RADIUS计费培训教材.docx

1、RADIUS计费培训教材 RADIUS计费培训教材 姓名 : 樊迟 工号 : 19453 目录 第一章 RADIUS计费介绍 - 3 第二章 RADIUS协议计费部分 - 4 2.1 简述 - 4 2.2 RADIUS记帐包结构- - 4 2.3 计费属性- - 5 第三章 RADIUS计费配置- - 6 3.1 NAS 计费典型配置- 6 3.1.1 使用RADIUS验证的计费配置- 6 3.1.2 使用本地验证的计费配置- 6 3.2 RADIUS 计费主要配置功能列表- - 7 3.2.1 AAA记账选择配置- - 7 3.2.2 RADIUS server 配置- - 7 3.2.3

2、RADIUS 实时计帐包发送时间间隔配置- 8 3.2.4 RADIUS计费用到的其他命令- 8 第四章 AAA新增加验证功能配置- 9 4.1 AAA LOGIN 验证配置- - 9 4.2 用户配置(user命令)- 9 4.2.1 授权用户可以使用的服务- - 9 4.2.2 配置FTP用户的目录权限- - 10 4.2.3 配置主叫号码的验证- - 10 附录1 补充后的所有验证命令检索(按字母顺序)- - 11 第一章 RADIUS计费介绍 图1 PSTN,ISDN用户通过路由器上网示意图 用户 lqz, lst 要求得到某些服务(如PPP,telnet, FTP)。其必须通过NAS

3、, 由 NAS与所连服务器通信进行验证，验证通过后，在服务过程中，NAS还可以通过与所连接的记帐服务器进行通信，记录其使用网络资源的情况，实现计费功能。 网络接入服务器简称NAS(Network Access Server) 。当用户想要通过某个网络(如电话网)与 NAS建立连接，并已经通过验证获得访问其他网络的权利(或取得使用某些网络资源的权利)时, NAS负责把用户的记账信息传递给RADIUS服务器， RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息。RADIUS服务器负责接收用户的记帐请求，存储记帐信息，并返回响应。RADIUS服务器记录的计费信息包括输

4、入字节数，输出字节数，输入包数，输出包数及该次上网的会话时长等。可以在RADIUS服务器查询这些信息。RADIUS计费可以和RADIUS验证一起使用，也可以单独使用。 第二章 RADIUS协议计费部分 2.1 简述 RADIUS 协议的记帐端口号为1813。接收NAS传来的记帐请求包，对其中的用户计费信息进行储存，并向客户端发送响应数据包，以确认其收到计费信息。 2.2 RADIUS记帐包结构其记帐包结构与验证完全一样。 图2 包格式 Code 4 Accounting-request 5 Accounting-response Identifier 用于匹配请求包和回应包。Length 所有

5、域的长度。 Authenticator 16 字节长。用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。分为 Request authenticator 和 response authenticator 。 RequestAuth = 16 字节的随机码 ResponseAuth = MD5（Code+ID+Length+RequestAuth+Attribute+Secret） Attributes 图3 属性格式 Type 属性类型 Length 属性长度 Value String Address Integer Time 2.3 计费属性 以下是实现计费的一些属性，前面的数字是属

6、性编号。 40 Acct_Status-Type 指示计费包的类型（计费开始、停止等） 1 Start 2 Stop 7 Accounting-On 8 Accounting-Off 44 Acct-Session-Id 用于匹配计费开始包和停止包 45 Acct-Authentic 验证用户的方式 1 RADIUS 2 Local 3 Remote：指使用非RADIUS的远程验证。 41 Acct-Delay-Time 服务的延迟时间 42 Acct-Input-Octets 在该端口上的输入字节数 43 Acct-Output- Octets 在该端口上的输出字节数 47 Acct-Inp

7、ut-Packets 在该端口上的输入包数 48 Acct-Output-Packets 在该端口上的输出包数 46 Acct-Session-Time 该次上网的会话时长 第三章 RADIUS计费配置3.1 NAS 计费典型配置3.1.1 使用RADIUS验证的计费配置 使用RADIUS验证时，记帐服务器与验证服务器可以是同一个，也可以不同。下面是配置方法：命令模式功能及说明aaa-enable全局配置模式使能AAA。计费作为AAA功能的一部分，无论是配置还是使用计费功能均要首先使能AAA。aaa accounting optional全局配置模式(可选)所有记帐服务器均不能工作时，允许用户

8、使用网络资源。radius-server host 129.102.0.1 auth-port 1000 acct-port 1001全局配置模式配置主验证，记帐服务器，验证，记帐服务器可以不是同一个主机。radius-server host 129.102.0.2 auth-port 1000 acct-port 0全局配置模式(可选)配置备用验证服务器radius-server host 129.102.0.3 auth-port 0 acct-port 1001全局配置模式(可选)配置备用记帐服务器radius-server key this-is-my-secret全局配置模式配置服务

