RADIUS计费配置方案培训教材
Radius原理与应用培训教材
目录第一章 AAA和RADIUS介绍 (2)第二章RADIUS协议 (4)2.1 引论 (4)2.2 客户服务器模式 (4)2.3 用户<——>NAS<——>Radius业务流程说明 (4)2.4 网络安全 (5)2.4.1 包签名: (5)2.4.2 口令加密: (6)2.5 AAA在协议栈中的位置 (9)2.6 良好的可扩展性 (9)第三章标准RADIUS协议 (11)3.1 标准Radius协议包结构 (11)3.2 常用标准Radius属性说明 (13)3.3 华为公司宽带产品Radius标准属性 (14)第四章华为公司的Radius扩展协议——Radius+ v1.1 (17)4.1 Radius+简介 (17)4.1.1 扩展Radius+的目的 (17)4.1.2 可靠性、安全性与Radius相同 (17)4.2 Radius+报文 (18)4.2.1 Radius+认证报文 (18)4.2.2 Radius+计费报文 (22)4.2.3 Radius+新增报文 (26)第五章华为NAS设备与Radius Server对接应用实例 (29)5.1 组网图 (29)5.2 用户认证计费应用实例分析 (29)5.2.1 合法用户 (29)5.2.2 非法用户 (32)关键词:RADIUS、AAA、PAP、CHAP、PPP、NAS、TCP、UDP。
摘要:90年代中期以来,Internet 业务量的增长已构成数据业务的主要增长因素,IP成为电信网是不争的事实。
但是目前的IP网络还不是一个电信级的网络,它的可运营、可管理特性同PSTN相比还存在较大差距。
从可运营性方面来说,针对个人用户,IP网络目前仅仅解决了一个上网的问题,用户仅能收发一些电子邮件和从网络上搜索一些信息而已,还不能提供个性化的业务以吸引更多个人用户上网,如Portal、个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网等等。
RADIUS培训教材
一个网络允许外部用户通过公用网对其进行访问大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问也可以从这个网络得到自己想要的信息网络安全就成为很重要的问题了对modem pool 的管理就成为网络接入服务器或路由器的任务获得访问权的用户可以允许使用哪些服务AAA很好的完成了这三项任务存储用户名1.1 客户服务器模式图1 用户RADIUS 服务器的关系路由器上运行的AAA程序对用户来讲为服务器端当用户上网时下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP用户以明文的形式把用户名和他的密码传递给路由器如果存在相同的用户名和密码表明验证通过,否则表明验证未通过Challenge Handshake Authentication Protocol当用户请求上网时同时还有一个ID号生成一个response传给NASµÃµ½ºÍÓû§¶Ë½øÐмÓÃÜËùÓõÄÒ»ÑùµÄÃÜÂë过程略有不同路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器在端口上采用CHAP验证当用户请求上网时同时还有一个ID号生成一个response传给NAS²¢°ÑÔ-À´µÄ16字节随机码传给RADIUS服务器得到和用户端进行加密所用的一样的密码将其结果与传来的Password作比较如果不相同表明验证失败RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问并且RADIUS要求特别的定时器管理机制当处理大量用户时服务器端采用多线程TCP是必须成功建立连接后才能进行数据传输的RADIUS要有重传机制和备用服务器机制TCP不能很好的满足LengthAuthenticator16 字节长分为Request authenticator 和 response authenticatorCode+ID+Length+RequestAuth+Attribute+Secret -nam User3 Code = 1 (Access-Request) ID = 0 Length = 56 Request Authenticator = {16 octet random number} Attributes: User-Name = "nemo" 告诉把用户 nemo 登陆到主机 192.168.1.3.Code = 2 (Access-Accept) ID = 0 (same as in Access-Request) Length = 38 Response Authenticator = {16-octet MD-5 checksum of the code (2), id (0), Length (38), the Request Authenticator from above, the attributes in this reply, and the shared secret} Attributes: Service-Type = Login-User Login-Service = Telnet Login-Host = 192.168.1.3 1.3.2用CHAP验证的固定用户 User-name 20 Protocol Framed-Protocol=PPP 暗示 RADIUS server 这个用户要使用PPP服务 Code = 2 (Access-Accept) ID = 1 (same as in Access-Request) Length = 56 Response Authenticator = {16-octet MD-5 checksum of the code (2), id (1), Length (56), the Request