Radius原理_精品文档.ppt

1、Internal 802.1X&Radius原理学习完此课程，您将会：掌握802.1X的协议原理掌握RADIUS协议知识1 1 802.1x802.1x工作原理工作原理工作原理工作原理2 EAP和和EAPOL3 820.1x协议运行过程协议运行过程4 RADIUS协议原理协议原理5 RADIUS故障处理故障处理为什么需要802.1X？交换机Internet只要有物理连接，就提供所有服务PCAPCBPCC路由器数据服务器太容易访问网络资源了802.1X的作用？交换机Internet没通过验证，就不提供服务PCAPCBPCC路由器数据服务器为什么我的网卡不能正常工作？系统角色系统角色系统角色定义定

2、义验证者（Authenticator）对接入的网络实体进行验证的实体请求者（Supplicant）被所接入的验证者验证的网络实体验证服务器（Authentication Server）对验证者提供验证服务的实体，这种服务决定请求者是否被允许接入验证者所提供的服务受控端口和非受控端口验证者系统验证者系统非受控端口非受控端口受控端口受控端口未被授权未被授权的端口的端口LAN验证者系统验证者系统非受控端口非受控端口受控端口受控端口授权的端口授权的端口LAN端口控制模式模式模式行为行为强行未授权（ForceUnauthorized）受控端口被无条件设置为未授权状态强行授权（ForceAuthorize

3、d）受控端口被无条件设置为已授权状态自动（Auto）允许协议控制受控端口的授权状态工作原理请求者系统请求者系统请求者请求者PAE验证者系统验证者系统验证者验证者PAELAN验证服务器系统验证服务器系统验证服务器验证服务器验证者系统验证者系统提供的服务提供的服务承载在高层协议承载在高层协议中的中的EAP报文报文未被授权未被授权的端口的端口1 802.1x工作原理工作原理2 2 EAPEAP和和和和EAPOLEAPOL3 820.1x协议运行过程协议运行过程4 RADIUS协议原理协议原理5 RADIUS故障处理故障处理EAP报文格式Code值值报文类型报文类型1 请求（Request）2 回应（

4、Response）3 成功（Success）4 无效（Failure）请求和回应报文用于验证的信息成功和无效报文没有Type和Type-Data字段EAPOL报文格式VersionTypePacket Body LengthPacket Body.EAP报文被封装在此字段内EAPOL报文类型Type值值报文类型报文类型0EAP报文（EAP-Packet）1EAPOL开始报文（EAPOL-Start）2EAPOL注销报文（EAPOL-Logoff）3EAPOL信息报文（EAPOL-Key）4EAPOL告警报文（EAPOL-Encapsulated-ASF-Alert）EAPOL报文的二层报文头D

5、MACSMACTYPEEAPOLFCS字段字段内容内容DMAC01-80-C2-00-00-03SMAC端口的物理MAC地址TYPE88-8E发起认证发起者发起者动作动作请求者（Supplicant）发送一个EAPOL开始报文（EAPOL-Start）验证者（Authenticator）发送一个EAP请求报文（EAP Request）EAP交换过程举例请求者验证者验证服务器1EAPOL开始报文2EAP请求报文3EAP回应报文4使用RADIUS承载EAP5RADIUS接受报文6EAP成功报文注销机制原因原因描述描述底层协议原因物理端口不可用管理原因端口被手动配置为未授权状态定时器原因验证者的验证

6、定时器超时EAPOL注销报文请求者主动向验证者发送EAPOL注销报文RADIUS设计的组网结构Lsw2Lsw2城域网/光纤Lsw2Lsw2BASIPOX/PPPOX/Wlan等RADIUS原理l客户端客户端/服务器模式服务器模式在这个模型中，NAS/BAS服务器相于用户是服务器端，相于RADIUS服务器是客户端，其作用就是把用户的认证信息提取后封装为标准的RADIUS报文，并送到RADIUS服务器处理。RADIUS服务器根据NAS/BAS服务器送来的用户名和密码进行验证，并对用户的访问权限进行授权，同时NAS/BAS统计用户使用网络的信息（时间、流量）并送给RADIUS进行计费处理。RADIU

7、S概述 RADIUS是一种在网络接入服务器（是一种在网络接入服务器（Network Access Server）和共享认证服务器间传输认证授权和配置信息）和共享认证服务器间传输认证授权和配置信息的协议。它采用客户机的协议。它采用客户机/服务器（服务器（Client/Server）结构。）结构。路由器或路由器或NAS 上运行的上运行的AAA程序对用户来讲为服务器端，程序对用户来讲为服务器端，对对RADIUS服务器来讲是作为客户端。服务器来讲是作为客户端。RADIUS通过建通过建立一个唯一的用户数据库存储用户名用户的密码来进行立一个唯一的用户数据库存储用户名用户的密码来进行验证；存储传递给用户的服

