RADIUS协议
RADIUS协议概述
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
RADIUS协议的主要特征如下:
客户端/服务器模式
RADIUS客户端:一般位于网络接入服务器NAS(Network Access Server)上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
设备作为RADIUS协议的客户端,实现以下功能:
支持标准RADIUS协议及扩充属性,包括RFC(Request For Comments)2865、RFC2866。
支持华为扩展的私有属性。
对RADIUS服务器状态的主动探测功能。
计费结束报文的本地缓存重传功能。
RADIUS服务器的自动切换功能。
RADIUS服务器:一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS服务器通常要维护三个数据库,如图1-2所示。
- Users:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
- Clients:用于存储RADIUS客户端的信息(如接入设备的共享密钥、IP地址等)。
- Dictionary:用于存储RADIUS协议中的属性和属性值含义的信息。
网络安全
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,RADIUS协议利用共享密钥对RADIUS报文中的密码进行了加密。
良好的扩展性
RADIUS报文是由包头和一定数目的属性(Attribute)构成,新属性的加入不会破坏协议的原有实现。
RADIUS报文介绍
RADIUS报文格式
RADIUS协议采用UDP报文来传输消息,RADIUS报文格式如图1-3所示。
- Code:长度为1个字节,用来说明RADIUS报文的类型。不同RADIUS报文的Code值不相同。例如,Code为1时表示Access-Request报文,Code为2时表示Access-Accept报文。
- Identifier:长度为1个字节,用来匹配请求报文和响应报文,以及检测在一段时间内重发的请求报文。客户端发送请求报文后,服务器返回的响应报文中的Identifier值应与请求报文中的Identifier值相同。
- Length:长度为2个字节,用来指定RADIUS报文的长度。超过Length取值的字节将作为填充字符而忽略。如果接收到的报文的实际长度小于Length的取值,则该报文会被丢弃。
- Authenticator:长度为16个字节,用来验证RADIUS服务器的响应报文,同时还用于用户密码的加密。
Attribute:不定长度,为报文的内容主体,用来携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节。Attribute可以包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示,具体请参见RADIUS属性。
- 类型(Type),1个字节,取值为1~255,用于表示属性的类型。
- 长度(Length),表示该属性(包括类型、长度和属性)的长度,单位为字节。
- 属性值(Value),表示该属性的信息,其格式和内容有类型和长度决定,最大长度为253字节。
RADIUS报文类型
目前RADIUS定义了十六种报文类型,其中认证报文类型如表1-1所示,计费报文类型如表1-2所示,授权报文类型如表1-3所示。
报文名称 |
说明 |
|---|---|
Access-Request |
认证请求报文,是RADIUS报文交互过程中的第一个报文,用来携带用户的认证信息(例如:用户名、密码等)。认证请求报文由RADIUS客户端发送给RADIUS服务器,RADIUS服务器根据该报文中携带的用户信息判断是否允许接入。 |
Access-Accept |
认证接受报文,是服务器对客户端发送的Access-Request报文的接受响应报文。如果Access-Request报文中的所有属性都可以接受(即认证通过),则发送该类型报文。客户端收到此报文后,认证用户才能认证通过并被赋予相应的权限。 |
Access-Reject |
认证拒绝报文,是服务器对客户端的Access-Request报文的拒绝响应报文。如果Access-Request报文中的任何一个属性不可接受(即认证失败),则RADIUS服务器返回Access-Reject报文,用户认证失败。 |
Access-Challenge |
认证挑战报文。EAP认证时,RADIUS服务器接收到Access-Request报文中携带的用户名信息后,会随机生成一个MD5挑战字,同时将此挑战字通过Access-Challenge报文发送给客户端。客户端使用该挑战字对用户密码进行加密处理后,将新的用户密码信息通过Access-Request报文发送给RADIUS服务器。RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则该用户为合法用户。 |
报文名称 |
说明 |
|---|---|
Accounting-Request(Start) |
计费开始请求报文。如果客户端使用RADIUS模式进行计费,客户端会在用户开始访问网络资源时,向服务器发送计费开始请求报文。 |
