Radius
本指南作为 Radius 协议的协议实现合规声明。
分类:
本文档主题:
RADIUS Protocol
本节说明 AAA Gateway 如何映射 RFC-2865 和 RFC-2869 中定义的 RADIUS protocol 的 RADIUS access-control messages。
章节合规
下表 1-1 列出 RFC-2865 中 RADIUS protocol 各章节的合规信息。
表 1-1: RFC-2865 章节合规
| 章节编号 | 章节 | 状态 | 备注 |
|---|---|---|---|
| 1 | Introduction | 不适用 | - |
| 1.1 | Specification of Requirements | 不适用 | - |
| 1.2 | Terminology | 不适用 | - |
| 2 | Operation | 部分支持 | - |
| 2.1 | Challenge/Response | 支持 | - |
| 2.2 | Interoperation with PAP and CHAP | 不支持 | - |
| 2.3 | Proxy | 不适用 | - |
| 2.4 | Why UDP? | 不适用 | - |
| 2.5 | Retransmission Hints | 支持 | - |
| 2.6 | Keep-Alives Considered Harmful | 支持 | - |
| 3 | Packet Format | 支持 | - |
| 4 | Packet Types | 支持 | - |
| 4.1 | Access-Request | 支持 | - |
| 4.2 | Access-Accept | 支持 | - |
| 4.3 | Access-Reject | 支持 | - |
| 4.4 | Access-Challenge | 支持 | - |
| 5 | Attributes | 支持 | - |
| 5.1 | User-Name | 支持 | - |
| 5.2 | User-Password | 支持 | - |
| 5.3 | CHAP-Password | 支持 | - |
| 5.4 | NAS-IP-Address | 支持 | - |
| 5.5 | NAS-Port | 支持 | - |
| 5.6 | Service-Type | 支持 | - |
| 5.7 | Framed-Protocol | 支持 | - |
| 5.8 | Framed-IP-Address | 支持 | - |
| 5.9 | Framed-IP-Netmask | 支持 | - |
| 5.10 | Framed-Routing | 支持 | - |
| 5.11 | Filter-Id | 支持 | - |
| 5.12 | Framed-MTU | 支持 | - |
| 5.13 | Framed-Compression | 支持 | - |
| 5.14 | Login-IP-Host | 支持 | - |
| 5.15 | Login-Service | 支持 | - |
| 5.16 | Login-TCP-Port | 支持 | - |
| 5.17 | (unassigned) | 支持 | - |
| 5.18 | Reply-Message | 支持 | - |
| 5.19 | Callback-Number | 支持 | - |
| 5.20 | Callback-Id | 支持 | - |
| 5.21 | (unassigned) | 支持 | - |
| 5.22 | Framed-Route | 支持 | - |
| 5.23 | Framed-IPX-Network | 支持 | - |
| 5.24 | State | 支持 | - |
| 5.25 | Class | 支持 | - |
| 5.26 | Vendor-Specific | 支持 | - |
| 5.27 | Session-Timeout | 支持 | - |
| 5.28 | Idle-Timeout | 支持 | - |
| 5.29 | Termination-Action | 支持 | - |
| 5.30 | Called-Station-Id | 支持 | - |
| 5.31 | Calling-Station-Id | 支持 | - |
| 5.32 | NAS-Identifier | 支持 | - |
| 5.33 | Proxy-State | 支持 | - |
| 5.34 | Login-LAT-Service | 支持 | - |
| 5.35 | Login-LAT-Node | 支持 | - |
| 5.36 | Login-LAT-Group | 支持 | - |
| 5.37 | Framed-AppleTalk-Link | 支持 | - |
| 5.38 | Framed-AppleTalk-Network | 支持 | - |
| 5.39 | Framed-AppleTalk-Zone | 支持 | - |
| 5.40 | CHAP-Challenge | 支持 | - |
| 5.41 | NAS-Port-Type | 支持 | - |
| 5.42 | Port-Limit | 支持 | - |
| 5.43 | Login-LAT-Port | 支持 | - |
| 5.44 | Table of Attributes | 支持 | - |
| 6 | IANA Considerations | 无要求 | - |
