RADIUS协议培训.ppt

RADIUS协议培训,1.0,固网技术支持部,学习目标,掌握RADIUS协议原理、报文结构与流程熟悉RADIUS常用报文及常用属性了解RADIUS+和PORTAL的基本概念了解处理RADIUS相关问题的方法熟悉ESR设备AAA配置和使用的注意事项,学习完本课程，您应该能够：,参考资料,RADIUS协议原理与应用-20020404-CESR产品AAA专题-20040601-BRadius+号作为结束）为：关键字1=xx;关键字2=xx;其中关键字的集合为：frame、slot、subslot、port、VPI、VCI、VLANIDADSL用户:slot=XX;subslot=X;port=X;VPI=XXX;VCI=XXXXX;范围值：slot=015;subslot=09;port=09;VPI=0255;VCI=065535;以太网接入用户:slot=XX;subslot=XX;port=XXX;VLANID=XXXX;范围值：slot=015;subslot=015;port=0255;VLANID=04095;,常用属性介绍（26号）,26Vendor-Specific厂商自定义Vendor-ID2011huaweiVendor-Type1Input-Peak-Rate（bps）2Input-Average-Rate3Input-Basic-Rate4Output-Peak-Rate5Output-Average-Rate6Output-Basic-Rate60Ip-Host-Add（A.B.C.Dhh:hh:hh:hh:hh:hh）,RADIUS报文示范（一）,*11/12/200410:58:20:580-slot0-AAA-debug-Packet:sendradiuspacketto1.1.1.1:1812code=1id=208length=1650061db0038a500622c007d64attribute(1)(User-name):supermanattribute(2)(User-Password):0 x460 xfb0 x10 xfd0 xe80 x280 x7f0 xf80 x9a0 x7e0 x150 xab0 xf0 xf00 x140 x58attribute(6)(Service-Type):2attribute(7)(Framed-Protocol):1attribute(4)(NAS-IP-Address):8.8.8.8attribute(32)(NAS-Identifier):ESR8825attribute(5)(NAS-Port):83886598attribute(61)(NAS-Port-Type):15attribute(87)(Nas-Port-Id):slot=5;subslot=0;port=0;VLANID=518;attribute(26)(Vendor-Specific):0 x00 x00 x70 xdb0 x3c0 x1b0 x300 x2e0 x300 x2e0 x300 x2e0 x300 x200 x300 x300 x3a0 x640 x300 x3a0 x660 x380 x3a0 x330 x320 x3a0 x370 x310 x3a0 x390 x35VendorSpecificID:2011VendorSpecattribute(2660)(IPHostAddr):0.0.0.000:d0:f8:32:71:95,RADIUS报文示范（二）,*11/12/200410:58:20:640-slot0-AAA-debug-Packet:receiveradiuspacketfrom1.1.1.1:1812code=2id=208length=4871157818996d456eeab992c36667645attribute(6)(Service-Type):2attribute(7)(Framed-Protocol):1attribute(27)(Session-TimeOut):86400attribute(18)(Reply-Message):welcomtoearth!,RADIUS报文示范（三）,*11/12/200410:58:20:860-slot0-AAA-debug-Packet:sendradiuspacketto1.1.1.1:1813code=4id=209length=16686428d8a8c2fbb6f546dc1177eacdb7dattribute(40)(Acct-Status-Type):1attribute(4)(NAS-IP-Address):8.8.8.8attribute(32)(NAS-Identifier):ESR8825attribute(8)(Framed-IP-Address):219.235.72.243attribute(7)(Framed-Protocol):1attribute(1)(User-name):supermanattribute(5)(NAS-Port):83886598attribute(61)(NAS-Port-Type):15attribute(44)(Acct-Session-Id):11121058200023571565attribute(45)(Acct-Authentic):1attribute(55)(Event-Timestamp):1100257100attribute(41)(Acct-Delay-Time):0attribute(87)(Nas-Port-Id):slot=5;subslot=0;port=0;VLANID=518;attribute(6)(Service-Type):2,RADIUS报文示范（四）,*11/12/200410:58:20:900-slot0-AAA-debug-Packet:receiveradiuspacketfrom1.1.1.1:1813code=5id=209length=20fa6bba7da3d19bd694120e7a9e182c8,RADIUS报文示范（五）,*11/12/200410:58:29:120-slot0-AAA-debug-Packet:sendradiuspacketto1.1.1.1:1812code=1id=210length=162003ad1001d720063600030c2*11/12/200410:58:29:120-slot0-AAA-debug-Packet:attribute(1)(User-name):guest*11/12/200410:58:29:120-slot0-AAA-debug-Packet:attribute(2)(User-Password):0 x8d0 xa30 xa00 x680 xed0 x520 x540 x2b0 x490 xf80 xca0 x640 xcd0 xf70 xb70 x6*11/12/200410:58:29:140-slot0-AAA-debug-Packet:receiveradiuspacketfrom218.97.192.4:1812code=3id=210length=2016ad2b1b529149bde1723977af97a8attribute(18)(Reply-Message):Nosuchusername,思考题,Code1的报文一定是BAS发给RADIUSSERVER的么？BAS如何检测RADIUSSERVER的状态？认证请求报文发出后，如何确定哪个是它的响应报文？计费报文呢？BAS上报5号(NASPORT)和2660(Ip-Host-Add)属性的意义是什么？,课程内容,第一章RADIUS协议基础和常用属性第二章RADIUS+与PORTAL协议第三章RADIUS故障处理第四章ESRAAA配置和使用注意事项,为什么要RADIUS+,标准Radius协议的不足之处不能处理和保证用户对于服务质量的动态需求带宽动态下发；不支持server主动下发控制报文；扩展Radius+的目的支持定时发送计费信息，以便增强计费灵活性和可靠性；支持服务器主动激活端口（Portal认证）；支持服务器主动中断连接；支持动态改变服务质量(带宽)；支持动态选择业务（业务属性）；支持业务优先级。,RADIUS和RADIUS+协议共同点,Radius+协议与Radius一样，采用Client/Server(客户机/服务器)结构；通过UDP通讯，采用重传确认机制以确保接收；报文结构相同；安全性相同：密码加密：使用客户端与服务器端的共享密钥通过MD5算法对用户口令进行加密，使得口令和秘钥不会在网上明文传送；包签名：有16字节的验证字用于对报文进行签名，以确定收到的报文为合法报文。Radius+协议继承了RADIUS协议的所有属性。,RADIUS+1.0协议,新增两种报文Code=21Session-Trigger-Request控制BAS打开端口Code=22Session-Terminate-Request控制BAS关闭端口，主动断开用户连接Type=1User-Name用户名Type=127Connect-Id连接ID号新增部分计费属性满足实时记帐和综合打折策略的需要。,RADIUS+1.1协议,新增一种报文Code=20Session-Control必须包括Type=20Command1：Trigger-Request报文控制Client触发Access-Request。2：Terminate-Request报文控制Client主动断开用户连接。3：SetPolicy表示认证成功后，RADIUSSERVER主动改变策略，如带宽、重定向策略、业务选择等。4：Result表示Trigger-Request、SetPolicy的结果。Terminate-Request没有对应的结果。新增部分计费属性满足实时记帐和综合打折策略的需要。,RADIUS+1.1Session-Control过程,认证/计费交互过程,计费终止交互过程,计费改变(reset-charge)交互过程,PORTAL协议,Portal协议(V1.0/V2.0)规定了采用Portal认证(或Web认证)时PortalServer和BAS设备之间的报文格式和通信流程，协议支持PAP和CHAP两种认证方式。V2.0在V1.0的基础上做了如下的扩充：修改了报文格式，增加了16个字节的Authenticator字段。增加对所有协议报文的校验。修改了TextInfo属性，使其完全符合TLV格式。ESRV5R5之后只支持V2.0，之前只支持V1.0。,PORTAL报文交互,思考题,RADIUS相对与RADIUS的本质区别是什么？PORTAL协议是运行在哪两个设备之间的？简述WEB认证用户上网的过程？,课程内容,第一章RADIUS协议基础和常用属性第二章RADIUS+与PORTAL协议第三章RADIUS故障处理第四章ESRAAA配置和使用注意事项,RADIUSSERVER没有响应,RADIUSSERVER没有响应是最常见的问题：检查配置数据，密钥、SERVER地址、端口号、协议类型等。同时要确认SERVER的NAS-IP。检查网络情况，BAS至RADIUSSERVER是否链路正常。在BAS上查看报文统计信息、debug报文RADIUS报文。