RADIUS标准属性

RADIUS标准属性

协议RFC2865、RFC2866和RFC3576标准规定了RADIUS标准属性,所有主流设备厂商基本上都支持。 

属性编号属性名属性说明

1  User-Name需要进行认证的用户名。可以采用带域名的"纯用户名@域名"格式,也可以采用不带域名的"纯用户名"格式。

2  User-Password需要进行认证的用户密码,仅对PAP(Password Authentication Protocol)认证有效。

3  CHAP-Password需要进行认证的用户密码,仅对CHAP(Challenge Handshake Authentication Protocol)认证有效。

4  NAS-IP-Address NAS设备发送的认证请求报文中携带的设备IP(Internet Protocol)地址。如果RADIUS服务器绑定了接口地址,则取绑定的接口地址,否则取发送报文的接口地址。

5  NAS-Port  用户接入的物理端口号,可根据实际需要转换成不同格式:

    "new"模式:槽位号(8位)+子槽位号(4位)+端口号(8位)+VLAN(Virtual Local Area Network ) ID(12位)。

    "old"模式,槽位号(12位)+端口号(8位)+VLAN ID(12位)。

6  Service-Type用户申请认证的业务类型:

            2(Framed):PPP或802.1x普通接入用户。

            5(Outbound):Web网管用户。

         10(Call Check):MAC认证用户和MAC旁路认证用户。

7 Framed-Protocol  用户Frame类型业务的封装协议:

    对于非管理员用户,Framed-Protocol的值固定为1。

    对于管理员用户,Framed-Protocol的值固定为6。

8 Framed-IP-Address 用户的IP地址。

11  Filter-Id   用户组或者用户的ACL(Access Control List) ID。RADIUS报文中只能携带ACL ID或用户组名中的一种,不能同时携带。

    说明:Filter-id属性只能携带3000~3999范围内的ACL ID。

12  Framed-MTU用户与NAS之间数据链路的MTU值。例如在802.1X的EAP(Extensible Authentication Protocol)方式认证中,NAS通过Framed-MTU值指示Server发送EAP报文的最大长度,防止EAP报文大于数据链路MTU导致的报文丢失。

14 Login-IP-Host 管理用户的IP地址,

如果该属性取值为0或0xFFFFFFFF,表示不对管理用户的IP地址进行检查。

如果该属性取值为其他值,表示需要检查管理用户的IP地址和通过这个属性下发的地址是否一致。

15 Login-Service管理用户可以使用的服务类型:

        0:telnet。

        5:X25-PAD。

        50:SSH。

        51:FTP。

        52:Terminal。

        说明:一个属性中可以包含多个服务类型。

18 Reply-Message认证成功或拒绝消息:

    当该属性用于认证接受报文时,表示成功消息。

    当该属性用于认证拒绝报文时,表示拒绝消息。

19  Callback-Number认证服务器回应的可以显示给用户的信息,例如移动电话号码等。

24 State 如果RADIUS服务器发送给设备的认证挑战报文中包含该属性值,则设备在后续的认证请求报文中必须包含相同的值。

25 Class如果RADIUS服务器发送给NAS设备的认证接受报文中包含该属性值,则NAS在后续发送的所有计费请求报文中必须包含相同的值。

26 Vendor-Specific厂商自定义属性。一个报文中可以有一个或多个私有属性,每个私有属性中可以有一个或多个子属性。

27 Session-Timeout在认证请求报文中,该属性表示为用户提供服务的剩余时间,单位为秒。

在认证挑战报文中,该属性表示EAP认证用户的重认证时长。

说明:该属性只对802.1X认证、Portal认证和PPPoE认证用户生效。

28   Idle-Timeout会话结束之前,允许用户持续空闲的最大时间,即用户的闲置切断时间,以秒为单位。

说明:该属性只对管理用户生效。

29Termination-Action用户的业务终止方式:

