华为技术培训教程-Radius协议原理.ppt

1 Radius 协议原理 前 言 本课程介绍RADIUS的协议原理与配置。 RADIUS协议的主要目的是为了对大量的分散用户进行集中管理，对用户进行认证、分配权限以及进行计费。 培训目标 学完本课程后，您应该能： 描述RADIUS认证工作原理 描述RADIUS计费工作原理 掌握VRP平台RADIUS相关配置 目 录 RADIUS概述 RADIUS认证工作原理 RADIUS计费工作原理 目 录 RADIUS概述 RADIUS认证工作原理 RADIUS计费工作原理 客户端/服务器（Client/Server）模式 使用UDP连接RADIUS客户端和RADIUS服务器 RADIUS的安全性 RADIUS方案基本配置 目 录 RADIUS概述 RADIUS认证工作原理 RADIUS计费工作原理 使用RADIUS进行PAP认证 使用RADIUS进行CHAP认证 认证类RADIUS报文总结 RADIUS协议报文结构 Attributes字段结构－TLV 使用PAP验证的加密技术－Access-Request 使用CHAP验证的加密技术－Access-Request 验证Server合法性－Response Authenticator 目 录 RADIUS概述 RADIUS认证工作原理 RADIUS计费工作原理 RADIUS计费基本流程 计费类报文总结 计费控制类属性 计费信息类属性 Accounting-Request报文的Authenticator Accounting-Response报文的Authenticator 问 题 RADIUS协议如何保证安全性？ 使用PAP或CHAP认证时，使用的RADIUS报文有哪些？ 使用PAP或CHAP认证时，相关的RADIUS属性有哪些？ 总 结 RADIUS认证类型 RADIUS报文类型 RADIUS计费流程 RADIUS运行基于客户端/服务器（Client/Server）模式。 RADIUS客户端是指网络接入服务器（NAS），例如华为公司的MA5200系列产品；RADIUS服务器通常是安装在骨干网上的一台高性能服务器，通常一台RADIUS服务器需要向网络中大量的NAS提供服务。 通常使用不同的服务器提供认证授权服务和计费服务。 RADIUS基本工作过程如下： 分散的用户端（PC）向NAS发送用户名和密码等信息，如果NAS配置使用RADIUS认证方式，则NAS收到这些用户名和密码等信息之后，不进行本地认证，而是将这些用户名和密码等信息发送给RADIUS服务器进行认证，RADIUS服务器根据这些用户名和密码认证用户的合法性、为用户分配权限，并将结果返回NAS，NAS根据这些返回的内容给用户端提供相应的服务。 当用户上线之后，NAS向计费服务器发送开始计费请求，当用户下线后，NAS向计费服务器发送停止计费请求，并将用户此阶段的流量、在线时间等统计信息发送给计费服务器，计费服务器根据这些记录进行计费。 相对于用户端，NAS为认证方，可是相对于RADIUS服务器，NAS为RADIUS客户端。 RADIUS协议如何保证安全性？ 两方面保证安全性，密码信息均被加密，没有明文传输密码；使用共享密钥验证Server合法性。 使用PAP或CHAP认证时，使用的RADIUS报文有哪些？ 三种报文，Access-Request报文、Access-Accept报文和Access-Reject报文。 使用PAP或CHAP认证时，相关的RADIUS属性有哪些？ 三种属性，User-Name属性、User-Password属性和CHAP-Password属性。 NAS和RADIUS服务器之间使用UDP连接，认证服务使用UDP1812端口；计费服务使用UDP1813端口。 之所以使用UDP连接而不使用TCP连接是基于以下考虑： 1、RADIUS服务器和客户端之间本身就有协议交互的过程，服务器需要对客户端的认证请求等作出回应，因此RADIUS并不需要TCP的确认机制。 2、RADIUS客户端可以配置多个服务器，当主服务器不能回应时，RADIUS客户端可以向备份服务器重传认证请求。RADIUS本身就有定时重传机制，不需要TCP的定时重传机制。 3、使用UDP做为传输协议可以简化状态维护等工作。无论是服务器还是客户端，开启相应UDP端口之后就可以一直开启，无需检测连接是否丢失。 4、绝大多数RADIUS服务器都使用多线程处理技术，如果使用TCP连接，在则同一时刻维护大量TCP连接是很不实际的，使用UDP连接可以解决此问题，是多线程处理成为现实。 为了简化状态维护以及对网络性能的考虑，RADIUS协议不使用Keep-Alive检测机制，即不会定时检测RADIUS服务器或者RADIUS客户端是否可用。 为了保证安全