根据RADIUS流程分析调试信息，是否有异常。协调RADIUSSERVER侧，确认是否收到BAS的报文，是否响应。一般RADIUS问题都需要双方配合检查，除非从调试信息能明确定位出的问题原因。必要时在中间链路上镜像抓包。,RADIUS认证失败,收到code=3的拒绝报文attribute(18)(Reply-Message):Nosuchusername改属性值是由RADIUSSERVER自行定义,RADIUS拒绝时一般都会在18号属性中带回明确拒绝原因，如果有时没有带回明确原因如：authenticationfailwithunknownreasons，则需要联系RADIUS配合检查。,RADIUS认证成功但属性异常,RADIUS已经响应CODE=2报文，但BAS未做处理。一种是RADIUSSERVER下发的属性BAS不识别，所以未做处理；另一种RADIUSSERVER下发属性正确，但不生效。BAS地址池耗尽，用户认证失败；26012606属性未同时下发，所以CAR不生效；11属性（filter-id）下发的值在BAS上没有定义，故ACL不生效。,思考题,PPPOE拨号提示”占线“或者”远程主机无法响应“时，该如何处理？RADIUSSERVER在BAS上行网络上，BAS上正确配置了RADIUSSERVER地址，Debugradiuspacket显示有Code1报文，那么这个报文一定从BAS上行口发出去了么？,课程内容,第一章RADIUS协议基础和常用属性第二章RADIUS+与PORTAL协议第三章RADIUS故障处理第四章ESRAAA配置和使用注意事项,ESR的AAA数据配置要点,aaaenable；配置RADIUS服务器组；IP地址认证、计费端口号Key协议类型其他相关参数配置认证方法和计费方法，指定使用的RADIUS服务器组；配置ISP域，引用之前配置的认证方法和计费方法；,ESR的地址池分配原则,V500R002版本地址分配原则：域用户，只能在域内地址池中分配IP地址；全局用户或者域未定义的用户，只能在全局下地址池中分配IP地址。设RadiusServer下发的地址池号为M，VT接口所配的缺省地址池号为N，则会从该用户所属ISP或者全局下的地址池中按“MN其他“的顺序分配。V500R005（918以后）版本地址分配原则：域用户，如果域内配置了地址池，则只能在域内地址池中分配IP地址；如果域内未配置地址池，则使用全局地址池。全局用户或者域未定义的用户，只能在全局下地址池中分配IP地址。（可以指定缺省域，替代全局的作用。）分配顺序同V5R2。,ESR主备用RADIUSSERVER的切换原则,指定了主用RADIUSSERVER：主用RADIUSSERVER超时后，按配置顺序，切换到备用RADIUSSERVER。经过DEAD-TIME后，查询主用RADIUSSERVER是否UP，如果UP，切换回主用RADIUSSERVER。如仍然是DOWN，则不切换。未指定主用RADIUSSERVER在用RADIUSSERVER超时后，按配置顺序，切换到其他RADIUSSERVER。经过DEAD-TIME后，查询主用RADIUSSERVER是否UP，但无论是否UP，都不切换回去。ESR每隔DEAD-TIME就会对组内所有DOWN状态服务器进行一次查询。,帐户在ESR上挂死的原因,修改RADIUS参数，比如修改RADIUS协议或RADIUSKEY；删除RADIUS相关参数；RADIUS服务器异常（或维护、升级时没有响应8850的计费请求等等）。导致8850无法收到RADIUS服务器计费报文响应，从而无法释放用户帐号。这类问题可以通过在8850上配置aaaaccountingoption或aaaaccountingno-wait-stop（R5版本提供。含义为不保留用户计费结束信息）。在升级或割接过程中，由于没有强制用户下线，导致用户帐号在RADIUS服务器上挂死。因此，建议在8850升级或割接过程中，将用户接入的接口（FE、GE、VE）Shutdown，保证用户的底层连接全部断开。在保证所有设备状态均正常后再激活用户接入的接口。,非精确计费的含义,在8850的V5R2版本中，aaaaccountingoption的含义为：a、当用户登录，设备发送计费开始请求失败，并不切断用户强制用户下线，配置该选项后，允许用户成功登录上线。此时对端服务器有可能无法接收到设备对该用户发送的计费开始请求。b、当用户发送实时计费请求时，如果配置了该选项，即使群组工作在扩展协议RADIUS+1.1模式下，被协议要求如果设备收不到来自RADIUS服务器对该用户的实时计费响应必须强制用户下线，设备也不会强制切断用户，而是允许用户继续在线。c、当用户发送计费停止请求时，如果配置了该选项，设备如果收不到RADIUS服务器对该用户的计费停止响应，在重传几次失败之后，将会强行清除用户信息。这可能会导致RADIUS服务器丢失该用户的本次上网纪录。在8850的V5R5版本中，该开关的具体含义只包括上面的a和b。对于c功能，使用了开关aaaaccountingno-wait-stop进行另行控制。目的是为了更好的保障运营商的利益。,实时计费间隔的配置建议,radius-serverrealtime-acct-timeoutrestricetd建议不配置，缺省是不做实时计费。使用标准radius协议，局方又强烈要求配置实时计费的前提下，该值才会被配置。该值配置后，会导致8850发出大量的实时计费报文，只要网络或RADIUS服务器处理速度慢，都会导致用户大面积掉线或挂死。如果配置建议最好大于30分钟。与itellin服务器进行对接，该值不需要被配置