0:强制用户下线。

1:重认证。

说明:该属性只对802.1x认证和Portal认证用户生效。

30Called-Station-IdNAS设备的号码信息,对于有线用户,该属性一般情况下为NAS设备的MAC地址。

31Calling-Station-Id客户端的号码信息,一般为用户的MAC地址。

32 NAS-IdentifierNAS设备的主机名称。

40 Acct-Status-Type计费请求报文Accounting-Request的类型:

    1:开始计费报文。

    2:停止计费报文。

    3:实时计费报文。

41 Acct-Delay-Time用于上报发送该计费报文花费的时间,单位为秒(不包括网络传输时间)。

43  Acct_Output_Octets下行字节数,单位可以为Byte,KByte,MByte或GByte。用户需要在设备上通过执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位,和RADIUS服务器保持一致。

缺省情况下,设备以字节(Byte)作为RADIUS流量单位。

44  Acct-Session-Id计费ID,同一个连接的开始计费、实时计费和停止计费报文的连接的计费ID必须相同。

计费ID格式为:7位主机名+2位槽号+1位子卡号+2位端口号+4位外层VLAN+5位内层VLAN+6位CPU(Central Processing Unit) Tick+6位用户连接ID。

45  Acct-Authentic用户的认证模式:

        1:RADIUS认证。

        2:本地认证。

        3:其他远端认证。

46  Acct-Session-Time用户的在线时长,以秒为单位。

说明:当用户上线后,如果管理员对设备的系统时间进行了更改,设备计算出的用户在线时长可能存在误差。

48 Acct_Output_Packets下行报文的数目。

49 Acct-Terminate-Cause用户连接中断的原因:

    User-Request(1):用户主动请求下线。

    Lost Carrier(2):握手失败或心跳超时,例如ARP探测失败、PPP握手失败等。

    Lost Service(3):对端设备发起的连接拆除。

    Idle Timeout(4):闲置切断。

    Session Timeout(5):时间限制切断或流量限制切断。

    Admin Reset(6):管理员指令性切断。

    Admin Reboot (7):管理员重启设备。

    Port Error (8):端口故障。

    NAS Error (9):设备发生内部错误。

    NAS Request (10):设备由于资源变化请求下线。

    NAS Reboot (11):设备自动重启。

    Port Unneeded (12):端口不可用。

    Port Preempted (13):端口被抢占。

    Port Suspended (14):端口挂起。

    Service Unavailable (15):业务不可用。

    Callback (16):NAS结束了当前的会话以进行回呼。

    User Error (17):用户故障,如用户认证失败或超时等。

    Host Request (18):主机请求。

53 Acct_Output_Gigawords下行流量,单位为Gbytes。

55 Event-Timestamp  生成计费报文的时间,以秒为单位,表示从1970年1月1日零点零分零秒以来的绝对秒数。

60 CHAP-Challenge CHAP认证的质询字段,该质询字段是CHAP认证中由NAS生成的用于MD5(Message Digest algorithm 5 )计算的随机序列。

61 NAS-Port-Type NAS的端口类型,用户可以在设备的接口视图下配置。默认类型是Ethernet(15)。

64 Tunnel-Type隧道采用的协议类型,目前仅支持取值为13,表示VLAN协议。

65 Tunnel-Medium-Type隧道承载媒介类型,固定为6,表示以太类型。

79 EAP-Message用于封装EAP报文,实现RADIUS协议对EAP认证方式的支持。EAP报文长度超过253时支持封装成多个属性,一个RADIUS报文可携带多个该字段。

80 Message-Authenticator用于对认证报文进行认证和校验,防止非法报文欺骗。该属性仅在RADIUS协议支持EAP认证方式时使用。

81Tunnel-Private-Group-ID隧道私有组标识,目前通过该属性下发用户VLAN。

87 NAS-Port-Id用户接入的端口号,包括两种格式:

new:

对于以太接入用户,NAS端口ID形式为:"slot=XX;subslot=XX;port=XXX;VLANID=XXXX;",其 中,Slot取值范围是0~15,Subslot取值范围是0~15,Port取值范围是0~255,VLANID取值范围是1~4094。

对于ADSL接入用户:NAS端口ID形式为 "slot=XX;subslot=X;port=X;VPI=XXX;VCI=XXXXX;"其中,Slot取值范围是0~15,Subslot取值范 围是0~9,Port取值范围是0~9,VPI取值范围是0~255,VCI取值范围是0~65535。

old:

