Radius协议相关知识专题.doc

Radius协议相关知识专题文档密级：内部公开资料编码产品名称使用对象产品版本编写部门资料版本Radius协议相关知识专题拟 制：于博日 期：2010-06-20审 核：日 期：审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司版权所有 侵权必究修订记录日期修订版本描述作者2010-06-20于博3/21/2020华为机密，未经许可不得扩散第2页, 共11页Raidius协议相关知识专题文档密级：内部公开1.1 RADIUS概述RADIUS是ME60和RADIUS服务器之间的应用层通信协议，规定了ME60与RADIUS服务器之间传递用户信息和计费信息的过程和报文格式。通过RADIUS协议与RADIUS服务器进行交互，完成用户的RADIUS认证、授权和计费过程。RADIUS协议基于C/S架构，其中ME60属于客户端，而RADIUS服务器则属于服务器端。RADIUS协议使用UDP报文承载，并通过报文重传机制和备用服务器机制保证可靠性。RADIUS协议使用的认证和计费端口一般为1645/1646或1812/1813。支持以下三种RADIUS协议类型： 标准RADIUS：通用RADIUS协议。 RADIUS+1.0：IP Hotel型服务器支持RADIUS+1.0协议。 RADIUS+1.1：Portal型服务器支持RADIUS+1.1协议。具体配置必须和RADIUS服务器保持一致。1.2 RADIUS报文格式RADIUS报文格式如下所示。图1 RADIUS报文格式 各字段含义：Code字段：Code字段长度为1个字节，用于表示RADIUS报文类型，常见的Code值和含义如下所示。表1 常用Code值和含义值报文类型含义用处1Access-request认证请求向RADIUS发起认证请求。2Access-accept认证接受RADIUS响应该报文，表示认证通过。3Access-reject认证拒绝RADIUS响应该报文，表示认证失败。4Accounting-request计费请求向RADIUS发起计费请求。5Accounting-response计费响应RADIUS对某个计费报文的响应。说明： 计费请求报文包括以下三种报文，由报文中携带的40号属性区分。 开始计费报文（40号属性的值为1）。 实时计费报文（40号属性的值为2）。 停止计费报文（40号属性的值为3）。Identifier字段：Identifier字段长度为1字节，其内容用于匹配请求报文和响应报文。Length字段：Length字段长度为2字节，表示报文中所有域的长度。Authenticator字段：Authenticator字段长度为16 字节，用于验证RADIUS服务器响应的请求以及密码隐藏算法。分Request Authenticator 和 Response Authenticator两种。Attribute字段：Attribute字段长度不定，可包含多个属性，每个属性的格式如下所示。图2 RADIUS属性格式 Type字段：Type字段表示属性类型，常见的属性所对应的类型如下所示。表2 常见RADIUS属性表值属性名字段类型用处1User-nameString(132)根据命令行的配置,可以带域名(如user0001isp)，也可以不带域名。2PasswordString(16128)加密后的密码，仅对PAP认证有效。3Challenge-PasswordString(17)MD5加密后的验证字，仅对CHAP认证有效。4NAS-IP-AddressIP Address连接RADIUS服务器的接口地址。5NAS-PortInteger用户接入的物理端口。6Service-TypeInteger固定为2，表示Framed类型。7Framed-ProtocolInteger固定为1，表示PPP类型。8Framed-IP-AddressAddress用户的IP地址。9Framed-NetmaskAddress服务器为用户指定的子网掩码。11Filter-IDString(1)用户所属的UCL组和互访组，格式为UCL-GroupInter-Group。18Reply-MessageString(1128)在认证接受报文中表示成功消息，在认证拒绝报文中 表示拒绝消息。25ClassStringRADIUS服务器可在发给ME60的认证接受报文中携带Class属性，ME60会在后续的所有计费请求报文中将此Class属性原样返回给RADIUS服务器。在标准RADIUS中Class属性还可以用来传送CAR。27Session-TimeOutInteger用户剩余的时间，以秒为单位。28Idle-TimeOutInteger用户的闲置切断时间。31Calling-Station-IdString用户的MAC地址。