RADIUS協(xié)議原理及應(yīng)用課件

RADIUS協(xié)議原理及應(yīng)用

培訓(xùn)組趙儉銳捷網(wǎng)絡(luò)技術(shù)培訓(xùn)系列課程-（中級(jí)）培訓(xùn)目標(biāo)

了解RADIUS協(xié)議基本概念；熟悉RADIUS協(xié)議報(bào)文結(jié)構(gòu)；熟悉RADIUS協(xié)議工作原理；提綱RADIUS協(xié)議介紹RADIUS協(xié)議報(bào)文結(jié)構(gòu)NAS設(shè)備RADIUS部分配置RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS協(xié)議簡介

RADIUS(RemoteAuthenticationDialInUserService)是遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)的簡稱，是一種C/S結(jié)構(gòu)的協(xié)議。RADIUS原先設(shè)計(jì)的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議，與AAA配合主要完成在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計(jì)費(fèi)和配置信息。RADIUS協(xié)議簡介

Authentication，Authorization，andAccounting三種安全功能，簡稱AAA。Authentication認(rèn)證，用于判定用戶是否可以獲得訪問權(quán)，限制非法用戶；Authorization授權(quán)，授權(quán)用戶可以使用哪些服務(wù)，控制合法用戶的權(quán)限；Accounting計(jì)賬，記錄用戶使用網(wǎng)絡(luò)資源的情況,為收費(fèi)提供依據(jù)；RADIUS協(xié)議簡介RADIUS協(xié)議具有以下特點(diǎn)：客戶端/服務(wù)器結(jié)構(gòu)；采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性；良好的可擴(kuò)展性；認(rèn)證機(jī)制靈活；RADIUS協(xié)議承載于UDP之上，官方指定端口號(hào)為認(rèn)證授權(quán)端口1812、計(jì)費(fèi)端口1813。RADIUS協(xié)議在RFC2865、RFC2866中定義。銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)和NAS設(shè)備之間的通訊，采用的是RADIUS協(xié)議。由于RADIUS協(xié)議的良好擴(kuò)展性,很多廠家對(duì)RADIUS作了擴(kuò)展，我們公司也對(duì)其進(jìn)行了擴(kuò)展。RADIUS協(xié)議報(bào)文結(jié)構(gòu)

數(shù)據(jù)鏈路層IP網(wǎng)絡(luò)層UDP物理層TCPRADIUSRADIUS協(xié)議在報(bào)文中的位置RADIUS協(xié)議報(bào)文結(jié)構(gòu)Radius協(xié)議報(bào)文格式RADIUS報(bào)文格式如下圖所示，各域內(nèi)容按照從左向右傳送0123012345678901234567890123456789012+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Authenticator|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-RADIUS協(xié)議報(bào)文結(jié)構(gòu)CodeIdentifierLengthAuthenticatorAttributeCode確定RADIUS數(shù)據(jù)包的類型，編碼如下：1接入請求(Access-Request）2接入允許(Access-Accept)3接入拒絕(Access-Reject)4記賬請求(Accounting-Request)5記賬回應(yīng)(Accounting-Response)11接入詢問(Access-Challenge)12服務(wù)器狀態(tài)(Status-Server(experimental))13客戶機(jī)狀態(tài)(Status-Client(experimental))255保留(Reserved)RADIUS協(xié)議報(bào)文結(jié)構(gòu)CodeIdentifierLengthAuthenticatorAttribute長度域：兩個(gè)字節(jié)，它指明了包括編碼、標(biāo)識(shí)符、長度、鑒別碼和屬性域在內(nèi)的數(shù)據(jù)包的長度。在數(shù)據(jù)包長度以外的字節(jié)位必須以填充數(shù)對(duì)待，在接收時(shí)忽略它。如果包的長度比指定的短，則此包會(huì)被直接丟棄。RADIUS協(xié)議報(bào)文結(jié)構(gòu)CodeIdentifierLengthAuthenticatorAttribute

認(rèn)證字域：十六個(gè)字節(jié)。用于RadiusClient和Server之間消息認(rèn)證的有效性，和密碼隱藏算法。RADIUS協(xié)議報(bào)文結(jié)構(gòu)CodeIdentifierLengthAuthenticatorAttributeTypeLenValue類型域：

