Radius原理与应用培训教材.doc

目 录第一章 AAA和RADIUS介绍2第二章 RADIUS协议42.1 引论42.2 客户服务器模式42.3 用户NASRadius业务流程说明42.4 网络安全52.4.1 包签名：52.4.2 口令加密：62.5 AAA在协议栈中的位置92.6 良好的可扩展性9第三章 标准RADIUS协议113.1 标准Radius协议包结构113.2 常用标准Radius属性说明133.3 华为公司宽带产品Radius标准属性14第四章 华为公司的Radius扩展协议Radius+ v1.1174.1 Radius+简介174.1.1 扩展Radius+的目的174.1.2 可靠性、安全性与Radius相同174.2 Radius+报文184.2.1 Radius+认证报文184.2.2 Radius+计费报文224.2.3 Radius+新增报文26第五章 华为NAS设备与Radius Server对接应用实例295.1 组网图295.2 用户认证计费应用实例分析295.2.1 合法用户295.2.2 非法用户32关 键 词： RADIUS、 AAA、PAP、CHAP、PPP、NAS、TCP、UDP。 摘 要：90年代中期以来，Internet 业务量的增长已构成数据业务的主要增长因素，IP成为电信网是不争的事实 。但是目前的IP网络还不是一个电信级的网络，它的可运营、可管理特性同PSTN相比还存在较大差距。从可运营性方面来说，针对个人用户，IP网络目前仅仅解决了一个上网的问题，用户仅能收发一些电子邮件和从网络上搜索一些信息而已，还不能提供个性化的业务以吸引更多个人用户上网，如Portal、个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网等等。同时，不可忽视的是，提高IP网络的可管理性是当前宽带网络发展急需解决的问题。从可管理性方面来说，对用户实施业务管理的前提就是解决用户的认证、授权和计费问题，即众所周知的AAA。目前，电信运营商和服务提供商所采用的认证方式主要有本地认证、Radius认证和不认证；而计费策略更是丰富多采，常见的有不计费（包月）、按时长计费、按流量计费、按端口计费等等。目前在所有这些认证计费方式中，以采用Radius Server进行集中认证计费应用的最为普及和广泛。Radius是Remote Authentication Dial In User Service的简称，即远程验证拨入用户服务。 当用户想要通过某个网络(如电话网)与NAS（网络接入服务器）建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。以下即针对Radius协议的基本原理和应用做详细介绍。缩略语清单：RADIUS：Remote Authentication Dial-In User Service 远程验证拨入用户服务，一种实现远程AAA的协议。AAA：Authentication,Authorization,and Accounting 验证、授权、计费。PAP： Password Authentication Protocol口令验证协议。CHAP：Challenge-Handshake Authentication Protocol挑战握手验证协议。PPP： Point-to-Point Protocol点到点协议，一种链路层协议。NAS：Natwork Access Server网络接入服务器。TCP：Transmission Control Protocol传输控制协议。UDP：User Datagram Protocol用户数据报协议。1Radius原理与应用培训教材第五章 华为NAS设备与Radius Server对接应用实例第一章 AAA和RADIUS介绍图1 PSTN,ISDN用户通过NAS上网示意图如图：用户 lqz, lst 要求得到某些服务(如SLIP, PPP,telnet)，但必须通 过NAS, 由 NAS依据某种顺序与所连服务器通信从而进行验证。 注：lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如 PPP PAP, CHAP等)要求lst输入用户名, 密码等信息。 lst 端出现提示，用户按提示输入。通过与NAS 的连接，NAS得到这些信息。而后，NAS把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。AAA是验证，授权和记账（Authentication,Authorization,and Accounting）的简称。它 是运行于NAS上的客户端程序。它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行记账？下面简单介绍一下验证, 授权,记账的作用。 验证(Authentication): 验证用户是否可以获得访问权。可以选择使用RADIUS协议。 授权(Authorization) : 授权用户可以使用哪些服务。 记账(Accounting) : 记录用户使用网络资源的情况。AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称，用来管理使用串口和调制解调器的大量分散用户。网络接入服务器简称NAS(Network Access Server) 。当用户想要通过某个网络（如电话网）与 NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时, NAS起到了过问用户（或这个连接）的作用。NAS负责把用户的验证，授权，记账信息传递给RADIUS服务器。 RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息，即两者之间的通信规则。RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器还完成对用户帐号计费的功能。