| 6.1 | Definition of Terms | 无要求 | - |
| 6.2 | Recommended Registration Policies | 无要求 | - |
| 7 | Examples | 支持 | - |
| 7.1 | User Telnet to Specified Host | 支持 | - |
| 7.2 | Framed User Authenticating with CHAP | 支持 | - |
| 7.3 | User with Challenge-Response card | 不支持 | - |
| 8 | Security Considerations | 不支持 | - |
| 9 | Change Log | 无要求 | - |
| 10 | References | 无要求 | - |
| 11 | Acknowledgements | 无要求 | - |
| 12 | Chair’s Address | 无要求 | - |
| 13 | Authors’ Addresses | 无要求 | - |
| 14 | Full Copyright Statement | 无要求 | - |
下表 1-2 提供 RFC-2869 中 RADIUS protocol 各章节的合规信息列表。
表 1-2: RFC-2869 章节合规
| 章节编号 | 章节 | 状态 | 备注 |
|---|---|---|---|
| 1 | Introduction | 不适用 | - |
| 1.1 | Specification of Requirements | 不适用 | - |
| 1.2 | Terminology | 不适用 | - |
| 2 | Operation | 部分支持 | - |
| 2.1 | RADIUS support for Interim Accounting Updates | 不支持 | - |
| 2.2 | RADIUS support for Apple Remote Access Protocol | 不支持 | - |
| 2.3 | RADIUS Support for Extensible Authentication Protocol (EAP) | 支持 | - |
| 2.3.1 | Protocol Overview | 支持 | - |
| 2.3.2 | Retransmission | 支持 | - |
| 2.3.3 | Fragmentation | 不支持 | - |
| 2.3.4 | Examples | 支持 | - |
| 2.3.5 | Alternative Uses | 支持 | - |
| 3 | Packet Format | 支持 | - |
| 4 | Packet Types | 支持 | - |
| 5 | Attributes | 部分支持 | - |
| 5.1 | Acct-Input-Gigawords | 不支持 | - |
| 5.2 | Acct-Output-Gigawords | 不支持 | - |
| 5.3 | Event-Timestamp | 不支持 | - |
| 5.4 | ARAP-Password | 不支持 | - |
| 5.5 | ARAP-Features | 不支持 | - |
| 5.6 | ARAP-Zone-Access | 不支持 | - |
| 5.7 | ARAP-Security | 不支持 | - |
| 5.8 | ARAP-Security-Data | 不支持 | - |
| 5.9 | Password-Retry | 不支持 | - |
| 5.10 | Prompt | 不支持 | - |
| 5.11 | Connect-Info | 不支持 | - |
| 5.12 | Configuration-Token | 不支持 | - |
| 5.13 | EAP-Message | 支持 | - |
| 5.14 | Message-Authenticator | 支持 | - |
| 5.15 | ARAP-Challenge-Response | 不支持 | - |
| 5.16 | Acct-Interim-Interval | 不支持 | - |
| 5.17 | NAS-Port-Id | 支持 | - |
| 5.18 | Framed-Pool | 不支持 | - |
| 5.19 | Table of Attributes | 不支持 | - |
| 6 | IANA Considerations | 无要求 | - |
| 7 | Security Considerations | 支持 | - |
| 7.1 | Message-Authenticator Security | 支持 | - |
| 7.2 | EAP Security | 支持 | - |
| 7.2.1 | Separation of EAP server and PPP authenticator | 不支持 | - |
| 7.2.2 | Connection hijacking | 不支持 | - |
| 7.2.3 | Man in the middle attacks | 不支持 | - |
| 7.2.4 | Multiple databases | 不支持 | - |
| 7.2.5 | Negotiation attacks | 不支持 | - |
| 8 | References | 无要求 | - |
| 9 | Acknowledgements | 无要求 | - |
