数据系列_技术原理分册_第11章_Radius协议.doc

第11章 Radius协议第11章Radius协议概述：RADIUS（Remote Authentication Dial In User Service）协议是一项通用的认证计费协议。该协议在利用IEEE 802 LAN优势的基础上，提供了对连接到局域网的设备或用户进行认证和授权的功能。通过此方式的认证，能够在 LAN 这种多点访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备上连接LAN的物理端口，或者是在IEEE 802.11 无线 LAN 环境中定义的工作站和访问点。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，其全部工作都是基于Attribute-Length-Value的向量进行的。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，可以按照设定的时间和次数向RADIUS服务器重传该请求，当所有重传报文都没有收到返回消息时，才认为该请求失败。这一机制可以避免由于到RADIUS服务器的单个报文丢失造成用户请求的失败。用作网络访问设备（NAS）的交换机通过RADIUS报文同RADIUS服务器通信，RADIUS报文中的属性用来传递认证、授权和计费的详细信息。我们现在的NAS版本中使用的属性主要指在RFC2865、RFC2866、RFC2869中规定的标准属性，另外还包括一些用户可以配置的自定义属性以传递一些我们需要的用户参数，包括用户的带宽、优先级以及VLAN ID，这里我们介绍的配置RADIUS属性主要涉及配置自定义属性。用户认证过程中，认证系统将用户的一些特征信息，通过认证请求报文传递给RADIUS服务器；用户认证通过后，RADIUS服务器将一些用户配置参数通过Access-Accept报文传递给RADIUS Client。其中包括用户的上下行带宽、优先级，以及用户进出的VLAN ID。RADIUS Client从属性中提取出配置参数，并对用户作相应的处理。具体使用哪些属性来携带这些参数，不同的厂商可能有不同的要求，考虑到这种情况，我们能够做到根据厂商的要求利用命令行进行灵活配置。由于这些参数的取值为数值形式，因此我们要求RADIUS服务器相关属性值的类型应为INTEGER，而不要使用STRING或TEXT类型。港湾公司目前支持的RADIUS标准属性如下表所示：11.1港湾设备对radius属性支持：l RFC2865、RFC2866、RFC2869中规定的标准属性l 厂家支持的自定义属性用作网络访问设备（NAS）的交换机通过RADIUS报文同RADIUS服务器通信，RADIUS报文中的属性用来传递认证、授权和计费的详细信息。我们现在的NAS版本中使用的属性主要指在RFC2865、RFC2866、RFC2869中规定的标准属性，另外还包括一些用户可以配置的自定义属性以传递一些我们需要的用户参数，包括用户的带宽、优先级以及VLAN ID，这里我们介绍的配置RADIUS属性主要涉及配置自定义属性。用户认证过程中，认证系统将用户的一些特征信息，通过认证请求报文传递给RADIUS服务器；用户认证通过后，RADIUS服务器将一些用户配置参数通过Access-Accept报文传递给RADIUS Client。其中包括用户的上下行带宽、优先级，以及用户进出的VLAN ID。RADIUS Client从属性中提取出配置参数，并对用户作相应的处理。具体使用哪些属性来携带这些参数，不同的厂商可能有不同的要求，考虑到这种情况，我们能够做到根据厂商的要求利用命令行进行灵活配置。由于这些参数的取值为数值形式，因此我们要求RADIUS服务器相关属性值的类型应为INTEGER，而不要使用STRING或TEXT类型。港湾公司目前支持的RADIUS标准属性如下表所示：港湾公司目前支持的RADIUS标准属性表：编号属性名称属性说明1User-Name被认证的用户名2User-PasswordPAP认证支持3CHAP-PasswordCHAP认证支持4NAS-IP-Address发起认证请求的NAS设备IP地址5NAS-Port用户接入使用的NAS设备物理端口及VLAN信息6Service-type用户请求的服务类型7Framed-Protocol用户接入的链路层协议8Framed-IP-Address使用Radius方式分配给用户的IP地址11Filter-Id指定特定用户所使用的filter-list的名字18Relay-Message显示给用户的文本信息24StateRadius server状态25ClassRadius server 发送的class属性26Vendor-Specific厂商自定义属性27Session-Timeout按时长预付费支持28Idle-Timeout用户idle 超时的最大值31Calling-Station-ID传送宽带接入用户的MAC地址32NAS-IdentifierNAS设备标识符40Acct-Status-Type计费状态（开始或者结束）41Acct-Delay-Time计费延迟时间42Acct-Input-Octets帐号接收的字节数43Acct-Output-Octets帐号输出的字节数44Acct-Session-ID用户计费ID45Acct-Authentic用户认证方式46Acct-Session-Time按时长计费47Acct-Input-Packets帐号接收的数据包数48Acct-Output-Packets帐号输出的数据包数49Acct-Terminate-Cause计费终止原因60CHAP-ChallengeCHAP认证支持61NAS-Port-TypeNAS设备的端口类型79EAP-MessageEAP-MD5认证支持80Message-AuthenticatorEAP-MD5认证支持85Acct-Interim-Interval实时计费支持港湾公司目前支持的自定义厂商扩展属性表：编号属性名称属性类型属性说明1Harbour-Uplink-Bandwidth Integer用户的上行带宽（单位bps或kbps）2Harbour-Downlink-BandwidthInteger用户的下行带宽（单位bps或kbps）7Harbour-ACL-IdInteger应用于用户的ACL id8Harbour-Primary-DNS-ServerIP