課程編碼PPP/PPPoE及Radius協(xié)議ISSUE2.0PPPPPPoE和radius協(xié)議第1頁本課程主要介紹PPP/PPPoE協(xié)議及Radius協(xié)議。前言PPPPPPoE和radius協(xié)議第2頁參考資料///知識(shí)中心/寬帶/寬帶公共/功效與特征/原理協(xié)議/PPPOE協(xié)議技術(shù)與標(biāo)準(zhǔn)-0613-C(教材)///知識(shí)中心/寬帶/寬帶公共/功效與特征/原理協(xié)議/PPP協(xié)議技術(shù)與標(biāo)準(zhǔn)-0613-C(教材)///知識(shí)中心/寬帶/寬帶公共/功效與特征/原理協(xié)議/Radius+&Portal協(xié)議與業(yè)務(wù)流程－0127-B///知識(shí)中心/寬帶/寬帶公共/功效與特征/原理協(xié)議/Radius協(xié)議原理與應(yīng)用-0404-C(教材)PPPPPPoE和radius協(xié)議第3頁學(xué)習(xí)完此課程，您將會(huì)：掌握PPP協(xié)議基本原理掌握LCP協(xié)議和NCP協(xié)議數(shù)據(jù)報(bào)文交換過程掌握PPPoE協(xié)議基本原理

掌握Radius協(xié)議基本概念掌握Radius協(xié)議工作過程掌握Radius包各個(gè)字段含義目標(biāo)PPPPPPoE和radius協(xié)議第4頁第1章PPP協(xié)議第2章PPPoE協(xié)議第3章Radius協(xié)議內(nèi)容介紹PPPPPPoE和radius協(xié)議第5頁P(yáng)PP協(xié)議定義：PPP協(xié)議提供了一個(gè)標(biāo)準(zhǔn)方式在點(diǎn)對(duì)點(diǎn)鏈路上傳輸各種網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)報(bào)。PPP協(xié)議與協(xié)議棧對(duì)應(yīng)關(guān)系物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層PPP協(xié)議PPP協(xié)議介紹PPPPPPoE和radius協(xié)議第6頁支持點(diǎn)到點(diǎn)連接，不一樣于X.25、framerelay等數(shù)據(jù)鏈路層協(xié)議，含有CHAP、PAP驗(yàn)證協(xié)議，更加好確保了網(wǎng)絡(luò)安全性。

PPP物理層既支持?jǐn)?shù)據(jù)為8位和無奇偶校驗(yàn)異步模式，還支持面向比特位同時(shí)鏈接，如framerelay必須為同時(shí)電路。

PPP有針對(duì)不一樣網(wǎng)絡(luò)層網(wǎng)絡(luò)控制協(xié)議，如大家熟知IPCP,IPXCP。一樣類似于SLIP協(xié)議，它也允許雙方協(xié)商是否對(duì)報(bào)文首部進(jìn)行壓縮。PPP協(xié)議特點(diǎn)PPPPPPoE和radius協(xié)議第7頁P(yáng)PP協(xié)議三組件多協(xié)議數(shù)據(jù)報(bào)封裝方式

PPP協(xié)議鏈路控制協(xié)議LCPPPP協(xié)議網(wǎng)絡(luò)控制協(xié)議NCP

PPPPPPoE和radius協(xié)議第8頁校驗(yàn)標(biāo)志標(biāo)志地址信息域控制協(xié)議域1B1B2B缺省1500B7EFF031B2B1B7EPPP數(shù)據(jù)幀格式PPPPPPoE和radius協(xié)議第9頁校驗(yàn)IP數(shù)據(jù)報(bào)文0x0021校驗(yàn)LCP數(shù)據(jù)報(bào)文0xC021校驗(yàn)NCP數(shù)據(jù)報(bào)文0x8021協(xié)議域長度為2個(gè)字節(jié)，主要用來指明信息域中使用協(xié)議類型。該域結(jié)構(gòu)與ISO3309地址域擴(kuò)展機(jī)制一致。PPP數(shù)據(jù)幀所承載幾個(gè)常見報(bào)文PPPPPPoE和radius協(xié)議第10頁鏈路不可用階段鏈路建立階段驗(yàn)證階段網(wǎng)絡(luò)層協(xié)議階段鏈路終止階段失敗LCP報(bào)文可選，由配置決定PPP狀態(tài)轉(zhuǎn)移圖PPPPPPoE和radius協(xié)議第11頁信息域協(xié)議域標(biāo)識(shí)域代碼域長度域數(shù)據(jù)長度域類型域數(shù)據(jù)PPP封裝格式LCP數(shù)據(jù)報(bào)文封裝格式LCP數(shù)據(jù)報(bào)文中配置參數(shù)選項(xiàng)封裝格式0xC021LCP協(xié)議數(shù)據(jù)報(bào)文格式PPPPPPoE和radius協(xié)議第12頁

