|
4.2. 接入成功回应报文
描述
接入成功回应报文是由RADIUS服务器发送的,提供了开始给用户提供服务的
特定的配置信息。如果接收到的接入请求报文的所有属性都是可以接受的,那
么RADIUS实现必须(MUST)发送一个代码域值为2的报文(接入成功回应报
文)。
Rigney, et al. Standards Track [Page 18]
RFC 2865 RADIUS June 2000
客户端接收到接入成功回应报文后,标识符域应该和一个等待回应的接入请
求报文的相应域匹配。回应认证字域必须(MUST)包含对等待回应的接入请
求报文的正确回应,无效的报文将被静默丢弃。
接入成功回应报文格式如下所示。各个域是自左向右传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Response Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
代码
2 代表接入成功回应报文
标识符
标识符域是对引起这次回应的接入请求报文的标识符域的一个拷贝。
回应认证字
回应认证字的值根据接入请求报文计算得来,已经在前面描述过了。
属性
Attributes域的长度是变化的,其中包含了零个或者多个属性。
Rigney, et al. Standards Track [Page 19]
RFC 2865 RADIUS June 2000
4.3. 接入拒绝回应报文
描述
如果接收到的任何属性不可接受,RADIUS服务必须(MUST)发送一个代码域
值为2的报文(接入拒绝回应报文)。该报文包含一个或者多个
Reply-Message属性,该属性包含了一个文本消息,它可以(MAY)由NAS显
示给用户。
接入拒绝回应报文格式如下所示。各个域是自左向右传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Response Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
代码
3 代表接入拒绝回应报文
标识符
标识符域是对引起这次回应的接入请求报文的标识符域的一个拷贝。
回应认证字
回应认证字域的值根据接入请求报文计算得来,已经在前面描述过了。
属性
属性域的长度是变化的,其中包含了零个或者多个属性。
Rigney, et al. Standards Track [Page 20]
RFC 2865 RADIUS June 2000
4.4. 接入挑战报文
描述
如果RADIUS服务器想要给用户发送一个挑战,要求用户回应,那么RADIUS服
务器必须(MUST)回应一个代码域值为11的报文(接入挑战报文)。
属性域中可以(MAY)有一个或者多个Reply-Message属性,可以(MAY)有
一个或者0个State属性,Vendor-Specific,Idle-Timeout,
Session-Timeout和Proxy-State属性也可以(MAY)包含。本文中不允许接
入挑战报文包含其它任何属性。
客户端接收到接入挑战报文后,标识符域应该和一个等待回应的接入请求报
文的标识符域匹配。另外,回应认证字域必须(MUST)包含对等待回应的接入
请求报文的正确回应,无效的报文将被静默丢弃。
如果NAS不支持挑战/回应认证方式,NAS必须(MUST)将接入挑战报文做为
接入拒绝回应报文对待。
如果NAS支持挑战/回应认证方式,接收到一个有效的接入挑战报文表示应该
(SHOULD)发送一个新的接入请求报文了。如果有文本消息,NAS可以
(MAY)显示给用户,并等待用户回应,然后NAS发送原来的接入请求报文,
该报文携带了新的请求ID,新的请求认证字,User-Password属性被用户的
回应替换(加密的),也包含了接入挑战报文中的State属性(如果有的
话),但只能有0个或者1个State属性包含在接入请求报文中。
(支持PAP认证方式的NAS可以(MAY)转发Reply-Message属性给拨号客户端
然后接受一个PAP回应,好像是用户输入的回应一样)。如果NAS不支持这种
方式,NAS必须(MUST)将接入挑战报文做为接入拒绝回应报文对待。
Rigney, et al. Standards Track [Page 21]
RFC 2865 RADIUS June 2000
接入挑战报文格式如下所示。各个域是自左向右传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Response Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
代码
11 代表接入挑战报文
标识符
标识符域是对引起这次回应的接入请求报文的标识符域的一个拷贝。
回应认证字
回应认证字域的值根据接入请求报文计算得来,已经在前面描述过了。
属性
Attributes域的长度是变化的,其中包含了零个或者多个属性。
5. 属性
RADISU属性携带了特定的认证和授权信息以及请求和回应报文的配置细节。
由RADIUS报文的长度域来决定属性列表在何处结束。
有些属性可以(MAY)被多次包含,这通常有特别的目的,这种情况都会在每个
属性的描述中特别指出。在属性章节的最后提供了一个汇总表。
Rigney, et al. Standards Track [Page 22]
RFC 2865 RADIUS June 2000
如果相同类型的属性多次出现,任何代理都必须(MUST)保持相同类型的属性
的次序。不同类型的属性的次序不需要保持,RADIUS服务器或者客户端必须
(MUST)不能依赖于不同类型的属性的次序。RADIUS服务器和客户端必须
(MUST)不能要求相同类型的属性相连。
哪种类型的报文可以包含哪些属性,这些限制性描述只适用于本文定义的报文
类型,即接入请求报文,接入成功回应报文,接入拒绝回应报文和接入挑战报
