Radius+Portal协议和业务流程 ppt课件

1、Radius+/PortalRadius+/Portal协议与业务流程协议与业务流程固网产品课程开发室固网产品课程开发室引入引入l了解标准了解标准radius认证计费基本流程参考认证计费基本流程参考课件）；课件）；l了解标准了解标准radius协议的基本知识参考协议的基本知识参考课件）课件） ；l了解了解portal门户网站的基本原理参考相门户网站的基本原理参考相关文档）；关文档）；学习本课件前，最好具备如下基本知识：学习本课件前，最好具备如下基本知识： ：学习目标学习目标l掌握掌握radius+认证计费流程认证计费流程l了解了解portal门户网站业务门户网站业务l了解宽带了解宽带BAS设备

2、与设备与iTellin智能业智能业务平台对接配合使用过程中常见的务平台对接配合使用过程中常见的业务流程业务流程学习完本课程，您应该能够：学习完本课程，您应该能够：Portal：Portal业务可以看做是一个业务门户、服务业务可以看做是一个业务门户、服务门户和内容门户。用户在上网时，可以通过门户和内容门户。用户在上网时，可以通过Portal入口服务器入口服务器Portal Server），来灵），来灵活的选择适合用户自己的业务，活的选择适合用户自己的业务， 用户可以在用户可以在WWW页面上进行页面上进行Web认证和各种业务选择。认证和各种业务选择。 Portal业务提供有面向于用户的客户服务中业

3、务提供有面向于用户的客户服务中心，使得运营商在内容服务的领域中找到了心，使得运营商在内容服务的领域中找到了自己的位置，可以提供各种广告充值，提供自己的位置，可以提供各种广告充值，提供个性化页面服务和信息服务。同时还提供了个性化页面服务和信息服务。同时还提供了一个通讯平台为在一个通讯平台为在Portal Server上开发新业上开发新业务提供了底层的支持。务提供了底层的支持。Radius 与与 Radius+： Radius：目前互联网应用中比较流行的用户：目前互联网应用中比较流行的用户验证、授权、计费协议。验证、授权、计费协议。RFC2865/2866/2869定义了标准定义了标准radius

4、协议协议的所有规范。的所有规范。Radius+：各通信设备厂家分别对应于原标：各通信设备厂家分别对应于原标准准radius协议所未定义到的新应用自行开发协议所未定义到的新应用自行开发定义了一套扩展的定义了一套扩展的radius协议报文和属性，协议报文和属性，成为成为radius+协议。在华为协议。在华为iTellin中支持华为中支持华为radius+1.0和和radius+1.1两种两种radius+协议。协议。iTellin：智能业务平台智能业务平台iTellin中包含了中包含了portal server和和iSCP宽带业务控制点，相当于宽带业务控制点，相当于radius server等功能

5、模块。等功能模块。ISCPBASUser用户上线需求认证config user上线过程下线过程用户下线Access-Request(code=1)Access-Accept(2)/Access-Reject(3)Accounting-Request(4/start)Accounting-Response(5)Accounting-Request(4/stop)Accounting-Response(5)config userAccounting-Request(4/Interim-Update)Accounting-Response(5)实时计费通常标准通常标准Radius用户上网过程：用户上

6、网过程：在拨号连接客户端中输入用户名和密码并提交；Modem和交换机进行协商通讯；（等待中，完成BAS与iSCP之间的交互过程）PC上提示登录网络成功。用户提出上线请求；BAS收到用户的请求后，向iSCP发出Access-Request(code=1)的认证请求报文；iSCP向BAS发出相应的Access-Accept(code=2)或Access-Reject(code=3)响应报文；BAS根据iSCP发回的属性对用户进行配置，同时向iSCP发出Accounting-Request(code=4/start)的计费开始请求报文；iSCP发回相应的计费响应报文；用户上网过程中，BAS定时向iS

7、CP发出Accounting-Request(Interim-Update)实时计费请求；iSCP发回相应的计费响应报文；用户提出下线请求；BAS收到用户的请求后，向iSCP发出Accounting-Request(stop)计费结束请求报文；iSCP发回相应的计费响应报文；BAS收到iSCP的计费结束响应报文后，断开用户的连接。BAS与与iSCP之间的交互过程：之间的交互过程：ISCPRadius认证计费过程BASUser用户登录访问页面config userPortal需求认证(username，password)Portal交互过程Portal交互过程上线过程通过Portal注销Port

