RADIUS计费培训教材.docx
《RADIUS计费培训教材.docx》由会员分享,可在线阅读,更多相关《RADIUS计费培训教材.docx(14页珍藏版)》请在冰豆网上搜索。
![RADIUS计费培训教材.docx](https://file1.bdocx.com/fileroot1/2022-11/27/b52eedd1-d47c-491c-9994-f360a41272b3/b52eedd1-d47c-491c-9994-f360a41272b31.gif)
RADIUS计费培训教材
RADIUS计费培训教材
姓名:
樊迟
工号:
19453
目录
第一章RADIUS计费介绍----------------------------------------------------3
第二章RADIUS协议计费部分-----------------------------------------------4
2.1简述---------------------------------------------------------------------------4
2.2RADIUS记帐包结构------------------------------------------------------4
2.3计费属性--------------------------------------------------------------------5
第三章RADIUS计费配置-----------------------------------------------------6
3.1NAS计费典型配置-------------------------------------------------------6
3.1.1使用RADIUS验证的计费配置----------------------------------6
3.1.2使用本地验证的计费配置---------------------------------------6
3.2RADIUS计费主要配置功能列表-------------------------------------7
3.2.1AAA记账选择配置------------------------------------------------7
3.2.2RADIUSserver配置----------------------------------------------7
3.2.3RADIUS实时计帐包发送时间间隔配置----------------------8
3.2.4RADIUS计费用到的其他命令-----------------------------------8
第四章AAA新增加验证功能配置--------------------------------------------9
4.1AAALOGIN验证配置----------------------------------------------------9
4.2用户配置(user命令)---------------------------------------------------------9
4.2.1授权用户可以使用的服务----------------------------------------9
4.2.2配置FTP用户的目录权限---------------------------------------10
4.2.3配置主叫号码的验证---------------------------------------------10
附录1补充后的所有验证命令检索(按字母顺序)---------------------------11
第一章RADIUS计费介绍
图1PSTN,ISDN用户通过路由器上网示意图
用户lqz,lst要求得到某些服务(如PPP,telnet,FTP)。
其必须通过NAS,由NAS与所连服务器通信进行验证,验证通过后,在服务过程中,NAS还可以通过与所连接的记帐服务器进行通信,记录其使用网络资源的情况,实现计费功能。
网络接入服务器简称NAS(NetworkAccessServer)。
当用户想要通过某个网络(如电话网)与NAS建立连接,并已经通过验证获得访问其他网络的权利(或取得使用某些网络资源的权利)时,NAS负责把用户的记账信息传递给RADIUS服务器,RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和记账信息。
RADIUS服务器负责接收用户的记帐请求,存储记帐信息,并返回响应。
RADIUS服务器记录的计费信息包括输入字节数,输出字节数,输入包数,输出包数及该次上网的会话时长等。
可以在RADIUS服务器查询这些信息。
RADIUS计费可以和RADIUS验证一起使用,也可以单独使用。
第二章RADIUS协议计费部分
2.1简述
RADIUS协议的记帐端口号为1813。
接收NAS传来的记帐请求包,对其中的用户计费信息进行储存,并向客户端发送响应数据包,以确认其收到计费信息。
2.2RADIUS记帐包结构
其记帐包结构与验证完全一样。
图2包格式
Code
4Accounting-request
5Accounting-response
Identifier
用于匹配请求包和回应包。
Length
所有域的长度。
Authenticator
