RFC2865中文版

远程认证拨号用户服务（RADIUS）

备忘录状态

本文档描述了一种Internet社区的Internet标准跟踪协议，它需要进一步进行讨论和建议以得到改进。请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。本备忘录可以不受限制地传播。

版权说明

Copyright (C) The Internet Society (2000). All Rights Reserved. IESG说明

本协议已经被广泛实现和使用，经验表明当本协议在一个大范围的系统中使用会降低性能和丢失数据。部分原因是协议中没有提供拥塞控制的机制。读者可以发现阅读本文对跟踪IETF组织的AAA工作组的工作进程有很大的帮助，AAA工作组可能会开发一个能够更好的解决扩展性和拥塞控制问题的成功的协议。

摘要

本文描述了一个传输认证、授权和配置信息的协议。这些信息在想要认证链路的网络接入服务器（Network Access Server）和共享的认证服务器务器之间传递。

实现说明

本备忘录记录了RADIUS协议，RADIUS协议的早期版本使用的UDP端口是16 45，由于和"datametrics"服务冲突，官方为RADIUS协议分配了一个新的端口号1812。

目录

1. 简介 (3)

1.1 描述文档的约定 (4)

1.2 术语 (5)

2. 操作 (5)

2.1 挑战/回应 (7)

2.2 使用PAP和CHAP互操作 (8)

2.3 代理 (8)

2.4 为什么使用UDP (11)

2.5 重发提醒 (12)

2.6 被证明是有害的心跳 (13)

3. 报文格式 (13)

4. 报文类型 (17)

4.1 接入请求报文 (17)

4.2 接入成功回应报文 (18)

4.3 接入拒绝回应报文 (20)

4.4 接入挑战报文 (21)

5. 属性 (22)

5.1 User-Name (26)

5.2 User-Password (27)

5.3 CHAP-Password (28)

5.4 NAS-IP-Address (29)

5.5 NAS-Port (30)

5.6 Service-Type (31)

5.7 Framed-Protocol (33)

5.8 Framed-IP-Address (34)

5.9 Framed-IP-Netmask (34)

5.10 Framed-Routing (35)

5.11 Filter-Id (36)

5.12 Framed-MTU (37)

5.13 Framed-Compression (37)

5.14 Login-IP-Host (38)

5.15 Login-Service (39)

5.16 Login-TCP-Port (40)

5.17 (unassigned) (41)

5.18 Reply-Message (41)

5.19 Callback-Number (42)

5.20 Callback-Id (42)

5.21 (unassigned) (43)

5.22 Framed-Route (43)

5.23 Framed-IPX-Network (44)

5.24 State (45)

5.25 Class (46)

5.26 Vendor-Specific (47)

5.27 Session-Timeout (48)

5.28 Idle-Timeout (49)

5.29 Termination-Action (49)

5.30 Called-Station-Id (50)

5.31 Calling-Station-Id (51)

5.32 NAS-Identifier (52)

5.33 Proxy-State (53)

5.34 Login-LAT-Service (54)

5.35 Login-LAT-Node (55)

5.36 Login-LAT-Group (56)

5.37 Framed-AppleTalk-Link (57)

5.38 Framed-AppleTalk-Network (58)

5.39 Framed-AppleTalk-Zone (58)

5.40 CHAP-Challenge (59)

5.41 NAS-Port-Type (60)

5.42 Port-Limit (61)

5.43 Login-LAT-Port (62)

5.44 Table of Attributes (63)

6. IANA注意事项 (64)

6.1 术语定义 (64)

6.2 推荐的注册策略 (65)

7. 举例 (66)

7.1 用户Telnet到指定主机上 (66)

7.2 用户使用CHAP认证方式认证 (67)

7.3 用户使用挑战-回应卡 (68)

8. 安全事项 (71)

9. 更新记录 (71)

10. 参考文献 (73)

11. 致谢 (74)

12. AAA工作组主席地址 (74)

13. 作者地址 (75)

14. 版权声明 (76)

1. 简介

本文档废弃了RFC 2138 [1]。它与RFC 2138之间的差别可以在附录“更新记录”中找到。

要经营为众多的用户提供的串口线路和modem池，这会带来巨大的管理支持方面的需求。由于modem池是通向外部的链路，因此它对安全、认证、计费都提出了很高的要求。

可以通过维护一个用户数据库来实现该需求，该数据库包含了认证（验证用户的名字和密码）以及为用户提供的服务类型的详细的配置信息（如SLIP、PPP、telnet和rlogin等）。

RADIUS协议的主要特性如下：

客户/服务器模式

网络接入服务器(NAS)是RADIUS的客户端。客户端负责将用户信息传递给指定的R ADIUS服务器，然后处理RADIUS服务器的回应。

RADIUS服务器负责接收用户的连接请求，认证该用户，然后给客户端返回能够给用户提供服务的所有必要的配置信息。

RADIUS服务器可以作为其它RADIUS服务器或者其他类型的认证服务器的代理客户端。

网络安全

客户端与RADIUS服务器之间的交互是通过共享密钥来进行相互认证的，共享密钥不会通过网络传送。另外，为了减少在不安全的网络中侦听到用户密码的可能性，在客户端和RADIUS服务器之间传送的密码都是加密的。

弹性的认证机制

RADIUS服务器能够支持多种认证用户的方式，如果用户提供了用户名和用户密码的明文，RADIUS协议能够支持PPP PAP或者CHAP、UNIX login以及其它的认证方式。

协议扩充性

所有的交互报文由多个不同长度的Attribute-Length-Value三元组组成，新属性值的加入不会破坏到协议的原有实现。

1.1. 描述文档的约定

本文中的关键词"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", 以及"OPTION AL"的参见BCP 14 [2]中的描述。这些关键词意义与其是否大写无关。

如果一种实现没有满足本协议中的一个或者多个MUST或者MUST NOT要求，那么该实现和本协议是不兼容的；如果一个实现满足了本协议中所有的MUST、MUST NOT、S HOULD和SHOULD NOT要求，那么该实现和本协议是无条件兼容；如果该实现满足本协议所有的MUST和MUST NOT要求，但没有满足所有的SHOULD和SHOULD NOT 要求，那么该实现和本协议是有条件兼容。

不支持某个特定服务的NAS一定不要（MUST NOT）支持该服务的RADIUS属性，例如：不能提供ARAP服务的NAS一定不要（MUST NOT）支持ARAP服务的RADIUS 属性，对于授权不支持的服务的接入成功回应报文，NAS必须将之做为接入拒绝回应报文一样处理。

1.2. 术语

本文使用了以下的术语：

服务NAS为拨入用户提供的某种服务，如：PPP或者Telnet。

会话NAS为拨入用户提供的每一个服务都会建立一个会话。第一次开始提供服务做为会话的开始，服务终止做为会话的结束。如果NAS支持的话，一个用户可以有多个并行或者串行的会话。

静默丢弃

应用程序不对包进行任何处理就直接丢弃。应用程序应该（SHOULD）有提供记录错误的能力，其中包括被静默丢弃的包的内容，而且应用程序应该（SHOULD）在一个统计计数器中记录下该事件。

2. 操作

当一个客户端被配置成采用RADIUS协议时，客户端的任何用户提交认证信息给客户端。当用户想输入他们的用户名和密码时，客户端可以给出定制化的登陆提示信息。或者，用户可以使用一种如PPP协议的链路协议，这些协议有能够携带这些信息的认证报文。

一旦客户端获得这些信息，可能会选择使用RADIUS协议进行认证，为了这样做，客户端生成一个包含用户名，用户密码，客户端的ID号，以及用户接入的端口号ID属性的接入请求报文。当提供用户密码时，用户密码都被用MD5算法隐藏起来。

通过网络将接入请求报文提交给RADIUS服务器，如果在一定长的时间内没有回应，请求报文将被重复发送几次。如果主服务器一旦宕机或者不可达，客户端也可将请求报文转发给备用的一个或者多个服务器。在多次重试都发现主服务器失败，备用服务器可以被启用，当然也可以使用循环（round-robin）的方式。

