《RADIUS协议原理及应用.ppt》由会员分享,可在线阅读,更多相关《RADIUS协议原理及应用.ppt(56页珍藏版)》请在三一办公上搜索。
1、RADIUS协议原理及应用培训组 赵俭,锐捷网络技术培训系列课程-(中级),培训目标,了解RADIUS协议基本概念;熟悉RADIUS协议报文结构;熟悉RADIUS协议工作原理;,提纲,RADIUS协议介绍RADIUS协议报文结构 NAS设备RADIUS部分配置RADIUS系统下用户认证过程,前言,企业要求只有授权的用户才能访问自己的内部网络,教育网采取根据流量计费的策略,VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题:如何对用户进行认证和计费?一种常见的认证计费方法RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管
2、理,扩展性好,所以得到广泛应用。,RADIUS协议简介,RADIUS(Remote Authentication Dial In User Service)是远程认证拨号用户服务的简称,是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议,与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。,RADIUS协议简介,Authentication,Authorization,and Accounting三种安全功能,简称AAA。Authentication 认证,用于判定用户是否可以获得访问权,限
3、制非法用户;Authorization 授权,授权用户可以使用哪些服务,控制合法用户的权限;Accounting 计账,记录用户使用网络资源的情况,为收费提供依据;,RADIUS协议简介,RADIUS协议具有以下特点:客户端/服务器结构;采用共享密钥保证网络传输安全性;良好的可扩展性;认证机制灵活;RADIUS 协议承载于UDP 之上,官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866中定义。锐捷网络RG-SAM系统和NAS设备之间的通讯,采用的是RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对RADIUS作了扩展,我们公司也
4、对其进行了扩展。,RADIUS协议简介,AAA的工作过程可以分为如下几步:终端用户(客户端系统)向NAS设备发出网络连接请求;NAS收集用户输入的用户名和口令,并转发给AAA服务器;AAA服务器按照一定算法和自身数据库信息匹配,然后将结果返回给NAS设备,可能是接受、拒绝或其它(如challenge);NAS设备根据返回的结果决定接通或者断开终端用户;如果认证通过继续以下步骤;服务器对用户进行授权,NAS设备根据授权结果对用户上网环境进行配置;如需计费,NAS设备将在用户上下线及上网期间内收集用户网络资源使用情况,将数据送交记帐服务器;,RADIUS协议报文结构,数据链路层,IP网络层,UDP
5、,物理层,TCP,RADIUS,RADIUS协议在报文中的位置,RADIUS协议报文结构,Radius协议报文格式RADIUS报文格式如下图所示,各域内容按照从左向右传送0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
6、+-+-+-+-+-+|Authenticator|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes.+-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,Code确定RADIUS数据包的类型,编码如下:1 接入请求(Access-Request)2 接入允许(Access-Accept)3 接入拒绝(Access-Reject)4 记账请求(Accounting-Requ
7、est)5 记账回应(Accounting-Response)11接入询问(Access-Challenge)12服务器状态(Status-Server(experimental)13客户机状态(Status-Client(experimental)255保留(Reserved),RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,标识符域:一个字节,用于匹配请求与回应。如果在一个很短的时间片段里,一个请求有相同的客户源IP地址、源UDP端口号和标识符,RADIUS服务器会认为这是上一个重复的请求。,RADIUS协议报文结构,
8、Code,Identifier,Length,Authenticator,Attribute,长度域:两个字节,它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待,在接收时忽略它。如果包的长度比指定的短,则此包会被直接丢弃。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,认证字域:十六个字节。用于Radius Client和Server之间消息认证的有效性,和密码隐藏算法。,RADIUS协议报文结构,Code,Identifier,Length,Authentica
9、tor,Attribute,类型域:一个字节,后边有详细的列表;长度域:一个字节,它指定了包括类型、长度和值域在内的属性长度;值 域:可以为零或者多个字节,包括属性的详细信息。值域的格式和长度由域的类型和长度决定;,RADIUS协议报文结构,Attribute Type的值为1-255,分为三类:标准属性 Radius最基本的属性定义在RFC2865和RFC2866中,如用户名、密码、计费和常用授权信息等;扩展标准属性 RFC2867-2869是Radius的扩展协议,在其中定义了一些针对特殊应用(如支持隧道应用、支持EAP等)的属性;扩展私有属性 即26号属性,属性值由厂商自己定义;,RAD
10、IUS报文格式,1 用户名 User-Name2 用户密码 User-Password3 CHAP密码 CHAP-Password4 NAS IP地址 NAS-IP-Address5 NAS端口 NAS-Port6 服务类型 Service-Type7 帧协议 Framed-Protocol8 分帧IP地址配置 Framed-IP-Address9 IP网络掩码配置 Framed-IP-Netmask10 路由方法配置 Framed-Routing11 筛选器标识 Filter-Id12 最大传输单元配置 Framed-MTU13 压缩协议配置 Framed-Compression14 登录的
