RADIUS协议原理及应用.ppt

1、RADIUS协议原理及应用培训组 赵俭,锐捷网络技术培训系列课程-（中级）,培训目标,了解RADIUS协议基本概念； 熟悉RADIUS协议报文结构； 熟悉RADIUS协议工作原理；,提纲,RADIUS协议介绍 RADIUS协议报文结构 NAS设备RADIUS部分配置 RADIUS系统下用户认证过程,前言,企业要求只有授权的用户才能访问自己的内部网络，教育网采取根据流量计费的策略，VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题：如何对用户进行认证和计费？ 一种常见的认证计费方法RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一，它简单安

2、全，易于管理，扩展性好，所以得到广泛应用。,RADIUS协议简介,RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称，是一种C/S结构的协议。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，与AAA配合主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。,RADIUS协议简介,Authentication，Authorization，and Accounting三种安全功能，简称AAA。 Authentication 认证，用于判定用户是否

3、可以获得访问权，限制非法用户； Authorization 授权，授权用户可以使用哪些服务，控制合法用户的权限； Accounting 计账，记录用户使用网络资源的情况,为收费提供依据；,RADIUS协议简介,RADIUS协议具有以下特点： 客户端/服务器结构； 采用共享密钥保证网络传输安全性； 良好的可扩展性； 认证机制灵活； RADIUS 协议承载于UDP 之上，官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866中定义。锐捷网络RG-SAM系统和NAS设备之间的通讯，采用的是RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对

4、RADIUS作了扩展，我们公司也对其进行了扩展。,RADIUS协议简介,AAA的工作过程可以分为如下几步： 终端用户（客户端系统）向NAS设备发出网络连接请求； NAS收集用户输入的用户名和口令，并转发给AAA服务器； AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS设备，可能是接受、拒绝或其它（如challenge）； NAS设备根据返回的结果决定接通或者断开终端用户； 如果认证通过继续以下步骤； 服务器对用户进行授权，NAS设备根据授权结果对用户上网环境进行配置； 如需计费，NAS设备将在用户上下线及上网期间内收集用户网络资源使用情况，将数据送交记帐服务器； 13916

5、630329,RADIUS协议报文结构,数据链路层,IP网络层,UDP,物理层,TCP,RADIUS,RADIUS协议在报文中的位置,RADIUS协议报文结构,Radius协议报文格式 RADIUS报文格式如下图所示，各域内容按照从左向右传送 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+

6、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,Code确定RADIUS数据包的类型，编码如下： 1 接入请求(Access-Request） 2 接入允许(

7、Access-Accept) 3 接入拒绝(Access-Reject) 4 记账请求(Accounting-Request) 5 记账回应(Accounting-Response) 11接入询问(Access-Challenge) 12服务器状态(Status-Server (experimental) 13客户机状态(Status-Client (experimental) 255保留(Reserved),RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,标识符域：一个字节，用于匹配请求与回应。如果在一个很短的时间片段里

8、，一个请求有相同的客户源IP地址、源UDP端口号和标识符，RADIUS服务器会认为这是上一个重复的请求。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,长度域：两个字节，它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待，在接收时忽略它。如果包的长度比指定的短，则此包会被直接丢弃。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,认证字域：十六个字节。用于Radius Client和Server

9、之间消息认证的有效性，和密码隐藏算法。,RADIUS协议报文结构,Code,Identifier,Length,Authenticator,Attribute,类型域： 一个字节，后边有详细的列表； 长度域： 一个字节，它指定了包括类型、长度和值域在内的属性长度； 值 域： 可以为零或者多个字节，包括属性的详细信息。值域的格式和长度由域的类型和长度决定；,RADIUS协议报文结构,Attribute Type的值为1-255，分为三类： 标准属性 Radius最基本的属性定义在RFC2865和RFC2866中，如用户名、密码、计费和常用授权信息等； 扩展标准属性 RFC2867-2869是Ra