| 10 | Chair’s Address | 无要求 | - |
| 11 | Authors’ Addresses | 无要求 | - |
| 12 | Full Copyright Statement | 无要求 | - |
Access-Request AVPs
表 1-3 显示 Access-Request attribute-value pairs (AVPs) 的合规信息。
表 1-3: Access-Request AVPs
| RADIUS AVP | 状态 | 备注 |
|---|---|---|
| User-Name | 支持 | - |
| User-Password | 支持 | - |
| CHAP-Password | 支持 | - |
| CHAP-Challenge | 支持 | - |
| NAS-IP-Address | 支持 | - |
| NAS-Port | 支持 | - |
| NAS-Port-Type | 支持 | - |
| NAS-Identifier | 支持 | - |
| Service-Type | 支持 | - |
| Framed-Protocol | 支持 | - |
| Framed-IP-Address | 支持 | - |
| Framed-IP-Netmask | 支持 | - |
| Framed-MTU | 支持 | - |
| Framed-Compression | 支持 | - |
| Login-IP-Host | 支持 | - |
| Callback-Number | 支持 | - |
| Called-Station-Id | 支持 | - |
| Calling-Station-Id | 支持 | - |
| State | 支持 | - |
| Proxy-State | 支持 | - |
| Login-LAT-Service | 支持 | - |
| Login-LAT-Node | 支持 | - |
| Login-LAT-Group | 支持 | - |
| Login-LAT-Port | 支持 | - |
| Vendor-Specific | 支持 | - |
| EAP-Message | 支持 | - |
| Message-Authenticator | 支持 | - |
Access-Accept AVPs
以下是 Access-Accept AVP 的合规信息。
表 1-4: Access-Accept AVPs
| RADIUS AVP | 状态 | 备注 |
|---|---|---|
| User-Name | 支持 | - |
| Service-Type | 支持 | - |
| Framed-Protocol | 支持 | - |
| Framed-IP-Address | 支持 | - |
| Framed-IP-Netmask | 支持 | - |
| Framed-Routing | 支持 | - |
| Framed-Route | 支持 | - |
| Framed-IPX-Network | 支持 | - |
| Framed-AppleTalk-Link | 支持 | - |
| Framed-AppleTalk-Network | 支持 | - |
| Framed-AppleTalk-Zone | 支持 | - |
| Filter-Id | 支持 | - |
| Framed-MTU | 支持 | - |
| Framed-Compression | 支持 | - |
| Login-IP-Host | 支持 | - |
| Login-Service | 支持 | - |
| Login-TCP-Port | 支持 | - |
| Reply-Message | 支持 | - |
| Callback-Number | 支持 | - |
| Callback-Id | 支持 | - |
| Class | 支持 | - |
| Session-Timeout | 支持 | - |
| Idle-Timeout | 支持 | - |
| Termination-Action | 支持 | - |
| State | 支持 | - |
| Proxy-State | 支持 | - |
| Login-LAT-Service | 支持 | - |
| Login-LAT-Node | 支持 | - |
| Login-LAT-Group | 支持 | - |
| Login-LAT-Port | 支持 | - |
| Port-Limit | 支持 | - |
| Vendor-Specific | 支持 | - |
| Acct-Session-Id | 支持 | - |
| EAP-Message | 支持 | - |
| Message-Authenticator | 支持 | - |
Access-Reject AVPs
表 1-5 列出 Access-Reject AVP 的合规信息。
表 1-5: Access-Reject AVPs
| RADIUS AVP | 状态 | 备注 |
|---|---|---|
| User-Name | 支持 | - |
| Reply-Message | 支持 | - |
| Class | 支持 | - |
| Proxy-State | 支持 | - |
| Vendor-Specific | 支持 | - |
| Acct-Session-Id | 支持 | - |
| EAP-Message | 支持 | - |
| Message-Authenticator | 支持 | - |
Access-Challenge AVPs