一個(gè)字節(jié)，后邊有詳細(xì)的列表；長度域：

一個(gè)字節(jié)，它指定了包括類型、長度和值域在內(nèi)的屬性長度；值域：可以為零或者多個(gè)字節(jié)，包括屬性的詳細(xì)信息。值域的格式和長度由域的類型和長度決定；RADIUS報(bào)文格式1用戶名User-Name2用戶密碼User-Password3CHAP密碼CHAP-Password4NASIP地址NAS-IP-Address5NAS端口NAS-Port6服務(wù)類型Service-Type7幀協(xié)議Framed-Protocol8分幀IP地址配置Framed-IP-Address9IP網(wǎng)絡(luò)掩碼配置Framed-IP-Netmask10路由方法配置Framed-Routing11篩選器標(biāo)識(shí)Filter-Id12最大傳輸單元配置Framed-MTU13壓縮協(xié)議配置Framed-Compression14登錄的主機(jī)IP地址Login-IP-Host15登錄的服務(wù)Login-Service16登錄的TCP端口Login-TCP-Port17未分配(unassigned)18回復(fù)消息Reply-Message19回叫電話號(hào)碼Callback-Number20回叫IDCallback-Id21未分配(unassigned)22路由配置Framed-Route23IPX網(wǎng)絡(luò)數(shù)字配置Framed-IPX-Network24狀態(tài)State25類別Class26供應(yīng)商細(xì)節(jié)Vendor-Specific27會(huì)話時(shí)限Session-Timeout28空閑時(shí)限Idle-Timeout29終止動(dòng)作Termination-Action30用戶撥打的電話號(hào)碼Called-Station-Id31用戶打出的電話號(hào)碼Calling-Station-Id32網(wǎng)絡(luò)接入服務(wù)器標(biāo)識(shí)符NAS-Identifier33代理狀態(tài)Proxy-State34登錄的LAT服務(wù)Login-LAT-Service35登錄的LAT節(jié)點(diǎn)Login-LAT-Node36登錄的LAT組Login-LAT-Group37AppleTalk鏈路配置Framed-AppleTalk-Link38AppleTalk網(wǎng)絡(luò)配置Framed-AppleTalk-Network39AppleTalk區(qū)域配置Framed-AppleTalk-Zone40-59為記賬保留(reservedforaccounting)60CHAP盤問CHAP-Challenge61網(wǎng)絡(luò)接入服務(wù)器端口類型NAS-Port-Type62端口數(shù)限制Port-Limit63登錄的LAT端口Login-LAT-PortNAS設(shè)備RADIUS部分配置NAS設(shè)備RADIUS部分配置，S21和S35系列交換機(jī)為例配置交換機(jī)與RADIUSSERVER之間的通訊

Switch(config)#radius-serverhost1.1.1.1

Switch(config)#radius-serverkeyruijie交換機(jī)打開全局802.1X認(rèn)證開關(guān)Switch(config)#aaaauthenticationdot1xSwitch(config)#end配置交換機(jī)SNMP協(xié)議Switch(config)#snmp-servercommunitypublicrwNAS設(shè)備RADIUS部分配置配置RADIUS記帳Switch(config)#aaaaccountingserver1.1.1.1Switch(config)#aaaaccounting配置端口為認(rèn)證端口Switch(config)#interfacerangf0/1-23Switch(config-if)#dot1xport-controlauto啟動(dòng)異常下線和記帳更新功能Switch(config)#dot1xclient-probeenableSwitch(config)#dot1xaccout-update-interval600RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文1：EAPOL-Start

首先由客戶端發(fā)起一個(gè)帶有組播目的MAC地址為“0180-C200-0003”的802.1X數(shù)據(jù)幀，其中802.1X頭部TYPE類型值為1，標(biāo)明是EAPOL-Start報(bào)文，開始802.1X認(rèn)證接入請求；DLCDestination=“0180-C200-0003”，表示組播目的MAC地址，因?yàn)镾U不知到NAS設(shè)備在哪里；DLCEthertype=888E，表示鏈路層幀內(nèi)承載著802.1X報(bào)文；802.1XVersion=1表示當(dāng)前的802.1X協(xié)議版本是1；802.1XPacketType=1指定是EAPOL-Start報(bào)文；RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文3：EAP-Response/Identity

