RADIUS協(xié)議原理及應(yīng)用.ppt

1、RADIUS協(xié)議原理及應(yīng)用培訓(xùn)組 趙儉,銳捷網(wǎng)絡(luò)技術(shù)培訓(xùn)系列課程-（中級）,培訓(xùn)目標(biāo),了解RADIUS協(xié)議基本概念； 熟悉RADIUS協(xié)議報文結(jié)構(gòu)； 熟悉RADIUS協(xié)議工作原理；,提綱,RADIUS協(xié)議介紹 RADIUS協(xié)議報文結(jié)構(gòu) NAS設(shè)備RADIUS部分配置 RADIUS系統(tǒng)下用戶認(rèn)證過程,前言,企業(yè)要求只有授權(quán)的用戶才能訪問自己的內(nèi)部網(wǎng)絡(luò)，教育網(wǎng)采取根據(jù)流量計費的策略，VOD系統(tǒng)根據(jù)點播的時間收費等等。這些最常見的網(wǎng)絡(luò)應(yīng)用卻面臨一個同樣的問題：如何對用戶進行認(rèn)證和計費？ 一種常見的認(rèn)證計費方法RADIUS協(xié)議會幫助我們解決這些問題。RADIUS是目前最常用的認(rèn)證計費協(xié)議之一，它簡單安

2、全，易于管理，擴展性好，所以得到廣泛應(yīng)用。,RADIUS協(xié)議簡介,RADIUS ( Remote Authentication Dial In User Service )是遠程認(rèn)證撥號用戶服務(wù)的簡稱，是一種C/S結(jié)構(gòu)的協(xié)議。RADIUS原先設(shè)計的目的是為撥號用戶進行認(rèn)證和計費。后來經(jīng)過多次改進，形成了一項通用的認(rèn)證計費協(xié)議，與AAA配合主要完成在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計費和配置信息。,RADIUS協(xié)議簡介,Authentication，Authorization，and Accounting三種安全功能，簡稱AAA。 Authentication 認(rèn)證，用于判定用戶是否

3、可以獲得訪問權(quán)，限制非法用戶； Authorization 授權(quán)，授權(quán)用戶可以使用哪些服務(wù)，控制合法用戶的權(quán)限； Accounting 計賬，記錄用戶使用網(wǎng)絡(luò)資源的情況,為收費提供依據(jù)；,RADIUS協(xié)議簡介,RADIUS協(xié)議具有以下特點： 客戶端/服務(wù)器結(jié)構(gòu)； 采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性； 良好的可擴展性； 認(rèn)證機制靈活； RADIUS 協(xié)議承載于UDP 之上，官方指定端口號為認(rèn)證授權(quán)端口1812、計費端口1813。RADIUS協(xié)議在RFC2865、RFC2866中定義。銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)和NAS設(shè)備之間的通訊，采用的是RADIUS協(xié)議。由于RADIUS協(xié)議的良好擴展性,很多廠家對

4、RADIUS作了擴展，我們公司也對其進行了擴展。,RADIUS協(xié)議簡介,AAA的工作過程可以分為如下幾步： 終端用戶（客戶端系統(tǒng)）向NAS設(shè)備發(fā)出網(wǎng)絡(luò)連接請求； NAS收集用戶輸入的用戶名和口令，并轉(zhuǎn)發(fā)給AAA服務(wù)器； AAA服務(wù)器按照一定算法和自身數(shù)據(jù)庫信息匹配，然后將結(jié)果返回給NAS設(shè)備，可能是接受、拒絕或其它（如challenge）； NAS設(shè)備根據(jù)返回的結(jié)果決定接通或者斷開終端用戶； 如果認(rèn)證通過繼續(xù)以下步驟； 服務(wù)器對用戶進行授權(quán)，NAS設(shè)備根據(jù)授權(quán)結(jié)果對用戶上網(wǎng)環(huán)境進行配置； 如需計費，NAS設(shè)備將在用戶上下線及上網(wǎng)期間內(nèi)收集用戶網(wǎng)絡(luò)資源使用情況，將數(shù)據(jù)送交記帳服務(wù)器； 13916

