網(wǎng)絡(luò)接入服務(wù)器(NAS)需求擴(kuò)展RADIUS實(shí)踐

1、Network Working Group D. MittonRequest for Comments: 2882 Nortel NetworksCategory: Informational July 2000網(wǎng)絡(luò)接入服務(wù)器（NAS）需求：擴(kuò)展RADIUS實(shí)踐 (RFC2882-Network Access Servers Requirements: Extended RADIUS Practices)Status of this Memo This memo provides information for the Internet community. It does not speci

2、fy an Internet standard of any kind. Distribution of this memo is unlimited.Copyright Notice Copyright (C) The Internet Society (2000). All Rights Reserved.摘要該文檔描述的是一些超出RFC2138、2139范圍的在當(dāng)前的一些NAS產(chǎn)品中的具體實(shí)現(xiàn)。這樣做的目的是給出一些范例，說明處理和標(biāo)準(zhǔn)化這些類型的 ad-hoc函數(shù)（ad-hoc function）的必要性。因?yàn)檫@些特性需要一個(gè)匹配的服務(wù)器支持，因而配置個(gè)管理NAS和AAA服務(wù)器產(chǎn)品的相

3、互操作的能力被嚴(yán)重的阻礙了。 記載在這兒的實(shí)踐列舉了在將來開發(fā)NAS時(shí)實(shí)現(xiàn)AAA所期望的一些功能。1、 簡介RADIUS工作組成立于1995年，專門文檔化一些同名的協(xié)議，并被特許在一定的范圍之內(nèi)支持撥號撥號接入終端服務(wù)器。遺憾的是現(xiàn)實(shí)中的NAS不再只是停留在小而簡單的狀態(tài)，而是以驚人的速度在發(fā)展。該文檔列舉了一些當(dāng)前市場上的已經(jīng)超出了RADIUS協(xié)議功能范圍的實(shí)現(xiàn)。一些特性徹底的超出了協(xié)議。這些特性利用RADIUS協(xié)議的結(jié)構(gòu)和格式，但是應(yīng)用和語意已經(jīng)超出了RFC文檔。我通過一些手冊了解這些功能的細(xì)節(jié)，并在投標(biāo)規(guī)格書中對這些功能做出一些響應(yīng)。當(dāng)它們變成該領(lǐng)域的配置時(shí)，它們就成了實(shí)際上的標(biāo)準(zhǔn)。因?yàn)?/p>

4、它們是在RFC文檔范圍之外被實(shí)現(xiàn)的，它們是廠商特有的，從而在產(chǎn)品的可互操作方面引入了困難。1.1非保證事項(xiàng)（Disclaimers）該文檔中的數(shù)據(jù)是從公共數(shù)據(jù)來源以及廠商的文檔收集來的。這些特性的實(shí)現(xiàn)以及以后的變化沒有被確認(rèn)。該文檔是當(dāng)前已經(jīng)知道的一些實(shí)踐的集合。其目的不是想標(biāo)準(zhǔn)化這些實(shí)踐或者是使得該文檔通用。如果文檔中給出了一些細(xì)節(jié)的信息，請注意那不是該文檔的目的。該文檔的目的不是想將提到的一些功能描述成完全的功能規(guī)范。作者沒有轉(zhuǎn)錄版權(quán)材料，也不清楚這些實(shí)現(xiàn)是否有知識(shí)產(chǎn)權(quán)的限制。任何分配的數(shù)據(jù)或者是功能操作如果被廠商修改了，請恕不通知。如果有直接從實(shí)現(xiàn)者那里獲得的資料，特別是第一手資料，我將

5、感激不盡。1.2表示方法由于這些材料專門組織，信息按照一種簡單的分類方法管理。 - Attribute Usage - Attribute Data Types - Message Codes - New Operations2.屬性用法（Attribute Usage）RADIUS 的 RFC 定義了給出了屬性類型的范圍，以及一些屬性的定義。定義了大約70個(gè)RADIUS屬性192-193為試驗(yàn)使用保留224-240為特有的實(shí)現(xiàn)使用保留241-255保留，不得使用26號屬性被定義為廠商特有屬性（VSA），它利用更深一層的內(nèi)在結(jié)構(gòu)，允許廠商擴(kuò)展。2.1屬性沖突實(shí)際上，屬性92-255被一個(gè)廠商使