8、al交互过程Radius停止计费过程config userPortal交互过程通知用户上线成功通知用户下线成功下线过程Radius+1.0&Portal-Server时用户上网过程：时用户上网过程：吸引更多的用户：个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网上述两种上网过程不足之处：上述两种上网过程不足之处：iSCP总是被动响应总是被动响应BAS发出的各种请求，从而发出的各种请求，从而iSCP无无法控制管理用户的上网过程；法控制管理用户的上网过程；用户如果出现某种突发的需求，如快速下载或传送很大用户如果出现某种突发的需求，如快速下载或传送很大的文件时需要更大的带宽，此时无法改变带

9、宽等业务的文件时需要更大的带宽，此时无法改变带宽等业务属性。属性。我只申请了256K带宽，但我偶尔也想爽一下ISCPRadius认证计费过程BASUser用户登录访问页面Portal需求认证(username，password)上线过程显示上线成功信息下线过程PSCP认证请求Session-Control(Trigger-request)Session-Control(result)认证成功动态改变业务属性过程动态改变业务属性动态改变业务属性Session-Control(SetPolicy)Radius计费过程(ResetCharge)Session-Control(result)显示成功信

10、息改变属性成功注销注销Session-Control(Terminate)Radius计费过程(stop)显示成功信息注销成功Radius+1.1&Portal-Server时用户上网过程：时用户上网过程：Radius+1.1&Portal-Server时用户上网过程，和其它方时用户上网过程，和其它方式相比，主要不同点有：式相比，主要不同点有：增加了增加了code=20 Session-Control报文；报文；iSCP主动下发各种控制报文；主动下发各种控制报文；用户可以动态改变业务属性。用户可以动态改变业务属性。课程内容课程内容第一章第一章 Radius+ V1.1协议说明协议说明第二章第二

11、章 Portal V2.0 协议说明协议说明第三章第三章 业务流程实例分析业务流程实例分析第四章第四章 典型案例分析典型案例分析Radius需求背景标准标准Radius协议的不足之处协议的不足之处Radius1.1协议支持的特性协议支持的特性不能处理和保证用户对于服务质量的动态需求带宽动态下发支持动态改变服务质量动态带宽下发不支持服务器主动下发控制报文支持服务器主动激活端口；支持服务器主动中断连接；Radius与标准Radius共性：1）Radius+协议与Radius一样，通过UDP通讯；2）采用重传确认机制以确保接收；3）安全性：A）密码加密：使用客户端与服务器端的共享密钥通过MD5算法对

12、用户口令进行加密，使得口令和密钥不会在网上明文传送；B）包签名：有16字节的验证字用于对报文进行签名，以确定收到的报文为合法报文。Packet : 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

13、-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+- Attribute : 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | Value . +-+-+-+-+-+-+-+-+-+-+-

14、+-+-+-+-+-+-+-+-+-+-+-Radius协议包格式各个域的解释：各个域的解释：1、Code：包类型；：包类型；1字节；指示字节；指示RADIUS包的类型。包的类型。2、Identifier：包标识；：包标识；1字节；用于匹配请求包和响应包，字节；用于匹配请求包和响应包，同一组请求包和响应包的同一组请求包和响应包的Identifier应相同。应相同。3、Length：包长度；：包长度；2字节；整个包的长度。字节；整个包的长度。4、Authenticator：验证字；：验证字；16字节；用于对包进行签名。字节；用于对包进行签名。5、Attributes: 属性。属性。Radius协

15、议包各个域解释RadiusV1.1 报文种类：报文种类：Radius协议包：code域code报文类型报文类型说明说明1Access-Request认证请求报文2Access-Accept认证响应报文3Access-Reject认证拒绝报文4Accounting-Request计费请求报文5Accounting-Response计费响应报文20Session-Control（以下重点了解）新增加的报文，由iSCP主动发起，以及它们的响应Session-control报文：报文：报文中的必须有一个自定义的子属性为报文中的必须有一个自定义的子属性为Command，内容为，内容为4字节的整数。其取值

16、表示四种报文：字节的整数。其取值表示四种报文：1Trigger-Request ：控制：控制radius client触发触发Access-Request。2Terminate-Request：控制：控制radius client主动断开用户连主动断开用户连接。接。3SetPolicy：表示认证成功后，：表示认证成功后，iSCP主动改变策略，如带主动改变策略，如带宽、重定向策略、业务选择等。宽、重定向策略、业务选择等。4Result：表示：表示Trigger-Request、SetPolicy的结果；的结果；Terminate-Request没有对应的结果。没有对应的结果。Session-co

