Radius原理与应用（精品）

76,网络技术培训之,宽带产品技术支持部,2002/3,Radius,原理与应用,一、基 本 概 念,二、,RADIUS,协议 概述,三、,RADIUS,主要特性,四、,RADIUS,协议属性和,Debug,信息,一、 基 本 概 念,基本概念,AAA Authentication,、,Authorization,、,Accounting,验证、授权、记费,PAP,Password Authentication Protocol,口令验证协议,CHAP,Challenge-Handshake Authentication Protocol,盘问握手验证协议,NAS,Network Access Server,网络接入服务器,RADIUS Remote Authentication Dial In User Service,远程验证拨入用户服务（拨入用户的远程验证服务）,TCP Transmission Control Protocol,传输控制协议,UDP User,Datagram,Protocol,用户数据报协议,名词解释,AAA,可以通过两种途径实现：,1,、在,NAS,端进行认证、授权和计费；,2,、通过协议进行远程的认证、授权和记帐。实现,AAA,的协议有,RADIUS,、,Kerberos,、,TACACS +,等（我们使用的是,RADIUS,协议）。,AAA,实现途径,RADIUS,是,Remote Authentication Dial In User Service,的简称，,MA5200,、,ISN8850,和,MD5500,上目前使用,RADIUS,完成对,PPP,用户的认证、授权和计费。,当用户想要通过某个网络,(,如电话网,),与,NAS,建立连接从而获得访问其他网络的权利时，,NAS,可以选择在,NAS,上进行本地认证计费，或把用户信息传递给,RADIUS,服务器，由,Radius,进行认证计费；,RADIUS,协议规定了,NAS,与,RADIUS,服务器之间如何传递用户信息和记账信息；,RADIUS,服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给,NAS,。,AAA,实现途径,PAP,（,Password Authentication Protocol,）,是密码验证协议的简称，是认证协议的一种。,用户以明文的形式把用户名和他的密码传递给,NAS,，,NAS,根据用户名在,NAS,端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。,本地认证,PAP,本地（,NAS,）,验证,PAP,方式：,我查,我验,CHAP,（,Challenge Handshake Authentication Protocol,）,是查询握手验证协议的简称，是我们使用的另一种认证协议。,本地（,NAS,）,验证,CHAP,方式：,本地认证,CHAP,Secret Password = MD5（Chap ID + Password + challenge）,我查,我算,我验,当用户请求上网时，服务器产生一个,16,字节的随机码（,challenge,）,给用户（同时还有一个,ID,号，本地路由器的,host name,）。,用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个,Secret Password,传给,NAS,。,NAS,根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的,16,字节的随机码进行加密，将其结果与,Secret Password,作比较，如果相同表明验证通过，如果不相同表明验证失败。,本地认证,CHAP,Secret Password = MD5（Chap ID + Password + challenge）,远端（,Radius,）,验证,PAP,方式：,远端认证,PAP,Secret password =Password XOR MD5,（,Challenge,Key,）,(Challenge,就是,Radius,报文中的,Authenticator),我查,我算,我验,远端（,Radius,）,验证,CHAP,方式：,远端认证,CHAP,Secret password = MD5（Chap ID + Password + challenge）,我查,我算,我验,二、,RADIUS,协议 概述,Raidus,（,Remote Authentication Dial In User Service,）,是对远端拨号接入用户的认证服务，,Radius,服务分客户端和服务器端，通常我们公司的接入产品支持的是客户端，负责将认证等信息按照协议的格式通过,UDP,包送到服务器，同时对服务器返回的信息解释处理。,通常对,Radius,协议的服务端口号是,1645,（认证）、,1646,（计费）或,1812,（认证）、,1813,（计费）。,Radius,协议包结构,各个域的解释：,1,、,Code,：,包类型；,1,字节；指示,RADIUS,包的类型。,2,、,Identifier,：,包标识；,1,字节；用于匹配请求包和响应包，同一组请求包和响应包的,Identifier,应相同。,3,、,Length,：,包长度；,2,字节；整个包的长度。,4,、,Authenticator,：,验证字；,16,字节；用于对包进行签名。