用戶接入管理協(xié)議(radius)

第12章用戶接入管理協(xié)議12.1引言12.2接入鏈路協(xié)議12.3接入認(rèn)證/控制協(xié)議12.4接入管理協(xié)議12.5小結(jié)和推薦資料接入網(wǎng)技術(shù)12.1引言接入網(wǎng)的核心功能之一是對(duì)用戶進(jìn)行接入管理參與用戶接入管理的協(xié)議主要分為三個(gè)層次接入鏈路協(xié)議接入認(rèn)證/控制協(xié)議以及接入管理協(xié)議接入網(wǎng)技術(shù)用戶接入管理的協(xié)議模型用戶BAS接入管理服務(wù)器接入管理協(xié)議接入認(rèn)證/控制協(xié)議接入鏈路協(xié)議物理層接入鏈路協(xié)議接入認(rèn)證/控制協(xié)議物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層接入管理協(xié)議物理層接入鏈路協(xié)議接入認(rèn)證/控制協(xié)議物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層接入管理協(xié)議接入網(wǎng)技術(shù)12.2接入鏈路協(xié)議接入鏈路協(xié)議作用：提供鏈路通信服務(wù)提供或便于實(shí)現(xiàn)基于用戶的接入控制功能典型的接入鏈路協(xié)議有：以太網(wǎng)協(xié)議：IEEE802.3無(wú)線局域網(wǎng)協(xié)議（IEEE802.11系列）PPP（Point-to-PointProtocol，點(diǎn)到點(diǎn)協(xié)議）PPPoE：以太網(wǎng)上的點(diǎn)到點(diǎn)協(xié)議）PointtoPointProtocoloverEthernet本章主要介紹PPP和PPPoE協(xié)議。接入網(wǎng)技術(shù)PPP協(xié)議概念Point-to-PointProtocol點(diǎn)到點(diǎn)的協(xié)議目前使用的版本:RFC1661協(xié)議作用范圍點(diǎn)到點(diǎn)的鏈路上(數(shù)據(jù)鏈路)功能實(shí)現(xiàn)點(diǎn)到點(diǎn)鏈路的兩個(gè)節(jié)點(diǎn)之間:數(shù)據(jù)鏈路的建立與拆除鏈路質(zhì)量檢測(cè)身份認(rèn)證網(wǎng)絡(luò)層協(xié)議協(xié)商與配置(如IP協(xié)議的IP的地址等)兩個(gè)子協(xié)議：LCP與NCP

接入網(wǎng)技術(shù)PPP協(xié)議——LCP鏈路控制協(xié)議LCPLinkControlProtocol鏈路建立鏈路參數(shù)協(xié)商（如MRU等）與配置是否認(rèn)證或認(rèn)證協(xié)議協(xié)商鏈路拆除等接入網(wǎng)技術(shù)PPP協(xié)議——NCP網(wǎng)絡(luò)層控制協(xié)議NCPNetworkControlProtocol不同的網(wǎng)絡(luò)層協(xié)議可復(fù)用在同一PPP鏈路上PPP為不同的網(wǎng)絡(luò)層設(shè)計(jì)了相應(yīng)的NCP如對(duì)應(yīng)IP協(xié)議的NCP為IPCP對(duì)應(yīng)IPX協(xié)議的NCP為IPXCP不同的NCP處理不同網(wǎng)絡(luò)層特殊要求（如IP地址分配等）同一個(gè)PPP連接下可開(kāi)啟多個(gè)NCP接入網(wǎng)技術(shù)PPP的協(xié)議的封裝格式類似HDLC的UI幀（無(wú)編號(hào)幀）地址控制協(xié)議數(shù)據(jù)FCS字節(jié)1

1

2變長(zhǎng)2地址控制數(shù)據(jù)FCSHDLCUI幀PPP幀固定值OxFF固定值Ox03封裝數(shù)據(jù)的協(xié)議類型接入網(wǎng)技術(shù)PPP的協(xié)議操作過(guò)程五個(gè)階段及各階段轉(zhuǎn)換圖UPOPENDSUCCESS/NONEFAILDOWNCLOSING鏈路死亡鏈路建立認(rèn)證網(wǎng)絡(luò)層協(xié)議鏈路終止FAIL接入網(wǎng)技術(shù)PPP協(xié)議的五個(gè)階段死亡階段物理層未準(zhǔn)備好、PPP的初始階段鏈路建立階段，由LCP完成建立請(qǐng)求、協(xié)商MRU、認(rèn)證協(xié)議、鏈路質(zhì)量監(jiān)測(cè)協(xié)議認(rèn)證階段,由LCP完成可選項(xiàng)，對(duì)用戶身份的鑒別。是否選或選擇何種認(rèn)證協(xié)議在建立連接階段協(xié)商網(wǎng)絡(luò)層協(xié)議階段，由NCP完成對(duì)網(wǎng)絡(luò)層協(xié)議進(jìn)行配置，如網(wǎng)絡(luò)層地址（IP地址）分配鏈路終止階段,由LCP完成可以在任何時(shí)候終止鏈路，鏈路的正常終止由LCP分組完成，一個(gè)NCP的關(guān)閉不一定引起鏈路的關(guān)閉接入網(wǎng)技術(shù)PPPoE協(xié)議概念