第二章 RADIUS协议 2.1 引论 RADIUS 协议的认证端口号为1812或1645，计费端口号为1813或1646。一个网络允许外部用户通过公用网对其进行访问，于是用户在地理上可以极为分散。大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成为很重要的问题了。大量的modem形成了Modem pools。对modem pool 的管理就成为网络接入服务器或路由器的任务。管理的内容有：哪些用户可以获得访问权，获得访问权的用户可以允许使用哪些服务，如何对使用网络资源的用户进行记费。AAA很好的完成了这三项任务。RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。2.2 客户服务器模式 图2 用户，NAS，RADIUS 服务器的关系RADIUS采用客户/服务器（Client/Server）结构：NAS上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端。1、RADIUS的客户端通常运行于接入服务器（NAS）上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户（NAS）。2、RADIUS的服务器上存放着大量的信息，接入服务器（NAS）无须保存这些信息，而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。3、RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。2.3 用户NASRadius业务流程说明图3 用户NASRadius认证计费流程1、用户拨入后（1），所拨入的设备（比如NAS）将拨入用户的用户的信息（比如用户名、口令、所占用的端口等等）打包向RADIUS服务器发送（2）。2、如果该用户是一个合法的用户，那么Radius告诉NAS该用户可以上网，同时传回该用户的配置参数（3）；否则，Radius反馈NAS该用户非法的信息（3）。3、如果该用户合法，MAS就根据从RADIUS服务器传回的配置参数配置用户（4）。如果用户非法，NAS反馈给用户出错信息并断开该用户连接（4）。4、如果用户可以访问网络，RADIUS客户要向RADIUS服务器发送一个记费请求包表明对该用户已经开始记费（5），RADIUS服务器收到并成功记录该请求包后要给予响应（6）。5、当用户断开连接时（连接也可以由接入服务器断开）（7），RADIUS客户向RADIUS服务器发送一个记费停止请求包，其中包含用户上网所使用网络资源的统计信息（上网时长、进/出的字节/包数等）（8），RADIUS服务器收到并成功记录该请求包后要给予响应（9）。2.4 网络安全 RADIUS协议的加密是使用MD5加密算法进行的，在RADIUS的客户端（NAS）和服务器端（Radius Server）保存了一个密钥（key），RADIUS协议利用这个密钥使用MD5算法对RADIUS中的数据进行加密处理。密钥不会在网络上传送。RADIUS的加密主要体现在两方面：2.4.1 包签名： 在RADIUS包中，有16字节的验证字（authenticator）用于对包进行签名，收到RADIUS包的一方要查看该签名的正确性。如果包的签名不正确，那么该包将被丢弃，对包进行签名时使用的也是MD5算法（利用密钥），没有密钥的人是不能构造出该签名的。3 包的签名与加密详细说明如下： 包的签名指的是RADIUS包中16字节的Authenticator，我们称其为验证字。l 认证请求包RequestAuth=Authenticator，认证请求包的验证字是一个不可预测的16字节随机数。这个随机数将用于口令的加密。l 认证响应包ResponseAuth = MD5(Code+ID+Length+Authenticator+Attributes+Key)。l 记费请求包RequestAcct = MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。l 记费响应包ResponseAcct = MD5(Code+ID+Length+RequestAcct+Attributes+Key)。2.4.2 口令加密：在认证用户时，用户的口令在NAS和Radius Server之间不会以明文方式传送，而是使用了MD5算法对口令进行加密。没有密钥的人是无法正确加密口令的，也无法正确地对加密过的口令进行解密。3 口令的加密: 称共享密钥（key）为Key；16字节的认证请求验证字(Authenticator)为Auth；将口令(Password)分割成16字节一段（最后一段不足16字节时用0补齐），为p1、p2等；加密后的口令块为c(1)、c(2)等。下面运算中b1、b2为中间值： b1 = MD5(Key + Auth) c(1) = p1 xor b1 b2 = MD5(Key + c(1) c(2) = p2 xor b2 bi = MD5(Key+ c(i-1) c(i) = pi xor bi那么加密后的口令为c(1)+c(2)+.+c(i)。上面是协议规定的算法，也有的RADIUS服务器为了实现起来简单，修改了上述的算法，具体的讲，b1的算法同上，但bi=b2=b1(i=1)，其他运算不变。当用户的口令长度不超过16字节时，两种算法的结果是一样的。3口令加密与口令验证过程当用户上网时，NAS决定对用户采用何种验证方法。下面分别在本地验证和Radius验证两种情况下介绍用户与NAS之间的PAP和CHAP验证方式。1）NAS本地认证l PAP 验证（Password Authentication Protocol：密码验证协议）：用户以明文的形式把用户名和密码传递给NAS。 NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过，否则表明验证未通过。