RADIUS标准属性
协议RFC2865、RFC2866和RFC3576标准规定了RADIUS标准属性,所有主流设备厂商基本上都支持。
属性编号属性名属性说明
1 User-Name需要进行认证的用户名。可以采用带域名的"纯用户名@域名"格式,也可以采用不带域名的"纯用户名"格式。
2 User-Password需要进行认证的用户密码,仅对PAP(Password Authentication Protocol)认证有效。
3 CHAP-Password需要进行认证的用户密码,仅对CHAP(Challenge Handshake Authentication Protocol)认证有效。
4 NAS-IP-Address NAS设备发送的认证请求报文中携带的设备IP(Internet Protocol)地址。如果RADIUS服务器绑定了接口地址,则取绑定的接口地址,否则取发送报文的接口地址。
5 NAS-Port 用户接入的物理端口号,可根据实际需要转换成不同格式:
"new"模式:槽位号(8位)+子槽位号(4位)+端口号(8位)+VLAN(Virtual Local Area Network ) ID(12位)。
"old"模式,槽位号(12位)+端口号(8位)+VLAN ID(12位)。
6 Service-Type用户申请认证的业务类型:
2(Framed):PPP或802.1x普通接入用户。
5(Outbound):Web网管用户。
10(Call Check):MAC认证用户和MAC旁路认证用户。
7 Framed-Protocol 用户Frame类型业务的封装协议:
对于非管理员用户,Framed-Protocol的值固定为1。
对于管理员用户,Framed-Protocol的值固定为6。
8 Framed-IP-Address 用户的IP地址。
11 Filter-Id 用户组或者用户的ACL(Access Control List) ID。RADIUS报文中只能携带ACL ID或用户组名中的一种,不能同时携带。
说明:Filter-id属性只能携带3000~3999范围内的ACL ID。
12 Framed-MTU用户与NAS之间数据链路的MTU值。例如在802.1X的EAP(Extensible Authentication Protocol)方式认证中,NAS通过Framed-MTU值指示Server发送EAP报文的最大长度,防止EAP报文大于数据链路MTU导致的报文丢失。
14 Login-IP-Host 管理用户的IP地址,
如果该属性取值为0或0xFFFFFFFF,表示不对管理用户的IP地址进行检查。
如果该属性取值为其他值,表示需要检查管理用户的IP地址和通过这个属性下发的地址是否一致。
15 Login-Service管理用户可以使用的服务类型:
0:telnet。
5:X25-PAD。
50:SSH。
51:FTP。
52:Terminal。
说明:一个属性中可以包含多个服务类型。
18 Reply-Message认证成功或拒绝消息:
当该属性用于认证接受报文时,表示成功消息。
当该属性用于认证拒绝报文时,表示拒绝消息。
19 Callback-Number认证服务器回应的可以显示给用户的信息,例如移动电话号码等。
24 State 如果RADIUS服务器发送给设备的认证挑战报文中包含该属性值,则设备在后续的认证请求报文中必须包含相同的值。
25 Class如果RADIUS服务器发送给NAS设备的认证接受报文中包含该属性值,则NAS在后续发送的所有计费请求报文中必须包含相同的值。
26 Vendor-Specific厂商自定义属性。一个报文中可以有一个或多个私有属性,每个私有属性中可以有一个或多个子属性。
27 Session-Timeout在认证请求报文中,该属性表示为用户提供服务的剩余时间,单位为秒。
在认证挑战报文中,该属性表示EAP认证用户的重认证时长。
说明:该属性只对802.1X认证、Portal认证和PPPoE认证用户生效。
28 Idle-Timeout会话结束之前,允许用户持续空闲的最大时间,即用户的闲置切断时间,以秒为单位。
说明:该属性只对管理用户生效。
29Termination-Action用户的业务终止方式:
0:强制用户下线。
1:重认证。
说明:该属性只对802.1x认证和Portal认证用户生效。
30Called-Station-IdNAS设备的号码信息,对于有线用户,该属性一般情况下为NAS设备的MAC地址。
31Calling-Station-Id客户端的号码信息,一般为用户的MAC地址。
32 NAS-IdentifierNAS设备的主机名称。
40 Acct-Status-Type计费请求报文Accounting-Request的类型:
1:开始计费报文。
2:停止计费报文。
3:实时计费报文。
41 Acct-Delay-Time用于上报发送该计费报文花费的时间,单位为秒(不包括网络传输时间)。
43 Acct_Output_Octets下行字节数,单位可以为Byte,KByte,MByte或GByte。用户需要在设备上通过执行命令radius-server traffic-unit针对每一个RADIUS服务器设置具体单位,和RADIUS服务器保持一致。
缺省情况下,设备以字节(Byte)作为RADIUS流量单位。
44 Acct-Session-Id计费ID,同一个连接的开始计费、实时计费和停止计费报文的连接的计费ID必须相同。
计费ID格式为:7位主机名+2位槽号+1位子卡号+2位端口号+4位外层VLAN+5位内层VLAN+6位CPU(Central Processing Unit) Tick+6位用户连接ID。
45 Acct-Authentic用户的认证模式:
1:RADIUS认证。
2:本地认证。
3:其他远端认证。
46 Acct-Session-Time用户的在线时长,以秒为单位。