鏈路配置報(bào)文用來建立和配置一條鏈路，主要包含Configure-Request、Configure-Ack、Configure-Nak和Configure-Reject報(bào)文

鏈路終止報(bào)文用來終止一條鏈路，主要包含Terminate-Request和Terminate-Reply報(bào)文

鏈路維護(hù)報(bào)文用來管理和調(diào)試鏈路，主要包含Code-Reject、Protocol-Reject、Echo-Request、Echo-Reply和Discard-Request報(bào)文LCP協(xié)議數(shù)據(jù)報(bào)文分類(代碼域)PPPPPPoE和radius協(xié)議第13頁0x010x020x030x040x050x060x070x080x090x0A0x0B0x0CConfigure-RequestConfigure-AckConfigure-NakConfigure-RejectTerminate-RequestTerminate-ReplyCode-RejectProtocol-RejectEcho-RequestEcho-ReplyDiscard-RequestReservedLCP協(xié)議數(shù)據(jù)報(bào)文種類（代碼域）PPPPPPoE和radius協(xié)議第14頁0x010x020x030x040x050x060x070x08Maximum-Recive-UnitAsync-Control-Character-MapAuthentication-ProtocolQuality-ProtocolMagic-NumberAddress-And-Control-Field-CompressionReservedProtocol-Field-Compression配置參數(shù)選項(xiàng)種類（類型域）PPPPPPoE和radius協(xié)議第15頁12Config-RequestConfig-Nak路由器A路由器B34Config-RequestConfig-Ack鏈路配置報(bào)文PPPPPPoE和radius協(xié)議第16頁鏈路配置報(bào)文舉例假設(shè)點(diǎn)對(duì)點(diǎn)通信一端發(fā)送了一個(gè)Config-Request報(bào)文，報(bào)文內(nèi)容以下：7E

FF03

C02101

01

0017

0206000A00000506000B42CB070208020D03067E該數(shù)據(jù)報(bào)文中有下劃線配置參數(shù)選項(xiàng)內(nèi)容為對(duì)端不認(rèn)可。當(dāng)對(duì)端正確接收到了該報(bào)文后，發(fā)覺類型域?yàn)?x02配置參數(shù)選項(xiàng)可識(shí)別，但該配置參數(shù)選項(xiàng)數(shù)據(jù)域內(nèi)容不認(rèn)可，應(yīng)發(fā)送一個(gè)Config-Nak報(bào)文且該報(bào)文中將攜帶希望配置參數(shù)選項(xiàng)內(nèi)容，報(bào)文內(nèi)容以下：7E

FF03

C02103

01

000A

0206000E00007E該報(bào)文中返回值已經(jīng)被更改，且當(dāng)發(fā)端收到該報(bào)文后會(huì)重新發(fā)送一個(gè)Config-Request報(bào)文，報(bào)文內(nèi)容以下：7E

FF03

C02101040017

0206000E00000506000B42CB070208020D03067E仔細(xì)觀察是不是新配置請(qǐng)求報(bào)文與老配置請(qǐng)求報(bào)文ID不一樣。當(dāng)對(duì)端正確接收到了該報(bào)文后，應(yīng)該回應(yīng)一個(gè)Config-Ack報(bào)文，報(bào)文內(nèi)容以下：7E

FF03

C02102040017

0206000E00000506000B42CB070208020D03067E

PPPPPPoE和radius協(xié)議第17頁屢次交互12Config-RequestConfig-Reject路由器A路由器B34Config-RequestConfig-Nak56Config-RequestConfig-Ack鏈路配置報(bào)文（四）PPPPPPoE和radius協(xié)議第18頁鏈路配置報(bào)文舉例7E

FF03

C02101

01

0017

0206000A0000

0506000B42CB

0702

0802

0D

0306

7E假設(shè)點(diǎn)對(duì)點(diǎn)通信一端發(fā)送了一個(gè)Config-Request報(bào)文，報(bào)文內(nèi)容以下：下劃線所表示配置參數(shù)選項(xiàng)為對(duì)端不可識(shí)別。當(dāng)對(duì)端正確接收到了該報(bào)文后，發(fā)覺類型域?yàn)?x02配置參數(shù)選項(xiàng)不識(shí)別，應(yīng)該回應(yīng)一個(gè)Config-Reject報(bào)文，報(bào)文內(nèi)容以下：7E

