51CTO下载-Radius_Portal协议与业务流程胶片-XXXX

Radius+/Portal协议与业务流程固网产品课程开发室引入了解标准radius认证计费基本流程（参考《radius原理与应用》课件）；了解标准radius协议的基本知识（参考《radius原理与应用》课件）；了解portal（门户网站）的基本原理（参考相关文档）；学习本课件前，最好具备如下基本知识：：学习目标掌握radius+认证计费流程了解portal门户网站业务了解宽带BAS设备与iTellin智能业务平台对接配合使用过程中常见的业务流程学习完本课程，您应该能够：Portal：Portal业务可以看做是一个业务门户、服务门户和内容门户。用户在上网时，可以通过Portal入口服务器（PortalServer），来灵活的选择适合用户自己的业务，用户可以在WWW页面上进行Web认证和各种业务选择。Portal业务提供有面向于用户的客户服务中心，使得运营商在内容服务的领域中找到了自己的位置，可以提供各种广告充值，提供个性化页面服务和信息服务。同时还提供了一个通讯平台为在PortalServer上开发新业务提供了底层的支持。基本概念Radius与Radius+：Radius：目前互联网应用中比较流行的用户验证、授权、计费协议。RFC2865/2866/2869定义了标准radius协议的所有规范。Radius+：各通信设备厂家分别对应于原标准radius协议所未定义到的新应用自行开发定义了一套扩展的radius协议报文和属性，成为radius+协议。在华为iTellin中支持华为radius+1.0和radius+1.1两种radius+协议。iTellin：智能业务平台iTellin中包含了portalserver和iSCP（宽带业务控制点，相当于radiusserver）等功能模块。基本概念概述ISCPBASUser用户上线需求认证configuser上线过程下线过程用户下线Access-Request(code=1)Access-Accept(2)/Access-Reject(3)Accounting-Request(4/start)Accounting-Response(5)Accounting-Request(4/stop)Accounting-Response(5)configuserAccounting-Request(4/Interim-Update)Accounting-Response(5)实时计费通常标准Radius用户上网过程：1.在拨号连接客户端中输入用户名和密码并提交；2.Modem和交换机进行协商通讯；3.…（等待中，完成BAS与iSCP之间的交互过程）4.PC上提示登录网络成功。概述1.用户提出上线请求；BAS收到用户的请求后，向iSCP发出Access-Request(code=1)的认证请求报文；2.iSCP向BAS发出相应的Access-Accept(code=2)或Access-Reject(code=3)响应报文；3.BAS根据iSCP发回的属性对用户进行配置，同时向iSCP发出Accounting-Request(code=4/start)的计费开始请求报文；4.iSCP发回相应的计费响应报文；5.用户上网过程中，BAS定时向iSCP发出Accounting-Request(Interim-Update)实时计费请求；6.iSCP发回相应的计费响应报文；7.用户提出下线请求；BAS收到用户的请求后，向iSCP发出Accounting-Request(stop)计费结束请求报文；8.iSCP发回相应的计费响应报文；9.BAS收到iSCP的计费结束响应报文后，断开用户的连接。BAS与iSCP之间的交互过程：概述ISCPRadius认证计费过程BASUser用户登录访问页面configuserPortal需求认证(username，password)Portal交互过程Portal交互过程上线过程通过Portal注销Portal交互过程Radius停止计费过程configuserPortal交互过程通知用户上线成功通知用户下线成功下线过程Radius+1.0&Portal-Server时用户上网过程：吸引更多的用户：个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网……仅仅用标准Radius已经不行了！概述用Radius+1.0又不行了！上述两种上网过程不足之处：•iSCP总是被动响应BAS发出的各种请求，从而iSCP无法控制管理用户的上网过程；•用户如果出现某种突发的需求，如快速下载或传送很大的文件时需要更大的带宽，此时无法改变带宽等业务属性。我只申请了256K带宽，但我偶尔也想爽一下……ISCPRadius认证计费过程BASUser用户登录访问页面Portal需求认证(username，password)上线过程显示上线成功信息下线过程PSCP认证请求Session-Control(Trigger-request)Session-Control(result)认证成功动态改变业务属性过程动态改变业务属性动态改变业务属性Session-Control(SetPolicy)Radius计费过程(ResetCharge)Session-Control(result)显示成功信息改变属性成功注销注销Session-Control(Terminate)Radius计费过程(stop)显示成功信息注销成功概述Radius+1.1&Portal-Server时用户上网过程：概述Radius+1.1&Portal-Server时用户上网过程，和其它方式相比，主要不同点有：增加了code=20Session-Control报文；iSCP主动下发各种控制报文；用户可以动态改变业务属性。