,Radius,协议包各个域解释,1,）,Code,：,包的类型,包类型占,1,个字节，定义如下：,1,Access-Request,请求认证过程,2 Access-Accept,认证响应过程,3 Access-Reject,认证拒绝过程,4 Accounting-Request,请求计费过程,5 Accounting-Response,计费响应过程,*,12 Status-Server (experimental),实验的,*,13,Status-Client (experimental),实验的,*,255,Reserved,保留的,Radius,协议包：,code,域,Radius Server,与,NAS,在全网中的位置,NAS,NAS,Radius,认证计费过程,1,、用户拨入后（,1,），所拨入的设备（比如,NAS,）,将拨入用户的用户的信息（比如用户名、口令、所占用的端口等等）打包向,RADIUS,服务器发送（,2,）。,2,、如果该用户是一个合法的用户，那么,Radius,告诉,NAS,该用户可以上网，同时传回该用户的配置参数（,3,）；否则，,Radius,反馈,NAS,该用户非法的信息（,3,）。,3,、如果该用户合法，,MAS,就根据从,RADIUS,服务器传回的配置参数配置用户（,4,）。如果用户非法，,NAS,反馈给用户出错信息并断开该用户连接（,4,）。,4,、如果用户可以访问网络，,RADIUS,客户要向,RADIUS,服务器发送一个记费请求包表明对该用户已经开始记费（,5,），,RADIUS,服务器收到并成功记录该请求包后要给予响应（,6,）。,5,、当用户断开连接时（连接也可以由接入服务器断开）（,7,），,RADIUS,客户向,RADIUS,服务器发送一个记费停止请求包，其中包含用户上网所使用网络资源的统计信息（上网时长、进,/,出的字节,/,包数等）（,8,），,RADIUS,服务器收到并成功记录该请求包后要给予响应（,9,）。,NAS,Radius,认证计费过程,NAS,Radius,认证计费过程,1,、,RADIUS,的通信是用“请求,-,响应”方式进行的，即：客户发送一个请求包，服务器收到包后给予响应。,2,、,RADIUS,协议采用的是,UDP,协议，数据包可能会在网络上丢失，如果客户没有收到响应，那么可以重新发送该请求包。多次发送之后如果仍然收不到响应，,RADIUS,客户可以向备用的,RADIUS,服务器发送请求包。,2,）,Identifier,：,包标识,包标识，用以匹配请求包和响应包。,该字段的取值范围为,0,255,；,协议规定：,1,、在任何时间，发给同一个,RADIUS,服务器的不同包的,Identifier,域不能相同，如果出现相同的情况，,RADIUS,将认为后一个包是前一个包的拷贝而不对其进行处理。,2,、,Radius,针对某个请求包的响应包应与该请求包在,Identifier,上相匹配（相同）。,Radius,协议包：,Identifier,域,3,）,Length,：,包长度,整个包长度,包括,Code,Identifier,Length,Authenticator,Attributes,域的长度。,Radius,协议包：,Length,域,4,）,Authenticator,：,验证字,该验证字分为两种：,1,、请求验证字,-,Request Authenticator,用在请求报文中,必须为全局唯一的随机值。,2,、响应验证字,-,Response Authenticator,用在响应报文中，用于鉴别响应报文的合法性。,响应验证字,MD5(Code+ID+Length+,请求验证字,+,Attributes+Key),Radius,协议包：,Authenticator,域,加密以后你还能认出我来吗？,5,）,Attributes,：,属性,Radius,协议包：,Authenticator,域,01,0a,62,65,6e,6c,61,64,65,6e,Attribute(1),属性,长度为,10,字节,b e n l a d e n,上网用户：本,拉登,上网地点：阿富汗,三、,RADIUS,主要特性,Radius,协议主要特性,Radius,是一种流行的,AAA,协议，同时其采用的是,UDP,协议传输模式，,AAA,协议在协议栈中位置如下：,Radius,协议在协议栈中的位置,Radius,协议,1,）为什么使用,UDP,？,1,、,NAS,和,RADIUS,服务器之间传递的一般是几十至上百个字节长度的数据，用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程，,UDP,简化了服务器端的实现过程。,2,、,TCP,是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。,3,、,当向主用服务器发送请求失败后，还要必须向备用的服务器发送请求。于是,RADIUS,要有重传机制和备用服务器机制，它所采用的定时，,TCP,不能很好的满足。,Radius,协议选择,UDP,作为传输层协议,2,）,Client/Server,结构,RADIUS,采用客户,/,服务器（,Client/Server,）,结构：,1,、,RADIUS,的客户端通常运行于接入服务器（,NAS,）,上，,RADIUS,服务器通常运行于一台工作站上，一个,RADIUS,服务器可以同时支持多个,RADIUS,客户（,NAS,）。,2,、,RADIUS,的服务器上存放着大量的信息，接入服务器（,NAS,）,无须保存这些信息，而是通过,RADUIS,协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。