MA5200与非华为Radius服务器对接测试指导书

1、ma5200与非华为radius服务器对接测试指导书1 aaa和radius介绍52 radius协议 72.1 引论 72.2 客户服务器模式 72.3 aaa在协议栈中的位置92.4 radius包结构92.5 数据包的传输和使用举例133 ma5200的认证计费系统173.1 radius模块与业务控制其他模块的关系173.2 功能实现183.2.1 基本的radius协议实现183.2.2 radius协议实现193.2.3 radius1.1协议实现193.3 业务流程与业务特点193.3.1 通过rfc标准radius协议的认证及上线流程193.3.2 web 认证213.3.3

2、服务器类型（协议类型）223.3.4 配置项223.3.5 认证233.3.6 授权243.3.7 计费253.3.8 用户数据的实时修改253.3.9 话单完整性保证263.3.10 64位流量支持274 ma5200常用radius属性说明274.1 ma5200支持的radius标准属性274.2 华为扩展radius标准协议304.3 业务实现举例315 配置实例说明325.1 测试组网图335.2 配置说明345.2.1 ppp接入radius认证与计费配置实例345.2.2 vlan绑定接入radius认证与计费配置实例345.2.3 vlanweb接入radius认证与计费配置实

3、例35 6 常见问题解答366.1 获取调试信息的方法36 radius 调试信息366.3 faq407 附录：417.1 测试报告模版417.2 华为radius标准属性417.3 已对接过计费系统列表417.4 一份实际的测试报告417.5 radius协议简要教程427.5 ma5200话单的产生及保存427.5.1 话单产生427.5.2 保存和读取427.5.3 本地计费话单格式43 ma5200产品radius对接测试指导书关键词： aaa、radius、portal、ppp、认证、计费、授权。摘 要：本文档为ma5200产品如何与外公司进行radius对接，提供了基本的对接测试

4、指导。在文中对常用的组网配置、ma5200的radius类属性、如何进行调试、常见问题解答等，进行了较为详细的描述。前 言：本文着重描述了华为ma5200产品的radius特性，目的在于与华为公司以外的radius认证计费系统对接、测试起一定的指导作用。根据此目的，在内容编排上分了七个部分：1.aaa和radius介绍2.radius协议3.ma5200的radius业务流程与特点4.ma5200常用radius属性说明5.配置实例说明6.常见问题解答7.附录：测试报告模版、华为radius标准属性、已对接过的认证计费系统列表、一份实际的测试报告、radius协议简要教程 ma5200端对接测

5、试人员要求有如下知识准备：1、基本的网络通信知识；2、学习过ma5200开局指导书，了解ma5200的基本工作原理和配置 方法、配置命令；3、学习radius协议简要教程，了解radius的基本工作原理与流程。在此基础上，阅读本文第1、2、3章（如果已熟悉可以跳过），接着按照本文第4、5章进行，在实际过程中可以对照附录一份实际的测试报告进行操作，并填写测试报告模版。1aaa和radius介绍 用户 lqz, lst 要求得到某些服务(如slip, ppp,telnet, rlogin)。但必须通 过nas, 由 nas依据某种顺序与所连服务器通信从而进行验证。 注：lst 通过拨号进入nas,

6、 然后nas按配置好的验证方式(如 ppp pap, chap等)要求lst输入用户名, 密码等信息。 lst 端出现提示，用户按提示输入。通过与nas 的连接，nas得到这些信息。而后，nas把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。aaa是验证，授权和记账（authentication,authorization,and accounting）的简称。它 是运行于nas上的客户端程序。它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。aaa的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户

7、可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行记账？下面简单介绍一下验证, 授权,记账的作用。x验证(authentication): 验证用户是否可以获得访问权。可以选择使用radius协议。x授权(authorization) : 授权用户可以使用哪些服务。x记账(accounting) : 记录用户使用网络资源的情况。aaa的实现可采用 radius 协议。 radius 是remote authentication dial in user service 的简称。用来管理使用串口和调制解调器的大量分散用户。网络接入服务器简称nas(networ

8、k access server) 。当用户想要通过某个网络(如电话网)与 nas建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时, nas起到了过问用户(或这个连接)的作用。nas负责把用户的验证，授权，记账信息传递给radius服务器。 radius 协议规定了nas与radius 服务器之间如何传递用户信息和记账信息。radius服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给nas。nas和radius之间的验证信息的传递是通过密钥的参与来完成的。用户的密码加密以后才在网络上传递，以避免用户的密码在不安全的网络上被窃取。 2radius协

