最后，打開防火墻是必要的。缺省Radius認證服務器使用UDP 1812端口認證，UDP1813端口計費，應該開放UDP包的進出。

● CISCO路由器的設置

CISCO路由器是經典的RADIUS客戶端，在VPDN撥號系統中LNS作為二次認證客戶端。在clients.conf中定義客戶端IP地址和共享密鑰。對單網口的低級路由器來說，客戶端的IP地址就是網口IP。對于中高級路由器來說，路由器缺省使用第一個網口IP作為客戶端源IP，如果是不可路由的內網地址，則客戶端無法收到認證應答包。要指定IP，使用如下語句:

ip radius source-interface FastEthernet0/1

其中FastEthernet0/1的IP指定作為認證客戶端的源地址。一般做法是在VPDN-GROUP定義中使用source-ip 語句指定IP，不過重啟路由器后必須重新設置RADIUS服務器才能生效。

另一個關于CISCO的設置是使用多個認證服務器。中高檔路由器通常可支持不同的撥號接入。不同撥號接入使用不同的認證服務器。CISCO中使用不同的server-group實現。

aaa authorization network aaa-radius1 start-stop group radius1

aaa authorization network aaa-radius2 start-stop group radius2

也可根據需要定義authentication/accounting使用的server-group。

● 用戶物理綁定的實現

實現用戶物理綁定，特定用戶只能在特定的電話號碼或端口號上發起連接才能認證成功，可以大大提高認證安全性。在窄帶系統中，LAC在撥入接入服務器LAC進行一次認證時，就向RADIUS服務器提供主叫號碼，二次認證時該屬性就被提交給RADIUS服務器。如電話號碼為1234567，用戶撥號，請求中包含屬性Calling-Station-Id = "1234567"。為了實現主叫號碼綁定，首先在radiusd.conf配置文件中起用對主叫號碼的檢查，即checkval {}中的內容。在使用users文件認證時，在用戶名定義的同一行內加入Calling-Station-Id = "1234567"即可。使用MySQL認證時，在radcheck表中加入“Calling-Station-Id，”+=”,”1234567””這條記錄即可。

對于ADSL寬帶來說，不能使用電話號碼綁定。不同寬帶設備可提供不同的綁定方式。其實現要點也是必須在發出認證請求中包含其物理端口或其他物理信息，Radius服務器在字典定義該屬性，在users文件或MySQL中加入約束值即可。

總結

以上是生活随笔為你收集整理的redius mysql_采用Linux系统的Freeradius+MySQL实现RADIUS认证服务器的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。