由于 RADIUS 协议合并了认证和授权的过程，因此当采用 RADIUS 作为认证服务器时，认证接受报文中也包含了用户的授权信息；

RADIUS Server 授权 VLAN：
1）用户认证成功后，认证服务器将指定 VLAN 授权给用户。此时，设备会将用户所属的 VLAN 修改为授权的 VLAN，授权的 VLAN 并不改变接口的配置；
2）但是，授权的 VLAN 优先级高于用户配置的 VLAN，即用户认证成功后生效的 VLAN 是授权的 VLAN，用户配置的 VLAN 在用户下线后生效；

RADIUS Server 授权 ACL 有 2 种方法：

• 授权静态 ACL：RADIUS Server 通过 RADIUS 标准属性 Filter-Id 将 ACL ID 授权给用户。为使授权的 ACL 生效，需要提前在设备上配置相应的 ACL 及规则；
• 授权动态 ACL：RADIUS Server 通过华为 RADIUS 扩展属性 HW-Data-Filter 将 ACL ID 及其 ACL 规则授权给用户。ACL ID 及其 ACL 规则需要在 RADIUS Server 上配置，设备上不需要配置；

RADIUS Server 授权 UCL 组有 2 种方式：

• 授权 UCL 组名称：RADIUS Server 通过 RADIUS 标准属性 Filter-Id 将 UCL 组名称授权给指定用户；
• 授权 UCL 组 ID：RADIUS Server 通过华为 RADIUS 扩展属性 HW-UCL-Group 将 UCL 组 ID 授权给指定用户；

无论是哪一种授权 UCL 组方式，都必须提前在设备上配置相应的 UCL 组及 UCL 组的网络访问策略；

报文格式

RADIUS 使用 UDP 传输（端口 1812/1813），报文结构如下：

Code 1 字节报文类型：

• 1: Access-Request
• 2: Access-Accept
• 3: Access-Reject
• 4: Accounting-Request
• 5: Accounting-Response

Identifier 1 字节请求 / 响应的匹配标识（防止重放攻击）

Length 2 字节整个报文的长度（包括头部和属性）

Authenticator 16 字节用于验证报文完整性：

• Request Authenticator（随机数）
• Response Authenticator（MD5 哈希）

Attributes 可变属性-值对（AVP），携带认证 / 授权 / 计费信息（如用户名、VLAN、流量）。