9、议 remote authentication dial in user service(radius) & radius accouting2.1引论 一个网络允许外部用户通过公用网对其进行访问。于是用户在地理上可以极为分散。大量分散用户通过modem等设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成为很重要的问题了。大量的modem形成了modem pools。对modem pool 的管理就成为网络接入服务器或路由器的任务。管理的内容有:哪些用户是否可以获得访问权，获得访问权的用

10、户可以允许使用哪些服务，如何对使用网络资源的用户进行记费。aaa很好的完成了这三项任务。 radius 协议的端口号为1812。radius通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。2.2客户服务器模式 1 用户，nas，radius 服务器的关系路由器（或nas）上运行的aaa程序对用户来讲为服务器端，对radius服务器来讲是作为客户端。当用户上网时，路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法chap和pap。pap ( password authentication

11、protocol )。用户以明文的形式把用户名和他的密码传递给路由器。 nas根据用户名在nas端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 chap（challenge handshake authentication protocol）。当用户请求上网时，路由器产生一个16字节的随机码给用户（同时还有一个id号，本地路由器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个response传给nas。nas根据用户名在nas端查找本地数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进

12、行加密，将其结果与response作比较，如果相同表明验证通过，如果不相同表明验证失败。 如果用户配置了radius验证而不是上面所采用的本地验证，过程略有不同。在端口上采用pap验证： 用户以明文的形式把用户名和他的密码传递给路由器。路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给radius服务器。根据radius服务器的返回结果来决定是否允许用户上网。在端口上采用chap验证： 当用户请求上网时，路由器产生一个16字节的随机码给用户（同时还有一个id号，本地路由器的 host name）。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个response

13、传给nas。nas把传回来的chap id和response分别作为用户名和密码，并把原来的16字节随机码传给radius服务器。radius根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，radius服务器同样可以生成一个16字节的随机码对用户进行询问（challenge）。 2.3aaa在协议栈中的位置 1 路由器协议栈结构 radius为何采用udp？ nas和radius服务器之间传递的是一般几十上百个字节长度的数据，并且

14、radius要求特别的定时器管理机制。用户可以容忍几十秒的验证等待时间。当处理大量用户时服务器端采用多线程，udp简化了服务器端的实现过程。tcp是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。radius要有重传机制和备用服务器机制，它所采用的定时，tcp不能很好的满足。 2.4radius包结构 1 包格式 code 1 access- request 2 access- accept 3 access- reject 4 accounting-request 5 accounting-response 11 access-challenge ident

15、ifier 用于匹配请求包和回应包。length 所有域的长度。 authenticator 16 字节长。用于验证radius服务器传回来的请求以及密码隐藏算法上。分为：request authenticator 和 response authenticator 。 requestauth = 16 字节的随机码 responseauth = md5（code+id+length+requestauth+attribute+secret） attributes属性，如下图 1 属性格式 type 1 user-name 2 user-password 3 chap-password 4 na

16、s-ip-address 5 nas-port 6 service-type 7 framed-protocol 8 framed-ip-address 9 framed-ip-netmask 10 framed-routing 11 filter-id 12 framed-mtu 13 framed-compression 14 login-ip-host 15 login-service 16 login-tcp-port 17 (unassigned) 18 reply-message 19 callback-number 20 callback-id 21 (unassigned) 2

17、2 framed-route 23 framed-ipx-network 24 state 25 class 26 vendor-specific 27 session-timeout 28 idle-timeout 29 termination-action 30 called-station-id 31 calling-station-id 32 nas-identifier 33 proxy-state 34 login-lat-service 35 login-lat-node 36 login-lat-group 37 framed-appletalk-link 38 framed-

18、appletalk-network 39 framed-appletalk-zone 40 acct-status-type 41 acct-delay-time 42 acct-input-octets 43 acct-output-octets 44 acct-session-id 45 acct-authentic 46 acct-session-time 47 acct-input-packets 48 acct-output-packets 49 acct-terminate-cause 50 acct-multi-session-id 51 acct-link-count 60 c

19、hap-challenge 61 nas-port-type 62 port-limit 63 login-lat-port length 属性长度 value string address integer time 2.5数据包的传输和使用举例 2.5.1用户 telnet 到特定主机 接入服务器 192.168.1.16 发送 access-request udp 数据包到 radius server 。 user-nam ：nemo port logging in ：3 code = 1 (access-request) id = 0 length = 56 request authen

20、ticator = 16 octet random number attributes: user-name = nemo user-password = 16 octets of password padded at end with nulls, xored with md5(shared secret|request authenticator) nas-ip-address = 192.168.1.16 nas-port = 3 radius server 验证了 nemo, 并且发送了 access-accept udp 数据包到接入服务器，告诉把用户 nemo 登陆到主机 192.