PPPOverEthernet以太網(wǎng)的點(diǎn)到點(diǎn)的協(xié)議目前使用的版本:RFC2516PPPoE的引入PPP只適應(yīng)點(diǎn)到點(diǎn)鏈路的接入控制點(diǎn)到多點(diǎn)鏈路PPP仍然適應(yīng)嗎？否!PPPoE可以實(shí)現(xiàn)對(duì)點(diǎn)到多點(diǎn)鏈路的接入控制PPPoE的功能對(duì)以太網(wǎng)上每個(gè)用戶與NAS之間建立一條PPP會(huì)話通道每一條PPP會(huì)話通道有唯一的連接標(biāo)識(shí)實(shí)現(xiàn)對(duì)太網(wǎng)上每個(gè)用戶進(jìn)行單獨(dú)的管理接入網(wǎng)技術(shù)PPPoE接入模型圖中：接入橋接設(shè)備可為：交換機(jī)、ADSLModem接入集中器可為：PPPoE服務(wù)器、DSLAM主機(jī)主機(jī)主機(jī)接入集中器AccessConcentrator主機(jī)主機(jī)ISP局域網(wǎng)（以太網(wǎng)）PPP會(huì)話橋接接入設(shè)備BridgingAccessDevice接入網(wǎng)技術(shù)PPPoE協(xié)議分層模型以太網(wǎng)物理層PPPoE數(shù)據(jù)鏈路層網(wǎng)絡(luò)層PPPIP接入網(wǎng)技術(shù)PPPoE分組（幀）格式PPPoE協(xié)議封裝在以太幀中（以太幀的載荷）字節(jié)目的MAC地址源MAC地址類型有效載荷（PPPoE分組）FCS662變長(zhǎng)4PPPoE封裝在以太幀中發(fā)現(xiàn)階段類型：0x8863會(huì)話階段類型：0x8864版本代碼類型有效載荷會(huì)話標(biāo)識(shí)比特01234567012345670123456701234567長(zhǎng)度PPPoE分組格式固定值不同階段的分組類型PPPoE載荷長(zhǎng)度標(biāo)識(shí)一個(gè)特定的PPPoE會(huì)話發(fā)現(xiàn)階段：為空會(huì)話階段：PPP幀接入網(wǎng)技術(shù)

PPPoE協(xié)議操作（運(yùn)行）的兩個(gè)階段兩個(gè)階段：PPPoE發(fā)現(xiàn)與PPP會(huì)話發(fā)現(xiàn)階段主機(jī)廣播一個(gè)PPPoE有效發(fā)現(xiàn)啟動(dòng)分組，尋找合適的PPPoE服務(wù)器可能有多個(gè)服務(wù)器收到該消息，滿足要求的服務(wù)器發(fā)送有效發(fā)現(xiàn)提供分組應(yīng)答，否則不發(fā)應(yīng)答主機(jī)選擇一個(gè)合適的接入服務(wù)器，發(fā)有效發(fā)現(xiàn)請(qǐng)求分組接入服務(wù)器為主機(jī)分配唯一的會(huì)話標(biāo)識(shí)。發(fā)現(xiàn)過(guò)程結(jié)束主機(jī)PPPoE接入服務(wù)器①?gòu)V播PADI②單播PADO③

單播PADR④

單播PADS接入網(wǎng)技術(shù)PPPoE協(xié)議操作（運(yùn)行）的兩個(gè)階段PPP會(huì)話階段發(fā)現(xiàn)結(jié)束后，主機(jī)和PPPoE接入服務(wù)器建立點(diǎn)到點(diǎn)隧道，進(jìn)入會(huì)話階段PPP幀封裝在PPPoE幀中而PPPoE幀封裝在Ethernet幀中，通過(guò)以太網(wǎng)或其它接入網(wǎng)承載或運(yùn)送接入網(wǎng)技術(shù)12.3接入認(rèn)證/控制協(xié)議口令認(rèn)證協(xié)議PAP質(zhì)詢認(rèn)證協(xié)議CHAP可擴(kuò)展的認(rèn)證協(xié)議EAP基于端口的接入認(rèn)證與控制協(xié)議802.1X接入網(wǎng)技術(shù)

