用户接入管理协议(radius)

第12章用户接入管理协议12.1引言12.2接入链路协议12.3接入认证/控制协议12.4接入管理协议12.5小结和推荐资料接入网技术12.1引言接入网的核心功能之一是对用户进行接入管理参与用户接入管理的协议主要分为三个层次接入链路协议接入认证/控制协议以及接入管理协议接入网技术用户接入管理的协议模型用户BAS接入管理服务器接入管理协议接入认证/控制协议接入链路协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议物理层接入链路协议接入认证/控制协议物理层数据链路层网络层接入管理协议接入网技术12.2接入链路协议接入链路协议作用：提供链路通信服务提供或便于实现基于用户的接入控制功能典型的接入链路协议有：以太网协议：IEEE802.3无线局域网协议（IEEE802.11系列）PPP（Point-to-PointProtocol，点到点协议）PPPoE：以太网上的点到点协议）PointtoPointProtocoloverEthernet本章主要介绍PPP和PPPoE协议。接入网技术PPP协议概念Point-to-PointProtocol点到点的协议目前使用的版本:RFC1661协议作用范围点到点的链路上(数据链路)功能实现点到点链路的两个节点之间:数据链路的建立与拆除链路质量检测身份认证网络层协议协商与配置(如IP协议的IP的地址等)两个子协议：LCP与NCP

接入网技术PPP协议——LCP链路控制协议LCPLinkControlProtocol链路建立链路参数协商（如MRU等）与配置是否认证或认证协议协商链路拆除等接入网技术PPP协议——NCP网络层控制协议NCPNetworkControlProtocol不同的网络层协议可复用在同一PPP链路上PPP为不同的网络层设计了相应的NCP如对应IP协议的NCP为IPCP对应IPX协议的NCP为IPXCP不同的NCP处理不同网络层特殊要求（如IP地址分配等）同一个PPP连接下可开启多个NCP接入网技术PPP的协议的封装格式类似HDLC的UI帧（无编号帧）地址控制协议数据FCS字节1

1

2变长2地址控制数据FCSHDLCUI帧PPP帧固定值OxFF固定值Ox03封装数据的协议类型接入网技术PPP的协议操作过程五个阶段及各阶段转换图UPOPENDSUCCESS/NONEFAILDOWNCLOSING链路死亡链路建立认证网络层协议链路终止FAIL接入网技术PPP协议的五个阶段死亡阶段物理层未准备好、PPP的初始阶段链路建立阶段，由LCP完成建立请求、协商MRU、认证协议、链路质量监测协议认证阶段,由LCP完成可选项，对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商网络层协议阶段，由NCP完成对网络层协议进行配置，如网络层地址（IP地址）分配链路终止阶段,由LCP完成可以在任何时候终止链路，链路的正常终止由LCP分组完成，一个NCP的关闭不一定引起链路的关闭接入网技术PPPoE协议概念

PPPOverEthernet以太网的点到点的协议目前使用的版本:RFC2516PPPoE的引入PPP只适应点到点链路的接入控制点到多点链路PPP仍然适应吗？否!PPPoE可以实现对点到多点链路的接入控制PPPoE的功能对以太网上每个用户与NAS之间建立一条PPP会话通道每一条PPP会话通道有唯一的连接标识实现对太网上每个用户进行单独的管理接入网技术PPPoE接入模型图中：接入桥接设备可为：交换机、ADSLModem接入集中器可为：PPPoE服务器、DSLAM主机主机主机接入集中器AccessConcentrator主机主机ISP局域网（以太网）PPP会话桥接接入设备BridgingAccessDevice接入网技术PPPoE协议分层模型以太网物理层PPPoE数据链路层网络层PPPIP接入网技术PPPoE分组（帧）格式PPPoE协议封装在以太帧中（以太帧的载荷）字节目的MAC地址源MAC地址类型有效载荷（PPPoE分组）FCS662变长4PPPoE封装在以太帧中发现阶段类型：0x8863会话阶段类型：0x8864版本代码类型有效载荷会话标识比特01234567012345670123456701234567长度PPPoE分组格式固定值不同阶段的分组类型PPPoE载荷长度标识一个特定的PPPoE会话发现阶段：为空会话阶段：PPP帧接入网技术

PPPoE协议操作（运行）的两个阶段两个阶段：PPPoE发现与PPP会话发现阶段主机广播一个PPPoE有效发现启动分组，寻找合适的PPPoE服务器可能有多个服务器收到该消息，满足要求的服务器发送有效发现提供分组应答，否则不发应答主机选择一个合适的接入服务器，发有效发现请求分组接入服务器为主机分配唯一的会话标识。发现过程结束主机PPPoE接入服务器①广播PADI②单播PADO③

单播PADR④

单播PADS接入网技术PPPoE协议操作（运行）的两个阶段PPP会话阶段发现结束后，主机和PPPoE接入服务器建立点到点隧道，进入会话阶段PPP帧封装在PPPoE帧中而PPPoE帧封装在Ethernet帧中，通过以太网或其它接入网承载或运送接入网技术12.3接入认证/控制协议口令认证协议PAP质询认证协议CHAP可扩展的认证协议EAP基于端口的接入认证与控制协议802.1X接入网技术

口令认证协议PAPPAP（由RFC1334描述）PasswordAuthenticationProtocol

口令认证协议PAP认证过程被认证方向认证方发认证请求信息（明文）请求信息含“用户名、口令”

认证方向被认证方发认证应答信息（明文）

Auth-AckorAuth-Nak

认证请求（Auth-Request）认证成功/失败（Auth-Ack/Auth-Nak）A（被认证方）B（认证方）PAP认证的问题

明文传输认证信息容易被窃取，存在安全隐患接入网技术质询认证协议

CHAPCHAPChallengeAuthenticationProtocol质询认证协议由RFC1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长接入网技术质询认证协议

