Radius+Portal協(xié)議與業(yè)務(wù)流程

Radius+/Portal協(xié)議與業(yè)務(wù)流程固網(wǎng)產(chǎn)品課程開(kāi)發(fā)室10引入了解標(biāo)準(zhǔn)radius認(rèn)證計(jì)費(fèi)基本流程（參考《radius原理與應(yīng)用》課件）；了解標(biāo)準(zhǔn)radius協(xié)議的基本知識(shí)（參考《radius原理與應(yīng)用》課件）；了解portal（門(mén)戶網(wǎng)站）的基本原理（參考相關(guān)文檔）；學(xué)習(xí)本課件前，最好具備如下基本知識(shí)：：20學(xué)習(xí)目標(biāo)掌握radius+認(rèn)證計(jì)費(fèi)流程了解portal門(mén)戶網(wǎng)站業(yè)務(wù)了解寬帶BAS設(shè)備與iTellin智能業(yè)務(wù)平臺(tái)對(duì)接配合使用過(guò)程中常見(jiàn)的業(yè)務(wù)流程學(xué)習(xí)完本課程，您應(yīng)該能夠：30Radius與Radius+：

Radius：目前互聯(lián)網(wǎng)應(yīng)用中比較流行的用戶驗(yàn)證、授權(quán)、計(jì)費(fèi)協(xié)議。RFC2865/2866/2869定義了標(biāo)準(zhǔn)radius協(xié)議的所有規(guī)范。Radius+：各通信設(shè)備廠家分別對(duì)應(yīng)于原標(biāo)準(zhǔn)radius協(xié)議所未定義到的新應(yīng)用自行開(kāi)發(fā)定義了一套擴(kuò)展的radius協(xié)議報(bào)文和屬性，成為radius+協(xié)議。在華為iTellin中支持華為radius+1.0和radius+1.1兩種radius+協(xié)議。iTellin：智能業(yè)務(wù)平臺(tái)iTellin中包含了portalserver和iSCP（寬帶業(yè)務(wù)控制點(diǎn)，相當(dāng)于radiusserver）等功能模塊?；靖拍?0概述通常標(biāo)準(zhǔn)Radius用戶上網(wǎng)過(guò)程：在撥號(hào)連接客戶端中輸入用戶名和密碼并提交；Modem和交換機(jī)進(jìn)行協(xié)商通訊；…（等待中，完成BAS與iSCP之間的交互過(guò)程）PC上提示登錄網(wǎng)絡(luò)成功。60概述用戶提出上線請(qǐng)求；BAS收到用戶的請(qǐng)求后，向iSCP發(fā)出Access-Request(code=1)的認(rèn)證請(qǐng)求報(bào)文；iSCP向BAS發(fā)出相應(yīng)的Access-Accept(code=2)或Access-Reject(code=3)響應(yīng)報(bào)文；BAS根據(jù)iSCP發(fā)回的屬性對(duì)用戶進(jìn)行配置，同時(shí)向iSCP發(fā)出Accounting-Request(code=4/start)的計(jì)費(fèi)開(kāi)始請(qǐng)求報(bào)文；iSCP發(fā)回相應(yīng)的計(jì)費(fèi)響應(yīng)報(bào)文；用戶上網(wǎng)過(guò)程中，BAS定時(shí)向iSCP發(fā)出Accounting-Request(Interim-Update)實(shí)時(shí)計(jì)費(fèi)請(qǐng)求；iSCP發(fā)回相應(yīng)的計(jì)費(fèi)響應(yīng)報(bào)文；用戶提出下線請(qǐng)求；BAS收到用戶的請(qǐng)求后，向iSCP發(fā)出Accounting-Request(stop)計(jì)費(fèi)結(jié)束請(qǐng)求報(bào)文；iSCP發(fā)回相應(yīng)的計(jì)費(fèi)響應(yīng)報(bào)文；BAS收到iSCP的計(jì)費(fèi)結(jié)束響應(yīng)報(bào)文后，斷開(kāi)用戶的連接。BAS與iSCP之間的交互過(guò)程：70概述用Radius+1.0又不行了！上述兩種上網(wǎng)過(guò)程不足之處：iSCP總是被動(dòng)響應(yīng)BAS發(fā)出的各種請(qǐng)求，從而iSCP無(wú)法控制管理用戶的上網(wǎng)過(guò)程；用戶如果出現(xiàn)某種突發(fā)的需求，如快速下載或傳送很大的文件時(shí)需要更大的帶寬，此時(shí)無(wú)法改變帶寬等業(yè)務(wù)屬性。我只申請(qǐng)了256K帶寬，但我偶爾也想爽一下……90概述Radius+1.1&Portal-Server時(shí)用戶上網(wǎng)過(guò)程：100概述Radius+1.1&Portal-Server時(shí)用戶上網(wǎng)過(guò)程，和其它方式相比，主要不同點(diǎn)有：增加了code=20Session-Control報(bào)文；iSCP主動(dòng)下發(fā)各種控制報(bào)文；用戶可以動(dòng)態(tài)改變業(yè)務(wù)屬性。想變就變！變！OK,OK,OK!110Radius＋需求背景標(biāo)準(zhǔn)Radius協(xié)議的不足之處Radius＋1.1協(xié)議支持的特性不能處理和保證用戶對(duì)于服務(wù)質(zhì)量的動(dòng)態(tài)需求——帶寬動(dòng)態(tài)下發(fā)支持動(dòng)態(tài)改變服務(wù)質(zhì)量——?jiǎng)討B(tài)帶寬下發(fā)不支持服務(wù)器主動(dòng)下發(fā)控制報(bào)文支持服務(wù)器主動(dòng)激活端口；支持服務(wù)器主動(dòng)中斷連接；Radius＋與標(biāo)準(zhǔn)Radius共性：1）Radius+協(xié)議與Radius一樣，通過(guò)UDP通訊；2）采用重傳確認(rèn)機(jī)制以確保接收；3）安全性：A）密碼加密：使用客戶端與服務(wù)器端的共享密鑰通過(guò)MD5算法對(duì)用戶口令進(jìn)行加密，使得口令和密鑰不會(huì)在網(wǎng)上明文傳送；B）包簽名：有16字節(jié)的驗(yàn)證字用于對(duì)報(bào)文進(jìn)行簽名，以確定收到的報(bào)文為合法報(bào)文。130Radius協(xié)議包格式140各個(gè)域的解釋：1、Code：包類(lèi)型；1字節(jié)；指示RADIUS包的類(lèi)型。2、Identifier：包標(biāo)識(shí)；1字節(jié)；用于匹配請(qǐng)求包和響應(yīng)包，同一組請(qǐng)求包和響應(yīng)包的Identifier應(yīng)相同。3、Length：包長(zhǎng)度；2字節(jié)；整個(gè)包的長(zhǎng)度。4、Authenticator：驗(yàn)證字；16字節(jié)；用于對(duì)包進(jìn)行簽名。5、Attributes:屬性。Radius協(xié)議包各個(gè)域解釋150Session-control報(bào)文：報(bào)文中的必須有一個(gè)自定義的子屬性為Command，內(nèi)容為4字節(jié)的整數(shù)。其取值表示四種報(bào)文：1）Trigger-Request：控制radiusclient觸發(fā)Access-Request。2）Terminate-Request：控制radiusclient主動(dòng)斷開(kāi)用戶連接。3）SetPolicy：表示認(rèn)證成功后，iSCP主動(dòng)改變策略，如帶寬、重定向策略、業(yè)務(wù)選擇等。4）Result：表示Trigger-Request、SetPolicy的結(jié)果；Terminate-Request沒(méi)有對(duì)應(yīng)的結(jié)果。Session-control報(bào)文170Session-control報(bào)文180Session-control報(bào)文：由于報(bào)文由Server主動(dòng)發(fā)起，則identifier值無(wú)效。1）對(duì)于Trigger-Request報(bào)文，Client可以根據(jù)Framed-IP-Address找到連接。2）對(duì)于Terminate-Request和SetPolicy報(bào)文，Client可以根據(jù)Connect-Id找到連接；Session-control報(bào)文190User-Name（1）：要求小于28字符。如果是PPP用戶，則用戶名的內(nèi)容是由用戶輸入的。例如：用戶輸入的用戶名格式是“USERNAME@ISP”。Trigger-Request報(bào)文中的UserName不能為空字符串。