Accounting-Response(Start) |
计费开始响应报文。服务器接收并成功记录计费开始请求报文后,需要回应一个计费开始响应报文。 |
Accounting-Request(Interim-update) |
实时计费请求报文。为避免计费服务器无法收到计费停止请求报文而继续对该用户计费,可以在客户端上配置实时计费功能。客户端定时向服务器发送实时计费报文,减少计费误差。 |
Accounting-Response(Interim-update) |
实时计费响应报文。服务器接收并成功记录实时计费请求报文后,需要回应一个实时计费响应报文。 |
Accounting-Request(Stop) |
计费结束请求报文。当用户断开连接时(连接也可以由接入服务器断开),客户端向服务器发送计费结束请求报文,其中包括用户上网所使用的网络资源的统计信息(上网时长、进/出的字节数等),请求服务器停止计费。 |
Accounting-Response(Stop) |
计费结束响应报文。服务器接收计费停止请求报文后,需要回应一个计费停止响应报文。 |
报文名称 |
说明 |
|---|---|
CoA-Request |
动态授权请求报文。当管理员需要更改某个在线用户的权限时(例如,管理员不希望用户访问某个网站),可以通过服务器发送一个动态授权请求报文给客户端,使客户端修改在线用户的权限。 |
CoA-ACK |
动态授权请求接受报文。如果客户端成功更改了用户的权限,则客户端回应动态授权请求接受报文给服务器。 |
CoA-NAK |
动态授权请求拒绝报文。如果客户端未成功更改用户的权限,则客户端回应动态授权请求拒绝报文给服务器。 |
DM-Request |
用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过服务器发送一个用户离线请求报文给客户端,使客户端终结用户的连接。 |
DM-ACK |
用户离线请求接受报文。如果客户端已经切断了用户的连接,则客户端回应用户离线请求接受报文给服务器。 |
DM-NAK |
用户离线请求拒绝报文。如果客户端无法切断用户的连接,则客户端回应用户离线请求拒绝报文给服务器。 |
RADIUS报文的交互流程
RADIUS认证、授权和计费
接入设备作为RADIUS客户端,负责收集用户信息(例如:用户名、密码等),并将这些信息发送到RADIUS服务器。RADIUS服务器则根据这些信息完成用户身份认证以及认证通过后的用户授权和计费。用户、RADIUS客户端和RADIUS服务器之间的交互流程如图1-4所示。
- 当用户需要访问外部网络时,用户发起连接请求,向RADIUS客户端(即接入设备)发送用户名和密码。
- RADIUS客户端根据获取的用户名和密码,向RADIUS服务器提交认证请求报文。该报文中包含用户名、密码等用户的身份信息。
RADIUS服务器对用户身份的合法性进行检验:
- 如果用户身份合法,RADIUS服务器向RADIUS客户端返回认证接受报文,允许用户进行下一步工作。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。
- 如果用户身份不合法,RADIUS服务器向RADIUS客户端返回认证拒绝报文,拒绝用户访问接入网络。
- RADIUS客户端通知用户认证是否成功。
- RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求报文。
- RADIUS服务器返回计费开始响应报文,并开始计费。
- 用户开始访问网络资源。
- (可选)在使能实时计费功能的情况下,RADIUS客户端会定时向RADIUS服务器发送实时计费请求报文,以避免因付费用户异常下线导致的不合理计费。
- (可选)RADIUS服务器返回实时计费响应报文,并实时计费。
- 用户发起下线请求,请求停止访问网络资源。
- RADIUS客户端向RADIUS服务器提交计费结束请求报文。
- RADIUS服务器返回计费结束响应报文,并停止计费。
- RADIUS客户端通知用户访问结束,用户结束访问网络资源。
CoA
CoA(Change of Authorization)是指用户认证成功后,管理员可以通过RADIUS协议来修改在线用户的权限。例如,通过CoA为用户下发VLAN,可以保证某一部分的员工无论从哪个设备端口接入网络,均属于同一个VLAN。CoA的报文交互流程如图1-5所示。
- RADIUS服务器根据业务信息,向RADIUS客户端发送CoA-Request报文,请求更改用户的授权信息。该报文中可以包括策略名(具体策略在RADIUS客户端上配置)或是ACL规则。
- RADIUS客户端根据CoA-Request报文里的授权属性,在保持用户在线的情况下更改用户的授权信息。
- RADIUS客户端在回应CoA-ACK/NAK报文。
- 如果更改成功(例如:CoA报文中的策略名与客户端上的配置匹配),则RADIUS客户端向RADIUS服务器回应CoA-ACK报文。
- 如果更改失败,则RADIUS客户端向RADIUS服务器回应CoA-NAK报文。
DM
DM(Disconnect Message)是指用户离线报文,即由RADIUS服务器端主动发起的强迫用户下线的报文。DM的报文交互流程如图1-6所示。
- 管理员在RADIUS服务器上强制用户下线,RADIUS服务器向RADIUS客户端发送DM Request报文,请求用户下线。
