收藏
下载资源

MA5200与非华为Radius服务器对接测试指导书

上传人:鲁** 文档编号:513342415 上传时间:2023-09-04 格式:DOC 页数:24 大小:138.50KB
返回 下载 相关 举报
MA5200与非华为Radius服务器对接测试指导书_第1页
第1页 / 共24页
MA5200与非华为Radius服务器对接测试指导书_第2页
第2页 / 共24页
MA5200与非华为Radius服务器对接测试指导书_第3页
第3页 / 共24页
MA5200与非华为Radius服务器对接测试指导书_第4页
第4页 / 共24页
MA5200与非华为Radius服务器对接测试指导书_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《MA5200与非华为Radius服务器对接测试指导书》由会员分享,可在线阅读,更多相关《MA5200与非华为Radius服务器对接测试指导书(24页珍藏版)》请在金锄头文库上搜索。

1、MA5200与非华为Radius服务器对接测试指导书1 AAA和RADIUS介绍52 RADIUS协议 72.1 引论 72.2 客户服务器模式 72.3 AAA在协议栈中的位置92.4 RADIUS包结构92.5 数据包的传输和使用举例133 MA5200的认证计费系统173.1 RADIUS模块与业务控制其他模块的关系173.2 功能实现183.2.1 基本的RADIUS协议实现183.2.2 RADIUS协议实现193.2.3 RADIUS1.1协议实现193.3 业务流程与业务特点193.3.1 通过RFC标准RADIUS协议的认证及上线流程193.3.2 Web 认证213.3.3

2、服务器类型(协议类型)223.3.4 配置项223.3.5 认证233.3.6 授权243.3.7 计费253.3.8 用户数据的实时修改253.3.9 话单完整性保证263.3.10 64位流量支持274 MA5200常用RADIUS属性说明274.1 MA5200支持的RADIUS标准属性274.2 华为扩展RADIUS标准协议304.3 业务实现举例315 配置实例说明325.1 测试组网图335.2 配置说明345.2.1 PPP接入RADIUS认证与计费配置实例345.2.2 VLAN绑定接入RADIUS认证与计费配置实例345.2.3 VLANWEB接入RADIUS认证与计费配置实

3、例35 6 常见问题解答366.1 获取调试信息的方法36 RADIUS 调试信息366.3 FAQ407 附录:417.1 测试报告模版417.2 华为Radius标准属性417.3 已对接过计费系统列表417.4 一份实际的测试报告417.5 radius协议简要教程427.5 MA5200话单的产生及保存427.5.1 话单产生427.5.2 保存和读取427.5.3 本地计费话单格式43 MA5200产品Radius对接测试指导书关键词: AAA、RADIUS、PORTAL、PPP、认证、计费、授权。摘 要:本文档为MA5200产品如何与外公司进行Radius对接,提供了基本的对接测试

4、指导。在文中对常用的组网配置、MA5200的radius类属性、如何进行调试、常见问题解答等,进行了较为详细的描述。前 言:本文着重描述了华为MA5200产品的radius特性,目的在于与华为公司以外的radius认证计费系统对接、测试起一定的指导作用。根据此目的,在内容编排上分了七个部分:1.AAA和RADIUS介绍2.RADIUS协议3.MA5200的radius业务流程与特点4.MA5200常用RADIUS属性说明5.配置实例说明6.常见问题解答7.附录:测试报告模版、华为Radius标准属性、已对接过的认证计费系统列表、一份实际的测试报告、radius协议简要教程 MA5200端对接测

5、试人员要求有如下知识准备:1、基本的网络通信知识;2、学习过MA5200开局指导书,了解MA5200的基本工作原理和配置 方法、配置命令;3、学习radius协议简要教程,了解radius的基本工作原理与流程。在此基础上,阅读本文第1、2、3章(如果已熟悉可以跳过),接着按照本文第4、5章进行,在实际过程中可以对照附录一份实际的测试报告进行操作,并填写测试报告模版。1AAA和RADIUS介绍 用户 lqz, lst 要求得到某些服务(如SLIP, PPP,telnet, rlogin)。但必须通 过NAS, 由 NAS依据某种顺序与所连服务器通信从而进行验证。 注:lst 通过拨号进入NAS,