17、ntrol 报文Session-control 报文ISCPUSERNASTrigger Request（触发NAS发Access Request）SetPolicy（ISCP主动改变策略）T erminate Request（触发NAS 断开用户）disconnectresultresult(Framed-ip-address)(Connect-ID) Session-control报文：报文：由于报文由由于报文由Server主动发起，则主动发起，则identifier值无效。值无效。1对于对于Trigger-Request报文，报文，Client可以根据可以根据Framed-IP-Addr

18、ess找到连接。找到连接。2对于对于Terminate-Request和和SetPolicy报文，报文，Client可以可以根据根据Connect-Id找到连接；找到连接；Session-control 报文1000setpolicy的执行结果25Result-Code*1111控制报文编号24Control-Identifier*0000透明字符串25class00-100标识ISP17ISP-ID*00-100业务优先级22Priority*00-100下行基本速率6Output-Basic-Rate*00-100下行平均速率5Output-Average-Rate*00-100下行峰值速

19、率4Output-Peak-Rate*00-100上行基本速率3Input-Basic-Rate*00-100上行平均速率2Input-Average-Rate*00-100上行峰值速率1Input-Peak-Rate*0000-1Text型的NAS-Port87NAS-Port-Id00-100-1过滤列表名11Filter-ID0-1110连接号26Connect-Id*0-1001IP地址8Framed-IP-Address1111报文子命令（类型）20Command*0111用户名1User-NameResultSetPolicyTerminate-RequesTrigger-Requ

20、est说明类型值属性Session-control 报文属性注：1表示该种属性在该种报文中一定要出现；0表示该种属性在该种报文中一定不要出现； 0-1表示有可能出现，也可能不出现。User-Name1）：要求小于28字符。如果是PPP用户，则用户名的内容是由用户输入的。例如：用户输入的用户名格式是“USERNAMEISP”。Trigger-Request报文中的UserName不能为空字符串。 session-control 报文属性：报文属性：Session-control 报文属性Command20）：整数类型。报文类型，有四种取值：1：Trigger-Request2：Terminate

21、-Request3：SetPolicy4：Result session-control 报文属性：报文属性：Session-control 报文属性带 宽16）：6个带宽属性要么一起出现，要么都不出现。如果出现，则改变带宽。Input-Peak-Rate： 上行峰值速率Input-Average-Rate： 上行平均速率Input-Basic-Rate： 上行基本速率Output-Peak-Rate： 下行峰值速率Output-Average-Rate： 下行平均速率Output-Basic-Rate： 下行基本速率 session-control 报文属性：报文属性：Session-cont

22、rol 报文属性Filter-ID11）：同RFC2865定义。最多28字节。用来描述filter list的名字。通过该属性来控制用户是否能访问Internet、只能访问城域网、只能访问Portal。Filter-ID中包含，ACL组和互访组。格式为“ACL组互访组”。两个组都以ASCII字符的形式出现。如果只改变ACL组，则格式为“ACL组”；如果只改变互访组，则格式为“互访组”。 session-control 报文属性：报文属性：Session-control 报文属性ISP-ID17）：字符串类型。标识ISP。 可用于动态改变ISP。Control-Identifier26）：iTe

23、llin每一次下发Session-Control时，都会分配一个Control-Identifier。对于同一个会话，如果是重发的报文，则Control-Identifier相同；如果不是重发报文，则Control-Identifier不同。Client收到Session-Control后，回Accounting-RequestResetCharge时需带回Control-Identifier属性，值不变。发Session-ControlResult时也带回Control-Identifier属性，值不变。 session-control 报文属性：报文属性：Session-control 报

24、文属性Result-Code25）：反馈打开端口成功与否的信息。Result-Code取值取值含义含义0client打开端口成功非0client打开端口失败 session-control 报文属性：报文属性：Session-control 报文属性ISCPBASSession-Control（Trigger Request）Session-Control（result）(Framed-ip-address,Username)(Result-code:0-client打开端口成功；非0-client打开端口不成功)Access-RequestAccess-ResponseAccount-Req

