RADIUS協(xié)議原理及應(yīng)用.ppt

1、RADIUS協(xié)議原理及應(yīng)用培訓(xùn)組 趙儉,銳捷網(wǎng)絡(luò)技術(shù)培訓(xùn)系列課程-（中級(jí)）,培訓(xùn)目標(biāo),了解RADIUS協(xié)議基本概念； 熟悉RADIUS協(xié)議報(bào)文結(jié)構(gòu)； 熟悉RADIUS協(xié)議工作原理；,提綱,RADIUS協(xié)議介紹 RADIUS協(xié)議報(bào)文結(jié)構(gòu) NAS設(shè)備RADIUS部分配置 RADIUS系統(tǒng)下用戶認(rèn)證過程,前言,企業(yè)要求只有授權(quán)的用戶才能訪問自己的內(nèi)部網(wǎng)絡(luò)，教育網(wǎng)采取根據(jù)流量計(jì)費(fèi)的策略，VOD系統(tǒng)根據(jù)點(diǎn)播的時(shí)間收費(fèi)等等。這些最常見的網(wǎng)絡(luò)應(yīng)用卻面臨一個(gè)同樣的問題：如何對(duì)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)？ 一種常見的認(rèn)證計(jì)費(fèi)方法RADIUS協(xié)議會(huì)幫助我們解決這些問題。RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一，它簡(jiǎn)單安

2、全，易于管理，擴(kuò)展性好，所以得到廣泛應(yīng)用。,RADIUS協(xié)議簡(jiǎn)介,RADIUS ( Remote Authentication Dial In User Service )是遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)的簡(jiǎn)稱，是一種C/S結(jié)構(gòu)的協(xié)議。RADIUS原先設(shè)計(jì)的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議，與AAA配合主要完成在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計(jì)費(fèi)和配置信息。,RADIUS協(xié)議簡(jiǎn)介,Authentication，Authorization，and Accounting三種安全功能，簡(jiǎn)稱AAA。 Authentication 認(rèn)證，用于判定用戶是否

3、可以獲得訪問權(quán)，限制非法用戶； Authorization 授權(quán)，授權(quán)用戶可以使用哪些服務(wù)，控制合法用戶的權(quán)限； Accounting 計(jì)賬，記錄用戶使用網(wǎng)絡(luò)資源的情況,為收費(fèi)提供依據(jù)；,RADIUS協(xié)議簡(jiǎn)介,RADIUS協(xié)議具有以下特點(diǎn)： 客戶端/服務(wù)器結(jié)構(gòu)； 采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性； 良好的可擴(kuò)展性； 認(rèn)證機(jī)制靈活； RADIUS 協(xié)議承載于UDP 之上，官方指定端口號(hào)為認(rèn)證授權(quán)端口1812、計(jì)費(fèi)端口1813。RADIUS協(xié)議在RFC2865、RFC2866中定義。銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)和NAS設(shè)備之間的通訊，采用的是RADIUS協(xié)議。由于RADIUS協(xié)議的良好擴(kuò)展性,很多廠家對(duì)

4、RADIUS作了擴(kuò)展，我們公司也對(duì)其進(jìn)行了擴(kuò)展。,RADIUS協(xié)議簡(jiǎn)介,AAA的工作過程可以分為如下幾步： 終端用戶（客戶端系統(tǒng)）向NAS設(shè)備發(fā)出網(wǎng)絡(luò)連接請(qǐng)求； NAS收集用戶輸入的用戶名和口令，并轉(zhuǎn)發(fā)給AAA服務(wù)器； AAA服務(wù)器按照一定算法和自身數(shù)據(jù)庫信息匹配，然后將結(jié)果返回給NAS設(shè)備，可能是接受、拒絕或其它（如challenge）； NAS設(shè)備根據(jù)返回的結(jié)果決定接通或者斷開終端用戶； 如果認(rèn)證通過繼續(xù)以下步驟； 服務(wù)器對(duì)用戶進(jìn)行授權(quán)，NAS設(shè)備根據(jù)授權(quán)結(jié)果對(duì)用戶上網(wǎng)環(huán)境進(jìn)行配置； 如需計(jì)費(fèi)，NAS設(shè)備將在用戶上下線及上網(wǎng)期間內(nèi)收集用戶網(wǎng)絡(luò)資源使用情況，將數(shù)據(jù)送交記帳服務(wù)器； 13916

5、630329,RADIUS協(xié)議報(bào)文結(jié)構(gòu),數(shù)據(jù)鏈路層,IP網(wǎng)絡(luò)層,UDP,物理層,TCP,RADIUS,RADIUS協(xié)議在報(bào)文中的位置,RADIUS協(xié)議報(bào)文結(jié)構(gòu),Radius協(xié)議報(bào)文格式 RADIUS報(bào)文格式如下圖所示，各域內(nèi)容按照從左向右傳送 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+