16字节长。
用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。
分为Requestauthenticator和responseauthenticator。
RequestAuth=16字节的随机码
ResponseAuth=MD5(Code+ID+Length+RequestAuth+Attribute+Secret)
Attributes
图3属性格式
Type
属性类型
Length
属性长度
Value
String
Address
Integer
Time
2.3计费属性
以下是实现计费的一些属性,前面的数字是属性编号。
40Acct_Status-Type
指示计费包的类型(计费开始、停止等)
1Start
2Stop
7Accounting-On
8Accounting-Off
44Acct-Session-Id
用于匹配计费开始包和停止包
45Acct-Authentic
验证用户的方式
1RADIUS
2Local
3Remote:
指使用非RADIUS的远程验证。
41Acct-Delay-Time
服务的延迟时间
42Acct-Input-Octets
在该端口上的输入字节数
43Acct-Output-Octets
在该端口上的输出字节数
47Acct-Input-Packets
在该端口上的输入包数
48Acct-Output-Packets
在该端口上的输出包数
46Acct-Session-Time
该次上网的会话时长
第三章RADIUS计费配置
3.1NAS计费典型配置
3.1.1使用RADIUS验证的计费配置
使用RADIUS验证时,记帐服务器与验证服务器可以是同一个,也可以不同。
下面是配置方法:
命令
模式
功能及说明
aaa-enable
全局配置模式
使能AAA。
计费作为AAA功能的一部分,无论是配置还是使用计费功能均要首先使能AAA。
aaaaccountingoptional
全局配置模式
(可选)所有记帐服务器均不能工作时,允许用户使用网络资源。
radius-serverhost129.102.0.1auth-port1000acct-port1001
全局配置模式
配置主验证,记帐服务器,验证,记帐服务器可以不是同一个主机。
radius-serverhost129.102.0.2auth-port1000acct-port0
全局配置模式
(可选)配置备用验证服务器
radius-serverhost129.102.0.3auth-port0acct-port1001
全局配置模式
(可选)配置备用记帐服务器
radius-serverkeythis-is-my-secret
全局配置模式
配置服务器口令
radius-serverrealtime-acct-timeout5
全局配置模式
(可选)配置实时记帐,每5分钟发实时记帐包。
radius-serverretransmit2
全局配置模式
(可选)设置重传次数为2
radius-servertimeout5
全局配置模式
(可选)设置超时时间为5秒
radius-serverdead-time10
全局配置模式
(可选)配置服务器恢复时间为10分钟
aaaauthenticationppplstradius
全局配置模式
配置名为lst的验证方法表,使用RADIUS验证
pppauthenticationpaplst
端口配置模式
配置此端口PPP的PAP验证使用RADIUS验证
3.1.2使用本地验证的计费配置
对于本地验证,仍然要计费,而计费只能在RADIUS服务器上,因此仍然要配置记帐服务器。
下面是使用本地验证的配置方法:
命令
模式
功能及说明
aaa-enable
全局配置模式
使能AAA。
计费作为AAA功能的一部分,无论是配置还是使用计费功能均要首先使能AAA。
aaaaccountingoptional
全局配置模式
(可选)所有记帐服务器均不能工作时,允许用户使用网络资源。
radius-serverhost129.102.0.1auth-port0acct-port1001
全局配置模式
配置主记帐服务器。
radius-serverhost129.102.0.2auth-port0acct-port1001
全局配置模式
(可选)配置备用记帐服务器
radius-serverkeythis-is-my-secret
全局配置模式
配置服务器口令
radius-serverrealtime-acct-timeout5
全局配置模式
(可选)配置实时记帐,每5分钟发实时记帐包。
radius-serverretransmit2
全局配置模式
(可选)设置重传次数为两次
radius-servertimeout5
全局配置模式
(可选)设置超时时间为5秒
radius-serverdead-time10
全局配置模式
(可选)配置服务器恢复时间为10分钟
aaaauthenticationppplstlocal
全局配置模式
配置名为lst的验证方法表,使用本地验证
pppauthenticationpaplst
端口配置模式
配置此端口PPP的PAP验证使用本地验证
在RADIUS验证配置中我们知道几种验证方法可以配合使用,而对于计费只有在验证方法为none时才不计费,其它时候都要计费。
3.2RADIUS计费主要配置命令功能列表