- RADIUS客户端接收到RADIUS服务器的DM Request报文后,通知用户离线。
RADIUS客户端回应DM ACK/NAK报文。
- 如果用户成功离线,RADIUS客户端给RADIUS服务器回应DM ACK报文;
- 否则,RADIUS客户端给RADIUS服务器回应DM NAK报文。
RADIUS属性
RADIUS属性可以划分为RADIUS标准属性和华为RADIUS扩展属性两类。不同的RADIUS报文对于RADIUS属性的支持情况不相同。
RADIUS标准属性
协议RFC2865、RFC2866和RFC3576标准规定了RADIUS标准属性,所有主流设备厂商基本上都支持。具体请参见表1-4。
属性编号 |
属性名 |
属性说明 |
|---|---|---|
1 |
User-Name |
需要进行认证的用户名。可以采用带域名的“纯用户名@域名”格式,也可以采用不带域名的“纯用户名”格式。 |
2 |
User-Password |
需要进行认证的用户密码,仅对PAP(Password Authentication Protocol)认证有效。 |
3 |
CHAP-Password |
需要进行认证的用户密码,仅对CHAP(Challenge Handshake Authentication Protocol)认证有效。 |
4 |
NAS-IP-Address |
NAS设备发送的认证请求报文中携带的设备IP(Internet Protocol)地址。如果RADIUS服务器绑定了接口地址,则取绑定的接口地址,否则取发送报文的接口地址。 |
5 |
NAS-Port |
用户接入的物理端口号,可根据实际需要转换成不同格式:
|
6 |
Service-Type |
用户申请认证的业务类型:
|
7 |
Framed-Protocol |
用户Frame类型业务的封装协议:
|
8 |
Framed-IP-Address |
用户的IP地址。 |
11 |
Filter-Id |
UCL组名、用户组名称或者用户的ACL(Access Control List) ID。RADIUS报文中只能携带ACL ID或用户组名中的一种,不能同时携带。 说明:
Filter-id属性如果携带ACL ID,只能携带3000~3999范围内的ACL ID。 |
12 |
Framed-MTU |
用户与NAS之间数据链路的MTU值。例如在802.1x的EAP(Extensible Authentication Protocol)方式认证中,NAS通过Framed-MTU值指示Server发送EAP报文的最大长度,防止EAP报文大于数据链路MTU导致的报文丢失。 |
14 |
Login-IP-Host |
管理用户的IP地址,
|
15 |
Login-Service |
管理用户可以使用的服务类型:
说明:
一个属性中可以包含多个服务类型。 |
18 |
Reply-Message |
认证成功或拒绝消息:
|
19 |
Callback-Number |
认证服务器回应的可以显示给用户的信息,例如移动电话号码等。 |
24 |
State |
如果RADIUS服务器发送给设备的认证挑战报文中包含该属性值,则设备在后续的认证请求报文中必须包含相同的值。 |
25 |
Class |
如果RADIUS服务器发送给NAS设备的认证接受报文中包含该属性值,则NAS在后续发送的所有计费请求报文中必须包含相同的值。 |
26 |
Vendor-Specific |
厂商自定义属性,具体请参见表1-5。一个报文中可以有一个或多个私有属性,每个私有属性中可以有一个或多个子属性。 |
27 |
Session-Timeout |
在认证请求报文中,该属性表示为用户提供服务的剩余时间,单位为秒。 在认证挑战报文中,该属性表示EAP认证用户的重认证时长。 该属性的取值必须大于0。 说明:
该属性只对802.1x认证、MAC认证、Portal认证和PPPoE认证用户生效。 RADIUS服务器只下发该属性时,29号属性Termination Action的默认值设置为0(强制用户下线)。 |
28 |
Idle-Timeout |
会话结束之前,允许用户持续空闲的最大时间,即用户的闲置切断时间,以秒为单位。 说明:
该属性只对管理用户生效。 |
29 |
Termination-Action |
用户的业务终止方式:
说明:
该属性只对802.1x认证和MAC认证用户生效。 RADIUS服务器只下发该属性时,27号属性Session-Timeout的默认值设置为3600s(802.1x认证用户)或1800s(MAC认证用户)。 |
30 |
Called-Station-Id |
NAS设备的号码信息。对于有线用户,该属性表示NAS设备的MAC地址。
说明:
该属性仅对接入用户生效。对于管理员用户,该属性无效,填充的是全F的MAC地址,可以通过命令radius-attribute disable called-station-id send禁用该属性。 |
31 |
Calling-Station-Id |
客户端的号码信息,一般为用户的MAC地址。 |
32 |
NAS-Identifier |
NAS设备的主机名称。 |
40 |
Acct-Status-Type |
计费请求报文Accounting-Request的类型:
|
41 |
Acct-Delay-Time |
