江苏电信技术培训AAA介绍.ppt

1、江苏省电信有限公司互联网部,1,AAA介绍,江苏电信互联网部 二五年四月,江苏省电信有限公司互联网部,2,一、什么是AAA 二、RADIUS协议介绍 三、RADIUS报文详解 四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,3,一、什么是AAA,90年代中期以来，Internet 业务量的增长已构成数据业务的主要增长因素，IP成为电信网是不争的事实 。 提高IP网络的可管理性是当前宽带网络发展急需解决的问题。 从可管理性方面来说，对用户实施业务管理的前提就是解决用户的认证、授权和计费问题，即众所周知的AAA。

2、,江苏省电信有限公司互联网部,4,一、什么是AAA,AAA是验证，授权和记账（Authentication,Authorization,and Accounting）的简称 它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。,江苏省电信有限公司互联网部,5,一、什么是AAA,验证(Authentication): 验证用户是否可以获得访问权。 授权(Authorization) : 授权用户可以使用哪些服务。 记账(Accounting) : 记录用户使用网络资源的情况。,江苏省电信有限公司互联网部,6,一、什么是AAA 二、RADIUS协议介绍 三、RADIUS报文详解

3、四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,7,二、RADIUS协议介绍,AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称，用来管理使用串口和调制解调器的大量分散用户。 是RFC(Request for Comments Document )标准协议(RFC2138/2139),江苏省电信有限公司互联网部,8,二、RADIUS协议介绍,RADIUS协议是NAS和RADIUS服务器之间的通信协议 NAS(N

4、etwork Access Server)是网络接入服务器简称。当用户想要通过某个网络（如电话网）与 NAS建立连接从而获得访问其他网络的权利时, NAS起到了过问和接入用户的作用。NAS负责把用户的验证，授权，记账信息传递给RADIUS服务器。,江苏省电信有限公司互联网部,9,二、RADIUS协议介绍,RADIUS采用客户/服务器（Client/Server）结构：NAS上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端。,江苏省电信有限公司互联网部,10,二、RADIUS协议介绍,AAA(RADIUS)协议在协议栈中的位置,江苏省电信有限公司互联网部,11,二、R

5、ADIUS协议介绍,RADIUS 协议采用不同的UDP 端口来收发认证/授权和计费报文 RFC2138/2139 中建议的认证/授权端口号为1812、计费端口号为1813（早期的RADIUS server，普遍采用1645 作为认证/授权端口号、1646 作为计费端口号）。,江苏省电信有限公司互联网部,12,二、RADIUS协议介绍,为什么采用UDP？ 主要是基于实时性考虑! 用户可以容忍几十秒的验证等待时间。当处理大量用户时服务器端采用多线程，UDP简化了服务器端的实现过程。TCP是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。,江苏省电信有限公司互联网部

6、,13,二、RADIUS协议介绍,网络安全 RADIUS协议的加密是使用MD5加密算法进行的，在RADIUS的客户端（NAS）和服务器端（Radius Server）保存了一个密钥（key），RADIUS协议利用这个密钥使用MD5算法对RADIUS中的数据进行加密处理。密钥不会在网络上传送。,江苏省电信有限公司互联网部,14,一、什么是AAA 二、RADIUS协议介绍 三、RADIUS报文详解 四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,15,三、RADIUS报文详解,标准Radius协议包结构,江苏省电

7、信有限公司互联网部,16,三、RADIUS报文详解,Code：包类型；1字节；指示RADIUS包的类型。 1 Access- request 认证请求 2 Access- accept 认证响应 3 Access- reject 认证拒绝 4 Accounting-request 计费请求 5 Accounting-response 计费响应,江苏省电信有限公司互联网部,17,三、RADIUS报文详解,Identifier： 包标识；1字节，取值范围为0 255；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。 Length： 包长度；2字节；整个包中所有域的长度。

8、Authenticator：16 字节长；用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。,江苏省电信有限公司互联网部,18,三、RADIUS报文详解,Attributes：属性 常用的一些属性,江苏省电信有限公司互联网部,19,三、RADIUS报文详解,认证请求包样例： code=1 id=19 length=102 attribute(1)(User-name):user1 attribute(2)(Password): 0 x4d 0 xa1 0 x11 0 xbe 0 xa7 0 xc5 0 x1a 0 xa4 0 x5b 0 x29 0 xb1 0 xde 0 x34 0

