GGSN中有关RADIUS的数据配置.doc

GGSN中有关RADIUS的数据配置移动通信工程部 王云彪一、RADIUS简介RADIUS为远程验证拨入用户的服务（Remote Authentication Dial In User Service），其协议是当前流行的AAA（验证、授权、计费）协议，主要用于ISP对拨号用户的身份验证。RADIUS采用典型的C/S模式，分为客户端和服务器端，两者之间的通信采用RADIUS协议，该协议所使用的传输层协议为UDP。为了便于管理，客户端一般不存放客户信息，所有有关客户的信息集中存放在服务器上，客户端只负责接收用户所发过来的验证和计费请求，并将其转化为服务器能够识别的格式，并向服务器发出请求；服务器根据数据库中的用户信息对用户进行身份验证，并将验证结果通过客户端转发给用户。服务器在接收到用户计费请求并发出确认后，开始对用户进行计费。当服务器通过对用户的验证后，可根据设置对用户进行授权，以保护RADIUS服务所在网络的安全性，同时向用户分配一个IP地址，该IP地址可以是私有地址，也可以是公有的IP地址。 二、RADIUS在GPRS中的作用图1 GPRS网络中RADIUS协议应用GPRS网络中RADIUS协议的应用如图1所示。GPRS用户在非透明接入时，需要使用RADIUS对用户身份进行验证。GGSN实现RADIUS客户端功能。通过RADIUS验证，GGSN可以判断用户的合法性：如果用户非法，可以拒绝该用户的接入请求；如果用户合法，可从RADIUS服务器上回传配置信息，如用户IP地址、用户防火墙规则等。RADIUS服务器通常运行在一台工作站上，用户的安全信息存储在该工作站上。Radius服务器对用户最常用的验证方式为PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol）两种。 华为GGSN节点在Gi接口上支持PAP和CHAP验证方式。验证的详细过程：1、GGSN上的RADIUS客户端获取从手机带来的用户名和口令（PAP口令或CHAP加密口令），将其同用户的其他信息（主叫号码、接入号码、占用端口等）打包向RADIUS服务器发送，通常称该数据包为验证请求包。2、RADIUS服务器在收到验证请求包后，首先查看GGSN是否已经登记，然后根据包中用户名、口令等信息验证用户是否合法：如果用户非法，则向GGSN发送访问拒绝包；如果用户合法，那么RADIUS服务器将用户配置信息（用户类型、IP地址等）打包发送到GGSN，该包称为访问接受包。3、GGSN收到访问接受/拒绝包后，首先判断包中签名是否正确，如果不正确则认为收到一个非法包。如果签名正确，GGSN则会接受用户的上网请求，并用收到的信息对用户进行配置（收到访问接受包），或者拒绝该用户的上网请求（收到访问拒绝包）。即使使用PAP验证方式，GGSN在向RADIUS发送的验证请求包中的口令也不是明文口令，而是利用MD5算法通过信息摘要而获得的加密口令。RADIUS服务器端可以利用共享密钥通过相同的算法将口令还原成明文口令。三、GGSN中有关RADIUS的数据设置在GGSN中有关RADIUS服务器的数据设置命令如下：1、 RADIUS add apn 命令结构 radius add apn 参数说明 Apn 接入点名称，长度不大于62的字符串 CardNum APN所在的单板的数量 CardList APN所在的单板的列表 ApnMode APN 的选择模式取，取值范围:0/1 PdpType PDP Context类型，目前必须输入IP TunnelMode 隧道类型，必须输入0 BearProtocal 承载协议，取值范围:TCP/UDP AccessMode 透明接入方式，取值范围TRANS/NONTRANS DNSServerNum 外部DNS 服务器数量 DNSIPList 外部DNS服务器地址列表 RDSServerNum Radius服务器数量 RDSIPList Radius服务器地址列表例：gsn(config)#radius add apn 1 0 0 ip 0 tcp trans 1 1 1配置一个APN，域名为，存在于0号板，选择模式为0，承载协议为TCP，接入方式为透明接入，一个外部DNS服务器，地址为，一个Radius服务器，地址为2、 RADIUS add sec 命令结构 radius add secret 参数说明 apn 接入点名称 BoardNo APN所在单板板号 ServerIP RADIUS服务器IP地址 SecertKey APN密钥该命令设置RADIUS客户端密钥。该命令是设置GGSN中RADIUS客户端的密钥（在RADIUS服务器端同样也要设置密钥），为了保密，在RADIUS客户端和服务器端间传递的用户名和密码需要加密，因此在二者之间要设置密钥，用来加密和解密用户信息。例：已经配置了一个APN：分布在单板0上，Radius 服务器的IP地址为，密钥为key。gsn(config)#radius add secret 0 key3、 RADIUS add addresspool xxxx命令结构 radius add addresspool 参数说明 APN 接入点名称 BoardNo APN所在的Gi板 AddressPoolID APN内部地址池编号，取值范围04 Set 同一地址池内地址段编号，取值范围09 BeginIp 地址段开始IP地址 Length 地址段长度，取值范围18192.例：配置了一个APN：huawei.