重试和放弃算法是目前正在研究的一个课题，在本文中就不再赘述了。

一旦RADIUS服务器接收到请求报文，服务器将验证发送请求报文的客户端的有效性，一个在RADIUS服务器中没有共享密钥的客户端请求必须（MUST）被静默丢弃。如果客户端是有效的，RADIUS从用户数据库中查找是否有和请求匹配的用户。数据库中的用户记录中包含了一系列必须满足的允许接入用户的要求。这些要求始终包含密码，但也可能包含用户允许被接入的特定客户端和端口号。

RADIUS服务器为了满足请求也可以（MAY）向其他服务器发起请求。在这种情况下，它是做为客户端的。

如果有任何Proxy-State属性在接入请求报文中出现，这些属性必须（MUST）原封不动地按顺序拷贝到回应报文中。其它属性可以被置于Proxy-State属性的前面，后面，甚至中间。

如果任何条件没有被满足，RADIUS服务器将发送接入拒绝回应报文以表明用户的请求是无效的。如果需要的话，服务器可以（MAY）在接入拒绝回应报文中包含一个文本信息，这个信息可以（MAY）被客户端显示给用户。除了Proxy-State属性外，其它属性不能出现在接入拒绝回应报文中。

如果所有的条件都被满足，而RADIUS服务器想要发送一个用户必须（must）回应的挑战，RADIUS服务器将发送一个接入挑战报文，该报文可以（MAY）包含一条客户端显示给用户的文本信息，这个信息提示用户对挑战做出回应。该报文也可以（MAY）包含一个State属性。

如果客户端接收到一个接入挑战报文，并且支持挑战/回应认证方式，如果有的话，客户端可以给用户提示文本信息，提示用户回应。然后客户端使用新的请求ID重新提交最初的接入请求报文，并且携带上被回应替换的User-Password属性（被加密的），并且包含从接入挑战报文中获得的State属性，如果有的话，State属性在请求报文中只应该（SHO ULD）出现零次或者1次。对于新的接入请求报文，服务器可能回应接入成功回应报文，接入拒绝回应报文或者接入挑战报文。

如果所有的条件都满足，一系列的用户配置信息将被放入到接入成功回应报文中，这些

值包含了服务类型（如：SLIP，PPP或者Login User）和提供服务所有必需的值。对于S LIP和PPP服务来说，可能包含IP地址，子网掩码，MTU，想要的压缩算法，想要的报文过滤标识符。对于字符模式的用户，可能包含想要的协议和主机。

2.1. 挑战/回应

在挑战/回应认证方式下，给用户下发一个不可预测的数字，挑战用户加密该数字，然后传回结果，能够被认证的用户往往配备了特别的设备，如能够很容易计算出正确回应的智能卡或软件。不能被认证的用户，往往缺乏合适的设备或者软件，并且也缺少必要的密钥而不能仿造出设备或者软件，而只能靠猜测来回应。

接入挑战报文通常携带有一个需要显示给用户的挑战字符串，该挑战字符串包含在Reply-Message属性中，如一个永远不可能重复的数字。通常，该数字是从外部服务器获得，这个服务器知道认证用户的认证类型，因此可以根据合适的基数和长度选择一个随机或者不可重复伪随机数。

然后用户将这个挑战字输入到能够计算出回应的设备（或者软件）中，然后将计算出的回应传到客户端中，客户端将之通过第二个接入请求报文转发给RADIUS服务器，如果该回应和服务器想要的回应相匹配，RADIUS服务器就返回一个接入成功回应报文，否则，就返回一个接入拒绝回应报文。

例如：NAS给RADIUS服务器发送了一个携带NAS-Identifier，NAS-Port，User-N ame和User-Password（可能只是一个固定字符串"challenge"或者不携）属性的接入请求报文，服务器回应一个携带State和Reply-Message属性的接入挑战报文，Reply-Me ssage属性包含字符串"Challenge 12345678, enter your response at the prom pt"，这个字符串由NAS上显示，NAS接收到回应，向服务器发送一个新的携带NAS-Id entifier，NAS-Port，User-Name，User-Password（正是用户输入的用户密码，已经被加密）以及被接入挑战报文带来的State属性的接入请求报文，服务器判断回应是否和想要的回应相匹配，然后返回接入成功回应报文或者接入拒绝回应报文。或者甚至再发送一个接入战报文。

2.2. 使用PAP和CHAP互操作

对于PAP认证方式，NAS获得PAP ID和密码，然后将它们做为接入请求报文中的User-Name和User-Password属性发送出去。NAS可以（MAY）包含值为Framed -User的Service-Type属性和值为PPP的Framed-Protocol属性，以提示RADIUS服务器用户需要PPP服务。

对于CHAP认证方式，NAS生成一个随机挑战字（16个字节比较合适）并发送给用户，用户回应一个携带CHAP ID和CHAP用户名的CHAP回应。NAS然后向RADIU

S服务器发送一个接入请求报文，该请求报文将CHAP用户名做为User-Name属性，C HAP ID和CHAP回应做为CHAP-Password属性。随机挑战字可以包含在CHAP-Challenge属性中，或者如果是16个字节长度的话，它可以放在接入请求报文的Req uest Authenticator域中。NAS可以（MAY）包含值为Framed-User的Service-T ype属性和值为PPP的Framed-Protocol属性，以提示RADIUS服务器用户需要PPP服务。

RADIUS根据User-Name属性查找到用户密码，对CHAP ID字节，密码和CHA P挑战字（如果CHAP-Challenge属性存在，从该属性取值，否则从Request Authenti cator域取值）进行MD5加密获得挑战字，然后将加密结果和CHAP-Password属性比较，如果匹配，服务器发送回接入成功回应报文，否则发送回接入拒绝回应报文。

如果RADIUS服务器不能完成请求的认证过程，必须（MUST）返回接入拒绝回应报文，例如：CHAP认证方式需要用户的密码在服务端是可以明文存放的，因为它需要加密CHAP挑战字然后同CHAP回应比较，如果在服务端不能获取明文的用户密码，服务器必须（MUST）给客户端发送接入拒绝回应报文。

2.3. 代理

在代理RADIUS下，一个RADIUS服务器从RADIUS客户端（如NAS）接到一个认证（或计费）请求时，将该请求转发给远程RADIUS服务器，接收到远程服务器的回应以后，然后将该回应发送回客户端。代理机制反映了本地管理策略的变化。代理RADIU S的常用的用途是漫游，漫游允许两个或者更多的管理实体允许彼此的用户在另一个实体网络中拨号登陆。

NAS向“转发服务器”发送RADIUS接入请求报文，该服务器将报文转发到“远程服务器”，远程服务器发送回应报文（接入成功回应报文，接入拒绝回应报文或者接入挑战报文）给转发服务器，转发服务再将报文发送回NAS。为方便RADIUS代理操作，User-Name属性可以（MAY）包含一个网络接入标识[8]。哪个远程服务器将接收到转发的报文应该（SHOULD）取决于认证“域”的选择，认证域可以（MAY）是网络接入标识（一个命名的域）的一个部分。做为另一选择，哪个服务器将接收到转发的报文也可以（MAY）取决于转发服务器的配置，例如Called-Station-Id属性（一个数字化的域）。

一个RADIUS服务器既可以做转发服务器，也可以做远程服务器，对于其中一些域，它做为转发服务器，对另外一些域，它做为远程服务器。一个转发服务器可以做为任意个数的远程服务器的转发器，一个远程服务器可以有任意个数的转发服务器给它转发报文，也可以为任意个数的域提供认证。一个转发服务器可以将报文转发给另一个转发服务器，形成一个代理链，但是需要小心避免形成循环转发。

下面场景阐述了NAS、转发服务器以及远程服务器之间的代理通讯机制：

1. NAS发送接入请求报文给转发服务器。

2.转发服务器将接入请求报文转发给远程服务器。

3.远程服务器回应接入成功回应报文，接入拒绝回应报文或者接入挑战报文给转发服务器，例如，回应接入成功回应报文。

4.转发服务器将接入成功回应报文发送回NAS。

转发服务器必须（MUST）将已经在报文中的Proxy-State属性做不透明处理（不需要理解它们）。它的操作必须不能（MUST NOT）依赖于由前一个服务器增加的Proxy -State属性的内容。

