RADIUS協(xié)議原理.ppt_第1頁
RADIUS協(xié)議原理.ppt_第2頁
RADIUS協(xié)議原理.ppt_第3頁
RADIUS協(xié)議原理.ppt_第4頁
RADIUS協(xié)議原理.ppt_第5頁
已閱讀5頁,還剩19頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、RADIUS協(xié)議原理,安 騰 網(wǎng) 絡(luò) 2005.05,Radius協(xié)議概述,RADIUS(Remote Authentication Dial In User Service)協(xié)議最初是由Livingston公司提出的,原先的目的是為撥號用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn),形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS(Net Access Server)服務(wù)器,現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。 RADIUS協(xié)議認(rèn)證機(jī)制靈活,可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。 RADIUS是一種可擴(kuò)

2、展的協(xié)議,它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。 協(xié)議標(biāo)準(zhǔn):(rfc2138 rfc2139),目 錄,一、Radius協(xié)議概述 二、Radius報(bào)文格式 三、Radius報(bào)文交互過程 四、Radius協(xié)議相關(guān)配置 五、參考資料,包 格 式,0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Code | Identifier | Length |

3、 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Request Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,Radius報(bào)文類型,1 Access-Request 認(rèn)證請求 2 Access-Accept 認(rèn)證成功 3 Access-Reject 認(rèn)證拒絕 4 Accounting-Request 計(jì)費(fèi)請求 5 Accounti

4、ng-Response 計(jì)費(fèi)響應(yīng) 11 Access-Challenge 認(rèn)證提問 12 Status-Server (experimental) 13 Status-Client (experimental) 255 Reserved 保留使用,Radius報(bào)文交互過程(PAP認(rèn)證),Radius報(bào)文交互過程(CHAP認(rèn)證),Radius屬性格式,0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- | Type | Length | Value . +-+-+

5、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-,Radius屬性類型,1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression,Radius屬性填寫舉例,如果我們要填寫用戶名test 報(bào)文格式: |ty

6、pe|len|value| 填寫內(nèi)容: |0 x01|0 x06|0 x74657374|,Sniffer抓包的Radius報(bào)文,Radius Client相關(guān)配置命令(1),Amtium radius bauth/bacct/dupacct ip key 配置Radius Server的認(rèn)證和計(jì)費(fèi)服務(wù)器IP地址和key,其中auth為認(rèn)證服務(wù)器,acct為計(jì)費(fèi)服務(wù)器,bauth和bacct為備用認(rèn)證和計(jì)費(fèi)服務(wù)器,dupacct為對帳計(jì)費(fèi)服務(wù)器。 Amtium radius bauth/bacct/dupacct retry 配置radius認(rèn)證報(bào)文和計(jì)費(fèi)報(bào)文、對帳計(jì)費(fèi)報(bào)文在Radius Se

7、rver沒有響應(yīng)時(shí)的重傳次數(shù),默認(rèn)是3次。 Amtium radius bauth/bacct/dupacct timeout 配置radius認(rèn)證報(bào)文和計(jì)費(fèi)報(bào)文、對帳計(jì)費(fèi)報(bào)文在Radius Server沒有響應(yīng)時(shí)的報(bào)文重傳間隔,默認(rèn)時(shí)間間隔是10秒。,Radius Client相關(guān)配置命令(2),Amtium radius bauth/bacct/dupacct port 配置Radius協(xié)議認(rèn)證、計(jì)費(fèi)通信用端口號,原先老的Radius協(xié)議使用的認(rèn)證和計(jì)費(fèi)端口為1645,1646,新的Radius協(xié)議標(biāo)準(zhǔn)為1812,1813。eFlow BRAS系列產(chǎn)品在2005年4月以后的版本采用的默認(rèn)認(rèn)