表 1-6 包含 Access-Challenge AVP 的合规信息。
表 1-6: Access-Challenge AVPs
| RADIUS AVP | 状态 | 备注 |
|---|---|---|
| Reply-Message | 支持 | - |
| Session-Timeout | 支持 | - |
| Idle-Timeout | 支持 | - |
| State | 支持 | - |
| Proxy-State | 支持 | - |
| Vendor-Specific | 支持 | - |
| EAP-Message | 支持 | - |
| Message-Authenticator | 支持 | - |
RADIUS Accounting Protocol
本节详细说明 AAA Gateway 如何映射 RFC-2866 中定义的 RADIUS protocol 的 RADIUS accounting messages。
章节合规
以下列出 RFC-2866 中 RADIUS Accounting protocol 各章节的合规信息。
表 2-1: RFC-2866 章节合规
| 章节编号 | 章节 | 状态 | 备注 |
|---|---|---|---|
| 1 | Introduction | 不适用 | - |
| 1.1 | Specification of Requirement | 不适用 | - |
| 1.2 | Terminology | 不适用 | - |
| 2 | Operation | 支持 | - |
| 2.1 | Proxy | 不支持 | - |
| 3 | Packet Format | 支持 | - |
| 4 | Packet Types | 支持 | - |
| 4.1 | Accounting-Request | 支持 | - |
| 4.2 | Accounting-Response | 支持 | - |
| 5 | Attributes | 支持 | - |
| 5.1 | Acct-Status-Type | 支持 | - |
| 5.2 | Acct-Delay-Time | 支持 | - |
| 5.3 | Acct-Input-Octets | 支持 | - |
| 5.4 | Acct-Output-Octets | 支持 | - |
| 5.5 | Acct-Session-Id | 支持 | - |
| 5.6 | Acct-Authentic | 支持 | - |
| 5.7 | Acct-Session-Time | 支持 | - |
| 5.8 | Acct-Input-Packets | 支持 | - |
| 5.9 | Acct-Output-Packets | 支持 | - |
| 5.10 | Acct-Terminate-Cause | 支持 | - |
| 5.11 | Acct-Multi-Session-Id | 支持 | - |
| 5.12 | Acct-Link-Count | 支持 | - |
| 5.13 | Table of Attributes | 支持 | - |
| 6 | IANA Considerations | 支持 | - |
| 7 | Security Considerations | 支持 | - |
| 8 | Change Log | 不适用 | - |
| 9 | References | 无要求 | - |
| 10 | Acknowledgements | 无要求 | - |
Accounting-Request AVPs
下表描述 ECE 如何支持 Accounting-Request attribute-value pairs (AVPs)。
表 2-2: Accounting-Request AVPs
| RADIUS Accounting AVP | 状态 | 备注 |
|---|---|---|
| User-Name | 支持 | 这是必需 AVP。 |
| NAS-IP-Address | 支持 | 这是必需 AVP。 |
| NAS-Identifier | 支持 | 这是必需 AVP。 |
| NAS-Port-Type | 支持 | - |
| Class | 支持 | - |
| Service-Type | 支持 | - |
| Framed-Protocol | 支持 | - |
| Framed-IP-Address | 支持 | - |
| Framed-IP-Netmask | 支持 | - |
| Framed-MTU | 支持 | - |
| Framed-Compression | 支持 | - |
| Login-IP-Host | 支持 | - |
| Callback-Number | 支持 | - |
| Called-Station-Id | 支持 | - |
| Calling-Station-Id | 支持 | - |
| Proxy-State | 支持 | - |
| Login-LAT-Service | 支持 | - |
| Login-LAT-Node | 支持 | - |
| Login-LAT-Group | 支持 | - |
| Login-LAT-Port | 支持 | - |
| CHAP-Challenge | 支持 | - |
| Acct-Status-Type | 支持 | 这是必需 AVP。 |
| Acct-Delay-Time | 支持 | - |
| Acct-Input-Octets | 支持 | - |
| Acct-Output-Octets | 支持 | - |