如果从客户端接收到的请求报文中有任何Proxy-State属性，转发服务器在回应给客户端时必须（MUST）包含这些Proxy-State属性，当转发接入请求报文时，

转发服务器可以（MAY）在请求报文中包含Proxy-State属性，或者也可以（MAY）在转发请求报文时删除它们，如果转发服务器在转发接入请求报文时删

除了Proxy-State属性，那么在回应给客户端之前必须（MUST）重新携带这些Proxy-State属性。

现在我们阐述以下每一步骤的细节：

1. NAS发送接入请求报文给转发服务器，如果存在User-Password属性的话，转发服务器使用已经知道的该NAS的共享密钥解密它，如果报文中有CHAP-Password

属性但没有CHAP-Challenge属性，转发服务器必须（MUST）不能修改Request Auth enticator域，或者将之拷贝到CHAP-Challenge属性中。

'' 转发服务器可以（MAY）增加一个Proxy-State属性到报文中（一定不能（MUST NOT）超过一个），如果要增加Proxy-State属性，增加的Proxy-State属性必须（MU ST）出现所有其它Proxy-State属性的最后面。转发服务器一定不能（MUST NOT）改动任何已经存在于报文中的Proxy-State属性（可以（may）选择不转发它们，但一定不能（MUST NOT）修改它们的内容）。转发服务器一定不要（MUST NOT）改动任何相同类型的属性顺序，包括Proxy-State属性。

2. 如果User-Password属性存在的话，转发服务器需要使用远程服务器的共享

密钥加密User-Password属性，如果必要的话，重新设置Identifier域，然后

将接入请求报文转发到远程服务器。

3. 远程服务器（如果是最终的目的地）使用User-Password，CHAP-Password属性，或者使用其他将来扩展的认证方式验证用户。然后回应接入成功回应报文，接入拒绝回应报文或者接入挑战报文给转发服务器。例如，回应一个接入成功回应报文。远程服务器必须（M

UST）按顺序将所有的Proxy-State属性（只有Proxy-State属性）从接入请求报文中拷贝到回应报文中，而且不能改动它们。

4. 转发服务器使用远程服务器的共享密钥验证Response Authenticator域，如果验证失败就静默丢弃该报文，如果报文验证被通过，转发服务器移去最后一个Proxy-St ate属性（如果转发服务器曾经增加过该属性），使用和NAS共享密钥生成Response A uthenticator域，恢复和NAS的原始请求报文匹配的Identifier域，然后将接入成功回应报文发送回NAS。

为了强制使用本地策略，转发服务器可能（MAY）需要修改属性，该策略已经超出本文说明的范围，但以下的限制需要说明，转发服务器一定不能（MUST not）改动已经在报文中存在的Proxy-State，State或者Class属性。

转发服务器的实现应该（should）认真考虑哪个Service-Type属性值可以接受，必须（must）认真考虑在被代理的接入请求报文中的Service-Type，NAS-Promp t或者Administrative属性的影响，转发服务器的实现也可以（may）提供机制阻止这些属性或者其它的服务类型或者其它的属性转发，但该机制超出了本文说明的范围。

2.4. 为什么使用UDP?

一个经常被问到的问题是为什么使用UDP而不是TCP做为传输协议，选择UDP 是基于以下严格的技术理由：

有许多观点必须（must）要理解，RADIUS是一个基于有几个有趣的特性的协议的交互过程：

1. 如果请求的主认证服务器失败了，备服务器必须（must）能够被找到。

为了满足该需求，在传输层之上必须（must）保存一份请求的拷贝以可以选择发送。这意味也需要一个重传定时器。

2. 这个特殊协议的定时需求和TCP提供的定时机制有明显的不同。

举一个极端的例子，RADIUS不需要数据丢失的检测，用户愿意为认证完成等待几秒钟。强悍的TCP的重传（基于平均的回环时间）是不需要的，既然TCP重传太耗时间。

另一个极端的例子，用户不会愿意为认证等待上几分钟，因此TCP的可靠传输机制在两分钟后是没有用的，更快的启用备用服务器允许用户在（不耐烦而）放弃之前就获得接入。

3. 本协议的无状态的特性简化了UDP的使用

客户端和服务器存在还是不存在，系统被重启。这些都不会产生超时机制和TCP连接丢失的检测问题，而通常都需要写大量代码处理这些异常事件。UDP则完全消除了这些特殊处理。（每一个客户端和服务器能够只打开一次UDP传输并且让网络中的所有类型的失败事件通过。）

4. UDP简化了服务器的实现

在最早的RADIUS实现中，服务器是单线程的，这意味着，同时只可以接收，处理然后返回一个请求。后来发现后台的想要做到实时（1秒或者多秒）处理是难以实现的，当每一分钟都有成百的用户需要认证的时候，服务端的请求队列会被填满。请求到回应之间的时间会增长到用户无法忍受的地步（当在数据库中查询或者DNS耗费了30秒或者更多的秒时，这种情况会变得更加严重）。一种最明显的解决方案就是服务器支持多线程，多线程这一点对于UDP来说实现起来很简单，每个请求都有单独的处理线程，处理线程能够使用U DP报文直接回应给客户端NAS。

这当然不是万能药，众所周知，使用UDP协议时，需要做一件已经内置到TCP 协议中的事：我们必须人工管理到同一服务器的重传定时器。尽管使用TCP协议不需要对定时器有相同的关注。在本协议中这一缺点相对于使用UDP的优势来说只是一个小的代价。

如果没有TCP协议，我们可能仍然在用锡罐传递信息，但对于本协议，UDP是更好的选择。

2.5. 重传提示

如果RADIUS服务器和备用RADIUS服务器使用相同的共享密钥，那么转发给备用RADIUS服务器的报文可以使用相同的ID和Request Authenticator域，因为属性的内容没有改变。如果您想往备用服务器发送的报文使用新的Request Authenticator域，您也可以改变。

如果您改变了User-Password属性（或者任何其它的属性）的内容，您需要一个新的Request Authenticator域，当然因此需要一个新的ID。

如果NAS向相同的服务器重传RADIUS请求报文，这些属性都没有变化，您必须（MUST）使用相同的Request Authenticator和ID域，使用相同的源端口号。如果有任何属性变化了，您必须（MUST）使用一个新的Request Authenticator和ID域。

对于所有的服务器，NAS可以（MAY）使用相同的ID，或者可以（MAY）对于每个服务器使用独立的ID序列。这要看具体的实现。如果NAS需要为请求报文使用超过25 6个ID，则NAS可以（MAY）使用其它端口号发送请求，这样每个源端口号都可以保持一个ID序列。这样，对于一个服务器，同时可以有1600万请求报文。

2.6. 被证明是有害的心跳

一些实现采用发送测试RADIUS请求报文的方式检查服务器是否有效。强烈质疑这种方式，它增加了负载而且不能提供任何额外的有用的信息，既然RADIUS请求报文包含在一个数据包，在这个时间段，你可以发送一个ping报，但您只发送了一个RADIUS请求报文，获得了一个表明RADIUS服务器是有效的回应，但是如果您没有RADIUS请求需要发送，那么服务器是有效的还是无效的根本不是一个问题，因为您根本就没有用它。

如果你想监控您的RADIUS服务器，请使用SNMP协议，这是SNMP的工作。

3. 报文格式

准确地讲，RADIUS报文是封装在UDP报文的数据域[4]中的，它的UDP目的端口号是1812（十进制数）。

当产生一个回应的时候，源端口和目的端口互换。

本文定义了RADIUS协议。早期的RADIUS计费协议使用UDP端口1645，由于它和著名的"datametrics"服务相冲突。官方为RADIUS计费协议重新分配的端口号是1812。