Authenticator from mopsy Port logging in RADIUS server 发送 Access-Challenge UDP 数据包到 NAS. Code = 11 (Access-Challenge} ID = 2 (same as in Access-Request) Length = 78 Response Authenticator = {16-octet MD-5 checksum of the code (11), id (2), length (78), the Request Authenticator from above, the attributes in this reply, and the shared secret} Attributes: Reply-Message = "Challenge 32769430. Enter response at prompt." State = {Magic Cookie to be returned along with user's response; in this example 8 octets of data} 用户输入了他的回应,NAS 发送一个新的带有用户输入的回应的Access-Request 给RADIUS server Code = 3 (Access-Reject) ID = 3 (same as in Access-Request) Length = 20 Response Authenticator = {16-octet MD-5 checksum of the code (3), id (3), length(20), the Request Authenticator from above, the attributes in this reply if any, and the shared secret} Attributes: (none, although a Reply-Message could be sent) filter ID等一般用于代理服务器0xfffffffe 让nas去分配地址配置给用户的MTU Framed-Compression连接所用的压缩协议 0 None 1 VJ TCP/IP header compression [5] 2 IPX header compression Login-IP-Host0xffffffff 让用户去选择IP-Host0 让nas去分配IP-Host其它使用radius服务器返回的IP-Host Login-Service 0 Telnet 1 Rlogin 2 TCP Clear 3 PortMaster (proprietary) 4 LAT Login-TCP-Port 用户所要连接到的tcp端口号当Login-Service也出现的时候而是通过传输协议与nas进行连接 Port-Limit nas提供给用户可以连接的端口的最大数量Termination-Action当连接断开后。
计算机网络形考5实训14RADIUS服务的配置与使用
计算机网络形考5实训14RADIUS服务的配置与使用1. 介绍本文档旨在介绍RADIUS(远程身份验证拨号用户服务)服务的配置与使用。
RADIUS是一种用于提供网络用户身份验证、授权和帐户信息管理的协议。
2. 配置RADIUS服务以下是配置RADIUS服务的步骤:1. 在服务器上安装RADIUS服务器软件,并确保其正确设置。
2. 配置RADIUS服务器的认证方法,可以使用本地数据库或外部认证服务器(例如Active Directory)。
3. 配置RADIUS服务器的授权策略,包括访问控制和帐户管理规则。
4. 配置RADIUS客户端,使其能够与RADIUS服务器进行通信。
5. 测试RADIUS服务器的功能,确保正确配置。
3. 使用RADIUS服务一旦RADIUS服务已成功配置,可以使用它来实现以下功能:1. 用户身份验证:用户可以使用他们的凭据(例如用户名和密码)登录到网络服务。
2. 访问控制:RADIUS可以根据用户的身份和其他属性,决定其对网络资源的访问权限。
3. 记录账户信息:RADIUS可以记录用户的登录信息、使用时间和流量消耗等账户信息。
4. 账号管理:管理员可以使用RADIUS服务管理用户的帐户信息,例如重置密码或修改用户权限。
4. 注意事项在配置和使用RADIUS服务时,需要注意以下事项:1. 安全性:确保RADIUS服务器和通信渠道的安全设置,以防止未经授权的访问和数据泄露。
2. 日志记录:建议启用RADIUS服务器的日志记录功能,以便跟踪用户活动和故障排除。
3. 时钟同步:确保RADIUS服务器和客户端的时钟是同步的,以避免认证和授权问题。
5. 总结RADIUS服务是一种用于网络用户身份验证和授权管理的重要工具。
通过正确配置和使用RADIUS服务器,可以实现安全、可靠的用户访问控制和帐户管理。
在使用RADIUS服务时,务必注意安全性和日志记录等注意事项。
第15章 RADIUS认证服务器的安装与配置实训
3)配置交换机的认证端口。 可以使用interface range命令批量配置端口,这里我们只对 FastEthernet0/1启用IEEE 802.1x认证。配置命令如下:
Cisco2950(config)#interface fastEthernet 0/1 Cisco2950(config-if)#switchport mode access (设置端口模式为access) Cisco2950(config-if)#dot1x port-control auto (设置802.1x认证模式为自 动) Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重 试时间为10秒) Cisco2950(config-if)#dot1x timeout reauth-period 30 (设置认证失败重 连时间为30秒) Cisco2950(config-if)#dot1x reauthentication (启用802.1x认证) Cisco2950(config-if)#spanning-tree portfast (开启端口portfast特性) Cisco2950(config-if)#end