6、用。而另一個(gè)廠商也用了屬性90-104,而且這兩種用法有沖突。為了處理這個(gè)問題，服務(wù)器開發(fā)商把特定廠商參數(shù)加入到它們的客戶端數(shù)據(jù)庫文件中。管理者在指出NAS的IP地址和共享密鑰的同時(shí)，還要指出NAS的類型，這樣服務(wù)器才能消除這些屬性用法的歧義。一種服務(wù)器用一個(gè)大的廠商文件來將所有的屬性映射到一種保留廠商ID的內(nèi)部格式。另外一種服務(wù)器則用多個(gè)詞典實(shí)現(xiàn)，每個(gè)詞典對應(yīng)著一種NAS和廠商定義列表模型。2.2屬性值沖突相對于簡單的特性需求來說，增加額外的屬性可能會(huì)變得更麻煩。通常，現(xiàn)有的屬性能通過另外的值來擴(kuò)展（特別是那些枚舉選擇的屬性）。但是這樣做，就沒有辦法保證不會(huì)與其它廠商的擴(kuò)展出現(xiàn)沖突。關(guān)于廠商

7、特有屬性枚舉值的建議關(guān)于該問題的一個(gè)推薦的解決方法是VSE（Vendor specific Enumerations）。這種方法就是將用于填充某個(gè)屬性的值的空間分割一部分出來，將廠商的ID以數(shù)字值的形式填入（ala VSAs）。該技術(shù)沒有被工作組以及其它廠商采用，但是，廠商沒有達(dá)到額外工作組或者是其它廠商值不沖突的目的。VSE值的字典示例如下： VALUE Service-Type VSE-Authorize-Only 0x06300001 VALUE Acct-Status-Type VSE-User-Reject 0x06300001 VALUE Acct-Status-Type VSE-

8、Call-Reject 0x06300002 VALUE Acct-Status-Type VSE-IPCP-Start 0x06300003 VALUE Acct-Status-Type VSE-IPXCP-Start 0x06300004 VALUE Acct-Status-Type VSE-ATCP-Start 0x06300005 VALUE Acct-Status-Type VSE-Accounting-Restart 0x06300006 VALUE Acct-Status-Type VSE-Accounting-Shutoff 0x06300007 VALUE Acct-Stat

9、us-Type VSE-Tunnel-Start 0x06300008 VALUE Acct-Status-Type VSE-Tunnel-Stop 0x06300009 VALUE Acct-Status-Type VSE-Tunnel-Reject 0x0630000a VALUE Acct-Status-Type VSE-Tunnel-Link-Start 0x0630000b VALUE Acct-Status-Type VSE-Tunnel-Link-Stop 0x0630000c VALUE Acct-Status-Type VSE-MP-Start 0x0630000d VALU

10、E Acct-Status-Type VSE-MP-Stop 0x0630000e VALUE Acct-Status-Type VSE-Line-Seizure 0x0630000f VALUE Acct-Status-Type VSE-Rlogin-Start 0x06300010 VALUE Acct-Status-Type VSE-Rlogin-Stop 0x06300011 2.3.廠商特有的屬性（VSA）的用法由于在RADIUS工作組的開發(fā)中，26號屬性Vendor Specific Attributes（VSAs）直到后來才出現(xiàn)，有些服務(wù)器到后來才支持該屬性?，F(xiàn)在，一些前沿的關(guān)于

11、客戶端的實(shí)現(xiàn)也利用VSA做擴(kuò)展。非常不幸的是VSA的具體實(shí)現(xiàn)有不同的格式。這是因?yàn)镽FC建議的格式支持的屬性不能多于256個(gè)。在一些客戶端中的應(yīng)用寫該文檔是，參考過下面的內(nèi)容： - Microsoft: several for MS-CHAP authentication support 9 - ACC: 42 10 - Nortel(Bay): about 60 VSAs and 16 VSEs - Nortel(Aptis): about 60 VSA: 20 1-byte, 130 4-byte header. 由于它有大量的屬性，Aptis的VSA已經(jīng)從通常的格式變?yōu)轭^長度為4-byt

