rfc2866 (1027732), страница 2
Текст из файла (страница 2)
Реализациям протокола следует обеспечивать возможность ведения журналаошибок, включающего содержимое отбрасываемых без уведомления пакетов. Также следует поддерживать статистику (счетчики)таких событий.2. Работа протоколаКогда клиент настроен на использование RADIUS Accounting на начальном этапе предоставления услуг этот клиент будетгенерировать пакет Accounting Start, описывающий тип предоставляемого пользователю сервиса, который передается серверуRADIUS Accounting, возвращающему подтверждение приема такого пакета. При завершении пользовательского сеанса клиентбудет генерировать пакет Accounting Stop, описывающий тип предоставленного пользователю сервиса.
Этот пакет может такжевключать статистические сведения о работе пользователя – продолжительность сеанса, число пакетов и байтов, принятых ипереданных пользователем. Пакет передается серверу RADIUS Accounting, который будет возвращать подтверждение приема.Пакет Accounting-Request (Start или Stop) передается серверу RADIUS через сеть. Клиенту рекомендуется повторять передачупакета Accounting-Request до тех пор, пока от сервера не будет получено подтверждение приема. Если в течение заданноговремени подтверждение не будет получено, передача пакета повторяется заданное число раз. Клиент может также переслатьзапрос дополнительным серверам в тех случаях, когда основной сервер не работает или недоступен.
Обращаться кальтернативному серверу после заданного числа неудачных попыток связи с основным сервером или в режиме перебора по кругу.Алгоритмы повтора и выбора альтернативного сервера являются предметом исследования и не рассматриваются детально вданной спецификации.Сервер RADIUS accounting может делать запросы к другим серверам для выполнения полученного от клиента запроса. В такихслучаях сервер сам выступает в роли клиента.Если сервер RADIUS не может записать пакет учета, недопустимо передавать клиенту подтверждение Accounting-Response.Remote Authentication Dial In User ServiceNetwork Access Server – сервер доступа в сеть.3Attribute-Length-Value.
В последнее время для таких триплетов чаще используют обозначение TLV (Type-Length-Value – типразмер-значение). Прим. перев.www.bilim.com2www.protocols.ru12Перевод RFC 2866Разумные сети от компании BiLiM Systems2.1. ProxyИнформация о серверах-посредниках RADIUS приведена в спецификации [2]. Серверы-посредники RADIUS Accounting работаютидентично RADIUS Proxy, как показано в приведенном ниже примере.1. NAS передает пакеты Accounting-Request пересылающему серверу.2. Пересылающий сервер протоколирует пакет Accounting-Request (если это нужно), добавляет атрибут Proxy-State (если нужно)после имеющихся в пакете атрибутов Proxy-State, обновляет атрибут Request Authenticator и пересылает запрос удаленномусерверу.3.
Удаленный сервер протоколирует пакет Accounting-Request (если это нужно), копирует все атрибуты Proxy-State, не меняя ихпорядка в пакет отклика и передает отклик Accounting-Response серверу-посреднику.4. Пересылающий сервер удаляет из пакета последний атрибут Proxy-State (если он был добавлен на этапе 2), обновляетзначение атрибута Response Authenticator и передает пакет Accounting-Response серверу NAS.Для сервера-посредника недопустимо изменение присутствующих в пакете атрибутов Proxy-State или Class.Сервер-посредник может прозрачно пересылать пакеты, передавая повторные пакеты по мере их получения, или принять на себяответственность за передачу повторных пакетов (это удобно в тех случаях, когда сетевое соединение между посредником иудаленным сервером по своим характеристикам существенно отличается от соединения между посредником и NAS).Когда пересылающий сервер принимает на себя ответственность за передачу повторов, политика такой передачи должнаобеспечивать устойчивость и масштабируемость.3.
Формат пакетовВ поле данных пакетов UDP [4] инкапсулируется по одному пакету RADIUS Accounting и поле UDP Destination Port дляпротокола RADIUS должно содержать десятичное значение 1813.При генерации откликов номера портов отправителя и получателя меняются местами.В этом документе содержится спецификация протокола RADIUS.
