RADIUS協(xié)議原理及應(yīng)用.ppt_第1頁
RADIUS協(xié)議原理及應(yīng)用.ppt_第2頁
RADIUS協(xié)議原理及應(yīng)用.ppt_第3頁
RADIUS協(xié)議原理及應(yīng)用.ppt_第4頁
RADIUS協(xié)議原理及應(yīng)用.ppt_第5頁
已閱讀5頁,還剩51頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、RADIUS協(xié)議原理及應(yīng)用培訓(xùn)組 趙儉,銳捷網(wǎng)絡(luò)技術(shù)培訓(xùn)系列課程-(中級),培訓(xùn)目標(biāo),了解RADIUS協(xié)議基本概念; 熟悉RADIUS協(xié)議報文結(jié)構(gòu); 熟悉RADIUS協(xié)議工作原理;,提綱,RADIUS協(xié)議介紹 RADIUS協(xié)議報文結(jié)構(gòu) NAS設(shè)備RADIUS部分配置 RADIUS系統(tǒng)下用戶認(rèn)證過程,前言,企業(yè)要求只有授權(quán)的用戶才能訪問自己的內(nèi)部網(wǎng)絡(luò),教育網(wǎng)采取根據(jù)流量計費的策略,VOD系統(tǒng)根據(jù)點播的時間收費等等。這些最常見的網(wǎng)絡(luò)應(yīng)用卻面臨一個同樣的問題:如何對用戶進行認(rèn)證和計費? 一種常見的認(rèn)證計費方法RADIUS協(xié)議會幫助我們解決這些問題。RADIUS是目前最常用的認(rèn)證計費協(xié)議之一,它簡單安

2、全,易于管理,擴展性好,所以得到廣泛應(yīng)用。,RADIUS協(xié)議簡介,RADIUS ( Remote Authentication Dial In User Service )是遠程認(rèn)證撥號用戶服務(wù)的簡稱,是一種C/S結(jié)構(gòu)的協(xié)議。RADIUS原先設(shè)計的目的是為撥號用戶進行認(rèn)證和計費。后來經(jīng)過多次改進,形成了一項通用的認(rèn)證計費協(xié)議,與AAA配合主要完成在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計費和配置信息。,RADIUS協(xié)議簡介,Authentication,Authorization,and Accounting三種安全功能,簡稱AAA。 Authentication 認(rèn)證,用于判定用戶是否

3、可以獲得訪問權(quán),限制非法用戶; Authorization 授權(quán),授權(quán)用戶可以使用哪些服務(wù),控制合法用戶的權(quán)限; Accounting 計賬,記錄用戶使用網(wǎng)絡(luò)資源的情況,為收費提供依據(jù);,RADIUS協(xié)議簡介,RADIUS協(xié)議具有以下特點: 客戶端/服務(wù)器結(jié)構(gòu); 采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性; 良好的可擴展性; 認(rèn)證機制靈活; RADIUS 協(xié)議承載于UDP 之上,官方指定端口號為認(rèn)證授權(quán)端口1812、計費端口1813。RADIUS協(xié)議在RFC2865、RFC2866中定義。銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)和NAS設(shè)備之間的通訊,采用的是RADIUS協(xié)議。由于RADIUS協(xié)議的良好擴展性,很多廠家對

4、RADIUS作了擴展,我們公司也對其進行了擴展。,RADIUS協(xié)議簡介,AAA的工作過程可以分為如下幾步: 終端用戶(客戶端系統(tǒng))向NAS設(shè)備發(fā)出網(wǎng)絡(luò)連接請求; NAS收集用戶輸入的用戶名和口令,并轉(zhuǎn)發(fā)給AAA服務(wù)器; AAA服務(wù)器按照一定算法和自身數(shù)據(jù)庫信息匹配,然后將結(jié)果返回給NAS設(shè)備,可能是接受、拒絕或其它(如challenge); NAS設(shè)備根據(jù)返回的結(jié)果決定接通或者斷開終端用戶; 如果認(rèn)證通過繼續(xù)以下步驟; 服務(wù)器對用戶進行授權(quán),NAS設(shè)備根據(jù)授權(quán)結(jié)果對用戶上網(wǎng)環(huán)境進行配置; 如需計費,NAS設(shè)備將在用戶上下線及上網(wǎng)期間內(nèi)收集用戶網(wǎng)絡(luò)資源使用情況,將數(shù)據(jù)送交記帳服務(wù)器; 13916