RADIUS报文格式如下所示。各个域的数据是从左向右传输的。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |

| Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

3.1 代码

Code域占位一个字节，它用来标识RADIUS报文类型。当收到的报文的代码域

非法时，该报文将会被静默丢弃。

RADIUS计费报文Code域（十进制）分配如下：

1 接入请求报文

2 接入成功回应报文

3 接入拒绝回应报文

4 计费请求报文

5 计费回应报文

11 接入挑战报文

12 服务器状态报文（试验）

13 客户端状态报文（试验）

255 保留

代码4和5在RADIUS计费文档[5]中说明，代码12和13为可能的使用预留，但本文不做进一步讨论。

3.2 标识符

Identifier域占位一个字节，用于匹配请求和回应报文。如果在一个很短的时间内接收到相同的源IP地址、源UDP端口号和相同的Identifier域的请求报文，RADIUS 服务器就可以认为是重复的请求报文。

3.3 长度

长度域占位两个字节。它包含了报文中的Code域，Identifier域，Length域，Authenticator域和属性域的总长度。在长度域限定的范围之外的字节必须（MUST）作为填充字节，在接收到时不予处理。如果包的实际长度小于长度域中给出的值，该包必须（M UST）被静默丢弃。报文的最小长度是20，最大长度是4096。

3.4 认证字

Authenticator域占位16个字节。最重要的字节先传输。该域的值用来鉴别服务器的回应报文，并且用在用户密码的隐藏算法中。

3.4.1请求认证字

在接入请求报文中，认证字的值是一个占位16个字节随机数，称作请求认证字。该值在共享密钥（客户端和服务器的共享密钥）的生命周期中应该（SHOULD）是不可预测的和唯一的。否则在同一密钥下，重复的请求报文将使攻击者能够使用以前截获的回应报文回应。既然可以想像得到在不同的地理区域可以（MAY）使用相同的共享密钥认证。那么，请求认证字域应该（SHOULD）在全球范围内唯一。

在接入请求报文中的Request Authenticator域的值也应该（SHOULD）是不可预测的，以免攻击者可以欺骗服务器，让服务器响应一个预计的挑战值，然后用该响应冒充服务器欺骗后续的接入请求。

尽管RADIUS协议没有能力阻止通过实时的主动搭线攻击窃听认证会话，然而生成唯一的和不可预知请求报文就能够防范大多数的主动攻击。

NAS和RADIUS服务器共享一个密钥，该共享密钥被加在请求认证字域后面，然后对之使用MD5算法生成一个16字节的摘要，将该摘要和用户输入的密钥进行异或，然后将异或结果放入接入请求报文的User-Password属性中，请参考属性章节中关于User-Passw ord属性的条目以了解更详细的信息。

3.4.2 回应认证字

在接入成功回应报文，接入拒绝回应报文和接入挑战报文中的认证字域的值称作回应认证字。包含对如下字段组成的字节流的MD5加密的摘要信息：从代码域开始，包含标识符域，长度域，接入请求报文中的请求认证字域和回应报文中的属性，然后后面加上共享密钥。

即ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attributes+Secret)，这里+表示连接。

3.5 管理提示

共享密钥（在客户端和RADIUS服务器之间的共享密钥）的长度应该（SHOULD）至少大到不可能猜测的程度。推荐的共享密钥应该至少16个字节。这样才会有总够大的密钥范围以阻止穷举攻击。密钥必须不能（MUST NOT）是空的，因为这样报文很容易被伪造。

RADIUS服务器必须（MUST）根据RADIUS的UDP报文的源IP地址决定使用那个共享密钥，因此，RADIUS请求才可以被代理。

当使用转发代理时，代理必须（must）能够在报文通过的每个方向上更改报文。当代理转发请求报文时，代理可以（MAY）增加Proxy-State属性，当代理转发回应报文时，

代理必须（MUST）移除它增加的Proxy-State属性（如果它曾经增加过）。Proxy-St ate属性总是在其它的Proxy-State属性后增加或者移除，没有其它关于该属性在属性列表中位置的要求。由于是基于整个报文内容鉴别接入成功回应报文和接入拒绝回应报文的，Proxy-State属性的变化会使得原来的签名无效，因此代理不得不重新签名。

RADIUS代理实现的进一步的详细信息超出了本文描述的范围。

4. 报文类型

RADIUS报文类型由在报文中第一个字节中的代码域决定。

4.1. 接入请求报文

描述

接入请求报文被发送给RADIUS服务器，报文携带了决定是否允许用户接入指定NA S的信息，还包含该用户需要使用的服务的信息。一个RADIUS实现想要认证用户，那么必须（MUST）发送一个代码域值置为1的RADIUS报文。

一旦从一个有效的客户端接受到接入请求报文，必须（MUST）要有一个合适的回应报文被发送回。

一个接入请求报文应该（SHOULD）包含User-Name属性，它必须包含NAS-IP-A ddress或者NAS-Identifier属性（或者两者都包含）。

一个接入请求报文必须（MUST）包含User-Password，CHAP-Password或者St ate属性。一个接入请求报文必须不能（MUST NOT）同时包含User-Password和C HAP-Password属性。如果将来的扩展允许携带其它类型的认证信息，扩展的属性可以替代接入请求报文中的User-Password和CHAP-Password属性。

一个接入请求报文应该（SHOULD）包含NAS-Port或者NAS-Port-Type属性，或者两者都包含，除非被请求的接入类型不涉及端口或者NAS不区分端口。

一个接入请求报文可以（MAY）包含额外的属性做为对服务器的提示，但服务器不需要一定处理该提示。

当User-Password属性存在时，会采用基于MD5 [3]算法的方法将该属性值隐藏起来。

接入请求报文格式如下所示。各个域是自左向右传输的。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Request Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

代码

1 代表接入请求报文

标识符

当属性域的内容变化时，或者接收到前一个请求的有效回应时，Identifier域必须（MUST）改变。当报文重发时，Identifier域必须（MUST）保持不变。

请求认证字

每当使用新的标识符域时，请求认证字域的值必须（MUST）改变。

属性

属性域的长度是变化的，包含了请求服务类型所需要的属性列表，也包含了任何想要的可选属性。

4.2. 接入成功回应报文

描述

接入成功回应报文是由RADIUS服务器发送的，提供了开始给用户提供服务的特定的配置信息。如果接收到的接入请求报文的所有属性都是可以接受的，那么RADIUS实现必须（MUST）发送一个代码域值为2的报文（接入成功回应报文）。

客户端接收到接入成功回应报文后，标识符域应该和一个等待回应的接入请求报文的相应域匹配。回应认证字域必须（MUST）包含对等待回应的接入请求报文的正确回应，无效的报文将被静默丢弃。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Response Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

代码

2 代表接入成功回应报文

标识符

标识符域是对引起这次回应的接入请求报文的标识符域的一个拷贝。

回应认证字

回应认证字的值根据接入请求报文计算得来，已经在前面描述过了。

属性

Attributes域的长度是变化的，其中包含了零个或者多个属性。

4.3. 接入拒绝回应报文

描述

如果接收到的任何属性不可接受，RADIUS服务必须（MUST）发送一个代码域值为2的报文（接入拒绝回应报文）。该报文包含一个或者多个Reply-Message属性，该属性包含了一个文本消息，它可以（MAY）由NAS显示给用户。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Response Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

代码

3 代表接入拒绝回应报文

标识符

标识符域是对引起这次回应的接入请求报文的标识符域的一个拷贝。

回应认证字

回应认证字域的值根据接入请求报文计算得来，已经在前面描述过了。

属性

属性域的长度是变化的，其中包含了零个或者多个属性。

4.4. 接入挑战报文

描述

如果RADIUS服务器想要给用户发送一个挑战，要求用户回应，那么RADIUS 服务器必须（MUST）回应一个代码域值为11的报文（接入挑战报文）。

属性域中可以（MAY）有一个或者多个Reply-Message属性，可以（MAY）有一个或者0个State属性，Vendor-Specific，Idle-Timeout，Session-Timeout和Pr oxy-State属性也可以（MAY）包含。本文中不允许接入挑战报文包含其它任何属性。