FF03

C02104

01

000A

0206000A0000

7E該報(bào)文假如被原發(fā)送端接收后，又會(huì)重新發(fā)送一個(gè)Config-Request報(bào)文，報(bào)文內(nèi)容以下：7E

FF03

C02101

04

00110506000B42CB070208020D03067E這時(shí)我們能看到，類型域?yàn)?2配置選項(xiàng)在下一次請(qǐng)求報(bào)文中被刪除了。PPPPPPoE和radius協(xié)議第19頁鏈路終止報(bào)文

Terminate-Request

Terminate-ReplyPPPPPPoE和radius協(xié)議第20頁P(yáng)PP封裝Config-RequestID=1M=1Config-RequestID=1M=1PPP封裝Config-NakID=4M=2Config-NakID=4M=2PPP封裝Config-RequestID=2M=2Config-RequestID=2M=2魔術(shù)字(MagicNumber)PPPPPPoE和radius協(xié)議第21頁用戶名/密碼接收/拒絕PPP封裝路由器A路由器B被驗(yàn)證方驗(yàn)證方問題1：如圖所表示，路由器B作為驗(yàn)證方，而路由器A則作為被驗(yàn)證方，那么怎樣分別配置兩個(gè)路由器？PAP認(rèn)證（兩次握手）PPPPPPoE和radius協(xié)議第22頁回應(yīng)接收/拒絕PPP封裝路由器A路由器B挑戰(zhàn)被驗(yàn)證方驗(yàn)證方問題2：如圖所表示，路由器B作為驗(yàn)證方，而路由器A則作為被驗(yàn)證方，那么怎樣分別配置兩個(gè)路由器？CHAP認(rèn)證（三次握手）PPPPPPoE和radius協(xié)議第23頁

IPCP

IPXCP

AppleTalkNCP協(xié)議分類PPPPPPoE和radius協(xié)議第24頁點(diǎn)對(duì)點(diǎn)通信設(shè)備均設(shè)置了IP地址我知道了我IP地址是路由器B路由器A我知道了我IP地址是IPCP靜態(tài)地址協(xié)商PPPPPPoE和radius協(xié)議第25頁點(diǎn)對(duì)點(diǎn)通信一方設(shè)置了IP地址，而另一方則經(jīng)過從對(duì)端獲取IP地址這個(gè)地址不正當(dāng)，用這個(gè)地址吧我IP地址是路由器B路由器A我知道了我IP地址是我IP地址是我知道了IPCP動(dòng)態(tài)地址協(xié)商PPPPPPoE和radius協(xié)議第26頁小結(jié)（一）PPP協(xié)議三組件包含PPP協(xié)議封裝方式、LCP協(xié)議和NCP協(xié)議

PPP協(xié)議是數(shù)據(jù)鏈路層協(xié)議，它數(shù)據(jù)幀封裝格式非常類似于HDLCPPP協(xié)議可經(jīng)過協(xié)議域來區(qū)分?jǐn)?shù)據(jù)域中凈載荷數(shù)據(jù)類型

PPP協(xié)議經(jīng)過LCP協(xié)議完成數(shù)據(jù)鏈路配置和測(cè)試

PPP協(xié)議經(jīng)過NCP協(xié)議完成點(diǎn)對(duì)點(diǎn)通信設(shè)備之間網(wǎng)絡(luò)層通信所需參數(shù)配置PPPPPPoE和radius協(xié)議第27頁小結(jié)（二）魔術(shù)字能夠在鏈路配置階段被協(xié)商，數(shù)據(jù)報(bào)文可借助魔術(shù)字來檢PPP鏈路是否存在環(huán)路

PAP（密碼認(rèn)證協(xié)議）認(rèn)證是二次握手，它是直接在網(wǎng)絡(luò)上傳送明文用戶名和密碼，所以這種協(xié)議安全性不高

CHAP（挑戰(zhàn)性握手認(rèn)證協(xié)議）認(rèn)證是三次握手，它只在網(wǎng)絡(luò)上傳送驗(yàn)證方和被驗(yàn)證方主機(jī)名，而并不傳送密碼，所以相比之處CHAP比PAP更安全