CHAP

CHAP认证的交互过程2)响应（Response）（密文）1)质询（Challenge）(明文）A（被认证方）B（认证方）3)认证成功/失败（Auth-Ack/Auth-Nak）1)由认证方向被认证方发送质询分组质询值为随机数２)由被认证方向认证方发送响应分组

将质询值通过共享密钥加密后传送到对方３)由认证方向被认证方发送响应分组

认证方用共享密钥解密，正确发Ack，错误发Nak接入网技术可扩展认证协议

EAPEAP的含义ExtensibleAuthenticationProtocol可扩展的认证协议由RFC2284描述并非一个具体的认证协议是一个认证协议的封装协议定义了一种封装的框架、格式具体的认证协议和认证信息封装在EAP分组中，如PAPoverEAP、CHAPoverEAPetc.迄今EAP支持的认证协议达42种接入网技术用户接入控制协议802.1X概念IEEE802.1X基于端口的接入控制协议目前使用标准版本:IEEEStd802.1X-2001一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口（如以太网交换机端口）端口也可以是逻辑端口（如WLAN中的AP端口）功能为LAN用户提供接入认证及授权的服务功能接入网技术802.1X协议模型的三种实体客户系统（SupplicantSystem）运行802.1X客户软件的用户终端系统认证系统（AuthenticatorSystem）为802.1X客户系统（即LAN用户）提供授权的接入服务，通常为支持802.1X协议的网络接入设备认证服务器系统（AuthenticationServerSystem）为认证系统提供认证服务接入网技术802.1X的协议运行模型

PAE:PortAccessEntity:端口接入实体客户系统认证系统认证服务器系统客户PAE提供授权的服务认证PAE受控端口认证服务器LAN不受控端口

运行802.1X客户软件的用户终端支持802.1X的网络接入设备为801.1x客户提供授权的接入服务

为认证系统提供认证服务接入网技术802.1X的不受控/受控端口不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式：双向受控或仅输入受控端口默认状态为未授权状态，即断开状态双向受控：端口此时禁止收、发业务数据仅输入受控：端口此时只能发送数据通过认证后，处于授权状态，即接通状态LAN认证系统受控端口不受控端口接入网技术802.1X协议运行协议运行实体客户PAE、认证PAE、认证服务器认证协议封装类型客户PAE与认证PAE之间：EAPOL(EAPOverEthernet）认证PAE与认证服务器之间：EAP认证的发起者客户PAE或认证PAE接入网技术802.1X的认证与接入过程1)客户PAE将认证信息由EAPOL封装，并通过认证系统的不受控端口传输到认证PAE2)认证PAE将认证信息由EAP封装传输到认证服务器3)认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败）4)认证PAE将认证结果反馈给客户PAE认证成功：受控端口设为授权状态，向用户提供接入服务认证失败：受控端口继续断开，拒绝向用户提供接入服务接入网技术通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由

MAC地址区分

注：PC中安装客户PAE

交换机或AP中安装认证PAEPCPC以太网交换机PCPCAAAServerAPPCPCPC802.1X协议的应用接入网技术概念RADIUS的含义协议的发展协议的功能协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用12.4接入管理协议接入网技术RADIUS的含义RemoteAuthenticationDialInUserService远程认证拨号用户服务协议标准：RFC2865，RFC2866扩展版本：RFC2867，RFC2868等协议发展与应用范围最初仅针对拨号用户，实现AAA的管理功能现已发展成一种通用的、广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证、授权和记帐功能支持对漫游用户的接入管理用户接入管理协议–RADIUS接入网技术协议模型LAN用户NASRADIUSserver接入client接入serverRADIUSclient用户接入认证协议RADIUS

协议用户管理数据库用户接入管理协议–RADIUS模型结构为集中/分布式协议作用范围：NAS与RADIUS服务器之间注意：RADIUS并未对用户与NAS之间的认证协议进行规定接入网技术用户接入管理协议–RADIUSRADIUS协议运行NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合协议运行分为两个过程：认证操作（包括授权）记帐操作协议实体交互过程中采用重传机制接入网技术用户接入管理协议–RADIUS认证操作操作实体NAS与RADIUS认证服务器认证操作的方式请求/响应方式质询/响应方式接入网技术用户接入管理协议–RADIUS

请求/响应方式(一问一答）

用户名、口令接入认证结果用户NASRADIUS认证服务器接入请求报文接入许可/拒绝报文NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器（含用户名、口令等）RADIUS认证服务器验证用户的合法性，并通过接入许可/拒绝报文回应NAS

接入网技术接入许可/拒绝报文接入质询报文用户接入管理协议–RADIUS

质询/响应方式用户名、口令接入认证结果用户NASRADIUS认证服务器接入请求报文质询值，提示消息响应值接入请求报文NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值接入网技术用户接入管理协议–RADIUS记帐请求报文接入许可开始记帐RADIUS

记帐服务器记帐响应报文NASa)开始记帐记帐请求报文服务终止结束记帐RADIUS

记帐服务器记帐响应报文NASb)结束记帐记帐操作操作实体：NAS与RADIUS记帐服务器操作时机：授权许可提供服务开始时和服务终止时接入网技术用户接入管理协议–RADIUSRADIUS代理一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用：为漫游用户提供接入AAA管理接入网技术用户接入管理协议–RADIUSRADIUS代理假设用户A的认证信息存放在一个远程服务器中中继服务器远程服务器1)接入请求报文4)接入许可/拒绝报文NAS2)接入请求报文3)接入许可/拒绝报文RADIUS服务器NAS用户ARADIUS服务器