Radius培训课件.ppt

Radius培训 胡凯 远端（Radius）验证——PAP方式： 远端认证——PAP Secret password =Password XOR MD5（Challenge ＋ Key） (Challenge就是Radius报文中的Authenticator) 我查…… 我算…… 我验…… 如果用户配置了RADIUS验证，其PAP验证过程如下： 采用PAP验证：用户以明文的形式把用户名和他的密码传递给NAS。NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器，根据RADIUS服务器的返回结果来决定是否允许用户上网。 远端认证——PAP 用户名、密码 放行 远端认证——PAP Code = 1 (Access-Request) ID = 0 Length = 56 Request Authenticator = {16 octet random number} Attributes: User-Name = nemo User-Password = {16 octets of Password padded at end with nulls, XORed with MD5(key|Request Authenticator)} NAS-IP-Address = 192.168.1.16 NAS-Port = 3 例1：用户telnet到特定的主机 例1： 1)NAS：192.168.1.16 发送 Access-Request UDP 数据包到 RADIUS Server 。 User-name ：nemo Port logging in ：3 * * 第*页 一、基 本 概 念 二、RADIUS协议 概述 三、RADIUS 主要特性 四、RADIUS协议属性 一、 基 本 概 念 基本概念 AAA Authentication、Authorization、Accounting 验证、授权、记费 PAP Password Authentication Protocol 口令验证协议 CHAP Challenge-Handshake Authentication Protocol 盘问握手验证协议 NAS Network Access Server 网络接入服务器 RADIUS Remote Authentication Dial In User Service 远程验证拨入用户服务（拨入用户的远程验证服务） TCP Transmission Control Protocol 传输控制协议 UDP User Datagram Protocol 用户数据报协议 名词解释 AAA可以通过两种途径实现： 1、在NAS端进行认证、授权和计费； 2、通过协议进行远程的认证、授权和记帐。实现AAA的协议有 RADIUS、Kerberos、TACACS +等（我们使用的是RADIUS协议）。 AAA实现途径 RADIUS 是Remote Authentication Dial In User Service 的简称，MA5200、ISN8850和MD5500上目前使用RADIUS完成对PPP用户的认证、授权和计费。 当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。 AAA实现途径 PAP（Password Authentication Protocol）是密码验证协议的简称，是认证协议的一种。 用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 本地认证——PAP 本地（NAS）验证——PAP方式： 我查…… 我验…… CHAP