| Acct-Session-Id | 支持 | 这是必需 AVP。 |
| Acct-Authentic | 支持 | - |
| Acct-Session-Time | 支持 | - |
| Acct-Input-Packets | 支持 | - |
| Acct-Output-Packets | 支持 | - |
| Acct-Terminate-Cause | 支持 | - |
| Acct-Multi-Session-Id | 支持 | - |
| Acct-Link-Count | 支持 | - |
| Vendor-Specific | 支持 | - |
Accounting-Response AVPs
Accounting-Response 消息没有任何 AVP。
RADIUS Disconnect Protocol
本节描述 AAA Gateway 如何映射 RFC-3576 中定义的 RADIUS protocol 的 RADIUS disconnect messages。
章节合规
以下是 RFC-3576 中 RADIUS Disconnect protocol 各章节的合规信息。
表 3-1: RFC-3576 章节合规
| 章节编号 | 章节 | 状态 | 备注 |
|---|---|---|---|
| 1 | Introduction | - | - |
| 1.1 | Applicability | - | - |
| 1.2 | Requirements Language | - | - |
| 1.3 | Terminology | - | - |
| 2 | Overview | - | - |
| 2.1 | Disconnect Messages (DM) | - | - |
| 2.2 | Change-of-Authorization Messages (CoA) | - | - |
| 2.3 | Packet Format | - | - |
| 3 | Attributes | - | - |
| 3.1 | Error-Cause | - | - |
| 3.2 | Table of Attributes | - | - |
| 4 | IANA Considerations | - | - |
| 5 | Security Considerations | - | - |
| 5.1 | Authorization Issues | - | - |
| 5.2 | Impersonation | - | - |
| 5.3 | IPsec Usage Guidelines | - | - |
| 5.4 | Replay Protection | - | - |
| 6 | Example Traces | - | - |
| 7 | References | - | - |
| 7.1 | Normative References | - | - |
| 7.2 | Informative References | - | - |
| 8 | Intellectual Property Statement | - | - |
| 9 | Acknowledgements | - | - |
| 10 | Author’s Addresses | - | - |
| 11 | Full Copyright Statement | - | - |
Disconnect-Request AVPs
下表 3-2 列出 Disconnect-Request attribute-value pairs (AVPs) 的合规信息。
表 3-2: Disconnect-Request AVPs
| RADIUS AVP | 状态 | 备注 |
|---|---|---|
| User-Name | 支持 | - |
| User-Password | 支持 | - |
| CHAP-Password | 支持 | - |
| CHAP-Challenge | 支持 | - |
| NAS-IP-Address | 支持 | - |
| NAS-Port | 支持 | - |
| NAS-Port-Type | 支持 | - |
| NAS-Identifier | 支持 | - |
| Service-Type | 支持 | - |
| Framed-Protocol | 支持 | - |
| Framed-IP-Address | 支持 | - |
| Framed-IP-Netmask | 支持 | - |
| Framed-MTU | 支持 | - |
| Framed-Compression | 支持 | - |
| Login-IP-Host | 支持 | - |
| Callback-Number | 支持 | - |
| Called-Station-Id | 支持 | - |
| Calling-Station-Id | 支持 | - |
| State | 支持 | - |
| Proxy-State | 支持 | - |
| Login-LAT-Service | 支持 | - |
| Login-LAT-Node | 支持 | - |
| Login-LAT-Group | 支持 | - |
| Login-LAT-Port | 支持 | - |
| Vendor-Specific | 支持 | - |
| EAP-Message | 支持 | - |
| Message-Authenticator | 支持 | - |
Disconnect-Response AVPs
Disconnect-Response 消息没有 AVP。