口令認(rèn)證協(xié)議PAPPAP（由RFC1334描述）PasswordAuthenticationProtocol

口令認(rèn)證協(xié)議PAP認(rèn)證過(guò)程被認(rèn)證方向認(rèn)證方發(fā)認(rèn)證請(qǐng)求信息（明文）請(qǐng)求信息含“用戶名、口令”

認(rèn)證方向被認(rèn)證方發(fā)認(rèn)證應(yīng)答信息（明文）

Auth-AckorAuth-Nak

認(rèn)證請(qǐng)求（Auth-Request）認(rèn)證成功/失?。ˋuth-Ack/Auth-Nak）A（被認(rèn)證方）B（認(rèn)證方）PAP認(rèn)證的問(wèn)題

明文傳輸認(rèn)證信息容易被竊取，存在安全隱患接入網(wǎng)技術(shù)質(zhì)詢認(rèn)證協(xié)議

CHAPCHAPChallengeAuthenticationProtocol質(zhì)詢認(rèn)證協(xié)議由RFC1994描述CHAP認(rèn)證的特點(diǎn)認(rèn)證信息采用密文傳送采用共享密鑰與PAP相比安全性更高認(rèn)證所花時(shí)間更長(zhǎng)接入網(wǎng)技術(shù)質(zhì)詢認(rèn)證協(xié)議

CHAP

CHAP認(rèn)證的交互過(guò)程2)響應(yīng)（Response）（密文）1)質(zhì)詢（Challenge）(明文）A（被認(rèn)證方）B（認(rèn)證方）3)認(rèn)證成功/失?。ˋuth-Ack/Auth-Nak）1)由認(rèn)證方向被認(rèn)證方發(fā)送質(zhì)詢分組質(zhì)詢值為隨機(jī)數(shù)２)由被認(rèn)證方向認(rèn)證方發(fā)送響應(yīng)分組

將質(zhì)詢值通過(guò)共享密鑰加密后傳送到對(duì)方３)由認(rèn)證方向被認(rèn)證方發(fā)送響應(yīng)分組

認(rèn)證方用共享密鑰解密，正確發(fā)Ack，錯(cuò)誤發(fā)Nak接入網(wǎng)技術(shù)可擴(kuò)展認(rèn)證協(xié)議

EAPEAP的含義ExtensibleAuthenticationProtocol可擴(kuò)展的認(rèn)證協(xié)議由RFC2284描述并非一個(gè)具體的認(rèn)證協(xié)議是一個(gè)認(rèn)證協(xié)議的封裝協(xié)議定義了一種封裝的框架、格式具體的認(rèn)證協(xié)議和認(rèn)證信息封裝在EAP分組中，如PAPoverEAP、CHAPoverEAPetc.迄今EAP支持的認(rèn)證協(xié)議達(dá)42種接入網(wǎng)技術(shù)用戶接入控制協(xié)議802.1X概念I(lǐng)EEE802.1X基于端口的接入控制協(xié)議目前使用標(biāo)準(zhǔn)版本:IEEEStd802.1X-2001一個(gè)專用于802網(wǎng)絡(luò)用戶接入認(rèn)證與控制的協(xié)議接入要求LAN用戶以點(diǎn)到點(diǎn)方式接入到LAN的端口上端口可以是物理端口（如以太網(wǎng)交換機(jī)端口）端口也可以是邏輯端口（如WLAN中的AP端口）功能為L(zhǎng)AN用戶提供接入認(rèn)證及授權(quán)的服務(wù)功能接入網(wǎng)技術(shù)802.1X協(xié)議模型的三種實(shí)體客戶系統(tǒng)（SupplicantSystem）運(yùn)行802.1X客戶軟件的用戶終端系統(tǒng)認(rèn)證系統(tǒng)（AuthenticatorSystem）為802.1X客戶系統(tǒng)（即LAN用戶）提供授權(quán)的接入服務(wù)，通常為支持802.1X協(xié)議的網(wǎng)絡(luò)接入設(shè)備認(rèn)證服務(wù)器系統(tǒng)（AuthenticationServerSystem）為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)接入網(wǎng)技術(shù)802.1X的協(xié)議運(yùn)行模型