客户端接收到接入挑战报文后，标识符域应该和一个等待回应的接入请求报文的标识符域匹配。另外，回应认证字域必须（MUST）包含对等待回应的接入请求报文的正确回应，无效的报文将被静默丢弃。

如果NAS不支持挑战/回应认证方式，NAS必须（MUST）将接入挑战报文做为接入拒绝回应报文对待。

如果NAS支持挑战/回应认证方式，接收到一个有效的接入挑战报文表示应该（S HOULD）发送一个新的接入请求报文了。如果有文本消息，NAS可以（MAY）显示给用户，并等待用户回应，然后NAS发送原来的接入请求报文，该报文携带了新的请求ID，新的请求认证字，User-Password属性被用户的回应替换（加密的），也包含了接入挑战报文中的State属性（如果有的话），但只能有0个或者1个State属性包含在接入请求报文中。

（支持PAP认证方式的NAS可以（MAY）转发Reply-Message属性给拨号客户端然后接受一个PAP回应，好像是用户输入的回应一样）。如果NAS不支持这种方式，NAS必须（MUST）将接入挑战报文做为接入拒绝回应报文对待。

接入挑战报文格式如下所示。各个域是自左向右传输的。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Code | Identifier | Length |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| |

| Response Authenticator |

| |

| |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

| Attributes ...

+-+-+-+-+-+-+-+-+-+-+-+-+-

代码

11 代表接入挑战报文

标识符

标识符域是对引起这次回应的接入请求报文的标识符域的一个拷贝。

回应认证字

回应认证字域的值根据接入请求报文计算得来，已经在前面描述过了。

属性

Attributes域的长度是变化的，其中包含了零个或者多个属性。

5. 属性

RADISU属性携带了特定的认证和授权信息以及请求和回应报文的配置细节。

由RADIUS报文的长度域来决定属性列表在何处结束。

有些属性可以（MAY）被多次包含，这通常有特别的目的，这种情况都会在每个属性的描述中特别指出。在属性章节的最后提供了一个汇总表。

如果相同类型的属性多次出现，任何代理都必须（MUST）保持相同类型的属性的次序。不同类型的属性的次序不需要保持，RADIUS服务器或者客户端必须（MUST）不能依赖于不同类型的属性的次序。RADIUS服务器和客户端必须（MUST）不能要求相同类型的属性相连。

哪种类型的报文可以包含哪些属性，这些限制性描述只适用于本文定义的报文类型，即接入请求报文，接入成功回应报文，接入拒绝回应报文和接入挑战报文（代码域值为1、2、3和11）。其它文档定义的其它报文类型也可以使用本文描述的属性。哪些属性可以包含在计费请求和计费回应报文（代码域值为4和5）中，请参见RADIUS计费协议文档[5]。

同样地，这里只说明了哪些属性可以包含在本文定义的报文类型中，将来的备忘录定义了新的属性应该（should）要说明这些新的属性可以包含在哪些报文类型中。

属性域的格式如下所示。是自左向右传输的。

0 1 2

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

| Type | Length | Value ...

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

如何用甘特图进行人力资源管理

如何用甘特图进行人力资源管理 导读： 甘特图是一种理想的项目进程管理工具，它往往由于项目管理或者某项工作。后来随着他的普及使用，越来越多的人事也开始使用它进行人力资源配置，不仅提高了工作的效率，而且增大了他的使用范围。本文就来为大家介绍一下如何使用甘特图进行人力资源管理。 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ Edraw Project 软件的下载与安装 获取Edraw Project软件，是开启项目管理之前的准备工作。从Edraw Project官方网站，即可免费下载这款软件。 完成下载后，双击【EdrawProject.exe】文件，开始确认安装。整个安装过程仅需1分钟左右。

Edraw Project 软件的使用 甘特图是项目管理领域里，最为常用的一种图示。因此，我们可以使用Edraw Project绘制甘特图。在绘制甘特图的过程，你将学会如何新建甘特图，如何添加任务信息，如何生成各类报表等。 1、新建甘特图 新建甘特图的操作较为简单，双击运行软件，单击新建，即可打开画布。 2、添加任务信息 添加任务的方法有三种，分别是顶部菜单栏按钮、右键菜单按钮和快捷键按钮。每一行内容都可以进行编辑。

温馨提示： Edraw Project软件顶部“开始”菜单中拥有丰富的编辑选项，比如插入链接、添加里程碑、降级任务等等，通过这些功能按键，只需简单几步操作就能轻松实现你想要的效果。 3、编辑资源 资源编辑功能是一种高级的甘特图功能，项目管理者可以在该面板设置资源的类型，成本价格以及名称等等。一个任务中会包含多个不同的资源，这些资源的组合会生成各类的报告。

Project编制施工进度计划图课件

Project编制施工进度计划图 首先，简单介绍下Project，Project是由微软公司开发的一个国际上享有盛誉的通用的项目管理工具软件，凝集了许多成熟的项目管理现代理论和方法，可以帮助项目管理者实现时间、资源、成本的计划、控制。 咱们今天一块学习下Project的其中一项功能，那就是如何编制施工进度横道图和网络计划图。至于Project其他的功能，如对项目资源的计划和控制、项目成本的计划和控制等，有兴趣的同志可以学习、研究下。 在学习制作横道图和网络图之前，先了解两个概念，什么是横道图和网络图。横道图，也叫条状图，在Project中叫甘特图，“甘特图”视图由两部分组成：左边的表和右边的条形图。条形图包括一个横跨顶部的时间刻度，它表明时间单位。图中的条形是表中任务的图形化表示，表示的内容有开始时间和完成时间、工期及状态(例如，任务中的工作是否已经开始进行)。图中的其他元素如链接线，代表任务间的关系。横道图示例：

图1 横道图 网络图，是一种图解模型，形状如同网络，故称为网络图，主要用于描述项目中任务之间的相关性。在网络图中，以方框节点表示任务，以节点之间的链接线表示任务之间的相关性。网络图示例： 图2 网络图 下面分两部分来讲，分别为横道图编制、网络图编制：

第一部分横道图编制 一、创建新项目计划 (1)单击“文件”菜单中的“新建”。在“新建项目”任务窗格中，单击“空白项目”。Project新建一个空白项目计划，接下来，设置项目的开始日期。 (2)单击“项目”菜单中的“项目信息”。显示项目信息对话框。 (3)在“开始日期”框中，输入或选择“2008年1月8日”，如图3所示。 图3 项目信息对话框 (4)单击“确定”，关闭项目信息对话框。 (5)在“文件”菜单中，单击“保存”按钮。 二、设置工作日 (1)单击“工具”菜单中的“更改工作时间”。显示“更改工作时间”对话框，如图4所示。

Project项目管理软件哪个好

Project项目管理软件哪个好 导语： 随着市场上使用项目管理软件的人数增多，越来越多的项目管理软件被开发了出来，那么到底有哪些好用的项目管理软件呢？本文将盘点分析市面上常见几款甘特图软件，以帮助大家能够找到适合自己的工具。 |Edraw Project 这是一款专业的项目管理软件。可以很轻松的创建甘特图来进行项目规划、资源分配和预算管理等，使用起来也十分的简单容易上手。 软件主要有几个特点： ●易操作：界面设计类似Office，交互简洁，帮助支持方面完善。 ●数据交互：数据与图形双向交互，支持数据导入与导出 ●资源管理：支持自定义资源，支持统计和分析 ●一键报表：多种报表，一键生成，一键打印报表

|Microsoft Office Excel 这是微软办公软件中用于处理表格数据的工具，也是职场人士必装的一款软件。万能的Excel也是能够绘制甘特图，进项项目管理的，只是操作难度偏大，或许是对Excel足够熟练的高手才有机会绘制。 虽然网络上有许多相关的教程，教大家如何使用Excel画甘特图，但教程普遍偏难，且绘制完成的图表也缺乏美观度，不大适合新手使用。 |MindMaster 这虽然是款专业绘制思维导图的软件，但也是专业绘制甘特图的。使用MindMaster有一点你可能会觉得不太方便，就是需要先绘制思维导图，才能生成甘特图。但其实在熟练使用后，该步骤绘制甘特图的效率比其他软件还高。所以，笔者挺推荐大家使用这款软件。它不仅可以画甘特图，还能顺便把思维导图给画了。

|瀚文进度计划软件 瀚文软件是一家较为早期的国产软件开发公司，其自主研发的这款瀚文进度计划软件可用于对工程项目的管理和控制。其软件的界面风格类似早期的Windows软件，但较为熟悉的界面或许更容易上手体验。 这款软件提供较为完善的甘特图功能，可满足基础的绘制需求。但美中不足的是，软件所绘制的甘特图，其风格与现代的审美观略有差距，不够时尚整洁，略为遗憾。