OK,OK,OK!课程内容第一章Radius+V1.1协议说明第二章PortalV2.0协议说明第三章业务流程实例分析第四章典型案例分析Radius＋需求背景标准Radius协议的不足之处Radius＋1.1协议支持的特性不能处理和保证用户对于服务质量的动态需求——带宽动态下发支持动态改变服务质量——动态带宽下发不支持服务器主动下发控制报文支持服务器主动激活端口；支持服务器主动中断连接；Radius＋与标准Radius共性：1）Radius+协议与Radius一样，通过UDP通讯；2）采用重传确认机制以确保接收；3）安全性：A）密码加密：使用客户端与服务器端的共享密钥通过MD5算法对用户口令进行加密，使得口令和密钥不会在网上明文传送；B）包签名：有16字节的验证字用于对报文进行签名，以确定收到的报文为合法报文。Packet:012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|||Authenticator|||||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-Attribute:012012345678901234567890+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|Type|Length|Value...+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-Radius协议包格式各个域的解释：1、Code：包类型；1字节；指示RADIUS包的类型。2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。3、Length：包长度；2字节；整个包的长度。4、Authenticator：验证字；16字节；用于对包进行签名。5、Attributes:属性。Radius协议包各个域解释Radius＋V1.1报文种类：Radius协议包：code域code报文类型说明1Access-Request认证请求报文2Access-Accept认证响应报文3Access-Reject认证拒绝报文4Accounting-Request计费请求报文5Accounting-Response计费响应报文20Session-Control（以下重点了解）新增加的报文，由iSCP主动发起，以及它们的响应Session-control报文：报文中的必须有一个自定义的子属性为Command，内容为4字节的整数。其取值表示四种报文：1）Trigger-Request：控制radiusclient触发Access-Request。2）Terminate-Request：控制radiusclient主动断开用户连接。3）SetPolicy：表示认证成功后，iSCP主动改变策略，如带宽、重定向策略、业务选择等。4）Result：表示Trigger-Request、SetPolicy的结果；Terminate-Request没有对应的结果。Session-control报文Session-control报文ISCPUSERNASTriggerRequest（触发NAS发AccessRequest）SetPolicy（ISCP主动改变策略）TerminateRequest（触发NAS断开用户）disconnectresultresult(Framed-ip-address)(Connect-ID)………………………………………………………………………………Session-control报文：由于报文由Server主动发起，则identifier值无效。1）对于Trigger-Request报文，Client可以根据Framed-IP-Address找到连接。2）对于Terminate-Request和SetPolicy报文，Client可以根据Connect-Id找到连接；Session-control报文1000setpolicy的执行结果25Result-Code*1111控制报文编号24Control-Identifier*000＋0透明字符串25class00-100标识ISP17ISP-ID*00-100业务优先级22Priority*00-100下行基本速率6Output-Basic-Rate*00-100下行平均速率5Output-Average-Rate*00-100下行峰值速率4Output-Peak-Rate*00-100上行基本速率3Input-Basic-Rate*00-100上行平均速率2Input-Average-Rate*00-100上行峰值速率1Input-Peak-Rate*0000-1Text型的NAS-Port87NAS-Port-Id00-100-1过滤列表名11Filter-ID0-1110连接号26Connect-Id*0-1001IP地址8Framed-IP-Address1111报文子命令（类型）20Command*0111用户名1User-NameResultSetPolicyTerminate-RequesTrigger-Request说明类型值属性Session-control报文属性注：1表示该种属性在该种报文中一定要出现；0表示该种属性在该种报文中一定不要出现；0-1表示有可能出现，也可能不出现。User-Name（1）：要求小于28字符。如果是PPP用户，则用户名的内容是由用户输入的。例如：用户输入的用户名格式是“USERNAME@ISP”。Trigger-Request报文中的UserName不能为空字符串。session-control报文