5、630329,RADIUS協(xié)議報文結(jié)構(gòu),數(shù)據(jù)鏈路層,IP網(wǎng)絡(luò)層,UDP,物理層,TCP,RADIUS,RADIUS協(xié)議在報文中的位置,RADIUS協(xié)議報文結(jié)構(gòu),Radius協(xié)議報文格式 RADIUS報文格式如下圖所示，各域內(nèi)容按照從左向右傳送 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+

6、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,Code確定RADIUS數(shù)據(jù)包的類型，編碼如下： 1 接入請求(Access-Request） 2 接入允許(

7、Access-Accept) 3 接入拒絕(Access-Reject) 4 記賬請求(Accounting-Request) 5 記賬回應(yīng)(Accounting-Response) 11接入詢問(Access-Challenge) 12服務(wù)器狀態(tài)(Status-Server (experimental) 13客戶機狀態(tài)(Status-Client (experimental) 255保留(Reserved),RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,標(biāo)識符域：一個字節(jié)，用于匹配請求與回應(yīng)。如果在一個很短的時間片段里

8、，一個請求有相同的客戶源IP地址、源UDP端口號和標(biāo)識符，RADIUS服務(wù)器會認(rèn)為這是上一個重復(fù)的請求。,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,長度域：兩個字節(jié)，它指明了包括編碼、標(biāo)識符、長度、鑒別碼和屬性域在內(nèi)的數(shù)據(jù)包的長度。在數(shù)據(jù)包長度以外的字節(jié)位必須以填充數(shù)對待，在接收時忽略它。如果包的長度比指定的短，則此包會被直接丟棄。,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,認(rèn)證字域：十六個字節(jié)。用于Radius Client和Server

9、之間消息認(rèn)證的有效性，和密碼隱藏算法。,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,類型域： 一個字節(jié)，后邊有詳細的列表； 長度域： 一個字節(jié)，它指定了包括類型、長度和值域在內(nèi)的屬性長度； 值 域： 可以為零或者多個字節(jié)，包括屬性的詳細信息。值域的格式和長度由域的類型和長度決定；,RADIUS協(xié)議報文結(jié)構(gòu),Attribute Type的值為1-255，分為三類： 標(biāo)準(zhǔn)屬性 Radius最基本的屬性定義在RFC2865和RFC2866中，如用戶名、密碼、計費和常用授權(quán)信息等； 擴展標(biāo)準(zhǔn)屬性 RFC2867-2869是Ra

10、dius的擴展協(xié)議，在其中定義了一些針對特殊應(yīng)用（如支持隧道應(yīng)用、支持EAP等）的屬性； 擴展私有屬性 即26號屬性，屬性值由廠商自己定義；,RADIUS報文格式,1 用戶名 User-Name 2 用戶密碼 User-Password 3 CHAP密碼 CHAP-Password 4 NAS IP地址 NAS-IP-Address 5 NAS端口 NAS-Port 6 服務(wù)類型 Service-Type 7 幀協(xié)議 Framed-Protocol 8 分幀IP地址配置 Framed-IP-Address 9 IP網(wǎng)絡(luò)掩碼配置 Framed-IP-Netmask 10 路由方法配置 Frame

11、d-Routing 11 篩選器標(biāo)識 Filter-Id 12 最大傳輸單元配置 Framed-MTU 13 壓縮協(xié)議配置 Framed-Compression 14 登錄的主機IP 地址 Login-IP-Host 15 登錄的服務(wù) Login-Service 16 登錄的TCP端口 Login-TCP-Port 17 未分配 (unassigned) 18 回復(fù)消息 Reply-Message 19 回叫電話號碼 Callback-Number 20 回叫ID Callback-Id 21 未分配 (unassigned) 22 路由配置 Framed-Route,23 IPX網(wǎng)絡(luò)數(shù)字配置

12、 Framed-IPX-Network 24 狀態(tài) State 25 類別 Class 26 供應(yīng)商細節(jié) Vendor-Specific 27 會話時限 Session-Timeout 28 空閑時限 Idle-Timeout 29 終止動作 Termination-Action 30 用戶撥打的電話號碼 Called-Station-Id 31 用戶打出的電話號碼 Calling-Station-Id 32 網(wǎng)絡(luò)接入服務(wù)器標(biāo)識符 NAS-Identifier 33 代理狀態(tài) Proxy-State 34 登錄的LAT服務(wù) Login-LAT-Service 35 登錄的LAT節(jié)點 Login

