RADIUS標(biāo)準(zhǔn)屬性
協(xié)議RFC2865、RFC2866和RFC3576標(biāo)準(zhǔn)規(guī)定了RADIUS標(biāo)準(zhǔn)屬性,所有主流設(shè)備廠商基本上都支持。?
屬性編號(hào)屬性名屬性說(shuō)明
1 ?User-Name需要進(jìn)行認(rèn)證的用戶名。可以采用帶域名的"純用戶名@域名"格式,也可以采用不帶域名的"純用戶名"格式。
2 ?User-Password需要進(jìn)行認(rèn)證的用戶密碼,僅對(duì)PAP(Password Authentication Protocol)認(rèn)證有效。
3 ?CHAP-Password需要進(jìn)行認(rèn)證的用戶密碼,僅對(duì)CHAP(Challenge Handshake Authentication Protocol)認(rèn)證有效。
4 ?NAS-IP-Address?NAS設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文中攜帶的設(shè)備IP(Internet Protocol)地址。如果RADIUS服務(wù)器綁定了接口地址,則取綁定的接口地址,否則取發(fā)送報(bào)文的接口地址。
5 ?NAS-Port ?用戶接入的物理端口號(hào),可根據(jù)實(shí)際需要轉(zhuǎn)換成不同格式:
????"new"模式:槽位號(hào)(8位)+子槽位號(hào)(4位)+端口號(hào)(8位)+VLAN(Virtual Local Area Network ) ID(12位)。
????"old"模式,槽位號(hào)(12位)+端口號(hào)(8位)+VLAN ID(12位)。
6 ?Service-Type用戶申請(qǐng)認(rèn)證的業(yè)務(wù)類型:
????????????2(Framed):PPP或802.1x普通接入用戶。
????????????5(Outbound):Web網(wǎng)管用戶。
? ? ? ? ?10(Call Check):MAC認(rèn)證用戶和MAC旁路認(rèn)證用戶。
7 Framed-Protocol ?用戶Frame類型業(yè)務(wù)的封裝協(xié)議:
????對(duì)于非管理員用戶,F(xiàn)ramed-Protocol的值固定為1。
????對(duì)于管理員用戶,F(xiàn)ramed-Protocol的值固定為6。
8 Framed-IP-Address?用戶的IP地址。
11 ?Filter-Id ??用戶組或者用戶的ACL(Access Control List) ID。RADIUS報(bào)文中只能攜帶ACL ID或用戶組名中的一種,不能同時(shí)攜帶。
????說(shuō)明:Filter-id屬性只能攜帶3000~3999范圍內(nèi)的ACL ID。
12 ?Framed-MTU用戶與NAS之間數(shù)據(jù)鏈路的MTU值。例如在802.1X的EAP(Extensible Authentication Protocol)方式認(rèn)證中,NAS通過(guò)Framed-MTU值指示Server發(fā)送EAP報(bào)文的最大長(zhǎng)度,防止EAP報(bào)文大于數(shù)據(jù)鏈路MTU導(dǎo)致的報(bào)文丟失。
14 Login-IP-Host?管理用戶的IP地址,
如果該屬性取值為0或0xFFFFFFFF,表示不對(duì)管理用戶的IP地址進(jìn)行檢查。
如果該屬性取值為其他值,表示需要檢查管理用戶的IP地址和通過(guò)這個(gè)屬性下發(fā)的地址是否一致。
15 Login-Service管理用戶可以使用的服務(wù)類型:
????????0:telnet。
????????5:X25-PAD。
????????50:SSH。
????????51:FTP。
????????52:Terminal。
????????說(shuō)明:一個(gè)屬性中可以包含多個(gè)服務(wù)類型。
18 Reply-Message認(rèn)證成功或拒絕消息:
????當(dāng)該屬性用于認(rèn)證接受報(bào)文時(shí),表示成功消息。
????當(dāng)該屬性用于認(rèn)證拒絕報(bào)文時(shí),表示拒絕消息。
19 ?Callback-Number認(rèn)證服務(wù)器回應(yīng)的可以顯示給用戶的信息,例如移動(dòng)電話號(hào)碼等。
24 State?如果RADIUS服務(wù)器發(fā)送給設(shè)備的認(rèn)證挑戰(zhàn)報(bào)文中包含該屬性值,則設(shè)備在后續(xù)的認(rèn)證請(qǐng)求報(bào)文中必須包含相同的值。
