🌺The Begin🌺点点关注，收藏不迷路🌺

摘要

RADIUS 和 TACACS+ 都是AAA 认证、授权、计费协议，主要用于网络设备集中登录管理（路由器、交换机、防火墙、无线 AC、堡垒机）。
简单来说：RADIUS 是工业标准、开源通用；TACACS+ 是思科私有、安全更强大。

本文用表格对比+通俗解释，帮你彻底分清两者，考试、面试、工程部署都能用。

---

一、基础概念

1. 什么是 AAA

AAA = 认证、授权、计费

• Authentication（认证）：你是谁（账号密码）
• Authorization（授权）：你能做什么（权限）
• Accounting（计费）：你做了什么（日志）

2. RADIUS

• 工业标准协议（开放通用）
• 基于 UDP 1812/1813
• 认证授权合一、计费分离
• 密码加密，命令明文

3. TACACS+

• 思科私有协议（Cisco专属）
• 基于 TCP 49
• 认证、授权、计费 完全分离
• 整个报文全部加密

---

二、RADIUS 和 TACACS+ 核心区别（表格必背）

对比项	RADIUS	TACACS+
协议归属	标准公开协议	Cisco 私有协议
传输层	UDP（不可靠）	TCP（可靠）
默认端口	1812(认证)/1813(计费)	49
AAA 架构	认证+授权合一，计费分开	认证、授权、计费完全分离
加密范围	仅密码加密	整个数据包全部加密
命令授权	不支持细粒度	支持命令级授权（每条命令都管控）
适用设备	多品牌设备通用	思科设备为主
安全性	中等	极高
主要用途	网络接入认证（WiFi、VPN）	设备管理、命令权限控制

---

三、关键区别详细解释

1. 协议标准

• RADIUS：通用标准，华为、H3C、思科、瞻博全都支持。
• TACACS+：思科专属，非思科设备基本不支持。

2. 传输层（UDP vs TCP）

• RADIUS 使用 UDP：快，但不可靠，可能丢包。
• TACACS+ 使用 TCP：稳定可靠，重传机制，适合设备管理。

3. 加密强度（最核心区别）

• RADIUS：只加密密码，命令明文传输，抓包可看。
• TACACS+：整个报文全加密，包括命令、权限、数据，最安全。

4. AAA 分离度

• RADIUS：认证授权绑在一起，无法单独控制。
• TACACS+：三者完全独立，可精细控制权限。

5. 命令授权

• RADIUS：只能控制登录，不能控制输入什么命令。
• TACACS+：可管控每一条命令（如禁止重启、禁止配置）。

---

四、工作原理简单说明

RADIUS 流程

设备 → 发送认证请求 → RADIUS 服务器 → 验证通过 → 登录成功
（只加密密码，命令不加密）

TACACS+ 流程

设备 → 加密全部数据 → TACACS+ 服务器 → 命令授权检查 → 允许执行
（全程加密，命令级控制）

---

五、典型应用场景

1. RADIUS 应用场景（最广泛）

1. WiFi 无线认证（最常用）
   员工连接企业无线，通过 RADIUS 验证身份。

2. VPN 远程登录认证
   远程办公 VPN 账号验证。

3. 宽带接入认证
   运营商宽带账号认证。

4. 多品牌设备统一认证
   混合品牌网络（华为+思科+H3C）。

2. TACACS+ 应用场景（思科环境）

1. 思科设备集中登录管理（核心用途）
   路由器、交换机、防火墙登录。

2. 命令级权限控制
   给不同工程师分配不同命令权限。

3. 高安全等级网络
   政府、金融、电力等高安全要求环境。

4. 命令审计日志
   记录每一条配置命令。

---

六、一句话总结区别

• RADIUS = 标准、通用、UDP、仅密码加密、适合无线/VPN接入
• TACACS+ = 思科私有、TCP、全加密、命令级管控、适合设备管理

口诀记忆：
无线 VPN 用 RADIUS，思科设备管理用 TACACS+。

---

七、关键点回顾

1. RADIUS：UDP、标准、密码加密、无线/VPN 认证
2. TACACS+：TCP、思科私有、全加密、命令授权、设备管理
3. 最大区别：加密范围、AAA分离、命令权限、传输协议
4. 应用：RADIUS 通用接入，TACACS+ 思科安全管理

🌺The End🌺点点关注，收藏不迷路🌺