PAE:PortAccessEntity:端口接入實(shí)體客戶系統(tǒng)認(rèn)證系統(tǒng)認(rèn)證服務(wù)器系統(tǒng)客戶PAE提供授權(quán)的服務(wù)認(rèn)證PAE受控端口認(rèn)證服務(wù)器LAN不受控端口

運(yùn)行802.1X客戶軟件的用戶終端支持802.1X的網(wǎng)絡(luò)接入設(shè)備為801.1x客戶提供授權(quán)的接入服務(wù)

為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)接入網(wǎng)技術(shù)802.1X的不受控/受控端口不受控端口傳輸認(rèn)證信息始終連通受控端口傳輸用戶業(yè)務(wù)數(shù)據(jù)受控方式：雙向受控或僅輸入受控端口默認(rèn)狀態(tài)為未授權(quán)狀態(tài)，即斷開(kāi)狀態(tài)雙向受控：端口此時(shí)禁止收、發(fā)業(yè)務(wù)數(shù)據(jù)僅輸入受控：端口此時(shí)只能發(fā)送數(shù)據(jù)通過(guò)認(rèn)證后，處于授權(quán)狀態(tài)，即接通狀態(tài)LAN認(rèn)證系統(tǒng)受控端口不受控端口接入網(wǎng)技術(shù)802.1X協(xié)議運(yùn)行協(xié)議運(yùn)行實(shí)體客戶PAE、認(rèn)證PAE、認(rèn)證服務(wù)器認(rèn)證協(xié)議封裝類型客戶PAE與認(rèn)證PAE之間：EAPOL(EAPOverEthernet）認(rèn)證PAE與認(rèn)證服務(wù)器之間：EAP認(rèn)證的發(fā)起者客戶PAE或認(rèn)證PAE接入網(wǎng)技術(shù)802.1X的認(rèn)證與接入過(guò)程1)客戶PAE將認(rèn)證信息由EAPOL封裝，并通過(guò)認(rèn)證系統(tǒng)的不受控端口傳輸?shù)秸J(rèn)證PAE2)認(rèn)證PAE將認(rèn)證信息由EAP封裝傳輸?shù)秸J(rèn)證服務(wù)器3)認(rèn)證服務(wù)器驗(yàn)證用戶認(rèn)證信息，并將認(rèn)證結(jié)果返回到認(rèn)證PAE（成功或失?。?)認(rèn)證PAE將認(rèn)證結(jié)果反饋給客戶PAE認(rèn)證成功：受控端口設(shè)為授權(quán)狀態(tài)，向用戶提供接入服務(wù)認(rèn)證失?。菏芸囟丝诶^續(xù)斷開(kāi)，拒絕向用戶提供接入服務(wù)接入網(wǎng)技術(shù)通過(guò)以太網(wǎng)交換機(jī)接入的交換式以太網(wǎng)每臺(tái)主機(jī)以點(diǎn)到點(diǎn)方式接入到交換機(jī)每個(gè)端口接入點(diǎn)為交換機(jī)的物理端口通過(guò)AP接入的無(wú)線局域網(wǎng)每臺(tái)無(wú)線主機(jī)以點(diǎn)到點(diǎn)方式接入AP的同一無(wú)線端口控制端口為邏輯端口不同的邏輯端口可由

MAC地址區(qū)分

注：PC中安裝客戶PAE

交換機(jī)或AP中安裝認(rèn)證PAEPCPC以太網(wǎng)交換機(jī)PCPCAAAServerAPPCPCPC802.1X協(xié)議的應(yīng)用接入網(wǎng)技術(shù)概念RADIUS的含義協(xié)議的發(fā)展協(xié)議的功能協(xié)議模型協(xié)議運(yùn)行報(bào)文格式和類型（自學(xué)）RADIUS代理協(xié)議應(yīng)用12.4接入管理協(xié)議接入網(wǎng)技術(shù)RADIUS的含義RemoteAuthenticationDialInUserService遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)協(xié)議標(biāo)準(zhǔn)：RFC2865，RFC2866擴(kuò)展版本：RFC2867，RFC2868等協(xié)議發(fā)展與應(yīng)用范圍最初僅針對(duì)撥號(hào)用戶，實(shí)現(xiàn)AAA的管理功能現(xiàn)已發(fā)展成一種通用的、廣泛使用的實(shí)現(xiàn)AAA功能的協(xié)議適用于各種方式接入的用戶的集中管理協(xié)議的功能對(duì)接入用戶提供認(rèn)證、授權(quán)和記帳功能支持對(duì)漫游用戶的接入管理用戶接入管理協(xié)議–RADIUS接入網(wǎng)技術(shù)協(xié)議模型LAN用戶NASRADIUSserver接入client接入serverRADIUSclient用戶接入認(rèn)證協(xié)議RADIUS