25 Class如果RADIUS服務(wù)器發(fā)送給NAS設(shè)備的認(rèn)證接受報(bào)文中包含該屬性值,則NAS在后續(xù)發(fā)送的所有計(jì)費(fèi)請(qǐng)求報(bào)文中必須包含相同的值。
26 Vendor-Specific廠商自定義屬性。一個(gè)報(bào)文中可以有一個(gè)或多個(gè)私有屬性,每個(gè)私有屬性中可以有一個(gè)或多個(gè)子屬性。
27 Session-Timeout在認(rèn)證請(qǐng)求報(bào)文中,該屬性表示為用戶提供服務(wù)的剩余時(shí)間,單位為秒。
在認(rèn)證挑戰(zhàn)報(bào)文中,該屬性表示EAP認(rèn)證用戶的重認(rèn)證時(shí)長(zhǎng)。
說(shuō)明:該屬性只對(duì)802.1X認(rèn)證、Portal認(rèn)證和PPPoE認(rèn)證用戶生效。
28 ? Idle-Timeout會(huì)話結(jié)束之前,允許用戶持續(xù)空閑的最大時(shí)間,即用戶的閑置切斷時(shí)間,以秒為單位。
說(shuō)明:該屬性只對(duì)管理用戶生效。
29Termination-Action用戶的業(yè)務(wù)終止方式:
0:強(qiáng)制用戶下線。
1:重認(rèn)證。
說(shuō)明:該屬性只對(duì)802.1x認(rèn)證和Portal認(rèn)證用戶生效。
30Called-Station-IdNAS設(shè)備的號(hào)碼信息,對(duì)于有線用戶,該屬性一般情況下為NAS設(shè)備的MAC地址。
31Calling-Station-Id客戶端的號(hào)碼信息,一般為用戶的MAC地址。
32 NAS-IdentifierNAS設(shè)備的主機(jī)名稱。
40 Acct-Status-Type計(jì)費(fèi)請(qǐng)求報(bào)文Accounting-Request的類型:
????1:開(kāi)始計(jì)費(fèi)報(bào)文。
????2:停止計(jì)費(fèi)報(bào)文。
????3:實(shí)時(shí)計(jì)費(fèi)報(bào)文。
41 Acct-Delay-Time用于上報(bào)發(fā)送該計(jì)費(fèi)報(bào)文花費(fèi)的時(shí)間,單位為秒(不包括網(wǎng)絡(luò)傳輸時(shí)間)。
43 ?Acct_Output_Octets下行字節(jié)數(shù),單位可以為Byte,KByte,MByte或GByte。用戶需要在設(shè)備上通過(guò)執(zhí)行命令radius-server traffic-unit針對(duì)每一個(gè)RADIUS服務(wù)器設(shè)置具體單位,和RADIUS服務(wù)器保持一致。
缺省情況下,設(shè)備以字節(jié)(Byte)作為RADIUS流量單位。
44 ?Acct-Session-Id計(jì)費(fèi)ID,同一個(gè)連接的開(kāi)始計(jì)費(fèi)、實(shí)時(shí)計(jì)費(fèi)和停止計(jì)費(fèi)報(bào)文的連接的計(jì)費(fèi)ID必須相同。
計(jì)費(fèi)ID格式為:7位主機(jī)名+2位槽號(hào)+1位子卡號(hào)+2位端口號(hào)+4位外層VLAN+5位內(nèi)層VLAN+6位CPU(Central Processing Unit) Tick+6位用戶連接ID。
45 ?Acct-Authentic用戶的認(rèn)證模式:
????????1:RADIUS認(rèn)證。
????????2:本地認(rèn)證。
????????3:其他遠(yuǎn)端認(rèn)證。
46 ?Acct-Session-Time用戶的在線時(shí)長(zhǎng),以秒為單位。
說(shuō)明:當(dāng)用戶上線后,如果管理員對(duì)設(shè)備的系統(tǒng)時(shí)間進(jìn)行了更改,設(shè)備計(jì)算出的用戶在線時(shí)長(zhǎng)可能存在誤差。
48 Acct_Output_Packets下行報(bào)文的數(shù)目。
49 Acct-Terminate-Cause用戶連接中斷的原因:
????User-Request(1):用戶主動(dòng)請(qǐng)求下線。
????Lost Carrier(2):握手失敗或心跳超時(shí),例如ARP探測(cè)失敗、PPP握手失敗等。
????Lost Service(3):對(duì)端設(shè)備發(fā)起的連接拆除。
????Idle Timeout(4):閑置切斷。
????Session Timeout(5):時(shí)間限制切斷或流量限制切斷。
????Admin Reset(6):管理員指令性切斷。
????Admin Reboot (7):管理員重啟設(shè)備。
????Port Error (8):端口故障。
????NAS Error (9):設(shè)備發(fā)生內(nèi)部錯(cuò)誤。
