radius+&portal协议与业务流程胶片

《radius+&portal协议与业务流程胶片》由会员分享，可在线阅读，更多相关《radius+&portal协议与业务流程胶片（105页珍藏版）》请在金锄头文库上搜索。

1、Radius+/Portal协议与业务流程,固网产品课程开发室,引入,了解标准radius认证计费基本流程（参考radius原理与应用课件）； 了解标准radius协议的基本知识（参考radius原理与应用课件） ； 了解portal（门户网站）的基本原理（参考相关文档）；,学习本课件前，最好具备如下基本知识： ：,学习目标,掌握radius+认证计费流程 了解portal门户网站业务 了解宽带BAS设备与iTellin智能业务平台对接配合使用过程中常见的业务流程,学习完本课程，您应该能够：,Portal： Portal业务可以看做是一个业务门户、服务门户和内容门户。用户在上网时，可以通过Po

2、rtal入口服务器（Portal Server），来灵活的选择适合用户自己的业务， 用户可以在WWW页面上进行Web认证和各种业务选择。 Portal业务提供有面向于用户的客户服务中心，使得运营商在内容服务的领域中找到了自己的位置，可以提供各种广告充值，提供个性化页面服务和信息服务。同时还提供了一个通讯平台为在Portal Server上开发新业务提供了底层的支持。,基本概念,Radius 与 Radius+： Radius：目前互联网应用中比较流行的用户验证、授权、计费协议。RFC2865/2866/2869定义了标准radius协议的所有规范。 Radius+：各通信设备厂家分别对应于原标

3、准radius协议所未定义到的新应用自行开发定义了一套扩展的radius协议报文和属性，成为radius+协议。在华为iTellin中支持华为radius+1.0和radius+1.1两种radius+协议。,iTellin： 智能业务平台iTellin中包含了portal server和iSCP（宽带业务控制点，相当于radius server）等功能模块。,基本概念,概述,通常标准Radius用户上网过程：,在拨号连接客户端中输入用户名和密码并提交； Modem和交换机进行协商通讯； （等待中，完成BAS与iSCP之间的交互过程） PC上提示登录网络成功。,概述,用户提出上线请求；BAS收

4、到用户的请求后，向iSCP发出Access-Request(code=1)的认证请求报文； iSCP向BAS发出相应的Access-Accept(code=2)或Access-Reject(code=3)响应报文； BAS根据iSCP发回的属性对用户进行配置，同时向iSCP发出Accounting-Request(code=4/start)的计费开始请求报文； iSCP发回相应的计费响应报文； 用户上网过程中，BAS定时向iSCP发出Accounting-Request(Interim-Update)实时计费请求； iSCP发回相应的计费响应报文； 用户提出下线请求；BAS收到用户的请求后，向

5、iSCP发出Accounting-Request(stop)计费结束请求报文； iSCP发回相应的计费响应报文； BAS收到iSCP的计费结束响应报文后，断开用户的连接。,BAS与iSCP之间的交互过程：,概述,Radius+1.0&Portal-Server时用户上网过程：,吸引更多的用户：个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网,仅仅用标准Radius已经不行了！,概述,用Radius+1.0又不行了！,上述两种上网过程不足之处： iSCP总是被动响应BAS发出的各种请求，从而iSCP无法控制管理用户的上网过程； 用户如果出现某种突发的需求，如快速下载或传送很大的文件时需

6、要更大的带宽，此时无法改变带宽等业务属性。,我只申请了256K带宽，但我偶尔也想爽一下,概述,Radius+1.1&Portal-Server时用户上网过程：,概述,Radius+1.1&Portal-Server时用户上网过程，和其它方式相比，主要不同点有： 增加了code=20 Session-Control报文； iSCP主动下发各种控制报文； 用户可以动态改变业务属性。,想变就变！变！,OK,OK,OK!,课程内容,第一章 Radius+ V1.1协议说明 第二章 Portal V2.0 协议说明 第三章 业务流程实例分析 第四章 典型案例分析,Radius需求背景,Radius协议包

7、格式,各个域的解释： 1、Code：包类型；1字节；指示RADIUS包的类型。 2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。 3、Length：包长度；2字节；整个包的长度。 4、Authenticator：验证字；16字节；用于对包进行签名。 5、Attributes: 属性。,Radius协议包各个域解释,RadiusV1.1 报文种类：,Radius协议包：code域,Session-control报文： 报文中的必须有一个自定义的子属性为Command，内容为4字节的整数。其取值表示四种报文： 1）Trigger-