25、uestAccount-ResponseSession-control 报文：Trigger-Request1Server操作：由iSCP主动下发控制client触发access-request的报文。如果iSCP未收到Session-ControlResult），则定时重发Session-ControlTrigger-Request），再超时后将释放会话。2Client操作： Client收到Trigger-Request报文后应触发access-request报文，走完标准radius的认证、计费start流程后再回应Session-ControlResult报文，其Result-Code

26、=0。如果Client收到重发的Trigger-Request报文而此时又已收到Accounting-RequestStart的响应，则直接返回Session-ControlResult），其Result-Code=0。3报文描述：AServer可以主动发送Trigger-Request报文。Trigger-Request报文必须must包含属性：UserName、Framed-IP-Address，不能must not包含User-Password属性。BClients收到Trigger-Request报文后，应该should给Server发送Session-ControlResult报文，

27、响应报文必须must包含Result-Code属性，如果Result-Code0,表示Clients打开端口成功；非0,表示Clients打开端口失败，并且Result-Code指明了失败的原因。 session-control 报文：报文：Trigger-RequestSession-control 报文：Trigger-RequestISCPBAST erminate Request（触发NAS断开用户）(Connect-ID)Accounting-Request（stop）Accounting-responseSession-control 报文：Terminate-Request1Se

28、rver操作iSCP要求主动终端用户连接会向client主动下发该终止请求报文。待iSCP收到client上报的Accounting-Requeststop后，就认为Client已收到Terminate-Request，不再重发；否则定时重发。2Client操作：AClient收到该报文后，上报Accounting-Request （stop）；如果Client收到Terminate-Request前，已发了Accounting-Request非stop），而未收到Accounting-Response，则Client直接向Server发Accounting-Requeststop），不等待上

29、一个计费请求的响应。B如果Client收到Terminate-Request前，已发了Accounting-Requeststop），则丢弃Terminate-Request。3报文说明：Terminate-Request其实是针对一个连接的connect-id）。 session-control 报文：报文：Terminate-RequestSession-control 报文：Terminate-RequestISCPBASAccounting-Request（reset -charge）(Connect-ID)SetPolicy（ISCP主动改变策略）Session-Control（re

30、sult）Accounting-ResponseSession-control 报文：SetPolicy1Server操作：在用户业务正常访问过程中，业务策略发生改变时，或者用户在Portal上选择业务策略后，iSCP发送SetPolicy至Client，表示要重置当前业务的策略。2Client操作：Client收到该消息后，必需回Accounting-RequestResetCharge），其中ResetCharge为新增属性值，表示改变策略后需要重置计费。3报文描述：iSCP在发送SetPolicy时，必定会含有Control-Identifier。Client需在Accounting-R

31、equestResetCharge中带回SetPolicy中的Control-Identifier放在ResetCharge的Control-Identifier中）。 session-control 报文：报文：SetPolicySession-control 报文：SetPolicy3报文描述client处理规则：（1client收到SetPolicy报文后，应该根据SetPolicy指定的内容立即修改业务属性，修改属性的操作成功后，必须向Server发送Accounting-RequestResetCharge报文，表示业务属性修改成功；（2client收到SetPolicy报文后，也可

32、以回应Session-ControlResult报文，其中Result-Code 为非0值，表示修改属性的操作失败；（3如果发现收到的SetPolicy重复重复的依据是Control-Identifier没变），而已收到了刚才一次的Accounting-RequestResetCharge的响应，则直接回Session-ControlResult报文。（4Client收到Accounting-RequestResetCharge的响应后，共两种情况：如果发Accounting-Requeststop），则表示异常；如果成功则发Session-ControlResult报文；（5Client如果

33、长时间收不到Accounting-RequestResetCharge的响应，则发Accounting-Requeststop）。Session-control 报文：SetPolicy session-control 报文：报文：SetPolicy3报文描述iSCP的处理规则：（1发送SetPolicy，收到Accounting-RequestResetCharge后，按照旧的策略形成话单记录，然后更新计费参数和其它业务参数，构造Accounting-RequestResetCharge的Accounting-Response。（2如果在收到Accounting-RequestResetCh

34、arge之前收到Accounting-RequestInterim-Update），按照旧的策略形成话单记录，构造Accounting-RequestInterim-Update的Accounting-Response，然后继续等待Accounting-RequestResetCharge）。（3iSCP等待Session-ControlResult超时后，重发SetPolicy，N次后策略设置失败，向Client发Terminate-Request。Session-control 报文：SetPolicy session-control 报文：报文：SetPolicy 计费报文种类：计费报文