PPP協(xié)議缺省MRU是1500，而對(duì)于通信雙方可依據(jù)實(shí)際需要對(duì)MRU進(jìn)行協(xié)商PPPPPPoE和radius協(xié)議第28頁小結(jié)（三）PPP協(xié)議狀態(tài)轉(zhuǎn)移圖包含鏈路不可用階段、鏈路建立階段、認(rèn)證階段、網(wǎng)絡(luò)層協(xié)議階段和鏈路終止階段

LCP協(xié)議依據(jù)報(bào)文功效可分為鏈路配置報(bào)文、鏈路終止報(bào)文和鏈路維護(hù)報(bào)文

LCP協(xié)議鏈路配置報(bào)文主要是用來協(xié)商一些可選配置參數(shù)選項(xiàng)

LCP協(xié)議鏈路終止報(bào)文主要是用來終止一條PPP鏈路

LCP協(xié)議鏈路維護(hù)報(bào)文主要是用來測(cè)試和調(diào)試PPP鏈路

NCP協(xié)議主要負(fù)責(zé)網(wǎng)絡(luò)層配置參數(shù)選項(xiàng)協(xié)商，它包含"靜態(tài)協(xié)商"和"動(dòng)態(tài)協(xié)商"PPPPPPoE和radius協(xié)議第29頁第1章PPP協(xié)議第2章PPPoE協(xié)議第3章Radius協(xié)議內(nèi)容介紹PPPPPPoE和radius協(xié)議第30頁P(yáng)PP協(xié)議要求進(jìn)行通信雙方之間是點(diǎn)到點(diǎn)關(guān)系，不適于廣播型以太網(wǎng)和另外一些多點(diǎn)訪問型網(wǎng)絡(luò)，于是就產(chǎn)生了PPPOoE協(xié)議(Point-to-PointProtocolOverEthernet)。它不但為使用橋接以太網(wǎng)接入用戶提供了一個(gè)寬帶接入伎倆，同時(shí)還能提供方便接入控制和計(jì)費(fèi)。每個(gè)接入用戶均建立一個(gè)獨(dú)一無二PPP會(huì)話，所以會(huì)話建立之前必需知道遠(yuǎn)端訪問集中設(shè)備MAC地址，PPPoE協(xié)議可經(jīng)過發(fā)覺協(xié)議來獲取到。PPPoE協(xié)議概述PPPPPPoE和radius協(xié)議第31頁P(yáng)PPoE協(xié)議分為發(fā)覺階段和PPP會(huì)話階段。當(dāng)主機(jī)希望開始一個(gè)PPPoE會(huì)話時(shí)，它首先要執(zhí)行一個(gè)發(fā)覺過程來識(shí)別對(duì)方MAC地址，然后建立一個(gè)唯一PPPoE會(huì)話ID。PPPoE使用一個(gè)發(fā)覺協(xié)議來處理這個(gè)問題，它是基于客戶/服務(wù)器模型。因?yàn)橐蕴W(wǎng)廣播特征，在這個(gè)過程中主機(jī)(客戶)能發(fā)覺全部訪問集中器(服務(wù)器)，并選擇其中一個(gè)，依據(jù)所獲信息在二者之間建立點(diǎn)對(duì)點(diǎn)連接。當(dāng)一個(gè)PPP會(huì)話被建立起來之后，就完成了PPPoE整個(gè)發(fā)覺階段。發(fā)覺階段PPPPPPoE和radius協(xié)議第32頁P(yáng)PPoE會(huì)話階段開始后，主機(jī)和訪問集中器之間就依據(jù)PPP協(xié)議傳送PPP數(shù)據(jù)，進(jìn)行PPP各項(xiàng)協(xié)商和數(shù)據(jù)傳輸。在這一階段傳輸數(shù)據(jù)包中必須包含在發(fā)覺階段確定會(huì)話標(biāo)識(shí)并保持不變。正常情況下，會(huì)話階段結(jié)束是由PPP協(xié)議控制完成，但在PPPoE中定義了一個(gè)PADT包用來結(jié)束會(huì)話，主機(jī)或者訪問集中器能夠在PPP會(huì)話開始后任何時(shí)候經(jīng)過發(fā)送這個(gè)數(shù)據(jù)包來結(jié)束會(huì)話。會(huì)話階段PPPPPPoE和radius協(xié)議第33頁目地址源地址(6字節(jié))(6字節(jié))幀類型域<=1500字節(jié)凈載荷幀校驗(yàn)(4字節(jié))以太網(wǎng)幀格式(2字節(jié))以太網(wǎng)廣播地址PPPOE發(fā)覺階段PPPOE會(huì)話階段以太網(wǎng)單播地址主機(jī)以太網(wǎng)地址主機(jī)以太網(wǎng)地址0x88630x8864數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)數(shù)據(jù)幀校驗(yàn)數(shù)據(jù)幀校驗(yàn)PPPOE發(fā)覺階段以太網(wǎng)幀格式PPPOE會(huì)話階段以太網(wǎng)幀格式PPPoE幀格式（一）PPPPPPoE和radius協(xié)議第34頁版本類型代碼會(huì)話ID長度凈載荷4481616發(fā)覺階段承載一些標(biāo)識(shí)會(huì)話階段承載PPP數(shù)據(jù)報(bào)文PPPoE幀格式（二）PPPPPPoE和radius協(xié)議第35頁TAG標(biāo)識(shí)類型16標(biāo)識(shí)長度16標(biāo)識(shí)值0x00000x01020x01040x01100x01010x01030x01050x0201End-of-listAC-NameAC-CookieRelay-Session-IDService-NameService-Name-ErrorHost-UniqVerdor-Specific0x02020x0203AC-System-ErrorGeneric-ErrorPPPoE幀格式（三）PPPPPPoE和radius協(xié)議第36頁