6、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS協(xié)議報(bào)文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,Code確定RADIUS數(shù)據(jù)包的類型，編碼如下： 1 接入請(qǐng)求(Access-Request） 2 接入允許(

7、Access-Accept) 3 接入拒絕(Access-Reject) 4 記賬請(qǐng)求(Accounting-Request) 5 記賬回應(yīng)(Accounting-Response) 11接入詢問(Access-Challenge) 12服務(wù)器狀態(tài)(Status-Server (experimental) 13客戶機(jī)狀態(tài)(Status-Client (experimental) 255保留(Reserved),RADIUS協(xié)議報(bào)文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,標(biāo)識(shí)符域：一個(gè)字節(jié)，用于匹配請(qǐng)求與回應(yīng)。如果在一個(gè)很短的時(shí)間片段里

8、，一個(gè)請(qǐng)求有相同的客戶源IP地址、源UDP端口號(hào)和標(biāo)識(shí)符，RADIUS服務(wù)器會(huì)認(rèn)為這是上一個(gè)重復(fù)的請(qǐng)求。,RADIUS協(xié)議報(bào)文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,長(zhǎng)度域：兩個(gè)字節(jié)，它指明了包括編碼、標(biāo)識(shí)符、長(zhǎng)度、鑒別碼和屬性域在內(nèi)的數(shù)據(jù)包的長(zhǎng)度。在數(shù)據(jù)包長(zhǎng)度以外的字節(jié)位必須以填充數(shù)對(duì)待，在接收時(shí)忽略它。如果包的長(zhǎng)度比指定的短，則此包會(huì)被直接丟棄。,RADIUS協(xié)議報(bào)文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,認(rèn)證字域：十六個(gè)字節(jié)。用于Radius Client和Server

9、之間消息認(rèn)證的有效性，和密碼隱藏算法。,RADIUS協(xié)議報(bào)文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,類型域： 一個(gè)字節(jié)，后邊有詳細(xì)的列表； 長(zhǎng)度域： 一個(gè)字節(jié)，它指定了包括類型、長(zhǎng)度和值域在內(nèi)的屬性長(zhǎng)度； 值 域： 可以為零或者多個(gè)字節(jié)，包括屬性的詳細(xì)信息。值域的格式和長(zhǎng)度由域的類型和長(zhǎng)度決定；,RADIUS協(xié)議報(bào)文結(jié)構(gòu),Attribute Type的值為1-255，分為三類： 標(biāo)準(zhǔn)屬性 Radius最基本的屬性定義在RFC2865和RFC2866中，如用戶名、密碼、計(jì)費(fèi)和常用授權(quán)信息等； 擴(kuò)展標(biāo)準(zhǔn)屬性 RFC2867-2869是Ra

10、dius的擴(kuò)展協(xié)議，在其中定義了一些針對(duì)特殊應(yīng)用（如支持隧道應(yīng)用、支持EAP等）的屬性； 擴(kuò)展私有屬性 即26號(hào)屬性，屬性值由廠商自己定義；,RADIUS報(bào)文格式,1 用戶名 User-Name 2 用戶密碼 User-Password 3 CHAP密碼 CHAP-Password 4 NAS IP地址 NAS-IP-Address 5 NAS端口 NAS-Port 6 服務(wù)類型 Service-Type 7 幀協(xié)議 Framed-Protocol 8 分幀IP地址配置 Framed-IP-Address 9 IP網(wǎng)絡(luò)掩碼配置 Framed-IP-Netmask 10 路由方法配置 Frame

11、d-Routing 11 篩選器標(biāo)識(shí) Filter-Id 12 最大傳輸單元配置 Framed-MTU 13 壓縮協(xié)議配置 Framed-Compression 14 登錄的主機(jī)IP 地址 Login-IP-Host 15 登錄的服務(wù) Login-Service 16 登錄的TCP端口 Login-TCP-Port 17 未分配 (unassigned) 18 回復(fù)消息 Reply-Message 19 回叫電話號(hào)碼 Callback-Number 20 回叫ID Callback-Id 21 未分配 (unassigned) 22 路由配置 Framed-Route,23 IPX網(wǎng)絡(luò)數(shù)字配置

12、 Framed-IPX-Network 24 狀態(tài) State 25 類別 Class 26 供應(yīng)商細(xì)節(jié) Vendor-Specific 27 會(huì)話時(shí)限 Session-Timeout 28 空閑時(shí)限 Idle-Timeout 29 終止動(dòng)作 Termination-Action 30 用戶撥打的電話號(hào)碼 Called-Station-Id 31 用戶打出的電話號(hào)碼 Calling-Station-Id 32 網(wǎng)絡(luò)接入服務(wù)器標(biāo)識(shí)符 NAS-Identifier 33 代理狀態(tài) Proxy-State 34 登錄的LAT服務(wù) Login-LAT-Service 35 登錄的LAT節(jié)點(diǎn) Login

