RADIUS协议原理及应用

RADIUS协议原理及应用培训组赵俭锐捷网络技术培训系列课程-（中级）培训目标了解RADIUS协议基本概念；熟悉RADIUS协议报文结构；熟悉RADIUS协议工作原理；提纲RADIUS协议介绍RADIUS协议报文结构NAS设备RADIUS部分配置RADIUS系统下用户认证过程前言企业要求只有授权的用户才能访问自己的内部网络，教育网采取根据流量计费的策略，VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题：如何对用户进行认证和计费？一种常见的认证计费方法——RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。RADIUS协议简介RADIUS(RemoteAuthenticationDialInUserService)是远程认证拨号用户服务的简称，是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。RADIUS协议简介Authentication，Authorization，andAccounting三种安全功能，简称AAA。Authentication认证，用于判定用户是否可以获得访问权，限制非法用户；Authorization授权，授权用户可以使用哪些服务，控制合法用户的权限；Accounting计账，记录用户使用网络资源的情况,为收费提供依据；RADIUS协议简介RADIUS协议具有以下特点：客户端/服务器结构；采用共享密钥保证网络传输安全性；良好的可扩展性；认证机制灵活；RADIUS协议承载于UDP之上，官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866中定义。锐捷网络RG-SAM系统和NAS设备之间的通讯，采用的是RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对RADIUS作了扩展，我们公司也对其进行了扩展。RADIUS协议简介AAA的工作过程可以分为如下几步：1.终端用户（客户端系统）向NAS设备发出网络连接请求；2.NAS收集用户输入的用户名和口令，并转发给AAA服务器；3.AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS设备，可能是接受、拒绝或其它（如challenge）；4.NAS设备根据返回的结果决定接通或者断开终端用户；5.如果认证通过继续以下步骤；6.服务器对用户进行授权，NAS设备根据授权结果对用户上网环境进行配置；7.如需计费，NAS设备将在用户上下线及上网期间内收集用户网络资源使用情况，将数据送交记帐服务器；1.13916630329RADIUS协议报文结构数据链路层IP网络层UDP物理层TCPRADIUSRADIUS协议在报文中的位置RADIUS协议报文结构Radius协议报文格式RADIUS报文格式如下图所示，各域内容按照从左向右传送0123012345678901234567890123456789012+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Authenticator|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttributeCode确定RADIUS数据包的类型，编码如下：1接入请求(Access-Request）2接入允许(Access-Accept)3接入拒绝(Access-Reject)4记账请求(Accounting-Request)5记账回应(Accounting-Response)11接入询问(Access-Challenge)12服务器状态(Status-Server(experimental))13客户机状态(Status-Client(experimental))255保留(Reserved)RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttribute标识符域：一个字节，用于匹配请求与回应。如果在一个很短的时间片段里，一个请求有相同的客户源IP地址、源UDP端口号和标识符，RADIUS服务器会认为这是上一个重复的请求。RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttribute长度域：两个字节，它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待，在接收时忽略它。如果包的长度比指定的短，则此包会被直接丢弃。RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttribute认证字域：十六个字节。用于RadiusClient和Server之间消息认证的有效性，和密码隐藏算法。RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttributeTypeLenValue类型域：一个字节，后边有详细的列表；长度域：一个字节，它指定了包括类型、长度和值域在内的属性长度；值域：可以为零或者多个字节，包括属性的详细信息。值域的格式和长度由域的类型和长度决定；RADIUS协议报文结构AttributeType的值为1-255，分为三类：标准属性Radius最基本的属性定义在RFC2865和RFC2866中，如用户名、密码、计费和常用授权信息等；扩展标准属性RFC2867-2869是Radius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持EAP等）的属性；扩展私有属性即26号属性，属性值由厂商自己定义；RADIUS报文格式1用户名User-Name2用户密码User-Password3CHAP密码CHAP-Password4NASIP地址NAS-IP-Address5NAS端口NAS-Port6服务类型Service-Type7帧协议Framed-Protocol8分帧IP地址配置Framed-IP-Address9IP网络掩码配置Framed-IP-Netmask10路由方法配置Framed-Routing11筛选器标识Filter-Id12最大传输单元配置Framed-MTU13压缩协议配置Framed-Compression14登录的主机IP地址Login-IP-Host15登录的服务Login-Service16登录的TCP端口Login-TCP-Port17未分配(unassigned)18回复消息Reply-Message19回叫电话号码Callback-Number20回叫IDCallback-Id21未分配(unassigned)22路由配置Framed-Route23IPX网络数字配置Framed-IPX-Network24状态State25类别Class26供应商细节Vendor-Specific27会话时限Session-Timeout28空闲时限Idle-Timeout29终止动作Termination-Action30用户拨打的电话号码Called-Station-Id31用户打出的电话号码Calling-Station-Id32网络接入服务器标识符NAS-Identifier33代理状态Proxy-State34登录的LAT服务Login-LAT-Service35登录的LAT节点Login-LAT-Node36登录的LAT组Login-LAT-Group37AppleTalk链路配置Framed-AppleTalk-Link38AppleTalk网络配置Framed-AppleTalk-Network39AppleTalk区域配置Framed-AppleTalk-Zone40-59为记账保留(reservedforaccounting)60CHAP盘问CHAP-Challenge61网络接入服务器端口类型NAS-Port-Type62端口数限制Port-Limit63登录的LAT端口Login-LAT-PortNAS设备RADIUS部分配置NAS设备RADIUS部分配置，S21和S35系列交换机为例配置交换机与RADIUSSERVER之间的通讯Switch(config)#radius-serverhost1.1.1.1Switch(config)#radius-serverkeyruijie交换机打开全局802.1X认证开关Switch(config)#aaaauthenticationdot1xSwitch(config)#end配置交换机SNMP协议Switch(config)#snmp-servercommunitypublicrwNAS设备RADIUS部分配置配置RADIUS记帐Switch(config)#aaaaccountingserver1.1.1.1Switch(config)#aaaaccounting配置端口为认证端口Switch(config)#interfacerangf0/1-23Switch(config-if)#dot1xport-controlauto启动异常下线和记帐更新功能Switch(config)#dot1xclient-probeenableSwitch(config)#dot1xaccout-update-interval600RADIUS系统下用户认证过程SAM系统是锐捷网络自主研发的集安全、认证、计费和管理于为一体的网络管理平台，它是基于标准的RADIUS协议开发的，整个系统由以下三个部分组成：恳请者（SU，安装锐捷认证客户端软件的PC）；认证者（NAS，接入层交换机)；认证服务器(RADIUSSERVER，RG-SAM)；下面从恳请者发起认证――认证成功――退出认证的整个过程中，通过SNIFFER软件抓取到的报文对每个过程作详细分析；RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程RADIUS系统下用户认证过程谢谢大家！