RADIUS协议的原理及应用讲义

1、 HYPERLINK RADIIUS协协议的原理及应用目 录TOC o 1-3 h z u HYPERLINK l _Toc172109486 培训目标标 PAGEREF _Toc172109486 h 2 HYPERLINK l _Toc172109487 前言 PAGEREF _Toc172109487 h 2 HYPERLINK l _Toc172109488 1 RAADIUUS协议议介绍 PAGEREF _Toc172109488 h 22 HYPERLINK l _Toc172109489 2 RAADIUUS协议议报文结结构 PAGEREF _Toc172109489 h 3 H

2、YPERLINK l _Toc172109490 2.1 Raddiuss协议报报文格式式 PAGEREF _Toc172109490 h 3 HYPERLINK l _Toc172109491 2.2 Codde域 PAGEREF _Toc172109491 h 3 HYPERLINK l _Toc172109492 2.3 Ideentiifieer域 PAGEREF _Toc172109492 h 4 HYPERLINK l _Toc172109493 2.4 Lenngthh域 PAGEREF _Toc172109493 h 4 HYPERLINK l _Toc172109494 2.

3、5 Autthennticcatoor PAGEREF _Toc172109494 h 4 HYPERLINK l _Toc172109495 2.6 Atttribbutees域 PAGEREF _Toc172109495 h 5 HYPERLINK l _Toc172109496 2.6.1 TTypee域 PAGEREF _Toc172109496 h 5 HYPERLINK l _Toc172109497 2.6.2 LLenggth域域 PAGEREF _Toc172109497 h 5 HYPERLINK l _Toc172109498 2.6.3 VValuue域 PAGEREF

4、 _Toc172109498 h 6 HYPERLINK l _Toc172109499 2.6.4常用用属性类类型列表表 PAGEREF _Toc172109499 h 6 HYPERLINK l _Toc172109500 3 NAAS设备备RADDIUSS部分配配置举例例 PAGEREF _Toc172109500 h 8 HYPERLINK l _Toc172109501 4 RAADIUUS系统统下用户户认证过过程 PAGEREF _Toc172109501 h 9 HYPERLINK l _Toc172109502 4.1 报文1：EAPPOL-Staart PAGEREF _To

5、c172109502 h 99 HYPERLINK l _Toc172109503 4.2 报文2：EAPP-Reequeest/Ideentiity PAGEREF _Toc172109503 h 110 HYPERLINK l _Toc172109504 4.3 报文3：EAPP-Reespoonsee/Iddenttityy PAGEREF _Toc172109504 h 10 HYPERLINK l _Toc172109505 4.4 报文4：RADDIUSS Acccesss-RRequuestt PAGEREF _Toc172109505 h 11 HYPERLINK l _Toc

6、172109506 4.5 报文5：RADDIUSS Acccesss-CChalleengee PAGEREF _Toc172109506 h 12 HYPERLINK l _Toc172109507 4.6 报文6：EAPP-Reequeest/MD55-Chhalllengge PAGEREF _Toc172109507 h 133 HYPERLINK l _Toc172109508 4.7 报文7：EAPP-Reespoonsee/MDD5-CChalllennge PAGEREF _Toc172109508 h 114HYPERLINKl _Toc1721095094.8 报文8：R

7、ADDIUSS Acccesss-RRequuestt PAGEREF _Toc172109509 h 14 HYPERLINK l _Toc172109510 4.9 报文9：RADDIUSS Acccesss-AAcceept PAGEREF _Toc172109510 h 115 HYPERLINK l _Toc172109511 4.100 报文文10：EAPP-Suucceess PAGEREF _Toc172109511 h 116 HYPERLINK l _Toc172109512 4.111 报文文11：RADDIUSS Acccouuntiing-Reqquesst PAGE

8、REF _Toc172109512 h 177 HYPERLINK l _Toc172109513 4.122 报文文12：RADDIUSS Acccouuntiing-Ressponnse PAGEREF _Toc172109513 h 118 HYPERLINK l _Toc172109514 4.133 报文文13：EAPPOL-Loggofff PAGEREF _Toc172109514 h 18 HYPERLINK l _Toc172109515 4.144 报文文14：RADDIUSS Acccouuntiing-Reqquesst PAGEREF _Toc172109515 h