,3,、,RADIUS,服务器可以作为一个代理，以客户的身份同其他的,RADIUS,服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过,RADIUS,代理实现的。,NAS VS Radius,Client VS Server,3,）网络安全,RADIUS,协议的加密是使用,MD5,加密算法进行的，在,RADIUS,的客户端（,NAS,）,和服务器端（,Radius Server,）,保存了一个密钥（,key,），,RADIUS,协议利用这个密钥使用,MD5,算法对,RADIUS,中的数据进行加密处理。密钥不会在网络上传送。,RADIUS,的加密主要体现在两方面：,1,、包加密：,在,RADIUS,包中，有,16,字节的验证字（,authenticator,）,用于对包进行签名，收到,RADIUS,包的一方要查看该签名的正确性。如果包的签名不正确，那么该包将被丢弃，对包进行签名时使用的也是,MD5,算法（利用密钥），没有密钥的人是不能构造出该签名的。,2,、口令加密：,在认证用户时，用户的口令不会在网上明文传送，而是使用了,MD5,算法对口令进行加密。没有密钥的人是无法正确加密口令的，也无法正确地对加密过的口令进行解密。,网络安全,安全第一,MD5,是一个算法，它的输入是一段内存，输出是一个,16,字节的摘要，它的运算是单向的，即从输出推算不出输入。,MD5,算法,不好意思，我只会把您的手表变成兔子，变不回去了,MD5,包的签名与加密：,包的签名指的是,RADIUS,包中,16,字节的,Authenticator,，,我们称其为“验证字”。,认证请求包,RequestAuth,=Authenticator,，,认证请求包的验证字是一个不可预测的,16,字节随机数。这个随机数将用于口令的加密。,认证响应包,ResponseAuth,= MD5(Code+ID+Length+Authenticator+Attributes+Key),。,记费请求包,RequestAcct,= MD5(Code+ID+Length+16ZeroOctets+Attributes+Key,),。,记费响应包,ResponseAcct,= MD5(Code+ID+Length+,RequestAcct,+Attributes+Key),。,包的签名与加密,口令的加密,:,称共享密钥（,key,）为,Key,；,16,字节的认证请求验证字,(,Authenticator),为,Auth,；,将口令,(,Password),分割成,16,字节一段（最后一段不足,16,字节时用,0,补齐），为,p1,、,p2,等；加密后的口令块为,c(1),、,c(2),等。下面运算中,b1,、,b2,为中间值：,b1 = MD5(Key + Auth) c(1) = p1 xor b1,b2 = MD5(Key + c(1),c(2) = p2 xor b2, ,bi = MD5(Key+ c(i-1),c(i) = pi xor bi,那么加密后的口令为,c(1)+c(2)+.+c(i),。,上面是协议规定的算法，也有的,RADIUS,服务器为了实现起来简单，修改了上述的算法，具体的讲，,b1,的算法同上，但,bi=b2=b1(i=1),，,其他运算不变。当用户的口令长度不超过,16,字节时，两种算法的结果是一样的。,口令的加密,远端（,Radius,）,验证,PAP,方式：,远端认证,PAP,Secret password =Password XOR MD5,（,Challenge,Key,）,(Challenge,就是,Radius,报文中的,Authenticator),我查,我算,我验,如果用户配置了,RADIUS,验证，其,PAP,验证过程如下：,采用,PAP,验证：用户以明文的形式把用户名和他的密码传递给,NAS,。,NAS,把用户名和加密过的密码放到验证请求包的相应属性中传递给,RADIUS,服务器，根据,RADIUS,服务器的返回结果来决定是否允许用户上网。,远端认证,PAP,用户名、密码,放行,远端认证,PAP,Code = 1 (Access-Request),ID = 0,Length = 56,Request Authenticator = 16 octet random number,Attributes:,User-Name = nemo,User-Password = 16 octets of Password padded at end with nulls,XORed,with MD5(key|Request Authenticator),NAS-IP-Address = 192.168.1.16,NAS-Port = 3,例,1,：用户,telnet,到特定的主机,例,1,：,1)NAS,：,192.168.1.16,发送,Access-Request UDP,数据包到,RADIUS Server,。