收藏
下载资源

分组域系列之AAA技术原理与部署

上传人:ap****ve 文档编号:118920391 上传时间:2019-12-30 格式:PPT 页数:67 大小:6.81MB
返回 下载 相关 举报
分组域系列之AAA技术原理与部署_第1页
第1页 / 共67页
分组域系列之AAA技术原理与部署_第2页
第2页 / 共67页
分组域系列之AAA技术原理与部署_第3页
第3页 / 共67页
分组域系列之AAA技术原理与部署_第4页
第4页 / 共67页
分组域系列之AAA技术原理与部署_第5页
第5页 / 共67页
点击查看更多>>
资源描述

《分组域系列之AAA技术原理与部署》由会员分享,可在线阅读,更多相关《分组域系列之AAA技术原理与部署(67页珍藏版)》请在金锄头文库上搜索。

1、1 分组域系列之 AAA技术原理与部署 中国电信移动互联网业务维护技能竞赛专用教材 2 CDMA分组核心网产品主要包括 PDSN和AAA设备,本文档将对AAA 进行详细说明介绍。 学习完此课程,您将会: 掌握AAA基本概念与功能 掌握RADIUS协议 了解AAA/ANAAA的业务流程 了解AAA的计费方案与模式 3 4 第第1 1章章 RADIUSRADIUS协议简单介绍协议简单介绍 第2章 AAA功能与应用 第3章计费方案与模式 第4章 ANAAA功能与应用 第5章 现网部署情况 第6章 名词解释 5 第第1 1章章 RADIUSRADIUS协议简单介绍协议简单介绍 第第1 1节节 RADI

2、US RADIUS 基础基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游 RADIUS 基础 6 RADIUS 协议是为用户提供接入的设备(RADIUS客户端)与存放用户认 证信息的设备(RADIUS服务器端)之间交换信息的一个标准方法。 一般由三个部件构成:接入客户端,网络接入服务器,RADIUS服务器。 基于RADIUS的远端接入环境 RADIUS 基础 7 为配置AAA系统,需要了解关于RADIUS包的如下重要信息: RADIUS包携带RADIUS客户端和RADIUS服务器之间的交流的信息。 RADIUS包遵循请求/响应的机制:客户端发送一个请求给

3、服务器,并期待服务 器返回一个响应,如果客户端没有接到响应,那么客户端能够周期性的重发 这个请求。 每一个包都有特定的目的:认证或计费。 一个包可以包含多个值,这些值称为属性。 每个包可包含的属性受到报的类型(认证或计费)以及发送这个包的设备( 如NAS的厂家和型号)的限制。 如果要了解RADIUS包的类型和内容的详细信息,可以查阅RFC 2865中的表格 。这个手册也提供了一些常用属性以及它们的可能取值,要了解计费包的属 性可查阅文档RFC 2866。 RADIUS数据包格式与结构 8 RADIUS客户端和RADIUS服务器通过RADIUS包来进行信息交换。 RADIUS使用UDP/IP作为

4、传输协议: 端口号为:1645/1646(旧)或1812/1813(新) 认证包(Authentication)端口为:1645或1812 计费包(Accounting)端口为:1646或1813 RADIUS数据包的格式为: RADIUS数据包结构如下: Code标识这是一个什么类型的包,1:Access-Request,2:Access-Accept,3:Access- Reject,4:Accounting-Request,5:Accounting-Response 9 第第1 1章章 RADIUSRADIUS协议简单介绍协议简单介绍 第1节 RADIUS 基础 第第2 2节节 RADI

5、USRADIUS 认证认证 第3节 RADIUS 计费 第4节 RADIUS 漫游 RADIUS 认证 10 消息条件消息属性作用 当网络接入设备 (NAS)从用户处 接到一 个连接请求时,NAS将通过发 送一个 Access-Request消息给RADIUS服务器来认 证这 个用户请 求 认证 用户 描述用户想要建立的连接的类型 当RADIUS服务器能够认证这 个连接请求 时,它返回一个Access-Accept消息给它 的客户端(通常为NAS) 允许NAS完成接入协商 配置连接的详细 信息,例如,向NAS提供 一个IP地址,这个IP地址将分配给用户。 为这 个连接提供时间 限制或别的服务类

6、 别信息 当RADIUS服务器不能认证这 个连接请求 时,返回一个Access-Reject消息给客户 端(NAS) 终止接入协商 给出认证 失败原因 为了理解认证过程,我们需要对认证消息有个大概的了解,下 表给出了产生RADIUS消息的条件以及在相应条件下消息中可以 包含的属性,以及这些属性的作用。 RADIUS 认证 11 认证方式: PAP:在PAP(Password Authentication Protocol)协议 中,用户与NAS通过明文方式进行协商,也就是说,用户 在发送密码信息给NAS时不使用加密。 CHAP:CHAP (Challenge Handshake Authent

7、ication Protocol)协议可以避免密码信息在任何网段上以明文形 式传输。 12 第第1 1章章 RADIUSRADIUS协议简单介绍协议简单介绍 第1节 RADIUS 基础 第2节 RADIUS 认证 第第3 3节节 RADIUSRADIUS 计费计费 第4节 RADIUS 漫游 RADIUS 计费 13 消息条件消息属性作用 RADIUS客户端使用Accounting-Request消息发送 计费 数据到服务器端,不同制造商制造的客户端 在不同的条件下会发送不同类型的Accounting- Request消息,这儿描述最典型的情况。 保证RADIUS服务器接收到计费请 求包是客户