9、199 HYPERLINK l _Toc172109516 4.155 报文文15：RADDIUSS Acccouuntiing-Ressponnse PAGEREF _Toc172109516 h 220 HYPERLINK l _Toc172109517 4.166 报文文16：EAPP-Faailuure PAGEREF _Toc172109517 h 221培训目标标了解RAADIUUS协议议基本概概念；熟悉RAADIUUS协议议报文结结构；熟悉RAADIUUS协议议工作原原理；前言企业要求求只有授授权的用用户才能能访问自自己的内内部网络络，教育育网采取取根据流流量计费费的策略略，VO

10、OD系统统根据点点播的时时间收费费等等。这些最最常见的的网络应应用却面面临一个个同样的的问题：如何对对用户进进行认证证和计费费？一种种常见的的认证计计费方法法RRADIIUS协协议会帮帮助我们们解决这这些问题题。RAADIUUS是目目前最常常用的认认证计费费协议之之一，它它简单安安全，易易于管理理，扩展展性好，所以得得到广泛泛应用。1RADDIUSS协议简介介RADIIUS ( RRemoote Autthennticcatiion Diaal IIn UUserr Seerviice )是远程程认证拨拨号用户户服务的的简称。RADDIUSS原先设设计的目目的是为为拨号用用户进行行认证和和计费

11、。后来经经过多次次改进，形成了了一项通通用的认认证计费费协议，主要完完成在网网络接入入设备和和认证服服务器之之间承载载认证、授权、计费和和配置信信息。RADDIUSS是一种种C/SS结构的的协议，它的客客户端最初初就是NNAS服服务器，现在任任何运行行RADDIUSS客户端端软件的的计算机机都可以以成为RRADIIUS的的客户端端。RADIIUS基基本原理理：用户户接入NNAS，NASS向RADDIUSS服务器器使用AAcceess-Reqquesst数据据包提交交用户信信息，包包括用户户名、密密码等相相关信息息，其中中用户密密码是经经过MDD5加密密的，双双方使用用共享密密钥，这这个密钥钥不

12、经过过网络传传播；RRADIIUS服服务器对对用户名名和密码码的合法法性进行行检验，必要时时可以提提出一个个Chaalleengee，要求求进一步步对用户户认证，也可以以对NAAS进行行类似的的认证；如果合合法，给给NASS返回Acccesss-AAcceept数数据包，允许用用户进行行下一步步工作，否则返返回Acccesss-RRejeect数数据包，拒绝用用户访问问；如果果允许访访问，NNAS向向RADDIUSS服务器器提出计计费请求求Acccounnt-RRequuest，RADDIUSS服务器器响应AAccoountt-Accceppt，对对用户开开始计费费，同时时用户可可以进行行自己

13、的的相关操操作。RADIIUS协协议具有有以下特特点：客户端/服务器器结构；采用共享享密钥保保证网络络传输安安全性；良好的可可扩展性性；认证机制制灵活；RADIIUS 协议承承载于UUDP 之上，官方指指定端口口号为认认证授权权端口118122、计费端端口18813。RADDIUSS协议在在RFCC2865、RFCC28666 中中定义。锐捷网网络RGG-SAAM系统统和NASS之间的的通讯采采用RAADIUUS协议议。由于于RADDIUSS协议的良良好扩展展性,很很多厂家家对RAADIUUS作了了扩展，我们公公司也对对其进行行了扩展展。使用用时我们们应该注注意不同同公司对对RADDIUSS协

14、议扩展展部分不不能完全全兼容。2 RAADIUUS协议议报文结构构2.1RRadiius协协议报文文格式RADIIUS报报文格式式如下图图所示，各域内内容按照照从左向向右传送送0 1 2 30 1 23 4 55 6 7 88 9 0 11 2 3 44 5 6 77 8 9 00 1 2 33 4 5 66 7 8 99 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Coode | Iddenttifiier | Leengtth |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

