路由系统的radius认证应用

目录第一章 AAA和RADIUS介绍 (2)第二章RADIUS协议 (4)2.1 引论 (4)2.2 客户服务器模式 (4)2.3 用户<——>NAS<——>Radius业务流程说明 (4)2.4 网络安全 (5)2.4.1 包签名： (5)2.4.2 口令加密： (6)2.5 AAA在协议栈中的位置 (9)2.6 良好的可扩展性 (9)第三章标准RADIUS协议 (11)3.1 标准Radius协议包结构 (11)3.2 常用标准Radius属性说明 (13)3.3 华为公司宽带产品Radius标准属性 (14)第四章华为公司的Radius扩展协议——Radius+ v1.1 (17)4.1 Radius+简介 (17)4.1.1 扩展Radius+的目的 (17)4.1.2 可靠性、安全性与Radius相同 (17)4.2 Radius+报文 (18)4.2.1 Radius+认证报文 (18)4.2.2 Radius+计费报文 (22)4.2.3 Radius+新增报文 (26)第五章华为NAS设备与Radius Server对接应用实例 (29)5.1 组网图 (29)5.2 用户认证计费应用实例分析 (29)5.2.1 合法用户 (29)5.2.2 非法用户 (32)关键词：RADIUS、AAA、PAP、CHAP、PPP、NAS、TCP、UDP。

摘要：90年代中期以来，Internet 业务量的增长已构成数据业务的主要增长因素，IP成为电信网是不争的事实。

但是目前的IP网络还不是一个电信级的网络，它的可运营、可管理特性同PSTN相比还存在较大差距。

从可运营性方面来说，针对个人用户，IP网络目前仅仅解决了一个上网的问题，用户仅能收发一些电子邮件和从网络上搜索一些信息而已，还不能提供个性化的业务以吸引更多个人用户上网，如Portal、个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网等等。

radius认证原理Radius（Remote Authentication Dial In User Service，远程身份验证拨入用户服务）是一种网络协议，用于在计算机网络中进行用户身份验证和授权。

它最初是为拨号用户进行身份验证和授权而设计的，但现在也广泛应用于其他网络接入方式，如无线局域网（Wi-Fi）、虚拟专用网（VPN）等。

Radius认证的原理主要包括三个角色：客户端、认证服务器和用户数据库。

当用户在客户端（如路由器或无线接入点）上进行身份验证时，客户端将用户的身份验证请求发送到认证服务器。

认证服务器将会根据用户提供的用户名和密码，与用户数据库进行比较。

认证服务器从用户数据库中获取存储的用户名和密码信息，并使用加密算法对密码进行比对。

如果用户提供的用户名和密码与数据库中的匹配，则认证服务器会向客户端发送一个认证成功的消息，并允许用户继续访问网络资源。

如果身份验证失败，则认证服务器将发送一个认证失败的消息，并拒绝用户的访问请求。

在Radius认证过程中，用户名和密码信息是通过加密算法进行传输的，以确保安全性。

常见的加密算法包括MD5和SHA-1等。

此外，Radius 还支持使用其他安全协议，如TLS（Transport Layer Security），以加强数据的保护。

Radius还可以通过其他认证协议进行扩展，如EAP（Extensible Authentication Protocol），以支持更多的身份验证方法，如基于证书的身份验证或基于令牌的身份验证。

总结起来，Radius认证通过客户端、认证服务器和用户数据库之间的通信，对用户提供的用户名和密码进行验证，以确定用户是否有权访问网络资源。

通过加密算法和安全协议的支持，Radius认证能够确保身份验证的安全性和可靠性。

网络协议知识：RADIUS协议的定义和应用场景RADIUS（远程身份验证拨号用户服务）是一种网络协议，用于提供网络用户的统一身份验证、授权和账单计费。

RADIUS协议最初被设计用于拨号接入服务器（NAS）和远程访问服务器（RAS），以提供对拨号用户的访问控制和账单计费功能。

随着网络的发展，RADIUS协议的应用场景也逐渐扩展到了其他网络设备和服务，如无线接入点、虚拟专用网络（VPN）、以太网交换机等。

RADIUS协议的定义和工作原理RADIUS协议是建立在客户端-服务器模型之上的，其中客户端通常是用户通过网络设备（如路由器、交换机、无线接入点等）向RADIUS 服务器进行认证、授权和计费请求的代理。