????NAS Request (10):設(shè)備由于資源變化請(qǐng)求下線。
????NAS Reboot (11):設(shè)備自動(dòng)重啟。
????Port Unneeded (12):端口不可用。
????Port Preempted (13):端口被搶占。
????Port Suspended (14):端口掛起。
????Service Unavailable (15):業(yè)務(wù)不可用。
????Callback (16):NAS結(jié)束了當(dāng)前的會(huì)話以進(jìn)行回呼。
????User Error (17):用戶故障,如用戶認(rèn)證失敗或超時(shí)等。
????Host Request (18):主機(jī)請(qǐng)求。
53 Acct_Output_Gigawords下行流量,單位為Gbytes。
55 Event-Timestamp ?生成計(jì)費(fèi)報(bào)文的時(shí)間,以秒為單位,表示從1970年1月1日零點(diǎn)零分零秒以來(lái)的絕對(duì)秒數(shù)。
60 CHAP-Challenge?CHAP認(rèn)證的質(zhì)詢字段,該質(zhì)詢字段是CHAP認(rèn)證中由NAS生成的用于MD5(Message Digest algorithm 5 )計(jì)算的隨機(jī)序列。
61 NAS-Port-Type?NAS的端口類型,用戶可以在設(shè)備的接口視圖下配置。默認(rèn)類型是Ethernet(15)。
64 Tunnel-Type隧道采用的協(xié)議類型,目前僅支持取值為13,表示VLAN協(xié)議。
65 Tunnel-Medium-Type隧道承載媒介類型,固定為6,表示以太類型。
79 EAP-Message用于封裝EAP報(bào)文,實(shí)現(xiàn)RADIUS協(xié)議對(duì)EAP認(rèn)證方式的支持。EAP報(bào)文長(zhǎng)度超過(guò)253時(shí)支持封裝成多個(gè)屬性,一個(gè)RADIUS報(bào)文可攜帶多個(gè)該字段。
80 Message-Authenticator用于對(duì)認(rèn)證報(bào)文進(jìn)行認(rèn)證和校驗(yàn),防止非法報(bào)文欺騙。該屬性僅在RADIUS協(xié)議支持EAP認(rèn)證方式時(shí)使用。
81Tunnel-Private-Group-ID隧道私有組標(biāo)識(shí),目前通過(guò)該屬性下發(fā)用戶VLAN。
87 NAS-Port-Id用戶接入的端口號(hào),包括兩種格式:
new:
對(duì)于以太接入用戶,NAS端口ID形式為:"slot=XX;subslot=XX;port=XXX;VLANID=XXXX;",其 中,Slot取值范圍是0~15,Subslot取值范圍是0~15,Port取值范圍是0~255,VLANID取值范圍是1~4094。
對(duì)于ADSL接入用戶:NAS端口ID形式為 "slot=XX;subslot=X;port=X;VPI=XXX;VCI=XXXXX;"其中,Slot取值范圍是0~15,Subslot取值范 圍是0~9,Port取值范圍是0~9,VPI取值范圍是0~255,VCI取值范圍是0~65535。
old:
對(duì)于以太接入用戶,NAS端口ID形式為:端口號(hào)(兩個(gè)字符)+子槽號(hào)(兩個(gè)字節(jié))+卡號(hào)(三個(gè)字節(jié))+VLANID(9個(gè)字符)。
對(duì)于ADSL接入用戶,NAS端口ID形式為:端口號(hào)(兩個(gè)字符)+子槽號(hào)(兩個(gè)字節(jié))+卡號(hào)(三個(gè)字節(jié))+VPI(8個(gè)字符)+VCI(16個(gè)字符),字節(jié)數(shù)不夠的,在前面補(bǔ)零。
95 NAS-IPv6-Address ?NAS設(shè)備發(fā)送的認(rèn)證請(qǐng)求報(bào)文中攜帶的設(shè)備IPv6地址。NAS-IPv6-Address可以和NAS-IP-Address同時(shí)出現(xiàn)在報(bào)文中。
96 Framed-Interface-Id用戶IPv6接口標(biāo)識(shí)。
97 Framed-IPv6-Prefix用戶IPv6地址前綴。
一些廠家的私有radius屬性,以華為RADIUS擴(kuò)展屬性為例:
RADIUS協(xié)議具有良好的可擴(kuò)展性,協(xié)議(RFC2865)中定義的26號(hào)屬性(Vendor-Specific)用于設(shè)備廠商對(duì)RADIUS進(jìn)行擴(kuò)展,以實(shí)現(xiàn)標(biāo)準(zhǔn)RADIUS沒(méi)有定義的功能。?