Address主DNS服务器IP地址9Harbour-Primary-NBNS-ServerIP Address主NBNS服务器IP地址10Harbour-Secondary-DNS-ServerIP Address备DNS服务器IP地址11Harbour-Secondary-NBNS-ServerIP Address备NBNS服务器IP地址12Harbour-Supplicant-Upgrade-URLString802.1x客户端软件升级的URL13Harbour-Portal-Site-URLString门户站点的URL14Harbour-User-Access-Switch-NameString用户直接接入交换机的名字15Harbour-User-Access-Switch-IPIP Address用户直接接入交换机的IP16Harbour-User-Access-Switch-MACString用户直接接入交换机的MAC17Harbour-User-Access-Switch-PortInteger用户直接接入交换机的Port(用户连接的Port)31Harbour-VLAN-IPIP Address用户所在VLAN的IP地址32Harbour-VLAN-IdInteger用户所在VLAN的ID33Harbour-Path-TrackString用户所在的物理位置（用户直连的交换机名字、MAC及端口号等信息）38Harbour-PPPoEoA-VPIIntegerPPPoEoA用户绑定的vpi信息39Harbour-PPPoEoA-VCIIntegerPPPoEoA用户绑定的vci信息40Harbour-PPPoE-PeerMACIntegerPPPoE用户绑定的mac信息41Harbour-Uplink-CBSInteger用户上行带宽的突发流量42Harbour-Downlink-CBSInteger用户下行带宽的突发流量11.2RADIUS认证当一个客户端被配置使用Radius，客户端的用户提供认证信息给客户端。可能是一个用户性的提示，以便用户输入用户名和密码。或者用户也可以使用链路层的协议如PPP，这个协议有携带这个信息的认证包。一旦客户端获得那些信息，它可以选择使用Radius进行认证。客户端产生一个包含一些属性的“Access-Request”，这些属性如用户名，用户密码，客户端ID，用户正在访问的端口ID。当密码出现时，它被基于MD5的加密隐藏。Access-Request通过网络提交给Radius服务器。如果在一段长的时间里没有相应，请求被重发数次。另外如果有多个RADIUS服务器的话，NAS在屡次尝试主RADIUS服务器失败后，会转而使用其他的RADIUS服务器。一旦Radius服务器受到请求，它校验发送的客户端。一个来自客户端的对Radius服务器来说没有共享密钥的请求被直接丢弃。如果客户端正确，Radius服务器查询用户数据库，寻找和请求匹配的用户。在数据库中的用户项目包含一系列用以允许用户访问需要满足的要求。一般包含密码的校验，但也可以特别指定用户被允许访问的客户端或端口。为了满足一个请求Radius服务器可能向其他服务器请求，在这种情况下充当了客户。如果任何代理状态的属性出现在Access-Request中，它们必须原封不动的按顺序拷贝到响应包中。其他的属性可以放在代理状态的属性的前面、后面，甚至代理状态之间。如果任何条件不满足，Radius服务器发送一个Access-Reject响应表示用户请求不正确。如果需要，服务器可以在Access-Reject中包含文本信息，由客户端显示给用户。除Proxy-State其他的属性不允许出现在Access-Reject中。如果所有条件都满足并且Radius服务器希望发送一个用户必须相应的challenge，Radius服务器发送Access-Challenge相应。它可能包含由客户端显示给用户的提示用户响应Challenge的文本消息，也可能包含一个状态属性。如果客户端收到Access-Challenge并支持challenge/response，它可能显示文本消息，如果有，提示用户响应。客户端再次提交Access-Request，用新的请求ID，在用户密码中使用加密了的响应信息，包括Access-Challenge的状态属性，如果有。只有0个或1个状态信息应该出现在请求中。服务器可以用Access-Accept、Access-Reject或其他的Access-Challenge来响应新的Access-Request。如果所有条件满足，用户的配置值的列表将放在Access-Accept响应中。这些值包括服务类型如SLIP、PPP、Login User和其他所有提供希望服务所需要的值。对SLIP和PPP，可能包含IP地址，子网掩码，MTU，希望的压缩，数据包过滤标示信息。对于字符模式用户，可能包含如希望的协议和主机的值。11.2.1 包格式一个Radius包封装在一个UDP的数据字段中，UDP的目的端口是1812。当产生应答，源端口和目的端口反向。Radius数据格式如下，字段从左到右传输。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-code代码字段占一个字节，表示Radius包的类型。当Radius收到一个不正确的代码字段，它直接被丢弃。Radius分配的代码类型如下，用10进制表示：1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 ReservedIdentifierIdentifier占一个字节，用于匹配请求和应答。Radius服务器可以识别重复的请求，如果在很短的时间里有相同的IP地址，源UDP端口和Identifier（标识）.LengthLength占两个字节。它包括Code, Identifier, Length, Authenticator and Attribute 字段。在这个长度范围外的字节被认为用于填充并被忽略。如果包长度短与这个长度的话，包被直接丢弃。最小长度是20，最大的是4096。AuthenticatorAuthenticator占16个字节。最重要的字节首先传递。这个值用于认证来自Radius服务器的应答，并用于密码隐藏的算法。Request Authenticator在Access-Request包，这个Authenticator的值是一个16个字节的随机数，称作Request Authenticator。这个值在同一个密钥情况下应该是不可预期的和唯一的。