9、器口令radius-server realtime-acct-timeout 5全局配置模式(可选)配置实时记帐，每5分钟发实时记帐包。radius-server retransmit 2全局配置模式(可选)设置重传次数为2radius-server timeout 5全局配置模式(可选)设置超时时间为5秒radius-server dead-time 10全局配置模式(可选)配置服务器恢复时间为10分钟aaa authentication ppp lst radius全局配置模式配置名为lst的验证方法表，使用RADIUS验证ppp authentication pap lst端口配置模式配

10、置此端口PPP的PAP验证使用RADIUS验证3.1.2 使用本地验证的计费配置 对于本地验证，仍然要计费，而计费只能在RADIUS服务器上，因此仍然要配置记帐服务器。下面是使用本地验证的配置方法：命令模式功能及说明aaa-enable全局配置模式使能AAA。计费作为AAA功能的一部分，无论是配置还是使用计费功能均要首先使能AAA。aaa accounting optional全局配置模式(可选)所有记帐服务器均不能工作时，允许用户使用网络资源。radius-server host 129.102.0.1 auth-port 0 acct-port 1001全局配置模式配置主记帐服务器。rad

11、ius-server host 129.102.0.2 auth-port 0 acct-port 1001全局配置模式(可选)配置备用记帐服务器radius-server key this-is-my-secret全局配置模式配置服务器口令radius-server realtime-acct-timeout 5全局配置模式(可选)配置实时记帐，每5分钟发实时记帐包。radius-server retransmit 2全局配置模式(可选)设置重传次数为两次radius-server timeout 5全局配置模式(可选)设置超时时间为5秒radius-server dead-time 10全

12、局配置模式(可选)配置服务器恢复时间为10分钟aaa authentication ppp lst local全局配置模式配置名为lst的验证方法表，使用本地验证ppp authentication pap lst端口配置模式配置此端口PPP的PAP验证使用本地验证 在RADIUS验证配置中我们知道几种验证方法可以配合使用，而对于计费只有在验证方法为none时才不计费，其它时候都要计费。3.2 RADIUS 计费主要配置命令功能列表 AAA配置没有单独的计费配置命令，计费的配置是和验证联系在一起的，对配了AAA验证，且验证方法不是none时进行计费。 下面是一些与计费相关的配置命令。 3.2.

13、1 AAA记账选择(accounting option)配置 NAS向记账服务器发记账包后，系统启动定时器 。如果没有记账服务器的响应，则由NAS负责重传，当重传次数大于系统配置的最大重传次数后仍未有记账服务器的响应，此时若配置了aaa accounting optional 命令，则用户继续使用网络资源。否则用户被切断。 缺省:no aaa accounting optional操作命令模式 打开记账选择开关 关闭记账选择开关 1.aaa accounting optional 2.no aaa accounting optional全局配置模式3.1.2 RADIUS server 配置

14、在全局配置模式下进行如下操作可指定RADIUS服务器的地址和监听端口号。 auth-port port-number 的缺省值为 1812 acct-port port-number 的缺省值为 1813 auth-port port-number为 0 表示本服务器不作为验证服务器之用 acct-port port-number为 0 表示本服务器不作为记账服务器之用 操作命令模式 配置RADIUS服务器的主机地址或主机名, 验证端口号(可选) ,记账端口号(可选)。 取消指定主机地址或主机名的RADIUS服务器。1. radius-server host hostname | ip-add

15、ressauth-port port-number acct-port port-number2. no radius-server host hostname | ip-address全局配置模式 例: radius-server host 129.102.0.1 auth-port 1000 acct-port 1001 radius-server host 129.102.0.2 auth-port 1000 acct-port 0 radius-server host 129.102.0.3 auth-port 0 acct-port 1001 radius-server host 1

16、29.102.0.4 auth-port 1000 radius-server host 129.102.0.5 命令1: 指定IP地址为 129.102.0.1 的主机作为验证和记账服务器。其中验证使用端口1000，记账使用端口1001。 命令2: 指定IP地址为 129.102.0.2 的主机只作为验证服务器。其中验证使用端口1000。 命令3: 指定IP地址为 129.102.0.3 的主机只作为记账服务器。其中记账使用端口1001。 命令4: 指定IP地址为 129.102.0.4 的主机作为验证和记账服务器。其中验证使用端口1000，记账使用默认端口1813。 命令5: 指定IP地址

17、为 129.102.0.5 的主机作为验证和记账服务器。其中验证使用默认端口1812，记账使用默认端口1813。 注1：按上例, 选择验证服务器的顺序依次为 a: 129.102.0.1 - b:129.102.0.2 - c:129.102.0.4 - d: 129.102.0.5。（ 如果 a 不能工作了，选用b；如果 b也 不能工作了，选用c; 依此类推） 注2：按上例, 选择记账服务器的顺序依次为 a: 129.102.0.1 - b:129.102.0.3 - c:129.102.0.4 - d:129.102.0.5。（ 如果 a 不能工作了，选用b；如果 b也不能工作了，选用c;