PADI(PPPOE發(fā)覺初始報(bào)文)

PADO(PPPOE發(fā)覺提供報(bào)文)

PADR(PPPOE發(fā)覺請(qǐng)求報(bào)文)

PADS(PPPOE發(fā)覺會(huì)話確認(rèn)報(bào)文)

PADT(PPPOE發(fā)覺終止報(bào)文)09a7076519PPPOE發(fā)覺階段數(shù)據(jù)報(bào)文分類PPPPPPoE和radius協(xié)議第37頁以太網(wǎng)123目標(biāo)地址為廣播地址0xffffffff，源地址為主機(jī)以太網(wǎng)地址。ETHER_TYPE值為0x8863，碼值為0x09，SESSION-ID為0x0000。TAG_TYPE：有且僅有一個(gè)Service-Name表明主機(jī)請(qǐng)求服務(wù)。任何數(shù)量其它TAG_TYPE。

PADI報(bào)文長度不能超出1484個(gè)字節(jié)，為Relay-Session-IdTAG留空間。PADI報(bào)文PPPPPPoE和radius協(xié)議第38頁NetXRay抓包結(jié)果分析1PPPPPPoE和radius協(xié)議第39頁以太網(wǎng)123目標(biāo)地址為主機(jī)以太網(wǎng)地址。源地址為接入集中器以太網(wǎng)地址。ETHER_TYPE值為0x8863，碼值為0x07，SESSION-ID為0x0000，TAG_TYPE：必須有一個(gè)含有接入集中器名字AC-NameTAG，必須有一個(gè)與收到PADI相同Service-NameTAG和任意數(shù)量其它Service-NameTAG表明集中器能夠提供服務(wù)。PADO報(bào)文PPPPPPoE和radius協(xié)議第40頁NetXRay抓包結(jié)果分析2PPPPPPoE和radius協(xié)議第41頁以太網(wǎng)123目標(biāo)地址為接入集中器以太網(wǎng)地址，源地址為主機(jī)以太網(wǎng)地址。

ETHER_TYPE值為0x8863，碼值為0x19，SESSION-ID為0x0000，TAG_TYPE：

必須有一個(gè)類型為Service-NameTAG向集中器指明請(qǐng)求服務(wù)，能夠有任意數(shù)量其它TAG。PADR報(bào)文PPPPPPoE和radius協(xié)議第42頁NetXRay抓包結(jié)果分析3PPPPPPoE和radius協(xié)議第43頁以太網(wǎng)123目標(biāo)地址為主機(jī)

以太網(wǎng)地址，源地址為接入集中器以太網(wǎng)地址。

ETHER_TYPE值為0x8863，碼值為0x65，SESSION-ID為集中器指定唯一標(biāo)識(shí)一個(gè)PPPOE會(huì)話值，TAG_TYPE：包含一個(gè)類型為Service-NameTAG，表明集中器提供給這個(gè)會(huì)話服務(wù)，能夠包含任意數(shù)量其它TAG。PADS報(bào)文PPPPPPoE和radius協(xié)議第44頁NetXRay抓包結(jié)果分析4PPPPPPoE和radius協(xié)議第45頁這個(gè)數(shù)據(jù)包能夠在會(huì)話建立起來之后任何時(shí)間由主機(jī)或集中器發(fā)出。目標(biāo)地址為單一以太網(wǎng)地址。

