepostradatelný protokol pro AAA služby ve Wi‑Fi, VPN i podnikových sítích. Pokud zvládnete autentifikaci, autorizaci, accounting i konfiguraci v Cisco CLI (ISE nebo FreeRADIUS), budete připraveni na reálná prostředí a certifikace jako CCNA/CCNP. Praktické laby a debug výstupy jsou nejlepší cestou k pochopení toho, co se děje „pod kapotou“ vaší sítě.

Kurz NA0 - Administrace a návrh LAN/WAN TCP/IP sítí - základní koncepty

Kurz NA1 - Základy administrace sítí LAN/WAN a směrování v TCP/IP sítích

Jak začít programovat?

Úvod do programování pro každého bez předchozích znalostí.

Stáhněte si náš ebook teď výjimečně zdarma!!!

STÁHNOUT TEĎ

Viac informacií preberáme na kurze:

Kurz NPS - Specialista poskytovatele síťových služeb

Marián Knězek