RADIUS协议原理及应用

《RADIUS协议原理及应用》由会员分享，可在线阅读，更多相关《RADIUS协议原理及应用（40页珍藏版）》请在金锄头文库上搜索。

1、RADIUS协议原理及应用培训组 赵俭,锐捷网络技术培训系列课程-（中级）,培训目标,了解RADIUS协议基本概念；熟悉RADIUS协议报文结构；熟悉RADIUS协议工作原理；,提纲,RADIUS协议介绍RADIUS协议报文结构 NAS设备RADIUS部分配置RADIUS系统下用户认证过程,前言,企业要求只有授权的用户才能访问自己的内部网络，教育网采取根据流量计费的策略，VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题：如何对用户进行认证和计费？ 一种常见的认证计费方法RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一，它简单安全，易于

2、管理，扩展性好，所以得到广泛应用。,RADIUS协议简介,RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称，是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。,RADIUS协议简介,Authentication，Authorization，and Accounting三种安全功能，简称AAA。Authentication 认证，用于判定用户是否可以获得访

3、问权，限制非法用户； Authorization 授权，授权用户可以使用哪些服务，控制合法用户的权限； Accounting 计账，记录用户使用网络资源的情况,为收费提供依据；,RADIUS协议简介,RADIUS协议具有以下特点：客户端/服务器结构；采用共享密钥保证网络传输安全性；良好的可扩展性；认证机制灵活； RADIUS 协议承载于UDP 之上，官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866中定义。锐捷网络RG-SAM系统和NAS设备之间的通讯，采用的是RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对RADIUS作了扩

4、展，我们公司也对其进行了扩展。,RADIUS协议简介,AAA的工作过程可以分为如下几步：终端用户（客户端系统）向NAS设备发出网络连接请求；NAS收集用户输入的用户名和口令，并转发给AAA服务器；AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS设备，可能是接受、拒绝或其它（如challenge）；NAS设备根据返回的结果决定接通或者断开终端用户；如果认证通过继续以下步骤；服务器对用户进行授权，NAS设备根据授权结果对用户上网环境进行配置；如需计费，NAS设备将在用户上下线及上网期间内收集用户网络资源使用情况，将数据送交记帐服务器；13916630329,RADIUS协议报文

5、结构,数据链路层,IP网络层,UDP,物理层,TCP,RADIUS,RADIUS协议在报文中的位置,RADIUS协议报文结构,Radius协议报文格式RADIUS报文格式如下图所示，各域内容按照从左向右传送0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier | Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

6、+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Authenticator |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Attributes .+-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,Code确定RADIUS数据包的类型，编码如下：1 接入请求(Access-Request）2 接入允许(Access-Accept)3 接入拒绝(Access-R

7、eject) 4 记账请求(Accounting-Request)5 记账回应(Accounting-Response)11接入询问(Access-Challenge)12服务器状态(Status-Server (experimental)13客户机状态(Status-Client (experimental)255保留(Reserved),RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,标识符域：一个字节，用于匹配请求与回应。如果在一个很短的时间片段里，一个请求有相同的客户源IP地址、源UDP端口号和标识符，RADIUS

8、服务器会认为这是上一个重复的请求。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,长度域：两个字节，它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待，在接收时忽略它。如果包的长度比指定的短，则此包会被直接丢弃。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,认证字域：十六个字节。用于Radius Client和Server之间消息认证的有效性，和密码隐藏算法。,RADIUS协议报文结构,Co

9、de,Identifier,Length,Authenticator,Attribute,类型域： 一个字节，后边有详细的列表；长度域： 一个字节，它指定了包括类型、长度和值域在内的属性长度；值 域： 可以为零或者多个字节，包括属性的详细信息。值域的格式和长度由域的类型和长度决定；,RADIUS协议报文结构,Attribute Type的值为1-255，分为三类：标准属性 Radius最基本的属性定义在RFC2865和RFC2866中，如用户名、密码、计费和常用授权信息等；扩展标准属性 RFC2867-2869是Radius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持EAP等

10、）的属性；扩展私有属性 即26号属性，属性值由厂商自己定义；,RADIUS报文格式,1 用户名 User-Name2 用户密码 User-Password3 CHAP密码 CHAP-Password4 NAS IP地址 NAS-IP-Address5 NAS端口 NAS-Port6 服务类型 Service-Type7 帧协议 Framed-Protocol8 分帧IP地址配置 Framed-IP-Address9 IP网络掩码配置 Framed-IP-Netmask10 路由方法配置 Framed-Routing11 筛选器标识 Filter-Id12 最大传输单元配置 Framed-MTU

11、13 压缩协议配置 Framed-Compression14 登录的主机IP 地址 Login-IP-Host15 登录的服务 Login-Service16 登录的TCP端口 Login-TCP-Port17 未分配 (unassigned)18 回复消息 Reply-Message19 回叫电话号码 Callback-Number20 回叫ID Callback-Id21 未分配 (unassigned)22 路由配置 Framed-Route,23 IPX网络数字配置 Framed-IPX-Network24 状态 State25 类别 Class26 供应商细节 Vendor-Spec

12、ific27 会话时限 Session-Timeout28 空闲时限 Idle-Timeout29 终止动作 Termination-Action30 用户拨打的电话号码 Called-Station-Id31 用户打出的电话号码 Calling-Station-Id32 网络接入服务器标识符 NAS-Identifier33 代理状态 Proxy-State34 登录的LAT服务 Login-LAT-Service35 登录的LAT节点 Login-LAT-Node36 登录的LAT组 Login-LAT-Group37 AppleTalk链路配置 Framed-AppleTalk-Link

13、38 AppleTalk网络配置 Framed-AppleTalk-Network39 AppleTalk区域配置 Framed-AppleTalk-Zone40-59 为记账保留 (reserved for accounting)60 CHAP盘问 CHAP-Challenge61 网络接入服务器端口类型 NAS-Port-Type62 端口数限制 Port-Limit63 登录的LAT端口 Login-LAT-Port,NAS设备RADIUS部分配置,NAS设备RADIUS部分配置，S21和S35系列交换机为例配置交换机与RADIUS SERVER 之间的通讯 Switch(config)#radius-server host 1.1.1.1 Switch(config)#radius-server key ruijie交换机打开全局802.1X认证开关Switch(config)#aaa authentication dot1xSwitch(config)#end配置交换机SNMP协议Switch(config)#snmp-server community public rw,