因为一个重复的请求的值可能导致攻击者使用截获的响应。Response Authenticator在Access-Accept, Access-Reject, and Access-Challenge包中的Authenticator字段称作Response Authenticator并且包含一组MD5加密的字节包括：Radius包，从code字段开始，包括Identifier，Length，Access-Request包中的Request Authenticator，响应属性，跟着共享密钥。ResponseAuth =MD5(Code+ID+Length+RequestAuth+Attributes+Secret) where +denotes concatenation11.2.2 包类型Radius包类型由在包的第一个字节的Code字段来决定。11.2.2.1 Access-Request描述Access-Request包发送给Radius服务器，传递信息用于确定一个用户是否被允许访问特殊的NAS以及用户请求的特殊的服务。一个希望对用户进行认证的实现必须发送一个code字段设为1的Radius包。一旦接收到来自正确的客户端的Access-Request，相应的应答必须发送。一个Access-Request必须包含User-Name属性。它必须包含一个NAS-IP-Address或NAS-Identifier属性。一个Access-Request必须包含一个User-Password，CHAP-Password，或状态。不能同时包含User-Password和CHAP-Password。一个Access-Request应该包含一个NAS-Port或NAS-Port-Type属性。除非请求不包括端口或NAS不区分端口。当包含一个User-Password，它用MD5加密。对Access-Request包总结如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Request Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-Code：1Identifier一旦属性字段被修改或成功收到前一个请求的应答，Identifier必须被修改。Request Authenticator每当新的Identifier使用，Request Authenticator将被修改。Attributes长度可变，包含请求服务类型的属性的列表或其他任何属性。11.2.2.2 Access-Accept描述Access-Accept包由Radius服务器发送提供给用户提供服务所必须的配置信息。如果收到的Access-Request中的所有属性值都可以接受，Radius实现必须发送一个code字段设置为2的包。一旦收到Access-Accept包，用Identifier来匹配挂起的Access-Request。Response Authenticator必须包含对Access-Request正确的响应。否则被丢弃。Access-Accept包总结如下 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Response Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-Code：2Identifier是引发该Access-Accept包的Access-Request包中Identifier字段的拷贝。Response Authenticator由Access-Request包值计算而来，如上。Attributes长度可变，包含请求服务类型的属性的列表或其他任何属性。11.2.2.3 Access-Reject描述如果任何属性无法接受，Radius服务器必须发送一个code字段为3的包。它可能包含一个或多个Reply-Message属性NAS用来显示给用户。总结如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Response Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-Code：3Identifier是引发该Access-Reject包的Access-Request包中Identifier字段的拷贝。Response Authenticator由Access-Request包值计算而来，如上。Attributes长度可变，包含请求服务类型的属性的列表或其他任何属性。11.2.2.4 Access-Challenge描述如果Radius服务器希望发给用户一个请求响应的challenge，Radius服务器必须发送一个code字段为11的包来响应Access-Request。属性字段可能包含一个或多个Reply-Message属性，一个状态属性，或什么都没有。也可能包括Vendor-Specific, Idle-Timeout, Session-Timeout and Proxy-State。其他在本文件中定义的属性不能被包含在Access-Challenge中。一旦收到Access-Accept包，用Identifier来匹配挂起的Access-Request。Response Authenticator必须包含对Access-Request正确的响应。否则被丢弃。如果NAS不支持challenge/response，它必须像处理Access-Reject一样对待Access-Challenge。如果NAS支持challenge/response，收到一个正确的Access-Challenge意味着一个新的Access-Request要发送。NAS可以显示文本信息，如果由，提示用户响应。然后发送原来的Access-Request用新的请求ID和Request Authenticator，用加密的用户响应填充User-Password属性，并包括来自Access-Challenge的状态属性，如果有。只有0或1个属性能出现在Access-Request中。支持PAP的NAS转发Reply-Message给拨号客户端，并接收PAP响应可以模仿用户输入响应。如果NAS不支持的话，它必须像处理Access-Reject一样对待Access-Challenge。