甘特图绘制详细教程

甘特图绘制详细教程 导语： 绘制甘特图的方法很多，最麻烦的就是用Excel绘制。当然，本文不会教你如何用Excel绘制甘特图，毕竟现在专业的甘特图绘制软件也是挺多的，何必去捣腾Excel呢。具体是怎么操作的呢？跟着小编一起来看看吧！ 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ 项目管理用什么软件画甘特图？ 亿图图示是一款常用的项目管理工具，可以轻松绘制出专业的甘特图。除此之外，也支持绘制时间线、PERT图、质量功能部署、工作分解结构等项目管理图表。亿图内置不同主题的甘特图模板，软件智能化的操作方式，以及丰富的符号库让整个复杂的绘图过程变得更加的简单、便捷，除此之外还能通过亿图绘制项目流程图、思维导图、项目进度跟踪表等等。

亿图图示怎么画甘特图？ 新建甘特图： 新建“项目管理”，选择“甘特图”模板或者例子。然后从软件左侧的“甘特图”符号库中拖拽一个甘特图形状开始绘图。 拖拽“甘特图”至绘图页面后，会自动跳出“甘特图选项”窗口，可以在这里设置一些基本数据，比如：日期格式、工作日期、日期单位等等，设置好之后点击“OK”即可开始设置任务。

温馨提示：“甘特图选项”——“日期单位”中的“开始/结束日期”，是用来控制甘特图右侧时间条显示的开始和结束时间，并非是“Start/Finish”的时间。

新增任务： 1、点击甘特图，将鼠标移至任务所在的一行，右键新增任务或者子任务。 2、点击甘特图，在“甘特图”菜单栏，选择插入新任务或者添加子任务。 温馨提示：新增任务会加在现有任务上方，新增子任务会加在现有子任务下方。调整甘特图列宽： 鼠标移动至两列之间的连接线处，如下图所示，拖动该线条来调整列宽。 调整任务类型： 鼠标右键，选择“凸排/缩进”，或者在“甘特图”菜单栏中选择“凸排/缩进”。此操作可以在相同的任务优先级向上或向下移动任务，也可以把它带到之前任务的下一级。

Project项目管理软件排名

Project项目管理软件排名 导语： 为了促进企业的可持续发展，项目管理工作在我国相关政策的支持下也逐渐得到了重视。要想对一个项目进行合理的规划控制，则少不了项目管理软件的帮助。面对市面上众多的项目管理软件，很多人不知道该怎么选择，本文就来为大家介绍一下几款最好用的项目管理软件。 |Edraw Project 这是一款专业的项目管理软件。可以很轻松的创建甘特图来进行项目规划、资源分配和预算管理等，使用起来也十分的简单容易上手。 软件主要有几个特点： ●易操作：界面设计类似Office，交互简洁，帮助支持方面完善。 ●数据交互：数据与图形双向交互，支持数据导入与导出 ●资源管理：支持自定义资源，支持统计和分析 ●一键报表：多种报表，一键生成，一键打印报表

|Microsoft Office Excel 这是微软办公软件中用于处理表格数据的工具，也是职场人士必装的一款软件。万能的Excel也是能够绘制甘特图，进项项目管理的，只是操作难度偏大，或许是对Excel足够熟练的高手才有机会绘制。 虽然网络上有许多相关的教程，教大家如何使用Excel画甘特图，但教程普遍偏难，且绘制完成的图表也缺乏美观度，不大适合新手使用。 |MindMaster 这虽然是款专业绘制思维导图的软件，但也是专业绘制甘特图的。使用MindMaster有一点你可能会觉得不太方便，就是需要先绘制思维导图，才能生成甘特图。但其实在熟练使用后，该步骤绘制甘特图的效率比其他软件还高。所以，笔者挺推荐大家使用这款软件。它不仅可以画甘特图，还能顺便把思维导图给画了。

|瀚文进度计划软件 瀚文软件是一家较为早期的国产软件开发公司，其自主研发的这款瀚文进度计划软件可用于对工程项目的管理和控制。其软件的界面风格类似早期的Windows软件，但较为熟悉的界面或许更容易上手体验。 这款软件提供较为完善的甘特图功能，可满足基础的绘制需求。但美中不足的是，软件所绘制的甘特图，其风格与现代的审美观略有差距，不够时尚整洁，略为遗憾。

一般用什么软件做进度计划甘特图

一般用什么软件做进度计划甘特图 导语： 在工作效率与时间管理范畴，甘特图必然是元老等级的存在。甘特图的直观和容易解读，让很多知名企业在用甘特图做工作规划。你知晓有哪些软件可以绘甘特图呢？一同来学习一下！? 甘特图是项目管理领域里常用的一种图示。因此，我们可以使用Edraw Project绘制甘特图。在绘制甘特图的过程，你将学会如何新建甘特图，如何添加任务信息，如何生成各类报表等。 1、新建甘特图 新建甘特图的操作较为简单，双击运行软件，单击新建，即可打开画布。 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ 2、添加任务信息 添加任务的方法有三种，分别是顶部菜单栏按钮、右键菜单按钮和快捷键按钮。每一行内容都可以进行编辑。

温馨提示： Edraw Project软件顶部“开始”菜单中拥有丰富的编辑选项，比如插入链接、添加里程碑、降级任务等等，通过这些功能按键，只需简单几步操作就 能轻松实现你想要的效果。 3、编辑资源 资源编辑功能是一种高级的甘特图功能，项目管理者可以在该面板设置资 源的类型，成本价格以及名称等等。一个任务中会包含多个不同的资源，这些 资源的组合会生成各类的报告。

4、查看报告 Edraw Project可以根据甘特图内容，输出各类报告图表，方便我们进一 步了解任务的资源成本、资源工时以及进度是否在可控的范围。 5、导出内容 绘制完成甘特图的末尾一步，就是将内容进行导出。你可以选择将甘特图 导出为PDF格式，可以选择将甘特图导出为Excel格式。

Edraw Project的各项功能均能够满足我们的实际需求。它不会想其他软件有各种花哨的组件和功能，只需要能够立马解决问题即可。我想这才是最适合我们的甘特图软件。 获取更多项目管理软件支持与帮助： https://https://www.doczj.com/doc/2d5491215.html,/download/edrawproject/

免费的项目管理甘特图软件有哪些

免费的项目管理甘特图软件有哪些 导语： 甘特图又叫横道图。它是通过活动列表和时间刻度，形象地表示出任何特定项目的活动顺序与持续时间的一种图表。其绘制方法主要是利用软件进行绘制，那么，究竟有什么软件绘制甘特图比较合适呢，我们来看下本文的介绍。 在项目中，时间、成本、范围对项目的成功有着至关重要的作用，所以我们需要不断的掌握计划的实施情况，并将实际情况和计划进行比对，然后及时调整和采取有效的措施，使项目按照预定的目标实现。这一过程及动作我们称之为项目进度管理。那么如何才能有效的进行项目进度管理呢?我们一起阅读下文。 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ 什么是项目进度管理 概念：项目进度管理是根据工程进度目标，编制经济合理的进度计划，然后以此来检查工程项目计划的执行情况，一旦发现实际与计划不一致时，需及时分析原因，并采取必要的措施对原进度计划进行调整和修正的过程。 目的：工程项目进度管理是为了实现更优工期，多快好省的完成任务。 项目进度管理是一个动态、循环、复杂的工程。 怎么有效进行项目进度管理 一、计划控制 计划是一切行动实施的基础。每一个项目经理的理想就是项目能百分之百的按照计划执行，而项目的实际情况往往受各种干扰影响，导致计划需要不断的跟进调整，据变化而变化。项目经理要实现计划的控制，落脚点在于监督各分项计划的实施。

