Radius 实施方案硬件:
NA T接入服务器,带计量500用户
电源:48V
软件:
radius manger3.8认证系统
centos5.5操作系统
mysql数据库系统
phpmyadmin数据备份
结构图:
功能说明:
1. 支持PPPOE和PPTP等认证方式
2. 通过标准RADIUS接口,为支持RADIUS功能的网络设备,进行身份验证
3. 最大可以支持不限用户
4. 可以根据不同需要建立不同的用户模板
5. 支持用户IP地址和MAC地址等硬件信息的绑定认证
6. 对用户的接入时段可控制
7. 开设不同权限的管理员,不同的管理员设定不同权限,分为系统管理员、账务管理员、前台营业员(1、系统管理员拥有全部查询,添加,删除,统计,审计的功能。2、账务管理员拥有建立用户,充值,改密,查询费用,用户上网明细查询的功能。用户WEB自助服务功能,3、前台营业员拥有个人资料的查询、密码修改、上网明细查询、缴费记录查询的功能。)
8. 支持修改客户密码
9. 支持用户密码找回功能
10. 消息提示和记录功能,包括系统广告、个性信息
11. 统计分析功能,包括在线用户信息、用户分布情况、业务开通情况、用户欠费信息等
12. 对所有的用户信息,可以导出为CSV,EXCEL,WORD,XML等格式
13. 录入客户信息时,在一个页面录入多个字段,并可实时导出。
14. 到期前十五天,提醒管理员
15. 为用户指定IP地址
16. 用户在线监控、带宽监控、实时监控用户的流量
17. 限定一个帐号一个用户在线
18. 记录和查询RADIUS服务日志、系统日志、管理员操作日志、用户WEB自助服务日志
19. 设定优惠政策,如充值半年送一个月等。
20. 支持普通包月、包月限时长、计天、计时长等多种计费策略
21. 支持用户自行修改密码,查询电话、地址、到期时间等账号信息
22. 支持用户MAC地址绑定功能,一个帐号只能一个用户上线
23. 可以根据不同项目建立不同的管理员
24. 支持通过用户帐号分发带宽、IP、及其他各种属性
25. 支持用户中途停机,停机期间不计费功能
26. 支持在线用户查看功能
27. 支持公告下发功能,可以由管理员自由定义公告内容,用户在打开第一个网页时先弹出公告,才能继续上网
28. 支持即时踢用户下线功能
29. 支持到期用户查询及续费
30. 支持即将到期用户查询及续费
31. 到期账号自动停用
32. 帐务管理功能,针对用户的帐务管理和针对管理员的营帐管理,提供日、月、年营业报表生成和打印功能;
33. 提供适合运营的收费和帐单处理界面
34. 统计每天(月)的上网流量和时长,掌握网络使用情况。
35. 统计用户每月的消费情况。
36. 统计系统每月注册用户和新注册用户数,掌握业务发展状况。
37. 支持系统用户数,各项目用户数统计
38. 支持财务报表生成,方便统计收费情况
39. 支持查询用户详情记录,并可进行长时间保存
40. 支持查询用户缴费记录,并可进行长时间保存
41. 可以根据不同条件进行多条件账号查询,并支持生成功能丰富的报表,便于管理人员进行统计分析
42. 系统可以支持一对多服务(一台认证可以拨接N台路由系统实现超大型网络)
43. 支持双机备份当主认证服务器意外故障时备份服务器可以自动接替认证工作
44. 支持BYPASS功能,即当设备访问不到认证服务器而无法认证时,可以让用户使用任意用户名和密码进行拨号,进行应急处理,等到恢复后,再到认证服务器进行认证。
45. 支持一台拨号服务器指向两台不同的认证服务器,从而实现认证服务器的异地冗余,防止因线路不通而带来的断网损失。
认证收费系统操作说明
1、管理员的登录
输入http://服务器ip/radiusmanger/admin.php 输入用户名,密码登录收费系统管理界面。
2、根据需求设置不同的计费策略
3、设置多个互联网出口
4、管理员的管理
可以添加,删除管理员以及进行权限的分配。
5、用户的添加
添加时可以限制同个帐号同时在线个数,以及MAC地址绑定信息。
6、查找用户,修改用户资料。
7、根据预设条件进行账单查询
8、用户数据查询
9、流量报表查看
10、管理员操作日志
Radius 工作流程
RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS 客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。
RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证。
标准Radius协议包结构 图9 Radius包格式 Code:包类型;1字节;指示RADIUS包的类型。 1Access- request 认证请求 2 Access- accept 认证响应 3 Access- reject 认证拒绝 4 Accounting-request 计费请求 5 Accounting-response 计费响应 *11 Access-challenge 认证挑战 Identifier:包标识;1字节,取值范围为0 ~255;用于匹配请求包和响应包,同一组请求包和响应包的Identifier应相同。 Length:包长度;2字节;整个包中所有域的长度。Authenticator:16 字节长;用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。 该验证字分为两种: 1、请求验证字---Request Authenticator 用在请求报文中,必须为全局唯一的随机值。 2、响应验证字---Response Authenticator 用在响应报文中,用于鉴别响应报文的合法性。 响应验证字=MD5(Code+ID+Length+请求验证字+Attributes+Key) Attributes:属性