協(xié)議用戶管理數(shù)據(jù)庫(kù)用戶接入管理協(xié)議–RADIUS模型結(jié)構(gòu)為集中/分布式協(xié)議作用范圍：NAS與RADIUS服務(wù)器之間注意：RADIUS并未對(duì)用戶與NAS之間的認(rèn)證協(xié)議進(jìn)行規(guī)定接入網(wǎng)技術(shù)用戶接入管理協(xié)議–RADIUSRADIUS協(xié)議運(yùn)行NAS與RADIUS服務(wù)器之間的操作但必須有用戶與NAS之間認(rèn)證協(xié)議的配合協(xié)議運(yùn)行分為兩個(gè)過(guò)程：認(rèn)證操作（包括授權(quán)）記帳操作協(xié)議實(shí)體交互過(guò)程中采用重傳機(jī)制接入網(wǎng)技術(shù)用戶接入管理協(xié)議–RADIUS認(rèn)證操作操作實(shí)體NAS與RADIUS認(rèn)證服務(wù)器認(rèn)證操作的方式請(qǐng)求/響應(yīng)方式質(zhì)詢/響應(yīng)方式接入網(wǎng)技術(shù)用戶接入管理協(xié)議–RADIUS

請(qǐng)求/響應(yīng)方式(一問(wèn)一答）

用戶名、口令接入認(rèn)證結(jié)果用戶NASRADIUS認(rèn)證服務(wù)器接入請(qǐng)求報(bào)文接入許可/拒絕報(bào)文NAS從用戶處獲得用戶認(rèn)證信息NAS將認(rèn)證信息生成一個(gè)RADIUS接入請(qǐng)求報(bào)文發(fā)向RADIUS認(rèn)證服務(wù)器（含用戶名、口令等）RADIUS認(rèn)證服務(wù)器驗(yàn)證用戶的合法性，并通過(guò)接入許可/拒絕報(bào)文回應(yīng)NAS

接入網(wǎng)技術(shù)接入許可/拒絕報(bào)文接入質(zhì)詢報(bào)文用戶接入管理協(xié)議–RADIUS

質(zhì)詢/響應(yīng)方式用戶名、口令接入認(rèn)證結(jié)果用戶NASRADIUS認(rèn)證服務(wù)器接入請(qǐng)求報(bào)文質(zhì)詢值，提示消息響應(yīng)值接入請(qǐng)求報(bào)文NAS第1次發(fā)出的接入請(qǐng)求報(bào)文中含用戶名和口令信息NAS第2次發(fā)出的接入請(qǐng)求報(bào)文中將口令換成用戶的質(zhì)詢響應(yīng)值接入網(wǎng)技術(shù)用戶接入管理協(xié)議–RADIUS記帳請(qǐng)求報(bào)文接入許可開(kāi)始記帳RADIUS

記帳服務(wù)器記帳響應(yīng)報(bào)文NASa)開(kāi)始記帳記帳請(qǐng)求報(bào)文服務(wù)終止結(jié)束記帳RADIUS

記帳服務(wù)器記帳響應(yīng)報(bào)文NASb)結(jié)束記帳記帳操作操作實(shí)體：NAS與RADIUS記帳服務(wù)器操作時(shí)機(jī)：授權(quán)許可提供服務(wù)開(kāi)始時(shí)和服務(wù)終止時(shí)接入網(wǎng)技術(shù)用戶接入管理協(xié)議–RADIUSRADIUS代理一個(gè)RADIUS服務(wù)器可以同時(shí)為某些管理域的中繼服務(wù)器和其它域的遠(yuǎn)程服務(wù)器一個(gè)中繼服務(wù)器可以為多個(gè)遠(yuǎn)程服務(wù)器中繼典型應(yīng)用：為漫游用戶提供接入AAA管理接入網(wǎng)技術(shù)用戶接入管理協(xié)議–RADIUSRADIUS代理假設(shè)用戶A的認(rèn)證信息存放在一個(gè)遠(yuǎn)程服務(wù)器中中繼服務(wù)器遠(yuǎn)程服務(wù)器1)接入請(qǐng)求報(bào)文4)接入許可/拒絕報(bào)文NAS2)接入請(qǐng)求報(bào)文3)接入許可/拒絕報(bào)文RADIUS服務(wù)器NAS用戶ARADIUS服務(wù)器