说明:当用户上线后,如果管理员对设备的系统时间进行了更改,设备计算出的用户在线时长可能存在误差。
48 Acct_Output_Packets下行报文的数目。
49 Acct-Terminate-Cause用户连接中断的原因:
User-Request(1):用户主动请求下线。
Lost Carrier(2):握手失败或心跳超时,例如ARP探测失败、PPP握手失败等。
Lost Service(3):对端设备发起的连接拆除。
Idle Timeout(4):闲置切断。
Session Timeout(5):时间限制切断或流量限制切断。
Admin Reset(6):管理员指令性切断。
Admin Reboot (7):管理员重启设备。
Port Error (8):端口故障。
NAS Error (9):设备发生内部错误。
NAS Request (10):设备由于资源变化请求下线。
NAS Reboot (11):设备自动重启。
Port Unneeded (12):端口不可用。
Port Preempted (13):端口被抢占。
Port Suspended (14):端口挂起。
Service Unavailable (15):业务不可用。
Callback (16):NAS结束了当前的会话以进行回呼。
User Error (17):用户故障,如用户认证失败或超时等。
Host Request (18):主机请求。
53 Acct_Output_Gigawords下行流量,单位为Gbytes。
55 Event-Timestamp 生成计费报文的时间,以秒为单位,表示从1970年1月1日零点零分零秒以来的绝对秒数。
60 CHAP-Challenge CHAP认证的质询字段,该质询字段是CHAP认证中由NAS生成的用于MD5(Message Digest algorithm 5 )计算的随机序列。
61 NAS-Port-Type NAS的端口类型,用户可以在设备的接口视图下配置。默认类型是Ethernet(15)。
64 Tunnel-Type隧道采用的协议类型,目前仅支持取值为13,表示VLAN协议。
65 Tunnel-Medium-Type隧道承载媒介类型,固定为6,表示以太类型。
79 EAP-Message用于封装EAP报文,实现RADIUS协议对EAP认证方式的支持。EAP报文长度超过253时支持封装成多个属性,一个RADIUS报文可携带多个该字段。
80 Message-Authenticator用于对认证报文进行认证和校验,防止非法报文欺骗。该属性仅在RADIUS协议支持EAP认证方式时使用。
81Tunnel-Private-Group-ID隧道私有组标识,目前通过该属性下发用户VLAN。
87 NAS-Port-Id用户接入的端口号,包括两种格式:
new:
对于以太接入用户,NAS端口ID形式为:"slot=XX;subslot=XX;port=XXX;VLANID=XXXX;",其 中,Slot取值范围是0~15,Subslot取值范围是0~15,Port取值范围是0~255,VLANID取值范围是1~4094。
对于ADSL接入用户:NAS端口ID形式为 "slot=XX;subslot=X;port=X;VPI=XXX;VCI=XXXXX;"其中,Slot取值范围是0~15,Subslot取值范 围是0~9,Port取值范围是0~9,VPI取值范围是0~255,VCI取值范围是0~65535。
old:
对于以太接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VLANID(9个字符)。
对于ADSL接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VPI(8个字符)+VCI(16个字符),字节数不够的,在前面补零。
95 NAS-IPv6-Address NAS设备发送的认证请求报文中携带的设备IPv6地址。NAS-IPv6-Address可以和NAS-IP-Address同时出现在报文中。
96 Framed-Interface-Id用户IPv6接口标识。
97 Framed-IPv6-Prefix用户IPv6地址前缀。
一些厂家的私有radius属性,以华为RADIUS扩展属性为例:
RADIUS协议具有良好的可扩展性,协议(RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。
说明:RADIUS扩展属性中包含各个设备厂商的厂商代号Vendor-ID,华为公司的Vendor-ID是2011。中兴是3902
华为RADIUS扩展属性
26-1HW-Input-Peak-Information-Rate用户接入到NAS的峰值速率,以bit/s为单位。
26-2HW-Input-Committed-Information-Rate用户接入到NAS的平均速率,以bit/s为单位。
26-3HW-Input-Committed-Burst-Size用户接入到NAS的承诺突发尺寸,以bit/s为单位。
26-4HW-Output-Peak-Information-Rate从NAS到用户的峰值速率,以bit/s为单位。
26-5HW-Output-Committed-Information-Rate从NAS到用户的平均速率,以bit/s为单位。
26-6HW-Output-Committed-Burst-Size从NAS到用户的承诺突发尺寸,以bit/s为单位。
26-15HW-Remanent-Volume剩余流量。
26-26HW_ConnectID用户连接的索引。
26-28HW-FTP-DirectoryFTP用户的初始目录。
26-29HW-Exec-Privilege管理用户(例如Telnet用户)的优先级,有效值范围0~16。16表示该用户没有管理员权限。