35、种类：Code4 Accounting-RequestAccounting-Request 报文中的五种状态类型报文中的五种状态类型Acct-Status-Type）：）：1StartValue=1）：）：Client开始对指定用户提供服务，开始对指定用户提供服务，记帐开始。记帐开始。2StopValue=2）：）：Client停止对指定用户提供服务，停止对指定用户提供服务，记帐结束。记帐结束。3Interim-UpdateValue=3）：中途上报流量信息，）：中途上报流量信息，实时记帐。实时记帐。4Reset-ChargeValue=4）：在认证后，）：在认证后，iSCP主动要主动要求求C

36、lient改变策略后，改变策略后，Client上报流量信息。上报流量信息。Code5 Accounting-Response 练习与思考：练习与思考：请简述Radius+与Radius的共性及Radius+支持的新特性；在Radius+ 1.1计费报文中，Accounting-Request按属性account-status-type可以分为哪几种？请简述Session-Control报文的属性以及在实际业务流程中的应用。在使用Radius+1.1对接时，BAS如何根据Session-Control报文找到对应的用户连接？在radius +1.1 中，如何确认radius client是否成功

37、打开端口？课程内容课程内容第一章第一章 Radius+ V1.1协议说明协议说明第二章第二章 Portal V2.0 协议说明协议说明第三章第三章 业务流程实例分析业务流程实例分析第四章第四章 典型案例分析典型案例分析 Portal 门户业务。 Web认证 通过Web方式进行用户认证。 BAS Broad Access Server 宽带接入服务器。 认证Client 表示协议中发起认证请求的一方，可以为Portal Server或任何发起认证的客户机。在不会引起混淆的情况下，简称为Client。 认证Server 表示协议中接受认证请求的一方，例如BAS设备。 在不会引起混淆的情况下，简称为

38、Server。基本概念Portal协议协议Portal v1.0/v2.0版本）：版本）：规定了采用规定了采用Portal认证或认证或Web认证时，认证时，PortalServer和和BAS设备之间的报文格式和通信流程，协议支持设备之间的报文格式和通信流程，协议支持PAP和和CHAP两种认证方式。两种认证方式。（以下讲解（以下讲解portal v2.0协议协议,其中其中portal v2.0协议兼容协议兼容portal v1.0协议的全部报文类型，同时较协议的全部报文类型，同时较portal v1.0新增类型为新增类型为0 x08，0 x09，0 x0a三种报文类型。对于宽带工程师来说，三种报

39、文类型。对于宽带工程师来说，此过程基本是透明的，因此大部分的内容只需了解即可。）此过程基本是透明的，因此大部分的内容只需了解即可。）注：注：PSCP指的是指的是Portal和和iSCP之间的报文格式和通信之间的报文格式和通信流程，有时也称之为一种流程，有时也称之为一种portal协议。协议。Portal协议Portal协议报文格式VerTypePAP/chapRsvdSerialNoReqIDUserIPUserPortErrCode AttrNumAuthenticatorAuthenticator( cont )Attr. .Ver字段是协议的版本号，长度为 1 字节，Ver = 0 x0

40、2表示是portal V2.0的版本。Ver：Portal协议报文字段说明Type字段定义报文的类型，长度为1字节。Portal2.0协议兼容并较portal v1.0新增0 x08，0 x09，0 x0a三种报文新的类型。Type：Pap/Chap字段定义此用户的认证方式，长度为 1 字节，只对Type值为 0 x03 的认证请求报文（ REQ_AUTH ）有意义：1Chap方式认证值为0 x00；2Pap 方式认证值为0 x01；PAP/CHAP：Portal协议报文字段说明UserIP字段为Portal用户的IP地址，长度为 4 字节，其值由PortalServer根据其获得的IP地址填

41、写，在所有的报文中此字段都要有具体的值；UserIP：Portal协议报文字段说明AttrNum字段表示其后边可变长度的属性字段属性的个数，长度为 1 字节表示属性字段最多可有255个属性），其值在所有的报文中都要根据具体情况赋值。AttrNum：协议报文其它字段及属性说明请参考附件协议报文其它字段及属性说明请参考附件:Portal协议Chap认证流程PortalUserPortalServerBAS连接请求请求Challenge请求Challenge成功请求认证认证成功告诉用户认证成功确认收到认证成功报文定时器定时器定时器 练习与思考：练习与思考：请简述Portal V1.0/V2.0与PS