8、务类型以及相应的配置信息验证；存储传递给用户的服务类型以及相应的配置信息来完成授权。当用户上网时路由器决定对用户采用何种来完成授权。当用户上网时路由器决定对用户采用何种验证方法。验证方法。RADIUS主要特征如下：主要特征如下：（1）客户）客户/服务器模式服务器模式（2）网络安全）网络安全（3）灵活认证机制）灵活认证机制（4）协议的可扩充性）协议的可扩充性RADIUS报文流程(完整PAP)Authentication_AckAuthentication_ReqCode=2（3）Code=1Code=5Code=4(start)ClientBasRadiusCode=5Code=4(real)C

9、ode=5Code=4(stop)logout_Acklogout_ReqRADIUS报文流程(CHAP)Authentication_AckChallenge_requestCode=2（3）Code=1ClientBasRadiuschallengeAuthentication_request计费过程同上一张RADIUS报文流程(RADIUS产生挑战字)RadiusAuthentication_AckChallenge_requestCode=2（3）Code=1ClientBasCode=11（access-challenge）challengeAuthentication_reques

10、tchallengeAuthentication_requestCode=1计费过程同前RADIUS协议栈结构RADIUSRADIUS报文结构RADIUS报文说明lCode，8bit，用以标识RADIUS报文的类型lIdentifier，8bit，用以匹配请求包和响应包lLength，16bit，标识报文的长度lAuthenticator，32bit，用以验证报文的合法性lAttribute，不定长，TLV格式，属性具体内容常用RADIUS报文介绍Code 1 Access-request 认证请求 2 Access-accept认证通过 3 Access-reject认证拒绝 4 Accou

11、nting-request计费请求 5 Accounting-response计费响应 11 Access-challenge挑战请求常用属性介绍属性属性说明说明属性属性说明说明1 User-Name1 User-Name用户名用户名28 Idle-Timeout28 Idle-Timeout闲置切断闲置切断2 User-Password2 User-PasswordPAPPAP密码密码32 NAS-Identifier 32 NAS-Identifier NAS-IDNAS-ID3 CHAP-Password3 CHAP-PasswordCHAPCHAP密码密码40 Acct-Status-

12、Type40 Acct-Status-Type计费类型计费类型4 NAS-IP-Address 4 NAS-IP-Address NAS-IPNAS-IP41 Acct-Delay-Time 41 Acct-Delay-Time 计费时延计费时延5 NAS-Port5 NAS-PortNAS-PORTNAS-PORT42 Acct-Input-Octets 42 Acct-Input-Octets 上行字节上行字节8 Framed-IP-Address8 Framed-IP-Address客户端地址客户端地址43 Acct-Output-Octets 43 Acct-Output-Octets

13、 下行字节下行字节11 Filter-Id11 Filter-IdUCL/ACLUCL/ACL44 Acct-Session-Id 44 Acct-Session-Id 计费标识计费标识18 Reply-Message18 Reply-Message拒绝消息拒绝消息46 Acct-Session-Time 46 Acct-Session-Time 在线时间在线时间25 Class25 ClassCARCAR47 Acct-Input-Packets 47 Acct-Input-Packets 上行包数上行包数26 Vendor-Specific 26 Vendor-Specific 自定义自定

14、义48 Acct-Output-Packets 48 Acct-Output-Packets 下行包数下行包数27 Session-Timeout27 Session-Timeout超时时间超时时间49 Acct-Terminate-Cause 49 Acct-Terminate-Cause 下线原因下线原因其它属性介绍本页属性以本页属性以MA5200 R007版本为例介绍了版本为例介绍了RADIUS所有属性，不同所有属性，不同产品在属性的定义上可能不同，具体请参考各产品的定义！产品在属性的定义上可能不同，具体请参考各产品的定义！RADIUS+1.0/1.1协议lRADIUS+1.0/1.1协

15、议报文格式及报文类型同RADIUS协议相同，只不过对报文属性的定义和支持上面有所不同，如connect_id等，具体格式的定义请参考各产品的RADIUS属性说明文档！Extended RADIUS Practicesl 6 Accounting Statusl7 Password Requestl8 Password Ackl9 Password Rejectl10 Accounting Messagel21 Resource Free Requestl22 Resource Free Responsel23 Resource Query Requestl24 Resource Query R

16、esponsel25 Alternate Resource Reclaim Requestl26 NAS Reboot Requestl27 NAS Reboot Response 29 Next Passcode 30 New Pin 31 Terminate Session 32 Password Expired 33 Event Request 34 Event Response 40 Disconnect Request 41 Disconnect Ack 42 Disconnect Nak 43 Change Filters Request 44 Change Filters Ack 45 Change Filters Nak 50 IP Address Allocate 51 IP Address Release这是对报文类型的扩展定义，目前在MA5200里支持的是40-45,参考RFC2882 Dynamic Authorization Extensions to RADIUSlDM=Disconnect MessageCode=41（42）Code=40BasRadiu