第15章
RADIUS 认证服务器的安装与 配置实训
实训目的与实训环境
实训目的
了解无线相关基本知识 了解802.1X相关基本知识 掌握RAIDIUS服务器的安装和配置
实训环境
Windows Server 2003计算机一台 运行Windows XP/ Windows Server 2003/Windows 7操作系 统的PC一台 带无线网卡的PC一台 普通交换机一台,思科2950交换机一台,TP-Link710N无线 路由器一台
Raduis+协议培训胶片
BAS (ISN8850/ MA5200) MA5200)
接入设备 PC
2
Radius+报文格式 Radius+报文格式
RADIUS+报文格式和RADIUS报文格式完全相同,RADIUS+报文格式如下图: RADIUS+报文格式和RADIUS报文格式完全相同,RADIUS+报文格式如下图: 报文格式和RADIUS报文格式完全相同 报文格式如下图 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Request Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes ... +-+-+-+-+-+-+-+-+-+-+-+-+报文类型, RADIUS+协议中 Code值含义如下 协议中, 值含义如下: Code :报文类型,在RADIUS+协议中,Code值含义如下: Access1 Access-Request Access2 Access-Accept Access3 Access-Reject Accounting4 Accounting-Request Accounting5 Accounting-Response Session20 Session-Control
《Radius协议》课件
Radius服务器
定义
Radius服务器是Radius协议中的核心 组件,负责管理网络访问设备的认证 、授权和计费信息。
安全性
Radius服务器使用共享密钥进行身份 验证,确保通信的安全性。
功能
提供集中式管理,支持多种认证方法 ,如用户名/密码、数字证书等,并可 对用户进行授权,控制其访问权限。
客户端
THANKS FOR WATCHING
感谢您的观看
配置密钥长度
选择适当的密钥长度,以确保数据传输的安全性 。
配置加密算法
选择适当的加密算法,如AES、DES等,以确保数 据传输的安全性。
05 Radius协议的优缺点
优点
安全性高
Radius协议使用加密技 术来保护传输的数据,
确保数据的安全性。
灵活性
Radius协议支持多种认 证和授权方式,可以根 据实际需求进行灵活配
配置客户端
安装客户端软件
根据所使用的操作系统和软件版 本,按照相应的安装指南进行安
装。
配置服务器地址
输入Radius服务器的IP地址或主 机名,以便客户端能够与服务器
建立连接。
配置认证参数
根据所使用的认证方式,配置相 应的认证参数,如用户名、密码
、数字证书等。
配置共享密钥
生成共享密钥
在Radius服务器和客户端上生成相同的共享密钥 ,用于加密传输的数据。
预付费计费
Radius协议也支持预付费计费方式,用户可以预先购买一定量的使用额度,当 额度用完时自动停止服务。
客户端支持
跨平台支持
Radius协议可以在多种操作系统和设备上运行,如Windows 、Linux、Mac OS等。
4 RADIUS培训V2.0
属性不识别
端口不一致
路由不可达
密钥不正确
响应超时
请求或响应报 文丢失
RADIUS地址错误
RADIUS未配置对应的NAS-IP,或与报文中的IP地址不一致
华为机密,未经许可不得扩散 文档密级:内部公开
RADIUS问题解决思路
确认配置(RADIUS没有响应)和网络正常
检查配置、PING测试路由网络是否正常
华为机密,未经许可不得扩散
文档密级:内部公开
第三章
RADIUS常用报文及属性
•RADIUS常用报文
•RADIUS属性介绍
华为机密,未经许可不得扩散
文档密级:内部公开
常用RADIUS报文介绍
Code 1 2 3 4 5 11 Access- request 认证请求 Access- accept 认证通过 Access- reject 认证拒绝 Accounting-request 计费请求 Accounting-response 计费响应 Access-challenge 挑战请求
Authentication_request
Code=1 Code=2(3) Authentication_Ack
计费过程同前
华为机密,未经许可不得扩散 文档密级:内部公开
第二章 RADIUS报文结构
•RADIUS协议栈结构
•RADIUS报文结构
华为机密,未经许可不得扩散
文档密级:内部公开
RADIUS协议栈结构
Lsw2 Lsw2 Lsw2 Lsw2
BAS
城域网/光纤
华为机密,未经许可不得扩散
文档密级:内部公开
RADIUS原理
客户端/服务器模式
实训4-3:Radius认证服务器的配置
某企业要求用户在连接到网络之前需要输入用户 名和密码,只有合法用户才能连接到企业网络, 防止非法用户窃取企业信息或对网络进行攻击。 802.1x协议是基于Client/Server的访问控制和 认证协议。它可以限制未经授权的用户/设备通 过接入端口访问局域网或广域网。在获得交换机 或局域网提供的各种业务之前,802.1x对连接到 交换机端口上的用户/设备进行认证。在认证通 过之前,802.1x只允许EAPoL(基于局域网的扩 展认证协议)数据通过设备连接的交换机端口; 认证通过以后,正常的数据可以顺利地通过以太 网端口。