文(代码域值为1、2、3和11)。其它文档定义的其它报文类型也可以使用本文
描述的属性。哪些属性可以包含在计费请求和计费回应报文(代码域值为4和5)
中,请参见RADIUS计费协议文档[5]。
同样地,这里只说明了哪些属性可以包含在本文定义的报文类型中,将来的备
忘录定义了新的属性应该(should)要说明这些新的属性可以包含在哪些报文
类型中。
属性域的格式如下所示。是自左向右传输的。
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
类型
类型域占位一个字节。到目前为止,在最新的“Assigned Number” RFC
[6]中给出了RADIUS Type的值的详细描述。值192-223是保留给实验用的,
值224-240是保留给特定实现用的,值241-255是预留的,而且不应该
(should not)使用它们。
RADIUS服务器可以(MAY)忽略它不认识的属性类型。
RADIUS客户端可以(MAY)忽略它不认识的属性类型。
Rigney, et al. Standards Track [Page 23]
RFC 2865 RADIUS June 2000
本文中涉及到以下的属性Type值:
1 User-Name
2 User-Password
3 CHAP-Password
4 NAS-IP-Address
5 NAS-Port
6 Service-Type
7 Framed-Protocol
8 Framed-IP-Address
9 Framed-IP-Netmask
10 Framed-Routing
11 Filter-Id
12 Framed-MTU
13 Framed-Compression
14 Login-IP-Host
15 Login-Service
16 Login-TCP-Port
17 (unassigned)
18 Reply-Message
19 Callback-Number
20 Callback-Id
21 (unassigned)
22 Framed-Route
23 Framed-IPX-Network
24 State
25 Class
26 Vendor-Specific
27 Session-Timeout
28 Idle-Timeout
29 Termination-Action
30 Called-Station-Id
31 Calling-Station-Id
32 NAS-Identifier
33 Proxy-State
34 Login-LAT-Service
35 Login-LAT-Node
36 Login-LAT-Group
37 Framed-AppleTalk-Link
38 Framed-AppleTalk-Network
39 Framed-AppleTalk-Zone
40-59 (reserved for accounting)
60 CHAP-Challenge
61 NAS-Port-Type
62 Port-Limit
63 Login-LAT-Port
Rigney, et al. Standards Track [Page 24]
RFC 2865 RADIUS June 2000
长度
长度(Length)域占位一个字节,表示包括Type、Length、Value域在内的
属性的长度。如果接受到的接入请求报文中的属性长度无效,则应该
(SHOULD)发送一个接入拒绝回应报文。如果接收到的接入成功回应报文,
接入拒绝回应报文和接入挑战报文有无效长度的属性,必须将之做为接入拒
绝回应报文处理,或者直接静默丢弃。
值
值域占位零个或者更多字节,它包含了属性信息的详细描述。值域的格式和
长度是由属性的类型和长度决定的。
需要指出的是,在RADIUS中没有任何类型的属性值是以NUL(十六进制的
0x00)结束的。譬如,“text”和“string"类型的属性值是不能以NUL结
束。由于属性具有长度域,因而不必使用结束符。“text”类型的属性值包
含UTF-8编码的10646 [7]字符,而“string”类型的属性值含有8位二进制
数据。服务器和客户端必须(MUST)能够处理嵌入的null。使用C语言实现
的RADIUS在处理字符串时需要注意不能使用strcpy()函数。
值域有五种数据类型。注意:类型“text”是类型“string"的一个子集。
text 1-253个字节,包含UTF-8编码的10646 [7]字符。长度为零的text
类型的属性必须不能(MUST NOT)被发送,而应该将整个属性忽
略。
string 1-253个字节,包含二进制数据(值从0到255,十进制)。长度为
零的string类型的属性必须不能(MUST NOT)发送,而应该将整
个属性忽略。
address 32位的数值,最重要的字节优先传输。
integer 32位的无符号数,最重要的字节优先传输。
time 32位的无符号数,最重要的字节优先。从格林威治时间1970年1月
1日0时0分0秒时起的秒数。标准的属性是不使用该数据类型的,
在这里提到该数据类型主要是有可能在将来的属性中使用。
Rigney, et al. Standards Track [Page 25]
RFC 2865 RADIUS June 2000
5.1. User-Name(用户名)
描述
该属性表示被认证的用户的名称,如果能够得到的话,该属性必须(MUST)
在接入请求报文中发送。
该属性可以(MAY)包含在接入成功回应报文中,在这种情况下,客户端应
该(SHOULD)在该会话的所有的计费请求报文中使用接入成功回应报文中返
回的用户名称。如果接入成功回应报文中包含值为Rlogin的Service-Type属
性和User-Name属性,NAS可以(MAY)使用返回的User-Name执行Rlogin功