12、e的格式。 - 3Com (USR): about 130 USR的VSA格式不同于RFC2138所推薦的格式。它的Type域有4個(gè)字節(jié)長度，并且 內(nèi)部沒有長度域。有部分廠商開始沒有使用VSA，后來則變成將VSA用為一個(gè)可配置的選項(xiàng)。支持多個(gè)廠商屬性的客戶端如今MS-CHAP的RADIUS屬性已經(jīng)在RFC 2548中作為Microsoft VSA屬性被出版，這使得支持MS-CHAP認(rèn)證的NAS客戶端在處理不同的廠商的VSA類型時(shí)，它會(huì)成為典型的應(yīng)用。這提示服務(wù)器可以根據(jù)廠商的NAS客戶端過濾或者是裁減一些屬性。一個(gè)NAS客戶端可以接收最多3種不同的VSA屬性集，但是只會(huì)根據(jù)操作員配置的模式發(fā)送

13、特定的屬性，這使得它能適合于那些客戶是需要依賴于一組特定的RADIUS屬性的的環(huán)境，這也允許NAS能隨意訪問而不必改變服務(wù)器的屬性（allows the NAS to "drop-in" without server attribute changes）?，F(xiàn)在還有另外一種NAS，能同時(shí)支持3種廠商屬性。更準(zhǔn)確的說，就是給服務(wù)器響應(yīng)時(shí)，它使用不同廠商的VSA屬性的組合。這樣做為了支持那些競爭廠商的擴(kuò)張屬性的超集，也是為了支持給NAS的同類產(chǎn)品的擴(kuò)展屬性。3.屬性數(shù)據(jù)類型RFC只定義了4種基本的數(shù)據(jù)類型 - integer, 32 bit unsigned - string,

14、1-253 bytes, counted. - ipaddr, 32 bit IPv4 - date, 32 bit Unix format.以后又添加了一些其它數(shù)據(jù)類型：在關(guān)于隧道認(rèn)證的文檔6中隧道屬性中增加了一個(gè)可選的組合字段“tag"。這是一個(gè)預(yù)先被添加到數(shù)據(jù)域中的單字節(jié)，用于支持返回的屬性集合。該字節(jié)的取值范圍必需是0x010x3F，或者被考慮成數(shù)據(jù)域中的數(shù)據(jù)譯者注：不再將它看成一個(gè)"tag"字段。請注意沒有關(guān)于IPv6的支持。實(shí)際上在一些固定的消息組件中也沒有關(guān)于IPv6的支持。在服務(wù)器里又構(gòu)造了一些新的屬性類型。為了包過濾，構(gòu)造了一種叫做"a

15、binary"的格式。用戶在profile中輸入一串ASCII字符串格式的過濾描述。在將它傳到NAS端前，服務(wù)器將它解析成二進(jìn)制串。這有利于將來服務(wù)器端解析的復(fù)雜度。另外，還有一種"phonestring"的服務(wù)器數(shù)據(jù)類型允許在程序的入口處做額外的數(shù)據(jù)類型檢查。4.新近的消息一系列新的消息已經(jīng)被逐步引入。原來基本的規(guī)范是6個(gè)，廠商增加了26個(gè)。這些消息分成了幾類，我們在下面描述。其中的一些消息，用類似于RADIUS的協(xié)議，用于RADIUS服務(wù)器和其它資源服務(wù)器之間，實(shí)現(xiàn)一些新的功能。 6 Accounting Status (now Interim Account

16、ing 5) 7 Password Request 8 Password Ack 9 Password Reject 10 Accounting Message 21 Resource Free Request 22 Resource Free Response 23 Resource Query Request 24 Resource Query Response 25 Alternate Resource Reclaim Request 26 NAS Reboot Request 27 NAS Reboot Response 29 Next Passcode 30 New Pin 31 T

17、erminate Session 32 Password Expired 33 Event Request 34 Event Response 40 Disconnect Request 41 Disconnect Ack 42 Disconnect Nak 43 Change Filters Request 44 Change Filters Ack 45 Change Filters Nak 50 IP Address Allocate 51 IP Address Release5.附加的功能有一些操作，是通過RADIUS的擴(kuò)展以及其它的消息類型來實(shí)現(xiàn)的。5.1修改密碼有關(guān)于遠(yuǎn)程修改密碼的

18、描述和建議，但是該工作組沒有采用。但是，這個(gè)特性在一些產(chǎn)品中還是被開發(fā)出來了。消息類型； - Password Request - Password Ack or Reject5.2認(rèn)證模式增加了一些消息類型用于協(xié)商智能卡服務(wù)器之間的密碼修改（passcode changes）。 - Next Passcode - New PIN - Password Expired這允許NAS和RADIUS服務(wù)器能通過其它的一臺(tái)安全服務(wù)器協(xié)商修改密碼。5.3菜單至少有兩家廠商開發(fā)了用于撥號終端的、通過菜單相互操作的系統(tǒng)。一種實(shí)現(xiàn)使用Reply-Message作為要顯示的菜單文本，用State屬性來跟蹤菜單內(nèi)

