4 RADIUS培训V2.0

ISSUE数通技术支持部RADIUS协议1.0华为机密，未经许可不得扩散文档密级：内部公开引入RADIUS是RemoteAuthenticationDialInUserService的简称。最初设计用来管理使用串口和调制解调器的大量分散用户。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和记账信息：RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。NAS和RADIUS之间的验证信息的传递是通过密钥的参与来完成的。用户的密码加密以后才在网络上传递，以避免用户的密码在不安全的网络上被窃取。RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行验证;存储传递给用户的服务类型以及相应的配置信息来完成授权。华为机密，未经许可不得扩散文档密级：内部公开学习目标熟悉掌握RADIUS协议原理与报文流程学习完本课程，您应该能够：掌握RADIUS报文结构熟悉掌握RADIUS常用报文及常用属性能使用调试信息排除RADIUS相关故障华为机密，未经许可不得扩散文档密级：内部公开课程内容第一章RADIUS协议原理与报文流程第二章RADIUS报文结构第三章RADIUS常用报文及常用属性第四章RADIUS故障排除华为机密，未经许可不得扩散文档密级：内部公开第一章RADIUS协议原理与报文流程RADIUS协议原理RADIUS报文流程华为机密，未经许可不得扩散文档密级：内部公开RADIUS设计的组网结构Lsw2Lsw2城域网/光纤Lsw2Lsw2BASIPOX/PPPOX/Wlan等华为机密，未经许可不得扩散文档密级：内部公开RADIUS原理客户端/服务器模式在这个模型中，NAS/BAS服务器相于用户是服务器端，相于RADIUS服务器是客户端，其作用就是把用户的认证信息提取后封装为标准的RADIUS报文，并送到RADIUS服务器处理。RADIUS服务器根据NAS/BAS服务器送来的用户名和密码进行验证，并对用户的访问权限进行授权，同时NAS/BAS统计用户使用网络的信息（时间、流量）并送给RADIUS进行计费处理。华为机密，未经许可不得扩散文档密级：内部公开RADIUS报文流程(完整PAP)Authentication_AckAuthentication_ReqCode=2（3）Code=1Code=5Code=4(start)ClientBasRadiusCode=5Code=4(real)Code=5Code=4(stop)……logout_Acklogout_Req华为机密，未经许可不得扩散文档密级：内部公开RADIUS报文流程(CHAP)Authentication_AckChallenge_requestCode=2（3）Code=1ClientBasRadiuschallengeAuthentication_request计费过程同上一张……华为机密，未经许可不得扩散文档密级：内部公开RADIUS报文流程(RADIUS产生挑战字)Authentication_AckChallenge_requestCode=2（3）Code=1ClientBasRadiusCode=11（access-challenge）challengeAuthentication_requestchallengeAuthentication_requestCode=1计费过程同前华为机密，未经许可不得扩散文档密级：内部公开第二章RADIUS报文结构•RADIUS协议栈结构•RADIUS报文结构华为机密，未经许可不得扩散文档密级：内部公开RADIUS协议栈结构RADIUS华为机密，未经许可不得扩散文档密级：内部公开RADIUS报文结构华为机密，未经许可不得扩散文档密级：内部公开RADIUS报文说明Code，8bit，用以标识RADIUS报文的类型Identifier，8bit，用以匹配请求包和响应包Length，16bit，标识报文的长度Authenticator，32bit，用以验证报文的合法性Attribute，不定长，TLV格式，属性具体内容华为机密，未经许可不得扩散文档密级：内部公开第三章RADIUS常用报文及属性•RADIUS常用报文•RADIUS属性介绍华为机密，未经许可不得扩散文档密级：内部公开常用RADIUS报文介绍Code1Access-request认证请求2Access-accept认证通过3Access-reject认证拒绝4Accounting-request计费请求5Accounting-response计费响应11Access-challenge挑战请求华为机密，未经许可不得扩散文档密级：内部公开常用属性介绍属性说明属性说明1User-Name用户名28Idle-Timeout闲置切断2User-PasswordPAP密码32NAS-IdentifierNAS-ID3CHAP-PasswordCHAP密码40Acct-Status-Type计费类型4NAS-IP-AddressNAS-IP41Acct-Delay-Time计费时延5NAS-PortNAS-PORT42Acct-Input-Octets上行字节8Framed-IP-Address客户端地址43Acct-Output-Octets下行字节11Filter-IdUCL/ACL44Acct-Session-Id计费标识18Reply-Message拒绝消息46Acct-Session-Time在线时间25ClassCAR47Acct-Input-Packets上行包数26Vendor-Specific自定义48Acct-Output-Packets下行包数27Session-Timeout超时时间49Acct-Terminate-Cause下线原因华为机密，未经许可不得扩散文档密级：内部公开其它属性介绍本页属性以MA5200R007版本为例介绍了RADIUS所有属性，不同产品在属性的定义上可能不同，具体请参考各产品的定义！