Radius原理

计费过程同前
RADIUS协议栈结构
RADIUS
RADIUS报文结构
RADIUS报文说明
Code，8bit，用以标识RADIUS报文的类型 Identifier，8bit，用以匹配请求包和响应包 Length，16bit，标识报文的长度 Authenticator，32bit，用以验证报文的合法性 Attribute，不定长，TLV格式，属性具体内容
Type
Packet Body Length
EAP报文被封装在此字段内
EAPOL报文类型
Type值 值 0 1 2 3 4
报文类型 EAP报文（EAP-Packet） EAPOL开始报文（ EAPOL-Start） EAPOL注销报文（EAPOL-Logoff） EAPOL信息报文（EAPOL-Key） EAPOL告警报文（EAPOL-Encapsulated-ASF-Alert）
Dynamic Authorization Extensions to RADIUS
DM=Disconnect Message COA=Change-ofAuthorization Messages
Bas
Code=40
Radius
Bas
Code=43
Radius
Code=41（42）
Code=44（45）
常用RADIUS报文介绍
Code 1 2 3 4 5 11 Access- request Access- accept Access- reject Accounting-request Accounting-response Access-challenge 认证请求 认证通过 认证拒绝 计费请求 计费响应 挑战请求
Client
Challenge_request challenge Authentication_request
Bas
Radiu s
Code=1
Code=11（access-challenge） challenge Authentication_request Code=1 Code=2（3） Authentication_Ack
说明 闲置切断 NASNAS-ID 计费类型 计费时延 上行字节 下行字节 计费标识 在线时间 上行包数 下行包数 下线原因
PAP密码 PAP密码 CHAP密码 CHAP密码 NASNAS-IP NAS-PORT NAS客户端地址
UCL/ACL
拒绝消息 CAR 自定义 超时时间
其它属性介绍
本页属性以MA5200 R007版本为例介绍了 版本为例介绍了RADIUS所有属性，不同 所有属性， 本页属性以 版本为例介绍了 所有属性 产品在属性的定义上可能不同，具体请参考各产品的定义！ 产品在属性的定义上可能不同，具体请参考各产品的定义！
请求者（Supplicant） 验证服务器
被所接入的验证者验证的网络实体
对验证者提供验证服务的实体，这种服务决定请 （Authentication Server） 求者是否被允许接入验证者所提供的服务
受控端口和非受控端口
验证者系统 受控端口 非受控端口 受控端口
验证者系统 非受控端口
未被授权 的端口
EAP报文格式
Code值 值 1 2 3 4
报文类型 请求（Request） 回应（Response） 成功（Success） 无效（Failure）
请求和回应报文
用于验证的信息
成功和无效报文
没有Type和Type-Data字段
EAPOL报文格式
Version Packet Body ...
RADIUS地址错误
RADIUS未配置对应的NAS-IP，或与报文中的IP地址不一致
授权的端口
LAN
LAN
端口控制模式
模式 强行未授权 （ForceUnauthorized） 强行授权 （ForceAuthorized） 自动（Auto）
行为
受控端口被无条件设置为未授权状态
受控端口被无条件设置为已授权状态
允许协议控制受控端口的授权状态
工作原理
请求者系统 验证者系统 提供的服务
验证者系统
为什么需要802.1X？
只要有物理连接， 就提供所有服务
Internet
数据 服务器
交换机
路由器
PCA
PCB
PCC
太容易访问网络 资源了
802.1X的作用？
没通过验证， 就不提供服务
Internet
数据 服务器
交换机
路由器
PCA
PCB
PCC
为什么我的网卡 不能正常工作？
系统角色
系统角色 定义
验证者（Authenticator） 对接入的网络实体进行验证的实体
Internal
802.1X&Radius原理
学习完此课程，您将会：
[ 掌握802.1X的协议原理 802.1X
[ 掌握RADIUS协议知识
1 802.1x工作原理 802.1x工作原理 2 EAP和EAPOL 和 3 820.1x协议运行过程 协议运行过程 4 RADIUS协议原理 协议原理 5 RADIUS故障处理 故障处理
常用属性介绍
属性
1 2 3 4 5 8 11 18 25 26 27 UserUser-Name UserUser-Password CHAPCHAP-Password NAS-IPNAS-IP-Address NAS-Port NASFramed-IPFramed-IP-Address FilterFilter-Id ReplyReply-Message Class VendorVendor-Specific SessionSession-Timeout
logout_Ack
RADIUS报文流程(CHAP)
Client
Challenge_request challenge Authentication_request
Bas
Radiu s
Code=1 Code=2（3）
Authentication_Ack
…… 计费过程同上一张
RADIUS报文流程(RADIUS产生挑战字)
EAPOL注销报文
RADIUS设计的组网结构
IPOX/PPPOX/Wlan等
Lsw2 Lsw2 Lsw2 Lsw2
BAS
城域网/光纤
RADIUS原理
客户端/服务器模式 客户端 服务器模式