AAA配置没有单独的计费配置命令,计费的配置是和验证联系在一起的,对配了AAA验证,且验证方法不是none时进行计费。
下面是一些与计费相关的配置命令。
3.2.1AAA记账选择(accountingoption)配置
NAS向记账服务器发记账包后,系统启动定时器。
如果没有记账服务器的响应,则由NAS负责重传,当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应,此时若配置了aaaaccountingoptional命令,则用户继续使用网络资源。
否则用户被切断。
缺省:
noaaaaccountingoptional
操作
命令
模式
打开记账选择开关
关闭记账选择开关
1.aaaaccountingoptional
2.noaaaaccountingoptional
全局配置模式
3.1.2RADIUSserver配置
在全局配置模式下进行如下操作可指定RADIUS服务器的地址和监听端口号。
auth-portport-number的缺省值为1812
acct-portport-number的缺省值为1813
auth-portport-number为0表示本服务器不作为验证服务器之用
acct-portport-number为0表示本服务器不作为记账服务器之用
操作
命令
模式
配置RADIUS服务器的主机地址或主机名,验证端口号(可选),记账端口号(可选)。
取消指定主机地址或主机名的RADIUS服务器。
1.radius-serverhost{hostname|ip-address}[auth-portport-number][acct-portport-number]
2.noradius-serverhost{hostname|ip-address}
全局配置模式
例:
radius-serverhost129.102.0.1auth-port1000acct-port1001
radius-serverhost129.102.0.2auth-port1000acct-port0
radius-serverhost129.102.0.3auth-port0acct-port1001
radius-serverhost129.102.0.4auth-port1000
radius-serverhost129.102.0.5
命令1:
指定IP地址为129.102.0.1的主机作为验证和记账服务器。
其中验证使用端口1000,记账使用端口1001。
命令2:
指定IP地址为129.102.0.2的主机只作为验证服务器。
其中验证使用端口1000。
命令3:
指定IP地址为129.102.0.3的主机只作为记账服务器。
其中记账使用端口1001。
命令4:
指定IP地址为129.102.0.4的主机作为验证和记账服务器。
其中验证使用端口1000,记账使用默认端口1813。
命令5:
指定IP地址为129.102.0.5的主机作为验证和记账服务器。
其中验证使用默认端口1812,记账使用默认端口1813。
注1:
按上例,选择验证服务器的顺序依次为a:
129.102.0.1---b:
129.102.0.2---c:
129.102.0.4---d:
129.102.0.5。
(如果a不能工作了,选用b;如果b也不能工作了,选用c;依此类推)
注2:
按上例,选择记账服务器的顺序依次为a:
129.102.0.1---b:
129.102.0.3---c:
129.102.0.4---d:
129.102.0.5。
(如果a不能工作了,选用b;如果b也不能工作了,选用c;依此类推)
注3:
对一个服务器主机即用做验证又用做计费时,当一个功能不能工作时就认为此服务器不能工作,即验证、计费均不能工作。
3.2.3RADIUS实时计帐包发送时间间隔(radius-serverreal-time-acct-timeout)配置
用户通过验证后,NAS以配置的时间间隔向RADIUS服务器发送用户的实时记账信息。
如果实时记账请求失败,将根据accoutingoptional命令配置情况对用户进行处理。
如果配置了accoutingoptional,NAS将允许用户继续使用网络服务;反之NAS会把用户切断。
缺省时间长度:
0秒(即noradius-serverrealtime-acct-timeout)
操作
命令
模式
配置实时记账定时器的时间长度
不使用实时记账
1.radius-serverrealtime-acct-timeoutminutes
2.noradius-serverrealtime-acct-timeout
全局配置模式
3.2.4RADIUS计费用到的其他命令
RADIUS计费还用到一些命令是与RADIUS验证通用的,这里只列出这些命令,具体配置方法见《AAA和RADIUS协议培训教材》。
radius-serverkeystring
radius-serverretransmitretries
radius-servertimeoutseconds
radius-serverdead-timeminutes
第四章AAA新增加验证功能配置
4.1AAALOGIN验证(aaaauthenticationlogin)配置
操作
命令
模式
对使用路由器上login服务的用户按方法表进行验证
禁止用某方发法表进行验证。
1.aaaauthenticationlogin{default|list-name}method1[method2...]