ETHER_TYPE值為0x8863，碼值為0xa7，SESSION-ID為要終止會(huì)話SESSION-ID。不要求有TAG。PADT報(bào)文PPPPPPoE和radius協(xié)議第46頁NetXRay抓包結(jié)果分析7PPPPPPoE和radius協(xié)議第47頁P(yáng)PP凈載荷目地址目地址源地址源地址幀類型=0x8864版本=0x1類型=0x1代碼=0x00會(huì)話ID=0x1234長度=0x????PPP協(xié)議域PPPOE協(xié)議數(shù)據(jù)包中承載PPPLCP報(bào)文一旦PPPOE會(huì)話建立起來之后，主機(jī)與接入器之間就開始依據(jù)PPP協(xié)議傳送PPP數(shù)據(jù)，全部以太網(wǎng)幀都是單一地址。此時(shí)，ETHER_TYPE值為0x8864，碼值為0x00，SESSION-ID在整個(gè)會(huì)話過程中保持不變。PPPoE有效負(fù)載域里包含一個(gè)PPP數(shù)據(jù)包。會(huì)話階段PPPOE數(shù)據(jù)報(bào)文格式PPPPPPoE和radius協(xié)議第48頁NetXRay抓包結(jié)果分析5PPPPPPoE和radius協(xié)議第49頁NetXRay抓包結(jié)果分析6PPPPPPoE和radius協(xié)議第50頁小結(jié)PPPoE協(xié)議包含PPPOE發(fā)覺階段和PPPOE會(huì)話階段

PPPoE數(shù)據(jù)報(bào)文是被承載在以太網(wǎng)數(shù)據(jù)域中進(jìn)行傳送

PPPoE發(fā)覺階段會(huì)碰到PADI、PADO、PADR、PADS和PADT五種報(bào)文PPPoE在發(fā)覺階段時(shí)，以太網(wǎng)協(xié)議域值為0x8863PPPoE在會(huì)話階段時(shí)，以太網(wǎng)協(xié)議域值為0x8864小結(jié)PPPPPPoE和radius協(xié)議第51頁第1章PPP協(xié)議第2章PPPOE協(xié)議第3章Radius協(xié)議內(nèi)容介紹PPPPPPoE和radius協(xié)議第52頁第3章Radius協(xié)議3.1RADIUS協(xié)議相關(guān)概念3.2RADIUS協(xié)議報(bào)文結(jié)構(gòu)3.3NAS設(shè)備與Radiuserver對(duì)接實(shí)例內(nèi)容介紹PPPPPPoE和radius協(xié)議第53頁Radius作用Radius：RemoteAuthenticationDialInUserService客戶端負(fù)責(zé)將認(rèn)證等信息按照協(xié)議格式經(jīng)過UDP包送到服務(wù)器，同時(shí)對(duì)服務(wù)器返回信息解釋處理。認(rèn)證端口號(hào)：1645/1812計(jì)費(fèi)端口號(hào)：1646/1813PPPPPPoE和radius協(xié)議第54頁Client/Server結(jié)構(gòu)RADIUS客戶端通常運(yùn)行于接入服務(wù)器（NAS）上，RADIUS服務(wù)器通常運(yùn)行于一臺(tái)工作站上，一個(gè)RADIUS服務(wù)器能夠同時(shí)支持多個(gè)RADIUS客戶（NAS）。RADIUS通信是用“請(qǐng)求-響應(yīng)”方式進(jìn)行，即：客戶發(fā)送一個(gè)請(qǐng)求包，服務(wù)器收到包后給予響應(yīng)。RADIUS服務(wù)器上存放著大量信息，接入服務(wù)器（NAS）無須保留這些信息，而是經(jīng)過RADUIS協(xié)議對(duì)這些信息進(jìn)行訪問。這些信息集中統(tǒng)一保留，使得管理愈加方便，而且愈加安全。RADIUS服務(wù)器能夠作為一個(gè)代理，以客戶身份同其它RADIUS服務(wù)器或者其它類型驗(yàn)證服務(wù)器進(jìn)行通信。用戶漫游通常就是經(jīng)過RADIUS代理實(shí)現(xiàn)。PPPPPPoE和radius協(xié)議第55頁Radius協(xié)議在協(xié)議棧中位置Radius是一個(gè)流行AAA協(xié)議，同時(shí)其采取是UDP協(xié)議傳輸模式，AAA協(xié)議在協(xié)議棧中位置以下：Radius協(xié)議PPPPPPoE和radius協(xié)議第56頁Radius協(xié)議選擇UDP作為傳輸層協(xié)議為何使用UDP？NAS和RADIUS服務(wù)器之間傳遞普通是幾十至上百個(gè)字節(jié)長度數(shù)據(jù)，用戶能夠容忍幾秒到十幾秒驗(yàn)證等候時(shí)間。當(dāng)處理大量用戶時(shí)服務(wù)器端采取多線程，UDP簡化了服務(wù)器端實(shí)現(xiàn)過程。TCP是必須成功建立連接后才能進(jìn)行數(shù)據(jù)傳輸，這種方式在有大量用戶使用情況下實(shí)時(shí)性不好。當(dāng)向主用服務(wù)器發(fā)送請(qǐng)求失敗后，還要必須向備用服務(wù)器發(fā)送請(qǐng)求。于是RADIUS要有重傳機(jī)制和備用服務(wù)器機(jī)制，它所采取定時(shí)，TCP不能很好滿足。PPPPPPoE和radius協(xié)議第57頁第3章Radius協(xié)議3.1RADIUS協(xié)議相關(guān)概念3.2RADIUS協(xié)議報(bào)文結(jié)構(gòu)