图4 本地PAP认证l CHAP 验证（Challenge Handshake Authentication Protocol：挑战握手验证协议）： 当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地路由器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，如果相同表明验证通过，如果不相同表明验证失败。Secret Password = MD5（Chap ID + Password + challenge）图5 本地CHAP认证2）Radius认证 如果用户配置了RADIUS验证而不是本地验证，过程略有不同。l PAP验证：用户以明文的形式把用户名和他的密码传递给NAS，NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器。RADIUS服务器对NAS上传的帐号进行验证并返回结果来决定是否允许用户上网。Secret password =Password XOR MD5（Challenge Key）(Challenge就是Radius报文中的Authenticator)图6 Radius Server PAP认证l CHAP验证：当用户请求上网时，NAS产生一个16字节的随机码给用户（同时还有一个ID号，本地路由器的 host name）。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS把传回来的CHAP ID和Secret Password分别作为用户名和密码，并把原来的16字节随机码传给RADIUS服务器。RADIUS根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的Password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，RADIUS服务器同样可以生成一个16字节的随机码对用户进行挑战询问（魔术字），该部分内容由于应用较少，此处略。Secret password = MD5（Chap ID + Password + challenge）图7 Radius Server CHAP认证 2.5 AAA在协议栈中的位置图8 AAA在协议栈中的位置 3 RADIUS为何采用UDP NAS和RADIUS服务器之间传递的是一般几十上百个字节长度的数据，并且RADIUS要求特别的定时器管理机制。用户可以容忍几十秒的验证等待时间。当处理大量用户时服务器端采用多线程，UDP简化了服务器端的实现过程。TCP是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。RADIUS要有重传机制和备用服务器机制，它所采用的定时，TCP不能很好的满足。2.6 良好的可扩展性RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性（Attribute）构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的RADIUS服务器。为了提供一些功能，常常要定义一些非标准的（RFC上没有定义过的）属性。关于各个厂家有那些扩展的属性，一般可以从相应的RADIUS服务器的字典（dictionary）文件中找到。 第三章 标准RADIUS协议3.1 标准Radius协议包结构图9 Radius包格式 : Code：包类型；1字节；指示RADIUS包的类型。 1 Access- request 认证请求 2 Access- accept 认证响应 3 Access- reject 认证拒绝 4 Accounting-request 计费请求 5 Accounting-response 计费响应 *11 Access-challenge 认证挑战 : Identifier： 包标识；1字节，取值范围为0 255；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。 : Length： 包长度；2字节；整个包中所有域的长度。: Authenticator：16 字节长；用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。该验证字分为两种： 1、请求验证字-Request Authenticator 用在请求报文中,必须为全局唯一的随机值。 2、响应验证字-Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。 响应验证字MD5(Code+ID+Length+请求验证字+Attributes+Key): Attributes：属性图10 属性格式 Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id 51 Acct-Link-Count 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port Length 属性长度。 Value 属性值。3.2 常用标准Radius属性说明属性名Type说明User-Name 11、对于PPP用户，若用户名带ISP，该项用UsernamePPP格式上报用户名；否则用Username格式上报用户名；2、对于VLAN方式，用HCIDVLAN方式上报HCID号，其中，对HCID进行编码，将其转换为字符串User-Password2PPP用户密码CHAP-Password3PPP用户的CHAP过程密码NAS-IP-Address4ISN的接口IP地址NAS-Port5A、VLAN PORT：槽位号（12位）+端口号（8位）+VLAN ID（12位）B、ADSL：NAS