6、 然后NAS按配置好的验证方式(如 PPP PAP, CHAP等)要求lst输入用户名, 密码等信息。 lst 端出现提示,用户按提示输入。通过与NAS 的连接,NAS得到这些信息。而后,NAS把这些信息传递给响应验证或记账的服务器,并根据服务器的响应来决定用户是否可以获得他所要求的服务。AAA是验证,授权和记账(Authentication,Authorization,and Accounting)的简称。它 是运行于NAS上的客户端程序。它提供了一个用来对验证,授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户

7、可以访问网络服务器?具有访问权的用户可以得到哪些服务?如何对正在使用网络资源的用户进行记账?下面简单介绍一下验证, 授权,记账的作用。x验证(Authentication): 验证用户是否可以获得访问权。可以选择使用RADIUS协议。x授权(Authorization) : 授权用户可以使用哪些服务。x记账(Accounting) : 记录用户使用网络资源的情况。AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称。用来管理使用串口和调制解调器的大量分散用户。网络接入服务器简称NAS(Networ

8、k Access Server) 。当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时, NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的验证,授权,记账信息传递给RADIUS服务器。 RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息。RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的。用户的密码加密以后才在网络上传递,以避免用户的密码在不安全的网络上被窃取。 2RADIUS协

9、议 Remote Authentication Dial In User Service(RADIUS) & RADIUS Accouting2.1引论 一个网络允许外部用户通过公用网对其进行访问。于是用户在地理上可以极为分散。大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络,也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动,网络安全就成为很重要的问题了。大量的modem形成了Modem pools。对modem pool 的管理就成为网络接入服务器或路由器的任务。管理的内容有:哪些用户是否可以获得访问权,获得访问权的用

10、户可以允许使用哪些服务,如何对使用网络资源的用户进行记费。AAA很好的完成了这三项任务。 RADIUS 协议的端口号为1812。RADIUS通过建立一个唯一的用户数据库,存储用户名,用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。2.2客户服务器模式 1 用户,NAS,RADIUS 服务器的关系路由器(或NAS)上运行的AAA程序对用户来讲为服务器端,对RADIUS服务器来讲是作为客户端。当用户上网时,路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP。PAP ( Password Authentication

11、Protocol )。用户以明文的形式把用户名和他的密码传递给路由器。 NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 CHAP(Challenge Handshake Authentication Protocol)。当用户请求上网时,路由器产生一个16字节的随机码给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给NAS。NAS根据用户名在NAS端查找本地数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进

12、行加密,将其结果与Response作比较,如果相同表明验证通过,如果不相同表明验证失败。 如果用户配置了RADIUS验证而不是上面所采用的本地验证,过程略有不同。在端口上采用PAP验证: 用户以明文的形式把用户名和他的密码传递给路由器。路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器。根据RADIUS服务器的返回结果来决定是否允许用户上网。在端口上采用CHAP验证: 当用户请求上网时,路由器产生一个16字节的随机码给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生成一个response

13、传给NAS。NAS把传回来的CHAP ID和Response分别作为用户名和密码,并把原来的16字节随机码传给RADIUS服务器。RADIUS根据用户名在服务器端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的Password作比较,如果相同表明验证通过,如果不相同表明验证失败。另外如果验证成功,RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问(Challenge)。 2.3AAA在协议栈中的位置 1 路由器协议栈结构 RADIUS为何采用UDP? NAS和RADIUS服务器之间传递的是一般几十上百个字节长度的数据,并且RADIUS要求特别的定时器管理机制。用户可以容忍几十秒的验证等待时间。当处理大量用户时服务器端采用多线程,UDP简化了服务器端的实现过程。TCP是必须成功建立连接后才能进行数据传输的,这种方式在有大量用户使用的情况下实时性不好。RADIUS要有重传机制和备用服务器机制,它所采用的定时,TCP不能很好的满足。 2.4RADIUS包结构 1 包格式 Code 1 Access- request 2 Access- accept 3 Access- reject 4 Accounting-request 5 Accounting-response 11 Access-challenge

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号