Radius协议相关知识专题

1、资料编码产品名称使用对象产品版本编写部门资料版本Radius协议相关知识专题拟制:于博日期：2010-06-20审核：日期：审核：日期：批准：日期：HUAWGI华为技术有限公司版权所有侵权必究修订记录日期修订版本描述作者2010-06-20于博1.1 RADIUS 概述RADIUS是 ME60和RADIUS服务器之间的应用层通信协议，规定了 ME6（与RADIUS 服务器之间传递用户信息和计费信息的过程和报文格式。通过RADIUS*议与RADIUS艮务器进行交互，完成用户的 RADIUS认证、授权和 计费过程。RADIUS协议基于C/S架构，其中ME60属于客户端，而RADIUS艮务器则属于服

2、 务器端。RADIUS协议使用UDP报文承载，并通过报文重传机制和备用服务器机制保 证可靠性。RADIUS协议使用的认证和计费端口一般为 1645/1646或1812/1813。支持以下三种RADIUS协议类型： 标准RADIUS通用RADIUS协议。 RADIUS+1.0 IP Hotel 型服务器支持 RADIUS+1.0协议。 RADIUS+1.1 Portal 型服务器支持 RADIUS+1.1 协议。具体配置必须和RADIUS艮务器保持一致。1.2 RADIUS报文格式RADIUS艮文格式如下所示。图1 RADIUS报文格式0 1 23456701 23456701 2345E701

3、 2 3 4567CodeidentifierLengthAutne ntztor底社ribute 各字段含义:Code字段：Code字段长度为1个字节，用于表示RADIUS艮文类型，常见的Code值 和含义如下所示。表1常用Code值和含义值报文类型含义用处1Access-request认证请求向RADIUS发起认证请求。2Access-accept认证接受RADIUS响应该报文，表示认证通过。3Access-reject认证拒绝RADIUS响应该报文，表示认证失败。4Acco untin g-request计费请求向RADIUS发起计费请求。5Acco untin g-resp onse计

4、费响应RADIUS寸某个计费报文的响应。说明:计费请求报文包括以下三种报文，由报文中携带的40号属性区分。开始计费报文（40号属性的值为1）。实时计费报文（40号属性的值为2）。停止计费报文（40号属性的值为3）。Identifier字段：Identifier字段长度为1字节，其内容用于匹配请求报文和响应报文。Length字段：Length字段长度为2字节，表示报文中所有域的长度。Authenticator 字段：Authenticator 字段长度为16字节，用于验证RADIUSS艮务器 响应的请求以及密码隐藏算法。分 Request Authenticator 和 Response Aut

5、he nticator 两种。Attribute 字段：Attribute字段长度不定，可包含多个属性，每个属性的格式如下所示。图2 RADIUS属性格式01234567012345670123456701234567TypeLengthValueType字段：Type字段表示属性类型，常见的属性所对应的类型如下所示表2常见RADIUS属性表值属性名字段类型用处1User- nameStri ng（132）根据命令行的配置，可以带域名（如user0001isp），也可以不带域名。2PasswordStrin g（16128）加密后的密码，仅对PAP认证有效。3Challe nge-Passwo

6、rdStri ng（17）MD5加密后的验证字，仅对CHAPA证有 效。4NAS-IP-AddressIP Address连接RADIUS艮务器的接口地址。5NAS-PortIn teger用户接入的物理端口。6Service-TypeIn teger固疋为2，表示Framed类型。7Framed-ProtocolIn teger固定为1，表示PPF类型。表2常见RADIUS属性表值属性名字段类型用处8Framed-IP-AddressAddress用户的IP地址。9Framed-NetmaskAddress服务器为用户指定的子网掩码。11Filter-IDStri ng(1)用户所属的UCL

7、组和互访组，格式为UCL-Groupl nter-Group。18Reply-MessageStri ng(1128)在认证接受报文中表示成功消息，在认 证拒绝报文中 表示拒绝消息。25ClassStri ngRADIUS服务器可在发给ME60的认证接 受报文中携带Class属性，ME60会在后 续的所有计费请求报文中将此Class属 性原样返回给RADIUS服务器。在标准RADIUS中Class属性还可以用来传送 CAR27Sessio n-TimeOutIn teger用户剩余的时间，以秒为单位。28Idle-TimeOutIn teger用户的闲置切断时间。31Calli ng-Stat