,User-name,：,nemo,Port logging in,：,3,Code = 2 (Access-Accept),ID = 0 (same as in Access-Request),Length = 38,Response Authenticator = 16-octet MD-5 checksum of the code (2),id (0), Length (38), the Request Authenticator from above, the attributes in this reply, and the shared secret,Attributes:,Service-Type = Login-User,Login-Service = Telnet,Login-Host = 192.168.1.3,2)RADIUS server,验证了,nemo,并且发送了,Access-Accept UDP,数据包到接入服务器，告诉把用户,nemo,登陆到主机,192.168.1.3.,例,1,：用户,telnet,到特定的主机,远端（,Radius,）,验证,CHAP,方式：,远端认证,CHAP,Secret password = MD5（Chap ID + Password + challenge）,我查,我算,我验,采用,CHAP,验证： 当用户请求上网时，,NAS,产生一个,16,字节的随机码给用户（同时还有一个,ID,号，本地路由器的,host name,）。,用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个,response,传给,NAS,，,NAS,把传回来的,CHAP ID,和,Response,分别作为用户名和密码，并把原来的,16,字节随机码传给,RADIUS,服务器。,RADIUS,根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的,16,字节的随机码进行加密，将其结果与传来的,Password,作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，,RADIUS,服务器同样也可以生成一个,16,字节的随机码对用户进行询问（,Challenge,）,该方式暂不支持。,如果用户配置了,RADIUS,验证，其,CHAP,验证过程如下：,远端认证,CHAP,远端认证,CHAP,例,2,：用户端进行,CHAP,验证,Code = 1 (Access-Request),ID = 1,Length = 71,Request Authenticator = 16 octet random number also used as CHAP challenge,Attributes:,User-Name = floppy,CHAP-Password = 1 octet CHAP ID followed by 16 octet CHAP response,NAS-IP-Address = 192.168.1.16,NAS-Port = 20,Service-Type = Framed-User,Framed-Protocol = PPP,例,2,：,接入服务器,192.168.1.16,发送一个,Access-Request UDP,数据包到,RADIUS Server,。,User-name,：,floppy,Port logging in,：,20,Protocol,：,PPP,接入服务器发送的数据包包含属性,Service-Type = Framed user,，,Framed-Protocol=PPP,暗示,RADIUS server,这个用户要使用,PPP,服务。,Code = 2 (Access-Accept),ID = 1 (same as in Access-Request),Length = 56,Response Authenticator = 16-octet MD-5 checksum of the code (2),id (1), Length (56), the Request Authenticator from above, the attributes in this reply, and the key,Attributes:,Service-Type = Framed-User,Framed-Protocol = PPP,Framed-IP-Address = 255.255.255.254,Framed-Routing = None,Framed-Compression = 1 (VJ TCP/IP Header Compression),Framed-MTU = 1500,RADIUS server,验证,floppy,并发送,Access-Accept UDP,数据包到,NAS,告诉,NAS,可以允许,PPP,服务并从它的动态地址池中分配一个网络地址给用户。,例,2,：用户端进行,CHAP,验证,4,）灵活的验证机制,RADIUS,协议允许服务器支持多种验证方式，比如,PPP,的,PAP,和,CHAP,、,UNIX,登录以及其他认证机制。,通常的,RADIUS,服务器都支持,PAP,，,但有些,RADIUS,服务器不支持,CHAP,，,原因在于有些,RADIUS,服务器在保存用户的口令时是加密保存的。而要验证一个,CHAP,用户的合法性，必须能够获得该用户的明文口令才行。,验证机制,5,）扩展性,RADIUS,协议具有很好的扩展性。,RADIUS,包是由包头和一定数目的属性（,Attribute,）,构成的。新属性的增加不会影响到现有协议的实现。,通常的,NAS,厂家在生产,NAS,时，还同时开发与之配套的,RADIUS,服务器。为了提供一些功能，常常要定义一些非标准的（,RFC,上没有定义过的）属性。关于各个厂家有那些扩展的属性，一般可以从相应的,RADIUS,服务器的字典（,dictionary,）,文件中找到。