「RADIUS」- 概念术语

由于 RADIUS 协议合并了认证和授权的过程,因此当采用 RADIUS 作为认证服务器时,认证接受报文中也包含了用户的授权信息;

RADIUS Server 授权 VLAN:
1)用户认证成功后,认证服务器将指定 VLAN 授权给用户。此时,设备会将用户所属的 VLAN 修改为授权的 VLAN,授权的 VLAN 并不改变接口的配置;
2)但是,授权的 VLAN 优先级高于用户配置的 VLAN,即用户认证成功后生效的 VLAN 是授权的 VLAN,用户配置的 VLAN 在用户下线后生效;

RADIUS Server 授权 ACL 有 2 种方法:

  • 授权静态 ACL:RADIUS Server 通过 RADIUS 标准属性 Filter-Id 将 ACL ID 授权给用户。为使授权的 ACL 生效,需要提前在设备上配置相应的 ACL 及规则;
  • 授权动态 ACL:RADIUS Server 通过华为 RADIUS 扩展属性 HW-Data-Filter 将 ACL ID 及其 ACL 规则授权给用户。ACL ID 及其 ACL 规则需要在 RADIUS Server 上配置,设备上不需要配置;

RADIUS Server 授权 UCL 组有 2 种方式:

  • 授权 UCL 组名称:RADIUS Server 通过 RADIUS 标准属性 Filter-Id 将 UCL 组名称授权给指定用户;
  • 授权 UCL 组 ID:RADIUS Server 通过华为 RADIUS 扩展属性 HW-UCL-Group 将 UCL 组 ID 授权给指定用户;

无论是哪一种授权 UCL 组方式,都必须提前在设备上配置相应的 UCL 组及 UCL 组的网络访问策略;

报文格式

RADIUS 使用 UDP 传输(端口 1812/1813),报文结构如下:

Code 1 字节报文类型:

  • 1: Access-Request
  • 2: Access-Accept
  • 3: Access-Reject
  • 4: Accounting-Request
  • 5: Accounting-Response

Identifier 1 字节请求 / 响应的匹配标识(防止重放攻击)

Length 2 字节整个报文的长度(包括头部和属性)

Authenticator 16 字节用于验证报文完整性:

  • Request Authenticator(随机数)
  • Response Authenticator(MD5 哈希)

Attributes 可变属性-值对(AVP),携带认证 / 授权 / 计费信息(如用户名、VLAN、流量)。