能。
User-Name属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | String ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
类型
1 代表User-Name
长度
>= 3
字符串
字符串域占位1个或者多个字节,NAS可以(may)限制User-Name属性的最大
长度,但推荐(recommended)至少应该能够处理63个字节。
用户名的格式可以(MAY)是如下几种格式之一:
文本 最好包含UTF-8编码的10646 [7]字符。
网络接入标识
网路接入标识在RFC 2486 [8]描述。
识别名
ASN.1格式的名称用在公共密钥认证体系
Rigney, et al. Standards Track [Page 26]
RFC 2865 RADIUS June 2000
5.2. User-Password
描述
该属性表示用户用来认证的用户密码,或者是用户在收到接入挑战报文后用
户的输入。它只出现在接入请求报文中。
在传输的过程中,密码是隐藏起来的,首先,将密码用null(\0)填充
到16的整数倍个字节长,然后对在请求认证字后面加上共享密钥的字节流进
行MD5加密生成hash值,将该hash值和密码的第一个16字节进行异或,然后
将结果放入User-Password属性的第一个16字节中。
如果密码长度超过16个字符,则对第一个异或值后面加上共享密钥的字节流
进行MD5加密生成hash值。该hash值和密码的第二个16个字节进行异或,然
后将异或值放入User-Password属性的第二个16字节中。
如果必要,重复这个操作,每一个异或值后面加上共享密钥产生下一个hash
值,然后和密码下一段的16字节进行异或。密码最长不能超过128个字符。
这个方法引用自Kaufman, Perlman和Speciner合写的《网络安全》一书,在
第109到第110页。该方法的一个更加精确的解释如下:
共享密钥为S,伪随机数Request Authenticator为RA,将密码拆分成多个16
个字节的块p1,p2,等等。最后一块用null(\0)填充满16个字节,密码块
为c(1),c(2),等等。中间值为b1,b2,等等。
b1 = MD5(S + RA) c(1) = p1 xor b1
b2 = MD5(S + c(1)) c(2) = p2 xor b2
. .
. .
. .
bi = MD5(S + c(i-1)) c(i) = pi xor bi
User-Password属性字符串为c(1)+c(2)+...c(i),+表示连接。
Rigney, et al. Standards Track [Page 27]
RFC 2865 RADIUS June 2000
一旦接收到报文,逆向处理就能得到密码明文。
User-Password属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | String ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
类型
2 代表用户密码
长度
至少18字节,但不能超过130个字节
字符串
本字符串占位16到128(包含)个字节。
5.3. CHAP-Password
描述
该属性表示PPP挑战握手认证协议(CHAP)的用户回应的挑战值,它只出现
在接入请求报文中。
如果报文中有CHAP-Challenge属性(60)的话,CHAP挑战值会在该属性中,
否则应该在请求认证字域中。
CHAP-Password属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | CHAP Ident | String ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Rigney, et al. Standards Track [Page 28]
RFC 2865 RADIUS June 2000
类型
3 代表CHAP密码
长度
19
CHAP标识
该域占位一个字节,包含了用户的CHAP回应的CHAP标识。
字符串
该字符串占位16个字节,包含了用户的CHAP回应。
5.4. NAS-IP-Address
描述
本属性表示要求认证用户的NAS的IP地址,应该(SHOULD)在RADIUS服务器
范围内唯一地标识NAS。NAS-IP-Address属性只出现在接入请求报文中,
接入请求报文中必须包含NAS-IP-Address或者NAS-Identifier属性。
需要注意的是,一定不能(MUST NOT)使用NAS-IP-Address属性查询用来认
证请求报文的共享密钥。必须(MUST)使用接入请求报文的源IP地址查询共
享密钥。
NAS-IP-Address属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Address
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Address (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
类型
4 代表NAS IP地址
Rigney, et al. Standards Track [Page 29]
RFC 2865 RADIUS June 2000
长度
6
地址
地址域占位4个字节。
5.5. NAS-Port
描述
该属性表示认证用户的NAS的物理端口号,它只出现在接入请求报文中,需
要注意的是,该端口是物理意义上的NAS端口,而不是TCP或者UDP意义上的
端口号。如果NAS区分端口的话,NAS-Port或者NAS-Port-Type属性(61),