SU向NAS設(shè)備回應(yīng)EAP-Response/Identity報(bào)文，其中包括用戶名信息；EAPcode=2，表示是EAP-Response報(bào)文；EAPIdentifier=1，表示是上一個(gè)EAP-Request請求的響應(yīng)，因?yàn)楹蜕弦粋€(gè)EAP-Request的Identifier的值相同；EAPType=1，表示EAPDate中包含用戶名信息；EAPMessage=“l(fā)iufn”，表示用戶名是“l(fā)iufn”；

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文5：RADIUSAccess-Challenge

RADIUS服務(wù)器收到上一個(gè)報(bào)文后，在數(shù)據(jù)庫中查找是否有此用戶，同時(shí)根據(jù)服務(wù)器的策略設(shè)置，是否來匹配NASIP、NAS端口、用戶IP、用戶MAC等信息，如果通過，RADIUS服務(wù)器隨機(jī)產(chǎn)生一個(gè)加密字，用隨機(jī)產(chǎn)生的加密字和數(shù)據(jù)庫中用戶的口令進(jìn)行MD5加密運(yùn)算，得出一個(gè)結(jié)果。同時(shí)將隨機(jī)產(chǎn)生的加密字通過RADIUSAccess-Challenge報(bào)文發(fā)送給NAS設(shè)備；RADIUScode=11：表示是Access-Challenge挑戰(zhàn)報(bào)文；RADIUSMessage-Authenticator=“xxxx”：表示RADIUS服務(wù)器隨機(jī)產(chǎn)生的加密字；RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文6：EAP-Request/MD5-ChallengeNAS設(shè)備將收到RADIUS服務(wù)器的“隨機(jī)加密字”，然后封裝到EAP-Request/MD5-Challenge報(bào)文中發(fā)送給SU，要求SU進(jìn)行認(rèn)證；EAPType=4：表示這是一個(gè)MD5挑戰(zhàn)；EAPValue=“xxxx”：表示RADIUS隨機(jī)產(chǎn)生的加密字；

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文7：EAP-Response/MD5-Challenge客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將用戶輸入的密碼和隨機(jī)字做MD5運(yùn)算，將結(jié)果通EAP-Response/MD5-Challenge回應(yīng)給NAS設(shè)備；EAPValue=“yyyy”：表示加密后的口令；RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文8：RADIUSAccess-Request

NAS設(shè)備通過Access-Challenge報(bào)文，將SU送上來的加密口令上傳給RADIUS服務(wù)器；RADIUSCode=1：表示是一個(gè)Access-Request報(bào)文；RADIUSMessage-Authenticator=“yyyy”：表示上傳給RADIUS的加密口令；

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文9：RADIUSAccess-AcceptRADIUS服務(wù)器將SU產(chǎn)生的加密字和自己運(yùn)算的結(jié)果進(jìn)行比較，看是否一致，判斷用戶是否合法。然后回應(yīng)認(rèn)證成功/失敗報(bào)文到NAS設(shè)備；RADIUSCode=2：表示是一個(gè)Access-Accept報(bào)文，通知NAS允許這個(gè)用戶接入網(wǎng)絡(luò)；

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文10：EAP-Success

NAS設(shè)備通過EAP-Success報(bào)文通知SU認(rèn)證成功，可以接入網(wǎng)絡(luò)；EAPCode=3：NAS設(shè)備通知SU允許接入，是EAP-Success報(bào)文；

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文11：RADIUSAccounting-Request客戶端認(rèn)證通過后，NAS開始向RADIUS服務(wù)器發(fā)起計(jì)費(fèi)請求報(bào)文，要求對(duì)這個(gè)用戶進(jìn)行計(jì)費(fèi)處理；UDPDestinationPort=1813：UDP的端口號(hào)為1813，說明這個(gè)一個(gè)RADIUS計(jì)費(fèi)報(bào)文；RADIUSCode=4：說明這個(gè)一個(gè)計(jì)費(fèi)請求Accounting-Request報(bào)文；RADIUSAcct-Status-Type=1：說明這是一個(gè)計(jì)費(fèi)開始請求報(bào)文，習(xí)慣上稱為Accounting-Start；RADIUS系統(tǒng)下用戶認(rèn)證過程

RADIUS系統(tǒng)下用戶認(rèn)證過程

報(bào)文12：RADIUSAccounting-Response

RADIUS服務(wù)器對(duì)該用戶進(jìn)行計(jì)費(fèi)處理后，對(duì)NAS設(shè)備通過Accounting-Response報(bào)文響應(yīng)；