RADIUS培训教材

合集下载

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一个网络允许外部用户通过公用网对其进行访问大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问
也可以从这个网络得到自己想要的信息网络安全就成为很重要的问题了对modem pool 的管理就成为网络接入服务器或路由器的任务获得访问权的用户可以允许使用哪些服务AAA很好的完成了这三项任务
存储用户名
1.1 客户服务器模式
图1 用户ＲＡＤＩＵＳ　服务器的关系
路由器上运行的AAA程序对用户来讲为服务器端
当用户上网时下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP
用户以明文的形式把用户名和他的密码传递给路由器如果存在相同的用户名和密码表明验证通过,否则表明验证未通过
Challenge Handshake Authentication Protocol当用户请求上网时
同时还有一个ID号
生成一个response传给NAS
µÃµ½ºÍÓÃ»§¶Ë½øÐÐ¼ÓÃÜËùÓÃµÄÒ»ÑùµÄÃÜÂë
过程略有不同
路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器
在端口上采用CHAP验证当用户请求上网时同时还有一个ID号
生成一个response传给NAS
²¢°ÑÔ-À´µÄ16字节随机码传给RADIUS服务器
得到和用户端进行加密所用的一样的密码
将其结果与传来的Password作比较如果不相同表明验证失败
RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问
并且RADIUS要求特别的定时器管理机制当处理大量用户时服务器端采用多线程TCP是必须成功建立连接后才能进行数据传输的
RADIUS要有重传机制和备用服务器机制TCP不能很好的满足
Length
Authenticator
16 字节长分为Request authenticator 和 response authenticator
Code+ID+Length+RequestAuth+Attribute+Secret
　－ｎａｍ
Ｕｓｅｒ
３　
Ｃｏｄｅ　＝　１（Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　
ＩＤ　＝　０　
Ｌｅｎｇｔｈ　＝　５６　
Ｒｅｑｕｅｓｔ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６　ｏｃｔｅｔ　ｒａｎｄｏｍ　ｎｕｍｂｅｒ｝　
Ａｔｔｒｉｂｕｔｅｓ：　
Ｕｓｅｒ－Ｎａｍｅ　＝　＂ｎｅｍｏ＂　
告诉把用户 nemo 登陆到主机 192.168.1.3.
Code = 2 (Access-Accept)
ＩＤ　＝　０（ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　
Ｌｅｎｇｔｈ　＝　３８　
Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　
ｃｏｄｅ　（２），　
ｉｄ　（０），　Ｌｅｎｇｔｈ　（３８），　ｔｈｅ　Ｒｅｑｕｅｓｔ　
Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　
ａｂｏｖｅ，　ｔｈｅ　ａｔｔｒｉｂｕｔｅｓ　ｉｎ　ｔｈｉｓ　ｒｅｐｌｙ，　ａｎｄ　
ｔｈｅ　ｓｈａｒｅｄ　
ｓｅｃｒｅｔ｝　
Ａｔｔｒｉｂｕｔｅｓ：　
Ｓｅｒｖｉｃｅ－Ｔｙｐｅ　＝　Ｌｏｇｉｎ－Ｕｓｅｒ　
Ｌｏｇｉｎ－Ｓｅｒｖｉｃｅ　＝　Ｔｅｌｎｅｔ　
Ｌｏｇｉｎ－Ｈｏｓｔ　＝　１９２．１６８．１．３　
1.3.2用CHAP验证的固定用户
Ｕｓｅｒ－ｎａｍｅ
２０Ｐｒｏｔｏｃｏｌ
Ｆｒａｍｅｄ－Ｐｒｏｔｏｃｏｌ＝ＰＰＰ　暗示 RADIUS server 这个用户要使用PPP服务
Ｃｏｄｅ　＝　２（Ａｃｃｅｓｓ－Ａｃｃｅｐｔ）　
ＩＤ　＝　１（ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　
Ｌｅｎｇｔｈ　＝　５６　
Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　ｃｏｄｅ　（２），　
ｉｄ　（１），　Ｌｅｎｇｔｈ　（５６），　ｔｈｅ　Ｒｅｑｕｅｓｔ　
Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　
ｍｏｐｓｙＰｏｒｔ　ｌｏｇｇｉｎｇ　ｉｎ　
RADIUS server 发送 Access-Challenge UDP 数据包到 NAS.