11、主机IP 地址 Login-IP-Host15 登录的服务 Login-Service16 登录的TCP端口 Login-TCP-Port17 未分配(unassigned)18 回复消息 Reply-Message19 回叫电话号码 Callback-Number20 回叫ID Callback-Id21 未分配(unassigned)22 路由配置 Framed-Route,23 IPX网络数字配置 Framed-IPX-Network24 状态 State25 类别 Class26 供应商细节 Vendor-Specific27 会话时限 Session-Timeout28 空闲时限 I
12、dle-Timeout29 终止动作 Termination-Action30 用户拨打的电话号码 Called-Station-Id31 用户打出的电话号码 Calling-Station-Id32 网络接入服务器标识符 NAS-Identifier33 代理状态 Proxy-State34 登录的LAT服务 Login-LAT-Service35 登录的LAT节点 Login-LAT-Node36 登录的LAT组 Login-LAT-Group37 AppleTalk链路配置 Framed-AppleTalk-Link38 AppleTalk网络配置 Framed-AppleTalk-Ne
13、twork39 AppleTalk区域配置 Framed-AppleTalk-Zone40-59 为记账保留(reserved for accounting)60 CHAP盘问 CHAP-Challenge61 网络接入服务器端口类型 NAS-Port-Type62 端口数限制 Port-Limit63 登录的LAT端口 Login-LAT-Port,NAS设备RADIUS部分配置,NAS设备RADIUS部分配置,S21和S35系列交换机为例配置交换机与RADIUS SERVER 之间的通讯 Switch(config)#radius Switch(config)#radius-server
14、key ruijie交换机打开全局802.1X认证开关Switch(config)#aaa authentication dot1xSwitch(config)#end配置交换机SNMP协议Switch(config)#snmp-server community public rw,NAS设备RADIUS部分配置,配置RADIUS记帐Switch(config)#aaaSwitch(config)#aaa accounting配置端口为认证端口Switch(config)#interface rang f 0/1-23Switch(config-if)#dot1x port-control a
15、uto启动异常下线和记帐更新功能Switch(config)#dot1x client-probe enableSwitch(config)#dot1x accout-update-interval 600,RADIUS系统下用户认证过程,SAM系统是锐捷网络自主研发的集安全、认证、计费和管理于为一体的网络管理平台,它是基于标准的RADIUS协议开发的,整个系统由以下三个部分组成:恳请者(SU,安装锐捷认证客户端软件的PC);认证者(NAS,接入层交换机);认证服务器(RADIUS SERVER,RG-SAM);下面从恳请者发起认证认证成功退出认证的整个过程中,通过SNIFFER软件抓取到的报
16、文对每个过程作详细分析;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文1:EAPOL-Start 首先由客户端发起一个带有组播目的MAC地址为“0180-C200-0003”的802.1X数据帧,其中802.1X头部TYPE类型值为1,标明是EAPOL-Start报文,开始802.1X认证接入请求;DLC Destination=“0180-C200-0003”,表示组播目的MAC地址,因为SU不知到NAS设备在哪里;DLC Ethertype=888E,表示链路层帧内承载着802.1X报文;802.1X Version=1 表示当前的802.1X 协议版本是1;802
17、.1X Packet Type=1 指定是EAPOL-Start报文;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文2:EAP-Request/Identity NAS设备收到SU的EAPOL-Start报文后,向SU发送EAP-Request/Identity报文,要求SU将用户名送上来;802.1X Packet Type=0,表示802.1X报文承载着EAP报文;EAP报文中的Code=1,表示是一个EAP-Request报文;EAP报文中的Identifier=1,表示这个EAP-Request报文的标识符1,这个值要和后面的EAP-Response Ident
18、ifier一致;EAP Data 中的Type=1,表示要求SU将用户名送上来;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文3:EAP-Response/Identity SU向NAS设备回应EAP-Response/Identity报文,其中包括用户名信息;EAP code=2,表示是EAP-Response报文;EAP Identifier=1,表示是上一个EAP-Request请求的响应,因为和上一个EAP-Request的Identifier的值相同;EAP Type=1,表示EAP Date中包含用户名信息;EAP Message=“liufn”,表示用户名
19、是“liufn”;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文4:RADIUS Access-Request NAS将SU送上来的“用户名”信息封装到RADIUS Access-Request报文中,发送给认证服务器,同时这个报文中携带着客户端IP、MAC、掩码、网关、NAS IP、NAS端口等信息;UDP Destination Port=1812,UDP的端口号是1812,代表是一个RADIUS的认证信;RADIUS Code=1,说明这是一个Access-Request请求认证报文;RADIUS Identifier=1,表示Access-Request的标识,