用于上报发送该计费报文花费的时间,单位为秒(不包括网络传输时间)。 |
43 |
Acct_Output_Octets |
下行字节数,单位可以为Byte,KByte,MByte或GByte。用户需要在设备上通过执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位,和RADIUS服务器保持一致。 缺省情况下,设备以字节(Byte)作为RADIUS流量单位。 |
44 |
Acct-Session-Id |
计费ID,同一个连接的开始计费、实时计费和停止计费报文的连接的计费ID必须相同。 计费ID格式为:7位主机名+2位槽号+1位子卡号+2位端口号+4位外层VLAN+5位内层VLAN+6位CPU(Central Processing Unit) Tick+7位用户连接ID。 |
45 |
Acct-Authentic |
用户的认证模式:
|
46 |
Acct-Session-Time |
用户的在线时长,以秒为单位。 说明:
当用户上线后,如果管理员对设备的系统时间进行了更改,设备计算出的用户在线时长可能存在误差。 |
48 |
Acct_Output_Packets |
下行报文的数目。 |
49 |
Acct-Terminate-Cause |
用户连接中断的原因:
|
53 |
Acct_Output_Gigawords |
下行流量,单位为Gbytes。 |
55 |
Event-Timestamp |
生成计费报文的时间,以秒为单位,表示从1970年1月1日零点零分零秒以来的绝对秒数。 |
60 |
CHAP-Challenge |
CHAP认证的质询字段,该质询字段是CHAP认证中由NAS生成的用于MD5(Message Digest algorithm 5 )计算的随机序列。 |
61 |
NAS-Port-Type |
NAS的端口类型,用户可以在设备的接口视图下配置。默认类型是Ethernet(15)。 |
64 |
Tunnel-Type |
隧道采用的协议类型,目前仅支持取值为13,表示VLAN协议。 |
65 |
Tunnel-Medium-Type |
隧道承载媒介类型,固定为6,表示以太类型。 |
79 |
EAP-Message |
用于封装EAP报文,实现RADIUS协议对EAP认证方式的支持。EAP报文长度超过253时支持封装成多个属性,一个RADIUS报文可携带多个该字段。 |
80 |
Message-Authenticator |
用于对认证报文进行认证和校验,防止非法报文欺骗。该属性仅在RADIUS协议支持EAP认证方式时使用。 |
81 |
Tunnel-Private-Group-ID |
隧道私有组标识,目前通过该属性下发用户VLAN。 说明:
VLAN授权功能生效,对用户认证接入接口的链路类型和接入控制方式有如下要求:
|
87 |
NAS-Port-Id |
用户接入的端口号,包括两种格式:
|
95 |
NAS-IPv6-Address |
NAS设备发送的认证请求报文中携带的设备IPv6地址。NAS-IPv6-Address可以和NAS-IP-Address同时出现在报文中。 |
96 |
Framed-Interface-Id |
用户IPv6接口标识。 |
97 |
Framed-IPv6-Prefix |
用户IPv6地址前缀。 |
华为RADIUS扩展属性
RADIUS协议具有良好的可扩展性,协议(RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。华为公司的RADIUS扩展属性请参见表1-5。
RADIUS扩展属性中包含各个设备厂商的厂商代号Vendor-ID,华为公司的Vendor-ID是2011。
属性编号 |
属性名 |
属性说明 |
|---|---|---|
26-1 |
HW-Input-Peak-Information-Rate |
用户接入到NAS的报文峰值信息速率(Peak Information Rate),即最大能够通过的速率。以bit/s为单位,整型,4字节。HW-Input-Peak-Information-Rate必须大于等于HW-Input-Committed-Information-Rate,缺省值等于HW-Input-Committed-Information-Rate。 说明:
仅S5700HI、S5710EI和S5710HI支持该属性。 |
26-2 |
HW-Input-Committed-Information-Rate |
用户接入到NAS的报文承诺信息速率(Committed Information Rate),即保证能够通过的平均速率。以bit/s为单位,整型,4字节。 说明:
仅S5700HI、S5710EI和S5710HI支持该属性。 对用户接入到NAS的报文进行限速时,必须指定该属性。 |
26-3 |
HW-Input-Committed-Burst-Size |
用户接入到NAS的报文承诺突发尺寸(Committed Burst Size),即瞬间能够通过的承诺突发流量,以bit/s为单位。整型,4字节。 说明:
仅S5700HI、S5710EI和S5710HI支持该属性。 |
26-4 |
HW-Output-Peak-Information-Rate |