session-control報(bào)文屬性：Session-control報(bào)文屬性210Command（20）：整數(shù)類(lèi)型。報(bào)文類(lèi)型，有四種取值：1：Trigger-Request2：Terminate-Request3：SetPolicy4：Result

session-control報(bào)文屬性：Session-control報(bào)文屬性220帶寬（1－6）：6個(gè)帶寬屬性要么一起出現(xiàn)，要么都不出現(xiàn)。如果出現(xiàn)，則改變帶寬。Input-Peak-Rate：上行峰值速率Input-Average-Rate：上行平均速率Input-Basic-Rate：上行基本速率Output-Peak-Rate：下行峰值速率Output-Average-Rate：下行平均速率Output-Basic-Rate：下行基本速率

session-control報(bào)文屬性：Session-control報(bào)文屬性230Control-Identifier（26）：iTellin每一次下發(fā)Session-Control時(shí)，都會(huì)分配一個(gè)Control-Identifier。對(duì)于同一個(gè)會(huì)話，如果是重發(fā)的報(bào)文，則Control-Identifier相同；如果不是重發(fā)報(bào)文，則Control-Identifier不同。Client收到Session-Control后，回Accounting-Request（ResetCharge）時(shí)需帶回Control-Identifier屬性，值不變。發(fā)Session-Control（Result）時(shí)也帶回Control-Identifier屬性，值不變。

session-control報(bào)文屬性：Session-control報(bào)文屬性250Result-Code（25）：反饋打開(kāi)端口成功與否的信息。Result-Code取值含義0client打開(kāi)端口成功非0client打開(kāi)端口失敗

