radius 命令本身并不是一个标准的、独立的操作系统命令（如 ls, cd, ping），它通常指的是 RADIUS 协议 的实现工具或配置文件，RADIUS 是一种网络协议，用于对连接到网络服务的用户进行认证、授权和计费。

要理解 "radius 命令"，我们需要从以下几个层面来看：

RADIUS 协议是什么？（核心概念）

理解 RADIUS 是什么至关重要。

• 全称：Remote Authentication Dial-In User Service（远程认证拨号用户服务）。
• 目的：集中管理用户的网络访问权限，当用户（如员工、客户）尝试连接到网络（如 Wi-Fi、VPN、远程拨号）时，RADIUS 负责验证其身份，并决定其能访问哪些资源。
• 核心角色：
  1. NAS (Network Access Server / Network Access Service)：网络接入服务器，这是用户直接连接的设备，
     • 无线接入点
     • VPN 服务器
     • 网络交换机（用于 802.1X 认证）
     • DSL/电缆调制解调器
     • NAS 上的 "radius 命令"：通常指配置 NAS 将用户认证请求转发给 RADIUS 服务器的命令。
  2. RADIUS Server：RADIUS 服务器，这是中央认证大脑，它：
     • 接收来自 NAS 的认证请求。
     • 查询用户数据库（如 Active Directory、本地文件、数据库）验证用户名和密码。
     • 将认证结果（成功/失败）返回给 NAS。
  3. RADIUS Client：其实就是 NAS，NAS 是 RADIUS 服务器的客户端。
  4. RADIUS Accounting：计费功能，NAS 可以向 RADIUS 服务器发送用户的在线时长、流量等信息，用于计费或审计。

不同场景下的 "radius 命令"

radius 命令的含义取决于你正在使用的设备或软件。

在 NAS 设备上配置 RADIUS 客户端（最常见）

这是网络管理员最常遇到的场景,你需要配置路由器、交换机或无线控制器，让它信任并使用 RADIUS 服务器来认证用户。

示例：思科 交换机配置

在思科的 IOS 系统中，你会使用一系列命令来配置 RADIUS，而不是一个单一的 radius 命令。

# 进入全局配置模式
Switch> enable
Switch# configure terminal
# 1. 告诉交换机 RADIUS 服务器的 IP 地址和密钥（共享密钥必须与服务器端完全一致）
Switch(config)# radius server SERVER_NAME
Switch(config-radius-server)# address ipv4 192.168.1.100 auth-port 1812 acct-port 1813
Switch(config-radius-server)# key YOUR_SHARED_SECRET_KEY
# 2. 启用全局的 RADIUS 认证功能
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default group radius
# 3. （可选）启用计费功能
Switch(config)# aaa accounting exec default start-stop group radius
# 4. 为特定的接口或服务启用 802.1X 认证
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x pae authenticator

这里的 radius server 就是最核心的 "radius 命令"。

其他厂商示例：

• 华为/华三 (H3C)：命令类似，如 radius scheme <scheme_name>, primary authentication <ip_address>。
• Linux (FreeRADIUS 作为客户端)：通常编辑配置文件 /etc/raddb/client.conf 或使用 radtest 命令进行测试。

在 RADIUS 服务器上管理用户和服务

如果你安装了 RADIUS 服务器软件（如 FreeRADIUS），"radius 命令" 指的是用于管理该服务器和测试其功能的命令行工具。

radtest - 测试 RADIUS 认证

这是最常用的调试和测试命令,它会模拟一个 NAS 发送一个认证请求给 RADIUS 服务器。

# 语法
radtest <username> <password> <radius_server_ip> <nas_port_number> <shared_secret>
# 示例
# 用户名: testuser, 密码: testpass, RADIUS服务器IP: 192.168.1.100, NAS端口: 0, 共享密钥: testing123
radtest testuser testpass 192.168.1.100 0 testing123

如果配置正确,你会看到服务器返回 Access-Accept（认证成功）或 Access-Reject（认证失败）。

radclient - 另一个测试工具

radclient 是更灵活、更强大的命令行 RADIUS 客户端，通常用于更复杂的测试或脚本自动化。

# 语法
radclient <server[:port]> <secret> <request_file>
# 示例 (从一个文件读取请求)
radclient 192.168.1.100:1812 testing123 auth_req.txt

radiusd - FreeRADIUS 服务器守护进程

这是启动、停止和重启 RADIUS 服务的命令。

# 启动服务
sudo systemctl start radiusd
# 停止服务
sudo systemctl stop radiusd
# 重启服务
sudo systemctl restart radiusd
# 查看服务状态
sudo systemctl status radiusd

radwatch - 监控日志

radwatch 是一个用于监控 FreeRADIUS 日志文件变化的工具，方便实时查看认证请求和响应。

sudo radwatch

在 Linux 系统上作为客户端使用

在 Linux 桌面或服务器上，如果你想连接到一个需要 RADIUS 认证的 Wi-Fi 网络，你可能会使用 wpa_supplicant 工具，其配置文件中会包含 RADIUS 相关的设置。

/etc/wpa_supplicant/wpa_supplicant.conf (部分示例)

network={
    ssid="MySecureWiFi"
    key_mgmt=WPA-EAP
    eap=PEAP
    identity="your_username"
    password="your_password"
    phase2="auth=MSCHAPV2"
    # RADIUS 服务器的信息（可选，通常由 NAS 代理）
    # eap_radius="192.168.1.100"
}

常见问题排查

当 RADIUS 不工作时，radius 相关的命令是排查问题的利器：

1. 检查连通性：确保 NAS 能访问 RADIUS 服务器的认证端口（默认 1812）和计费端口（默认 1813）。

   # 在 NAS 上执行
   telnet <radius_server_ip> 1812
   # 或使用 nc (netcat)
   nc -zv <radius_server_ip> 1812

   如果不通,检查防火墙和路由。

2. 检查共享密钥：这是最常见的问题，确保 NAS 和 RADIUS 服务器上的共享密钥完全一致，包括大小写和空格。

3. 使用 radtest 测试：在 RADIUS 服务器上，使用 radtest 直接测试认证。radtest 成功但 NAS 失败，说明问题出在 NAS 的配置上（如请求包格式错误）。radtest 也失败，说明问题出在 RADIUS 服务器端（如用户数据库、证书等）。

4. 查看 RADIUS 服务器日志：这是诊断问题的金标准，日志会详细记录收到的请求、处理过程和最终结果。

   • FreeRADIUS：日志通常在 /var/log/freeradius/radius.log 或 /var/log/freeradius/radius.log.1，用 tail -f 实时查看。

"radius 命令" 不是单一的命令，而是一个围绕 RADIUS 协议的、用于配置、测试和管理网络认证的命令集合，你需要根据你的具体角色（是配置 NAS 还是管理服务器）来选择合适的工具。