13、-LAT-Node 36 登錄的LAT組 Login-LAT-Group 37 AppleTalk鏈路配置 Framed-AppleTalk-Link 38 AppleTalk網(wǎng)絡(luò)配置 Framed-AppleTalk-Network 39 AppleTalk區(qū)域配置 Framed-AppleTalk-Zone 40-59 為記賬保留 (reserved for accounting) 60 CHAP盤問 CHAP-Challenge 61 網(wǎng)絡(luò)接入服務(wù)器端口類型 NAS-Port-Type 62 端口數(shù)限制 Port-Limit 63 登錄的LAT端口 Login-LAT-Port,NAS設(shè)

14、備RADIUS部分配置,NAS設(shè)備RADIUS部分配置，S21和S35系列交換機為例 配置交換機與RADIUS SERVER 之間的通訊 Switch(config)#radius-server host 1.1.1.1 Switch(config)#radius-server key ruijie 交換機打開全局802.1X認(rèn)證開關(guān) Switch(config)#aaa authentication dot1x Switch(config)#end 配置交換機SNMP協(xié)議 Switch(config)#snmp-server community public rw,NAS設(shè)備RADIUS部分

15、配置,配置RADIUS記帳 Switch(config)#aaa accounting server 1.1.1.1 Switch(config)#aaa accounting 配置端口為認(rèn)證端口 Switch(config)#interface rang f 0/1-23 Switch(config-if)#dot1x port-control auto 啟動異常下線和記帳更新功能 Switch(config)#dot1x client-probe enable Switch(config)#dot1x accout-update-interval 600,RADIUS系統(tǒng)下用戶認(rèn)證過程,S

16、AM系統(tǒng)是銳捷網(wǎng)絡(luò)自主研發(fā)的集安全、認(rèn)證、計費和管理于為一體的網(wǎng)絡(luò)管理平臺，它是基于標(biāo)準(zhǔn)的RADIUS協(xié)議開發(fā)的，整個系統(tǒng)由以下三個部分組成： 懇請者（SU，安裝銳捷認(rèn)證客戶端軟件的PC）； 認(rèn)證者（NAS，接入層交換機)； 認(rèn)證服務(wù)器(RADIUS SERVER，RG-SAM)； 下面從懇請者發(fā)起認(rèn)證認(rèn)證成功退出認(rèn)證的整個過程中，通過SNIFFER軟件抓取到的報文對每個過程作詳細分析；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文1：EAPOL-Start 首先由客戶端發(fā)起一個帶有組播目的MAC地址為“0180-C200-0003”的802.1X數(shù)據(jù)幀，其中802.1

17、X頭部TYPE類型值為1，標(biāo)明是EAPOL-Start報文，開始802.1X認(rèn)證接入請求； DLC Destination=“0180-C200-0003”，表示組播目的MAC地址，因為SU不知到NAS設(shè)備在哪里； DLC Ethertype=888E，表示鏈路層幀內(nèi)承載著802.1X報文； 802.1X Version =1 表示當(dāng)前的802.1X 協(xié)議版本是1； 802.1X Packet Type =1 指定是EAPOL-Start報文；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文2：EAP-Request/Identity NAS設(shè)備收到SU的EAPOL-St

18、art報文后，向SU發(fā)送EAP-Request/Identity報文，要求SU將用戶名送上來； 802.1X Packet Type =0， 表示802.1X報文承載著EAP報文； EAP報文中的Code=1， 表示是一個EAP-Request報文； EAP報文中的Identifier=1， 表示這個EAP-Request報文的標(biāo)識符1，這個值要和后面的EAP-Response Identifier一致； EAP Data 中的Type=1，表示要求SU將用戶名送上來；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文3：EAP-Response/Identity SU向N

