2019-RADIUS协议原理及应用ppt课件

《2019-RADIUS协议原理及应用ppt课件》由会员分享，可在线阅读，更多相关《2019-RADIUS协议原理及应用ppt课件（56页珍藏版）》请在金锄头文库上搜索。

1、RADIUS协议原理及应用培训组 赵俭,锐捷网络技术培训系列课程-（中级）,培训目标,了解RADIUS协议基本概念； 熟悉RADIUS协议报文结构； 熟悉RADIUS协议工作原理；,提纲,RADIUS协议介绍 RADIUS协议报文结构 NAS设备RADIUS部分配置 RADIUS系统下用户认证过程,前言,企业要求只有授权的用户才能访问自己的内部网络，教育网采取根据流量计费的策略，VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题：如何对用户进行认证和计费？ 一种常见的认证计费方法RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一，它简单安

2、全，易于管理，扩展性好，所以得到广泛应用。,RADIUS协议简介,RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称，是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。,RADIUS协议简介,Authentication，Authorization，and Accounting三种安全功能，简称AAA。 Authentication 认证，用于判定用户是否

3、可以获得访问权，限制非法用户； Authorization 授权，授权用户可以使用哪些服务，控制合法用户的权限； Accounting 计账，记录用户使用网络资源的情况,为收费提供依据；,RADIUS协议简介,RADIUS协议具有以下特点： 客户端/服务器结构； 采用共享密钥保证网络传输安全性； 良好的可扩展性； 认证机制灵活； RADIUS 协议承载于UDP 之上，官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866中定义。锐捷网络RG-SAM系统和NAS设备之间的通讯，采用的是RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对

4、RADIUS作了扩展，我们公司也对其进行了扩展。,RADIUS协议简介,AAA的工作过程可以分为如下几步： 终端用户（客户端系统）向NAS设备发出网络连接请求； NAS收集用户输入的用户名和口令，并转发给AAA服务器； AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS设备，可能是接受、拒绝或其它（如challenge）； NAS设备根据返回的结果决定接通或者断开终端用户； 如果认证通过继续以下步骤； 服务器对用户进行授权，NAS设备根据授权结果对用户上网环境进行配置； 如需计费，NAS设备将在用户上下线及上网期间内收集用户网络资源使用情况，将数据送交记帐服务器； 13916

5、630329,RADIUS协议报文结构,数据链路层,IP网络层,UDP,物理层,TCP,RADIUS,RADIUS协议在报文中的位置,RADIUS协议报文结构,Radius协议报文格式 RADIUS报文格式如下图所示，各域内容按照从左向右传送 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+

6、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,Code确定RADIUS数据包的类型，编码如下： 1 接入请求(Access-Request） 2 接入允许(

7、Access-Accept) 3 接入拒绝(Access-Reject) 4 记账请求(Accounting-Request) 5 记账回应(Accounting-Response) 11接入询问(Access-Challenge) 12服务器状态(Status-Server (experimental) 13客户机状态(Status-Client (experimental) 255保留(Reserved),RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,标识符域：一个字节，用于匹配请求与回应。如果在一个很短的时间片段里

8、，一个请求有相同的客户源IP地址、源UDP端口号和标识符，RADIUS服务器会认为这是上一个重复的请求。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,长度域：两个字节，它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待，在接收时忽略它。如果包的长度比指定的短，则此包会被直接丢弃。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,认证字域：十六个字节。用于Radius Client和Server

9、之间消息认证的有效性，和密码隐藏算法。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,类型域： 一个字节，后边有详细的列表； 长度域： 一个字节，它指定了包括类型、长度和值域在内的属性长度； 值 域： 可以为零或者多个字节，包括属性的详细信息。值域的格式和长度由域的类型和长度决定；,RADIUS协议报文结构,Attribute Type的值为1-255，分为三类： 标准属性 Radius最基本的属性定义在RFC2865和RFC2866中，如用户名、密码、计费和常用授权信息等； 扩展标准属性 RFC2867-2869是Ra

10、dius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持EAP等）的属性； 扩展私有属性 即26号属性，属性值由厂商自己定义；,RADIUS报文格式,1 用户名 User-Name 2 用户密码 User-Password 3 CHAP密码 CHAP-Password 4 NAS IP地址 NAS-IP-Address 5 NAS端口 NAS-Port 6 服务类型 Service-Type 7 帧协议 Framed-Protocol 8 分帧IP地址配置 Framed-IP-Address 9 IP网络掩码配置 Framed-IP-Netmask 10 路由方法配置 Frame

11、d-Routing 11 筛选器标识 Filter-Id 12 最大传输单元配置 Framed-MTU 13 压缩协议配置 Framed-Compression 14 登录的主机IP 地址 Login-IP-Host 15 登录的服务 Login-Service 16 登录的TCP端口 Login-TCP-Port 17 未分配 (unassigned) 18 回复消息 Reply-Message 19 回叫电话号码 Callback-Number 20 回叫ID Callback-Id 21 未分配 (unassigned) 22 路由配置 Framed-Route,23 IPX网络数字配置

12、 Framed-IPX-Network 24 状态 State 25 类别 Class 26 供应商细节 Vendor-Specific 27 会话时限 Session-Timeout 28 空闲时限 Idle-Timeout 29 终止动作 Termination-Action 30 用户拨打的电话号码 Called-Station-Id 31 用户打出的电话号码 Calling-Station-Id 32 网络接入服务器标识符 NAS-Identifier 33 代理状态 Proxy-State 34 登录的LAT服务 Login-LAT-Service 35 登录的LAT节点 Login

13、-LAT-Node 36 登录的LAT组 Login-LAT-Group 37 AppleTalk链路配置 Framed-AppleTalk-Link 38 AppleTalk网络配置 Framed-AppleTalk-Network 39 AppleTalk区域配置 Framed-AppleTalk-Zone 40-59 为记账保留 (reserved for accounting) 60 CHAP盘问 CHAP-Challenge 61 网络接入服务器端口类型 NAS-Port-Type 62 端口数限制 Port-Limit 63 登录的LAT端口 Login-LAT-Port,NAS设

14、备RADIUS部分配置,NAS设备RADIUS部分配置，S21和S35系列交换机为例 配置交换机与RADIUS SERVER 之间的通讯 Switch(config)#radius-server host 1.1.1.1 Switch(config)#radius-server key ruijie 交换机打开全局802.1X认证开关 Switch(config)#aaa authentication dot1x Switch(config)#end 配置交换机SNMP协议 Switch(config)#snmp-server community public rw,NAS设备RADIUS部分

15、配置,配置RADIUS记帐 Switch(config)#aaa accounting server 1.1.1.1 Switch(config)#aaa accounting 配置端口为认证端口 Switch(config)#interface rang f 0/1-23 Switch(config-if)#dot1x port-control auto 启动异常下线和记帐更新功能 Switch(config)#dot1x client-probe enable Switch(config)#dot1x accout-update-interval 600,RADIUS系统下用户认证过程,S

16、AM系统是锐捷网络自主研发的集安全、认证、计费和管理于为一体的网络管理平台，它是基于标准的RADIUS协议开发的，整个系统由以下三个部分组成： 恳请者（SU，安装锐捷认证客户端软件的PC）； 认证者（NAS，接入层交换机)； 认证服务器(RADIUS SERVER，RG-SAM)； 下面从恳请者发起认证认证成功退出认证的整个过程中，通过SNIFFER软件抓取到的报文对每个过程作详细分析；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文1：EAPOL-Start 首先由客户端发起一个带有组播目的MAC地址为“0180-C200-0003”的802.1X数据帧，其中802.1