图10 属性格式 Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id
基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS 服务器组件。 实验拓扑图 安装RADIUS服务器:如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功
RADIUS服务器进行MAC验证,配置nat,使无线接入端连接外网 一、实验目的:通过Radius服务器的mac验证和路由器上的 nat配置,使得在局域网内的无线设备可以上网。 二、实验拓扑图: 三、使用的设备列表: S3610交换机3台 AR28路由器1台 AP无线路由器1台 AC无线控制器1台 Radius服务器1台 四、具体的配置:
步骤一:在AC上设置用户和做mac地址绑定,以及设计无线网
AAA和RADIUS/HWTACACS协议简介 1.1.1 aaa概述 aaa是authentication,authorization and accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以得到哪些服务? 如何对正在使用网络资源的用户进行计费? 针对以上问题,aaa必须提供下列服务: 认证:验证用户是否可获得访问权。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。 aaa一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,aaa框架具有良好的可扩展性,并且容易实现用户信息的集中管理。 1.1.2 radius协议概述 如前所述,aaa是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用radius协议来实现aaa。 1. 什么是radius radius是remote authentication dial-in user service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用在管理使用串口和调制解调器的大量分散拨号用户)。radius系统是nas(network access server)系统的重要辅助部分。 当radius系统启动后,如果用户想要通过与nas(pstn环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,nas,也就是radius客户端将把用户的认证、授权和计费请求传递给radius服务器。radius服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。radius服务器将在接收到nas传来的用户请求后,通过对用户数据库的查找、更
属性值属性名称意义 1 User-Name 用户名 2User-Password 用户密码 3Chap-Password Chap认证方式中的用户密码 4 Nas-IP-Address Nas的ip地址 5 Nas-Port 用户接入端口号 6 Service-Type 服务类型 7 Framed-Protocol协议类型 8 Framed-IP-Address 为用户提供的IP地址 9 Framed-IP-NetMask 地址掩码 10 Framed-Routing 为路由器用户设置的路由方式 11 Filter-Id 过滤表的名称 12 Framed-MTU 为用户配置的最大传输单元 13 Framed-Compression 该连接使用压缩协议 14 Login-IP-Host 对login用户提供的可连接主机的ip地址 15 Login-Service 对login用户可提供的服务 16 Login-TCP-Port TCP服务端口 18 Reply-Message 认证服务器返回用户的信息 24 State 认证服务器发送challenge包时传送的需在接下来的认证报文中回应的字符串(与Acess-Challenge相关的属性) 25 Class 认证通过时认证服务器返回的字符串信息,要求在该用户的计费报文中送给计费服务器 26 Vendor-Specific 可扩展属性 27 Session-Timeout 在认证通过报文或Challenge报文中,通知NAS该用户可用的会话时长(时长预付费) 28 Idle-Timeout 允许用户空闲在线的最大时长 32 NAS-Identifier 标识NAS的字符串 33 Proxy-State NAS通过代理服务器转发认证报文时服务器添加在报文中的属性 60 Chap-Challenge 可以代替认证字字段传送challenge的属性 61 Nas-Port-Type 接入端口的类型 62 Port-Limit 服务器限制NAS为用户开放的端口数 40 Acct-Status-Type 计费请求报文的类型 41 Acct-Delay-Time Radius客户端发送计费报文耗费的时间 42 Acct-Input-Octets 输入字节数 43 Acct-Output-Octets 输出字节数 44 Acct-Session-Id 计费会话标识 45 Acct-Authentic 在计费包中标识用户认证通过的方式 46 Acct-Session-Time 用户在线时长 47 Acct-Input-Packets 输入包数 48 Acct-Output-Packets 输出包数 49 Acct-Terminate-Case 用户下线原因 50 Acct-Multi_Session-Id 相关计费会话标识 51 Acct-Link-Count 生成计费记录时多连接会话的会话个数 ?
