RADIUS協(xié)議原理及應用課件

RADIUS協(xié)議原理及應用

培訓組趙儉銳捷網絡技術培訓系列課程-（中級）培訓目標

了解RADIUS協(xié)議基本概念；熟悉RADIUS協(xié)議報文結構；熟悉RADIUS協(xié)議工作原理；提綱RADIUS協(xié)議介紹RADIUS協(xié)議報文結構NAS設備RADIUS部分配置RADIUS系統(tǒng)下用戶認證過程

RADIUS協(xié)議簡介

RADIUS(RemoteAuthenticationDialInUserService)是遠程認證撥號用戶服務的簡稱，是一種C/S結構的協(xié)議。RADIUS原先設計的目的是為撥號用戶進行認證和計費。后來經過多次改進，形成了一項通用的認證計費協(xié)議，與AAA配合主要完成在網絡接入設備和認證服務器之間承載認證、授權、計費和配置信息。RADIUS協(xié)議簡介

Authentication，Authorization，andAccounting三種安全功能，簡稱AAA。Authentication認證，用于判定用戶是否可以獲得訪問權，限制非法用戶；Authorization授權，授權用戶可以使用哪些服務，控制合法用戶的權限；Accounting計賬，記錄用戶使用網絡資源的情況,為收費提供依據；RADIUS協(xié)議簡介RADIUS協(xié)議具有以下特點：客戶端/服務器結構；采用共享密鑰保證網絡傳輸安全性；良好的可擴展性；認證機制靈活；RADIUS協(xié)議承載于UDP之上，官方指定端口號為認證授權端口1812、計費端口1813。RADIUS協(xié)議在RFC2865、RFC2866中定義。銳捷網絡RG-SAM系統(tǒng)和NAS設備之間的通訊，采用的是RADIUS協(xié)議。由于RADIUS協(xié)議的良好擴展性,很多廠家對RADIUS作了擴展，我們公司也對其進行了擴展。RADIUS協(xié)議報文結構

數據鏈路層IP網絡層UDP物理層TCPRADIUSRADIUS協(xié)議在報文中的位置RADIUS協(xié)議報文結構Radius協(xié)議報文格式RADIUS報文格式如下圖所示，各域內容按照從左向右傳送0123012345678901234567890123456789012+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Authenticator|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-RADIUS協(xié)議報文結構CodeIdentifierLengthAuthenticatorAttributeCode確定RADIUS數據包的類型，編碼如下：1接入請求(Access-Request）2接入允許(Access-Accept)3接入拒絕(Access-Reject)4記賬請求(Accounting-Request)5記賬回應(Accounting-Response)11接入詢問(Access-Challenge)12服務器狀態(tài)(Status-Server(experimental))13客戶機狀態(tài)(Status-Client(experimental))255保留(Reserved)RADIUS協(xié)議報文結構CodeIdentifierLengthAuthenticatorAttribute長度域：兩個字節(jié)，它指明了包括編碼、標識符、長度、鑒別碼和屬性域在內的數據包的長度。在數據包長度以外的字節(jié)位必須以填充數對待，在接收時忽略它。如果包的長度比指定的短，則此包會被直接丟棄。RADIUS協(xié)議報文結構CodeIdentifierLengthAuthenticatorAttribute

認證字域：十六個字節(jié)。用于RadiusClient和Server之間消息認證的有效性，和密碼隱藏算法。RADIUS協(xié)議報文結構CodeIdentifierLengthAuthenticatorAttributeTypeLenValue類型域：

一個字節(jié)，后邊有詳細的列表；長度域：

一個字節(jié)，它指定了包括類型、長度和值域在內的屬性長度；值域：可以為零或者多個字節(jié)，包括屬性的詳細信息。值域的格式和長度由域的類型和長度決定；RADIUS報文格式1用戶名User-Name2用戶密碼User-Password3CHAP密碼CHAP-Password4NASIP地址NAS-IP-Address5NAS端口NAS-Port6服務類型Service-Type7幀協(xié)議Framed-Protocol8分幀IP地址配置Framed-IP-Address9IP網絡掩碼配置Framed-IP-Netmask10路由方法配置Framed-Routing11篩選器標識Filter-Id12最大傳輸單元配置Framed-MTU13壓縮協(xié)議配置Framed-Compression14登錄的主機IP地址Login-IP-Host15登錄的服務Login-Service16登錄的TCP端口Login-TCP-Port17未分配(unassigned)18回復消息Reply-Message19回叫電話號碼Callback-Number20回叫IDCallback-Id21未分配(unassigned)22路由配置Framed-Route23IPX網絡數字配置Framed-IPX-Network24狀態(tài)State25類別Class26供應商細節(jié)Vendor-Specific27會話時限Session-Timeout28空閑時限Idle-Timeout29終止動作Termination-Action30用戶撥打的電話號碼Called-Station-Id31用戶打出的電話號碼Calling-Station-Id32網絡接入服務器標識符NAS-Identifier33代理狀態(tài)Proxy-State34登錄的LAT服務Login-LAT-Service35登錄的LAT節(jié)點Login-LAT-Node36登錄的LAT組Login-LAT-Group37AppleTalk鏈路配置Framed-AppleTalk-Link38AppleTalk網絡配置Framed-AppleTalk-Network39AppleTalk區(qū)域配置Framed-AppleTalk-Zone40-59為記賬保留(reservedforaccounting)60CHAP盤問CHAP-Challenge61網絡接入服務器端口類型NAS-Port-Type62端口數限制Port-Limit63登錄的LAT端口Login-LAT-PortNAS設備RADIUS部分配置NAS設備RADIUS部分配置，S21和S35系列交換機為例配置交換機與RADIUSSERVER之間的通訊