8、端的 责任。多数客户端都采用长时间 的周期性重发策 略来保证服务器正确接收到计费请 求包。 在接到RADIUS服务器发来的Access-Accept包之后 ,NAS就是完成与用户之间的接入协商,然后NAS 就会发送一个开始消息(Start)给服务器。 根据Acct-Status-Type属性的取值,计费 消息可以分为:Start,Stop, Interim- Acct, Accounting-On和Accounting-Off几 种。 记录连 接信息,包括:用户名,NAS标示, NAS端口标示,端口类型,连接开始时间 等 。 在连接终止后,NAS会发送一个结束消息(Stop) 给服务器 记录

9、关于这次连接的统计 信息。这个消息 中包含NAS能够记录 的统计 属性的最终值 。 大约每隔10分钟,NAS会发送一个中间消息( Interim-Acct)给服务器 记录 关于这次连接统计 信息的一个“快照” ,这个消息中包含的是NAS能够记录 的统计 属性的当前值 RADIUS 计费 14 消息条件消息属性作用 每次客户端设备 上线(不管是因为当机,还是 由于正常关机导致的下线)时,都会发送一个 Accounting-On消息给服务器 标示这个设备 上线 每次客户端设备 正常关机,在关机之前会发送 一个Accounting-Off消息给服务器 标示这个设备 下线 RADIUS服务器在接收到一

10、个Accounting- Request消息后,会发送一个Accounting- Response消息给客户端 完成请求/响应循环 15 第第1 1章章 RADIUSRADIUS协议简单介绍协议简单介绍 第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第第4 4节节 RADIUSRADIUS 漫游漫游 RADIUS 漫游 代理(Proxy)认证 RADIUS认证消息代理转发过程如下: 1.RADIUS服务器接收到一个Access-Request消息; 2.第一个服务器(代理RADIUS服务器)转发这个请求 消息到第二个服务器(目标RADIUS服务器); 3.

11、目标服务器执行请求的认证服务,并返回一个响应 给代理服务器; 4.代理服务器中继发送响应给最初的RADIUS客户端。 16 RADIUS 漫游 代理(Proxy)计费 RADIUS计费消息代理转发过程如下: 1.RADIUS服务器接收到一个Accounting-Request消息; 2.服务器上代理计费参数的配置将决定对这个请求消息如何动作, 动作可以为: a)转发这个计费请求到目标服务器;或 b)在代理服务器本地记录下计费请求中的计费数据;或 c)a和b都做。 1.如果代理服务器没有收到转发的计费请求包的回复,它会按自己 的重发策略来周期性的重发这个计费请求。 17 RADIUS 漫游 漫游

12、(Proxy)域 漫游域是指使用一个RADIUS服务器池来作为目 标服务器,代理服务器可以转发请求到这个RADIUS 服务器池。 通过配置漫游域,可以实现负载均衡,目标服 务器冗余等功能,还可配置使代理服务器把认证和 计费请求包发送到不同的服务器。 18 19 第1章 RADIUS协议简单介绍 第第2 2章章 AAAAAA功能与应用功能与应用 第3章计费方案与模式 第4章 ANAAA功能与应用 第5章 现网部署情况 第6章 名词解释 20 第第2 2章章 AAAAAA功能与应用功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程

13、第5节 用户授权 AAA基本定义 AAA(Authentication、Authorization、Accouting), 即认证、授权与计费服务器 认证(Authentication)指用户在使用网络系统中的资源时对用 户身份的确认。这一过程,通过与用户的交互获得身份信息(诸 如用户名、口令组合等),AAA服务器对身份信息与存储在数据库 里的用户信息进行核对处理,然后根据处理结果确认用户身份是 否正确。 授权(Authorization)指网络系统授权用户以特定的方式使用其 资源。这一过程指定了被认证的用户在接入网络后能够使用的业 务和拥有的权限,如授予的IP地址。 计费(Accouting

14、)指网络系统收集、记录用户对网络资源的使用 情况,以便向用户收取资源使用费用,或者用于性能统计等目的 。如记录用户数据传送的时间和流量。 21 22 第第2 2章章 AAAAAA功能与应用功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权 CARD 业务流程 23 移动终端 PDSNFAAAHAAA 1 23 45 678 910 CDMA 1X分组网用户认证、计费过程: 1、用户向PDSN发送Username/Password 2、PDSN向FAAA发送Access-Request(包含Username/Pa

15、ssword,PDSN地址,移动终端号码等), FAAA检查PDSN地址是否合法,然后检查Username,确定是本地用户还是漫游用户 3、如果是漫游用户,向HAAA转发Access-Request,HAAA在数据库中查找用户的Profile,检查 Username和Password是否相符,是否要返回特定的属性等 4、HAAA向FAAA发送认证的结果:Access-Accept(包含要返回的特定属性)或Access-Reject 5、FAAA向PDSN转发认证的结果,Access-Accept或Access-Reject 6、PDSN通知用户认证的结果,是否允许访问网络 7、如果认证通过,P

16、DSN向FAAA发送Accounting-Start,包含3GPP2规定的属性及一些厂商专有属性 8、FAAA向HAAA转发Accounting-Start,可以设置本地是否保存一份计费包副本 9、HAAA向FAAA发送Accounting-Response,确认计费包已经收到* 10、FAAA向PDSN转发计费确认包,认证、计费过程结束 *HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接口传送给营帐系统 24 第第2 2章章 AAAAAA功能与应用功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权 WAP 业务流程 25 WAP 业务流程 WAP业务流程如下: 1.用户向PDSN发送Username/Password 2.PDSN向FAAA发送Access-Request(包含

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号