15、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Auutheentiicattor |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Atttriibuttes +-+-+-+-+-+-+-+-+-+-+-+-+-2.2CCodee域Codee域长度度为1个字节节，用于标标明RAADIUUS报文文的类型型，如果Coode域域中的内内容是无无效值，报文将将被丢弃弃RADDIUSS Coode域域的有效效值如下下：Codee=1 AAcceess-ReqquesstCodee=2 AAccee

16、ss-AcccepttCodee=3 AAcceess-RejjecttCodee=4 AAccoounttingg-ReequeestCodee=5 AAccoounttingg-ReespoonseeCodee=11 Acccesss-ChhalllenggeCodee=12 Staatuss-Seerveer (expperiimenntall)Codee=13 Staatuss-Clliennt (expperiimenntall)Codee=65 业务修修改请求求消息Codee=66 业务修修改请求求回应消消息Codee=67 业务修修改请求求回应拒拒绝消息息Codee=2555 R

17、eeserrvedd其中122 133 2555 为为保留的的Codde值一一般不会会遇到，1 22 3 4 55 111比较常常见，分别标标明报文文类型为为认证请请求、认证接接受、认证拒拒绝、计费请请求、计费回回应、计费成成功和访访问质询询。2.3IIdenntiffierr域Idenntiffierr域长度为为1个字节节，用于匹匹配请求求的回应应。如果在在短时间间内RAADIUUS服务务器收到到从相同同的源IIP，相同源源端口，相同标标识域的的报文，则认为为收到的的是重复复的请求求。2.4LLenggth域域Lenggth域域占两个个字节，用于指指明报文文的有效效长度，多出长长度域的的字节

18、部部分将被被视为填填充。在接收收时被忽忽略。如果报报文长度度小于长长度域中中的值，整个报报文将被被丢弃。长度域域的范围围在200和40996之间间。2.5AAuthhentticaatorr认证字域域占用116个字字节，用于Raadiuus CClieent 和Serrverr之间消消息认证证的有效效性，和密码码隐藏算算法。访问请求求Acccesss-Reequeest报报文中的的认证字字的值是166字节随随机数，认证字的的值要不不能被预预测并且且在一个个共享密密钥的生生命期内内唯一。访问请求求Acccesss-Reequeest认认证字在Acccesss-Reequeest包包中认证证字的值

19、值是166字节随随机数,认证字字的值要要不能被被预测,并且在在一个共共享密钥钥的生命命期内唯唯一；访问回应应认证字字Acceess-Accceptt Acccesss-RRejeect 和Acccesss-Chhalllengge包中中的认证证字称为为访问回回应认证证字，访问回回应认证证字的值值定义为为MD55(Coode+ID+Lenngthh+ReequeestAAuthh+Atttriibuttes+Seccrett)；计费请求求Acccounntinng-RRequuestt认证字字在计费请请求包中中的认证证字域称称为计费费请求认认证字，它是一一个166字节的的MD55校验和和，计费请

20、请求认证证字的值值定义为为MD55(Coode + IIdenntiffierr + Lenngthh + 16 zerro oocteets + rrequuestt atttriibuttes +shhareed ssecrret)；计费回应应Acccounntinng-RRespponsse认证证字在计费回回应报文文中的认认证字域域称为计计费回应应认证字字，它的值值定义为为MD55(Acccouuntiing-Ressponnse Codde + Iddenttifiier + LLenggth + tthe ReqquesstAuutheentiicattor fieeld froom

21、 tthe Acccounntinng-RRequuestt paackeet bbeinng rreplliedd too +tthe ressponnse atttribbutees + shhareed ssecrret)；2.6 Atttribbutees域0 1 20 1 2 33 4 5 66 7 8 99 0 1 22 3 4 55 6 7 88 9 0+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-| Tyype | Leengtth | Vaaluee +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

22、+-属性域的的长度是是可变的的，它是一一个由业业务类型型必需的的属性和和可选属属性组成成的属性性链。一个属属性包含含如下三三个部分分：2.6.1 TTypee域类型域长长度为一一个字节节，RADDIUSS服务器器和客户户端当遇遇到不可可识别的的属性时时，可以将将其忽略略。常用的的属性类类型请参参见RFFC28865 RFCC28666；2.6.2 LLenggth域域长度域长长度为一一个字节节，指明了了一个属属性的类类型、长度和和值域的的总长度度。如果在在认证请请求报文文中携带带有属性性长度非非法的属属性，则必须须回应访访问拒绝绝报文；如果在在访问回回应报文文中存在在非法的的属性长长度，这个报