19、的位置。通過Access-Challenge消息來顯示菜單。象通常處理challenge一樣，將響應(yīng)在編碼在User-Password域內(nèi)。按照這種方式使用，一些RADIUS客戶端會(huì)出問題，因?yàn)樗鼈儾荒芴幚矸祷氐奶L的或者是多個(gè)Reply-Message。一個(gè)Echo屬性應(yīng)該通過菜單的響應(yīng)來控制響應(yīng)行為。用State屬性來明了Challenge序列也是一種標(biāo)準(zhǔn)行為。另一種實(shí)現(xiàn)是用兩個(gè)廠商定義的屬性（VSA-Menu-Item, VSA-Menu-Selector）來傳遞這些信息。這種實(shí)現(xiàn)是廠商特有的。5.4虛擬用戶一種客戶端將RADIUS服務(wù)器的能力優(yōu)勢，將它用做一臺(tái)遠(yuǎn)端的數(shù)據(jù)庫服務(wù)器。通過用

20、一些周知的、特定的用戶名和密碼，NAS可以從服務(wù)器獲取一些特定的信息：靜態(tài)IP路由、靜態(tài)IPX路由、或者是如期等。這叫做虛擬用戶，因?yàn)樗鼈兪鞘褂靡粋€(gè)構(gòu)造的用戶名，獲取非認(rèn)證的其它信息。另一種客戶端也使用虛擬客戶技術(shù)來解決未知的Filter-ID的值。將一個(gè)Access-Request報(bào)文將Filter-ID設(shè)為用戶名，用周知的密碼，設(shè)置Service-Type為VSE-Authorization-Only發(fā)送到RADIUS服務(wù)器。響應(yīng)報(bào)文中Service-Type值必需相同，否則會(huì)被丟棄。響應(yīng)報(bào)文中必需包含IP-Filter屬性（該屬性是一個(gè)VSA屬性），該屬性定義了過濾法。必需注意的如果沒有

21、將一個(gè)特定的或者是可操作的有效的Service-Type綁定到虛擬用戶的profile,則虛擬用戶的profile會(huì)有安全問題。客戶端必需測試這個(gè)返回值，以防止普通的撥號用戶通過這個(gè)profile接入。6.資源管理為了提供服務(wù)，認(rèn)證會(huì)話可能還需要分配其它的動(dòng)態(tài)資源。最典型的就是IP地址。這種分配可以在一個(gè)獨(dú)立于RADIUS服務(wù)器的層次上被延遲，直到有需要或者類似的需求為止?？赡苁褂闷渌囊恍┫⑷シ峙浠蛘哚尫胚@些資源。RADIUS服務(wù)器可以代理將這個(gè)需求轉(zhuǎn)發(fā)給其它的服務(wù)器。示例：一些服務(wù)器能分配本地的地址給NAS或者是使用外部的地址服務(wù)器。另外一些服務(wù)器有本地的地址池，通過選擇分配一個(gè)地址，填

22、入Framed-IP-Address屬性。6.1被管理的資源被管理的資源包括：IP地址，并行登陸，撥號端口分配策略，隧道限定和均衡負(fù)載（load distribution）。有幾種不同的實(shí)現(xiàn)技術(shù)： - Explicit request/free resource requests - Monitor usage with deamons watching the state - Explicit messages to a state deamon - Monitor Accounting messages for state changes 6.2資源管理消息用于資源管理的消息： - IP

23、Address Allocate - IP Address Release - Resource Request - Resource Response - Resource Free Request - Resource Free Response - Resource Reclaim Request - NAS Reboot Request/Response 這些消息用于為NAS從一個(gè)集中的服務(wù)器分配/釋放資源。這些方案允許業(yè)務(wù)提供者（service provider）能有比那些自動(dòng)的LAN業(yè)務(wù)（它們是沒有輸入策略或者管理的）有著更好的管理。6.3并行登陸（Concurrent Login