9、x11 0 x4c 0 xf9 attribute(4)(NAS-IP-Address): 0 xc0a80a0a 。,江苏省电信有限公司互联网部,20,三、RADIUS报文详解,认证返回包样例(用户认证成功) code=2 id=19 length=74 attribute(85)(Realtime-Interval): 0 x258 attribute(6)(User-Service): 0 x2 attribute(7)(Framed-Protocol): 0 x1 attribute(13)(Framed-Compression): 0 x1 attribute(10)(Framed-

10、Routing): 0 x1 。,江苏省电信有限公司互联网部,21,三、RADIUS报文详解,认证返回包样例(用户认证失败) code=3 id=46 length=59 attribute(18)(Reply-Message): ! password is wrong 。,江苏省电信有限公司互联网部,22,三、RADIUS报文详解,计费起始包样例： code=4 id=20 length=102 attribute(40)(Acct-Status-Type): 0 x1 attribute(1)(User-name):user1 attribute(61)(NAS-Port-Type): 0

11、 x5 attribute(44)(Acct-Session-ID):03082027130000000011 。,江苏省电信有限公司互联网部,23,三、RADIUS报文详解,计费结束包样例： code=4 id=20 length=102 attribute(40)(Acct-Status-Type): 0 x2 attribute(1)(User-name):user1 attribute(61)(NAS-Port-Type): 0 x5 attribute(44)(Acct-Session-ID):03082027130000000011 。,江苏省电信有限公司互联网部,24,一、什么是

12、AAA 二、RADIUS协议介绍 三、RADIUS报文详解 四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,25,四、如何配置AAA,RADIUS服务器管理员的职责： 保证RADIUS服务器的主机和网络正常工作 保证RADIUS程序正常工作 配置客户端的地址（即NAS的地址），RADIUS程序只接收这些配置过的NAS发过来的包，这个配置通常通过web页面或配置文件,江苏省电信有限公司互联网部,26,四、如何配置AAA,接入服务器管理员的职责： 将NAS地址报给RADIUS管理员，配置到系统中 根据RADIUS

13、管理员给的参数，正确配置NAS: Radius服务器地址 认证计费的端口（默认是1812 和 1813） 认证方式（PAP还是CHAP） 加密的密钥,江苏省电信有限公司互联网部,27,一、什么是AAA 二、RADIUS协议介绍 三、RADIUS报文详解 四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,28,五、窄带拨号上网认证过程,窄带拨号业务简介： 16300互联网拨号接入业务是用户凭借上网账号和密码，通过拨打特服号16300接入互联网的一种业务形式。 使用这种业务，用户需具备：一台PC机、普通的通信软件、

14、一台MODEM和一条电话线（普通电话或ISDN电话），还有一个上网帐号。普通电话拨号上网的最高速率可达56K，ISDN电话拨号上网的最高速率可达128K。,江苏省电信有限公司互联网部,29,五、窄带拨号上网认证过程,江苏省电信有限公司互联网部,30,五、窄带拨号上网认证过程,认证过程： 1、用户输入帐号密码拨号 2、接入服务器将拨入用户的用户的信息（比如用户名、口令、所占用的端口等等）打包向RADIUS服务器发送 （认证请求包） 3、如果该用户是一个合法的用户，那么Radius告诉NAS该用户可以上网，同时传回该用户的配置参数 （认证返回包）;否则，Radius反馈NAS该用户非法的信息 （认

15、证返回包） 4、如果该用户合法，NAS就根据从RADIUS服务器传回的配置参数配置用户。如果用户非法，NAS反馈给用户出错信息并断开该用户连接,江苏省电信有限公司互联网部,31,五、窄带拨号上网认证过程,计费过程： 1、认证通过后，NAS向RADIUS服务器发送一个记费请求包表明对该用户已经开始计费。（计费起始包） 2、RADIUS服务器收到并成功记录该请求包后要给予响应 （计费起始包的回应包） 3、当用户断开连接时（连接也可以由接入服务器断开），NAS向RADIUS服务器发送一个计费结束包，其中包含用户上网所使用网络资源的统计信息（上网时长、进/出的字节/包数等） （计费结束包） 4、 RA