对于以太接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VLANID(9个字符)。

对于ADSL接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VPI(8个字符)+VCI(16个字符),字节数不够的,在前面补零。

95 NAS-IPv6-Address  NAS设备发送的认证请求报文中携带的设备IPv6地址。NAS-IPv6-Address可以和NAS-IP-Address同时出现在报文中。

96 Framed-Interface-Id用户IPv6接口标识。

97 Framed-IPv6-Prefix用户IPv6地址前缀。

一些厂家的私有radius属性,以华为RADIUS扩展属性为例:

RADIUS协议具有良好的可扩展性,协议(RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。 

说明:RADIUS扩展属性中包含各个设备厂商的厂商代号Vendor-ID,华为公司的Vendor-ID是2011。中兴是3902

 华为RADIUS扩展属性

26-1HW-Input-Peak-Information-Rate用户接入到NAS的峰值速率,以bit/s为单位。

26-2HW-Input-Committed-Information-Rate用户接入到NAS的平均速率,以bit/s为单位。

26-3HW-Input-Committed-Burst-Size用户接入到NAS的承诺突发尺寸,以bit/s为单位。

26-4HW-Output-Peak-Information-Rate从NAS到用户的峰值速率,以bit/s为单位。

26-5HW-Output-Committed-Information-Rate从NAS到用户的平均速率,以bit/s为单位。

26-6HW-Output-Committed-Burst-Size从NAS到用户的承诺突发尺寸,以bit/s为单位。

26-15HW-Remanent-Volume剩余流量。

26-26HW_ConnectID用户连接的索引。

26-28HW-FTP-DirectoryFTP用户的初始目录。

26-29HW-Exec-Privilege管理用户(例如Telnet用户)的优先级,有效值范围0~16。16表示该用户没有管理员权限。

26-33HW-Voice-Vlan语音VLAN的ID。

26-35HW-Proxy-RDSRADIUS服务器是否为代理服务器:

 如果服务器认证接受回应报文中携带该属性并且值为1,则该服务器为代理服务器。

 如果服务器认证接受回应报文中携带该属性并且值为0,则该服务器不是代理服务器。

26-59HW-Startup-Time-StampNAS设备启动时间,从1970年1月1日00:00时开始计算(以秒为单位)。

26-60HW-IP-Host-Address认证和计费报文中携带的用户IP地址和MAC地址,格式为"A.B.C.D HH:HH:HH:HH:HH:HH",IP地址和MAC地址之间必须用空格分开。

如果在认证时用户的IP地址尚未有效,则A.B.C.D设置为255.255.255.255。

26-61HW-Up-Priority用户业务的上行优先级。

26-62HW-Down-Priority用户业务的下行优先级。

26-75HW-Primary-WINS用户认证成功后,RADIUS下发的主WINS服务器地址。

26-76HW-Second-WINS用户认证成功后,RADIUS下发的备WINS服务器地址。

26-77HW-Input-Peak-Burst-Size上行峰值尺寸,以bit/s为单位。

26-78HW-Output-Peak-Burst-Size下行峰值尺寸,以bit/s为单位。

26-82HW-Data-Filter用户上线时由RADIUS通过该属性下发的ACL规则。属性格式为:aclacl-numberkey1key-value1...keyNkey-valueNpermit/deny,例如acl 10006 dest-ip 11.11.11.2 dest-ipmask 32 udp-dstport 5070 deny

其中:

acl:表示下发的是ACL内容。

acl-number:指定ACL编号,取值范围为10000到10999。

keyN:指定IP地址、IP地址掩码、端口号等。

permit:指定允许符合条件的数据包。

deny:指定拒绝符合条件的数据包。

26-135HW-Primary-DNS用户认证成功后,RADIUS下发的主DNS服务器地址。

26-136HW-Secondary-DNS用户认证成功后,RADIUS下发的备DNS服务器地址。

26-140HW_DHCP_Snooping_Table虚拟机用户的DHCP(Dynamic Host Configuration Protocol) Snooping表项。

