RADIUS协议原理及应用课件

RADIUS协议原理及应用

培训组赵俭锐捷网络技术培训系列课程-（中级）培训目标

了解RADIUS协议基本概念；熟悉RADIUS协议报文结构；熟悉RADIUS协议工作原理；提纲RADIUS协议介绍RADIUS协议报文结构NAS设备RADIUS部分配置RADIUS系统下用户认证过程

RADIUS协议简介

RADIUS(RemoteAuthenticationDialInUserService)是远程认证拨号用户服务的简称，是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。RADIUS协议简介

Authentication，Authorization，andAccounting三种安全功能，简称AAA。Authentication认证，用于判定用户是否可以获得访问权，限制非法用户；Authorization授权，授权用户可以使用哪些服务，控制合法用户的权限；Accounting计账，记录用户使用网络资源的情况,为收费提供依据；RADIUS协议简介RADIUS协议具有以下特点：客户端/服务器结构；采用共享密钥保证网络传输安全性；良好的可扩展性；认证机制灵活；RADIUS协议承载于UDP之上，官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866中定义。锐捷网络RG-SAM系统和NAS设备之间的通讯，采用的是RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对RADIUS作了扩展，我们公司也对其进行了扩展。RADIUS协议报文结构

数据链路层IP网络层UDP物理层TCPRADIUSRADIUS协议在报文中的位置RADIUS协议报文结构Radius协议报文格式RADIUS报文格式如下图所示，各域内容按照从左向右传送0123012345678901234567890123456789012+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Authenticator|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttributeCode确定RADIUS数据包的类型，编码如下：1接入请求(Access-Request）2接入允许(Access-Accept)3接入拒绝(Access-Reject)4记账请求(Accounting-Request)5记账回应(Accounting-Response)11接入询问(Access-Challenge)12服务器状态(Status-Server(experimental))13客户机状态(Status-Client(experimental))255保留(Reserved)RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttribute长度域：两个字节，它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待，在接收时忽略它。如果包的长度比指定的短，则此包会被直接丢弃。RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttribute

认证字域：十六个字节。用于RadiusClient和Server之间消息认证的有效性，和密码隐藏算法。RADIUS协议报文结构CodeIdentifierLengthAuthenticatorAttributeTypeLenValue类型域：

一个字节，后边有详细的列表；长度域：

一个字节，它指定了包括类型、长度和值域在内的属性长度；值域：可以为零或者多个字节，包括属性的详细信息。值域的格式和长度由域的类型和长度决定；RADIUS报文格式1用户名User-Name2用户密码User-Password3CHAP密码CHAP-Password4NASIP地址NAS-IP-Address5NAS端口NAS-Port6服务类型Service-Type7帧协议Framed-Protocol8分帧IP地址配置Framed-IP-Address9IP网络掩码配置Framed-IP-Netmask10路由方法配置Framed-Routing11筛选器标识Filter-Id12最大传输单元配置Framed-MTU13压缩协议配置Framed-Compression14登录的主机IP地址Login-IP-Host15登录的服务Login-Service16登录的TCP端口Login-TCP-Port17未分配(unassigned)18回复消息Reply-Message19回叫电话号码Callback-Number20回叫IDCallback-Id21未分配(unassigned)22路由配置Framed-Route23IPX网络数字配置Framed-IPX-Network24状态State25类别Class26供应商细节Vendor-Specific27会话时限Session-Timeout28空闲时限Idle-Timeout29终止动作Termination-Action30用户拨打的电话号码Called-Station-Id31用户打出的电话号码Calling-Station-Id32网络接入服务器标识符NAS-Identifier33代理状态Proxy-State34登录的LAT服务Login-LAT-Service35登录的LAT节点Login-LAT-Node36登录的LAT组Login-LAT-Group37AppleTalk链路配置Framed-AppleTalk-Link38AppleTalk网络配置Framed-AppleTalk-Network39AppleTalk区域配置Framed-AppleTalk-Zone40-59为记账保留(reservedforaccounting)60CHAP盘问CHAP-Challenge61网络接入服务器端口类型NAS-Port-Type62端口数限制Port-Limit63登录的LAT端口Login-LAT-PortNAS设备RADIUS部分配置NAS设备RADIUS部分配置，S21和S35系列交换机为例配置交换机与RADIUSSERVER之间的通讯

