第四章利用radius提供接入服务.docVIP

第四章 利用RADIUS提供接入服务 4.1 概述 RADIUS采用客户/服务器（Client/Server）结构，RADIUS的客户端（Client）运行于接入服务器上，客户端的任务是将用户（User）的信息发送到指定的服务器，然后根据服务器的不同响应进行处理。RADIUS服务器通常运行于一台工作站上，RADIUS的服务器端的数据库中存放着所有的安全信息。所以，要让接入服务器上的RADIUS有效的工作，还必须正确的配置RADIUS服务器。 RADIUS服务器上至少应该包含两个方面的安全信息： 1) 接入服务器：RADIUS服务器只向它所承认的接入服务器发送响应。这些接入服务器的信息我们假设存放在一个名叫“clients”的文件中； 2) 用户：每个通过RADIUS授权的用户都有一个用户描述，用户描述中有用户名、口令、使用的协议以及地址等。我们假设这些信息都存放在一个名叫“users”的文件中； 为了让“users”文件具有可读性，还需要一个字典将RADIUS协议中规定的数据转化成可读的文本，我们将该文件称为“dictionary”。 图4-1 RADIUS服务器中涉及的文件 4.2 向RADIUS用户分配IP地址 1．概述 接入服务器上给用户分配地址有两种方式：固定的方式和地址池的方式。 固定的方式：分配给用户的IP地址是固定的IP地址，这个地址在RADIUS服务器的users文件中进行设定，如果某个用户使用固定的IP地址，那么RADIUS服务器应该对该用户进行唯一性判断，以避免网上的IP地址出现重复。 地址池的方式：接入服务器向用户分配的IP地址不是固定的，而是从本地（接入服务器）的某个地址池中找出一个空闲的IP地址，分配给用户，从哪个地址池中分配地址是由RADIUS服务器上的users文件中的设置决定的。若某个地址池中的地址已经全部分配出去，那么使用该地址池的其他用户将不能拨入，直到有一个使用该地址池的用户挂机为止。 2．详细说明 1) 向用户分配一个固定的IP地址 RADIUS服务器上的设置 a) 假设要向一个名字为“zhouming”的用户分配一个固定的IP地址10.20.30.40 ，他使用PPP协议，口令为“abc”。Users文件中的用户描述为： zhouming Password = “abc” User-Service = Framed-User, Framed-Protocol = PPP, Framed-Address = 10.20.30.40 在这个用户描述的最后一行指定了该用户使用地址10.20.30.40。 b) dictionary文件中应该包含下列说明： ATTRIBUTE Password 2 string ATTRIBUTE User-Service 6 integer ATTRIBUTE Framed-Protocol 7 integer ATTRIBUTE Framed-Address 8 ipaddr VALUE User-Service Framed-User 2 VALUE Framed-Protocol PPP 1 2) 从地址池中向用户分配一个IP地址 RADIUS服务器上的设置 a) 下例描述了两个用户，用户“user1”使用缺省的地址池，用户“user2”使用第3个地址池。在users文件中的说明为 user1 Password = “testpool1” User-Service = Framed-User, Framed-Protocol = PPP, Huawei-Assign-IP-Pool = 0 user2 Password = “testpool2” User-Service = Framed-User, Framed-Protocol = PPP, Framed-Address = 0.0.0.3 b) dictionary的相关定义 ATTRIBUTE Password 2 string ATTRIBUTE User-Service 6 integer ATTRIBUTE Framed-Protocol 7 integer ATTRIBUTE Framed-Address 8 ipaddr ATTRIBUTE Huawei-Assign-IP-Pool 218 integer VALUE User-Service Framed-User 2 VALUE Framed-Protocol PPP 1 接入服务器上的配置 接入服务器的第0个基本单元（0号RPU）上配置了3个地址池： 第一个地址池的名字为pool1，长度为90，开始地址为10.0.1.1； 第二个地址池的名字为default（缺省地址