从NAS到用户的报文峰值信息速率,以bit/s为单位。整型,4字节。HW-Output-Peak-Information-Rate必须大于等于HW-Output-Committed-Information-Rate,缺省值等于HW-Output-Committed-Information-Rate。 说明:
仅S5700HI、S5710EI和S5710HI支持该属性。 |
26-5 |
HW-Output-Committed-Information-Rate |
从NAS到用户的报文承诺信息速率,以bit/s为单位。整型,4字节。 说明:
仅S5700HI、S5710EI和S5710HI支持该属性。 对NAS到用户的报文进行限速时,必须指定该属性。 |
26-6 |
HW-Output-Committed-Burst-Size |
从NAS到用户的报文承诺突发尺寸,以bit/s为单位。整型,4字节。 说明:
仅S5700HI、S5710EI和S5710HI支持该属性。 |
26-15 |
HW-Remanent-Volume |
剩余流量。 |
26-26 |
HW_ConnectID |
用户连接的索引。 |
26-28 |
HW-FTP-Directory |
FTP用户的初始目录。 |
26-29 |
HW-Exec-Privilege |
管理用户(例如Telnet用户)的优先级,有效值范围0~16。16表示该用户没有管理员权限。 |
26-33 |
HW-Voice-Vlan |
语音VLAN的ID。 |
26-35 |
HW-Proxy-RDS |
RADIUS服务器是否为代理服务器:
|
26-59 |
HW-Startup-Time-Stamp |
NAS设备启动时间,从1970年1月1日00:00时开始计算(以秒为单位)。 |
26-60 |
HW-IP-Host-Address |
认证和计费报文中携带的用户IP地址和MAC地址,格式为“A.B.C.D hh:hh:hh:hh:hh:hh”,IP地址和MAC地址之间必须用空格分开。 如果在认证时用户的IP地址尚未有效,则A.B.C.D设置为255.255.255.255。 |
26-61 |
HW-Up-Priority |
用户业务的上行优先级。 |
26-62 |
HW-Down-Priority |
用户业务的下行优先级。 |
26-75 |
HW-Primary-WINS |
用户认证成功后,RADIUS下发的主WINS服务器地址。 |
26-76 |
HW-Second-WINS |
用户认证成功后,RADIUS下发的备WINS服务器地址。 |
26-77 |
HW-Input-Peak-Burst-Size |
上行峰值尺寸,以bit/s为单位。 |
26-78 |
HW-Output-Peak-Burst-Size |
下行峰值尺寸,以bit/s为单位。 |
26-82 |
HW-Data-Filter |
用户上线时由RADIUS通过该属性下发的ACL规则。属性格式为:acl acl-number key1 key-value1... keyN key-valueN permit/deny。 其中各字段的含义如下:
说明:
无线用户不支持通过该属性下发ACL规则,可通过11号RADIUS标准属性下发ACL规则。 当无线用户在同一AP的同一VLAN内上线时,除非同时配置流量模板下用户隔离功能,否则会因为ACL规则无法通过DACL组方式下发到AP,导致通过DACL组方式下发的ACL规则不生效。 所有关键字不区分大小写;所有关键字和(或)关键值之间用空格隔开;关键字位置顺序可以不固定;permit、deny二个关键字可位于acl-number后或语句最后。 例如:
|
26-135 |
HW-Primary-DNS |
用户认证成功后,RADIUS下发的主DNS服务器地址。 |
26-136 |
HW-Secondary-DNS |
用户认证成功后,RADIUS下发的备DNS服务器地址。 |
26-142 |
HW_User_Information |
RADIUS服务器为EAPoL(Extensible Authentication Protocol over LAN)用户下发的用户安全检查控制信息,通知用户需要进行哪些安全检查。 |
26-146 |
HW-Service-Scheme |
业务方案的名称。业务方案下通常配置用户的授权信息和策略。 |
26-153 |
HW-Access-Type |
设备发送给RADIUS服务器的认证请求和计费请求报文中携带的用户接入类型。包括:
|
26-155 |
HW-URL-Flag |
是否需要用户强推URL,比如和属性HW-Portal-URL结合使用。其中:
|
26-156 |
HW-Portal-URL |
用户强推URL。最大长度为200字节。 |
26-157 |
HW-Terminal-Type |
用户使用的终端的类型。 |
26-158 |
HW-DHCP-Option |
DHCP Option信息,按TLV格式封装,一个报文中可以有多个该属性分别携带不同的Option信息。 |
26-163 |
HW-LLDP-Info |
LLDP信息。一个报文中可以有多个该属性分别携带不同的Option。 |
26-247 |
HW-Tariff-Input-Octets |
设备通过计费报文向服务器发送的指定费率级别流量的上行字节数,单位可以为Byte,KByte,MByte或GByte。格式为“费率级别:上行字节数;”,计费报文中最多支持携带8个费率级别的流量。 |