session-control報(bào)文屬性：Session-control報(bào)文屬性260Session-control報(bào)文：Terminate-Request2901）Server操作iSCP要求主動(dòng)終端用戶連接會(huì)向client主動(dòng)下發(fā)該終止請(qǐng)求報(bào)文。待iSCP收到client上報(bào)的Accounting-Request（stop）后，就認(rèn)為Client已收到Terminate-Request，不再重發(fā)；否則定時(shí)重發(fā)。2）Client操作：A）Client收到該報(bào)文后，上報(bào)Accounting-Request（stop）；如果Client收到Terminate-Request前，已發(fā)了Accounting-Request（非stop），而未收到Accounting-Response，則Client直接向Server發(fā)Accounting-Request（stop），不等待上一個(gè)計(jì)費(fèi)請(qǐng)求的響應(yīng)。B）如果Client收到Terminate-Request前，已發(fā)了Accounting-Request（stop），則丟棄Terminate-Request。3）報(bào)文說(shuō)明：Terminate-Request其實(shí)是針對(duì)一個(gè)連接的（connect-id）。

session-control報(bào)文：Terminate-RequestSession-control報(bào)文：Terminate-Request300Session-control報(bào)文：SetPolicy3101）Server操作：在用戶業(yè)務(wù)正常訪問(wèn)過(guò)程中，業(yè)務(wù)策略發(fā)生改變時(shí)，或者用戶在Portal上選擇業(yè)務(wù)策略后，iSCP發(fā)送SetPolicy至Client，表示要重置當(dāng)前業(yè)務(wù)的策略。2）Client操作：Client收到該消息后，必需回Accounting-Request（ResetCharge），其中ResetCharge為新增屬性值，表示改變策略后需要重置計(jì)費(fèi)。3）報(bào)文描述：iSCP在發(fā)送SetPolicy時(shí)，必定會(huì)含有Control-Identifier。Client需在Accounting-Request（ResetCharge）中帶回SetPolicy中的Control-Identifier（放在ResetCharge的Control-Identifier中）。

session-control報(bào)文：SetPolicySession-control報(bào)文：SetPolicy3203）報(bào)文描述——client處理規(guī)則：（1）client收到SetPolicy報(bào)文后，應(yīng)該根據(jù)SetPolicy指定的內(nèi)容立即修改業(yè)務(wù)屬性，修改屬性的操作成功后，必須向Server發(fā)送Accounting-Request（ResetCharge）報(bào)文，表示業(yè)務(wù)屬性修改成功；（2）client收到SetPolicy報(bào)文后，也可以回應(yīng)Session-Control（Result）報(bào)文，其中Result-Code為非0值，表示修改屬性的操作失??；（3）如果發(fā)現(xiàn)收到的SetPolicy重復(fù)（重復(fù)的依據(jù)是Control-Identifier沒(méi)變），而已收到了剛才一次的Accounting-Request（ResetCharge）的響應(yīng)，則直接回Session-Control（Result）報(bào)文。（4）Client收到Accounting-Request（ResetCharge）的響應(yīng)后，共兩種情況：如果發(fā)Accounting-Request（stop），則表示異常；如果成功則發(fā)Session-Control（Result）報(bào)文；（5）Client如果長(zhǎng)時(shí)間收不到Accounting-Request（ResetCharge）的響應(yīng)，則發(fā)Accounting-Request（stop）。Session-control報(bào)文：SetPolicy

session-control報(bào)文：SetPolicy3303）報(bào)文描述——iSCP的處理規(guī)則：（1）發(fā)送SetPolicy，收到Accounting-Request（ResetCharge）后，按照舊的策略形成話單記錄，然后更新計(jì)費(fèi)參數(shù)和其它業(yè)務(wù)參數(shù)，構(gòu)造Accounting-Request（ResetCharge）的Accounting-Response。（2）如果在收到Accounting-Request（ResetCharge）之前收到Accounting-Request（Interim-Update），按照舊的策略形成話單記錄，構(gòu)造Accounting-Request（Interim-Update）的Accounting-Response，然后繼續(xù)等待Accounting-Request（ResetCharge）。（3）iSCP等待Session-Control（Result）超時(shí)后，重發(fā)SetPolicy，N次后策略設(shè)置失敗，向Client發(fā)Terminate-Request。Session-control報(bào)文：SetPolicy

session-control報(bào)文：SetPolicy340

計(jì)費(fèi)報(bào)文種類(lèi)：Code＝4Accounting-RequestAccounting-Request報(bào)文中的五種狀態(tài)類(lèi)型（Acct-Status-Type）：1）Start（Value=1）：Client開(kāi)始對(duì)指定用戶提供服務(wù)，記帳開(kāi)始。2）Stop（Value=2）：Client停止對(duì)指定用戶提供服務(wù)，記帳結(jié)束。3）Interim-Update（Value=3）：中途上報(bào)流量信息，實(shí)時(shí)記帳。4）Reset-Charge（Value=4）：在認(rèn)證后，iSCP主動(dòng)要求Client改變策略后，Client上報(bào)流量信息。Code＝5Accounting-Response350

練習(xí)與思考：請(qǐng)簡(jiǎn)述Radius+與Radius的共性及Radius+支持的新特性；在Radius+1.1計(jì)費(fèi)報(bào)文中，Accounting-Request按屬性account-status-type可以分為哪幾種？請(qǐng)簡(jiǎn)述Session-Control報(bào)文的屬性以及在實(shí)際業(yè)務(wù)流程中的應(yīng)用。在使用Radius+1.1對(duì)接時(shí)，BAS如何根據(jù)Session-Control報(bào)文找到對(duì)應(yīng)的用戶連接？在radius+1.1中，如何確認(rèn)radiusclient是否成功打開(kāi)端口？360課程內(nèi)容