5、630329,RADIUS協(xié)議報文結(jié)構(gòu),數(shù)據(jù)鏈路層,IP網(wǎng)絡(luò)層,UDP,物理層,TCP,RADIUS,RADIUS協(xié)議在報文中的位置,RADIUS協(xié)議報文結(jié)構(gòu),Radius協(xié)議報文格式 RADIUS報文格式如下圖所示,各域內(nèi)容按照從左向右傳送 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+

6、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,Code確定RADIUS數(shù)據(jù)包的類型,編碼如下: 1 接入請求(Access-Request) 2 接入允許(

7、Access-Accept) 3 接入拒絕(Access-Reject) 4 記賬請求(Accounting-Request) 5 記賬回應(yīng)(Accounting-Response) 11接入詢問(Access-Challenge) 12服務(wù)器狀態(tài)(Status-Server (experimental) 13客戶機狀態(tài)(Status-Client (experimental) 255保留(Reserved),RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,標(biāo)識符域:一個字節(jié),用于匹配請求與回應(yīng)。如果在一個很短的時間片段里

8、,一個請求有相同的客戶源IP地址、源UDP端口號和標(biāo)識符,RADIUS服務(wù)器會認(rèn)為這是上一個重復(fù)的請求。,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,長度域:兩個字節(jié),它指明了包括編碼、標(biāo)識符、長度、鑒別碼和屬性域在內(nèi)的數(shù)據(jù)包的長度。在數(shù)據(jù)包長度以外的字節(jié)位必須以填充數(shù)對待,在接收時忽略它。如果包的長度比指定的短,則此包會被直接丟棄。,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,認(rèn)證字域:十六個字節(jié)。用于Radius Client和Server

9、之間消息認(rèn)證的有效性,和密碼隱藏算法。,RADIUS協(xié)議報文結(jié)構(gòu),Code,Identifier,Length,Authenticator,Attribute,類型域: 一個字節(jié),后邊有詳細的列表; 長度域: 一個字節(jié),它指定了包括類型、長度和值域在內(nèi)的屬性長度; 值 域: 可以為零或者多個字節(jié),包括屬性的詳細信息。值域的格式和長度由域的類型和長度決定;,RADIUS協(xié)議報文結(jié)構(gòu),Attribute Type的值為1-255,分為三類: 標(biāo)準(zhǔn)屬性 Radius最基本的屬性定義在RFC2865和RFC2866中,如用戶名、密碼、計費和常用授權(quán)信息等; 擴展標(biāo)準(zhǔn)屬性 RFC2867-2869是Ra

10、dius的擴展協(xié)議,在其中定義了一些針對特殊應(yīng)用(如支持隧道應(yīng)用、支持EAP等)的屬性; 擴展私有屬性 即26號屬性,屬性值由廠商自己定義;,RADIUS報文格式,1 用戶名 User-Name 2 用戶密碼 User-Password 3 CHAP密碼 CHAP-Password 4 NAS IP地址 NAS-IP-Address 5 NAS端口 NAS-Port 6 服務(wù)類型 Service-Type 7 幀協(xié)議 Framed-Protocol 8 分幀IP地址配置 Framed-IP-Address 9 IP網(wǎng)絡(luò)掩碼配置 Framed-IP-Netmask 10 路由方法配置 Frame

11、d-Routing 11 篩選器標(biāo)識 Filter-Id 12 最大傳輸單元配置 Framed-MTU 13 壓縮協(xié)議配置 Framed-Compression 14 登錄的主機IP 地址 Login-IP-Host 15 登錄的服務(wù) Login-Service 16 登錄的TCP端口 Login-TCP-Port 17 未分配 (unassigned) 18 回復(fù)消息 Reply-Message 19 回叫電話號碼 Callback-Number 20 回叫ID Callback-Id 21 未分配 (unassigned) 22 路由配置 Framed-Route,23 IPX網(wǎng)絡(luò)數(shù)字配置