42、CP分别运行在那些设备之间(Portal-server/BAS/iSCP)？请简述Portal V1.0与V2.0协议报文格式(字段)的区别。 课程内容课程内容第一章第一章 Radius+ V1.1协议说明协议说明第二章第二章 Portal V2.0 协议说明协议说明第三章第三章 业务流程实例分析业务流程实例分析第四章第四章 典型案例分析典型案例分析iTellin中配置协议的选择iSCP配置Portal配置Radius+ 1.0portal 1.0/2.0: 运行在NAS和Portal server之间的协议；Radius 1.1PSCP：运行在Portal server和iSCP之间的协议；

43、 iTellin中配置协议的选择中配置协议的选择（主动方：决定协议和业务流程）（主动方：决定协议和业务流程）1ISN8850中：ESRconfig）#radius-server protocol-type radius+ ?iphotel iphotel type, support Radius+ protocol Version 1.0iTellin iTellin type, support Radius+ protocol Version 1.12MA5200/MA5200E中：MA5200Econfig-radius-iTellin）#server-type ?Function: Se

44、t the type of RADIUS serverUsage : server-type standard | iphotel | portal | huaweiOptions :standard: the RADIUS server is based on RFC protocols标准radius）iphotel : the RADIUS server is IP-Hotel or 201+ systemradius+1.0）portal : the RADIUS server is iTellin Portal systemradius+1.1）huawei : the RADIUS

45、 server is based on HUAWEI RADIUS extended protocolBAS中配置协议的选择 BAS中配置协议的选择中配置协议的选择（被动方：选择支持的协议类型）（被动方：选择支持的协议类型） 各协议关系各协议关系ISCPRadius/Radius+1.0/Radius+1.1BASPortalPortal 1.0/2.0PSCP设设 备备配配 置置MA5200（略）（略）查看查看portal信息信息waproxy set-log-level 3查看查看radius信息信息debug radius；debug radius-packet查看查看AAA信息信息de

46、bug aaa打开打开debug开关开关monitor8850（以下详述）（以下详述）查看查看portal信息信息debug pac；debug pcs-send-pkt;debug pcs-recv-pkt；debug pac-to-pcs-msg;debug pcs-to-pac-msg;查看查看radius信息信息debug radius packet查看查看AAA信息信息debug aaa打开打开debug开关开关terminal debuggingiTellin打开日志打开日志93/log/loglevel.jsp?newlevel=1 关闭日志关

47、闭日志93/log/loglevel.jsp?newlevel=0 MA5200、8850和和iTellin debug信息查看方法信息查看方法 debug信息查看方法信息查看方法 用户用户iTellin认证全过程调试信息认证全过程调试信息8850与与iTELLIN对接实例讲解对接实例讲解测试使用版本：18850ISN8850V500R002B01D6162iTELLINiTELLIN SMAP-V100R001B03D008 VLAN用户用户iTellin认证组网认证组网8850与与iTELLIN对接测试用例对接测试用例 VLan用户上网流程用户上网流程1

48、）：）：Portal V1.0Radius1.08850中中Porta用户的认证控制功能用户的认证控制功能 PortalServerPortalServerRadiusServerRadiusServer ISN8850PACPACAAA&RC+AAA&RC+CCCCPCSPCS认证信息交互断开信息交互断开信息交互翻开、关闭连接Portal开关断开相应用户认证信息交互认证信息交互断开信息交互认证信息交互断开信息交互PCS ：PortalCommunicationServerPAC：PortalAuthenticationControlISCPRadius：Access-Accept / Acc

49、ess-Reject认证Radius：Accounting-Request (start)Radius：Accounting-Response Radius：Access-Request计费开始BASUser用户登录访问页面config userPortal需求认证(username，password)Portal：Req_challengePortal：Ack_challengePortal：Req_authPortal：Ack_authPortal：AFF_Ack_authPortal：Req_InfoPortal：Ack_Info VLan用户上线流程：用户上线流程：Portal V1.