24、）遵照RADIUS協(xié)議的服務(wù)器是沒有狀態(tài)的。這就是說，服務(wù)器不知道每個(gè)會(huì)話的狀態(tài)。但是，對于很多服務(wù)提供商來說，它們有必要跟蹤一個(gè)用戶打開了多少個(gè)會(huì)話，這樣可以禁止一些非法接入。在RADIUS環(huán)境中有幾種不同的技術(shù)可以實(shí)現(xiàn)限制接入數(shù)。一些廠商已經(jīng)開發(fā)出一些工具，這些工具能利用SNMP協(xié)議或者是其它的方法檢查會(huì)話的狀態(tài)。而另一些廠商則是通過分離接入或者是記賬請求中的狀態(tài)信息來監(jiān)視RADIUS的接入和記賬消息。這些監(jiān)視沒有直接查詢NAS可靠，但是它較少的依賴于特定的廠商。倘若它發(fā)送所有的流到同一個(gè)服務(wù)器，那它能與任何RADIUS NAS工作。目前使用的幾種方法： - SNMP commands -

25、 Telnet monitor deamon - Accounting monitor6.4授權(quán)修改如果需要實(shí)現(xiàn)動(dòng)態(tài)修改一個(gè)在線的會(huì)話，例如修改過濾器（filter）或者是超時(shí)切斷，那么廠商至少還需要一個(gè)類似于RADIUS的服務(wù)器，該服務(wù)器接收網(wǎng)絡(luò)上的應(yīng)用程序發(fā)出的消息，匹配會(huì)話，然后執(zhí)行相應(yīng)的動(dòng)作。從服務(wù)器發(fā)給NAS的消息： - Change Filter Request - Change Filter Ack / Nak - Disconnect Request - Disconnect Response過濾器通過限制用戶發(fā)送報(bào)文的系統(tǒng)和協(xié)議來限制用戶的接入。通過在一個(gè)授權(quán)服務(wù)器上完成一些

26、注冊，業(yè)務(wù)提供者可以移去這些限制，或者是掐斷一個(gè)用戶。7.策略服務(wù)一些廠商通過把RADIUS作為控制協(xié)議，實(shí)現(xiàn)了策略服務(wù)器。兩個(gè)明顯的策略管理者作為一個(gè)RADIUS代理過濾器，使用RADIUS消息，拒絕那些超出了當(dāng)前策略限制的接入。一種實(shí)現(xiàn)實(shí)現(xiàn)就象一個(gè)RADIUS代理服務(wù)器，但是通過一個(gè)策略進(jìn)程管理下一步的決定。最典型的就是當(dāng)一個(gè)呼叫到達(dá)時(shí)，NAS在發(fā)出認(rèn)證消息前發(fā)出一個(gè)其它的消息（例如想在最新的草案中的Service-Type = CallCheck )。該消息只在用戶名域包含呼叫號的信息。服務(wù)器收到這個(gè)Access-Request消息后，通過它所知道的網(wǎng)絡(luò)狀態(tài)和預(yù)備的策略處理該報(bào)文。接收這

27、個(gè)呼叫后，一個(gè)Access-Accept報(bào)文被返回給系統(tǒng)，同時(shí)還包含一些動(dòng)態(tài)的策略信息以及特定的虛擬POP缺省參數(shù)（Virtual POP specific default parameters）。當(dāng)一個(gè)真正的ppp認(rèn)證消息到達(dá)后，代理將該報(bào)文轉(zhuǎn)發(fā)給RADIUS服務(wù)器。這個(gè)過程可以看做是一個(gè)認(rèn)證預(yù)處理過程。它也可以處理沒有這種預(yù)處理的接入請求，而用用戶名域獲得它想要獲得的用于策略評估的信息。其它的實(shí)現(xiàn)也有類似的操作。不同的是他不是用預(yù)認(rèn)證消息，而是在Access-Request中使用VSA。8.記賬擴(kuò)展通常記賬只記錄會(huì)話的開始和結(jié)束，這個(gè)感覺挺煩的。當(dāng)相關(guān)操作發(fā)生時(shí)，為了給出一個(gè)更好的描述而額

28、外上報(bào)一些其它的信息是很容易的事。8.1審核/行為（Auditing/Activity） - Call or Modem Starts, Stops - Tunnel Starts, Stops - Tunnel Link Starts & Stops - Admin changes如果一個(gè)狀態(tài)服務(wù)器監(jiān)視上面這些事件，那它可以被用于收集一個(gè)用戶/會(huì)話的網(wǎng)絡(luò)使用信息。與向后跟蹤IP地址流相比，一個(gè)特定用戶進(jìn)入網(wǎng)絡(luò)的信息與網(wǎng)絡(luò)業(yè)務(wù)管理更相關(guān)。通過一定范圍內(nèi)的NAS收集的關(guān)于使用端口的有效信息能使得業(yè)務(wù)提供者能很快的發(fā)現(xiàn)有問題的區(qū)域或者是用戶。同樣，對于業(yè)務(wù)提供者來說，關(guān)于用戶呼叫的成功、失