26-33HW-Voice-Vlan语音VLAN的ID。
26-35HW-Proxy-RDSRADIUS服务器是否为代理服务器:
如果服务器认证接受回应报文中携带该属性并且值为1,则该服务器为代理服务器。
如果服务器认证接受回应报文中携带该属性并且值为0,则该服务器不是代理服务器。
26-59HW-Startup-Time-StampNAS设备启动时间,从1970年1月1日00:00时开始计算(以秒为单位)。
26-60HW-IP-Host-Address认证和计费报文中携带的用户IP地址和MAC地址,格式为"A.B.C.D HH:HH:HH:HH:HH:HH",IP地址和MAC地址之间必须用空格分开。
如果在认证时用户的IP地址尚未有效,则A.B.C.D设置为255.255.255.255。
26-61HW-Up-Priority用户业务的上行优先级。
26-62HW-Down-Priority用户业务的下行优先级。
26-75HW-Primary-WINS用户认证成功后,RADIUS下发的主WINS服务器地址。
26-76HW-Second-WINS用户认证成功后,RADIUS下发的备WINS服务器地址。
26-77HW-Input-Peak-Burst-Size上行峰值尺寸,以bit/s为单位。
26-78HW-Output-Peak-Burst-Size下行峰值尺寸,以bit/s为单位。
26-82HW-Data-Filter用户上线时由RADIUS通过该属性下发的ACL规则。属性格式为:aclacl-numberkey1key-value1...keyNkey-valueNpermit/deny,例如acl 10006 dest-ip 11.11.11.2 dest-ipmask 32 udp-dstport 5070 deny。
其中:
acl:表示下发的是ACL内容。
acl-number:指定ACL编号,取值范围为10000到10999。
keyN:指定IP地址、IP地址掩码、端口号等。
permit:指定允许符合条件的数据包。
deny:指定拒绝符合条件的数据包。
26-135HW-Primary-DNS用户认证成功后,RADIUS下发的主DNS服务器地址。
26-136HW-Secondary-DNS用户认证成功后,RADIUS下发的备DNS服务器地址。
26-140HW_DHCP_Snooping_Table虚拟机用户的DHCP(Dynamic Host Configuration Protocol) Snooping表项。
26-142HW_User_InformationRADIUS服务器为EAPoL(Extensible Authentication Protocol over LAN)用户下发的用户安全检查控制信息,通知用户需要进行哪些安全检查。
26-146HW-Service-Scheme业务方案的名称。业务方案下通常配置用户的授权信息和策略。
26-153HW-Access-Type设备发送给RADIUS服务器的认证请求和计费请求报文中携带的用户接入类型。包括:
1:Dot1x用户。
2:MAC认证用户和MAC旁路认证用户。
3:Portal认证用户。
4:静态用户。
6:管理用户。
7:PPP用户。
26-155HW-URL-Flag是否需要用户强推URL,比如和属性HW-Portal-URL结合使用。其中:
0:不需要。
1:需要。
26-156HW-Portal-URL用户强推URL。
26-157HW-Terminal-Type用户使用的终端的类型。
26-158HW-DHCP-OptionDHCP Option信息,按TLV格式封装,一个报文中可以有多个该属性分别携带不同的Option信息。
26-163HW-LLDP-InfoLLDP信息。一个报文中可以有多个该属性分别携带不同的Option。
26-247HW-Tariff-Input-Octets设备通过计费报文向服务器发送的指定费率级别流量的上行字节数,单位可以为Byte,KByte,MByte或GByte。格式为"费率级别:上行字节数;",计费报文中最多支持携带8个费率级别的流量。
26-248HW-Tariff-Output-Octets设备通过计费报文向服务器发送的指定费率级别流量的下行字节数,单位可以为Byte,KByte,MByte或GByte。格式为"费率级别:上行字节数;",计费报文中最多支持携带8个费率级别的流量。
26-249HW-Tariff-Input-Gigawords指定费率级别流量的上行字节数是4G的多少倍,与HW-Tariff-Input-Octets属性共同决定指定费率级别流量的上行字节数。
26-250HW-Tariff-Output-Gigawords指定费率级别流量的下行字节数是4G的多少倍,与HW-Tariff-Output-Octets属性共同决定指定费率级别流量的上行字节数。
26-254HW-Version设备的软件版本号。
26-255HW-Product-IDNAS的产品名称。
RADIUS属性在报文中的支持情况
不同的RADIUS报文对于RADIUS属性的支持情况也不相同。RADIUS属性在报文中的支持情况包括:
RADIUS认证报文中属性的支持情况,如表3所示。
RADIUS计费报文中属性的支持情况,如表4所示。
RADIUS授权报文中属性的支持情况,如表5所示。
说明:
1:表示该属性在该类型报文中一定出现一次;
0:表示该属性在该类型报文中一定不能出现(即使出现也不起任何作用,该属性将被丢弃);
0-1:表示该属性在该类型报文中可能出现一次,也可能不出现;
0+:表示零个或多个该属性可能出现在该类型报文中。
3。RADIUS认证报文中属性的支持情况
4 RADIUS计费报文中属性的支持情况
5 RADIUS动态授权报文(COA/DM)中属性的支持情况
