多個(gè)Reply-Message。一個(gè)Echo屬性應(yīng)該通過(guò)菜單的響應(yīng)來(lái)控制響應(yīng)行為。用State屬性
	來(lái)明了Challenge序列也是一種標(biāo)準(zhǔn)行為。
	
	另一種實(shí)現(xiàn)是用兩個(gè)廠商定義的屬性（VSA-Menu-Item, VSA-Menu-Selector）來(lái)傳遞
	這些信息。這種實(shí)現(xiàn)是廠商特有的。
	
5.4	虛擬用戶

	一種客戶端將RADIUS服務(wù)器的能力優(yōu)勢(shì)，將它用做一臺(tái)遠(yuǎn)端的數(shù)據(jù)庫(kù)服務(wù)器。通過(guò)用一些
	周知的、特定的用戶名和密碼，NAS可以從服務(wù)器獲取一些特定的信息：靜態(tài)IP路由、靜態(tài)
	IPX路由、或者是如期等。
	
	這叫做虛擬用戶，因?yàn)樗鼈兪鞘褂靡粋€(gè)構(gòu)造的用戶名，獲取非認(rèn)證的其它信息。
	
	另一種客戶端也使用虛擬客戶技術(shù)來(lái)解決未知的Filter-ID的值。將一個(gè)Access-Request
	報(bào)文－－－－將Filter-ID設(shè)為用戶名，用周知的密碼，設(shè)置Service-Type為VSE-Authorization-Only
	－－－發(fā)送到RADIUS服務(wù)器。響應(yīng)報(bào)文中Service-Type值必需相同，否則會(huì)被丟棄。
	響應(yīng)報(bào)文中必需包含IP-Filter屬性（該屬性是一個(gè)VSA屬性），該屬性定義了過(guò)濾法。
	
	必需注意的如果沒(méi)有將一個(gè)特定的或者是可操作的有效的Service-Type綁定到虛擬用戶的profile,
	則虛擬用戶的profile會(huì)有安全問(wèn)題。客戶端必需測(cè)試這個(gè)返回值，以防止普通的撥號(hào)用戶
	通過(guò)這個(gè)profile接入。
	
6.	資源管理
	
	為了提供服務(wù)，認(rèn)證會(huì)話可能還需要分配其它的動(dòng)態(tài)資源。最典型的就是IP地址。這種
	分配可以在一個(gè)獨(dú)立于RADIUS服務(wù)器的層次上被延遲，直到有需要或者類似的需求為止。
	可能使用其它的一些消息去分配或者釋放這些資源。RADIUS服務(wù)器可以代理將這個(gè)需求
	轉(zhuǎn)發(fā)給其它的服務(wù)器。
	
	示例：一些服務(wù)器能分配本地的地址給NAS或者是使用外部的地址服務(wù)器。另外一些服務(wù)
	器有本地的地址池，通過(guò)選擇分配一個(gè)地址，填入Framed-IP-Address屬性。

6.1	被管理的資源

	被管理的資源包括：IP地址，并行登陸，撥號(hào)端口分配策略，隧道限定和均衡負(fù)載
	（load distribution）。
	
	有幾種不同的實(shí)現(xiàn)技術(shù)：
	
	    - Explicit request/free resource requests
	    - Monitor usage with deamons watching the state
	    - Explicit messages to a state deamon
	    - Monitor Accounting messages for state changes
	    
6.2	資源管理消息
	
	用于資源管理的消息：

	    - IP Address Allocate
	    - IP Address Release
	
	    - Resource Request
	    - Resource Response
	    - Resource Free Request
	    - Resource Free Response
	    - Resource Reclaim Request
	    - NAS Reboot Request/Response
	    
	這些消息用于為NAS從一個(gè)集中的服務(wù)器分配/釋放資源。這些方案允許業(yè)務(wù)提供者
	（service provider）能有比那些自動(dòng)的LAN業(yè)務(wù)（它們是沒(méi)有輸入策略或者管理的）
	有著更好的管理。
	
6.3	并行登陸（Concurrent Login）

	遵照RADIUS協(xié)議的服務(wù)器是沒(méi)有狀態(tài)的。這就是說(shuō)，服務(wù)器不知道每個(gè)會(huì)話的狀態(tài)。
	但是，對(duì)于很多服務(wù)提供商來(lái)說(shuō)，它們有必要跟蹤一個(gè)用戶打開(kāi)了多少個(gè)會(huì)話，這樣
	可以禁止一些非法接入。
	
	
	在RADIUS環(huán)境中有幾種不同的技術(shù)可以實(shí)現(xiàn)限制接入數(shù)。一些廠商已經(jīng)開(kāi)發(fā)出一些
	工具，這些工具能利用SNMP協(xié)議或者是其它的方法檢查會(huì)話的狀態(tài)。
	