或者两者都应该(SHOULD)出现在接入请求报文中。
NAS-Port属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
类型
5 代表NAS端口号
长度
6
值
值域占位4个字节。
Rigney, et al. Standards Track [Page 30]
RFC 2865 RADIUS June 2000
5.6. Service-Type
描述
该属性表示用户请求的服务类型,或者NAS准备提供的服务类型,它可以
(MAY)出现在接入请求报文或者接入成功回应报文中。NAS不需要实现所有
的服务类型。如果接收到不知道或者不支持的服务类型,则必须(MUST)像
接收到接入拒绝回应报文一样处理。
Service-Type属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
类型
6 代表服务类型
长度
6
值
值域占位4个字节
1 Login
2 Framed
3 Callback Login
4 Callback Framed
5 Outbound
6 Administrative
7 NAS Prompt
8 Authenticate Only
9 Callback NAS Prompt
10 Call Check
11 Callback Administrative
Rigney, et al. Standards Track [Page 31]
RFC 2865 RADIUS June 2000
如下定义了使用在接入成功回应报文中的服务类型,当服务类型使用在接入
请求报文中时,它们可以(MAY)被认为是在提示RADIUS服务器,NAS有理由相信
用户喜欢指定的服务类型,但服务器不需要重视该提示。
Login 用户应该(should)被连接到主机上。
Framed 应该(should)为用户启用Framed协议,如PPP或者
SLIP协议。
Callback Login 用户应该被断开连接后回调,然后连接到主机上。
Callback Framed 用户应该被断开后回调,然后应该(should)为用
户启用Framed协议,如PPP或者SLIP协议。
Outbound 用户应该(should)被授权访问(外出)设备。
Administrative 用户应该(should)被授权访问有管理NAS权限的接
口,该接口可以执行特权命令。
NAS Prompt 应该提供给用户一个NAS上的命令行提示信息,该NAS
上不能执行特权命令。
Authenticate Only 只需要认证,在接入成功回应报文中不需要返回授权
信息(典型用法是代理服务器,而不是NAS本身)。
Callback NAS Prompt 用户应该被断开后回调,然后提供给用户一个NAS上
的命令行提示信息,该NAS上不能执行特权命令。
Call Check 由NAS用在接入请求报文中,表示接收到一个调用,
RADIUS服务器应该返回一个接入成功回应报文来应答
该调用,或者返回一个接入拒绝回应报文以拒绝该调
用。典型的是基于Called-Station-Id或者
Calling-Station-Id属性。推荐(recommended)接
入请求报文使用Calling-Station-Id属性的值做为
User-Name属性的值。
Rigney, et al. Standards Track [Page 32]
RFC 2865 RADIUS June 2000
Callback Administrative
用户应该(should)被断开后回调,然后用户被授权
访问有管理NAS权限的接口,该接口可以执行特权命令。
5.7. Framed-Protocol
描述
(该属性表示framing使用framed接入)。它可以(MAY)用在接入请求报文
和接入拒绝回应报文中。
Framed-Protocol属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
类型
7 代表Framed-Protocol.
长度
6
值
值域占位4个字节。
1 PPP
2 SLIP
3 AppleTalk Remote Access Protocol (ARAP)
4 Gandalf proprietary SingleLink/MultiLink protocol
5 Xylogics proprietary IPX/SLIP
6 X.75 Synchronous
Rigney, et al. Standards Track [Page 33]
RFC 2865 RADIUS June 2000
5.8. Framed-IP-Address
描述
该属性表示配置给用户的IP地址,它可以(MAY)使用在接入成功回应报文
中,它可以(MAY)由NAS使用在接入请求报文中以提示服务器更愿意使用该
IP地址做为用户的IP地址,但是服务器不需要重视该提示。
Framed-IP-Address属性的格式如下所示。各个域是按照自左向右的顺序传输的。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Address
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Address (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
类型
8 代表用户IP地址
长度
6
地址
地址域占位4个字节。值0xFFFFFFFF表示NAS应该(should)允许用户选择一
个地址(即协商地址),值0xFFFFFFFE表示NAS应该(should)为用户选择
一个地址(即从NAS的地址池中分配地址)。其它有效值表示NAS应该
(should)使用该值做为用户的IP地址。 | 