配置采用RADIUS协议进行认证、计费和授权示例 组网需求 如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下: ?用RADIUS服务器对接入用户进行认证、计费。 ?RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。 图1 采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例,需要准备如下数据: ?用户所属的域名 ?RADIUS服务器模板名 ?认证方案名、认证模式、计费方案名、计费模式 ?主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 ?RADIUS服务器密钥和重传次数 说明: 以下配置均在RouterB上进行。 操作步骤
1.配置接口的IP地址和路由,使用户和服务器之间路由可达。 2.配置RADIUS服务器模板 # 配置RADIUS服务器模板shiva。
802.1X认证完整配置过程说明 802.1x认证的网络拓布结构如下图: 认证架构 1、当无线客户端在AP的覆盖区域内,就会发现以SSID标识出来的无线信号,从中可以看到SSID名称和加密类型,以便用户判断选择。 2、无线AP配置成只允许经过802.1X认证过的用户登录,当用户尝试连接时,AP会自动设置一条限制
通道,只让用户和RADIUS服务器通信,RADIUS服务器只接受信任的RADIUS客户端(这里可以理解为AP或者无线控制器),用户端会尝试使用802.1X,通过那条限制通道和RADIUS服务器进行认证。 3、RADIUS收到认证请求之后,首先会在AD中检查用户密码信息,如果通过密码确认,RADIUS会收集一些信息,来确认该用户是否有权限接入到无线网络中,包括用户组信息和访问策略的定义等来决定拒绝还是允许,RADIUS把这个决定传给radius客户端(在这里可以理解为AP或者无线控制器),如果是拒绝,那客户端将无法接入到无线网,如果允许,RADIUS还会把无线客户端的KEY传给RADIUS客户端,客户端和AP会使用这个KEY加密并解密他们之间的无线流量。 4、经过认证之后,AP会放开对该客户端的限制,让客户端能够自由访问网络上的资源,包括DHCP,获取权限之后客户端会向网络上广播他的DHCP请求,DHCP服务器会分配给他一个IP地址,该客户端即可正常通信。 我们的认证客户端采用无线客户端,无线接入点是用TP-LINK,服务器安装windows Server 2003 sp1;所以完整的配置方案应该对这三者都进行相关配置,思路是首先配置RADIUS server 端,其次是配置无线接入点,最后配置无线客户端,这三者的配置先后顺序是无所谓的。 配置如下: 配置RADIUS server步骤: 配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS(internet验证服务),IIS管理器(internet信息服务管理器),和证书颁发机构; 在AD和证书服务没有安装时,要先安装AD然后安装证书服务,如果此顺序反了,证书服务中的企业根证书服务则不能选择安装; 一:安装AD,IIS 安装见附件《AD安装图文教程》 二:安装IAS 1、添加删除程序—》添加删除windows组件
RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin 等。 其主要特征有: 1.客户机/服务器(C/S)模式 一个网络接入服务器(以下简称NAS)作为RADIUS的客户机,它负责将用户信息传入RADIUS服务器,然后按照RADIUS服务器的不同的响应来采取相应动作。另外,RADIUS 服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的代理客户。 2.网络安全(Network Security) NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密,并且这些信息不会在两者之间泄漏出去。 3.灵活认证机制(Flexible Authentication Mechanisms) RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。 4.协议可扩展性(Extensible Protocol) 所有的认证协议都是基于“属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前很多比较高版本的Linux中,它们都把RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易地通过免费的Linux系统学习RADIUS授权、认证的原理和应用。 