50、0Radius1.08850数据配置：数据配置：set-loadfile 11 lpui 2k none /加载加载2K微码微码(或或portal微微码码)aaa group server radius itellin /配置配置Radius组组 radius-server host 00 radius-server key itellin radius-server protocol-type radius+ /使用使用Radius+1.0 exit / Radius认证计费方案认证计费方案 aaa accounting ppp acc1 wait-start grou

51、p itellin aaa authentication ppp auth1 group itellin/指定指定Portal-Server portal-server 00 key itellin 8850数据配置数据配置isp domain isp1.201 /配置isp域 isp accounting acc1 isp authentication auth1. /配置DHCP-Relay和VLAN用户数据interface Fast-ethernet 11/0/0.1 ip address 54 255.255.2

52、55.0 vlan 10 portal /VLAN=10的用户，Portal特性 ip helper-address 38 /DHCP-Server 8850 B03D635版本以前只支持Portal V1.0， 不需配置；因此Portal-Server应该选择Portal V1.0;8850和iTELLIN所使用的Radius协议 类型应一致。 8850数据配置数据配置用户PC通过DHCP获取IP地址；打开IE，输入任意IP地址，被强制到“00的Portal页面上；在Portal页面上输入正确的用户名和密码，按“确定登录； 用户登录界面用户登录界面

53、 用户上线：用户上线：portal协议协议/Portal-Server将各种交互信息提交PCS，由PCS继续后续的交互*10/21/2019 17:09:33:630-slot0-_PCS-debug-M00:Recv Packet From Portal Server(HEX):01 01 00 00 00 27 00 00 c0 a8 00 05 00 00 00 00 /Portal V1.0/REQ_CHALLENGE/CHAP*10/21/2019 17:09:33:630-slot0-_PAC-debug-M00: PCS-PACMsgType:PS_REQ_CHALLENGE ;

54、PrtlUserIP:*10/21/2019 17:09:33:640-slot0-_PAC-debug-M00: PAC-PCSCurrentState:AsNullMsgType:PAC_CHALL_SUCC ;PrtlUserIP: 用户上线：用户上线：portal协议协议*10/21/2019 17:09:33:650-slot0-_PCS-debug-M00:Recv Packet From Portal Server(HEX):01 03 00 00 00 27 5d 06 c0 a8 00 05 00 00 00 02 01 16 6b

55、 64 6c 68 73 79 73 36 35 31 34 40 69 73 70 31 2e 32 30 31 04 12 b4 c4 f6 10 30 c9 7b 26 2d 94 27 82 60 1b 20 c6/REQ_AUTH/username/len/kdlhsys6514isp1.201/chap-password/len/password*10/21/2019 17:09:33:650-slot0-_PAC-debug-M00: PCS-PACCurrentState:AsChapMsgType:PS_CHAP_REQ_AUTH ;PrtlUserIP:192.168.0.

56、5/PAC将用户名、口令提交给AAA模块进行Radius认证：*10/21/2019 17:09:33:660-slot0-_PAC-debug-M00: PAC-AAACurrentState:AsChapMsgType:PAC_REQ_AUTH ;PrtlUserIP:PrtlUserCID:11.0 .12 ;PrtlUserPAID:1e72a9d8 用户上线：用户上线：Radius+1.0协议协议code1）Radius认证过程：code=1 id=35 length=144 /Access-Request 0 0 78 2 0 0 39 57 0 0 37 f

57、6 0 0 4e 83*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(1)(User-name):kdlhsys6514isp1.201*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(3)(CHAP-Password): 0 x6 0 xb4 0 xc4 0 xf6 0 x10 0 x30 0 xc9 0 x7b 0 x26 0 x2d 0 x94 0 x27 0 x82 0 x60 0 x1b 0 x20 0 xc6*10/21/2019 17:09:3

58、3:770-slot0-AAA-debug-Packet: attribute(60)(CHAP-Challenge): 0 x0 0 x0 0 x78 0 x2 0 x0 0 x0 0 x39 0 x57 0 x0 0 x0 0 x37 0 xf6 0 x0 0 x0 0 x4e 0 x83 用户上线：用户上线：Radius+1.0协议协议code1）*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(6)(Service-Type): 2*10/21/2019 17:09:33:770-slot0-AAA-debug-Pac

59、ket: attribute(7)(Framed-Protocol): 1*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(4)(NAS-IP-Address): 54*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(32)(NAS-Identifier):ESR8850*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(127)(Connect-Id): 369098764

60、*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet: attribute(61)(NAS-Port-Type): 15*10/21/2019 17:09:33:770-slot0-AAA-debug-Packet:attribute(128)(Connect-Port):ESR8850-11000000010vlan /使用Portal V1.0时Portal-Server不对逻辑端口号进行处理 code=2 id=35 length=56 /Access-Accept 67 69 95 b4 37 90 16 24 a3 4 d2 c0 4c c3