26-248 |
HW-Tariff-Output-Octets |
设备通过计费报文向服务器发送的指定费率级别流量的下行字节数,单位可以为Byte,KByte,MByte或GByte。格式为“费率级别:下行字节数;”,计费报文中最多支持携带8个费率级别的流量。 |
26-249 |
HW-Tariff-Input-Gigawords |
指定费率级别流量的上行字节数是4G的多少倍,与HW-Tariff-Input-Octets属性共同决定指定费率级别流量的上行字节数。 |
26-250 |
HW-Tariff-Output-Gigawords |
指定费率级别流量的下行字节数是4G的多少倍,与HW-Tariff-Output-Octets属性共同决定指定费率级别流量的上行字节数。 |
26-254 |
HW-Version |
设备的软件版本号。 |
26-255 |
HW-Product-ID |
NAS的产品名称。 |
RADIUS属性在报文中的支持情况
- 1:表示该属性在该类型报文中一定出现一次;
- 0:表示该属性在该类型报文中一定不能出现(即使出现也不起任何作用,该属性将被丢弃);
- 0-1:表示该属性在该类型报文中可能出现一次,也可能不出现;
- 0+:表示零个或多个该属性可能出现在该类型报文中。
属性 |
Access-Request |
Access-Accept |
Access-Reject |
Access-Challenge |
|---|---|---|---|---|
User-Name(1) |
1 |
0-1 |
0 |
0 |
User-Password(2) |
0-1 |
0 |
0 |
0 |
CHAP-Password(3) |
0-1 |
0 |
0 |
0 |
NAS-IP-Address(4) |
1 |
0 |
0 |
0 |
NAS-Port(5) |
1 |
0 |
0 |
0 |
Service-Type(6) |
1 |
0-1 |
0 |
0 |
Framed-Protocol(7) |
1 |
0-1 |
0 |
0 |
Framed-IP-Address(8) |
0-1 |
0 |
0 |
0 |
Filter-Id(11) |
0 |
0-1 |
0 |
0 |
Framed-MTU(12) |
0-1 |
0 |
0 |
0 |
Login-IP-Host(14) |
0-1 |
0-1 |
0 |
0 |
Login-Service(15) |
0 |
0-1 |
0 |
0 |
Reply-Message(18) |
0 |
0-1 |
0-1 |
0 |
Callback-Number(19) |
0 |
0-1 |
0 |
0 |
State(24) |
0-1 |
0-1 |
0 |
0-1 |
Class(25) |
0 |
0-1 |
0 |
0 |
Session-Timeout(27) |
0 |
0-1 |
0 |
0-1 |
Idle-Timeout(28) |
0 |
0-1 |
0 |
0 |
Termination-Action(29) |
0 |
0-1 |
0 |
0-1 |
Called_Station_Id(30) |
0-1 |
0 |
0 |
0 |
Calling-Station-Id(31) |
1 |
0 |
0 |
0 |
NAS-Identifier(32) |
1 |
0 |
0 |
0 |
Acct-Session-Id(44) |
1 |
0 |
0 |
0 |
CHAP_Challenge(60) |
0-1 |
0 |
0 |
0 |
NAS-Port-Type(61) |
1 |
0 |
0 |
0 |
Tunnel-Type(64) |
0 |
0-1 |
0 |
0 |
Tunnel-Medium-Type(65) |
0 |
0-1 |
0 |
0 |
EAP-Message(79) |
0-1 |
0-1 |
0-1 |
0-1 |
Message-Authenticator(80) |
0-1 |
0-1 |
0-1 |
0-1 |
Tunnel-Private-Group-ID(81) |
0 |
0-1 |
0 |
0 |
NAS-Port-Id(87) |
1 |
0 |
0 |
0 |
Framed-IPv6-Prefix(96) |
0+ |
0 |
0 |
0 |
Framed-Interface-Id(97) |
0+ |
0 |
0 |
0 |
HW-Input-Peak-Information-Rate(26-1) |
0 |
0-1 |
0 |
0 |
HW-Input-Committed-Information-Rate(26-2) |
0 |
0-1 |
0 |
0 |
HW-Input-Committed-Burst-Size(26-3) |
0 |
0-1 |
0 |
0 |
HW-Output-Peak-Information-Rate(26-4) |
0 |
0-1 |
0 |
0 |
HW-Output-Committed-Information-Rate(26-5) |
0 |
0-1 |
0 |
0 |
HW-Output-Committed-Burst-Size(26-6) |
0 |
0-1 |
0 |