29、敗、質(zhì)量的信息同樣很重要。擴(kuò)展RADIUS記賬很容易，但奇怪的是很多實(shí)現(xiàn)都沒有關(guān)于這個(gè)方面的內(nèi)容。9.結(jié)論實(shí)際中，RADIUS服務(wù)器的軟件實(shí)現(xiàn)變得相當(dāng)復(fù)雜。他們經(jīng)常作為一個(gè)中間人將認(rèn)證或授權(quán)信息轉(zhuǎn)到其它的授權(quán)處或者是某個(gè)中心。為了實(shí)現(xiàn)這種解決方案，通常將不同的RADIUS協(xié)議組合在一起使用。一些解決方案能被一些潛在的更好的業(yè)務(wù)替代。對實(shí)現(xiàn)者來說，這意味者RADIUS與RFC的描述變得更不相關(guān)了。很多增加的特性需要匹配客戶端和服務(wù)器關(guān)于消息的處理。如果沒有標(biāo)準(zhǔn)，我們在該領(lǐng)域不能協(xié)同工作，則更多的精力花費(fèi)在相互作用上。無論如何，該文檔不是一個(gè)完全的調(diào)查。它只是我寫這篇文檔時(shí)所知道的一些典型應(yīng)用摘要

30、。感謝那些提供關(guān)于一些實(shí)踐和細(xì)節(jié)的材料的用戶和廠商。如果你有什么參考材料能提供的話，我也感激不盡。10.安全考慮略11.實(shí)現(xiàn)文檔下面的材料可以從各自的所有者獲得。很多列表在制造廠商的站點(diǎn)上就能找到。11.1客戶端 - 3Com(USR) Total Control Hub - Ericsson(ACC) Tigris draft-ilgun-radius-accvsa-01.txt, Dec 1998 - Lucent(Ascend) MAX TNT - Lucent(Livingston) Portmaster - Nortel(Aptis) CVX 1800 - Nortel(Bay Ne

31、tworks) Versalar 5399/8000 Remote Access Controller - Intel(Shiva)11.2服務(wù)器 - Ericsson(ACC) Virtual Port Server Manager - Funk Steel-Belted RADIUS - Intel(Shiva) Access Manager - Lucent(Ascend) Access Control - Lucent(Ascend) NavisAccess - Lucent(Ascend) Modified Livingston 1.16 - Lucent(Livingston) V

32、2.01 - Lucent(Livingston) ABM - Lucent Port Authority - MERIT AAA Servers - Nortel(Bay Networks) BaySecure Access Control - Nortel Preside Radius - Nortel CVX Policy Manager12參考材料 1 Rigney, C., Rubens, A., Simpson, W. and S. Willens, "Remote Authentication Dial In User Service (RADIUS)", R

33、FC 2138, April 1997. 2 Rigney, C., "RADIUS Accounting", RFC 2139, April 1997. 3 Rigney, C., Willens, S., Ruebens, A. and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000. 4 Rigney, C., "RADIUS Accounting", RFC 2866, June 2000. 5 Rig

34、ney, C., Willats, W. and P. Calhoun, "RADIUS Extensions", RFC 2869, June 2000. 6 Zorn, G., Leifer, D., Rubens, A., Shriver, J., Holdrege, M. and I. Goyret, "RADIUS Attributes for Tunnel Protocol Support", RFC 2868, June 2000. 7 Zorn, G., Aboba, B. and D. Mitton, "RADIUS Acco

35、unting Modifications for Tunnel Protocol Support", RFC 2867, June 2000. 8 Aboba, B. and G. Zorn, "Implementation of L2TP Compulsory Tunneling via RADIUS", RFC 2809, April 2000. 9 Zorn, G., "Microsoft Vendor-specific RADIUS Attributes", RFC 2548, March 1999. 10 Ilgun, K., &qu

36、ot;RADIUS Vendor Specific Attributes for ACC/Ericsson Datacom Access", Work in Progress.13. Author's Address David Mitton Nortel Networks 880 Technology Park Drive Billerica, MA 01821 Phone: 978-288-457014. Full Copyright Statement Copyright (C) The Internet Society (2000). All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, publis