	而另一些廠商則是通過(guò)分離接入或者是記賬請(qǐng)求中的狀態(tài)信息來(lái)監(jiān)視RADIUS的接入和
	記賬消息。這些監(jiān)視沒(méi)有直接查詢NAS可靠，但是它較少的依賴于特定的廠商。倘若它
	發(fā)送所有的流到同一個(gè)服務(wù)器，那它能與任何RADIUS NAS工作。
	
	目前使用的幾種方法：
	
	    - SNMP commands
	    - Telnet monitor deamon
	    - Accounting monitor
	
6.4	授權(quán)修改
	
	如果需要實(shí)現(xiàn)動(dòng)態(tài)修改一個(gè)在線的會(huì)話，例如修改過(guò)濾器（filter）或者是超時(shí)切斷，
	那么廠商至少還需要一個(gè)類似于RADIUS的服務(wù)器，該服務(wù)器接收網(wǎng)絡(luò)上的應(yīng)用程序
	發(fā)出的消息，匹配會(huì)話，然后執(zhí)行相應(yīng)的動(dòng)作。
	
	從服務(wù)器發(fā)給NAS的消息：
	    - Change Filter Request
	    - Change Filter Ack / Nak
	    - Disconnect Request
	    - Disconnect Response

	過(guò)濾器通過(guò)限制用戶發(fā)送報(bào)文的系統(tǒng)和協(xié)議來(lái)限制用戶的接入。通過(guò)在一個(gè)授權(quán)服務(wù)器
	上完成一些注冊(cè)，業(yè)務(wù)提供者可以移去這些限制，或者是掐斷一個(gè)用戶。
	
7.	策略服務(wù)
	
	一些廠商通過(guò)把RADIUS作為控制協(xié)議，實(shí)現(xiàn)了策略服務(wù)器。	兩個(gè)明顯的策略管理者作為
	一個(gè)RADIUS代理過(guò)濾器，使用RADIUS消息，拒絕那些超出了當(dāng)前策略限制的接入。
	
	一種實(shí)現(xiàn)實(shí)現(xiàn)就象一個(gè)RADIUS代理服務(wù)器，但是通過(guò)一個(gè)策略進(jìn)程管理下一步的決定。最
	典型的就是當(dāng)一個(gè)呼叫到達(dá)時(shí)，NAS在發(fā)出認(rèn)證消息前發(fā)出一個(gè)其它的消息（例如想在最新
	的草案中的Service-Type = CallCheck )。該消息只在用戶名域包含呼叫號(hào)的信息。服
	務(wù)器收到這個(gè)Access-Request消息后，通過(guò)它所知道的網(wǎng)絡(luò)狀態(tài)和預(yù)備的策略處理該報(bào)文。
	
	接收這個(gè)呼叫后，一個(gè)Access-Accept報(bào)文被返回給系統(tǒng)，同時(shí)還包含一些動(dòng)態(tài)的策略信息
	以及特定的虛擬POP缺省參數(shù)（Virtual POP specific default parameters）。當(dāng)一
	個(gè)真正的ppp認(rèn)證消息到達(dá)后，代理將該報(bào)文轉(zhuǎn)發(fā)給RADIUS服務(wù)器。這個(gè)過(guò)程可以看做是
	一個(gè)認(rèn)證預(yù)處理過(guò)程。它也可以處理沒(méi)有這種預(yù)處理的接入請(qǐng)求，而用用戶名域獲得它想要
	獲得的用于策略評(píng)估的信息。
	
	其它的實(shí)現(xiàn)也有類似的操作。不同的是他不是用預(yù)認(rèn)證消息，而是在Access-Request中使用
	VSA。
	
8.	記賬擴(kuò)展

	通常記賬只記錄會(huì)話的開(kāi)始和結(jié)束，這個(gè)感覺(jué)挺煩的。當(dāng)相關(guān)操作發(fā)生時(shí)，為了給出一個(gè)更好的
	描述而額外上報(bào)一些其它的信息是很容易的事。
	
8.1	審核/行為（Auditing/Activity）
	
	    - Call or Modem Starts, Stops
	    - Tunnel Starts, Stops
	    - Tunnel Link Starts & Stops
	    - Admin changes
	
	如果一個(gè)狀態(tài)服務(wù)器監(jiān)視上面這些事件，那它可以被用于收集一個(gè)用戶/會(huì)話的網(wǎng)絡(luò)使用信息。
	與向后跟蹤IP地址流相比，一個(gè)特定用戶進(jìn)入網(wǎng)絡(luò)的信息與網(wǎng)絡(luò)業(yè)務(wù)管理更相關(guān)。通過(guò)一定
	范圍內(nèi)的NAS收集的關(guān)于使用端口的有效信息能使得業(yè)務(wù)提供者能很快的發(fā)現(xiàn)有問(wèn)題的區(qū)域
	或者是用戶。
	