0 |
HW-Remanent-Volume(26-15) |
0 |
0-1 |
0 |
0 |
HW_ConnectID(26-26) |
1 |
0 |
0 |
0 |
Ftp_directory(26-28) |
0 |
0-1 |
0 |
0 |
HW-Exec-Privilege(26-29) |
0 |
0-1 |
0 |
0 |
HW-Voice-Vlan(26-33) |
0 |
0-1 |
0 |
0 |
HW-Proxy-Rds(26-35) |
0 |
0-1 |
0 |
0 |
HW_Startup_Timestamp(26-59) |
1 |
0 |
0 |
0 |
HW-IP-Host-Address(26-60) |
1 |
0 |
0 |
0 |
HW-Up-Priority(26-61) |
0 |
0-1 |
0 |
0 |
HW-Down-Priority(26-62) |
0 |
0-1 |
0 |
0 |
HW-Primary-WINS(26-75) |
0 |
0-1 |
0 |
0 |
HW-Second-WINS(26-76) |
0 |
0-1 |
0 |
0 |
HW-Input-Peak-Burst-Size(26-77) |
0 |
0-1 |
0 |
0 |
HW-Output-Peak-Burst-Size(26-78) |
0 |
0-1 |
0 |
0 |
hw-Data-Filter(26-82) |
0 |
0-1 |
0 |
0 |
HW-Primary-DNS(26-135) |
0 |
0-1 |
0 |
0 |
HW-Secondary-DNS(26-136) |
0 |
0-1 |
0 |
0 |
HW-Access-Type(26-153) |
1 |
0 |
0 |
0 |
HW-URL-Flag(26-155) |
0 |
0-1 |
0 |
0 |
HW-Portal-URL(26-156) |
0 |
0-1 |
0 |
0 |
HW-Terminal-Type(26-157) |
0-1 |
0-1 |
0 |
0 |
HW-DHCP-Option(26-158) |
0+ |
0 |
0 |
0 |
HW-LLDP-Info(26-163) |
0-1 |
0 |
0 |
0 |
HW-Version(26-254) |
1 |
0 |
0 |
0 |
HW-Product-ID(26-255) |
1 |
0 |
0 |
0 |
属性 |
Accounting-Request (Start) |
Accounting-Request (Interim-Update) |
Accounting-Request (Stop) |
Accounting-Response (start) |
Accounting-Response(Interim-Update) |
Accounting-Response (Stop) |
|---|---|---|---|---|---|---|
User-Name(1) |
1 |
1 |
1 |
0 |
0 |
0 |
NAS-IP-Address(4) |
1 |
1 |
1 |
0 |
0 |
0 |
NAS-Port(5) |
1 |
1 |
1 |
0 |
0 |
0 |
Service-Type(6) |
1 |
1 |
1 |
0 |
0 |
0 |
Framed-Protocol(7) |
1 |
1 |
1 |
0 |
0 |
0 |
Framed-IP-Address(8) |
1 |
1 |
1 |
0 |
0 |
0 |
Class(25) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
Session-Timeout(27) |
0 |
0 |
0 |
0-1 |
0-1 |
0 |
Called-Station-Id(30) |
1 |
1 |
1 |
0 |
0 |
0 |
Calling-Station-Id(31) |
1 |
1 |
1 |
0 |
0 |
0 |
NAS-Identifier(32) |
1 |
1 |
1 |
0 |
0 |
0 |
Acct-Status-Type(40) |
1 |
1 |
1 |
0 |
0 |
0 |
Acct-Delay-Time(41) |
0 |
1 |
1 |
0 |
0 |
0 |
Acct_Output_Octets(43) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
Acct-Session-Id(44) |
1 |
1 |
1 |
0 |
0 |
0 |
Acct-Authentic(45) |
1 |
1 |
1 |
0 |
0 |
0 |
Acct-Session-Time(46) |
0 |
1 |
1 |
0 |
0 |
0 |
Acct_Output_Packets(48) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
Acct-Terminate-Cause(49) |
0 |
0 |
1 |
0 |
0 |
0 |
Acct_Output_Gigawords(53) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