說(shuō)明:RADIUS擴(kuò)展屬性中包含各個(gè)設(shè)備廠商的廠商代號(hào)Vendor-ID,華為公司的Vendor-ID是2011。中興是3902
?華為RADIUS擴(kuò)展屬性
26-1HW-Input-Peak-Information-Rate用戶接入到NAS的峰值速率,以bit/s為單位。
26-2HW-Input-Committed-Information-Rate用戶接入到NAS的平均速率,以bit/s為單位。
26-3HW-Input-Committed-Burst-Size用戶接入到NAS的承諾突發(fā)尺寸,以bit/s為單位。
26-4HW-Output-Peak-Information-Rate從NAS到用戶的峰值速率,以bit/s為單位。
26-5HW-Output-Committed-Information-Rate從NAS到用戶的平均速率,以bit/s為單位。
26-6HW-Output-Committed-Burst-Size從NAS到用戶的承諾突發(fā)尺寸,以bit/s為單位。
26-15HW-Remanent-Volume剩余流量。
26-26HW_ConnectID用戶連接的索引。
26-28HW-FTP-DirectoryFTP用戶的初始目錄。
26-29HW-Exec-Privilege管理用戶(例如Telnet用戶)的優(yōu)先級(jí),有效值范圍0~16。16表示該用戶沒(méi)有管理員權(quán)限。
26-33HW-Voice-Vlan語(yǔ)音VLAN的ID。
26-35HW-Proxy-RDSRADIUS服務(wù)器是否為代理服務(wù)器:
?如果服務(wù)器認(rèn)證接受回應(yīng)報(bào)文中攜帶該屬性并且值為1,則該服務(wù)器為代理服務(wù)器。
?如果服務(wù)器認(rèn)證接受回應(yīng)報(bào)文中攜帶該屬性并且值為0,則該服務(wù)器不是代理服務(wù)器。
26-59HW-Startup-Time-StampNAS設(shè)備啟動(dòng)時(shí)間,從1970年1月1日00:00時(shí)開(kāi)始計(jì)算(以秒為單位)。
26-60HW-IP-Host-Address認(rèn)證和計(jì)費(fèi)報(bào)文中攜帶的用戶IP地址和MAC地址,格式為"A.B.C.D HH:HH:HH:HH:HH:HH",IP地址和MAC地址之間必須用空格分開(kāi)。
如果在認(rèn)證時(shí)用戶的IP地址尚未有效,則A.B.C.D設(shè)置為255.255.255.255。
26-61HW-Up-Priority用戶業(yè)務(wù)的上行優(yōu)先級(jí)。
26-62HW-Down-Priority用戶業(yè)務(wù)的下行優(yōu)先級(jí)。
26-75HW-Primary-WINS用戶認(rèn)證成功后,RADIUS下發(fā)的主WINS服務(wù)器地址。
26-76HW-Second-WINS用戶認(rèn)證成功后,RADIUS下發(fā)的備WINS服務(wù)器地址。
26-77HW-Input-Peak-Burst-Size上行峰值尺寸,以bit/s為單位。
26-78HW-Output-Peak-Burst-Size下行峰值尺寸,以bit/s為單位。
26-82HW-Data-Filter用戶上線時(shí)由RADIUS通過(guò)該屬性下發(fā)的ACL規(guī)則。屬性格式為:aclacl-numberkey1key-value1...keyNkey-valueNpermit/deny,例如acl 10006 dest-ip 11.11.11.2 dest-ipmask 32 udp-dstport 5070 deny。
其中:
acl:表示下發(fā)的是ACL內(nèi)容。
acl-number:指定ACL編號(hào),取值范圍為10000到10999。
keyN:指定IP地址、IP地址掩碼、端口號(hào)等。
permit:指定允許符合條件的數(shù)據(jù)包。
deny:指定拒絕符合條件的數(shù)據(jù)包。
26-135HW-Primary-DNS用戶認(rèn)證成功后,RADIUS下發(fā)的主DNS服務(wù)器地址。
26-136HW-Secondary-DNS用戶認(rèn)證成功后,RADIUS下發(fā)的備DNS服務(wù)器地址。
26-140HW_DHCP_Snooping_Table虛擬機(jī)用戶的DHCP(Dynamic Host Configuration Protocol) Snooping表項(xiàng)。