Ｃｏｄｅ　＝　１１（Ａｃｃｅｓｓ－Ｃｈａｌｌｅｎｇｅ｝　
ＩＤ　＝　２（ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　
Ｌｅｎｇｔｈ　＝　７８　
Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　ｔｈｅ　
ｃｏｄｅ　（１１），　
ｉｄ　（２），　ｌｅｎｇｔｈ　（７８），　ｔｈｅ　Ｒｅｑｕｅｓｔ　
Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　
ａｂｏｖｅ，　ｔｈｅ　ａｔｔｒｉｂｕｔｅｓ　ｉｎ　ｔｈｉｓ　ｒｅｐｌｙ，　ａｎｄ　
ｔｈｅ　ｓｈａｒｅｄ　
ｓｅｃｒｅｔ｝　
Ａｔｔｒｉｂｕｔｅｓ：　
Ｒｅｐｌｙ－Ｍｅｓｓａｇｅ　＝　＂Ｃｈａｌｌｅｎｇｅ　３２７６９４３０．Ｅｎｔｅｒ　ｒｅｓｐｏｎｓｅ　ａｔ　ｐｒｏｍｐｔ．＂　
Ｓｔａｔｅ　＝｛Ｍａｇｉｃ　Ｃｏｏｋｉｅ　ｔｏ　ｂｅ　ｒｅｔｕｒｎｅｄ　ａｌｏｎｇ　ｗｉｔｈ　
ｕｓｅｒ＇ｓ　ｒｅｓｐｏｎｓｅ；　
ｉｎ　ｔｈｉｓ　ｅｘａｍｐｌｅ　８　ｏｃｔｅｔｓ　ｏｆ　ｄａｔａ｝　
用户输入了他的回应,NAS 发送一个新的带有用户输入的回应的Access-Request 给RADIUS server
Ｃｏｄｅ　＝　３（Ａｃｃｅｓｓ－Ｒｅｊｅｃｔ）　
ＩＤ　＝　３（ｓａｍｅ　ａｓ　ｉｎ　Ａｃｃｅｓｓ－Ｒｅｑｕｅｓｔ）　
Ｌｅｎｇｔｈ　＝　２０　
Ｒｅｓｐｏｎｓｅ　Ａｕｔｈｅｎｔｉｃａｔｏｒ　＝　｛１６－ｏｃｔｅｔ　ＭＤ－５　ｃｈｅｃｋｓｕｍ　ｏｆ　
ｔｈｅ　ｃｏｄｅ　（３），　
ｉｄ　（３），　ｌｅｎｇｔｈ（２０），　ｔｈｅ　Ｒｅｑｕｅｓｔ　
Ａｕｔｈｅｎｔｉｃａｔｏｒ　ｆｒｏｍ　
ａｂｏｖｅ，　ｔｈｅ　ａｔｔｒｉｂｕｔｅｓ　ｉｎ　ｔｈｉｓ　ｒｅｐｌｙ　ｉｆ　
ａｎｙ，　ａｎｄ　ｔｈｅ　
ｓｈａｒｅｄ　ｓｅｃｒｅｔ｝　
Ａｔｔｒｉｂｕｔｅｓ：　
（ｎｏｎｅ，　ａｌｔｈｏｕｇｈ　ａ　Ｒｅｐｌｙ－Ｍｅｓｓａｇｅ　ｃｏｕｌｄ　ｂｅ　ｓｅｎｔ）　
ｆｉｌｔｅｒ　ＩＤ等
一般用于代理服务器
0xfffffffe 让nas去分配地址
配置给用户的MTU Framed-Compression
连接所用的压缩协议
０Ｎｏｎｅ　
１ＶＪ　ＴＣＰ／ＩＰ　ｈｅａｄｅｒ　
ｃｏｍｐｒｅｓｓｉｏｎ　［５］　
２ＩＰＸ　ｈｅａｄｅｒ　ｃｏｍｐｒｅｓｓｉｏｎ Login-IP-Host
0xffffffff 让用户去选择ＩＰ－Ｈｏｓｔ
0 让nas去分配ＩＰ－Ｈｏｓｔ
其它使用radius服务器返回的ＩＰ－Ｈｏｓｔ　
Ｌｏｇｉｎ－Ｓｅｒｖｉｃｅ　
０Ｔｅｌｎｅｔ　
１Ｒｌｏｇｉｎ　
２ＴＣＰ　Ｃｌｅａｒ　
3 PortMaster (proprietary)
４ＬＡＴ　
Ｌｏｇｉｎ－ＴＣＰ－Ｐｏｒｔ　
用户所要连接到的tcp端口号当Ｌｏｇｉｎ－Ｓｅｒｖｉｃｅ也出现的时候
而是通过
传输协议与nas进行连接
Ｐｏｒｔ－Ｌｉｍｉｔ
nas提供给用户可以连接的端口的最大数量
Termination-Action
当连接断开后。