19、AS設(shè)備回應(yīng)EAP-Response/Identity報文，其中包括用戶名信息； EAP code=2，表示是EAP-Response報文； EAP Identifier=1，表示是上一個EAP-Request請求的響應(yīng)，因為和上一個EAP-Request的Identifier的值相同； EAP Type=1，表示EAP Date中包含用戶名信息； EAP Message=“l(fā)iufn”，表示用戶名是“l(fā)iufn”；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文4：RADIUS Access-Request NAS將SU送上來的“用戶名”信息封裝到RADIUS Acce

20、ss-Request報文中，發(fā)送給認(rèn)證服務(wù)器，同時這個報文中攜帶著客戶端IP、MAC、掩碼、網(wǎng)關(guān)、NAS IP、NAS端口等信息； UDP Destination Port=1812，UDP的端口號是1812，代表是一個RADIUS的認(rèn)證信； RADIUS Code=1，說明這是一個Access-Request請求認(rèn)證報文； RADIUS Identifier=1，表示Access-Request的標(biāo)識，要和后面相同標(biāo)識的Access-Response成對使用； RADIUS User-Name=“l(fā)iufn”，表示報文中攜帶用戶名信息； RADIUS NAS-IP-Address=“192.

21、168.0.1”，表示報文中攜帶NAS IP信息； ,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文5：RADIUS Access-Challenge RADIUS服務(wù)器收到上一個報文后，在數(shù)據(jù)庫中查找是否有此用戶，同時根據(jù)服務(wù)器的策略設(shè)置，是否來匹配NAS IP、NAS端口、用戶IP、用戶MAC等信息，如果通過，RADIUS服務(wù)器隨機產(chǎn)生一個加密字，用隨機產(chǎn)生的加密字和數(shù)據(jù)庫中用戶的口令進行MD5加密運算，得出一個結(jié)果。同時將隨機產(chǎn)生的加密字通過RADIUS Access-Challenge報文發(fā)送給NAS設(shè)備； RADIUS code=11：表示是Access-Cha

22、llenge挑戰(zhàn)報文； RADIUS Message-Authenticator=“xxxx”：表示RADIUS服務(wù)器隨機產(chǎn)生的加密字；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文6：EAP-Request/MD5-Challenge NAS設(shè)備將收到RADIUS服務(wù)器的“隨機加密字”，然后封裝到EAP-Request/MD5-Challenge報文中發(fā)送給SU，要求SU進行認(rèn)證； EAP Type=4：表示這是一個MD5挑戰(zhàn)； EAP Value=“xxxx”：表示RADIUS隨機產(chǎn)生的加密字；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文7

23、：EAP-Response/MD5-Challenge 客戶端收到EAP-Request/MD5-Challenge報文后，將用戶輸入的密碼和隨機字做MD5運算，將結(jié)果通EAP-Response/MD5-Challenge回應(yīng)給NAS設(shè)備； EAP Value=“yyyy”：表示加密后的口令；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文8：RADIUS Access-Request NAS設(shè)備通過Access-Challenge報文，將SU送上來的加密口令上傳給RADIUS服務(wù)器； RADIUS Code=1：表示是一個Access-R

24、equest報文； RADIUS Message-Authenticator=“yyyy”：表示上傳給RADIUS的加密口令；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文9：RADIUS Access-Accept RADIUS服務(wù)器將SU產(chǎn)生的加密字和自己運算的結(jié)果進行比較，看是否一致，判斷用戶是否合法。然后回應(yīng)認(rèn)證成功/失敗報文到NAS設(shè)備； RADIUS Code=2：表示是一個Access-Accept報文，通知NAS允許這個用戶接入網(wǎng)絡(luò)；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文10：EAP-Success NAS設(shè)備通過EAP-

25、Success報文通知SU認(rèn)證成功，可以接入網(wǎng)絡(luò)； EAP Code=3：NAS設(shè)備通知SU允許接入，是EAP-Success報文；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文11：RADIUS Accounting-Request 客戶端認(rèn)證通過后，NAS開始向RADIUS服務(wù)器發(fā)起計費請求報文，要求對這個用戶進行計費處理； UDP Destination Port=1813：UDP的端口號為1813，說明這個一個RADIUS計費報文； RADIUS Code=4：說明這個一個計費請求Accounting-Request報文； RADIUS Acct-Status-Type=1：說明這是一個計費開始請求報文，習(xí)慣上稱為Accounting-Start；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文12：RADIUS