选择区域语言: EN CN HK

H3C SecPath ACG系列应用控制网关 配置指导-5PW102

06-用户流量计费配置

本章节下载  (176.33 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG2000-M/Configure/Operation_Manual/SecPath_ACG_OM-5PW102/201012/703083_30005_0.htm

06-用户流量计费配置


1 用户流量计费配置

1.1  用户流量计费简介

1.1.1  用户流量计费的工作原理

1. 原理介绍

本特性利用AAA和RADIUS实现用户访问收费资源的控制,以及访问收费资源的流量计费,目前只支持Web认证。

AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。这里的网络安全主要指访问控制:包括哪些用户可以访问网络服务器;具有访问权的用户可以得到哪些服务;以及如何对正在使用网络资源的用户进行记账。AAA一般采用客户机/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,服务器上则集中管理用户信息。

RADIUS(Remote Authentication Dial-In User Service,远程认证拨入用户服务),是一种用于NAS和AAA服务器之间通信的协议,可实现AAA框架中定义的认证、授权和计费功能。

2. 认证计费过程

图1-1 用户流量计费系统组网图

 

图1-1所示的组网环境中,用户认证计费的信息交互过程如下:

(1)        用户访问外部网络资源时,NAS搜集用户信息,并根据配置的不同决定是否需要用户提供用户名、密码,然后将用户信息发送给指定的认证服务器。

(2)        认证服务器将收到的用户信息与保存在服务器上的信息进行比较,验证通过后向NAS返回认证成功消息,否则返回拒绝消息。

(3)        NAS根据接收到的认证结果接入/拒绝用户。如果允许接入用户,NAS会维护用户的流量信息,并定期发送计费信息给指定的计费服务器。

(4)        计费服务器收到用户的计费信息后重新计算用户的剩余时长或剩余流量,并向NAS发送计费结果。

(5)        NAS根据收到的计费结果决定用户是否可以继续访问收费资源。

3. 计费/流量统计策略

当用户访问外网时,NAS设备会统计用户的流量信息,而NAS设备配置的流量统计策略决定了如何对用户进行计费,主要包括流量统计的方向及计数器,其中统计方向包括上行流量、下行流量及上下行流量等。计费/流量统计策略的配置请参见“Web配置手册  准入控制”中的“第1章  用户计费策略配置”。

1.1.2  协议规范

与用户流量计费相关的协议规范有:

l              RFC2865:Remote Authentication Dial In User Service (RADIUS)

l              RFC2866:RADIUS Accounting

l              RFC2869:RADIUS Extensions

1.2  用户流量计费配置任务简介

表1-1 用户流量计费配置任务简介

配置任务

说明

详细配置

配置RADIUS服务器

必选

1.3 

开启AAA

必选

1.4 

配置AAA认证

必选

1.5 

配置AAA计费

必选

1.6 

配置RADIUS报文携带的NAS IP地址

可选

1.7 

配置用户的登录方式

可选

1.8 

强制用户下线

可选

1.9 

 

1.3  配置RADIUS服务器

配置用于认证、计费的RADIUS服务器,即指定RADIUS服务器的IP地址、端口号和密钥。

表1-2 配置RADIUS服务器

操作

命令

说明

进入系统视图

system-view

-

配置RADIUS服务器

radius-server radius-server-name ip-address port-number { none-key | key string }

必选

 

必须保证设备上配置的IP地址、端口号、密钥与RADIUS服务器上的完全一致。

 

1.4  开启AAA

表1-3 开启AAA

操作

命令

说明

进入系统视图

system-view

-

开启AAA功能

aaa web-auth enable

必选

缺省情况下,AAA处于关闭状态

 

1.5  配置AAA认证

设备支持的AAA认证方案为RADIUS认证。配置RADIUS认证时,需要指定已经创建的RADIUS服务器作为AAA认证服务器。

RADIUS认证包括PAP和CHAP两种认证方式,前者机制简单,后者安全性较高,可根据实际情况选配。

表1-4 配置AAA认证

操作

命令

说明

进入系统视图

system-view

-

配置AAA认证方案

aaa web-auth authentication radius radius-server-name

必选

配置AAA认证方式

aaa web-auth authentication-mode { chap | pap }

可选

缺省情况下,采用CHAP认证方式

 