第一章Radius+V1.1協(xié)議說(shuō)明第二章PortalV2.0協(xié)議說(shuō)明第三章業(yè)務(wù)流程實(shí)例分析第四章典型案例分析370

Portal——

門(mén)戶業(yè)務(wù)。

Web認(rèn)證

——

通過(guò)Web方式進(jìn)行用戶認(rèn)證。

BAS——BroadAccessServer寬帶接入服務(wù)器。

認(rèn)證Client——表示協(xié)議中發(fā)起認(rèn)證請(qǐng)求的一方，可以為PortalServer或任何發(fā)起認(rèn)證的客戶機(jī)。在不會(huì)引起混淆的情況下，簡(jiǎn)稱為Client。認(rèn)證Server——表示協(xié)議中接受認(rèn)證請(qǐng)求的一方，例如BAS設(shè)備。

在不會(huì)引起混淆的情況下，簡(jiǎn)稱為Server?；靖拍?80Portal協(xié)議（Portalv1.0/v2.0版本）：規(guī)定了采用Portal認(rèn)證（或Web認(rèn)證）時(shí)，PortalServer和BAS設(shè)備之間的報(bào)文格式和通信流程，協(xié)議支持PAP和CHAP兩種認(rèn)證方式。（以下講解portalv2.0協(xié)議,其中portalv2.0協(xié)議兼容portalv1.0協(xié)議的全部報(bào)文類(lèi)型，同時(shí)較portalv1.0新增類(lèi)型為0x08，0x09，0x0a三種報(bào)文類(lèi)型。對(duì)于寬帶工程師來(lái)說(shuō)，此過(guò)程基本是透明的，因此大部分的內(nèi)容只需了解即可。）注：PSCP——指的是Portal和iSCP之間的報(bào)文格式和通信流程，有時(shí)也稱之為一種portal協(xié)議。Portal協(xié)議390Portal協(xié)議報(bào)文格式400Ver字段是協(xié)議的版本號(hào)，長(zhǎng)度為1字節(jié)，Ver=0x02表示是portalV2.0的版本。Ver：Portal協(xié)議報(bào)文字段說(shuō)明Type字段定義報(bào)文的類(lèi)型，長(zhǎng)度為1字節(jié)。Portal2.0協(xié)議兼容并較portalv1.0新增0x08，0x09，0x0a三種報(bào)文新的類(lèi)型。Type：410Pap/Chap字段定義此用戶的認(rèn)證方式，長(zhǎng)度為1字節(jié)，只對(duì)Type值為0x03的認(rèn)證請(qǐng)求報(bào)文（REQ_AUTH）有意義：1）Chap方式認(rèn)證－－－值為0x00；2）Pap方式認(rèn)證－－－值為0x01；PAP/CHAP：Portal協(xié)議報(bào)文字段說(shuō)明UserIP字段為Portal用戶的IP地址，長(zhǎng)度為4字節(jié)，其值由PortalServer根據(jù)其獲得的IP地址填寫(xiě)，在所有的報(bào)文中此字段都要有具體的值；UserIP：420Portal協(xié)議報(bào)文字段說(shuō)明AttrNum字段表示其后邊可變長(zhǎng)度的屬性字段屬性的個(gè)數(shù)，長(zhǎng)度為1字節(jié)（表示屬性字段最多可有255個(gè)屬性），其值在所有的報(bào)文中都要根據(jù)具體情況賦值。AttrNum：協(xié)議報(bào)文其它字段及屬性說(shuō)明請(qǐng)參考附件:430Portal協(xié)議Chap認(rèn)證流程440

練習(xí)與思考：請(qǐng)簡(jiǎn)述PortalV1.0/V2.0與PSCP分別運(yùn)行在那些設(shè)備之間(Portal-server/BAS/iSCP)？請(qǐng)簡(jiǎn)述PortalV1.0與V2.0協(xié)議報(bào)文格式(字段)的區(qū)別。

450課程內(nèi)容

第一章Radius+V1.1協(xié)議說(shuō)明第二章PortalV2.0協(xié)議說(shuō)明第三章業(yè)務(wù)流程實(shí)例分析第四章典型案例分析460iTellin中配置協(xié)議的選擇iSCP配置Portal配置Radius+1.0portal1.0/2.0:

運(yùn)行在NAS和Portalserver之間的協(xié)議；Radius＋1.1PSCP：運(yùn)行在Portalserver和iSCP之間的協(xié)議；

iTellin中配置協(xié)議的選擇（主動(dòng)方：決定協(xié)議和業(yè)務(wù)流程）4701）ISN8850中：ESR（config）#radius-serverprotocol-typeradius+?iphoteliphoteltype,supportRadius+protocolVersion1.0iTelliniTellintype,supportRadius+protocolVersion1.12）MA5200/MA5200E中：MA5200E（config-radius-iTellin）#server-type?Function:SetthetypeofRADIUSserverUsage:server-type{standard|iphotel|portal|huawei}Options:standard:theRADIUSserverisbasedonRFCprotocols（標(biāo)準(zhǔn)radius）iphotel:theRADIUSserverisIP-Hotelor201+system（radius+1.0）portal:theRADIUSserverisiTellinPortalsystem（radius+1.1）huawei:theRADIUSserverisbasedonHUAWEIRADIUSextendedprotocolBAS中配置協(xié)議的選擇