在这个模型中，NAS/BAS服务器相于用户是服务器端，相于 RADIUS服务器是客户端，其作用就是把用户的认证信息提取后封 装为标准的RADIUS报文，并送到RADIUS服务器处理。RADIUS 服务器根据NAS/BAS服务器送来的用户名和密码进行验证，并对 用户的访问权限进行授权，同时NAS/BAS统计用户使用网络的信 息（时间、流量）并送给RADIUS进行计费处理。
RADIUS概述
RADIUS是一种在网络接入服务器（Network Access 是一种在网络接入服务器（ 是一种在网络接入服务器 Server）和共享认证服务器间传输认证授权和配置信息 ） 的协议。它采用客户机/服务器 服务器（ 的协议。它采用客户机 服务器（Client/Server）结构。 ）结构。 路由器或NAS 上运行的 上运行的AAA程序对用户来讲为服务器端， 程序对用户来讲为服务器端， 路由器或 程序对用户来讲为服务器端 服务器来讲是作为客户端。 对RADIUS服务器来讲是作为客户端。RADIUS通过建 服务器来讲是作为客户端 通过建 立一个唯一的用户数据库存储用户名用户的密码来进行 验证； 验证；存储传递给用户的服务类型以及相应的配置信息 来完成授权。 来完成授权。当用户上网时路由器决定对用户采用何种 验证方法。 验证方法。 RADIUS主要特征如下： 主要特征如下： 主要特征如下 （1）客户 服务器模式 ）客户/服务器模式 （2）网络安全 ） （3）灵活认证机制 ） （4）协议的可扩充性 ）
wenku.baidu.com
EAPOL报文的二层报文头
DMAC SMAC TYPE EAPOL FCS
字段 DMAC SMAC TYPE
内容 01-80-C2-00-00-03 端口的物理MAC地址 88-8E
发起认证
发起者 请求者（Supplicant） 验证者 （Authenticator）
动作 发送一个EAPOL开始报文（EAPOL-Start） 发送一个EAP请求报文（EAP Request）
EAP交换过程举例
请求者 1 2 3 6 EAPOL开始报文 EAP请求报文 EAP回应报文 EAP成功报文
验证者
验证服务器
4 使用RADIUS承载EAP 5 RADIUS接受报文
注销机制
原因 底层协议原因 管理原因 定时器原因 物理端口不可用 端口被手动配置为未授权状态 验证者的验证定时器超时 请求者主动向验证者发送EAPOL注销报文 描述
RADIUS报文流程(完整PAP)
Client
Authentication_Req
Bas
Code=1
Radius
Code=2（3）
Authentication_Ack Code=4(start) Code=5 Code=4(real) Code=5 logout_Req
……
Code=4(stop) Code=5
这是对报文类型的扩展定义，目前在 MA5200里支持的是40-45,参考RFC2882
29 Next Passcode 30 New Pin 31 Terminate Session 32 Password Expired 33 Event Request 34 Event Response 40 Disconnect Request 41 Disconnect Ack 42 Disconnect Nak 43 Change Filters Request 44 Change Filters Ack 45 Change Filters Nak 50 IP Address Allocate 51 IP Address Release
6 Accounting Status 7 Password Request 8 Password Ack 9 Password Reject 10 Accounting Message 21 Resource Free Request 22 Resource Free Response 23 Resource Query Request 24 Resource Query Response 25 Alternate Resource Reclaim Request 26 NAS Reboot Request 27 NAS Reboot Response
radius属性
RADIUS+1.0/1.1协议
RADIUS+1.0/1.1协议报文格式及报文类型同RADIUS协议相同， 只不过对报文属性的定义和支持上面有所不同，如connect_id等， 具体格式的定义请参考各产品的RADIUS属性说明文档！
Extended RADIUS Practices
Radius通过此属性切 断一个指定的用户
Radius通过此属性动态修改 一个指定的用户的权限
实际报文分析
RADIUS
RADIUS常见故障 （一）
RADIUS报文无响应：设备发出code=1/4的报文，没有收到这些报文的响应
协议类型不一致
属性不识别
端口不一致
路由不可达
密钥不正确
响应超时
请求或响应报 文丢失
验证服务器系统
请求者PAE 请求者
验证者PAE 验证者 承载在高层协议 中的EAP报文 中的 报文
验证服务器
未被授权 的端口
LAN
1 802.1x工作原理 工作原理 2 EAP和EAPOL EAP和 3 820.1x协议运行过程 协议运行过程 4 RADIUS协议原理 协议原理 5 RADIUS故障处理 故障处理
说明
用户名 28 32 40 41 42 43 44 46 47 48 49
属性
IdleIdle-Timeout NASNAS-Identifier Acct-StatusAcct-Status-Type Acct-DelayAcct-Delay-Time Acct-Input-Octets Acct-InputAcct-OutputAcct-Output-Octets Acct-SessionAcct-Session-Id Acct-SessionAcct-Session-Time Acct-InputAcct-Input-Packets Acct-OutputAcct-Output-Packets Acct-TerminateAcct-Terminate-Cause