18、 依此类推） 注3: 对一个服务器主机即用做验证又用做计费时，当一个功能不能工作时就认为此服务器不能工作，即验证、计费均不能工作。3.2.3 RADIUS 实时计帐包发送时间间隔(radius-server real-time-acct-timeout )配置 用户通过验证后，NAS以配置的时间间隔向RADIUS服务器发送用户的实时记账信息。如果实时记账请求失败，将根据 accouting optional 命令配置情况对用户进行处理。如果配置了accouting optional，NAS将允许用户继续使用网络服务；反之 NAS 会把用户切断。 缺省时间长度 : 0 秒 ( 即 no radi

19、us-server realtime-acct-timeout )操作命令模式 配置实时记账定时器的时间长度 不使用实时记账1. radius-server realtime-acct-timeout minutes2.no radius-server realtime-acct-timeout全局配置模式3.2.4 RADIUS计费用到的其他命令 RADIUS计费还用到一些命令是与RADIUS验证通用的，这里只列出这些命令，具体配置方法见AAA和RADIUS协议培训教材。 radius-server key string radius-server retransmit retries ra

20、dius-server timeout seconds radius-server dead-time minutes 第四章 AAA新增加验证功能配置4.1 AAA LOGIN 验证(aaa authentication login)配置 操作命令模式 对使用路由器上login 服务的用户按方法表进行验证 禁止用某方发法表进行验证。 1.aaa authentication login default | list-name method1 method2. 2.no aaa authencation login default | list-name全局配置模式 注1: 这里的login服

21、务指通过telnet，ftp登陆到路由器，以及通过各种方式(如console口，aux口等)进入到路由器进行配置的操作。 注2: 因为只有一个方法表是有效的，为了不引起混淆，因此只能设置一个方法表，后设置的方法表将覆盖先设置的方法表。 default 缺省时所用的方法表名。 list-name 用户输入的方法表名。 method 可用的名字有 radius - 用RADIUS服务器进行验证 local - 在本地进行验证 none - 所有用户不需进行验证便可得到访问权 例1： aaa authentication login default radius local 例2： aaa auth

22、entication login default none 例1： 系统先用RADIUS server 进行验证。如果未得到响应则改用本地验证。 例2： 对用户使用login服务不进行验证。 none 方法只有放在最后才有意义。4.2 用户配置(user命令) 4.2.1授权用户可以使用的服务 在全局配置模式下，可以用此命令建立用户数据库。对用户可以使用的服务进行授权。 缺省情况是用户能使用PPP，但不能使用FTP和EXEC。 命令 配置用户user user service-type exec ftp ppp 取消用户no user user 注: EXEC是指通过TELNET或其他方式(如

23、console口，aux口等)登陆到路由器进行配置的操作。 例1：配置普通的PPP用户(不能使用ftp和exec)，用户名为quidway，密码为huawei(明文表示) Quidway(config)#user quidway password 0 huawei 或 Quidway(config)#user quidway password 0 huawei service-type ppp 例2：授权用户名为quidway，密码为huawei(加密表示)的用户可以使用FTP(不能使用ppp和exec) Quidway(config)#user quidway password 7 huaw

24、ei service-type ftp 例3：授权用户名为quidway，密码为huawei(加密表示)的用户可以使用exec服务(不能使用ppp和ftp) Quidway(config)#user quidway password 7 huawei service-type exec 例4：授权用户名为quidway，密码为huawei(加密表示)的用户同时可以使用exec，ftp，ppp服务 Quidway(config)#user quidway password 7 huawei service-type exec ftp ppp 对FTP用户，若验证方法为Radius，RADIUS服

25、务器上必须定义login-service(50) FTP。这个属性是华为定义的，需要修改属性字典加入login-service (50) FTP。 对EXEC用户，若验证方法为Radius，RADIUS服务器上必须定义login-service(50) EXEC。这个属性是华为定义的，需要修改属性字典加入login-service (50) EXEC。4.2.2 配置FTP用户的目录权限 在全局配置模式下，可以用此命令建立用户数据库，储存FTP用户的目录权限。 操作 命令 配置用户user user ftp-directory directory 取消用户no user user4.2.3 配

26、置主叫号码的验证 在全局配置模式下，可以用此命令建立用户数据库。配置了用户的calling-station-ID就表明要对此用户进行主叫号码的验证。目前仅限于ISDN用户。 操作 命令 配置用户user user calling-station-id telephone-number:sub-calling-station-id telephone-number 取消用户no user user RADIUS服务器端可以配置Ftp-Directory，可以在RADIUS服务器端的属性字典中加入Ftp-Directory(106)属性，类型为字符串。注： 所有user 命令，包括以上三个及以前的username name password 0|7 password和username name callback-dialstring telephone-number可以配合使用，而且配置时各项顺序自由。 附录1补充后的所有AAA命令检索(按字母顺序) aaa accounting optional aaa authentication local-first aaa authentication login default | list-name method1 method2. aaa authentication ppp default | list-name method1