	同樣，對(duì)于業(yè)務(wù)提供者來(lái)說(shuō)，關(guān)于用戶呼叫的成功、失敗、質(zhì)量的信息同樣很重要。
	
	擴(kuò)展RADIUS記賬很容易，但奇怪的是很多實(shí)現(xiàn)都沒(méi)有關(guān)于這個(gè)方面的內(nèi)容。
	
9.	結(jié)論

	實(shí)際中，RADIUS服務(wù)器的軟件實(shí)現(xiàn)變得相當(dāng)復(fù)雜。他們經(jīng)常作為一個(gè)中間人將認(rèn)證或授權(quán)
	信息轉(zhuǎn)到其它的授權(quán)處或者是某個(gè)中心。為了實(shí)現(xiàn)這種解決方案，通常將不同的RADIUS
	協(xié)議組合在一起使用。
	
	一些解決方案能被一些潛在的更好的業(yè)務(wù)替代。
	
	對(duì)實(shí)現(xiàn)者來(lái)說(shuō)，這意味者RADIUS與RFC的描述變得更不相關(guān)了。很多增加的特性需要
	匹配客戶端和服務(wù)器關(guān)于消息的處理。如果沒(méi)有標(biāo)準(zhǔn)，我們?cè)谠擃I(lǐng)域不能協(xié)同工作，
	則更多的精力花費(fèi)在相互作用上。
	
	無(wú)論如何，該文檔不是一個(gè)完全的調(diào)查。它只是我寫(xiě)這篇文檔時(shí)所知道的一些典型
	應(yīng)用摘要。感謝那些提供關(guān)于一些實(shí)踐和細(xì)節(jié)的材料的用戶和廠商。如果你有什么參
	考材料能提供的話，我也感激不盡。
	
10.	安全考慮

	略
	
11.	實(shí)現(xiàn)文檔
	
	下面的材料可以從各自的所有者獲得。很多列表在制造廠商的站點(diǎn)上就能找到。
	
11.1	客戶端
	
	   - 3Com(USR) Total Control Hub
	   - Ericsson(ACC) Tigris
	           draft-ilgun-radius-accvsa-01.txt, Dec 1998
	   - Lucent(Ascend) MAX TNT
	   - Lucent(Livingston) Portmaster
	   - Nortel(Aptis) CVX 1800
	   - Nortel(Bay Networks) Versalar 5399/8000 Remote Access Controller
	   - Intel(Shiva)

11.2	服務(wù)器

	   - Ericsson(ACC) Virtual Port Server Manager
	   - Funk Steel-Belted RADIUS
	   - Intel(Shiva) Access Manager
	   - Lucent(Ascend) Access Control
	   - Lucent(Ascend) NavisAccess
	   - Lucent(Ascend) Modified Livingston 1.16
	   - Lucent(Livingston) V2.01
	   - Lucent(Livingston) ABM
	   - Lucent Port Authority
	   - MERIT AAA Servers
	   - Nortel(Bay Networks) BaySecure Access Control
	   - Nortel Preside Radius
	   - Nortel CVX Policy Manager

12	參考材料

	   [1]  Rigney, C., Rubens, A., Simpson, W. and S. Willens, "Remote
	        Authentication Dial In User Service (RADIUS)", RFC 2138, April
	        1997.
	
	   [2]  Rigney, C., "RADIUS Accounting", RFC 2139, April 1997.
	
	   [3]  Rigney, C., Willens, S., Ruebens, A. and W. Simpson, "Remote
	        Authentication Dial In User Service (RADIUS)", RFC 2865, June
	        2000.
	
	   [4]  Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
	
	   [5]  Rigney, C., Willats, W. and P. Calhoun, "RADIUS Extensions", RFC
	        2869, June 2000.
	
	   [6]  Zorn, G., Leifer, D., Rubens, A., Shriver, J., Holdrege, M. and
	        I. Goyret, "RADIUS Attributes for Tunnel Protocol Support", RFC
	        2868, June 2000.
	
	   [7]  Zorn, G., Aboba, B. and D. Mitton, "RADIUS Accounting
	        Modifications for Tunnel Protocol Support", RFC 2867, June 2000.
	
	   [8]  Aboba, B. and G. Zorn, "Implementation of L2TP Compulsory
	        Tunneling via RADIUS", RFC 2809, April 2000.
	
	   [9]  Zorn, G., "Microsoft Vendor-specific RADIUS Attributes", RFC
	        2548, March 1999.
	
	   [10] Ilgun, K., "RADIUS Vendor Specific Attributes for ACC/Ericsson
	        Datacom Access", Work in Progress.
	
13.  Author's Address

   David Mitton
   Nortel Networks
   880 Technology Park Drive
   Billerica, MA 01821

   Phone: 978-288-4570
   EMail: dmitton@nortelnetworks.com

14.  Full Copyright Statement

   Copyright (C) The Internet Society (2000).  All Rights Reserved.

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

Acknowledgement

   Funding for the RFC Editor function is currently provided by the
   Internet Society.