10、dius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持EAP等）的属性； 扩展私有属性 即26号属性，属性值由厂商自己定义；,RADIUS报文格式,1 用户名 User-Name 2 用户密码 User-Password 3 CHAP密码 CHAP-Password 4 NAS IP地址 NAS-IP-Address 5 NAS端口 NAS-Port 6 服务类型 Service-Type 7 帧协议 Framed-Protocol 8 分帧IP地址配置 Framed-IP-Address 9 IP网络掩码配置 Framed-IP-Netmask 10 路由方法配置 Frame

11、d-Routing 11 筛选器标识 Filter-Id 12 最大传输单元配置 Framed-MTU 13 压缩协议配置 Framed-Compression 14 登录的主机IP 地址 Login-IP-Host 15 登录的服务 Login-Service 16 登录的TCP端口 Login-TCP-Port 17 未分配 (unassigned) 18 回复消息 Reply-Message 19 回叫电话号码 Callback-Number 20 回叫ID Callback-Id 21 未分配 (unassigned) 22 路由配置 Framed-Route,23 IPX网络数字配置

12、 Framed-IPX-Network 24 状态 State 25 类别 Class 26 供应商细节 Vendor-Specific 27 会话时限 Session-Timeout 28 空闲时限 Idle-Timeout 29 终止动作 Termination-Action 30 用户拨打的电话号码 Called-Station-Id 31 用户打出的电话号码 Calling-Station-Id 32 网络接入服务器标识符 NAS-Identifier 33 代理状态 Proxy-State 34 登录的LAT服务 Login-LAT-Service 35 登录的LAT节点 Login

13、-LAT-Node 36 登录的LAT组 Login-LAT-Group 37 AppleTalk链路配置 Framed-AppleTalk-Link 38 AppleTalk网络配置 Framed-AppleTalk-Network 39 AppleTalk区域配置 Framed-AppleTalk-Zone 40-59 为记账保留 (reserved for accounting) 60 CHAP盘问 CHAP-Challenge 61 网络接入服务器端口类型 NAS-Port-Type 62 端口数限制 Port-Limit 63 登录的LAT端口 Login-LAT-Port,NAS设

14、备RADIUS部分配置,NAS设备RADIUS部分配置，S21和S35系列交换机为例 配置交换机与RADIUS SERVER 之间的通讯 Switch(config)#radius-server host 1.1.1.1 Switch(config)#radius-server key ruijie 交换机打开全局802.1X认证开关 Switch(config)#aaa authentication dot1x Switch(config)#end 配置交换机SNMP协议 Switch(config)#snmp-server community public rw,NAS设备RADIUS部分

15、配置,配置RADIUS记帐 Switch(config)#aaa accounting server 1.1.1.1 Switch(config)#aaa accounting 配置端口为认证端口 Switch(config)#interface rang f 0/1-23 Switch(config-if)#dot1x port-control auto 启动异常下线和记帐更新功能 Switch(config)#dot1x client-probe enable Switch(config)#dot1x accout-update-interval 600,RADIUS系统下用户认证过程,S

16、AM系统是锐捷网络自主研发的集安全、认证、计费和管理于为一体的网络管理平台，它是基于标准的RADIUS协议开发的，整个系统由以下三个部分组成： 恳请者（SU，安装锐捷认证客户端软件的PC）； 认证者（NAS，接入层交换机)； 认证服务器(RADIUS SERVER，RG-SAM)； 下面从恳请者发起认证认证成功退出认证的整个过程中，通过SNIFFER软件抓取到的报文对每个过程作详细分析；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文1：EAPOL-Start 首先由客户端发起一个带有组播目的MAC地址为“0180-C200-0003”的802.1X数据帧，其中802.1

17、X头部TYPE类型值为1，标明是EAPOL-Start报文，开始802.1X认证接入请求； DLC Destination=“0180-C200-0003”，表示组播目的MAC地址，因为SU不知到NAS设备在哪里； DLC Ethertype=888E，表示链路层帧内承载着802.1X报文； 802.1X Version =1 表示当前的802.1X 协议版本是1； 802.1X Packet Type =1 指定是EAPOL-Start报文；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文2：EAP-Request/Identity NAS设备收到SU的EAPOL-St

