由于 RADIUS 协议合并了认证和授权的过程,因此当采用 RADIUS 作为认证服务器时,认证接受报文中也包含了用户的授权信息;
RADIUS Server 授权 VLAN:
1)用户认证成功后,认证服务器将指定 VLAN 授权给用户。此时,设备会将用户所属的 VLAN 修改为授权的 VLAN,授权的 VLAN 并不改变接口的配置;
2)但是,授权的 VLAN 优先级高于用户配置的 VLAN,即用户认证成功后生效的 VLAN 是授权的 VLAN,用户配置的 VLAN 在用户下线后生效;
RADIUS Server 授权 ACL 有 2 种方法:
- 授权静态 ACL:RADIUS Server 通过 RADIUS 标准属性 Filter-Id 将 ACL ID 授权给用户。为使授权的 ACL 生效,需要提前在设备上配置相应的 ACL 及规则;
- 授权动态 ACL:RADIUS Server 通过华为 RADIUS 扩展属性 HW-Data-Filter 将 ACL ID 及其 ACL 规则授权给用户。ACL ID 及其 ACL 规则需要在 RADIUS Server 上配置,设备上不需要配置;
RADIUS Server 授权 UCL 组有 2 种方式:
- 授权 UCL 组名称:RADIUS Server 通过 RADIUS 标准属性 Filter-Id 将 UCL 组名称授权给指定用户;
- 授权 UCL 组 ID:RADIUS Server 通过华为 RADIUS 扩展属性 HW-UCL-Group 将 UCL 组 ID 授权给指定用户;
无论是哪一种授权 UCL 组方式,都必须提前在设备上配置相应的 UCL 组及 UCL 组的网络访问策略;
报文格式
RADIUS 使用 UDP 传输(端口 1812/1813),报文结构如下:
Code 1 字节报文类型:
- 1: Access-Request
- 2: Access-Accept
- 3: Access-Reject
- 4: Accounting-Request
- 5: Accounting-Response
Identifier 1 字节请求 / 响应的匹配标识(防止重放攻击)
Length 2 字节整个报文的长度(包括头部和属性)
Authenticator 16 字节用于验证报文完整性:
- Request Authenticator(随机数)
- Response Authenticator(MD5 哈希)
Attributes 可变属性-值对(AVP),携带认证 / 授权 / 计费信息(如用户名、VLAN、流量)。