12、 Framed-IPX-Network 24 狀態(tài) State 25 類別 Class 26 供應(yīng)商細節(jié) Vendor-Specific 27 會話時限 Session-Timeout 28 空閑時限 Idle-Timeout 29 終止動作 Termination-Action 30 用戶撥打的電話號碼 Called-Station-Id 31 用戶打出的電話號碼 Calling-Station-Id 32 網(wǎng)絡(luò)接入服務(wù)器標(biāo)識符 NAS-Identifier 33 代理狀態(tài) Proxy-State 34 登錄的LAT服務(wù) Login-LAT-Service 35 登錄的LAT節(jié)點 Login

13、-LAT-Node 36 登錄的LAT組 Login-LAT-Group 37 AppleTalk鏈路配置 Framed-AppleTalk-Link 38 AppleTalk網(wǎng)絡(luò)配置 Framed-AppleTalk-Network 39 AppleTalk區(qū)域配置 Framed-AppleTalk-Zone 40-59 為記賬保留 (reserved for accounting) 60 CHAP盤問 CHAP-Challenge 61 網(wǎng)絡(luò)接入服務(wù)器端口類型 NAS-Port-Type 62 端口數(shù)限制 Port-Limit 63 登錄的LAT端口 Login-LAT-Port,NAS設(shè)

14、備RADIUS部分配置,NAS設(shè)備RADIUS部分配置,S21和S35系列交換機為例 配置交換機與RADIUS SERVER 之間的通訊 Switch(config)#radius-server host 1.1.1.1 Switch(config)#radius-server key ruijie 交換機打開全局802.1X認(rèn)證開關(guān) Switch(config)#aaa authentication dot1x Switch(config)#end 配置交換機SNMP協(xié)議 Switch(config)#snmp-server community public rw,NAS設(shè)備RADIUS部分

15、配置,配置RADIUS記帳 Switch(config)#aaa accounting server 1.1.1.1 Switch(config)#aaa accounting 配置端口為認(rèn)證端口 Switch(config)#interface rang f 0/1-23 Switch(config-if)#dot1x port-control auto 啟動異常下線和記帳更新功能 Switch(config)#dot1x client-probe enable Switch(config)#dot1x accout-update-interval 600,RADIUS系統(tǒng)下用戶認(rèn)證過程,S

16、AM系統(tǒng)是銳捷網(wǎng)絡(luò)自主研發(fā)的集安全、認(rèn)證、計費和管理于為一體的網(wǎng)絡(luò)管理平臺,它是基于標(biāo)準(zhǔn)的RADIUS協(xié)議開發(fā)的,整個系統(tǒng)由以下三個部分組成: 懇請者(SU,安裝銳捷認(rèn)證客戶端軟件的PC); 認(rèn)證者(NAS,接入層交換機); 認(rèn)證服務(wù)器(RADIUS SERVER,RG-SAM); 下面從懇請者發(fā)起認(rèn)證認(rèn)證成功退出認(rèn)證的整個過程中,通過SNIFFER軟件抓取到的報文對每個過程作詳細分析;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文1:EAPOL-Start 首先由客戶端發(fā)起一個帶有組播目的MAC地址為“0180-C200-0003”的802.1X數(shù)據(jù)幀,其中802.1

17、X頭部TYPE類型值為1,標(biāo)明是EAPOL-Start報文,開始802.1X認(rèn)證接入請求; DLC Destination=“0180-C200-0003”,表示組播目的MAC地址,因為SU不知到NAS設(shè)備在哪里; DLC Ethertype=888E,表示鏈路層幀內(nèi)承載著802.1X報文; 802.1X Version =1 表示當(dāng)前的802.1X 協(xié)議版本是1; 802.1X Packet Type =1 指定是EAPOL-Start報文;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文2:EAP-Request/Identity NAS設(shè)備收到SU的EAPOL-St

18、art報文后,向SU發(fā)送EAP-Request/Identity報文,要求SU將用戶名送上來; 802.1X Packet Type =0, 表示802.1X報文承載著EAP報文; EAP報文中的Code=1, 表示是一個EAP-Request報文; EAP報文中的Identifier=1, 表示這個EAP-Request報文的標(biāo)識符1,這個值要和后面的EAP-Response Identifier一致; EAP Data 中的Type=1,表示要求SU將用戶名送上來;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文3:EAP-Response/Identity SU向N