18、art报文后，向SU发送EAP-Request/Identity报文，要求SU将用户名送上来； 802.1X Packet Type =0， 表示802.1X报文承载着EAP报文； EAP报文中的Code=1， 表示是一个EAP-Request报文； EAP报文中的Identifier=1， 表示这个EAP-Request报文的标识符1，这个值要和后面的EAP-Response Identifier一致； EAP Data 中的Type=1，表示要求SU将用户名送上来；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文3：EAP-Response/Identity SU向N

19、AS设备回应EAP-Response/Identity报文，其中包括用户名信息； EAP code=2，表示是EAP-Response报文； EAP Identifier=1，表示是上一个EAP-Request请求的响应，因为和上一个EAP-Request的Identifier的值相同； EAP Type=1，表示EAP Date中包含用户名信息； EAP Message=“liufn”，表示用户名是“liufn”；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文4：RADIUS Access-Request NAS将SU送上来的“用户名”信息封装到RADIUS Acce

20、ss-Request报文中，发送给认证服务器，同时这个报文中携带着客户端IP、MAC、掩码、网关、NAS IP、NAS端口等信息； UDP Destination Port=1812，UDP的端口号是1812，代表是一个RADIUS的认证信； RADIUS Code=1，说明这是一个Access-Request请求认证报文； RADIUS Identifier=1，表示Access-Request的标识，要和后面相同标识的Access-Response成对使用； RADIUS User-Name=“liufn”，表示报文中携带用户名信息； RADIUS NAS-IP-Address=“192.

21、168.0.1”，表示报文中携带NAS IP信息； ,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文5：RADIUS Access-Challenge RADIUS服务器收到上一个报文后，在数据库中查找是否有此用户，同时根据服务器的策略设置，是否来匹配NAS IP、NAS端口、用户IP、用户MAC等信息，如果通过，RADIUS服务器随机产生一个加密字，用随机产生的加密字和数据库中用户的口令进行MD5加密运算，得出一个结果。同时将随机产生的加密字通过RADIUS Access-Challenge报文发送给NAS设备； RADIUS code=11：表示是Access-Cha

22、llenge挑战报文； RADIUS Message-Authenticator=“xxxx”：表示RADIUS服务器随机产生的加密字；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文6：EAP-Request/MD5-Challenge NAS设备将收到RADIUS服务器的“随机加密字”，然后封装到EAP-Request/MD5-Challenge报文中发送给SU，要求SU进行认证； EAP Type=4：表示这是一个MD5挑战； EAP Value=“xxxx”：表示RADIUS随机产生的加密字；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文7

23、：EAP-Response/MD5-Challenge 客户端收到EAP-Request/MD5-Challenge报文后，将用户输入的密码和随机字做MD5运算，将结果通EAP-Response/MD5-Challenge回应给NAS设备； EAP Value=“yyyy”：表示加密后的口令；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文8：RADIUS Access-Request NAS设备通过Access-Challenge报文，将SU送上来的加密口令上传给RADIUS服务器； RADIUS Code=1：表示是一个Access-R

24、equest报文； RADIUS Message-Authenticator=“yyyy”：表示上传给RADIUS的加密口令；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文9：RADIUS Access-Accept RADIUS服务器将SU产生的加密字和自己运算的结果进行比较，看是否一致，判断用户是否合法。然后回应认证成功/失败报文到NAS设备； RADIUS Code=2：表示是一个Access-Accept报文，通知NAS允许这个用户接入网络；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文10：EAP-Success NAS设备通过EAP-

25、Success报文通知SU认证成功，可以接入网络； EAP Code=3：NAS设备通知SU允许接入，是EAP-Success报文；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文11：RADIUS Accounting-Request 客户端认证通过后，NAS开始向RADIUS服务器发起计费请求报文，要求对这个用户进行计费处理； UDP Destination Port=1813：UDP的端口号为1813，说明这个一个RADIUS计费报文； RADIUS Code=4：说明这个一个计费请求Accounting-Request报文； RADIUS Acct-Status-Type=1：说明这是一个计费开始请求报文，习惯上称为Accounting-Start；,RADIUS系统下用户认证过程,RADIUS系统下用户认证过程,报文12：RADIUS