总结如下： 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Response Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-Code：11Identifier是引发该Access-Challenge包的Access-Request包中Identifier字段的拷贝。11.2.3 RADIUS认证属性11.2.3.1 User-Name描述该属性表示要认证的用户名。如果有的话必须包含在Access-Request包中。它可以在Access-Accept包中发送，这样的话客户必须使用Access-Accept包中的用户名在会话中所有的Accounting-Request包。总结如下 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | String . +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-type：1Length：=3String：一个或多个字节。NAS可能会限制最大长度，建议63个字节。11.2.3.2 User-Password描述这个属性表示用户的密码或用户响应Access-Challenge的输入。只用于Access-Request包中。在传输中，密码被加密。首先用nulls填充至16个字节的倍数。加密方法如下 b1 = MD5(S + RA) c(1) = p1 xor b1 b2 = MD5(S + c(1) c(2) = p2 xor b2 . . . . bi = MD5(S + c(i-1) c(i) = pi xor bi总结如下： 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | String . +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-type：2Length：18-130String：16-12811.2.3.3 CHAP-Password这个属性表示CHAP用户对Challenge的响应值。它只用在Access-Request包中。CHAP值在CHAP-Challenge Attribute属性中，如果出现在包中，否则，在Request Authenticator字段。总结如下 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | CHAP Ident | String . +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-Type：3Length：19CHAP Ident：一个字节，包括来自用户CHAP响应的CHAP标识String：16字节，包含来自用户的响应。11.2.3.4 NAS-IP-Address描述这个属性标识请求用户认证的NAS的IP地址，并且应在在Radius服务器范围内唯一。NAS-IP-Address只用在Access-Request包中。NAS-IP-Address和NAS-Identifier中的一个必须出现在Access-Request包中。注意，NAS-IP-Address不能用来选择共享密钥进行认证，一定要用Access-Request包的源地址IP。总结如下 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Address +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Address (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+type：4length：6Address：4个字节11.2.3.5 NAS-Port描述这个属性用来标识对用户认证的NAS物理端口号。如果NAS区分它的端口，NAS-Port或NAS-Port-Type或者两个都包含在Access-Request包中。总结如下 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Value (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Type：5Length：6Value：占4个字节11.2.3.6 Service-Type描述这个属性用来表示用户请求或者服务提供的类型。它可能在Access-Request和Access-Accept 包中都使用.一个NAS不一定支持所有的服务类型，但要像处理Access-Reject一样处理未知的和不支持的服务类型。总结如下 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Value (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+type：6Length：6Value： The Value field is four octets. 1 Login 2 Framed 3 Callback Login 4 Callback Framed 5 Outbound 6 Administrative 7 NAS Prompt 8 Authenticate Only 9 Callback NAS Prompt 10 Call Check 11 Callback Administrative11.2.3.7 Framed-Protocol描述它表示帧访问如何成帧。它可能在Access-Request和Access-Accept 包中都使用。总结如下 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Value (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+type：7Length：6Value：4个字节 1 PPP 2 SLIP 3 AppleTalk Remote Access Protocol (ARAP) 4 Gandalf proprietary SingleLink/MultiLink protocol 5 Xylogics proprietary IPX/SLIP 6 X.75 Synchronous11.2.3.8 Framed-IP-Address描述这个字节用于表示给用户配置的IP地址。它可以用在Access-Accept