,扩展性,计费保护,:,由于计费是个用户敏感的问题 ，我们提供的计费信息要求准确外更要求完备，不能丢失话单，而,Radius,计费服务器的计费很容易受通讯不畅或计费服务器工作超负荷等意外因素的影响而丢失话单 ， 为此我们提供了本地计费的保护能力，即话单从,NAS,发送出去以后如果没有收到计费服务器的确认信息我们就认为计费失败 ，并将该话单（ 不论是实时计费中间话单还是离线话单 ）送到本地话单池中。,四、,RADIUS,协议属性和,Debug,信息,Radius,协议主要特性,属性值属性名称 意义,1,User-Name,用户名,2,User-Password,用户密码,3,Chap-Password,Chap,认证方式中的用户密码,4,Nas,-IP-Address,Nas,的,ip,地址,5,Nas,-Port,用户接入端口号,6,Service-Type,服务类型,7,Framed-Protocol,协议类型,8,Framed-IP-Address,为用户提供的,IP,地址,9,Framed-IP-,NetMask,地址掩码,10,Framed-Routing,为路由器用户设置的路由方式,11,Filter-Id,过滤表的名称,12,Framed-MTU,为用户配置的最大传输单元,认证报文的常用属性（,1,）：,属性值 属性名称 意义,13,Framed-Compression,该连接使用压缩协议,14,Login-IP-Host,对,login,用户提供的可连接主机的,ip,地址,15,Login-Service,对,login,用户可提供的服务,16,Login-TCP-Port TCP,服务端口,18,Reply-Message,认证服务器返回用户的信息,24,State,认证服务器发送,challenge,包时传送的需在接,下来的认证报文中回应的字符串（与,Acess,-Challenge,相关的属性）,25,Class,认证通过时认证服务器返回的字符串信息，要求在该用户的计费报文中送给计费服务器,认证报文的常用属性（,2,）：,属性值 属性名称 意义,26,Vendor-Specific,可扩展属性,27,Session-Timeout,在认证通过报文或,Challenge,报文中，通知,NAS,该用户可用的会话时长 （时长预付费）,28,Idle-Timeout,允许用户空闲在线的最大时长,32,NAS-Identifier,标识,NAS,的字符串,33,Proxy-State NAS,通过代理服务器转发认证报文时服务器添加在报文中的属性,60,Chap-Challenge,可以代替认证字字段传送,challenge,的属性,61,Nas,-Port-Type,接入端口的类型,62,Port-Limit,服务器限制,NAS,为用户开放的端口数,认证报文的常用属性（,3,）：,属性值 属性名称 意义,40,Acct-Status-Type,计费请求报文的类型,41,Acct-Delay-Time Radius,客户端发送计费报文耗费的时间,42,Acct-Input-Octets,输入字节数,43,Acct-Output-Octets,输出字节数,44,Acct-Session-Id,计费会话标识,45,Acct-Authentic,在计费包中标识用户认证通过的方式,46,Acct-Session-Time,用户在线时长,47,Acct-Input-Packets,输入包数,48,Acct-Output-Packets,输出包数,49,Acct-Terminate-Case,用户下线原因,50,Acct-Multi_Session-Id,相关计费会话标识,51,Acct-Link-Count,生成计费记录时多连接会话的会话个数,认证报文的常用属性（,4,）：,华为ISN8850与Radius对接测试用例,如何在,NAS,中查看,Radius,报文信息？,以,ISN8850 5008SP1,为例：,ESR#debug radius packet,ESR#terminal debugging,% Current terminal debugging is on,用户认证计费 常见过程,用户上线,第一式：,LCP,链路协商,ESR#,*0.18990450-PPP-debug-debug2:,PPP Event:,Virtual-Template1:1 LCP Open Event,state initial,*0.18990590-PPP-debug-debug2:,PPP Event:,Virtual-Template1:1 LCP Lower Up Event,state starting,*0.18990730-PPP-debug-debug2:,PPP Event:,Virtual-Template1:1 LCP RCR+(Receive,Config,Good Request) Event,state,reqsent,*0.18992950-PPP-debug-debug2:,PPP Event:,Virtual-Template1:1 LCP TO+(Timeout with counter 0) Event,state,acksent, Retransmit = 2,*0.18993140-AAA-debug-Packet:send radius packet to 192.168.10.4:1812,code=1,id=19,length=102,75 17 0 0 9b a 0 0,20 18 0 0 5a 20 0 0,attribute(1)(User-name):user1,attribute(2)(Password): 0x4d 0xa1 0x11 0xbe 0xa7 0xc5 0x1a 