3.3NAS設(shè)備與Radiuserver對(duì)接實(shí)例內(nèi)容介紹PPPPPPoE和radius協(xié)議第58頁Radius協(xié)議包結(jié)構(gòu)PPPPPPoE和radius協(xié)議第59頁Code域包類型（1字節(jié)）Access-Request——請(qǐng)求認(rèn)證過程Access-Accept——認(rèn)證響應(yīng)過程Access-Reject——認(rèn)證拒絕過程Accounting-Request——請(qǐng)求計(jì)費(fèi)過程Accounting-Response——計(jì)費(fèi)響應(yīng)過程PPPPPPoE和radius協(xié)議第60頁Identifier域包標(biāo)識(shí)，用以匹配請(qǐng)求包和響應(yīng)包。該字段取值范圍為0～255；協(xié)議要求：1、在任何時(shí)間，發(fā)給同一個(gè)RADIUS服務(wù)器不一樣包Identifier域不能相同，假如出現(xiàn)相同情況，RADIUS將認(rèn)為后一個(gè)包是前一個(gè)包拷貝而不對(duì)其進(jìn)行處理。2、Radius針對(duì)某個(gè)請(qǐng)求包響應(yīng)包應(yīng)與該請(qǐng)求包在Identifier上相匹配（相同）。PPPPPPoE和radius協(xié)議第61頁Length域整個(gè)包長度,包含：CodeIdentifierLengthAuthenticatorAttributesPPPPPPoE和radius協(xié)議第62頁加密以后你還能認(rèn)出我來嗎？Authenticator域該驗(yàn)證字分為兩種：1、請(qǐng)求驗(yàn)證字---RequestAuthenticator用在請(qǐng)求報(bào)文中,必須為全局唯一隨機(jī)值。2、響應(yīng)驗(yàn)證字---ResponseAuthenticator用在響應(yīng)報(bào)文中，用于判別響應(yīng)報(bào)文正當(dāng)性。響應(yīng)驗(yàn)證字＝MD5(Code+ID+Length+請(qǐng)求驗(yàn)證字+Attributes+Key)PPPPPPoE和radius協(xié)議第63頁Attributes域010a62656e6c6164656eAttribute(1)屬性長度為10字節(jié)benladen上網(wǎng)用戶：張三上網(wǎng)地點(diǎn)：阿富汗……