16、DIUS服务器收到并成功记录该请求包后要给予响应 （计费结束包的回应包）,江苏省电信有限公司互联网部,32,一、什么是AAA 二、RADIUS协议介绍 三、RADIUS报文详解 四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,33,六、校园宽带卡认证过程,校园宽带卡业务简介： 校园宽带卡业务是指通过ADSL、LAN等方式接入的面向特定用户并只能在特定区域使用的零月租实时计费宽带卡式业务），主要面向学校宿舍区、教学区和大企业集体宿舍等目标市场。,江苏省电信有限公司互联网部,34,六、校园宽带卡认证过程,江苏省电

17、信有限公司互联网部,35,六、校园宽带卡认证过程,业务开放过程： 网络建设，将南京大学的各宿舍接入点汇聚到某台宽带接入服务器某几个槽位下 根据网络建设中的接入服务器地址和槽位等信息，在AAA系统中，配置南京大学校园宽带上网卡的接入校验参数。 业务测试，测试通过后发行校园卡,江苏省电信有限公司互联网部,36,六、校园宽带卡认证过程,业务使用过程： 在拨号软件中输入卡号、密码，拨号 宽带接入服务器将卡号密码以及接入属性送到AAA(通过认证请求包) AAA系统首先校验卡号密码，如果正确，再校验所用的接入属性和所配置的接入属性是否一致，如果一致则通过认证，如果不一致，则说明该卡并不在南京大学使用，不予

18、通过。,江苏省电信有限公司互联网部,37,六、校园宽带卡认证过程,认证通过后，根据卡余额算出相应的最大上网时长，返回给接入服务器（认证应答包） 接入服务器如果收到认证通过的返回包，就对用户进行相应的参数配置（如分配IP地址等）并发送计费起始包给RADIUS服务器（计费起始包） RADIUS服务器返回计费起始包的应答包（该包只是告诉接入服务器收到计费起始包了，无其他作用，如果接入服务器在设定的时间内没有收到该应答包，将重传计费起始包）,江苏省电信有限公司互联网部,38,六、校园宽带卡认证过程,用户开始上网。 用户下网后，接入服务器发送计费结束包给RADIUS服务器（计费结束包） RADIUS服务

19、器返回计费结束包的应答包，并根据计费结束包里面的时长计费上网费用，在卡中实时扣除,江苏省电信有限公司互联网部,39,一、什么是AAA 二、RADIUS协议介绍 三、RADIUS报文详解 四、如何配置AAA 五、窄带拨号上网认证过程 六、校园宽带卡认证过程 七、VPDN业务认证过程,内容提纲,江苏省电信有限公司互联网部,40,七、 VPDN业务认证过程,V信通（VPDN）业务简介： 中国电信VPDN（Virtual Private Dial-Network,虚拟专有拨号网络 ）业务是指在中国宽带互联网(CHINANET)基础上开放的基于拨号方式的虚拟专有网络业务。VPDN业务向用户提供以窄带拨号

20、（16306）或宽带拨号接入中国宽带互联网, 利用中国宽带互联网公共网络资源建立虚拟链路，访问企业网内部数据资源的服务。 优点：通过隧道加密传输数据、安全可靠,江苏省电信有限公司互联网部,41,七、 VPDN业务认证过程,V信通（VPDN）业务简介： VPDN业务主要面向有分支机构的企业以及政府管理部门，各分支机构与总部需要安全性较高的方式进行实时通信。 总部机构通过路由器专线的方式接入中国宽带互联网，各分支机构通过总部分配的宽带或者窄带拨号帐号拨号，获得总部路由器分配的企业内网地址，访问总部内部网络，不能访问Internet。,江苏省电信有限公司互联网部,42,七、 VPDN业务认证过程,江苏省电信有限公司互联网部,43,术语介绍： LAC（L2TP Access Conce