RADIUS协议原理 要弄清楚RADIUS协议为何能实现授权和认证,我们必须应该从四个方面去认识RADIUS 协议:协议基本原理、数据包结构、数据包类型、协议属性。下面我们就来详细地介绍这些内容。 协议基本原理 NAS提供给用户的服务可能有很多种。比如,使用telnet时,用户提供用户名和口令信息,而使用PPP时,则是用户发送带有认证信息的数据包。 NAS一旦得到这些信息,就制造并且发送一个“Access-Request”数据包给RADIUS服务器,其中就包含了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。
Radius与IAS的运作流程 Radius是一种C/S的通讯协议,它使Radius客户端可以将验证用户身份、授权与记帐等工作转给Radius服务器来运行;或是转给Radius代理服务器,然后再由它转给另外一台Radius服务器。 您可以利用Windows Server 2003内的IAS,来架设Radius服务器或是Radius 代理服务器。 IAS可以让Windows Server 2003扮演Radius服务器,而其Radius客户端可以是远程访问服务器、VPN服务器或无线接入点等存取服务器。 IAS服务器扮演Radius服务器的角色,它可以替Radius客户端来运行验证用户身份、授权与记帐的工作。其运作流程如下: 1、远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自 客户端的连接请求。 2、存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记 帐的工作。 3、IAS RADIUS服务器会检查用户的帐户名称与密码是否正确,并且 利用用户的帐户设置与远程访问策略内的设置,来决定用户是否有 权限来连接。 4、若用户有权限来连接,它会通知存取服务器,再由存取服务器让客 户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将 此次的连接请求记录下来。 IAS RADIUS服务器在检查用户身份与帐户设置时,它可以从以下所列的用户帐户数据库中得到这些信息: IAS RADIUS服务器的本机安全性,也就是SAM Windows nt 4 的域用户帐户数据库 Active Directory数据库 后两者要求IAS RADIUS服务器必须是域的成员,此时它所读取的帐户可以是所属域内的帐户,或是有双向信任关系的其它域内的帐户。 若未将验证、授权与记帐的工作转给RADIUS服务器,则每一台远程访问服务器或VPN服务器必须自己运行这些工作,因此每一台远程访问服务器或VPN服务器都需要有自己的远程访问策略与远程访问记录文件,如此将增加维护这些信息的负担。 在将验证、授权与记帐的工作转给RADIUS服务器后,您只需要维护位于RADIUS服务器内的远程访问策略与远程访问记录文件即可,此时的远程访问服务器或VPN服务器都不再需要远程访问策略与远程访问记录文件了。 安装IAS服务器 控制面板---添加/删除windows组件---网络服务---Internet验证服务让IAS服务器读取Active Directory内的用户帐户 如果用户是利用Active Directory内的用户帐户来连接,则IAS服务器必须向DC 询问用户帐户的信息,才能够决定用户是否有权限连接,不过您必须事先将IAS 服务器注册到Active Directory内。请先到IAS服务器上,利用具有域系统管理员身份的帐户来登录,然后选择以下几种注册方法之一: 利用“Internet验证服务”主控制窗口
一、概述: RADIUS协议包括RADIUS AUTHENTICATION PROTOCOL 和RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完成拨号用户的认证工作,而RADIUS ACCOUNTING PROTOCOL 则完成用户服务的计费任务。 事实上,为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全,配置,计费等提供支持,这可以通过对一个用户数据库的管理来达到,这个数据库包括认证信息,及细化的服务配置信息和计费信息。通常这个数据库的维护管理,对用户信息的核实及配置有一个单独的实体完成,这个实体就是RADIUS server。由于这些管理信息的众多与繁杂,通常RADIUS server放在一个独立的计算机上,而为了向RADIUS server取得服务,必须首先构建一个RADIUS client,通常RADIUS client 位于Network Access Server(NAS,网络接入设备)上。 下图示例了这些实体之间的关系: 二、RADIUS认证协议格式: 1、RADIUS AUTHENTICATION PROTOCOL 包格式 下面是协议报文格式: CODE域可以包括如下一些值; 1Access-Request 2Access-Accept