向导模式”,输入“策略名”,如所示
4.设置远程访问策略
(3)在“访问方法”窗口,选择访问方法为“以太网”
,如所示。
4.设置远程访问策略
(4)在“用户或组访问”窗口,选择授权方式,将之前
添加的"802.1x"用户组加入许可列表,如所示。
4.设置远程访问策略
(5)在“身份验证方法”窗口,选择身份验证方法为
用中也可以是VPN服务器、无线AP等,而不是用户端的计 算机。RADIUS服务器只会接受由RADIUS客户端设备发过 来的请求,为此需要在RADIUS服务器上来指定RADIUS客 户端。 (1)在“Internet验证服务”窗口,右击“RADIUS客户 端”,选择【新建RADIUS客户端】菜单,如所示。
1.安装RADIUS服务器
(1)选择【开始】 【控制面板】 【添加或删除
程序】菜单,在打开的对话框中选择“添加/删除 Windows组件”,如所示。
1.安装RADIUS服务器
(2)选择“网络服务”组件,单击
“网络服务”对话框,如所示。
详细信息(D)...
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
RADIUS计费配置方案培训教材目录第一章 RADIUS计费介绍 ---------------------------------------------------- 3第二章 RADIUS协议计费部分 ----------------------------------------------- 42.1 简述 --------------------------------------------------------------------------- 42.2 RADIUS记帐包结构---------- -------------------------------------------- 42.3 计费属性---------- ---------------------------------------------------------- 5第三章 RADIUS计费配置------------ ----------------------------------------- 63.1 NAS 计费典型配置------------------------------------------------------- 63.1.1 使用RADIUS验证的计费配置---------------------------------- 63.1.2 使用本地验证的计费配置--------------------------------------- 63.2 R ADIUS 计费主要配置功能列表---------- --------------------------- 73.2.1 AAA记账选择配置---------- -------------------------------------- 73.2.2 RADIUS server 配置---------- ------------------------------------ 73.2.3 RADIUS 实时计帐包发送时间间隔配置---------------------- 83.2.4 RADIUS计费用到的其他命令----------------------------------- 8第四章 AAA新增加验证功能配置-------------------------------------------- 94.1 AAA LOGIN验证配置---------- ------------------------------------------ 94.2 用户配置(user命令)--------------------------------------------------------- 94.2.1 授权用户可以使用的服务---------- ------------------------------ 94.2.2 配置FTP用户的目录权限- -------------------------------------- 104.2.3配置主叫号码的验证------- -------------------------------------- 10附录1 补充后的所有验证命令检索(按字母顺序)--- ------------------------ 11第一章 RADIUS计费介绍图1 PSTN,ISDN用户通过路由器上网示意图用户 lqz, lst 要求得到某些服务(如PPP,telnet, FTP)。
其必须通过NAS, 由 NAS与所连服务器通信进行验证,验证通过后,在服务过程中,NAS还可以通过与所连接的记帐服务器进行通信,记录其使用网络资源的情况,实现计费功能。
网络接入服务器简称NAS(Network Access Server) 。
当用户想要通过某个网络(如电话网)与NAS建立连接,并已经通过验证获得访问其他网络的权利(或取得使用某些网络资源的权利)时, NAS负责把用户的记账信息传递给RADIUS服务器,RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息。
RADIUS服务器负责接收用户的记帐请求,存储记帐信息,并返回响应。
RADIUS服务器记录的计费信息包括输入字节数,输出字节数,输入包数,输出包数及该次上网的会话时长等。
可以在RADIUS服务器查询这些信息。
RADIUS计费可以和RADIUS验证一起使用,也可以单独使用。
第二章 RADIUS协议计费部分2.1 简述RADIUS 协议的记帐端口号为1813。
接收NAS传来的记帐请求包,对其中的用户计费信息进行储存,并向客户端发送响应数据包,以确认其收到计费信息。