13、-LAT-Node 36 登錄的LAT組 Login-LAT-Group 37 AppleTalk鏈路配置 Framed-AppleTalk-Link 38 AppleTalk網(wǎng)絡(luò)配置 Framed-AppleTalk-Network 39 AppleTalk區(qū)域配置 Framed-AppleTalk-Zone 40-59 為記賬保留 (reserved for accounting) 60 CHAP盤問 CHAP-Challenge 61 網(wǎng)絡(luò)接入服務(wù)器端口類型 NAS-Port-Type 62 端口數(shù)限制 Port-Limit 63 登錄的LAT端口 Login-LAT-Port,NAS設(shè)

14、備RADIUS部分配置,NAS設(shè)備RADIUS部分配置，S21和S35系列交換機(jī)為例 配置交換機(jī)與RADIUS SERVER 之間的通訊 Switch(config)#radius-server host 1.1.1.1 Switch(config)#radius-server key ruijie 交換機(jī)打開全局802.1X認(rèn)證開關(guān) Switch(config)#aaa authentication dot1x Switch(config)#end 配置交換機(jī)SNMP協(xié)議 Switch(config)#snmp-server community public rw,NAS設(shè)備RADIUS部分

15、配置,配置RADIUS記帳 Switch(config)#aaa accounting server 1.1.1.1 Switch(config)#aaa accounting 配置端口為認(rèn)證端口 Switch(config)#interface rang f 0/1-23 Switch(config-if)#dot1x port-control auto 啟動(dòng)異常下線和記帳更新功能 Switch(config)#dot1x client-probe enable Switch(config)#dot1x accout-update-interval 600,RADIUS系統(tǒng)下用戶認(rèn)證過程,S

16、AM系統(tǒng)是銳捷網(wǎng)絡(luò)自主研發(fā)的集安全、認(rèn)證、計(jì)費(fèi)和管理于為一體的網(wǎng)絡(luò)管理平臺(tái)，它是基于標(biāo)準(zhǔn)的RADIUS協(xié)議開發(fā)的，整個(gè)系統(tǒng)由以下三個(gè)部分組成： 懇請(qǐng)者（SU，安裝銳捷認(rèn)證客戶端軟件的PC）； 認(rèn)證者（NAS，接入層交換機(jī))； 認(rèn)證服務(wù)器(RADIUS SERVER，RG-SAM)； 下面從懇請(qǐng)者發(fā)起認(rèn)證認(rèn)證成功退出認(rèn)證的整個(gè)過程中，通過SNIFFER軟件抓取到的報(bào)文對(duì)每個(gè)過程作詳細(xì)分析；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文1：EAPOL-Start 首先由客戶端發(fā)起一個(gè)帶有組播目的MAC地址為“0180-C200-0003”的802.1X數(shù)據(jù)幀，其中802.1

17、X頭部TYPE類型值為1，標(biāo)明是EAPOL-Start報(bào)文，開始802.1X認(rèn)證接入請(qǐng)求； DLC Destination=“0180-C200-0003”，表示組播目的MAC地址，因?yàn)镾U不知到NAS設(shè)備在哪里； DLC Ethertype=888E，表示鏈路層幀內(nèi)承載著802.1X報(bào)文； 802.1X Version =1 表示當(dāng)前的802.1X 協(xié)議版本是1； 802.1X Packet Type =1 指定是EAPOL-Start報(bào)文；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文2：EAP-Request/Identity NAS設(shè)備收到SU的EAPOL-St

18、art報(bào)文后，向SU發(fā)送EAP-Request/Identity報(bào)文，要求SU將用戶名送上來； 802.1X Packet Type =0， 表示802.1X報(bào)文承載著EAP報(bào)文； EAP報(bào)文中的Code=1， 表示是一個(gè)EAP-Request報(bào)文； EAP報(bào)文中的Identifier=1， 表示這個(gè)EAP-Request報(bào)文的標(biāo)識(shí)符1，這個(gè)值要和后面的EAP-Response Identifier一致； EAP Data 中的Type=1，表示要求SU將用戶名送上來；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文3：EAP-Response/Identity SU向N

19、AS設(shè)備回應(yīng)EAP-Response/Identity報(bào)文，其中包括用戶名信息； EAP code=2，表示是EAP-Response報(bào)文； EAP Identifier=1，表示是上一個(gè)EAP-Request請(qǐng)求的響應(yīng)，因?yàn)楹蜕弦粋€(gè)EAP-Request的Identifier的值相同； EAP Type=1，表示EAP Date中包含用戶名信息； EAP Message=“l(fā)iufn”，表示用戶名是“l(fā)iufn”；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文4：RADIUS Access-Request NAS將SU送上來的“用戶名”信息封裝到RADIUS Acce

