1.1Radius协议Radius报文简介标准Radius协议包结构图9Radius包格式Code：包类型；1字节；指示RADIUS包的类型。1Access-request认证请求2Access-accept认证响应3Access-reject认证拒绝4Accounting-request计费请求5Accounting-response计费响应*11Access-challenge认证挑战Identifier：包标识；1字节，取值范围为0～255；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。Length：包长度；2字节；整个包中所有域的长度。Authenticator：16字节长；用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。该验证字分为两种：1、请求验证字---RequestAuthenticator用在请求报文中,必须为全局唯一的随机值。2、响应验证字---ResponseAuthenticator用在响应报文中，用于鉴别响应报文的合法性。响应验证字＝MD5(Code+ID+Length+请求验证字+Attributes+Key)Attributes：属性图10属性格式属性域是TLV结构编码。RadiusPPPOE172.16.20.76172.16.19.1/19ISN8850RadiusPPPOE172.16.20.76172.16.19.1/19ISN8850测试用例图下图为用户端PPPOE，RadiusServer和BAS交互的认证上线和下线的过程。报文1：BAS请求RadiusServer认证报文。报文2：RadiusServer回应BAS认证通过报文。报文3：BAS计费请求报文。报文4：RadiusServer计费响应报文。报文5：BAS计费结束报文。报文6：RadiusServer计费结束响应报文。从中可以看出对于报文请求和响应是通过IP地址+Radius协议域中ID号进行配对识别的。上图显示了BAS发起的Radius认证请求（Code＝1）报文的结构。Radius报文是承载在UPD协议之上的，这里我没不关注上层报文的结构。下图为PPPOECHAP认证过程的Radius认证请求报文和PPPOE中CHAP认证的Challenge报文。通过比较可以方便看出BAS发出的Challenge值为“26fe8768341de68a72a1276771e1c1ca”与PPPOE中CHAP认证过程中BAS发给PPPOE用户的Challenge值是一致的。BAS发给Radius的CHAP-Challenge属性BAS发给Radius的CHAP-Challenge属性下图为PPPOE用户发为BAS的经过CHAP加密后的用户密码和BAS发给RadiusServer中认证请求报文用户秘密属性域的比较。可以看出在Radius认证过程中，BAS设备将Challenge属性和用户加密后的密码发给Radius进行验证。PPPOE用户发给BAS的经过CHAP加密后的用户密码PPPOE用户发给BAS的经过CHAP加密后的用户密码通过比较可以清楚了解协议各字段含义相互关系，为问题处理提供有效的手段。下面为PPPOE用户Radius认证的Sniffer捕获的报文。