2.2 RADIUS记帐包结构其记帐包结构与验证完全一样。
图2 包格式Code4 Accounting-request5 Accounting-responseIdentifier用于匹配请求包和回应包。
Length所有域的长度。
Authenticator16 字节长。
用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。
分为Request authenticator 和 response authenticator 。
RequestAuth = 16 字节的随机码ResponseAuth = MD5(Code+ID+Length+RequestAuth+Attribute+Secret)Attributes图3 属性格式Type属性类型Length属性长度ValueStringAddressIntegerTime2.3 计费属性以下是实现计费的一些属性,前面的数字是属性编号。
40 Acct_Status-Type指示计费包的类型(计费开始、停止等)1 Start2 Stop7 Accounting-On8 Accounting-Off44 Acct-Session-Id用于匹配计费开始包和停止包45 Acct-Authentic验证用户的方式1 RADIUS2 Local3 Remote:指使用非RADIUS的远程验证。
41 Acct-Delay-Time服务的延迟时间42 Acct-Input-Octets在该端口上的输入字节数43 Acct-Output- Octets在该端口上的输出字节数47 Acct-Input-Packets在该端口上的输入包数48 Acct-Output-Packets在该端口上的输出包数46 Acct-Session-Time该次上网的会话时长第三章 RADIUS计费配置3.1 NAS 计费典型配置3.1.1 使用RADIUS验证的计费配置使用RADIUS验证时,记帐服务器与验证服务器可以是同一个,也可以不同。
下面是配置方3.1.2 使用本地验证的计费配置对于本地验证,仍然要计费,而计费只能在RADIUS服务器上,因此仍然要配置记帐服务器。
在RADIUS验证配置中我们知道几种验证方法可以配合使用,而对于计费只有在验证方法为none时才不计费,其它时候都要计费。
3.2 R ADIUS 计费主要配置命令功能列表AAA配置没有单独的计费配置命令,计费的配置是和验证联系在一起的,对配了AAA验证,且验证方法不是none时进行计费。
下面是一些与计费相关的配置命令。
3.2.1 AAA记账选择(accounting option)配置NAS向记账服务器发记账包后,系统启动定时器。
如果没有记账服务器的响应,则由NAS 负责重传,当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应,此时若配置了aaa accounting optional命令,则用户继续使用网络资源。
否则用户被切断。
缺省:no aaa accounting optional3.1.2 RADIUS server 配置在全局配置模式下进行如下操作可指定RADIUS服务器的地址和监听端口号。
auth-port port-number的缺省值为 1812acct-port port-number的缺省值为 1813auth-port port-number为 0 表示本服务器不作为验证服务器之用acct-port port-number为 0 表示本服务器不作为记账服务器之用例: radius-server host129.102.0.1 auth-port 1000 acct-port 1001radius-server host129.102.0.2 auth-port 1000 acct-port 0radius-server host129.102.0.3 auth-port 0 acct-port 1001radius-server host129.102.0.4 auth-port 1000radius-server host129.102.0.5命令1: 指定IP地址为 129.102.0.1 的主机作为验证和记账服务器。
其中验证使用端口1000,记账使用端口1001。
命令2: 指定IP地址为 129.102.0.2 的主机只作为验证服务器。
其中验证使用端口1000。
命令3: 指定IP地址为 129.102.0.3 的主机只作为记账服务器。
其中记账使用端口1001。
命令4: 指定IP地址为 129.102.0.4 的主机作为验证和记账服务器。
其中验证使用端口1000,记账使用默认端口1813。
命令5: 指定IP地址为 129.102.0.5 的主机作为验证和记账服务器。
其中验证使用默认端口1812,记账使用默认端口1813。
注1:按上例, 选择验证服务器的顺序依次为a:129.102.0.1 --- b:129.102.0.2 --- c:129.102.0.4 --- d: 129.102.0.5。
(如果a不能工作了,选用b;如果 b也不能工作了,选用c;依此类推)注2:按上例, 选择记账服务器的顺序依次为a:129.102.0.1 --- b:129.102.0.3 --- c:129.102.0.4 --- d:129.102.0.5。
(如果a不能工作了,选用b;如果 b也不能工作了,选用c;依此类推)注3:对一个服务器主机即用做验证又用做计费时,当一个功能不能工作时就认为此服务器不能工作,即验证、计费均不能工作。
3.2.3 RADIUS实时计帐包发送时间间隔(radius-server real-time-acct-timeout )配置用户通过验证后,NAS以配置的时间间隔向RADIUS服务器发送用户的实时记账信息。
如果实时记账请求失败,将根据 accouting optional 命令配置情况对用户进行处理。