华为机密，未经许可不得扩散文档密级：内部公开RADIUS+1.0/1.1协议RADIUS+1.0/1.1协议报文格式及报文类型同RADIUS协议相同，只不过对报文属性的定义和支持上面有所不同，如connect_id等，具体格式的定义请参考各产品的RADIUS属性说明文档！华为机密，未经许可不得扩散文档密级：内部公开ExtendedRADIUSPractices6AccountingStatus7PasswordRequest8PasswordAck9PasswordReject10AccountingMessage21ResourceFreeRequest22ResourceFreeResponse23ResourceQueryRequest24ResourceQueryResponse25AlternateResourceReclaimRequest26NASRebootRequest27NASRebootResponse29NextPasscode30NewPin31TerminateSession32PasswordExpired33EventRequest34EventResponse40DisconnectRequest41DisconnectAck42DisconnectNak43ChangeFiltersRequest44ChangeFiltersAck45ChangeFiltersNak50IPAddressAllocate51IPAddressRelease这是对报文类型的扩展定义，目前在MA5200里支持的是40-45,参考RFC2882华为机密，未经许可不得扩散文档密级：内部公开DynamicAuthorizationExtensionstoRADIUSDM=DisconnectMessageCode=41（42）Code=40BasRadiusCOA=Change-of-AuthorizationMessagesCode=44（45）Code=43BasRadiusRadius通过此属性切断一个指定的用户Radius通过此属性动态修改一个指定的用户的权限华为机密，未经许可不得扩散文档密级：内部公开第四章RADIUS故障处理•RADIUS实际报文分析•RADIUS常见故障及处理华为机密，未经许可不得扩散文档密级：内部公开实际报文分析华为机密，未经许可不得扩散文档密级：内部公开RADIUS常见故障(1)RADIUS报文无响应：设备发出code=1/4的报文，没有收到这些报文的响应RADIUS地址错误密钥不正确端口不一致协议类型不一致属性不识别响应超时请求或响应报文丢失路由不可达RADIUS未配置对应的NAS-IP，或与报文中的IP地址不一致华为机密，未经许可不得扩散文档密级：内部公开RADIUS常见故障(2)RADIUS认证失败，收到code=3的拒绝报文[RADIUSDebug]Receive:IP=[218.106.145.163],Code=[3],Length=[112](T=1670014(s):13)[18Reply-Message][44][Errorcode30:Youhavenotimeusenetwork]RADIUS拒绝时一般都会在18号属性中带回明确拒绝原因，如果有时没有带回明确原因如：authenticationfailwithunknownreasons，则需要联系RADIUS配合检查。华为机密，未经许可不得扩散文档密级：内部公开RADIUS常见故障(3)RADIUS属性不识别，RADIUS已经响应CODE=2报文，但我们不识别此属性[RADIUSDebug]Receiverawpacketis:(T=1665482(s):42)02990050b8ab427daa805be0aff915707bf099af1c06000007081a0c000007db0106002000001a0c000007db0206002000001a02000007db0406002000001a0c000007db0506002000000806fffffffe华为机密，未经许可不得扩散文档密级：内部公开RADIUS常见故障理(4)RADIUS下发属性不生效两端定义格式不一致RADIUS未下发华为机密，未经许可不得扩散文档密级：内部公开RADIUS常见故障(5)RADIUS出现up/down告警，根本原因是RADIUS报文没有响应RADIUS地址错误密钥不正确端口不一致协议类型不一致属性不识别响应超时请求或响应报文丢失路由不可达RADIUS未配置对应的NAS-IP，或与报文中的IP地址不一致华为机密，未经许可不得扩散文档密级：内部公开RADIUS问题解决思路确认配置（RADIUS没有响应）和网络正常检查配置、PING测试路由网络是否正常分析报文根据RADIUS流程分析调试信息，是否有异常协调RADIUS一般RADIUS问题都需要协调RADIUS配合检查，除非从调试信息能定位出确认的问题原因。必要时抓包对于一些问题如RADIUSUP/DOWN等，需要知道报文在网络上传输的时间，此时就只有通过抓包来确认；华为机密，未经许可不得扩散文档密级：内部公开