BAS中配置協(xié)議的選擇（被動(dòng)方：選擇支持的協(xié)議類(lèi)型）480

各協(xié)議關(guān)系490設(shè)備配置MA5200（略）查看portal信息set-log-level3查看radius信息debugradius；debugradius-packet查看AAA信息debugaaa打開(kāi)debug開(kāi)關(guān)monitor8850（以下詳述）查看portal信息debugpac；debugpcs-send-pkt;debugpcs-recv-pkt；debugpac-to-pcs-msg;debugpcs-to-pac-msg;查看radius信息debugradiuspacket查看AAA信息debugaaa打開(kāi)debug開(kāi)關(guān)terminaldebuggingiTellin打開(kāi)日志

關(guān)閉日志

MA5200、8850和iTellindebug信息查看方法

debug信息查看方法500經(jīng)典實(shí)例，舉一反三

用戶iTellin認(rèn)證全過(guò)程調(diào)試信息8850與iTELLIN對(duì)接實(shí)例講解510測(cè)試使用版本：1）8850——ISN8850V500R002B01D6162）iTELLIN——iTELLINSMAP-V100R001B03D008

VLAN用戶iTellin認(rèn)證組網(wǎng)8850與iTELLIN對(duì)接測(cè)試用例520實(shí)例一：PortalV1.0－radius+1.0

VLan用戶上網(wǎng)流程（1）：PortalV1.0－Radius＋1.05308850中Porta用戶的認(rèn)證控制功能

PortalServerRadiusServerISN8850PACAAA&RC+CCPCS認(rèn)證信息交互斷開(kāi)信息交互斷開(kāi)信息交互打開(kāi)、關(guān)閉連接Portal開(kāi)關(guān)斷開(kāi)相應(yīng)用戶認(rèn)證信息交互認(rèn)證信息交互斷開(kāi)信息交互認(rèn)證信息交互斷開(kāi)信息交互PCS：PortalCommunicationServerPAC：PortalAuthenticationControl540

VLan用戶上線流程：PortalV1.0－Radius＋1.05508850數(shù)據(jù)配置：…………set-loadlpui2knone//加載2K微碼(或portal微碼)…………aaagroupserverradiusitellin//配置Radius組radius-serverhost172.16.31.100radius-serverkeyitellinradius-serverprotocol-type

radius+

//使用Radius+1.0exit//Radius認(rèn)證計(jì)費(fèi)方案aaaaccountingpppacc1wait-startgroupitellinaaaauthenticationpppauth1groupitellin//指定Portal-Server

portal-server172.16.31.100255.255.224.0keyitellin…………

8850數(shù)據(jù)配置560ispdomainisp1.201//配置isp域ispaccountingacc1ispauthenticationauth1………….//配置DHCP-Relay和VLAN用戶數(shù)據(jù)interfaceFast-ethernet11/0/0.1ipaddress192.168.0.254255.255.255.0vlan10portal//VLAN=10的用戶，Portal特性iphelper-address172.16.20.238//DHCP-Server…………

8850B03D635版本以前只支持PortalV1.0，不需配置；因此Portal-Server應(yīng)該選擇PortalV1.0;8850和iTELLIN所使用的Radius協(xié)議類(lèi)型應(yīng)一致。

8850數(shù)據(jù)配置570用戶PC通過(guò)DHCP獲取IP地址；打開(kāi)IE，輸入任意IP地址，被強(qiáng)制到“172.16.31.100”的Portal頁(yè)面上；在Portal頁(yè)面上輸入正確的用戶名和密碼，按“確定”登錄；

用戶登錄界面580

用戶上線：portal協(xié)議//Portal-Server將各種交互信息提交PCS，由PCS繼續(xù)后續(xù)的交互*10/21/200217:09:33:630-slot0-_PCS-debug-[M00]:RecvPacketFromPortalServer(HEX):0101000000270000c0a8000500000000

//PortalV1.0//REQ_CHALLENGE//CHAP*10/21/200217:09:33:630-slot0-_PAC-debug-[M00]:PCS->PACMsgType:PS_REQ_CHALLENGE;PrtlUserIP:192.168.0.5*10/21/200217:09:33:640-slot0-_PAC-debug-[M00]:PAC->PCSCurrentState:AsNullMsgType:PAC_CHALL_SUCC;PrtlUserIP:192.168.0.5590

用戶上線：portal協(xié)議*10/21/200217:09:33:650-slot0-_PCS-debug-[M00]:RecvPacketFromPortalServer(HEX):0103000000275d06c0a80005000000020116