二、资源控制 通常计划不能如期的完成，大部分原因是由于资源问题。采购资源、人力资源、生产资源各种资源没有落实到位的话，再好的计划也是完成不了的。所以，项目经理在项目执行的过程中需要关注各部分资源的负荷情况。掌握资源的一手信息，才能开展资源协调。 三、风险控制 为项目制订一套风险防范体系，需要包含风险识别、风险确认、风险应对等方面。项目启动初期，要充分的识别会影响项目进度的风险，并且的项目执行过程中，要对风险不断的进行监控与更新，然后采取相应的措施。重点在于个分项目负责人对风险的识别与即使汇报，并以预防为主。 四、建立良好的沟通管理制度 要掌握各方实时信息，沟通十分重要。通过沟通，可以及时了解到立项部门和项目客户的期望与特殊需求，以保障各项工作在项目范围内开展，即使范围发生变化，也能及时的做出调整，使项目的进度满足各方需求。 有必要建立项目例会制度、分项计划汇报制度、项目跟进汇报制度等。强调主动沟通，以提早准备做好配合，避免项目进度拖延。 五、借助有效的管理工具 现在市面上有许多项目管理工具，比如Edraw Project。使用项目管理工具可以让项目进度和资源分配情况可视化，有效的实时跟进项目进度，以便及时的根据情况变化做出调整。

project进度计划横道图分享小心得

Project进度计划横道图，分享小心得！ 施工现场进度计划编制，据我所接触的很多项目生产经理并不会用Project软件，这是极为不正常的。今天作为我们施组方案软件课程的内容补充，加个餐，速速上手！ 如果还没有安装Project软件并初步接触使用，请忽略本篇文章。横道图，又叫甘特图，是按条形图的方式表示任务的开始和结束时间，以及依赖关系的方法，横道的长度代表这一任务的工期。如果将每项任务的基准计划的和实际计划的条形图放到一起，就得到了跟踪甘特图，能够比较计划与实际之间的偏差，更直观地了解项目进度。一、操作心得 1、修改非工作日为正常工作日:右击右侧日期栏→选[更改工作时间]→将需要改为工作时间的日期先定后→选取右侧[非 默认工作时间]复选框，确认后即可。 2、网格线：主菜单→格式→网格→选择要修改的线条（左边为工作表和标题，右侧为甘特图）→再修改其线型和颜色。 3、可能制作分级任务（即下面几项工作的总时间）：利用格式工具将其级别上升或下降。 4、更改标题栏字体大小：选中某一列→单击鼠标右键→选择“文本样式”→选择最上部的“要更改的项” →选择“行列标题”→改更字体、字号→确认即可。二、使用步骤 1、输入项目基本信息； 2、输入任务名称、任务持续时间、

建立任务间的逻辑关系；3、检查网络逻辑关系；4、输入资源数据、费用数据；5、保存进度计划和基础数据；6、检查工期和成本目标是否符合要求，不符合则进行调整和优化； 7、将最优计划设置为基准计划；8、打印计划报告(网络图、横道图、资源负荷图)；9、开始实施项目，并分别在7、8、9、10月底各进行一次跟踪和控制。三、采用Project进行项目进度管理 1、整体规划项目——确定要达到的目标，确定资源，建立资源库。考虑项目所受的限制，确定可用于完成项目的时间，以及项目的里程碑和期限。 2、制订计划——计划项目开始和结束的时间，确定项目所有的任务及其执行者；任务工作量和时间估计，确定任务相关性，将资源分配到各项任务。 3、优化管理——优化的目标是：对已制订好的项目计划通过不同的手段和方案以实现降低项目成本和缩短项目工期。 4、项目跟踪——跟踪项目的进程，对实际数据与原计划的值进行比较。找出差异，再进行调整，周而复始地进行计划、执行、比较、调整。 5、项目结束——项目结束后，将初始计划与项目实际进程进行比较，建立项目文件档案，将项目信息和数据进行存档。End Project软件安装、学习使用，欢迎报名我们的学习课程，详情可加微信：jishufz，了解！

project2007教程2：设置“甘特图”图表格式

project2007教程：设置“甘特图”视图的图表部分的格式 Microsoft Office Project 的默认视图是甘特图视图（甘特图：一种预定义的视图，在视图的左侧显示项目任务，在视图的右侧显示与任务工期对应的条形图。），此视图的左侧显示项目任务，视图的右侧显示与 任务的工期对应的条形图。Project 中还有许多其他类型的甘特图视图，包括详细甘特图、调配甘特图、多 比较基准甘特图和跟踪甘特图。您可以在Microsoft Office Project 中自定义这些视图的图表部分以更好地 满足您的需要。例如，您可以更改非工作时间的显示方式，或者可能希望设置甘特图视图的格式以快速标 识特定任务，或者可能希望向特定条形图添加文本以帮助您标识它们。 提示您可以使用向导自动设置甘特图视图的格式。您可以即时更改项（如关键路径（关键路径：为使项目按时完成而必须按时完成的系列任务。关键路径上的每项任务都是关键任务。））的格式，显示相关任 务（任务相关性：两个链接任务之间的关系；通过完成日期和开始日期之间的相关性进行链接。有四种任 务相关性类型：“完成-开始”(FS)、“开始-开始”(SS)、“完成-完成”(FF) 和“开始-完成”(SF)。）之间的链接线（链接线：在“甘特图”和“网络图”上，显示在两个任务之间以表明任务相关性的线。），或者选择用于表示摘 要任务（摘要任务：由子任务组成并对这些子任务进行汇总的任务。可使用大纲来创建摘要任务。Project 自动使用子任务中的信息确定摘要任务信息（例如，工期和成本）。）、子任务（子任务：摘要任务组成部分中的一个任务。子任务信息可合并到摘要任务中。使用Project 大纲功能可指定子任务。）或里程碑（里程碑：一个标志项目中的主要事件，并用于监视项目进度的参考点。任何工期为零的任务都自动显示为里 程碑，也可以将具有任意工期的其他任务标记为里程碑。）的甘特条形图的颜色选项和图案。若要启动向 导，请在“格式”菜单中，单击“甘特图向导”。 请记住，对一个甘特图视图进行的任何更改不会改变其他甘特图视图的外观。 本文内容 更改甘特条形图的颜色、形状或图案 创建新类型的甘特条形图 向甘特条形图添加文本 在摘要任务条形图（总成）上显示单个甘特条形图对应的任务名称 更改甘特条形图的高度 更改甘特条形图之间链接线的外观 更改甘特条形图的颜色、形状或图案

甘特图项目进度表模板

甘特图项目进度表模板 导语： 在互联网行业竞争日益激烈的今天，思维导图软件也层出不穷，有的确实是良心好用，比如Edraw Project项目管理软件软件。虽然软件才上线不久，但确实是一款用心在为用户考虑的软件，海量素材，大量模板。用它来制作一个实用的甘特图，简直毫不费力。 在很多项目管理中，都会使用到项目管理类软件进行项目管理和甘特图的绘制。为了能有效进行任务安排、进度管理、生成报表，并制作出漂亮、专业的甘特图，Edraw Project不仅提供了实用的甘特图制作功能，还能帮助你进行高效的任务管理。 接下来，小编将为你介绍在Edraw Project项目管理软件中，如何修改甘特图样式。 【修改甘特图主题样式】 首先，打开一张设置好的甘特图。 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ 在软件上方的菜单栏中，将菜单切换至“视图”界面，并在右侧主题中选择样式。