2.noaaaauthencationlogin{default|list-name}
全局配置模式
注1:
这里的login服务指通过telnet,ftp登陆到路由器,以及通过各种方式(如console口,aux口等)进入到路由器进行配置的操作。
注2:
因为只有一个方法表是有效的,为了不引起混淆,因此只能设置一个方法表,后设置的方法表将覆盖先设置的方法表。
default缺省时所用的方法表名。
list-name用户输入的方法表名。
method可用的名字有
radius--------用RADIUS服务器进行验证
local--------在本地进行验证
none--------所有用户不需进行验证便可得到访问权
例1:
aaaauthenticationlogindefaultradiuslocal
例2:
aaaauthenticationlogindefaultnone
例1:
系统先用RADIUSserver进行验证。
如果未得到响应则改用本地验证。
例2:
对用户使用login服务不进行验证。
none方法只有放在最后才有意义。
4.2用户配置(user命令)
4.2.1授权用户可以使用的服务
在全局配置模式下,可以用此命令建立用户数据库。
对用户可以使用的服务进行授权。
缺省情况是用户能使用PPP,但不能使用FTP和EXEC。
命令
配置用户
useruser[service-type{[exec][ftp][ppp]}]
取消用户
nouseruser
注:
EXEC是指通过TELNET或其他方式(如console口,aux口等)登陆到路由器进行配置的操作。
例1:
配置普通的PPP用户(不能使用ftp和exec),用户名为quidway,密码为huawei(明文表示)
Quidway(config)#userquidwaypassword0huawei
或
Quidway(config)#userquidwaypassword0huaweiservice-typeppp
例2:
授权用户名为quidway,密码为huawei(加密表示)的用户可以使用FTP(不能使用ppp和exec)
Quidway(config)#userquidwaypassword7huaweiservice-typeftp
例3:
授权用户名为quidway,密码为huawei(加密表示)的用户可以使用exec服务(不能使用ppp和ftp)
Quidway(config)#userquidwaypassword7huaweiservice-typeexec
例4:
授权用户名为quidway,密码为huawei(加密表示)的用户同时可以使用exec,ftp,ppp服务
Quidway(config)#userquidwaypassword7huaweiservice-typeexecftpppp
对FTP用户,若验证方法为Radius,RADIUS服务器上必须定义login-service(50)=FTP。
这个属性是华为定义的,需要修改属性字典加入login-service(50)=FTP。
对EXEC用户,若验证方法为Radius,RADIUS服务器上必须定义login-service(50)=EXEC。
这个属性是华为定义的,需要修改属性字典加入login-service(50)=EXEC。
4.2.2配置FTP用户的目录权限
在全局配置模式下,可以用此命令建立用户数据库,储存FTP用户的目录权限。
操作
命令
配置用户
useruser[ftp-directorydirectory]
取消用户
nouseruser
4.2.3配置主叫号码的验证
在全局配置模式下,可以用此命令建立用户数据库。
配置了用户的calling-station-ID就表明要对此用户进行主叫号码的验证。
目前仅限于ISDN用户。
操作
命令
配置用户
useruser[calling-station-idtelephone-number][:
sub-calling-station-idtelephone-number]
取消用户
nouseruser
RADIUS服务器端可以配置Ftp-Directory,可以在RADIUS服务器端的属性字典中加入Ftp-Directory(106)属性,类型为字符串。
注:
所有user命令,包括以上三个及以前的usernamename[password{0|7}password]和usernamename[callback-dialstringtelephone-number]可以配合使用,而且配置时各项顺序自由。
附录1
补充后的所有AAA命令检索(按字母顺序)
aaaaccountingoptional
aaaauthenticationlocal-first
aaaauthenticationlogin{default|list-name}method1[method2...]
aaaauthenticationppp{default|list-name}method1[