8、io n-ldStri ng用户的MAC地址。32NAS-Ide ntifierStri ng如果已配置NAS-ID，则填写已配置的 NAS-IDo否则填主机名。40Acct-Status-TypeIn teger表示计费请求报文的类型。1表示开始计费报文。表2常见RADIUS属性表值属性名字段类型用处2表示停止计费报文。3表示实时计费报文。4表示重置计费报文。41Acct-Delay-TimeIn teger发送该计费报文花费的时间，以秒为单 位(不包括网络传输时间)。42Acct-I nput-OctetsIn teger用户接收的字节数，单位可以是Byte、Kbyte、Mbyte 或 G

9、byte。43Acct-Output-OctetsIn teger用户发送的字节数，单位可以是Byte、Kbyte、Mbyte 或 Gbyte。44Acct-Sessio n-ldStri ng计费连接号。45Acct-Authe nticIn teger用户认证方式。1表示RADIUS认证。2表示本地认证。46Acct-Sessio n-TimeIn teger用户的上线时间，以秒为单位。47Acct-I nput-PacketsIn teger用户接收的报文数。48Acct-Output-PacketsIn teger用户发送的报文数。49Term in ate-CauseIn teger

10、会话中断的原因。52Acct-I nput-GigawordsIn teger表示用户接收字节数相对4G(232)字节表2常见RADIUS属性表值属性名字段类型用处的倍数。53Acct-Output-Gigawords Integer表示用户发送字节数相对4G（ 232）字节 的倍数。55Eve nt-TimestampIn teger生成计费请求报文的时间（以秒为单 位，表示从1970年1月1日零点零分 零秒以来的绝对秒数）。60CHAP-Challe ngeStri ng(16)质询字，只对CHAF认证时才有效。61NAS-Port-TypeIn tegerNAS（ Network Acc

11、ess Server ）的端口类型，常用值为15（ Ethernet类型）。87NAS-Port-IdStri ng用户接入的逻辑端口号（槽位号 +端口号+VLAN号）。Length字段：Length字段长度为1字节，表示每个属性字段的长度。Value字段：Value字段长度不定，表示属性的值。1.3 RADIUS报文交互流程RADIUS艮文交互流程如下所示。ME60图3 RADIUS文交互流程认证Acc ess*request(code=i)阶段Access Atceptfcod 2)幵赔计费Ate ountingrequest*start(code= 4)Accounting-repons

12、e(co(je-5)买时计费 阶段Accounting-reque$t-lnteriunXcod4)Accountingreponse(cade=5)停止计费Accour)ting-reque$t-slop(c(xJe= 4)阶段Accounting-reponse(cocfe=5)RADIUS Server1.4服务器状态控制策略Radius服务器的状态在系统中有两种状态标记：UP和DOWN初始时所有的Radius服务器的状态都是UP的。DOW状态的含义是：BAS系统向某个Radius服务器连续发送N个报文，在超时间隔 内均收不到该Radius服务器的回应，则BAS系统认为该Radius服务

13、器已经DOW掉， 相应的会将其状态置为DOWN标记。N可以通过命令 radius-server dead-countcountvalue 配置，默认为10次。服务器状态变为DOW以后,过一定的时间后BAS系统会把该服务重新设为 UP状态, 该时间间隔的值可以通过命令radius-server dead-time time-value 设置， time-value值的单位为分钟。默认为3分钟。服务器状态变为DOW以后，如果已有用户选择使用该服务器发送报文，发送超时但 是还没有达到设定的重传次数，则会继续使用该服务器发送报文。超时时间（报文 再次发送的 重传时间 间隔）和重传次 数可以在Radiu

14、s服务器视图下 通过命令 radius-server time-out value （ value 的单位为秒）和 radius-server retransmit times来设置。radius group 下配置的超时时间和重传次数，对组下的每个服务器生效，一个服务 器发送次数超过重传次数将继续选择下一个服务器。这样如果服务器组下设置的重 传次数为N,服务器个数为3,则某个用户的报文的重传次数为 3X No1.5主备方式服务器选择策略第一次发送报文时的选择策略：如果主服务器是 UP的就选择主服务器（在 Radius Group视图下第一个配置的服务器），否则选择最近一次收到报文的那个服务器，如 果没有这样的服务器则选择第一个配置的服务器。超时重传的选择：如果该报文的发送次数没有达到设定的重传次数，则继续使用原 服务器发送报文；如果已经达到重传次数且是主服务器时，则选择最近一次收到报 文的那个备服务器，如果没有这样的服务器则选择第一个配置的备服务器（从第一 个备服务器开始查找）；如果是备服务器发送超时且已超过重传次数，则会搜寻一 遍所有配置的备服务器，查找一个没有使用过的且状态为UP的备服务器发送，如果没有状态为UP的，则选择一个这样的状态为DOW的备服务器发送；如果所有的服务器都已经发送过则释放报文ID，返回发送失败。1.6负载均衡说