Ранние версии RADIUS Accounting использовали порт UDP1646, что приводило к конфликтам со службами sa-msg-port. Официально выделенный для протокола RADIUS Accounting портимеет номер 1813.Ниже показан формат типового пакета RADIUS. Поля передаются слева направо и сверху вниз.01230 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code| Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|||Authenticator|||||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Attributes ...+-+-+-+-+-+-+-+-+-+-+-+-+CodeПоле Code имеет размер 1 октет и содержит идентификатор типа пакета RADIUS. При получении пакета с некорректнымзначением поля Code такой пакет отбрасывается без уведомления.Десятичные значения кодов для пакетов RADIUS Accounting показаны ниже.4Accounting-Request5Accounting-ResponseIdentifierПоле Identifier размером 1 октет используется для сопоставления запросов с откликами.
Сервер RADIUS может детектироватьдубликаты запросов по совпадению IP-адреса отправителя, номеру порта отправителя и значению поля Identifier, если такиепакеты получены в течение короткого промежутка времени.LengthПоле Length имеет размер 2 октета и показывает размер пакета с учетом полей Code, Identifier, Length, Authenticator и Attribute.Октеты за пределами указанного в поле размера значения должны трактоваться как заполнение и оставляться без внимания. Еслиразмер пакета меньше значения поля Length, пакет должен отбрасываться без уведомления. Минимальный размер пакетасоставляет 20, а максимальный - 4095.AuthenticatorПоле Authenticator имеет размер 16 октетов. Старший октет поля передается первым.
Значение поля применяется дляаутентификации при обмене сообщениями между клиентом и сервером RADIUS accounting.Request AuthenticatorВ пакетах Accounting-Request значение атрибута Authenticator, называемое Request Authenticator, представляет собой 16-октетноехэш-значение MD5 [5].NAS и сервер RADIUS используют разделяемый ключ. Поле Request Authenticator в пакетах Accounting-Request содержитнеобратимое хэш-значение MD5, рассчитанное для потока октетов Code + Identifier + Length + 16 нулевых октетов + атрибутызапроса + разделяемый ключ (+ означает конкатенацию значений). 16-октетное хэш-значение MD5 помещается в полеAuthenticator пакета Accounting-Request.www.bilim.com3www.protocols.ruРазумные сети от компании BiLiM SystemsПеревод RFC 2866Отметим, что атрибут Request Authenticator в пакетах Accounting-Request вычисляется несколько иначе, нежели для атрибутRequest Authenticator в пакетах RADIUS Access-Request, поскольку пакеты Accounting-Request не содержат атрибута UserPassword.Response AuthenticatorПоле Authenticator в пакетах Accounting-Response называется Response Authenticator и содержит необратимое хэш-значение MD5,рассчитанное для потока октетов полей Code, Identifier, Length, значения Request Authenticator из пакета Accounting-Request, накоторый передается отклик, атрибутов отклика и разделяемого ключа.
Полученное в результате 16-октетное хэш-значение MD5помещается в поле Authenticator пакета Accounting-Response.AttributesПакет может включать более одного экземпляра атрибутов некоторых типов. В таких случаях порядок атрибутов следуетсохранять. Порядок разнотипных атрибутов значения не имеет.4. Типы пакетовТип пакета RADIUS определяется значением поля Code в первом октете.4.1. Accounting-RequestПакеты Accounting-Request передаются от клиентов (обычно сервер доступа NAS или proxy) серверам RADIUS accounting исодержат информацию, используемую для учета предоставленных пользователю услуг.
Клиент передает пакет RADIUS с Code = 4(Accounting-Request).При получении пакета Accounting-Request сервер должен передать отклик Accounting-Response, если учетный пакет был записанбез ошибок. При возникновении той или иной ошибки передача отклика недопустима.Атрибуты, допустимые для пакетов Access-Request и Access-Accept, могут использоваться в пакетах Accounting-Request. Однако впакеты Accounting-Request недопустимо включение атрибутов User-Password, CHAP-Password, Reply-Message, State.
В каждомпакете Accounting-Request должен присутствовать по крайней мере один из атрибутов NAS-IP-Address или NAS-Identifier. Впакеты также следует включать по крайней мере один из атрибутов NAS-Port или NAS-Port-Type, если сервер NAS способенразличать свои порты.Если пакет Accounting-Request включает атрибут Framed-IP-Address, последний должен содержать IP-адрес пользователя. Если впакете Access-Accept используется специальное значение Framed-IP-Address, говорящее серверу NAS о выделении илисогласовании IP-адреса для пользователя, атрибут Framed-IP-Address (если он есть) в пакете Accounting-Request должен содержатьдействительный адрес IP, выделенный или согласованный для пользователя.Формат пакетов Accounting-Request показан ниже.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
