9
RADIUS 服务器组成
RADIUS服务器
users
clients
Dictionary
10
RADIUS 服务器实现AAA流程
用户上网 授权并允许用户上网
用户下网
RADIUS服务器
验证请求 验证授权通过 计费开始请求 计费开始应答
计费结束请求 计费结束应答
11
RADIUS结构及基本原理
RADIUS协议采用客户机/服务器（Client/Server）结构，使用 UDP协议作为传输协议。
组请求包和响应包的Identifier应相同。 3、Length：包长度；2字节；整个包的长度。 4、Authenticator：验证字；16字节；用于对包进行签名。
20
Radius协议包：code域
1）Code：包的类型 包类型占1个字节，定义如下： 1 Access-Request——请求认证过程 2 Access-Accept——认证响应过程 3 Access-Reject——认证拒绝过程 4 Accounting-Request——请求计费过程 5 Accounting-Response——计费响应过程
意义 用户名 用户密码 Chap认证方式中的用户密码 Nas的ip地址 用户接入端口号 服务类型 协议类型 为用户提供的IP地址 地址掩码 为路由器用户设置的路由方式 过滤表的名称 为用户配置的最大传输单元
32
Radius协议属性 （二）
认证报文的常用属性（2）：
属性值 属性名称
意义
13
Framed-Compression 该连接使用压缩协议
Secret Password = MD5（Chap ID + Password + challenge）
Challenge、主机名、CHAP ID
CHAP ID、Username、Secret password
我查...... 我算…… 我验……
用户 （PPP）
验证结果
14
NAS （Radius Client）
15
远端认证－PAP
远端（Radius）验证——PAP方式：
Secret password =Password XOR MD5（Challenge ＋ Key） (Challenge就是Radius报文中的Authenticator)
我查......
我算……
我验……
Key Username、Password
1 ---表示计费开始报文 2 ---表示计费结束报文 3 ---表示计费更新报文 7 ---表示Accounting-On 报文
31
Radius协议属性 （一）
认证报文的常用属性（1）：
属性值 1 2 3 4 5 6 7 8 9 10 11 12
属性名称 User-Name User-Password Chap-Password Nas-IP-Address Nas-Port Service-Type Framed-Protocol Framed-IP-Address Framed-IP-NetMask Framed-Routing Filter-Id Framed-MTU
28
Idle-Timeout
32
NAS-Identifier
33Proxy-StaFra biblioteke60
Chap-Challenge
61
Nas-Port-Type
62
Port-Limit
意义
可扩展属性 在认证通过报文或Challenge报文中，通知 NAS该用户可用的会话时长 （时长预付费） 允许用户空闲在线的最大时长 标识NAS的字符串 NAS通过代理服务器转发认证报文时服务 器添加在报文中的属性 可以代替认证字字段传送challenge的属性 接入端口的类型 服务器限制NAS为用户开放的端口数
HWTACACS故障问题
2
课程内容
第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析
3
AAA概述
验证（Authentication） 授权（Authorization） 计费（Accounting）
响应验证字＝MD5(Code+ID+Length+请求验证字+Attributes+Key)
24
Radius协议包：Authenticator域
5）Attributes：属性
01 0a 62 65 6e 6c 61 64 65 6e
be n l a d e n
Attribute(1)属性 长度为10字节
本地实现AAA
AAA 服务器
使用服务器实现AAA
4
AAA的认证功能
本地认证
AAA 服务器 远端认证
5
AAA的授权功能
本地授权
RADIUS 服务器 远端授权
6
AAA的计费功能
RADIUS 服务器/TACACS服务器 远端计费
7
课程内容
第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析
28
Radius协议属性
4. Vendor-Specific 该属性用于携带各厂商自己扩展的属性
29
Radius协议属性
5. Session-Timeout 该属性指明允许用户使用的最大时长
30
Radius协议属性
6.Acct-Status-Type 该属性指明计费报文的类型 该属性出现在计费报文中不同的取值标志出不同的意义
PAP（Password Authentication Protocol）是密码验证协议的简 称，是认证协议的一种。
用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用 户名在NAS端查找本地数据库，如果存在相同的用户名和密码表 明验证通过,否则表明验证未通过。
Username Password
NAS
用户
server/client
服务器
路由器或NAS 上运行的AAA程序对 用户来讲为服务器端 ，对 RADIUS服务器来讲是作为客户端，当用户上网时，路由器决定对 用户采用哪种验证方法。下面介绍两种用户与路由器之间（本地验 证、远端验证）的验证方法CHAP和PAP。
12
本地认证－PAP
本地（NAS）验证——PAP方式：
22
Radius协议包：Length域
3）Length：包长度 整个包长度,包括 Code，Identifier，Length，Authenticator，Attributes域的长度。
23
Radius协议包：Authenticator域
4）Authenticator：验证字 该验证字分为两种： 1、请求验证字——Request Authenticator 用在请求报文中，必须为全局唯一的随机值。 2、响应验证字——Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。
14 Login-IP-Host
对login用户提供的可连接主机的ip地址
15 Login-Service
对login用户可提供的服务
16 Login-TCP-Port
TCP服务端口
18 Reply-Message
认证服务器返回用户的信息
24 State
认证服务器发送challenge包时传送的需在接
25
Radius协议属性
er-Name 该属性指定了要进行认证的用户名
26
Radius协议属性
er-Password 该属性指定了要认证的用户的口令，用户口令加密后存放在该
属性中
27
Radius协议属性
3.NAS-IP-Address 该属性指明了发起认证请求的设备的IP 地址
Acct-Output-Octets 输出字节数
17
Radius Server
Radius协议在协议栈中的位置
Radius是一种流行的AAA协议，同时其采用的是UDP协议传输 模式，AAA协议在协议栈中位置如下：
Radius协议
18
Radius协议包结构
Attributes:属性
19
Radius协议包各个域解释
各个域的解释： 1、Code：包类型；1字节；指示RADIUS包的类型。 2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一
我查...... 我验……
用户 （PPP）
验证结果
NAS （Radius Client）
13
本地认证－CHAP（1）
本地（NAS）验证——CHAP方式：
CHAP（Challenge Handshake Authentication Protocol）是查询 握手验证协议的简称，是我们使用的另一种认证协议。
华为3Com网络学院第六学期
第3章 网络安全接入技术
ISSUE 1.0
华为3Com培训中心
华为3Com公司版权所有，未经授权不得使用与传播
课程目标
学习完本课程，您应该能够：
掌握AAA原理与基本配置 掌握RADIUS协议原理与基本配置
掌握HWTACACS协议原理与基本配置 学会分析处理基本的AAA、RADIUS、
Challenge Username、Secret、Password Key
用户 验证结果
NAS
（PPP）
（Radius Client）
验证结果