23、报文必须须被直接接丢弃或或被认为为是访问问拒绝报报文。2.6.3 VValuue域值域由零零或多个个字节组组成包，含详细细的属性性信息，它的格格式由属属性的长长度和类类型域决决定。注意RAADIUUS 中中没有一一个类型型的值域域是以NNULLL(heex 000)结结尾，的也就就是说值值域中是是没有结结束符的的，服务器器和客户户端需要要能够处处理内嵌嵌的NUULL。值域的数数据类型型是下列列5 种类类型之一一。“texxt”类型是是“strringg”类型的的子集：textt 1-2533 字节节长striing 1-2253 字节长长可以包包含二进进制数据据addrresss 4 字节高高

24、位在前前inteegerr 4 字节无无符号数数高位在在前timee 4 字节无无符号数数高位在在前表示示从19970 年1 月1 日零零点零时时零秒到到现在的的秒数2.6.4常用用属性类类型列表表Typee=1 用用户名 Usser-NammeTypee=2 用用户密码码 Useer-PPasssworrdTypee=3 CCHAPP密码 CCHAPP-PaasswworddTypee=4 NNAS IP地地址 NNAS-IP-AdddresssTypee=5 NNAS端端口 NNAS-PorrtTypee=6 服服务类型型 Serrvicce-TTypeeTypee=7 帧帧协议 Fraa

25、medd-PrrotoocollTypee=8 分分帧IPP地址配配置 FFrammed-IP-AdddresssTypee=9 IIP网络络掩码配配置 FFrammed-IP-NettmasskTypee=100 路由方方法配置置 Fraamedd-RooutiingTypee=111 筛选器器标识 FFiltter-IdTypee=122 最大传传输单元元配置 Frrameed-MMTUTypee=133 压缩协协议配置置 Frrameed-CComppresssioonTypee=144 登录的的主机IIP 地地址 LLogiin-IIP-HHosttTypee=155 登录的的服务 L

26、Logiin-SServviceeTypee=166 登录的的TCPP端口 Looginn-TCCP-PPorttTypee=177 未分配配 (uunasssiggnedd)Typee=188 回复消消息 Repply-MesssaggeTypee=199 回叫电电话号码码 Caallbbackk-NuumbeerTypee=200 回叫IID CCalllbacck-IIdTypee=211 未分配配 (uunasssiggnedd)Typee=222 路由配配置 FFrammed-RouuteTypee=233 IPXX网络数数字配置置 FFrammed-IPXX-NeetwoorkTy

27、pee=244 状态 StaateTypee=255 类别 ClaassTypee=266 供应商商细节 Venndorr-SppeciificcTypee=277 会话时时限 Seessiion-TimmeouutTypee=288 空闲时时限 Iddle-TimmeouutTypee=299 终止动动作 Teermiinattionn-AcctioonTypee=300 用户拨拨打的电电话号码码 CCallled-Staatioon-IIdTypee=311 用户打打出的电电话号码码 CCalllingg-Sttatiion-IdTypee=322 网络接接入服务务器标识识符 NAAS-I

28、IdenntiffierrTypee=333 代理状状态 Prroxyy-SttateeTypee=344 登录的的LATT服务 LLogiin-LLAT-SerrvicceTypee=355 登录的的LATT节点 Looginn-LAAT-NNodeeTypee=366 登录的的LATT组 Loggin-LATT-GrrouppTypee=377 ApppleTTalkk链路配配置 Frrameed-AApplleTaalk-LinnkTypee=388 ApppleTTalkk网络配配置 Fraamedd-ApppleeTallk-NNetwworkkTypee=399 ApppleTTa