将鼠标移动至不同主题上，画布中的甘特图样式就会自动进行切换，鼠标左键单击，即可选中该样式。 【设置列】 打开“视图”菜单栏下的“设置列”，在这里可以自由选择需要显示的列，及其显示的顺序，如下图所示：

【设置完成进度】 方法1：在右侧进度条中，直接进行拖动。如下图所示，当鼠标变成带有左右双向箭头时，可以往左或往右进行拖动，直接调整任务完成进度。 方法2：如果你觉得方法1不够精准，可以在右侧任务面板中，手动输入完成百分比进行设置。

使用Edraw Project，无需学习复杂的软件，你也可以轻松自制外观专业的甘特图。你只需从我们的设计团队创建的精美模板和布局中进行选择，然后通过更改颜色，字体和其他元素来自定义你选择的模板或布局。 获取更多项目管理软件支持与帮助： https://https://www.doczj.com/doc/2d5491215.html,/download/edrawproject/

如何使用project甘特图软件进行项目管理

如何使用project甘特图软件进行项目管理 导读： 项目管理是商业领域里的一种常见的运作行为，是指运用专业技能、工具、方法、人力等有限资源完成既定任务的过程。我们在工作中会经常要用到甘特图，这也是一种项目管理的工具，本文就来为大家介绍一下如何用专业的甘特图软件进行项目管理。 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ Edraw Project 软件的下载与安装 获取Edraw Project软件，是开启项目管理之前的准备工作。从Edraw Project官方网站，即可免费下载这款软件。 完成下载后，双击【EdrawProject.exe】文件，开始确认安装。整个安装过程仅需1分钟左右。

Edraw Project 软件的使用 甘特图是项目管理领域里，最为常用的一种图示。因此，我们可以使用Edraw Project绘制甘特图。在绘制甘特图的过程，你将学会如何新建甘特图，如何添加任务信息，如何生成各类报表等。 1、新建甘特图 新建甘特图的操作较为简单，双击运行软件，单击新建，即可打开画布。 2、添加任务信息 添加任务的方法有三种，分别是顶部菜单栏按钮、右键菜单按钮和快捷键按钮。每一行内容都可以进行编辑。

温馨提示： Edraw Project软件顶部“开始”菜单中拥有丰富的编辑选项，比如插入链接、添加里程碑、降级任务等等，通过这些功能按键，只需简单几步操作就能轻松实现你想要的效果。 3、编辑资源 资源编辑功能是一种高级的甘特图功能，项目管理者可以在该面板设置资源的类型，成本价格以及名称等等。一个任务中会包含多个不同的资源，这些资源的组合会生成各类的报告。

绘制甘特图的步骤

绘制甘特图的步骤： 1.明确项目牵涉到的各项活动、项目。内容包括项目名称（包括顺序）、开始时间、工期，任务类型（依赖/决定性）和依赖于哪一项任务。 2.创建甘特图草图。将所有的项目按照开始时间、工期标注到甘特图上。 3.确定项目活动依赖关系及时序进度。使用草图，并且按照项目的类型将项目联系起来，并且安排。 此步骤将保证在未来计划有所调整的情况下，各项活动仍然能够按照正确的时序进行。也就是确保所有依赖性活动能并且只能在决定性活动完成之后按计划展开。 同时避免关键性路径过长。关键性路径是由贯穿项目始终的关键性任务所决定的，它既表示了项目的最长耗时，也表示了完成项目的最短可能时间。请注意，关键性路径会由于单项活动进度的提前或延期而发生变化。而且要注意不要滥用项目资源，同时，对于进度表上的不可预知事件要安排适当的富裕时间（Slack Time）。但是，富裕时间不适用于关键性任务，因为作为关键性路径的一部分，它们的时序进度对整个项目至关重要。 4.计算单项活动任务的工时量。 5.确定活动任务的执行人员及适时按需调整工时。 6.计算整个项目时间

网上有人总结过可以替代MS Project的甘特图制作或者浏览软件，我没有用过那么多，仅仅就我用过的除了MS Project之外的3款做一下总结介绍。根据我用到的一个MS Project建立的.MPP文件，对3款软件做一个比较。 下图就是用MS Project 2003制作的MPP工程图，界面很简直，看起来也很清晰，一目了然，我的目的就是用别的软件也能得到同样的界面和效果。 第一款：GanttProject 很多人网上极力推荐的，开源+免费的软件，而且体积小巧，最新版的Windows版本仅仅才8.6M，可谓是“短小精悍”，而且还提供免安装版下载，很体贴，有中文语言。 但是这款软件默认打开的是.gan和.xml格式的文件，要编辑.mpp需要先进行导入，当然并不麻烦。 但是看下面两幅图就可以知道并没有达到我的要求，软件将一个MPP的内容分成了两块分别显示，资源单独拿出来放在另一个页面上，不容易将两边对应。而且看右侧的时间线不难发现上面没有带资源名称，对应起来有些吃力。我试图进行调整也没有得到我想要的界面。 软件主页地址：https://www.doczj.com/doc/2d5491215.html, 第二款：OpenProj 免费+开源+跨平台的产品，一看界面就知道是用Java开发的，所以需要机器上装有JRE，不过软件更加精巧，最新版只有6.4M，而且有中文版。得让我欣喜的是虽然Java的界面做的不是很精美，但是得到了和Visio下面一模一样的效果，对中文的支持也非常好。 这款软件支持格式有Projity (.pod), MS Project(.mpp, .mpx), .xml, Gnome Planner(*.planner)，默认就可以关联打开.MPP文件，还能进行制作和编辑。我个人是非常推荐的！ 软件主页：https://www.doczj.com/doc/2d5491215.html,/?q=node/21 下载页面：https://www.doczj.com/doc/2d5491215.html,/project/showfiles.php?group_id=199315 第三款：LiveProject Viewer（免费版） 这款软件只能查看.MPP文件，如果要想编辑，那就得花$购买高级版本了。不过能够使用免费版的Viewer已经很不错了，能够满足大多数人包括我的需求了，我不负责做规划，不需要创作。 他们自己的介绍是这样的：LiveProject Viewer是免费的项目查看器，可以用来查看Microsoft Project文件。它可以查看任务、甘特图、资源和其他

如何绘制个人计划甘特图

如何绘制个人计划甘特图 导语： EdrawProject 是亿图新推出的一款专业的项目管理软件。它可以轻松创建甘特图帮助您进行项目规划，资源和预算管理等；功能实用且操作简单，是您进行项目管理的好帮手。 在很多项目管理中，都会使用到项目管理类软件进行项目管理和甘特图的绘制。为了能有效进行任务安排、进度管理、生成报表，并制作出漂亮、专业的甘特图，Edraw Project不仅提供了实用的甘特图制作功能，还能帮助你进行高效的任务管理。 接下来，小编将为你介绍在Edraw Project项目管理软件中，如何修改甘特图样式。 【修改甘特图主题样式】 首先，打开一张设置好的甘特图。 免费获取甘特图软件：https://www.doczj.com/doc/2d5491215.html,/project/gantt/ 在软件上方的菜单栏中，将菜单切换至“视图”界面，并在右侧主题中选择样式。

将鼠标移动至不同主题上，画布中的甘特图样式就会自动进行切换，鼠标左键单击，即可选中该样式。 【设置列】 打开“视图”菜单栏下的“设置列”，在这里可以自由选择需要显示的列，及其显示的顺序，如下图所示：

【设置完成进度】 方法1：在右侧进度条中，直接进行拖动。如下图所示，当鼠标变成带有左右双向箭头时，可以往左或往右进行拖动，直接调整任务完成进度。 方法2：如果你觉得方法1不够精准，可以在右侧任务面板中，手动输入完成百分比进行设置。

使用Edraw Project，无需学习复杂的软件，你也可以轻松自制外观专业的甘特图。你只需从我们的设计团队创建的精美模板和布局中进行选择，然后通过更改颜色，字体和其他元素来自定义你选择的模板或布局。 获取更多项目管理软件支持与帮助： https://www.doczj.com/doc/2d5491215.html,/project/gantt/