RADIUS服务器则负责验证用户身份、授权用户的访问权限、并在必要时记录用户的网络访问行为和资源使用情况。

RADIUS协议的工作流程一般包括以下几个步骤：1.用户请求访问网络资源。

2.客户端向RADIUS服务器发送认证请求。

3. RADIUS服务器接收认证请求，验证用户身份，并返回相应的认证结果给客户端。

4.如果认证成功，客户端按照RADIUS服务器返回的授权信息，向网络设备发送相关的配置信息，从而允许用户访问网络资源。

5. RADIUS服务器会记录用户的网络访问行为和资源使用情况，以便后续的账单计费和审计。

总体来说，RADIUS协议实现了用户的身份验证、访问控制和账单计费功能，是一种非常有效和灵活的网络身份验证协议。

RADIUS协议的应用场景由于RADIUS协议具有灵活、可扩展、安全的特点，因此在网络中得到了广泛的应用。

其主要应用场景包括以下几个方面：1.远程接入RADIUS协议最初是为了支持用户通过拨号、DSL或ISDN等方式进行远程接入网络而设计的。

在这种场景下，RADIUS服务器提供用户的统一身份验证和授权服务，以及对用户网络访问的账单计费功能。

客户端可以是拨号接入服务器（NAS）、远程访问服务器（RAS）或者其他专门用于管理远程接入用户的设备。

RADIUS是英文(Remote Authentication Dial In User Service)的缩写，是网络远程接入设备（RAS）- 客户以及包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。

它包含有关用户的专门简档，如：用户名、接入口令、接入权限等。

这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面：认证部分、客户协议以及记费部分,其中：RADIUS 认证部分一般安装在网络中的某台服务器上，即RADIUS认证服务器；客户协议运行在远程接入设备上，如：远程接入服务器或者路由器。

这些RADIUS客户把认证请求发送给RADIUS认证服务器，并按照服务器发回的响应做出行动；RADIUS记费部分收集统计数据，并可以生成有关与网络建立的拨入会话的报告。

RADIUS认证系统的典型工作模式如下所示：(一) 网络用户登录网络时，访问服务器（RADIUS客户机）会有一个客户定义的Login提示符要求用户直接输入用户信息（用户名和口令），或者通过PPP协议要求远程的登录用户输入用户信息。

(二) 采用RADIUS验证的访问服务器在得到用户信息后，将根据RADIUS标准规定的格式，向RADIUS服务器发出“Access-Request”访问请求包。

包中包括以下RADIUS属性值：用户名、用户口令、访问服务器的ID、访问端口的ID。

其中的用户口令采用MD5加密处理。

(三) 访问服务器在发出“Access-Request”包之后，会引发计时器和计数器。

当超过重发时间间隔时，计时器会激发访问服务器重发“Access-Request”包。

当超过重发次数时，计数器会激发访问服务器向网络中的其他备份RADIUS服务器发出“Access-Request”包。

（注：具体的重发机制，各家厂商的RADIUS服务器的处理方法不同。

）(四) 当RADIUS服务器收到“Access-Request”包后，首先验证访问服务器的Secret与RADIUS服务器中预先设定的Secret是否一致，以确认是所属的RADIUS客户（访问服务器）送来的“Access-Request”包。

今天来谈谈802.1X协议，以及如何来使用该协议实现用户接入控制802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。

“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。

一、802.1x的体系结构使用802.1x 的系统为典型的Client/Server 体系结构，包括三个实体：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服务器），如下图所示。

1.客户端是位于局域网段一端的一个实体，由连接到该链接另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户通过启动客户端软件发起802.1x认证。

客户端软件必须支持EAPOL （EAP over LANs，局域网上的EAP）协议。

2.设备端是位于局域网段一端的一个实体，用于对连接到该链接另一端的实体进行认证。

设备端通常为支持802.1x协议的网络设备它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

3.认证服务器是为设备端提供认证服务的实体。

认证服务器用于实现用户的认证、授权和计费，通常为RADIUS 服务器。

该服务器可以存储用户的相关信息，例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。

二、802.1x的工作机制IEEE 802.1x认证系统利用EAP（Extensible Authentication Protocol，可扩展认证协议）协议，作为在客户端和认证服务器之间交换认证信息的手段。

1.在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。

RADIUS协议原理及应用目录培训目标 (2)前言 (2)1 RADIUS协议介绍 (2)2 RADIUS协议报文结构 (3)2.1 Radius协议报文格式 (3)2.2 Code域 (3)2.3 Identifier域 (4)2.4 Length域 (4)2.5 Authenticator (4)2.6 Attributes域 (5)2.6.1 Type域 (5)2.6.2 Length域 (5)2.6.3 Value域 (6)2.6.4常用属性类型列表 (6)3 NAS设备RADIUS部分配置举例 (8)4 RADIUS系统下用户认证过程 (9)4.1 报文1：EAPOL-Start (9)4.2 报文2：EAP-Request/Identity (10)4.3 报文3：EAP-Response/Identity (10)4.4 报文4：RADIUS Access-Request (11)4.5 报文5：RADIUS Access-Challenge (12)4.6 报文6：EAP-Request/MD5-Challenge (13)4.7 报文7：EAP-Response/MD5-Challenge (14)4.8 报文8：RADIUS Access-Request (14)4.9 报文9：RADIUS Access-Accept (15)4.10 报文10：EAP-Success (16)4.11 报文11：RADIUS Accounting-Request (17)4.12 报文12：RADIUS Accounting-Response (18)4.13 报文13：EAPOL-Logoff (18)4.14 报文14：RADIUS Accounting-Request (19)4.15 报文15：RADIUS Accounting-Response (20)4.16 报文16：EAP-Failure (21)培训目标●了解RADIUS协议基本概念；●熟悉RADIUS协议报文结构；●熟悉RADIUS协议工作原理；前言企业要求只有授权的用户才能访问自己的内部网络，教育网采取根据流量计费的策略，VOD系统根据点播的时间收费等等。