……PPPPPPoE和radius協(xié)議第64頁慣用報(bào)文屬性屬性值屬性名稱 意義1User-Name 用戶名2

User-Password 用戶密碼3

Chap-Password

Chap認(rèn)證方式中用戶密碼4Nas-IP-Address Nasip地址5Nas-Port 用戶接入端口號(hào)6

Service-Type 服務(wù)類型

Framed-Protocol 協(xié)議類型8Framed-IP-Address為用戶提供IP地址9Framed-IP-NetMask地址掩碼PPPPPPoE和radius協(xié)議第65頁NASRadius認(rèn)證計(jì)費(fèi)過程RadiusAccess-Request(2)Access-Accept/Access-Reject(3)認(rèn)證（端口：1812）Accounting-Request(start)(5)Accounting-Response(start)(6)計(jì)費(fèi)（端口：1813）NASUserdial-in(1)configuser(4)disconnect(7)Accounting-Request(stop)(8)Accounting-Response(stop)(9)disconnectuser(10)PPPPPPoE和radius協(xié)議第66頁第4章Radius協(xié)議4.1RADIUS協(xié)議相關(guān)概念4.2RADIUS協(xié)議報(bào)文結(jié)構(gòu)4.3NAS設(shè)備與Radiuserver對(duì)接實(shí)例內(nèi)容介紹PPPPPPoE和radius協(xié)議第67頁BRAS與Radius對(duì)接測(cè)試用例PPPPPPoE和radius協(xié)議第68頁認(rèn)證請(qǐng)求（code=1）*0.18993140-AAA-debug-Packet:sendradiuspacketto :1812code=1id=19length=102 7517009ba00 2018005a2000 attribute(1)(User-name):user1 attribute(2)(Password):0x4d0xa10x110xbe0xa70xc50x1a0xa40x5b0x290xb10xde0x340x110x4c0xf9 attribute(6)(User-Service):0x2 attribute(7)(Framed-Protocol):0x1 attribute(4)(NAS-IP-Address):0xc0a80a0a attribute(32)(NAS-Identifier):ESR attribute(127)(Connect-Id):0xf00000e *0.18993750-AAA-debug-Packet: attribute(61)(NAS-Port-Type):0x5 attribute(128)(Connect-Port):ESR-10000010032@vlanPPPPPPoE和radius協(xié)議第69頁認(rèn)證響應(yīng)（code=2）*0.18993900-AAA-debug-Packet:receiveradiuspacketfrom:1812code=2id=19length=74 184cac52e499a55f 68ac8e233c70d75 attribute(85)(Realtime-Interval):0x258 attribute(5)(NAS-Port):0x1513d attribute(25)(Class):128 attribute(6)(User-Service):0x2 attribute(7)(Framed-Protocol):0x1 attribute(13)(Framed-Compression):0x1 attribute(10)(Framed-Routing):0x1*0.18994520-AAA-debug-Packet: attribute(11)(Framed-Filter):1PPPPPPoE和radius協(xié)議第70頁計(jì)費(fèi)開始請(qǐng)求（code=4）*0.18994810-AAA-debug-Packet:sendradiuspacketto:1813code=4id=20length=102ef31f354527171 46a298d487ca8 attribute(40)(Acct-Status-Type):0x1 attribute(32)(NAS-Name):ESR attribute(8)(Framed-Address):0xa0a0a01計(jì)費(fèi)開始PPPPPPoE和radius協(xié)議第71頁計(jì)費(fèi)響應(yīng)（code=5）*0.18995750-AAA-debug-Packet:receiveradiuspacketfrom:1813 code=5

id=20length=20 18ce526ab7f503 717416a5bc42c08aPPPPPPoE和radius協(xié)議第72頁實(shí)時(shí)計(jì)費(fèi)包實(shí)時(shí)計(jì)費(fèi)之計(jì)費(fèi)請(qǐng)求（code=4）*0.169338370-AAA-debug-Packet:sendradiuspacketto:1813code=4id=31length=207 e4677ff59decb482 d615355deabdb0ac attribute(40)(Acct-Status-Type):0x3 attribute(25)(Class):128 attribute(32)(NAS-Name):ESR attribute(8)(Framed-Address):0xa0a0a01 attribute(7)(Framed-Protocol):0x1 attribute(1)(User-name):user1 attribute(5)(NAS-Port):0x28000060 attribute(61)(NAS-Port-Type):0x5PPPPPPoE和radius協(xié)議第73頁實(shí)時(shí)計(jì)費(fèi)之計(jì)費(fèi)請(qǐng)求（code=4）attribute(7)(Framed-Protocol):0x1attribute(42)(Acct-Input-Octets):0x7fd4*0.169339520-AAA-debug-Packet:attribute(43)(Acct-Output-Octets):0x6174attribute(47)(Acct-Input-Packets):0x122attribute(48)(Acct-Output-Packets):0x10eattribute(52)(Acct-Input-Gigawords):0x0attribute(53)(Acct-output-Gigawords):0x0attribute(46)(