6b646c687379733635313440697370312e323031

0412b4c4f61030c97b262d942782601b20c6//REQ_AUTH//username/len///chap-password/len/password*10/21/200217:09:33:650-slot0-_PAC-debug-[M00]:PCS->PACCurrentState:AsChapMsgType:PS_CHAP_REQ_AUTH;PrtlUserIP:192.168.0.5//PAC將用戶名、口令提交給AAA模塊進(jìn)行Radius認(rèn)證：*10/21/200217:09:33:660-slot0-_PAC-debug-[M00]:PAC->AAACurrentState:AsChapMsgType:PAC_REQ_AUTH;PrtlUserIP:192.168.0.5PrtlUserCID:11.0.12;PrtlUserPAID:1e72a9d8600

用戶上線：Radius+1.0協(xié)議（code＝1）Radius認(rèn)證過(guò)程：code=1id=35length=144//Access-Request007820039570037f6004e83*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(1)(User-name):*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(3)(CHAP-Password):0x60xb40xc40xf60x100x300xc90x7b0x260x2d0x940x270x820x600x1b0x200xc6*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(60)(CHAP-Challenge):0x00x00x780x20x00x00x390x570x00x00x370xf60x00x00x4e0x83610

用戶上線：Radius+1.0協(xié)議（code＝1）*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(6)(Service-Type):2*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(7)(Framed-Protocol):1*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(4)(NAS-IP-Address):172.16.8.254*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(32)(NAS-Identifier):ESR8850*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(127)(Connect-Id):369098764*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(61)(NAS-Port-Type):15*10/21/200217:09:33:770-slot0-AAA-debug-Packet:attribute(128)(Connect-Port):ESR0010@vlan//使用PortalV1.0時(shí)Portal-Server不對(duì)邏輯端口號(hào)進(jìn)行處理620

code=2id=35length=56//Access-Accept676995b437901624a34d2c04cc3244c*10/21/200217:09:33:860-slot0-AAA-debug-Packet:attribute(121)(Input-Peak-Rate):9994240*10/21/200217:09:33:860-slot0-AAA-debug-Packet:attribute(122)(Input-Average-Rate):9994240*10/21/200217:09:33:860-slot0-AAA-debug-Packet:attribute(123)(Input-Basic-Rate):9994240*10/21/200217:09:33:860-slot0-AAA-debug-Packet:attribute(124)(Output-Peak-Rate):9994240*10/21/200217:09:33:860-slot0-AAA-debug-Packet:attribute(125)(Output-Average-Rate):9994240*10/21/200217:09:33:860-slot0-AAA-debug-Packet:attribute(126)(Output-Basic-Rate):9994240

用戶上線：Radius+1.0協(xié)議（code＝2）630

用戶上線：portal協(xié)議//AAA模塊將認(rèn)證結(jié)果通知PAC*10/21/200217:09:33:860-slot0-_PAC-debug-[M00]:AAA->PACCurrentState:AsAuthMsgType:AAA_AUTH_SUCC;PrtlUserIP:192.168.0.5PrtlUserCID:11.0.12;PrtlUserPAID:1e72a9d8*10/21/200217:09:33:870-slot0-_PAC-debug-[M00]:PAC->PCSCurrentState:AsAuthMsgType:PAC_AUTH_SUCC;PrtlUserIP:192.168.0.5*10/21/200217:09:33:880-slot0-_PCS-debug-[M00]:RecvPacketFromPortalServer(HEX):0107000000275d06c0a8000500000000

*10/21/200217:09:33:880-slot0-_PAC-debug-[M00]:PCS->PACCurrentState:AsAckAuthMsgType:PS_ACKACK_AUTH;PrtlUserIP:192.168.0.5*10/21/200217:09:33:880-slot0-_PAC-debug-[M00]:640

用戶上線：portal協(xié)議PAC->CCCurrentState:AsAckAuthMsgType:PAC_PORTAL_UP;PrtlUserIP:192.168.0.5PrtlUserCID:11.0.12;PrtlUserPAID:1e72a9d8//PAC通知AAA模塊進(jìn)行Radius計(jì)費(fèi)：*10/21/200217:09:33:880-slot0-_PAC-debug-[M00]:PAC->AAACurrentState:AsAckAuthMsgType:PAC_REQ_ACCT;PrtlUserIP:192.168.0.5PrtlUserCID:11.0.12;PrtlUserPAID:1e72a9d8650

code=4id=36length=127//Accounting-Request8bcfb6c62650fe3e58e8c0a221c34097*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(40)(Acct-Status-Type):1

//start*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(4)(NAS-IP-Address):172.16.8.254*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(32)(NAS-Identifier):ESR8850*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(8)(Framed-IP-Address):192.168.0.5*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(7)(Framed-Protocol):1*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(1)(User-name):

用戶上線：Radius+1.0協(xié)議（code＝4）660*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(5)(NAS-Port):0*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(61)(NAS-Port-Type):15*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(44)(Acct-Session-Id):100000028*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(45)(Acct-Authentic):1*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(193)(Acct-Timestamp):6451*10/21/200217:09:34:010-slot0-AAA-debug-Packet:attribute(41)(Acct-Delay-Time):0

用戶上線：Radius+1.0協(xié)議（code＝4）670

code=5id=36length=26//Accounting-Response79f439c1d3dc4aa24585218e41bb*10/21/200217:09:34:100-slot0-AAA-debug-Packet:attribute(80)(Remanent-Volume):4294967295