3Access-Reject 4Accounting-Request 5Accounting-Response 11Access-Challenge 12Status-Server 13Status-Client 255Reserved 其中,CODE 1,2,3,11值为RADIUS AUTHENTICATION PROTOCOL使用,而CODE 4,5值为RADIUS ACCOUNTING PROTOCOL使用。其余未用或保留。CODE 占一个字节 IDENTIFIER占一个字节,用于匹配请求和应答。 LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES的所有长度。 AUTHENTICATOR 是16字节的随机数,高位在先,此域用于认证答复和加密口令字。 ATTRIBUTES是若干属性状态的集合,其长度是不确定的,不同的CODE值可以跟随不同的属性值。下表是一个总结:
竭诚为您提供优质文档/双击可除 radius协议详解 篇一:Radius远程用户拨号认证系统详解 Radius远程用户拨号认证系统 Radius:Remoteauthenticationdialinuserservice,远程用户拨号认证系统由RFc2865,RFc2866定义,是目前应用最广泛的(aaa是authentication(认证)、authorization(授权)和accounting(计费)的简称)基本概念 aaaauthentication、authorization、accounting 验证、授权、记费 pappasswordauthenticationprotocol口令验证协议 chapchallenge-handshakeauthenticationprotocol盘问握手验证协议 nasnetworkaccessserver网络接入服务器 RadiusRemoteauthenticationdialinuserservice 远程验证拨入用户服务(拨入用户的远程验证服务) tcptransmissioncontrolprotocol传输控制协议 udpuserdatagramprotocol用户数据报协议
aaa实现途径 1.在网络接入服务器nas端:在nas端进行认证、授权和计费; 2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有Radius Radius是Remoteauthenticationdialinuserservice的简称,ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。 当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时,nas可以选择在nas上进行本地认证计费,或把用户信息传递给Radius服务器,由Radius进行认证计费;Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息;Radius服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给nas。 本地(nas)验证——pap方式 pap(passwordauthenticationprotocol)是密码验证协议的简称,是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas,nas根据用户名在nas端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 本地(nas)验证——chap方式
RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,RADIUS客户端运行在cisco 路由器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。 cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。 CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。 RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。 在以下安全访问环境需要使用RADIUS: +当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多 个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。 +当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。 +当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的 第一步。 +当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。 例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。 +当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS 认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使 用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。+当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。RADIUS不适合以下网络安全情形: ~多协议访问环境,Radius不支持以下协议: *AppleTalk Remote Access (ARA)苹果远程访问。