20、ss-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器，同時(shí)這個(gè)報(bào)文中攜帶著客戶端IP、MAC、掩碼、網(wǎng)關(guān)、NAS IP、NAS端口等信息； UDP Destination Port=1812，UDP的端口號(hào)是1812，代表是一個(gè)RADIUS的認(rèn)證信； RADIUS Code=1，說明這是一個(gè)Access-Request請(qǐng)求認(rèn)證報(bào)文； RADIUS Identifier=1，表示Access-Request的標(biāo)識(shí)，要和后面相同標(biāo)識(shí)的Access-Response成對(duì)使用； RADIUS User-Name=“l(fā)iufn”，表示報(bào)文中攜帶用戶名信息； RADIUS NAS-IP-Address=“192.

21、168.0.1”，表示報(bào)文中攜帶NAS IP信息； ,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文5：RADIUS Access-Challenge RADIUS服務(wù)器收到上一個(gè)報(bào)文后，在數(shù)據(jù)庫中查找是否有此用戶，同時(shí)根據(jù)服務(wù)器的策略設(shè)置，是否來匹配NAS IP、NAS端口、用戶IP、用戶MAC等信息，如果通過，RADIUS服務(wù)器隨機(jī)產(chǎn)生一個(gè)加密字，用隨機(jī)產(chǎn)生的加密字和數(shù)據(jù)庫中用戶的口令進(jìn)行MD5加密運(yùn)算，得出一個(gè)結(jié)果。同時(shí)將隨機(jī)產(chǎn)生的加密字通過RADIUS Access-Challenge報(bào)文發(fā)送給NAS設(shè)備； RADIUS code=11：表示是Access-Cha

22、llenge挑戰(zhàn)報(bào)文； RADIUS Message-Authenticator=“xxxx”：表示RADIUS服務(wù)器隨機(jī)產(chǎn)生的加密字；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文6：EAP-Request/MD5-Challenge NAS設(shè)備將收到RADIUS服務(wù)器的“隨機(jī)加密字”，然后封裝到EAP-Request/MD5-Challenge報(bào)文中發(fā)送給SU，要求SU進(jìn)行認(rèn)證； EAP Type=4：表示這是一個(gè)MD5挑戰(zhàn)； EAP Value=“xxxx”：表示RADIUS隨機(jī)產(chǎn)生的加密字；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文7

23、：EAP-Response/MD5-Challenge 客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將用戶輸入的密碼和隨機(jī)字做MD5運(yùn)算，將結(jié)果通EAP-Response/MD5-Challenge回應(yīng)給NAS設(shè)備； EAP Value=“yyyy”：表示加密后的口令；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文8：RADIUS Access-Request NAS設(shè)備通過Access-Challenge報(bào)文，將SU送上來的加密口令上傳給RADIUS服務(wù)器； RADIUS Code=1：表示是一個(gè)Access-R

24、equest報(bào)文； RADIUS Message-Authenticator=“yyyy”：表示上傳給RADIUS的加密口令；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文9：RADIUS Access-Accept RADIUS服務(wù)器將SU產(chǎn)生的加密字和自己運(yùn)算的結(jié)果進(jìn)行比較，看是否一致，判斷用戶是否合法。然后回應(yīng)認(rèn)證成功/失敗報(bào)文到NAS設(shè)備； RADIUS Code=2：表示是一個(gè)Access-Accept報(bào)文，通知NAS允許這個(gè)用戶接入網(wǎng)絡(luò)；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文10：EAP-Success NAS設(shè)備通過EAP-

25、Success報(bào)文通知SU認(rèn)證成功，可以接入網(wǎng)絡(luò)； EAP Code=3：NAS設(shè)備通知SU允許接入，是EAP-Success報(bào)文；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文11：RADIUS Accounting-Request 客戶端認(rèn)證通過后，NAS開始向RADIUS服務(wù)器發(fā)起計(jì)費(fèi)請(qǐng)求報(bào)文，要求對(duì)這個(gè)用戶進(jìn)行計(jì)費(fèi)處理； UDP Destination Port=1813：UDP的端口號(hào)為1813，說明這個(gè)一個(gè)RADIUS計(jì)費(fèi)報(bào)文； RADIUS Code=4：說明這個(gè)一個(gè)計(jì)費(fèi)請(qǐng)求Accounting-Request報(bào)文； RADIUS Acct-Status-Type=1：說明這是一個(gè)計(jì)費(fèi)開始請(qǐng)求報(bào)文，習(xí)慣上稱為Accounting-Start；,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報(bào)文12：RADIUS