0xa4 0x5b 0x29 0xb1 0xde 0x34 0x11 0x4c 0xf9,attribute(6)(User-Service): 0x2,attribute(7)(Framed-Protocol): 0x1,attribute(4)(NAS-IP-Address): 0xc0a80a0a,attribute(32)(NAS-Identifier):ESR,attribute(127)(Connect-Id): 0xf00000e,*0.18993750-AAA-debug-Packet:,attribute(61)(NAS-Port-Type): 0x5,attribute(128)(Connect-Port):ESR-10000010032vlan,用户上线,第二式：认证请求（,code=1,）,用户上线,第三式：认证响应（,code=2,）,*0.18993900-AAA-debug-Packet:receive radius packet from 192.168.10.4:1812,code=2,id=19,length=74,18 4c ac 52 e4 99 a5 5f,68 ac 8e 23 3c 70 d 75,attribute(85)(Realtime-Interval): 0x258,attribute(5)(NAS-Port): 0x1513d,attribute(25)(Class):128,attribute(6)(User-Service): 0x2,attribute(7)(Framed-Protocol): 0x1,attribute(13)(Framed-Compression): 0x1,attribute(10)(Framed-Routing): 0x1,*0.18994520-AAA-debug-Packet:,attribute(11)(Framed-Filter):1,用户上线,第四式：计费开始请求（,code=4,）,*,0.18994810-AAA-debug-Packet:send radius packet to 192.168.10.4:1813,code=4,id=20,length=102,ef,31 f 3 54 52 71 71,46 a2 98 d 4 87 ca 8,attribute(40)(Acct-Status-Type): 0x1,attribute(32)(NAS-Name):ESR,attribute(8)(Framed-Address): 0xa0a0a01,attribute(7)(Framed-Protocol): 0x1,attribute(1)(User-name):user1,attribute(5)(NAS-Port): 0x0,attribute(61)(NAS-Port-Type): 0x5,attribute(44)(Acct-Session-Id):03082027130000000011,*0.18995400-AAA-debug-Packet:,attribute(45)(Acct-Authentic): 0x1,attribute(193)(Acct-Timestamp): 0x4a31,attribute(41)(Acct-Delay-Time): 0x0,计费开始,1RADIUS,2Local,3Remote,5,Virtual,用户上线,第五式：计费响应（,code=5,）,*,0.18995750-AAA-debug-Packet:receive radius packet from 192.168.10.4:1813,code=5,id=20,length=20,18,ce,52 6a b7 f5 0 3,71 74 16 a5 bc 42 c0 8a,*,0.18993900-,AAA-debug-Packet:receive radius packet from 192.168.10.4:1812,code=2,id=19 length=74,18 4c ac 52 e4 99 a5 5f,68 ac 8e 23 3c 70 d 75,attribute(85)(,Realtime,-Interval): 0xb4,attribute(5)(NAS-Port): 0x1513d,attribute(25)(Class):128,attribute(2)(Password): 0x4e 0x4f 0x50 0x41 0x53 0x53 0x57 0x44,attribute(6)(User-Service): 0x2,attribute(7)(Framed-Protocol): 0x1,attribute(13)(Framed-Compression): 0x1,attribute(10)(Framed-Routing): 0x1,*0.18994520-AAA-debug-Packet:,attribute(11)(Framed-Filter):1,用户上线,第六式：实时计费之认证响应（,code=2,）,实时计费间隔为,180,秒,分解动作之一：,*,0.169338370-,AAA-debug-Packet:send radius packet to 192.168.10.4:1813,code=4,id=31 length=207,e4 67 7f f5 9d,ec,b4 82,d6 15 35 5d ea,bd,b0 ac,attribute(40)(Acct-Status-Type): 