浅谈Radius服务器的功能原理及交互过程 RADIUS是一个英文缩写,其具体含义是Remote Authentication Dial In User Service,中文意思是“远端用户拨入验证服务”,是一个AAA协议,即集authentication(认证)、authorization(授权)、accounting(计费)三种服务于一体的一种网络传输协议。文章将从Radius服务器的功能原理及交互过程对其进行介绍。 标签:协议;UDP;NAS;客户端 Radius是一种C/S结构的可扩展协议,它是以Attribute-Length-Value向量进行工作的,其协议认证机制也非常灵活,当用户提供用户名和原始密码时,Radius 可支持点对点协议PPP、密码认证协议PAP、提问握手认证协议CHAP及其他认证机制。NAS设备可以是它的客户端,任何运行该软件的计算机都可以成为Radius的客户端。目前,该服务器应用于各类宽带上网业务。 1 Radius服务器的功能原理 (1)宽带用户拨号上网时接入NAS,NAS设备使用“访问请求”数据包向Radius服务器提交用户的请求信息,该信息包括用户名、密码等。用户的密码会经过MD5加密,双方会使用不会通过网络进行传播的“共享密钥”。同时,Radius 服务器会对用户名和密码的合法性进行检验,提出质疑时,就会要求进一步对用户、对NAS设备进行验证。如果验证不通过,就会返回“拒绝访问”的数据包,以此来拒绝用户的访问;验证合法,就会给NAS设备返回“接受访问”的数据包,即用户通过了认证。允许访问时,NAS设备会向Radius服务器提出“计费请求”,Radius服务器响应“接受计费”的请求,开始对用户计费,用户从此刻开始了上网。 (2)“重传机制”是Radius协议的特色功能之一。一般情况下,Radius服务器分为主备用设备,这项功能是为NAS设备向主用Radius服务器提交请求却没有收到返回信息时而准备的,备用的Radius服务器会进行重传,如果备用Radius 服务器的密钥和主用Radius服务器的密钥不相同时,是需要重新进行认证的。NAS设备进行重传的时候,对于有多个备用Radius服务器的网络,一般采用轮询的方法。 (3)NAS设备和Radius服务器之间的通信协议是“UDP协议”,Radius服务器有1812和1813端口,其中1812端口是认证端口,1813端口是计费端口。因为NAS设备和Radius服务器大多数是在同一个局域网中,采用UDP协议进行通信则更加快捷方便,而且无连接的UDP协议会减轻Radius服务器的压力,增加安全性。 (4)漫游和代理也是Radius服务器的功能之一。“漫游”功能是代理的一个具体实现,作为Radius服务器的代理,负责转发Radius认证和计费的数据包,这样用户可以通过本来和其无关的Radius服务器进行认证,即用户可以在非归
Radius工作原理与Radius认证服务 Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require 数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证 ========================================================== Radius认证服务 RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco 实施中,RADIUS客户端运行在cisco路由 器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco 支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA 安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
资料编码产品名称宽带产品使用对象工程师/合作方工程师/用户产品版本所有版本编写部门固网宽带技术支持部资料版本V1.0 Radius协议原理与应用 拟制:尹启龙日期:2002-02-02 审核:陈锐日期:2005-03-07 审核:日期: 批准:任远日期:2005-03-07 华为技术有限公司 版权所有侵权必究
目录 第1章 AAA和RADIUS介绍 (1) 第2章 RADIUS协议 (3) 2.1 引论 (3) 2.2 客户服务器模式 (3) 2.3 用户<->NAS<->Radius业务流程说明 (4) 2.4 网络安全 (4) 2.4.1 包签名: (5) 2.4.2 口令加密: (5) 2.5 AAA在协议栈中的位置 (8) 2.6 良好的可扩展性 (8) 第3章标准RADIUS协议 (9) 3.1 标准Radius协议包结构 (9) 3.2 常用标准Radius属性说明 (12) 3.3 华为公司宽带产品Radius标准属性 (13) 第4章华为公司的Radius扩展协议——Radius+ v1.1 (16) 4.1 Radius+简介 (16) 4.1.1 扩展Radius+的目的 (16) 4.1.2 可靠性、安全性与Radius相同 (16) 4.2 Radius+报文 (16) 4.2.1 Radius+认证报文 (16) 4.2.2 Radius+计费报文 (21) 4.2.3 Radius+新增报文 (25) 第5章华为NAS设备与Radius Server对接应用实例 (29) 5.1 组网图 (29) 5.2 用户认证计费应用实例分析 (29) 5.2.1 合法用户 (29) 5.2.2 非法用户 (33)
