用户认证协议RADIUS介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户认证协议RADIUS介绍
郑晖
2003年7月
协议用途
• RADIUS(Remote Access Dial-In User Service) 普遍用于拨号、宽带PPPoE/PPPoA WebAuthen 802.1X等的接入认证。
协议简要介绍
• 参考标准: RFC 2865,2866(www.ietf.org) • 使用UDP协议 使用UDP协议,便于大规模用户量支持。 我省使用:认证1645,计费1646。 也可以使用1812,1813(VPDN企业端认证 使用)
通过RADIUS计费对接入组网的要求
• 1.接入端口区分的需要 ATM DSLAM IP DSLAM LAN PPPoE或者LAN的WebAuth 2.业务区分的需要 WLAN,ADSL,LAN需要从BAS上区分 开来,使用NAS-Port-Type
一个组网实例
Radius工作流程
• • • • 1.用户接入 2.NAS发送Access-Request给RADIUS 3.RADIUS验证用户名口令等信息 4.RADIUS返回Access-Accept或者AccessReject包 • 5.NAS发送Accounting-Request(Start)包 • 6.用户下线NAS发送AccountingRequest(Stop)包
RADIUS常用的5种包类型
• • • • • • 1 2 3 4 5 11 Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge
Radius的包能够包含什么信息?
常见的属性(1)
• • • • • • • • User-Name User-Password NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type Frame-Protocol Service-Type
常见属性(2)
• • • • • • • • • • • • • Framed-IP-Address Acct-Status-Type Acct-Session-Id Acct-Authentic Acct-Delay-Time Acct-Session-Time Acct-Output-Octets Acct-Input-Octets Acct-Output-Gigaword Acct-Input-Gigaword Acct-Input-Packet Acct-Output-packet Acct-Session-Time
• • • • • • Service-Type Framed-Protocol NAS-Identifier 下列属性可选 Session-Timeout Idle-Timeout
Accounting-Request 需要的内容
• • • • • • • • • • • • • • • • • • • • User-Name NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type Frame-Protocol Service-Type Framed-IP-Address Acct-Status-Type Acct-Session-Id Acct-Authentic Acct-Delay-Time Acct-Session-Time Acct-Output-Octets Acct-Input-Octets Acct-Output-Gigaword Acct-Input-Gigaword Acct-Input-Packet Acct-Output-packet Acct-Session-Time
Access-Requst需要的内容
• • • • • • • • User-Name User-Password NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type Frame-Protocol Service-Type
Access-Accept需要的内容
• 通过每个包携带的Attribute信息来确定
TLV属性格式
• Type,Length,Value Type(1个字节)用以表示属性的类型, Leng(1个字节)用以表示属性的长度, Value(最多253字节)用以表示属性的值 标准属性Value的数据格式由RFC规定 厂家私有属性由RADIUS和NAS双方协定
RADIUS协议简要介绍
• 支持的认证方式:PAP,CHAP和EAP
RADIUS协议数据包格式
• • • • • • • • • • • • 0 1 2 3 01234567 012345670123456701234567 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes ... +-+-+-+-+-+-+-+-+-+-+-+-+-
预付费用户如何实现?
• 利用Session-Time-Out属性
用பைடு நூலகம்绑定需要什么属性?
• • • • • Call-from-id NAS-Port NAS-Port-ID 其他的厂家私有属性 规范属性的重要性
业务区分需要什么属性?
• NAS-Port-Type 0 Aync 2 ISDN Sync 12 ADSL CAP 13 ADSL DMT 15 Ethernet 16 xDSL – Digital Subscriber Line of unknown type
郑晖
2003年7月
协议用途
• RADIUS(Remote Access Dial-In User Service) 普遍用于拨号、宽带PPPoE/PPPoA WebAuthen 802.1X等的接入认证。
协议简要介绍
• 参考标准: RFC 2865,2866(www.ietf.org) • 使用UDP协议 使用UDP协议,便于大规模用户量支持。 我省使用:认证1645,计费1646。 也可以使用1812,1813(VPDN企业端认证 使用)
通过RADIUS计费对接入组网的要求
• 1.接入端口区分的需要 ATM DSLAM IP DSLAM LAN PPPoE或者LAN的WebAuth 2.业务区分的需要 WLAN,ADSL,LAN需要从BAS上区分 开来,使用NAS-Port-Type
一个组网实例
Radius工作流程
• • • • 1.用户接入 2.NAS发送Access-Request给RADIUS 3.RADIUS验证用户名口令等信息 4.RADIUS返回Access-Accept或者AccessReject包 • 5.NAS发送Accounting-Request(Start)包 • 6.用户下线NAS发送AccountingRequest(Stop)包
RADIUS常用的5种包类型
• • • • • • 1 2 3 4 5 11 Access-Request Access-Accept Access-Reject Accounting-Request Accounting-Response Access-Challenge
Radius的包能够包含什么信息?
常见的属性(1)
• • • • • • • • User-Name User-Password NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type Frame-Protocol Service-Type
常见属性(2)
• • • • • • • • • • • • • Framed-IP-Address Acct-Status-Type Acct-Session-Id Acct-Authentic Acct-Delay-Time Acct-Session-Time Acct-Output-Octets Acct-Input-Octets Acct-Output-Gigaword Acct-Input-Gigaword Acct-Input-Packet Acct-Output-packet Acct-Session-Time
• • • • • • Service-Type Framed-Protocol NAS-Identifier 下列属性可选 Session-Timeout Idle-Timeout
Accounting-Request 需要的内容
• • • • • • • • • • • • • • • • • • • • User-Name NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type Frame-Protocol Service-Type Framed-IP-Address Acct-Status-Type Acct-Session-Id Acct-Authentic Acct-Delay-Time Acct-Session-Time Acct-Output-Octets Acct-Input-Octets Acct-Output-Gigaword Acct-Input-Gigaword Acct-Input-Packet Acct-Output-packet Acct-Session-Time
Access-Requst需要的内容
• • • • • • • • User-Name User-Password NAS-Identifier NAS-IP-Address NAS-Port NAS-Port-Type Frame-Protocol Service-Type
Access-Accept需要的内容
• 通过每个包携带的Attribute信息来确定
TLV属性格式
• Type,Length,Value Type(1个字节)用以表示属性的类型, Leng(1个字节)用以表示属性的长度, Value(最多253字节)用以表示属性的值 标准属性Value的数据格式由RFC规定 厂家私有属性由RADIUS和NAS双方协定
RADIUS协议简要介绍
• 支持的认证方式:PAP,CHAP和EAP
RADIUS协议数据包格式
• • • • • • • • • • • • 0 1 2 3 01234567 012345670123456701234567 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes ... +-+-+-+-+-+-+-+-+-+-+-+-+-
预付费用户如何实现?
• 利用Session-Time-Out属性
用பைடு நூலகம்绑定需要什么属性?
• • • • • Call-from-id NAS-Port NAS-Port-ID 其他的厂家私有属性 规范属性的重要性
业务区分需要什么属性?
• NAS-Port-Type 0 Aync 2 ISDN Sync 12 ADSL CAP 13 ADSL DMT 15 Ethernet 16 xDSL – Digital Subscriber Line of unknown type