32NAS-IdentifierString如果已配置NAS-ID，则填写已配置的NAS-ID。否则填主机名。40Acct-Status-TypeInteger表示计费请求报文的类型。1表示开始计费报文。2表示停止计费报文。3表示实时计费报文。4表示重置计费报文。 41Acct-Delay-TimeInteger发送该计费报文花费的时间，以秒为单位（不包括网络传输时间）。42Acct-Input-OctetsInteger用户接收的字节数，单位可以是Byte、Kbyte、Mbyte或Gbyte。43Acct-Output-OctetsInteger用户发送的字节数，单位可以是Byte、Kbyte、Mbyte或Gbyte。44Acct-Session-IdString计费连接号。45Acct-AuthenticInteger用户认证方式。1表示RADIUS认证。2表示本地认证。46Acct-Session-TimeInteger用户的上线时间，以秒为单位。47Acct-Input-PacketsInteger用户接收的报文数。48Acct-Output-PacketsInteger用户发送的报文数。49Terminate-CauseInteger会话中断的原因。52Acct-Input-GigawordsInteger表示用户接收字节数相对4G（232）字节的倍数。 53Acct-Output-GigawordsInteger表示用户发送字节数相对4G（232）字节的倍数。55Event-TimestampInteger生成计费请求报文的时间（以秒为单位，表示从1970年1月1日零点零分零秒以来的绝对秒数）。60CHAP-ChallengeString(16)质询字，只对CHAP认证时才有效。61NAS-Port-TypeIntegerNAS（Network Access Server）的端口类型，常用值为15（Ethernet类型）。87NAS-Port-IdString用户接入的逻辑端口号（槽位号+端口号+VLAN号）。Length字段：Length字段长度为1字节，表示每个属性字段的长度。Value字段：Value字段长度不定，表示属性的值。1.3 RADIUS报文交互流程RADIUS报文交互流程如下所示。图3 RADIUS报文交互流程 1.4 服务器状态控制策略Radius服务器的状态在系统中有两种状态标记：UP和DOWN。初始时所有的Radius服务器的状态都是UP的。DOWN状态的含义是：BAS系统向某个Radius服务器连续发送N个报文，在超时间隔内均收不到该Radius服务器的回应，则BAS系统认为该Radius服务器已经DOWN掉，相应的会将其状态置为DOWN标记。N可以通过命令radius-server dead-count countvalue配置，默认为10次。服务器状态变为DOWN以后，过一定的时间后BAS系统会把该服务重新设为UP状态，该时间间隔的值可以通过命令radius-server dead-time time-value设置，time-value值的单位为分钟。默认为3分钟。服务器状态变为DOWN以后，如果已有用户选择使用该服务器发送报文，发送超时但是还没有达到设定的重传次数，则会继续使用该服务器发送报文。超时时间（报文再次发送的重传时间间隔）和重传次数可以在Radius服务器视图下通过命令radius-server time-out value（value的单位为秒）和radius-server retransmit times来设置。radius group下配置的超时时间和重传次数，对组下的每个服务器生效，一个服务器发送次数超过重传次数将继续选择下一个服务器。这样如果服务器组下设置的重传次数为N，服务器个数为3，则某个用户的报文的重传次数为3N。1.5 主备方式服务器选择策略第一次发送报文时的选择策略：如果主服务器是UP的就选择主服务器（在Radius Group视图下第一个配置的服务器），否则选择最近一次收到报文的那个服务器，如果没有这样的服务器则选择第一个配置的服务器。超时重传的选择：如果该报文的发送次数没有达到设定的重传次数，则继续使用原服务器发送报文；如果已经达到重传次数且是主服务器时，则选择最近一次收到报文的那个备服务器，如果没有这样的服务器则选择第一个配置的备服务器（从第一个备服务器开始查找）；如果是备服务器发送超时且已超过重传次数，则会搜寻一遍所有配置的备服务器，查找一个没有使用过的且状态为UP的备服务器发送，如果没有状态为UP的，则选择一个这样的状态为DOWN的备服务器发送；如果所有的服务器都已经发送过则释放报文ID，返回发送失败。1.6 负载均衡说明如果Radius服务器组配置成负载均衡(loading-share)的模式，则BAS系统在发送报