8、證、計(jì)費(fèi)端口為1812,1813。 Amtium radius bauth/bacct/dupacct enable/disable 激活或者關(guān)閉BRAS的Radius client認(rèn)證或者計(jì)費(fèi)功能。 Amtium radius show 查看Radius Client相關(guān)配置參數(shù)。,Radius配置命令舉例(1),amtium#radius auth ip 192.168.0.111 key amtium amtium#radius auth port 1812 amtium#radius auth enable amtium#radius acct ip 192.168.0.111 key

9、 amtium amtium#radius acct port 1813 amtium#radius acct enable,Radius配置命令舉例(2),amtium#radius bauth ip 192.168.0.111 key amtium amtium#radius bauth port 1812 amtium#radius bauth enable amtium#radius bacct ip 192.168.0.111 key amtium amtium#radius bacct port 1813 amtium#radius bacct enable 注意:配置備份Radi

10、us Server時(shí)一定要主要和主Radius的相關(guān)配置對應(yīng)。,Radius配置命令舉例(3),Hostname# show radius ! Running Primary Server 表示當(dāng)前和主Radius Server之間通信 radius auth ip 192.168.1.6 key amtium radius auth port 1812 radius auth enable radius bauth not configured Running Primary Server 表示當(dāng)前和主Radius Server之間通信 radius acct ip 192.168.1.6

11、key amtium radius acct port 1813 radius acct enable radius bacct not configured radius dupacct not configured,Radius Server的設(shè)置,在linux啟動(dòng)radius,eflowlocalhost linux$ pwd /usr/eflow/linux(命令存放目錄) eflowlocalhost linux$ ./aaa.server Usage: ./aaa.server start|stop|restart|reconfig|check(用法) eflowlocalhost

12、 linux$ ./aaa.server start(啟動(dòng)radius),Radius 常見故障分析(1),Radius模塊基于C/S模型設(shè)計(jì),因此常見的故障就是Radius Client 和Radius Server之間的參數(shù)設(shè)置不一致導(dǎo)致認(rèn)證或者計(jì)費(fèi)故障。 通信key不一致,通常我們設(shè)置key為amtium,但是現(xiàn)場有時(shí)并不一定是這個(gè)key,所以一定要仔細(xì)檢查和核對。 通信端口不一致:因?yàn)樾屡fRFC標(biāo)準(zhǔn)對Radius 認(rèn)證和計(jì)費(fèi)端口的規(guī)定不一樣,因此當(dāng)和不同廠家的產(chǎn)品對接時(shí)一定要清楚對方使用的認(rèn)證和計(jì)費(fèi)端口。 沒有打開認(rèn)證或者計(jì)費(fèi)功能:因?yàn)闆]有激活認(rèn)證或者計(jì)費(fèi)功能,導(dǎo)致用戶不能認(rèn)證或者不能

13、計(jì)費(fèi)。 注意:目前一般廠家對認(rèn)證和計(jì)費(fèi)功能并沒有嚴(yán)格關(guān)聯(lián):認(rèn)證通過后就可以上網(wǎng),并不檢查計(jì)費(fèi)是否正常,因此有可能用戶正常上網(wǎng)而沒有產(chǎn)生計(jì)費(fèi)信息。,Radius 常見故障分析(2),設(shè)置廣播消息、Radius Server參數(shù)等設(shè)置后,必須重啟Linux的Radius進(jìn)程,這點(diǎn)一定要注意。 Radius屬性不能識別導(dǎo)致認(rèn)證不能通過:比如和微軟公司的IAS軟件對接時(shí)因?yàn)镮AS不能識別我們的Radius私有屬性,而導(dǎo)致認(rèn)證不能通過。set aaa_ext_attr on/off 命令就是為和微軟產(chǎn)品對接而開發(fā)的。 用戶數(shù)超過License規(guī)定的用戶導(dǎo)致用戶不能認(rèn)證。 Radius故障的查找目前主要依賴于Radius報(bào)文的分析和日志文件的分析。,Radius應(yīng)用一般模型(1),Radius應(yīng)用一般模型(2),參考資料,RFC2865:Remote Authentication Dial

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論