PORT标明端口属性、实际物理端口属性Service-Type6服务类型Framed-Protocol7通信协议类型Framed-IP-Address8服务器下发的用户地址，为0XFFFFFFFF时需要从本地地址池中分配Framed-IP-Netmask9服务器分配的地址掩码Reply-Message18返回给用户的提示信息Vendor-Specific26私人自定义属性Session-Timeout27预付费时长Idle-Timeout28超时中断时间NAS-Identifier32Nas标识符Acct-Status-Type40用于识别计费包Acct-Delay-Time41用于上报发送该计费包花费的时间Acct-Input-Octets42输入字节数，用于兼容RADIUS协议Acct-Output-Octets43输出字节数，用于兼容RADIUS协议Acct-Session-Id44上报连接号给计费服务器Acct-Authentic45用户如何实现认证：1 = Radius；2 = Local；3 = RemoteAcct-Session-Time46连接时间Acct-Input-Packets47输入报数Acct-Output-Packets48输出报数Acct-Terminate-Cause49上报断开原因Acct-Input-Gigawords52输入吉比特Acct-Output-Gigawords53输出吉比特Event-Timestamp55事件时戳标准参考时间为1970/01/01 00:00:00Acct-Interim-Interval85实时计费间隔时间NAS-Port-Id87用字符串来描述的端口信息，统一格式：port=XX;slot=XX;frame=XX;VLAN=XX;VPI=XX;VCI=XX;Framed-Pool88用字符串来描述的地址池CHAP-Challenge60CHAP认证过程中的挑战值NAS-Port-Type61Nas端口类型3.3 华为公司宽带产品Radius标准属性【注意】 YES表明报文中携带此属性，NO表明报文中不携带此属性。 对RADIUS发回的响应包，YES表示设备可以支持；对请求包，YES表示在不冲突的情况下，设备应带上尽量多的属性。属性名属性编号接入请求接入响应计费开始请求计费结束请求说明RFC2865( Remote Authentication Dial In User Service ）User-Name1YESNOYESYES设备以开关形式决定用户名是否带ISP的名字User-Password2YESNONONOCHAP-Password3YESNONONONAS-IP-Address4YESNOYESYES此值可能跟RADUIS服务器收到的实际的RADIUS IP包的源地址不符（比如RADIUS包穿透了NAT后）NAS-Port5YESYESYESA、VLAN PORT：槽位号（12位）+端口号（8位）+VLAN ID（12位）B、ADSL：NAS PORT标明端口属性、实际物理端口属性Service-Type6YESYESYESYESFramed-Protocol7YESYESYESYES当前标准协议没有能很好的区别PPPoE和VLAN，暂时都填成PPPFramed-IP-Address8NOYESYESYESFramed-IP-Netmask9NOYESYESYESReply-Message18NOYESNONO至少可以用于设备上的调试信息，在使用PPPoE时可以向用户显示接入失败的原因Class25NOYESYESYES必须满足标准规定，如果产品有其他定义（如流控），则应该可以通过设备上开关来限制Vendor-Specific26NOYESYESYES将进一步细化Session-Timeout27NOYESNONO用于时 长预付费，MA520 0还支持服务器在计费响应包中下发的此属性，建议其他产品也支持NAS-Identifier32YESNOYESYES一个RADIUS客户端就应该有一个名字CHAP-Challenge60YESNONONO用于CHAP认证，即使Challenge为16字节，也应该在Authenticator和本属性中同时填入，因为不同的服务器可能从请求包的不同地方去取该值并进行CHAP认证 NAS-Port-Type61YESNOYESYES按标准属性RFC2866（RADIUS Accounting）Acct-Status-Type40NONOYESYESAcct-Delay-Time41NONOYESYESAcct-Input-Octets42NONONOYESAcct-Output-Octets43NONONOYESAcct-Session-Id44NONOYESYES唯一的标识一个会话的值，在很长的时间内都不重复（即使设备重启了）BAcct-Authentic45NONOYESYESAcct-Session-Time46NONONOYESAcct-Input-Packets47NONONOYESAcct-Output-Packets48NONONOYESAcct-Terminate-Cause49NONONOYES按标准属性RFC2869(RADIUS Extensions)Acct-Input-Gigawords52NONONOYESAcct-Output-Gigawords53NONONOYESEvent-Timestamp55NONOYESYES按标准属性NAS-Port-Id87YESNOYESYES用字符串来描述的端口信息，统一格式（XX表示一个10进制数字，其位数并不限定为2位）：port=XX;slot=XX;frame=XX;VLAN=XX;VPI=XX;VCI=XX;Framed-Pool88NOYESNONO用字符串来描述的地址池 第四章 华为公司的Radius扩展协议Radius+ v1.14.1 Radius+简介4.1.1 扩展Radius+的目的支持动态改变服务质量(带宽)；支持定时发送计费信息，以便增强计费灵活性和可靠性；支持服务器主动激活端口（Portal认证）；支持服务器主动中断连接；支持动态选择业务（业务属性）；支持业务优先级。4.1.2 可靠性、安全性与Radius相同Radius+协议与Radius一样，通过UDP通讯，采用重发确认机制以确保接收，使用客户端与服务器端的共享密钥通过MD5算法对用户口令进行加密，使得口令不会在网上明文传送，有16字节的验证字用于对报文进行签名，以确定收到的报文为合法报文。