Event-Timestamp(55) |
1 |
1 |
1 |
0 |
0 |
0 |
NAS-Port-Type(61) |
1 |
1 |
1 |
0 |
0 |
0 |
NAS-Port-Id(87) |
1 |
1 |
1 |
0 |
0 |
0 |
NAS-IPv6-Address(95) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
HW_ConnectID(26-26) |
1 |
1 |
1 |
0 |
0 |
0 |
HW-IP-Host-Address(26-60) |
1 |
1 |
1 |
0 |
0 |
0 |
HW-User-Information(26-142) |
0 |
0 |
0 |
0-1 |
0-1 |
0 |
HW-Access-Type(26-153) |
1 |
1 |
1 |
0 |
0 |
0 |
HW-Terminal-Type(26-157) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
HW-DHCP-Option(26-158) |
0+ |
0+ |
0+ |
0 |
0 |
0 |
HW-HTTP-UA(26-159) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
HW-LLDP-Info(26-163) |
0-1 |
0-1 |
0-1 |
0 |
0 |
0 |
HW-Tariff-Input-Octets(26-247) |
0 |
0-1 |
0-1 |
0 |
0 |
0 |
HW-Tariff-Output-Octets(26-248) |
0 |
0-1 |
0-1 |
0 |
0 |
0 |
HW-Tariff-Input-Gigawords(26-249) |
0 |
0-1 |
0-1 |
0 |
0 |
0 |
HW-Tariff-Output-Gigawords(26-250) |
0 |
0-1 |
0-1 |
0 |
0 |
0 |
属性号 |
COA REQUEST |
COA ACK |
COA NAK |
DM REQUEST |
DM ACK |
DM NAK |
|---|---|---|---|---|---|---|
User-Name(1) |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
NAS-IP-Address(4) |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
NAS-Port(5) |
0-1 |
0 |
0 |
0-1 |
0 |
0 |
Framed-IP-Address(8) |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
Filter-Id(11) |
0-1 |
0 |
0 |
0 |
0 |
0 |
Session-Timeout(27) |
0-1 |
0 |
0 |
0 |
0 |
0 |
Calling-Station-Id(31) |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
NAS-Identifier(32) |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
0-1 |
Acct-Session-Id(44) |
1 |
1 |
1 |
1 |
1 |
1 |
HW-Input-Peak-Information-Rate(26-1) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Input-Committed-Information-Rate(26-2) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Output-Peak-Information-Rate(26-4) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Output-Committed-Information-Rate(26-5) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Up-Priority(26-61) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Down-Priority(26-62) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Data-Filter(26-82) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Service-Scheme(26–146) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-URL-Flag(26–155) |
0-1 |
0 |
0 |
0 |
0 |
0 |
HW-Portal-URL(26–156) |
0-1 |
0 |
0 |
0 |
0 |
0 |