21、168.1.3. code = 2 (access-accept) id = 0 (same as in access-request) length = 38 response authenticator = 16-octet md-5 checksum of the code (2), id (0), length (38), the request authenticator from above, the attributes in this reply, and the shared secret attributes: service-type = login-user login

22、-service = telnet login-host = 192.168.1.32.5.2用chap验证的固定用户 接入服务器 192.168.1.16 发送一个 access-request udp 数据包到 radius server 。 user-name ：flopsy port logging in ：20 protocol ：ppp 接入服务器发送的数据包包含属性 service-type = framed user，framed-protocol=ppp，暗示 radius server 这个用户要使用ppp服务。 code = 1 (access-request) id =

23、 1 length = 71 request authenticator = 16 octet random number also used as chap challenge attributes: user-name = flopsy chap-password = 1 octet chap id followed by 16 octet chap response nas-ip-address = 192.168.1.16 nas-port = 20 service-type = framed-user framed-protocol = ppp radius server 验证 fl

24、opsy, 并发送access-accept udp 数据包到 nas 告诉nas可以允许ppp服务并从它的动态地址池中分配一个网络地址给用户。 code = 2 (access-accept) id = 1 (same as in access-request) length = 56 response authenticator = 16-octet md-5 checksum of the code (2), id (1), length (56), the request authenticator from above, the attributes in this reply, a

25、nd the shared secret attributes: service-type = framed-user framed-protocol = ppp framed-ip-address = 255.255.255.254 framed-routing = none framed-compression = 1 (vj tcp/ip header compression) framed-mtu = 1500最新的radius协议文档是rfc2865和rfc2866，稍老的文档是rfc2138、rfc2139。目前大部分的服务器是基于rfc2138/rfc2139。针对近期逐渐火热的

26、宽带接入网，radius协议有它的明显不足，所以ietf又在2000年9月份以information的形式指定了rfc2869 radius extension协议。针对ma5200的特点，ma5200的radius需实现完整的rfc2865/rfc2866和rfc2869的大部分内容。3.2.2radius协议实现华为公司针对酒店业务的特点，开发了iphotel宽带业务系统（radius服务器），并制定radius1.0协议来定义iphotel业务系统与宽带接入设备的接口。radius1.0协议在标准radius协议的基础上新增了一些扩张属性，并对流程进行了适当的修改，主要特点有：费率切换、

27、服务器主动cut连接、流量限制等。ma5200完整实现radius1.0协议。3.2.3radius1.1协议实现 radius1.1协议是itellin为了推出portal认证系统而指定的 接入设备和itellin portal server之间的接口协议。radius1.1 在radius1.0的基础上扩充了以下功能：1、portal接入；2、实时业务属性修改；3、portal下线。ma5200完全实现radius1.1协议。 3.3业务流程与业务特点 根据ma5200产品对接入用户的在认证，授权和计费方面的需求，radius模块负责实现radius client端协议，负责传递用户的相关

28、信息，包括用户的识别信息和业务数据、计费信息等，为用户的连接的管理提供依据，系统的工作流程与功能特性如下所述。3.3.1通过rfc标准radius协议的认证及上线流程在一个常见的用户拨入过程里，radius客户和服务器之间的通信见下图。 radius /- user client server dial in (nas) | 1 - | access-request | | |2 - | | | | | | access-accept | | configure user| - 3 | | | | | ( start ) | | | | | | accounting-response | |

29、| | | | . | | | . | | user disconnect | . | | 8 -| accounting-request | | | 9 - | | | ( stop ) | | | | | | accounting-response | | | aaa）会把用户的认证信息（用户名、密码、是否要服务器分配ip地址等）传给radius模块。（2）radius模块收到该请求后，组装认证请求报文，内含上述的认证信息，根据用户所在的域，把认证请求包发给相应的radius服务器。（3）服务器判断用户是否合法。如果合法，则向ma5200发送认证通过响应，由radius模块接收。（4）ra