ROS自带radius认证计费系统应用教程2010-01-30 01:24:36标签：ROS radius首先建立PPPOE服务器，然后设置地址池，这两步就不多说了。

设置ROS服务器与radius服务器的连接，点击菜单radius跳出设置界面点+设置radius服务器的IP地址，连接密钥（自己设定），端口（用默认）等参数。

看图1图1在IE地址栏输入http://路由IP/userman用户名：admin 密码：空登录radius管理页面点击菜单routers下的add跳出设置界面，设置pppoe服务器名和地址及连接密钥，下面的复选框是LOG记录，不勾就不记录。

看图2图2点击菜单Credits下的add跳出设置界面添加信用应用，这是包年的信用设置，这个可以自己任意设，看图3图3设置好后，看图4图4点击菜单users下的add跳出设置菜单添加用户，看图5图5设置好后，看图6 图6用户添加也可以用菜单status页的多用户批量添加，看图7图7用户名和密码都会随机生成。

完成全部设置后就可以认证计费了，可以做到包时、包天、包周、包月、包年，而且可以对指定帐号增加时间，也可以对单帐号单独限速。

如何设置RouterOS中的Radius首先设置RouterOS上的Radius参数和Hotspot的配置，进入路由器的Radius目录设置Radius 服务器的IP地址和访问密码，并配置Hostpot需要通过Radius认证：这里是通过本来Radius做认证，所以address输入的是本地的IP地址，并设置Secret为hotspot。

然后进入/ip hotspot目录，在servers的profile中配置Radius服务：设置完hotspot profile的Radius参数后，这样RouterOS的Radius参数就配置完成，下面需要配置User Manager的参数：进入User Manager中的Router项配置与本地的RouterOS连接参数，我们添加一个项目，将名称取名为“demo”，在User Manager中同样的我们将IP地址设置为RouterOS的本地IP，Secret为hotspot。

radius认证过程（Radius authentication process）1。

系统启动好后，监听端口侦听身份验证*：1812听会计*：1813准备处理请求。

2。

收到客户端认证请求rad_recv：从主机192.168.4.98:1812访问请求数据包，编号为1，长度= 252用户名= test2NAS IP地址= 192.168.4.98NAS端口= 2NAS标识符=“00d0f8ae52a0”呼叫站ID =“00e04cebd2b0”服务类型= 33685504帧路由=广播IP地址= 172.18.132.132框架IP子网掩码= 255.255.252.0框架框架路线=“172.18.132.1”登录IP主机= 202.202.32.33vendor-4881-attr-17 =0x38303231782e657865000000000000000000000000000000000000000 000000002320000vendor-4881-attr-23 =0x343436653066303266346662663530383532373838373238313932636 5653639vendor-4881-attr-4 = 0x0000014dCHAP密码= 0x012974e1695592029554f223f78bb29a570xafcef9aab35b5f36e22b1403d59fb0a6 CHAP挑战=框架协议#首先进行授权步骤，依次调用radiusd conf中授权模块定义的预处理，小伙子和SQL子模块modcall：进入集团授权请求0modcall [授权]：“预处理”模块还可以请求0radius_xlat：“/usr/local半径/var/log/messages半径/ radacct / 192.168.4.98 / auth-detail-20070110”rlm_detail：/usr/local/半径/var/log/messages半径/ radacct / % {客户端IP地址} /认证细节% % % D扩展到/usr/local半径/var/log/messages半径/ radacct /192.168.4.98/auth-detail-20070110modcall [授权]：模块”auth_log”还可以请求0rlm_chap：设置认证类型：=小伙子modcall [授权]：“小伙子”还可以模块要求0# SQL子模块应用SQL conf中定义的授权段取出各种数据，供下一步使用radius_xlat：“test2”rlm_sql（SQL）：sql_set_user逃脱用户-->“test2”radius_xlat：'选择ID、用户名、属性、价值，从radcheck OP在用户名= RTrim（'test2”）通过ID的订单rlm_sql（SQL）：保留SQL插座编号：8radius_xlat：'选择radgroupcheck。