0x3,attribute(25)(Class):128,attribute(32)(NAS-Name):ESR,attribute(8)(Framed-Address): 0xa0a0a01,attribute(7)(Framed-Protocol): 0x1,attribute(1)(User-name):user1,attribute(5)(NAS-Port): 0x28000060,attribute(61)(NAS-Port-Type): 0x5,用户在线,第七式：实时计费之计费请求（,code=4,）,实时计费包,用户在线,第七式：实时计费之计费请求（,code=4,）,分解动作之二：,*,0.169338940-AAA-debug-Packet:,attribute(44)(Acct-Session-Id):03101407580000000102,attribute(45)(Acct-Authentic): 0x1,attribute(193)(Acct-Timestamp): 0x2957a,attribute(55)(Event-Timestamp): 0x0 0x2 0x95 0x7a,attribute(41)(Acct-Delay-Time): 0x0,attribute(87)(,Nas,-Port-Id):slot=10;,subslot,=0;port=0;VPI=1;VCI=32;,attribute(6)(User-Service): 0x2,attribute(7)(Framed-Protocol): 0x1,attribute(42)(Acct-Input-Octets): 0x7fd4,*0.169339520-AAA-debug-Packet:,attribute(43)(Acct-Output-Octets): 0x6174,attribute(47)(Acct-Input-Packets): 0x122,attribute(48)(Acct-Output-Packets): 0x10e,attribute(52)(Acct-Input-,Gigawords,): 0x0,attribute(53)(Acct-output-,Gigawords,): 0x0,attribute(46)(Acct-Session-Time): 0x12c,用户上传字节,用户下载字节,用户计费时长,分解动作之一：,*,0.19379310-AAA-debug-Packet:send radius packet to 192.168.10.4:1813,code=4,id=26,length=168,1c,cb,87 52 97 a2 72 7b,76 32,cb,db 49 3c a3 49,attribute(40)(Acct-Status-Type): 0x2,attribute(32)(NAS-Name):ESR,attribute(8)(Framed-Address): 0xa0a0a01,attribute(7)(Framed-Protocol): 0x1,attribute(1)(User-name):user1,attribute(5)(NAS-Port): 0x0,attribute(61)(NAS-Port-Type): 0x5,attribute(44)(Acct-Session-Id):03082033090000000014,用户下线,第八式：计费结束请求（,code=4,）,计费结束,分解动作之二：,*,0.19379900-AAA-debug-Packet:,attribute(45)(Acct-Authentic): 0x1,attribute(193)(Acct-Timestamp): 0x4bb3,attribute(41)(Acct-Delay-Time): 0x0,attribute(49)(Acct-Terminate-Cause): 0x1,attribute(111)(Input-Kilobytes-Before-Tariff-Switch): 0x4,attribute(115)(Input-Kilobytes-After-Tariff-Switch): 0x4,attribute(112)(Output-Kilobytes-Before-Tariff-Switch): 0x0,attribute(116)(Output-Kilobytes-After-Tariff-Switch): 0x0,*0.19380460-AAA-debug-Packet:,attribute(113)(Input-Packets-Before-Tariff-Switch): 0x29,attribute(117)(Input-Packets-After-Tariff-Switch): 0x29,attribute(114)(Output-Packets-Before-Tariff-Switch): 0x0,attribute(118)(Output-Packets-After-Tariff-Switch): 0x0,attribute(72)(Time-,Befor,-Tariff-Switch): 0x1d,attribute(73)(Time-After-Tariff-Switch): 0x1d,用户下线,第八式：计费结束请求（,code=4,）,*,0.19380930-AAA-debug-Packet:receive radius packet from 192.168.10.4:1813,code=5,id=26,length=20,18 98 f0,cd,92 45 59 12,51 