Switch(config)#radius-serverhost1.1.1.1

Switch(config)#radius-serverkeyruijie交換機打開全局802.1X認證開關Switch(config)#aaaauthenticationdot1xSwitch(config)#end配置交換機SNMP協(xié)議Switch(config)#snmp-servercommunitypublicrwNAS設備RADIUS部分配置配置RADIUS記帳Switch(config)#aaaaccountingserver1.1.1.1Switch(config)#aaaaccounting配置端口為認證端口Switch(config)#interfacerangf0/1-23Switch(config-if)#dot1xport-controlauto啟動異常下線和記帳更新功能Switch(config)#dot1xclient-probeenableSwitch(config)#dot1xaccout-update-interval600RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文1：EAPOL-Start

首先由客戶端發(fā)起一個帶有組播目的MAC地址為“0180-C200-0003”的802.1X數據幀，其中802.1X頭部TYPE類型值為1，標明是EAPOL-Start報文，開始802.1X認證接入請求；DLCDestination=“0180-C200-0003”，表示組播目的MAC地址，因為SU不知到NAS設備在哪里；DLCEthertype=888E，表示鏈路層幀內承載著802.1X報文；802.1XVersion=1表示當前的802.1X協(xié)議版本是1；802.1XPacketType=1指定是EAPOL-Start報文；RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文3：EAP-Response/Identity

SU向NAS設備回應EAP-Response/Identity報文，其中包括用戶名信息；EAPcode=2，表示是EAP-Response報文；EAPIdentifier=1，表示是上一個EAP-Request請求的響應，因為和上一個EAP-Request的Identifier的值相同；EAPType=1，表示EAPDate中包含用戶名信息；EAPMessage=“l(fā)iufn”，表示用戶名是“l(fā)iufn”；

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文5：RADIUSAccess-Challenge

RADIUS服務器收到上一個報文后，在數據庫中查找是否有此用戶，同時根據服務器的策略設置，是否來匹配NASIP、NAS端口、用戶IP、用戶MAC等信息，如果通過，RADIUS服務器隨機產生一個加密字，用隨機產生的加密字和數據庫中用戶的口令進行MD5加密運算，得出一個結果。同時將隨機產生的加密字通過RADIUSAccess-Challenge報文發(fā)送給NAS設備；RADIUScode=11：表示是Access-Challenge挑戰(zhàn)報文；RADIUSMessage-Authenticator=“xxxx”：表示RADIUS服務器隨機產生的加密字；RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文6：EAP-Request/MD5-ChallengeNAS設備將收到RADIUS服務器的“隨機加密字”，然后封裝到EAP-Request/MD5-Challenge報文中發(fā)送給SU，要求SU進行認證；EAPType=4：表示這是一個MD5挑戰(zhàn)；EAPValue=“xxxx”：表示RADIUS隨機產生的加密字；

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文7：EAP-Response/MD5-Challenge客戶端收到EAP-Request/MD5-Challenge報文后，將用戶輸入的密碼和隨機字做MD5運算，將結果通EAP-Response/MD5-Challenge回應給NAS設備；EAPValue=“yyyy”：表示加密后的口令；RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文8：RADIUSAccess-Request

NAS設備通過Access-Challenge報文，將SU送上來的加密口令上傳給RADIUS服務器；RADIUSCode=1：表示是一個Access-Request報文；RADIUSMessage-Authenticator=“yyyy”：表示上傳給RADIUS的加密口令；

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文9：RADIUSAccess-AcceptRADIUS服務器將SU產生的加密字和自己運算的結果進行比較，看是否一致，判斷用戶是否合法。然后回應認證成功/失敗報文到NAS設備；RADIUSCode=2：表示是一個Access-Accept報文，通知NAS允許這個用戶接入網絡；

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文10：EAP-Success

NAS設備通過EAP-Success報文通知SU認證成功，可以接入網絡；EAPCode=3：NAS設備通知SU允許接入，是EAP-Success報文；

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文11：RADIUSAccounting-Request客戶端認證通過后，NAS開始向RADIUS服務器發(fā)起計費請求報文，要求對這個用戶進行計費處理；UDPDestinationPort=1813：UDP的端口號為1813，說明這個一個RADIUS計費報文；RADIUSCode=4：說明這個一個計費請求Accounting-Request報文；RADIUSAcct-Status-Type=1：說明這是一個計費開始請求報文，習慣上稱為Accounting-Start；RADIUS系統(tǒng)下用戶認證過程

RADIUS系統(tǒng)下用戶認證過程

報文12：RADIUSAccounting-Response

RADIUS服務器對該用戶進行計費處理后，對NAS設備通過Accounting-Response報文響應；