29、lkk区域配配置 Fraamedd-ApppleeTallk-ZZoneeTypee=400-599 为记账账保留 (reeserrvedd foor aaccoounttingg)Typee=60 CHHAP盘盘问 CHHAP-ChaalleengeeTypee=611 网络接接入服务务器端口口类型 NAAS-PPortt-TyypeTypee=622 端口数数限制 Poort-LimmitTypee=633 登录的的LATT端口 Loggin-LATT-Poort3 NAAS设备备RADDIUSS部分配配置举例例下面以锐锐捷网络络STAART-S21126GG交换机机作为例，介介绍NAAS

30、设备备关于RRADIIUS部部分配置置：testt#shhow runnninng-cconffig Systtem sofftwaare verrsioon : 1.68 Buiild Aprr 255 20007 RelleasseBuilldinng cconffiguurattionnCurrrentt coonfiigurratiion : 5586 byttes!verssionn 1.0!hosttnamme ttesttvlann 1!radiius-serrverr hoost 1922.1668.11.1002 /指定定raddiuss-seerveer的IIP地址址aaa

31、 autthennticcatiion dott1x /交换换机全局局启动8802.1x协协议aaa acccounntinng sservver 1922.1668.11.1002 /指定记记帐服务务器的IIP地址址aaa acccounntinng /交换换机开启启记帐功功能enabble seccrett leevell 1 5 &ZbbcknnA2YYzyggloww5UaaehIYYdffimLLMenabble seccrett leevell 155 5 &ZSS(WW&-22YX)sv5UUY*TT7+.YtZZV/,|!inteerfaace fasstEttherrnett

32、 0/1swittchpportt acccesss vvlann 100 dott1x porrt-cconttroll auuto /将此端端口设置置成受控控端口!inteerfaace fasstEttherrnett 0/24swittchpportt moode truunk!inteerfaace vlaan 11 no shuutdoown ip adddresss 1192.1688.1.1000 2556.2556.2556.0 !dot11x cclieent-proobe enaablee /打开交交换机异异常下线线探测功功能radiius-serrverr keey r

33、roott/设设置交换换机和rradiius-serrverr之间的的密钥snmpp-seerveer ccommmuniity pubblicc rww /设置交交换机ssnmpp协议采采用coommuunittyip ddefaaultt-gaatewway 1922.1668.11.1end 4RADDIUSS系统下用户认认证过程程SAM系系统是锐锐捷网络络自主研研发的集集安全、认证、计费和和管理于于为一体体的网络络管理平平台，它它是基于于标准的的RADDIUSS协议开开发的，整个系系统由以以下三个个部分组组成：恳请者（SU，安装锐锐捷认证证客户端端软件的的PC）；认证者（NASS，接入

34、入层交换换机)；认证服务务器(RADDIUSS SEERVEER，RRG-SSAM软软件)；下面从恳恳请者发发起认证证认证证成功退出出认证的的整个过过程中，通过SSNIFFFERR软件抓抓取到的的报文作作详细分分析：4.1 报文11：EAAPOLL-Sttartt首先由客客户端发发起一个个带有组组播目的的MACC地址为为“01880-CC2000-00003”的8022.1XX数据帧帧，其中8002.11X头部部TYPPE类型型值为11，标明明是EAAPOLL-Sttartt报文，开始8002.11X认证证接入请请求；DLCDDesttinaatioon=01880-CC2000-00003，

35、表示组播播目的MAAC地址址，因为SUU不知到到NASS设备在在哪里；DLCEEtheertyype=8888E，表表示链路路层帧内内承载着着8022.1XX报文；802.1X Verrsioon =1 表表示当前前的8002.11X 协协议版本本是1；802.1X Pacckett Tyype =1指定是是EAPPOL-Staart报报文；4.2 报文22：EAAP-RRequuestt/IddenttityyNAS设设备收到到SU的的EAPPOL-Staart报报文后，向SUU发送EEAP-Reqquesst/IIdenntitty报文文，要求求SU将将用户名名送上来来；802.1X Pa

36、cckett Tyype =0，表示8002.11X报文文承载着着EAPP报文；EAP报报文中的的Codde=11，表示是一一个EAAP-RRequuestt报文；EAP报报文中的的Ideentiifieer=11， 表示示这个EEAP-Reqquesst报文文的标识识符1，这个个值要和和后面的的EAPP-Reespoonsee Iddenttifiier一一致；EAP Datta 中中的Tyype=1，表示要要求SUU将用户户名送上上来；4.3 报文33：EAAP-RRespponsse/IIdenntittySU向NNAS设设备回应应EAPP-Reespoonsee/Iddenttityy