26-142HW_User_InformationRADIUS服務(wù)器為EAPoL(Extensible Authentication Protocol over LAN)用戶下發(fā)的用戶安全檢查控制信息,通知用戶需要進(jìn)行哪些安全檢查。
26-146HW-Service-Scheme業(yè)務(wù)方案的名稱。業(yè)務(wù)方案下通常配置用戶的授權(quán)信息和策略。
26-153HW-Access-Type設(shè)備發(fā)送給RADIUS服務(wù)器的認(rèn)證請(qǐng)求和計(jì)費(fèi)請(qǐng)求報(bào)文中攜帶的用戶接入類型。包括:
1:Dot1x用戶。
2:MAC認(rèn)證用戶和MAC旁路認(rèn)證用戶。
3:Portal認(rèn)證用戶。
4:靜態(tài)用戶。
6:管理用戶。
7:PPP用戶。
26-155HW-URL-Flag是否需要用戶強(qiáng)推URL,比如和屬性HW-Portal-URL結(jié)合使用。其中:
0:不需要。
1:需要。
26-156HW-Portal-URL用戶強(qiáng)推URL。
26-157HW-Terminal-Type用戶使用的終端的類型。
26-158HW-DHCP-OptionDHCP Option信息,按TLV格式封裝,一個(gè)報(bào)文中可以有多個(gè)該屬性分別攜帶不同的Option信息。
26-163HW-LLDP-InfoLLDP信息。一個(gè)報(bào)文中可以有多個(gè)該屬性分別攜帶不同的Option。
26-247HW-Tariff-Input-Octets設(shè)備通過(guò)計(jì)費(fèi)報(bào)文向服務(wù)器發(fā)送的指定費(fèi)率級(jí)別流量的上行字節(jié)數(shù),單位可以為Byte,KByte,MByte或GByte。格式為"費(fèi)率級(jí)別:上行字節(jié)數(shù);",計(jì)費(fèi)報(bào)文中最多支持?jǐn)y帶8個(gè)費(fèi)率級(jí)別的流量。
26-248HW-Tariff-Output-Octets設(shè)備通過(guò)計(jì)費(fèi)報(bào)文向服務(wù)器發(fā)送的指定費(fèi)率級(jí)別流量的下行字節(jié)數(shù),單位可以為Byte,KByte,MByte或GByte。格式為"費(fèi)率級(jí)別:上行字節(jié)數(shù);",計(jì)費(fèi)報(bào)文中最多支持?jǐn)y帶8個(gè)費(fèi)率級(jí)別的流量。
26-249HW-Tariff-Input-Gigawords指定費(fèi)率級(jí)別流量的上行字節(jié)數(shù)是4G的多少倍,與HW-Tariff-Input-Octets屬性共同決定指定費(fèi)率級(jí)別流量的上行字節(jié)數(shù)。
26-250HW-Tariff-Output-Gigawords指定費(fèi)率級(jí)別流量的下行字節(jié)數(shù)是4G的多少倍,與HW-Tariff-Output-Octets屬性共同決定指定費(fèi)率級(jí)別流量的上行字節(jié)數(shù)。
26-254HW-Version設(shè)備的軟件版本號(hào)。
26-255HW-Product-IDNAS的產(chǎn)品名稱。
RADIUS屬性在報(bào)文中的支持情況
不同的RADIUS報(bào)文對(duì)于RADIUS屬性的支持情況也不相同。RADIUS屬性在報(bào)文中的支持情況包括:
RADIUS認(rèn)證報(bào)文中屬性的支持情況,如表3所示。
RADIUS計(jì)費(fèi)報(bào)文中屬性的支持情況,如表4所示。
RADIUS授權(quán)報(bào)文中屬性的支持情況,如表5所示。
說(shuō)明:
1:表示該屬性在該類型報(bào)文中一定出現(xiàn)一次;
0:表示該屬性在該類型報(bào)文中一定不能出現(xiàn)(即使出現(xiàn)也不起任何作用,該屬性將被丟棄);
0-1:表示該屬性在該類型報(bào)文中可能出現(xiàn)一次,也可能不出現(xiàn);
0+:表示零個(gè)或多個(gè)該屬性可能出現(xiàn)在該類型報(bào)文中。
3。RADIUS認(rèn)證報(bào)文中屬性的支持情況
4?RADIUS計(jì)費(fèi)報(bào)文中屬性的支持情況
5 ?RADIUS動(dòng)態(tài)授權(quán)報(bào)文(COA/DM)中屬性的支持情況
