RADIUS协议原理.ppt

1、RADIUS协议原理,安 腾 网 络 2005.05,Radius协议概述,RADIUS（Remote Authentication Dial In User Service）协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。 RADIUS是一种可扩

2、展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。 协议标准：(rfc2138 rfc2139),目 录,一、Radius协议概述 二、Radius报文格式 三、Radius报文交互过程 四、Radius协议相关配置 五、参考资料,包 格 式,0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Code | Identifier | Length |

3、 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Request Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,Radius报文类型,1 Access-Request 认证请求 2 Access-Accept 认证成功 3 Access-Reject 认证拒绝 4 Accounting-Request 计费请求 5 Accounti

4、ng-Response 计费响应 11 Access-Challenge 认证提问 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved 保留使用,Radius报文交互过程（PAP认证),Radius报文交互过程(CHAP认证),Radius属性格式,0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | Value . +-+-+

5、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-,Radius属性类型,1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression,Radius属性填写举例,如果我们要填写用户名test 报文格式： |ty

6、pe|len|value| 填写内容： |0 x01|0 x06|0 x74657374|,Sniffer抓包的Radius报文,Radius Client相关配置命令（1）,Amtium radius bauth/bacct/dupacct ip key 配置Radius Server的认证和计费服务器IP地址和key，其中auth为认证服务器，acct为计费服务器，bauth和bacct为备用认证和计费服务器，dupacct为对帐计费服务器。 Amtium radius bauth/bacct/dupacct retry 配置radius认证报文和计费报文、对帐计费报文在Radius Se

7、rver没有响应时的重传次数，默认是3次。 Amtium radius bauth/bacct/dupacct timeout 配置radius认证报文和计费报文、对帐计费报文在Radius Server没有响应时的报文重传间隔，默认时间间隔是10秒。,Radius Client相关配置命令（2）,Amtium radius bauth/bacct/dupacct port 配置Radius协议认证、计费通信用端口号，原先老的Radius协议使用的认证和计费端口为1645，1646，新的Radius协议标准为1812，1813。eFlow BRAS系列产品在2005年4月以后的版本采用的默认认

8、证、计费端口为1812，1813。 Amtium radius bauth/bacct/dupacct enable/disable 激活或者关闭BRAS的Radius client认证或者计费功能。 Amtium radius show 查看Radius Client相关配置参数。,Radius配置命令举例（1）,amtium#radius auth ip 192.168.0.111 key amtium amtium#radius auth port 1812 amtium#radius auth enable amtium#radius acct ip 192.168.0.111 key

9、 amtium amtium#radius acct port 1813 amtium#radius acct enable,Radius配置命令举例（2）,amtium#radius bauth ip 192.168.0.111 key amtium amtium#radius bauth port 1812 amtium#radius bauth enable amtium#radius bacct ip 192.168.0.111 key amtium amtium#radius bacct port 1813 amtium#radius bacct enable 注意：配置备份Radi

10、us Server时一定要主要和主Radius的相关配置对应。,Radius配置命令举例（3）,Hostname# show radius ! Running Primary Server 表示当前和主Radius Server之间通信 radius auth ip 192.168.1.6 key amtium radius auth port 1812 radius auth enable radius bauth not configured Running Primary Server 表示当前和主Radius Server之间通信 radius acct ip 192.168.1.6

11、key amtium radius acct port 1813 radius acct enable radius bacct not configured radius dupacct not configured,Radius Server的设置,在linux启动radius,eflowlocalhost linux$ pwd /usr/eflow/linux(命令存放目录) eflowlocalhost linux$ ./aaa.server Usage: ./aaa.server start|stop|restart|reconfig|check(用法) eflowlocalhost

12、 linux$ ./aaa.server start(启动radius),Radius 常见故障分析（1）,Radius模块基于C/S模型设计，因此常见的故障就是Radius Client 和Radius Server之间的参数设置不一致导致认证或者计费故障。 通信key不一致，通常我们设置key为amtium，但是现场有时并不一定是这个key，所以一定要仔细检查和核对。 通信端口不一致：因为新旧RFC标准对Radius 认证和计费端口的规定不一样，因此当和不同厂家的产品对接时一定要清楚对方使用的认证和计费端口。 没有打开认证或者计费功能：因为没有激活认证或者计费功能，导致用户不能认证或者不能

13、计费。 注意：目前一般厂家对认证和计费功能并没有严格关联：认证通过后就可以上网，并不检查计费是否正常，因此有可能用户正常上网而没有产生计费信息。,Radius 常见故障分析（2）,设置广播消息、Radius Server参数等设置后，必须重启Linux的Radius进程，这点一定要注意。 Radius属性不能识别导致认证不能通过：比如和微软公司的IAS软件对接时因为IAS不能识别我们的Radius私有属性，而导致认证不能通过。set aaa_ext_attr on/off 命令就是为和微软产品对接而开发的。 用户数超过License规定的用户导致用户不能认证。 Radius故障的查找目前主要依赖于Radius报文的分析和日志文件的分析。,Radius应用一般模型（1）,Radius应用一般模型（2）,参考资料,RFC2865：Remote Authentication Dial