用戶上線：Radius+1.0協(xié)議（code＝5）680

用戶下線：portal協(xié)議*10/21/200217:09:42:610-slot0-_PCS-debug-[M00]:RecvPacketFromPortalServer(HEX):0105000000280000c0a8000500000000//REQ_LOGOUT*10/21/200217:09:42:610-slot0-_PAC-debug-[M00]:PCS->PACCurrentState:AsConnMsgType:PS_REQ_LOGOUT;PrtlUserIP:192.168.0.5*10/21/200217:09:42:620-slot0-_PAC-debug-[M00]:PAC->AAACurrentState:AsConnMsgType:PAC_STOP_ACCT;PrtlUserIP:192.168.0.5PrtlUserCID:11.0.12;PrtlUserPAID:1e72a9d8690

用戶下線：portal協(xié)議*10/21/200217:09:42:620-slot0-_PAC-debug-[M00]:PAC->CCCurrentState:AsConnMsgType:PAC_PORTAL_DOWN;PrtlUserIP:192.168.0.5PrtlUserCID:11.0.12;PrtlUserPAID:1e72a9d8*10/21/200217:09:42:620-slot0-_PAC-debug-[M00]:PAC->PCSCurrentState:AsConnMsgType:PAC_LOGOUT_SUCC;PrtlUserIP:192.168.0.5700

code=4id=37length=193//Accounting-Request3366fa111befd4553b3ada0243b6a1*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(40)(Acct-Status-Type):2

//stop*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(4)(NAS-IP-Address):172.16.8.254*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(32)(NAS-Identifier):ESR8850*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(8)(Framed-IP-Address):192.168.0.5*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(7)(Framed-Protocol):1*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(1)(User-name):*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(5)(NAS-Port):0

用戶下線：Radius+1.0協(xié)議（code＝4）710*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(61)(NAS-Port-Type):15*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(44)(Acct-Session-Id):100000028*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(45)(Acct-Authentic):1*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(193)(Acct-Timestamp):6460*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(41)(Acct-Delay-Time):1*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(49)(Acct-Terminate-Cause):1*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(111)(Input-Kilobytes-Before-Tariff-Switch):7*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(115)(Input-Kilobytes-After-Tariff-Switch):7

用戶下線：Radius+1.0協(xié)議（code＝4）720*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(112)(Output-Kilobytes-Before-Tariff-Switch):16*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(116)(Output-Kilobytes-After-Tariff-Switch):16*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(113)(Input-Packets-Before-Tariff-Switch):77*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(117)(Input-Packets-After-Tariff-Switch):77*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(114)(Output-Packets-Before-Tariff-Switch):61*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(118)(Output-Packets-After-Tariff-Switch):61*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(72)(Time-Befor-Tariff-Switch):9*10/21/200217:09:42:770-slot0-AAA-debug-Packet:attribute(73)(Time-After-Tariff-Switch):9

用戶下線：Radius+1.0協(xié)議（code＝4）730

code=5id=37length=26//Accounting-Response75f0bb512528709a747b2d15b617ba60*10/21/200217:09:42:860-slot0-AAA-debug-Packet:attribute(80)(Remanent-Volume):4294967295

用戶下線：Radius+1.0協(xié)議（code＝5）740實(shí)例二：PSCP－radius+1.1

VLan用戶上網(wǎng)流程（2）：PSCP－Radius＋1.1750

VLan用戶上線流程：PSCP－Radius＋1.17608850數(shù)據(jù)配置：…………radius-serverprotocol-type

radius+itellin

//使用Radius+1.1（其它配置同實(shí)例一）Portal-Server應(yīng)該選擇PSCP，運(yùn)行在Portal-Server和iSCP之間，與8850無(wú)關(guān)，因此8850上應(yīng)該無(wú)相應(yīng)的Portal調(diào)試信息；8850和iTELLIN所使用的Radius協(xié)議類(lèi)型應(yīng)一致。

8850數(shù)據(jù)配置770用戶PC通過(guò)DHCP獲取IP地址；打開(kāi)IE，輸入任意IP地址，被強(qiáng)制到“172.16.31.100”的Portal頁(yè)面上；在Portal頁(yè)面上輸入正確的用戶名和密碼，按“確定”登錄；

用戶登錄界面780//Session-Control(Trigger-Request)報(bào)文，觸發(fā)BAS開(kāi)始認(rèn)證計(jì)費(fèi)

code=20id=0length=62//Session-Control，Radius+1.1新增報(bào)文ddda8ad475fb7f4312da44ca3059f66*10/21/200217:37:13:340-slot0-AAA-debug-Packet:attribute(1)(User-name):kdlhsys6514@isp1*10/21/200217:37:13:340-slot0-AAA-debug-Packet:attribute(8)(Framed-IP-Address):192.168.0.5//據(jù)此找到對(duì)應(yīng)的連接*10/21/200217:37:13:340-slot0-AAA-debug-Packet:attribute(26)(Vendor-Specific):0x00x00x70xdb0x140x60x00x00x00x10x180x60x00x00x00x0*10/21/200217:37:13:340-slot0-AAA-debug-Packet:VendorSpecificID:2011*10/21/200217:37:13:340-slot0-AAA-debug-Packet:VendorSpecattribute(2620)(Command):1//Trigger-Request*10/21/200217:37:13:340-slot0-AAA-debug-Packet:VendorSpecattribute(2624)(Control-Identifier):0