37、报文，其其中包括括用户名名信息；EAP codde=22，表示是是EAPP-Reespoonsee报文；EAP Ideentiifieer=11，表示是是上一个个EAPP-Reequeest请请求的响响应，因因为和上上一个EEAP-Reqquesst的IIdenntiffierr的值相相同；EAP Typpe=11，表示EEAP Datte中包包含用户户名信息息；EAP Messsagge=“liuufn”，表示用用户名是是“liuufn”；4.4 报文44：RAADIUUS AAcceess-ReqquesstNAS将将SU送送上来的的“用户名名”信息封装装到RAADIUUS AAccees

38、s-Reqquesst报文文中，发发送给认认证服务务器，同同时这个个报文中中携带着着客户端端IP、MACC、掩码码、网关关、NAAS IIP、NNAS端端口等信信息；UDP Desstinnatiion Porrt=118122，UDPP的端口口号是118122，代表是是一个RRADIIUS的的认证信信息；RADIIUS Codde=11，说明这这是一个个Acccesss-Reequeest请求认认证报文文；RADIIUS Ideentiifieer=11，表示AAcceess-Reqquesst的标标识，要要和后面面相同标标识的AAcceess-Ressponnse成成对使用用；RADIIU

39、S Useer-NNamee=“liuufn”，表示报报文中携携带用户户名信息息；RADIIUS NASS-IPP-Adddreess=“1922.1668.00.1”，表示报报文中携携带NAAS IIP信息息；4.5 报文55：RADDIUSS Acccesss-CChalllenngeRADIIUS服服务器收收到上一一个报文文后，在在数据库库中查找找是否有有此用户户，同时时根据服服务器的的策略设设置，是是否来匹匹配NAAS IIP、NNAS端端口、用用户IPP、用户户MACC等信息息，如果果通过，RADDIUSS服务器器随机产产生一个个加密字字，用随随机产生生的加密密字和数数据库中中用户的

40、的口令进进行MDD5加密密运算，得出一一个结果果。同时时将随机机产生的的加密字字通过RRADIIUS Acccesss-Chhalllengge报文文发送给给NASS设备；RADIIUS codde=111：表表示是AAcceess-Chaalleengee挑战报报文；RADIIUS Messsagge-AAuthhentticaatorr=“xxxxx”：表示示RADDIUSS服务器器随机产产生的加加密字；4.6 报文66：EAPP-Reequeest/MD55-ChhalllenggeNAS设设备将收收到RAADIUUS服务务器的“随机加密密字”，然后后封装到到EAPP-Reequeest

41、/MD55-Chhalllengge报文文中发送送给SUU，要求求SU进进行认证证；EAP Typpe=44：表示示这是一一个MDD5挑战战；EAP Vallue=“xxxxx”：表示示RADDIUSS随机产产生的加加密字；4.7 报文77：EAPP-Reespoonsee/MDD5-CChalllennge客户端收收到EAAP-RRequuestt/MDD5-CChalllennge报报文后，将用户户输入的的密码和和随机字字做MDD5运算算，将结结果通EAPP-Reespoonsee/MDD5-CChalllennge回回应给NNAS设设备；EAP Vallue=“yyyyy”：表示示加密后

42、后的口令令；4.8 报文88：RAADIUUS AAcceess-ReqquesstNAS设设备通过过Acccesss-Chhalllengge报文文，将SSU送上上来的加加密口令令上传给给RADDIUSS服务器器；RADIIUS Codde=11：表示示是一个个Acccesss-Reequeest报报文；RADIIUS Messsagge-AAuthhentticaatorr=“yyyyy”：表示示上传给给RADDIUSS的加密密口令；4.9 报文99：RAADIUUS AAcceess-AcccepttRADIIUS服服务器将将SU产产生的加加密字和和自己运运算的结结果进行行比较，看是否否一致，判断用用户是否否合法。然后回回应认证证成功/失败报报文到NNAS设设备；RADIIUS Codd