远程登录审计原理：

远程登录认证服务器主要完成的功能是验证、授权和记账的功能。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，并且对正在使用网络资源的用户进行记账。具体为：

　　1、 验证(Authentication): 验证用户是否可以获得访问权限；

　　2、 授权(Authorization) : 授权用户可以使用哪些服务；

　　3、 记账(Accounting) : 记录用户使用网络资源的情况。

一、远程登录认证服务器对边界路由器远程登陆认证拓扑图:

    HT-8000远程登录认证服务器针对远程登陆（支持TELNET 和SHH两种方式）路由器和交换机时预先对“登陆者”进行身份验证，成功后予以放行并进行记录的认证产品，产品支持双机热备，支持登录ID、登陆用户名及密码与 登录电脑IP 的绑定，支持登录日志记录，支持接入路由器密码信息记录与更新，可以满足交通、金融、电力等政府行业对日益庞大的路由器、交换机的管理和维护工作，也可以定期对核心路由器和交换机密码进行更新，确保国家核心部门的网络安全工作。

　　如上图，HT-8000远程登录认证服务器可以连接在内网的任何一台交换机和路由器上

完成部署。当PC机远程登录登录路由器（CISCO、华为、中兴等均可）时输入登录用户

名（如 cisco）和对应的口令（如cisco），远程登录认证服务器将本次输入的用户名和密

码和远程登录认证服务器系统内数据库的用户名密码进行比对，当用户名和口令一致时，

远程登录认证服务器验证通过并允许PC机登录路由器或交换机并进行记录；当用户名和口

令与远程登录认证服务器数据库数据不一致时，远程登录认证服务器拒绝PC本次登陆并进

行记录，有多个管理员时，可以为不同的管理员设置不同的用户名，便于管理和历史登录

记录查询。

1、必须保证Telnet Server Enable，Configure-user count也根据需要进行配置；

2、在HT-8000服务器上创建帐号口令后，使用该帐号可以telnet或SSH到路由器；

3、配置user-name-format without-domain为发送帐号时不带域名方式；

４、配置accounting optional命令为计费可选，即计费不成功不会影响客户端上下线行为。

远程登录认证服务器

远程登录服务器（server）是一个能够处理用户访问请求的服务器程序。提供验证、授权以及帐户服务。服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。

RADIUS协议

协议概述

RADIUS（Remote Authentication Dial In User Service）协议是在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或网络设备访问点。RADIUS服务器通常是在UNIX或Windows2000服务器上运行的一个监护程序。RADIUS协议的认证端口是1812 ，计费端口是1813。