8、Request ：控制radius client触发Access-Request。 2）Terminate-Request：控制radius client主动断开用户连接。 3）SetPolicy：表示认证成功后，iSCP主动改变策略，如带宽、重定向策略、业务选择等。 4）Result：表示Trigger-Request、SetPolicy的结果；Terminate-Request没有对应的结果。,Session-control 报文,Session-control 报文,Session-control报文： 由于报文由Server主动发起，则identifier值无效。 1）对于Trigge

9、r-Request报文，Client可以根据Framed-IP-Address找到连接。 2）对于Terminate-Request和SetPolicy报文，Client可以根据Connect-Id找到连接；,Session-control 报文,Session-control 报文属性,注：1表示该种属性在该种报文中一定要出现；0表示该种属性在该种报文中一定不要出现； 0-1表示有可能出现，也可能不出现。,User-Name（1）： 要求小于28字符。如果是PPP用户，则用户名的内容是由用户输入的。例如：用户输入的用户名格式是“USERNAMEISP”。 Trigger-Request报文中

10、的UserName不能为空字符串。,session-control 报文属性：,Session-control 报文属性,Command（20）： 整数类型。报文类型，有四种取值： 1：Trigger-Request 2：Terminate-Request 3：SetPolicy 4：Result,session-control 报文属性：,Session-control 报文属性,带 宽（16）： 6个带宽属性要么一起出现，要么都不出现。如果出现，则改变带宽。 Input-Peak-Rate： 上行峰值速率 Input-Average-Rate： 上行平均速率 Input-Basic-Rat

11、e： 上行基本速率 Output-Peak-Rate： 下行峰值速率 Output-Average-Rate： 下行平均速率 Output-Basic-Rate： 下行基本速率,session-control 报文属性：,Session-control 报文属性,Filter-ID（11）： 同RFC2865定义。最多28字节。 用来描述filter list的名字。通过该属性来控制用户是否能访问Internet、只能访问城域网、只能访问Portal。 Filter-ID中包含，ACL组和互访组。格式为“ACL组互访组”。两个组都以ASCII字符的形式出现。如果只改变ACL组，则格式为“ACL

12、组”；如果只改变互访组，则格式为“互访组”。,session-control 报文属性：,Session-control 报文属性,ISP-ID（17）： 字符串类型。标识ISP。 可用于动态改变ISP。,Control-Identifier（26）： iTellin每一次下发Session-Control时，都会分配一个Control-Identifier。 对于同一个会话，如果是重发的报文，则Control-Identifier相同；如果不是重发报文，则Control-Identifier不同。 Client收到Session-Control后，回Accounting-Request（Re

13、setCharge）时需带回Control-Identifier属性，值不变。发Session-Control（Result）时也带回Control-Identifier属性，值不变。,session-control 报文属性：,Session-control 报文属性,Result-Code（25）： 反馈打开端口成功与否的信息。,session-control 报文属性：,Session-control 报文属性,Session-control 报文：Trigger-Request,1）Server操作：由iSCP主动下发控制client触发access-request的报文。如果iSCP

14、未收到Session-Control（Result），则定时重发Session-Control（Trigger-Request），再超时后将释放会话。 2）Client操作： Client收到Trigger-Request报文后应触发access-request报文，走完标准radius的认证、计费（start）流程后再回应Session-Control（Result）报文，其Result-Code=0。 如果Client收到重发的Trigger-Request报文而此时又已收到Accounting-Request（Start）的响应，则直接返回Session-Control（Result），

15、其Result-Code=0。 3）报文描述： A）Server可以主动发送Trigger-Request报文。Trigger-Request报文必须（must）包含属性：UserName、Framed-IP-Address，不能（must not）包含User-Password属性。 B）Clients收到Trigger-Request报文后，应该（should）给Server发送Session-Control（Result）报文，响应报文必须（must）包含Result-Code属性，如果Result-Code0,表示Clients打开端口成功；非0,表示Clients打开端口失败，并且R

16、esult-Code指明了失败的原因。,session-control 报文：Trigger-Request,Session-control 报文：Trigger-Request,Session-control 报文：Terminate-Request,1）Server操作 iSCP要求主动终端用户连接会向client主动下发该终止请求报文。 待iSCP收到client上报的Accounting-Request（stop）后，就认为Client已收到Terminate-Request，不再重发；否则定时重发。 2）Client操作： A）Client收到该报文后，上报Accounting-Request （stop）；如果Client收到Terminate-Request前，已发了Accounting-Request（非stop），而未收到Accounting-Response，则Client直接向Server发Accounting-Request（stop），不等待上一个计费请求的响应。 B）如果Client收到Terminate-Req