20、要和后面相同标识的Access-Response成对使用;RADIUS User-Name=“liufn”,表示报文中携带用户名信息;RADIUS NAS-IP-Address=“192.168.0.1”,表示报文中携带NAS IP信息;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文5:RADIUS Access-Challenge RADIUS服务器收到上一个报文后,在数据库中查找是否有此用户,同时根据服务器的策略设置,是否来匹配NAS IP、NAS端口、用户IP、用户MAC等信息,如果通过,RADIUS服务器随机产生一个加密字,用随机产生的加密字和数据库中用户的口令
21、进行MD5加密运算,得出一个结果。同时将随机产生的加密字通过RADIUS Access-Challenge报文发送给NAS设备;RADIUS code=11:表示是Access-Challenge挑战报文;RADIUS Message-Authenticator=“xxxx”:表示RADIUS服务器随机产生的加密字;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文6:EAP-Request/MD5-Challenge NAS设备将收到RADIUS服务器的“随机加密字”,然后封装到EAP-Request/MD5-Challenge报文中发送给SU,要求SU进行认证;EAP
22、Type=4:表示这是一个MD5挑战;EAP Value=“xxxx”:表示RADIUS随机产生的加密字;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文7:EAP-Response/MD5-Challenge 客户端收到EAP-Request/MD5-Challenge报文后,将用户输入的密码和随机字做MD5运算,将结果通EAP-Response/MD5-Challenge回应给NAS设备;EAP Value=“yyyy”:表示加密后的口令;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文8:RADIUS Acces
23、s-Request NAS设备通过Access-Challenge报文,将SU送上来的加密口令上传给RADIUS服务器;RADIUS Code=1:表示是一个Access-Request报文;RADIUS Message-Authenticator=“yyyy”:表示上传给RADIUS的加密口令;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文9:RADIUS Access-Accept RADIUS服务器将SU产生的加密字和自己运算的结果进行比较,看是否一致,判断用户是否合法。然后回应认证成功/失败报文到NAS设备;RADIUS Code=2:表示是一个Access-A
24、ccept报文,通知NAS允许这个用户接入网络;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文10:EAP-Success NAS设备通过EAP-Success报文通知SU认证成功,可以接入网络;EAP Code=3:NAS设备通知SU允许接入,是EAP-Success报文;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文11:RADIUS Accounting-Request 客户端认证通过后,NAS开始向RADIUS服务器发起计费请求报文,要求对这个用户进行计费处理;UDP Destination Port=18
25、13:UDP的端口号为1813,说明这个一个RADIUS计费报文;RADIUS Code=4:说明这个一个计费请求Accounting-Request报文;RADIUS Acct-Status-Type=1:说明这是一个计费开始请求报文,习惯上称为Accounting-Start;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文12:RADIUS Accounting-Response RADIUS服务器对该用户进行计费处理后,对NAS设备通过Accounting-Response报文响应;RADIUS Code=5:说明是一个Accounting-Response报文,
26、通知NAS设备,RADIUS服务器已经对这个用户进行了计费处理;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文13:EAPOL-Logoff 客户端发出EAPOL-LOGOFF信息,请求下线;802.1X Packet Type=2:表示是EAPOL-Logoff报文,说明客户端主动请求下线;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文14:RADIUS Accounting-Request NAS设备收到SU请求下线的EAPOL-Logoff报文后,向RADIUS发出对该用户停止计费的请求信息;RADIUS C
27、ode=4:表示是一个Accounting-Request 报文,RADIUS Acct-Status-Type=2:表示是一个计费结束请求,一般成为Accounting-Stop报文;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文15:RADIUS Accounting-Response RADIUS服务器对结束计费发出响应,通知NAS设备已经结束了对该用户计费;RADIUS Code=5:表示这是Accouning-Response报文;,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文16:EAP-Failure NAS向RADIUS服务器发出Accounting-Stop报文的同时,将NAS端口重新置于非授权状态,清除NAS设备维护的一些相关硬件表项,同时向SU发出EAP-Failure报文,通知SU下线;EAP Code=4:说明是一个EAPOL-Failure报文;,谢谢大家!,