https://www.doczj.com/doc/1911785786.html, 2007年08月13日 11:07 ChinaByte RADIUS认证服务器(Remote Authentication Dial In User Service,远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、Accounting,即认证、授权、计费)。AAA协议的典型操作是验证用户名和密码是否合法(认证),分配IP 地址(授权),登记上线/下线时间(计费),电信业窄带/宽带拨号都使用大型RADIUS认证服务器。而随着网络安全需求提高,中小企业的局域网集中用户认证,特别是使用VPDN专网的也逐渐需要建立自己的认证服务器以管理拨号用户。这些用户不需要使用昂贵的专业系统,采用PC服务器和Linux系统的Freeradius+MySQL可靠地实现。本文着重介绍RADIUS 系统在VPDN拨号二次认证中的应用。 Freeradius的安装 笔者采用FC4 for x86_64系统上的freeradius-1.1.2,在中档PC服务器上运行,系统运行稳定可靠。Linux FC4自带Freeradius和MySQL,不过实测不理想。FC4 MySQL对中文支持不好,而freeradius则仅支持其自带MySQL。所以,在编译MySQL时要加入选项“--with-charset=gb2312”以支持中文字符编码。编译Freeradius时可使用缺省选项。在64位Linux系统上编译前配置时需要加入选项“—with-snmp=no”,因为与库文件snmp相关的库对64位支持有问题,最新的FC7也许没有这些问题。Freeradius提供了MySQL建库脚本——db-MySQL.sql,不过建nas库有1个语法错误,将“id int(10) DEFAULT ‘0’;” 中的“DEFAULT ‘0’”去掉即可正常建立Radius库。 Freeradius的设置 简单少数用户可使用Freeradius缺省的users文件配置用户,根据文件制定的规则和用户工作。安装完毕后启动Radius服务:/usr/loca l/sbin/radiusd –X。本机运行radtest test test localhost 0 testing123发认证 请求,得到回应表示Radius服务器工作正常。 Radius服务器缺省使用/usr/local/etc/raddb/users文件工件认证,简单易行,但仅适用于少数用户。如果管理几十个或更多用户,应使用数据库,对于少于一万用户而言,MySQL 是合适选择。 MySQL认证的设置 在配置文件radiusd.conf中,在authorize{}和accountingt{}设置中去掉sql前注释符。在sql.conf中设置MySQL的连接信息,用户/密码和地址,本机用localhost即可。还需要在users中对DEFAULT用户做如下设置:Auth-Type = Local,Fall-Through = 1。这 样,才可正确使用MySQL进行认证。
什么是RADIUS协议 RADIUS RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。 目录 编辑本
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。 编辑本段历史 RADIUS协议最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 创立于1966年Merit Network, Inc.是密执安大学的一家非营利公司,其业务是运行维护该校的网络互联MichNet。1987年,Merit在美国NSF(国家科学基金会)的招标中胜出,赢得了NSFnet(即Internet前身)的运营合同。因为NSFnet是基于IP的网络,而MichNet却基于专有网络协议,Merit面对着如何将MichNet的专有网络协议演变为IP协议,同时也要把MichNet上的大量拨号业务以及其相关专有协议移植到IP网络上来。 1991年,Merit决定招标拨号服务器供应商,几个月后,一家叫Livingston的公司提出了建议,冠名为RADIUS,并为此获得了合同。 1992年秋天,IETF的NASREQ工作组成立,随之提交了RADIUS作为草案。很快,RADIUS成为事实上的网络接入标准,几乎所有的网络接入服务器厂商均实现了该协议。 1997年,RADIUS RFC2058发表,随后是RFC2138,最新的RADIUS RFC2865发表于2000年6月。 编辑本段基本工作原理 用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject 数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请