26-142HW_User_InformationRADIUS服务器为EAPoL(Extensible Authentication Protocol over LAN)用户下发的用户安全检查控制信息,通知用户需要进行哪些安全检查。

26-146HW-Service-Scheme业务方案的名称。业务方案下通常配置用户的授权信息和策略。

26-153HW-Access-Type设备发送给RADIUS服务器的认证请求和计费请求报文中携带的用户接入类型。包括:

1:Dot1x用户。

2:MAC认证用户和MAC旁路认证用户。

3:Portal认证用户。

4:静态用户。

6:管理用户。

7:PPP用户。

26-155HW-URL-Flag是否需要用户强推URL,比如和属性HW-Portal-URL结合使用。其中:

0:不需要。

1:需要。

26-156HW-Portal-URL用户强推URL。

26-157HW-Terminal-Type用户使用的终端的类型。

26-158HW-DHCP-OptionDHCP Option信息,按TLV格式封装,一个报文中可以有多个该属性分别携带不同的Option信息。

26-163HW-LLDP-InfoLLDP信息。一个报文中可以有多个该属性分别携带不同的Option。

26-247HW-Tariff-Input-Octets设备通过计费报文向服务器发送的指定费率级别流量的上行字节数,单位可以为Byte,KByte,MByte或GByte。格式为"费率级别上行字节数;",计费报文中最多支持携带8个费率级别的流量。

26-248HW-Tariff-Output-Octets设备通过计费报文向服务器发送的指定费率级别流量的下行字节数,单位可以为Byte,KByte,MByte或GByte。格式为"费率级别上行字节数;",计费报文中最多支持携带8个费率级别的流量。

26-249HW-Tariff-Input-Gigawords指定费率级别流量的上行字节数是4G的多少倍,与HW-Tariff-Input-Octets属性共同决定指定费率级别流量的上行字节数。

26-250HW-Tariff-Output-Gigawords指定费率级别流量的下行字节数是4G的多少倍,与HW-Tariff-Output-Octets属性共同决定指定费率级别流量的上行字节数。

26-254HW-Version设备的软件版本号。

26-255HW-Product-IDNAS的产品名称。

RADIUS属性在报文中的支持情况

不同的RADIUS报文对于RADIUS属性的支持情况也不相同。RADIUS属性在报文中的支持情况包括:

RADIUS认证报文中属性的支持情况,如表3所示。

RADIUS计费报文中属性的支持情况,如表4所示。

RADIUS授权报文中属性的支持情况,如表5所示。

说明:

1:表示该属性在该类型报文中一定出现一次;

0:表示该属性在该类型报文中一定不能出现(即使出现也不起任何作用,该属性将被丢弃);

0-1:表示该属性在该类型报文中可能出现一次,也可能不出现;

0+:表示零个或多个该属性可能出现在该类型报文中。

3。RADIUS认证报文中属性的支持情况




RADIUS计费报文中属性的支持情况




5  RADIUS动态授权报文(COA/DM)中属性的支持情况


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,530评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 86,403评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,120评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,770评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,758评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,649评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,021评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,675评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,931评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,659评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,751评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,410评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,004评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,969评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,042评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,493评论 2 343

推荐阅读更多精彩内容

  • 国家电网公司企业标准(Q/GDW)- 面向对象的用电信息数据交换协议 - 报批稿:20170802 前言: 排版 ...
    庭说阅读 10,863评论 6 13
  • 0 01、网络管理的五大功能(包括每项功能的具体情况) 1.配置管理:ISO定义的管理功能域中,配置管理包括视图管...
    哈熝少主阅读 3,020评论 1 20
  • 1. 描述 RADIUS计费协议用于定义和装载位于网络接入服务器(NAS)和RADIUS计费服务器(RADIUS ...
    344340阅读 6,106评论 0 4
  • 双峰四中高十班第一届聚会纪实 胡99 20170105 参加聚会的同学陆续踏上了归...
    99阅读 1,045评论 0 5
  • 泪 曾经,流年向我们示威。 如今,生命磨炼着我们。 最后…… ----題記---- 繁华酒吧“淚”的舞台上站着一个...
    亲爱小m敏阅读 179评论 0 0