30、dius模块收到该响应后，从该响应数据包中解析出授权信息（可用时间、流量、接入速率控制car等）向上游模块（aaa、ucm）发送，它们会根据这些信息配置用户的权限。（5）上游模块收到认证响应后，会传来用户上线请求。radius模块在收到该请求后，向服务器发送上线请求消息。（6）服务器收到nas的上线请求后发送上线响应。（7）接下来用户正常上线，radius模块定时向radius服务器发送实时计费请求报文，服务器会回送响应。如果服务器连续几次没有收到实时计费请求，服务器会认为用户已经离线；radius模块连接几次没有收到服务器的实时计费响应，radius模块会通知其上游模块断断用户连接。（8）用

31、户发下线请求。（9）该请求会沿radius的上游模块发给radius模块，然后由它向radius服务器发送下线请求信息，一般会包含用户上线时间、使用的流量等信息。（10）服务器返回下线通知，radius把该消息向上游模块发送，然后相关模块清除该连接信息。用户上线过程结束。3.3.2web 认证 web认证的原理是先提供一条供vlan用户注册的通路，经这条通路登陆到注册web网页。这种业务有两种实现方式。 一种是通过公司portal协议实现的。在这种方式下，用户登录到web服务器后，通过web网页上的java applet 将用户名和密码发送到web服务器，web服务器再传送到ma5200, 然

32、后ma5200通过chap方式完成radius认证，认证通过后，下发表项用户就可以上网了。 另外一种方式是通过公司的radius+1.1协议实现。用户获取ip地址后，通过登录web页面输入用户名和密码，web页面将用户名和密码、ip地址等发送到web服务器，web服务器再将用户名和密码、ip地址传送到radius server，通过radius server将用户名和密码和ip地址发送到ma5200，ma5200通过ip地址来查找用户连接，同时发起认证请求，以后的过程与vlan web认证计费类似。radius模块实现了radius1.1协议。其基本的流程图如下（isn对应ma5200，isc

33、p对应radius服务器）： 1 portal认证流程图3.3.3服务器类型（协议类型） radius模块同时支持四个协议：标准radius、华为radius扩展标准、radius1.0、radius1.1。这些协议的基础都是标准radius，但是都有互相不兼容的地方。所以radius在发送报文时，要根据不同的协议发送不同的属性集。同时radius还要根据不同的协议，对某些流程做不同的处理。分别定义standard、huawei 、iphotel 、portal四种类型的服务器，对应上述四种协议类型。3.3.4配置项 ma5200同时可以为多个域服务，每个域都有可能使用不同的radius服务器

34、，这些服务器的参数都有可能不一致。所以radius一个基本工作是，必须提供一种手段有效的管理这些服务器。管理服务器的基本单位是配置项，一个配置项可以理解为一个radius服务器的参数集，它定义了radius服务器的各种参数。一共可以配置128个配置项，每个配置项通过一个唯一的名字或索引唯一确定。域通过引用某一配置项的名字来与对应的服务器建立关联关系。域与配置项是多对一的关系，即多个域可以同时对应一个配置项，但是一个域只能对应一个配置项。下面是配置项的全部属性：属性名称数据类型长度意义name字符型32字节唯一标志，索引值primary-ipip地址型4字节主ip地址second-ipip地址型

35、4字节备份ip地址secret-key字符型16字节共享密钥retry-times短整数2字节重发次数timeout短整型2字节重发超时时间serverstate枚举1字节主备服务器状态servertype枚举1字节服务器类型，standard、iphotel、huawei、portalusernameformat枚举1字节用户名是否携带域名dataflowfmt枚举1字节流量数据的单位：k、m、gflowdirection枚举1字节数据流的方向dnsip地址型4字节radius服务器分配的ip地址的名字服务器的ip地址nbnsip地址型4字节radius服务器分配的ip地址的netbios名

36、字服务器的ip地址1 配置项的属性3.3.5认证 radius模块的基本功能之一。将aaa发送的认证请求，按照radius协议组成认证包，发送access-request报文。处理认证请求时，收集生成用户的详细信息如：用户名、加密的密码、ip地址、端口号、接入类型、连接号等，服务器根据ma5200上报的这些信息来判断用户的合法性。在生成认证属性的时候，并不区分用户的服务器类型，而是生成所有服务类型的属性，在打包的时候，打包模块会按不同服务器类型将属性组成不同的属性集。3.3.6授权 授权的基本工作就是对服务器的access-accept报文进行合法性检查，同时进行必要的翻译。授权信息主要有：用