修改设备上的认证方案时,请注意同步修改认证服务器上的用户认证策略。

 

1.6  配置AAA计费

设备支持的AAA计费方案为RADIUS计费。配置RADIUS计费时,需要指定已经创建的RADIUS服务器作为AAA计费服务器。

表1-5 配置AAA计费

操作

命令

说明

进入系统视图

system-view

-

配置AAA计费方案

aaa web-auth accounting radius radius-server-name

必选

 

修改设备上的计费方案时,请注意同步修改计费服务器上的用户计费策略。

 

1.7  配置RADIUS报文携带的NAS IP地址

当使用CAMS/iMC服务器作为RADIUS服务器时,RADIUS服务器会检查收到的RADIUS报文中的NAS IP地址字段是否为0.0.0.0。如果是0.0.0.0,则认为该RADIUS报文不合法。

表1-6 配置RADIUS报文携带的NAS IP地址

操作

命令

说明

进入系统视图

system-view

-

配置RADIUS报文携带的NAS IP地址

aaa nas ip ip-address

必选

缺省情况下,未配置RADIUS报文中携带的NAS IP地址,使用管理口的IP地址NAS IP地址

 

1.8  配置用户的登录方式

配置用户的登录方式为简化方式(simple)或正常方式(normal)。简化方式下,用户登录时不需要用户名和密码;正常方式下,用户登录时需要用户名和密码。

表1-7 配置用户的登录方式

操作

命令

说明

进入系统视图

system-view

-

配置用户的登录方式

aaa web-auth login-mode { simple | normal }

可选

缺省情况下,采用normal方式

 

1.9  强制用户下线

管理员可以通过命令行强制单个用户或所有用户下线。

表1-8 强制用户下线

操作

命令

说明

进入系统视图

system-view

-

强制用户下线

aaa cut-user { all | ip ip-address }

必选

 

1.10  用户流量计费显示和维护

在完成上述配置后,在用户视图或系统视图下执行display命令可以显示配置后用户流量计费的运行情况,通过查看显示信息验证配置的效果。

表1-9 用户流量计费显示和维护

操作

命令

显示RADIUS配置的信息

display radius-server [ radius-server-name ]

显示Web认证的相关配置信息

display aaa web-auth info

显示RADIUS报文携带的NAS IP地址的配置信息

display aaa nas ip

显示用户信息

display aaa user { all | ip ip-address | name user-name }

 

1.11  用户流量计费典型配置举例

1. 组网需求

计费网关一端连接内部局域网,另一端连接外部网络。外部网络根据网络应用区分为收费资源及免费资源。内部网络中有若干用户和一台RADIUS服务器。需要配置计费网关,实现对内部局域网中的用户进行计费及流量统计。

2. 组网图

图1-2 用户流量计费典型配置组网图

 

3. 配置步骤

(1)        配置计费网关

# 配置RADIUS服务器,命名为acg,指定IP地址为192.168.1.3,加密密钥为aaa。

<Sysname> system-view

[Sysname] radius-server acg 192.168.1.3 1813 key aaa

# 开启AAA。

[Sysname] aaa web-auth enable

# 配置AAA认证。

[Sysname] aaa web-auth authentication radius acg

# 配置AAA计费。

[Sysname] aaa web-auth accounting radius acg

# 配置AAA认证方式。

[Sysname] aaa web-auth authentication-mode chap

# 配置AAA登录方式。

[Sysname] aaa web-auth login-mode simple

(2)        配置计费策略

登录到计费网关的Web管理网页,根据实际组网需求,进行相应的用户计费策略配置,此处略。

以上配置完成后,在用户计费策略的配置页面单击<激活>按钮使配置生效。

4. 验证配置结果

完成以上配置之后,查看配置后的认证信息及当前生效的配置:

<Sysname> display aaa web-auth info

Current value:

 Authentication Server: acg

 Accounting Server: acg

 Authentication Mode: CHAP

 Login Mode: simple

 

Configured value:

 Authentication Server: acg

 Accounting Server: acg

 Authentication Mode: CHAP

 Login Mode: simple

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!