Radius培训教材.pptVIP

Radius Server培训教材 Radius Server Radius在系统中所处位置 名词 Radius：是（Remote Authentication Dial In User Service）远程认证拨入用户服务缩写，是一种用于安全性（认证和授权）和记帐的开放式标准网际协议。 RADIUS（Remote Authentication Dial In User Service）协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。 NAS ：网络访问服务器 Radius简介 RADIUS为解决远程计算的安全要求而开发的分布式安全解决方案。所谓分布式安全，是指一种客户／服务器方式，它允许多个通信服务器或客户机通过一个单一的、集中的数据库或者认证服务器来认证一个拨号用户标识，该数据库或认证服务器存储了有关用户、用户口令和访问权限的所有信息。 基本工作原理 用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播； RADIUS服务器对用户名和密码的合法性进行检验，如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问； 如果允许访问，NAS向RADIUS服务器提出计费请求Account-Request，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作 RADIUS服务器是由两部分组成：认证服务器和计费服务器。RADIUS服务器通过不同的UDP端口发送不同的报文信息来区别认证信息和计费信息。 如：1645认证端口 1646计费端口 RADIUS协议之所以成为当前比较通用的拨号接人认证协议，是因为它具有以下儿个主要特性：客户／服务器模式体系结构 NAS作为RADIUS服务器的客户端，负责将用户信息传送给指定的RAD1US服务器，然后再根据RADIUS服务器返回的响应报文作出相应的操作；RADIUS服务器负责接收用户的连接请求，认证用户，并返回客户端所需的所有配置信息。一个RADIUS服务器可作为其他RADIUS服务器或其他类型认证服务器的代理客户端。 RADIUS Client端多为网络访问服务器(NAS)，主要用来将用户信息传递给Server；Server则对用户进行认证，并反回用户的配置信息。为保证传输的安全性，在Client和Server之间传送的数据均以MD5方式加密。RADIUS Server端和Client端通信主要有两种情况，一种是接入认证，另一种是计费请求。 RADIUS是一种基于UDP协议的上层协议。标准的RADIUS包含有IP包头和UDP包头，其结构包括Code、ID、Length、Authenticator和Attributes几部分。 Code表示该包的目的。ID号区分各路信息并给予相应的应答。Length为该RADIUS包的总长度，Authenticator 是供MD5加密使用的字符串。Attributes则对应包中具体内容，Attributes包括三个部分：type、length、value。type表示该Attribute的具体含义；length为该type的长度；value是该type的具体值。 code 含义  code 含义 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server(experimenta) 13 Status-client(experimenta) 255 Reserved  常见的Radius包 常见的Radius包如下： 接入请求 (Access－Request) RADIUS-SERVER = 61。232。93。203 RADIUS-SERVER-PORT = 1645 REQUEST-TYPE = 1 RADIUS-SERVER-SECRET = hlydnas ### packet contetns ######### User-Name = test1 User-Password=test1 NAS-Identifier =fjma5200 认证请求 NAS-IP-Address=61.232.97.50 NAS-Port-Type =Eth