37、户的ip地址、上线时间限制、上线流量限制、闲置切断限制、带宽控制、访问范围控制、优先级控制等。 如果是vlan、web认证，ma5200不允许radius服务器分配ip地址；如果是ppp认证，服务器优先分配ip地址。radius收到access-accept报文后，将查看表项是否需要radius服务器分配ip地址，如果不需要则不进行处理；如果需要服务器分配ip地址，将对ip地址进行简单的有效性检查，检查合格了，用户将使用这个ip地址，否则将产生错误，用户认证不通过。同时服务器也可以将用户的ip地址设成255.255.255.254，明确指明要求设备分配ip地址，但是如果ma5200不允许本地分

38、配ip地址，将产生错误，用户认证不通过。radius服务器通过以下属性来传送授权信息：framed-ip-address（ip地址）、session-timeout（上线时间限制）、remanent-volume（上线总流量限制）、class（带宽）、filter-id（访问范围）、protirty（优先级）。还可以通过华为公司的扩展标准属性来控制带宽等。根据授权的时间点不同，允许有以下几种授权方式：1、在认证响应报文中，用户还没有通过认证，radius将从响应报文中提取授权信息，作为用户的初始授权信息。2、授权信息可以实时修改，有些是用户主动触发的，有些是服务器的决策。在实时计费的响应报文中

39、，服务器可以重新下发session-timeout（上线时间限制）、remanent-volume（上线总流量限制），radius将通知aaa刷新这些控制信息。类型为iphotel和portal两种服务器可以使用实时修改的功能。实时修改下面还有专门的章节描述。3、radius1.1协议通过20号报文来实时修改授权信息。用户上线后，服务器随时都可以发送20报文来对用户的信息进行修改。只有类型为portal的服务器可以使用这个功能。 对用户的上线时间限制和流量控制，radius（包括radius1.1）与标准radius协议的处理方式稍有差别。radius要求时间或流量到点后，些发送一个实时计费报

40、文，服务器在实时计费报文的响应中再一次下发session-timout（remanent-volume）属性，如果值为0，则真正切断用户。我们称radius的做法为预切断，而标准的做法为真切断。3.3.7计费 计费功能主要按照radius协议来实现，着重考虑的是计费报文的完整性。如果设备发送了计费开始报文而没有发送计费停止报文，在服务器上可能造成话单异常。所以如何采取措施来保证计费报文的完整性，是radius模块需要重点考虑的问题，主要从下线几方面来考虑：1、超时重发，像认证过程一样，计费过程沿袭认证的无响应重发机制。2、连续无响应次数限制。实时计费信息可以用来侦听服务器，当服务器连续几个实时

41、计费周期内都没有响应报文，则认为与服务器的连接中断，为了避免进一步的损失，将用户cut。3、停止计费报文无响应本地缓存，然后继续重发。因为radius不能支配ucib索引资源，所以对停止计费报文无响应的ucibindex，先将报文缓存到内存队列，然后等待重发。下面的章节有专门的描述。3.3.8用户数据的实时修改iphotel和portal服务器都要求能对用户的数据进行实时修改，修改的内容主要由以下几方面：1、授权属性的修改，如用户上网的总时长、总流量、费率切换点等。iphotel通过在计费响应报文中附带session-timeout、remanent_volume、tariff_switch_

42、interval属性来实现。2、业务数据的修改，如带宽、acl、业务优先级等。该特性是radius1.1的特性。radius+1.1实时修改的流程图如下： 1 实时修改属性的流程图用户通过网页发起改变带宽的请求，portal服务器受理该请求并将该请求交由radius服务器（iscp）处理，radius服务器将这个请求转换成session-control报文发送到ma5200，ma5200根据session-control报文中的connect-id和session-id来查找用户，如找到了就对用户进行修改，并将结果通过实时计费报文（acct-status-typeresetcharge）发送给radius服务器。如果修改失败，就发送session-control（result）报文到radius服务器。详细内容请查阅radius1.1协议说明书。3.3.9话单完整性保证话单完整性保证就是做到计费开始报文与计费停止报文的一致，ma5200发送了计费开始报文就必须要发送计费停止报文。通过以下几个途径来保证计费的完整：1、重发机制。radius的每种报文都有可配置的重发次数和可配置的重发间隔。如果在开始计费的时候，重发一定次数后，服务器没有响应，将