19、AS設(shè)備回應(yīng)EAP-Response/Identity報文,其中包括用戶名信息; EAP code=2,表示是EAP-Response報文; EAP Identifier=1,表示是上一個EAP-Request請求的響應(yīng),因為和上一個EAP-Request的Identifier的值相同; EAP Type=1,表示EAP Date中包含用戶名信息; EAP Message=“l(fā)iufn”,表示用戶名是“l(fā)iufn”;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文4:RADIUS Access-Request NAS將SU送上來的“用戶名”信息封裝到RADIUS Acce

20、ss-Request報文中,發(fā)送給認(rèn)證服務(wù)器,同時這個報文中攜帶著客戶端IP、MAC、掩碼、網(wǎng)關(guān)、NAS IP、NAS端口等信息; UDP Destination Port=1812,UDP的端口號是1812,代表是一個RADIUS的認(rèn)證信; RADIUS Code=1,說明這是一個Access-Request請求認(rèn)證報文; RADIUS Identifier=1,表示Access-Request的標(biāo)識,要和后面相同標(biāo)識的Access-Response成對使用; RADIUS User-Name=“l(fā)iufn”,表示報文中攜帶用戶名信息; RADIUS NAS-IP-Address=“192.

21、168.0.1”,表示報文中攜帶NAS IP信息; ,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文5:RADIUS Access-Challenge RADIUS服務(wù)器收到上一個報文后,在數(shù)據(jù)庫中查找是否有此用戶,同時根據(jù)服務(wù)器的策略設(shè)置,是否來匹配NAS IP、NAS端口、用戶IP、用戶MAC等信息,如果通過,RADIUS服務(wù)器隨機產(chǎn)生一個加密字,用隨機產(chǎn)生的加密字和數(shù)據(jù)庫中用戶的口令進行MD5加密運算,得出一個結(jié)果。同時將隨機產(chǎn)生的加密字通過RADIUS Access-Challenge報文發(fā)送給NAS設(shè)備; RADIUS code=11:表示是Access-Cha

22、llenge挑戰(zhàn)報文; RADIUS Message-Authenticator=“xxxx”:表示RADIUS服務(wù)器隨機產(chǎn)生的加密字;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文6:EAP-Request/MD5-Challenge NAS設(shè)備將收到RADIUS服務(wù)器的“隨機加密字”,然后封裝到EAP-Request/MD5-Challenge報文中發(fā)送給SU,要求SU進行認(rèn)證; EAP Type=4:表示這是一個MD5挑戰(zhàn); EAP Value=“xxxx”:表示RADIUS隨機產(chǎn)生的加密字;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文7

23、:EAP-Response/MD5-Challenge 客戶端收到EAP-Request/MD5-Challenge報文后,將用戶輸入的密碼和隨機字做MD5運算,將結(jié)果通EAP-Response/MD5-Challenge回應(yīng)給NAS設(shè)備; EAP Value=“yyyy”:表示加密后的口令;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文8:RADIUS Access-Request NAS設(shè)備通過Access-Challenge報文,將SU送上來的加密口令上傳給RADIUS服務(wù)器; RADIUS Code=1:表示是一個Access-R

24、equest報文; RADIUS Message-Authenticator=“yyyy”:表示上傳給RADIUS的加密口令;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文9:RADIUS Access-Accept RADIUS服務(wù)器將SU產(chǎn)生的加密字和自己運算的結(jié)果進行比較,看是否一致,判斷用戶是否合法。然后回應(yīng)認(rèn)證成功/失敗報文到NAS設(shè)備; RADIUS Code=2:表示是一個Access-Accept報文,通知NAS允許這個用戶接入網(wǎng)絡(luò);,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文10:EAP-Success NAS設(shè)備通過EAP-

25、Success報文通知SU認(rèn)證成功,可以接入網(wǎng)絡(luò); EAP Code=3:NAS設(shè)備通知SU允許接入,是EAP-Success報文;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文11:RADIUS Accounting-Request 客戶端認(rèn)證通過后,NAS開始向RADIUS服務(wù)器發(fā)起計費請求報文,要求對這個用戶進行計費處理; UDP Destination Port=1813:UDP的端口號為1813,說明這個一個RADIUS計費報文; RADIUS Code=4:說明這個一個計費請求Accounting-Request報文; RADIUS Acct-Status-Type=1:說明這是一個計費開始請求報文,習(xí)慣上稱為Accounting-Start;,RADIUS系統(tǒng)下用戶認(rèn)證過程,RADIUS系統(tǒng)下用戶認(rèn)證過程,報文12:RADIUS

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論