4.2 Radius+报文1 Access-Request2 Access-Accept3 Access-Reject4 Accounting-Request5 Accounting-Response20 Session-Control4.2.1 Radius+认证报文4.2.1.1 报文1 Access-Request2 Access-Accept3 Access-Reject4.2.1.2 属性属性类型值说明Access-Request 报文Access-Accept 报文Access-Reject 报文User-Name1用户名0-1 0-10User-Password2口令0-100CHAP-Password3CHAP口令0-100CHAP-Challenge60CHAP挑战值0-100Framed-Protocol7帧协议0-10-10Framed-IP-Address8服务器下发的用户地址，为0XFFFFFFFE时需要从本地地址池中分配,不支持下发0XFFFFFFFF0-10-10Framed-IP-Netmask9服务器分配的地址掩码00-10Filter-ID11过滤列表名00-10class25透明字符串0+0+0Idle-Timeout28空闲超时00-10NAS-Port-Id87Text型的NAS-Port100Framed-Pool88地址池号00-10Acct-Interim-Interval85定时上报计费请求的周期（S）00-10ISP-ID*17标识ISP0-10-10NAS-Port-Type61端口类型100Max-Users-Per-Logic-Port*19每个vlan下的最大用户数00-10Input-Peak-Rate*1上行峰值速率00-10Input-Average-Rate*2上行平均速率00-10Input-Basic-Rate*3上行基本速率00-10Output-Peak-Rate*4下行峰值速率00-10Output-Average-Rate*5下行平均速率00-10Output-Basic-Rate*6下行基本速率00-10Connect-ID*26连接号111priority*22业务优先级00-10带“*”的为自定义的子属性。其类型值是子属性的类型值。3 主要属性说明 User-Name要求小于28字符。如果是PPP用户，则用户名的内容是由用户输入的。例如：用户输入的用户名格式是“USERNAMEISP”。如果是Portal认证，Access-Request中的用户名从Session-Control（Trigger-Request）中的用户名取得。Web认证时，Vlan认证也可以有用户名。 User-Password，CHAP-Password，CHAP-Challenge如果PPP用户进行PAP认证，User-Password 中包含加密后的用户密码，如果PPP用户进行CHAP认证，CHAP-Password 中包含CHAP密码，CHAP-Challenge中包含CHAP挑战值。它们的意义和加密方法同标准Radius协议。为了安全，在Portal认证时，Session-Control(Trigger-Request)和Access-Request报文中不含口令信息。 Framed-Protocol同协议规定。任何类型的PPP，包括窄带的PPP、PPPoA、PPPoE，该值都为1（PPP）。但是如果直接是VLAN，或者在ATM PVC上的1483B/R，则不能叫PPP，该属性不发送或者另外定义一个值。 Framed-IP-Address如果Client已知连接（客户）的IP地址，必须在所有的报文中带上。特别在Portal认证的情况，必须带上IP地址。Server将以IP地址找到Access-Request对应的是哪一个会话。 Filter-ID同RFC2865定义。最多28字节。用来描述filter list的名字。通过该属性来控制用户是否能访问Internet、只能访问城域网、只能访问Portal。Filter-ID中包含，ACL组和互访组。格式为“ACL组互访组”。两个组都以ASCII字符的形式出现。如果只改变ACL组，则格式为“ACL组”；如果只改变互访组，则格式为“互访组”。 Class参见RFC2865。Client不解释该属性。Client收到iTELLIN的Class后，在后续的报文中带回。一个报文中，至少支持3个Class。 Connect-Id该值由Client生成，不同的连接，在一个Client设备的范围内该值不能重复。在所有的报文中都要带上。如果第一个报文由iSCP先发起，例如Session-Control(Trigger-Rquest)消息，则Client忽略该值;Client需根据第一个报文的IP地址找到Client内的会话，如果发生异常，则回Session-Control(Result)表示异常，并且不含Connect-Id。 Idle-Timeout空闲超时时长。在指定的时长内如果连接未收发数据包，则断开链路，并向iTELLIN发Accounting-Request(stop)。如果该属性未出现，则不处理该功能。 ISP-ID字符串类型。标识ISP。Access-Request中的该属性用于表示用户选择的ISP。 NAS-Port-Type指的是逻辑端口的端口类型。其值的参考RFC2865。15表示以太网； 16表示所有种类的ADSL；17表示Cable（有线电视电缆）；201表示VLAN；202表示ATM口。如果在ATM上还细分VLAN，则为201；在以太网端口上还细分VLAN，则也为201。 NAS-Port-Id字符串类型，最多28字节。请参见RFC2869。逻辑端口细分到最细层的Vlan、PVC、物理端口。不一定是最底层的连接（如PPP）。具体格式可为2字节槽号，2字节子槽号，3字节端口号，9字节子端口号。整个属性是一个16字节的字符串。该属性是为了接入限制、端口绑定。在IP Hotel业务中，每一个房间将与一个逻辑端口对应。可以限制用户只能在某房间上网（限制），或者上网时不需要输入用户名（绑定）。 Max-Users-Per-Logic-Por