c3 e 33 f6 68 4 f6,用户下线,第九式：计费响应（,code=5,）,*0.82764120-AAA-debug-Packet:send radius packet to 192.168.10.4:1812,code=1 id=46 length=102,ea b 0 0 2 78 0 0,57 39 0 0 f6 37 0 0,attribute(1)(User-name):user2,attribute(2)(Password): 0x69 0x4 0xf1 0x8c 0xeb 0x81 0x15 0x71 0xe2 0xd0 0x1,5 0xb0 0x20 0xee 0x9a 0x55, ,*0.82764970-AAA-debug-Packet:receive radius packet from 192.168.10.4:1812,code=3,id=46 length=59,62 d1 7c 55 77 94 f5 21,52 40 77 c1 e7 4c 5e 53,attribute(18)(Reply-Message):!the password of this user is wrong,用户上线,败招之一：密码错误,*,0.82897520-AAA-debug-Packet:send radius packet to 192.168.10.4:1812,code=1 id=48 length=100,73 57 0 0 d5 45 0 0,47 36 0 0 d4 8 0 0,attribute(1)(User-name):,abc,attribute(2)(Password): 0x90 0x5d 0xe4 0x8b 0x9f 0xbe 0xb 0x8c 0xf7 0xea 0xc,4 0x17 0xd6 0x5 0x9c 0x23, ,*0.82898270-AAA-debug-Packet:receive radius packet from 192.168.10.4:1812,code=3,id=48 length=57,de e1 1c,fc,98 cc,aa,e8,64,ec,42 25 49 52 70 28,attribute(18)(Reply-Message):!no this username in the database,用户上线,败招之二：非法用户,CHAP,认证：,*,0.83248920-,AAA-debug-Packet:send radius packet to 192.168.10.4:1812,code=1,id=49 length=121,d1 c9 52 9b a5 26,fe,87,68 34 1d e6 8a 72 a1 27,attribute(1)(User-name):user1,attribute(3)(Challenge-Response): 0x1 0x7d 0x2f 0x15 0x11 0x97 0x7b 0x48 0xc,0 0xec 0xb7 0x63 0x34 0x81 0x48 0xd9 0x9d,attribute(60)(CHAP-Challenge): 0xd1 0xc9 0x52 0x9b 0xa5 0x26 0xfe 0x87 0x68,0x34 0x1d 0xe6 0x8a 0x72 0xa1 0x27,attribute(6)(User-Service): 0x2,*0.83249500-AAA-debug-Packet:,attribute(7)(Framed-Protocol): 0x1,attribute(4)(NAS-IP-Address): 0xc0a80a0a,attribute(32)(NAS-Identifier):ESR,attribute(127)(Connect-Id): 0xf00001c,attribute(61)(NAS-Port-Type): 0x5,attribute(128)(Connect-Port):ESR-10000010032vlan,NAS,分配,IP,地址,：,*,0.18993900-,AAA-debug-Packet:receive radius packet from 192.168.10.4:1812,code=2,id=19 length=74,18 4c ac 52 e4 99 a5 5f,68 ac 8e 23 3c 70 d 75,attribute(85)(Realtime-Interval): 0x258,attribute(5)(NAS-Port): 0x1513d,attribute(25)(Class):128,attribute(2)(Password): 0x4e 0x4f 0x50 0x41 0x53 0x53 0x57 0x44,attribute(6)(User-Service): 0x2,attribute(7)(Framed-Protocol): 0x1,attribute(13)(Framed-Compression): 0x1,attribute(10)(Framed-Routing): 0x1,*0.18994520-AAA-debug-Packet:,attribute(11)(Framed-Filter):1,认证响应包中无,Framed-IP-Address,，,证明用户,IP,未由,Radius,分配，只好由,NAS,自行分配。,这么小气，连个,IP,都不给，只好自己解决了！,NAS,你长得,这么丑，有,IP,也不给！,Radius,NAS,分配,IP,地址,：,*