Switch(config)#radius-serverhost1.1.1.1

Switch(config)#radius-serverkeyruijie交换机打开全局802.1X认证开关Switch(config)#aaaauthenticationdot1xSwitch(config)#end配置交换机SNMP协议Switch(config)#snmp-servercommunitypublicrwNAS设备RADIUS部分配置配置RADIUS记帐Switch(config)#aaaaccountingserver1.1.1.1Switch(config)#aaaaccounting配置端口为认证端口Switch(config)#interfacerangf0/1-23Switch(config-if)#dot1xport-controlauto启动异常下线和记帐更新功能Switch(config)#dot1xclient-probeenableSwitch(config)#dot1xaccout-update-interval600RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文1：EAPOL-Start

首先由客户端发起一个带有组播目的MAC地址为“0180-C200-0003”的802.1X数据帧，其中802.1X头部TYPE类型值为1，标明是EAPOL-Start报文，开始802.1X认证接入请求；DLCDestination=“0180-C200-0003”，表示组播目的MAC地址，因为SU不知到NAS设备在哪里；DLCEthertype=888E，表示链路层帧内承载着802.1X报文；802.1XVersion=1表示当前的802.1X协议版本是1；802.1XPacketType=1指定是EAPOL-Start报文；RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文3：EAP-Response/Identity

SU向NAS设备回应EAP-Response/Identity报文，其中包括用户名信息；EAPcode=2，表示是EAP-Response报文；EAPIdentifier=1，表示是上一个EAP-Request请求的响应，因为和上一个EAP-Request的Identifier的值相同；EAPType=1，表示EAPDate中包含用户名信息；EAPMessage=“liufn”，表示用户名是“liufn”；

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文5：RADIUSAccess-Challenge

RADIUS服务器收到上一个报文后，在数据库中查找是否有此用户，同时根据服务器的策略设置，是否来匹配NASIP、NAS端口、用户IP、用户MAC等信息，如果通过，RADIUS服务器随机产生一个加密字，用随机产生的加密字和数据库中用户的口令进行MD5加密运算，得出一个结果。同时将随机产生的加密字通过RADIUSAccess-Challenge报文发送给NAS设备；RADIUScode=11：表示是Access-Challenge挑战报文；RADIUSMessage-Authenticator=“xxxx”：表示RADIUS服务器随机产生的加密字；RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文6：EAP-Request/MD5-ChallengeNAS设备将收到RADIUS服务器的“随机加密字”，然后封装到EAP-Request/MD5-Challenge报文中发送给SU，要求SU进行认证；EAPType=4：表示这是一个MD5挑战；EAPValue=“xxxx”：表示RADIUS随机产生的加密字；

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文7：EAP-Response/MD5-Challenge客户端收到EAP-Request/MD5-Challenge报文后，将用户输入的密码和随机字做MD5运算，将结果通EAP-Response/MD5-Challenge回应给NAS设备；EAPValue=“yyyy”：表示加密后的口令；RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文8：RADIUSAccess-Request

NAS设备通过Access-Challenge报文，将SU送上来的加密口令上传给RADIUS服务器；RADIUSCode=1：表示是一个Access-Request报文；RADIUSMessage-Authenticator=“yyyy”：表示上传给RADIUS的加密口令；

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文9：RADIUSAccess-AcceptRADIUS服务器将SU产生的加密字和自己运算的结果进行比较，看是否一致，判断用户是否合法。然后回应认证成功/失败报文到NAS设备；RADIUSCode=2：表示是一个Access-Accept报文，通知NAS允许这个用户接入网络；

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文10：EAP-Success

NAS设备通过EAP-Success报文通知SU认证成功，可以接入网络；EAPCode=3：NAS设备通知SU允许接入，是EAP-Success报文；

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文11：RADIUSAccounting-Request客户端认证通过后，NAS开始向RADIUS服务器发起计费请求报文，要求对这个用户进行计费处理；UDPDestinationPort=1813：UDP的端口号为1813，说明这个一个RADIUS计费报文；RADIUSCode=4：说明这个一个计费请求Accounting-Request报文；RADIUSAcct-Status-Type=1：说明这是一个计费开始请求报文，习惯上称为Accounting-Start；RADIUS系统下用户认证过程

RADIUS系统下用户认证过程

报文12：RADIUSAccounting-Response

RADIUS服务器对该用户进行计费处理后，对NAS设备通过Accounting-Response报文响应；