用戶上線：Radius+1.1協(xié)議（code＝20）790

code=1id=47length=133//Access-Request0057730045d5003647008d4*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(1)(User-name):kdlhsys6514@isp1*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(2)(User-Password):0x850x5a0xfb0x190x870x160xd90x290xfc0x290xd50x830x9b0xeb0x840xd*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(7)(Framed-Protocol):1*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(4)(NAS-IP-Address):172.16.8.254*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(32)(NAS-Identifier):ESR8850*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(61)(NAS-Port-Type):15//以太網(wǎng)

用戶上線：Radius+1.1協(xié)議（code＝1）800*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(87)(Nas-Port-Id):ESR0010@vlan

//Portal-Server上需配置對(duì)應(yīng)節(jié)點(diǎn)信息*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(26)(Vendor-Specific):0x00x00x70xdb0x110x60x690x730x700x310x1a0x60x00x800x00x0*10/21/200217:37:13:370-slot0-AAA-debug-Packet:VendorSpecificID:2011*10/21/200217:37:13:370-slot0-AAA-debug-Packet:VendorSpecattribute(2617)(ISP-ID):1769173041*10/21/200217:37:13:370-slot0-AAA-debug-Packet:VendorSpecattribute(2626)(Connect-ID):8388608*10/21/200217:37:13:370-slot0-AAA-debug-Packet:attribute(8)(Framed-IP-Address):192.168.0.5

用戶上線：Radius+1.1協(xié)議（code＝1）810

code=2id=47length=89//Access-Accept50fea8ad3fea5c15bdce728465d8c669*10/21/200217:37:13:460-slot0-AAA-debug-Packet:attribute(7)(Framed-Protocol):1*10/21/200217:37:13:460-slot0-AAA-debug-Packet:attribute(85)(Realtime-Interval):900//時(shí)間間隔*10/21/200217:37:13:460-slot0-AAA-debug-Packet:attribute(26)(Vendor-Specific):0x00x00x70xdb0x10x60x00x980x800x00x20x60x00x980x800x00x30x60x00x980x800x00x40x60x00x980x800x00x50x60x00x980x800x00x60x60x00x980x800x00x110x90x740x650x730x740x320x300x310x1a0x60x00x800x00x0*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecificID:2011

用戶上線：Radius+1.1協(xié)議（code＝2）820*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2601)(Input-Peak-Rate):9994240*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2602)(Input-Average-Rate):9994240*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2603)(Input-Basic-Rate):9994240*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2604)(Output-Peak-Rate):9994240*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2605)(Output-Average-Rate):9994240*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2606)(Output-Basic-Rate):9994240*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2617)(ISP-ID):test201*10/21/200217:37:13:460-slot0-AAA-debug-Packet:VendorSpecattribute(2626)(Connect-ID):8388608

用戶上線：Radius+1.1協(xié)議（code＝2）830

code=4id=48length=135//Accounting-Requestf76ae33de5bbf3b6744b9a29f8d3826d*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(40)(Acct-Status-Type):1

//start*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(4)(NAS-IP-Address):172.16.8.254*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(32)(NAS-Identifier):ESR8850*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(8)(Framed-IP-Address):192.168.0.5*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(7)(Framed-Protocol):1*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(1)(User-name):kdlhsys6514@isp1*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(5)(NAS-Port):0

用戶上線：Radius+1.1協(xié)議（code＝4）840*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(61)(NAS-Port-Type):15*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(44)(Acct-Session-Id):102117372*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(45)(Acct-Authentic):1*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(193)(Acct-Timestamp):8110*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(41)(Acct-Delay-Time):0*10/21/200217:37:13:490-slot0-AAA-debug-Packet:attribute(26)(Vendor-Specific):0x00x00x70xdb0x1a0x60x00x800x00x0*10/21/200217:37:13:490-slot0-AAA-debug-Packet:VendorSpecificID:2011*10/21/200217:37:13:490-slot0-AAA-debug-Packet:VendorSpecattribute(2626)(Connect-ID):8388608

用戶上線：Radius+1.1協(xié)議（code＝4）850

code=5id=48length=60//Accounting-Response179d1ee7e84b74b94753f1bb4fc28e24*10/21/200217:37:13:580-slot0-AAA-debug-Packet:attribute(44)(Acct-Session-Id):102117372*10/21/200217:37:13:580-slot0-AAA-debug-Packet:attribute(26)(Vendor-Specific):0x00x00x70xdb0xf0x60xff0xff0xff0xff0x1a0x60x00x800x00x0*10/21/200217:37:13:580-slot0-AAA-debug-Packet:VendorSpecificID:2011*10/21/200217:37:13:580-slot0-AAA-debug-Packet:VendorSpecattribute(2615)(RemanentVolumn):4294967295*10/21/200217:37:13:680-slot0-AAA-debug-Packet:VendorSpecattribute(2626)(Connect-ID):8388608

用戶上線：Ra